Cuando nos planteamos la migración (o nueva implementación) de nuestro ERP en la nube (principalmente en modalidad SaaS), es muy importante estudiar con todo detalle las cláusulas del contrato, pues éstas suelen estar muy orientadas a limitar las garantías y responsabilidades del proveedor del servicio. Normalmente este contrato no suele establecerse mediante el modelo de negociación, sino que por el contrario, suele venir «impuesto» por el proveedor del servicio. Es por ello que cobra especial relevancia su lectura e interpretación en aras de clarificar situaciones que seguramente en el futuro vamos a encontrar.
Particularmente, algunas de las cláusulas que me merecen especial atención son las relativas a los siguientes puntos. Aunque este artículo se refiere a ERP, es extensible a casi cualquier software en la nube.
Niveles de servicio
Responsabilidades y limitaciones de uso. Aquí el proveedor del servicio, no suele garantizar unos adecuados niveles de servicio o no establece unas métricas para su medición, ni permite realizar auditoría sobre esas mediciones, por lo que difícilmente podremos estar en condiciones de denunciar posibles infracciones en este sentido. En otras ocasiones, se suele mencionar la exclusión de garantías frente a ciertos acontecimientos de naturaleza ajena al proveedor (algunos desastres naturales o sociales), que en muchos casos quedan poco claros. Tampoco suele haber una concesión al cliente en cuanto al incumplimiento sobre la disponibilidad del servicio.
Privacidad de datos
Aunque se suele garantizar la privacidad de la información, se recurre a la figura de la divulgación forzada en caso de obligación por ley. Entiendo que debería diferenciarse entre las solicitudes administrativas de las penales, siendo obligatorio la notificación al propio cliente. Sabemos que en España, el fraude está muy extendido. Y aunque no voy a justificarlo, esta cláusula abriría las puertas a cualquier tipo de intervención por parte de las autoridades fiscales. El cliente en este aspecto puede considerarse indefenso. De hecho, este punto es uno de los que más está limitando la implantación de tecnologías en la nube en las empresas en el ámbito de los ERP.
Responsabilidades
La limitación de responsabilidades queda supeditada a máximos tales como la cuota de un período anual o a los daños provocadas siempre que sean inferiores a una cantidad irracionalmente grande, por lo que ante cualquier responsabilidad, de facto, queda supeditada al primer caso, cuotas que realmente son bastante pequeñas.
Vigencia y extinción contrato
Es importante que quede bien clara la política de precios para sucesivos años (a ser posible con techos), así como para una posible estrategia de salida sin penalizaciones ni dificultades técnicas por parte del proveedor.
Tras ver algunos de los puntos más importantes a tener en cuenta en la implementación de un ERP en la nube, deberíamos tene en mente la cumplimentación de un amplio checklist sobre las garantías y responsabilidades que el proveedor cubre por contrato.
ERP en la nube: Aspectos Legales
- Privacidad de los datos
- ¿Los servidores se encuentran en España, en Europa, fuera de la UE?
- ¿Se cumple con la LOPD?
- Confidencialidad
- ¿Cuáles son las cláusulas de confidencialidad?
- Destrucción de la información a petición del cliente.
- Propiedad de los datos
- Propiedad datos, se da por supuesto.
- ¿Y de los metadatos? Cookies, estadísticas, …
- Responsabilidades y Acuerdos Nivel de Servicio (SLA)
- ¿Existe responsabilidad por incumplimiento de métricas sobre el servicio (daños directos)?
- ¿Existe responsabilidad por daños indirectos?
- Penalizaciones por irresponsabilidades
- Limitación en la subcontratación que evite otros terceros
- Software original: sistema operativo, ofimática, antivirus, …
- Normativa vigente
- Sometimiento a normativa del proveedor
- En el caso anterior, ¿se amparan ciertos derechos del cliente como la migración de datos?
ERP en la nube: Aspectos Técnicos
- Confidencialidad
- ¿Cuales son los protocolos de seguridad del ERP (en modo SaaS)?
- ¿Y de la infraestructura (en IaaS o Paas)?
- Seguridad y auditoría
- Copias de seguridad, periodicidad, número de copias disponibles, diferenciales o incrementales, imágenes completas, disponibilidad para el cliente de «copia» de las copias.
- Controles de acceso (usuario, IP, localización, …), roles de usuarios y auditoría de accesos y acciones.
- Algoritmos de cifrado de la información.
- Antivirus, firewall, detección phishing, …
- Procedimientos ante un borrado accidental, un fallo hardware, un ataque informático, …
- Sistemas Operativos, antivirus, firewall, etc, actualizados
- Instancia: ¿ERP multitenancy (SaaS) o instancia separada por cliente (Paas o Iaas)?
ERP en la nube: Aspectos Organizativos
- Seguridad y auditoría
- Acceso al servicio de administración (IaaS, PaaS)
- Comunicación incidencias, disponibilidad del servicio, ataques a la plataforma, …
- Responsabilidades y SLA
- Mantenimiento del software: correctivo, evolutivo, adaptativo y preventivo.
- Métricas de servicio. Disponibilidad actividad, interrupciones programadas, velocidad, capacidad, …
- ¿Dispone el cliente de herramientas para supervisar esas métricas?
- Redundancia de servidores (incluso geográfica), redundancia líneas telecomunicaciones, redundancia líneas suministro energético.
- Garantías de continuación y recuperación ante desastres
- Finalización contrato
- Migración a otros sistemas: estandarización de los formatos de salida (en SaaS) o incluso de la instancia (en IaaS o PaaS).
- Plazos de comunicación para finalizar el contrato.
- Garantías de eliminación de todos los datos tras la migración y finalización del contrato.
- Otros
- ¿El ERP en modalidad SaaS dispone de funcionalidad limitada con respecto al ERP en modalidad on-premise?
- ¿Cual es el coste total de propiedad (TCO)? ¿Y a 5 años?
- Fiabilidad de mis líneas de comunicaciones
- ¿Admite el ERP customización?
- Compatibilidad del ERP con ofimática (en entornos web suele ser más reducida) u otras herramientas.
- Velocidad del despliegue del sistema
ERP en la nube: Aspectos Comerciales
- Política de precios
- Métrica de pago: pago por mes y usuario, por transacciones, cuota fija, …
- Políticas de cambios de precios. Baremos a los que se ajusta (¿IPC?). ¿Existen techos para los incrementos?
- Inclusión de mantenimientos en precios.
- Soporte presencial y/o telemático.
- Flexibilidad y escalabilidad de los recursos. Posibilidad de redimensionamiento del servicio y costes derivados de ello.
- Penalización por finalización contrato.
- Penalización económica.
- Reintegro parte de la suscripción.
Estoy seguro que este checklist admite una importante ampliación. ¿Qué pensáis?
(En el Master en Software Libre de Gestión: Open Source & ERP II, estamos analizando situaciones como la que aquí acabamos de mostrar).
Autor: Sergio Martínez
Recibe nuevos artículos mediante suscripción por e-mail, RSS o Feedly |
|