Podsumowanie warsztatów PIIT - Praktyczne problemy wdrożenia Uchwały „Wspólna Infrastruktura Informatyczna Państwa” i katalogu usług publicznej chmury obliczeniowej - w dniu 13 grudnia 2019:

Jest to relacja w nawiązaniu do Warsztatów, które odbyły się w dniu 13 grudnia 2019: https://www.piit.org.pl/o-nas/aktualnosci/warsztaty-praktyczne-problemy-wdrozenia-uchwaly-wspolna-infrastruktura-informatyczna-panstwa-i-katalogu-uslug-publicznej-chmury-obliczeniowej

  1. Grupa Robocza Procesowa

Wykonawca a Dostawca chmury obliczeniowej.

Dyskusja w wielu kontekstach dotyczyła zróżnicowania pojęć Wykonawcy i Dostawcy chmury obliczeniowej.

Wykonawca – tak jak to stosuje się w zamówieniach publicznych – jest ostatecznym kontrahentem Zamawiającego. W przypadku szczególnym może być Dostawcą chmury (kiedy chmura obliczeniowa jest dostarczana z infrastruktury Wykonawcy i zgodnie z modelem biznesowym przyjętym przez Wykonawcę: specyfikacja techniczna, warunki prawne i organizacyjne, model cenowy, model płatności itd.). Natomiast w przypadku ogólnym Wykonawca może oferować produkty chmurowe swoje oraz/lub jednego lub większej liczby Dostawców. W najbardziej ogólnym przypadku Wykonawca jest odsprzedawcą produktów chmurowych firm trzecich – analogia ze sprzedażą oprogramowania z półki (ang. Commercial of the Shelf, COTS) jest oczywista.

Dla przypadku szczególnego (Wykonawca = Dostawca) wymagania jakie nałożone zostały w PChO mają zastosowanie.

Dla przypadku ogólnego Wykonawca musiałby podjąć ryzyko wzięcia odpowiedzialności za czynności i działania, które od niego zupełnie są niezależne (np. certyfikaty bezpieczeństwa, zmiany w specyfikacjach, zmiany w narzędziach) i skrajnie mało prawdopodobne, żeby zostało zmodyfikowane dla potrzeb ZUCH-a.

Można tutaj przywołać rozdział ról w przypadku przetwarzania danych osobowych pomiędzy Zamawiającego (zawsze: administrator – podmiot decydujący o zakresie, celach i czasie przetwarzania danych) oraz Dostawcę chmury (tu: podmiot przetwarzający – wykonujący polecenia administratora i zobowiązany odpowiednimi przepisami RODO do odpowiednich działań). Wykonawca, kiedy jednocześnie nie jest Dostawcą, nie będzie miał żadnej styczności z danymi osobowymi, a całość relacji będzie się odbywała pomiędzy Zamawiającym a Dostawcą.

Również warto wspomnieć, że ustawa o krajowym systemie cyberbezpieczeństwa, podobnie jak Dyrektywa NIS, wprost odwołuje się do obowiązków Dostawcy chmury obliczeniowej (tu: Dostawca Usługi Cyfrowej), natomiast sam proces zakupu pozostawia swobodzie kształtowania przez podmioty.

Podsumowując:

- Pozostawienie braku zróżnicowania pomiędzy Wykonawcę a Dostawcę będzie utrudniało właściwe rozdzielenie obowiązków i wymagań pomiędzy tymi podmiotami.

- Może także prowadzić do znaczącego ograniczenia oferty jaka zostanie zaoferowana do katalogu ZUCH, a tym samym do z jednej strony podniesienia cen, a z drugiej ograniczenia zainteresowania podmiotów sektora finansów publicznych listą produktów w ZUCH.

- Rozróżnienie będzie miało także dodatkowy benefit, ponieważ umożliwi kolejny krok i wprowadzenie do ZUCH-a także produktów typu SaaS (np. oprogramowania tworzonego w ramach programu GovTech)

- Rozróżnienie jest stosowane w innych aktach prawnych takich jak RODO czy uksc

W ramach dyskusji omówione podstawowe założenia przy budowie katalogu produktów chmurowych dla ZUCH:

  1. Produkty IaaS w katalogu ZUCH są ściśle zdefiniowane – Zamawiający mają KATALOG PRODUKTÓW
    Produkty w katalogu są wprawdzie konfigurowalne, ale nie są modyfikowalne. 
    Konfigurowanie oznacza możliwość zmian w ramach specyfikacji produktu w zakresie predefiniowanym przez Ministerstwo Cyfryzacji.
    Modyfikowanie oznacza zmianę specyfikacji Produktu z katalogu ZUCH, m.in. dodanie dodatkowych usług (zarówno świadczonych drogą elektroniczną np. dodatkowych narzędzi do zarządzania, jak i świadczonych fizycznie przez Dostawcę np. migracja danych, wdrożenie, usługi SOC, suport techniczny itd. itp.) lub specyficznych wymagań np. wyższe SLA, podwyższone wymagania cyberbezpieczeństwa zgodne z wymaganiami dla Dostawców Usług Cyfrowych. W takim przypadku Zamawiający może (a) przeprowadzić dwa oddzielne postępowania – na produkt z katalogu ZUCH oraz na dodatkowe usługi/produkty niezbędne w projektowanym systemie teleinformatycznym, lub (b) przeprowadzić postępowanie poza katalogiem ZUCH korzystając z dokumentów przygotowanych przez Min. Cyfryzacji jako referencji do stworzenia swojej specyfikacji

    Uwaga: Modyfikację specyfikacji produktów – jeśli wystąpi potrzeba - będzie prowadziło Ministerstwo Cyfryzacji w ramach postępu technicznego, rozwoju rynku oraz zapotrzebowania ze strony jednostek sektora finansów publicznych. Modyfikacje takie będzie się prowadziło regularnie, choć nie można w chwili obecnej zdecydować jak często.
  2. Umowy ramowe będą podpisywane tylko z Wykonawcamizapis ten wynika wprost z WIIP
  3. Wykonawca – jeśli będzie zainteresowany podpisaniem umowy ramowej – musi posiadać pełną paletę produktów wyspecyfikowanych w ZUCHNie ma możliwości aby podmiot ubiegający się o status Wykonawcy (w rozumieniu WIIP) miał niepełną lub częściową ofertę.
  4. Produkty jakie oferuje Wykonawca mogą być świadczone z infrastruktury własnej, ale także Wykonawca może być pośrednikiem produktów dostawców chmurowychWykonawca może dla jednego produktu wyspecyfikowanego w ZUCH-u mieć nawet kilka propozycji pochodzących od różnych dostawców (np. „VM Wydajna” świadczona z infrastruktury własnej, z infrastruktury np. 3ds, AWS, Microsoft, Orange lub T-Systems)
    Wykonawca musi mieć podpisane odpowiednie umowy z dostawcami chmury obliczeniowej, jeśli oferuje usługi tych dostawców
  5. Umowa wdrożeniowa jaką podpisuje Wykonawca z Zamawiającym oznacza dostarczenie konkretnego produktu chmurowego konkretnego Dostawcy chmury.
  6. Zmiany w trakcie realizacji umowy wdrożeniowej muszą odbywać się z pełnym poszanowaniem prawa zamówień publicznych.
    Poszerzenie zakresu wartościowego umowy jest opisane przepisami ogólnymi.
    Zmiana produktu chmurowego A (od dostawcy X) na produkt chmurowy A (od dostawcy Y) lub zmiana produktu chmurowego A na produkt chmurowy B może wymagać nawet rozwiązania kontraktu z Zamawiającym i uruchomienia nowego procesu zamówień publicznych.

    Istnieje pełna świadomość przyjęcia tego ograniczenia wynikająca ze zdefiniowania ZUCH-a jako katalogu predefiniowanych produktów. 
    W przypadku zamówień poza katalogiem ZUCH (np. zamówienie „z ograniczeniem budżetu na usługę chmurową”) Zamawiający może korzystać z całej palety dostępnych usług chmurowych swobodnie zmieniając ich liczbę, charakter, dodatkowe narzędzia itd. w trakcie korzystania z usługi.
  7. Wymagania związane z dostępnością będą stosowane jeśli produkt z katalogu ZUCH będzie wykorzystany dla celów kontaktów z odbiorcą zewnętrznym.
  8. Grupa Robocza Techniczna
    Dyskusja przede wszystkim dotyczyła zagadnień vendor lock-in.
  1. Każda usługa chmurowa powinna być poddana analizie ryzyka, a w szczególności przygotowania exit-planu
  2. Wstępna analiza ryzyka (procedury, koszty) związanego z exit-planem powinna być przygotowana przez Zamawiającego dla każdego produktu
  3. Obecność automatycznych narzędzi dla migracji powinna być wzięta pod uwagę
  4. (opcja) Docelowo można pracować nad pojawieniem się w katalogu ZUCH listy  niezależnych firm świadczących usługi migracji

Należy dążyć do tego by warunki oferowania tych samych produktów (np. oprogramowania) były dostępne dla Zamawiających na tych samych warunkach.