Otázky a odpovede k postaveniu prevádzkovateľa cloudových služieb, jeho oprávnenia alebo povinnosti. Čo môže a čo musí…
Zavedené skratky:
- Ministerstva investícií, regionálneho rozvoja a informatizácie SR („MIRRI SR“)
- Spoločnosť, ktorá je prevádzkovateľom cloudových služieb („Spoločnosť“)
- Katalóg služieb Vládneho cloudu SR („Katalóg“)
- „Metodické usmernenie pre proces zaradenia cloudovej služby do Katalógu (ÚPVII) Číslo: UPVII 004542/2019/oSAEG-1“ („Metodika”)
- Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) („Zákon”)
Otázky a odpovede:
Otázka č. 1:
Rozumieme, že poskytovať cloudovú službu, ktorá má byť zaradená do Katalógu môže aj iná osoba ako prevádzkovateľ služieb. Je potrebné, ak je cloudová služba poskytovaná prostredníctvom poskytovateľov služieb rozdielnych od prevádzkovateľa služieb (pre-predajcov), aby bol do Katalógu zaradený aj prevádzkovateľ služby?
Vyjadrenie:
Podľa súčasného znenia metodického usmernenia „Metodika” sa do Katalógu zaraďujú cloudové služby. O zápis cloudovej služby do Katalógu žiadajú poskytovatelia cloudových služieb.
Prevádzkovateľ a poskytovatelia sú evidovaní v Katalógu ako subjekty, ktoré sa v procese zápisu cloudovej služby overujú s pohľadu ich spôsobilosti poskytovať cloudovú službu v súlade s požiadavkami definovanými zákonmi, metodickými usmerneniami a výnosmi platnými v SR.
Súlad je overovaný u všetkých zúčastnených v celom reťazci od prevádzkovateľa až po koncového poskytovateľa.
Otázka č. 2:
Je Spoločnosť oprávnená požiadať o zapísanie cloudovej služby do Katalógu aj napriek tomu, že samotná Spoločnosť takéto služby neposkytuje a nebude poskytovať (cloudové služby budú poskytované pre-predajcami)??
Vyjadrenie:
Spoločnosť je oprávnená požiadať o zápis cloudovej služby do Katalógu aj keď je v pozícii prevádzkovateľa cloudovej služby a služby neposkytuje priamo, ale prostredníctvom svojich obchodných partnerov.
Zaradenie prevádzkovateľa (zároveň ako poskytovateľa) cloudovej služby do Katalógu uľahčí proces zápisu pre všetkých budúcich žiadateľov v pozícii poskytovateľa o zápis cloudových služieb do Katalógu vzhľadom na to, že prevádzkovateľ (v pozícii poskytovateľa) cloudovej služby už raz prešiel procesom overenia súladu.
Vhodnosť takého zápisu potvrdzuje aj to, že pri službách MS O365 túto službu predáva-poskytuje obchodný partner Spoločnosti, ale zákazník podpisuje zmluvu priamo so Spoločnosťou.
Príklady:
- prevádzkovateľ = poskytovateľ –> SAP = SAP
- prevádzkovateľ <> poskytovateľ –> Microsoft <> Softip
Otázka č. 3:
Ak je odpoveď na otázku č. 2 záporná, je prevádzkovateľ služby oprávnený požiadať o zapísanie cloudovej služby do Katalógu aj napriek tomu, že služby poskytovať nebude?
Vyjadrenie:
Zodpovedané v bode 2.
Otázka č. 4:
Je poskytovateľ cloudovej služby povinný požiadať o zapísanie služby, ktorá je doplnkovou službou ku cloudovej službe zapísanej v Katalógu spočívajúcou v konzultačnej povahe?
Vyjadrenie:
Metodika v bode 1.2. definuje, čo je cloudová služba z pohľadu Metodiky.
Podľa súčasného znenia Metodiky platí pravidlo, že do Katalógu sa zapisujú cloudové služby.
Je potrebné špecifikovať, čo presne sa myslí pojmom „doplnková služba ku cloudovej službe spočívajúca v konzultačnej povahe“.
- Ak by touto doplnkovou službou mala byť služba „Manažment cloudovej služby“ alebo „Manažovaná cloudová služba“, poskytovateľ takej služby musí pod svojim menom ako poskytovateľ, zapísať do Katalógu tú cloudovú službu, ku ktorej doplnkovú službu poskytuje. Takýto zápis zabezpečí overenie spôsobilosti poskytovateľa poskytovať cloudovú službu a zároveň overenie schopnosti poskytovať službu doplnkovú.
- Obecne platí, ak poskytovateľ akejkoľvek doplnkovej služby, ktorá by mohla mať podstatný vplyv na bezpečnostné parametre [Ux(CIA)] cloudovej služby, ku ktorej je poskytovaná, tak musí postupovať podľa bodu a.) vyjadrenia k otázke č.4.
Otázka č. 5:
Môže byť ako poskytovateľ služby zaradená do Katalógu zahraničná právnická osoba?
Vyjadrenie:
Poskytovateľ cloudovej služby môže byť aj zahraničná právnická osoba, musí byť však schopná dodať všetky potrebné údaje a náležitosti požadované v procese zápisu cloudovej služby do Katalógu, teda v procese overovania spôsobilosti poskytovať zapisovanú cloudovú službu, zároveň musia byť tieto údaje a náležitosti overiteľné v krajine sídla spoločnosti zo zahraničia.
Hore uvedené informácie musia byť dostupné v jazyku slovenskom alebo anglickom.
Otázka č. 6:
Ak je odpoveď na otázku č. 5 kladná, je potrebné, aby mal zahraničný poskytovateľ na území Slovenskej republiky zriadenú organizačnú zložku alebo inú formu podnikania? Je poskytovateľ alebo prevádzkovateľ cloudovej služby zaradenej do Katalógu povinný plniť ohlasovacie, oznamovacie alebo iné povinnosti voči MIRRI?
Vyjadrenie:
Metodika nedefinuje povinnosť popísanú v prvej časti otázky. Odporúča sa však, aby ak to je možné (záleží aj na obchodnej politike zahraničného poskytovateľa), aby takýto poskytovateľ poskytoval svoje služby pomocou svojich zmluvných partnerov, ktorí tieto služby nechajú zapísať do Katalógu. Je potom overovaný súlad všetkých zúčastnených v celom reťazci od prevádzkovateľa až po koncového poskytovateľa.
Odpoveď na druhú časť otázky č.6. je súčasťou odpovedí nižšie.
Otázka č. 7:
Zo Zákona vyplýva, že ak dôjde k zmene cloudovej služby zaradenej v Katalógu alebo jej podstatných parametrov, MIRRI vyzve poskytovateľa cloudovej služby na podanie opätovnej žiadosti o zápis cloudovej služby do Katalógu.
- Čo sa považuje za zmenu cloudovej služby v zmysle § 10a ods. 4 Zákona?
- Čo sa považuje za zmenu podstatných parametrov cloudovej služby v zmysle § 10a ods. 4 Zákona?
- Vzniká poskytovateľovi cloudovej služby zaradenej v Katalógu ohlasovacia alebo iná povinnosť v prípade zmeny cloudovej služby alebo jej podstatných parametrov v zmysle § 10a ods. 4 Zákona??
Vyjadrenie:
K písmenu a): Za zmenu cloudovej služby sa rozumie zmena technických a/alebo technologických parametrov cloudovej služby.
K písmenu b): za podstatnú zmenu sa považuje taká zmena, ktorá má vplyv na bezpečnostné parametre [Ux(CIA)] cloudovej služby, alebo taká zmena, ktorá spôsobí nesúlad s požiadavkami definovanými zákonmi, metodickými usmerneniami, výnosmi platnými v SR a normami pre cloudové služby platnými v SR.
V prípade horeuvedených zmien je poskytovateľ povinný požiadať o opätovný zápis cloudovej služby do Katalógu.
K písmenu c): Cloud a cloudové služby za riadia zákonom č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) („Zákon”).
Dôležitý je § 10a Vládny cloud, z ktorého jednoznačne vyplýva, že ak dôjde k zmene vládnej cloudovej služby alebo jej podstatných parametrov:
- MIRRI SR nevyzýva poskytovateľa cloudovej služby na podanie opätovnej žiadosti o zápis cloudovej služby do Katalógu.
- služby je povinný požiadať o opätovný zápis cloudovej služby do Katalógu.
Zmenu cloudovej služby má vždy oznámiť/nahlásiť, podaním žiadosti o nový zápis do Katalógu ten, kto požiadal v minulosti o zápis cloudovej služby do Katalógu. A tým je jej poskytovateľ.
Poskytovateľ má podpísanú zmluvu s prevádzkovateľom na poskytovanie jeho služieb, tým by mal byť informovaný prevádzkovateľom o každej zmene cloudovej služby.
Z tohto dôvodu je poskytovateľ ten, kto je povinný konať.
V prípade ďalších otázok nás prosím kontaktujte na cloud@mirri.gov.sk
prípadne pomocou formulára na tejto stranke – Formulár.