Байки про иностранных заказчиков и их особенности работы в России после закона о ПДн

Байки про иностранных заказчиков и их особенности работы в России после закона о ПДн
Коллеги из Европы попросили включить эти статьи в договор на предоставление облачных услуг.

Когда вступил в силу закон о хранении персональных данных в России, к нам в облако начали массово стучать иностранные заказчики, у которых было здесь локальное подразделение. Это крупные компании, и им был нужен оператор услуг в нашей стране.

Тогда у меня был не лучший бизнес-английский, но было ощущение, что на английском изъясняться из технических специалистов по облакам не умеет вообще никто. Потому что наше положение большой известной компании плюс мой вот этот базовый английский в ответах на вопросы были явно на голову лучше других предложений на рынке. Это потом уже появилась конкуренция между российскими облачными провайдерами, но в 2014-м выбора просто не было. 10 из 10 обращавшихся заказчиков выбирали нас.

И вот примерно в этот момент клиенты начали просить нас готовить очень странные документы. О том, что мы не загрязняем природу и будем презирать каждого, кто загрязняет. О том, что мы не коррупционеры и не подадим руки коррупционерам. О том, что наш бизнес стабильный, и мы зуб даём, что через пять лет с рынка никуда не денемся.

Первые особенности

Потом мы всем сыпали письма про технические преимущества облака и инфраструктуры, а оказалось, что это мало кому нужно. Всем было важно, большая ли мы компания, выстроены ли у нас процессы эксплуатации в дата-центрах (и насколько они хорошо выстроены), кто стоит рядом из крупных заказчиков, есть ли у нас мировые сертификаты. Даже если заказчику не нужен был даже близко PCI DSS, глядя на то, что у нас такой есть, они благостно кивали. Второй урок — надо собирать бумажки и награды, они много значат в США и чуть меньше — в Европе (но всё равно котируются куда выше, чем у нас).

Потом была сделка с одним очень крупным клиентом через посредника-интегратора. Я тогда ещё не умел правильно продавать, только подтягивал деловой этикет в английском, не понимая, как важно все услуги оформить одним пакетом. В общем, мы сделали всё, чтобы не продать. А они сделали всё, чтобы купить. И в итоге после очередных посиделок за пивом с их директором он взял и привёл юриста, говорит: вот небольшие формальности со стороны конечного клиента. Мы шутили про погоду, он говорит: будет пара небольших правок, давай договор.

Я дал наш типовой договор. Юрист привёл ещё троих юристов. И дальше мы смотрели договор и чувствовали себя, как джуны в момент серьёзного ревью года работы. Согласование заняло четыре месяца работы их юридического отдела. Первой итерацией они не глядя выслали семь огромных PDF с текстом в кривых без возможности править хоть что-то. Вместо нашего пятистраничного договора. Я робко спросил: а нет в редактируемом формате? Они так: «Ну, вот Word-файлы, попробуйте. Может, у вас даже получится». Каждая правка — ровно три недели. Видимо, это предел их SLA, и они передавали нам послание, что так лучше не делать.

Потом они запросили у нас антикоррупционный документ. Тогда в РФ это уже было привычно в банковской сфере, но не у нас. Написали, подписали. Что удивительно, тогда в компании был такой документ на английском, но ещё не было на русском. Потом подписали NDA по их форме. С тех пор почти каждый новый заказчик приносил договор неразглашения по своей форме, у нас их уже около 30 вариаций.

Потом прислали запрос на «устойчивость развития бизнеса». Мы долго пытались понять, что это и как составлять, работали по образцам.

Потом был этический кодекс (нельзя в результате работы бизнеса вырезать детей, обижать инвалидов в дата-центре и так далее).

Экология, что мы — за зелёную планету. Созванивались внутри компании, уточняли друг у друга, за зелёную ли мы планету. Оказалось, за зелёную. Это экономически оправданно, особенно в части расхода дизельного топлива в ЦОДе. Больше особо мест возможного вреда экологии не нашли.

Это внесло несколько важных новых процессов (мы их придерживаемся с тех пор):

  1. Должна иметься возможность регулярного измерения или расчёта энергопотребления аппаратного обеспечения или услуг и отправки отчётов.
  2. Для аппаратного обеспечения, установленного на площадках, нужно заполнять и регулярно обновлять перечень опасных веществ, когда аппаратное обеспечение меняется или обновляется. Этот перечень следует отправлять заказчику на утверждение до выполнения любых изменений, обновлений или установки.
  3. Всё аппаратное обеспечение на любой площадке в рамках контракта должно отвечать требованиям Директивы Европейского союза № 2011/65/EU по ограничению содержания вредных веществ (RoHS) в ИТ-продуктах.
  4. Всё изношенное или заменённое аппаратное обеспечение в рамках договора должно быть переработано профессиональными компаниями, способными обеспечить экологическую безопасность при вторичной переработке и/или утилизации таких материалов. В Европейском союзе это означает соблюдение Директивы 2012/18/EU об утилизации отработанного электрического и электронного оборудования.
  5. Эл. отходы из аппаратного обеспечения на всех звеньях цепочки поставок должны соблюдать Базельскую конвенцию о контроле за трансграничной перевозкой опасных отходов и их удалением (см. www.basel.int).
  6. Переработанное аппаратное обеспечение на площадках должно поддерживать возможность отслеживания. Отчёты о переработке следует представлять заказчику по запросу.

Качество услуг (SLA) и порядок взаимодействия (протоколы, техтребования) уже подписали привычно. Рядом был документ по безопасности: коллеги хотели накатку патчей и обновление баз антивирусов и подобного за 30 дней, к примеру. Задокументированные процедуры форенсики и прочего показываются заказчику. Отчёты обо всех инцидентах отправляются заказчику. ISO по ИБ прошли.

Позже

Наступила эпоха развитого облачного рынка. Я подучил английский и смог на нём бегло изъясняться, узнал этикет деловых переговоров до деталей, научился понимать намёки иностранных заказчиков. По крайней мере, часть. У нас был пакет документов, к которому никто не мог придраться. Мы переделали процессы, чтобы они всех устраивали (и это оказалось очень важным уроком в моменты сертификаций PCI DSS и Tier III UI Operational).

Работая с иностранными клиентами, часто вообще людей не видим. Ни одной встречи. Просто переписка. Но был заказчик, который заставил нас присутствовать на еженедельных совещаниях. Это выглядело как видеозвонок со мной и 10 коллегами из Индии. Они обсуждали между собой что-то, а я смотрел. Восемь недель они даже не подключались к нашей инфраструктуре. Потом я перестал выходить на связь. Они не подключались. Потом встречи проходили с меньшим количеством участников. Потом звонки стали делаться без меня и коллег из Индии, то есть проходили в тишине и без людей.

Ещё один заказчик попросил у нас матрицу эскалации. Я добавил инженера: мол, сначала — ему, потом — мне, потом — руководителю департамента. А у них было 15 контактов на разные вопросы, и каждый — с тремя ступенями эскалации. Было немного стыдно.

Год спустя другой заказчик прислал опросник по безопасности. Там всего 400 каверзных вопросов, заполняйте. А вопросы про всё: про то, как код разрабатывается, как саппорт работает, как нанимаем персонал, какой увольняем. Это ад. Увидели, что сертификат 27001 их устроит вместо этого опросника. Его получить было проще.

В 2018 году приезжали французы. Мы в какой-то момент разговариваем во вторник, а в среду — матч чемпионата мира в Екатеринбурге. Минут 45 обсуждаем вопрос. Всё обсудили, решили. И я так в конце: а чего вы в Париже-то сидите? Ваши тут турнир будут выигрывать, а вы сидите. Их зацепило. Произошло тотальное сближение. Потом их просто порвало эмоционально. Говорят: достань нам билет на поле, и они завтра приедут в волшебный город Иэкатеринбёрг. Билета я им не достал, но ещё 25 минут мы трепались про футбол. Потом всё общение пошло уже не по SLA, то есть всё по договору, но я прямо чувствовал, как они у себя ускоряют процессы и делают всё в первую очередь для нас. Когда французский провайдер горел по проекту, они мне звонили каждый день, их это не обламывало. Хотя есть слухи, что они очень официально собирают встречи.

Потом на других коммуникациях я начал отслеживать, что так же работает. Многие не запариваются, как выходить и откуда: это мы — из офиса. А у них может то собака залаять, то на кухне суп убежать, то ребёнок приползёт кабель грызть. Иногда кто-то просто исчезнет из встречи с криком. Бывает, ты висишь с незнакомым человеком. Если не знаешь, что говорить, — надо про погоду. Почти все радуются нашему снегу. Некоторые говорят, что один раз его уже видели. Разговор про снежную Москву стал smalltalk: это не влияет на сделку, но сокращает коммуникацию. После него начинают говорить менее официально, и это круто.

В Европе иначе относятся к почте. Если поехали куда-то, то не отвечают. Если до вчера в отпуске — может месяц не смотреть, потом: «Старик, я только вернулся, разгребаю». И ещё на два дня пропадёт. Немцы, французы, испанцы, англичане — если видишь автоответ, то всегда ждёшь, какой бы конец света ни случался.

И последняя особенность. Отличие их безопасников от наших в том, что нашим важно, чтобы все требования были формально выполнены, а у них главенствуют процессы, то есть обращают внимание на лучшие практики. А у нас всегда железно надо показывать, что все пункты идеально соблюдены. Один француз даже приезжал знакомиться с процессами и документами ЦОДа: мы сказали, что можем показать политики только в офисе. Он прибыл с переводчиком. Мы притащили кучу политик на бумаге в папках на русском. Француз с юристом-переводчиком сидел, смотрел на документы на русском. Доставал телефон, выборочно сверял: то ли ему дали, что он запрашивает, или Анну Каренину. Наверное, уже сталкивался.

Ссылки

Источник: habr.com