Des collègues européens ont demandé d'inclure ces clauses dans le contrat de fourniture de services cloud.
Lorsque la loi sur le stockage des données personnelles est entrée en vigueur en Russie, contactez-nous à Les clients étrangers qui possédaient ici une succursale locale ont commencé à frapper en masse. Ce sont de grandes entreprises et elles avaient besoin d'un opérateur de services dans notre pays.
À l’époque, mon anglais des affaires n’était pas le meilleur, mais j’avais le sentiment qu’aucun des spécialistes techniques du cloud ne parlait anglais du tout. Parce que notre position en tant que grande entreprise connue et mon anglais de base pour répondre aux questions étaient clairement au-dessus des autres offres du marché. C'est plus tard que la concurrence est apparue entre les fournisseurs de cloud russes, mais en 2014, il n'y avait tout simplement pas le choix. 10 clients sur 10 qui nous ont contactés nous ont choisis.
Et à ce moment-là, les clients ont commencé à nous demander de préparer des documents très étranges. Que nous ne polluons pas la nature et méprisons tous ceux qui polluent. Que nous ne sommes pas des fonctionnaires corrompus et que nous ne serrerons pas la main de fonctionnaires corrompus. Que notre activité est stable et que nous promettons que dans cinq ans nous ne quitterons pas le marché.
Premières fonctionnalités
Ensuite, nous avons envoyé des lettres à tout le monde sur les avantages techniques du cloud et de l'infrastructure, mais il s'est avéré que peu de personnes en avaient besoin. Il était important pour tout le monde que nous soyons une grande entreprise, que nous ayons établi des processus opérationnels dans les centres de données (et dans quelle mesure ils étaient structurés), qui étaient les principaux clients à proximité et si nous disposions de certificats mondiaux. Même si le client n’avait même pas besoin de PCI DSS, sachant que nous en avions un, il a hoché la tête joyeusement. La deuxième leçon est qu'il faut collectionner des morceaux de papier et des récompenses, elles comptent beaucoup aux USA et un peu moins en Europe (mais sont quand même bien plus valorisées qu'ici).
Ensuite, il y a eu un accord avec un très gros client via un intégrateur intermédiaire. À cette époque, je ne savais toujours pas comment vendre correctement, j'améliorais simplement mon étiquette commerciale en anglais, sans comprendre à quel point il est important de regrouper tous les services dans un seul package. En général, nous avons tout fait pour ne pas vendre. Et ils ont tout fait pour acheter. Et finalement, après des rencontres régulières autour d'une bière avec leur directeur, il a emmené et amené un avocat et lui a dit : voici quelques petites formalités de la part du client final. Nous avons plaisanté sur la météo, il a dit : il y aura quelques petits changements, trouvons un accord.
J'ai donné notre accord standard. L'avocat a amené trois autres avocats. Et puis nous avons regardé le contrat et nous nous sommes sentis comme des juniors au moment d'un bilan sérieux d'une année de travail. L’approbation a nécessité quatre mois de travail de la part de leur service juridique. Lors de la première itération, ils ont envoyé sept énormes PDF avec du texte tordu sans même le regarder et sans pouvoir modifier quoi que ce soit. Au lieu de notre contrat de cinq pages. J'ai timidement demandé : n'est-il pas dans un format modifiable ? Ils ont dit : « Eh bien, voici les fichiers Word, essayez-les. Peut-être que tu réussiras même. Chaque modification prend exactement trois semaines. Apparemment, c'est la limite de leur SLA, et ils nous ont fait passer le message qu'il valait mieux ne pas faire cela.
Ensuite, ils nous ont demandé un document anti-corruption. À cette époque, en Fédération de Russie, cela était déjà courant dans le secteur bancaire, mais pas ici. Écrit, signé. Ce qui est surprenant, c’est qu’à cette époque, l’entreprise disposait d’un tel document en anglais, mais pas encore en russe. Ensuite, ils ont signé la NDA selon leur formulaire. Depuis lors, presque tous les nouveaux clients ont apporté un accord de non-divulgation sous sa propre forme ; nous avons déjà environ 30 variantes.
Ensuite, ils ont envoyé une demande de « durabilité du développement commercial ». Nous avons passé beaucoup de temps à essayer de comprendre de quoi il s’agissait et comment le composer, en travaillant à partir d’échantillons.
Ensuite, il y a eu un code d'éthique (on ne peut pas, du fait des activités commerciales, exclure des enfants, offenser des personnes handicapées dans un centre de données, etc.).
L'écologie, que nous sommes pour une planète verte. Nous nous sommes appelés au sein de l'entreprise et nous nous sommes demandé si nous étions pour une planète verte. Il s'est avéré que c'était vert. Ceci est économiquement justifié, notamment en termes de consommation de carburant diesel dans le centre de données. Aucune autre zone spécifique de dommages environnementaux possibles n’a été trouvée.
Cela a introduit plusieurs nouveaux processus importants (nous les avons suivis depuis) :
- Il devrait être possible de mesurer ou de calculer régulièrement la consommation énergétique du matériel ou des services et d'envoyer des rapports.
- Pour les matériels installés sur les sites, un inventaire des substances dangereuses doit être réalisé et régulièrement mis à jour lors de changements ou de mises à niveau de matériels. Cette liste doit être envoyée au client pour approbation avant toute modification, mise à niveau ou installation.
- Tout le matériel de tout site couvert par le contrat doit être conforme aux exigences de la directive de l'Union européenne n° 2011/65/UE sur la restriction de l'utilisation de substances dangereuses (RoHS) dans les produits informatiques.
- Tout matériel usé ou remplacé dans le cadre du contrat doit être recyclé par des entreprises professionnelles capables d'assurer la sécurité environnementale dans le recyclage et/ou l'élimination de ces matériaux. Dans l'Union européenne, cela signifie le respect de la directive 2012/18/UE relative à l'élimination des déchets d'équipements électriques et électroniques.
- E-mail les déchets de matériel tout au long de la chaîne d'approvisionnement doivent être conformes à la Convention de Bâle sur le contrôle des mouvements transfrontaliers de déchets dangereux et de leur élimination (voir ).
- Le matériel repensé sur les sites doit prendre en charge la traçabilité. Les rapports de retraitement doivent être fournis au client sur demande.
La qualité des services (SLA) et la procédure d'interaction (protocoles, exigences techniques) ont déjà été signées comme d'habitude. A proximité se trouvait un document de sécurité : des collègues voulaient par exemple déployer des correctifs et mettre à jour les bases de données antivirus, etc. en 30 jours. Des procédures documentées pour la médecine légale et d'autres choses sont présentées au client. Des rapports de tous les incidents sont envoyés au client. Passé l'ISO IS.
Plus tard
L’ère d’un marché cloud développé est arrivée. J'ai appris l'anglais et j'ai pu le parler couramment, j'ai appris l'étiquette des négociations commerciales jusque dans les détails et j'ai appris à comprendre les indices des clients étrangers. Au moins une partie. Nous avions un ensemble de documents auxquels personne ne pouvait reprocher. Nous avons repensé les processus pour qu'ils conviennent à tout le monde (et cela s'est avéré être une leçon très importante lors des certifications opérationnelles PCI DSS et Tier III UI).
Lorsque nous travaillons avec des clients étrangers, nous ne voyons souvent personne du tout. Pas une seule réunion. Juste de la correspondance. Mais il y avait un client qui nous obligeait à assister à des réunions hebdomadaires. Cela ressemblait à un appel vidéo avec moi et 10 collègues indiens. Ils ont discuté de quelque chose entre eux et j'ai regardé. Pendant huit semaines, ils ne se sont même pas connectés à notre infrastructure. Puis j'ai arrêté de communiquer. Ils ne se sont pas connectés. Ensuite, les réunions se sont déroulées avec moins de participants. Ensuite, les appels ont commencé à être passés sans moi et mes collègues indiens, c'est-à-dire qu'ils ont eu lieu en silence et sans personne.
Un autre client nous a demandé une matrice d'escalade. J'ai ajouté l'ingénieur : d'abord - à lui, puis - à moi, puis - au chef de service. Et ils ont eu 15 contacts sur des questions différentes, et chacun avec trois niveaux d'escalade. C'était un peu gênant.
Un an plus tard, un autre client a envoyé un questionnaire de sécurité. Il n'y a que 400 questions délicates, remplissez-les. Et des questions sur tout : sur la façon dont le code est développé, comment fonctionne le support, comment nous recrutons le personnel, lesquels nous licencions. Ceci est l'enfer. Ils ont vu que le certificat 27001 leur conviendrait à la place de ce questionnaire. C'était plus facile à obtenir.
Les Français sont arrivés en 2018. À un moment donné, nous parlons de mardi et mercredi, il y aura un match de Coupe du monde à Ekaterinbourg. Nous discutons de la question pendant 45 minutes. Tout a été discuté et décidé. Et je dis à la fin : pourquoi es-tu assis à Paris ? Vos gens ici gagneront le tournoi et vous vous asseyez. Ils étaient accros. Il y a eu un rapprochement total. Ensuite, ils ont été simplement déchirés émotionnellement. Ils disent : procurez-nous un billet pour le terrain, et demain ils arriveront dans la ville magique d'Iekaterinbourg. Je ne leur ai pas acheté de billet, mais nous avons discuté de football pendant encore 25 minutes. Ensuite, toutes les communications ne se déroulaient plus conformément au SLA, c'est-à-dire que tout était conforme au contrat, mais j'ai directement ressenti à quel point ils accéléraient les processus et faisaient tout principalement pour nous. Quand le prestataire français avait des difficultés avec le projet, ils m’appelaient tous les jours, ça ne les dérangeait pas. Bien qu'il y ait des rumeurs selon lesquelles ils organisent des réunions de manière très formelle.
Puis, dans d’autres communications, j’ai commencé à constater que cela fonctionnait de la même manière. Beaucoup ne se soucient pas de savoir comment sortir ni d’où venir : c’est nous – du bureau. Et leur chien pourrait aboyer, ou la soupe pourrait s'enfuir dans la cuisine, ou un enfant pourrait ramper à l'intérieur et mâcher le câble. Parfois, quelqu’un disparaît simplement de la réunion en criant. Parfois, vous sortez avec un inconnu. Si vous ne savez pas quoi dire, vous devriez parler de la météo. Presque tout le monde est content de notre neige. Certains disent l'avoir déjà vu une fois. La conversation sur Moscou enneigée est devenue un bavardage : cela n'affecte pas l'accord, mais cela réduit la communication. Après cela, ils commencent à parler de manière moins formelle, et c’est cool.
En Europe, ils traitent le courrier différemment. Si nous allons quelque part, ils ne répondent pas. Si vous étiez en vacances jusqu'à hier, vous ne le regarderez peut-être pas pendant un mois, alors : "Mon vieux, je viens de rentrer, je ratisse." Et il disparaîtra encore deux jours. Allemands, français, espagnols, anglais : si vous voyez une réponse automatique, vous attendez toujours, quelle que soit la fin du monde.
Et une dernière fonctionnalité. La différence entre leurs agents de sécurité et les nôtres est qu'il est important pour nous que toutes les exigences soient formellement remplies, tandis que pour eux, les processus dominent, c'est-à-dire qu'ils prêtent attention aux meilleures pratiques. Et chez nous, il faut toujours montrer que tous les points sont parfaitement respectés. Un Français est même venu se familiariser avec les processus et les documents du data center : on lui a dit qu'on ne pouvait montrer les politiques qu'au bureau. Il est arrivé avec un traducteur. Nous avons présenté un certain nombre de politiques sur papier dans des dossiers en russe. Le Français s'est assis avec un avocat-traducteur et a examiné les documents en russe. Il a sorti son téléphone et a vérifié de manière sélective s'ils lui avaient donné ce qu'il avait demandé, ou à Anna Karénine. Je l'ai probablement déjà rencontré.
références
- Mon E-mail - [email protected]
Source: habr.com