Colegas da Europa pediram a inclusão destas cláusulas no contrato de prestação de serviços em nuvem.
Quando a lei sobre o armazenamento de dados pessoais entrar em vigor na Rússia, entre em contato conosco em Clientes estrangeiros que tinham uma filial local aqui começaram a bater à porta em massa. São empresas de grande porte e precisavam de uma operadora de serviços em nosso país.
Naquela época, meu inglês para negócios não era dos melhores, mas tive a sensação de que nenhum dos especialistas técnicos em nuvem sabia falar inglês. Porque nossa posição como uma grande empresa conhecida, além do meu inglês básico para responder perguntas, estava claramente acima de outras ofertas no mercado. Foi mais tarde que surgiu a concorrência entre os provedores de nuvem russos, mas em 2014 simplesmente não havia escolha. 10 em cada 10 clientes que nos contactaram escolheram-nos.
E nesse momento, os clientes começaram a nos pedir para preparar documentos muito estranhos. Que não poluímos a natureza e desprezaremos todos que poluem. Que não somos funcionários corruptos e não apertaremos a mão de funcionários corruptos. Que nosso negócio está estável e prometemos que em cinco anos não sairemos do mercado.
Primeiros recursos
Depois enviamos cartas a todos sobre as vantagens técnicas da nuvem e da infraestrutura, mas descobrimos que poucas pessoas precisavam delas. Era importante para todos saber se éramos uma grande empresa, se tínhamos processos operacionais estabelecidos em data centers (e quão bem estruturados eles estavam), quem eram os principais clientes próximos e se tínhamos certificados globais. Mesmo que o cliente nem precisasse do PCI DSS, olhando para o fato de que tínhamos um, ele assentiu alegremente. A segunda lição é que é preciso colecionar papéis e prêmios, eles significam muito nos EUA e um pouco menos na Europa (mas ainda são muito mais valorizados do que aqui).
Depois houve um acordo com um cliente muito grande por meio de um integrador intermediário. Naquela época eu ainda não sabia vender corretamente, estava apenas melhorando minha etiqueta comercial em inglês, sem entender o quanto é importante reunir todos os serviços em um só pacote. Em geral, fizemos de tudo para não vender. E eles fizeram de tudo para comprar. E no final, depois de encontros regulares tomando cerveja com o diretor, ele pegou e trouxe um advogado e disse: aqui vão algumas pequenas formalidades por parte do cliente final. Brincamos sobre o tempo, ele disse: vão ter algumas pequenas mudanças, vamos fazer um acordo.
Eu dei nosso contrato padrão. O advogado trouxe mais três advogados. E então olhamos para o contrato e nos sentimos como juniores no momento de uma revisão séria de um ano de trabalho. A aprovação exigiu quatro meses de trabalho do departamento jurídico. Na primeira iteração, eles enviaram sete PDFs enormes com texto torto, sem sequer olhar para ele, sem a capacidade de editar nada. Em vez do nosso contrato de cinco páginas. Perguntei timidamente: não está em formato editável? Eles disseram: “Bem, aqui estão os arquivos do Word, experimente. Talvez você até tenha sucesso.” Cada edição leva exatamente três semanas. Aparentemente esse é o limite do SLA deles, e eles nos transmitiram a mensagem de que é melhor não fazer isso.
Depois pediram-nos um documento anticorrupção. Naquela altura, na Federação Russa, isto já era comum no sector bancário, mas não aqui. Escreveu, assinou. O que é surpreendente é que naquela época a empresa tinha esse documento em inglês, mas ainda não em russo. Em seguida, assinaram o NDA conforme seu formulário. Desde então, quase todos os novos clientes trouxeram um acordo de confidencialidade em formato próprio; já temos cerca de 30 variações.
Em seguida, enviaram um pedido de “sustentabilidade do desenvolvimento empresarial”. Passamos muito tempo tentando entender o que era e como compor, trabalhando a partir de samples.
Depois houve um código de ética (você não pode, como resultado de operações comerciais, excluir crianças, ofender pessoas com deficiência em um data center e assim por diante).
Ecologia, que somos por um planeta verde. Ligamos uns para os outros dentro da empresa e perguntamos se éramos a favor de um planeta verde. Acontece que era verde. Isto é economicamente justificado, especialmente em termos de consumo de diesel no data center. Nenhuma outra área específica de possível dano ambiental foi encontrada.
Isso introduziu vários novos processos importantes (nós os seguimos desde então):
- Deverá ser possível medir ou calcular regularmente o consumo de energia de hardware ou serviços e enviar relatórios.
- Para hardware instalado nos locais, um inventário de substâncias perigosas deve ser concluído e atualizado regularmente quando o hardware for alterado ou atualizado. Esta lista deve ser enviada ao cliente para aprovação antes de quaisquer alterações, atualizações ou instalações.
- Todo o hardware em qualquer local sob o contrato deve estar em conformidade com os requisitos da Diretiva da União Europeia nº 2011/65/UE sobre a Restrição de Substâncias Perigosas (RoHS) em produtos de TI.
- Todo hardware desgastado ou substituído no âmbito do contrato deverá ser reciclado por empresas profissionais capazes de garantir a segurança ambiental na reciclagem e/ou descarte de tais materiais. Na União Europeia, isto significa conformidade com a Diretiva 2012/18/UE sobre a eliminação de resíduos de equipamentos elétricos e eletrónicos.
- E-mail resíduos de hardware em toda a cadeia de abastecimento devem cumprir a Convenção de Basileia sobre o Controle de Movimentos Transfronteiriços de Resíduos Perigosos e sua Eliminação (ver ).
- O hardware redesenhado nos locais deve suportar a rastreabilidade. Os relatórios de reprocessamento devem ser fornecidos ao cliente mediante solicitação.
A qualidade dos serviços (SLA) e o procedimento de interação (protocolos, requisitos técnicos) já foram assinados normalmente. Perto estava um documento de segurança: colegas queriam lançar patches e atualizar bancos de dados de antivírus e similares em 30 dias, por exemplo. Procedimentos documentados para análise forense e outras coisas são mostrados ao cliente. Relatórios de todos os incidentes são enviados ao cliente. Passou no IS ISO.
Mais tarde
A era de um mercado de nuvem desenvolvido chegou. Aprendi inglês e consegui falar fluentemente, aprendi a etiqueta das negociações comerciais até os detalhes e aprendi a entender dicas de clientes estrangeiros. Pelo menos parte disso. Tínhamos um pacote de documentos nos quais ninguém conseguia encontrar falhas. Redesenhamos os processos para que se adequassem a todos (e isso acabou sendo uma lição muito importante durante as certificações PCI DSS e Tier III UI Operational).
Ao trabalhar com clientes estrangeiros, muitas vezes nem vemos pessoas. Nem uma única reunião. Apenas correspondência. Mas houve um cliente que nos obrigou a participar de reuniões semanais. Parecia uma videochamada comigo e com 10 colegas da Índia. Eles discutiram algo entre si e eu assisti. Durante oito semanas eles nem sequer se conectaram à nossa infraestrutura. Então parei de me comunicar. Eles não se conectaram. Depois as reuniões foram realizadas com menos participantes. Aí as ligações começaram a ser feitas sem mim e meus colegas da Índia, ou seja, aconteciam em silêncio e sem gente.
Outro cliente nos solicitou uma matriz de escalonamento. Adicionei o engenheiro: primeiro - para ele, depois - para mim, depois - para o chefe do departamento. E eles tiveram 15 contatos sobre questões diferentes, e cada um com três níveis de escalada. Foi um pouco constrangedor.
Um ano depois, outro cliente enviou um questionário de segurança. Existem apenas 400 perguntas complicadas, preencha-as. E perguntas sobre tudo: sobre como o código é desenvolvido, como funciona o suporte, como contratamos pessoal, quais demitimos. Isso é o inferno. Eles viram que o certificado 27001 seria adequado para eles em vez deste questionário. Foi mais fácil conseguir.
Os franceses chegaram em 2018. A certa altura estamos conversando na terça-feira e na quarta há uma partida da Copa do Mundo em Yekaterinburg. Discutimos o assunto por 45 minutos. Tudo foi discutido e decidido. E eu digo no final: por que você está sentado em Paris? Seu pessoal aqui vencerá o torneio e você se sentará. Eles foram fisgados. Houve uma reaproximação total. Então eles foram simplesmente dilacerados emocionalmente. Eles dizem: consiga uma passagem para o campo e amanhã eles virão para a cidade mágica de Iekaterinburg. Não consegui ingresso para eles, mas conversamos sobre futebol por mais 25 minutos. Aí toda a comunicação não corria mais de acordo com o SLA, ou seja, tudo estava de acordo com o contrato, mas senti diretamente como eles estavam agilizando os processos e fazendo tudo principalmente para nós. Quando o fornecedor francês estava com dificuldades com o projeto, eles me ligavam todos os dias, isso não os incomodava. Embora haja rumores de que eles estão organizando reuniões de maneira muito formal.
Depois, em outras comunicações, comecei a acompanhar que funcionava da mesma forma. Muitos não se preocupam em como sair e de onde vir: somos nós – do escritório. E o cachorro deles pode latir, ou a sopa pode escorrer pela cozinha, ou uma criança pode rastejar e mastigar o cabo. Às vezes, alguém simplesmente desaparece da reunião gritando. Às vezes você sai com um estranho. Se você não sabe o que dizer, fale sobre o tempo. Quase todo mundo está feliz com a nossa neve. Alguns dizem que já o viram uma vez. A conversa sobre a nevada Moscou virou conversa fiada: não afeta o negócio, mas reduz a comunicação. Depois disso eles começam a falar menos formalmente, e isso é legal.
Na Europa tratam o correio de forma diferente. Se formos a algum lugar, eles não respondem. Se você estava de férias até ontem, talvez não assistisse por um mês, então: “Velho, acabei de voltar, estou ajuntando”. E desaparecerá por mais dois dias. Alemães, franceses, espanhóis, ingleses - se você vir uma resposta automática, você sempre espera, não importa o que aconteça o fim do mundo.
E um último recurso. A diferença entre os seus seguranças e os nossos é que para os nossos é importante que todos os requisitos sejam formalmente cumpridos, enquanto para eles dominam os processos, ou seja, estão atentos às melhores práticas. E conosco é sempre necessário mostrar que todos os pontos estão perfeitamente atendidos. Um francês chegou a conhecer os processos e documentos do data center: dissemos que só poderíamos mostrar as políticas no escritório. Ele chegou com um tradutor. Trouxemos um monte de políticas em papel, em pastas em russo. O francês sentou-se com um advogado-tradutor e examinou os documentos em russo. Ele pegou o telefone e verificou seletivamente se eles lhe deram o que ele pediu ou Anna Karenina. Provavelmente já o encontrei.
referências
- Meu e-mail - [email protegido]
Fonte: habr.com