Колеги з Європи попросили включити ці статті до договору щодо надання хмарних послуг.
Коли набрав чинності закон про зберігання персональних даних у Росії, до нас у почали масово стукати іноземні замовники, які мали тут локальний підрозділ. Це великі компанії, і їм потрібен був оператор послуг у нашій країні.
Тоді в мене була не найкраща бізнес-англійська, але було відчуття, що англійською розмовляти з технічних фахівців з хмар не вміє взагалі ніхто. Тому що наше становище великої відомої компанії плюс моя ось ця базова англійська у відповідях на запитання були явно на голову кращі за інші пропозиції на ринку. Це потім уже з'явилася конкуренція між російськими хмарними провайдерами, але 2014-го вибору просто не було. 10 з 10 замовників, що зверталися, обирали нас.
І ось приблизно зараз клієнти почали просити нас готувати дуже дивні документи. Про те, що ми не забруднюємо природу і зневажатимемо кожного, хто забруднює. Про те, що ми не корупціонери та не подамо руки корупціонерам. Про те, що наш бізнес стабільний і ми зуб даємо, що через п'ять років з ринку нікуди не дінемося.
Перші особливості
Потім ми всім сипали листи про технічні переваги хмари та інфраструктури, а виявилося, що мало кому потрібно. Усім було важливо, чи велика ми компанія, чи збудовані у нас процеси експлуатації в дата-центрах (і наскільки вони добре збудовані), хто стоїть поруч із великих замовників, чи є у нас світові сертифікати. Навіть якщо замовнику не потрібен був навіть близько PCI DSS, дивлячись на те, що у нас такий є, вони кивали. Другий урок — треба збирати папірці та нагороди, вони багато означають у США і трохи менше — у Європі (але все одно котируються значно вище, ніж у нас).
Потім була угода з одним великим клієнтом через посередника-інтегратора. Я тоді ще не вмів правильно продавати, тільки підтягував діловий етикет англійською, не розуміючи, як важливо всі послуги оформити одним пакетом. Загалом ми зробили все, щоб не продати. А вони зробили все, щоби купити. І в результаті після чергових посиденьок за пивом із їхнім директором він узяв і привів юриста, каже: ось невеликі формальності з боку кінцевого клієнта. Ми жартували про погоду, він каже: буде кілька невеликих правок, давай договір.
Я дав наш типовий договір. Юрист навів ще трьох юристів. І далі ми дивилися договір і відчували себе, як джуни в момент серйозного ревіння року роботи. Погодження зайняло чотири місяці роботи їхнього юридичного відділу. Першою ітерацією вони не дивлячись вислали сім величезних PDF із текстом у кривих без можливості правити хоч щось. Замість нашого п'ятисторінкового договору. Я несміливо запитав: а ні в форматі, що редагується? Вони так: «Ну, ось Word-файли, спробуйте. Може, навіть у вас вийде». Кожне виправлення — рівно три тижні. Мабуть, це межа їхнього SLA, і вони передавали нам послання, що так краще не робити.
Потім вони попросили у нас антикорупційний документ. Тоді в РФ це вже було звичним у банківській сфері, але не в нас. Написали, підписали. Що дивно, тоді в компанії був такий документ англійською, але ще не було російською. Потім підписали NDA за їхньою формою. З того часу майже кожен новий замовник приносив договір нерозголошення за своєю формою, у нас їх уже близько 30 варіацій.
Потім надіслали запит на «стабільність розвитку бізнесу». Ми довго намагалися зрозуміти, що це та як складати, працювали за зразками.
Потім був етичний кодекс (не можна внаслідок роботи бізнесу вирізати дітей, кривдити інвалідів у дата-центрі тощо).
Екологія, що ми – за зелену планету. Зідзвонювалися всередині компанії, уточнювали один у одного, чи за зелену ми планету. Виявилося, за зелену. Це економічно виправдано, особливо щодо витрати дизельного палива в ЦОДі. Найбільше місць можливої шкоди екології не знайшли.
Це внесло кілька важливих нових процесів (ми їх дотримуємося відтоді):
- Повинна мати можливість регулярного вимірювання або розрахунку енергоспоживання апаратного забезпечення або послуг та надсилання звітів.
- Для апаратного забезпечення, встановленого на майданчиках, потрібно заповнювати та регулярно оновлювати перелік небезпечних речовин, коли апаратне забезпечення змінюється чи оновлюється. Цей перелік слід надсилати замовнику на затвердження до виконання будь-яких змін, оновлень чи інсталяції.
- Все апаратне забезпечення на будь-якому майданчику в рамках контракту має відповідати вимогам Директиви Європейського Союзу № 2011/65/EU щодо обмеження вмісту шкідливих речовин (RoHS) у ІТ-продуктах.
- Все зношене чи замінене апаратне забезпечення в рамках договору має бути перероблене професійними компаніями, здатними забезпечити екологічну безпеку під час вторинної переробки та/або утилізації таких матеріалів. У Європейському Союзі це означає дотримання Директиви 2012/18/ЄУ щодо утилізації відпрацьованого електричного та електронного обладнання.
- Ел. відходи з апаратного забезпечення на всіх ланках ланцюжка поставок повинні дотримуватись Базельської конвенції про контроль за транскордонним перевезенням небезпечних відходів та їх видаленням (див. ).
- Перероблене апаратне забезпечення на майданчиках має підтримувати можливість відстеження. Звіти про переробку слід подавати замовнику на запит.
Якість послуг (SLA) та порядок взаємодії (протоколи, техвимоги) вже підписали звично. Поруч був документ з безпеки: колеги хотіли накатку патчів та оновлення баз антивірусів тощо за 30 днів, наприклад. Задокументовані процедури форенсики та інші показуються замовнику. Звіти про всі інциденти надсилаються замовнику. ISO з ІБ пройшли.
Пізніше
Настала епоха розвиненого хмарного ринку. Я навчив англійську і зміг на ній швидко говорити, дізнався етикет ділових переговорів до деталей, навчився розуміти натяки іноземних замовників. Принаймні частина. У нас був пакет документів, до якого ніхто не міг причепитися. Ми переробили процеси, щоб вони всіх влаштовували (і це виявилося дуже важливим уроком у моменти сертифікацій PCI DSS та Tier III UI Operational).
Працюючи з іноземними клієнтами, часто людей не бачимо. Жодної зустрічі. Просто листування. Але був замовник, який змусив нас бути присутніми на щотижневих нарадах. Це виглядало як відеодзвінок зі мною та 10 колегами з Індії. Вони обговорювали між собою щось, а я дивився. Вісім тижнів вони навіть не підключалися до нашої інфраструктури. Потім я перестав виходити зв'язок. Вони не підключалися. Згодом зустрічі проходили з меншою кількістю учасників. Потім дзвінки почали робитися без мене та колег з Індії, тобто проходили в тиші та без людей.
Ще один замовник попросив матрицю ескалації. Я додав інженера: мовляв, спочатку йому, потім мені, потім керівнику департаменту. А у них було 15 контактів на різні питання, і кожен — із трьома ступенями ескалації. Було трохи соромно.
Через рік інший замовник надіслав опитувальник з безпеки. Там лише 400 каверзних питань, заповнюйте. А питання про все: про те, як код розробляється, як саппорт працює, як наймаємо персонал, який звільняємо. Це ад. Побачили, що сертифікат 27001 їх влаштує натомість опитувальника. Його отримати було простіше.
2018 року приїжджали французи. Ми якоїсь миті розмовляємо у вівторок, а в середу — матч чемпіонату світу в Єкатеринбурзі. Хвилин 45 обговорюємо питання. Усі обговорили, вирішили. І я так наприкінці: а чого ви в Парижі сидите? Ваші тут турнір виграватимуть, а ви сидите. Їх зачепило. Відбулося тотальне зближення. Потім їх просто розірвало емоційно. Кажуть: дістань нам квиток на поле, і вони завтра приїдуть до чарівного міста Єкатеринберга. Квитка я їм не дістав, але ще 25 хвилин ми тріпалися про футбол. Потім все спілкування пішло вже не за SLA, тобто все за договором, але я прямо відчував, як вони прискорюють у себе процеси і роблять все в першу чергу для нас. Коли французький провайдер горів за проектом, вони мені дзвонили щодня, їх це не обламувало. Хоча є чутки, що вони офіційно збирають зустрічі.
Потім на інших комунікаціях я почав відстежувати, що так само працює. Багато хто не запарюється, як виходити і звідки: це ми з офісу. А у них може то собака загавкати, то на кухні суп втекти, то дитина приповзе кабель гризти. Іноді хтось просто зникне із зустрічі з криком. Буває, ти висиш із незнайомою людиною. Якщо не знаєш, що говорити, треба про погоду. Майже всі радіють нашому снігу. Дехто каже, що одного разу його вже бачили. Розмова про снігову Москву стала малорозмовною: це не впливає на угоду, але скорочує комунікацію. Після нього починають говорити менш офіційно, і це круто.
У Європі інакше ставляться до пошти. Якщо поїхали кудись, то не відповідають. Якщо до вчора у відпустці може місяць не дивитися, потім: «Старий, я тільки повернувся, розгрібаю». І ще на два дні пропаде. Німці, французи, іспанці, англійці — якщо бачиш автовідповідь, то завжди чекаєш, хоч би який кінець світу траплявся.
І остання особливість. Відмінність їхніх безпечників від наших у тому, що нашим важливо, щоб усі вимоги були формально виконані, а в них панують процеси, тобто звертають увагу на найкращі практики. А у нас завжди залізно треба показувати, що всі пункти ідеально дотримані. Один француз навіть приїжджав знайомитися з процесами та документами ЦОДу: ми сказали, що можемо показати політики лише в офісі. Він прибув із перекладачем. Ми притягнули купу політик на папері в папках російською. Француз із юристом-перекладачем сидів, дивився на документи російською. Діставав телефон, вибірково звіряв: чи йому дали, що він запитує, чи Ганну Кареніну. Мабуть, уже стикався.
Посилання
- Моя пошта - [захищено електронною поштою]
Джерело: habr.com