Como negociar contrato SaaS – Guia completo

Como negociar contrato SaaS – Guia completo

Os provedores de software como serviço geralmente lidam com seus dados confidenciais. Portanto, saber como negociar contrato SaaS é fundamental. Afinal, só assim para manter seus dados realmente seguros. 

A adoção de ofertas de SaaS acelerou muito este ano. Isso aconteceu por conta da mudança em grande escala para o trabalho remoto. Afinal, com a pandemia de COVID-19, não há forma mais segura de trabalhar.

Contudo, essa tendência aumentou a exposição da empresa a ameaças cibernéticas. Portanto, colocou em foco os fatores de segurança e risco. Dessa forma, as empresas precisam considerá-los ao negociar um contrato SaaS.

negociar contrato saas

Estimativa Gartner

O Gartner espera que o mercado geral de serviços de nuvem pública cresça 6,3% este ano. Ou seja, que vá para US $ 257,9 bilhões, de US $ 242,7 bilhões no ano passado. Portanto, a área de SaaS em si deve chegar a US $ 104,6 bilhões. Ano passado, ele chegou a cerca de US $ 102 bilhões. Isso acontece por conta da necessidade de novas ferramentas de colaboração durante a pandemia.

Dessa forma, a adoção de serviços SaaS aumentou. Contudo, também aumentaram as preocupações com possíveis problemas de segurança. De 200 profissionais de TI, 66% disseram que tinham menos tempo para proteger seus aplicativos SaaS após o COVID-19. Entretanto, acreditavam que seu ambiente SaaS corporativo os colocasse em risco. Incluindo uma possível interrupção dos negócios.

Segurança de dados

“A maior parte da discussão quando existe uma perspectiva de segurança gira em torno da proteção de dados. Ou seja, o que acontece quando há um evento que compromete sua disponibilidade”. – Daniel Kennedy, analista do 451 Group.

Dessa forma, surgiram cinco considerações principais. Elas devem ser lembradas ao negociar contrato de SaaS. Tudo para garantir que os fatores de risco e segurança sejam tratados de forma adequada.

  1. Crie uma lista mestra de riscos relevantes para a sua organização

Não existe uma abordagem única para negociar contrato SaaS. Afinal, são várias as cláusulas de segurança. Portanto, muito do que você precisa fazer depende do contexto. Ou seja, o tamanho da sua empresa e do provedor de SaaS são críticos. Dessa forma, quanto maior você for e quanto mais serviços adquirir, melhor será sua vantagem.

Entretanto, é preciso ter cuidado antes de negociar um contrato SaaS. Ou, pelo menos, durante o estágio de RFP. Portanto, considere o uso esperado do sistema. 

Exemplo:

Você planeja usar o sistema SaaS para gerenciar os relacionamentos com os seus clientes. Então, você precisa se concentrar em:

  • Como o fornecedor de SaaS protegerá os dados do cliente;
  • De qual forma eles irão garantir a estabilidade e confiabilidade do sistema.
Uso interno de SaaS

Contudo, há uma diferença se você pretende usar o SaaS mais internamente. Ou seja, como um sistema de gerenciamento de aprendizagem. Afinal, os dados são menos confidenciais e o serviço provavelmente não é crítico para os negócios..

“A melhor prática é ter uma lista mestra de riscos, como: segurança, privacidade, geográficos, regulatórios, continuidade de negócios e recuperação de desastres. Então, faça uma abordagem de triagem. Assim o fornecedor tratará dos riscos que se aplicam aos seus serviços.” – Luke Ellery, diretor de pesquisa sênior no Gartner. 

  1. Comunique o que não é negociável para as partes interessadas

Geralmente, os grupos de segurança são chamados apenas no final do processo de negociação. Ou seja, quando há pouco espaço ou tempo para introduzir mudanças substanciais. Portanto, é importante garantir que a equipe de compras esteja ciente. Dessa forma, poderá cobrir pelo menos as questões de segurança fundamentais e não negociáveis. Especialmente em relação à proteção de dados no início das negociações.

Os CISOs também devem colaborar com TI e líderes de negócios. Afinal, podem considerar o apetite de risco de suas organizações. Contudo, também precisam considerar todos os requisitos regulatórios e do setor. Só assim poderão determinar o que não é negociável em seus contratos de SaaS.

“Eles podem ser usados ​​como critérios de pré-qualificação do fornecedor.” – , Ellery

Exemplo:

Considere um bom critério de pré-qualificação. Este poderia ser a necessidade de todos os dados serem criptografados em trânsito. Mas também em repouso. Ou todos os dados precisam ser armazenados em um país ou região geográfica específica. Incluir esses critérios antecipadamente fornece clareza ao fornecedor sobre suas expectativas.

Critérios inegociáveis ao negociar contrato de SaaS
  • Disponibilidade;
  • Resiliência;
  • Confidencialidade dos dados.

Contudo, tudo depende de como você planeja usar o fornecedor de SaaS. Afinal, seu risco aumenta dependendo da criticidade dos dados envolvidos. Portanto, a meta deve ser garantir que seu fornecedor tenha os recursos adequados para proteger seus dados.

Certificações desejadas

Existem indicadores confiáveis ​​da aderência de um fornecedor de SaaS às práticas recomendadas de segurança aceitas. São elas as certificações:

  • SOC 2 Tipo II;
  • ISO 27001;
  • ISO 22301;
  • CSA CCM.

Portanto, cheque se o seu fornecedor é credenciado a esses padrões ao selecionar um.

“SaaS é uma área bastante ampla. Posso ter SaaS para CRM. Ou para trabalho de capital humano. Quem sabe até para segurança. Contudo, seu fornecedor deve ter os controles certos. Caso contrário, toda a sua organização pode ser exposta.” – Vikram Kunchala, diretor da Deloitte’s Cyber and Risk 

  1. Negociar proteções adicionais

Negocie quais concessões puder por meio de proteções de segurança adicionais. Contudo, lembre-se: algumas questões podem não ser facilmente negociáveis ​.

SaaS é um negócio em escala. Ele é baseado em uma oferta de produto padrão. Portanto, algumas alterações podem ser inegociáveis. É o caso de:

  • Disponibilidade do sistema;
  • Local de armazenamento de dados.

“Cada fornecedor é diferente. Portanto, as concessões significativas normalmente dependem da capacidade do fornecedor de SaaS. Isso, além de sua influência. Contudo, é preciso saber se as concessões desejadas estão relacionadas a um requisito regulatório.” – Ellery.

Atenção às cláusulas de responsabilidade

As cláusulas de responsabilidade costumam envolver violações e comprometimento de dados. Portanto, tendem a ser cláusulas mais difíceis de negociar. Então, considere outras opções. É o caso de cláusulas de seguro cibernético do fornecedor.

Contudo, certifique-se de incluir uma linguagem que o proteja no caso de seu fornecedor SaaS ser adquirido. Ou seja, pergunte sobre o que aconteceria com seu contrato em andamento. Ou como você pode renová-lo se outro fornecedor de SaaS adquirir seu provedor. 

O novo fornecedor honrará seu acordo de preços existente?

Eles terão preços completamente diferentes?

Lista de imprevistos

Você também deve examinar um fator importante. Que tipo de problemas o fornecedor listou como circunstâncias potencialmente imprevisíveis. Ou seja, que os impediriam de oferecer seu produto ou serviço. Ou seja, garanta que as circunstâncias de força maior listadas são razoáveis. Portanto, recue se ele listar eventos de cibersegurança corriqueiros.

  1. Insista na notificação de violação antecipada

Regulamentos como a GDPR, LGPD e PCI mudaram consideravelmente a cena. Afinal, exigem que as empresas garantam contratualmente que terceiros tenham medidas razoáveis ​​em vigor para proteger os dados confidenciais. Portanto, existem requisitos e prazos específicos para notificação de violação no caso de um incidente de segurança que os afete. Ou seja, ao negociar contrato de SaaS, inclua disposições para notificação imediata de violação. 

Não recue

Contudo, essas cláusulas podem ser controversas para negociar. Afinal, os provedores de SaaS não querem ser limitados a um cronograma específico. Em geral, sua maior objeção tem a ver com o fato de que não há como especificar o horário de descoberta de uma violação.

“Apesar disso, você deve insistir em uma notificação imediata sobre qualquer violação de dados de segurança. Especialmente em que os dados de seus clientes sejam afetados. Afinal, o provedor não pode ficar sentado decidindo a melhor maneira de fornecer as informações. Tampouco trabalhar de acordo com seu próprio cronograma naquele cenário. Lembre-se de que eles são essencialmente seus fornecedores terceirizados.” –  Kennedy. 

  1. Preste atenção especial às condições de rescisão do contrato

Sabe qual é a parte mais importante ao negociar contrato de SaaS? Saber exatamente o que acontece no final dele. Fornecedores de SaaS maduros provavelmente têm um processo formal para retornar e excluir dados. Contudo, é importante chegar a um acordo explícito sobre o que exatamente esse processo envolve.

As questões que você precisa considerar incluem:

  • Capacidade da sua organização de obter seus dados de volta quando o contrato terminar;
  • Quais são os processos do fornecedor para excluir seus dados. Ou seja, de garantir que nenhum terceiro tenha acesso a eles.
Os dados são seus

“A primeira coisa com os contratos de SaaS é garantir que você tenha o direito de receber seus dados de volta. Isso, independentemente de rescisão.” – Ellery. 

Muitos CISOs testam regularmente a recuperação de dados de seus fornecedores de SaaS. Eles ainda têm um serviço de backup de dados críticos em um serviço de armazenamento local ou nuvem. Tudo para garantir que tenham esse recurso.

Transição de provedor SaaS

Sua empresa usa SaaS para operações críticas? Então inscreva-se para obter assistência na transição. Uma cláusula de assistência de transição estende seu contrato por um período específico após o término de seu contrato. Portanto, lhe dá tempo de fazer a transição para outro provedor de maneira segura.

As cláusulas de rescisão e transição costumam ser negociáveis. Afinal, o fornecedor ainda está sendo pago por seus serviços.

A responsabilidade é do provedor

Contudo, é aconselhável ter algum nível de garantia de seus fornecedores. Principalmente em relação a reclamações sobre exclusão e transferência de dados. Afinal, várias cópias dos dados da sua empresa, ou bits e partes deles podem existir na infraestrutura de um provedor de SaaS. portanto, é responsabilidade deles excluí-los.

“Eles precisam fornecer algum nível de seguro. Afinal, assim qualquer cláusulas de responsabilidade que você possa ter entrarão em vigor. Em algum ponto, você terá que acreditar na palavra de seu fornecedor. Ou seja, deverá torcer para que seus dados não apareçam em alguma violação futura.” – Kunchala.

Fonte:

CSO

Facebook
Twitter
LinkedIn

posts relacionados

SGSI

O que é SGSI?

SGSI é a sigla para Sistema de gestão de segurança da informação. Ele engloba: Segurança da informação: Preservação da confidencialidade,

Leia mais »
SOC

Guia completo de SOC

Embora a defesa cibernética seja um tema extremamente aprofundado, existem certas mentalidades, modelos, fontes de dados e técnicas que podem

Leia mais »

Perguntas
frequentes

Nós falamos com o seu fornecedor atual e colhemos todas as informações necessárias diretamente com eles. Também podemos fazer o mapeamento de todas as informações diretamente na sua empresa.

SIM, é possível melhorar a qualidade e o desempenho e ainda reduzir custos. Essa eficiência é possível graças ao sistema de melhoria contínua que aplicamos há anos.

SIM, o time interno pode ser absorvido, com os profissionais se tornando colaboradores da Infonova.

SIM. Em conjunto com seu departamento, ou consultoria jurídica, ajudamos a implantar as ações de TI necessárias para adequação da LGPD.

A transição pode ocorrer com ou sem o apoio do fornecedor atual. A Infonova vai mapear todas as informações, identificar os itens críticos e realizar a transição de forma segura, sempre em alinhamento com o cliente.

Em geral é rápida. O tempo exato depende de cada situação. O prazo mais comum de transição em paralelo é entre 1 semana e 15 dias.

NÃO. Temos soluções para empresas de 10 a 2.500 colaboradores. Desenvolvemos uma metodologia para atender empresas em diversos segmentos, em situações de crescimento ou retenção.

Temos diversas soluções para proteger o acesso de usuários que ficam externos ou em home office.

SIM, trabalhamos com os principais provedores de nuvem e possuímos um datacenter próprio.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

Receba Gratuitamente

Fique tranquilo, não compartilhamos suas informações.

FALE
COM UM
ESPECIALISTA