kto może przeprowadzić audyt twojego oprogramowania? nie, nie
Transkrypt
kto może przeprowadzić audyt twojego oprogramowania? nie, nie
prawo: wierzbowski eversheds Kto może przeprowadzić audyt Twojego oprogramowania? Nie, nie tylko policja i BSA… Kilka lat temu w naszej firmie wdrożyliśmy system informatyczny, w ramach którego nabyliśmy i opłaciliśmy wszystkie potrzebne licencje. Ostatnio jeden z producentów oprogramowania poprosił nas o udostępnienie systemu w celu przeprowadzenia audytu. Ponieważ korzystamy wyłącznie z legalnego oprogramowania, nie widzieliśmy przeszkód. Ku naszemu zaskoczeniu po audycie okazało się, że mamy zainstalowane oprogramowanie, za które musimy dopłacić olbrzymią kwotę. Kto ponosi za to odpowiedzialność i co teraz? Działem opiekuje się: TOMASZ ZALEWSKI Partner w kancelarii Wierzbowski Eversheds. Kieruje zespołem własności intelektualnej, e-biznesu i zamówień publicznych. Posiada także wieloletnią praktykę w obsłudze korporacyjnej przedsiębiorstw. [email protected] 18 proseed N a jesieni 2012 roku BSA (czyli Business Software Alliance) przeprowadziło w polskich mediach kolejną kampanię informacyjną dotyczącą walki z piractwem komputerowym. Utkwiła mi ona w pamięci dzięki pewnemu spotowi emitowanemu regularnie w radiu, którego scenariusz był następujący: w trakcie kontroli policja znajduje w firmie nielegalne oprogramowanie; przestraszony prezes dzwoni do swojego prawnika po radę tylko po to, żeby usłyszeć od niego tryumfalne: „Ha! A nie mówiłem?”. Ironicznie można by „pogratulować” wyboru takiego specjalisty. Kampania ta tworzy jednak negatywny stereotyp prawnika, który trzeba potem latami prostować. To między innymi dzięki takim kampaniom pojęcie audytu oprogramowania kojarzy się w Polsce dość jednoznacznie z kontrolą przeprowadzaną przez policję w celu znalezienia pirackiego oprogramowania. Warto wiedzieć jednak, że audyt oprogramowania może przeprowadzić nie tylko policja, i nie tylko w celu weryfikacji podejrzenia korzystania z pirackiego oprogramowania. Niemal w każdej umowie licencyjnej dotyczącej oprogramowania znajduje się klauzula, która pozwala licencjodawcy na przeprowadzenie audytu. Przykładowo w umowie licencyjnej Oracle (umowa licencji i usług Oracle Pl_olsa _v040407) znajduje się następująca klauzula: „Za 45-dniowym uprzednim zawiadomieniem, Oracle zastrzega sobie prawo kontrolowania korzystania przez Państwa z Programów. Zobowiązujecie się Państwo do współpracy z Oracle w zakresie przeprowadzanej kontroli oraz do zapewnienia Oracle, w uzasadnionym zakresie, pomocy i dostępu do informacji. (…) Zobowiązujecie się Państwo do uiszczenia, w ciągu 30 dni od pisemnego zawiadomienia, wszelkich opłat wynikających z użytkowania Programów niezgodnego z udzieloną licencją”. Podobne postanowienia znajdują się w większości umów licencyjnych na oprogramowanie komputerowe. W przypadku licencjodawców, których oferta oprogramowania nie jest rozbudowana, taki zapis pozostaje zazwyczaj martwy i jest wykorzystywany tylko, gdy podejrzenie, że dany licencjobiorca narusza warunki udzielonej mu licencji, jest uzasadnione. Zupełnie inaczej wygląda to w przypadku licencjodawców posiadających rozbudowaną ofertę produktów programi- prawo > wierzbowski eversheds stycznych. Wówczas warunki licencyjne stanowią skomplikowany zbiór reguł, w których poruszanie się wymaga dużej wiedzy (przykładowo Oracle, Microsoft, SAP, IBM etc.). W przypadku licencji udzielanych przez takich licencjodawców audyt licencji na oprogramowanie jest niekiedy standardową procedurą, która bywa wręcz regularnie powtarzana. „Ha! A nie mówiłem?” Ku zaskoczeniu zarządów wielu firm w ramach audytu oprogramowania, przeprowadzanego zgodnie z opisanymi wyżej procedurami, stosunkowo często wykrywa się przypadki, w których zakres faktycznego korzystania z licencji nie pokrywa się z zakresem licencji zakupionych. Czasami jest więcej użytkowników niż zgłoszono licencjodawcy, czasami okazuje się, że została uruchomiona funkcjonalność, za którą należy się dodatkowe wynagrodzenie itp. Z punktu widzenia firmy poddanej takiemu audytowi głównymi problemami są: ÌÌ trudność z właściwą interpretacją postanowień warunków licencyjnych oraz ÌÌ weryfikacja ustaleń audytu. Często warunki licencyjne są tak złożone, że ich właściwa interpretacja może zabrać wiele godzin pracy, a do tego terminy kluczowe dla ustalenia wynagrodzenia mogą być różnie interpretowane. W celu weryfikacji wyników audytu, chociażby po to, aby upewnić się, że dopłaty są prawidłowo wyliczone, często trzeba zatrudnić zewnętrznego konsultanta specjalizującego się w oprogramowaniu danego producenta. prawo > wierzbowski eversheds Jeśli po weryfikacji wyników audytu okaże się, że faktycznie doszło do naruszenia warunków licencji, pozostaje tylko podjąć negocjacje odnośnie do sposobu rozliczenia korzystania z oprogramowania czy poszczególnych jego (dodatkowych) funkcji bez stosownej licencji. Strzeżonego Pan Bóg strzeże… Jeśli licencjobiorca sam zamawiał licencje na oprogramowanie, zazwyczaj może mieć pretensje jedynie do siebie (lub odpowiedzialnego za to pracownika). Często jednak audyt licencji wykrywa problemy nawet w tych firmach, które korzystały z informatycznych usług wdrożeniowych. Firmy informatyczne, które prowadzą projekty polegające na wdrożeniu i integracji oprogramowania, zwykle starają się, aby klient korzystający z ich usług sam bezpośrednio zamówił u dostawców oprogramowania potrzebne w ramach projektu licencje. To rozwiązanie jest korzystne także z punktu widzenia klienta, który nabywa licencje bezpośrednio od licencjodawcy, bez udziału pośrednika. Jednak w takim przypadku należy koniecznie zadbać, aby w ramach swoich obowiązków firma prowadząca wdrożenie przygotowała zestawienie wymaganych licencji i wzięła na siebie odpowiedzialność wobec klienta, jeśli okaże się, że audyt licencji przeprowadzony przez producenta oprogramowania wykaże jakiekolwiek rozbieżności wymagające dopłaty należności licencyjnych. Oczywiście taka odpowiedzialność nie może dotyczyć przypadków, w których naruszenie warunków licencji wynika z działań licencjobiorcy (np. instalacja oprogramowania na dodatkowych stacjach roboczych, zwiększenie liczby użytkowników itp.), jednak może i powinna dotyczyć stanu faktycznego na dzień wdrożenia systemu. Zazwyczaj w chwili wdrożenia systemu tylko integrator tak naprawdę wie, jakie oprogramowanie zainstalował i jakie jego funkcjonalności (dodatkowo płatne) zostały uruchomione. Obowiązek wskazania klientowi liczby i rodzaju potrzebnych licencji zwykle dobrze wpływa również na staranność integratora w optymalnym dla kieszeni klienta doborze rodzajów licencji (czasami dane rozwiązanie może być wdrożone z wykorzystaniem różnych licencji, których koszt zakupu bywa zróżnicowany). W praktyce najlepiej: umieścić w umowie z integratorem stosowny zapis, ÌÌ następnie udokumentować (na piśmie) przekazanie przez niego listy licencji do zamówienia, ÌÌ zamówić licencje zgodnie z przekazaną specyfikacją. ÌÌ Myślę, że w przyszłości, w miarę popularyzacji korzystania z oprogramowania w formie cloud computing, audyt oprogramowania odejdzie w zapomnienie. Wszakże wtedy producent oprogramowania będzie doskonale i na bieżąco wiedział, kto i jak korzysta z oprogramowania, a w razie potrzeby – po prostu zablokuje użytkownikowi dostęp. Na razie jednak, w dobie kryzysu i poszukiwania dodatkowych źródeł przychodu także przez producentów oprogramowania, warto pamiętać, że jednym z takich źródeł mogą być opłaty za brakujące licencje wykryte w wyniku audytu przeprowadzonego u licencjobiorcy. proseed 19