kto może przeprowadzić audyt twojego oprogramowania? nie, nie

prawo: wierzbowski eversheds
Kto może przeprowadzić audyt
Twojego oprogramowania?
Nie, nie tylko policja i BSA…
Kilka lat temu w naszej firmie wdrożyliśmy system informatyczny, w ramach którego nabyliśmy
i opłaciliśmy wszystkie potrzebne licencje. Ostatnio jeden z producentów oprogramowania poprosił
nas o udostępnienie systemu w celu przeprowadzenia audytu. Ponieważ korzystamy wyłącznie
z legalnego oprogramowania, nie widzieliśmy przeszkód. Ku naszemu zaskoczeniu po audycie
okazało się, że mamy zainstalowane oprogramowanie, za które musimy dopłacić olbrzymią kwotę.
Kto ponosi za to odpowiedzialność i co teraz?
Działem opiekuje się:
TOMASZ ZALEWSKI
Partner w kancelarii Wierzbowski
Eversheds. Kieruje zespołem własności
intelektualnej, e-biznesu i zamówień
publicznych. Posiada także wieloletnią
praktykę w obsłudze korporacyjnej
przedsiębiorstw.
[email protected]
18
proseed
N
a jesieni 2012 roku BSA (czyli
Business Software Alliance) przeprowadziło w polskich mediach kolejną
kampanię informacyjną dotyczącą walki
z piractwem komputerowym. Utkwiła mi
ona w pamięci dzięki pewnemu spotowi
emitowanemu regularnie w radiu, którego
scenariusz był następujący: w trakcie
kontroli policja znajduje w firmie nielegalne oprogramowanie; przestraszony
prezes dzwoni do swojego prawnika po
radę tylko po to, żeby usłyszeć od niego
tryumfalne: „Ha! A nie mówiłem?”. Ironicznie można by „pogratulować” wyboru
takiego specjalisty. Kampania ta tworzy
jednak negatywny stereotyp prawnika,
który trzeba potem latami prostować.
To między innymi dzięki takim kampaniom
pojęcie audytu oprogramowania kojarzy
się w Polsce dość jednoznacznie z kontrolą przeprowadzaną przez policję w celu
znalezienia pirackiego oprogramowania.
Warto wiedzieć jednak, że audyt oprogramowania może przeprowadzić nie tylko
policja, i nie tylko w celu weryfikacji podejrzenia korzystania z pirackiego oprogramowania. Niemal w każdej umowie
licencyjnej dotyczącej oprogramowania
znajduje się klauzula, która pozwala licencjodawcy na przeprowadzenie audytu.
Przykładowo w umowie licencyjnej
Oracle (umowa licencji i usług Oracle
Pl_olsa _v040407) znajduje się następująca klauzula:
„Za 45-dniowym uprzednim zawiadomieniem, Oracle zastrzega sobie
prawo kontrolowania korzystania przez
Państwa z Programów. Zobowiązujecie
się Państwo do współpracy z Oracle
w zakresie przeprowadzanej kontroli
oraz do zapewnienia Oracle, w uzasadnionym zakresie, pomocy i dostępu do informacji. (…) Zobowiązujecie się Państwo
do uiszczenia, w ciągu 30 dni od pisemnego zawiadomienia, wszelkich opłat
wynikających z użytkowania Programów
niezgodnego z udzieloną licencją”.
Podobne postanowienia znajdują się
w większości umów licencyjnych na oprogramowanie komputerowe. W przypadku licencjodawców, których oferta oprogramowania nie jest rozbudowana, taki
zapis pozostaje zazwyczaj martwy i jest
wykorzystywany tylko, gdy podejrzenie,
że dany licencjobiorca narusza warunki
udzielonej mu licencji, jest uzasadnione.
Zupełnie inaczej wygląda to w przypadku
licencjodawców posiadających rozbudowaną ofertę produktów programi-
prawo > wierzbowski eversheds
stycznych. Wówczas warunki licencyjne stanowią skomplikowany zbiór reguł,
w których poruszanie się wymaga dużej
wiedzy (przykładowo Oracle, Microsoft,
SAP, IBM etc.). W przypadku licencji
udzielanych przez takich licencjodawców audyt licencji na oprogramowanie
jest niekiedy standardową procedurą,
która bywa wręcz regularnie powtarzana.
„Ha! A nie mówiłem?”
Ku zaskoczeniu zarządów wielu firm
w ramach audytu oprogramowania,
przeprowadzanego zgodnie z opisanymi wyżej procedurami, stosunkowo
często wykrywa się przypadki, w których
zakres faktycznego korzystania z licencji nie pokrywa się z zakresem licencji
zakupionych. Czasami jest więcej użytkowników niż zgłoszono licencjodawcy,
czasami okazuje się, że została uruchomiona funkcjonalność, za którą należy się
dodatkowe wynagrodzenie itp.
Z punktu widzenia firmy poddanej
takiemu audytowi głównymi problemami są:
ÌÌ trudność z właściwą interpretacją
postanowień warunków
licencyjnych
oraz
ÌÌ weryfikacja ustaleń audytu.
Często warunki licencyjne są tak
złożone, że ich właściwa interpretacja
może zabrać wiele godzin pracy, a do
tego terminy kluczowe dla ustalenia
wynagrodzenia mogą być różnie interpretowane. W celu weryfikacji wyników
audytu, chociażby po to, aby upewnić
się, że dopłaty są prawidłowo wyliczone,
często trzeba zatrudnić zewnętrznego
konsultanta specjalizującego się w oprogramowaniu danego producenta.
prawo > wierzbowski eversheds
Jeśli po weryfikacji wyników audytu
okaże się, że faktycznie doszło do naruszenia warunków licencji, pozostaje tylko
podjąć negocjacje odnośnie do sposobu
rozliczenia korzystania z oprogramowania czy poszczególnych jego (dodatkowych) funkcji bez stosownej licencji.
Strzeżonego
Pan Bóg strzeże…
Jeśli licencjobiorca sam zamawiał licencje
na oprogramowanie, zazwyczaj może
mieć pretensje jedynie do siebie (lub odpowiedzialnego za to pracownika).
Często jednak audyt licencji wykrywa
problemy nawet w tych firmach, które
korzystały z informatycznych usług
wdrożeniowych. Firmy informatyczne,
które prowadzą projekty polegające na
wdrożeniu i integracji oprogramowania,
zwykle starają się, aby klient korzystający
z ich usług sam bezpośrednio zamówił
u dostawców oprogramowania potrzebne w ramach projektu licencje. To rozwiązanie jest korzystne także z punktu
widzenia klienta, który nabywa licencje
bezpośrednio od licencjodawcy, bez
udziału pośrednika.
Jednak w takim przypadku należy koniecznie zadbać, aby w ramach swoich
obowiązków firma prowadząca wdrożenie przygotowała zestawienie wymaganych licencji i wzięła na siebie odpowiedzialność wobec klienta, jeśli okaże się,
że audyt licencji przeprowadzony przez
producenta oprogramowania wykaże
jakiekolwiek rozbieżności wymagające
dopłaty należności licencyjnych. Oczywiście taka odpowiedzialność nie może dotyczyć przypadków, w których naruszenie
warunków licencji wynika z działań licencjobiorcy (np. instalacja oprogramowania
na dodatkowych stacjach roboczych,
zwiększenie liczby użytkowników
itp.), jednak może i powinna dotyczyć
stanu faktycznego na dzień wdrożenia
systemu. Zazwyczaj w chwili wdrożenia
systemu tylko integrator tak naprawdę
wie, jakie oprogramowanie zainstalował i jakie jego funkcjonalności (dodatkowo płatne) zostały uruchomione.
Obowiązek wskazania klientowi liczby
i rodzaju potrzebnych licencji zwykle
dobrze wpływa również na staranność
integratora w optymalnym dla kieszeni klienta doborze rodzajów licencji
(czasami dane rozwiązanie może być
wdrożone z wykorzystaniem różnych
licencji, których koszt zakupu bywa
zróżnicowany).
W praktyce najlepiej:
umieścić w umowie
z integratorem stosowny zapis,
ÌÌ następnie udokumentować
(na piśmie) przekazanie przez
niego listy licencji do zamówienia,
ÌÌ zamówić licencje zgodnie
z przekazaną specyfikacją.
ÌÌ
Myślę, że w przyszłości, w miarę popularyzacji korzystania z oprogramowania
w formie cloud computing, audyt oprogramowania odejdzie w zapomnienie.
Wszakże wtedy producent oprogramowania będzie doskonale i na bieżąco
wiedział, kto i jak korzysta z oprogramowania, a w razie potrzeby – po prostu zablokuje użytkownikowi dostęp. Na razie
jednak, w dobie kryzysu i poszukiwania
dodatkowych źródeł przychodu także
przez producentów oprogramowania,
warto pamiętać, że jednym z takich
źródeł mogą być opłaty za brakujące
licencje wykryte w wyniku audytu przeprowadzonego u licencjobiorcy. proseed
19