Versio 2: Helmikuu 2022
Pilvipalvelujen hankinta julkisella sektorilla
Käsikirja – sisältää hankintapyynnön mallisanamuodot
pilvipalvelujen puitesopimusta varten
Versio 2: Helmikuu 2022
Tämä asiakirja on vain tiedoksi. Sitä ei ole laadittu millään tietyllä alueella sovellettavia julkisia hankintaprosesseja koskevien lakisääteisten vaatimusten mukaisesti. Pilvipalveluasiakkaiden tulee tehdä omat arvionsa tähän asiakirjaan sisältyvistä tiedoista sekä pilvipalveluntarjoajien tuotteista tai palveluista. Tämän asiakirjan myötä ei muodostu mitään takuita, lausuntoja, sopimusperusteisia sitoumuksia, ehtoja tai vakuutuksia.
Malliasiakirjoja ja -sanamuotoja ei tule katsoa oikeudellisiksi neuvoiksi, opastukseksi tai neuvonnaksi. Pilvipalveluasiakkaiden on selvitettävä omassa toimintamaassaan sovellettavan lainsäädännön mukaiset vastuunsa omalta oikeudelliselta neuvonantajaltaan. CISPE torjuu nimenomaisesti kaikki takuut ja vastuun vahingoista, jotka liittyvät tässä asiakirjassa annettuihin tietoihin tai johtuvat niistä.
CISPE (Cloud Infrastructure Services Providers in Europe, xxxxx://xxxxx.xxxxx) on riippumaton ja voittoa tavoittelematon toimialan yhteenliittymä. Edustamme Euroopan pilvipalveluinfrastruktuurin tarjoajia ja tarjoamme yhdessä alan toimijoiden sekä poliittisten päättäjien kanssa pilvipalveluja ja niiden toimialakohtaista, julkista ja yhteiskunnallista roolia koskevaa opastusta sekä koulutusta.
Kasvavaan jäsenkuntaamme kuuluu kaikissa EU-maissa toimivia yrityksiä, joilla on pääkonttoreita 16 Euroopan maassa. Yhdistykseen voivat liittyä yritykset, joiden tarjoamista palveluista ainakin yksi täyttää tietosuojaa koskevien CISPEn käytännesääntöjen vaatimukset. Toimintamme:
• Puhumme pilvipalveluja suosivien julkisten hankintakäytäntöjen tarjoamien etujen puolesta EU:ssa ja EU-jäsenvaltioissa.
• Pyrimme sitouttamaan pilvi-infrastruktuurisektorin saavuttamaan ilmastoneutraaliuden vuoteen 2030 mennessä.
• Edistämme yhdenmukaisia tietoturvavaatimuksia ja teknisiä standardeja koko EU:n alueella.
• Tuemme kattavia tietoturvavaatimuksia tietosuojan käytännesäännöillämme.
• Teemme työtä EU:n pilvi-infrastruktuurimarkkinoiden avoimuuden, kilpailukyvyn ja riippumattomuuden eteen.
• Torjumme perusteettomia sisällönvalvontavelvoitteita EU:n lainsäädännöllisessä kehyksessä.
Jäsenemme toimittavat ja ylläpitävät olennaisia "IT-rakennuspalikoita", joiden avulla julkishallinto, viranomaiset ja yritykset voivat kehittää omia järjestelmiään ja tarjota oleellisia palveluja miljardeille kansalaisille. Tässä roolissa autamme kehittämään johtavia teknologioita ja palveluja, joihin voidaan integroida tekoäly, IoT-laitteita, itseohjautuvia ajoneuvoja, 5G ja seuraavan sukupolven matkapuhelinyhteysteknologiaa.
Pilvi-infrastruktuuripalvelujen käytännesäännöt
CISPEn tietosuojaa koskevat käytännesäännöt julkaistiin syyskuussa 2016, eli jo ennen Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) voimaantuloa. Ne ovat tiukkojen EU:n yleisen tietosuoja-asetuksen vaatimusten mukaiset, jotta pilvi-infrastruktuurintarjoajia voidaan auttaa tietosuojavaatimusten noudattamisessa. Lisäksi ne tarjoavat vahvan kehyksen, jonka avulla asiakkaat voivat valita oikeat palveluntarjoajat ja luotettavat palvelut. CISPEn käytännesäännöt on vahvistanut Euroopan tietosuojaneuvosto (EDPB) toukokuussa 2021 ja hyväksynyt Ranskan CNIL toimivaltaisena viranomaisena kesäkuussa 2021. xxxxx://xxx.xxxxxxxxxxxxx.xxxxx/
Ilmastoneutraali datakeskussopimus
XXXXX ryhtyi vuoden 2019 lopussa yhdessä Euroopan komission kanssa kehittämään mittareita ja itsesääntelyaloitetta, jotta datakeskusten ilmastoneutraalius voitaisiin varmistaa vuoteen 2030 mennessä. Tämä hanke on kehitetty yhdessä Euroopan datakeskusjärjestön (EUDCA) sekä muiden elinkeinoelämän järjestöjen ja datakeskusalan markkinatoimijoiden kanssa. Hanke julkaistiin tammikuussa 2021, ja sitä kutsutaan "ilmastoneutraaliksi datakeskussopimukseksi" xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xxx/
Oikeudenmukaisia ohjelmistoja koskeva aloite
CISPE on yhdessä ranskalaisen tietohallintojohtajien järjestön CIGREF:n kanssa sekä muiden eurooppalaisten tietohallintojohtajien järjestöjen ja palveluntarjoajien kanssa lanseerannut 10 oikeudenmukaisen ohjelmiston periaatetta pilvipalveluasiakkaille. Kyseessä on parhaat käytännöt yrityksille, jotka etsivät pilvipalveluista innovaatioita kasvun vauhdittamiseksi sekä joustavuutta. Nämä
periaatteet auttavat myös varmistamaan, että ohjelmistotoimittajat noudattavat oikeudenmukaisen lisensoinnin ehtoja.
xxxxx://xxx.xxxxxxxxxxxx.xxxxx/
GAIA-X
CISPE oli yksi GAIA-X:n 22 perustajajäsenestä – kyseessä on eurooppalainen hanke avoimen, läpinäkyvän ja turvallisen digitaalisen ekosysteemin toimittamiseksi. CISPE on sitoutunut GAIA-X-organisaation visioon ja periaatteisiin alusta alkaen, ja CISPEn pääsihteeri valittiin kesäkuussa 2021 uudelle kaudelle organisaation johtokuntaan. Jotkin käsikirjassa viitatut työkalut, kuten CISPEn tietosuojaa koskevat käytännesäännöt ja SWIPO IaaS -käytännesäännöt, ovat hyödyllisiä työkaluja GAIA-X-periaatteiden noudattamisen osoittamiseen. xxxxx://xxx.xxxx-x.xx
CISPE ja julkinen sektori
CISPE osallistuu julkiseen poliittiseen keskusteluun Euroopassa ja pyrkii edistämään tietämystä Euroopan pilvi-infrastruktuurialan roolista, osallistumisesta ja potentiaalista.
Julkisten hankintojen mallien tulisi luoda edellytykset pilvipalvelujen käyttöönotolle ja käytölle. Pilvipalvelujen hankinta eroaa kuitenkin useimmista muista julkisen sektorin perinteisistä teknologiahankinnoista. Hankintamalleja on mietittävä uudelleen, ja siksi CISPE kannustaa EU:n poliittisia päättäjiä kehittämään EU:n mittakaavassa kunnianhimoisemman ja tulevaisuuteen suuntautuneemman mallin, joka suosii pilvipalveluja ensisijaisena vaihtoehtona. Tämä auttaa edistämään Euroopan sisäisten pilvi-infrastruktuurimarkkinoiden kasvua ja tukee digitaalisten sisämarkkinoiden kasvutavoitteita.
Tämä käsikirja on suunniteltu tarjoamaan hyödyllistä opastusta ja tukea viranomaisille pilvipalvelujen hankinnassa.
Lisätietoja
CISPEn jäsenet: xxxxx://xxxxx.xxxxx/xxxxxxx Xxxxxxxxxx: xxxxx://xxxxx.xxxxx/xxxxx-xx-xxxxxxxxx
CISPEn käytännesääntöjä noudattavat pilvipalvelut: xxxxx://xxx.xxxxxxxxxxxxx.xxxxx/xxxxxx-xxxxxxxx/
Tämän käsikirjan tiivistelmä ja tarkoitus 1
1.0 Pilvipalvelujen puitesopimuksen yleiskuvaus 4
2.0 Pilvipalvelujen hankintapyynnön yleiskuvaus 7
2.1 Pilvipalvelujen hankintapyynnön määrittely 7
2.1.1 Xxxxxxxx ja strategiset tavoitteet 7
2.1.2 Hankintapyyntöön vastaamisen aikataulu 10
2.1.4 Yksityiskohtainen kuvaus puitesopimukseen sisältyvästä hankintamallista ja kilpailuttamisesta 11
2.1.5 Hallinnolliset vähimmäisvaatimukset tarjoajille 15
2.2.2 Toimittajien vertailu 21
2.3.2 Toimittajien vertailu 30
2.4.2 Toimittajien vertailu 33
2.5 Sopimuksen valmistelu ja ehdot 36
2.5.2 Ohjelmistojen käyttöehdot 39
2.5.3 Hankekohtaisen voittavan tarjouksen valitseminen 40
2.5.4 Toimittajien sisällyttäminen kilpailutukseen 40
3.0 Parhaat käytännöt ja käytännön kokemukset 41
3.1 Pilvipalvelun hallinnointi 41
3.2 Budjetin laatiminen pilvipalvelua varten 41
3.3 Kumppanin liiketoimintamallin tunteminen 43
3.4 Pilvipalveluiden välittäjät 44
3.5 Hankintapyyntöä edeltävät lähdetiedot ja markkinatutkimus 44
Liite A – Tekniset vaatimukset tarjoajien vertailua varten 46
1. Pilvipalveluntarjoajan profiili 46
2. Maailmanlaajuinen infrastruktuuri 46
Liite B – Tekninen live-arviointi 72
Alusta – teknisen live-arvioinnin malli 74
Työkuorma: verkkosovellus – teknisen live-arvioinnin malli 84
v2 2022 – Helmikuu
Tämän käsikirjan tiivistelmä ja tarkoitus
Tämä pilvipalvelujen hankintakäsikirja on tarkoitettu oppaaksi asiakkaille, jotka ovat kilpailuttamassa pilvipalvelujen hankinnan (pilvipalveluja koskeva hankintapyyntö), mutta joilla ei ole pilvipalvelujen puitesopimuksen laatimiseen tarvittavaa asiantuntemusta.
Tämä asiakirja on vain tiedoksi. Sitä ei ole laadittu millään tietyllä alueella tai tietyssä maassa sovellettavia julkisia hankintaprosesseja koskevien lakisääteisten vaatimusten mukaisesti.
Käsikirja käyttää myös valintakriteerien lisäsanastoa erillissopimusten tai minikilpailutusten osalta, kun palveluita ostetaan pilvipalveluiden puitesopimuksen nojalla. Käsikirjan osiot on järjestetty yleisen IT-hankintapyynnön mukaisesti. Yleistä hankintapyyntömallia ja valintakriteerien sanamuotoja on täydennetty kommenteilla, jotka auttavat ymmärtämään, miten pilvipalvelujen hankintapyyntö eroaa perinteisestä IT-hankintapyynnöstä.
Kun EU-komissio oli julkaissut pilvistrategiansa, jonka tarkoituksena on opastaa eurooppalaisia instituutioita ja laitoksia IT-infrastruktuurinsa modernisoinnissa, XXXXX toimitti käsikirjan EU-komissiolle heinäkuussa 2019 järjestetyssä "How to transform governments through a smart cloud policy" -tapahtumassa.
Tämän käsikirjan toinen versio sisältää uuden opastuksen koskien seuraavia: tietosuoja (osio 2.3.1.1), pilvipalveluntarjoajien vaihtaminen ja datan siirtäminen (osio 2.3.1.2), ohjelmistojen käyttöehdot (osio 2.5.2), pilvipalvelujen kestävyys (osio 3.6) sekä päivitetty liite B Tekninen live-arviointi.
Pilvipalveluilla tarkoitetaan kaikkia pilviteknologioita ja niihin liittyviä palveluja, joita loppukäyttäjä saattaa tarvita. Tämä sisältää konsultointi- tai asiantuntija-/hallinnoidut palvelut, joita tarvitaan tukemaan ja toteuttamaan migrointia pilvipalveluun ja tukemaan sekä pilvipalvelun työkuormia että pilvi-infrastruktuuria, sekä pilvipalvelumarkkinoiden palvelut, kuten ohjelmistopalvelutuotteet (SaaS).
Pilvipalvelujen esiinnousu julkisen sektorin IT-hankintojen ensisijaisena vaihtoehtona tarjoaa mahdollisuuden nykyisten hankintastrategioiden nykyaikaistamiseen. Pilvikeskeisten hankintaprosessien avulla julkisen sektorin yksiköt saavat käyttöönsä pilvipalvelujen tarjoamat edut, kuten johtavat innovaatiot, nopeuden ja ketteryyden, paremman tietoturvan ja vaatimustenmukaisuuden hallinnoinnin. Samalla ne voivat tehostaa toimintaansa ja realisoida kustannussäästöjä.
Laitteistoja, ohjelmistoja ja datakeskuksia koskevat perinteiset IT-hankintamenetelmät eivät sovellu pilvipalveluihin. Hinnoittelu, sopimusten hallinnointi ja ehdot, tietoturva, tekniset vaatimukset, palvelutasosopimukset ja muut tekijät ovat pilvipalvelumallissa erilaiset, ja olemassa olevilla hankintamenettelyillä voidaan menettää pilvipalvelujen tarjoamat hyödyt osittain tai kokonaan.
Yksi parhaimmista ja tehokkaimmista pilvipalvelujen hankintamenetelmistä julkisella sektorilla on pilvipalvelujen puitesopimus. Siihen voi kuulua useita organisaatioita ja palveluntarjoajia, ja sen myötä hankintavastaavat voivat hankkia oman organisaationsa tarpeisiin sopivat pilviteknologiat ja niihin liittyvät palvelut. Puitesopimus on pilvipalvelusopimuksen apukeino, joka mahdollistaa tehokkaan ja toimivan pilvipalvelujen hankinnan. Näin hankintaorganisaatiot ja loppukäyttäjäyksiköt saavat käyttöönsä monipuoliset pilvipalvelut ja niiden hyödyt: ketteryyden, mittakaavaedut, laajempaa käytettävyyttä tukevan skaalautuvuuden edullisempaan hintaan, kattavat toiminnot, uudet innovaatiot ja mahdollisuuden laajentua uusille maantieteellisille alueille.
Huomaa, että tässä asiakirjassa keskitytään infrastruktuuri palveluna (IaaS)- ja alustapalvelu (PaaS) - pilviteknologioiden ostamiseen pilvipalveluinfrastruktuurin tarjoajalta (CISP). Tällaisia pilviteknologioita voidaan ostaa suoraan pilvipalveluinfrastruktuurin tarjoajalta tai tämän jälleenmyyjältä. Pilvimarkkinapalvelujen (PaaS ja SaaS) jälleenmyyjien sekä pilvikonsultointipalvelujen osalta hankintapyynnöissä tulee huomioida myös muita seikkoja.
On myös syytä huomata, että tässä asiakirjassa ei ole käsitelty kaikkia pilvipalvelujen hankintakehyksen laadintaan liittyviä osatekijöitä. Xxxx toimijat ja analyytikot ovat julkaisseet monia muita asiakirjoja, joissa käsitellään esimerkiksi pilvipalvelujen hankinnan parhaita käytäntöjä, pilvipalveluhankintojen budjetointia ja pilvipalvelujen hallinnointia. Suosittelemme ehdottomasti tutustumaan tällaisiin ohjeisiin ja asiakirjoihin yleistä pilvipalvelujen hankintastrategiaa laadittaessa.
Taulukossa 1 alla on yhteenveto pilvipalvelujen hankintapyyntökäsikirjasta sekä hankintapyyntöjen mallisanamuotojen sijainnista kunkin pilvipalvelujen hankintapyynnön komponentin yhteydessä.
Taulukko 1 – Yhteenveto pilvipalvelujen hankintapyyntökäsikirjan osioista
Osio | Yleiskuvaus ja hankintapyyntöjen mallisanamuodot |
Ylätason kuvaus pilvipalvelujen puitesopimusmallista (osiot, kilpailutus ja sopimuksen tekeminen) | |
Alla olevia osioita koskevat yleiset mallisanamuodot sekä kommentit, joissa on esitelty pilvipalvelujen hankintapyynnön rakenteen ja sanamuotojen perusteet. | |
2.1.1 Johdanto ja strategiset tavoitteet 2.1.2 Hankintapyyntöön vastaamisen aikataulu 2.1.4 Yksityiskohtainen kuvaus puitesopimukseen sisältyvästä hankintamallista ja kilpailuttamisesta | |
2.3.1.1 Tietosuoja 2.3.1.2 Pilvipalveluntarjoajien vaihtaminen ja datan siirtäminen |
Xxxx | Yleiskuvaus ja hankintapyyntöjen mallisanamuodot |
2.5.2 Ohjelmistojen käyttöehdot | |
3.1 Pilvipalvelun hallinnointi 3.2 Budjetin laatiminen pilvipalvelua varten 3.3 Kumppanin liiketoimintamallin tunteminen 3.4 Pilvipalveluiden välittäjät 3.5 Hankintapyyntöä edeltävät lähdetiedot ja markkinatutkimus | |
Luettelo pilvipalvelujen yleisistä teknologiavaatimuksista call off -sopimusten tai minikilpailujen yhteydessä | |
Esimerkki pilviteknologiatuotteen esittelystä (pilviesittelyt call off -sopimuksen tai minikilpailun yhteydessä) |
1.0 Pilvipalvelujen puitesopimuksen yleiskuvaus
Hyvin laadittu pilvipalvelujen puitesopimus on eduksi niin osapuolina oleville julkisen sektorin organisaatioille kuin pilvipalvelujen toimittajillekin. Hyvin laadittu puitesopimus tarjoaa muun muassa seuraavat edut:
• Yhteistyöhön perustuva toimintamalli:
o Usean organisaation yhteistilaukset yhdenmukaisine vaatimukseen ovat käteviä ja tehokkaita, pienentävät kustannuksia sekä virtaviivaistavat tilausprosessia. Tällainen menettely on tehokas tapa yhdistää useiden julkisen sektorin organisaatioiden pilviteknologioiden kysyntä ja niihin liittyvät pilvipalvelut, kuten markkinapaikkaratkaisut ja konsultointi.
• Monipuoliset pilvipalvelut:
o Puitesopimukseen voidaan pilvipalveluinfrastruktuurin tarjoajien pilviteknologioiden ja markkinapaikkapalvelujen lisäksi sisällyttää kaikki konsultointi-/asiantuntija-/hallinnoidut palvelut, jotka tukevat pilvimigraatiota ja pilvipalveluissa suoritettavia työkuormia.
o Pilviteknologioita voidaan ostaa suoraan pilvipalveluinfrastruktuurin tarjoajalta tai valtuutetulta jälleenmyyjältä.
• Sopimuksen hallinnointi:
o Eri organisaatiot/hankintayksiköt voivat soveltaa yhteisiä sopimusehtoja ja yhtä pääsopimusta sen sijaan, että kullakin organisaatiolla olisi omansa.
o Palveluntarjoajat hyötyvät puolestaan siitä, että puitesopimus tarjoaa standardoidun hankintaprosessin, ehdot ja tilausmekanismin erillisten organisaatiokohtaisten menettelyjen sijaan.
o Se tuo joustavuutta. Toimivan pilvipalvelusopimuksen laatiminen, hyväksyminen ja ylläpitäminen julkishallinnon kulloistenkin käytäntöjen tai määräysten puitteissa edellyttää kokeilemista ja kykyä sopeutua muutoksiin nopeasti. On paljon hyödyllisempää laatia puitesopimus, jota julkinen sektori ja pilvipalvelujen tarjoajat pystyvät yhteistyössä kehittämään – sisällöllisesti, mekaanisesti ja tehokkaasti. Monivuotinen sopimus, joka ei käytännössä toimi ja jota ei voi muokata, on hankala niin julkisen sektorin loppukäyttäjille ja hankintaorganisaatioille kuin pilvipalveluntarjoajillekin.
• Valinnanmahdollisuus:
o Ostajat voivat valita useista kelpoisuusehdot täyttävistä pilvipalveluinfrastruktuurin tarjoajista. Tämä asettaa vaatimustason korkealle kaikille pilvipalveluille ja niihin liittyville palveluille, kuten PaaS-/SaaS-markkinapaikalle ja konsultoinnille.
o Puitesopimuksen avulla on helpompi varmistaa, että sen piiriin kuuluvien toimittajien toiminnan laatu on asianmukaisesti tarkistettu.
Pilvipalvelujen hankinnan puitesopimus toimii parhaiten, kun siihen sisällytetään pilvipalveluinfrastruktuurin tarjoajien tarjoamat IaaS/PaaS-ydinteknologiat ja PaaS/SaaS-markkinapaikka sekä konsultointipalvelut, joita julkisen sektorin loppukäyttäjät voivat käyttää apuna suunnitellessaan, käyttäessään ja ylläpitäessään
pilvipalvelussa suoritettavia työkuormia. Siksi ehdotammekin, että pilvipalvelujen hankintapyyntö puitesopimuksen laatimiseksi jaetaan kolmeen osioon seuraavasti:
• OSIO 1 – PILVITEKNOLOGIAT
Suoraan pilvipalveluinfrastruktuurin tarjoajalta tai valtuutetulta jälleenmyyjältä hankittavat pilviteknologiat.
• OSIO 2 – MARKKINAPAIKKA
Pääsy PaaS- ja SaaS-palveluiden markkinapaikkaan.
• OSIO 3 – PILVIKONSULTOINTI
Pilvipalveluihin liittyvät konsultointipalvelut (koulutus, asiantuntijapalvelut, hallinnoidut palvelut jne.) ja tekninen tuki.
Kuten edellä on mainittu, tässä asiakirjassa keskitytään pilvipalveluinfrastruktuurin tarjoajalta (suoraan tai valtuutetulta jälleenmyyjältä ostettavien) IaaS- ja PaaS-pilviteknologioiden (OSIO 1) hankintaan. Erilliset kelpoisuusvaatimukset tarvitaan pilvipalvelujen hankintapyynnön osioiden 2 ja 3 toimittajille.
Kuvassa 1 alla on ylätason kuvaus siitä, miten näihin kolmeen osaan jaoteltu, hyvin laadittu pilvipalvelujen hankintapyyntö auttaa laatimaan pilvipalvelujen puitesopimuksen, joka tarjoaa julkisen sektorin yksiköille ketteryyttä (sekä teknisten ominaisuuksien että sopimuksen sisällön ansiosta), näkyvyyttä sekä kustannusten ja pilvipalvelujen käytön hallintaa. Samalla yksiköt saavat käyttöönsä kaikki pilvipalvelut, jotka ne tarvitsevat omien ratkaisujen kehittämiseen ja ylläpitämiseen.
Kuva 1 – Toimiva pilvipalvelujen hankintapyyntö jaoteltuna kolmeen osioon. Kukin osa sisältää kategorioita tai "tarjontatyyppejä", joiden avulla voidaan varmistaa tekninen ja sisältöperusteinen soveltuvuus loppukäyttäjän vaatimuksiin puitesopimuksen mukaisissa hankinnoissa.
Huomautus:
• Kukin osio voi sisältää useita ratkaisuja.
• Osioon 3 sisältyvät elementit voidaan hankkia toisella hankintapyynnöllä tai mahdollisesti aiemmin tehdyllä konsultointipalvelusopimuksella.
Osion 1 kategoriat
Onnistunut pilvipalvelujen puitesopimus edellyttää, että pilvipalveluinfrastruktuurin tarjoajat kuvailevat tarjoamaansa pilvipalvelumallia eriteltyinä kunkin osion kategorioiden mukaan. Suosittelemme käyttämään julkisen pilvipalvelun, yhteisöpilvipalvelun ja yksityisen pilvipalvelun määritelmissä toimialan pilvipalvelustandardeja (National Institute of Standards and Technology (NIST) Essential Cloud Characteristics). Näin jäsennellyn pilvipalvelujen puitesopimuksen avulla hankintayksikkö ja julkisen sektorin toimijat voivat valita tarpeisiinsa sopivan pilvipalvelumallin tai -malleja.
Katso NIST:n määritelmä kullekin osioon 1 kuuluvalle pilvipalvelumallille (julkinen IaaS/PaaS, yhteisön IaaS/PaaS ja yksityinen IaaS/PaaS) kohdasta 2.1.3 Määritelmät.
Kilpailutus – call off -sopimus vai minikilpailu?
Pilvipalvelujen hankintapyynnön kelpoisuuskriteerien tulisi kattaa ratkaisevat elementit ja vähimmäisvaatimukset, eikä siihen pitäisi sisällyttää yleisluonteisia toivomuksia. Jos puitesopimukseen kelpuutettaville toimittajille määritellään perustason ylittäviä lisävaatimuksia, tämä saattaa sulkea jotkin toimittajat pois kilpailusta, jolloin ostajille jää vähemmän valinnanvaraa.
Hankintapyynnön ja sitä seuraavan pilvipalvelujen puitesopimuksen laatimisen jälkeen puitesopimuksen osapuolina olevat julkisen sektorin toimijat voivat tilata tarvitsemiaan pilvipalveluja tai tehdä niitä koskevan call off -sopimuksen tarpeen mukaan. Tekemällä puitesopimuksen piiriin kuuluvan call off -sopimuksen ostajat voivat tarkentaa vaatimuksia toiminnallisilla lisäerittelyillä ja säilyttää silti puitesopimuksen tarjoamat edut.
Tarvittaessa voidaan järjestää minikilpailu parhaan toimittajan löytämiseksi tietylle työkuormalle tai hankkeelle. Minikilpailu tarkoittaa sitä, että asiakas järjestää puitesopimukseen kuuluville tietyn osion toimittajille jatkokilpailun pyytämällä näitä vastaamaan erikseen määriteltyihin vaatimuksiin. Asiakas kutsuu kaikki tiettyyn osioon sisältyvät pätevät toimittajat jättämään ratkaisuehdotuksensa. Siksi vähimmäisvaatimukset ovat hankintapyynnöissä niin tärkeitä – ne varmistavat laadukkaat valintavaihtoehdot kussakin osiossa.
Huomaa, että on tärkeää määritellä erilliset sopimusehdot kullekin osiolle, kuten edellä esitetyssä kuvassa 1. Yleispätevä malli kaikkia osioita koskeville sopimuksille aiheuttaa tekniseen toteutettavuuteen ja yhteensopivuuteen liittyviä ongelmia.
2.0 Pilvipalvelujen hankintapyynnön yleiskuvaus
Tässä osiossa on kuvattu pilvipalvelujen hankintapyyntömallia ja sen laajuutta, kuten strategisia tavoitteita, osallistujia, määritelmiä, aikajanaa ja hallinnollisia vähimmäisvaatimuksia. On jälleen syytä huomata, että tässä käsikirjassa keskiössä on OSIO 1 – PILVITEKNOLOGIAT.
2.1 Pilvipalvelujen hankintapyynnön määrittely
On erittäin suositeltavaa, että julkisen sektorin yksiköt määrittelevät ylätason tavoitteensa ja vaatimuksensa selkeästi pilvipalvelujen hankintapyynnössä.
2.1.1 Johdanto ja strategiset tavoitteet
Jotta strategiset tavoitteet tulisivat selviksi, pilvipalvelujen hankintapyynnön johdannossa kannattaa tuoda ilmi (1) toiminnalliset tavoitteet ja hyödyt, joita organisaatio haluaa saavuttaa pilvipalvelujen avulla, (2) puitesopimuksen rakenne – esimerkiksi kuka ostaa, käyttää ja budjetoi, (3) selkeä käsitys julkisen sektorin ja pilvipalveluinfrastruktuurin tarjoajien välisestä jaetun vastuun mallista, joka on onnistuneen pilvipalvelujen hankinnan ja käytön ytimessä, sekä (4) pilvipalveluinfrastruktuurin tarjoajien, markkinapaikkapalvelujen jälleenmyyjien, konsultointikumppanien, julkishallinnon hankinta-
/sopimusyksiköiden ja julkishallinnon loppukäyttäjien välisen suhteen tyyppi. Tuomalla nämä neljä kohtaa selkeästi esille organisaatioiden on helppo laatia tarpeitaan parhaiten vastaava hankintapyyntö ja varmistaa, että niin asiakkaille kuin palveluntarjoajillekin on selvää, mitä suoritteita hankintapyynnöllä halutaan saada.
Pilvipalvelujen hankintapyyntö eroaa perinteisistä IT-hankintapyynnöistä tarkoituksellisesti. Pilviteknologia ei korvaa perinteisiä laskentamalleja sellaisenaan, vaan se tuo mukanaan aivan uuden tavan käyttää teknologiaa. Hyvin laadittu pilvipalvelujen hankintapyyntö voi auttaa julkisen sektorin toimijoita saamaan pilvipalvelujen hyödyt käyttöönsä nopeasti. |
Kaikista pilvipalveluhankintojen hyvistä käytännöistä ehkä paras lähtökohta on selkeä käsitys jaetun vastuun mallista. Jaetun vastuun mallia1 käytetään useimmin pilvipalvelujen tietoturvaan ja vaatimustenmukaisuuteen liittyen, mutta vastuiden määrittely koskee pilviteknologioiden kaikkia osatekijöitä. Pilvipalvelujen hankintapyynnössä on eriteltävä selkeästi, mitkä pilvipalveluympäristön elementit ovat pilvipalveluinfrastruktuurin tarjoajan ja mitkä asiakkaan vastuulla. Pilvipalveluinfrastruktuurin tarjoaja voi esimerkiksi tarjota kyvykkyyksiä pilvipalvelussa suoritettavien resurssien ja sovellusten valvontaan, mutta on asiakkaan vastuulla ottaa ne käyttöön, sillä suurella mittakaavalla operoiva pilvipalveluinfrastruktuurin tarjoaja ei tee sitä miljoonien käyttäjien puolesta.
Lisäksi pilvipalveluasiakkaiden on ymmärrettävä, miten pilvipalveluinfrastruktuurin tarjoajan kumppaniverkosto auttaa asiakkaita hyödyntämään pilvipalveluja ja huolehtimaan omista vastuistaan. Esimerkiksi hallinnoitujen pilvipalvelujen tarjoaja voi auttaa asiakasta konfiguroimaan pilvipalveluinfrastruktuurin tarjoajan valvontakyvykkyydet ja ottamaan ne käyttöön asiakkaan omien vaatimustenmukaisuus- ja auditointivaatimusten täyttämiseksi.
1 Ks. pilvipalveluinfrastruktuurin tarjoajien CISPE-käytännesääntöjen kohta 5: xxxxx://xxxxx.xxxxx/xxxxxxx_xxxxx/xx-xxxxxxx/xxxxxxx/0000/00/ Code-of-Conduct-27-January-2017-corrected-march-20.pdf
Pilvipalvelumallissa vastuut ovat yksinkertaistetusti seuraavat:
Pilvipalveluinfrastruktuurin tarjoaja tarjoaa pilviteknologian.
Xxxxxxx käyttää pilviteknologiaa.
(Mahdolliset) konsulttiyritykset auttavat asiakasta pilviteknologian käyttöönotossa ja käytössä.
Konsulttiyritykset ovat konsultointiin ja hallinnoituihin/asiantuntijapalveluihin erikoistuneita yrityksiä, jotka auttavat asiakkaita pilvipalvelussa suoritettavien työkuormien ja sovellusten suunnittelussa, kehittämisessä, migraatiossa ja hallinnoinnissa. Nämä yritykset ovat muun muassa järjestelmäintegraattoreita, strategisia konsultteja, laitoksia, hallinnoitujen palvelujen tarjoajia
sekä lisäarvopalvelujen jälleenmyyjiä.
Pilvipalvelujen hankintaa voitaisiin verrata vaikkapa rautakaupassa käyntiin: Rautakaupassa on myynnissä paljon erilaisia rakennusmateriaaleja ja työkaluja, joiden avulla voit rakentaa esimerkiksi komeron tai uima- altaan tai halutessasi vaikka kokonaisen talon. Saat asiantuntevaa apua ja neuvontaa rautakaupan myyjiltä, mutta he eivät kuitenkaan tule kotiisi tekemään rakennustöitä puolestasi. Sinulla on siis muutama vaihtoehto:
1. Ostat materiaalit ja työkalut ja teet rakennustyöt itse.
2. Ostat materiaalit ja työkalut itse ja palkkaat jonkun tekemään rakennustyöt tai muut tehtävät puolestasi.
3. Palkkaat jonkun tekemään rakennustyöt tai muut tehtävät puolestasi ja pyydät heitä myös tuomaan materiaalit ja työkalut.
Jos organisaatiolla on osaavia sisäisiä resursseja, jotka voivat kehittää pilvipalveluympäristön ja -ratkaisut sekä hallita niitä itse, organisaation tarvitsee hankkia vain standardoidut pilviteknologiat ja työkalut pilvipalveluinfrastruktuurin tarjoajalta (tai tämän jälleenmyyjältä – katso OSIO 1). Tarvittavat SaaS- ja PaaS- ohjelmistot ovat saatavilla pilvimarkkinapaikasta (OSIO 2). Jos organisaatio tarvitsee konsultointia ja apua pilvipalveluun migraatiossa, toimeenpanemisessa ja/tai pilvipalvelujen hallinnassa, pilvipalveluinfrastruktuurin tarjoajan kumppaniverkosto tulee kuvaan mukaan (OSIO 3).
Hankintapyynnön mallisanamuodot: johdanto ja strategiset tavoitteet
Pilvipalvelujen kautta julkisen sektorin organisaatiot saavat nopeasti käyttöönsä monipuoliset, joustavat ja käytön mukaan laskutettavat IT-resurssit. Organisaatiot voivat hankkia tarvittavan määrän oikeantyyppisiä resursseja uusien ideoiden toteuttamisen tai IT-osastojensa tueksi, eikä niiden tarvitse tehdä suuria laitteistoinvestointeja ja/tai pitkäaikaisia ohjelmistolisenssisopimuksia.
<ORGANIZATION> tarvitsee käyttöönsä tämän tyyppisiä kaupallisesti saatavilla olevia pilviteknologioita, jotka vastaavat sen ja muiden vastaavien organisaatioiden toiminnallisiin vaatimuksiin.
Tämän hankintapyynnön päätarkoituksena on solmia ei-yksinomainen rinnakkainen <FRAMEWORK AGREEMENT> enintään <x> palveluntarjoajan kanssa, jotka edustavat erilaisia pilviteknologioita ja niihin liittyviä palveluja.
1. OSIO 1. Pilvipalveluinfrastruktuurin tarjoaja (CISP) tai näiden jälleenmyyjät, joilta pilviteknologioita ostetaan.
2. OSIO 2. Markkinapaikkapalvelujen tarjoajat.
3. OSIO 3. Konsultointipalvelujen tarjoajat, jotka auttavat pilvipalveluinfrastruktuurin tarjoajien toimittamiin ratkaisuihin migraatiossa ja niiden käytössä.
OSION 1 osalta ratkaisuehdotuksen jättävien yritysten (pilvipalveluinfrastruktuurin tarjoajien tai näiden jälleenmyyjien) on osoitettava, miten niiden tarjoama ratkaisu täyttää seuraavat tavoitteet:
• Ketteryys – IT-resurssien on oltava loppukäyttäjien käytettävissä minuuteissa, ei viikkojen tai kuukausien päästä, kuten aiemmin on ollut.
• Innovaatiot – Markkinoiden uusin ja innovatiivisin teknologia käytettävissä saman tien.
• Kustannukset – Pääomakustannukset vaihtuvat muuttuviin kustannuksiin (esim. CapEx vs. OpEx). Laskutus vain käytön mukaan.
• Budjetointi – Näkyvyys laskutus- ja käyttötietoihin erittely- ja yhteenvetotasoilla, kulutrendien visualisointi ja tulevia kuluja koskevat ennusteet.
• Joustavuus – Muuttuvien kustannusten pienentyminen pilvipalvelujen tarjoamien mittakaavaetujen ansiosta.
• Kapasiteetti – Ei enää arvailua, vaan selkeä vastaus infrastruktuurin kapasiteettitarpeisiin.
• Riippumattomuus datakeskuksista – Painopisteenä käytettävyys kansalaisille, ei konesalien kokoaminen ja palvelimien virransaannista huolehtiminen.
• Tietoturva – Tilirakenne, jonka ansiosta resurssit ovat selkeämmin nähtävissä ja paremmin auditoitavissa ja joka eliminoi toimitilojen ja laitteiden suojauskustannukset.
• Xxxxxx vastuu – Operatiivisen työtaakan helpottuminen, kun pilvipalveluinfrastruktuurin tarjoaja ylläpitää, hallinnoi ja valvoo komponentteja isäntäkäyttöjärjestelmästä ja virtualisointikerroksesta lähtien aina niiden tilojen fyysiseen suojaukseen, joissa palvelut toimivat.
• Automatisointi – Pilviarkkitehtuuriin sisäänrakennettu automatisointi, joka helpottaa turvallista, nopeaa ja kustannustehokasta skaalausta.
• Pilvipalvelujen hallinnointi – (1) Aluksi IT-resurssien kattava inventointi, (2) kaikkien näiden resurssien keskitetty hallinta ja (3) esimerkiksi käyttöä, laskutusta ja tietoturvaa koskevien hälytysten luonti – myös omaisuuksien seurantaan, inventaarionhallintaan, muutosten hallintaan, lokitietojen hallintaan ja analysointiin sekä yleiseen näkyvyyteen ja pilvipalvelujen hallinnointiin liittyvät kyvykkyydet.
• Valvonta – Täydellinen näkyvyys IT-palvelujen käyttöön ja tiedot siitä, miten niiden tietoturvaa, luotettavuutta, suorituskykyä ja kustannuksia voidaan säätää.
• Peruutettavuus – Työkalut ja palvelut, jotka tukevat pilvipalveluinfrastruktuurin tarjoajan infrastruktuuriin ja siitä pois migraatiota, minimoivat riippuvuuden toimittajista ja kunnioittavat alan käytännesääntöjä.
• Tietosuoja – Kyky osoittaa yleisen tietosuoja-asetuksen noudattaminen pilvipalveluinfrastruktuuria koskevien toimialan käytännesääntöjen (tietosuojaa koskevat CISPE-käytännesäännöt) mukaisesti.
• Läpinäkyvyys – Asiakkailla oltava oikeus tietää, missä heidän tietojaan käsitellään ja säilytetään (paikkakunta).
• Ilmastoneutraalius – Asiakkaiden tulisi toimia sellaisten pilvipalveluinfrastruktuurin tarjoajien kanssa, jotka ryhtyvät tehokkaiksi todettuihin tarkasti määriteltyihin toimenpiteisiin ilmastoneutraaliutta koskevien tavoitteiden saavuttamiseksi vuoteen 2030, mennessä, ja jotka ovat allekirjoittaneet Ilmastoneutraali datakeskus -sopimuksen. Tämä auttaa asiakkaita saavuttamaan omat ilmastoneutraaliustavoitteemme.
2.1.2 Hankintapyyntöön vastaamisen aikataulu
Pilvipalvelujen puitesopimusta ja hankintapyyntöä laadittaessa on hyvä kertoa ratkaisuehdotusten käsittelyaikataulusta ehdotusten jättäjille. Yhteydenpito alan toimijoihin kannattaa, koska sen avulla voidaan varmistaa, että kaikki osapuolet ovat selvillä hankintapyynnön vaatimuksista ja siitä, miten tarjottavat palvelut soveltuvat pilvipalvelumalliin.
On syytä huomata, että hankintapyynnön aikataulua koskevat paikalliset lait ja niissä määritetyt velvoitteet, ja alla olevassa luettelossa on vain esitelty parhaat käytännöt – se ei siis ole määräävä toimenpiteiden ja aikataulujen luettelo.
Hankintapyynnön mallisanamuodot: vastausaikataulu
Ks. Pilvipalvelujen hankintapyynnön aikataulu alla:
Pilvipalvelujen hankintapyynnön aikataulu |
• Tietopyynnön julkaisu: • Vastaukset tietopyyntöön: • Hankintapyyntöluonnos, julkaisu: • Vastaukset hankintapyyntöluonnokseen, määräaika: • Toimialan kuulemisvaihe: <aikataulut> • Hankintapyynnön esikarsinta, julkaisu: • Hankintapyynnön esikarsinta, vastaukset: • Hankintapyynnön julkaisu: • 1. kierroksen kysymykset, määräaika: • 1. kierroksen vastaukset: • 2. kierroksen kysymykset, määräaika: • 2. kierroksen vastaukset: • Hankintapyynnön vastausten määräaika: • Ehdotusten selvennysjakso: • Neuvottelujakso: • Sopimuksen myöntämisaikeen päivämäärä: • Sopimuksen solmiminen: • Sopimuksen kesto (jatko-optiot): |
On syytä huomata, että hankintapyynnön aikataulua koskevat paikalliset lait ja niissä määritetyt velvoitteet, ja alla olevassa luettelossa on vain esitelty parhaat käytännöt – se ei siis ole määräävä toimenpiteiden ja aikataulujen luettelo.
Pilvipalvelujen hankintapyyntöön on sisällytettävä yksityiskohtainen määritelmien luettelo. Siinä mainitaan toimittajien roolit (esimerkiksi pilvipalveluntoimittaja, pilvipalvelujen jälleenmyyjä, toimittajan kumppani), yleiset teknologiakäsitteet (laskenta, tallennustila, IaaS/PaaS, SaaS) ja muut keskeiset sopimuselementit. Seuraavassa on määritelmien malliluettelo:
Hankintapyynnön mallisanamuodot: määritelmät
Seuraavat määritelmät ovat NIST:n (National Institute of Standards and Technology) käyttämiä pilvipalvelun määritelmiä.2
- Infrastruktuuri palveluna (IaaS). Kuluttajan käyttöön tarjottavat tietojenkäsittely-, tallennustila- ja tietoliikenneresurssit sekä muut tietojenkäsittelyn perusresurssit, joiden avulla kuluttaja voi ottaa käyttöön haluamansa ohjelmistot, käyttöjärjestelmät ja sovellukset ja suorittaa niitä. Kuluttaja ei hallitse tai valvo taustalla olevaa pilvi-infrastruktuuria, mutta voi hallita käyttöjärjestelmiä, tallennustilaa ja käyttöön otettuja sovelluksia sekä mahdollisuuksien mukaan rajoitetusti myös tiettyjä verkkokomponentteja (kuten isäntäjärjestelmän palomuureja).
- Alusta palveluna (PaaS). Kuluttajalle tarjottava pilvi-infrastruktuuri, jossa kuluttaja voi ottaa käyttöön omia tai hankkimiaan sovelluksia, jotka on luotu käyttämällä palveluntarjoajan tukemia ohjelmointikieliä, kirjastoja, palveluja ja työkaluja. Kuluttaja ei hallitse tai valvo taustalla olevaa pilvi-infrastruktuuria, kuten verkkoa, palvelimia, käyttöjärjestelmiä tai tallennustilaa, mutta voi valvoa käyttöön otettuja sovelluksia sekä mahdollisesti isäntäympäristön konfigurointiasetuksia.
- Ohjelmistopalvelu (SaaS). Kuluttajalle tarjottava ratkaisu, jossa kuluttaja voi käyttää pilvi-infrastruktuurissa suoritettavia palveluntarjoajan sovelluksia. Sovelluksia voi käyttää eri laitteilla joko Thin Client - käyttöliittymän, kuten verkkoselaimen (esimerkiksi verkkosähköposti), tai ohjelmarajapinnan kautta. Kuluttaja ei hallitse tai valvo taustalla olevaa pilvi-infrastruktuuria, kuten verkkoa, palvelimia, käyttöjärjestelmiä, tallennustilaa tai edes yksittäisten sovellusten kyvykkyyksiä, lukuun ottamatta mahdollisesti rajoitettuja käyttäjäkohtaisia sovellusten konfigurointiasetuksia.
- Julkinen pilvipalvelu. Suuren yleisön käyttöön tarkoitettu pilvi-infrastruktuuri. Se voi olla jonkin yrityksen, oppilaitoksen tai julkishallinnon organisaation tai näiden yhdistelmän omistama, hallinnoima ja ylläpitämä. Sijaitsee pilvipalveluntarjoajan tiloissa.
- Yhteisöpilvipalvelu. Pelkästään tietylle käyttäjäryhmälle varattu pilvi-infrastruktuuri organisaatioissa, joilla on yhteiset intressit (kuten missio, tietoturvavaatimukset, käytännöt ja vaatimustenmukaisuusvaatimukset). Se voi olla yhden tai useamman yhteisöön kuuluvan organisaation, kolmannen osapuolen tai näiden yhdistelmän omistama, hallinnoima ja ylläpitämä ja sijaita näiden omassa konesaliympäristössä tai muualla.
- Hybridipilvipalvelu. Sisältää vähintään kaksi erillistä pilvi-infrastruktuuria (yksityistä, yhteisö- tai julkista pilvipalvelua), jotka ovat omia yksiköitään mutta joita sitoo standardoitu tai tietyn omistajan teknologia, joka mahdollistaa tietojen ja sovellusten siirrettävyyden (esimerkiksi pilvipalvelun jakaminen, jotta kuormaa voidaan tasata pilvipalvelujen välillä).
- Yksityinen pilvipalvelu. Useasta käyttäjästä koostuvan yksittäisen organisaation (esimerkiksi liiketoimintayksikön) yksinomaiseen käyttöön varattu pilvi-infrastruktuuri. Se voi olla kyseisen organisaation, kolmannen osapuolen tai näiden yhdistelmän omistama, hallinnoima ja ylläpitämä ja sijaita näiden omassa konesaliympäristössä tai muualla.
2.1.4 Yksityiskohtainen kuvaus puitesopimukseen sisältyvästä hankintamallista ja kilpailuttamisesta
Kuten edellä on mainittu, julkisen sektorin organisaatioiden on määriteltävä malli, jonka mukaisesti puitesopimus toimii pilviteknologioiden ja niihin liittyvien käyttöönotto- ja hallintapalvelujen hankintamekanismina. Tämä on tehtävä selväksi pilvipalvelujen hankintapyynnössä, jotta pilviteknologioiden
2 xxxxx://xxxxxxx.xxxx.xxx/xxxxxxxx/Xxxxxx/XX/xxxxxxxxxxxxxxxxxxxxxx000-000.xxx
toimittajat, konsultointipalveluyritykset, markkinapaikkojen jälleenmyyjät ja hankintayksiköt ymmärtävät omat roolinsa.
Puitesopimuksen laajuuden sekä call off -sopimusten tai minikilpailujen osalta organisaatioiden on syytä pohtia seuraavia seikkoja:
• Kuka vastaa sopimuksen mukaisten pilvipalvelujen integroinnista ja niihin liittyvistä hallinnoiduista palveluista?
• Tarvitaanko pilvipalveluinfrastruktuurin tarjoajan jälleenmyyjää/kumppania, joka tarjoaa muitakin lisäarvopalveluja kuin pilvipalveluinfrastruktuurin tarjoajan sopimusvelvoitteiden täyttämistä, konsolidoituja laskutuspalveluja sekä ajantasaista ja suoraa pääsyä pilvipalvelujen käyttöä koskeviin käyttö- ja laskutustietoihin?
• Tarvitaanko lisäarvopalvelujen jälleenmyyjää, järjestelmäintegraattoria tai hallinnoitujen palvelujen tarjoajaa tai mitä tahansa IT-työvoimapalveluja?
On syytä huomata, ettei pilvipalveluinfrastruktuurin tarjoaja ole järjestelmäintegraattori tai hallinnoitujen palvelujen tarjoaja. Monet julkisen sektorin asiakkaat hankkivat IaaS-/PaaS-ratkaisut pilvipalveluinfrastruktuurin tarjoajalta ja ulkoistavat konsultoinnin ja käytännön suunnittelun, migraation ja hallintatyöt järjestelmäintegraattorille tai hallinnoitujen palvelujen tarjoajalle. Pilvipalvelumallin roolien ja vastuiden jakautuminen on kuvattu alla kuvassa 2.
Kuva 2 – Pilvipalvelujen hankintapyynnön tulisi muodostaa tarjonta, josta loppukäyttäjät voivat valita tarvitsemansa pilvipalvelut. Julkisen sektorin asiakkaat tarvitsevat pilvipalveluinfrastruktuurin tarjoajan, joka toimittaa pilviteknologiat sekä PaaS- ja SaaS-tuotteiden markkinapaikan tarpeen mukaan. Tämän jälkeen asiakas voi määritellä, miten suuren roolin se haluaa omaksua pilvipalvelujen toimittamisessa ja miten paljon se haluaa ulkoistaa esimerkiksi konsultointiyritykselle, järjestelmäintegraattorille tai hallinnoitujen palvelujen tarjoajalle.
Alla olevat mallisanamuodot perustuvat yllä olevassa kuvassa 2 esitettyihin rooleihin ja vastuisiin. Pilvipalvelujen puitesopimuksen ja siihen liittyvän hankintapyynnön on varmistettava, että ostajat pystyvät asianmukaisesti arvioimaan kunkin toimittajan ratkaisuehdotuksia ja siten valitsemaan työkuormaa tai hanketta varten tarvittavat palvelut. Tämä onnistuu parhaiten jaottelemalla palvelut edellä kuvattuihin
osioihin ja määrittelemällä selkeästi, miten call off -sopimukset ja minikilpailut järjestetään puitesopimuksen mukaisesti.
Hankintapyynnön mallisanamuodot: hankintamalli
Tämä sopimus toimii hankintojen kehyksenä. Tähän pilvipalvelujen puitesopimukseen sisältyy useita
<ORGANIZATION>:n määrittämiä osia pilviteknologioille ja niihin liittyville markkinapaikkapalveluille/-tuotteille, konsultointipalveluille, asiantuntijapalveluille, järjestelmäintegraatiolle, hallinnoiduille palveluille, migraation asiantuntijapalveluille, koulutukselle ja tuelle <ORGANIZATION>:n määrittelemällä tavalla, ja sitä voivat käyttää useat
<ORGANIZATION>:iin kuuluvat valtuutetut ostajat. Tämä selkeyttää hankintaprosessia ja optimoi mittakaavaedut.
Laaditun puitesopimuksen avulla organisaatio voi hankkia tarvitsemansa pilviteknologiat ja -palvelut oikea-aikaisesti sen sijaan, että kukin hankinta jouduttaisiin toteuttamaan erillisenä prosessina. Tällainen malli minimoi hallinnolliset vaatimukset, vähentää merkittävästi hankintojen monimutkaisuutta ja lyhentää läpimenoaikaa.
Puitesopimus on voimassa enintään <X> vuotta mahdolliset uusimiset mukaan lukien. Puitesopimukseen sisältyvä call off -sopimus on tavallisesti voimassa enintään <x> kuukautta. Sitä voidaan jatkaa <x> kuukaudella ja sen jälkeen vielä
<x> kuukaudella, xxxxxx sisäinen hyväksyntä sopimuksen jatkamiselle on tarvittaessa saatu. Tämä määritellään tarkemmin kussakin call off -sopimuksessa.
KEHYS on jaettu kolmeen (3) osioon.
1. OSIO 1: PILVITEKNOLOGIAT – kaikki pilvipalveluntarjoajan teknologiat (suoraan pilvipalveluinfrastruktuurin tarjoajalta, jälleenmyyjältä tai lisäarvopalveluja/tukea tarjoavalta jälleenmyyjältä):
i. IaaS- ja PaaS-palvelut – pilviteknologioiden valikoima, esimerkiksi laskenta-, tallennustila-, tietoliikenne-, tietokanta-, analytiikka- ja sovelluspalvelut, käyttöönotto, hallinta, kehitys ja esineiden internet (IoT). Sisältää paketoidut pilviteknologiaratkaisut, esimerkiksi DR/COOP, arkisto, big data ja analytiikka sekä DevOps.
2. OSIO 2: MARKKINAPAIKKA – kaikki PaaS- ja SaaS-palvelut ja -tuotteet, kuten talouslaskenta, asiakkuudenhallinta, suunnittelu, henkilöstöhallinto, GIS ja paikkatietopalvelut, suurteholaskenta, yritystiedot, sisällönhallinta ja lokitietojen analysointi.
3. OSIO 3: PILVIKONSULTOINTI – kaikki pilvipalvelumigraatioon ja pilvipalvelujen käyttöön liittyvät konsultointipalvelut (hallinnoidut palvelut, asiantuntijapalvelut, neuvonta-/konsultointipalvelut, lisäarvopalvelut, FinOps, tekninen tuki). Palveluihin voi sisältyä esimerkiksi suunnittelu, migraatio, hallinta, tuki, kysymykset ja vastaukset, tietoturva ja koulutus.
Toimittajat voivat lähettää tarjouksia useista osioista.
Toimittajat voivat lähettää tarjouksensa ja hinnoittelunsa haluamassaan muodossa. KEHYKSEEN PERUSTUVA KILPAILUTUS JA SOPIMUSKUMPPANIEN VALINTA
CALL OFF -SOPIMUKSET
Puitesopimuksen osapuolina toimivat julkisen sektorin yksiköt voivat tehdä call off -sopimuksia tarpeen mukaan. Tekemällä puitesopimuksen piiriin kuuluvan call off -sopimuksen ostajat voivat tarkentaa vaatimuksia toiminnallisilla lisäerittelyillä ja säilyttää silti puitesopimuksen tarjoamat edut.
Puitesopimuksen kautta tehtävät sopimukset tuottavat selkeän kirjausketjun vaatimuksille, joiden perusteella kunkin osion toimittajat valitaan. Lopulliset ostajat pitävät kirjaa yhteydenpidostaan toimittajien kanssa, mukaan lukien varhaisvaiheen markkinayhteydenotot, selvennyspyynnöt, sähköpostiviestit ja kahdenkeskiset keskustelut.
1. CALL OFF -VAATIMUSTEN KIRJAAMINEN JA SISÄISEN OSTOLUVAN PYYTÄMINEN
Kaikki lopulliset ostajat, joilla on oikeus käyttää puitesopimusta, muodostavat loppukäyttäjistä, ostoasiantuntijoista ja teknisistä asiantuntijoista koostuvia tiimejä, jotka laativat luettelon pakollisista ja ehdollisista edellytyksistä. Vaatimusten avulla voidaan määritellä, mitä osioita sopimus koskee ja mikä toimittaja pystyy täyttämään vaatimukset parhaiten. Vaatimuksia laatiessaan ostajien on huomioitava:
• palvelun käyttöön saatavilla olevat varat
• hankkeen tekniset ja hankintaa koskevat vaatimukset
• kriteerit, joiden perusteella valinta tehdään
2. PALVELUJEN HAKU
Puitesopimuksen piiriin kuuluvat ostajat etsivät tarpeitaan vastaavat tuotteet/palvelut verkossa olevasta kehyskatalogista (portaalista, jossa luetellaan kelpoisuusvaatimukset täyttävät puitesopimuksen toimeksisaajat palveluineen). He valitsevat haluamansa osiot ja hakevat sen jälkeen palveluja.
3. PALVELUJEN LÄPIKÄYNTI JA ARVIOINTI
Puitesopimuksen piiriin kuuluvat ostajat käyvät läpi palvelukuvaukset ja etsivät palvelut, jotka vastaavat ostajien tarpeita parhaiten niin vaatimusten kuin budjetin osalta. Jokainen palvelukuvaus sisältää:
• Palvelun määrittelyasiakirjan tai linkit palvelumäärittelyihin
• Ehtoasiakirjan
• Hinnoitteluasiakirjan (linkit julkisiin hinnoittelutietoihin hyväksytään, kunhan täydellinen hinnasto tai hinnoitteluasiakirja on saatavilla pyynnöstä)
Hinta muodostuu palvelun yleisimmän kokoonpanon kustannuksista. Hinnoittelu on kuitenkin tavallisesti määräperusteista, joten ostajien on aina tarkastettava toimittajan hinnoitteluasiakirja tai julkiset hinnoittelutiedot ja selvitettävä hintalaskurien avulla ostettavien palvelujen todellinen hinta sekä niiden ostajalle tuottama kokonaisarvo (esimerkiksi optimointipalvelut ja niistä seuraava kustannussäästö).
Puitesopimuksen piiriin kuuluvat ostajat voivat pyytää toimittajia selventämään palvelukuvausta, ehtoja, hinnoittelua, palvelun määrittelyasiakirjoja tai palvelumallia. Kaikesta yhteydenpidosta toimittajien kanssa pidetään kirjaa.
4. XXXXXXXX VALITSEMINEN JA SOPIMUKSEN MYÖNTÄMINEN Yksi toimittaja
Jos vain yksi toimittaja täyttää vaatimukset, sopimus voidaan tehdä sen kanssa.
Useita toimittajia
Jos valittujen listalla on useita palveluja, ostaja valitsee palvelun, jonka tarjous on kokonaistaloudellisesti edullisin. Kokonaistaloudellisesti edullisinta tarjousta koskevat arviointikriteerit on esitetty seuraavassa taulukossa. Ostajat voivat päättää, mitä ominaisuuksia arvioinnissa käytetään ja miten niitä painotetaan.
Huomaa, että ostajan täytyy ehkä:
• etsiä eri toimittajien yhdistelmiä
• hankkia yksityiskohtaisia tietoja määristä, määräalennuksista sekä toimittajan tarjoamista kustannusten optimointipalveluista
Toimittajat on aina arvioitava oikeudenmukaisesti ja läpinäkyvästi. Valinta tehdään sopivimman ratkaisun perusteella, eikä toimittajia/palveluja saa sulkea pois tarkistamatta asiaa hankkeen vaatimuksista.
Taulukko 2 – Kokonaistaloudellisesti edullisimpaan tarjoukseen perustuva arviointi
Valintakriteerit | ||
Elinkaarikustannukset: kustannustehokkuus, hinta ja käyttökustannukset | ||
Tekniset ominaisuudet ja toiminnallinen soveltuvuus: kattavuus, verkkokapasiteetti ja suorituskyky oleellisilla palvelutasoilla | ||
Myynnin jälkeisten palvelujen hallinta: käyttäjätuki, dokumentaatio, asiakkuudenhallinta ja toimitusvarmuus eri palveluille | ||
Muut kuin toiminnalliset ominaisuudet | ||
MINIKILPAILUT Tarvittaessa voidaan järjestää minikilpailu parhaan toimittajan löytämiseksi tietylle työkuormalle tai hankkeelle. Minikilpailu tarkoittaa sitä, että asiakas järjestää puitesopimukseen kuuluville tietyn osion toimittajille jatkokilpailun pyytämällä näitä vastaamaan erikseen määriteltyihin vaatimuksiin. Asiakas kutsuu kaikki osioon sisältyvät kelvolliset toimittajat osallistumaan kilpailuun. Katso myös jäljempänä olevia teknisten ominaisuuksien, tietoturvan ja hinnoittelun/arvonluonnin vertailutietoja. SOPIMUS Sekä ostaja että toimittaja allekirjoittavat sopimuksen, ennen kuin palvelu voidaan ottaa käyttöön. Puitesopimus on tavallisesti voimassa enintään <x> kuukautta. Voimassaoloa voidaan jatkaa <x> kuukaudella ja sen jälkeen vielä <x> kuukaudella, kunhan sisäinen hyväksyntä sopimuksen jatkamiselle on tarvittaessa saatu. Kaikkien osapuolten (ostajan ja toimittajan) on allekirjoitettava sopimus, ennen kuin palvelu voidaan ottaa käyttöön. | ||
2.1.5 Hallinnolliset vähimmäisvaatimukset tarjoajille
Selkeät ja yksinkertaiset puitesopimuksen kelpoisuuskriteerit auttavat varmistamaan, ettei ehdotuksia saada perinteisten datakeskusten tai laitteistojen toimittajilta, jotka vain paketoivat perinteisen ratkaisun "pilvipalveluratkaisuksi". Hankintapyyntöön osallistuvien tahojen on pystyttävä osoittamaan, miten ne täyttävät alla mainitut tarjoajien hallinnolliset vähimmäisvaatimukset.
On syytä jälleen huomata, että tässä asiakirjassa keskiössä on OSIO 1 – PILVITEKNOLOGIAT. OSIO 2 – MARKKINAPAIKKA ja OSIO 3 – PILVIKONSULTOINTI on kuitenkin sisällytetty mukaan siltä osin kuin ne selventävät vaatimuksia ja hankintapyynnön laajuutta. On tärkeää sisällyttää mukaan esimerkiksi pilvipalveluinfrastruktuurin tarjoajan jälleenmyyjää, hallittujen palvelujen tarjoajaa, järjestelmäintegraattoria tai konsultointiyritystä koskevat vähimmäiskelpoisuuskriteerit, jotka auttavat varmistamaan, että kyseiset toimijat (1) liittyvät suoraan pilvipalveluinfrastruktuurin tarjoajaan tämän
jälleenmyyjänä tai kanavakumppanina, (2) ovat saaneet pilvipalveluinfrastruktuurin tarjoajalta valtuutuksen jälleenmyydä ratkaisuja kolmansille osapuolille ja (3) ovat saaneet pilvipalveluinfrastruktuurin tarjoajalta osaamistaan ja asiantuntemustaan koskevat sertifioinnit.
Hankintapyynnön mallisanamuodot: hallinnolliset vähimmäisvaatimukset tarjoajille
Tämän puitesopimuksen mukaisesti sopimuksia myönnetään useille toimittajille seuraavissa kategorioissa. Toimittajan tulee olla kaupallinen pilvipalveluinfrastruktuurin tarjoaja, tämän kolmannen osapuolen jälleenmyyjä, markkinapaikkapalvelujen jälleenmyyjä ja/tai pilvipalveluratkaisun hyödyntämiseen liittyvien palvelujen (esimerkiksi konsultointi, migraatiopalvelut, hallinnoidut palvelut tai FinOps) tarjoaja. Xxxxxxx roolit, joita jätetty tarjous koskee:
OSIO 1
– Julkisen pilvipalvelun (IaaS JA PaaS) suora pilvipalveluinfrastruktuurin tarjoaja
– Yhteisöpilvipalvelun (IaaS JA PaaS) suora pilvipalveluinfrastruktuurin tarjoaja
– Yksityisen pilvipalvelun (IaaS JA PaaS) suora pilvipalveluinfrastruktuurin tarjoaja
– Pilvipalveluinfrastruktuurin tarjoajan kolmannen osapuolen jälleenmyyjä (tarjoaa suoran pääsyn pilvipalveluinfrastruktuurin tarjoajan ratkaisuihin)
o Mihin pilvipalveluinfrastruktuurin tarjoajan ratkaisuun sinulla on oikeus jälleenmyydä suoraa pääsyä:
o Liitä mukaan pilvipalveluinfrastruktuurin tarjoajalta saatu kirjallinen vahvistus, että olet valtuutettu jälleenmyyjä:
OSIO 2
– Pilvipalveluinfrastruktuurissa (PaaS ja/tai SaaS) toimivien markkinapaikkapalvelujen suora toimittaja
– Pilvipalveluinfrastruktuurissa (PaaS ja/tai SaaS) toimivien markkinapaikkapalvelujen jälleenmyyjä OSIO 3
– Asiantuntijapalveluja tarjoava pilvipalveluinfrastruktuurin tarjoaja
– Pilvipalveluinfrastruktuurin teknisen tuen tarjoaja
– Pilvipalveluinfrastruktuurin tarjoajan kumppani, joka tarjoaa pilvipalveluinfrastruktuurin käyttöön tai ylläpitoon liittyviä palveluja
– Vaikuttaja/neuvonantaja, joka tarjoaa pilvipalveluinfrastruktuurin käyttöön tai ylläpitoon liittyviä palveluja
Määritä tarjottavan ratkaisun tyyppi:
• Pilvipalveluinfrastruktuurissa suoritettavia työkuormia koskevat hallitut palvelut (K/E):
o Määritä mahdolliset erikoisalat:
• Asiantuntijapalvelut: (K/E):
• Konsultointi – Koulutus (K/E):
• Konsultointi – Strategia (K/E):
• Konsultointi – Migraatio (K/E):
• Konsultointi – Pilvipalvelun hallinnointi (K/E):
• Konsultointi – FinOps (K/E):
• Konsultointi – Muu (tarkenna):
Minkä pilvipalveluinfrastruktuurin tarjoajan tai -tarjoajien ratkaisuja tarjoat:
Liitä mukaan pilvipalveluinfrastruktuurin tarjoajan kirjallinen vahvistus, että olet kumppani palveluntarjoajan mallissa:
OSIO 1 – HALLINNOLLISET VÄHIMMÄISVAATIMUKSET
Pilvipalveluinfrastruktuurin tarjoajat
Kelpoisuusehdot täyttävien pilvipalveluinfrastruktuurin tarjoajien on osoitettava noudattavansa seuraavia vaatimuksia.
Pilvipalveluinfrastruktuurin tarjoajia koskevat ehdotetut kelpoisuuskriteerit | Syy |
Organisaation tiedot, kuten nimi, juridinen rakenne, y-tunnus, alv-numero jne. | |
Yrityksen koko, taloudellinen asema ja rahoitusasema3 | Asiakas voi määritellä, pystyykö pilvipalveluinfrastruktuurin tarjoaja huolehtimaan sopimusvelvoitteistaan. |
Poissulkemisen syyt, kuten rikollinen tai petollinen toiminta | |
Asiakasesimerkit/-referenssit (määritä tarvittava määrä/tyyppi) | Asiakas pystyy mittaamaan pilvipalveluinfrastruktuurin tarjoajan kokemusta tarvittavien palvelujen toimittamisessa. |
Yrityksen yhteiskuntavastuu | Näiden on oltava pilvipalveluinfrastruktuurin tarjoajan julkaisemia, yleisesti saatavilla olevia versioita. |
Yleisesti saatavilla olevat kestävyyssitoumukset ja -käytännöt. | Asiakas pystyy tarkistamaan, että pilvipalveluinfrastruktuurin tarjoaja on sitoutunut mahdollisimman ympäristöystävälliseen liiketoimintaan. |
Pilvipalveluinfrastruktuurin tarjoajan on toimitettava tiedot innovaatioistaan ja julkaisemistaan uusista hyödyllisistä palveluista sekä ominaisuuksista viimeisten viiden vuoden ajalta erityisesti seuraavilla alueilla: PaaS, koneoppiminen ja analytiikka, big data, hallinnoidut palvelut ja pilvipalvelujen käytön optimointiratkaisut. Yleisesti saatavilla olevat muutoslokit tai päivityssyötteet soveltuvat perusteluiksi. | Osoittaa, että pilvipalveluinfrastruktuurin tarjoaja pyrkii saamaan uudet tuotteet asiakkaille nopeasti ja sen jälkeen iteroi ja kehittää tuotteita jatkuvasti. Näin asiakkaat saavat uusinta kehitystä edustavan IT-infrastruktuurin käyttöönsä ilman lisäinvestointeja. |
Jälleenmyyjän/kumppanin suhde pilvipalveluinfrastruktuurin tarjoajaan
<ORGANIZATION> edellyttää, että päätoimeksisaajalla on suora suhde pilvipalveluinfrastruktuurin tarjoajaan jälleenmyyjänä tai kanavakumppanina, sillä on pilvipalveluinfrastruktuurin tarjoajan valtuutus jälleenmyydä suoraa pääsyä pilvipalveluinfrastruktuurin tarjoajan ratkaisuihin kolmansille osapuolille ja se on saanut
3 Huomaa, että pilvipalvelujen ratkaisupyynnössä pyydetään yrityksistä ylätason tietoja, ei tarkkaa henkilöstömäärää ja sisäistä henkilöstötiimirakennetta. Pilviteknologiassa palvelun suorituskykytakuu ei riipu henkilöstömäärästä. Pilvipalvelujen ratkaisupyynnöllä selvitetään sen sijaan, pystyykö yritys omassa kokoluokassaan täyttämään vaatimukset (oikean mittakaavan) sekä todistamaan kokemuksensa/suorituskykynsä.
pilvipalveluinfrastruktuurin tarjoajiltaan osaamistaan ja asiantuntemustaan koskevat sertifioinnit. Näin
<ORGANIZATION>:n ei tarvitse tarkistaa sopimusehtoja, jotka koskevat puitesopimuksen päätoimeksisaajan ja pilvipalveluinfrastruktuurin tarjoajan välistä ylimääräistä alihankintatasoa. Tämä vaatimus vähentää myös ylimääräisistä jälleenmyyjätasoista aiheutuvaa monimutkaisuutta, kun (1) <ORGANIZATION> tekee Due Diligence - selvityksen varmistaakseen tarjottavien palvelujen selkeän vastuunjaon ja kun (2) <ORGANIZATION> suorittaa päivittäisiä toimintojaan, joihin sisältyy pilvipalvelujen käyttö.
Pilvipalvelujen hankintapyynnössä on edellytettävä, että pilvipalveluinfrastruktuurin tarjoajat pystyvät tarjoamaan standardoidut pilviteknologiat, joita asiakas tarvitsee oman mukautetun ratkaisunsa kehittämiseksi. Kuten edellä on mainittu, standardoidun ja mukautetun ratkaisun välinen ero on erittäin tärkeä pilvipalvelujen hankintapyyntöä laadittaessa. Pilvipalveluinfrastruktuurin tarjoajat tarjoavat standardoituja palveluja miljoonille asiakkaille, joten hankintapyynnössä mainitut mukautukset painottuvat kehittyneempiin ratkaisuihin ja lopputuloksiin, eivät perustason menetelmiin, infrastruktuuriin tai laitteisiin, joita käytetään halutun lopputuloksen tuottavien pilvipalvelujen tarjoamiseen.
Perinteisissä IT-hankinnoissa käytettävät liiketoiminnalliset vaatimukset on yleensä kehitetty työryhmäistunnoissa, joissa on dokumentoitu organisaation kulloisetkin toimintamallit. Tällaisten vaatimusten täydellinen kirjaaminen on parhaimmillaankin hankala prosessi. Jos se onnistuu, työryhmäistunnoissa tulee dokumentoiduksi siihenastinen toimintaprosessi, joka voi itsessään olla vanhanaikainen ja tehoton. Jos nämä vaatimukset sitten sisällytetään hankintapyyntöön pilvipalveluinfrastruktuurin tarjoajan replikoitaviksi, ainoa ratkaisu saattaa olla mukautettu ratkaisu. Tämä malli ei sovellu pilvipalveluhankintoihin.
Julkisen sektorin organisaatioiden tulisi ymmärtää toimintansa tavoitteet ja suorituskykytarpeet, mutta hankintapyyntöä ei silti pidä laatia liian ohjaavaksi niin, että siinä saneltaisiin toivotun järjestelmän rakenne ja toiminnallisuus. Organisaation kannattaa sen sijaan hakea liiketoiminnallisesti järkevintä ratkaisua. Organisaatioiden ei kannata pyytää arvioitavakseen ehdotuksia satoihin tai jopa tuhansiin ohjaaviin vaatimuksiin, jotka eivät välttämättä johda onnistuneisiin palveluihin, vaan niiden tulisi valita arviointikriteerit sen perusteella, miten hyvin teknologia ja siihen liittyvät palvelut täyttävät liiketoiminnan tavoitteet, voidaanko niiden avulla saavuttaa tarvittava suorituskyky ja voidaanko konfiguroinnin avulla hienosäätää liiketoimintaa koskevia sääntöjä.
Pilvipalvelujen hankintapyynnössä on osattava esittää oikeat kysymykset parhaiden ratkaisujen saavuttamiseksi. Koska pilvipalvelumallissa ei osteta fyysisiä resursseja, monet perinteiset datakeskusten hankintaa koskevat vaatimukset eivät sovellu käytettäviksi siinä. Jos ratkaisupyynnössä käytetään datakeskusta koskevia vaatimuksia, saadaan väistämättä datakeskuksia koskevia ratkaisuehdotuksia. Tällöin pilvipalveluinfrastruktuurin tarjoajat eivät pysty jättämään ehdotuksia tai lopputuloksena on epätarkoituksenmukaisia sopimuksia, jotka estävät julkisen sektorin asiakkaita hyödyntämästä pilvipalveluiden tarjoamia kyvykkyyksiä ja etuja.
Pilvipalvelujen hankintapyynnössä painotetaan pilvipalveluinfrastruktuurin tarjoajalta ja pilvipalveluilta edellytettäviä keskeisiä vaatimuksia. Näin varmistetaan, että OSION 1 vaatimukset täyttävät toimittajat ovat laadukkaita. Vaatimukset eivät saa olla myöskään liian ohjaavia, jotta ne eivät rajoita julkisen sektorin mahdollisuutta valita sopivin useista kelpoisuusehdot täyttävistä pilvipalveluinfrastruktuurin tarjoajista.
Hankintapyynnön mallisanamuodot: pilvipalveluntarjoajan kyvykkyydet
Katso myös edeltä OSION 1 pilvipalveluinfrastruktuurin tarjoajia koskevat hallinnolliset vähimmäisvaatimukset.
Pilvipalveluinfrastruktuurin tarjoajia koskevat ehdotetut kelpoisuuskriteerit | Syy | |||||
Infrastruktuuri | ||||||
Pilvipalveluinfrastruktuurin tarjoajan infrastruktuurin on sisällettävä vähintään kaksi datakeskusklusteria. Kunkin klusterin on käsitettävä vähintään kaksi datakeskusta yhdistettynä lyhyen viiveen linkillä, joka mahdollistaa käytettävyydeltään korkeat aktiiviset-aktiiviset käyttöönotot sekä häiriötilanteista palautumista / liiketoiminnan jatkuvuutta (DR/BC) koskevien skenaarioiden toteutukset. Kunkin klusterin muodostavien datakeskusten on oltava fyysisesti erillään ja vikasietoisesti toisistaan riippumattomia. | Pilvipalveluinfrastruktuurin tarjoajan on pystyttävä tarjoamaan infrastruktuuri, jossa voidaan luoda korkean käytettävyyden sovelluksia ja välttää yksittäisistä pisteistä aiheutuvat toimintahäiriöt. | |||||
Pilvipalveluinfrastruktuurin tarjoajan on pystyttävä järjestämään loogisesti ja maantieteellisesti erilliset regioonat. Pilvipalveluinfrastruktuurin tarjoaja ei saa replikoida asiakkaiden tietoja näiden regioonien ulkopuolelle. | Tietojen sijaintivaatimukset määräävät, että asiakkaan on pystyttävä valvomaan tietojensa sijaintia. | |||||
Pilvipalveluinfrastruktuurin tarjoamaan suorat datakeskustensa välillä. | ja | tarjoajan erilliset | on pystyttävä yksityisyhteydet | Yksityiset yhteydet ovat perusedellytys sille, että pystytään rakentamaan hybridimuotoinen ja turvallinen infrastruktuuri. | ||
Pilvipalveluinfrastruktuurin tarjoajan on tarjottava riittävät suojausmekanismit, kuten siirrettävien tietojen salaus. | Asiakas voi edellyttää, salaamattomana. | että | tietoja | ei | voi | siirtää |
Pilvipalveluinfrastruktuurin tarjoajan vähimmäissertifioinnit | ||||||
Pilvipalveluinfrastruktuurin tarjoajalla on oltava ISO 27001 -sertifiointi. | Kolmannen osapuolen auditointien, sertifiointien ja akkreditointien ansiosta asiakkaat voivat vertailla palvelujen (ja erityisesti alustan) laatua, turvallisuutta ja luotettavuutta. Sertifiointeja koskevien vähimmäisvaatimusten täyttyminen on olennaisen tärkeää. | |||||
Pilvipalveluinfrastruktuurin tarjoajan tulee noudattaa CISPEn tietosuojan käytännesääntöjä, jotta se voi tarjota ominaisuuksia ja palveluita, joita voidaan käyttää yleisen tietosuoja-asetuksen vaatimusten mukaisesti, jotta asiakkaat voivat kehittää GDPR-yhteensopivia sovelluksia. | Asiakkaan tulee voida kehittää tai suorittaa GDPR- yhteensopivia sovelluksia. | |||||
Pilvipalveluinfrastruktuurin tarjoajan on voitava toimittaa sijaintia ja palveluja koskevat SOC 1- ja 2-raportit sekä muut kolmansien osapuolten auditointiraportit, joilla varmistetaan pilvipalveluinfrastruktuurin tarjoajan hallintakeinojen ja käytäntöjen läpinäkyvyys. | Pilvipalveluinfrastruktuurin tarjoajan on tiedotettava sovelluksen ylläpidosta ja hallinnasta läpinäkyvästi. SOC- raportit ovat olennaisen tärkeitä luotettavuuden ja läpinäkyvyyden varmistamisessa. | |||||
Pilvipalveluinfrastruktuurin tarjoajan tulee noudattaa Ilmastoneutraali datakeskus -sopimusta | Ilmastoneutraali datakeskus -sopimus sitouttaa pilvipalveluinfrastruktuurin tarjoajat saavuttamaan ilmastoneutraaliuden vuoteen 2030 mennessä, jotta käyttäjä voi tukea omia kestävän kehityksen tavoitteitaan. Kolmannen osapuolen auditoijat ovat pakollisia tarjoajille >250 FTE (ei pk-yritykset) | |||||
Pilvipalveluinfrastruktuurin tarjoajan tulee noudattaa SWIPO IaaS -siirrettävyyden käytännesääntöjä | SWIPO IaaS -siirrettävyyden käytännesäännöt varmistavat, että palvelut täyttävät artiklan 6 ei-henkilökohtaisten tietojen vapaata liikkuvuutta koskevaa datan siirrettävyyttä koskevat vaatimukset. |
Palvelun ominaisuudet | |
Pilvipalveluinfrastruktuurin tarjoajan infrastruktuurin on oltava käytettävissä ohjelmointirajapintojen (API) ja verkkopohjaisen hallintakonsolin kautta. | Itsepalveluperiaatteella toimiva käyttö ja ohjelmointirajapinnat ovat pilvipalveluinfrastruktuurin tarjoajilta edellytettävä standardi välikäsien minimoimiseksi. |
Pilvipalveluinfrastruktuurin tarjoajan on tarjottava perusvalikoima palveluita, kuten objektitallennus, hallinnoitu relaatiotietokanta, hallinnoitu ei-relaatiotietokanta, hallinnoidut kuorman tasapainottimet, valvonta ja integroitu automaattinen skaalaus. | Pelkkä virtuaalikoneiden tarjoaminen ei pätevöi palveluntarjoajaa pilvipalvelujen tarjoajaksi. Pilvipalveluntarjoajien on tarjottava tietyt PaaS- ja IaaS- palvelut asiakkaan sovellusten nopeuttamiseksi ja parantamiseksi. |
Pilvipalveluinfrastruktuurin tarjoajan on sallittava asiakkaalle palveluiden käytön ja kokoonpanon vaihtaminen vapaasti sekä tietojen siirtäminen pilvi-infrastruktuurin sisällä ja sen ulkopuolelle (itsepalveluratkaisu). | Itsepalveluperiaatteella tapahtuva pääsy palveluihin ja tietoihin on ehdoton vaatimus, jonka ansiosta asiakas pystyy toimimaan itsenäisesti. |
Pilvipalveluinfrastruktuurin tarjoajan on tarjottava käyttöön perustuva laskutus. | Käyttöön perustuvan laskutuksen avulla asiakas voi optimoida työkuormista aiheutuvat kustannukset, minimoida riskit ja hyödyntää pilvipalveluinfrastruktuurin tarjoajan infrastruktuuria lyhytaikaisia sovelluksia ja yhteyspisteitä varten. |
Tietojen ja järjestelmien tietoturva | |
Asiakkaalla on oltava mahdollisuus valvoa omia tietojaan, vapaus valita tietojen tallennussijainti (paikkakunta) ja takuu siitä, ettei asiakkaan tietoja siirretä muutoin kuin asiakkaan omasta aloitteesta. | Asiakkaan on voitava hallita tietojen tallennussijaintia, pääsyä sisältöön sekä käyttäjien pääsyä palveluihin ja resursseihin. |
Asiakkaan on voitava pilvipalveluinfrastruktuurin tarjoajan tarjoamien ominaisuuksien avulla valvoa omia tietoturvakäytäntöjään sekä asiakkaan tietojen ja järjestelmien luottamuksellisuutta, eheyttä ja käytettävyyttä. | Asiakkaan on voitava määritellä ja toteuttaa omat tietoturvastandardinsa omissa työkuormissaan. Pelkkä luottamus palveluntarjoajan kykyyn "toimia oikein" asiakkaan tietojen suhteen ei riitä. |
Kustannusten hallinta | |
Pilvipalveluinfrastruktuurin tarjoajalla on oltava mekanismit ja työkalut, joilla asiakas voi valvoa kulujensa kehitystä. Työkaluilla on voitava erotella kuluja perustasolla työkuormien, palvelun ja tilin mukaan. | |
Pilvipalveluinfrastruktuurin tarjoajan on tarjottava työkalut, jotka ilmoittavat jonkin kustannuksen raja-arvon ylittyessä. | |
Pilvipalveluinfrastruktuurin tarjoajan on toimitettava asiakkaalle eritellyt laskut. Laskussa on voitava eritellä kustannukset työkuorma-, ympäristö- ja tilikohtaisesti. | |
Pilvipalveluinfrastruktuurin tarjoajan on myös vastattava jäljempänä oleviin teknisiä vaatimuksia koskeviin kysymyksiin.
RATKAISUT
Pilvipalveluinfrastruktuurin tarjoajan on osoitettava seuraavien ratkaisujen osalta, miten se pystyy tarjoamaan valmiita malleja ja ohjelmistoratkaisuja, jotka ovat joko palveluntarjoajan infrastruktuurissa isännöityjä tai siihen integroitavissa:
• Tallennus
• DevOps
• Tietoturva/vaatimustenmukaisuus
• Big data/analytiikka
• Liiketoimintasovellukset
• Tietoliikenne ja verkot
• Paikkatiedot
• IoT
• [muu]
Anna yleiskuvaus siitä, miten pilvipalveluinfrastruktuurin tarjoajan infrastruktuuria on käytetty seuraavien työkuormien käsittelyyn:
• Häiriötilanteista palautuminen
• Kehitys ja testaus
• Arkistointi
• Varmuuskopiointi ja palautus
• Big data
• Suurteholaskenta (HPC)
• Esineiden internet (IoT)
• Verkkosivustot
• Palvelimeton laskenta
• DevOps
• Sisällöntoimitus
• [muu]
Pilvipalvelujen hankintapyynnön vähimmäisvaatimusten lisäksi on tärkeää määritellä kriteerit, joiden perusteella kilpailevissa ehdotuksissa määriteltyjä pilvipalveluteknologioita voidaan vertailla.
Pilvipalvelujen hankintapyynnössä on pyydettävä organisaation tarvitsemia pilvipalvelukyvykkyyksiä ja tuotava ilmi, että asiakas tarvitsee näitä kyvykkyyksiä oman ratkaisunsa kehittämiseen. Pilvipalveluinfrastruktuurin tarjoajan perustarjonnan ylittäviä ominaisuuksia (esimerkiksi esimääritetyt ratkaisut tai automatisointiominaisuudet) voidaan käyttää "lisäarvopalvelujen" tai "parhaan arvon" tarkentamiseen pilvipalvelujen hankintapyynnössä.
Julkinen sektori käyttää tarjouskilpailuissa arviointiperusteina usein parasta arvoa, kokonaistaloudellisesti edullisinta tarjousta tai alhaisinta hintaa. Kun julkisen sektorin yksiköt suunnittelevat tätä hankintapyynnön osaa, on tärkeää laatia malli, jossa huomioidaan pilvipalvelujen yksilölliset ominaisuudet. On esimerkiksi tiedostettava, ettei pelkkä pilvipalveluinfrastruktuurin tarjoajien käyttämien rivinimikkeiden (kuten "laskenta" tai "tallennus") vertailu ole tehokas tapa arvioida tarjouksia. Sen sijaan on erittäin suositeltavaa keskittyä ylemmän tason ratkaisuihin, joita on esitelty esimerkiksi edellä kohdassa 2.2.1. Julkisen sektorin organisaatiot voivat tämän jälkeen nojata pilvikohtaisiin vaatimuksiin, kuten niihin, jotka on listattu kohdassa Liite A – Tekniset vaatimukset tarjoajien vertailua varten.
Hankintapyynnöissä on mainittava ne pilvi-infrastruktuurin oleelliset ominaisuudet, joita organisaatio tarvitsee oman pilvipalveluratkaisunsa kehittämiseen. Tässä organisaatiot voivat käyttää apuna
NIST:n Essential Cloud Characteristics -ohjetta sekä kolmannen osapuolen analyytikkojen raportteja varmistaakseen, että pilvipalveluinfrastruktuurin tarjoajalla on organisaation tarpeisiin parhaimmin soveltuva aito pilvipalveluratkaisu, joka toimii suuressa mittakaavassa.
Hankintapyynnön mallisanamuodot: toimittajien vertailu
Pilvipalveluinfrastruktuurin tarjoajien on vastattava KAIKKIIN teknisiä vaatimuksia koskeviin kysymyksiin, jotka on esitetty Liitteessä A.
Vastaajien on tarjottava seuraavat ominaisuudet ja pystyttävä kuvailemaan, miten niiden tarjoamat pilvipalvelut vastaavat viittä olennaista pilvipalveluja koskevaa ominaisuutta4.
1) Itsepalveluperiaate: Vastaajan on tarjottava mahdollisuus esimerkiksi palvelinajan, verkkotallennustilan ja muun laskentakapasiteetin yksipuoliseen varaamiseen automaattisesti tarpeen mukaan ilman erillistä yhteydenottoa palveluntarjoajaan. Vastaajan on tarjottava tilaustoiminto, jonka avulla palveluja voidaan ottaa käyttöön yksipuolisesti (eli ilman toimittajan arviointia tai hyväksyntää). Selitä, miten tämä on järjestetty omassa tarjouksessasi tai edustamassasi tarjouksessa.
2) Paikasta riippumaton verkkoyhteys: Xxxxxxxxx on tarjottava useita verkkoyhteysvaihtoehtoja, joista yhden on oltava internet-pohjainen. Selitä, miten tämä on järjestetty omassa tarjouksessasi tai edustamassasi tarjouksessa.
3) Resurssivaranto: Xxxxxxxxx pilvipalveluinfrastruktuurin on sisällettävä useita kuluttajia palvelevia ryhmitettyjä laskentaresursseja monen käyttäjän mallissa, jossa eri virtuaaliresurssit kohdistetaan ja uudelleenkohdistetaan dynaamisesti kysynnän mukaan. Käyttäjä pystyy määrittämään sijainnin ylemmällä abstraktiotasolla (esimerkiksi maa, alue tai datakeskuksen sijainti). Vastaajan on tuettava tällaisten resurssien skaalausta muutaman minuutin tai tunnin kuluessa käyttöönottopyynnöstä. Selitä, miten tämä on järjestetty omassa tarjouksessasi tai edustamassasi tarjouksessa.
4) Nopea joustavuus: Vastaajan pilvipalveluinfrastruktuurin on tuettava palvelujen käyttöönottoa ja käytöstä poistamista (skaalaus kumpaankin suuntaan) ja varmistettava palvelun käytettävyys määritetyssä vähimmäisajassa (enintään ‘x’ tuntia) käyttöönottopyynnöstä. Vastaajan on tuettava laskutuksen muokkaamista varauspyyntöjen perusteella päivä- tai tuntikohtaisesti.
5) Mitattu palvelu: Vastaajan on tarjottava mahdollisuus tarkastella palvelun käyttötietoja verkkoraporttinäkymän kautta tai vastaavalla sähköisellä tavalla.
Lisäksi pilvipalveluinfrastruktuurin tarjoajan tulee:
• olla tunnustettu johtava pilvipalvelujen tarjoaja IaaS-ratkaisuja koskevien Gartner Magic Quadrant - markkinatutkimusjulkaisujen mukaan5
• tarjota toimialalla tunnustettujen kolmannen osapuolen analyytikkojen laatimat raportit, jotka osoittavat pilvi-infrastruktuurin kapasiteetin ja luotettavuuden.
Lopuksi pilvipalveluinfrastruktuurin tarjoajia verrataan Liitteessä B annettujen skenaarioiden perusteella.
2.2.2.1 Palvelutasosopimukset (SLA:t)
Pilvipalveluinfrastruktuurin tarjoajat tarjoavat standardoituja kaupallisia palvelutasosopimuksia miljoonille asiakkaille eivätkä siten pysty tarjoamaan mukautettuja palvelutasosopimuksia, kuten oman
4 xxxx://xxxxxxx.xxxx.xxx/xxxxxxxx/Xxxxxx/XX/xxxxxxxxxxxxxxxxxxxxxx000-000.xxx
5 xxxxx://xxx.xxxxxxx.xxx/xxx/xxxxxxxx?xxx0-0X0X0XX&xxx000000&xxxxx
konesaliympäristön malleissa. Pilvipalveluinfrastruktuurin tarjoajien asiakkaat (usein kumppanien avustuksella) voivat pilvipalveluja käyttäessään hyödyntää pilvipalveluinfrastruktuurin tarjoajan kaupallisia palvelutasosopimuksia siten, että asiakaskohtaiset vaatimukset ja yksilölliset palvelutasosopimukset täyttyvät ja jopa ylittyvät.
Pilvipalvelujen hankintapyynnössä on varmistettava, että pilvipalveluinfrastruktuurin tarjoajat tarjoavat palvelujensa ja kaupallisten palvelutasosopimustensa hyödyntämiseen liittyvää osaamista ja opastusta niin, että yksittäisten loppukäyttäjien suorituskyky- ja käytettävyysvaatimukset täyttyvät.
Hankintapyynnön mallisanamuodot: palvelutasosopimukset
Xxxx tiedot pilvipalveluinfrastruktuurin tarjoajan palvelutasosopimusmalleista sekä linkit niihin.
<ORGANIZATION> huomioi pilvipalveluinfrastruktuurin tarjoajan palvelutasosopimukset ja suunnittelee tärkeät työkuormat sekä sovellukset niin, että niiden toiminta jatkuu, vaikka palvelutasosopimuksen ehdot eivät täyttyisi.
<ORGANIZATION> vastaa pilvi-infrastruktuurissa käytettäviä <ORGANIZATION>:n omia laitteita tai <ORGANIZATION>:n suorittamia palveluja koskevien asianmukaisten palvelutasosopimusten ylläpitämisestä.
Pilvipalveluinfrastruktuurin tarjoajan on tarjottava <ORGANIZATION>:lle jatkuva näkyvyys operatiivisen palvelutasosopimuksen toimivuuteen, tarvittavat raportit ja dokumentoidut parhaat käytännöt, jotta pilvi- infrastruktuuria on mahdollista hyödyntää suorituskykyisten, kestävien ja luotettavien palvelujen kehittämisessä.
2.2.3.1 Uudet ja muuttuvat palvelut
Pilvipalveluinfrastruktuurin tarjoajat tarjoavat suorituskykyä palvelun avulla. Toisin kuin perinteiset oman konesaliympäristön ratkaisut, jotka edellyttävät versiopäivityksiä ja aika ajoin uusittavia ylläpitosopimuksia, pilvipalveluntarjoajat tarjoavat pelkästään standardoitua palvelua. Pilvipalvelumallissa mittakaavaetuja voidaan saavuttaa, kun infrastruktuurin versiopäivitykset ja muutokset otetaan käyttöön yleisesti, ei yksittäisten käyttäjien tasolla, ja asiakkaat valitsevat käyttämänsä palvelut. Palvelu toimii saumattomammin kuin perinteiset oman konesaliympäristön järjestelmät, ja pilvipalveluntarjoajat lisäävät jatkuvasti uusia ja parannettuja palveluja, joita asiakkaat voivat ottaa käyttöön halutessaan.
Jos uusia tai parannettuja pilvipalveluja ei voi lisätä enää hankintapyynnön lähettämisen määräpäivän jälkeen, julkisen sektorin organisaatiot eivät saa uusia palveluja ja parannettuja ominaisuuksia käyttöönsä ennen puitesopimuksen seuraavaa versiota. Siksi on erittäin suositeltavaa, että uusien palvelujen tarjoaminen ilmaistaan puitesopimuksessa riittävän laveasti, jotta uusia pilvipalveluja voidaan lisätä määräpäivän jälkeen. EU:n hankintalaki voi rajoittaa oleellisesti erilaisten uusien pilvipalvelujen lisäämistä puitesopimukseen. Päivityksiä ja uusia palveluversioita, joita ei katsota oleellisiksi muutoksiksi, voidaan kuitenkin lisätä sopimukseen ilman hankintamenettelyn riitauttamista.
Hankintapyynnön mallisanamuodot: uudet ja muuttuvat palvelut
Pilvipalveluinfrastruktuurin tarjoajan on tarjottava kustannustehokas ratkaisu, jossa hyödynnetään sekä hyviksi havaittuja ja vakaita virtualisointiteknologioita että jatkuvasti päivittyviä uusia teknologioita. <ORGANIZATION> tiedostaa ja hyväksyy, että pilviteknologioita voidaan tarjota jaettujen palvelujen mallilla <ORGANIZATION>:lle ja pilvipalveluinfrastruktuurin tarjoajan muille asiakkaille yhteisen koodin ja/tai ympäristön pohjalta, ja pilvipalveluinfrastruktuurin tarjoaja voi aika ajoin muuttaa, lisätä tai poistaa toimintoja, ominaisuuksia, suorituskykyä tai muita pilvipalveluihin liittyviä tekijöitä, ja tällaisten muutosten, lisäysten tai poistojen yhteydessä pilvipalvelun teknisiä määrityksiä muutetaan vastaavasti.
Tämä toimitustilaus koskee kaikkia tämänhetkisiä sekä uusia tai laajennettuja pilvipalveluinfrastruktuurin tarjoajan palveluita, JOTKA KUULUVAT PUITESOPIMUKSEN PIIRIIN. Kaupallisten asiakkaiden saatavilla olevat pilvipalveluinfrastruktuurin tarjoajan pilvipalvelut on tarjottava myös <ORGANIZATION>:n käyttöön.
2.2.3.2 Riippuvuus toimittajasta / peruutettavuus
Pilviteknologia vähentää riippuvuutta yhdestä toimittajasta, sillä fyysisiä resursseja ei osteta ja asiakkaat voivat siirtää tietonsa pilvipalveluntarjoajalta toiselle milloin tahansa.
Jonkinasteinen riippuvuus toimittajasta on kuitenkin väistämätöntä pilvipalveluja hankittaessa. Kaikki pilvipalveluinfrastruktuurit eivät nimittäin ole samanlaisia, joten yksi pilvipalveluinfrastruktuurin tarjoaja voi tarjota palveluja ja kyvykkyyksiä, joihin toinen ei pysty, mikä estää vastaavien palvelujen hankinnan toiselta palveluntarjoajalta. Siksi hankintapyynnössä kannattaakin edellyttää, että pilvipalveluinfrastruktuurin tarjoajat tarjoavat ominaisuudet ja palvelut, joilla niiden pilvipalvelusta pääsee pois, sekä ohjeet niiden käyttämiseen kohtuullisena poistumisstrategiana. Pilvipalveluinfrastruktuurin tarjoajan on kuitenkin mahdotonta tietää tarkalleen, miten kukin asiakas käyttää sen standardoituja palveluja, joten mukautettua poistumissuunnitelmaa on myös mahdotonta antaa.
Osiossa 2.3.1.2 on tiedot, jotka koskevat toimialan käytännesääntöjä datan siirtämisestä ja pilvipalveluntarjoajien vaihtamisesta, jotta EU:n ei-henkilökohtaisten tietojen vapaata liikkuvuutta koskevan asetuksen artiklan 6 vaatimukset voitaisiin täyttää.
Hankintapyynnön mallisanamuodot: pilvipalvelujen käyttöönotto ja käytön lopettaminen
Välttääkseen riippuvuuden toimittajista <ORGANIZATION> pyytää ehdotuksia, joihin sisältyy kohtuullinen poistumisstrategia. <ORGANIZATION> ei osta fyysisiä resursseja, joten pilvipalveluinfrastruktuurin tarjoajan on tarjottava mahdollisuus siirtyä IT-pinossa ylöspäin ja takaisin alaspäin. Pilvipalveluinfrastruktuurin tarjoaja tarjoaa migraatiotyökalut ja -palvelut, jotka helpottavat migraatiota pilvi-infrastruktuurin alustaan ja siitä pois sekä minimoivat riippuvuuden toimittajasta. Yksityiskohtaiset ohjeet pilvipalveluinfrastruktuurin tarjoajan siirtotyökalujen ja -palvelujen käyttöön katsotaan kohtuulliseksi poistumissuunnitelmaksi.
Pilvipalveluinfrastruktuurin tarjoajalla ei saa olla pakollisia vähimmäissitoumuksia tai pakollisia pitkäaikaisia sopimuksia.
Asiakkaan on voitava siirtää palveluntarjoajan infrastruktuuriin tallentamansa tiedot milloin tahansa. Pilvipalveluinfrastruktuurin tarjoajan on sallittava <ORGANIZATION>:lle tietojen siirto pilvipalvelun tallennustilaan ja siitä pois tarpeen mukaan. Pilvipalveluinfrastruktuurin tarjoajan on myös sallittava virtuaalikoneiden näköistiedostojen lataaminen ja siirtäminen uudelle pilvipalveluinfrastruktuurin tarjoajalle. <ORGANIZATION> voi viedä omat koneiden näköistiedostonsa ja käyttää niitä omassa konesaliympäristössä tai toisen palveluntarjoajan ympäristössä (ohjelmistolisenssien määrittämissä rajoissa).
Tietoturva- ja vaatimustenmukaisuusvastuut jakautuvat pilvipalveluinfrastruktuurin tarjoajan ja pilvipalveluasiakkaiden kesken. Tässä mallissa pilvipalveluasiakkaat vastaavat itse infrastruktuuriin sijoittamiensa omien sovellusten ja tietojen suunnittelusta ja suojaamisesta, ja pilvipalveluinfrastruktuurin tarjoajien vastuulla on tarjota palveluja erittäin hyvin suojatussa ja valvotussa alustassa sekä erilaisia tietoturvan lisäominaisuuksia. Tässä mallissa pilvipalveluinfrastruktuurin tarjoajan ja asiakkaan vastuiden taso riippuu pilvipalvelujen käyttöönottomallista (IaaS/PaaS/SaaS), ja asiakkaiden on oltava hyvin selvillä vastuistaan kussakin mallissa.
Xxxxxx vastuun mallin ymmärtäminen on ratkaiseva tekijä onnistuneen pilvipalvelujen hankintapyynnön laatimisessa. Julkisen sektorin organisaatioiden on varmistettava, että ne tuntevat omat vastuunsa ja palveluntarjoajan vastuut ja tietävät, milloin konsultointi- tai ohjelmistokehityskumppaneja ja niiden ratkaisuja kannattaa käyttää apuna.
Pilvipalvelun tietoturvassa avainasemassa ovat kyvykkyydet. Julkisen sektorin organisaatioiden on osattava vaatia pilvipalveluinfrastruktuurin tarjoajilta, että asiakkaat pystyvät niiden tarjoamien tietoturvakäytäntöjen avulla täyttämään omat jaetun vastuun malliin kuuluvat vastuunsa. Kuten alla olevasta edustavasta vaatimusluettelosta näkyy, pilvipalveluinfrastruktuurin tarjoajaa pyydetään tarjoamaan standardoidut kyvykkyytensä, joita asiakas voi hyödyntää yksilöllisen pilviympäristönsä suojaamisessa.
• Verkon palomuurit ja verkkosovellusten palomuurikyvykkyydet yksityisten verkkojen luontia ja instanssien sekä sovellusten käytön valvontaa varten.
• Yhteysvaihtoehdot, jotka mahdollistavat yksityiset tai erikseen varatut yhteydet toimistosta tai omasta konesaliympäristöstä.
• Kyvykkyydet tehokkaan suojausstrategian toteuttamiseen ja DDoS-palvelunestohyökkäysten torjumiseen.
• Tietojen salauskyvykkyydet käytettävissä tallennustila- ja tietokantapalveluissa.
• Joustavat avainten hallinnan vaihtoehdot, joiden avulla voi valita, hallinnoiko pilvipalveluinfrastruktuurin tarjoaja salausavaimia vai huolehtiiko asiakas avainten hallinnasta kokonaan itse.
• Ohjelmointirajapinnat, joiden avulla asiakkaat voivat integroida salauksen ja tietosuojan pilvipalveluinfrastruktuurin tarjoajan ympäristössä kehitettäviin tai käyttöön otettaviin palveluihin.
• Käyttöönottotyökalut pilvipalveluresurssien luonnin ja käytöstä poistamisen hallintaan organisaation standardien mukaisesti.
• Resurssivarannon ja kokoonpanon hallintatyökalut, jotka tunnistavat pilvi-infrastruktuurin resurssit ja seuraavat sekä hallinnoivat niihin ajan mittaan tehtyjä muutoksia.
• Työkalut ja ominaisuudet, joiden avulla asiakkaat näkevät, mitä heidän pilvi-infrastruktuurissaan tapahtuu.
• Kattava näkyvyys API-kutsuihin, kuten kutsujen tekijään, sisältöön ja lähteeseen.
• Lokitietojen koostamistoiminnot tutkimuksia ja vaatimustenmukaisuusraportointia varten.
• Kyvykkyys konfiguroida hälytysilmoituksia tiettyjä tapahtumia tai raja-arvojen ylittymistä varten.
• Kyvykkyydet, joilla voi määritellä, ottaa käyttöön ja hallita käyttäjiä koskevia käytäntöjä kaikissa pilvipalveluinfrastruktuurin tarjoajan palveluissa.
• Kyvykkyydet, joilla voi määritellä yksilölliset käyttäjätilit käyttöoikeuksineen pilvipalveluinfrastruktuurin tarjoajan eri resursseissa.
• Kyvykkyydet, joilla voi muodostaa yhteyden organisaation hakemistoihin hallintokustannusten pienentämiseksi ja loppukäyttäjän käyttökokemuksen parantamiseksi.
Katso lisätietoja näistä vaatimuksista: Liite A – Tekniset vaatimukset tarjoajien vertailua varten.
Tietoturvan vähimmäistason ylittäviä toiminnallisuuksia voidaan käyttää hankintapyynnön tarkempaan arviointiin "lisäarvopalvelujen" tai "parhaan arvon" osalta. Mitä enemmän valmiita tai automatisoituja tietoturvatoimintoja ratkaisu sisältää, sen parempi. Katso toimittajien vertailua koskevat vaatimukset: Liite A – Tekniset vaatimukset tarjoajien vertailua varten.
Akkreditointien, sertifiointien ja arviointien avulla julkisen sektorin organisaatiot voivat varmistaa, että tarvittavat tietoturvan hallintakeinot ovat käytössä pilvipalveluinfrastruktuurin tarjoajan ratkaisussa. Kannattaa esimerkiksi harkita sellaisen pilvipalveluinfrastruktuurin tarjoajan valitsemista, jonka riippumaton auditoija on tarkastanut ja sertifioinut ISO 27001 -standardin mukaisesti. ISO 27001 - standardin liitteen A luokassa 14 pureudutaan erityisiin hallintakeinoihin, joita pilvipalveluinfrastruktuurin tarjoajan tulee noudattaa järjestelmien hankintaa, kehittämistä ja ylläpitoa koskevien ISO-vaatimusten mukaisesti. Todennäköisesti tällaiset hallintakeinot koskevat suurinta osaa tai jopa kaikkia järjestelmän hankintaan, kehittämiseen ja ylläpitoon liittyviä hallintakeinoja, joita organisaatio tavallisesti edellyttää IT- hankintapyynnössä. Siksi organisaation kannattaakin edellyttää pilvipalveluinfrastruktuurin tarjoajalta ISO 27001 -sertifiointia eikä nähdä turhaan vaivaa luettelemalla kaikki järjestelmien hankintaan, kehittämiseen ja ylläpitoon liittyvät hallintakeinovaatimukset pilvipalvelujen hankintapyynnössä.
Kolmansien osapuolten vaatimustenmukaisuusraportteja hyödyntävää mallia voidaan soveltaa useimpiin tietoturvan ja vaatimustenmukaisuuden hallintakeinoihin, kuten CISPE:n GDPR-käytännesääntöihin, ISO- standardeihin ja SOC-raportteihin.
Hankintapyynnön mallisanamuodot: tietoturva
Pilvipalveluinfrastruktuurin tarjoajan on ilmoitettava käyttämänsä ei-yksinoikeudelliset tietoturvaprosessit ja tekniset rajoituksensa <ORGANIZATION>:lle niin, että <ORGANIZATION>:n ja palveluntarjoajan välillä voidaan saavuttaa asianmukainen tietoturva ja joustavuus.
Pilvipalveluinfrastruktuurin tarjoajan on määriteltävä tietoturvaan ja vaatimustenmukaisuuteen liittyvät roolinsa ja vastuunsa:
• Kuvaile pilvipalveluinfrastruktuurin tarjoajan ja <ORGANIZATION>:n tietoturvaan liittyvät roolit ja vastuut ehdotetussa ratkaisussa. Määrittele vastuiden jakautuminen mahdollisimman selvästi ja selosta pilvipalvelut, joita <ORGANIZATION> voi käyttää apuna kehittäessään ja automatisoidessaan pilvipalveluympäristönsä tietoturvatoimintoja.
• Anna vastaukset <ORGANIZATION>:n tietoturvavaatimuksiin liittyviin teknisiin määritelmiin, jotka on esitetty LIITTEESSÄ A.
<ORGANIZATION>:n SISÄLLÖN OMISTAJUUS JA HALLINTA
Kuvaile, miten pilvipalveluinfrastruktuurin tarjoajan tarjoamat kyvykkyydet suojaavat <ORGANIZATION>:n tietojen yksityisyyttä. Sisällytä tähän käytössä olevat hallintakeinot, joilla <ORGANIZATION>:n sisältöä suojataan. Pilvipalveluinfrastruktuurin tarjoajan on tarjottava tehokas alueellinen eristäminen niin, etteivät tietylle regioonalle tallennetut objektit poistu kyseiseltä regioonalta, ellei <ORGANIZATION> nimenomaisesti siirrä niitä toiselle regioonalle.
• <ORGANIZATION> hallitsee itse sisältönsä, palvelujensa ja resurssiensa käyttöä. Pilvipalveluinfrastruktuurin tarjoajan on tarjottava kehittyneet pääsy-, salaus- ja lokiinkirjausominaisuudet, jotka auttavat
<ORGANIZATION>:a toteuttamaan tämän tehokkaasti. Pilvipalveluinfrastruktuurin tarjoaja ei käytä tai käsittele <ORGANIZATION>:n sisältöä missään muussa tarkoituksessa kuin palvelujen ylläpitämisessä ja tarjoamisessa <ORGANIZATION>:lle ja sen loppukäyttäjille sekä lain edellyttämällä tavalla.
• <ORGANIZATION> valitsee itse regioonan tai regioonat, joille sen sisältöä tallennetaan. Pilvipalveluinfrastruktuurin tarjoaja ei siirrä tai replikoi <ORGANIZATION>:n sisältöä tämän valitsemien regioonien ulkopuolelle, ellei laki toisin edellytä ja ellei se ole välttämätöntä palvelujen ylläpitämiseksi ja tarjoamiseksi <ORGANIZATION>:lle ja sen loppukäyttäjille.
• <ORGANIZATION> valitsee itse, miten sen sisältö suojataan. Pilvipalveluinfrastruktuurin tarjoajan on tarjottava <ORGANIZATION>:n sisällölle vahva salaus siirron tai säilytyksen aikana sekä tarjottava
<ORGANIZATION>:lle mahdollisuus hallita omia salausavaimiaan.
• Pilvipalveluinfrastruktuurin tarjoajalla on oltava yleisiä tietoturvan ja tietosuojan parhaita käytäntöjä hyödyntävä tietoturvan varmistusohjelma, jotta <ORGANIZATION> voi käyttää ja hyödyntää pilvipalveluinfrastruktuurin tarjoajan tietoturvan hallintaympäristöä. Tietoturvan suojausmenetelmien ja hallintaprosessien on oltava usean riippumattoman kolmannen osapuolen validoimia ja arvioimia.
Pilvipalvelujen akkreditoinnit, sertifioinnit ja arvioinnit takaavat julkisen sektorin organisaatioille, että pilvipalveluinfrastruktuurin tarjoajilla on käytössä tehokkaat fyysiset ja loogiset tietoturvamenettelyt. Kun näitä akkreditointeja hyödynnetään hankintapyynnöissä, ne virtaviivaistavat hankintaprosessia ja auttavat välttämään päällekkäiset ja rasittavat prosessit tai hyväksymisvaiheet, joita pilvipalveluympäristössä ei välttämättä tarvita.
Pilvipalvelujen hankintapyyntöjen avulla pilvipalveluinfrastruktuurin tarjoajien on voitava osoittaa, että ne noudattavat toiminnassaan vaatimustenmukaisuuden akkreditointeja ja arviointeja. Kuten edellä on mainittu, eri akkreditointijärjestelmissä on paljon riskiskenaarioihin ja riskinhallintakäytäntöihin liittyviä päällekkäisyyksiä, ja hallintakeinot ja vaatimukset on akkreditoinneissa niputettu usein yhteen. Niinpä organisaatioiden on helpompi sisällyttää vaatimustenmukaisuutta koskevat ehdot hankintapyyntöön edellyttämällä akkreditointien noudattamista kuin luettelemalla kaikki yksittäiset hallintakeinot (joista monet saattavat lisäksi olla aiemmista hankintapyynnöistä, jotka koskevat suoraan omia konesaliympäristöjä eivätkä siten sovellu pilvipalvelumalliin).
HUOMAUTUS: On myös erittäin tärkeää tietää, mistä edellä mainitut raportit ovat saatavilla. Esimerkiksi SOC 1- ja SOC 2 -raportit ovat yleensä arkaluonteisia asiakirjoja. Perehdy siis niiden käyttöä koskeviin sopimuksiin (kuten salassapitosopimuksiin) äläkä vain pyydä lähettämään niitä hankintapyynnön vastauksen liitteenä (asiakirjojen julkistamista saattavat koskea tietojen avoimuutta koskevat tai vastaavat lait, jotka voivat vaarantaa pilvipalvelujen tietoturvan).
Hankintapyynnön mallisanamuodot: vaatimustenmukaisuus
Pilvipalvelutoiminnan parhaista käytännöistä johdetut tietoturvaa, vaatimustenmukaisuutta ja toimintaa (esimerkiksi tietojen käsittelyä, tietoturvaa, luottamuksellisuutta ja käytettävyyttä) koskevat standardit virtaviivaistavat pilviteknologian hankintaprosessia.
<ORGANIZATION> arvioi yksilöllisiä ratkaisuehdotuksia hyväksyttyjen tietoturvaa, vaatimustenmukaisuutta ja toimintaa koskevien standardien perusteella, jotka on selostettu alla ja Liitteessä A. Edellyttämällä toimittajilta vaatimustenmukaisuuden sertifiointia kunkin standardin mukaisesti <ORGANIZATION> voi soveltaa ratkaisuehdotusten arvioinnissa standardin mukaista vähimmäistasoa.
Kun pilvipalveluinfrastruktuurin tarjoajan edellytetään huolehtivan standardin mukaisen vähimmäistason noudattamisesta koko sopimuksen voimassaolon ajan, palvelun vaatimustenmukaisuus on aina ajan tasalla.
Pilvipalveluinfrastruktuurin tarjoajan, jolta ratkaisuehdotusta pyydetään (suoraan tai jälleenmyyjän kautta), on voitava osoittaa kykynsä täyttää seuraavien riippumattomien kolmansien osapuolten todistusten, raporttien ja sertifiointien vaatimukset (jos joidenkin todistusten, raporttien ja sertifiointien luovuttamista on tietoturvasyistä
rajoitettu, <ORGANIZATION> pyrkii yhteistyössä pilvipalveluinfrastruktuurin tarjoajan kanssa hankkimaan pääsyn niihin yhteisesti sovitulla tavalla):
Sertifioinnit/todistukset | Lait, asetukset ja tietosuoja | Sopimukset/kehykset |
☐ C5 (Saksa) ☐ CISPEn tietosuojaa koskevat käytännesäännöt (GDPR) ☐ CNDCP (Ilmastoneutraali datakeskussopimus) | ☐ CDSA | |
☐ DIACAP | ☐ EU:n tietosuojadirektiivi | ☐ CIS |
☐ DoD SRG, tasot 2 ja 4 ☐ HDS (Ranska, Terveydenhuolto) | ☐ EU:n mallisopimuslausekkeet | ☐ Criminal Justice Info. Service (CJIS) |
☐ FedRAMP | ☐ FERPA | ☐ CSA |
☐ FIPS 140-2 | ☐ EU:n yleinen tietosuoja-asetus (GDPR) | ☐ EU:n ja USA:n Privacy Shield -järjestely |
☐ ISO 9001 | ☐ GLBA | ☐ EU:n Safe Harbor -järjestelmä |
☐ ISO 27001 | ☐ HIPAA | ☐ FISC |
☐ ISO 27017 | ☐ HITECH | ☐ FISMA |
☐ ISO 27018 | ☐ IRS 1075 | ☐ G-Cloud [Yhdistynyt kuningaskunta] |
☐ IRAP [Australia] | ☐ ITAR | ☐ GxP (FDA CFR 21 Part 11) |
☐ MTCS Tier 3 [Singapore] | ☐ PDPA – 2010 [Malesia] | ☐ ICREA |
☐ PCI DSS -taso 1 | ☐ PDPA – 2012 [Singapore] | ☐ IT Grundschutz [Saksa] |
☐ SEC Rule 17-a-4(f) ☐ SecNumCloud (Ranska) | ☐ PIPEDA [Kanada] | ☐ MARS – E |
☐ SOC1/ISAE 3402 | ☐ Privacy Act [Australia] | ☐ MITA 3.0 |
☐ SOC2/SOC3 ☐ SWIPO IaaS -käytännesäännöt | ☐ Privacy Act [Uusi-Seelanti] | ☐ MPAA |
☐ Espanjan DPA-valtuutus | ☐ NIST | |
☐ U.K. DPA – 1988 | ☐ Uptime Institute Tiers | |
☐ VPAT/Section 508 | ☐ UK Cloud Security Principles |
Yllä oleva luettelo on vain tiedoksi, eikä se sisällä kaikkia pilvipalveluja mahdollisesti koskevia sertifiointeja ja standardeja.
Keskeinen huomioon otettava seikka käytettäessä pilvipalveluita on se, että henkilötietojen käsittelyssä noudatetaan sovellettavaa EU-tietosuojalainsäädäntöä mukaisesti, mukaan lukien yleistä tietosuoja- asetusta (GDPR). GDPR on periaatepohjainen asetus, joten se ei tarjoa erityistä toimialakohtaista ohjeistusta vaatimustenmukaisuuden varmistamiseksi. GDPR kuitenkin kannustaa käyttämään tällaisena ohjeistuksena vaatimustenmukaisuuteen liittyviä työkaluja, kuten käytännesääntöjä. CISPE ja Ranskan tietosuojaviranomainen (CNIL) ovat kehittäneet yhdessä tietosuojan käytännesäännöt (CISPE- käytännesäännöt6), joita Euroopan tietosuojaneuvosto suosittelee soveltamaan yleisesti Euroopassa. Käytännesääntöjen tarkoituksena on auttaa pilvipalveluinfrastruktuurin tarjoajia noudattamaan GDPR:ää ja opastaa asiakkaita arvioimaan, ovatko ne soveltuvia suorittamaan asiakkaan tarvitsemaa henkilötietojen käsittelyä.
• Käytännesäännöissä keskitytään yksinomaan IaaS-sektoriin, ja niissä käsitellään IaaS-toimittajien nimenomaisia rooleja ja tehtäviä.
• Se auttaa selkeyttämään oikeudenmukaisen ja läpinäkyvän käsittelyn osa-alueita sekä asianmukaisia tietoturvatoimia pilvipalveluiden infrastruktuurin kontekstissa (GDPR, artikla 40 [2]).
• Se auttaa asiakkaita ymmärtämään, miten he voivat säilyttää datan hallinnan itsellään varmistamalla, että se pysyy EU:ssa.
• Se edistää tietosuojan parhaita käytäntöjä, jotka tulevat EU:n GAIA-X-hanketta eurooppalaisten pilvidatapalvelujen kehittämiseksi.
Kun pilvipalveluinfrastruktuurin tarjoajat noudattavat tietosuojan käytännesääntöjä, kuten CISPE-sääntöjä, tämä antaa varmuutta sen suhteen, että henkilötietoja käsitellään tiukasti GDPR:n mukaisesti.
Hankintapyynnön mallisanamuodot: tietosuoja
Tarjouksen antavan (suoraan tai jälleenmyyjän kautta) pilvipalveluinfrastruktuurin tarjoajan pitäisi pystyä osoittamaan kykynsä noudattaa tietosuojan käytännesääntöjä, kuten CISPE-sääntöjä. Tietosuojan käytännesääntöjen tulee olla linjassa GDPR-kehyksen vaatimusten kanssa. Käytännesääntöjen tulee sisältää vähintään seuraavat seikat:
(1) selkeä määritelmä pilvipalveluinfrastruktuurin tarjoajan rooleista ja tehtävistä, (2) vaatimus siitä että pilvipalveluinfrastruktuurin tarjoaja ei käytä asiakastietoja markkinointi- tai mainontatarkoituksiin ja (3) asiakkaiden mahdollisuus valita pilvipalveluinfrastruktuurin tarjoajan palveluita, jotka mahdollistavat datan käsittelyn yksinomaan Euroopan talousalueella. Käytännesääntöjen noudattaminen tulee vahvistaa ulkoisten riippumattomien auditoijien (valvontaelinten) toimesta, jotka ovat Euroopan tietosuojavaltuutetun riippumattomien ulkoisten auditoijien akkreditoimia.
2.3.1.2 Pilvipalveluntarjoajien vaihtaminen ja datan siirtäminen
Asiakkailla pitää olla vapaus valita ne pilvipalvelut, joita ne haluavat käyttää, eikä olla sidottuja yhteen pilvipalveluinfrastruktuurin tarjoajaan tai PaaS/SaaS-tarjoajaan.
Pilvipalveluinfrastruktuurin tarjoajan tarjoamat pilvipalvelut ovat standardoituja ja tarjotaan "yhdeltä monelle" -pohjalta niin, että asiakas konfiguroi, käyttöönottaa ja hallitsee palveluita. Pilvipalvelujen etuna on se, että asiakkaat voivat valita mitä tahansa tarvitsemiaan standardoituja palveluita, joita ne tarvitsevat
6 xxxxx://xxxxx.xxxxx/xxxx-xx-xxxxxxx/
kehittääkseen yksilöllisiä sovelluksiaan ja ratkaisujaan. Tämä etu kattaa myös sen, että asiakas voi milloin tahansa vaihtaa uusiin tai eri palveluihin, jotka kulloinkin parhaiten täyttävät sen tarpeet.
Kuten tietosuojan osalta, käytännesäännöt voivat auttaa tarjoamaan asiakkaille varmuutta tilanteisiin, joissa pilvipalvelusta vaihdetaan oman konesaliympäristön infrastruktuuriin, tai vaihdettaessa pilvipalveluinfrastruktuurin tarjoajasta toiseen. CISPE ja EuroCIO (European Association of CIOs) johtivat yhdessä käytännesääntöjen laatimista IaaS-pilvipalveluita koskevan datan siirrettävyyden ja pilvipalvelujen vaihtamisen osalta (SWIPO IaaS -käytännesäännöt7,8). Käytännesääntöjen ensimmäinen versio laadittiin EU:n tietojen vapaata liikkuvuutta koskevan asetusten mukaisesti. Ne luovutettiin Euroopan komissiolle marraskuussa 2019 Suomen EU-puheenjohtajuuskaudella ja SWIPO AISBL -järjestö julkaisi ne toukokuussa 2020. Ensimmäiset palvelut todettiin käytännesääntöjen mukaisiksi huhtikuussa 2021 SWIPO AISBL:n toimesta. Ensimmäiset CISPE-jäsenpalvelut katsottiin käytännesääntöjen mukaisiksi toukokuussa 2021.
Hankintapyynnön mallisanamuodot: pilvipalveluntarjoajien vaihtaminen ja datan siirtäminen
Tarjouksen antavan (suoraan tai jälleenmyyjän kautta) pilvipalveluinfrastruktuurin tarjoajan pitäisi pystyä osoittamaan kykynsä noudattaa vaihtamista ja tietojen siirtoa koskevia käytännesääntöjä, kuten SWIPO IaaS - sääntöjä. Käytännesäännöistä tulee käydä ilmi, miten pilvipalveluinfrastruktuurin tarjoaja tarjoaa asiakkaille liiketoimintatietojen turvallisen siirron, jos asiakas päättää vaihtaa palveluntarjoajaa.
Kuten edellä teknisiä kriteerejä käsittelevissä kohdissa, pilvipalvelujen hankintapyynnössä on tietoturvan vähimmäisvaatimusten lisäksi tärkeää määritellä kriteerit, joiden perusteella pilvipalveluinfrastruktuurin tarjoajan tietoturvakyvykkyyksiä ja -palveluja voidaan verrata kilpailevia ehdotuksia arvioitaessa.
Katso esimerkki pilvipalveluinfrastruktuurin tarjoajia koskevista tietoturvavaatimuksista: Liite A – Tekniset vaatimukset tarjoajien vertailua varten. On erittäin suositeltavaa, että julkisen sektorin yksiköt ottavat pilvipalveluinfrastruktuurin tarjoajia arvioidessaan huomioon erityisesti seuraavat tietoturvaa koskevat seikat:
Hankintapyynnön mallisanamuodot: keskeiset tietoturvaa koskevat seikat
• Pilvipalveluinfrastruktuurin tarjoajan tietämys jaetun vastuun mallista sekä dokumentaatio, joka auttaa asiakkaita ymmärtämään pilvi-infrastruktuurin ominaisuuksiin ja palveluihin liittyvien tietoturvavastuiden jakautumisen (esimerkiksi EU:n yleiseen tietosuoja-asetukseen liittyen)
• Todisteet pilvipalveluinfrastruktuurin tarjoajan infrastruktuurin tietoturvahistoriasta sekä yleisesti saatavilla oleva ei-yksinoikeudellinen dokumentaatio pilvipalveluinfrastruktuurin tarjoajan tietoturva-asemasta ja fyysisistä/loogisista hallintakeinoista
• Pilvipalveluinfrastruktuurin tarjoajan tarjoama tuki pilvipalvelujen tietoturvalle
• Palvelut, joiden avulla asiakas voi määrittää käyttäjätilien rakenteen, automatisoida tietoturvan ja pilvipalvelujen hallinnointikeinot sekä virtaviivaistaa auditointia
• Kyvykkyys luoda ja valmistella resurssikokoelma ja hallita sitä malliperusteisesti (sisältää pilvipalveluinfrastruktuurin tarjoajan tai tämän kumppanin kehittämät laadukkaat tietoturvamallit)
• Kyvykkyys ottaa käyttöön luotettavat ja toistettavat hallintakeinot
• Ominaisuudet jatkuvaan ja reaaliaikaiseen auditointiin
7 xxxxx://xx.xxxxxx.xx/xxxxxxx-xxxxxx-xxxxxx/xx/xxxx/xxxxx-xxxxxxxxxxx-xxxxxxx-xxxxxx-xxxxx-xxxxx-xxxx-xxxxx- switching-and-cloud-security
• Kyvykkyys luoda teknisiä komentosarjoja pilvipalvelujen hallinnointikäytäntöjä varten
• Kyvykkyys luoda pakollisia toimintoja, joita käyttäjät eivät pysty ohittamaan, ellei heillä ole kyseisten toimintojen muokkausoikeutta
• Kyky toteuttaa aiemmin käytännöissä, standardeissa ja asetuksissa mainitut vaatimukset luotettavasti sekä luoda toimeenpanokelpoisia tietoturva- ja vaatimustenmukaisuusominaisuuksia, jotka muodostavat toimivan ja luotettavan pilvipalvelujen hallinnointimallin IT-ympäristöjä varten
• Palvelut, jotka suojaavat yleisiltä verkko- ja siirtokerroksessa tapahtuvilta palvelunestohyökkäyksiltä (DDoS) sekä kyky kirjoittaa mukautettuja sääntöjä edistyneiden sovellustason hyökkäysten torjumiseksi
• Hallinnoitu uhkien tunnistuspalvelu
Myös tietoturvan kannalta on erittäin suositeltavaa, että pilvipalveluinfrastruktuurin tarjoajat voivat päivittää tarjontaansa jatkuvasti tai lisätä tuotteita hankintapyynnön määräpäivän jälkeen, kunhan ne noudattavat hankintapyynnön alkuperäisiä parametreja. Näin siksi, että tietoturvaominaisuudet ja -palvelut kehittyvät nopeasti ja pilvipalveluinfrastruktuurin tarjoajat julkaisevat tiheästi tietoturvaan keskittyneitä palveluja, jotka ovat usein maksuttomia. Lisäksi on tärkeää määritellä tietoturvan perustaso (katso edellä mainitut vähimmäisvaatimukset), jotta voidaan taata, etteivät tarjottaviin tietoturvaratkaisuihin tehdyt muutokset ole haitallisia.
Pilvipalvelujen hankintapyynnössä keskeinen tietoturvaa koskeva seikka on tietenkin jaetun vastuun malli. Kummankin osapuolen on oltava selvillä omista tietoturvavastuistaan, ja pilvipalveluinfrastruktuurin tarjoajia on vaadittava kirjaamaan tarjoamiinsa pilviteknologioihin liittyvät palveluntarjoajan ja asiakkaan tietoturvavastuut sekä dokumentaatio, joka auttaa asiakkaita integroimaan ja automatisoimaan parhaita tietoturvakäytäntöjä.
Pilvipalvelujen puitesopimus on laadittava riittävän joustavaksi niin, että toimittajat, jotka eivät enää noudata hankintapyynnössä mainittuja tietoturvaa ja vaatimustenmukaisuutta koskevia vähimmäisvaatimuksia, voidaan poistaa.
Julkisen sektorin organisaatiot tarvitsevat pilviteknologiasopimuksen, jossa huomioidaan kysynnän vaihtelu. Pilvipalveluista on voitava maksaa käytön mukaan, ja ratkaisun on sisällettävä myös tarvittava pilvipalvelujen hallinnointi sekä mahdollisuus käytön ja kulujen seurantaan.
On tärkeää, että hankintapyynnössä painotetaan arvoa ja kokonaiskustannuksia (TCO), ei pelkästään yksikköhintojen vertailua. Perinteinen alhaisimman yksikköhinnan hakeminen ei sovellu pilvipalvelumalliin eikä sellaisenaan yleensä johda kokonaistaloudellisesti edullisimpaan tarjoukseen tai alhaisimpaan hintaan.
Pilvipalveluinfrastruktuurin tarjoajien hinnoittelun vertailussa auttaa, kun ensin tehdään palveluntarjoajien esikarsinta soveltamalla hinnoittelua koskevia vähimmäisvaatimuksia. Näin samankaltaiset palveluntarjoajat voivat osoittaa kelpoisuutensa hyväksytyksi puitesopimuksen osapuoleksi. Call off -sopimusten ja minikilpailujen arviointiprosessissa voidaan puolestaan tarkastella esimerkkejä pilvipalveluarkkitehtuureista ja hinnoitteluskenaarioista, jotka vastaavat joitakin tyypillisiä julkisen sektorin työkuormia, ja pyytää pilvipalveluinfrastruktuurin tarjoajia hinnoittelemaan ne. Suositeltavia ovat myös reaaliaikaiset testidemot, joiden avulla voidaan verrata pilvipalveluinfrastruktuurin tarjoajien teknologioiden suorituskykyä ja elastisuutta. Liitteestä B löytyy esimerkki pilviteknologioiden testaamisesta. |
Pilvipalvelujen hankintapyynnön hinnoitteluosio koostuu neljästä keskeisestä elementistä:
1. Käyttöön perustuva hinnoittelu: Pilvipalveluasiakkaat maksavat palvelujen käytöstä kunkin kuukauden lopussa. Tämä on käytön ja resurssien mittaamisen kannalta paras malli.
2. Läpinäkyvä hinnoittelu: pilvipalveluinfrastruktuurin tarjoajien hinnoittelun on oltava julkista ja läpinäkyvää.
3. Dynaaminen hinnoittelu: Pilvipalvelujen hinnoittelun on voitava vaihdella joustavasti markkinahinnoittelun mukaan. Tämä malli hyödyntää pilvipalvelujen hinnoittelun dynaamisuutta ja kilpailullisuutta ja tukee innovaatioita sekä hinnanalennuksia.
4. Valvotut kulut: pilvipalveluinfrastruktuurin tarjoajien on tarjottava raportointi-, valvonta- ja ennustetyökalut, joilla asiakkaat voivat (1) valvoa käyttöä ja kuluja sekä yleisellä että yksityiskohtaisella tasolla, (2) saada hälytyksiä käyttöä ja kuluja koskevien raja-arvojen ylittyessä ja (3) arvioida käyttöä ja kuluja tulevia pilvipalvelubudjetteja suunnitellessaan.
Hankintapyynnön mallisanamuodot: hinnoittelu
<ORGANIZATION> pyytää ratkaisuehdotuksen lähettäviä pilvipalveluinfrastruktuurin tarjoajia sisällyttämään mukaan ehdottamansa menetelmän ja hinnoittelumallin, joiden mukaisesti ne tarjoavat palvelujaan loppukäyttäjille kaupallisena pilvipalveluna.
Pilvipalveluinfrastruktuurin tarjoajan on toimitettava:
• Palvelun määrittelyasiakirjan tai linkit palvelumäärittelyihin
• Ehtoasiakirjan
• Hinnoitteluasiakirja (linkit julkisiin hinnoittelutietoihin hyväksytään, kunhan täydellinen hinnasto tai hinnoitteluasiakirja ovat saatavilla pyynnöstä).
Hinta muodostuu palvelun yleisimmän kokoonpanon kustannuksista. Pilvipalveluinfrastruktuurin tarjoajien on tarjottava mahdollisuus määräalennuksiin sekä hintalaskurit, joilla voidaan selvittää ostettavien palvelujen todellinen hinta sekä ostajalle aiheutuva kokonaisarvo (esimerkiksi optimointipalvelut ja niistä seuraava kustannussäästö).
Puitesopimuksen piiriin kuuluvat ostajat voivat pyytää toimittajia selventämään palvelukuvausta, ehtoja, hinnoittelua, palvelun määrittelyasiakirjoja tai palvelumallia. Kaikesta yhteydenpidosta toimittajien kanssa pidetään kirjaa.
Muut hinnoitteluvaatimukset
• Pilvipalveluinfrastruktuurin tarjoajien on tarjottava pilviteknologioilleen dynaaminen hinnoittelumalli, joka mahdollistaa toiminnan maksimaalisen joustavuuden, skaalattavuuden ja kasvun.
• Hinnoitteluperusteisiin on sisällytettävä seuraavat seikat:
o Perustuuko hinnoittelu käytön mukaan laskutettavaan palveluun? Selosta organisaatiosi käyttämä hinnoittelumalli.
o Onko lisäalennuksia mahdollista saada sitoutumalla käyttöön ja/tai ostamalla suuria määriä? Xxxx xxxxxxxxxxx.
o Onko hinnoittelu julkista ja läpinäkyvää? Sisällytä linkit julkisesti saatavilla olevaan hinnoitteluun.
o Onko hinnoittelu dynaamista ja mukautuuko se markkinatilanteeseen nopeasti ja tehokkaasti?
o Tarjoaako organisaatiosi parhaat käytännöt ja resurssit kulujen seurantaan?
o Tarjoaako organisaatiosi parhaat käytännöt ja resurssit kulujen optimointiin?
Hinnoittelun läpinäkyvyys
Koska innovaatiot ja kilpailu painavat kaupallisten pilviteknologioiden hinnoittelua jatkuvasti alaspäin, pilvipalveluinfrastruktuurin tarjoajan palvelun mitattu yksikköhinta, jonka <ORGANIZATION> maksaa puitesopimuksen mukaisesti, ei saa koskaan ylittää palveluntarjoajan verkkosivustolla esitettyä yksikköhinnoittelua, joka on voimassa palvelun käytön aikana.
Budjetointi ja laskutushälytykset/-raportit
Pilviteknologioiden toimitusten ja käytön varmistamiseksi pilvipalveluinfrastruktuurin tarjoajien on tarjottava
<ORGANIZATION>:lle työkalut, joilla voi luoda eriteltyjä laskutusraportteja tunti-, päivä- tai kuukausikulujen mukaan, tilikohtaisesti, tuotteen tai tuoteresurssin mukaan tai asiakkaan määrittämien tunnisteiden mukaan.
<ORGANIZATION> tiedostaa, että osana pilvipalvelujen jaetun vastuun mallia <ORGANIZATION> vastaa pilvipalveluinfrastruktuurin tarjoajan tarjoamien budjetointi- ja laskutusominaisuuksien sekä -työkalujen käytöstä omien yksilöllisten ennuste- ja raportointivaatimustensa täyttämiseksi.
• Anna tiedot siitä, miten <ORGANIZATION> voi tarkastella laskutustietoja yksityiskohtaisella ja yleisellä tasolla, visuaalista esitystä pilvipalveluinfrastruktuurin tarjoajan resurssien käytöstä tietyllä ajanjaksolla ja kulujen kehitystä koskevia ennusteita.
• Anna tiedot siitä, miten <ORGANIZATION> voi rajata käyttö-/laskutustiedot palvelun, linkitetyn tilin tai resursseille määritettyjen mukautettujen tunnisteiden perusteella ja luoda laskutushälytyksiä, jotka lähettävät ilmoituksen, kun palvelujen käyttö saavuttaa tai ylittää <ORGANIZATION>:n määrittelemät raja- arvot/budjetit.
• Anna tiedot siitä, miten <ORGANIZATION> voi ennustaa pilvipalvelujen käyttöä tietyllä ajanjaksolla aiemman käytön perusteella. Pilvipalveluinfrastruktuurin tarjoajan on toimitettava arvio siitä, miten paljon
<ORGANIZATION> käyttää pilvipalveluja, ja annettava <ORGANIZATION>:lle mahdollisuus käyttää hälytyksiä ja budjetteja ennakoiduille summille kustannusten ja kulujen hallinnoinnin tehostamiseksi.
Julkisen sektorin organisaatiot vertailevat hankintapyyntöön tulleita vastauksia usein muun muassa parhaan arvon, kokonaistaloudellisesti edullisimman tarjouksen tai alhaisimman hinnan perusteella. Puitesopimuksen piiriin kuuluvien call off -sopimusten tai minikilpailujen hinnoittelua suunniteltaessa on tärkeää laatia malli, jossa huomioidaan pilviympäristön ainutlaatuiset ominaisuudet. On esimerkiksi tiedostettava, ettei pelkkä pilvipalveluinfrastruktuurin tarjoajien tarjousten rivinimikkeiden (esimerkiksi
laskentakapasiteetti tai tallennustila) vertailu ole tehokas tapa, sillä siinä ei huomioida muun muassa suorituskykyä, pilvipohjaisten palvelujen mahdollistamaa kustannusten optimointia ja pilvipalveluinfrastruktuurin tarjoajan valvontatyökaluja eikä erotella palveluja, joita palveluntarjoajat tarjoavat mahdollisesti maksutta. Lisäksi pilvipalveluinfrastruktuurin tarjoajan luettelohinta voi sisältää kymmeniä tuhansia rivinimikkeitä, ja hinnoittelumallit voivat vaihdella palvelujen ja palveluntarjoajien välillä.
Kokonaiskustannusten analysointi
On suositeltavaa keskittyä tarkastelemaan määriteltyjen käyttötapausten kokonaiskustannuksia (TCO), joissa huomioidaan pilvipalveluratkaisun kaikki osatekijät (kuten kumppanipalvelut, pilvipalveluinfrastruktuurin tarjoajan vakioalennukset, suorituskykyä parantavat tekniset ominaisuudet ja kustannusten pienentäminen/optimointi).
Vertailu skenaarioiden perusteella
Arviointiprosessissa voidaan tarkastella myös tyypillisiä skenaarioita, jotka vastaavat yleisiä järjestelmiä tai sovelluksia. Tällaisiin skenaarioihin (esimerkiksi verkkoisännöintiin tai x käyttäjää sisältävään HR- järjestelmään) voi sisältyä erilaisia muuttujia, kuten resurssien nopeus ja skaalattavuus, sovelluksen tai ratkaisun suorituskyky, tallennustilan käytettävyysajat tai monimutkaiset pienet tietomäärät verrattuna suureen määrään yksinkertaisia laskentatehtäviä. Myös sovelluksilla tai järjestelmillä voi olla tyypillisiä skenaarioita, kuten suurten tietomäärien käsittely tietyissä tilanteissa tai hätäilmoitukset, kuten tulvavaroitukset. Skenaarioiden on oltava kattavia, eli niihin on sisällytettävä teknologia ja palvelut, joita asiakas saattaa käyttää hankkeen aikana. Näin asiakas voi verrata hankkeen arvioituja yleiskustannuksia.
Skenaarioiden taloudellinen ja tekninen vertailu
Pilvipalveluinfrastruktuurin tarjoajien hinnoittelua verrattaessa on tärkeää huomioida myös tekniset hyödyt. Yksi pilvipalveluinfrastruktuurin tarjoaja saattaa esimerkiksi tarjota asiakkaille mahdollisuuden kehittää aktiivinen–aktiivinen-tyyppinen topologia järjestelmäpalautukseen (DR), koska sen malliin sisältyy klusteroituja palvelinkeskuksia tietyllä maantieteellisellä alueella. Pilvipalveluinfrastruktuurin tarjoaja, joka ei tarjoa tällaista vikasietoista ratkaisua ja datakeskuskokoonpanoa, saattaa olla x % kalliimpi, kun häiriötilanteista palautumisen kustannukset lasketaan mukaan. Seuraavasta yksikköhintojen vertailuesimerkistä selviää, miksi muutkin tekniset ominaisuudet sisältävä kokonaisvaltainen hinnoittelumalli on tärkeä pilvipalveluinfrastruktuurin tarjoajia arvioitaessa.
Esimerkki: Asiakas haluaa verrata puitesopimuksen piiriin kuuluvien, kelpoisuusvaatimukset täyttävien pilvipalveluinfrastruktuurin tarjoajien hintoja objektitallennustilalle. Pilvipalveluinfrastruktuurin tarjoaja 1:n tallennustilan yksikköhinta on 0,023 €/Gt. Pilvipalveluinfrastruktuurin tarjoaja 2:n vastaava tallennustilan yksikköhinta on 0,01 €/Gt. Jos asiakas vertaa pelkästään yksikköhintaa, hän ei pohdi seuraavan kaltaisia ratkaisevia kysymyksiä:
1. Kuinka monta vikasietoista kopiota objektista on saatavilla häiriötilanteen varalta? Yllä olevassa esimerkissä pilvipalveluinfrastruktuurin tarjoajan 1 mallissa tiedoista on useita kopioita, joten tiedot pystytään palauttamaan, vaikka ne katoaisivat kahdessa eri toimipaikassa samanaikaisesti. Palveluntarjoajan 2 tapauksessa vikasietoisia kopioita ei ole.
2. Mikä on tallennustilassa olevien objektien säilyvyystaso? Pilvipalveluinfrastruktuurin tarjoajan 1 tapauksessa 99,999999999 %, palveluntarjoajan 2 tapauksessa 99 %.
3. Huomioi hankkeen tai työkuorman elinkaaren aikaiset kustannukset ja se, miten kustannuksia voidaan pienentää optimoimalla tietojen tallennus ja käyttö (esimerkiksi pilvipalveluinfrastruktuurin tarjoajan palvelimettomien toimintojen käytön lisääminen voi pienentää kustannuksia x %).
Nämä ovat vain esimerkkejä hinnoitteluun vaikuttavista teknisistä seikoista. Erityisesti tietoturvan ja vaatimustenmukaisuuden osalta hinnoitteluun liittyy monia muitakin teknisiä seikkoja.
Hinnoitteluskenaarioissa huomioitavia tekijöitä
Perushinnat – Nämä ovat käytännössä pilvipalveluinfrastruktuurin tarjoajien julkisia hintoja. Näiden hintojen on oltava julkisesti saatavilla. Kuten edellä on kuitenkin mainittu, asiakkaat voivat pilvipalveluinfrastruktuurin tarjoajien tehokasta vertailua varten pyytää toimittajia hinnoittelemaan 3–5 tiettyä skenaariota (tai muun tarkoituksenmukaisen määrän). Skenaarioiden on oltava kattavia, eli niihin on sisällytettävä erilaiset palvelut ja teknologiat, joita asiakas todennäköisesti käyttää hankkeen aikana. Näin asiakas voi verrata hankkeen arvioituja yleiskustannuksia. Rivinimike-/SKU-tason vertailusta on asiakkaille ja toimittajille yleensä enemmän haittaa kuin hyötyä (asiakkaiden täytyy verrata kymmeniä tuhansia rivinimikkeitä kaikilta pilvipalveluinfrastruktuurin tarjoajilta, ja toimittajien täytyy toimittaa ja hallinnoida tällaista nippelitietojen määrää, vaikka varsinainen hinta määräytyy palvelun kulutuksen perusteella).
Palveluntarjoajan yleisen kyvykkyyden arviointi on tärkeää parasta arvoa hakeville pilvipalveluasiakkaille. Pilvipalveluinfrastruktuurin tarjoajilla saattaa olla esimerkiksi lukuisia palveluja, jotka ovat joko kokonaan tai olennaisilta osin maksuttomia, ja hinnoittelun arvioinnissa on huomioitava myös nämä palvelut sekä se, että muut palveluntarjoajat saattavat laskuttaa vastaavista toiminnoista.
Arviointikriteerit voidaan kirjata niin, että pilvipalveluinfrastruktuurin tarjoajat voivat tuoda esille ominaisuudet, jotka sisältyvät niiden ehdotukseen oletusarvoisesti, ja kertoa, miten tällaiset palvelut vaikuttavat kokonaishintaan. Arvioinnissa voidaan tarkastella myös pilvipalveluinfrastruktuurin tarjoajien määrä-/tasoperusteista hinnoittelua ja kaupallisesti saatavilla olevia alennuksia, kuten varattuja instansseja sekä pisteinstansseja. Esimerkki:
• x %:n säästö, jos asiakkaat ostavat varattua laskentakapasiteettia (1 vuosi, 3 vuotta jne.)
• x %:n alennus taso-/määrähinnoittelusta
• x %:n säästö arkkitehtuurin tarkistuksista ja infrastruktuurin optimoinnista, kuten siirtymisestä sopivampaan laskentavaihtoehtoon
• Kuten edellä on mainittu, on tärkeää huomioida elinkaarikustannukset ja kustannusten pienentäminen optimointiominaisuuksien avulla.
HINNOITTELUSKENAARIO
Ehdotuksen jättäjien on ilmoitettava seuraavan skenaarion hinnoittelu vain arviointitarkoituksia varten. Todellinen hinta määräytyy palvelujen käytön perusteella.
Alla on annettu edustavat vaatimukset hinnanmuodostusta varten, ja niitä laadittaessa on tiedostettu, että nämä nimelliset vaatimukset voivat muuttua sopimuksen voimassaoloaikana. Ilmoita hinnoittelu 12 ja 36 kuukaudelle käytön perusteella sekä 12 ja 36 kuukaudeksi varatulle kapasiteetille.
Ilmoita:
• Ehdotettujen ratkaisujen nimet:
• Tarjoajan edullisin hinnoittelu:
• Palvelun käyttöajat: ympäri vuorokauden vuoden jokaisena päivänä
• Palvelun käytettävyys: 99,95 %
Hinnoitteluskenaarioihin voi sisällyttää myös esimerkkejä nykyisistä, työkuormiltaan vastaavanlaisista asiakkaista, jotka ovat optimoineet kulujaan 1/2/3 vuoden ajalle käyttämällä pilvipalveluinfrastruktuurin tarjoajan valvonta- ja optimointityökaluja, ottamalla käyttöön optimoituja pilvipalvelupohjaisia ratkaisuja ja hyödyntämällä palveluntarjoajan hinnanalennuksia.
2.5 Sopimuksen valmistelu ja ehdot
Pilvipalveluinfrastruktuurin tarjoajien tarjoamat pilviteknologiat ja -toiminnot ovat standardoituja, ja siksi myös sopimusehdot ovat standardoituja. Sopimuksiin voidaan kuitenkin tehdä vähäisiä muokkauksia paikallisten lakien ja määräysten mukaisesti.
Perinteisiä IT-hankintamenettelyjä koskevat usein tiukat säännöt, jotka edellyttävät tarjoajilta monien tai kaikkien hankintaa koskevien vaatimusten noudattamista. Muutoin tarjoukset hylätään. Vaihtoehtoisesti ne saattavat sisältää joustamattoman alajoukon pakollisia vaatimuksia. Jos tällaista hankintamenetelmää sovelletaan pilviteknologioihin, hankinta usein epäonnistuu, sillä pilviteknologiat ovat oikeastaan vain standardoituja komponentteja ja työkaluja, jotka mahdollistavat mukautetun ratkaisun laatimisen.
Pilvipalvelusopimuksen laatimisen ensimmäisessä vaiheessa tarkistetaan pilvipalveluinfrastruktuurin tarjoajan voimassa olevat kaupalliset ehdot, jotka ovat usein julkisesti saatavilla palveluntarjoajan verkkosivustolla. Julkisen sektorin yksiköt ovat yhä useammin valmiita hyväksymään pilvipalveluinfrastruktuurin tarjoajien kaupalliset ehdot. Osana ehtoihin perehtymistä on järjestää pilvipalveluinfrastruktuurin tarjoajien ja heidän kumppaniensa kanssa tapaaminen, jossa syvennytään heidän ehdottamiinsa malleihin. Keskeinen kysymys on, miksi pilvipalveluinfrastruktuurin tarjoaja soveltaa kyseisiä ehtoja. Jotkin ehdoista saattavat poiketa perinteisiä IT-ratkaisuja koskevista ehdoista, mutta niiden sisällyttämiselle pilvipalvelusopimukseen on tietyt syyt. Jos julkisesti saatavilla olevat ehdot eivät ole hyväksyttävissä, pilvipalveluinfrastruktuurin tarjoajilla on usein yritysasiakkaita varten sopimuksia, joihin voidaan tehdä vähäisiä muokkauksia. Niihin kannattaa tutustua.
Pilvipalveluinfrastruktuurin tarjoajien käyttöehtoihin tutustumisen lisäksi on tärkeää perehtyä nykyisiin käytäntöihin, määräyksiin ja lakeihin (koskien esimerkiksi teknologiaa, tietojen luokittelua, tietosuojaa ja työvoimaa). Usein voimassa olevat hyväksytyt käytännöt, määräykset tai lait on laadittu perinteisten IT- ratkaisujen hankintaa ja käyttöä varten, joten ne voivat olla ristiriidassa pilvipalveluinfrastruktuurin tarjoajan mallin kanssa. Ne saattavat esimerkiksi sallia vain sellaisten pilviteknologioiden käytön, jotka sisältyivät alkuperäiseen puitesopimukseen hankintapyynnön kautta. Pilvipalveluinfrastruktuurin tarjoajat lisäävät tarjontaansa jatkuvasti uusia palveluja ja ominaisuuksia. Uusien palvelujen käytön estyminen vain siksi, että halutaan pitää kiinni perinteisten IT-tuotteiden hankintamallista, ei ole loppuasiakkaan kannalta kovinkaan järkevää. Tällöin on tärkeää käydä pilvipalveluinfrastruktuurin tarjoajien kanssa perusteellisia keskusteluja kyseisten käytäntöjen, määräysten ja/tai lakien sisällöstä.
Hankintapyyntöä edeltävien keskustelujen hyödyt
Kuten edellä on mainittu, ennen hankintapyynnön valmistelua kannattaa tavata pilvipalvelujen tarjoajia ja toimittajia, jotta heidän ehtojaan voidaan selvittää ja heille voidaan kertoa oman organisaation ratkaisumalleista, käytännöistä, määräyksistä ja lainsäädännöstä. Näissä keskusteluissa tärkeintä on, että molemmat osapuolet saavat tietää, miksi olennaiset ehdot ovat sellaisia kuin ne ovat. Esimerkiksi
pilvipalvelua koskevat ehdot ovat erilaisia kuin tavanomaisilla datakeskuksilla, hallinnoiduilla palveluilla, laitteilla, yleisesti saatavilla kaupallisilla ohjelmilla ja järjestelmäintegraatioilla. Koska ne ovat yksittäisiä malleja ja jatkuvan innovoinnin kohteena, niiden liiketoimintamallit edellyttävät hankintapyyntöprosessilta riittävää joustavuutta, jotta asioita voidaan selventää neuvotteluissa ja keskusteluissa.
Kun ehtoja voidaan selventää keskustelujen tai neuvottelujen kuluessa, julkisen sektorin organisaatiot saavat laajempaa näkemystä pilvipalvelumalleista eivätkä tule hylänneeksi tarjoajia, jotka pystyisivät mahdollisesti vastaamaan organisaation tarpeisiin. Yleensä organisaatio yksilöi etukäteen tiettyjä ehtoja, joista se on valmis keskustelemaan ja neuvottelemaan ennen voittavan tarjouksen valitsemista. Neuvottelemalla hyväksyttävistä ehdoista etukäteen palveluntarjoajien kanssa organisaatio voi varmistaa saavansa sopivimman tarjoajan ja ratkaista näkemyseroja, jotka voisivat muutoin johtaa toimivan ehdotuksen hylkäämiseen. Julkisen sektorin tahot voivat myös tarkastella käytäntöjään, määräyksiään ja lainsäädäntöään. Molemmat osapuolet voivat päästä yhteisymmärrykseen siitä, kuinka pilvipalvelun hyödyntäminen soveltuu kyseisiin malleihin. Usein voidaan käyttää olemassa olevia ehtoja. Jos ongelmakohtia kuitenkin on, työryhmät voivat hakea ratkaisua yhdessä (tällaiset keskustelut on hyvä käydä hyvissä ajoin ennen hankintapyyntöä ja sen jälkeisiä sopimusneuvotteluja).
Joustavat neuvottelut
Jotta voidaan varmistaa, että pilvipalveluinfrastruktuurin tarjoajan standardoituihin sopimusehtoihin perustuvat sopimukset ovat paikallisen lainsäädännön mukaisia, on suositeltavaa (1) pyytää hakijoilta niiden vakiosopimusta, (2) olla hyväksymättä soveltumattomia sopimusehtoja, kun pilvipalvelun hankintapyyntöä varten laaditaan puitesopimusta, ja (3) tarjota neuvotteluvaihtoehto kaikille konsultoinnissa käsiteltäville sopimusehdoille ja ehdotukset, joilla päästään puitesopimukseen (lain edellyttämiä pakollisia lausekkeita lukuun ottamatta).
HUOMAUTUS: Xxxxxx vastuun laajuus sisältyy pilvimalliin, ja se tulisi huomioida sopimusehdoissa. Pilvipalveluinfrastruktuurin tarjoaja esimerkiksi vahvistaa tietojen sijainnin ja sen, että asiakkaat omistavat tietonsa. Palveluntarjoaja toimittaa myös työkalut, joilla varmistetaan, että tietojen sijainnin vaihtoehdot ovat rajatut – MUTTA – näiden työkalujen käyttäminen on asiakkaan tai kumppanin vastuulla.
On tärkeää, että pilvipalvelun puitesopimuksen kullakin osiolla on erilliset sopimusehdot. Yleispätevä malli kaikkia osioita koskeville sopimuksille aiheuttaa vääjäämättä tekniseen toteutettavuuteen ja yhteensopivuuteen liittyviä ongelmia.
Kuten edellä todettiin, jos hankintapyyntö sisältää pakollisia ehtoja, joissa ei ole neuvotteluvaraa ("ota tai jätä"), se voi johtaa muuten hyväksyttävissä olevan ehdotuksen hylkäämiseen. Julkisen sektorin organisaatioiden kannattaa harkita tarkasti pakollisten ehtojen seurauksia, ellei lainsäädäntö edellytä niiden sisällyttämistä. Organisaatioiden on oltava varmoja pakollisen vaatimuksen tai ehdon tarpeellisuudesta, koska vaatimuksen tai ehdon pakollisuus estää tulevat neuvottelut. Pakollisia vaatimuksia ja ehtoja tulisi käyttää mahdollisimman vähän, jotta organisaatiolla on tarpeeksi joustovaraa parhaan teknologian ja ratkaisun hankintaa varten.
On hyvä muistaa, että pilvipalveluinfrastruktuurin tarjoajien pilviteknologiat ovat täysin standardoituja, ja ne toimitetaan automaattisesti. Siksi pilvipalveluinfrastruktuurin tarjoaja ei voi tehdä ehtoihin muutoksia, jotka vaatisivat alkuperäisen palvelun mukauttamista. Lisäksi palveluiden hinnat ovat yleensä julkisia
ja standardoituja kaikille käyttäjille, eli pilvipalveluinfrastruktuurin tarjoaja ei voi muuttaa hinnoittelua tasapainottaakseen tiettyyn asiakkaaseen kohdistuvaa riskiä.
Epäsuorat ostot
Pilviteknologioita voidaan ostaa suoraan pilvipalveluinfrastruktuurin tarjoajalta, mutta sitä voidaan ostaa myös palveluntarjoajan jälleenmyyjältä. Lisätietoja pilvipalveluinfrastruktuurin tarjoajien jälleenmyyjistä on edellä kohdassa 2.1.3.
Hankintapyynnön mallisanamuodot: ehdot Pilvipalveluinfrastruktuurin tarjoajien tai heitä edustavien toimittajien on ilmoitettava julkisesti saatavilla olevat ehtonsa ja annettava <ORGANIZATION>:n ilmoittamia tärkeitä ehtoja koskevaa palautetta. <ORGANIZATION> aikoo solmia kirjallisen sopimuksen valitun tarjoajan kanssa tarjoajan sopimusehtojen perusteella. Tarjoajan on annettava <ORGANIZATION>:n arvioitavaksi sopimusehdot, jotka edustavat tarjoajan parasta kaupallista ja lainmukaista tarjousta. Tarjoajat ja <ORGANIZATION> voivat keskustella molemmista ehtoesityksistä <DISCUSSION/NEGOTIATION>-vaiheessa. | |||||
• | Ylätason puitesopimuksen pääehdot koostuisivat enintään seuraavista osista: | ||||
o Puitesopimuksen kesto o Puitesopimuksen hallinnointi o Puitesopimuksen täytäntöönpano o puitesopimuksen irtisanominen o Puitesopimuksen soveltamisala o Tilaaminen o Luottamuksellisuutta koskevat säännökset o Luokkakohtaiset immateriaalioikeudet ja tiedot o Pilvipalveluinfrastruktuurin tarjoajia koskevat tekniset laatuvaatimukset, hyväksynnät, tietoturva ja tietosuoja. | vähimmäisvaatimukset | – | esimerkiksi | ||
• | Puitesopimuksen jokaiselle osiolle laaditaan erilliset ehdot | ||||
• | Pilvipalveluinfrastruktuurin tarjoajan palvelun yksityiskohtia voidaan harkita, ja niitä käsitellään call off - | ||||
sopimuksen yhteydessä. | |||||
• | Sopimuksen muutokset sallitaan – ehdot eivät saa estää asiakkaita ja toimittajia sopimasta sopimuksen | ||||
muutoksista, uusista palveluista tai parannuksista. Pilvipalvelut kehittyvät koko ajan. Saataville tulee | |||||
jatkuvasti palveluiden parannuksia, jotka voivat auttaa asiakkaita tehostamaan toimintaansa. | |||||
• | Asiakkaan ei tule määrittää palvelutasosopimuksia. Asiakkaan ehdoissa ei tulisi määrittää | ||||
toimeksiantokohtaisia, sopimusperusteisia palvelutasosopimuksia, jotka poikkeavat | |||||
pilvipalveluinfrastruktuurin tarjoajien tavanomaisista palveluiden toimitusmalleista. Kun | |||||
pilvipalveluinfrastruktuurin tarjoajien tavanomaiset palvelutasosopimukset sallitaan, kustannukset voidaan | |||||
pitää kurissa ja niitä voidaan siirtää asiakkaille. Samalla asiakkaat voivat luottaa siihen, että | |||||
pilvipalveluinfrastruktuurin tarjoaja kykenee täyttämään palvelutasosopimuksen vaatimukset. | |||||
• | Vahingonkorvauksilla tulee olla suhteelliset ylärajat. Vastuun on oltava suhteessa hankittaviin palveluihin, | ||||
eivätkä vahingonkorvausten ylärajat saa olla suhteettoman suuria. Jos ylärajat ovat suhteettoman suuria, | |||||
pilvipalveluinfrastruktuurin tarjoajat eivät niiden takia ole aina halukkaita ottamaan vastaan arvoltaan | |||||
pienempiä hankkeita. Tällaiset hankkeet toimivat usein hyödyllisinä esittely- ja testitapauksina, joiden | |||||
perusteella asiakkaat selvittävät, soveltuvatko tietyt pilvipalveluratkaisut heidän organisaatiolleen. | |||||
• | Asiakkaiden tulee omistaa tietonsa. Asiakkaiden on valvottava tietojaan ja omistettava tietonsa. Asiakkaiden | ||||
on myös voitava selvittää maantieteellinen sijainti, jossa tietoja säilytetään. Näin asiakas ei ole riippuvainen | |||||
tietystä toimittajasta vaan voi siirtää tietoja vapaasti uusille palveluntarjoajille. | |||||
2.5.2 Ohjelmistojen käyttöehdot
Vaikka tämä käsikirja keskittyy pilvipalveluinfrastruktuurin tarjoajan tarjoamien IaaS- ja PaaS- pilviteknologioiden hankkimiseen, on tärkeää nostaa esille ohjelmistojen käyttöehtoja, jotka julkisen sektorin organisaatiot voivat ottaa huomioon hankkiessaan ohjelmistoja toimittajilta. Xxxxx Xxxxxxx 1 (sivu 5), miten ohjelmistoja hankitaan osana hyvin jäsenneltyä pilvipalveluiden hankintapyyntöä.
Ohjelmistoilla on kriittinen rooli lähes joka yrityksessä, mukaan lukien julkisella sektorilla. Velvoitteiden kuten ohjelmistolisensoinnin ehtojen sisällyttäminen pilvipalveluiden hankintapyyntöön auttaa varmistamaan, että julkisen sektorin organisaatiot saavat parhaan arvon ja että niillä on vapaus valita toimittajat hankkiessaan ohjelmistoja.
Katso lisätietoja kohdasta Oikeudenmukaisen ohjelmistolisensoinnin kymmenen periaatetta pilvipalveluasiakkaille9. Periaatteet on kehittänyt Cigref10, merkittävien ranskalaisyritysten ja viranomaistahojen järjestö, joka edustaa digitaalisen teknologian käyttäjiä, yhteistyössä CISPEn kanssa sekä muiden eurooppalaisten CIO- ja palveluntarjoajatoimialajärjestöjen tuella. Niiden tarkoituksena on tarjota ratkaisuja käytäntöihin, jotka molemmat järjestöt näkevät haitallisiksi kaikenkokoisten organisaatioiden digitalisaatiolle niiden siirtyessä pilvipalveluihin.
Hankintapyynnön mallisanamuodot: ohjelmistot <ORGANIZATION> aikoo solmia kirjallisen sopimuksen valitun tarjoajan kanssa tarjoajan sopimusehtojen perusteella. Tarjoajan on annettava <ORGANIZATION>:n arvioitavaksi sopimusehdot, jotka edustavat tarjoajan parasta kaupallista ja lainmukaista tarjousta. Ohjelmistotoimittajat ja <ORGANIZATION> voivat keskustella molemmista ehtoesityksistä <DISCUSSION/NEGOTIATION>-vaiheessa. |
Vaatimus 1.0. Ohjelmistotoimittajien tulee tarjota selkeät lisensointiehdot, mukaan lukien kustannuserittely yhteenveto- ja erittelytasoilla. Vaatimus 1.1. Kaikki lisenssiehtojen laiminlyöntiin liittyvät veloitukset tulee toimittaa yhteenveto- ja erittelytasoilla. |
Vaatimus 2.0. Ohjelmistolisenssien tulee tarjota <ORGANIZATION>:lle mahdollisuus migroida lisensoitu ohjelmisto omasta konesaliympäristöstä haluamaansa pilvipalveluun ilman erillisten, päällekkäisten lisenssien hankkimista samasta ohjelmistosta. Vaatimus 2.1. Ohjelmistolisensseissä ei saa olla lisensointirajoituksia ja lisäkustannuksia, jotka rajoittavat <ORGANIZATION>:n mahdollisuutta käyttää lisensoitua ohjelmistoa haluamassaan pilvipalvelussa. |
Vaatimus 3.0. Ohjelmistolisenssien tulee sallia <ORGANIZATION>:n suorittaa lisensoitu ohjelmisto sekä omassa laitteistossaan (kutsutaan tyypillisesti on premise -ohjelmistoksi) että valitsemassaan pilvipalvelussa. |
Vaatimus 4.0. Ohjelmistolisensseissä ei saa olla vaatimusta siitä, että lisensoitu ohjelmisto suoritetaan vain <ORGANIZATION>:n omassa laitteistossa. |
Vaatimus 5.0. Ohjelmistotoimittajat eivät saa rangaista <ORGANIZATION>:a, jos toimittajan lisensoitua ohjelmistoa käytetään toisen toimittajan pilvipalvelussa, esimerkiksi sisällyttämällä oikeudet ryhtyä ylimääräisiin tai häiritseviin ohjelmistoauditointeihin tai perimällä korkeampia ohjelmistolisensointimaksuja. |
9 xxxxx://xxx.xxxxxxxxxxxx.xxxxx/xxxxxxxxxx/
Vaatimus 6.0. Hakemisto-ohjelmistojen tulee tukea käyttäjien tunnistetietojen synkronoinnin ja todentamisen avoimia standardeja siten, että muita tunnistetietopalveluita ei syrjitä. |
Vaatimus 7.0. Ohjelmistotoimittajat eivät saa veloittaa eri hintoja samasta ohjelmistosta vain sen perusteella, kuka omistaa laitteiston, johon ohjelmisto asennetaan. Vaatimus 7.1. Ohjelmistojen hinnoittelussa ei saa käsitellä eri tavoilla ohjelmistoja, jotka on asennettu <ORGANIZATION>:n omaan datakeskukseen, kolmannen osapuolen hallinnoimaan datakeskukseen, kolmannelta osapuolelta liisattuihin tietokoneisiin tai <ORGANIZATION>:n valitseman pilvipalveluntarjoajan palveluun. |
Vaatimus 8.0. Ohjelmistotoimittajat eivät saa sopimuksen voimassaoloaikana tehdä lisenssiehtoihin olennaisia muutoksia, jotka tuovat rajoituksia <ORGANIZATION>:lle aiemmin sallittuihin käyttötapoihin, paitsi jos laki edellyttää tätä tai tietoturvasyistä. |
Vaatimus 9.0. Ohjelmistotoimittajat eivät saa harhaanjohtaa <ORGANIZATION>:a väittämällä, että ohjelmistolisenssit kattavat <ORGANIZATION>:n suunnitellun ohjelmiston käytön <ORGANIZATION>n vaatimuksissa> määritetyllä tavalla, kun tällainen käyttö saattaa edellyttää ylimääräisten lisenssien hankkimista. |
Vaatimus 10.0. Jos <ORGANIZATION>:lla on oikeus jälleenmyydä ja siirtää ohjelmistolisenssejä, ohjelmistotoimittajien tulee jatkaa tuen ja ohjelmakorjausten tarjoamista oikeudenmukaisilla ehdoilla <ORGANIZATION>:lle, joka on laillisesti hankkinut jälleenmyydyn lisenssin. |
2.5.3 Hankekohtaisen voittavan tarjouksen valitseminen
Puitesopimuksen osapuolina toimivat julkisen sektorin yksiköt voivat tehdä call off -sopimuksia tarpeen mukaan. Tekemällä puitesopimuksen piiriin kuuluvan call off -sopimuksen ostajat voivat tarkentaa vaatimuksia toiminnallisilla lisäerittelyillä ja säilyttää silti puitesopimuksen tarjoamat edut.
Tarvittaessa voidaan järjestää minikilpailu parhaan toimittajan löytämiseksi tietylle työkuormalle tai hankkeelle. Minikilpailu tarkoittaa sitä, että asiakas järjestää puitesopimukseen kuuluville tietyn osion toimittajille jatkokilpailun pyytämällä näitä vastaamaan erikseen määriteltyihin vaatimuksiin. Asiakas kutsuu kaikki tiettyyn osioon sisältyvät pätevät toimittajat jättämään ratkaisuehdotuksensa. Siksi vähimmäisvaatimukset ovat hankintapyynnöissä niin tärkeitä – ne varmistavat laadukkaat valintavaihtoehdot kussakin osiossa.
On tärkeää, että kullekin tarjoustyypin (esimerkiksi julkinen IaaS/PaaS, yhteisön IaaS/PaaS, yksityinen IaaS/PaaS) osioluokalle on erilliset sopimusehdot. Yleispätevä malli kaikkia osioita koskeville sopimuksille aiheuttaa vääjäämättä tekniseen toteutettavuuteen ja yhteensopivuuteen liittyviä ongelmia.
Kohdassa 2.1.4 on esimerkki hankintapyynnön muotoilusta voittavan tarjouksen valintaa varten.
2.5.4 Toimittajien sisällyttäminen kilpailutukseen
Pilvipalvelun puitesopimusta laadittaessa voidaan harkita dynaamista hankintajärjestelmää (Dynamic Purchasing System, DPS). DPS-mallissa puitesopimuksen piiriin pääsevät kaikki toimittajat, jotka täyttävät puitesopimuksen vähimmäisvaatimukset. Puitesopimuksen piiriin otettavien toimittajien määrällä ei ole ehdotonta rajaa. Toisin kuin tavanomaisessa puitemallissa, toimittajat voivat myös hakea pääsyä DPS-puitesopimuksen piiriin milloin tahansa sen voimassaolon aikana.
Suosittelemme, että julkisen sektorin tahot määrittävät vaatimukset riittävän tiukoiksi, jotta niillä voidaan varmistaa pätevien toimittajien laadukkaat ja luotettavat palvelut. Vaatimuksia ei kannata määrittää liian yksityiskohtaisiksi, jottei pilvipalveluinfrastruktuurin tarjoajia hylätä reilun kilpailun vastaisella tavalla. Tavoite on, ettei loppukäyttäjä joudu valitsemaan liian suuresta vaihtoehtojen joukosta ja että pilviteknologioiden laatutaso pysyy korkeana.
3.0 Parhaat käytännöt ja käytännön kokemukset
Seuraavaksi esitämme, kuinka toimiva pilvipalvelun puitesopimus toteutetaan hyvin muotoillun pilvipalveluiden hankintapyynnön avulla.
3.1 Pilvipalvelun hallinnointi
Pilvipalvelun hallinnoinnissa vastuu jaetaan. Pilvipalveluinfrastruktuurin tarjoajat tuottavat ominaisuuksia ja palveluita pilvipalvelun sisäiseen hallinnointiin pilviympäristön kaikilla osa-alueilla. Asiakkaat taas tuovat siihen omat pilvipalvelun hallinnointistandardinsa ja näkevät, kuinka pilvipalvelu mahdollistaa pilvipalvelun hallinnoinnin.
Pilvipalvelun avulla asiakkaat voivat rakentaa haluamansa IT-ympäristön sen sijaan, että he vain hallitsisivat omaa IT-ympäristöään. Pilvipalvelun avulla asiakkaat (1) saavat aluksi täyden valikoiman IT-resursseja, (2) voivat hallita kaikkia resursseja keskitetysti ja (3) luoda esimerkiksi käyttöä, laskutusta ja tietoturvaa koskevia hälytyksiä. Näiden pilvipalvelun etujen ansiosta asiakas voi saada optimoidun ja täysin automatisoidun arkkitehtuurin, eikä uusia laitteita tarvitse jatkuvasti hankkia ja asentaa. Hankinnoista ja asennuksista huolehtii pilvipalveluinfrastruktuurin tarjoaja. Näin asiakkaat voivat keskittyä hajanaisen infrastruktuurin hallinnan sijasta tavoitteiden kannalta keskeiseen operatiiviseen toimintaan.
Pilvipalvelu voidaan nähdä myös eräänlaisena suurena API-liittymänä. Kun esimerkiksi käynnistät palvelinta tai muutat tietoturva-asetusta, teet käytännössä vain API-kutsuja. Jokainen ympäristön muutos kirjataan lokiin ja tallennetaan (jokaisen muutoksen tekijä, kohde, paikka ja ajankohta tallennetaan). Tällainen hallinnointi, valvonta ja näkyvyys ovat mahdollisia vain pilviympäristössä. Pilvipalvelun avulla asiakkaat voivat nähdä IT-hallinnointimallinsa uudessa valossa ja selvittää, miten malleja voidaan virtaviivaistaa ja parantaa pilvipalvelua hyödyntämällä.
Pilvipalvelun mukana tulee uutta osaamista ja myönteisiä prosessimuutoksia. Pilvipalvelun hallinnointi voi tarkoittaa myös näiden hyötyjen käyttöönottoa ja välittämistä. Esimerkiksi projektipäälliköille on tuttua kuukausien odottelu IT-ympäristöä laajennettaessa, joten he saattavat arvioida kehitys- tai testausympäristön luonnin keston huomattavasti pidemmäksi kuin mitä pilvipalvelussa tarvitaan (pilvipalvelussa siihen ei välttämättä kulu kuin muutama minuutti). Uudenlaiseen ketteryyteen sopeutuminen etenee vähitellen, ohjelma kerrallaan. Tällaisia käytännön kokemuksia kannattaa jakaa, jotta pilvipalvelun puitesopimusta voidaan kehittää jatkossakin niin, että vaatimukset sopivat uusiin prosesseihin ja ketterään toimintaan.
3.2 Budjetin laatiminen pilvipalvelua varten
Kun pilvipalvelun käyttöön pohjautuvaa hinnoittelua sovitetaan julkisen sektorin hankinta- ja budjetointivaatimuksiin, helpointa on niputtaa pilvipalveluinfrastruktuurin tarjoajan palvelut yhdeksi Pilviteknologiat-rivinimikkeeksi (johon kuuluvat esimerkiksi laskenta, tallennus, tietoliikenne, tietokanta ja esineiden internet). Tässä joustavassa ratkaisumallissa pilvipalveluinfrastruktuurin tarjoajan nykyistä ja uutta teknologiaa voidaan tarjota käyttäjille reaaliaikaisesti, ja käyttäjät pääsevät nopeasti käsiksi
tarvitsemiinsa resursseihin. Se sopeutuu myös vaihtelevaan kysyntään, mikä optimoi käytön ja pitää kustannukset kurissa.
Julkisen sektorin organisaatiot voivat lisätä rivinimikkeitä pilvipalveluympäristön muiden osioiden tilauksille, jos ne tarvitsevat konsultointi- tai asiantuntijapalveluita tai hallinnoituja palveluita, kaupallisia ohjelmia, pilvipalveluiden tukipalveluita ja pilvipalveluinfrastruktuurin tarjoajan tarjontaa koskevaa koulutusta.
Lisää joustavuutta hankintaan saadaan käyttämällä sopivien resurssiluokkien valinnaisia sopimusrivinimikkeitä, joilla varaudutaan tulevaan kasvuun. Jos organisaatio haluaa sen sijaan niputtaa pilviteknologian sekä konsultointi- tai asiantuntijapalvelut ja hallinnoidut palvelut yhdeksi rivinimikkeeksi, niille voidaan luoda erimerkiksi Pilviteknologiat ja lisätyöt -rivinimike.
Tästä ratkaisumallista on esimerkki seuraavassa taulukossa. Alla olevassa esimerkissä rivinimikkeen "1001
– Pilviteknologiat" yksikkö tarkoittaa, että pilviteknologiaa on käytetty yhtä euroa vastaava määrä. Jokaisen kuukauden lisätilausten määrärahat voidaan varata nykyisen ja ennustetun käytön perusteella.
Taulukko 3 – Esimerkki yhden rivinimikkeen hinnoittelurakenteesta.
RIVINIMIKE | TARVIKKEET/PALVELUT | MÄÄRÄ | YKSIKKÖ | YKSIKKÖHINTA | SUMMA |
1001 | Pilviteknologiat | 1 000 | Kpl | 1 € | 1 000 € |
1002 | Konsultointipalvelut | 1 | Viikkoa kohti | 3 000 € | 3 000 € |
1003 | Pilvipalveluiden tukipalvelut | 1 | Kuukautta kohti | 1 000 € | 1 000 € |
1004 | Pilvipalveluiden koulutus | 1 | Päivää kohti | 3 € | 3 000 € |
1005 | Kaupalliset pilvipalvelut | 10 | Kpl | 10 € | 100 € |
Esimerkki tämän rakenteen toiminnasta: Julkisen sektorin organisaatio ottaa yhteyttä pilvipalveluinfrastruktuurin tarjoajaan arvioidakseen, kuinka paljon pilviteknologian palveluita organisaatio aikoo käyttää. Organisaatio hyväksyy toimittajan ehdot, kuten 10 miljoonaa euroa viiden vuoden aikana eli 2 miljoonaa euroa vuodessa. Organisaatio tekee maksusitoumuksen ensimmäisestä kahdesta miljoonasta eurosta. Laskut saapuvat kuukausittain, ja ne maksetaan organisaation varoista. Kyseistä tiliä veloitetaan. Jäljellä olevien varojen kulumista valvotaan pilvipalveluinfrastruktuurin tarjoajan valvonta- ja ennustetyökaluilla. Jos varat ovat loppumassa, organisaatio pyytää lisävaroja talousjohtajalta palveluiden säilyttämiseksi.
Hankintapyynnön mallisanamuodot: hinnoittelu ja hankinta
MAKSUEHDOT
Maksuehdot on laadittava alla esitetyllä tavalla siten, että <ORGANIZATION> maksaa vain käyttämistään resursseista:
1. Kuukausittainen maksu perustuu palveluiden todelliseen käyttöön tai kulutukseen ja pilvipalveluinfrastruktuurin tarjoajan julkaisemaan hinnoitteluun.
TAATTU VÄHIMMÄISMÄÄRÄ JA KÄYTÖN ENIMMÄISMÄÄRÄ
Koska <ORGANIZATION>:n on mahdotonta selvittää tarkasti, kuinka paljon tiettyä pilvipalveluntarjoajan resurssia käytetään jatkossa tiettynä aikana, tilaukset ilmoitetaan kiinteän yksikköhinnan mukaisina määrinä yhtenä Pilviteknologiat-tilausrivinimikkeenä.
Jokainen tilattu rivinimikkeen yksikkö vastaa <1.00 €> arvoista tilatun pilviteknologioiden määrää. Lisätilauksia tehdään määräajoin muuttamalla tätä tilausta eri määrillä niin, että <ORGANIZATION> voi ennakkotilata joustavasti euroina laskutettavia eri määriä pilvipalveluinfrastruktuurin tarjoajan pilviteknologioita arvioimansa käyttötarpeen ja vaihtelevan keston mukaan. <ORGANIZATION> tekee määräajoin ennakkotilauksia määristä, jotka kattavat pilviteknologioiden arvioidut, käyttötarpeen mukaiset kustannukset.
Xxxxxx | Xxxxxx | Määrä | Yksikkö | Hinta | ||
01 | Pilvipalveluinfrastruk tuurin tarjoajan pilviteknologiat | 1 000 | Kpl | 1 000,00 € | ||
TILAUKSEN VÄHIMMÄISMÄÄRÄ JA LISÄTILAUS Tilauksia tehdään määräajoin erisuuruisina <10 000> rivinimikeyksikön määrinä <ORGANIZATION>:n arvioidun pilviteknologioiden käytön perusteella. Tällä järjestelyllä <ORGANIZATION> voi tehdä joustavasti ennakkotilauksia "pilviteknologioiden" <10 000> yksikön arvoisista määristä toimintatarpeen mukaan ja pilvipalvelun käyttöön perustuvan hinnoittelun mukaisesti. Ensimmäinen <100 000> yksikön ja <100 000,00 €> arvoinen lisätilaus tehdään call off -sopimuksen astuttua voimaan. Rivinimikeyksiköiden vähimmäismäärä, joka voidaan tilata yhdellä vähintään yhden rivinimikkeen sisältävällä lisätilauksella, on <x>. Yksiköiden enimmäismäärä, joka voidaan tilata yhden toimitusvahvistuksen perusteella, ei voi olla suurempi kuin <x>, mutta sen ei tule ylittää call of -sopimuksen arvoa, kun se yhdistetään kaikkien aiemmin tilattujen yksiköiden kanssa. <ORGANIZATION> vastaa siitä, että kaikki tilaukset ovat tässä osiossa määritettyjen rajoitusten mukaisia. TILAUKSEN ENIMMÄISMÄÄRÄ Tilauksen kokonaisarvon yläraja on <x> eli enintään <x> yksikköä yhtä rivinimikettä, jonka yksikköhinta on <x>. Arvo perustuu <ORGANIZATION>in tarpeita toiminta-aikana koskevaan arvioon, mutta sille ei anneta takuuta. | ||||||
3.3 Kumppanin liiketoimintamallin tunteminen
Julkisen sektorin tahojen tulisi perehtyä malleihin, joilla pilvipalveluinfrastruktuurin tarjoajat tuottavat palveluitaan. Konsultointia, hallinnoituja palveluita, jälleenmyyntiä ja muita palveluita tarjoavat kumppanit ovat tässä keskeisiä. Monet asiakkaat tarvitsevat pilvipalveluntarjoajaa infrastruktuuriaan varten ja ulkoistavat konkreettiset suunnittelu-, migraatio- ja hallintatyöt järjestelmän integroijalle tai hallinnoitujen palveluiden tarjoajalle. Koska palveluja on monenlaisia, kaikkia vaatimuksia ei välttämättä voida soveltaa pilvipalveluiden tarjoajiin. Tällaisia ovat esimerkiksi alihankkijoiden vähimmäisvaatimusten noudattamista koskevat ehdot.
Niiden avulla voidaan havainnollistaa, miksi on tärkeää tietää, miten kumppanit ja jälleenmyyjät toimivat suhteessa pilvipalveluinfrastruktuurin tarjoajiin. Tietyntyyppisissä hankinnoissa käytetään ehtoja, joiden mukaan pääurakoitsijan on siirrettävä tietyt velvoittavat ehdot myös kaikille kumppaneilleen tai alihankkijoilleen. Pilvipalveluinfrastruktuurin tarjoajat eivät yleensä tarjoa palveluitaan tai tee tarjouksia muodollisina alihankintakumppaneina, sillä ne tarjoavat standardoitua palvelua erittäin suuressa mittakaavassa eikä sitä ole sovitettu tietyn asiakkaan yksilöllisiin tarpeisiin (kuten julkisen sektorin asiakkaan tarpeisiin julkisen sektorin sopimuksen nojalla). Epäsuorassa hankintamallissa (jossa pilvipalveluita hankitaan pilvipalveluinfrastruktuurin tarjoajan jälleenmyyjän kautta) palveluntarjoaja ei aina hyväksy näitä jälleenmyyjältä saatuja ehtoja, jos ne eivät sovellu kaupallisten palveluiden "toisen tason" toimittajalle. Tällaisessa tilanteessa pilvipalveluinfrastruktuurin tarjoaja ei itse toteuta sopimuksen mukaisia töitä, vaan
sen kumppani käyttää pilvipalveluinfrastruktuurin tarjoajan infrastruktuuria töiden toteuttamiseen. Pilvipalveluinfrastruktuurin tarjoaja on siis kumppanin toimintojen kaupallinen toimittaja (ei alihankkija). Suorassa hankintamallissa (jossa pilvipalveluita hankitaan suoraan pilvipalveluinfrastruktuurin tarjoajalta) palveluntarjoaja ei yleensä hyväksy näitä tavallisille hyödykkeiden alihankkijoille soveltuvia "velvoittavia" ehtoja sopimukseen sisältyvien palveluiden kaupallisen luonteen takia ja koska useimmat pilvipalveluinfrastruktuurin tarjoajat eivät vaadi alihankkijoita toimittamaan omia kaupallisia palveluitaan.
3.4 Pilvipalveluiden välittäjät
Xxxxx organisaatio ei olisi riippuvainen yhdestä toimittajasta, voidaan käyttää pilvipalveluiden välittäjää. Asetelma ei ole aina ongelmaton. Vaikka pilvipalveluiden välittäjän käyttäminen voi vaikuttaa teoriassa järkevältä, käytännössä se ei niinkään tuo lisäarvoa vaan tekee tilanteesta monimutkaisemman ja sekavamman.
Jos sovelluksia yritetään saada toimimaan useissa pilvipalveluissa samanaikaisesti tai keskenään vaihdettavina, kyvykkyydessä joudutaan vääjäämättä tekemään kompromisseja. Pilvipalveluiden ratkaisuihin ei ole yleispätevää keinoa. Tämä ratkaisumalli voi lopulta lisätä turhaa monimutkaisuutta julkisen sektorin asiakkaiden ja pilvipalveluiden välille. Monimutkaisuus heikentää tietoturvaa ja tehokkuutta, joita sillä pyrittiin parantamaan. Skaalattavuus ja ketteryys kärsivät, kustannukset kasvavat ja uudistukset hidastuvat.
3.5 Hankintapyyntöä edeltävät lähdetiedot ja markkinatutkimus
Pilvipalveluiden hankintapyyntöä suunnitellessaan julkisen sektorin tahon tulisi ottaa mukaan sidosryhmiä (ylin johto, liiketoiminnan sidosryhmät, teknologia, rahoitus, hankinta, lakiosasto ja alihankinta) organisaation kaikilta osa-alueilta heti alusta alkaen. Näin varmistetaan, että sidosryhmät tuntevat pilvimallin ja että niillä on hyvät edellytykset uudelleenarvioida perinteisiä IT-hankintamenetelmiä.
Suosittelemme, että toimialan yhteydenpidossa julkisen sektorin tahot varaavat aikaa perusteellisiin keskusteluihin, joissa kerätään palautetta toimialalta: pilvipalveluinfrastruktuurin tarjoajilta, niiden kumppaneilta, PaaS- ja SaaS-toimittajilta sekä toimialan asiantuntijoilta. Näitä keskusteluja voidaan käydä esimerkiksi Euroopan unionin Industry Days -tapahtumissa tai tietoturvan ja hankinnan työryhmissä. Toinen tehokas tapa perehtyä pilvipalveluiden hankintaan on julkaista tietopyyntö tai mieluiten hankintapyyntöasiakirjan luonnos. Niihin liittyy usein mahdollisia ongelmia, jotka voidaan tunnistaa ja joista voidaan keskustella. Niitä voidaan myös muuttaa ennen pilvipalveluiden lopullisen hankintapyynnön julkaisemista.
Pilvipalvelut ovat jo itsessään kestävän kehityksen mukaisia, ja siirtyminen pilvipalveluihin parantaa energiatehokkuutta omassa konesaliympäristössä oleviin palvelimiin tai yritysten datakeskuksiin nähden. Se, että pilvipalveluinfrastruktuurin tarjoaja priorisoi kestävää kehitystä ja on julkisesti sitoutunut saavuttamaan kestävän kehityksen tavoitteet, tarjoaa lisävarmuutta pilvipalvelun kestävän kehityksen mukaisuuden suhteen. Eurooppalaiset pilvipalveluinfrastruktuurin tarjoajat ja datakeskusoperaattorit (Euroopan komission myötävaikutuksella) loivat ilmastoneutraalin datakeskussopimuksen11 itsesääntelyaloitteena. Tavoitteena oli luoda selkeät, yksinkertaiset ja pitkälle ulottuvat kestävän kehityksen kriteerit datakeskusalalle sekä varmistaa, että datakeskusten operaattorit ja pilvipalveluiden tarjoajat ovat
11 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xxx/xxxx-xxxxxxxxxx-xxxxxxxxxx/
ilmastoneutraaleja vuoteen 2030 mennessä. Itsesääntelyhanke sisältää selkeät tavoitteet, mitä tulee datakeskusten energiatehokkuuteen, veden säästämiseen, palvelinten uudelleenkäyttöön ja korjaukseen sekä hiilivapaan energian käyttämiseen datakeskusten toiminnan ylläpitämiseen. Itsesääntelyhankkeeseen osallistuvat pilvipalveluinfrastruktuurin tarjoajat sitoutuvat täyttämään nämä tavoitteet, ja ne sertifioidaan hiilineutraaliksi toimijaksi näiden kriteerien perusteella.
Pilvipalvelujen hankintapyynnössä tulee tiedustella pilvipalveluinfrastruktuurin tarjoajilta, ovatko ne sitoutuneet näihin kriteereihin, erityisesti osallistuvatko ne itsesääntelyyn ja mistä lähtien.
Hankintapyynnön mallisanamuodot: kestävä kehitys
Oletteko sitoutuneet ylläpitämään ilmastoneutraaleja datakeskuksia osallistumalla itsesääntelyhankkeeseen, joka koskee ilmastoneutraaleja datakeskuksia? Jos olette, milloin liityitte hankkeeseen?
Voitteko osoittaa, että teille on myönnetty ilmastoneutraalin datakeskussopimuksen merkki?
Liite A – Tekniset vaatimukset tarjoajien vertailua varten
Seuraavassa luettelossa on pilviteknologian vaatimuksia, joiden avulla voidaan vertailla pilvipalveluinfrastruktuurin tarjoajia pilvipalvelun puitesopimuksen minikilpailujen tai call off -tilausten yhteydessä.
1. Pilvipalveluntarjoajan profiili
Vaatimus | |
1. | MARKKINAKOKEMUS: Kuinka monta vuotta pilvipalveluntarjoaja on toiminut pilvipalveluiden markkinasegmentissä? |
2. | AVOIMUUS JA TIETOSUOJA: Noudattaako pilvipalveluntarjoaja tietosuojaa tai tietojen palautettavuutta koskevia toimialan menettelytapaohjeita? Noudattaako pilvipalveluntarjoaja avoimen lähdekoodin ja avoimen API-kehityksen periaatteita? |
2. Maailmanlaajuinen infrastruktuuri
Vaatimus | |
1. | MAAILMANLAAJUISUUS: Onko pilvipalveluntarjoajalla maailmanlaajuinen infrastruktuuri, joka mahdollistaa lyhyen viiveen ja hyvän suoritustehon? |
2. | REGIOONAT: Onko pilvipalveluntarjoajalla toimintaa tarvittavilla maantieteellisillä alueilla? |
3. | TOIMIALUEET JA ALUEET: Käyttääkö pilvipalveluntarjoaja toimialueita tai alueita, joissa useita datakeskuksia on ryhmitelty nopean verkon kautta käytettävyyden ja vikasietoisuuden parantamiseksi? • Jos käyttää, ilmoita toimialueiden tai alueiden määrä ja datakeskusten määrä tarvittavalla maantieteellisellä alueella |
4. | TOIMIALUEIDEN TAI ALUEIDEN ETÄISYYS: Rakentaako pilvipalveluntarjoaja toimialueensa ja alueensa fyysisesti erillään olevien datakeskusten avulla varmistaakseen redundanssin, hyvän käytettävyyden ja lyhyen viiveen? |
5. | RAKENNETUT DATAKESKUKSET: Onko pilvipalveluntarjoajan datakeskukset eristetty muiden datakeskusten toimintahäiriöiltä? Onko niillä varajärjestelmät virtalähdettä, jäähdytystä ja tietoliikennettä varten? |
6. | DATAKESKUKSEN REPLIKOINTI: Tarjoaako pilvipalveluntarjoaja automaattista vikasietoisuutta ja tietojen replikointia toimialueen tai alueen datakeskusten välillä? |
7. | TOIMIALUEEN TAI ALUEEN REPLIKOINTI: Tarjoaako pilvipalveluntarjoaja tietojen replikointia regioonalla olevien alueiden tai toimialueiden välillä? |
Vaatimus | |
1. | LASKENTA – TAVALLINEN INSTANSSI – YLEISKÄYTTÖINEN: Tarjoaako pilvipalveluntarjoaja seuraavia instanssityyppejä? • Yleiskäyttöinen: optimoitu yleissovelluksiin, tasapainottaa laskenta-, muisti- ja verkkoresursseja. o Jos tarjoaa, mikä on laajin instanssi? |
2. | LASKENTA – TAVALLINEN INSTANSSI – OPTIMOITU MUISTI: Tarjoaako pilvipalveluntarjoaja seuraavia instanssityyppejä? • Optimoitu muisti: optimoitu paljon muistia tarvitsevia sovelluksia varten o Jos tarjoaa, mikä on laajin instanssi? |
3. | LASKENTA – TAVALLINEN INSTANSSI – OPTIMOITU LASKENTA: Tarjoaako pilvipalveluntarjoaja seuraavia instanssityyppejä? • Optimoitu laskenta: optimoitu paljon laskentatehoa tarvitsevia sovelluksia varten o Jos tarjoaa, mikä on laajin instanssi? |
4. | LASKENTA – TAVALLINEN INSTANSSI – OPTIMOITU TALLENNUS: Tarjoaako pilvipalveluntarjoaja seuraavia instanssityyppejä? • Optimoitu tallennus: tarjoaa suuren paikallisen tallennuskapasiteetin o Jos tarjoaa, mikä on suurin tallennuskapasiteetti (5, 10, 20 tai 50 Tt) ja suurin levymäärä (kiintolevyt ja SSD-levyt), joka voidaan varata ja liittää instanssiin? |
5. | LASKENTA – TAVALLINEN INSTANSSI – OPTIMOITU GRAFIIKKA: Tarjoaako pilvipalveluntarjoaja seuraavia instanssityyppejä? • Edullinen grafiikka: tarjoaako edullista grafiikkaa laskentainstansseja varten? o Jos tarjoaa, mikä on laajin instanssi? |
6. | LASKENTA – TAVALLINEN INSTANSSI – OPTIMOITU GRAFIIKKASUORITIN: Tarjoaako pilvipalveluntarjoaja seuraavia instanssityyppejä? • Grafiikkasuoritin: tarjoaa laitteiston grafiikkasuorittimia sovelluksille, jotka käyttävät paljon grafiikkaa o Jos tarjoaa, kuinka monta grafiikkasuoritinta ja mitä grafiikkasuoritinmalleja pilvipalveluntarjoaja pystyy tarjoamaan instanssia kohden? |
7. | LASKENTA – TAVALLINEN INSTANSSI – OPTIMOITU FPGA: Tarjoaako pilvipalveluntarjoaja seuraavia instanssityyppejä? • FPGA: tarjoaa FPGA-piirejä sovellusten mukautetun laitteistokiihdytyksen kehittämistä ja käyttöönottoa varten o Jos tarjoaa, kuinka monta FPGA-piiriä pilvipalveluntarjoaja pystyy tarjoamaan instanssia kohden? |
8. | LASKENTA – AUTOMATISOITU TIEDONSIIRTO PILVIPALVELUIDEN VÄLILLÄ: Tarjoaako pilvipalveluntarjoaja pilvipalveluiden välillä sellaista automatisoitua tiedonsiirtoa, jossa tarjotaan suorittimen perustasoa ja mahdollisuutta ylittää perustaso? • Jos tarjoaa, mikä on laajin instanssi, jossa tiedonsiirto automatisoidaan pilvipalveluiden välillä? |
9. | LASKENTA – PALJON I/O-PYYNTÖJÄ KÄYTTÄVÄ INSTANSSI: Tarjoaako pilvipalveluntarjoaja instansseja, jotka käyttävät lyhyttä viivettä, erittäin suurta satunnaisen I/O- ympäristön tehoa ja tehokasta järjestyksessä tehtävää lukua varten optimoituja, NVMe-protokollaa käyttäviä SSD- levyjä? • Jos tarjoaa, mikä on suurimman instanssin suurin IOPS-kapasiteetti (I/O-operaatioiden määrä sekunnissa)? |
10. | LASKENTA – VÄLIAIKAINEN PAIKALLINEN TALLENNUSTILA: Tarjoaako pilvipalveluntarjoaja paikallisen tallennustilan tukea laskentainstansseille, joita käytetään usein muuttuvien tietojen väliaikaisena tallennustilana? |
11. | LASKENTA – USEIDEN VERKKOKORTTIEN TUKI: Tukeeko pilvipalveluntarjoaja useita (ensisijaisia ja lisättäviä) verkkokortteja, jotka varataan tietylle instanssille? • Jos tukee, mikä on suurin verkkokorttien määrä instanssia kohden? |
12. | LASKENTA – DATAKESKUKSEN INSTANSSIEN RYHMITTELY: Tarjoaako pilvipalveluntarjoaja käyttäjille kyvykkyyden ryhmitellä instansseja loogisesti yhteen samassa datakeskuksessa? |
13. | LASKENTA – DATAKESKUSTEN INSTANSSIEN RYHMITTELY: Tarjoaako pilvipalveluntarjoaja käyttäjille kyvykkyyden ryhmitellä instansseja loogisesti ja sijoittaa ne regioonan eri datakeskuksiin? |
14. | LASKENTA – KÄYTTÖÖNOTTO ITSEPALVELUNA: Tarjoaako pilvipalveluntarjoaja useiden instanssien samanaikaista käyttöönottoa itsepalveluna joko ohjelmointirajapinnan, hallintakonsolin tai verkkoportaalin kautta? |
15. | LASKENTA – MUKAUTTAMINEN: Tarjoaako pilvipalveluntarjoaja mukautettavia instansseja eli mahdollisuutta muokata kokoonpanoa, kuten virtuaalisia suorittimia ja RAM-muistia? |
16. | LASKENTA – ASIAKKUUS: Tarjoaako pilvipalveluntarjoaja yhden asiakkaan instansseja, jotka toimivat yhdelle käyttäjälle tarkoitetuissa laitteissa? • Jos tarjoaa, mikä on laajin yhden asiakkaan instanssi? |
17. | LASKENTA – SAMA ISÄNTÄKONE: Tarjoaako pilvipalveluntarjoaja mahdollisuutta käynnistää instanssi ja määrittää, että tämä instanssi käynnistyy uudelleen aina samassa fyysisessä isäntäkoneessa? |
18. | LASKENTA – ERI ISÄNTÄKONEET: Tarjoaako pilvipalveluntarjoaja kyvykkyyttä jakaa tietyt instanssit eri fyysisiin isäntäkoneisiin? |
19. | LASKENTA – AUTOMAATTINEN SKAALAUS: Tarjoaako pilvipalveluntarjoaja mahdollisuutta lisätä instanssien määrää automaattisesti kysyntähuippujen aikana suorituskyvyn säilyttämiseksi (laajennus)? |
20. | LASKENTA – NÄKÖISTIEDOSTOJEN TUONTI: Tarjoaako pilvipalveluntarjoaja käyttäjille mahdollisuutta tuoda näköistiedostojaan ja tallentaa niitä uusina, yksityisinä näköistiedostoina, joita voidaan käyttää myöhemmin instanssien varaamisessa? • Jos tarjoaa, mitkä muodot ovat tuettuja? |
21. | LASKENTA – NÄKÖISTIEDOSTOJEN VIENTI: Tukeeko pilvipalveluntarjoaja käynnissä olevan instanssin tai instanssin kopion ottamista ja sen viemistä virtuaalikonemuotoon? • Jos tarjoaa, mitkä muodot ovat tuettuja? |
22. | LASKENTA – PALVELUN HÄIRIÖT: Tarjoaako pilvipalveluntarjoaja menetelmiä, joilla vältetään instanssien käyttökatkokset ja häiriöajat, kun tarjoaja tekee laitteiden tai palveluiden huoltotöitä isäntäkoneen tasolla? |
23. | LASKENTA – INSTANSSIN UUDELLEENKÄYNNISTYS: Tarjoaako pilvipalveluntarjoaja menetelmiä, joilla instanssit uudelleenkäynnistetään automaattisesti toimivassa isäntäkoneessa, jos alkuperäiseen fyysiseen isäntäkoneeseen tulee toimintahäiriö? |
24. | LASKENTA – ILMOITUKSET: Jos laskennassa on vikasietoinen tapahtuma, voiko pilvipalveluntarjoaja ilmoittaa käyttäjälle kyseisestä tapahtumasta? Voiko käyttäjä antaa suostumuksensa näille viesteille tai kieltäytyä niistä itsepalveluna? |
25. | LASKENTA – TAPAHTUMIEN AJOITUS: Tarjoaako pilvipalveluntarjoaja mahdollisuuden ajoittaa käyttäjän instanssien tapahtumia, kuten instanssin uudelleenkäynnistyksen, pysäytyksen, käynnistyksen tai käytöstä poiston? |
26. | LASKENTA – VARMUUSKOPIOINTI JA PALAUTUS: Tarjoaako pilvipalveluntarjoaja integroitua varmuuskopiointia ja palautusta? |
27. | LASKENTA – TILANNEVEDOS: Tarjoaako pilvipalveluntarjoaja manuaalista, tarpeen mukaista tilannevedosta? |
28. | LASKENTA – METATIEDOT: Tarjoaako pilvipalveluntarjoaja instanssin metatietopalvelua, jonka avulla käyttäjät voivat määrittää instanssille satunnaisia avain-arvo-pareja? |
29. | LASKENTA – METATIETOJEN KUTSU: Tarjoaako pilvipalveluntarjoaja instanssin metatietopalvelua, jonka avulla instanssi voi tehdä API-kutsun itseään koskevista tiedoista? |
30. | LASKENTA – TARJOUSTEN TEKEMINEN: Tarjoaako pilvipalveluntarjoaja tarjousmenetelmää, jolla voidaan tehdä tarjouksia edullisemmista instansseista, joita voidaan luoda heti vähemmän tärkeiden töiden isännöintiä varten? |
31. | LASKENTA – AJOITUS: Tarjoaako pilvipalveluntarjoaja keinoa lisälaskentakapasiteetin ajoittamiseksi ja varaamiseksi toistuvasti esimerkiksi päivittäin, viikoittain tai kuukausittain? |
32. | LASKENTA – VARAUS: Tarjoaako pilvipalveluntarjoaja keinoa varata tulevaa lisälaskentakapasiteettia (esimerkiksi 1, 2 tai 3 vuoden ajalle)? |
33. | LASKENTA – LINUX-KÄYTTÖJÄRJESTELMÄ: Tukeeko pilvipalveluntarjoaja kahta viimeisintä pitkäaikaisesti tuettua versiota vähintään yhdestä yrityksille tarkoitetusta Linux-jakelusta (esimerkiksi Red Hat ja SUSE) ja yhdestä yleisestä maksuttomasta Linux-jakelusta (esimerkiksi Ubuntu, CentOS ja Debian)? |
34. | LASKENTA – WINDOWS-KÄYTTÖJÄRJESTELMÄ: Tukeeko pilvipalveluntarjoaja kahta viimeisintä Windows Serverin pääversiota (Windows Server 2017 ja Windows Server 2016)? |
35. | LASKENTA – LISENSSIN SIIRRETTÄVYYS: Tarjoaako pilvipalveluntarjoaja lisenssin siirrettävyyttä ja tukea? • Jos tarjoaa, ilmoita ohjelmien toimittaja, nimet ja versiot. |
36. | LASKENTA – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan laskentaosaan liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Asiakaskohtaisten instanssien enimmäismäärä Asiakkaalle varattujen isäntäkoneiden enimmäismäärä Varattujen IP-osoitteiden enimmäismäärä |
Vaatimus | |
1. | TIETOLIIKENNE – VIRTUAALIVERKOT: Tukeeko pilvipalveluntarjoaja mahdollisuutta luoda loogisen, erillisen virtuaaliverkon, joka edustaa yrityksen omaa verkkoa pilvipalvelussa? |
2. | TIETOLIIKENNE – SAMAN REGIOONAN YHTEYDET: Tukeeko pilvipalveluntarjoaja mahdollisuutta yhdistää kaksi saman regioonan virtuaaliverkkoa niin, että niiden välinen liikenne voidaan reitittää yksityisillä IP-osoitteilla? |
3. | TIETOLIIKENNE – ERI REGIOONIEN YHTEYDET: Tukeeko pilvipalveluntarjoaja mahdollisuutta yhdistää kaksi eri regioonien virtuaaliverkkoa niin, että niiden välinen liikenne voidaan reitittää yksityisillä IP-osoitteilla? |
4. | TIETOLIIKENNE – YKSITYINEN ALIVERKKO: Tarjoaako pilvipalveluntarjoaja kyvykkyyttä luoda täysin erillisiä (yksityisiä) virtuaaliverkkoja ja aliverkkoja, joissa instansseja voidaan varata ilman julkista IP-osoitetta tai internetreititystä? |
5. | TIETOLIIKENNE – VIRTUAALIVERKON OSOITEALUE: Tukeeko pilvipalveluntarjoaja RFC (Request for Comments) 1918 -standardissa määritettyjä IP-osoitealueita ja julkisesti reititettäviä CIDR (Classless Interdomain Routing) -lohkoja? |
6. | TIETOLIIKENNE – USEAT PROTOKOLLAT: Tukeeko pilvipalveluntarjoaja useita protokollia, kuten TCP-, UDP- ja ICMP-protokollia? |
7. | TIETOLIIKENNE – IP-OSOITTEIDEN AUTOMAATTINEN MÄÄRITTÄMINEN: Tukeeko pilvipalveluntarjoaja instanssien julkisten IP-osoitteiden automaattista määrittämistä? |
8. | TIETOLIIKENNE – VARATUT KIINTEÄT IP-OSOITTEET: Tukeeko pilvipalveluntarjoaja IP-osoitteita, jotka liittyvät käyttäjätiliin eivätkä tiettyyn instanssiin? IP-osoitteen ja tilin välinen liitos pysyy, kunnes se poistetaan erikseen käytöstä. |
9. | TIETOLIIKENNE – IPV6-TUKI: Tukeeko pilvipalveluntarjoaja IP-versiota 6 (IPv6) yhdyskäytävän tai instanssin tasolla, ja onko tämä toiminto käyttäjien saatavilla? |
10. | TIETOLIIKENNE – USEITA IP-OSOITTEITA VERKKOKORTTIA KOHDEN: Tukeeko pilvipalveluntarjoaja mahdollisuutta määrittää ensi- ja toissijainen IP-osoite verkkokortille, joka on liitetty tiettyyn instanssiin? |
11. | TIETOLIIKENNE – MONTA VERKKOKORTTIA: Tukeeko pilvipalveluntarjoaja mahdollisuutta määrittää tietylle instanssille useita verkkokortteja? |
12. | TIETOLIIKENNE – VERKKOKORTIN JA IP-OSOITTEEN SIIRRETTÄVYYS: Tukeeko pilvipalveluntarjoaja mahdollisuutta siirtää verkkokortteja ja IP-osoitteita instanssien välillä? |
13. | TIETOLIIKENNE – SR-IOV-TUKI: Tukeeko pilvipalveluntarjoaja suorituskykyä (pakettien lähetysnopeutta) parantavia, viivettä lyhentäviä ja häiriöitä vähentäviä toimintoja, kuten SR-IOV (Single-Root I/O Virtualization) -virtualisointia? |
14. | TIETOLIIKENNE – SAAPUVAN LIIKENTEEN SUODATUS: Tukeeko pilvipalveluntarjoaja instanssien saapuvaa liikennettä koskevien sääntöjen lisäämistä tai poistamista? |
15. | TIETOLIIKENNE – LÄHTEVÄN LIIKENTEEN SUODATUS: Tukeeko pilvipalveluntarjoaja instanssien lähtevää liikennettä koskevien sääntöjen lisäämistä tai poistamista? |
16. | TIETOLIIKENNE – KÄYTTÖOIKEUSLUETTELO: Tarjoaako pilvipalveluntarjoaja käyttöoikeusluetteloita, joilla hallitaan aliverkkojen saapuvaa ja lähtevää liikennettä? |
17. | TIETOLIIKENNE – LIIKENNEMÄÄRÄLOKIEN TUKI: Tarjoaako pilvipalveluntarjoaja kyvykkyyttä taltioida verkon liikennemäärien lokitiedostoja? |
18. | TIETOLIIKENNE – VERKKO-OSOITTEIDEN MUUNTAMINEN: Tarjoaako pilvipalveluntarjoaja hallinnoitua NAT-yhdyskäytäväpalvelua, jonka avulla yksityisen verkon instanssit voivat muodostaa yhteyden internetiin tai muihin pilvipalveluihin mutta estää internetiä muodostamasta yhteyttä kyseisiin instansseihin? |
19. | TIETOLIIKENNE – LÄHTEEN JA KOHTEEN TARKISTUS: Pystyykö pilvipalveluntarjoaja poistamaan verkkokorttien lähteen ja kohteen tarkistuksen käytöstä? |
20. | TIETOLIIKENNE – VPN-TUKI: Tukeeko pilvipalveluntarjoaja käyttäjän datakeskuksen ja pilvipalveluntarjoajan välistä VPN-yhteyttä? |
21. | TIETOLIIKENNE – VPN-TUNNELIT: Tukeeko pilvipalveluntarjoaja useita VPN-yhteyksiä yhtä virtuaaliverkkoa kohden? |
22. | TIETOLIIKENNE – IPSEC VPN -TUKI: Antaako pilvipalveluntarjoaja käyttäjille pääsyn pilvipalveluihin IPsec-protokollalla tai SSL-salauksella suojatun VPN- tunnelin kautta julkisessa internetissä? |
23. | TIETOLIIKENNE – BGP-TUKI: Käyttääkö pilvipalveluntarjoaja BGP-protokollaa IPsec VPN -tunneleiden vikasietoisuuden parantamiseen? |
24. | TIETOLIIKENNE – ERILLISET YKSITYISET YHTEYDET: Tarjoaako pilvipalveluntarjoaja suoria, yksityisiä yhteyspalveluita pilvipalveluntarjoajan sijaintien ja käyttäjän datakeskuksen, toimiston tai yhteiskäyttöympäristön välillä niin, että suuria tietomääriä voidaan siirtää nopeasti? |
25. | TIETOLIIKENNE – EDUSTAN KUORMAN TASAPAINOTIN: Tarjoaako pilvipalveluntarjoaja edustan (internetin puoleista) kuormantasauspalvelua, joka ottaa vastaan asiakkailta internetin kautta tulevia pyyntöjä ja jakaa näitä pyyntöjä kuorman tasapainottimeen rekisteröidyille instansseille? |
26. | TIETOLIIKENNE – TAUSTAN KUORMAN TASAPAINOTIN: Tarjoaako pilvipalveluntarjoaja taustan (yksityistä) kuormantasauspalvelua, joka reitittää liikennettä yksityisissä aliverkoissa isännöidyille instansseille? |
27. | TIETOLIIKENNE – LAYER 7 -KUORMAN TASAPAINOTIN: Tarjoaako pilvipalveluntarjoaja Layer 7 (HTTP-protokollan) -kuormantasauspalvelua, joka pystyy tasapainottamaan verkkoliikenteen kuormaa useiden instanssien välillä? |
28. | TIETOLIIKENNE – LAYER 4 -KUORMAN TASAPAINOTIN: Tarjoaako pilvipalveluntarjoaja Layer 4 (TCP-protokollan) -kuormantasauspalvelua, joka pystyy tasapainottamaan verkkoliikenteen kuormaa useiden instanssien välillä? |
29. | TIETOLIIKENNE – KUORMAN TASAPAINOTTIMIEN ISTUNTOJEN RYHMITTELY: Tarjoaako pilvipalveluntarjoaja kuormantasauspalvelua, joka tukee istuntojen ryhmittelyä? |
30. | TIETOLIIKENNE – DNS-POHJAINEN KUORMANTASAUS: Tarjoaako pilvipalveluntarjoaja kuormantasauspalvelua, joka pystyy tasapainottamaan liikenteen kuormaa yhteen toimialueeseen kuuluvien useiden isäntäkoneiden instanssien välillä? |
31. | TIETOLIIKENNE – KUORMAN TASAPAINOTTIMEN LOKIT: Tarjoaako pilvipalveluntarjoaja lokeja, joihin tallennetaan yksityiskohtaisia tietoja kaikista kuorman tasapainottimeen lähetetyistä pyynnöistä? |
32. | TIETOLIIKENNE – DNS: Tarjoaako pilvipalveluntarjoaja käytettävyydeltään erinomaista ja skaalattavaa DNS-nimipalvelua? |
33. | TIETOLIIKENNE – VIIVEEN MUKAINEN DNS-REITITYS: Tarjoaako pilvipalveluntarjoaja DNS-nimipalvelua, joka tukee viiveeseen perustuvaa reititystä (eli DNS-nimipalvelu vastaa DNS-kyselyihin resursseilla, jotka tuottavat vähiten viivettä)? |
34. | TIETOLIIKENNE – SIJAINNIN MUKAINEN DNS-REITITYS: Tarjoaako pilvipalveluntarjoaja DNS-nimipalvelua, joka tukee maantieteelliseen sijaintiin perustuvaa reititystä (eli DNS-nimipalvelu vastaa DNS-kyselyihin käyttäjien sijainnin perusteella)? |
35. | TIETOLIIKENNE – VIKASIETOISUUDEN MUKAINEN DNS-REITITYS: Tarjoaako pilvipalveluntarjoaja DNS-nimipalvelua, joka tukee vikasietoon perustuvaa reititystä (DNS-nimipalvelu reitittää DNS-kyselyt aktiiviseen resurssiin, kun taas toinen resurssi odottaa ja aktivoituu vain, jos ensisijaisessa resurssissa on toimintahäiriö)? |
36. | TIETOLIIKENNE – TOIMIALUEEN REKISTERÖINTIPALVELU: Tarjoaako pilvipalveluntarjoaja toimialuenimien rekisteröintipalveluita (eli käyttäjät voivat hakea ja rekisteröidä käytettävissä olevia toimialuenimiä)? |
37. | TIETOLIIKENNE – DNS-KUNTOTARKISTUKSET: Tarjoaako pilvipalveluntarjoaja DNS-palvelua, jossa resurssien suorituskykyä ja kuntoa valvotaan kuntotarkistuksilla? |
38. | TIETOLIIKENNE – DNS:N JA KUORMAN TASAPAINOTTIMEN INTEGROINTI: Tarjoaako pilvipalveluntarjoaja DNS-palvelua, joka voidaan integroida pilvipalveluntarjoajan kuorman tasapainottimen kanssa? |
39. | TIETOLIIKENNE – VISUAALINEN MUOKKAUSTYÖKALU: Tarjoaako pilvipalveluntarjoaja työkalun, jolla käyttäjät voivat luoda liikenteen hallinnan käytäntöjä? |
40. | SISÄLTÖVERKKO (CDN): Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), jolla sisältöä voidaan jakaa lyhyellä viiveellä ja nopealla tiedonsiirrolla? |
41. | TIETOLIIKENNE – SISÄLTÖVERKON VÄLIMUISTIN VANHENEMINEN: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), jonka avulla objekti voidaan poistaa reunavälimuistista ennen sen vanhenemista (esimerkiksi objektien mitätöintiä ja versionhallintaa)? |
42. | TIETOLIIKENNE – SISÄLTÖVERKON ULKOINEN ALKUPERÄ: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), joka tukee mukautettua alkuperää (HTTP- palvelinta)? |
43. | TIETOLIIKENNE – SISÄLTÖVERKON OPTIMOINTI: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), jossa useiden alkuperäpalvelimien määritystä voidaan hallita hajautetusti ja jossa on välimuistiominaisuuksia eri URL-osoitteille? |
44. | TIETOLIIKENNE – SISÄLTÖVERKON MAANTIETEELLINEN RAJAUS: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), joka tukee maantieteellistä rajausta (tietyissä maantieteellisissä sijainneissa olevilta käyttäjiltä voidaan estää pääsy sisältöön)? |
45. | TIETOLIIKENNE – SISÄLTÖVERKON TUNNUKSET: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), joka tukee yleensä vanhenemisajankohdan ja muita lisätietoja sisältäviä allekirjoitettuja URL-osoitteita, jotta käyttäjät voivat valvoa tarkemmin pääsyä sisältöönsä? |
46. | TIETOLIIKENNE – SISÄLTÖVERKON VARMENTEET: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), joka tukee mukautettuja SSL-varmenteita, jotta sisältö voidaan toimittaa reunasijainneista suojatusti HTTPS-protokollan avulla? |
47. | TIETOLIIKENNE – SISÄLTÖVERKON MONITASOINEN VÄLIMUISTI: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), jossa käytetään monitasoista välimuistia ja regioonien reunavälimuisteja viiveen lyhentämiseksi? |
48. | TIETOLIIKENNE – SISÄLTÖVERKON PAKKAUS: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), joka tukee tiedostojen pakkausta? |
49. | TIETOLIIKENNE – SISÄLTÖVERKON SALATUT PALVELIMEEN SIIRROT: Tarjoaako pilvipalveluntarjoaja sisältöverkkopalvelua (CDN-palvelua), jonka avulla käyttäjät voivat siirtää arkaluonteisia tietojaan palvelimeen suojatusti niin, että vain käyttäjän alkuperäinfrastruktuurin tietyt osat ja palvelut voivat näyttää kyseisiä tietoja? |
50. | TIETOLIIKENNE – PÄÄTEPISTEET: Tarjoaako pilvipalveluntarjoajan verkkopalvelu käyttäjille päätepisteitä, jotka pystyvät reitittämään liikennettä tarjoajan sisäisten verkkoyhteyksien (yksityisten yhteyksien) kautta, jotta tietoliikenteen kustannuksia voidaan vähentää ja liikenteen tietoturvaa voidaan parantaa? |
51. | TIETOLIIKENNE – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan verkko-osioon liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Asiakaskohtaisten virtuaaliverkkojen enimmäismäärä Virtuaaliverkon enimmäiskoko Asiakaskohtaisten aliverkkojen enimmäismäärä Asiakaskohtaisten kuorman tasapainottimien enimmäismäärä Käyttöoikeusluettelon merkintöjen enimmäismäärä VPN-tunneleiden enimmäismäärä Jakelukohtaisten alkuperien enimmäismäärä Varmenteiden enimmäismäärä kuorman tasapainotinta kohden |
Vaatimus | |
1. | LOHKOTALLENNUSPALVELU: Tarjoaako pilvipalveluntarjoaja laskentainstanssien kanssa käytettäviä lohkotason tallennusasemia? |
2. | LOHKOTALLENNUS – IOPS: Tarjoaako pilvipalveluntarjoaja mahdollisuutta hankkia lohkotallennuksen asemille eksplisiittistä suorituskykytavoitetta tai -tasoa: esimerkiksi IOPS (I/O-operaatioiden määrä sekunnissa) ja siirtomäärä Mt/s (megatavua sekunnissa)? |
3. | LOHKOTALLENNUS – SSD-LEVYT: Tukeeko pilvipalveluntarjoaja SSD-levyille varmuuskopioituja tallennusvälineitä, joita käyttämällä viive on alle 10 millisekuntia? • Jos tukee, mikä on suurin liitettävien SSD-levyjen määrä instanssia kohden? |
4. | LOHKOTALLENNUS – SKAALAUS: Tarjoaako pilvipalveluntarjoaja käyttäjille mahdollisuutta suurentaa lohkotallennuksen aseman kokoa niin, ettei uutta asemaa tarvitse varata eikä tietoja tarvitse kopioida tai siirtää? |
5. | LOHKOTALLENNUS – TILANNEVEDOKSET: Onko pilvipalveluntarjoajalla tilannevedostoimintoja lohkotallennuspalveluaan varten? |
6. | LOHKOTALLENNUS – TIETOJEN HÄVITTÄMINEN: Tukeeko pilvipalveluntarjoaja tietojen täydellistä hävittämistä niin, etteivät valtuuttamattomat käyttäjät tai kolmannet osapuolet voi enää lukea ja käyttää tietoja? |
7. | LOHKOTALLENNUS – SÄILYTYKSEEN LIITTYVÄ SALAUS: Tarjoaako pilvipalveluntarjoaja tallennusasemissa ja niiden tilannevedoksissa säilytettävien tietojen palvelinpuolen salausta? • Jos tarjoaa, mitä salausalgoritmia käytetään? |
8. | OBJEKTITALLENNUSPALVELU: Tarjoaako pilvipalveluntarjoaja suojatun, kestävän, hyvin skaalattavan objektitallennuksen tarvittavan tietomäärän verkosta hakemista ja tallentamista varten? |
9. | OBJEKTITALLENNUS – HARVOIN KÄYTETYT OBJEKTIT: Tarjoaako pilvipalveluntarjoaja edullista tallennuspalvelutasoa harvoin käytettyjen objektien ja tiedostojen tallennusta varten? |
10. | OBJEKTITALLENNUS – PIENEMMÄT KESTÄVYYSVAATIMUKSET: Tarjoaako pilvipalveluntarjoaja alhaisempaa redundanssitasoa, jolla käyttäjä voi säilyttää edullisesti vähemmän tärkeitä, helposti toistettavia objekteja? |
11. | OBJEKTITALLENNUS – VÄHÄINEN KÄYTTÖ: Tarjoaako pilvipalveluntarjoaja tasoa harvoin käytetyille tiedoille, joihin on silti päästävä nopeasti? |
12. | OBJEKTITALLENNUS – OBJEKTIEN TALLENNUSTASOT: Tarjoaako pilvipalveluntarjoaja objektitallennuksen tasokyvykkyyttä eli suositusta siirtää objekti objektitallennuksen luokasta tai tasolta toiseen sen perusteella, kuinka usein objektia käytetään? |
13. | OBJEKTITALLENNUS – ELINKAAREN HALLINTA: Tukeeko pilvipalveluntarjoaja objektin elinkaaren hallintaa elinkaariasetuksilla, joilla määritetään, kuinka objekteja hallitaan niiden elinkaaren aikana objektien luonnista alkaen aina niiden poistamiseen asti? |
14. | OBJEKTITALLENNUS – KÄYTÄNTÖJEN OHJAAMA HALLINTA: Tarjoaako pilvipalveluntarjoaja mahdollisuutta luoda ja käyttää käytäntöjä, joilla hallitaan tallennettuja tietoja sekä niiden elinkaarta ja tasoasetuksia? |
15. | OBJEKTITALLENNUS – SIJAINTIIN JA AIKAAN PERUSTUVAT KÄYTÄNNÖT: Tarjoaako pilvipalveluntarjoaja käyttäjille kyvykkyyttä luoda käytäntöjä, joilla voidaan rajoittaa tietojen käyttöä käyttäjän sijainnin ja pyyntöajankohdan perusteella? |
16. | OBJEKTITALLENNUS – VERKKOSIVUJEN ISÄNNÖINTI: Tukeeko pilvipalveluntarjoaja staattisten verkkosivujen isännöintiä objektitallennuspalvelunsa kautta? |
17. | OBJEKTITALLENNUS – SÄILYTYKSEEN LIITTYVÄ SALAUS: Tukeeko pilvipalveluntarjoaja säilytettävien tietojen palvelinpuolen salausta niin, että pilvipalveluntarjoaja hallitsee salausavaimia? • Jos tarjoaa, mitä salausalgoritmia käytetään? |
18. | OBJEKTITALLENNUS – SALAUS KÄYTTÄJÄAVAIMILLA: Tarjoaako pilvipalveluntarjoaja palvelinpuolen salauskyvykkyyksiä, joissa käytetään asiakkaalta saatuja salausavaimia? |
19. | OBJEKTITALLENNUS – AVAINHALLINNOINTIPALVELU: Tukeeko pilvipalveluntarjoaja palvelinpuolen salausta avaintenhallintapalvelulla, joka luo salausavaimia, määrittää avainten käyttöä ohjaavat käytännöt ja auditoi avainten käyttöä osoittaakseen, että niitä käytetään oikein? |
20. | OBJEKTITALLENNUS – ASIAKASPUOLEN PÄÄAVAIN: Tarjoaako pilvipalveluntarjoaja käyttäjille mahdollisuutta säilyttää salausavainten hallinta sekä suorittaa asiakaspuolen objektien salaaminen ja salauksen purkaminen? |
21. | OBJEKTITALLENNUS – VAHVA KONSISTENSSI: Tukeeko pilvipalveluntarjoaja uusien objektien PUT-operaatioiden RAW-tietojen konsistenssia? |
22. | OBJEKTITALLENNUS – TIETOJEN PAIKALLISUUS: Tarjoaako pilvipalveluntarjoaja tiukkaa alueellista eristystä niin, että regioonalla tallennetut tiedot eivät poistu regioonalta, ellei käyttäjä erikseen siirrä niitä toiselle regioonalle? |
23. | OBJEKTITALLENNUS – REPLIKOINTI: Tarjoaako pilvipalveluntarjoaja regioonien välistä replikointiominaisuutta, joka replikoi objekteja automaattisesti käyttäjän valitsemien regioonien välillä? |
24. | OBJEKTITALLENNUS – VERSIONHALLINTA: Tukeeko pilvipalveluntarjoaja versionhallintaa eli mahdollisuutta tallentaa ja ylläpitää useita versioita objektista? |
25. | OBJEKTITALLENNUS – POISTAMATTOMUUSMERKKI: Antaako pilvipalveluntarjoaja käyttäjän merkitä kohteen sellaiseksi, ettei sitä voi poistaa? |
26. | OBJEKTITALLENNUS – POISTON MONIVAIHEINEN TODENTAMINEN: Tukeeko pilvipalveluntarjoaja poistotoimintojen monivaiheista todentamista lisäsuojauksen vaihtoehtona? |
27. | OBJEKTITALLENNUS – MONIOSAINEN LATAUS: Salliiko pilvipalveluntarjoaja objektin siirtämisen palvelimeen osina, jolloin kaikki osat ovat objektin tietojen vierekkäisiä osia ja nämä objektin osat voidaan siirtää palvelimeen toisistaan riippumatta ja missä tahansa järjestyksessä? |
28. | OBJEKTITALLENNUS – TUNNISTEET: Tarjoaako pilvipalveluntarjoaja mahdollisuutta luoda ja liittää muuttuvia, dynaamisia tunnisteita objektitasolla? |
29. | OBJEKTITALLENNUS – ILMOITUKSET: Tarjoaako pilvipalveluntarjoaja mahdollisuutta lähettää ilmoituksia tietyistä objektitason tapahtumista (esimerkiksi operaatioiden lisäämisestä tai poistamisesta)? |
30. | OBJEKTITALLENNUS – LOKIT: Tarjoaako pilvipalveluntarjoaja kyvykkyyttä luoda auditointilokeja, joissa on yksittäistä käyttöpyyntöä koskevia tietoja, kuten pyytäjä, pyyntöajankohta, pyyntötoiminto, vastauksen tila ja virhekoodi? |
31. | OBJEKTITALLENNUS – OBJEKTIEN INVENTAARIO: Tarjoaako pilvipalveluntarjoaja objektien inventaariokyvykkyyttä, jonka avulla käyttäjät näkevät objektit ja niiden tilan nopeasti niin, että julkisessa käytössä olevat objektit huomataan nopeasti? |
32. | OBJEKTITALLENNUS – METATIETOJEN INVENTAARIO: Tarjoaako pilvipalveluntarjoaja objektien inventaariokyvykkyyttä, jonka avulla käyttäjät näkevät objektien metatiedot nopeasti? |
33. | OBJEKTITALLENNUS – LATAUSTEN OPTIMOINTI: Pystyykö pilvipalveluntarjoaja reitittämään reunasijainneista tulevia tietoja tallennuspalveluun optimoidun verkkopolun avulla? |
34. | OBJEKTITALLENNUS – KYSELYKYVYKKYYS: Tarjoaako pilvipalveluntarjoaja käyttäjille mahdollisuutta tehdä kyselyjä objektitallennuspalveluun SQL-lauseilla? |
35. | OBJEKTITALLENNUS – ALIJOUKON HAKU: Tarjoaako pilvipalveluntarjoaja käyttäjille mahdollisuutta hakea objektista vain tietojen alijoukkoa SQL-lauseilla? |
36. | TIEDOSTOJEN TALLENNUSPALVELU: Tarjoaako pilvipalveluntarjoaja pilvipalvelun laskentainstanssien kanssa käytettävää helppoa ja skaalattavaa tiedostojen tallennuspalvelua? |
37. | TIEDOSTOJEN TALLENNUS – REDUNDANSSI: Tallentaako pilvipalveluntarjoaja useiden datakeskusten tai toimitilojen tiedostojärjestelmän objekteja (kansio, tiedosto ja linkki) redundantisti käytettävyyden ja kestävyyden parantamiseksi? |
38. | TIEDOSTOJEN TALLENNUS – TIETOJEN HÄVITTÄMINEN: Tukeeko pilvipalveluntarjoaja tiedostojen tallennustilan tietojen täydellistä hävittämistä niin, etteivät valtuuttamattomat käyttäjät ja kolmannet osapuolet voi enää lukea ja käyttää tietoja? |
39. | TIEDOSTOJEN TALLENNUS – HYVÄ KÄYTETTÄVYYS: Xxxx pilvipalveluntarjoajan hallinnoidulla tiedostojärjestelmällä hyvä käytettävyys? |
40. | TIEDOSTOJEN TALLENNUS – NFS: Tukeeko pilvipalveluntarjoaja NFS (Network File System) -protokollaa? |
41. | TIEDOSTOJEN TALLENNUS – SMB: Tukeeko pilvipalveluntarjoaja SMB (Server Message Block) -protokollaa? |
42. | TIEDOSTOJEN TALLENNUS – SÄILYTYKSEEN LIITTYVÄ SALAUS: Tukeeko pilvipalveluntarjoajan tiedostojen tallennuspalvelu säilytettävien tietojen salausta? |
43. | TIEDOSTOJEN TALLENNUS – SIIRTOON LIITTYVÄ SALAUS: Tukeeko pilvipalveluntarjoajan tiedostojen tallennuspalvelu siirrettävien tietojen salausta? |
44. | TIEDOSTOJEN TALLENNUS – DATAN MIGRAATIOTYÖKALU: Tarjoaako pilvipalveluntarjoaja datan migraatiotyökalua, jolla käyttäjät voivat siirtää tietoja oman konesaliympäristön järjestelmistä pilvipohjaiseen tiedostojärjestelmään? |
45. | ARKISTOTALLENNUSPALVELU: Tarjoaako pilvipalveluntarjoaja hyvin edullista tallennuspalvelua harvoin käytettyjen ja lähes muuttumattomien objektien ja tiedostojen arkistointia varten? |
46. | ARKISTOTALLENNUS – VIKASIETOISUUS: Takaako pilvipalveluntarjoajan arkkitehtuuri hyvän vikasietoisuuden arkistotallennuspalvelulle? |
47. | ARKISTOTALLENNUS – MUUTTUMATTOMUUS: Tukeeko pilvipalveluntarjoaja arkistoitujen objektien ja tiedostojen muuttumattomuutta? |
48. | ARKISTOTALLENNUS – WORM: Tarjoaako pilvipalveluntarjoaja WORM (Write Once Read Many) -tiedonsäilytystä? |
49. | ARKISTOTALLENNUS – ALIJOUKON HAKU: Tarjoaako pilvipalveluntarjoaja käyttäjille mahdollisuutta hakea arkistoidusta objektista vain tietojen alijoukkoa SQL- lauseilla? |
50. | ARKISTOTALLENNUS – HAKUNOPEUS: Tarjoaako pilvipalveluntarjoaja käyttäjille useita tietojen haun vaihtoehtoja, joilla on eri kustannukset ja hakuajat? |
51. | ARKISTOTALLENNUS – SÄILYTYKSEEN LIITTYVÄ SALAUS: Tukeeko pilvipalveluntarjoajan arkistotallennuspalvelu säilytettävien tietojen salausta? |
52. | TALLENNUS – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan tallennusosioon liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Levyn enimmäiskoko Instanssiin liitettävien asemien enimmäismäärä I/O-operaatioiden enimmäismäärä sekunnissa (IOPS) Objektin enimmäiskoko Asiakaskohtaisten tallennettavien objektien enimmäismäärä Tilannevedosten enimmäismäärä |
Vaatimus | |
1. | HALLINTO – KÄYTTÄJÄT JA RYHMÄT: Tarjoaako pilvipalveluntarjoaja palvelua infrastruktuurinsa ja resurssiensa käyttäjien ja käyttäjäryhmien luontia ja hallintaa varten? |
2. | HALLINTO – SALASANAN PALAUTTAMINEN: Antaako pilvipalveluntarjoaja käyttäjien palauttaa salasanansa itsepalveluna? |
3. | HALLINTO – KÄYTTÖOIKEUDET: Tarjoaako pilvipalveluntarjoaja mahdollisuutta lisätä käyttöoikeuksia käyttäjille ja ryhmille resurssitasolla? |
4. | HALLINTO – VÄLIAIKAISET KÄYTTÖOIKEUDET: Tarjoaako pilvipalveluntarjoaja mahdollisuutta luoda käyttöoikeuksia, jotka ovat voimassa tietyllä aikavälillä? |
5. | HALLINTO – VÄLIAIKAISET TUNNISTETIEDOT: Tarjoaako pilvipalveluntarjoaja käyttäjille mahdollisuutta luoda ja antaa luotetuille käyttäjille väliaikaisia suojaustunnistetietoja, joiden kesto on määritetty muutamasta minuutista useisiin tunteihin? |
6. | HALLINTO – KÄYTTÖOIKEUKSIEN VALVONTA: Tarjoaako pilvipalveluntarjoaja hienosäädettävää käyttöoikeuksien valvontaa infrastruktuurinsa resursseihin? • Jos tarjoaa, millaisia ehtoja valvonnassa voidaan käyttää (esimerkiksi vuorokaudenaika ja alkuperän IP-osoite)? |
7. | HALLINTO – SISÄISET KÄYTÄNNÖT: Onko pilvipalveluntarjoajalla sisäisiä käyttöoikeuksien valvontakäytäntöjä, jotka voidaan liittää käyttäjiin ja ryhmiin? |
8. | HALLINTO – MUKAUTETUT KÄYTÄNNÖT: Salliiko pilvipalveluntarjoajan infrastruktuuri käyttäjiin ja ryhmiin liitettävien käyttöoikeuksien valvontakäytäntöjen luonnin ja mukauttamisen? |
9. | HALLINTO – KÄYTÄNTÖJEN SIMULAATTORI: Tarjoaako pilvipalveluntarjoaja menetelmää, jolla testataan käyttöoikeuksien valvontakäytäntöjen vaikutuksia ennen niiden käyttöönottoa? |
10. | HALLINTO – PILVIPALVELUN MONIVAIHEINEN TODENTAMINEN: Tukeeko pilvipalveluntarjoaja monivaiheisen todentamisen käyttöä lisätasona infrastruktuurinsa käyttöoikeuksien valvonnassa ja todentamisessa? |
11. | HALLINTO – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan hallinto-osioon liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Käyttäjien enimmäismäärä Ryhmien enimmäismäärä Hallinnoitujen käytäntöjen enimmäismäärä |
Vaatimus | |
1. | TIETOTURVA – TAUSTATARKISTUKSET: Voidaanko taustatarkistuksia tehdä pilvipalveluntarjoajan kaikille työntekijöille, joilla on palvelun infrastruktuurin (fyysisen tai muun) käyttöoikeudet? |
2. | TIETOTURVA – FYYSINEN PÄÄSY: Asettaako pilvipalveluntarjoaja henkilöstölleen palvelun infrastruktuurin käyttöä koskevia rajoituksia, jotka estävät käytön ilman tiettyä tukipalvelupyyntöä, muutospyyntöä tai vastaavaa muodollista valtuutusta? |
3. | TIETOTURVA – KÄYTTÖLOKIT: Tallentaako pilvipalveluntarjoaja henkilöstön infrastruktuurinsa käyttöä koskevia lokitietoja aina käytön yhteydessä ja säilytetäänkö lokitiedostoja vähintään 90 vuorokautta? |
4. | TIETOTURVA– ISÄNTÄKONEIDEN KIRJAUTUMISET: Asettaako pilvipalveluntarjoaja henkilöstölleen pilvipalvelun isäntäkoneisiin kirjautumista koskevia rajoituksia ja sen sijaan automatisoi kaikki pilvipalvelun isäntäkoneilla tehdyt työt, joiden sisältö kirjataan lokitiedostoihin ja joita säilytetään vähintään 90 vuorokautta? |
5. | TIETOTURVA – SALAUSAVAIMET: Tarjoaako pilvipalveluntarjoaja käyttäjien tietojen salauksessa käytettävien salausavainten luonti- ja hallintapalvelua? |
6. | TIETOTURVA – KÄYTTÖOIKEUSAVAINTEN HALLINTA: Tarjoaako pilvipalveluntarjoaja mahdollisuutta selvittää, milloin käyttöoikeusavainta viimeksi käytettiin, kierrättää vanhoja avaimia ja poistaa passiivisia käyttäjiä? |
7. | TIETOTURVA – ASIAKKAAN OMIEN SALAUSAVAINTEN KÄYTTÖ: Xxxxxxx pilvipalveluntarjoaja käyttäjien tuoda avaimia omasta avaintenhallinnan infrastruktuuristaan pilvipalveluntarjoajan avaintenhallintapalveluun? |
8. | TIETOTURVA – SALAUSAVAINTEN PALVELUN INTEGROINTI: Voidaanko pilvipalveluntarjoajan avaintenhallintapalvelu integroida muiden pilvipalveluiden kanssa, jotta säilytettävät tiedot voidaan salata? |
9. | TIETOTURVA – LAITTEISTON SUOJAUSMODUULI: Tarjoaako pilvipalveluntarjoaja erityisiä laitteiston suojausmoduuleja eli laitteita, joiden avulla avaimia voidaan säilyttää suojatusti ja tietoja voidaan salata moduuleilla, joiden luvaton käsittely on estetty? |
10. | TIETOTURVA – SALAUSAVAINTEN KESTÄVYYS: Tukeeko pilvipalveluntarjoaja avainten kestävyyttä, kuten useiden kopioiden tallennusta niin, että avaimet ovat käytettävissä, kun niitä tarvitaan? |
11. | TIETOTURVA – KERTAKIRJAUTUMINEN: Tarjoaako pilvipalveluntarjoaja hallinnoitua kertakirjautumispalvelua (SSO), jonka avulla käyttäjät voivat hallinnoida keskitetysti useiden tilien ja liiketoimintasovellusten käyttöä? |
12. | TIETOTURVA – VARMENTEET: Tarjoaako pilvipalveluntarjoaja hallinnoitua palvelua SSL- ja TLS-varmenteiden varausta, hallinnointia ja käyttöönottoa varten? |
13. | TIETOTURVA – VARMENTEIDEN UUSIMINEN: Helpottaako pilvipalveluntarjoajan varmenteiden hallintapalvelu varmenteiden uusimista? |
14. | TIETOTURVA – YLEISMERKKIVARMENTEET: Tukeeko pilvipalveluntarjoajan varmenteiden hallintapalvelu yleismerkkivarmenteiden käyttöä? |
15. | TIETOTURVA – VARMENTEIDEN MYÖNTÄJÄ: Toimiiko pilvipalveluntarjoajan varmenteiden hallintapalvelu myös varmenteiden myöntäjänä? |
16. | TIETOTURVA – ACTIVE DIRECTORY: Tarjoaako pilvipalveluntarjoaja hallinnoitua Microsoft Active Directory -palvelua pilvipalvelussa? |
17. | TIETOTURVA – ACTIVE DIRECTORY OMASSA KONESALIYMPÄRISTÖSSÄ: Tukeeko pilvipalveluntarjoajan hallinnoitu Microsoft Active Directory -palvelu integrointia omassa konesaliympäristössä toimivan Microsoft Active Directoryn kanssa? |
18. | TIETOTURVA – LDAP-PROTOKOLLA: Tukeeko pilvipalveluntarjoajan hallinnoitu Microsoft Active Directory -palvelu LDAP-protokollaa? |
19. | TIETOTURVA – ACTIVE DIRECTORY: Tukeeko pilvipalveluntarjoajan hallinnoitu Microsoft Active Directory -palvelu SAML-standardia? |
20. | TIETOTURVA – TUNNISTETIETOJEN HALLINTA: Tarjoaako pilvipalveluntarjoaja hallinnoitua palvelua, jonka avulla käyttäjien on helppo kierrättää, hallita ja hakea tunnistetietoja, kuten API-avaimia, tietokannan tunnistetietoja ja muita salassa pidettäviä tietoja? |
21. | TIETOTURVA – VERKKOSOVELLUKSEN PALOMUURI: Tarjoaako pilvipalveluntarjoaja verkkosovelluksen palomuuria, joka auttaa suojelemaan verkkosovelluksia verkon yleisiltä väärinkäytöksiltä, jotka voisivat vaikuttaa sovellusten käytettävyyteen, vaarantaa suojauksen tai käyttää liikaa resursseja? |
22. | TIETOTURVA – HAJAUTETTU PALVELUNESTOHYÖKKÄYS: Tarjoaako pilvipalveluntarjoaja palvelua, joka suojaa tavallisilta, usein tapahtuvilta verkko- ja siirtotason hajautetuilta palvelunestohyökkäyksiltä (DDoS), sekä mahdollisuutta laatia mukautettuja sääntöjä, joilla ehkäistään kehittyneitä sovellustason hyökkäyksiä? |
23. | TIETOTURVA – TIETOTURVAA KOSKEVAT SUOSITUKSET: Tarjoaako pilvipalveluntarjoaja palvelua sovellusten ja resurssien mahdollisten tietoturva-aukkojen automaattiseen arviointiin? |
24. | TIETOTURVA – UHKIEN TUNNISTAMINEN: Tarjoaako pilvipalveluntarjoaja hallinnoitua uhkien tunnistuspalvelua? |
25. | TIETOTURVA – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan tieturvaosioon liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Asiakkaan pääavainten enimmäismäärä Laitteiston suojausmoduulien enimmäismäärä. |
Alla oleva luettelo on vain tiedoksi, eikä se sisällä kaikkia pilvipalveluja mahdollisesti koskevia sertifiointeja ja standardeja.
Merkitse kansainväliset ja toimialakohtaiset standardit, joiden vaatimukset pilvipalveluntarjoaja täyttää:
Sertifioinnit/todistukset | Lait, asetukset ja tietosuoja | Sopimukset/kehykset |
☐ C5 [Saksa] | ☐ EU:n tietosuojadirektiivi | ☐ CDSA |
☐ CISPEn tietosuojaa koskevat käytännesäännöt ☐ CNDCP (Ilmastoneutraali datakeskussopimus) | ☐ EU:n mallisopimuslausekkeet | |
☐ DIACAP | ☐ FERPA | ☐ CIS |
☐ DoD SRG, tasot 2 ja 4 | ☐ EU:n yleinen tietosuoja-asetus (GDPR) | ☐ Criminal Justice Info. Service (CJIS) |
☐ FedRAMP | ☐ GLBA | ☐ CSA |
☐ FIPS 140-2 | ☐ HIPAA | ☐ EU:n ja USA:n Privacy Shield -järjestely |
☐ HDS (Ranska, Terveydenhuolto) | ☐ HITECH | ☐ EU:n Safe Harbor -järjestelmä |
☐ ISO 9001 | ☐ IRS 1075 | ☐ FISC |
☐ ISO 27001 | ☐ ITAR | ☐ FISMA |
☐ ISO 27017 | ☐ PDPA – 2010 [Malesia] | ☐ G-Cloud [Yhdistynyt kuningaskunta] |
☐ ISO 27018 | ☐ PDPA – 2012 [Singapore] | ☐ GxP (FDA CFR 21 Part 11) |
☐ IRAP [Australia] | ☐ PIPEDA [Kanada] | ☐ ICREA |
☐ MTCS Tier 3 [Singapore] | ☐ Privacy Act [Australia] | ☐ IT Grundschutz [Saksa] |
☐ PCI DSS -taso 1 | ☐ Privacy Act [Uusi-Seelanti] | ☐ MARS – E |
☐ SEC Rule 17-a-4(f) | ☐ Espanjan DPA-valtuutus | ☐ MITA 3.0 |
☐ SOC1/ISAE 3402 | ☐ U.K. DPA – 1988 | ☐ MPAA |
☐ SOC2/SOC3 ☐ SWIPO IaaS - käytännesäännöt | ☐ VPAT/Section 508 | ☐ NIST |
☐ Uptime Institute Tiers | ||
Näiden vaatimustenmukaisuusrap hyväksyttyihin tietoturva-, vaatimu pilvipalveluinfrastruktuurin tarjoa edellytettävät datakeskusten toi varmuuden siitä, että seuraavat | orttien avulla julkisen sektorin organi stenmukaisuus- ja toimintastandarde ja noudattaa kyseisiä vaatimuksia, se minnan kontrollit. Kun tällaisten raportt edellytykset täyttyvät. | ☐ UK Cloud Security Principles saatiot voivat arvioida yksittäisiä tarjouksia suhteessa ihin. Raporttien perusteella voidaan päätellä, että koska täyttää myös seuraavat julkisen pilvipalvelun tarjoajalta ien noudattamista vaaditaan, julkisen sektorin taho saa |
• Rajoitettu käyttö: Pilvipalveluinfrastruktuurin tarjoajan on rajoitettava fyysistä käyttöä niin, että tiloihin pääsevät vain henkilöt, joilla on siihen oikeutettu liiketoimintaan liittyvä syy. Jos käyttöoikeus myönnetään, se on peruttava heti, kun tarvittavat työt on tehty.
• Kulunvalvonta: Datakeskuksessa on käytettävä kulunvalvontaa. Pilvipalveluinfrastruktuurin tarjoajan porteilla on oltava vartijoita, ja valvojien on valvottava vartijoita ja vierailijoita valvontakameroilla. Tiloihin tuleville hyväksynnän saaneille henkilöille on annettava kulkukortti, joka edellyttää monivaiheista todentamista ja rajoittaa pääsyn vain ennalta hyväksytyille alueille.
• Pilvipalveluinfrastruktuurin tarjoajan datakeskusten työntekijät: Datakeskuksessa jatkuvasti käyville palveluntarjoajan työntekijöille on annettava toimitilojen olennaisten alueiden kulkuoikeudet työtehtävien perusteella, ja kulkuoikeudet on tarkistettava säännöllisesti. Alueen kulunvalvonnan esimiehen on tarkistettava työntekijäluettelot säännöllisesti ja varmistettava, että kunkin työntekijän valtuutus on edelleen tarpeellinen. Jos työntekijällä ei ole jatkuvaa liiketoimintaan perustuvaa tarvetta datakeskuksessa oleskeluun, hänen on käytävä läpi samat tarkistukset kuin vierailijoiden.
• Valvonta luvattoman pääsyn varalta: Pilvipalveluinfrastruktuurin tarjoajien on valvottava datakeskusta luvattoman pääsyn varalta videovalvonnalla, tunkeutumisenhavaitsemislaitteilla ja käyttölokien valvontajärjestelmillä. Sisäänkäynnit on suojattava laitteilla, jotka antavat hälytyksen, jos ovea avataan väkisin tai sitä pidetään auki.
• Pilvipalveluinfrastruktuurin tarjoajan tietoturvakeskukset valvovat tietoturvaa maailmanlaajuisesti: Palveluntarjoajalla on oltava kaikkialla maailmassa tietoturvakeskuksia, jotka vastaavat pilvipalveluinfrastruktuurin tarjoajan datakeskusten tietoturvaohjelmien toteutuksesta, arvioinnista ja valvonnasta. Niiden on tarkkailtava kulunvalvontaa ja tunkeutumisen
havaitsemiseen reagoimista sekä annettava datakeskusten tietoturvasta vastaaville paikallisille tiimeille maailmanlaajuista tukea vuorokauden ympäri: tiimien jatkuviin valvontatehtäviin kuuluvat esimerkiksi käytön seuranta, kulkuoikeuksien peruuttaminen sekä valmius reagoida mahdollisiin tietoturvaa uhkaaviin tilanteisiin ja analysoida niitä.
• Tasokohtainen käyttöoikeuksien valvonta: Infrastruktuurin tasoille pääsyä on rajoitettava liiketoimintaan perustuvien tarpeiden mukaan. Tasokohtaisessa kulunvalvonnassa pääsyä jokaiselle tasolle ei myönnetä oletusarvoisesti. Tietyn tason käyttöoikeudet tulee antaa vain, jos kyseiselle tasolle pääsyyn on jokin erityinen tarve.
• Laitteiden huolto kuuluu säännölliseen toimintaan: Pilvipalveluinfrastruktuurin tarjoajan tiimien on tehtävä koneille, verkoille ja varmuuskopiointilaitteille vianmäärityksiä, joilla varmistetaan, että ne ovat hyvässä käyttökunnossa nyt ja hätätilanteissa. Datakeskusten laitteiden ja apulaitteiden huoltoon liittyvien rutiinitarkastusten on kuuluttava pilvipalveluinfrastruktuurin tarjoajan datakeskusten säännöllisiin toimintoihin.
• Varmuuskopiointilaitteet hätätilanteiden varalle: Vesi, sähkö, tietoliikenne ja internetyhteydet on suunniteltava redundanteiksi niin, että pilvipalveluinfrastruktuurin tarjoaja pystyy ylläpitämään jatkuvia toimintoja hätätilanteessakin. Sähköjärjestelmät on suunniteltava täysin redundanteiksi niin, että sähkökatkojen aikana voidaan käyttää UPS-laitteita tiettyjä toimintoja varten ja generaattoreilla voidaan tuottaa varavirtaa koko laitokselle. Henkilökunnan ja järjestelmien on valvottava ja ohjattava lämpötilaa ja ilmankosteutta, jotta laitteet eivät ylikuumene ja palvelun käyttökatkon todennäköisyys pienenee entisestään.
• Teknologia ja ihmiset vahvistavat tietoturvaa yhdessä: Datatason käyttöoikeuksien myöntämistä varten on oltava pakollisia toimintatapoja. Niihin sisältyy esimerkiksi se, että valtuutetut henkilöt tarkistavat ja hyväksyvät kulkulupahakemukset. Samalla uhkien ja elektronisen tunkeutumisen havaitsemisjärjestelmien on valvottava uhkia ja käynnistettävä automaattisia hälytyksiä, kun tunnistettuja uhkia tai epäilyttävää toimintaa havaitaan. Hälytys käynnistyy esimerkiksi silloin, kun ovea pidetään auki tai se avataan väkisin. Pilvipalveluinfrastruktuurin tarjoajan on käytettävä valvontakameroita ja tallennettava kuvamateriaalia lain ja paikallisten määräysten mukaisesti.
• Fyysisen ja teknisen tunkeutumisen estäminen: Palvelinhuoneiden sisäänkäynnit on turvattava sähköisillä valvontalaitteilla, jotka vaativat monivaiheisen todentamisen. Pilvipalveluinfrastruktuurin tarjoajalla on oltava valmius estää myös tekniset tunkeutumiset. Pilvipalveluinfrastruktuurin tarjoajan palvelimien on pystyttävä varoittamaan työntekijöitä tietojen poistamisyrityksistä. Tietomurrot ovat epätodennäköisiä, mutta sellaisen tapahtuessa palvelin on poistettava käytöstä automaattisesti.
• Palvelimet ja tallennusvälineet erityistarkkailussa: Pilvipalveluinfrastruktuurin tarjoajan on luokiteltava asiakkaiden tietoja säilyttävät tallennusvälineet kriittisiksi, ja niitä on käsiteltävä luokituksensa mukaisesti kriittisesti vaikuttavina laitteina koko niiden elinkaaren ajan. Pilvipalveluinfrastruktuurin tarjoajalla on oltava tiukat vaatimukset sille, miten laitteita asennetaan ja huolletaan ja miten käyttöikänsä loppuun tulleet laitteet hävitetään. Tallennusvälineen käyttöiän päätyttyä pilvipalveluinfrastruktuurin tarjoaja poistaa sen käytöstä NIST 800-88 -standardin mukaisella tavalla. Asiakkaiden tietoja säilyttävät tallennusvälineet poistuvat pilvipalveluinfrastruktuurin tarjoajan hallinnasta vasta, kun ne on poistettu turvallisesti käytöstä.
• Kolmannen osapuolen auditoijat varmistavat pilvipalveluinfrastruktuurin tarjoajan menetelmät ja järjestelmät: Kolmannen osapuolen auditoijien on tarkastettava datakeskukset ja varmistettava perusteellisesti, että palveluntarjoaja noudattaa vakiintuneita sääntöjä, jotka tietoturvasertifiointi vaatii. Vaatimustenmukaisuusohjelman ja sen edellytysten mukaisesti ulkoiset auditoijat voivat haastatella pilvipalveluinfrastruktuurin tarjoajan työntekijöitä ja tiedustella, kuinka he käsittelevät ja hävittävät tallennusvälineitä. Auditoijat voivat myös katsella valvontakameroiden kuvaa sekä tarkkailla datakeskuksen kaikkia käytäviä ja sisäänkäyntejä. He voivat tutkia myös laitteita, kuten pilvipalveluinfrastruktuurin tarjoajan sähköisiä kulunvalvontalaitteita ja valvontakameroita.
• Varautuminen odottamattomiin tapahtumiin: Pilvipalveluinfrastruktuurin tarjoajan on valmistauduttava aktiivisesti mahdollisiin ympäristöuhkiin, kuten luonnonmullistuksiin ja tulipaloihin. Pilvipalveluinfrastruktuurin tarjoaja voi suojella datakeskuksia esimerkiksi automaattisilla tunnistimilla ja reagoivilla laitteilla. Tiloihin tulisi asentaa vesi-ilmaisimia, jotka ilmoittavat työntekijöille ongelmista, kun automaattiset pumput poistavat nestettä ja ehkäisevät siitä aiheutuvia vahinkoja. Myös automaattiset palovaroittimet ja sammutuslaitteet pienentävät riskiä ja voivat ilmoittaa ongelmista pilvipalveluinfrastruktuurin tarjoajan työntekijöille ja palokunnalle.
• Hyvä käytettävyys useiden saatavuusalueiden avulla: Pilvipalveluinfrastruktuurin tarjoajalla on oltava useita saatavuusalueita vikasietoisuuden parantamiseksi. Kunkin saatavuusalueen tulee koostua yhdestä tai useasta datakeskuksesta. Saatavuusalueiden on oltava toisistaan erillään, ja niillä on oltava redundantti virtalähde ja verkko. Saatavuusalueet tulisi yhdistää toisiinsa nopealla, yksityisellä valokaapeliverkolla. Tällaisen verkon avulla voidaan rakentaa sovelluksia, jotka ovat automaattisesti vikasietoisia saatavuusalueiden välillä eivätkä aiheuta keskeytyksiä.
• Toimintakatkosten simulointi ja reaktiokyvyn mittaus: Pilvipalveluinfrastruktuurin tarjoajalla on oltava toimintojen prosessiohjeena käytettävä liiketoiminnan jatkuvuutta koskeva suunnitelma luonnonmullistuksista aiheutuvien keskeytysten ehkäisemiseksi. Suunnitelman tulee sisältää tarkat toimintaohjeet tapahtumaa edeltävää, tapahtuman aikaista ja tapahtuman jälkeistä tilannetta varten. Pilvipalveluinfrastruktuurin tarjoajan tulee valmistautua odottamattomiin tapahtumiin ja ehkäistä ongelmia testaamalla liiketoiminnan jatkuvuutta koskevaa suunnitelmaa säännöllisillä harjoituksilla, jotka simuloivat eri skenaarioita. Pilvipalveluinfrastruktuurin tarjoajan on dokumentoitava, kuinka henkilökunta ja prosessit suoriutuvat kyseisissä tilanteissa. Lisäksi on annettava selvitys näistä kokemuksista sekä korjaustoimista, joita saatetaan tarvita reagoinnin nopeuttamiseksi. Pilvipalveluinfrastruktuurin tarjoajan henkilökunnan on oltava koulutettu ja valmis selviämään keskeytyksistä nopeasti. Järjestelmällisellä palautusprosessilla on voitava lyhentää virheistä johtuvia käyttökatkoja entisestään.
• Tehokkuustavoitteiden saavuttaminen: Ympäristöriskien lisäksi pilvipalveluinfrastruktuurin tarjoajan on otettava kestävä kehitys huomioon datakeskusten suunnittelussa. Pilvipalveluinfrastruktuurin tarjoajan on annettava tietoja uusiutuvan energian käytöstä datakeskuksissaan sekä siitä, kuinka asiakkaat voivat vähentää hiilidioksidipäästöjä omiin datakeskuksiinsa verrattuna.
• Sijainnin valinta: Ennen sijainnin valitsemista pilvipalveluinfrastruktuurin tarjoajan on tehtävä alustavia ympäristö- ja maantieteellisiä arvioita. Datakeskusten sijainti on valittava huolellisesti niin, että ympäristöriskit jäävät vähäisiksi. Näitä riskejä ovat esimerkiksi tulvat, sään ääri-ilmiöt ja maanjäristykset. Pilvipalveluinfrastruktuurin tarjoajan saatavuusalueet on muodostettava niin, että ne ovat itsenäisiä ja toisistaan fyysisesti erillään.
• Redundanssi: Datakeskusten tulee ennakoida ja kestää toimintahäiriöitä niin, että palvelutaso säilyy. Vikatilanteissa automaattisten prosessien on siirrettävä liikenne pois alueelta, johon vika vaikuttaa. Ydinsovellusten on oltava N+1- standardin mukaisia, jotta datakeskuksen kapasiteetti riittää vikatilanteessa liikenteen kuorman tasaamiseen jäljellä oleviin sijainteihin.
• Käytettävyys: Pilvipalveluinfrastruktuurin tarjoajan on selvitettävä, mitä järjestelmän tärkeimpiä osia tarvitaan järjestelmän käytettävyyden ylläpitoa varten ja palvelun palauttamista varten käyttökatkosten yhteydessä. Järjestelmän keskeisistä osista on pidettävä varmuuskopioita useissa erillisissä sijainneissa. Jokainen sijainti tai saatavuusalue on suunniteltava toimimaan itsenäisesti ja erittäin luotettavasti. Saatavuusalueet tulisi olla toisiinsa kytkettyjä, jotta sovellukset ovat automaattisesti vikasietoisia käyttövyöhykkeiden välillä eivätkä aiheuta keskeytyksiä. Järjestelmän suunnittelussa on tavoiteltava hyvin vikasietoisia järjestelmiä, joilla saadaan palvelulle hyvä käytettävyys. Kun datakeskuksen suunnittelussa otetaan huomioon saatavuusalueet ja tietojen replikointi, pilvipalveluinfrastruktuurin tarjoajan asiakkaat hyötyvät erittäin nopeasta palautumisesta ja palautuspisteistä sekä palvelun erinomaisesta käytettävyydestä.
• Kapasiteetin suunnittelu: Pilvipalveluinfrastruktuurin tarjoajan on seurattava palvelun käyttöä jatkuvasti, jotta infrastruktuurin käytettävyyttä koskevat vaatimukset täyttyvät. Pilvipalveluinfrastruktuurin tarjoajan on ylläpidettävä kapasiteetin suunnittelumallia, jolla arvioidaan pilvipalveluinfrastruktuurin tarjoajan infrastruktuurin käyttöä ja kysyntää vähintään kuukausittain. Tässä mallissa on voitava suunnitella tulevaa kysyntää, ja siinä on otettava huomioon tietojenkäsittely, tietoliikenne ja auditointilokien tallennus.
LIIKETOIMINNAN JATKUVUUS JA JÄRJESTELMÄPALAUTUS
• Liiketoiminnan jatkuvuutta koskeva suunnitelma: Pilvipalveluinfrastruktuurin tarjoajan liiketoiminnan jatkuvuutta koskevassa suunnitelmassa on esitettävä menetelmiä, joilla ehkäistään ympäristöstä johtuvia keskeytyksiä. Suunnitelman tulee sisältää toimintaohjeet tapahtumaa edeltävää, tapahtuman aikaista ja tapahtuman jälkeistä tilannetta varten. Liiketoiminnan jatkuvuutta koskevaa suunnitelmaa on tuettava testeillä, jotka simuloivat eri skenaarioita. Testauksen aikana ja sen jälkeen pilvipalveluinfrastruktuurin tarjoajan on dokumentoitava henkilökunnan ja prosessien suoriutuminen kyseisissä tilanteissa, saadut kokemukset ja korjaustoimet jatkuvaa parantamista varten.
• Pandemiaan reagointi: Pilvipalveluinfrastruktuurin tarjoajan järjestelmäpalautusta koskeviin suunnitelmiin tulee sisältyä pandemiaan reagointia koskevia käytäntöjä ja menetelmiä, joiden avulla voidaan valmistautua reagoimaan nopeasti tartuntatautien leviämisen aiheuttamiin uhkiin. Torjuntastrategioihin kuuluu vaihtoehtoisia henkilöstömalleja, joilla siirretään tärkeitä prosesseja regioonan ulkopuolisille resursseille ja otetaan käyttöön kriisinhallintasuunnitelma liiketoiminnalle keskeisten toimintojen tukemiseksi. Pandemioita koskevissa suunnitelmissa on ilmoitettava kansainväliset terveysviranomaiset ja määräykset, myös kansainvälisten virastojen yhteystiedot.
VALVONTA JA LOKIIN KIRJAAMINEN
• Datakeskusten kulkuoikeuksien seuranta: Datakeskusten kulkuoikeuksia on arvioitava säännöllisesti. Kulkuoikeus on peruttava automaattisesti, kun työntekijä poistetaan pilvipalveluinfrastruktuurin tarjoajan henkilöstöhallintojärjestelmästä. Myös silloin, kun työntekijän tai alihankkijan kulkuoikeus umpeutuu hyväksytyn voimassaoloajan mukaisesti, hänen kulkuoikeutensa on peruttava, vaikka hän olisi edelleen pilvipalveluinfrastruktuurin tarjoajan työntekijä.
• Datakeskusten kulunvalvontalokit: Pilvipalveluinfrastruktuurin tarjoajan datakeskusten kulkutiedot on kirjattava lokiin, kulkua on valvottava ja kulkutietoja on säilytettävä. Pilvipalveluinfrastruktuurin tarjoajan tulee parantaa turvallisuutta tarpeen mukaan suhteuttamalla loogisesta ja fyysisestä valvontajärjestelmästä saadut tiedot toisiinsa.
• Datakeskusten kulunvalvonta: Pilvipalveluinfrastruktuurin tarjoajan on valvottava datakeskuksia maailmanlaajuisilla tietoturvakeskuksilla, jotka vastaavat tietoturvaohjelmien toteutuksesta, arvioinnista ja valvonnasta. Niiden on annettava maailmanlaajuista tukea kaikkina aikoina ohjaamalla ja valvomalla datakeskusten kulkutoimintoja. Niiden on myös autettava paikallisia tiimejä ja muuta tukihenkilöstöä reagoimaan tietoturvaa uhkaaviin tilanteisiin arvioimalla, neuvomalla, analysoimalla ja järjestelemällä reagointitapoja.
VALVOMINEN JA HAVAITSEMINEN
• Valvontakamerat: Palvelinhuoneiden sisäänkäyntejä on valvottava tallentavilla valvontakameroilla. Kuvia on säilytettävä lain ja paikallisten määräysten mukaisesti.
• Datakeskusten sisäänkäynnit: Koulutettujen vartijoiden on vartioitava rakennusten sisäänkäyntejä valvonnalla, havaitsemisjärjestelmillä ja muilla sähköisillä menetelmillä. Valtuutetun henkilöstön on käytettävä monivaiheista todentamista datakeskusten kulunvalvonnassa. Palvelinhuoneiden sisäänkäynnit on suojattava laitteilla, jotka antavat hälytyksen tapahtumaan reagointia varten, jos ovi avataan väkisin tai sitä pidetään auki.
• Tunkeutumisen havaitseminen: Datakerrokseen on asennettava sähköisiä tunkeutumisen havaitsemisjärjestelmiä, joilla voidaan valvoa ja havaita tietoturvaa uhkaavia tilanteita sekä ilmoittaa niistä tarvittavalle henkilökunnalle automaattisesti. Palvelinhuoneiden sisään- ja uloskäyntejä on vartioitava laitteilla, jotka edellyttävät jokaiselta henkilöltä monivaiheista todentamista sisään- ja ulospääsyä varten. Nämä laitteet käynnistävät hälytysäänen, jos ovi avataan väkisin ja luvatta tai jos ovea pidetään auki. Ovien hälytyslaitteet on myös määritettävä havaitsemaan tilanteet, joissa joku siirtyy datakerrokseen tai pois siitä ilman monivaiheista todentamista. Hälytykset tulee lähettää heti kaikkina aikoina toimiviin pilvipalveluinfrastruktuurin tarjoajan tietoturvakeskuksiin, jotta niihin voidaan reagoida heti ja ne voidaan tallentaa lokitiedostoihin ja analysoida.
LAITTEIDEN HALLINTA
• Resurssien hallinta: Pilvipalveluinfrastruktuurin tarjoajan laitteita on hallittava keskitetysti inventaarionhallintajärjestelmällä, joka tallentaa ja seuraa pilvipalveluinfrastruktuurin tarjoajan laitteiden omistajia, sijaintia, tilaa, kunnossapitoa ja kuvaustietoja. Hankinnan jälkeen laitteet on skannattava ja niitä on seurattava. Huollettavien laitteiden omistusoikeus, tila ja ratkaisu on tarkistettava, ja niitä on valvottava.
• Tallennusvälineiden hävittäminen: Pilvipalveluinfrastruktuurin tarjoajan on luokiteltava asiakkaiden tietoja säilyttävät tallennusvälineet kriittisiksi, ja niitä on käsiteltävä luokituksensa mukaisesti kriittisesti vaikuttavina laitteina koko niiden elinkaaren ajan. Pilvipalveluinfrastruktuurin tarjoajalla on oltava tiukat vaatimukset sille, miten laitteita asennetaan ja huolletaan ja kuinka käyttöikänsä loppuun tulleet laitteet hävitetään. Tallennusvälineen käyttöiän päätyttyä pilvipalveluinfrastruktuurin tarjoajan on poistettava se käytöstä NIST 800-88 -standardin mukaisella tavalla. Asiakkaiden tietoja säilyttäneet tallennusvälineet saa poistaa pilvipalveluinfrastruktuurin tarjoajan hallinnasta vasta, kun ne on poistettu turvallisesti käytöstä.
TOIMINTOJEN TUKIJÄRJESTELMÄT
• Sähkö: Pilvipalveluinfrastruktuurin tarjoajan datakeskusten sähköjärjestelmät on suunniteltava täysin redundanteiksi. Niitä on voitava huoltaa vuorokauden kaikkina aikoina, eikä huoltotöillä saa olla vaikutusta datakeskuksen toimintaan. Pilvipalveluinfrastruktuurin tarjoajien on varmistettava, että datakeskuksissa on varavirtalähde, jolla voidaan ylläpitää laitoksen keskeisten kuormien toimintaa sähkökatkojen sattuessa.
• Ilmastointi ja lämpötila: Pilvipalveluinfrastruktuurin tarjoajan datakeskuksissa on käytettävä ilmastointia ja ylläpidettävä palvelimien ja muiden laitteiden sopivaa käyttölämpötilaa, jotta ne eivät ylikuumene ja palvelun keskeytymisten todennäköisyys pienenee. Henkilökunnan ja järjestelmien on valvottava, että lämpötila ja ilmankosteus pysyvät sopivina.
• Paloturvallisuus: Pilvipalveluinfrastruktuurin tarjoajan datakeskuksissa on oltava automaattiset palovaroittimet ja sammutuslaitteet. Paloturvallisuusjärjestelmien on käytettävä savuilmaisimia verkkojen, mekaniikan ja infrastruktuurin tiloissa. Näitä alueita on suojeltava myös sammutusjärjestelmillä.
• Vuotojen havaitseminen: Jotta vesivuodot voidaan havaita, pilvipalveluinfrastruktuurin tarjoajan on varustettava datakeskuksensa vedenhavaitsemistoiminnoilla. Veden havaitsemisen varalta käytössä on oltava menetelmiä, joilla vesi voidaan poistaa, jotta vesivahingot jäävät mahdollisimman vähäisiksi.
INFRASTRUKTUURIN KUNNOSSAPITO
• Laitteiden kunnossapito: Pilvipalveluinfrastruktuurin tarjoajan on huolehdittava elektronisten ja mekaanisten laitteiden määräaikaishuollosta, jotta sen datakeskusten järjestelmät pysyvät jatkuvasti käyttökunnossa. Laitteiden kunnossapito on annettava pätevän henkilöstön tehtäväksi, ja siinä on noudatettava dokumentoitua huoltoaikataulua.
• Ympäristön hallinta: Pilvipalveluinfrastruktuurin tarjoajan on valvottava elektronisia ja mekaanisia järjestelmiä ja laitteita, jotta ongelmat voidaan huomata heti. Valvonnassa tulee käyttää jatkuvia auditointityökaluja sekä pilvipalveluinfrastruktuurin tarjoajan rakennusten hallintajärjestelmistä ja sähköisistä valvontajärjestelmistä saatuja tietoja. Laitteet on pidettävä hyvässä käyttökunnossa määräaikaishuollolla.
HALLINNOINTI JA RISKIT
• Datakeskusten jatkuva riskienhallinta: pilvipalveluinfrastruktuurin tarjoajan tietoturvakeskuksen on arvioitava datakeskusten haavoittuvuuksia ja uhkia säännöllisesti. Mahdollisia haavoittuvuuksia on arvioitava ja ehkäistävä jatkuvasti datakeskusten riskinarvioinnilla. Tämä arviointi on tehtävä yritystason riskinarvioinnin lisäksi. Yritystason riskinarvioinnissa tunnistetaan ja hallitaan koko liiketoimintaan kohdistuvia riskejä. Prosessissa on otettava huomioon myös paikalliset määräykset ja ympäristöriskit.
• Kolmannen osapuolen myöntämä tietoturvatodistus: Kolmannen osapuolen raportteihin dokumentoidulla ja kolmannen osapuolen tekemällä pilvipalveluinfrastruktuurin tarjoajan datakeskusten testauksella tulisi varmistaa, että pilvipalveluinfrastruktuurin tarjoaja on ottanut asianmukaisesti käyttöön tietoturvastandardien edellyttämiä, määritettyjen sääntöjen mukaisia turvatoimia. Vaatimustenmukaisuusohjelman ja sen edellytysten mukaisesti ulkoiset auditoijat voivat testata tallennusvälineiden hävittämistä, katsella valvontakameroiden tallenteita, tarkkailla datakeskuksen käytäviä ja sisäänkäyntejä, testata sähköisiä kulunvalvontalaitteita ja tutkia datakeskuksen laitteita.
Vaatimus | |
1. | MIGRAATIOPALVELU: Kuinka monta erilaista datan migraatiopalvelua pilvipalveluntarjoaja tarjoaa? |
2. | MIGRAATIOT – KESKITETTY VALVONTA: Tarjoaako pilvipalveluntarjoaja organisaatioille keskitettyä palvelua (eli tietojen integroinnin hallintatyökalua), jolla voidaan seurata ja valvoa niiden palvelinten ja sovellusten siirron tilaa? |
3. | MIGRAATIOT – RAPORTTINÄKYMÄ: Onko pilvipalveluntarjoajan migraatiotyökalussa raporttinäkymää, josta migraation tila, siihen liittyvät mittarit ja migraation historiatiedot saadaan nopeasti esiin? |
4. | MIGRAATIOT – PILVIPALVELUNTARJOAJAN TYÖKALUT: Voidaanko pilvipalveluntarjoajan migraatiotyökalu integroida pilvipalveluntarjoajan muiden palvelinten ja sovellusten migraatioita suorittavien migraatiotyökalujen kanssa? |
5. | MIGRAATIOT – MUIDEN VALMISTAJIEN TYÖKALUT: Voidaanko pilvipalveluntarjoajan migraatiotyökaluun sisällyttää muiden valmistajien migraatiotyökaluja? • Jos voidaan, mitä muiden valmistajien migraatiotyökaluja voidaan käyttää? |
6. | MIGRAATIOT – USEIDEN REGIOONIEN MIGRAATIOT: Onko pilvipalveluinfrastruktuurin tarjoajan migraatiotyökalussa seuranta- ja valvontatoimintoja eri regioonilla tehtäville palvelinten ja sovellusten migraatioille? |
7. | MIGRAATIOT – PALVELINTEN MIGRAATIO: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla migroida pilvipalveluun oman konesaliympäristön virtualisoituja palvelimia? • Jos voidaan, mitä virtualisoituja ympäristöjä voidaan käyttää tällä hetkellä? |
8. | MIGRAATIOT – PALVELINTEN ETSINTÄ: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla etsiä pilvipalveluun migroitavia oman konesaliympäristön virtualisoituja palvelimia automaattisesti? |
9. | MIGRAATIOT – PALVELIMEN SUORITUSKYKYTIEDOT: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla kerätä ja näyttää palvelimen ja virtuaalikoneen suorituskykytietoja, kuten suorittimen ja RAM-muistin käyttöä? |
10. | MIGRAATIOT – KESKITETTY TIETOKANTA: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla tallentaa kaikki kerätyt tiedot keskitettyyn tietokantaan? • Jos voidaan, pystyvätkö organisaatiot viemään näitä tietoja? Mihin muotoihin? |
11. | MIGRAATIOT – SÄILYTYKSEEN LIITTYVÄ SALAUS: Salaako pilvipalveluntarjoaja kaikki keskitetyssä tietokannassa säilytettävät kerätyt ja tallennetut tiedot? |
12. | MIGRAATIOT – PALVELIMEN LISÄÄVÄ REPLIKOINTI: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla suorittaa automaattista, reaaliaikaista palvelimen lisäreplikointia palvelimen tai virtuaalikoneen migraation aikana ja varmistaa näin, että kaikki palvelimeen tai virtuaalikoneeseen tehdyt muutokset sisältyvät lopulliseen migroituun näköistiedostoon? • Jos voidaan, kuinka kauan tämä palvelu voi kestää? |
13. | MIGRAATIOT – VMWARE: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla suorittaa VMWare-virtuaalikoneiden migraatioita omasta konesaliympäristöstä pilvipalveluun? |
14. | MIGRAATIOT – HYPER-V: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla suorittaa Hyper-V-virtuaalikoneiden migraatioita omasta konesaliympäristöstä pilvipalveluun? |
15. | MIGRAATIOT – SOVELLUSTEN ETSINTÄ: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla etsiä ja ryhmitellä sovelluksia ennen niiden migraatiota? |
16. | MIGRAATIOT – SIDONNAISUUKSIEN MÄÄRITTÄMINEN: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla löytää palvelinten ja sovellusten välisiä sidonnaisuuksia ennen niiden migraatiota? |
17. | MIGRAATIOT – TIETOKANTOJEN MIGRAATIO: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla migroida pilvipalveluun oman konesaliympäristön tietokantoja? |
18. | MIGRAATIOT – TIETOKANTOJEN SIIRRON KÄYTTÖKATKOKSET: Voidaanko tietokantoja migroida pilvipalveluun pilvipalveluntarjoajan migraatiotyökalulla niin, että käyttökatkokset jäävät mahdollisimman lyhyiksi eli lähdetietokanta on toimintakunnossa migraation aikana? |
19. | MIGRAATIOT – LÄHDETIETOKANTA: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla migroida erilaisia tietokantalähteitä, kuten Oracle- tai SQL Server -tietokantoja? • Jos voidaan, ilmoita kaikki tuetut tietokantalähteet, jotka voidaan migroida pilvipalveluun. |
20. | MIGRAATIOT – HETEROGEENISET SIIRROT: Voidaanko pilvipalveluntarjoajan migraatiotyökalulla tehdä tietokantojen heterogeenisia migraatioita eli migraatioita yhdestä lähdetietokannasta erilaiseen kohdetietokantaan, kuten Oracle-tietokannasta SQL Server - tietokantaan? • Jos voidaan, ilmoita kaikki mahdolliset tietokantojen heterogeenisen siirron yhdistelmät. |
21. | MIGRAATIOT – PETATAVUJEN SUURUISET TIETOJEN SIIRROT: Tarjoaako pilvipalveluntarjoaja petatavujen suuruista tietojen siirtoratkaisua, jossa suuria tietomääriä siirretään pilvipalveluun ja sieltä pois suojattujen sovellusten avulla? |
22. | MIGRAATIOT – EKSATAVUJEN SUURUISET TIETOJEN SIIRROT: Tarjoaako pilvipalveluntarjoaja eksatavujen suuruista tietojen siirtoratkaisua erittäin suurten tietomäärien pilvipalveluun siirtämistä varten? |
23. | MIGRAATIOT – YRITYSTEN VARMUUSKOPIOT: Tarjoaako pilvipalveluntarjoaja palvelua, jolla asiakkaan datakeskus voidaan integroida saumattomasti pilvitallennuspalveluiden kanssa niin, että tietoja voidaan siirtää ja tallentaa pilvipalveluntarjoajan tallennuspalveluun? |
24. | MIGRAATIOT – YRITYSTEN VARMUUSKOPIOT – OBJEKTITALLENNUS: Sisältääkö pilvipalveluntarjoajan yritysten varmuuskopiointipalvelu integrointia palveluntarjoajan pilvipalvelun objektitallennuksen kanssa? |
25. | MIGRAATIOT – YRITYSTEN VARMUUSKOPIOT – TIEDOSTOJEN KÄYTTÖ: Antaako pilvipalveluntarjoajan yritysten varmuuskopiopalvelu käyttäjien tallentaa ja hakea objekteja tiedostoprotokollien, kuten NFS-protokollan, avulla? |
26. | MIGRAATIOT – YRITYSTEN VARMUUSKOPIOT – LOHKOJEN KÄYTTÖ: Antaako pilvipalveluntarjoajan yritysten varmuuskopiopalvelu käyttäjien tallentaa ja hakea objekteja lohkoprotokollien, kuten iSCSI-protokollan, avulla? |
27. | MIGRAATIOT – YRITYSTEN VARMUUSKOPIOT – TALLENTEIDEN KÄYTTÖ: Antaako pilvipalveluntarjoajan yritysten varmuuskopiopalvelu käyttäjien tehdä tiedoistaan varmuuskopioita virtuaalisen tallennekirjaston avulla ja tallentaa näitä tallenteiden varmuuskopioita palveluntarjoajan pilvipalveluun? |
28. | MIGRAATIOT – YRITYSTEN VARMUUSKOPIOT – SALAUS: Tarjoaako pilvipalveluntarjoajan yritysten varmuuskopiopalvelu siirrettävien ja säilytettävien tietojen salausta? |
29. | MIGRAATIOT – YRITYSTEN VARMUUSKOPIOT – MUIDEN VALMISTAJIEN OHJELMIEN INTEGROINTI: Voidaanko pilvipalveluntarjoajan yritysten varmuuskopiopalvelu integroida muiden valmistajien tavanomaisten varmuuskopiointiohjelmien kanssa? |
30. | MIGRAATIOT – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan migraatio-osioon liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Virtuaalikoneiden samanaikaisten migraatioiden enimmäismäärä Tiedonsiirtoratkaisujen tilattava enimmäismäärä |
Vaatimus | |
1. | LASKUTUS – SEURANTA JA RAPORTOINTI: Tarjoaako pilvipalveluntarjoaja seurattavaa ja raportoitavaa laskutuspalvelua, jonka avulla käyttäjät voivat hallita ja valvoa pilvipalveluiden käyttöään? |
2. | LASKUTUS – HÄLYTYKSET JA ILMOITUKSET: Tarjoaako pilvipalveluntarjoaja menetelmää, jolla voidaan määrittää hälytyksiä ja ilmoituksia, jotka kertovat käyttäjille, että kulutus on ylittänyt tietyn rajan? |
3. | LASKUTUS – KUSTANNUSTEN HALLINTA: Tarjoaako pilvipalveluntarjoaja menetelmää, jolla voidaan luoda ja näyttää kustannusten ja kulutuksen yhteenvetokaavioita? |
4. | LASKUTUS – BUDJETIT: Tarjoaako pilvipalveluntarjoaja menetelmää, jolla voidaan näyttää ja käsitellä budjetteja ja ennustaa arvioituja kustannuksia? |
5. | LASKUTUS – KONSOLIDOITU NÄKYMÄ: Tarjoaako pilvipalveluntarjoaja menetelmää, jolla useiden tilien laskutus voidaan konsolidoida yhteen, ensisijaiseen maksutiliin? |
6. | LASKUTUS – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan laskutusosioon liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Ryhmiteltävien tilien enimmäismäärä Luotavien hälytysten enimmäismäärä Käsiteltävien budjettien enimmäismäärä |
Vaatimus | |
1. | HALLINTA – VALVONTAPALVELU: Tarjoaako pilvipalveluntarjoaja pilvipalvelun resurssien ja sovellusten hallintaa varten valvontapalvelua, joka suorittaa keräys-, valvonta- ja raportointitoimintoja ennalta määritettyjen mittareiden perusteella? |
2. | HALLINTA – HÄLYTYKSET: Antaako pilvipalveluntarjoajan valvontapalvelu käyttäjien määrittää hälytyksiä? |
3. | HALLINTA – MUKAUTETUT MITTARIT: Antaako pilvipalveluntarjoajan valvontapalvelu käyttäjien luoda ja valvoa mukautettuja mittareita? |
4. | HALLINTA – VALVONNAN TARKKUUS: Onko pilvipalveluntarjoajan valvontapalvelulla eri tarkkuustasoja aina yhden minuutin tasolle saakka? |
5. | HALLINTA – API-SEURANTAPALVELU: Tarjoaako pilvipalveluntarjoaja näkyvyyttä parantavaa palvelua, joka kirjaa lokiin, valvoo ja tallentaa pilviresursseihin kohdistuvaa toimintaa sekä konsolin että API-liittymän tasolla? • Jos tarjoaa, mitkä pilvipalveluntarjoajan palvelut voidaan integroida tämän seurantapalvelun kanssa? |
6. | HALLINTA – ILMOITUKSET: Tarjoaako pilvipalveluntarjoaja kyvykkyyttä lähettää ilmoituksia API-liittymän toimintatasojen perusteella? |
7. | HALLINTA – PAKKAUS: Tarjoaako pilvipalveluntarjoaja menetelmää, jolla pakataan API-liittymän seurantajärjestelmän luomia lokeja niin, että käyttäjät voivat vähentää tähän palveluun liittyviä tallennuskustannuksia? |
8. | HALLINTA – REGIOONIEN KOONTI: Tarjoaako pilvipalveluinfrastruktuurin tarjoaja kyvykkyyttä taltioida tilin API-liittymän toimintaa kaikilla regioonilla ja toimittaa näitä tietoja kootussa, helppokäyttöisessä muodossa? |
9. | HALLINTA – RESURSSI-INVENTAARIO: Tarjoaako pilvipalveluntarjoaja palvelua, jolla voidaan arvioida ja auditoida käyttäjän käyttämien resurssien määrityksiä? |
10. | HALLINTA – MÄÄRITYSTEN MUUTOKSET: Taltioiko pilvipalveluntarjoaja resurssin määritysten muutoksia automaattisesti niiden tapahtuessa? |
11. | HALLINTA – AIEMPIEN MÄÄRITYSTEN TIEDOT: Tarjoaako pilvipalveluntarjoaja mahdollisuutta tutkia resurssien määrityksiä miltä tahansa ajankohdalta menneisyydessä? |
12. | HALLINTA – MÄÄRITYSSÄÄNNÖT: Tarjoaako pilvipalveluntarjoaja sääntöjä ja suosituksia vaatimustenmukaisuuden jatkuvaa valvontaa, määrittämistä ja varausta varten? |
13. | HALLINTA – RESURSSIMALLIT: Tarjoaako pilvipalveluntarjoaja kyvykkyyttä luoda, varata ja hallita resurssikokoelmaa valmiiseen malliin pohjautuvalla tavalla? |
14. | HALLINTA – RESURSSIMALLIEN REPLIKOINTI: Tarjoaako pilvipalveluinfrastruktuurin tarjoaja mahdollisuutta replikoida näitä resurssimalleja eri regioonien välillä, jotta niitä voidaan käyttää mahdollisten järjestelmäpalautusten yhteydessä? |
15. | HALLINTA – MALLIN SUUNNITTELUTYÖKALU: Tarjoaako pilvipalveluntarjoaja helppokäyttöistä graafista työkalua, jossa on vedä-ja-pudota-toiminto ja joka nopeuttaa resurssimallien luontia? |
16. | HALLINTA – PALVELULUETTELO: Tarjoaako pilvipalveluntarjoaja palvelua, jolla voidaan luoda ja hallita palveluluetteloita, kuten palvelimien, virtuaalikoneiden, ohjelmien ja tietokantojen luetteloa? |
17. | HALLINTA – KONSOLIN KÄYTTÖ: Tarjoaako pilvipalveluntarjoaja verkkopohjaista käyttöliittymää, joka helpottaa pilvipalveluiden valvontaa ja hallintaa? |
18. | HALLINTA – KOMENTORIVIKÄYTTÖLIITTYMÄN KÄYTTÖ: Tarjoaako pilvipalveluntarjoaja yhdistettyä työkalua, jolla voidaan hallita ja määrittää useita pilvipalveluita komentorivikäyttöliittymän kautta ja automatisoida hallintatehtäviä komentosarjoilla? |
19. | HALLINTA – MOBIILIKÄYTTÖ: Tarjoaako pilvipalveluntarjoaja älypuhelinsovellusta, jolla käyttäjät voivat muodostaa yhteyden pilvipalveluun ja hallita resurssejaan? • Jos tarjoaa, voidaanko kyseistä sovellusta käyttää sekä iOS- että Android-käyttöjärjestelmissä? |
20. | HALLINTA – PARHAAT KÄYTÄNNÖT: Onko pilvipalveluntarjoajalla palvelua, joka auttaa käyttäjiä vertaamaan omaa pilvipalvelun käyttöään parhaisiin käytäntöihin? |
21. | HALLINTA – PALVELUN RAJOITUKSET: Onko pilvipalveluntarjoajalla edellä olevaan hallintaosioon liittyviä rajoituksia (eli palvelun rajoituksia)? Esimerkiksi: Tilikohtaisten määrityssääntöjen enimmäismäärä Luotavien hälytysten enimmäismäärä Tallennettavien lokien enimmäismäärä. |
Vaatimus | |
1. | TUKI – PALVELU: Tarjoaako pilvipalveluntarjoaja tukipalveluita milloin tahansa kaikkina vuorokaudenaikoina ja vuoden jokaisena päivänä puhelimitse, chat-toiminnolla ja sähköpostilla? |
2. | TUKI – TUKITASOT: Tarjoaako pilvipalveluntarjoaja erilaisia tukitasoja? |
3. | TUKI – TASOJEN KOHDISTUS: Antaako pilvipalveluntarjoaja käyttäjien määrittää kulutetuille resursseille tai palveluille itse eri tukitasoja tarkkuusluokan perusteella, jolloin käyttäjien ei ole pakko ylläpitää erillisiä pilvipalvelutilejä eritasoisten tukipalveluiden saamiseksi? |
4. | TUKI – FOORUMIT: Tarjoaako pilvipalveluntarjoaja julkisia tukipalveluihin liittyviä keskustelupalstoja, joilla asiakkaat voivat keskustella ongelmista? |
5. | TUKI – SERVICE HEALTH DASHBOARD: Tarjoaako pilvipalveluinfrastruktuurin tarjoaja palvelun saatavuuspaneelia (Service Health Dashboard), jossa esitetään ajantasaisia tietoja palvelun käytettävyydestä useilla regioonilla? |
6. | TUKI – RÄÄTÄLÖITY RAPORTTINÄKYMÄ: Tarjoaako pilvipalveluntarjoaja raporttinäkymää, jonka räätälöidyssä näkymässä esitetään käyttäjäkohtaisten resurssien palveluiden käytettävyys ja suorituskyky? |
7. | TUKI – RAPORTTINÄKYMÄN HISTORIATIEDOT: Tarjoaako pilvipalveluntarjoaja palvelun saatavuuspaneeliin liittyviä historiatietoja koko vuoden ajalta? |
8. | TUKI – PILVIPALVELUNEUVOJA: Tarjoaako pilvipalveluntarjoaja palvelua, joka toimii kuten mukautettu pilvipalvelujen asiantuntija ja auttaa vertaamaan resurssien käyttöä parhaisiin käytäntöihin? |
9. | TUKI – TEKNINEN ASIAKASPÄÄLLIKKÖ: Kuuluuko pilvipalveluntarjoajan palveluun teknistä asiakaspäällikköä, joka tarjoaa pilvipalveluiden koko valikoimaa koskevaa teknistä asiantuntemusta? |
10. | TUKI – KOLMANNEN OSAPUOLEN SOVELLUSTUKI: Tarjoaako pilvipalveluntarjoaja yleisimpiin käyttöjärjestelmiin ja sovelluspinon osiin liittyvää tukea? |
11. | TUKI – JULKINEN API: Tarjoaako pilvipalveluntarjoaja julkista API-liittymää, joka on ohjelmallisesti vuorovaikutuksessa tukipyyntöjen kanssa niiden luontia, muokkausta ja sulkemista varten? |
12. | TUKI – PALVELUN DOKUMENTOINTI: Tarjoaako pilvipalveluntarjoaja palveluitaan koskevaa laadukasta, julkisesti saatavilla olevaa teknistä dokumentaatiota, kuten käyttöoppaita, opetusohjelmia, usein kysyttyjä kysymyksiä ja julkaisutietoja? |
13. | TUKI – KOMENTORIVIKÄYTTÖLIITTYMÄN DOKUMENTOINTI: Tarjoaako pilvipalveluntarjoaja komentorivikäyttöliittymäänsä koskevaa laadukasta, julkisesti saatavilla olevaa teknistä dokumentaatiota? |
14. | TUKI – REFERENSSIARKKITEHTUURIT: Tarjoaako pilvipalveluntarjoaja verkossa maksutonta arkkitehtuurin referenssikokoelmaa, jonka avulla asiakkaat voivat rakentaa erityisiä ratkaisuja yhdistämällä useita pilvipalveluntarjoajan pilvipalveluita? |
15. | TUKI – KÄYTTÖÖNOTON OHJEET: Tarjoaako pilvipalveluntarjoaja verkossa maksutonta asiakirjakokoelmaa, joka sisältää suositeltavia käytäntöjä ja muita yksityiskohtaisia, testattuja ja validoituja toimintaohjeita pilvipalveluidensa yleisten ratkaisujen (esimerkiksi DevOps, big data, tietovarasto, Microsoft-työt ja SAP-työt) käyttöönottoa varten? |
Liite B – Tekninen live-arviointi
Kun pilvipalveluinfrastruktuurin tarjoajaa valitaan, on tärkeää arvioida pilvipalvelualustan kyvykkyyksiä aidossa ympäristössä hyödyntäen palveluntarjoajan julkisesti saatavilla olevia palveluita ja infrastruktuuria. Suosittelemme varaamaan vähintään yhden kokonaisen päivän kunkin loppusuoralle edenneen pilvipalveluinfrastruktuurin tarjoajan tekniseen arviointiin. Arvioinnin aikana voit: 1) arvioida perinpohjaisesti, ovatko esitellyt kyvykkyydet linjassa hankintapyynnön vaatimusten ja pilvipalveluinfrastruktuurin tarjoajan kirjallisten vastausten kanssa, 2) tarjota asiantuntijoillesi alustan pilvipalveluinfrastruktuurin tarjoajan arviointiin sen varmistamiseksi, että se soveltuu organisaatiosi teknisiin ja organisatorisiin tarpeisiin ja 3) saada varmuuden pilvipalveluinfrastruktuurin tarjoajan palveluista sekä kyvystä skaalautua ja toimia turvallisesti ja resilientisti sekä jatkaa innovointia tulevien tarpeiden täyttämiseksi.
Kun pilvipalveluinfrastruktuurin tarjoajat vastaavat pilvipalvelun hankintapyynnön vaatimuksiin, ne saattavat ilmoittaa vaatimustenmukaisuudesta perustuen vaatimusten ylätason tulkintaan. Tästä puuttuu kuitenkin organisaation käyttöympäristön/sovellustarpeiden koko konteksti. Suosittelemme kokoamaan tekniseen live-arviointiin paneelin, joka koostuu johtavista teknisistä, operatiivisista, tietoturva- ja sovellusasiantuntijoista. Arvioijien tulee haastaa pilvipalveluinfrastruktuurin tarjoajia arvioinnin aikana. Paras käytäntö on, että he pisteyttävät pilvipalveluinfrastruktuurin tarjoajat itsenäisesti ja antavat skenaarioille arvosanat tietyllä asteikolla, esimerkiksi 0–4 (0 = ei hyväksyttävä, 1 = välttävä, 2 = hyväksyttävä, 3 = hyvä, 4 = erinomainen). Demoarvosanat voidaan jälkeenpäin yhdistää, ja kunkin arviointiskenaarion keskimääräistä arvosanaa voidaan käyttää pilvipalveluinfrastruktuurin tarjoajien kokonaisarvioinnissa. Jos jollakin skenaariolla on suuri keskihajonta, siitä tulee keskustella arviointitiimissä ennen viimeistelyä. Kun arvosanat on yhdistetty, skenaarioiden kriittisyyteen perustuvaa painotusta voidaan käyttää.
Mitä tulee demonstraation laajuuteen, suosittelemme ottamaan kokonaisvaltaisen näkökulman pilvipalveluinfrastruktuurin tarjoajan alustaan ja sitten paneutumaan tarkemmin määrättyjen työkuormien suorittamiseen alustalla. Jäljempänä on esimerkki siitä, miten alustan ja työkuorman arviointi suoritetaan. Organisaatiot voivat käyttää näitä lähtökohtia pohjana tai mukauttaa niitä sen varmistamiseksi, että valittu pilvipalveluinfrastruktuurin tarjoaja täyttää tarkat funktionaaliset ja ei- funktionaaliset vaatimukset. Paras käytäntö on, että toimittajat, joille on esitetty listat skenaarioista ja vaatimuksista, voivat ehdottaa live-arvioinnille esityslistaa, joka maksimoi kattavuuden ja sisältää 20 prosenttia aikaa kysymyksille ja vastauksille.
Alustan arviointi: Monet pilvipalveluinfrastruktuurin tarjoajat käyttävät ilmaisua "Hyvin suunniteltu" viittaamaan pilvipalvelulähestymistapaan, joka tuottaa optimaalista arvoa ja minimoi riskin. Hyvin suunniteltuja skenaarioita teknisessä live-esittelyssä voivat olla:
1. Suojaus: tunnistetiedot, keskitetty hallinnointi, automatisoitu uhkien tunnistus, tietosuoja, tapahtumavalmius
2. Suorituskyvyn taloudellisuus: oikea mitoitus, skaalautuvuus/elastisiteetti, palveliton
3. Luotettavuus: korkea saatavuus (vikasietoisuus), muutosriskin vähentäminen, järjestelmäpalautus, varmuuskopiointi
4. Kustannusten hallinta: taloudelliset toiminnot, kaupallinen optimointi, budjetit ja kustannusten allokaatio
5. Toiminnallinen erinomaisuus: automaatio, valvonta, tuki, hallinnointi ja kyvykkyydet, joita vaaditaan pilvipalveluun migraatioon ja sen käyttämiseen
Työkuorman arviointi: esiteltäviin sovellustyyppeihin sisältyvät monesti seuraavat:
• Verkkosovellus: dynaamisen verkkosivuston julkinen isännöinti, mukaan lukien taustatietokanta ja staattinen objektitallennus.
• Data-analytiikka: datajärvi tai lake house -arkkitehtuuri, joka mahdollistaa datan konsolidoinnin erilaisilta datan tarjoajilta ja suurten volyymien käsittelyn (teratavuja/petatavuja dataa), monipuolisuuden (strukturoitu, strukturoimaton, eri muodot jne.) sekä nopeuden (datan luonnin nopeus, muutos ja kyselymallit).
• Datatiedealusta: alusta, joka mahdollistaa tekoälyyn/koneoppimiseen perustuvien kyvykkyyksien kehittämisen, käyttöönoton ja käytön koko organisaatiossa.
• IoT-sovellus: IoT-alusta/-kyvykkyys, joka kattaa pilvipalvelun, verkkokyvykkyydet ja laitteet.
Voit määrittää skenaariot, jotka pilvipalvelunpalveluntarjoajan tulee esitellä, kunkin organisaatiollesi tärkeän työkuorman osalta. Skenaarioiden tulee esitellä yleisiä kyvykkyyksiä, jotka mahdollistavat työkuorman käyttöönoton hyvin suunnitellulla tavalla. Seuraavilla sivuilla on teknisen live-arvioinnin mallikriteerit 1) pilvipalveluinfrastruktuurin tarjoajan alustalle ja 2) verkkosovelluksen esimerkkityökuormalle.
Alusta – teknisen live-arvioinnin malli
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Alustan tietoturva 1 | Federoitu identiteetinhallinta | 4 | Osoittaa mahdollisuutta nykyisestä tunnistetietokannasta pilvipalveluun tehtävään liitokseen. | • Tuki vakioprotokollille, kuten SAML. • Tuki SCIM-pohjaiselle identiteetin replikoinnille. • Mahdollisuus määritellä eri käyttöoikeustasoja yrityksen tunnistetietokantaan ja käyttää niitä pilvipalveluntarjoajan yhteydessä. • Mahdollisuus rajata tietyt tilit/hankkeet/työkuormat tietyille tiimeille/henkilöille. • Mahdollisuus tukea ABAC-valvontaa (Attribute- Based Access Control) ja käyttää kyseisiä attribuutteja pilvipalveluntarjoajan Identity and Access Management (IAM) -järjestelmässä pilvipalveluresurssien käytön valvomiseen. |
Alustan tietoturva 2 | Keskitetty hallinnointi | 4 | Osoittaa mahdollisuutta määrittää käytännöt ja vaatimukset keskitetysti, organisaatiotasolla (yleiset käytännöt) sekä myös liiketoimintayksikön ja hankkeen tasolla. | • Käytännön tulisi sisältää: palveluiden käyttöönotto / käytöstä poisto, maantieteellisten rajoitusten käyttö (regioonien rajoittaminen). • Käytäntöjen pitäisi myös rajoittaa käyttäjiä, mukaan lukien järjestelmänvalvojia, poistamasta käytöstä auditoinnin/hallinnoinnin valvontakeinoja. |
Alustan tietoturva 3 | Käyttöoikeuksien rajoitus | 3 | Osoittaa automaattisia suosituksia käyttöoikeuksien kiristämiselle. | • Mahdollisuus verrata nykyisiä käyttöoikeuksia vaadittuihin oikeuksiin. • Automaattinen käytäntöjen luominen pienimpien valtuuksien edistämiseksi. |
Alustan tietoturva 4 | Auditointien lokiinkirjaus | 4 | Osoittaa pilvipalvelutoimintojen auditointien lokiinkirjausta, mukaan lukien sallitut ja kielletyt toiminnot. | • Keskitetyt lokit koko organisaatiolle. • Tili-/hankekohtaiset lokit matalan tason seurannan ja vastuiden tueksi. • Työkalut, jotka mahdollistavat lokikyselyt. • Työkalut, jotka mahdollistavat toimintojen aktivoinnin tiettyjen tapahtumien/lokimerkintöjen perusteella. • Mahdollisuus tarkastella toimittajan tukiaktiviteetteja. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
• Mahdollisuus estää lokien poistaminen, jopa järjestelmänvalvojien toimesta. | ||||
Alustan tietoturva 5 | Verkon eristys | 4 | Osoittaa eri vuokraajien eristyksestä pilvipalvelussa ja anna mahdollisuuksien mukaan näyttöä siitä. Osoittaa eristettyjen (yhteys puuttuu), yksityisten (ei internetyhteyttä) ja julkisten (internetyhteys) aliverkkojen konfigurointia. | • Vuokraajien erottelu, mukaan lukien VPN:ssä ja ristikkäisyhteyspalveluissa. • Mahdollisuus hallita liikennettä pilvi-infrastruktuurin ulkopuolelta (oma konesaliympäristö) ja sisäpuolelta sekä internetiin päin. • Miten erottelu toimii käytettäessä jaettuja palveluita, kuten säilöjen isännöintiä tai toimintopalveluja. |
Alustan tietoturva 6 | Tietojen salaus säilytyksen aikana | 4 | Osoittaa mahdollisuutta salata lepotilassa oleva data, mukaan lukien vaihtoehdot BYOK-salaukselle ja asiakaspuolen salaukselle. | • Mahdollisuus edellyttää arkaluonteisten tietojen salausta. • Mahdollisuus käyttää joko toimittajan tai asiakkaan hallinnoimia avaimia. • FIPS 140-2:n noudattaminen. • Mahdollisuus varoittaa ja kirjata lokiin tieto salauksen vaatimustenvastaisuudesta. • Ylimääräiset kustannusvaikutukset. • Suorituskykyvaikutukset. • Tuki kvanttilaskennalla murtumattomille algoritmeille ja avainkoolle. |
Alustan tietoturva 7 | Tietojen salaus siirrettäessä | 4 | Osoittaa mahdollisuutta salata siirtyviä tietoja. | • Palvelun ohjelmointirajapinnat salattu oletusarvoisesti. • Mahdollisuus ottaa salaus käyttöön siirtymisen aikana (TLS) kuorman tasapainottimissa ja hallinnoiduissa ohjelmointirajapinnoissa. • Tuki molemminpuoliselle (asiakas ja palvelin) todennukselle. |
Alustan tietoturva 8 | Avainten hallinta | 4 | Osoittaa avainten hallintakyvykkyyttä. Sisältää avaimen koko elinkaaren. Sisältää integroinnin pilvipalveluihin. | • Avainten luomisen, käytön, kierron ja tuhoamisen kirjaaminen lokiin. |
Alustan tietoturva 9 | Konfiguraationhalli nta | 3 | Osoittaa pilvipalvelualustan konfiguraationhallintakyvykkyyksiä. | • Paikkansapitävän CMDB-tietokannan ylläpitäminen. • Vaatimustenmukaisuuden tarkistaminen. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
• Toimintojen aktivointi automaattisesti vaatimustenvastaisuuden perusteella. • Mahdollisuus arvioida konfiguraatiomuutoksia parhaisiin käytäntöihin tai mukautettuihin sääntöihin nähden. | ||||
Alustan tietoturva 10 | Verkon tietoturva | 3 | Osoittaa verkkosovellusten palomuuri- ja palomuurikyvykkyyksiä, mukaan lukien integrointi kolmannen osapuolen sääntöjoukkojen / palomuurien kanssa ja suojaus volumetrisiltä hyökkäyksiltä. | • Verkkosovellusten palomuurin (WAF) kyvykkyydet: skaalautuvuus. • Yksityisten ja julkisten verkkojen tuki. • Mahdollisuus tilata sääntöjoukkoja alan/toimittajien syötteistä. • Aktivoi automaattisesti infrastruktuurin toimintoja WAF-palomuurin tapahtumien perusteella. • Palomuurikyvykkyydet, skaalautuvuus. • Isäntä- ja verkkopohjaiset palomuurit. • Mahdollisuus viitata loogisiin ryhmiin tai objekteihin CIDR IP -lohkojen määrittämismahdollisuuden lisäksi. • Kunkin tason/komponentin yhteydessä tuettujen sääntöjen määrä. • Mahdollisuus tukea hajautettua toimintamallia (verkkotiimi ja kehitystiimi) käytäntö- ja verkkokonfiguraation kautta. |
Alustan tietoturva 11 | Verkkoyhteydet | 3 | Osoittaa mahdollisuutta muodostaa yhteys oman konesaliympäristön verkkoihin sekä päätepisteistä/asiakkaista yksityisiin verkkoihin pilvipalvelussa. | • Yksityinen yhteys (suuri kaistanleveys > 10 Gb/s). • Mahdollisuus hallita reititys- ja palomuurikäytäntöjä koko organisaatiossa. • VPN-yhteydet (paikasta toiseen ja asiakaspohjaiset). • IPv6-tuki. |
Alustan tietoturva 12 | Instanssien hallinnointi | 3 | Osoittaa instanssien hallinnointikyvykkyyksiä. | • Mahdollisuus tarkkailla ja hallinnoida ohjelmakorjausten tilaa suuressa instanssimäärässä. • Tuki Linux- ja Windows-käyttöjärjestelmien ohjelmakorjausten hallinnalle. • Mahdollisuus suorittaa komentoja monessa eri palvelimessa ilman SSH-protokollaa. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
• Mahdollisuus hallita ja auditoida virtuaalikoneiden etäkäyttöä keskitetysti. • Mahdollisuus muuttaa instanssin kokoa, liittää uusia volyymeja, muuttaa verkon määrityksiä jne. konsolin, komentorivin ja ohjelmointirajapinnan kautta. | ||||
Alustan tietoturva 13 | Käytäntöjen soveltaminen | 3 | Osoittaa mahdollisuutta konfiguroida palvelut siten, että pääsy julkisesta internetistä on estetty. | • Mahdollisuus eristää liikenne yksityisiin verkkoihin sellaisten palveluiden osalta, jotka todennäköisesti sisältävät kriittistä/luottamuksellista tietoa. • Mahdollisuus määrittää käytäntöjä, joiden avulla valvotaan datan käyttöä lähdeverkon perusteella. • Näiden käyttörajoitusten soveltaminen kaikkiin käyttäjiin, mukaan lukien niihin, joilla on korkean tason oikeudet. |
Alustan tietoturva 14 | Haavoittuvuuksien etsiminen | 2 | Osoittaa mahdollisuutta tarkistaa näköistiedostot (kontit ja virtuaalikoneet) haavoittuvuuksien varalta. | • Mahdollisuus tarkistaa rekisterissä olevat kontit automaattisesti. • Mahdollisuus tarkistaa virtuaalikoneet tunnettujen haavoittuvuuksien varalta. • Mahdollisuus suorittaa verkon tarkistus. |
Alustan tietoturva 15 | Verkon tutkiminen | 2 | Osoittaa mahdollisuutta siepata/peilata verkkoliikennettä (NetFlow ja koko paketti) asiakasympäristöstä käsin. | • Mahdollisuus peilata osaa/kaikkea liikenteestä pilvipalveluntarjoajan infrastruktuurissa (asiakaskäyttäjän näkökulmasta), mukaan lukien koko paketin sieppaus. • Mahdollisuus yksinkertaisesti valita, mitä liikennettä halutaan siepata. • Mahdollisuus skaalautua todella suuriin liikennevolyymeihin (> 50 Gb/s). |
Alustan tietoturva 16 | Uhkien tunnistus | 3 | Osoittaa alustan tunkeutumisen tunnistuksen kyvykkyyksiä, mukaan lukien verkkouhat, tunnistetietojen käyttö ja käyttötapojen analyysi. | • Mahdollisuus havaita epäilyttäviä toimenpiteitä, kuten louhinta. • Mahdollisuus havaita väsytystyhyökkäykset, kuten SSH-kirjautumiset. • Mahdollisuus havaita tunnistetietojen vuoto tai väärinkäyttö. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
• Koneoppimisen hyödyntäminen, suurten tapahtumamäärien analysointi ja priorisoitujen tapahtumien nostaminen esille. • Halu mahdollistaa/konfiguroida (yksinkertainen on parempi). • Mahdollisuus ulkoisten palveluiden integrointiin ja ilmoituksiin. • Mahdollisuus konfiguroida IDS-järjestelmä yleisellä tasolla kaikkien hankkeiden/tilien osalta. | ||||
Alustan suorituskyky 1 | Laskennan optimointi | 2 | Osoittaa automaattisia suosituksia virtuaalikoneen ja toiminnon optimointiin palvelukustannuksina. | • Suosituksia perustuen todelliseen käyttöön ja työkuormamalleihin. • Suositukset sisältävät arvioidut säästöt sekä näkemyksiä odotetusta kuormitustasosta / huomioitavista teknisistä seikoista. • Optimointien tulisi sisältää sekä säästöt että "suorituskykyriski", kun virtuaalikoneet saattavat esimerkiksi olla alimitoitettuja. |
Alustan suorituskyky 2 | Ympäristön optimointi | 2 | Osoittaa automaattisia suosituksia muille pilvipalvelukomponenteille, kuten kuorman tasapainottimille, verkkopalveluille, tietokannoille, tallennustilalle jne. | • Suosituksissa määritetään säästöt ja mahdollisuudet tehostaa suorituskykyä muissa komponenteissa kuin ydinlaskennassa. |
Alustan suorituskyky 3 | Laskennan automaattinen skaalaus | 4 | Osoittaa sellaisen sovelluksen automaattisia skaalauskyvykkyyksiä, joka on otettu käyttöön kuorman tasapainottimen takana virtuaalilaskentaympäristössä. Osoittaa käytettävissä olevia eri vaihtoehtoja/lähestymistapoja ja mahdollisuutta aktivoida muita (valinnaisia) toimenpiteitä skaalaustapahtumia ennen tai niiden jälkeen, kuten ilmoitus. | • Eri vaihtoehdot skaalaukseen, käynnistinperusteiset, aikaperusteiset, manuaalisesti tai älykkäämmät lähestymistavat, jotka käyttävät koneoppimista tarvittavan kapasiteetin ennakointiin. • Täysin automaattinen skaalaus, mukaan lukien rekisteröinti kuorman tasapainottimeen ja kuntotarkistukset. • Mahdollisuus suorittaa mikä tahansa koodinpätkä tietyissä skaalauksen elinkaaren vaiheissa. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Alustan suorituskyky 4 | Tallennustilan käytönaikainen skaalaus | 3 | Osoittaa mahdollisuutta skaalata lohkotallennustilan kapasiteettia ja siirtonopeutta keskeyttämättä työkuormaa. | • Mahdollisuus siirtää lohkotallennustila eri tallennustilatyyppien välillä ilman että palvelut joudutaan muodostamaan kokonaan uudelleen. • Mahdollisuus kasvattaa virtuaalikoneille tarjottujen asemien kokoa. |
Alustan suorituskyky 5 | Automaattinen skaalaus hallinnoitujen palveluiden osalta | 3 | Osoittaa objektivaraston, API- yhdyskäytävän, FaaS-alustan ja NoSQL- tietokannan mahdollisuutta skaalautua muutamista (kymmenistä) moniin (tuhansiin) samanaikaisiin käyttäjiin. | • Saumaton automaattinen skaalaus, ihannetilanteessa ilman järjestelmänvalvojan toimenpiteitä. • Säännönmukainen ja tuotannon skaalausvaatimuksia vastaava suorituskyky kiihdytetyn skaalausjakson aikana. • Joidenkin komponenttien (kuten FaaS) osalta on tarvittaessa tarkasteltava myös vaihtoehtoja esivalmisteluun sekä samanaikaisten suoritusten rajojen hallintaan. |
Alustan suorituskyky 6 | Konttipohjaiset työkuormat | 3 | Osoittaa mahdollisuutta isännöidä konttipohjaisia työkuormia. | • Xxxxxxxxxxx konttien isännöintialustoiksi. • Integrointi muihin IaaS-komponentteihin, kuten kuorman tasapainottimiin. • Service mesh -ratkaisun saatavuus. • Yleisesti saatavilla olevat vaihtoehdot konttien isännöintiin, kuten Kubernetes. • Natiivi tuki korkeaan saatavuuteen kontin hallinnointitasolla. • Mahdollisuus hallinnoida omassa konesaliympäristössä olevia kontti-isäntiä. |
Alustan luotettavuus 1 | Alueellinen resilienssi | 4 | Osoittaa relaatiotietokantainstanssin automaattista vikasietoa regioonalla, kun maantieteellisesti rajoitettu vika (esimerkiksi sähkökatko) simuloidaan. | • Automaattinen vikasieto. • Eristetyt vika-alueet pilvipalvelun regioonalla. • Selkeästi rajattu ja helppo suunnitella korkeaa saatavuutta ajatellen. |
Alustan luotettavuus 2 | Instanssin automaattinen palautus | 2 | Osoittaa instanssin/instanssien automaattista palautusta, kun kuntotarkistusta ei läpäisty. | • Määritettävissä olevat kuntotarkistukset. • Täysin automaattinen instanssien palautus/uudelleenvalmistelu. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Alustan luotettavuus 3 | Kuorman tasapainottimen tilatietoisuus | 3 | Osoittaa, miten kuorman tasapainotin havaitsee viallisen instanssin automaattisesti ja reitittää liikenteen uudelleen muihin toimiviin isäntiin. | • Määritettävissä olevat kuntotarkistukset. • Automaattinen liikenteen reititys toimiviin isäntiin. |
Alustan luotettavuus 4 | Regioonan vikasieto | 3 | Osoittaa monen regioonan arkkitehtuuria, mukaan lukien automaattista liikenteen siirtoa toissijaiselle alueelle. | • Yleisen tilan huomioivat kuntotarkistukset. • Automaattiset reititysvaihtoehdot: latenssi, painotettu ja vikasieto. • Tuki virtuaalikoneiden työkuormille sekä hallinnoiduille palveluille, kuten objektivarastolle / NoSQL-tietokantapalvelulle. |
Alustan luotettavuus 5 | Varmuuskopiointi ja palautus | 4 | Osoittaa virtuaalikoneiden, tietokantojen ja hallinnoitujen palveluiden varmuuskopio- ja palautusvaihtoehtoja. | • Automaation määrä. • Mahdollisuus palauttaa samalle/toiselle pilvipalvelun regioonalle. • Mahdollisuus kopioida varmuuskopioita toiselle pilvipalvelun regioonalle. |
Alustan kustannukset 1 | Budjetit | 3 | Osoittaa budjetin hallintakyvykkyyksiä, mukaan lukien budjetin jäsentämistä alitilejä ja hankkeita varten. | • Mahdollisuus käyttää budjetin valvontaa ja seurantaa organisaation eri tasoilla. • Joustavuuden varmistaminen, esimerkiksi mahdollisuus ryhmitellä komponentteja (käyttämällä merkintöjä), määritellä budjetteja tietyille pilvipalveluille sekä määrittää ilmoitusten/valvonnan rajat. |
Alustan kustannukset 2 | Budjettivaraukset | 1 | Osoittaa uuden hankeympäristön (tili) käyttöönottoa, mukaan lukien hankkeen budjetin laadintamenettely. Käyttöönoton tulee sisältää manuaaliset hyväksymistoimenpiteet 1) teknisen arvioinnin / IT:n ja 2) kaupallisen arvioinnin / rahoituksen osalta. | • Mahdollisuus omatoimiseen käyttöön asianmukaisilla luvilla. • Organisaatiolle soveltuvan budjettiasetuksen, ilmoitusten tai budjettikäytäntöjen konfiguroinnin automaatio. |
Alustan kustannukset 3 | Budjettiraportointi | 2 | Osoittaa kyvykkyyttä raportoida budjeteista koko organisaatiossa. Raportointi tietyn osaston vs. koko organisaation osalta (tarve tietää). | • Mahdollisuus tarjota tarkastelunäkymä organisaation eri tasoille, luoden tietoisuutta ja läpinäkyvyyttä, mutta tarve tietää -pohjaisesti. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Raportoinnin tulee sisältää "todelliset" sekä ennustetut/arvioidut menoarvot. | • Ennusteiden tulee perustua nykyisiin ja aiempiin kulutustrendeihin ja tarjota varhaisessa vaiheessa tieto mahdollisista budjetin ylityksistä. | |||
Alustan kustannukset 4 | Budjetin valvontakeinot | 1 | Osoittaa mahdollisuutta ryhtyä toimenpiteisiin, kun budjettiraja saavutetaan. Toimenpiteet voivat olla ilmoituksia, rajoitusten käyttöönotto tai aktiivinen väliintulo budjetin ylittymisen estämiseksi. | • Mahdollisuus määrittää toimenpiteitä yksinkertaisesti eri hankkeille. • Mahdollisuus eri toimenpiteille hankekohtaisesti, esimerkiksi kehitykseen vs. tuotantoon liittyvien seikkojen huomioiminen. • Mahdollisuus määrittää useita toimenpiteitä ja rajoja samalle budjetille/hankkeelle. • Kyvykkyys määrittää mukautettuja toimenpiteitä vakiokyvykkyyksien lisäksi. |
Alustan kustannukset 5 | Budjetin jaksottaminen | 1 | Osoittaa mahdollisuutta eri ajanjaksojen budjetteihin; päivittäinen/ kuukausittainen/vuosittainen jne. Osoittaa vuosibudjettien osalta mahdollisuutta käyttää vaihtelevaa jakaumaa odotetusta kulutuksesta vuoden mittaan. | • Mahdollisuus määrittää budjetteja eri ajanjaksoille. • Mahdollisuus määrittää vuosittainen kulutusjakauma vuosibudjettien osalta, mikä on erityisen tärkeää kausittaisten / erittäin joustavien työkuormien osalta, esimerkkinä vuotuinen veroilmoitus. |
Alustan kustannukset 6 | Kolmannen osapuolen markkinapaikka | 3 | Osoittaa mahdollisuutta ostaa ja ottaa käyttöön kolmannen osapuolen tuotteita. Osoittaa miten budjetti määritetään markkinapaikalta saataville kolmannen osapuolen tuotteille, sekä mahdollisuutta rajoittaa tuotteiden saatavuutta. | • Mahdollisuus asettaa budjetti tietylle tuotteelle, yleinen budjetti tai budjetti tietyille hankkeille/tileille. • Mahdollisuus näyttää tietty markkinapaikka vain osittain pilvipalvelun käyttäjille. |
Alustan kustannukset 7 | Laskennan hinnoittelumallit | 3 | Osoittaa eri hinnoittelu-/kaupallisia malleja, joita voidaan soveltaa virtuaalikoneisiin. | • Kyvykkyyksiin tulee sisältyä mahdollisuus käyttöön tarvittaessa ilman vaatimusta pitkän aikavälin sitoumukseen ja yksityiskohtainen (minuutti- /tuntikohtainen) hinnoittelu. • Valinnaiset pitkäaikaiset sitoumukset alennusta vastaan. • Mahdollisuus ostaa instansseja suostuen keskeytyksiin alennusta vastaan. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
• On tärkeää, että näitä malleja voidaan yhdistellä saman hankkeen/tilien kesken sekä jakaa etuja eri tilien kesken. | ||||
Alustan kustannukset 8 | Kaupallista optimointia koskevat suositukset | 3 | Osoittaa mahdollisuutta saada kaupallisia optimointisuosituksia kulutuksen optimoimiseksi (ilman että teknisiä muutoksia tarvitsee tehdä). | • Kokonaisvaltaiset suositukset useiden palveluiden osalta, mukaan lukien esimerkiksi virtuaalikoneet ja hallinnoidut tietokannat. • Mahdollisuus ryhtyä helppoihin toimenpiteisiin suositusten perusteella ja ymmärtää odotetut säästöt/hyödyt. |
Alustan kustannukset 9 | Dedikoidut palvelimet | 4 | Osoittaa mahdollisuutta ottaa käyttöön dedikoitu palvelin, jotta tiettyyn palvelimeen sidottu oman konesaliympäristön lisensointi on mahdollista. | • Käyttöönoton helppous. • Mahdollisuus hallinnoida palvelimen käyttöastetta. • Mahdollisuus jakaa palvelin eri hankkeiden/käyttäjien kesken. |
Alustan toiminnot 1 | Virtuaalikoneen migraatio | 3 | Osoittaa virtuaalikoneen tuontia omasta konesaliympäristöstä pilvipalvelupohjaiseen virtuaalikonepalveluun. | • Mahdollisuus tuoda sekä Windows- käyttöjärjestelmiä että Linux-pohjaisia käyttöjärjestelmiä. • Mahdollisuus tuoda useita koneita kerralla. • Mahdollisuus ylläpitää kopioistuntoa, joka mahdollistaa nopean siirtymisen pilvipalveluun vikaantumisen tapauksessa. |
Alustan toiminnot 2 | DevOps- ja automaatiokyvykky ydet | 4 | Osoittaa DevOps- /automaatiokyvykkyyksiä, mukaan lukien miten ympäristöt määritellään koodia käyttämällä, täysin automaattisten käyttöönottojen jälkeinen tuki, automatisoitu testaus ja palautukset. | • Mahdollisuus määritellä kaikki järjestelmäkomponentit koodia käyttämällä, mukaan lukien verkko, virtuaalikoneet, tallennustila ja tietokannat. • Mahdollisuus luoda pipeline. • Mahdollisuus luoda koodisäilö. • Mahdollisuus automatisoida buildeja. • Mahdollisuus suorittaa sinisiä/vihreitä käyttöönottoja. • Mahdollisuus luoda useita ympäristöjä ja useita käyttöönottovaiheita. • Automaattinen palautus, jos käyttöönotto epäonnistuu. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Alustan toiminnot 3 | Sovellusisännöinti | 2 | Osoittaa yksinkertaisen kaksikerroksisen sovelluksen isännöintiä low-code- /alustapalveluna. Mukaan lukien relaatiotietokanta ja automaattinen skaalaus sovellus-/verkkotason osalta. | • Yksinkertainen konfigurointi käyttöliittymän kautta. • Kuntotarkistusten, skaalauksen ja korkean saatavuuden sisällyttäminen. Alustatuki, Windows ja Linux. |
Alustan toiminnot 4 | Tietoturvan integraatio | 2 | Osoittaa alustan integraatiokyvykkyyksiä tietoturvapoikkeamien ja tapahtumien hallinnan näkökulmasta. | • Mahdollisuus helposti integroida ja hyödyntää tietoturvaan liittyviä pilvipalveluntarjoajan lokeja sekä hyödyntää ohjelmointirajapintoja integroinnissa. |
Alustan toiminnot 5 | ITSM-integraatio | 3 | Osoittaa alustan integraatiokyvykkyyksiä ITSM:n (IT Service Management) näkökulmasta. | • Mahdollisuus luoda tukitapaus ohjelmointirajapinnan kautta sekä tarkkailla ja päivittää sitä. • Mahdollisuus ottaa käyttöön palveluja tai palveluryhmiä "tuotteina" ohjelmointirajapinnan kautta. |
Alustan toiminnot 6 | Tuki | 4 | Osoittaa tukivalikoimaa. | • Eri tasoista tukea erityyppisille työkuormille. • Mahdollisuus tukea myös käyttöjärjestelmää/tietokantamoottoria jne. soveltuvin osin tietylle palvelulle. • Mahdollisuus tarjota erityisvalikoima ja nimetyt tukihenkilöt kriittisten työkuormien osalta. • Mahdollisuus tarjota strukturoitu prosessi tapahtumavalmiuteen ja arkkitehtuurin läpikäyntiin. • Näkemyksiä toimittajan tiekartasta. |
Alustan toiminnot 7 | Auditoitavuus | 4 | Osoittaa työkaluja, jotka ovat käytettävissä vaatimustenmukaisuusauditointien tueksi. | • Mahdollisuus saada vaatimustenmukaisuusauditoinnin tiedot konsolin kautta. • Mahdollisuus hallinnoida ja automatisoida ympäristöauditointeja. |
Alustan toiminnot 8 | Virtuaalikoneesta konttiin | 1 | Osoittaa virtuaalikoneella olevan sovelluksen konversiota kontiksi ja sen tuomista saataville käyttämällä pilvipalveluntarjoajan konttialustaa. | • Konversion helppokäyttöisyys. • Konvertointiaika. • Alustatuki, .Net ja Java. |
Työkuorma: verkkosovellus – teknisen live-arvioinnin malli
Seuraavassa osiossa on esimerkki työkuorman arviointilomakkeesta määrätylle Verkkosovellus-työkuormalle. Kun tietylle sovellukselle laaditaan arviointilomake, on erittäin suositeltavaa osallistaa sovelluksen käyttäjät, kehittäjät ja järjestelmänvalvojat. Heillä on todennäköisimmin paras ymmärrys vaatimuksista sekä nykyisistä haasteista ja rajoituksista.
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Verkkotietoturva 1 | Tietoturva – sovellussuojaus | 3 | Osoittaa mahdollisuutta estää haitalliset yritykset hyväksikäyttää sovellusta SQL-injektiolla, XSS- scripting-hyökkäyksellä ja muilla hyökkäyksillä. | • Kyvykkyys vakiosuojaukseen yleisiltä hyökkäyksiltä vakiosääntöjen/-kyvykkyyksien avulla. • Mahdollisuus luoda mukautettuja tarkistuksia/sääntöjä/toimintoja. |
Verkkotietoturva 2 | Tietoturva – määräperusteine n suojaus | 3 | Osoittaa mahdollisuutta estää/suojautua hyökkäyksiltä, joihin liittyy suuria sovellukseen kohdistuvia pyyntö- tai datamääriä. | • Mahdollisuus konfiguroida rajoja ja rajoittaa tietystä IP-osoitteesta tai -osoitteista tulevien pyyntöjen määriä. |
Verkkotietoturva 3 | Tietoturva – lähdeperusteine n suojaus | 3 | Osoittaa mahdollisuutta rajoittaa pääsyä verkon / maantieteellisen lähteen perusteella. | • Mahdollisuus rajoittaa verkkoeston tai verkkoestolistan perusteella. • Mahdollisuus rajoittaa alkuperämaan perustella (ilman tarvetta hallinnoida IP-luetteloita). |
Verkkotietoturva 4 | Tietoturva – verkkosegmento inti | 4 | Osoittaa mahdollisuutta eristää/suojata komponentteja (verkkopalvelin, sovelluspalvelin/tietokantapalvelin), jotta pohjois-etelä- ja itä-länsi- propagoinnilta infrastruktuurissa voidaan suojautua. | • Mahdollisuus sijoittaa komponentteja eri aliverkkoihin ja ohjata liikennevirtoja eri aliverkkojen välillä. • Mahdollisuus hallita liikenteen virtaa verkkoliittymätasolla. • Mahdollisuus viitata loogisiin ryhmiin sekä CIDR- blokkeihin. |
Verkkotietoturva 5 | Tietoturva – TLS- tuki ja varmenteiden hallinta | 4 | Osoittaa mahdollisuutta tarjota TLS- suojattu päätepiste ja automaattisesti hallita tukikomponentteja tämän mahdollistamiseksi, mukaan lukien varmenteiden automaattinen kierto. | • Tuki uusimmille TLS-protokollille ja mahdollisuus poistaa vanhat versiot käytöstä tarvittaessa. • Yksinkertainen varmenteen luonti, hallinta ja kierto (ihannetapauksessa täysin automatisoitu). |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Verkkosuorituskyky 1 | Suorituskyky – skaalautuvuus | 4 | Osoittaa mahdollisuutta skaalata kymmenestä 100 000 samanaikaiseen verkkosovelluksen käyttäjään dynaamisen automaattisen skaalauksen avulla. | • Mahdollisuus määrittää aikaperusteisia sekä käynnistinperusteisia skaalaussääntöjä. • Saumaton skaalaus loppukäyttäjän ja järjestelmänvalvojan näkökulmasta. Automaattinen laajennus kuorman kasvaessa ja supistus kuorman pienentyessä. • Varmistaminen, että verkkosovelluksen joka kerros skaalautuu (kuorman tasapainotin, verkkokerros, datakerros jne.). • Mahdollisuus palveluiden välimuistiin tallentamiseen sovellusten eri kerroksissa soveltuvin osin. |
Verkkosuorituskyky 2 | Suorituskyky – globaali jakelu | 3 | Osoittaa sisällönjakeluverkkokyvykkyyksiä, mukaan lukien latenssin osoitus eri puolilta maapalloa, mukaan lukien: Australia, Aasia, Afrikka, Lähi-itä, Pohjois-Amerikka, Etelä-Amerikka ja Eurooppa. | • Mahdollisuus luoda ja määrittää sisällönjakeluverkko pilvipalveluinfrastruktuurin tarjoajan konsolin/ohjelmointirajapintojen kautta. • Määritettävissä olevat jakelusäännöt eri maantieteellisille alueille. • Konfiguroitava välimuistiin tallentaminen eri käyttötapausten/sovellusten osalta. |
Verkkoluotettavuus 1 | Luotettavuus – yhden regioonan resilienssi | 4 | Osoittaa mahdollisuutta sietää paikallista tapahtumaa, kuten verkkoyhteyden katkeaminen pilvipalveluinfrastruktuurin tarjoajan datakeskukseen. | • Automatisoitu vikasieto ja korkea saatavuus pilvipalvelun regioonalla (kaupunki). |
Verkkoluotettavuus 2 | Luotettavuus – monen regioonan käyttöönotto | 3 | Osoittaa verkkosovelluksen monen regioonan käyttöönottoa, mukaan lukien globaalisti kopioitua tietokantaa. | • Mahdollisuus ottaa monen regioonan sovellus käyttöön ohjelmallisesti. • Kopiointi regioonien välillä datavaraston osalta. • Käyttäjien automaattinen reititys optimaaliselle regioonalle. |
Verkkoluotettavuus 3 | Luotettavuus – monen regioonan vikasieto | 3 | Osoittaa verkkosovelluksen automaattista vikasietoa alueellisesti vaikuttavan palveluongelman tapauksessa. | • Automaattinen vikasieto ja korkea saatavuus useilla pilvipalvelun regioonilla. |
Skenaarion tunnus | Skenaarion nimi | Kriittisyys (1 = matala, 4 = kriittinen) | Esittelyn vaatimukset | Arvostelussa huomioitavaa |
Verkkokustannukset 1 | Kustannukset – näkyvyys | 2 | Osoittaa mahdollisuutta sovelluskohtaiseen kustannusseurantaan. | • Mahdollisuus tarkastella historiallisia kustannuksia tietyn sovelluksen osalta, mukaan lukien kun sitä laajennetaan/supistetaan. |
Verkkokustannukset 2 | Kustannus – budjetit | 2 | Osoittaa mahdollisuutta määrittää budjetteja ja niihin liittyviä ilmoituksia sovelluskohtaisesti. | • Sovellusta kohden määritetyt budjetit ja mahdollisuus aktivoida toimintoja/ilmoituksia perustuen määritettyihin rajoihin. |
Verkkotoiminnot 1 | Toiminnot – huoltoikkunat | 3 | Osoittaa mahdollisuutta määrittää huoltoikkunat vastamaan liiketoiminnallisia vaatimuksia, varsinkin kun huolto saattaa vaikuttaa sovellusten saatavuuteen. | • Määritettävissä olevat huoltoikkunat komponenteille kuten relaatiotietokantapalvelulle. |
Verkkotoiminnot 2 | Toiminnot – lokiin kirjaaminen | 3 | Osoittaa mahdollisuutta keskittää lokiin kirjaaminen sovellukselle, jolla on useita komponentteja, mukaan lukien lokien säilyvyys virtuaalikoneiden lopettamisen/vikaantumisen yhteydessä. | • Mahdollisuus määrittää keskitetty lokiinkirjauspalvelu, joka voi skaalautua sovellusvaatimusten mukaan. • Mahdollisuus määrittää sääntöjä/suodattimia aktivoimaan ilmoituksia tai toimenpiteitä tiettyjen lokitapahtumien perusteella. |
Verkkotoiminnot 3 | Toiminnot – valvonta | 3 | Osoittaa sovelluksen valvontaa, mukaan lukien suorituskykyä, saatavuutta, vasteaikoja ja virheiden määriä, sekä toiminnallisuuksia, jotta metristen kynnysten perusteella voidaan ryhtyä toimenpiteisiin / aktivoida ilmoituksia. | • Saatavilla on erilaisia vakiomittareita, kuten levyn I/O, CPU, tietokantamittarit, verkko, kuorman tasapainotin jne. • Mahdollisuus määrittää mukautettuja mittareita ja kynnyksiä. • Mahdollisuus luoda mukautettu raporttinäkymä esittämään tärkeimmät mittarit ja jakaa kyseiset raporttinäkymät soveltuville käyttäjille. |