随着云支出的增长， 云合同谈判中不再是由服务供应商进行主导。本文将讨论如何针对你的企业，进行云合同的条款和条件的谈判。

CIO Cynthia Nustad回忔，在云早期，云合同谈判中，IT领导人并没有多少余地。

大约七年前，绝大多数的云服务供应商都向企业提供一个千篇一律的合同，Nustad说，她是医疗管理服务公司HMS的CIO。许多供应商都拒绝承担任何真正的责任，他们当然回避签署医疗行业的商业伙伴协议，这一协议要求供应商在数据泄露事件中共同承担责任。

这足以让许多CIO在签署云合同时，感到不安，Nustad当时是另一家医疗行业公司的IT领导人，最终决定放弃。

“供应商真的完全掌控了合同，”她说。“也许你可以在价格或附加条件上进行协商，但是核心服务都基本固定。你只能选择签名，这是你唯一的选择。那时，我们做不到。数据泄露的成本实在太高，我们不能冒风险。”

然而，如今，许多云供应商不再回避签署那些商业伙伴协议。 “事情已经发生重大变化，”Nustad说。

云计算正在迅速发展，在某些情况下，这种发展已经改变了云合同谈判的性质，使IT领导人拥有更多的优势。

根据IDG Enterprise的Computerworld Forecast Study 2015，预测42%的IT决策者正计划在2015年增加云计算的开支。去年年底IDC预测，到2016年，IT将会把预算中的11%从传统的内部IT交付，转移到各类型的云计算上，作为一种新的交付模型。IDC预测，公有云支出将在2018年达到1270亿美元。

共享技术是云服务的核心，允许供应商以非常难以抗拒的价格为CIO们提供他们的服务。但是，因为这样的低成本，云供应商通常期望公司签署千篇一律的合同，并且没有灵活性，Andy Sealock表示，他是Pace Harmon公司的总经理，帮助客户寻找合适的云服务供应商。

“我们发现，云服务供应商通常都是如此，并用低成本作为借口，而不提供我们客户想要的服务，”Sealock说。

但是，CIO和IT专家们都认为，随着市场的成熟，和云供应商数量的增加，这一市场变得更有竞争力， CIO们现在可以避开这种一刀切的合同，开始寻求和获得带有更多安全保障和自定义服务的合同，以满足他们的业务需求。

“如果你是很重要的客户，服务供应商肯定很愿意进行商谈，因为这是一个销售机遇，”Sealock说。 “很多大公司像亚马逊和微软都会愿意进行协商，但即使是一些规模较小的供应商，也愿意协商，因为有时他们期望获得你的业务，也愿意提供定制服务。”

Sealock表示，需要进行一定的施压，才能让供应商提供超越标准合同的服务。 “很多时候需要有竞争力的计划书，否则，他们不会重视，”他说。

如今的云合同谈判已经远远不再是价格和服务水平协议。 以下是IT领导人在下次商谈云合同时，需要考虑的一些条款和因素：

云合同谈判：条款和条件

许多云供应商会说，“我们的条款和条件都在我们的网站上。” 但供应商通常会在不另行通知的情况下，修改这些条款， Colin Whiteneck说，他是德勤咨询公司的高级经理，为CIO们提供云合同咨询。

“你需要和他们进行谈判，让他们提供具体的条款和条件，”Whiteneck说。“如果他们不愿意进行协商，你就告诉他们你不想看到他们的计划书。”

即使供应商坚持使用标准条款，也需要在合同中阐明这些条款在整个合同期内都应适用，以避免未来发生对于企业不利的情况。

数据存储

John p . Donohue是宾夕法尼亚大学医学院的技术和基础设施的副CIO，他认为对于医疗服务提供者而言，知道自己的云供应商在何处存储数据是非常重要的。

“我们必须非常清楚数据存储的地点，并且我们希望，当他们要改变存储地点时，可以通知我们，”他说。 “云供应商通常使用成本最低的地点进行存储，而且会转换地点。我们希望能够禁止这种行为。”

一些供应商会让企业支付数据中心转移的费用。此外，许多合同中对于数据保留，和供应商对于数据存储的方式和地点的责任定义都非常模糊， Whiteneck说。

随着云的发展， 许多国家正在制定新的数据隐私法律——在某些情况下，要求某些数据存储在国家内部。 “明确数据的存储地点，保护的方式是很重要的，这样就可以遵从不同国家的法规，而这些法规也在不断变化，” Whiteneck说。

如果供应商决定与另一家公司合作，并且会改变数据存储的结构，企业必须获得通知。

“我有一个客户，发现七个月前供应商将数据搬到另一个公司存储，这改变了客户认可的安全性，” Michael Davis说，他是网络安全公司CounterTack的CTO， 也提供云合同，并且为客户提供云相关的安全问题咨询。

安全条款

公司应该让云服务供应商展现其架构和设计下的网络是如何连接的，数据是如何备份的，数据的存储地点，以及如何保护数据的安全， Sealock说。

“你必须尽职去调查这一切：如何应对数据修复？他们进行数据快照的频率，又如何存储它们？他们如何预防攻击？”Sealock建议。 “除非你问，你不会得到这些详细的细节。合同只是白纸黑字。你需要的是一个详细的解读。”

宾夕法尼亚大学医学院的Donohue说，当涉及到安全问题时，云供应商经常说他们“将采取最佳方案，”或“遵循行业标准”，但这些模糊语言并不能让他放心。

“我们想要知道他们具体将如何保证我们的数据安全，无论是物理上的，还是虚拟上的，”他说。

在标准的云合同中，通常在没有云供应商的批准下， 企业是没有足够的权限进行安全测试的，但是公司应该确保它能够开展自己的安全测试,，Davis说。金融服务和医疗行业尤其需要开展特定的扫描和测试。

“如果你没有获得许可，你开始做一些安全测试，供应商也许会认为这是一个真正的攻击，然后关闭你的服务，” Davis警告说。

公司还需要清楚供应商是如何响应安全漏洞事件的。在某些情况下，合同并没有要求供应商必须报告黑客攻击事件， Davis说，他举了一个公司的例子， 这家公司根本不知道被攻击了，直到公司高管在《华尔街日报》上看到新闻。

“你必须要求供应商在公开攻击事件之前，至少提前48个小时通知你，” Davis说。

关于其他安全方面的条款，Davis表示，他的公司会要求一定程度的访问权限控制，允许一些员工访问数据，但没有修改或删除任何信息的权限，而其他人可以有更大的权限。

“一些云供应商的访问控制薄弱。他们要么提供所有访问权限，要么完全没有权限，” Davis说。“如果你给任何员工所有访问权限，你只能祈求他不会删除什么重要信息。”