4) Hankinta ja sopimus

Tässä vaiheessa hankitaan pilvipalveluratkaisu. Huomioidaan pilvipalveluiden hankinnan erityispiirteet ja lainsäädännölliset vaatimukset.

Tehtäväkokonaisuudet

  • Keskeisten riskienhallinnan vaatimusten määrittäminen (tietoturva, henkilötietojen käsittely, jatkuvuus)
    jo tarjouspyyntöön
  • Toimittajien sopimusehtoihin tutustuminen ja vertailu
  • Asiakkaan kannalta keskeisten ja ehdottomien sopimusehtojen listaaminen
  • Yhteisen tiiviin sopimusmallin luonti, mikäli mahdollista
  • Omien (riskienhallinnan) vaatimusten ottaminen osaksi sopimusta

Vaatimukset jo tarjouspyyntöön

Tarjouspyyntöön on hyvä koota riskienhallinnasta, pilvipalvelujen tyypillisistä riskitekijöistä ja PiTuKri-kriteeristöstä täsmällinen lista tarjottavaa ratkaisua ja siihen liittyvää palvelua koskevista vaatimuksista. Vaatimukset on hyvä jakaa pakollisiin vaatimuksiin ja pisteytettäviin, ei-pakollisiin vaatimuksiin. Vaatimuksia luokiteltaessa kannattaa muistaa, että julkisissa hankinnoissa tarjoukset on lähes poikkeuksetta hylättävä, jos tarjous ei täytä jokaista pakollista vaatimusta. Tästä syystä tulee välttää sellaisia pakollisia vaatimuksia, joita ei aidosti tarvita pakollisina. Tarjouspyyntöön tuotetut vaatimukset tulee hankintapäätöksen jälkeen sisällyttää myös solmittavaan sopimukseen. (Lähde: Pilvipalvelujen soveltamisohje)

PiTuKri-vaatimukset

Osa-alue 1: Esiehdot

Lainsäädäntöjohdannaiset riskit EE-02

  • Lainsäädäntöjohdannaiset riskit eivät rajoita kyseisen pilvipalvelun soveltuvuutta kyseiseen käyttötapaukseen. (asiakkaan vastuu soveltuuden arvioinnin osalta)
  • Pilvipalveluntarjoajan sopimusehdot eivät rajoita kyseisen pilvipalvelun soveltuvuutta kyseiseen käyttötapaukseen. (asiakkaan vastuu soveltuuden arvioinnin osalta)

Osa-alue 2: Turvallisuusjohtaminen

Turvallisuuden vastuut TJ-02

  • Pilvipalvelun turvallisuuden hoitamisen tehtävät ja vastuut on määritelty ja dokumentoitu.
  • Pilvipalvelun tarjoamiseen ja käyttöön liittyvä vastuunjako asiakkaan ja palveluntarjoajan välillä on kuvattu. Vrt. EE-01.
  • Pilvipalvelun tietoturvallisuudesta vastaava henkilö on nimetty.

Osa-alue 10: Siirrettävyys ja yhteensopivuus

Siirrettävyys ja yhteensopivuus SI-01

  • Pilvipalveluntarjoaja tarjoaa teknisen rajapinnan tai muun menetelmän asiakkaan tietojen toimitukseen asiakkaalle soveltuvassa, käyttökelpoisessa ja yleisesti yhteensopivassa muodossa. Muodot on kuvattu riittävällä tasolla asiakkaan kanssa solmittavissa sopimuksissa. (asiakkaan vastuu sopimuksen osalta)
  • Tietojen tuontiin ja vientiin sekä palvelun hallinnointiin käytetään turvallisia, vakiintuneita verkkoprotokollia siten, että siirrettävien tietojen luottamuksellisuudesta, eheydestä ja saatavuudesta voidaan varmistua.
  • Viranomaisen turvallisuusluokitellun tiedon siirrossa käytetään viranomaisen hyväksymiä salausratkaisuja.
PiTuKri - Pilvipalveluiden turvallisuuden arviointikriteeristö

Pilvipalvelujen soveltamisohjeen suositukset

Tänne poimitaan pilvipalvelujen soveltamisohjeesta kyseistä elinkaaren vaihetta koskevat suositukset.

Vaatimusmäärittely ja muut tarjouspyynnön liitteet
SaaS-hankintapohjien pääkäyttötilanteet ja sopimusmallit
Koulutusmateriaalit
Hyödyllisiä linkkejä