Контакты
Подписка
МЕНЮ
Контакты
Подписка

Взаимоотношения со сторонним разработчиком - Форум по вопросам информационной безопасности

Взаимоотношения со сторонним разработчиком - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Богатырев | 76982 04.09.2017 14:48
Коллеги, добрый день!

Скажите, кто-нибудь сталкивался с ситуацией, когда стороннему разработчику предоставляется полный доступ к 1С вместе с базой для допиливания системы под нужды организации?
Поручено сделать некое Соглашение, в котором будет прописана ответственность за разглашение конфиденциальной информации, в том числе ПДн. Некое NDA... только, помимо разглашения, в него надо включить и ответственность за возможное нарушение работы...видение впринципе есть, но боюсь что-то упустить..
Подскажите, какие еще могут быть риски в данном вопросе? Что нужно учесть? Если найдется шаблон подобного Соглашения, то ваще круть!

Автор: malotavr | 77017 05.09.2017 09:39
Основной риск - "ответственность за возможное нарушение работы":
1. Вам придется долго и упорно искать стороннего разработчика, который согласится подписать договор с материальной ответственностью
2. Если вы найдете такого, и если, не дай бог, случится сбой, разработчик пошлет вас далеко и надолго в суд по месту нахождения ответчика
3. В суде вы с удивлением узнаете, что разработчик не несет ответственности за ошибки в ПО, и этот пункт договора распространяется только на нарушение прав эксплуатации (т.е на нарушения требований руководств по 1С. И доказывать эти нарушения, даже если они были, вы будете до морковкиных заговин. Еще столько же вы будете доказывать размер своих убытков.
4. Даже если вы каким-то чудом докажете суду наушения, разработчик покажет суду свой почти бесприбыльный баланс, поплачется, что выплата установленной договором неустойки приведет к банкротству и невыполнению обязательств по договорам с другими клиентами, и суд на основании статьи 333 ГК РФ снизит сумму неустойки, если она будет в договоре, до смешного размера.

Т.е. этим пунктом вы создаете себе геморрой и ничего не получите взамен.

Автор: Влад | 77118 05.09.2017 11:03
" только, помимо разглашения, в него надо включить и ответственность за возможное нарушение работы.."

Нарушение работы на какой стадии?
Например, при разработке вовсе не обязательно использовать "боевую" систему, разработчикам достаточно сделать слепок системы и базы данных и работать уже с копией. В крайней случае, можно (и нужно) настроить резервирование. Если что-то пошло не так, всегда можно будет сделать откат к стабильному состоянию.

Если уж хотите прописать ответственность, то придётся это делать максимально подробно, иначе доказать вину разработчика будет сложно.

Автор: Богатырев | 77131 05.09.2017 14:01
"боевую" базу конечно для разработки никто не будет использовать, но она находится на том же сервере, что и тестовые базы. И доступ к рабочей базе у разработчиков тоже есть.

пока что моей фантазии хватило добавить к типовому NDA пункт в раздел "Обязанности сторон":

- Не допускать действий, приводящих к нарушению (частичному или полному) работоспособности компонентов системы «1C:Предприятие 8» и сервера, на котором расположена система «1C:Предприятие 8». Вывод из строя или неправомерное изменение режимов работы компонентов системы обработки информации, их модификация или подмена могут приводить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей.

Я так полагаю этого мало?

Хочу еще добавить раздел Ответственность сторон за действия при работе с ИР, а также за последствия, вызванные этими действиями.

Еще по-хорошему бы установить некие правила работы: требования к паролям, требования по наличию средств антивирусной защиты...что еще?

Просмотров темы: 1278

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*