Jeszcze kilka lat temu certyfikaty ISO czy ANSI stanowiły rynkowy wyróżnik dla centrów danych i integratorów. W dobie chmury, spektakularnych cyberataków i coraz bardziej rygorystycznych zapisów prawnych nie można już ich pominąć. Zresztą sami klienci coraz częściej wymagają od kontrahentów formalnego potwierdzenia określonych standardów. Stały się one jednym z kryteriów wyboru dostawców. Poza tym w wielu przypadkach, np. w administracji, a także w firmach z różnych branż, stanowią konieczny warunek uzyskania zamówienia. Jak podaje Beyond.pl, obecnie już w 100 proc. zapytań ofertowych pojawiają się związane z tym wymogi.

Zmiana oczekiwań nastąpiła bardzo szybko, zwłaszcza w minionych kilkunastu miesiącach, ze względu na regulacje RODO oraz NIS (ustawa o cyberbezpieczeństwie). Stąd bardzo ważną kwestią dla przedsiębiorstw stało się potwierdzenie bezpieczeństwa danych, dostępności usług oraz ciągłości działania.

Dla firm przetwarzających strategiczne dane lub działających w branżach regulowanych posiadanie przez operatora data center takiego certyfikatu jak ISO/IEC 27?001:2013 lub ISO 9001:2015 jest warunkiem niezbędnym do tego, by w ogóle rozpocząć rozmowy. Dotyczy to nie tylko dużych firm – twierdzi Adam Dzielnicki, kierownik produktu w Atmanie.

Po ubiegłorocznym wejściu w życie nowych unijnych regulacji w zakresie przetwarzania danych certyfikat ISO 27001, dotyczący bezpieczeństwa informacji, staje się dla klientów bardzo ważnym kryterium wyboru dostawcy. Potwierdza spełnienie standardów m.in. w zakresie polityki bezpieczeństwa, zgodności z przepisami, zarządzania systemami i sieciami, kontrolą dostępu, rozwoju oraz utrzymania systemów informatycznych, a także zarządzania incydentami związanymi z bezpieczeństwem informacji. Przy czym standard zarządzania jakością ISO 9001, choć najbardziej rozpoznawalny wśród klientów z różnych branż, nie jest wcale najważniejszy.

Na rynku data center liczą się dwie certyfikacje: ANSI/TIA i Uptime Institute. Ze względu na globalne uznanie i rozpoznawalność są bardzo dobrze przyjmowane przez międzynarodowe koncerny. Około 90 proc. zapytań ofertowych klientów dotyczy tych dwóch certyfikatów – mówi Tomasz Sobol, dyrektor marketingu Beyond.pl.

 

Warto przy tym wspomnieć, że w naszym regionie – pod naciskiem UE – pojawiają się również certyfikaty EN50600, które są europejską wersją ANSI. Niemniej według operatorów DC w najbliższym czasie mają zyskiwać na znaczeniu takie certyfikaty jak: Uptime Institute (dostępność infrastruktury data center), PCI DSS (bezpieczeństwo przetwarzania danych związanych z kartami płatniczymi), SOC (kontrola systemu i organizacji) a także ISO 27001 i ISO27018 (bezpieczeństwo danych w chmurze). W tym kontekście wymienia się również CISPE (standard w zakresie udostępniania danych oraz jakości i ciągłości świadczenia usług). Ponadto może się okazać, że polscy użytkownicy będą coraz częściej szukać dostawców z logo Green Energy (potwierdzenie zasilania z odnawialnych źródeł).

W wyróżnieniu się na rynku ma pomóc też osiągnięcie unikalnych poziomów bezpieczeństwa lub dostępności, co oznacza spełnienie wyśrubowanych wymagań. Przykładowo Exea podkreśla w rozmowach z klientami, że mając centrum danych z niezależnym certyfikatem Tier III (jedynym w Polsce), udało się jej stworzyć unikalną ofertę.

O wartości certyfikacji, która przekłada się na kolejne kontrakty, może świadczyć przykład nowego data center Aruba Cloud pod Mediolanem. Obiekt, który zbudowano zgodnie z certyfikatem ANSI/TIA-942:2014 Rating 4 (najwyższy poziom bezpieczeństwa danych zarówno ochrony przed ich utratą, jak i nieautoryzowanym dostępem do nich), jeszcze przed uruchomieniem miał zarezerwowane 50 proc. zasobów, a w ciągu roku od rozpoczęcia działalności – 100 proc. Jednakże, aby spełnić związane z tym wymagania, przygotowania do certyfikacji należy rozpocząć już na etapie projektowania budynku.

Tak czy inaczej, dostawcy usług IT, którzy planują rozwój w nowych segmentach rynku, prawdopodobnie nie unikną starań o kolejne certyfikaty. Według organizacji normalizacyjnej ISO można spodziewać się także nowych standardów. Klienci zainteresowani sztuczną inteligencją, edge computingiem czy biometrycznymi rozwiązaniami bezpieczeństwa będą szukać firm, które posiadają w tym zakresie odpowiednie świadectwa.

 

Zdaniem integratora

Jacek Węgrzyk, wiceprezes IT Punkt

Dla klientów bardzo ważne jest bezpieczeństwo danych. Zwłaszcza po wprowadzeniu RODO często słyszymy pytania dotyczące tej kwestii. Dlatego zdecydowaliśmy się uzyskać certyfikat ISO 27001, jako potwierdzenie przestrzegania procedur bezpieczeństwa. Gdy ktoś chce wiedzieć, jak chronione są dane, i słyszy, że firma ma ISO 27001, to zazwyczaj kończy dyskusję. Mamy już pozytywną opinię zewnętrznego audytora. Uzyskanie certyfikacji to oczywiście także koszt, ale w sumie opłaca się nie tylko z uwagi na oczekiwania klientów. Spełnienie jej wymagań umożliwiło nam uporządkowanie pewnych procesów, co i tak warto było zrobić nie tylko dla papieru. Mam tutaj na myśli między innymi regulacje dotyczące zabezpieczeń rozwiązań mobilnych. Poza tym po wstępnej analizie firmy zewnętrznej okazało się, że w zasadzie nie trzeba było niczego zmieniać. Nawet nie mając formalnego potwierdzenia, przestrzegaliśmy wysokich standardów, bo po prostu inaczej trudno z powodzeniem funkcjonować w biznesie data center czy jako integrator systemów. Jeśli chodzi o certyfikację dużych centrów danych na poziomach typu Tier III czy IV, to dla ich klientów z pewnością ma to duże znaczenie. Niektóre przedsiębiorstwa wymagają najwyższego poziomu ochrony, a także odpowiednich procesów od dostawcy usług.

 

 

Małe przedsiębiorstwa również oczekują certyfikatów

Co istotne, dotychczas oczekiwania dotyczące formalnych poświadczeń miały przede wszystkim duże przedsiębiorstwa. Od pewnego czasu także średni, a nawet mali klienci coraz częściej oczekują od dostawców odpowiednich papierów. Z obserwacji dostawców IT wynika, że zwłaszcza nowopowstałe firmy i startupy mają wysokie wymagania i poszukują rozwiązań, które umożliwią szybki rozwój biznesu bez obawy o ewentualne zawirowania związane chociażby z kwestiami cyberbezpieczeństwa oraz prawnymi. Generalnie jednak gwarancji bezpieczeństwa domagają się przede wszystkim instytucje publiczne, a także firmy z sektora finansowego i energetycznego.

Jak zauważali dostawcy, posiadanie certyfikatu nie jest jednak absolutnym gwarantem spełnienia określonych norm. Istotna jest weryfikacja za pomocą powtarzanych, zewnętrznych audytów, a z tym bywa różnie. Bez odpowiedniego nadzoru zdarzają się błędy w implementacji wymaganych certyfikacją rozwiązań albo nie są one właściwie rozwijane. Integratorzy powinni zwrócić uwagę na niezależność instytucji audytującej oraz charakter przyznanego certyfikatu.

Czasem sama deklaracja spełnienia norm może okazać się niewystarczająca. Warto zweryfikować, kto audytował dany ośrodek i w jaki sposób. Niestety, ostatnie doświadczenia z krajowego rynku pokazują, że nawet duże i uznane marki mają problemy z utrzymaniem ciągłości działania. Oznacza to, że odpowiednie procedury są naprawdę istotne – podkreśla Łukasz Ozimek, dyrektor ds. operacyjnych w Exea Data Center. Przekonuje, że dla integratorów współpraca z certyfikowanym centrum danych jest dodatkowym atutem na rynku.

Adam Dzielnicki, kierownik produktu w Atmanie, zauważa, że integratorzy, którzy rozważają rozpoczęcie współpracy z centrum danych, powinni postarać się też o dobre zrozumienie działania oferowanego produktu czy usługi, bo wiele z nich ma swoją specyfikę. Certyfikaty potwierdzają spełnienie kluczowych wymagań, ale nie uwzględniają wszystkich detali.

Certyfikacja to ocena przez pryzmat pewnych zdefiniowanych kryteriów. To nie zawsze w pełni oddaje jakość wszystkich elementów konkretnego rozwiązania, szczególnie w przypadku gdy jest ono zbudowane od podstaw zgodnie z indywidualnymi wymaganiami klienta – podsumowuje przedstawiciel Atmana.

Zdaniem operatora

Tomasz Sobol, dyrektor marketingu Beyond.pl

Certyfikacja to bardzo duża wartość dodana dla integratorów. Dzięki niej ich oferta staje się unikatowa. Umożliwia pozyskanie i utrzymanie klienta. Ze względu na rosnącą liczbę regulacji usług cyfrowych certyfikacje z każdym rokiem będą stanowić coraz ważniejszy wyróżnik. Wystarczy spojrzeć na polski rynek. W 2015 r. była tylko jedna serwerownia z certyfikatem. Dziś mamy już pięć takich obiektów: cztery ze standardem na poziomie 3 i Beyond.pl z klasą 4. Certyfikacje stały się szczególnie ważne ze względu na takie regulacje jak RODO i ustawę o cyberbezpieczeństwie. Na Zachodzie natomiast gwarantują niższe ceny ubezpieczeń dla biznesu, ponieważ zapewniają zmniejszenie ryzyka związanego z utratą lub niedostępnością danych, aplikacji oraz systemów.

Marcin Zmaczyński, dyrektor regionalny Aruba Cloud w Europie Środkowo-Wschodniej

Wraz ze wzrostem znaczenia danych coraz ważniejsza będzie gwarancja ich bezpieczeństwa i nieprzerwanego dostępu do firmowych zasobów. Dla wielu przedsiębiorstw, zwłaszcza działających na konkurencyjnych rynkach, przerwa w świadczeniu usług może oznaczać podkopanie zaufania klientów, a w konsekwencji ich odpływ do konkurencji. Dla małych i średnich firm, które zajmują się na przykład Big Data, dostępność mocy obliczeniowej za pośrednictwem chmury… to być albo nie być. Także kwestia ekologii będzie zyskiwała na znaczeniu. Wiele przedsiębiorstw będzie chciało pochwalić się, że korzystają z usług data center, które nie przyczynia się do zmian klimatycznych.