Čo je softvérový audit a ochrana pred auditom?

Zmeny súvisiace so SAP, ako je prechod na SAP S/4HANA, môžu mať významný vplyv na licenčné prostredie organizácie. Mnoho spoločností si kladie otázku, či je ich licenčné prostredie optimálne a či sú pripravené na softvérový audit SAP. V SoftwareOne sme preto pripravili sériu článkov, ktorá má spoločnostiam pomôcť minimalizovať riziko nedodržania licenčných podmienok.

Začneme základným prehľadom, čo je softvérový audit a ako pred ním svoju organizáciu pripraviť. V tomto článku načrtneme kroky, ktoré je potrebné urobiť, aby ste procesom auditu prešli úspešne.

Čo je softvérový audit a ochrana pred auditom?

Aby mohla organizácia používať konkrétny softvér, musí najskôr získať súhlas vlastníka riešenia, teda vlastníka práv duševného vlastníctva. Začať práve pri právnych záležitostiach používania softvéru je zásadné a môže to pomôcť v ďalších krokoch týkajúcich sa licenčného auditu. Povolenie na použitie softvéru je udelené v licenčnej zmluve, ktorá by mala obsahovať všetky podrobnosti o tom, ako bude licencia zákazníkom používaná. Vo väčšine prípadov obsahuje aj takzvanú doložku o audite, ktorej účelom je umožniť vlastníkovi autorských práv kontrolu, či nadobúdateľ licencie – zákazník – používa softvér správne a neporušuje zmluvu ani zákon. Možnosť kontrolovať zákazníkov mala pôvodne zabrániť porušovaniu práv duševného vlastníctva, vo svojom dôsledku však vyústila do vytvorenia dodatočného nástroja, ktorý výrobcom softvéru generuje zisk.

Ak máte podpísanú revíznu doložku, môžete sa proti tvrdeniam výrobcu, často neoprávneným a pochybným, nejako brániť? Odpoveď sa zdá byť jednoduchá: nielen že sa môžete, ale priam by ste mali.

SOFTVÉROVÝ AUDIT: Pripravte sa včas!

Vďaka spolupráci so SoftwareOne získate:

• 80 % zníženie poplatkov za nedodržanie licenčných podmienok
• 100 % podpora pri vyjednávaní a zaisťovaní RISE kontraktov
• 100 % zhoda prostredia IT s licencovaním SAP.

Aké sú hlavné kroky, ktoré podniknúť na obhajobu auditu?

Krokov, ktoré by mala organizácia v rámci auditnej obhajoby podniknúť, je mnoho. Pozrime sa na tie základné, ktoré poskytnú dobrú východiskovú pozíciu.

• Podrobné overenie oznámenia o audite
  • Overte odosielateľa a plnú moc – Je subjekt, ktorý bude audit vykonávať (výrobca, strana licenčnej zmluvy, externý audítor), k nemu oprávnený? Príkladom môže byť situácia, kedy upozornenie ohľadom auditu zaslal zamestnanec materskej spoločnosti výrobcu softvéru, avšak licenčnú zmluvu podpísala napríklad poľská spoločnosť. V tejto situácii nie je materská spoločnosť oprávnená vykonávať audit alebo ho zadávať iným subjektom bez príslušného oprávnenia.
  • Skontrolujte adresáta – Má byť auditovaná správna organizácia, teda tá, ktorá je držiteľom licencie?
  • Overenie produktu – Používa organizácia aktuálne softvér, teda konkrétne produkty, ktoré majú byť auditované?
  • Kontrola rozsahu auditu – Aký je rozsah auditu?
  • Subjekt – Mali by byť auditované všetky spoločnosti skupiny používajúce softvér?
  • Predmet – Na ktoré konkrétne licencie sa audit vzťahuje (databáza, middleware a ďalšie)?
• Vytvorenie audítorského tímu – Súčasťou tímu by mal byť pracovník z IT oddelenia (v závislosti od auditovaného softvéru), právnik, pracovník v oblasti zabezpečenia, pracovník v oblasti zhody (compliance), pracovník DPO a koordinátor. Koordinátorom by mal byť niekto, kto denne spravuje licencie, má všeobecné znalosti o používaní softvéru a disponuje dostatočnými právomocami. Komunikovať s audítorom by mal iba koordinátor. Je to nevyhnutné na zabezpečenie toho, aby poskytnuté informácie boli konzistentné, overené a odpovedali na konkrétne otázky audítora bez toho, aby došlo k náhodnému rozšíreniu rozsahu poskytnutej odpovede. Toto opatrenie nás nielen postaví do lepšej obrannej pozície, ale súčasne bude mať dopad na dodržiavanie predpisov – citlivé informácie nebudú zverejnené neoprávneným stranám.
• Formalizácia auditu – Tá by mala byť popísaná v rámci dohody o audite. Ide o krok, ktorý zaistí našu bezpečnosť a dojedná spoluprácu s audítorom. Zmluva o audite by mala obsahovať informácie ako:
• Kto a na akom základe vykonáva audit, teda konkrétna spoločnosť, konkrétna licenčná zmluva, konkrétna zákazka.
• Aké dáta budú zhromažďované a kto ich bude skutočne zbierať, či budú použité skripty, kto prevezme zodpovednosť za prevádzku týchto skriptov.
• \ Aký je vecný rozsah (ktoré produkty, licencie a podobne) a osobný rozsah (ktoré spoločnosti, skupiny) auditu.
• Kto bude v tímoch na oboch stranách.
• Ako bude riešená dôvernosť (prednostne vo forme vyhradenej NDA) .
• Zmluva o spracovaní údajov (ak pôjde o osobné údaje).