Вы нанимаете IT-компанию и открываете доступ к исходному коду, клиентским данным и бизнес-процессам. Фактически отдаете ключи от вашего бизнеса. Что остановит подрядчика от злоупотреблений?
Ведь истоки информации, атаки хакеров, инсайдерские угрозы стали привычными явлениями. Поэтому NDA и положение о кибербезопасности – это необходимые инструменты защиты. В этой статье рассказываем, что обязательно должно быть в договоре с IT-подрядчиком.
NDA: что это и для чего
NDA или Non-Disclosure Agreement – это соглашение о неразглашении. По сути, этот документ обязывает IT-компанию и ее специалистов хранить в секрете важную информацию, которую они получают при работе над вашим проектом.
Почему это важно именно в IT? Потому что компания получает доступ к самым ценным активам вашего бизнеса.
Представьте, что разработчик за отдельную плату «слив» конкуренту базу с контактами ваших клиентов. Без NDA доказать нарушение и получить компенсацию будет почти невозможно.
Кстати, NDA работает не только на протяжении проекта. Наибольшая ценность сделки – это гарантия защиты после завершения сотрудничества. Ведь именно тогда появляется соблазн выгодно монетизировать полученную информацию. Поэтому часто NDA продолжает действовать еще несколько лет после расторжения всех остальных договоров.
К примеру, сотрудник компании Waymo (это производитель технологий автономного вождения) во время увольнения «взял с собой» 14 000 конфиденциальных файлов о технологии автопилота.
Через 2 года он основал свою компанию, продавшую эти технологии Uber. Waymo подала иск из-за нарушения NDA. Uber пришлось выплатить около 245 млн долларов в акциях и публично извиниться.
В международном сотрудничестве наличие NDA еще более важно. Если ваш подрядчик из ЕС или США, это соглашение становится обязательным стандартом. Европейский GDPR и американские отраслевые регуляции обязывают контролировать доступ к информации.
Если NDA не заключен, вы нарушаете требования к обработке персональных данных и рискуете получить миллионные штрафы. Кроме того, ответственные западные компании просто не начнут сотрудничество без подписанного соглашения о неразглашении. Это базовая практика ведения бизнеса.
Ключевые положения, которые должны быть в NDA
NDA станет эффективным инструментом только при одном условии – если сделка сформулирована правильно. Важно прописать следующее.
Определение конфиденциальной информации. Оптимальная формула – это конкретика + широкая формулировка для «страховки». Сначала определите конкретные категории конфиденциальных сведений: исходный код, техническая документация, пользовательские базы данных, бизнес-процессы, маркетинговые стратегии, финансовые показатели.
Затем добавьте общую формулировку:
«Конфиденциальной считается любая информация, переданная Заказчиком в устной, письменной, электронной форме или к которой Подрядчик получил доступ при выполнении работ».
Объем обязательств подрядчика. Это конкретный список запретов:
- не разглашать сведения третьим лицам;
- не использовать в личных целях;
- не копировать без разрешения;
- не хранить по завершении проекта на личных носителях;
- не применять обратную разработку кода.
Срок действия NDA. Стандартно соглашение должно работать хотя бы 3-5 лет после завершения сотрудничества. Для особо чувствительной информации (ноу-хау, протоколы безопасности и т.п.) можно зафиксировать бессрочное неразглашение.
Исключения из режима конфиденциальности. Важно предположить, какое разглашение не будет считаться нарушением NDA. К примеру, если информация получена из открытых источников до подписания договора или от третьих лиц без нарушения NDA. Или раскрытие конфиденциальных сведений по требованию закона или судебного решения.
Санкции. Можно прописать фиксированную неустойку (например, 20 000$ за каждый факт нарушения) плюс возмещение всех убытков. Также часто предусматривается право заказчика немедленно расторгнуть договоры в случае нарушения NDA без компенсаций подрядчику.
Кибербезопасность в договоре с IT-подрядчиком
NDA защищает от преднамеренной утечки информации. Но что делать с ненамеренным? К примеру, подрядчик не передает ваши данные, а просто хранит их на незащищенном ноутбуке или в облаке без шифрования. На таковой вариант в контракт закладывают конкретные требования к кибербезопасности.
В первую очередь это сохранение информации. Обычно стандартные требования выглядят так:
- данные хранятся исключительно на защищенных серверах с шифрованием;
- доступ только через корпоративную инфраструктуру, а не личные девайсы;
- запрещается использовать публичные облачные сервисы без согласования;
- после завершения проекта – полное удаление всех копий с подтверждением.
Также следует определить и зафиксировать конкретный круг лиц, имеющих доступ к информации. Как бывает на практике? Вы нанимаете одного Senior Developer, а он привлекает трех джуниоров из аутсорс-агентства. И оказывается, что минимум 4 человека уже имеют доступ к вашей клиентской базе.
Поэтому в договоре следует прописать перечень специалистов (их ФИО и должности) со стороны подрядчика, которые могут работать с конфиденциальными сведениями. Конечно, иногда необходимо привлекать дополнительных людей. Но это должно быть только с вашего письменного разрешения. И желательно, чтобы каждый участник команды также подписал соглашение о неразглашении.
Еще один важный аспект – техническая защита доступа. Здесь должен быть список конкретных инструментов, которые компания должна использовать:
- VPN для любого удаленного доступа к вашим системам;
- многофакторная аутентификация для всех аккаунтов;
- шифрование данных при передаче и хранении;
- отдельные аккаунты для каждого члена команды и запрет на общие пароли;
- автоматический logout после 15 минут неактивности;
- запрет на доступ с публичных Wi-Fi без VPN.
Если вы работаете с серьезной компанией, а не фрилансером, она должна документально подтвердить свой уровень информационной защиты. Для этого есть международные сертификаты безопасности.
Например, ISO 27001. Это международный стандарт, подтверждающий, что у подрядчика налажены процессы защиты информации. Или GDPR compliance. Этот стандарт обязателен для работы с персональными данными граждан ЕС.
Если у подрядчика нет этих сертификатов, он должен предоставить подробное описание своих политик безопасности: как сохраняются пароли и ограничивается доступ, как реагируют на инциденты, как обучают персонал и т.д.
Также договор должен обеспечивать ваше право контролировать соблюдение требований безопасности. В частности, подрядчик обязан вести логи (этакий цифровой «журнал»). Там фиксируют все действия с вашими сведениями: кто, когда и к чему получал доступ, изменявший или загружавший доступ. Доступ к логам вам должны предоставлять по вашему запросу.
Желательно прописать в договоре право заказчика проводить аудиты безопасности. Вы можете делать это самостоятельно или через независимую компанию.
Практическая разница между NDA и кибербезопасностью
Защита конфиденциальной информации и кибербезопасность — два разных инструмента. Но они взаимодополняют друг друга.
NDA – это правовая защита. Он «наказывает» за последствия, но не всегда может их предотвратить. К примеру, подрядчик продал ваши данные конкурентам. Тогда NDA дает вам право подать в суд и потребовать компенсацию. Но ущерб бизнесу уже нанесен.
Кибербезопасность – это техническая защита. Он работает на опережение. Это меры, которые делают невозможным или значительно усложняют утечку информации. Подрядчик намерен слить базу? Он не сможет скачать ее без вашего разрешения. Кто пытается сломать аккаунт? Система блокирует подозрительный вход.
Кибербезопасность минимизирует риск утечки. NDA создает финансовые и юридические последствия для тех, кто постарается обойти защиту.
IT-подрядчик из-за границы: что предусмотреть
Когда ваш подрядчик в Варшаве, Тбилиси или Дубае появляются дополнительные юридические вызовы. Международное сотрудничество требует учета не только украинского законодательства, но и правил стран, где работает подрядчик.
GDPR или General Data Protection Regulation регулирует обработку персональных данных граждан Евросоюза. Если вы украинская компания, но собираете информацию о клиентах из ЕС, вы обязаны придерживаться GDPR.
Персональные данные (имена, email, телефоны, IP-адреса) считаются самой чувствительной категорией. Их передача требует отдельного соглашения – Data Processing Agreement (DPA), где прописаны обязанности подрядчика. Нарушение GDPR может стоить до 20 млн. евро или 4% годового оборота.
Data Protection Agreement или DPA. Его часто требуют американские компании. Это отдельный документ, детализирующий обработку и защиту данных. Без этого серьезная американская компания не приступит к сотрудничеству. Также могут применяться California Consumer Privacy Act (CCPA), HIPAA для медицинских сведений, всевозможные федеральные законы для финансов.
Кроме того, в вашем договоре должно быть определено право конкретной страны, которое будет применено в случае спора. А также, какие суды или арбитражи будут рассматривать ваш спор. Варианты разные:
- украинское право и суды – это самое простое для украинской компании, но подрядчик может отказаться;
- международный арбитраж (LCIA, ICC);
- право страны-члена ЕС.
Без этого пункта вы рискуете судиться в другой стране по чужому праву.
Еще один чувствительный вопрос – это требования к трансграничной передаче данных. Если данные хранятся на серверах в другой стране, это уже считается трансграничной передачей информации.
В этом случае GDPR требует соблюдения Standard Contractual Clauses. Это типичные оговорки от Еврокомиссии, которые гарантируют информационную защиту за пределами ЕС.
Типичные ошибки и как их избежать
Большинство компаний совершают одинаковые ошибки при заключении договоров с ИТ-подрядчиками. Рассказываем о самых распространенных и подсказываем, что с ними делать.
Ошибка 1: шаблонный NDA без ИТ-специфики. Вы берете типичное соглашение о неразглашении. Там есть общие фразы о «коммерческой тайне» и «конфиденциальной информации». Но ни слова об исходном коде, API-ключе или доступе к репозиториям.
В результате подрядчик использует ваши алгоритмы в своем проекте. И «технически» это не будет нарушением NDA. Эти данные не были определены как конфиденциальные.
Что делать? Всегда адаптируйте NDA под ИТ-реалии – конкретно перечислите категории конфиденциальной информации, включите технические термины, пропишите запреты.
Ошибка 2: отсутствие договора технических требований к безопасности. Представьте, подрядчик хранит код на Dropbox, передает доступы через Telegram, работает с кафе через публичный Wi-Fi. И, опять же, формально ничего не нарушает.
Чтобы этого избежать, обязательно включайте раздел о кибербезопасности в основной договор. Не забудьте прописать технические требования: VPN, 2FA, шифрование, запрет на публичные облака без согласования.
Ошибка 3: размытые или символические санкции. Иногда в договорах пишут: «в случае нарушения – ответственность согласно законодательству Украины» или штраф 500$ за любое нарушение сделки. И это совсем не соответствует тому ущербу, который будет причинен несоблюдением NDA или мер безопасности.
Поэтому фиксируйте реальные штрафы, пропорциональные ценности ваших данных. Например, 50 000$ за каждый факт разглашения плюс полное возмещение ущерба. Санкции должны болеть, иначе они не работают.
Ошибка 4: Подписан договор без проверки подрядчика. Почему важно проводить due diligence перед началом сотрудничества и последующие аудиты? Ибо без этого может оказаться, что ваш подрядчик не имеет никаких политик безопасности и хранит информацию на незащищенном Google Drive.
Поэтому перед подписанием договора запросите сертификаты безопасности (ISO 27001, SOC 2), политики защиты данных, результаты предыдущих аудитов. При сотрудничестве требуйте логи доступа, проводите регулярные аудиты безопасности, проверяйте соблюдение всех требований.
Также мы подготовили краткий, но практичный чек письмо из безопасной делать с IT-подрядчиками:
- проведите due diligence компании до заключения соглашения: сертификаты, политики, кейсы, отзывы клиентов;
- комбинируйте в договоре NDA и технические требования к безопасности;
- устанавливайте конкретные KPI по безопасности — время реагирования на инциденты, частоту обновлений паролей и т.п.;
- прописывайте ответственность за разглашение для всех людей, работающих над проектом, включая субподрядчиков;
- включайте в договор право на регулярные аудиты и доступ к логам;
- регулярно обновляйте договоры с учетом новых угроз и стандартов.
Сотрудничество с IТ-подрядчиками без защиты информации – это игра в рулетку. Однако NDA и требования к кибербезопасности дают двойную защиту. Вы получаете юридический рычаг для наказания нарушителей и инструменты для предотвращения утечки информации.
Нужна ли помощь в подготовке договора или аудит актуальных соглашений с IT-подрядчиками? Адвокаты Mitrax специализируются на IT-праве и защите данных. Обратитесь к нам за контактами на этом сайте.
(Пока оценок нет) 
Загрузка... 
Медицинское право 
