Certyfikaty budzą mieszane uczucia. Dla jednych są tylko świstkiem papieru, inni traktują je bardzo poważnie. Do tej drugiej grupy należy znaczna część klientów, którzy korzystają z usług centrów danych. Na pytanie analityków PMR, skierowane do średnich i dużych firm, o czynniki, które biorą one pod uwagę przy wyborze data center, najwięcej respondentów wskazało na całkowity koszt posiadania usługi (55 proc.), a w dalszej kolejności certyfikację (43 proc.) oraz parametry techniczne obiektu (38 proc.). Na niepoślednią rolę certyfikatów wskazują także badania przeprowadzone przez Aruba Cloud wśród przedsiębiorstw z Europy Środkowo-Wschodniej. Ponad 33 proc. ankietowanych stwierdziło, że normy i świadectwa, którymi legitymują się centra danych, zaważyły o wyborze dostawcy. 

Dla firm kwestie bezpieczeństwa są coraz istotniejsze, a nie ma lepszej gwarancji niż certyfikat nadawany przez niezależną, międzynarodową instytucję – tłumaczy Marcin Zmaczyński, dyrektor marketingu na Europę Środkowo-Wschodnią w Aruba Cloud.

Certyfikacja nabiera szczególnego znaczenia w przypadku instytucji publicznych, banków, firm ubezpieczeniowych, sektora energetycznego czy firm świadczących usługi w modelu chmurowym. Wymienione podmioty oczekują od operatorów gwarancji bezpieczeństwa danych czy też zgodności z wytycznymi RODO bądź dyrektywami NIS, poświadczonej odpowiednim certyfikatem. Wysokie wymagania są uzasadnione, bowiem wspomniane firmy i instytucje muszą zapewnić swoim klientom ciągłość działania biznesu, a niewielki błąd może oznaczać utratę reputacji, a w ekstremalnych przypadkach zniknięcie z rynku. 

Na przeciwległym biegunie znajdują się właściciele biznesów, którzy stawiają na pierwszym miejscu cenę usługi, certyfikat zaś jest dla nich wart niewiele więcej niż papier, na którym został wydrukowany. Niemniej operatorzy centrów danych przyznają, że z roku na roku liczba tego typu usługobiorców sukcesywnie maleje. 

Według naszych szacunków tylko jeden z dziesięciu klientów nie wymaga od nas dodatkowego potwierdzenia kompetencji. Najczęściej dotyczy to użytkowników prostych środowisk testowych, które nie są związane z jakimkolwiek ryzykiem wycieku czy utraty danych, a mają na celu jedynie przetestowanie poprawnego działania nowego rozwiązania – przyznaje Łukasz Ozimek, dyrektor zarządzający Exea.

Normy, które warto spełniać

Operatorzy centrów danych mogą się ubiegać się o różnego rodzaju certyfikaty, ale nie wszystkie dokumenty cieszą się jednakową renomą. Rządowe Centrum Projektów Polska Cyfrowa za najbardziej znaną i poważaną na świecie certyfikację uznaje klasyfikację Tier przyznawaną przez Uptime Institute. Określa ona poziom dostępności i niezawodności infrastruktury fizycznej centrum danych (zasilanie, chłodzenie, architektura budynku i in.), według czterostopniowej skali Tier I-IV. 

Do tej klasyfikacji odwołuje się wiele polskich ośrodków przetwarzania danych, które często przypisują sobie posiadanie standardu TIER III lub nawet „TIER III” czy „TIER III+”. Niestety, problem polega na tym, że są to wyłącznie deklaracje, niepotwierdzone autoryzowanym audytem. Tak jak w każdej innej dziedzinie, bez zdania egzaminu nie można uzyskać certyfikacji – wyjaśnia Łukasz Ozimek.

 

Specjaliści przyznają, że testy przeprowadzane przez Uptime Institute są bardzo rygorystyczne. Audytorzy biorą pod lupę każdy najmniejszy komponent centrum danych. Każda pozycja z listy jest traktowana w sposób zero-jedynkowy i musi być zaakceptowana bez uwag, a najmniejsze odstępstwa od normy nie pozwalają na uzyskanie pozytywnego wyniku audytu. Kolejnym standardem, który cieszy się uznaniem, jest ANSI/TIA-942:2014, przyznawany przez American National Standards Institute. Marcin Zmaczyński uważa, że ta norma jest zdecydowanie bardziej skrupulatna niż testy Uptime Institute i obejmuje więcej aspektów technicznych. ANSI standaryzuje centra danych pod względem architektury, mechaniki, zasilania i telekomunikacji. Najwyższą notę Rated 4 można otrzymać po spełnieniu maksymalnych wymagań we wszystkich czterech kategoriach.

Operator centrum danych ubiegający się o ten certyfikat musi rozpocząć przygotowania już na etapie projektowania obiektu. Wynika to z faktu, że ANSI/TIA-942:2014 podczas oceny bierze pod uwagę zadaszenie budynków centrum danych, instalacje elektryczne, systemy przeciwpożarowe czy chłodzenie – dodaje Marcin Zmaczyński. 

Co ciekawe, akcje obu amerykańskich certyfikatów rosną nie tylko wśród lokalnych operatorów, lecz także ich klientów. Według danych PMR co trzecia firma byłaby skłonna zapłacić więcej za usługi centrum danych posiadającego certyfikat Tier lub Rated. 

Przedsiębiorstwa coraz częściej wyłączają ze swojej struktury organizacyjnej zasoby IT i przekazują je podmiotom mającym certyfikaty przyznane przez niezależne międzynarodowe instytucje akredytujące. Świetnym przykładem jest certyfikacja centrów danych przez ANSI/TIA i Uptime Institute. Jeszcze kilka lat temu w Polsce była tylko jedna serwerownia z potwierdzonym standardem bezpieczeństwa takiego obiektu, obecnie mamy ich pięć, a zapowiadają się kolejne – mówi Tomasz Sobol, Chief Marketing Officer w Beyond.pl.

Oprócz norm ANSI/TIA-942:2014 oraz Uptime Institute ceniony jest też europejski standard ISO/IEC TS 22237, ISO 9001:2015, a także ISO 22301. Ostatni z wymienionych określa wymogi wobec systemu zarządzania, które mają zapobiec incydentom zakłócającym pracę, a gdyby do nich doszło, klient nie poniesie z tego powodu uszczerbku. Eksperci uważają, że w czasach, kiedy ciągłość działania ma pierwszorzędne znaczenie, właściciele centrów danych będą ubiegać się o tego typu świadectwa. 

Adam Dzielnicki, kierownik produktu w Atmanie, zauważa, że najpopularniejsze standardy koncentrują się na infrastrukturze fizycznej, całkowicie pomijając aspekt ludzki. Tymczasem o wielu procesach zachodzących w serwerowni decydują ludzie, których działania w niemałym stopniu wpływają na bezpieczeństwo i ciągłość pracy obiektu. Tę lukę ma wypełnić certyfikacja EPI-DCOS, definiująca aż 11 obszarów związanych z obsługą i utrzymaniem centrów danych. Oprócz aspektów związanych z serwisowaniem i usuwaniem usterek określa m.in. procedury dotyczące zarządzania zespołami obsługi, dostawcami i poziomem świadczonych usług, bezpieczeństwem fizycznym i utrzymaniem okablowania obiektów. Jak na razie jedynym europejskim operatorem, który może pochwalić się tym standardem, jest Atman. 

 

 

Zdaniem specjalisty 

Tomasz Sobol, Chief Marketing Officer, Beyond.pl

Certyfikacja centrum danych cały czas zyskuje na znaczeniu. Zwracają na nią uwagę nie tylko duże korporacje, lecz także mniejsze firmy. Paradoksalnie tym ostatnim może bardziej zależeć na korzystaniu z usług certyfikowanego centrum danych. Takie przedsiębiorstwa często nie mają rozbudowanego zespołu analityków ds. bezpieczeństwa i oceny ryzyka. Certyfikowane centrum danych to oszczędność czasu klienta, gdyż od razu zyskuje on gwarancję niezawodności infrastruktury, z której będzie korzystać. Dla integratorów ma to również ogromne znaczenie, kiedy projektują rozwiązanie dla klienta końcowego i chcą z czystym sumieniem budować je na bazie niezawodnych komponentów. 

Marcin Zmaczyński, dyrektor marketingu na Europę Środkowo-Wschodnią, Aruba Cloud

Wraz ze wzrostem świadomości na temat rozwiązań chmurowych klienci coraz częściej zwracają uwagę na centra danych z najwyższymi ratingami. Przeprowadzenie migracji to zadanie, które powinno być zrealizowane z uwzględnieniem analizy potencjalnego ryzyka, a dla większości firm brak dostępu do danych w chmurze oznacza poważne kłopoty w prowadzeniu działalności. Ten odsetek będzie rósł wraz z upowszechnianiem się rozwiązań chmurowych i ich rosnącej roli w działalności operacyjnej polskich przedsiębiorstw. 

Adam Dzielnicki, kierownik produktu, Atman

Rekomendacje i nowe regulacje prawne w obszarze bankowości i ochrony danych osobowych są i długo będą poważnym katalizatorem wzrostu znaczenia certyfikatów. Ostatnio poważnym wyzwaniem dla europejskich firm było rozporządzenie RODO. Niestety, mimo upływu prawie dwóch lat od wejścia w życie tej regulacji wiele z nich obawia się, że nie spełnia wymogów przez nią stawianych. Według raportu firmy Tanium problem ten dotyczy 67 proc. przedsiębiorstw. Certyfikaty, takie jak EPI-DCOS mogłyby znacząco pomóc firmom we wdrożeniu wytycznych europejskiego regulatora.

 

 

Symbioza z integratorem 

Operatorzy centrów danych chętnie podejmują współpracę z integratorami. W wielu przypadkach kooperacja z zewnętrznym partnerem jest tańsza niż zatrudnianie sztabu handlowców. Ponadto firmy IT często realizują złożone projekty, wnosząc tym samym wartość dodaną do oferty operatorów. 

Integratorzy nie są typowymi klientami centrów danych. To grupa przywiązująca dużą wagę do klasy komponentów. Najczęstszy model polega na absorpcji usług centrum danych i opracowaniu kompleksowych rozwiązań dla klientów końcowych. Dlatego chcą być pewni, że serwerownia nie będzie słabym ogniwem, które obniża jakość oferty – tłumaczy Łukasz Ozimek. 

Centra danych z prestiżowymi certyfikatami mają większe szanse na pozyskanie do współpracy integratorów niż ich konkurenci, którzy nie mogą pochwalić się takimi świadectwami. Jednak posiadanie nawet najbardziej wyśrubowanych norm w żaden sposób nie gwarantuje podtrzymania długiej i owocnej kooperacji. W tego typu relacjach bardziej liczą się: lojalność, warunki umowy, ceny usług, wspólne sukcesy, a także szybkość i elastyczność działania operatora. 

Robert Busz, dyrektor zarządzający Equinix Polska, zwraca też uwagę na odmienne postawy lokalnych i globalnych integratorów. Ci drudzy pytają o odpowiednią certyfikację w ramach standardowego procesu zakupowego. Z kolei mniejsi gracze kierują się najczęściej kosztami i to one są kluczowym kryterium wyboru. Inne czynniki, które czasami decydują o podpisaniu umowy, to możliwość współdziałania centrum danych z konkretnymi sieciami i dostawcami usług chmurowych, a także partnerzy należący do danego ekosystemu biznesowego. 

Jeszcze więcej certyfikatów 

Branża informatyczna rozwija się dynamicznie. Cały czas pojawiają się nowe wymagania, technologie, a w ślad za nimi wiele zagrożeń. Czy to oznacza, że wraz z wysypem technicznych nowości pojawią się kolejne certyfikaty dla centrów danych? Eksperci nie są w tym przypadku jednomyślni. Marcin Zmaczyński nie przewiduje nagłego wzrostu popularności nowych certyfikatów, bo w jego opinii najbliższe lata upłyną pod znakiem dominacji Uptime Institute z klasyfikacją Tier oraz ANSI i ich systemu oceny TIA-942:2014. Odmienne zdanie na ten temat ma Adam Dzielnicki, który uważa, że bardzo szybko będzie rosnąć popularność procesów związanych z certyfikacją chmur obliczeniowych. Najważniejsze wymagania stawiane tej grupie usług będą się odnosić do ochrony danych i ich dostępności. W tym kontekście szczególnie interesująca jest inicjatywa ENISA (Europejskiej Agencji Bezpieczeństwa Sieci i Informacji), która pracuje nad stworzeniem ogólnoeuropejskiego systemu certyfikacji dla usług chmurowych. Z kolei Łukasz Ozimek twierdzi, że wzrośnie rola certyfikatów spełniających potrzeby wybranych segmentów rynku. Za przykład może posłużyć sektor finansowy i wymogi KNF dotyczące lokowania zasobów podmiotów nadzorowanych w chmurze. Nie można też wykluczyć, że tożsame systemy regulacji i certyfikacji stworzą ochrona zdrowia i sektor edukacji.

Zdaniem integratora

Krzysztof Matowski, dyrektor handlowy, CPU Service

Klienci, wybierając usługi centrum danych, najczęściej kierują się kryterium cenowym, a następnie warunkami umowy i certyfikatami. Wprawdzie istnieje pewien odsetek firm, które nie przywiązują wagi do tego ostatniego czynnika, ale jest ich bardzo niewiele. Do najpopularniejszych certyfikatów należą ISO 9001:2015, ISO 27000, a także ISO 14000. Jednak o ile dwie pierwsze normy posiada już niemal każdy operator centrum danych, o tyle ISO 14000, czyli standard zarządzania środowiskiem, będzie coraz częściej interesował klientów. Z naszych obserwacji wynika, że wśród mniejszych firm wiedza na temat takich standardów przyznawanych przez Uptime Institute bądź ANSI jest znikoma. Zupełnie inaczej sytuacja wygląda w przypadku dużych firm międzynarodowych, doskonale zaznajomionych z tymi normami.