Onderdelen van de escrowregeling SaaS

Welke regeling je ook nodig hebt, hij bestaat uit drie onderdelen: escrow-overeenkomst, verificatie & depot.
Overleg Escrow Regelingen

1. De escrow-overeenkomst (juridisch)

De escrow-overeenkomst is het juridische document waarin je alle gemaakte afspraken vastlegt. 

We geven de materialen die bij ons in bewaring zijn gegeven (het depot) vrij aan de begunstigde of stichting, als de softwareleverancier niet langer de continuïteit van de softwareapplicatie kan waarborgen. Dan treden de afspraken over tijdelijke voortzetting van de diensten in werking die eventueel zijn overeengekomen met de serviceprovider. We geven de materialen vrij onder strikte voorwaarden en op basis van verifieerbare feiten die in overeenstemming moeten zijn met de gronden tot voortzetting uit de escrow-overeenkomst. 

Dus:

  • de escrow-overeenkomst beschermt de continuïteit van de begunstigde
  • de strikte controle op de vooraf bepaalde gronden tot voortzetting beschermen ook de continuïteit van de leverancier

2. De technische verificatie (controle)

We controleren het materiaal dat in depot wordt gegeven, zodat softwareleveranciers en -gebruikers er zeker van kunnen zijn dat het materiaal volledig is en goed werkt. Dat noemen we Technische Verificatie Service (TVS). Die voeren we uit op vier niveaus (TVS Levels), afhankelijk van de situatie en de wensen van leverancier en gebruiker.

 

TVS Level I – Integriteitsverificatie

Deze basisverificatie is standaard in onze dienstverlening, we voeren deze uit op iedere aanlevering van materiaal. Het is een basisverificatie, inclusief controle op de integriteit van het materiaal. Het biedt de zekerheid dat het materiaal dat is gedeponeerd onder andere virusvrij, toegankelijk en van het verwachte type is.

 

TVS Level 2 – Materiaal-audit

Dit is een basisverificatie, inclusief een audit op het materiaal dat in depot wordt gegeven. 

  • We verifiëren onder meer door steekproeven (spotchecks) op het materiaal. 
  • We controleren of specifieke afspraken ten aanzien van het materiaal zijn nagekomen.
  • We stellen vast of bibliotheken of bestanden aanwezig zijn.
 

TVS Level 3 – Volledige verificatie

Met volledige verificatie kan worden aangetoond dat het materiaal dat is gedeponeerd, voldoet aan de gestelde continuïteitsdoeleinden van de escrowregeling. Een escrow voor SaaS kent verschillende invullingen van de volledige verificatie, geheel afhankelijk van de constructie van de escrow voor SaaS regeling waarbij het hoofddoel altijd is om na te gaan of het gedeponeerde materiaal voldoet aan de gestelde continuïteitsdoeleinden. Zo kan de verificatie zich richten op onder meer het technisch voortzetten van de applicatie- en hostingomgeving, het re-deployen van de applicatie in een andere omgeving, het herbouwen van de applicatie, tot en met een uitwijk vergelijkbaar met disaster recovery. Een volledige verificatie kan worden vergeleken met een brandoefening — onze verificatie-consultant simuleert de stappen die ook worden gezet in een escrow situatie.

De scope van de volledige verificatie wordt van tevoren besproken met de betrokken partijen en vastgelegd in een projectplan. Zo is het voor alle partijen duidelijk welke testen worden doorgevoerd en wat de te verwachten resultaten dienen te zijn. Over het algemeen betreft de volledige verificatie van SaaS dan ook maatwerk en kan onder andere bestaan uit;

  • Is er toegang tot de benodigde servers en applicatieomgeving?
  • Is er voldoende informatie en documentatie voorhanden om de SaaS-dienst te kunnen continueren?
  • Zijn er voldoende (beheer-) rechten verstrekt om de SaaS-dienst te kunnen continueren?
  • Kan de applicatieomgeving opnieuw worden opgebouwd of elders worden gedeployed?
  • Kan er worden overgeschakeld op de uitwijkomgeving van de applicatie?
  • Compileert de broncode onder meer op basis van de informatie die in het depot is opgenomen?
  • Is er toegang tot de benodigde data?

    TVS-level 3 wordt uitgevoerd in het softwarelab van Escrow Alliance of indien nodig dan wel wenselijk op locatie van de softwareleverancier.

 

TVS Level 4 – Verificatie op maat

Verificatie op maat is mogelijk, denk aan:

  • componenten van de software testen
  • checken hoe de software zich verhoudt in een complexe omgeving 
  • specifieke controles die op jouw situatie van toepassing zijn

3. Het depot (veilige opslag)

Het depot (escrowdepot) bestaat uit materialen die nodig zijn om de continuïteit te borgen als de leverancier wegvalt. Het materiaal moet daarom alles bevatten om de gewenste continuïteit te waarborgen.

Denk aan:

  • Broncode
  • Executables
  • Applicatie
  • Gevirtualiseerde machines (VM’s) 
  • Containers, zoals bijvoorbeeld Docker Container, voor een snelle deploy van de applicaties in je eigen omgeving
  • Data
  • (Toegangs)gegevens hosting/clouddiensten
  • Documentatie herinrichting SaaS-omgeving


Bij escrow voor SaaS bestaat het materiaal dus niet alleen uit broncode. In sommige gevallen speelt de broncode zelfs geen rol.

 

Hoe kun je aanleveren?

We maken het aanleveren van materiaal graag zo eenvoudig, efficiënt en beheersbaar mogelijk. Daarom kijken we naar de mogelijkheden die de softwareleverancier heeft.

Aanleveren kan bijvoorbeeld via:

  • secure ftp
  • diverse broncode-beheersystemen zoals GitLab, GitHub, Bitbucket 
  • Cloudomgevingen
  • een mix van aanlevermethoden
 

Duale opslag

Escrow Alliance biedt standaard duale opslag van materiaal. Dat wil zeggen dat we een kopie van het depot bewaren op een geografisch gescheiden locatie. 

De opslag vindt plaats in Nederland en kan:

  • fysiek, in speciaal daarvoor ingerichte data-kluizen
  • elektronisch, op goed beveiligde servers
  • zowel fysiek als elektronisch

 

De kluizen zijn ISO 9001 en ISO 27001 gecertificeerd, net als Escrow Alliance zelf. Alleen geautoriseerd en gescreend personeel heeft toegang tot de kluizen.


Wat als Escrow Alliance wegvalt?

In de escrow-overeenkomst leggen we standaard vast dat de depots worden teruggegeven aan de leverancier of naar een nieuw aangewezen Escrow-agent gaan, als Escrow Alliance onverhoopt wegvalt. Om deze belofte na te kunnen komen, beheert de Stichting Continuïteit en Waarborg Escrow Alliance (SCWEA) de kluizen. De stichting heeft het recht om materialen in dat geval te retourneren.

Wat is voor jouw situatie
de best passende oplossing?

Oriënteer je op de mogelijkheden, we denken graag met je mee.