Onderdelen van de escrowregeling software

De softwareleverancier levert de software-onderdelen onder strikte voorwaarden aan ons als onafhankelijke escrow-agent. Wij beheren deze software in een speciaal en goed beveiligd depot waar niemand bij kan.

Er zijn twee basisvarianten.  

Overleg Escrow Regelingen

1. De escrow-overeenkomst (juridisch)

De escrow-overeenkomst is het juridische document waarin je alle gemaakte afspraken vastlegt.

We geven de materialen die bij ons in bewaring zijn gegeven (het depot) vrij aan de begunstigde of stichting, als de softwareleverancier niet langer de continuïteit van de softwareapplicatie kan waarborgen. Dan treden de afspraken over tijdelijke voortzetting van de diensten in werking die eventueel zijn overeengekomen met de serviceprovider. We geven de materialen vrij onder strikte voorwaarden en op basis van verifieerbare feiten die in overeenstemming moeten zijn met de gronden tot voortzetting uit de escrow-overeenkomst.

Dus:

  • de escrow-overeenkomst beschermt de continuïteit van de begunstigde
  • de strikte controle op de vooraf bepaalde gronden tot voortzetting beschermen ook de continuïteit van de leverancier

2. De technische verificatie (controle)

We controleren het materiaal dat in depot wordt gegeven, zodat softwareleveranciers en -gebruikers er zeker van kunnen zijn dat het materiaal volledig is en goed werkt. Dat noemen we Technische Verificatie Service (TVS). Die voeren we uit op vier niveaus (TVS Levels), afhankelijk van de situatie en de wensen van leverancier en gebruiker.

 

TVS Level I – Integriteitsverificatie

Deze basisverificatie is standaard in onze dienstverlening, we voeren deze uit op iedere aanlevering van materiaal. Het is een basisverificatie, inclusief controle op de integriteit van het materiaal. Het biedt de zekerheid dat het materiaal dat is gedeponeerd onder andere virusvrij, toegankelijk en van het verwachte type is.

 

TVS Level 2 – Materiaal-audit

Dit is een basisverificatie, inclusief een audit op het materiaal dat in depot wordt gegeven.

  • We verifiëren onder meer door steekproeven (spotchecks) op het materiaal.
  • We controleren of specifieke afspraken ten aanzien van het materiaal zijn nagekomen.
  • We stellen vast of bibliotheken of bestanden aanwezig zijn.
 

TVS Level 3 – Volledige verificatie

Bij een volledige verificatie voor een escrowregeling voor software tonen we aan dat het materiaal dat is gedeponeerd, voldoet aan de gestelde continuïteitsdoeleinden van de escrowregeling. Het is vergelijkbaar met een brandoefening — onze verificatieconsultant simuleert de stappen die we ook zetten bij afgifte van het depot.

Bij een software-escrowregeling controleren we of we de softwareapplicatie opnieuw kunnen opbouwen en onderhouden.

  • We compileren de broncode onder meer op basis van de informatie die in het depot is opgenomen.
  • We verifiëren of dat overeenkomt met de softwareapplicatie die aan de softwaregebruiker beschikbaar is gesteld


We kunnen de TVS level 3 uitvoeren op een locatie van de softwareleverancier of in het softwarelab van Escrow Alliance.

 

TVS Level 4 – Verificatie op maat

Verificatie op maat is mogelijk, denk aan:

  • componenten van de software testen
  • checken hoe de software zich verhoudt in een complexe omgeving
  • specifieke controles die op jouw situatie van toepassing zijn

3. Het depot (veilige opslag)

Het depot (escrowdepot) bestaat uit materialen die nodig zijn om de continuïteit te borgen als de leverancier wegvalt.

Bij escrow voor broncode bestaat het materiaal uit:

  • de broncode
  • technische documentatie waarmee een engineer de broncode kan toepassen
  • eventuele afhankelijkheden van bibliotheken van derden
 

Hoe kun je aanleveren?

We maken het aanleveren van materiaal graag zo eenvoudig, efficiënt en beheersbaar mogelijk. Daarom kijken we naar de mogelijkheden die de softwareleverancier heeft.
Aanleveren kan bijvoorbeeld via:

  • secure ftp
  • diverse broncode-beheersystemen zoals GitLab, GitHub, Bitbucket
  • een mix van aanlevermethoden
 

Altijd actueel materiaal in depot?

Hoe vaak je het materiaal moet aanleveren is afhankelijk van de gemaakte afspraken. Het is bij ons in elk geval mogelijk om real-time te deponeren. Dat betekent dat wij de materialen continu online actualiseren. We verwerken het materiaal dan tot een officieel geregistreerd depot op vooraf afgestemde momenten of ad-hoc.

 

Duale opslag

Escrow Alliance biedt standaard duale opslag van materiaal. Dat wil zeggen dat we een kopie van het depot bewaren op een geografisch gescheiden locatie.

De opslag vindt plaats in Nederland en kan:

  • fysiek, in speciaal daarvoor ingerichte data-kluizen
  • elektronisch, op goed beveiligde servers
  • zowel fysiek als elektronisch

De kluizen zijn ISO 9001 en ISO 27001 gecertificeerd, net als Escrow Alliance zelf. Alleen geautoriseerd en gescreend personeel heeft toegang tot de kluizen.


Wat als Escrow Alliance wegvalt?

In de escrow-overeenkomst leggen we standaard vast dat de depots worden teruggegeven aan de leverancier of naar een nieuw aangewezen escrow-agent gaan, als Escrow Alliance onverhoopt wegvalt. Om deze belofte na te kunnen komen, beheert de Stichting Continuïteit en Waarborg Escrow Alliance (SCWEA) de kluizen. De stichting heeft het recht om materialen in dat geval te retourneren.

Wat is voor jouw situatie
de best passende oplossing?

Oriënteer je op de mogelijkheden, we denken graag met je mee.