Jak zabezpieczyć dostęp do oprogramowania

Wyobraźmy sobie, że oto bank zostaje pozbawiony możliwości dokonywania aktualizacji systemu odpowiedzialnego za prowadzenie internetowych rachunków bankowych swoich klientów - dla banku oznacza to stratę dużej części klientów i w konsekwencji wymierne straty finansowe.

Umowa depozytu kodu źródłowego, często zwana escrow agreement, jest umową związaną z transakcją IT, której przedmiotem jest oddanie w depozyt kodu do oprogramowania komputerowego. Przedsiębiorcy powinni zadbać, żeby przedmiot depozytu określony w tej umowie nie składał się wyłącznie z kodu źródłowego, ale również z kompletu dokumentacji projektowej i użytkowej związanej z danym system komputerowym oraz narzędzi programowych umożliwiających stworzenie kodu wynikowego. Dodatkowo, jeżeli w trakcie trwania umowy licencyjnej i umowy wsparcia danego systemu zostają dokonane zmiany w oprogramowaniu, które powodują zmiany w kodzie źródłowym, należy zadbać o to, aby licencjodawca miał obowiązek aktualizacji kodu źródłowego. Warto rozważyć w tym celu implementowanie do escrow agreement postanowienia umownego obligującego licencjodawcę do aktualizacji kodu źródłowego, np. co trzy miesiące lub też po każdej zmianie kodu. Analogiczny obowiązek powinien odnosić się do zmian w dokumentacji. Zatem przedmiotem depozytu powinien być za każdym razem aktualny kod źródłowy oraz aktualna dokumentacja.

W przypadku umów zawieranych z podmiotem zagranicznym - w tym w szczególności ze Stanów Zjednoczonych - praktyką jest zawieranie umowy trójstronnej z wyspecjalizowanym podmiotem, u którego składa się w depozyt kod oprogramowania. W Polsce nie ma takich wyspecjalizowanych instytucji, dlatego depozytariuszem jest najczęściej notariusz. W takim przypadku umowa powinna przewidywać przede wszystkim miejsce złożenia depozytu (adres kancelarii notarialnej) oraz wskazywać, która ze stron ponosi koszty depozytu. Dodatkowo, jeżeli to spółka informatyczna składa depozyt, to umowa - dla bezpieczeństwa klienta - winna zobowiązywać tę spółkę do przekazania klientowi kopii protokołu ze złożenia depozytu.

Z pewnością najważniejszym elementem umowy depozytu kodu źródłowego jest określenie przesłanek, które umożliwiają podjęcie tego depozytu, czyli pozwolą na dostęp do kodów źródłowych, dokumentacji oraz stosownych narzędzi programowych przez klienta spółki informatycznej. Interesy obydwu stron umowy mogą być w tym zakresie rozbieżne. W interesie spółki informatycznej, która udostępnia program komputerowy, udzielając licencji oraz świadcząc przy tym bardzo często usługi utrzymania systemu informatycznego (naprawa błędów, dokonywania aktualizacji, itp.), jest dążenie do maksymalnego ograniczenia na rzecz innych podmiotów dostępu do kodów źródłowych aplikacji komputerowej. Wynika to z faktu, że udzielenie licencji oraz serwis danego oprogramowania jest podstawowym źródłem przychodu spółek informatycznych. Uzyskanie dostępu do kodów źródłowych przez klientów spółki IT potencjalnie umożliwia im samodzielną eksploatację systemu, już bez pomocy integratora. Z kolei dla klienta, którego biznes opiera się w znacznej mierze na korzystaniu z aplikacji komputerowej, istotne jest, aby zapewnić ciągłość w prawidłowym funkcjonowaniu aplikacji, bez względu np. na kondycję finansową, problemy organizacyjne lub zmianę strategii lub profilu działalności spółki informatycznej licencjonującej oprogramowanie komputerowe.

Widać zatem wyraźnie, że klienci dążą w toku negocjacji do ustalenia dość szerokich przesłanek, po spełnieniu których otrzymują dostęp do kodów. Spółki informatyczne zaś, w obawie przez konkurencją, utratą zysków, a coraz częściej także przed naruszeniem autorskich praw do systemu, starają się o implementowanie takich przesłanek, które uprawniają klienta do podjęcia kodów jedynie w skrajnych sytuacjach. Dla przykładu, zasadniczo żadna ze stron nie ma problemu z ustaleniem, iż możliwe jest podjęcie kodów w sytuacji: ustania bytu prawnego licencjodawcy, bankructwa, zaprzestania prowadzenia przez licencjodawcę działalności gospodarczej. Z kolei duże opory ze strony spółki informatycznej będzie napotykała próba implementacji postanowień, zgodnie z którymi kod może zostać podjęty, gdy: n przez oznaczony okres czasu licencjodawca nie będzie wywiązywał się skutecznie z obowiązków naprawy i serwisowania systemu, n przedsiębiorstwo licencjodawcy zostanie sprzedane, n licencjodawca podniesie wynagrodzenie za utrzymywanie systemu, n lub po prostu zostanie rozwiązana umowa serwisowa.

Kiedy już strony dojdą do porozumienia w zakresie ustalenia przesłanek do podjęcia przedmiotu depozytu, rekomendowałbym wskazanie w umowie escrow zakresu korzystania przez klienta z kodów oraz dokumentacji. Uprzednie wskazanie w umowie takiego zakresu minimalizuje ryzyko uznania, że klient korzysta z przedmiotu depozytu z naruszeniem praw podmiotowych (zwłaszcza praw autorskich) licencjodawcy.

Kolejnym elementem, który strony mogą przewidzieć w umowie depozytu kodu źródłowego, jest wskazanie, czy i na jakich warunkach klient może dokonać sprawdzenia, czy w depozycie znajduje się prawdziwa i dokładna wersja kodu źródłowego oprogramowania oraz jego aktualizacji, jak również czy złożona dokumentacja jest kompletna. Dodatkowo, co leży w interesie licencjobiorcy, można rozważyć ustanowienie sankcji dla licencjodawcy w sytuacji, kiedy wyniki testów wskazałyby, iż kody i dokumentacje złożone w depozycie są błędne i nieaktualne.