Những dấu hiệu đáng lo trong hợp đồng managed IT

Một hợp đồng managed IT tốt là hợp đồng cụ thể. Hợp đồng nên nêu rõ nhà cung cấp sẽ làm gì, thường phản hồi trong bao lâu, những gì không được bao gồm, cách tính/thu phí hoạt động như thế nào, và mỗi bên có thể chấm dứt thỏa thuận ra sao.

Hợp đồng kém chất lượng thường “che” phần quan trọng bằng ngôn ngữ chung chung. Các dấu hiệu cảnh báo phổ biến gồm: thời hạn tự gia hạn dài dòng, phạm vi hỗ trợ mơ hồ, cam kết bảo mật nhưng không có chi tiết, phần sao lưu không hề nói đến việc có kiểm thử hay không, và các khoản phí chỉ xuất hiện sau khi bạn bắt đầu cần hỗ trợ.

Managed IT thường được bán bởi MSP, tức nhà cung cấp dịch vụ quản trị (managed services provider). Đây là một công ty độc lập hỗ trợ và bảo trì từ xa công nghệ phục vụ doanh nghiệp theo phí hàng tháng. Hợp đồng quan trọng vì giá tháng không tự nói lên rằng bạn thực sự đang mua những gì.

Nếu nhà cung cấp không thể giải thích thỏa thuận bằng tiếng Anh đơn giản, đó đã là một dấu hiệu đỏ. Bạn không cần kỹ thuật để kỳ vọng các điều khoản rõ ràng.

Hãy để ý phạm vi nghe có vẻ “rộng” nhưng lại nói rất ít. Các cụm như "full IT support" (hỗ trợ IT toàn diện) hoặc "complete cybersecurity" (an ninh mạng toàn diện) không đủ nếu đứng một mình. Hợp đồng nên gọi tên các dịch vụ thực tế, như help desk, thiết lập thiết bị, vá lỗi (patching), kiểm tra sao lưu, phối hợp với nhà cung cấp (vendor coordination), và hướng dẫn gia nhập/loại bỏ tài khoản cho người dùng (user onboarding and offboarding).

Patching nghĩa là áp dụng phần mềm đã được phê duyệt và các bản cập nhật cho hệ thống. Endpoint là thiết bị của doanh nghiệp như laptop, máy bàn, máy chủ (server), máy tính bảng hoặc điện thoại. Nếu hợp đồng tính phí "per endpoint" (trên mỗi thiết bị đầu cuối), hãy đảm bảo hợp đồng ghi rõ những loại thiết bị nào được tính, và có bao gồm máy dự phòng, kiosk (quầy/trạm cố định) hay thiết bị cá nhân hay không.

Cẩn thận với ngôn ngữ về thời gian phản hồi. SLA nghĩa là thỏa thuận mức độ dịch vụ (service level agreement). SLA giải thích thời gian phản hồi mục tiêu và đôi khi cả thời gian khắc phục cho các mức độ sự cố khác nhau. Nếu hợp đồng nói nhà cung cấp có "priority support" (hỗ trợ ưu tiên) nhưng không đưa ra khung thời gian, giờ làm việc hay quy tắc ngoài giờ, bạn có thể đang trả tiền cho những lời hứa khó đo lường.

Ngôn ngữ về bảo mật cũng cần có chi tiết. MFA nghĩa là xác thực đa yếu tố (multi-factor authentication), thêm bước đăng nhập thứ hai ngoài mật khẩu. EDR nghĩa là phát hiện và phản hồi trên endpoint (endpoint detection and response), là phần mềm giúp phát hiện và điều tra các hoạt động đáng ngờ trên thiết bị doanh nghiệp. RMM nghĩa là giám sát và quản trị từ xa (remote monitoring and management), là phần mềm nhiều nhà cung cấp dùng để theo dõi tình trạng thiết bị và thực hiện bảo trì định kỳ. Nếu hợp đồng liệt kê các thuật ngữ này nhưng không nói ai là người triển khai, áp dụng ở đâu, cách rà soát thế nào, và phần nào bị loại trừ, hãy đặt câu hỏi.

Phần mô tả sao lưu cũng là nơi thường giấu vấn đề. Hợp đồng có thể nói rằng có sao lưu, nhưng không nêu rõ tần suất chạy ra sao, dữ liệu được lưu trong bao lâu, bản sao lưu được lưu ở đâu, và liệu việc khôi phục (recovery) có được kiểm thử hay không. Mô hình sao lưu 3-2-1 nghĩa là giữ 3 bản dữ liệu, trên 2 loại hình lưu trữ khác nhau, với 1 bản lưu ngoài địa điểm (offsite). Điều này không đảm bảo khả năng khôi phục, nhưng là một chuẩn hữu ích để hiểu. Nhà cung cấp trung thực sẽ không hứa hẹn không downtime (không gián đoạn), không thể bị xâm nhập, hay khôi phục chắc chắn trong mọi tình huống.

Ngoài ra, hãy xem xét điều khoản sở hữu và chấm dứt (exit). Doanh nghiệp của bạn nên giữ quyền rõ ràng đối với dữ liệu của chính mình, tên miền, giấy phép phần mềm mà bạn đã thanh toán, và các hồ sơ hành chính (administrative records). Thỏa thuận nên giải thích khi offboarding (kết thúc dịch vụ) sẽ diễn ra điều gì, dữ liệu được trả lại ra sao, có phí chuyển tiếp hay không, và cách ngừng tự gia hạn như thế nào.

Một hợp đồng yếu có thể gây rối ngay đúng thời điểm bạn cần được hỗ trợ. Nếu nhân viên không thể làm việc, kết nối internet không ổn định, hoặc một bên thứ ba cần phối hợp kỹ thuật, phạm vi mơ hồ có thể biến một yêu cầu đơn giản thành tranh luận về những gì được bao gồm.

Nó cũng có thể ảnh hưởng đến kế hoạch ngân sách. Nhiều chủ doanh nghiệp nghĩ rằng họ đang mua "all-inclusive IT" (IT trọn gói), rồi sau đó phát hiện các khoản phí riêng cho thiết lập người dùng mới, công việc ngoài giờ, hỗ trợ cloud, thay đổi tường lửa (firewall), công việc theo dự án, đến làm tại chỗ (onsite visits), hoặc xử lý với các nhà cung cấp internet và phần mềm. Các khoản phí phát sinh không phải lúc nào cũng sai, nhưng chúng không nên là bất ngờ.

Ngôn ngữ hợp đồng kém cũng khiến việc so sánh giữa các nhà cung cấp khó hơn. Một công ty có thể bao gồm các công cụ bảo mật và các buổi họp lập kế hoạch định kỳ, trong khi công ty khác tính riêng các hạng mục đó. vCIO nghĩa là giám đốc thông tin ảo (virtual chief information officer), thường được dùng để chỉ việc hỗ trợ lập kế hoạch chiến lược từ một nhà cung cấp ở bên ngoài. Nếu một đề xuất có các buổi họp vCIO và đề xuất khác không có, thì mức giá theo tháng không tương đương, ngay cả khi chúng trông có vẻ gần giống nhau.

Cũng có rủi ro kinh doanh khi trách nhiệm không rõ ràng. Ví dụ, nếu hợp đồng nói nhà cung cấp sẽ "support compliance" (hỗ trợ tuân thủ) mà không giải thích cách thức, bạn có thể hiểu nhiều hơn so với phần họ thực sự cung cấp. HIPAA là Đạo luật về trách nhiệm giải trình và cung cấp khả năng chuyển đổi bảo hiểm y tế (Health Insurance Portability and Accountability Act), một luật về quyền riêng tư và bảo mật trong chăm sóc sức khỏe tại Mỹ. PCI là Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh Toán (Payment Card Industry Data Security Standard), là một bộ yêu cầu dành cho các doanh nghiệp xử lý dữ liệu thẻ thanh toán. SOC 2 là khung báo cáo mà nhiều nhà cung cấp phần mềm dùng để thể hiện cách họ xử lý các biện pháp kiểm soát bảo mật. Yêu cầu có thể khác nhau theo ngành và theo từng bang, vì vậy hợp đồng nên nêu vai trò của nhà cung cấp bằng thuật ngữ đơn giản, không gợi ý về phạm vi tuân thủ rộng.

Với một quản lý văn phòng bận rộn hoặc chủ doanh nghiệp, sự rõ ràng giúp tiết kiệm thời gian. Bạn muốn biết ai xử lý các vấn đề hằng ngày, nhân sự của bạn nên kỳ vọng gì, các hệ thống nào được bao phủ, và cách rời đi nếu lựa chọn không phù hợp.

Với các doanh nghiệp nhỏ và vừa tại Mỹ, IT quản trị đầy đủ (fully managed IT) thường bắt đầu khoảng 100 đến 250 USD mỗi người dùng mỗi tháng, hoặc đôi khi tính theo mỗi thiết bị, tùy theo mô hình dịch vụ. Ở một số thị trường hoặc khi nhu cầu bảo mật và tuân thủ nặng hơn, chi phí có thể cao hơn. Các khoảng này không phải là báo giá.

Con số thực tế phụ thuộc vào số lượng nhân sự (headcount), số lượng thiết bị, số địa điểm, các ứng dụng cloud, nhu cầu máy chủ, công cụ bảo mật, giờ hỗ trợ và khu vực của bạn. Một hợp đồng trông có vẻ rẻ có thể đơn giản là đã loại bỏ các phần việc quan trọng, rồi sau đó tính thêm khi bạn cần dưới dạng dự án hoặc ngoại lệ.

Bạn cũng có thể thấy có phí thiết lập (setup fees), phí onboarding, hoặc chi phí dự án riêng cho các thay đổi lớn. Điều này là phổ biến. Điều quan trọng là hợp đồng có tách bạch rõ giữa hỗ trợ định kỳ và công việc một lần hay không.

Nếu thỏa thuận có bao gồm phần mềm, hãy yêu cầu danh sách theo từng hạng mục (line-by-line). Bạn nên biết các công cụ như MFA, EDR, phần mềm sao lưu, bảo mật email, hoặc quản trị Microsoft 365 có nằm trong phí hàng tháng hay không, có được tính riêng hay thuộc sở hữu của bên thứ ba.

Thỏa thuận dài hạn không phải lúc nào cũng xấu, nhưng phải đi kèm lợi ích thực. Nếu nhà cung cấp muốn cam kết 2 hoặc 3 năm, hãy hỏi bạn nhận lại gì, ví dụ chi phí onboarding thấp hơn, có hỗ trợ triển khai phần cứng đã bao gồm, hoặc mức giá ổn định. Nếu không có lợi ích rõ ràng, một thời hạn ban đầu ngắn hơn có thể an toàn hơn.

Trước khi ký, hãy yêu cầu nhà cung cấp đi cùng bạn xem từng mục trong hợp đồng theo tiếng Anh đơn giản. Bạn đang lắng nghe các câu trả lời rõ ràng, không phải ngôn ngữ được trau chuốt. Nếu họ không thể giải thích phần nào được bao gồm, phần nào là phát sinh, và mối quan hệ sẽ kết thúc như thế nào, thì bạn nên tiếp tục tìm hiểu.

Việc so sánh ít nhất hai hoặc ba lựa chọn cạnh nhau sẽ hữu ích. Hãy dùng cùng một bộ câu hỏi cho mỗi nhà cung cấp để bạn có thể so sánh phạm vi, giờ hỗ trợ, công cụ bảo mật, cách sao lưu, thời hạn hợp đồng và quy trình chấm dứt (exit process). Trang services và answers của chúng tôi có thể giúp bạn nắm kiến thức cơ bản trước khi nói chuyện với bất kỳ ai.

Nếu bạn muốn, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp managed IT độc lập phù hợp với quy mô, ngân sách và nhu cầu của bạn. Chúng tôi là dịch vụ ghép nối miễn phí. Chúng tôi không quản trị hệ thống và không truy cập vào tài khoản của bạn. Chúng tôi chỉ sử dụng thông tin doanh nghiệp và thông tin liên hệ của bạn để giúp bạn kết nối với các nhà cung cấp. Bạn có thể get matched khi bạn sẵn sàng.