Напишите нам
Мы уточним наличие интересующего вас продукта у этого вендора
Напишите нам
Мы уточним срок действия сертификата интересующего вас продукта
Click to order
Корзина
Total:
Контактные данные
Поддержка
Если у вас возникли вопросы при пользовании сертифицированными продуктами напишите нам
Напишите нам
Хотите задать вопрос?
Мы Вам рады!
Мы Вам рады!
Сертифицировать ПО
Мы свяжемся с вами, чтобы обсудить процесс сертификации
Консультация
Опишите ваш вопрос, мы перезвоним и ответим на него.
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Стать партнером
Мы свяжемся с вами, чтобы уточнить детали совместной работы
Для улучшения работы сайта мы собираем данные cookie. Продолжая пользоваться сайтом, вы даете согласие на обработку данных в соответствии с договором.
Согласен.
Покупка сертифицированного ПО
Время на чтение: ~11 минут
Найти поставщика программного обеспечения в России сейчас не трудно: это мощная индустрия с оборотом в миллиарды рублей, тысячами компаний и десятками, если не сотнями тысяч опытных сотрудников. Но каковы особенности покупки именно сертифицированного ПО? Есть ли особые требования к поставщику (и, между прочим, к покупателю тоже)? Как пользователю сертифицированного ПО выбрать своего поставщика?
Комплект сертификации
Сертифицированное программное обеспечение состоит как бы из двух частей разной природы. Поэтому с практической точки зрения его покупка распадается на две части. Первая часть — это так называемый комплект сертификации ПО, который производит изготовитель. Как правило, это материальный объект — набор носителей данных и бумажных документов, хотя некоторые изготовители (как правило, разработчики) уже внедрили полностью безбумажные, электронные комплекты. Посмотрим, из чего состоят комплекты сертификации программного обеспечения, которые производит компания СИС.
Комплект поставляется в фирменной упаковке, в которую вкладываются все составные части комплекта. Состав комплекта может отличаться в зависимости от марки сертифицированного ПО. Прежде всего, в комплект входит заверенная изготовителем бумажная копия сертификата соответствия на программное средство.
Пожалуй, самое важное в комплекте сертификации — это формуляр продукта. Он индивидуален, в него вписывается уникальный идентификатор, состоящий из регистрационного номера системы сертификации ФСТЭК России (РОСС RU.01), номера сертификата соответствия и заводского (серийного) номера экземпляра сертифицированного ПО.
Комплект поставляется в фирменной упаковке, в которую вкладываются все составные части комплекта. Состав комплекта может отличаться в зависимости от марки сертифицированного ПО. Прежде всего, в комплект входит заверенная изготовителем бумажная копия сертификата соответствия на программное средство.
Пожалуй, самое важное в комплекте сертификации — это формуляр продукта. Он индивидуален, в него вписывается уникальный идентификатор, состоящий из регистрационного номера системы сертификации ФСТЭК России (РОСС RU.01), номера сертификата соответствия и заводского (серийного) номера экземпляра сертифицированного ПО.
До недавнего времени в формуляр вписывался только серийный номер, и дополнительно вклеивался специальный защитный знак — голографическая наклейка с эмблемой ФСТЭК и уникальным номером. С 22 июля 2021 года такие знаки больше не выдаются, и наклеивать их могут только те изготовители, у которых остался запас.
Также в комплект сертификации продукта входит носитель (оптический диск) с установочным комплектом (дистрибутивом) сертифицированного программного обеспечения. Этот носитель тиражируется либо правообладателем (или теми, кого он уполномочил на это), либо самим изготовителем (в зависимости от того, как они договорились). Но в любом случае носитель маркируется заводским (серийным) номером и, как правило, опечатывается пломбой изготовителя: это дополнительный способ обеспечить идентичность поставляемого дистрибутива эталонному, который проходил сертификационные испытания. Но пломба не заменяет проверку контрольных сумм пользователем!
Если правообладатель настаивает на использовании оригинальных, «фирменных» носителей с дистрибутивами, то такие дистрибутивы проверяются и опечатываются изготовителем, и после этого считаются «верифицированными», то есть сверенными с эталоном.
Остальные позиции относятся к эксплуатации и поддержке сертифицированного продукта. Абонемент на сертификационную поддержку подтверждает расширенные (к тем, что положены по закону) обязательства изготовителя. USB-ключ для доступа к порталу сертифицированных обновлений заказывается при первой поставке пользователю (а также для других филиалов), или если старый ключ потерялся или вышел из строя. В комплект может вкладываться бумажная лицензия на утилиты (служебные программы) для эксплуатации сертифицированной версии: проверки контрольных сумм, доставки сертифицированных обновлений, контроля уязвимостей и прочего. Наконец, на медиа-ките (отдельном оптическом диске) записаны сами эти утилиты, электронные версии эксплуатационной документации, а также программа для работы с USB-ключом.
Как продаются комплекты
Большая часть содержимого комплекта —это товар, продажа которого идет по договору поставки и облагается НДС. Платные же лицензии на утилиты поставляются по сублицензионному договору, в котором изготовитель выступает реселлером. Весь комплект изготовитель продает конечным заказчикам — либо напрямую, либо через своих партнеров.
Чтобы пользователи могли работать с привычными им поставщиками, изготовитель подключается в качестве «вендора» в привычный для сферы ИТ двухуровневый канал распределения. То есть поставки идут сначала дистрибьютору, а потом через его дилеров конечным заказчикам. Но также изготовители могут заключать прямые контракты с крупными интеграторами и магазинами ПО, которые работают с конечными пользователями напрямую. То есть получается смешанный, одно- и двухуровневый канал. Это дает преимущества всем сторонам этого процесса, и в конечном счете гибкость и удобство для конечного заказчика. Все стороны в этой цепочке привносят свою ценность. Чтобы вознаграждение для каждого участника цепочки было справедливым, изготовитель использует систему скидок. Важно отметить, что по закону изготовитель не имеет права устанавливать цены для конечных заказчиков – такие цены вырабатываются в результате конкуренции между разными поставщиками.
Чтобы пользователи могли работать с привычными им поставщиками, изготовитель подключается в качестве «вендора» в привычный для сферы ИТ двухуровневый канал распределения. То есть поставки идут сначала дистрибьютору, а потом через его дилеров конечным заказчикам. Но также изготовители могут заключать прямые контракты с крупными интеграторами и магазинами ПО, которые работают с конечными пользователями напрямую. То есть получается смешанный, одно- и двухуровневый канал. Это дает преимущества всем сторонам этого процесса, и в конечном счете гибкость и удобство для конечного заказчика. Все стороны в этой цепочке привносят свою ценность. Чтобы вознаграждение для каждого участника цепочки было справедливым, изготовитель использует систему скидок. Важно отметить, что по закону изготовитель не имеет права устанавливать цены для конечных заказчиков – такие цены вырабатываются в результате конкуренции между разными поставщиками.
Лицензионное ПО
Вторая часть сертифицированного программного обеспечения — это лицензия, неисключительное право на использование ПО. Это право передает (лицензирует) правообладатель ПО — обычно это его разработчик. Лицензия может продаваться (передаваться) пользователю либо напрямую этим правообладателем, либо через посредников: реселлеров, агентов и пр. Этот процесс ничем не отличается от продажи обычного, несертифицированного ПО, и его правила устанавливает правообладатель в соответствии с законом. Более того, обычно для сертифицированных версий правообладатели используют те же названия и номера, что и для соответствующих им несертифицированных версий. Приобретение прав на интеллектуальную собственность принципиально: этого требует, например, 149-ФЗ. Все участники канала поставок следят, чтобы это требование выполнялось.
Если у изготовителя нет исключительных прав на сертифицированное программное обеспечение, то возможны две схемы покупки лицензии пользователем: либо у изготовителя вместе с комплектом сертификации, либо у другого поставщика. При любой из схем тот, у кого приобретают лицензию (изготовитель или другой поставщик), должен заключить договор с правообладателем.
Сложно сказать, какая из схем будет удобнее для конечного пользователя. Иногда важнее покупка «из одних рук». Так можно быть уверенным, что покупается именно та лицензия и именно тот дистрибутив, который соответствует сертификату. С другой стороны, покупка лицензий через специализированного реселлера может быть и выгоднее, и такие реселлеры, как правило, лучше разбираются в тонкостях лицензирования.
Если у изготовителя нет исключительных прав на сертифицированное программное обеспечение, то возможны две схемы покупки лицензии пользователем: либо у изготовителя вместе с комплектом сертификации, либо у другого поставщика. При любой из схем тот, у кого приобретают лицензию (изготовитель или другой поставщик), должен заключить договор с правообладателем.
Сложно сказать, какая из схем будет удобнее для конечного пользователя. Иногда важнее покупка «из одних рук». Так можно быть уверенным, что покупается именно та лицензия и именно тот дистрибутив, который соответствует сертификату. С другой стороны, покупка лицензий через специализированного реселлера может быть и выгоднее, и такие реселлеры, как правило, лучше разбираются в тонкостях лицензирования.
Бывает, что у пользователя уже приобретена лицензия и даже есть носитель с дистрибутивом. В этом случае происходит процедура верификации (проверки, присвоения заводского номера и опечатывания) дистрибутива.
Как выбрать поставщика сертифицированного продукта?
Теперь, после того как разобрались со взаимоотношениями всех участников цепочки поставок, можно сформулировать требования, критерии для выбора поставщика сертифицированного ПО, кроме цены. Сложив, сопоставив их все, можно оценить разницу в цене как плату за удобство и спокойствие (разумеется, кроме тех случаев, когда требуется только минимальная цена). Можно составить вот такой контрольный список:
1
История отношений с поставщиком. Им может быть либо сам изготовитель, либо его дистрибьютор или прямой реселлер, либо дилер дистрибьютора. Конечно, договор можно заключить прямо перед поставкой, но история отношений снижает риски, говорит о существующем доверии, повышает шанс, что в случае каких-то трудностей партнеры пойдут навстречу, будут доверять друг другу.
2
Технические и лицензионные компетенции поставщика. Их отражением могут быть партнерские статусы разработчиков, сертифицированные специалисты в штате, авторизационные письма правообладателя. Это повышает уверенность в том, что правильно составят спецификацию, своевременно предупредят о возможных проблемах, а если проблемы всё же возникнут, то помогут решить их. Таким компаниям проще помочь, чем доказывать заказчику, что тот сам виноват.
3
Смежные компетенции. Проще, когда всё из одних рук. Меньше вероятность того, что пользователя «отфутболят». Важно не только то, что написано на сайте, но и опыт, список проектов, а еще лучше – подтвержденный со стороны.
4
Объем поставок. Когда поставки «на конвейере», и все операции делаются не в первый раз, то всё, как правило, происходит быстрее и без ошибок.
5
Финансовая отчетность, история судебных разбирательств поставщика.
А нужна ли продавцу лицензия ФСТЭК на поставку сертифицированного ПО? Нет, не нужна: согласно положению о лицензировании 79-ПП, этот вид деятельности не входит в лицензируемые. Так как по 44-ФЗ нужно разделять работы, требующие и не требующие лицензии, то те, кто покупает сертифицированные программные продукты по 44-ФЗ, не могут требовать лицензии ФСТЭК от своих поставщиков. А вот если требуется установка — то да, лицензия нужна. Однако, если установка входит в поставку, а не как отдельная услуга, то для ее оказания поставщик может привлечь лицензиата на субподряд.
Как выбрать изготовителя сертифицированного продукта?
Но у разработчиков, у которых нет ни лицензии ФСТЭК на разработку, ни возможности получить ее (это зарубежные разработчики), есть свои задачи и интересы, и у них тоже может возникнуть вопрос: а как выбрать изготовителя (который будет и заявителем) для своих продуктов? Хотя рынок достаточно узкий, но конкуренцию никто не отменял, и есть из кого выбрать. Вот простой контрольный список с критериями выбора:
1
Лицензия ФСТЭК. Вот тут она нужна: без лицензии ФСТЭК компания не сможет стать изготовителем, и, следовательно, заявителем. Соответственно, можно проверить лицензию изготовителя, ее срок, историю нарушений — так можно оценить вероятность того, что лицензию отзовут. Где это можно проверить? В реестре лицензий на сайте ФСТЭК.
2
Опыт работы: как срок работы в качестве изготовителя, так и количество выполненных проектов по сертификации. Чем больше опыт, тем лучше отлажены процессы.
3
Портфель разработчиков. Кто сертифицировал свои продукты? Есть ли среди них лидеры рынка, ведущие зарубежные разработчики. Где это можно узнать? На сайте заявителя, но еще и на сайте ФСТЭК, в реестре средств защиты. Смотрим, совпадают ли списки вендоров. Если есть расхождения, то изготовителю уместно задать вопрос.
4
Отношения с другими участниками системы сертификации. В процессе сертификации приходится иметь дело с разными испытательными лабораториями и аккредитованными органами. Смотрим, с кем из них работал заявитель за последние несколько лет, поддерживаются ли старые связи. Где это посмотреть? А там же, в реестре сертифицированных средств защиты.
5
Сила канала. Смотрим, кто у изготовителя в дистрибьюторах и прямых партнерах. Как развивается канал. Собираем отзывы участников канала.
6
Финансовые возможности. Объем и динамика продаж. Это важно, если проект затягивается из-за непредвиденных трудностей. Чтобы не бросили на полдороге, а довели любой ценой. Для этого смотрим бухгалтерскую отчетность.
7
Репутация. Смотрим историю судов, смотрим отзывы на форумах, на картах Яндекс и Google.
8
Гибкость. Готовность предложить разные варианты для проекта по сертификации и для последующих продаж.
9
Технические компетенции. Залог того, что справятся с трудностями и доведут до конца. Как проверить? Познакомиться с руководителем и ведущими специалистами технического отдела.
10
Готовность помогать, делиться знаниями, а не наживаться на трудностях и уникальной информации.
Выводы
1
Сертифицированное ПО состоит из лицензии на сам программный продукт и комплекта сертификации, и они могут поставляться разными путями.
2
Для продажи сертифицированного ПО используется комбинированная, смешанная схема через двухуровневый канал.
3
Для выбора поставщика можно использовать в общем те же критерии, что и для поставки другого ПО.
4
А вот заявителя нужно выбирать более тщательно, чем обычно, но, к счастью, это нетрудно, большинство информации в открытом доступе.