Договор для удаленных работников

Question

[sshz]

Я часто работаю с фрилансерами. Моя задача хоть как-то обезопасить себя от зловредных действий исполнителя.

Те с кем я работаю, это фрилансеры с хорошим опытом и отзывами, но давая фрилансеру, например, root доступ к серверу где хостится несколько проектов, все равно невольно задумываешься, что будет если человек возьмет и все удалит с сервера.

Моя идея в том, что бы заключить простейший онлайн договор с исполнителем, в котором будет описано, что ему передается закрытая информация и он несет ответственность за ее разглашение или использование во вред заказчику.

Такой договор подписанный, например, персональным аттестатом Webmoney исполнителя, плюс переписка и логи вполне могут быть аргументом в суде. Но главная цель такого договора не выиграть в суде, а защитится от плохих исполнителей, при наличии такого договора исполнитель вряд ли захочет наносить вред заказчику, а потом проверять кто выиграет в суде.

Вопросы я думаю понятны и без озвучивания их:
Есть ли системы позволяющие заключать подобные договора? Пользуетесь ли вы такими системами?

Answer 1

[xanep]

Почитайте вот это habrahabr.ru/blogs/my_business/81082/

Comments

[sshz]

Читал, все таки это немного не то, так как доказать что email-адрес это подпись исполнителя заметно сложнее, чем доказать, что подпись исполнителя это его персональный аттестат или ЭЦП.
Email-адресом может пользоваться не только он, например. Ответ «я согласен» по почте, не совсем то же самое, что подпись, хоть и онлайн, но договора.

[xanep]

Кому доказать сложнее? В суде? Автор вроде бы практикующий юрист, ему виднее. К тому же вы сами написали «главная цель такого договора не выиграть в суде, а защитится от плохих исполнителей». Мне кажется, не стоит всё усложнять, если в этом нет смысла. В любом случае, решать вам.

[sshz]

1. Ответить на письмо «я согласен» и подписать договор, хоть и электронный, даже психологически для исполнителя две разные вещи. Или мне исполнителям ссылку которая выше предварительно давать почитать в обязательном порядке?
2. Комментарии почитайте к теме, если думаете что автор поста все знает.

Answer 2

[mambet]

… при наличии такого договора исполнитель вряд ли захочет наносить вред заказчику

Вред можно нанести неосознанно.

Давать рутовый пароль ни в каком случае нельзя (даже вменяемому, казалось бы, фрилансеру) потому, что очень возможен такой сценарий:
1. Человек забивает этот пароль в WinSCP и сохраняет его там.
2. Вирус/кейлоггер у этого нерадивого человека собирает все пароли, в том числе и пароль к WinSCP и отправляет их «хакеру».
3. ????? (можете додумать сами :)

И ведь необязательно рутовый, даже просто пароль доступа ко «всем проектам» — уже плохо.

Недаром в некоторых параноидальных хостингах доступ к консольке (нерутовый!) дают на 24 часа и то — только после предъявления паспорта. Когда-то я возмущался, а теперь понимаю.

Так что:
1. Разделение прав доступа.
2. Бекапы.

Да и вообще, если, скажем, разработчику на сервере нужно сделать сборку и deploy проекта — пусть делает это какой-нибудь системой типа hudson, а не руками, а исходники выгружает в систему контроля версий. Это всё надо возиться и настраивать, зато безопаснее.

Comments

[sshz]

В данном случае речь не о разработчике, а о админе, который без рутового пароля никак не настроит сервер.

В остальном полностью поддерживаю, но вопрос опять же не в этом.

[mambet]

Понял. Тогда, конечно, без доступа никак. Но удалённый админ это страшно… Я бы только после личной встречи доверил бы ему бразды правления.

Answer 3

[Lev Lybin]

Недавно приняли закон об электронной подписи, поищите, пожалуйста, сами подробности, но теоретически можно заключать любые договора по удаленке теперь, думаю прочитав этот закон вам станет и ясно чем подписывать договор.

Comments

[sshz]

К сожалению тоже не подходит, ЭЦП о котором закон, прежде чем использовать нужно сделать, а это будет не проще чем подписать бумажный договор и отправить по почте.

Answer 4

[bdmalex]

но давая фрилансеру, например, root доступ к серверу где хостится несколько проектов…
Вот я бы на самом деле, на одном сервере, если бы держал несколько проектов, держал каждый в своём отдельном окружении. Технологий виртуализации придумана масса от jail,chroot до...OpenVZ…
Настроить один раз — и больше не трогать, а доступ давать только к отдельным проектам…

Comments

[sshz]

А кабы я была царицей… держал бы каждый проект на отдельном сервере :) Сервер взяли как раз, что бы уйти от OpenVZ и получить хорошую производительность.

[bdmalex]

Каждый проект на отдельном сервер — это очень правильное решение, причём некоторым даже одного сервера бывает маловато. И в архитектуре присутствует — множество серверов.

Answer 5

[eDissideNT]

Я работаю фрилансером с иностранными заказчиками, и они обычно присылают документ, я его распечатываю, подписываю, фотографирую и отсылаю фотки заказчику. Не знаю, насколько это защищено законом в России, но заказчики после этого, видимо, чувствуют себя защищёнными.

Comments

[sshz]

А где гарантия что подпись ваша?

[pietrovich]

Значит надо фотографировать себя с договором + договор с подписью + подпись на договоре с раскрытым паспортом на страничке с фоткой и подписью крупным планом. Эдакий zoom, от подписавшего до подписи ;)

Answer 6

[Homakov]

rightsignature :)