054.2 Bài 1

Khi dịch vụ phần lớn hoặc hoàn toàn dựa vào phần mềm mã nguồn mở, chúng ta có thể gọi đó là một mô hình kinh doanh mã nguồn mở. Vì phần mềm mã nguồn mở có thể được tải xuống và sử dụng mà không phải trả phí nên các mô hình kinh doanh dịch vụ mã nguồn mở đã phát triển các sản phẩm và dịch vụ cụ thể dựa trên tỷ lệ phần mềm tự do trong sản phẩm thực tế bên cạnh nhiều yếu tố khác.

Nếu toàn bộ phần mềm đều tuân theo một giấy phép tự do, mô hình kinh doanh có thể bao gồm cả việc lưu trữ — tức là cung cấp phần mềm trên một nền tảng đáng tin cậy và an toàn. Mô hình này sẽ loại bỏ công sức và rủi ro trong quá trình vận hành máy chủ từ phía khách hàng. Đổi lại, khách hàng sẽ trả phí cho nhà cung cấp dịch vụ để sử dụng. Chi phí có thể liên quan đến số lượng tài khoản người dùng, khối lượng dữ liệu được lưu trữ / chuyển giao hoặc các khoảng thời gian nhất định. Trong một số trường hợp, nhiều nhà cung cấp khác nhau sẽ cung cấp các dịch vụ trả phí cho cùng một phần mềm mã nguồn mở.

Mô hình kinh doanh phổ biến này thường liên quan đến việc đăng ký (subscriptions) nơi khách hàng trả phí hàng tháng hoặc hàng năm để truy cập dịch vụ. Quyền truy cập thường được kết hợp với các dịch vụ hoặc chức năng bổ sung. Nhà cung cấp có thể cung cấp nhiều cấp đăng ký, tính phí cao hơn cho nhiều tính năng hơn, nhiều người dùng hơn, nhiều dịch vụ toàn diện hơn hoặc đảm bảo mức độ tin cậy cao hơn. Một số nhà cung cấp cũng có thể cung cấp một mức dịch vụ cơ bản miễn phí - một biến thể của mô hình “freemium”.

Một nguồn doanh thu phổ biến khác cho mô hình kinh doanh của nhà cung cấp dịch vụ mã nguồn mở là cung cấp dịch vụ hỗ trợ. Hỗ trợ ở đây bao gồm việc tư vấn, cung cấp tài liệu và hướng dẫn cho người dùng khi gặp sự cố trong quá trình sử dụng phần mềm. Nếu khách hàng mong muốn lưu trữ phần mềm tự do trên máy chủ của riêng họ, chỉ riêng việc cài đặt đã thường gây ra nhiều khó khăn vì người dùng có thể sẽ cần cài đặt các công cụ và thư viện hỗ trợ khác, hoặc họ không biết đặt chúng ở đâu để tất cả các thành phần có thể hoạt động cùng nhau hoặc gặp sự cố trên phần cứng và hệ điều hành của mình. Do đó, dịch vụ hỗ trợ và đào tạo từ nhà cung cấp dịch vụ là rất có giá trị.

Các dịch vụ bổ sung (chẳng hạn như các tính năng bổ sung về chức năng hoặc liên quan đến bảo mật) cũng có thể được phát triển và cung cấp cụ thể cho từng khách hàng. Các tính năng hoặc điều chỉnh tuân theo các yêu cầu cụ thể của khách hàng đối với phần mềm như vậy là một sự bổ sung cầu kỳ và có khả năng tăng sinh lợi cho mô hình kinh doanh. Sau đó, nhà cung cấp dịch vụ và khách hàng sẽ quyết định xem các phần bổ sung này sẽ được đưa trở lại vào dự án cơ bản dưới dạng phần mềm tự do hay sẽ trở thành phần mềm độc quyền.

Một số dự án mã nguồn mở có cung cấp mô hình cấp phép kép. Phần mềm sẽ có sẵn theo giấy phép phần mềm tự do và đáp ứng nhu cầu của rất nhiều người dùng. Tuy nhiên, một số người dùng sẽ muốn kết hợp phần mềm này vào một sản phẩm độc quyền; điều này sẽ không thể thực hiện được nếu nó tuân theo một giấy phép tương hỗ. Do đó, một giấy phép dựa trên bản quyền tiêu chuẩn đã được cung cấp cho những người dùng này. Mô hình cấp phép kép sẽ hiệu quả nhất đối với sản phẩm cơ sở dữ liệu vì có nhiều công ty muốn cung cấp một cơ sở dữ liệu giàu tính năng và hiệu quả dưới dạng một phần của một sản phẩm phần mềm độc quyền.

Trong mô hình doanh thu quảng cáo, khách hàng sẽ không phải trả tiền để truy cập vào dịch vụ. Thay vào đó, nhà cung cấp dịch vụ sẽ hiển thị quảng cáo cho khách hàng sử dụng dịch vụ và tính phí các công ty muốn đặt quảng cáo của mình. Các nhà cung cấp dịch vụ mã nguồn mở thường tránh sử dụng các dịch vụ quảng cáo độc quyền do lo ngại về quyền riêng tư của người dùng. Tuy nhiên, các dịch vụ quảng cáo mã nguồn mở thay thế sẽ không tham gia vào việc theo dõi quảng cáo xâm lấn.

Trong mô hình dựa trên hoa hồng, nhà cung cấp dịch vụ sẽ nhận được phần trăm hoặc một khoản phí để quản lý các giao dịch thông qua dịch vụ trực tuyến của họ. Mô hình này là cơ sở cho hầu hết các trang web thương mại điện tử, trang web đặt vé du lịch và bộ xử lý thanh toán. Rất nhiều dự án mã nguồn mở trong không gian này là các nền tảng mang mục đích chung được nhà cung cấp dịch vụ tự lưu trữ hoặc được cung cấp dưới dạng dịch vụ dựa trên hoa hồng thứ cấp nơi trang web hướng đến khách hàng sẽ trả phần trăm hoặc một khoản phí cho một phiên bản được lưu trữ của nền tảng mã nguồn mở.

Một mô hình kinh doanh nội dung mở sẽ liên quan đến việc tạo và phân phối nội dung theo các giấy phép như Tài sản Công cộng Chung để những người khác có thể tự do sử dụng, sửa đổi và chia sẻ nội dung đó. Người dùng được khuyến khích đóng góp, cải thiện nội dung theo thời gian. Mặc dù bản thân nội dung là tự do nhưng doanh thu có thể được tạo ra thông qua các sản phẩm hoặc dịch vụ bổ sung như quyên góp, hiển thị quảng cáo, cung cấp các tính năng freemium, bán hàng hóa liên quan hoặc cung cấp dịch vụ tư vấn, đào tạo hoặc hỗ trợ.

Về cơ bản, giấy phép phần mềm mã nguồn mở rất phù hợp với mô hình kinh doanh của nhà cung cấp dịch vụ vì khách hàng không mong đợi sở hữu phần mềm cung cấp dịch vụ. Thay vào đó, họ sẽ trả tiền để truy cập vào dịch vụ.

Mặt khác, việc sử dụng phần mềm mã nguồn mở trong các dịch vụ như IaaS, SaaS hoặc PaaS sẽ gây ra các vấn đề pháp lý thường không được làm rõ. Chỉ một số ít giấy phép — đáng chú ý nhất là Giấy phép Công cộng Chung GNU Affero (GNU Affero GPL) — quy định rõ ràng về việc sử dụng phần mềm tự do “trong trường hợp đó là phần mềm máy chủ mạng”.

Với các giấy phép phổ biến khác — cả giấy phép copyleft hạn chế hơn như Giấy phép Công cộng Chung GNU và các giấy phép linh hoạt như giấy phép BSD — các định nghĩa về “sao chép”, “truyền tải” hoặc “phân phối” khi phần mềm được sử dụng qua mạng có một sự linh hoạt nhất định. Quyết định về việc có nên cung cấp mã nguồn cho ứng dụng hay có yêu cầu ghi công hay không và dưới hình thức nào phụ thuộc vào các định nghĩa này. Mối liên hệ với các thành phần phần mềm độc quyền hoặc việc cấp phép cho các thành phần bổ sung do chính mình phát triển cũng phải được làm rõ về mặt pháp lý. Vì những lý do này, trong bối cảnh các mô hình kinh doanh của nhà cung cấp dịch vụ, chúng ta phải làm rõ các vấn đề cấp phép liên quan đến việc sử dụng phần mềm tự do.

Các nhà cung cấp dịch vụ nên công khai liệt kê tất cả phần mềm mã nguồn mở mà họ sử dụng cùng với các giấy phép tương ứng ngay cả khi họ không có nghĩa vụ pháp lý về phương diện này.

Sự thành công của mô hình kinh doanh nhà cung cấp dịch vụ phụ thuộc rất nhiều vào mức độ thoả mãn của trải nghiệm khách hàng, đặc biệt là đối với phần mềm mã nguồn mở nơi khách hàng có quyền tự do tự lưu trữ phần mềm hoặc chọn nhà cung cấp dịch vụ cạnh tranh cho cùng một phần mềm. Do đó, lợi thế cạnh tranh chính của nhà cung cấp dịch vụ mã nguồn mở chính là trải nghiệm khách hàng mà họ cung cấp: có thể là thuận tiện hơn, tiết kiệm chi phí hơn, đáng tin cậy hơn, an toàn hơn hoặc hiệu suất cao hơn so với tự lưu trữ. Tuy nhiên, sự đánh đổi ở đây là khách hàng sẽ phải chia sẻ dữ liệu với nhà cung cấp dịch vụ; điều này có thể gây ra nhiều mối lo ngại về quyền riêng tư đối với dữ liệu cá nhân hoặc dữ liệu nhạy cảm.

Về mặt bảo mật, khách hàng nên đảm bảo rằng nhà cung cấp dịch vụ có một quy trình mạnh mẽ để áp dụng các bản vá bảo mật kịp thời. Chúng ta cũng cần đánh giá cách dịch vụ quản lý các phần phụ thuộc vào các dự án mã nguồn mở khác để đảm bảo tất cả các phần mềm đều an toàn và được cập nhật. Khách hàng cũng nên đánh giá các chính sách bảo mật của nhà cung cấp bao gồm cách họ xử lý mã hóa dữ liệu, kiểm soát truy cập và phản hồi sự cố.

Tính minh bạch của phần mềm mã nguồn mở cho phép cộng đồng xem xét mã một cách kỹ lưỡng; điều này có thể tăng cường tính bảo mật thông qua việc xác định và sửa các lỗ hổng. Vì vậy, khách hàng nên tìm kiếm các đánh giá hoặc bản rà soát về phần mềm của các bên thứ ba có uy tín hoặc các chuyên gia bảo mật trong cộng đồng. Các cuộc rà soát này sẽ xác nhận rằng nhà cung cấp có tuân theo các thông lệ và tiêu chuẩn mã hóa an toàn trong quá trình phát triển hay không, cũng như xét xem nhà cung cấp có sử dụng các đường ống CI/CD với các phiên kiểm tra bảo mật tích hợp để phát hiện sớm các lỗ hổng hay không.

Về vấn đề dữ liệu riêng tư, khách hàng nên xác minh rằng dịch vụ chỉ thu thập và lưu trữ dữ liệu cần thiết cho hoạt động của mình để giảm thiểu rủi ro bị lộ dữ liệu. Dịch vụ nên mã hóa dữ liệu cả khi truyền và khi lưu trữ với mã hóa mạnh. Cơ chế kiểm soát truy cập phải đảm bảo rằng chỉ những nhân viên được ủy quyền mới có thể truy cập vào các dữ liệu nhạy cảm.

Khách hàng nên kiểm tra xem dịch vụ có cung cấp cho người dùng quyền kiểm soát dữ liệu của họ hay không, chẳng hạn như khả năng xóa hoặc xuất dữ liệu. Dịch vụ phải tuân thủ các quy định về quyền riêng tư có liên quan — chẳng hạn như Quy định Bảo vệ Dữ liệu Chung (GDPR) của Liên minh châu Âu và Đạo luật Quyền Riêng tư của Người Tiêu dùng California (CCPA) — và cung cấp tính minh bạch về các hoạt động xử lý dữ liệu của mình.

Một điều quan trọng là khách hàng phải kiểm tra xem nhà cung cấp có chính sách và quy trình rõ ràng để ứng phó với vi phạm dữ liệu — bao gồm cả các yêu cầu thông báo — hay không. Khách hàng cũng nên xem xét chính sách bảo mật của nhà cung cấp để hiểu cách dữ liệu được thu thập, sử dụng, chia sẻ và bảo vệ, đồng thời xem xét bất kỳ bên thứ ba nào mà nhà cung cấp có thể chia sẻ dữ liệu tới và đảm bảo rằng họ cũng tuân thủ các tiêu chuẩn bảo mật một cách nghiêm ngặt.

Nhìn chung, việc xem xét phản hồi và đánh giá của cộng đồng rất có giá trị đối với việc đánh giá mức độ uy tín và đáng tin cậy của phần mềm và nhà cung cấp dịch vụ. Một cộng đồng hoặc tổ chức mạnh mẽ nên tích cực duy trì và hỗ trợ dự án mã nguồn mở. Khách hàng nên xác minh rằng nhà cung cấp có một quy trình sao lưu dữ liệu thường xuyên và kế hoạch phục hồi thảm họa mạnh mẽ, đồng thời kiểm tra xem dịch vụ có sử dụng dữ liệu dự phòng để đảm bảo tính khả dụng và độ tin cậy hay không.

Các nhà cung cấp dịch vụ nên biết rằng khách hàng sẽ đánh giá các hoạt động bảo mật và bảo toàn quyền riêng tư, danh tiếng trong cộng đồng, việc tuân thủ các quy định và tính minh bạch trong việc xử lý dữ liệu của họ để từ đó nghiêm túc thực hiện các bước tuân thủ theo các thông lệ một cách tốt nhất.

Các nhà cung cấp dịch vụ thường áp dụng các điều khoản và thỏa thuận pháp lý để tạo thành xương sống pháp lý vận hành mối quan hệ giữa công ty và khách hàng của mình. Các thỏa thuận này giúp đảm bảo giao tiếp được rõ ràng, đặt ra kỳ vọng, xác định trách nhiệm và cung cấp sự bảo vệ pháp lý cho cả hai bên.

Điều khoản dịch vụ (Terms of Service - ToS) cho một dịch vụ — còn được gọi là Điều khoản và Điều kiện (Terms and Conditions - T&C) hoặc Điều khoản sử dụng (Terms of Use) — là một thỏa thuận pháp lý giữa nhà cung cấp dịch vụ và khách hàng hoặc người dùng dịch vụ đó. ToS nêu rõ các quy tắc, trách nhiệm và giới hạn chi phối việc sử dụng dịch vụ. Nó bảo vệ cả nhà cung cấp dịch vụ và khách hàng bằng cách xác định rõ ràng những gì mỗi bên có thể và không thể làm trong khi cung cấp hoặc sử dụng dịch vụ. Một số yếu tố chung của thỏa thuận ToS là xác nhận rằng người dùng đồng ý tuân thủ các điều khoản trong đó, hướng dẫn về hành vi được chấp nhận và các hoạt động bị cấm, thông tin chi tiết về người sở hữu nội dung do người dùng tạo hoặc tải lên, thông tin về việc tạo tài khoản, bảo mật và chấm dứt, quy định về trọng tài hoặc hòa giải để giải quyết xung đột và giới hạn về trách nhiệm pháp lý của nhà cung cấp dịch vụ đối với thiệt hại.

Chính sách bảo mật là một tuyên bố nêu rõ cách nhà cung cấp dịch vụ thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu của người dùng. Một số yếu tố thường thấy của một chính sách bảo mật là các loại dữ liệu mà nhà cung cấp dịch vụ thu thập và phương pháp thu thập của họ, cách họ sử dụng dữ liệu, các điều kiện mà nhà cung cấp dịch vụ có thể chia sẻ dữ liệu với bên thứ ba và thông tin về quyền của người dùng liên quan đến dữ liệu của họ (chẳng hạn như quyền truy cập, chỉnh sửa và xóa).

Một Thỏa thuận mức dịch vụ (Service Level Agreement - SLA) là một thỏa thuận chính thức được ghi chép lại giữa nhà cung cấp dịch vụ và khách hàng; trong đó nêu rõ mức dịch vụ được mong đợi, bao gồm các số liệu hiệu suất cụ thể, trách nhiệm và kỳ vọng. SLA xác định các tiêu chuẩn cung cấp dịch vụ, cung cấp một khuôn khổ rõ ràng để đo lường và quản lý hiệu suất dịch vụ. Một số yếu tố chung của SLA có bao gồm một mô tả chi tiết về các dịch vụ được cung cấp, các mục tiêu cụ thể về hiệu suất dịch vụ như thời gian hoạt động và thời gian phản hồi, các phương pháp đo lường và báo cáo hiệu suất, hậu quả khi không đạt được các mục tiêu hiệu suất và các thủ tục để xem xét và cập nhật SLA.

Mục tiêu mức dịch vụ (Service Level Objective - SLO) là thành phần chính của Thỏa thuận mức dịch vụ; trong đó có nêu rõ các mục tiêu hoặc mục đích có thể đo lường được đối với hiệu suất dịch vụ. Các mục tiêu này định lượng mức dịch vụ được mong đợi giữa nhà cung cấp dịch vụ và khách hàng và được sử dụng để đảm bảo rằng dịch vụ luôn đáp ứng các tiêu chuẩn đã thỏa thuận. Một số thành phần chung của SLO bao gồm các số liệu cụ thể mà nhà cung cấp dịch vụ sẽ đo lường để đánh giá hiệu suất dịch vụ (ví dụ như thời gian hoạt động, thời gian phản hồi, thời gian giải quyết và thông lượng), các giá trị mong muốn hoặc được kỳ vọng cho từng số liệu hiệu suất, các kỹ thuật và công cụ được sử dụng để đo lường và giám sát các số liệu hiệu suất, các thành phần hoặc khía cạnh cụ thể của dịch vụ mà SLO đảm bảo (ví dụ như phần cứng, phần mềm, thành phần mạng hoặc các tiến trình cụ thể) cũng như hậu quả hoặc phần thưởng dựa trên việc dịch vụ có đáp ứng được các mục tiêu mức dịch vụ hay không (ví dụ như hình phạt tài chính, tín dụng dịch vụ hoặc khoản thưởng hiệu suất).

Thỏa thuận xử lý dữ liệu (Data Processing Agreement - DPA) là một hợp đồng giữa khách hàng (bên kiểm soát dữ liệu) và nhà cung cấp dịch vụ (bên xử lý dữ liệu) tham gia vào việc xử lý dữ liệu cá nhân. DPA nêu chi tiết trách nhiệm và nghĩa vụ của cả hai bên để đảm bảo tuân thủ luật bảo vệ dữ liệu (chẳng hạn như GDPR). Ở một số khu vực pháp lý, DPA giữa nhà cung cấp dịch vụ và khách hàng sẽ là một yếu tố bắt buộc.

Chi phí đáng kể nhất trong mô hình kinh doanh của nhà cung cấp dịch vụ là chi phí cố định liên quan đến việc lưu trữ các dịch vụ như mua phần cứng máy chủ, thanh toán cho không gian trung tâm dữ liệu, điện để cấp điện và làm mát máy chủ, băng thông mạng và lương cho nhân viên triển khai và bảo trì. Một số nhà cung cấp dịch vụ cũng có thể có các khoản chi phí biến động cho giấy phép phần mềm hoặc dịch vụ của bên thứ ba. Những khách hàng chọn tự lưu trữ dịch vụ sẽ trực tiếp chịu các khoản chi phí này.

Bằng cách lựa chọn phần mềm mã nguồn mở, các nhà cung cấp dịch vụ và khách hàng có thể loại bỏ chi phí cấp phép hoặc giảm bớt so với phần mềm độc quyền vì, theo định nghĩa, phần mềm mã nguồn mở không tính phí cấp phép phần mềm. Việc sử dụng phần mềm mã nguồn mở để xây dựng dịch vụ cũng có thể tiết kiệm thời gian cũng như tài nguyên phát triển; việc bảo trì và cập nhật do cộng đồng thúc đẩy cũng có thể giảm bớt một số khoản chi phí dài hạn. Tuy nhiên, điều quan trọng ở đây là phải xem xét tổng chi phí sở hữu (Total Cost of Ownership - TCO) của phần mềm mã nguồn mở; con số này có thể bao gồm cả chi phí hỗ trợ, bảo trì và tích hợp nếu có.