Nikt nie narzekał, czyli jak kupić licencję, gdy licencji nie ma

dodał 6 września 2019 o 07:33 w kategorii Wpadki  z tagami:
Nikt nie narzekał, czyli jak kupić licencję, gdy licencji nie ma

Tomek rozważał zakup oprogramowania, ale im bardziej szukał warunków licencji, tym bardziej tekstu licencji u sprzedawcy nie było. Była za to tylna furtka, której zakupu nie rozważał. Zapraszamy na wycieczkę po pewnym produkcie.

Znacie tę cyklicznie powracającą historyjkę, jak to dawniej było biednie i przaśnie, ale byliśmy młodzi i świeciło słońce? Seria nostalgicznych wspominek w stylu: “Czasami mogliśmy jeździć w bagażniku starego fiata, zwłaszcza gdy byliśmy zbyt umorusani, by siedzieć wewnątrz. Jak się ktoś skaleczył, to ranę polizał i przykładał liść babki. […] W wannie kąpało się całe rodzeństwo naraz, później tata w tej samej wodzie”. Już w połowie lektury przytomny czytelnik dostrzega, że mantra “nikt nie utonął, nikt się nie rozchorował, nikt nie umarł” nie mogła być tak do końca prawdziwa.

Opowieści o pionierskich czasach IT obarczone są często tym samym błędem logicznym. Survivorship bias, błąd przeżywalności. Rozumowanie oparte o niereprezentatywne dane. Owszem, patchowaliśmy w locie na produkcji, niemalże bezbłędne faktury wystawiały dwa skrypty CGI w Perlu, uszkodzoną dyskietkę odczytał nagle dwudziesty wypróbowany napęd, ale co tam! Nikt nie stracił danych, nikt nie stracił reputacji, nikt nie zbankrutował. Jaaaaasne.

Czasy się zmieniły. Wody nie trzeba już przynosić ze studni i grzać na piecu, więc dla wszystkich naturalne jest, że poziom higieny istotnie się podniósł. Powitaliśmy też dobre praktyki w IT dotykające zarówno aspektów technologicznych, jak i prawnych. Tym większe było więc moje zdziwienie, gdy w roku 2019 natknąłem się na prawdziwy skansen złych praktyk informatycznych rodem z połowy lat dziewięćdziesiątych ubiegłego wieku.

A było to tak…

Kilka tygodni temu rozpocząłem przygotowania do odpalenia płatnego kursu online, zacząłem rozglądać się więc za gotowymi rozwiązaniami automatyzującymi obsługę przelewów, fakturowania, dystrybucji treści i tak dalej. Kurs kierowany jest na rynek polski, więc konieczna była np. integracja z lokalnymi operatorami płatności – to eliminuje większość rozwiązań zagranicznych. Jednym z najczęściej wymienianych rozwiązań była pewna polska platforma kursów online oparta na WordPressie, nazwijmy ją roboczo Platformą. Okres próbny za darmo, poprosiłem o udostępnienie wersji instalacyjnej.

Pierwsze zdziwienie. Nie mogę dostać pluginu do samodzielnej instalacji. Odpowiedź dostawcy: “Nie ma możliwości samodzielnej instalacji wersji próbnej. Aby zainstalować demo potrzebne będą dane do logowania na tę stronę + zainstalowany tam WordPress”. Wyraziłem wątpliwości dotyczące bezpieczeństwa takiej opcji, poprosiłem o uzasadnienie techniczne. Dostawca: “Takie mamy procedury instalacji wersji próbnej, chcemy mieć pewność, że wszystko zostanie zainstalowane poprawnie”. Ciekawość zwyciężyła, przekazałem dane logowania do dziewiczej instalacji WordPressa. Następnego dnia otrzymałem informację, że wszystko jest gotowe. 

Drugie zdziwienie. Dostawca bez mojej wiedzy i zgody założył sobie w WordPressie użytkownika o uprawnieniach administratora. Nazwa ustandaryzowana, ciekawe, czy chociaż hasło unikalne…

Trzecie zdziwienie. Na liście pluginów oprócz Platformy pojawiła się pozycja “Sucuri Security – Auditing, Malware Scanner and Hardening”, zainstalowana bez mojej wiedzy i zgody. Tak więc mam na swojej maszynie amerykański soft (od GoDaddy Media Temple), którego warunki użycia mają wytłuszczoną frazę “If you do not agree to be bound by this Agreement, you may not access or use the Sites or the Service”. Aha, jasne. Za późno.

Czwarte zdziwienie. Odkrywam plugin InfiniteWP Client do masowego zarządzania WordPressami (“Instant backup and restore your entire site, One-click access to all WP admin panels” itp). Odkrywam, bo plugin, zainstalowany bez mojej wiedzy i zgody, sam siebie usunął z listy pluginów, dzięki czemu awansował do kategorii backdoora. Postanawiam dziwić się rzadziej.

Na stronie WWW można przeczytać, że oprogramowanie jest kupowane jednorazowo, na własność, na zawsze. FAQ dodaje, że po roku wygasa licencja, a wraz z nią wsparcie i aktualizacja, jednak Platforma nadal działa. A licencję można odnowić. Każdy, kto sprzedawał jakiś kawałek softu, rozróżnia sprzedaż praw majątkowych od licencjonowania i wie, że intuicyjne rozumienie języka potocznego nie zawsze odpowiada językowi prawniczemu. Poprosiłem dostawcę o wyjaśnienia, oto fragmenty korespondencji (e-maile i chat):

Co dokładnie wchodzi w zakres umowy kupna-sprzedaży?

Platforma, którą zakupuje się na własność. Działa nawet jeśli licencja nie zostanie odnowiona.

Czy mogę prosić o przysłanie wzoru umowy (licencji?) regulującej zasady użycia płatnej wersji Platformy?

Nie mamy wzoru umowy przy płatności jednorazowe gdyż w takim wypadku jej nie podpisujemy. Platformę zakupujesz na własność, licencja ważna jest przez rok i możesz (ale nie musisz) ją odnowić, żeby mieć aktywne aktualizacje dla platformy i wsparcie mailowe.

Na własność czyli mogę robić z kodem źródłowym co zechcę?

Na własną odpowiedzialność można, tylko przy zmianach kodu trzeba się liczyć z tym, że w razie problemów może być ciężko pomóc i zweryfikować problem

W jaki sposób nabywam „platformę” „na własność”, skoro przeniesienie praw majątkowych wymaga umowy pisemnej?

Nie kupujesz praw majątkowych – tylko niewyłączna licencję.

Czyli jednak umowa licencyjna lub inny dokument opisujący warunki użycia. Chciałbym zapoznać się z tym tekstem.

Możesz zajrzeć do regulaminu sprzedaży [link]; żadnego innego dokumentu nie mamy.

Na czacie i w tym wątku dostałem informację, że oprogramowanie kupuję na własność, na czacie dodatkowo potwierdzenie, że mogę je swobodnie modyfikować. Czy użytkownik najtańszej wersji może włączyć sobie funkcje z droższych wersji? Wymagana modyfikacja kodu jest śmiesznie prosta. Jeśli nie, to który punkt umowy/licencji/regulaminu reguluje tę kwestię? (zaznaczam, że nie planuję tego robić, natomiast jestem ciekaw Waszej opinii, w końcu jesteście profesjonalnym uczestnikiem rynku IT)

Modyfikacja kodu, włączenie wyższej wersji – jeśli ktoś to robi, to obciąża własne sumienie, nie nasze.

Osobną kwestią jest licencjonowanie Platformy.

Czy cała platforma jest Waszego autorstwa?

Tak, Platforma jest naszego autorstwa. 

A czy w skład platformy Platformy wchodzi może jakieś oprogramowanie osób trzecich? Jeśli tak, to na jakich warunkach jest ono rozpowszechniane i jakie prawa oraz obowiązki nakłada na mnie?

Korzystamy np. z biblioteki OpenPayU SDK i podobnych. Są to licencje otwarte. dodatkowo posiadamy prawa majątkowe do utworów zawartych w platformie a zakupionych od podmiotów trzecich (prace graficzne itp.). 

Dwukrotnie w tym wątku (i raz pytając na czacie) uzyskałem informację, że Platforma jest oprogramowaniem Waszego autorstwa. Tymczasem ponad połowa objętości plików PHP pluginu to Easy Digital Downloads, ale o tym nie wspomnieliście. […] Dlaczego ta informacja jest ukrywana? Przecież bazowanie na produktach open-source to ani wstyd ani wykroczenie?

Nie ukrywamy bazowania na EDD (coś w rodzaju forka), ale też nie eksponujemy np. na stronie z ofertą tej informacji, bo nie ma ona żadnego praktycznego znaczenia dla osób poszukujących rozwiązania typu Platforma. Platforma jest naszego autorstwa – nie oznacza to że napisaliśmy każdą linijkę kodu. Dla osoby z IT powinno to być raczej oczywiste, że korzysta się z różnych bibliotek, frameworków itp. a autor frameworka nie jest autorem rozwiązania, które powstaje na jego bazie :)

EDD jest dystrybuowany na licencji GNU GPL, jest to „wirusowa” licencja typu copyleft. Integrowanie kodu (rejestracja callbacków, wspólne struktury danych) plugina firmowanego przez Autorów Platformy z kodem GNU GPL sprawia (m.in. wg FAQ GNU GPL), że również sam plugin obejmowany jest licencją GNU GPL. Czy zgadzacie się z tą interpretacją?

Co do licencji wirusowej, to my stosujemy licencję mieszaną – posiadamy pełne prawa majątkowe do elementów kreatywnych jak grafiki, style itp. – nie obejmuje ich wirusowość. Posiadamy również licencje komercyjne niektórych komponentów itp.

I tak to – kupujemy na własność oprogramowanie objęte licencją, która nie została spisana. Być może jest to GNU GPL, lecz skorzystanie z zapisanych w niej wolności obciąży nasze sumienie. A niektóre komponenty są komercyjne. Ale bez przyciśnięcia nie powiemy, które.

Naprawdę niewiele trzeba, by rozbroić powyższe zarzuty. Ot, uzyskać zgodę potencjalnego klienta na zdalny dostęp, monitorowanie i instalację cudzych pluginów, z opcją rezygnacji z tych dodatkowych usług. Zamiast frazy “na własność” użyć czegoś niesugerującego rzeczywistej zmiany właściciela i wyraźniej oddzielić tę jednorazową opłatę od abonamentu na aktualizacje. Jasno przedstawiać warunki korzystania z kodu źródłowego i raczej nie próbować grać na poczuciu winy klientów.

Zdaję sobie sprawę, że grupa odbiorców Platformy to ludzie o ograniczonej wiedzy technicznej i dla nich monitoring oraz zdalna pomoc mogą być wartościową usługą. Co się jednak stanie, gdy użytkownik Platformy odniesie duży sukces sprzedażowy, otrzyma ofertę przejęcia swojego serwisu i przejdzie proces due dilligence? Analiza wykaże totalny bałagan prawny, a wycena poleci na łeb na szyję, co może skutkować słusznymi pretensjami względem dostawcy Platformy. Przez analogię – prawie każdy z nas jest laikiem w zakresie leczenia zębów, zdajemy się na profesjonalizm stomatologa, jednak przed zabiegiem zarówno poznajemy zakres leczenia, jak i wprost wyrażamy na nie zgodę.

Ciekawi mnie, czy którykolwiek z klientów podnosił podobne zastrzeżenia?

Nikt z naszych klientów nie wnosi podobnych „zastrzeżeń”. Szukają oni raczej rozwiązania, a nie problemu :)

Nikt nie narzekał.

—-

PS: twórcy Platformy zapoznali się z powyższym tekstem przed jego publikacją, jednak zrezygnowali z przedstawienia swojego stanowiska.

PS2: nie wymieniam w tym tekście nazwy Platformy. Każdy
zainteresowany zidentyfikuje ją w minutę, więc nie robi to żadnej
różnicy.

Autorem tekstu jest Tomasz Zieliński, który przygotowuje premierę kursu obsługi menedżera haseł dla mało zaawansowanych użytkowników komputera. Jeśli nie wszyscy w twojej rodzinie używają menedżera haseł, odwiedź stronę informatykzakladowy.pl. Jeśli sam(-a) nie używasz menedżera haseł, KONIECZNIE odwiedź stronę informatykzakladowy.pl!

Aktualizacja z dnia 15 września 2019

Dnia 15 września otrzymaliśmy stanowisko firmy, której produkt jest omawiany w tekście. Zamieszczamy je w całości poniżej.

„Szanowny czytelniku,

Zależy nam na tym, by wspierać osoby, które nie mają odpowiedniej wiedzy lub nie chcą poświęcać czasu, by samodzielnie zająć się sprawami technicznymi. Stawiamy na to, aby sprawnie udzielać im wsparcia i zwiększać bezpieczeństwo ich systemów. Dlatego korzystamy z narzędzi wspierających te procesy, takich jak wtyczki zwiększające bezpieczeństwo (monitorujące próby włamań, infekcje przez malware itp.) oraz takie, które ułatwiają szybkie zalogowanie się na platformie, by udzielić pomocy i wsparcia technicznego. Dzięki temu nasz support jest w stanie sprawnie reagować na zgłoszenia klientów zgodnie z regulaminem stosownej usługi. 

Narzędzie do szybkiego logowania można w każdym momencie zablokować, usuwając nasze dedykowane konto administracyjne lub zmieniając jego uprawnienia, gdyż sama wtyczka InfiniteWP nie pozwala na inny – w tym nieautoryzowany – dostęp. Podczas tworzenia jakichkolwiek kont przywiązujemy szczególną uwagę do tego, by hasła do nich były odpowiednio silne i unikalne. Dodatkowo zawsze prosimy o instalację naszego oprogramowania na czystej, odizolowanej subdomenie lub w odizolowanym folderze. Dzięki temu nigdy nie mieszamy dostępu do platformy z innymi systemami klienta. Analogicznie odbyło się to w przypadku Pana Tomasza, autora powyższego artykułu.

Ponieważ zależy nam na tym, by nieustannie podnosić jakość naszych produktów, zawsze bierzemy pod uwagę wszelkie sugestie zgłaszane przez naszych klientów. Miało to miejsce również w kwestiach poruszonych przez autora artykułu. Dla ścisłości należy tutaj dodać, że korzystał on jedynie z wersji testowej platformy, która posiada nieco inne procedury, niż produkt opłacony.

Dzięki analizie wszystkich sugestii uprościliśmy i usprawniliśmy proces testowania platformy, a kwestie licencyjne zamknęliśmy w jednym przejrzystym dokumencie. Warto podkreślić, że sam dokument nie wprowadza niczego nowego, a jedynie porządkuje znane już informacje. Sprawdziliśmy także wszelkie treści informacyjne i marketingowe, by uniknąć w nich czegoś, co mogłoby być niejasne dla naszych klientów w kwestiach zasad użytkowania oprogramowania. Mamy nadzieję, że dzięki temu nasza platforma będzie jeszcze bardziej przejrzysta i lepsza w użytkowaniu.

Podsumowując – najważniejsze dla nas jest to, by pomagać klientom realizować ich cele, dostarczając rozwiązania i wsparcie, dzięki któremu będą oni mogli skoncentrować się na tym, co dla nich ważne i nie tracić czasu na sprawy techniczne. Cieszymy się, że oferowane przez nas rozwiązania stają się coraz lepsze nie tylko dzięki stale rosnącej liczbie oferowanych funkcji, ale równie dzięki wszelkim elementom towarzyszącym temu procesowi.

Pozdrawiam
Michał z upSell”