Area riservata

Compliance IBM: perché è così complicato verificarla

Quali informazioni dobbiamo monitorare per essere conformi

IBM è uno dei maggiori provider al mondo di infrastruttura e software e la sua intensa attività di R&D e acquisizioni (pensiamo a Red Hat, leader nel mercato delle soluzioni open source) lo hanno portato nel tempo a un portfolio prodotti molto ampio e diversificato, a cui corrisponde anche un utile in crescita (927 milioni di dollari nel primo trimestre, secondo Wall Street).

Il licensing IBM è molto complicato anche in virtù di questi numeri: più di 18.000 prodotti e più di 32.000 “part numbers”, ovvero i diversi tipi di offerte che prevedono una combinazione di prodotti (e metriche) in cui si inseriscono le varie componenti software.

Ad aggiungere complessità è anche l’evoluzione costante di questo portfolio: anche se si ha ben chiara l’edizione e la versione dei prodotti acquistati, quest’ultime non sono immutabili.

Le loro licenze, infatti, possono cambiare e la notizia viene data nelle cosiddette “announcement letters” perché IBM continua ad effettuare operazioni straordinarie (ad es. HCL o Red Hat), a lanciare nuovi prodotti e possono esserci ridenominazioni o nuovi bundling così che si hanno centinaia di migliaia di diversi modi di raggruppare i diversi prodotti, tutti con diverse regole di licenza.

Abbiamo visto in un altro articolo (vai qui per leggerlo), che IBM ha introdotto dal primo maggio 2023 un obbligo annuale per la creazione di rapporti di utilizzo per tutti i software contenuti nel Passport Advantage da fornire al vendor entro 30 giorni dalla richiesta. Dovranno essere preparati nel formato richiesto da IBM.

Non abbiamo ancora il formato disponibile (sarà pubblicato entro la fine dell’anno), ma sappiamo su quali informazioni concentrerà le sue verifiche IBM. Per poterle comprendere, cerchiamo di mettere ordine nel complicato panorama del licensing IBM. Cominciamo dagli agreements.

Quali sono gli agreement IBM?  

Solitamente quando facciamo riferimento agli accordi di licenza IBM, dobbiamo tenere conto di tre livelli che ci danno una visione di insieme:

  • gli accordi di licenza di base, che descrivono nel dettaglio cosa è stato acquistato
  • gli accordi commerciali, ovvero quelli che descrivono le modalità di acquisto e i termini di gestione delle licenze
  • gli accordi a livello enterprise, negoziati con il vendor per l’acquisto di grandi volumi


Negli Agreements di base, troviamo l’IPLA (International Program License Agreement), che non è altro che l’accordo standard che i clienti IBM accettano quando scaricano, installano o acquistano qualsiasi prodotto IBM. Esso contiene dei collegamenti ipertestuali a una serie di documenti incorporati: i più importanti sono le License Information (LI) e le Policies.

Le License Information stabiliscono i termini di licenza dettagliati che si applicano ad ogni singolo programma: sono diversi per ogni prodotto e versione (quindi se si aggiorna la versione, cambiano le LI e pure i termini delle condizioni). Quindi bisogna stare attenti ogni volta che si verifica una modifica su uno di quei prodotti. Generalmente al suo interno troviamo queste informazioni:

  • Nome del Programma e numero PID (identificatore di prodotto), che si collega ai diritti di utilizzo
  • dettagli dei programmi in bundle e/o di supporto che possono essere installati per fornire funzionalità al programma concesso in licenza e qualsiasi restrizione sul loro uso (es. se è eseguito su server separato bisogna assicurarsi di avere licenze basate su PVU per entrambe le macchine)
  • metriche di licenza che possono essere utilizzate per concedere la licenza del programma, (comprese eventuali tabelle di conversione)
  • componenti che non devono essere utilizzati, noti come “componenti proibiti” (Prohibited Components)
  • componenti che possono essere installati ma che non sono utilizzati per stabilire i requisiti della licenza (Permitted Components)
  • restrizioni specifiche all’uso del programma da parte dei clienti (es. relative alle metriche sugli utenti autorizzati)
  • utilizzo del programma in un ambiente non di produzione


Qui possiamo vedere un esempio di License Information (LI) per Cognos, uno dei programmi IBM più diffusi.

Arriviamo ora al Passport Advantage (PA), che è il contratto che ci riguarda: esso rientra negli accordi commerciali, insieme al Passport Advantage Express (PAX) e agli Embedded Software Agreement (ESA), che sono focalizzati sui partner commerciali. Il PA è l’accordo che gestisce gli acquisti in volume delle licenze IBM. A differenza del PAX, che è puramente transazionale e pensato soprattutto per acquisti mirati o ordini di piccole dimensioni, ha molta flessibilità e permette di accumulare punti per sconti.

Al suo interno possiamo trovare collegamenti ipertestuali ad altri documenti (es. Termini&Condizioni, Policies, Relationship Suggested Volume Pricing (RSVP), Sub Cap Terms e PVU Calcolator che riguardano i termini di sotto-capacità, Notification, Lifecycle sul ciclo di vita del software).

Nell’IPLA IBM fa riferimento alle clausole di audit (ovvero sancisce il diritto del vendor di effettuare audit), ma è il PA che fornisce dettagli su come verrà gestito (e lo abbiamo visto anche con la modifica 4.1).

Il cuore del PA è il Portale di accesso, che è il punto di accesso per l’amministrazione delle licenze e comprendere quali sono i diritti di utilizzo

La registrazione è gratuita ma per accedere serve un ID IBM a cui è collegato un numero cliente (cambia in caso di cessioni aziendali). Visto che le organizzazioni sono strutture complesse, possono esserci più siti PA con rispettivi numeri individuali, che vengono trattati come accordi separati in caso di audit.

All’interno di un sito PA, si può tenere traccia delle cronologie di migrazione (es. da un sito PA all’altro, in uno scenario di acquisizioni, cessioni ecc.), degli ordini, dei download e i D&E “part numbers” relativi ai prodotti (il “D” rappresenta le License Entitlement, mentre “E” Support e Subscription).

Il PA permette inoltre di recuperare i vari Proof of Entitlement (PoE), che sono dei certificati che IBM invia ai clienti che acquistano i prodotti software. Il PoE conferma i prodotti idonei e il livello di utilizzo per cui si è autorizzati. Include informazioni importanti sull’ordine, come il numero di cliente IBM, il numero di sito IBM e il numero d’ordine IBM.

Infine, l’ultimo tipo di accordi IBM riguardano gli accordi aziendali: gli ELA (Enterprise License Agreement), che sono dei meccanismi per l’acquisto di grandi volumi in favore di un blocco dei prezzi. Di solito sono standardizzati, ma vanno verificati perché possono essere state inserite delle condizioni speciali in fase di negoziazione (es. clausole, esenzioni) perché garantiscono la massima flessibilità dal punto di vista della negoziazione.

Quali informazioni dovremo fornire a IBM?

Come si legge nell’annuncio del 31 marzo 2023, gli argomenti di verifica nel report riguarderanno:

  • le quantità distribuite per ogni programma IBM distribuito
  • dettagli completi di “license ratio” per i programmi in bundle come gli IBM Cloud Pak (una “ratio” determina quante licenze sono necessarie per le distribuzioni di ciascun prodotto à 4 VPC di utilizzo del Programma WebSphere MQ richiedono 1 licenza VPC di Cloud Pak for Integrations). Queste informazioni si recuperano nel documento License Information nei Licensing Terms for Solution Bundles (es. 4 Virtual Processor Cores (VPC)/1 VPC; 70 Processor Value Unit (PVU) /1 VPC; 4 Authorized Users / 1 Resource Unit);
  • quantità distribuite relative alle metriche di licenza del programma in bundle
  • quantità distribuite di programmi IBM in base alla “license ratio” del bundle

Per ogni singolo programma, bisognerà indicare:

  • la metrica di licenza (ad esempio PVU, VPC, Install, Authorized User, Concurrent User, Terabyte ecc.)
  • il tipo di licenza (perpetua, mensile, Saas, sottoscrizione ecc.)
  • ll “part number” della licenza o del Trade-Up (D-Part) e/o il “part number S&S (E-Part)
  • se il programma è in Subscription&Support (S&S)
  • se il programma è installato su un server fisico, virtualizzato o containerizzato
  • se il programma è installato in sede, presso un fornitore di servizi o un fornitore di cloud pubblico


Oltre a questo, andranno indicati il numero del sito del PA e l’entità aziendale corrispondente all’installazione, insieme a un riferimento incrociato per ciascun programma ai record, agli output degli strumenti di sistema e alle informazioni di sistema pertinenti, nonché ad altra documentazione di supporto da cui sono derivati i conteggi di distribuzione (Deployment Data).

La responsabilità che le implementazioni vengano conteggiate utilizzando le metodologie corrette è in carico al cliente.

I dettagli per ogni singolo programma

Abbiamo visto che per ogni singolo programma dobbiamo indicare la metrica, il tipo di licenza, l’inserimento in bundle, la modalità di deployment e la presenza o meno di servizi aggiuntivi di supporto (i S&S, che è una soluzione completa di aggiornamenti di prodotto e supporto tecnico).

Le variabili da tenere in considerazione quando parliamo di licenze sono quattro:

  • il tipo di licenza (generalmente ne abbiamo di tre tipi: perpetue, a termine, sottoscrizioni). Ciascuna di esse prevede una differente erogazione dei servizi S&S (ad es. nelle sottoscrizioni i servizi S&S sono inclusi, ma non si può interromperli prima del termine previsto dell’abbonamento)
  • il tipo di distribuzione (on-premise, cloud pubblico, cloud ibrido): il tipo di licenza e le modalità di distribuzione sono due facce della stessa medaglia. Tradizionalmente le licenze perpetue o a termine sono adatte alle implementazioni on-premise, ma dato che sono sempre di più i clienti che decidono di distribuire il software su infrastrutture di proprietà di terzi (cloud pubblico) o su una combinazione di più fornitori di cloud e di soluzioni on-premise (cloud ibrido), IBM consente ai clienti di distribuire il proprio software su licenza su cloud pubblico con delle
  • la tecnologia utilizzata: le licenze, infatti abbracciano un’ampia varietà di tecnologie, dalle macchine fisiche alle macchine virtuali e ai container. Ci sono soluzioni tecnologiche tipo i Certified Container e i Cloud Pak di IBM che consentono di creare la soluzione una sola volta e di distribuirla ovunque utilizzando un unico set di regole di licenza.
  • la metrica di licenza: la loro misurazione conta la distribuzione e/o l’uso del prodotto e insieme ai Termini e alle Condizioni di utilizzo è il valore su cui concentrarsi per determinare la compliance.


Le metriche di licenza in IBM sono moltissime (più di 100) e possono cambiare continuamente con le evoluzioni dei prodotti e dei bundle. Lo stesso IBM specifica:

The same metric name may have different definitions from version to version of the same IBM program or across different IBM programs. The definition in the License Information document and Announcement Letter for the specific version you have deployed is the authoritative source.

Le metriche sono suddivise in categorie a seconda del modello di distribuzione utilizzato (On-premise, Cloud, Mainframe). Generalmente le più comuni si suddividono in tre macro-gruppi:

  • user-based (le licenze addebitate secondo gli utenti autorizzati, come Authorized User, Concurrent User ecc.)
  • capacity-based che si basano sulla quantità di capacità di elaborazione messa a disposizione del programma IBM. Il parametro più comune è l’unità di valore del processore (PVU). Il modo in cui viene misurata la capacità di elaborazione dipende dalla piattaforma e dal fatto che la licenza sia di tipo Full-Capacity o Virtualization Capacity (sub-capacity).
  • others: un gran numero di metriche rientra nella categoria “Altro”, anche se il tipo più diffuso sono quelle basate sul calcolo di una Resource Value Unit (RVU).


Qui troviamo una panoramica delle metriche IBM. Le fonti autorevoli per verificare le metriche relative ai programmi e ai bundle sono sempre il documento LI e gli Announcements collegati. Nel PA troviamo comunque ulteriori termini per la misurazione delle stesse ed eventuali tabelle di conversione.

Come avrete visto, le informazioni da monitorare sono veramente numerose e il poco tempo (30 giorni) richiesto dal vendor per la fornitura di un report che attesti la verifica della conformità richiede sia competenze sia automatismi per reperire velocemente questi dati.

IBM mette a disposizione degli strumenti per la misurazione dell’utilizzo, da installare e configurare sulla propria infrastruttura per produrre dei report trimestralmente e conservarli opportunatamente per poterli conservare su richiesta in caso di audit: è il caso dell’ILMT – IBM License Metric Tool, che viene utilizzato soprattutto per verificare la conformità delle licenze sub-capacity. Un altro strumento è il License Service, che è specifico per la gestione dei Cloud Pak e del loro software integrato.

Però con la nuova clausola al Passport Advantage non sono sufficientemente completi, dato che la modifica interessa tutti i programmi (e le rispettive metriche). L’ILMT, infatti, si limita ad alcune metriche (come si legge qui, le metriche monitorate sono Authorized User, Install, PVU, Client Device e RVU) e non tutti gli ambienti sono oggetto di misurazione (e qui dovremo prevedere un piano di migrazione, come richiesto da IBM nella nuova clausola).

Viste le difficoltà legate alla verifica della compliance di tutti i programmi IBM e al recupero delle informazioni relative ai singoli applicativi e al riconoscimento dei bundle e alla riconciliazione con i diritti di utilizzo, il 18 maggio alle 14.30 terremo il webinar “Come prepararsi al giro di vite della compliance IBM” dove approfondiremo nel dettaglio questi elementi alla luce delle novità introdotte dalla clausola 4.1. del Passport Advantage.

Metteremo a disposizione la nostra esperienza per aiutarvi a identificare soluzioni in grado di garantire velocemente e con precisione la conformità IBM, in modo da non farvi trovare impreparati nei confronti delle richieste del vendor!

 
                                                                Iscriviti al webinar!

02-s pattern02

Vorresti avere il controllo sulle tue licenze IBM?

CONTATTACI PER APPROFONDIRE!