Addendum voor beveiligingsdiensten

1. INLEIDING

Het aanbod van beveiligingsdiensten door Phoenix NAP biedt klanten een schaalbare informatiebeveiligingsoplossing die in staat is potentiële beveiligingsdreigingen tegen de omgeving van een klant te detecteren en te melden. Deze gepatenteerde set van systemen en processen maakt gebruik van de modernste hardware-, software- en beveiligingsprofessionals om Client-netwerk (en), eindpunt (en) en andere gerelateerde gebeurtenissen te observeren en te bewaken om abnormale acties en beveiligingsbedreigingen te detecteren.

2. OVEREENKOMST

In dit Addendum voor beveiligingsservices ("SSA") worden de specifieke voorwaarden uiteengezet waaronder Phoenix NAP ("PNAP") levert informatiebeveiligingsdiensten aan de klant. De Master Service-overeenkomst die tussen PNAP en de Klant is gesloten, neemt de voorwaarden hierin volledig op en bepaalt dat deze SSA, en de uitvoering van de Master Services-overeenkomst door de Klant, de aanvaarding van de hierin vermelde voorwaarden inhoudt. Termen met een hoofdletter die hierin worden gebruikt, maar niet worden gedefinieerd, hebben de betekenis zoals uiteengezet in de Master Services Agreement. De initiële looptijd voor deze service is vermeld op het toepasselijke serviceorderformulier ("SOF"), uitgevoerd door PNAP en de klant, verwijzend naar deze services. Zoals hierin vermeld, betekent "Overeenkomst" dit Addendum voor beveiligingsdiensten, samen met de MSA en alle beleidslijnen en addenda die hierin door verwijzing zijn opgenomen, inclusief de Statement of Work (SOW), Responsibility Matrix ("RM"), Service Level Agreement (SLA), Beleid voor acceptabel gebruik ("AUP") en Privacybeleid ("PP"). Deze overeenkomst zet de voorwaarden uiteen die van toepassing zijn op het addendum voor beveiligingsdiensten.

3. ALGEMEEN

PNAP zal het huidige computernetwerkplatform van de Klant, de hosting ervan, en data security vereisten voor zover de Klant PNAP-toegang heeft verleend, en bevestigt dat de overeengekomen Dienst (en) interactie en werking met het platform van de Klant kunnen hebben en een veilige omgeving kunnen bieden in overeenstemming met de specificaties en in overeenstemming met de industrienormen uiteengezet in de overeengekomen op Statement of Work (SOW).

Indien de overeenkomst tussen PNAP en de Klant wordt beëindigd of afloopt, heeft Klant de keuze om de overeenkomst te verlengen of de PNAP Beveiligingsdiensten te vervangen door een derde partij naar zijn keuze. Op verzoek zal PNAP commercieel redelijke inspanningen leveren om Klant zo snel, economisch en efficiënt mogelijk over te zetten naar de nieuwe aanbieder en indien mogelijk op een manier die de meest naadloze en veilige overgang biedt met minimale bedrijfsonderbrekingen naar Klant.

4. DIENSTEN EN FUNCTIES

Service Omschrijving
Bedreigingsbeheerplatform Dit productaanbod maakt gebruik van door de klant verstrekte beveiligingslogboeken van verschillende bronnen (zoals firewalls, switches en servers) en correleert die logboeken met dreigingssignaturen en gedragsanalyses om activiteiten te identificeren die de operators van een potentiële dreigingsgebeurtenis kunnen signaleren. Deze patronen van dreigingsgedrag worden verzameld uit en bijgewerkt op basis van geabonneerde feeds met informatie over dreigingen uit de sector, bedrijfseigen informatie over dreigingen of andere gegevens die door de Klant worden verstrekt.
Patchbeheer Dit aanbod is het proces waarbij een geautomatiseerd hulpmiddel wordt gebruikt om systemen regelmatig te scannen aan de hand van een bekende lijst met beschikbare patches, hotfixes en/of updates van het besturingssysteem om te bepalen of deze op die systemen moeten worden toegepast. Als uit de scans blijkt dat er patches nodig zijn, zal de Patch Management Solution de patch identificeren en de installatie van de patch plannen via een proces voor wijzigingscontrole. Dit product is beperkt tot de momenteel ondersteunde besturingssystemen van PNAP.
Herstel van kritieke omgeving Het onderdeel Critical Environment Recovery van de service zal gebruikmaken van dezelfde disaster recovery-services die PNAP al biedt via zijn andere serviceaanbiedingen. Critical Environment Recovery zal een vereist onderdeel zijn van alle aanbiedingen en pakketten van beveiligingsservices, maar zal beperkt zijn tot de klant servers gedefinieerd in de overeengekomen Statement of Work (SOW).
Beheer van firewall-schakelaars Veel organisaties hebben niet de vaardigheid en / of expertise op het gebied van best practices in de branche om hun firewalls en switches op de juiste manier te beheren. Met name voor bedrijven die meer geavanceerde laag 7-firewalls gebruiken, beschikt intern personeel mogelijk niet over de nodige training of middelen om deze apparaten effectief te onderhouden en te bewaken zoals ze zijn ontworpen. Bovendien, wanneer interne beheerders wijzigingen aanbrengen in hun firewalls en switches, doen ze dit vaak zonder een adequate geschiedenis van de wijzigingen bij te houden, waardoor ze niet over de juiste documentatie beschikken die nodig is om redenen van naleving. Het aanbod van PNAP Firewall / Switch Management omvat zowel het juiste beheer van de firewalls en switches, als de benodigde documentatie, inclusief het beheren en volgen van de authenticatie voor gebruikers die wijzigingen aanbrengen, evenals het volgen van de eerdere configuraties om de roll-back mogelijk te maken van wijzigingen indien nodig.
Kwetsbaarheid Beoordeling Het aanbod voor Kwetsbaarheidsbeoordeling scant door Klant goedgekeurde interne en externe netwerken met behulp van geautomatiseerde tools die bekende bedreigingsvectoren gebruiken om op kwetsbaarheden te testen. In gevallen waarin de diensten van een Certified Scanning Vendor nodig zijn, zal PNAP een van haar partners inschakelen om deze diensten namens hen uit te voeren, met een vooraf overeengekomen frequentie zoals overeengekomen met de klant en hun nalevingsvereisten.
Prestatie monitoring Prestatiemonitoring omvat rapportage over prestatietrends, proactieve monitoring van waarschuwingen en het uitvoeren van analyses op prestatiemetingen; zoals up / down-frequentie en bandbreedtegebruik, processors, geheugen en opslaggebruik. Rapportagemethode en frequentie worden vastgelegd in de bijbehorende Statement of Work (SOW).
Eindpuntbeveiliging De End Point Security Service beheert de beveiliging van server en apparaten van eindgebruikers, zoals pc-werkstations en laptops, door gebruik te maken van anti-malwaresoftware. Dit serviceaanbod bewaakt, onderhoudt en beheert de endpoint agents, zodat ze up-to-date en functioneel zijn.

5. BESTE PRAKTIJKEN

PNAP zal de volgende best practices implementeren met betrekking tot de ontwikkeling en implementatie van de Producten en Diensten. PNAP zal passende systeembeveiliging handhaven voor de PNAP-service in overeenstemming met commercieel redelijke industrienormen en -praktijken die zijn ontworpen om alle gegevens en informatie te beschermen die door of namens de klant worden verstrekt en die worden ingevoerd in, weergegeven op of verwerkt door de PNAP-service en alle uitvoer daarvan (“Klantgegevens”) tegen diefstal, ongeoorloofde openbaarmaking en ongeoorloofde toegang. Dergelijke systeembeveiliging omvat onder meer: ​​(1) implementatie van kwetsbaarheidstests voor applicaties en mitigatieprocessen; (2) alle elektronische communicatie van PNAP-Client via een beveiligd webportaal, een beveiligde bestandsshare of versleutelde e-mail te leiden; en (3) de volgende waarborgen:

  1. authenticatie
    • Alle toegang is geverifieerd, communicatie is beveiligd met best practices uit de branche en vastgelegd.
    • De systeemidentiteit is verbonden met een individuele gebruiker door het gebruik van referenties en door een tweede factor-authenticatiemechanisme.
    • Er wordt voorzien in redelijke verificatiecontroles die voldoen aan door de industrie erkende normen.
  2. autorisatie
    • Zorg ervoor dat geautoriseerde gebruikers alleen acties mogen uitvoeren binnen hun privilegeniveau.
    • Beheer de toegang tot beveiligde bronnen op basis van rol- of privilegeniveau.
    • Beperk en verdedig indien mogelijk tegen escalatie-aanvallen op privileges, volgens de beschikbare technologienormen en beste praktijken.
  3. Wachtwoord- en accountbeheer
    • Wachtwoorden voldoen aan best practices, waaronder:
      • Wachtwoorden versleutelen met "hashing" - en "salting" -technieken.
      • Wachtwoordcomplexiteit afdwingen.
      • Beperkte mislukte pogingen vóór accountvergrendeling.
      • Geen opslag en verzending van wachtwoorden in duidelijke tekst toestaan.
      • Wachtwoordreset verzendt geen inloggegevens.
    • In voorkomend geval zal PNAP opdrachten (die tijd en datum bevatten) veilig registreren en aanvullende bevoegdheden vereisen om een ​​volledig controlespoor van activiteiten mogelijk te maken.
  4. Data Security
    • Gegevens in rust
      • Klantgegevens worden versleuteld met best practices uit de branche.
      • Backups van klantgegevens hebben dezelfde controles als productiegegevens.
    • Gegevens in doorvoer
      • Klantgegevens die naar of van de klant worden verzonden, worden versleuteld (bijv. SSL, VPN, SFTP, op certificaten gebaseerde verificatie).
    • Clientgegevens die via de browser worden verzonden, moeten SSLv3 of beter gebruiken.
  5. Multi-tenancy
    • In een omgeving met meerdere huurders biedt PNAP passende beveiligingsmaatregelen en robuuste cryptografische methoden om klantgegevens te beschermen en te isoleren van andere huurders.
  6. Administratieve toegang en milieusegregatie
    • Het principe van de minste privileges toepassen: er moeten goede controles zijn om ervoor te zorgen dat de toegang beperkt is tot personeel dat klantgegevens moet zien om hun functie te vervullen.
    • Waar mogelijk moeten vertrouwelijke gegevens worden gemaskeerd met eenrichtingshash-algoritmen.
    • Klantgegevens mogen niet worden gerepliceerd naar niet-productieomgevingen.
  7. Bedreigingsbeheer
    • Intrusion Detection
    • PNAP zal een monitoringproces voor inbraakdetectie implementeren en onderhouden op netwerk- en hostniveau om PNAP-diensten te beschermen en ongewenst of vijandig netwerkverkeer te detecteren. PNAP zal haar inbraakdetectiesoftware continu updaten, op een geplande basis na de beschikbaarheid van updates door de gekozen softwareleverancier. PNAP zal maatregelen nemen om ervoor te zorgen dat PNAP wordt gewaarschuwd wanneer het systeem of de dienst ongebruikelijke of kwaadaardige activiteiten detecteert. PNAP zal de Klant binnen vierentwintig (24) uur op de hoogte stellen van elke significante inbreuk die een inbreuk op de gegevens van de klant inhoudt.

    • Penetratietesten
    • PNAP zal ten minste eenmaal per jaar penetratietests uitvoeren op zijn klantbrede computeromgeving via een Qualified Security Assessor (QSA) van een derde partij en de geïdentificeerde risico's op gepaste wijze verwijderen. Vanwege het risicovolle karakter van deze rapporten, zullen de rapporten en bevindingen niet openbaar worden gemaakt of beschikbaar worden gesteld voor inspectie door de klant. PNAP zal echter op verzoek een brief van de QSA ter beschikking stellen met een bevredigende oplossing van geïdentificeerde bezorgdheid over dreigingen. Klanten zijn niet gemachtigd om kwetsbaarheidsscans, beoordelingen of penetratietests uit te voeren op de PNAP-service-infrastructuur.

    • Infrastructuurbeveiliging
    • PNAP configureert de infrastructuur (bijv. servers en netwerkapparaten) en platforms (bijv. OS en web servers) om veilig te zijn volgens deze best practices:

      • Audit Logging: Klant machtigt PNAP voor het verzamelen, gebruiken, opslaan, overdragen, bewaken en anderszins verwerken van logbestanden van alle systemen die zijn geabonneerd op de PNAP-service. Deze logboektypen omvatten, maar zijn niet beperkt tot, beveiligingslogboeken, web server logs, applicatielogs, systeemlogs en netwerkgebeurtenislogs. PNAP bewaakt haar netwerken 24/7 met behulp van de nieuwste SIEM- en gedragsanalysetechnologieën. De Klant erkent dat deze logboeken bron- en bestemmings-IP-adressen, gebruikte gebruikersaccounts, pogingen tot slechte wachtwoorden, klik- en scherminvoeren en andere persoonlijk identificeerbare gegevenselementen kunnen bevatten.
      • Er worden dubbele kopieën van deze logboeken bewaard en een externe archiefkopie verkleint het risico op verlies door geknoei.
    • Netwerk veiligheid
      • PNAP moet voldoen aan industrienormen, waarbij perimeternetwerken worden gescheiden van eindpunten die in het particuliere netwerk worden gehost met behulp van industriestandaard firewalls of microsegmentatietechnieken op basis van Software Defined Networking-technologieën. PNAP zal zijn infrastructuur bijwerken en onderhouden met behulp van een industriestandaard methode voor onderhoud en wijzigingscontrole.
      • PNAP zal zijn perimeter-apparaten regelmatig monitoren en testen, en als er tekortkomingen worden ontdekt, zal PNAP deze tekortkomingen onmiddellijk oplossen en verhelpen.
    • Kwetsbaarheidsmanagement
    • Naast de hierboven beschreven kwetsbaarheidsbeoordelingen van derden, zal PNAP commercieel redelijke processen implementeren die zijn ontworpen om Klantgegevens te beschermen tegen systeemkwetsbaarheden, waaronder:

      • Perimeter scannen: PNAP zal perimeter scannen door het gebruik van ingebouwde sensoren binnen de PNAP-infrastructuur die informatie levert aan onze gecentraliseerde SIEM-tool.
      • Interne infrastructuurscanning: PNAP zal interne infrastructuurscanning uitvoeren door het gebruik van ingebouwde sensoren binnen de PNAP-infrastructuur die informatie levert aan onze gecentraliseerde SIEM-tool.
      • Scannen op malware: PNAP maakt waar mogelijk gebruik van een geavanceerd gedrags- en handtekeninggebaseerde antivirus- / antimalware-tool (APT), samen met technieken voor het op de witte lijst plaatsen van applicaties om de infrastructuur te beschermen tegen de dreiging van ongeautoriseerde schadelijke software.
    • Veilige configuratie
    • PNAP gebruikt een industriestandaard methodologie voor platformverharding en veilige configuratie, om de omvang en het oppervlak van de aanval te verminderen. Door het gebruik van microsegmentatietechnieken wordt laterale communicatie verder beperkt tot bekende communicatieparen en patronen.

  8. Beveiligingsprocedures
    • Reactie op incidenten
    • PNAP houdt beleid en procedures voor het beheer van beveiligingsincidenten aan, met inbegrip van gedetailleerde escalatieprocedures voor beveiligingsincidenten. In het geval van een inbreuk op de beveiligings- of vertrouwelijkheidsverplichtingen van PNAP, met gevolgen voor de omgeving of gegevens van een klant, stemt PNAP ermee in de betrokken klant (en) binnen vierentwintig (24) uur na ontdekking telefonisch en per e-mail op de hoogte te stellen van een dergelijk evenement. PNAP zal ook onmiddellijk een onderzoek naar de inbreuk uitvoeren, passende corrigerende maatregelen nemen en een Single-Point-of-Contact (SPoC) toewijzen. Deze SPoC of hun aangewezen persoon zal beschikbaar zijn voor beveiligingsvragen of betreft vierentwintig (24) uur per dag, zeven (7) dagen per week, tijdens het onderzoek van PNAP.

    • Patchbeheer
    • PNAP gebruikt een patchbeheerproces en toolset om alles te bewaren servers up-to-date met de juiste beveiligings- en functiepatches.

    • Gedocumenteerd herstelproces
    • PNAP gebruikt een gedocumenteerd herstelproces dat is ontworpen om alle geïdentificeerde bedreigingen en kwetsbaarheden met betrekking tot de PNAP-service tijdig aan te pakken.

  9. Ontslagprocedures voor werknemers
    • PNAP zal bij beëindiging van het dienstverband onmiddellijk alle inloggegevens en toegang tot bevoorrechte wachtwoordfaciliteiten, zoals identiteits- en toegangsbeheersystemen, beëindigen.
  10. Bestuur
    • Veiligheidsbeleid
    • PNAP zal een schriftelijk informatiebeveiligingsbeleid handhaven dat jaarlijks door PNAP wordt goedgekeurd en gepubliceerd en gecommuniceerd aan alle PNAP-medewerkers en relevante derde partijen. PNAP zal een speciale beveiligings- en nalevingsfunctie onderhouden om beveiliging te ontwerpen, te onderhouden en te exploiteren ter ondersteuning van haar "vertrouwensplatform" in overeenstemming met de industrienormen. Deze functie zal zich richten op systeemintegriteit, risicoacceptatie, risicoanalyse en -beoordeling, risico-evaluatie, risicobeheer en behandelingsverklaringen van toepasselijkheid en PNAP-beheer.

    • Beveiligingstraining
    • PNAP zorgt ervoor, zonder kosten voor de Klant, dat alle PNAP-medewerkers en Cliënten de relevante training volgen die vereist is om de hierin beschreven procedures en praktijken, waaronder training voor beveiligingsbewustzijn, ten minste jaarlijks te operationaliseren.

    • Beveiligingsbeoordelingen
    • PNAP en de klant kunnen ten minste eenmaal per jaar bijeenkomen om te bespreken: (1) de effectiviteit van het beveiligingsplatform van PNAP; en (2) alle updates, patches, fixes, innovaties of andere verbeteringen aan elektronische data security door andere commerciële providers of voor andere klanten van PNAP die volgens PNAP of de Klant de effectiviteit van het PNAP-beveiligingsplatform voor de Klant zullen verbeteren.

    • Audits door derden en nalevingsnormen
      • PNAP zal de Klant een kopie van de SOC2- of vergelijkbare auditresultaten verstrekken, niet meer dan dertig (30) dagen nadat PNAP de resultaten of rapporten heeft ontvangen. Klant heeft het recht om, of om namens hem een ​​derde partij in te schakelen, de kantoren van PNAP maximaal vier (4) keer per kalenderjaar te bezoeken om due diligence- en auditprocedures uit te voeren met betrekking tot de bedrijfsactiviteiten van PNAP met betrekking tot de PNAP-service in termen van van technische infrastructuur, systeeminteractie, organisatie, kwaliteit, kwaliteitscontrole, personeel betrokken bij diensten voor Klant, en algemene middelen in termen van vaardigheden en personeel.
      • PNAP zal op verzoek van de klant bewijzen leveren voor een succesvolle SSAE nr. 18-audit, voor zover wettelijk toegestaan ​​en onder voorbehoud van toepasselijke wettelijke beperkingen en vertrouwelijkheidsverplichtingen. PNAP moet verifiëren dat de audit alle infrastructuur en applicaties certificeert die services ondersteunen en leveren aan klantgegevens.
      • PCI-DSS-naleving
      • PNAP zal voldoende beleid, praktijken en procedures handhaven om te voldoen aan de betaalkaartindustrie Data Security Standaard, aangezien deze van tijd tot tijd kan worden gewijzigd met betrekking tot de PNAP-service.

      • Kwetsbaarheidsbeoordelingen
      • PNAP voert ten minste jaarlijks een beoordeling van de kwetsbaarheid van toepassingen uit. Deze beoordelingen worden uitgevoerd met een externe gekwalificeerde beveiligingsbeoordelaar (QSA). Vanwege het risicovolle karakter van deze rapporten worden de rapporten en bevindingen niet openbaar gemaakt of ter inzage gegeven aan de klant. PNAP zal echter op verzoek een brief van de QSA beschikbaar stellen met een bevredigend antwoord op de geïdentificeerde bezorgdheid over bedreigingen. Klanten zijn niet geautoriseerd om kwetsbaarheidsscans, beoordelingen of penetratietests uit te voeren tegen de PNAP-toepassingsplatforms.

  11. Fysieke bewaking
  12. PNAP zal de toegang tot haar faciliteiten die worden gebruikt bij het uitvoeren van de PNAP-service beperken tot werknemers en geautoriseerde bezoekers met behulp van commercieel redelijke, in de branche gebruikelijke fysieke beveiligingsmethoden. Dergelijke methoden omvatten ten minste aanmeldingen van bezoekers, sleutelkaarten met beperkte toegang en sloten voor werknemers; beperkte toegang tot server kamers en archivering backups; en inbraak- / inbraakalarmsystemen.

  13. Bedrijfscontinuïteit
  14. PNAP heeft een bedrijfscontinuïteitsplan voor het herstel van kritieke processen en activiteiten van de PNAP-service op de locatie(s) van waaruit de PNAP-service wordt geleverd. PNAP heeft ook een jaarlijks getest plan om PNAP te helpen bij het plannen en testen van een ramp. PNAP zal Klant onverwijld na schriftelijk verzoek van Klant een kopie van zijn dan geldende plan verstrekken.

  15. PNAP interne systemen Backup Management
    • PNAP presteert volledig backups van interne systemen en database(s) met Klantgegevens niet minder dan één keer per dag zonder onderbreking van de PNAP Dienst. PNAP zorgt ook voor externe archiefopslag op niet minder dan wekelijkse basis van alle backups van de interne systemen en database (s) met klantgegevens op beveiligd server(s) of andere commercieel aanvaardbare beveiligde media. dergelijke gegevens backups worden versleuteld, elke werkdag off-site verzonden naar een veilige locatie en zeven (7) jaar bewaard / bewaard.
    • Om te herstellen van een Datacenter-storingincident, worden de vereiste back-upgegevens gerepliceerd over ten minste twee (2) geografisch verspreide gegevens data centers op elk moment. Backup snapshots kunnen periodiek naar een ander worden verzonden data center. Dataretentie voor een storing in een datacenter Incident maakt gebruik van vierentwintig (24) uurlijkse momentopnamen, veertien (14) dagelijks backups en drie (3) maandelijks backups. Deze backup beleid is ontworpen om zowel een gedeeltelijk als volledig herstel van het systeem doelmatig te ondersteunen.
  16. Recht op controle
  17. De Klant heeft het recht om, of namens hem, een derde partij in te schakelen om, op eigen kosten, eenmaal per kalenderjaar de kantoren van PNAP te bezoeken om due diligence en auditprocedures uit te voeren over de bedrijfsactiviteiten van PNAP met betrekking tot de Dienst van PNAP in termen van technische infrastructuur, systeeminteractie, organisatie, kwaliteit, kwaliteitscontrole, personeel betrokken bij dienstverlening aan klanten en algemene middelen qua vaardigheden en personeel. De klant begrijpt het eigendoms- en intellectuele eigendomsrecht van deze toegang en stemt ermee in een geheimhoudingsverklaring uit te voeren en na te leven, en de documentatie of verwijdering van deze informatie uit PNAP-gebouwen te beperken.

6. VERANTWOORDELIJKHEDEN VAN DE KLANT

De Klant dient alle fouten of storingen van een systeem dat onder deze overeenkomst valt te documenteren en onmiddellijk te rapporteren aan PNAP. PNAP levert alle benodigde reserveonderdelen en / of andere hardware om de apparatuur in eigendom te houden die nodig is voor de uitvoering van een dienst onder deze bijlage.

De Klant mag niets, materieel of immaterieel, gebruiken dat in overeenstemming is met en / of wordt verstrekt door deze overeenkomst voor onwettige doeleinden of voor enig doel dat is verboden door het Netwerkmisbruikbeleid van PNAP en / of het Beleid voor acceptabel gebruik zoals op zijn website is gepost.

Klant erkent dat PhoenixNAP de uitvoering en levering van de Services zijn afhankelijk van: (A) Klant die veilige en risicovrije toegang biedt tot zijn personeel, faciliteiten, apparatuur, hardware, netwerk en informatie, en (B) Tijdige besluitvorming door de Klant en het verstrekken van tijdige, nauwkeurige en volledige informatie en redelijke assistentie, inclusief, het verlenen van goedkeuringen of toestemmingen, aangezien (A) en (B) redelijkerwijs noodzakelijk worden geacht en redelijkerwijs worden gevraagd voor PhoenixNAP om de Services uit te voeren, te leveren en / of te implementeren. De klant zal deze onmiddellijk verkrijgen en verstrekken PhoenixNAP alle vereiste licenties, goedkeuringen of toestemmingen die nodig zijn voor PhoenixNAP's uitvoering van de Services. PhoenixNAP zal worden vrijgesteld van het niet nakomen van zijn verplichtingen onder dit Addendum voor zover een dergelijk falen uitsluitend wordt veroorzaakt door de vertraging van de Klant bij het uitvoeren of niet nakomen van zijn verantwoordelijkheden onder deze MSA en / of de Serviceorder / SOW.

7. WERKVERKLARING; VERANTWOORDELIJKHEID MATRIX

Een Statement of Work ("SOW") en Verantwoordelijkheidsmatrix ("RM") zullen worden gebruikt om de specifieke taken, reikwijdte, locaties, deliverables, normen, activiteiten en algemene vereisten te specificeren voor elke Information Security Service die door PNAP aan een Klant wordt aangeboden .

8. SERVICENIVEAUOVEREENKOMST (SLA)

De volgende PhoenixNAP Service Level Agreement ("SLA") is een beleid dat het gebruik van de PNAP-beveiligingsdiensten regelt onder de voorwaarden van de Master Service Agreement (de "MSA") tussen PNAP, LLC. en klanten van PNAP. Tenzij hierin anders is bepaald, is deze SLA onderworpen aan de voorwaarden van de MSA en hebben termen met een hoofdletter de betekenis die is gespecificeerd in de Overeenkomst. We behouden ons het recht voor om de voorwaarden van deze SLA te wijzigen in overeenstemming met de MSA.

  1. Servicetypen, prioriteit en reactietijden

  2. Prioriteit


     Erken tijd


     Meldingstijd

    Omschrijving

    Voorbeelden

    1. Prioriteit (kritiek)

    20 Minuten

    2 Uur

    Significante impact op de bedrijfs- of klantgegevens; het probleem heeft een grote impact en is zeer zichtbaar voor het bedrijfsleven en / of hun bedrijfsvoering; er is geen oplossing beschikbaar.

    Wijdverbreide, langdurige DDOS

    Kritiek op compromissen / kritiek gegevensverlies

    Gevolgen voor klantmerken (in het nieuws)

    Verlies van klantgegevens

    Malware-activiteit gerelateerd aan losgeldactiviteit (bijv. CryptoLocker)

    Beveiligingsmonitoring serviceonderbreking

    2. Prioriteit (hoog)

    1 uur

    4 Uur

    Een groot percentage van het bedrijf wordt getroffen; het probleem heeft een grote impact of is zeer zichtbaar voor de klant en / of hun bedrijfsvoering; er is een beproefde en bewezen oplossing beschikbaar.

    Activiteit tegen bekende dreigingsindicatoren

    Malware Callback of Command and Control, activiteit

    Conformiteit

    3. Prioriteit (gemiddeld)

    4 uur

    8 Uur

    Een klein percentage van het bedrijf van de Klant wordt getroffen en / of het probleem is beperkt zichtbaar. Het systeem kan echter op een verslechterde manier blijven werken en / of een beproefde oplossing is beschikbaar.

    Herhaal overtreders

    Malware-activiteit gerelateerd aan bekende, kwaadaardige activiteit maar beperkt in blootstelling (bijv. Zeus, Coreboot)

    4. Prioriteit (laag)

    1 werkdag

    1 Dag

    De klant kan nog steeds volledige functionaliteit en normale prestaties bereiken, zolang de tijdelijke oplossing wordt gevolgd.

    Bewijs van poortscans of andere verkenningsactiviteiten

    Laag niveau van malware / spyware


  3. Service Commitment
  4. PNAP zal commercieel redelijke inspanningen leveren om Beveiligingsdiensten beschikbaar te stellen met een maandelijks uptimepercentage van 100%, met uitzondering van geplande en vooraf goedgekeurde onderhoudsperioden waar alternatieve procedures gelden voor continue bewaking. Zoals beschreven in sectie A: Diensttypes, Prioriteit en Reactietijden, zal PNAP, na ontvangst van een waarschuwing, (via e-mail of telefonisch), binnen de beschreven tijdsbestekken, de impact van het incident en de acties die moeten worden genomen om de zorg te verminderen.

    In het geval dat PNAP niet voldoet aan de verplichting tot maandelijkse uptime-percentage, komt de klant in aanmerking voor het ontvangen van een servicetegoed zoals hieronder beschreven.

  5. Servicecredits
  6. Als het maandelijkse uptime-percentage voor een klant tijdens een servicemaand onder 100% zakt, komt die klant in aanmerking voor één (1) 10% servicetegoed, voor elke periode van dertig (30) minuten dat beveiligingsservices niet beschikbaar waren, tot een maximum bedrag gelijk aan een volledige maand facturering. Voor het bepalen van Servicecredits komt de Klant alleen in aanmerking voor Servicecredits die verband houden met het niet beschikbaar zijn van:

    1. InfraSentry: Monitor de service voor bedreigingsdetectie
    2. InfraSentry: Sophos-gerelateerde "Advanced Persistent Threat" tools

    Welke Service ook het minst beschikbaar was tijdens de Servicemaand, PNAP zal Servicecredits alleen toepassen op toekomstige betalingen die anderszins verschuldigd zijn door de Klant, op voorwaarde dat:

    1. PNAP mag het Servicetegoed aan de Klantaccount verstrekken voor de Servicemaand waarin de Niet-beschikbaarheid zich voordeed, en
    2. Klant is op de hoogte van alle betalingsverplichtingen zoals uiteengezet in de Overeenkomst.

    Servicecredits geven de Klant geen recht op enige terugbetaling of andere betaling van PNAP. Servicecredits mogen niet worden overgedragen of toegepast op een ander account. Tenzij anders bepaald in de Overeenkomst, zijn Servicecredits de enige en exclusieve remedie van de Klant voor het niet beschikbaar zijn of niet uitvoeren van Services.

  7. Kredietaanvraag en betalingsprocedures
    Om een ​​Servicetegoed te ontvangen, moet de Klant een verzoek indienen door een e-mailbericht te sturen naar [e-mail beveiligd]. Om in aanmerking te komen, moet het kredietverzoek:

    1. SLA Service Credit Claim opnemen in het onderwerp van het e-mailbericht;
    2. Vermeld in de hoofdtekst van de e-mail de naam van de klantorganisatie of de klant-ID, samen met de datums, tijden en lengte van elke periode van onbeschikbaarheid die de klant beweert te hebben meegemaakt;
    3. Voeg alle documentatie toe die de door de klant geclaimde onbeschikbaarheid bevestigt; en
    4. Ontvangen door PNAP binnen dertig (30) kalenderdagen na de laatste dag gerapporteerd in de claim Niet beschikbaar.

    Als het maandelijkse uptime-percentage van een dergelijk verzoek wordt bevestigd door PNAP en minder is dan 100% voor de servicemaand, dan zal PNAP het servicetegoed aan de klant verstrekken binnen één servicemaand na de maand waarin het verzoek is bevestigd. Als de Klant het verzoek en andere informatie niet verstrekt zoals hierboven vereist, wordt de Klant gediskwalificeerd om een ​​Servicetegoed te ontvangen. De gegevens en records van PNAP zijn de enige factor voor het valideren van claims wegens onbeschikbaarheid.

  8. uitsluitingen
    De serviceverplichting is niet van toepassing op het niet beschikbaar zijn, opschorten of beëindigen van beveiligingsservices of andere prestatieproblemen:

    1. Dat is het gevolg van opschortingen van services die worden beschreven in de volgende secties van de overeenkomst: Termijn en beëindiging, en standaardgebeurtenissen en rechtsmiddelen;
    2. Veroorzaakt door factoren buiten de redelijke controle van PNAP, met inbegrip van overmacht of internettoegang of gerelateerde problemen buiten het PNAP Network Demarcation Point;
    3. Die het gevolg zijn van acties of inactiviteit van de klant of een derde partij;
    4. Dat het gevolg is van apparatuur, software of andere technologie van de Klant en / of apparatuur, software of andere technologie van derden (anders dan apparatuur van derden onder directe controle van PNAP);
    5. Dat is het gevolg van storingen in individuele functies, functies, infrastructuur en netwerkconnectiviteit Niet beschikbaar; of
    6. Voortkomend uit de opschorting en beëindiging van PNAP's recht van de Klant om Beveiligingsdiensten te gebruiken in overeenstemming met de Overeenkomst.

    Als de beschikbaarheid wordt beïnvloed door andere factoren dan die expliciet worden vermeld in deze overeenkomst, kan PNAP naar eigen goeddunken een servicetegoed verstrekken, rekening houdend met dergelijke factoren.

  9. Disclaimer
    Als PNAP het SLA-doel mist vanwege problemen met het gedrag van de Klant of de prestatie of het falen van de apparatuur, faciliteiten of applicaties van de Klant, kan PNAP de Klant geen krediet geven. Bovendien verzachtende omstandigheden buiten de redelijke controle van PNAP zoals (zonder beperking) handelingen van een overheidsinstantie, daden van terrorisme, oorlog, opstand, sabotage, embargo, brand, overstroming, staking of andere arbeidsverstoring, onderbreking van of vertraging in transport, onbeschikbaarheid van onderbreking of vertraging in telecommunicatie of services van derden (inclusief DNS-propagatie), het falen van software of hardware van derden of het niet kunnen verkrijgen van grondstoffen, benodigdheden of stroom die worden gebruikt in of apparatuur die nodig is voor het leveren van de services van de Klant, kan leiden tot enige problemen waarvoor PNAP niet aansprakelijk kan worden gesteld.

9. DISCLAIMERS

  1. Geen productgarantie
  2. PNAP biedt geen expliciete of impliciete garanties voor de verkoopbaarheid of geschiktheid van een product voor een bepaald doel. Hoewel alle services zijn ontworpen om veerkrachtig te zijn, is het aan de klant om rampen te plannen en het wordt altijd aanbevolen om off-site te houden backup van kritieke gegevens in geval van kritieke storing of ramp.

  3. Garantiedisclaimer
  4. PNAP IS NIET AANSPRAKELIJK VOOR ENIG VERLIES OF SCHADE VEROORZAAKT DOOR EEN DISTRIBUTEERDE AANVALSSTORING, VIRUSSEN OF ANDERE TECHNOLOGISCH SCHADELIJKE MATERIALEN DIE UW COMPUTERAPPARATUUR, COMPUTERPROGRAMMA'S, GEGEVENSNETWERK OF ANDERE GEBRUIKSVOORWAARDEN KUNNEN BEÏNVLOEDEN. , PHOENIX NAPDE WEBSITE OF DE SERVICE OF ITEMS GEKOCHT OF VERKREGEN VIA DE WEBSITE OF DE SERVICE OF NAAR UW DOWNLOADING VAN ENIG MATERIAAL DAAROP, OF OP EEN WEBSITE DIE EROP IS GEKOPPELD. GEEN VAN BEIDE PHOENIX NAP GEEN ENKELE PERSOON PHOENIXNAP GEEFT ENIGE GARANTIE OF VERKLARING AAN ENIGE GEBRUIKER MET BETREKKING TOT DE VOLLEDIGHEID, VEILIGHEID, BETROUWBAARHEID, KWALITEIT, FUNCTIONALITEIT OF BESCHIKBAARHEID VAN DE DIENSTEN. ZONDER HET VOORGAANDE TE BEPERKEN PHOENIX NAP GEEN IEDEREEN PHOENIXNAP VERKLAART OF GARANDEERT DAT DE DIENST BETROUWBAAR, FOUTLOOS, INBRAAKBESTENDIG OF ONONDERBROKEN ZAL ZIJN, DAT DEFECTEN ZULLEN WORDEN VERBETERD, VRIJ VAN VIRUSSEN OF ANDERE SCHADELIJKE COMPONENTEN OF DAT DE DIENSTEN OP ANDERE WIJZE AAN DE BEHOEFTE VAN DE GEBRUIKER ONTVANGEN. BEHALVE VOOR DE BOVENSTAANDE GARANTIE, PHOENIXNAP BIEDT DE SERVICE, EN ALLES IN EEN "AS IS" EN "AS AVAILABLE" BASIS, ZONDER ENIGE GARANTIE. PHOENIX NAP WIJST HIERBIJ ALLE GARANTIES VAN ENIGE SOORT AF, UITDRUKKELIJK OF IMPLICIET, WETTELIJK OF ANDERSZINS, INCLUSIEF MAAR NIET BEPERKT TOT ENIGE GARANTIE VAN VERKOOPBAARHEID, NIET-INBREUK EN GESCHIKTHEID VOOR EEN BEPAALD DOEL.

    PHOENIX NAPDE TOTALE AANSPRAKELIJKHEID VAN DE OVEREENKOMST (IN CONTRACT, ONRECHTMATIGE OF ANDERSZINS) VOOR ALLE VORDERINGEN VAN AANSPRAKELIJKHEID DIE VOORTVLOEIEN UIT OF IN VERBAND MET DE OVEREENKOMST ZAL DE DOOR DE KLANT BETAALDE BEDRAGEN VOOR DE DIENSTEN DIE TOT EEN AANSPRAKELIJKHEIDSCLAIM LEIDEN, NIET OVERSCHRIJDEN. HET VOORGAANDE IS NIET INVLOED OP GARANTIES DIE NIET UITGESLOTEN OF BEPERKT KUNNEN WORDEN ONDER DE TOEPASSELIJKE WETGEVING. DEZE SECTIE OVERLEEFT ELKE VERLOOP OF BEINDIGING VAN DE OVEREENKOMST.

    IN GEEN GEVAL ZAL PHOENIX NAPZIJN AANGESLOTEN OF HUN LICENTIEGEVERS, DIENSTVERLENERS, WERKNEMERS, AGENTEN, OFFICIEREN OF BESTUURDERS ZIJN AANSPRAKELIJK VOOR SCHADE VAN ENIGE SOORT, ONDER ENIGE JURIDISCHE THEORIE, VOORTVLOEIEND UIT OF IN VERBAND MET UW GEBRUIK, OF ONMOGELIJKHEID OM DE DIENSTEN OF ELK WEBSITES TE GEBRUIKEN. VERBONDEN MET, MET INBEGRIP VAN ENIGE DIRECTE, INDIRECTE, SPECIALE, INCIDENTELE, GEVOLGSCHADE OF PUNITIEVE SCHADE, INCLUSIEF MAAR NIET BEPERKT TOT, PERSOONLIJK LETSEL, PIJN EN LIJDEN, EMOTIONELE RISICO, VERLIES VAN ONTVANGSTEN, VERLIES VAN VERGOEDING OF VERLIES VERLIES VAN GEBRUIK, VERLIES VAN GOODWILL, VERLIES VAN GEGEVENS EN OF HET DOOR TORT IS VEROORZAAKT (INCLUSIEF NALATIGHEID), SCHENDING VAN CONTRACT OF ANDERSZINS, OOK INDIEN VOORZIEN. HET VOORGAANDE HEEFT GEEN INVLOED OP ENIGE AANSPRAKELIJKHEID DIE NIET KAN WORDEN UITGESLOTEN OF BEPERKT ONDER DE TOEPASSELIJKE WETGEVING.

  5. Beperking van tijd tot indienen van claims
  6. Elke oorzaak of actie die u heeft die voortvloeit uit of verband houdt met deze gebruiksvoorwaarden, de service of de website moet worden gestart binnen een (1) jaar nadat de oorzaak van de actie is ontstaan, anders is een dergelijke oorzaak of claim een permanent uitgesloten.

  7. Kennisgeving van verlies
  8. PNAP is niet aansprakelijk voor verlies of beschadiging van gegevens. Klanten worden altijd aangemoedigd om een ​​kopie van gegevens te bewaren. In geval van verlies of vernietiging van of schade aan gegevens van de Klant, zal PNAP de Klant per e-mail op de hoogte stellen op een door de Klant opgegeven adres. Klant moet ervoor zorgen dat het e-mailadres geldig is.

10. TOESTEMMING

Door deze Overeenkomst aan te gaan en de Services te gebruiken, stemt de Klant ermee in en stemt hij er hierbij mee in Phoenix NAP heeft toegang tot de netwerken en computersystemen van Klant, inclusief de toegang tot en gebruik, openbaarmaking, onderschepping, verzending, ontvangst, analyse, verwerking, kopiëren, bewerken, versleutelen, ontsleutelen en opslaan van gegevens van Klant en die van zijn werknemers, agenten en degenen die hij machtigt om de Diensten te gebruiken, hetzij versleuteld of in gewone tekst (“Klantinformatie”) met als doel het leveren van de Diensten, met inbegrip van, maar niet beperkt tot, het analyseren van het netwerkverkeer van de Klant, en voor de opslag en bewaring van de Informatie van de Klant voor toekomstig gebruik en analyse. Klant verklaart en garandeert dat hij voldoet aan alle toepasselijke wetten en regels voor gegevensverzameling en -overdracht van de landen waarin hij actief is en dat hij naar behoren alle toestemmingen, vergunningen of licenties heeft verkregen, schriftelijk of elektronisch die nodig kunnen zijn onder de toepasselijke wetgeving van zijn werknemers, agenten en degenen die het machtigt om de Services te gebruiken om: Phoenix NAP om de Diensten onder de Overeenkomst te leveren. Voorafgaand aan het gebruik van de Services, of op enig ander tijdstip dat redelijkerwijs is bepaald door: Phoenix NAP, Klant zal zorgen Phoenix NAP echte en correcte kopieën van dergelijke toestemmingen.

11. VRIJWARING

Cliënt zal de. Verdedigen, vrijwaren en vrijwaren Phoenix NAP Gevrijwaarde partijen voor en tegen alle schade, bevelen, besluiten, vonnissen, aansprakelijkheden, claims, acties, rechtszaken, kosten en uitgaven (inclusief, maar niet beperkt tot, proceskosten en advocatenhonoraria) ("Claims") opgelopen door de Phoenix NAP Gevrijwaarde partijen of uiteindelijk berecht tegen de Phoenix NAP Gevrijwaarde partijen die voortvloeien uit of voortvloeien uit: (i) inbreuk op intellectuele eigendomsrechten, met inbegrip van, maar niet beperkt tot, auteursrechten, handelsmerken, handelsgeheimen, octrooien en rechten van gewoonterecht in verband met de Informatie, netwerken of computersystemen van de Klant; (ii) schending van toepasselijke wetten of beleidslijnen door Klant, inclusief, maar niet beperkt tot, in verband met Klantinformatie, netwerken of computersystemen; (iii) het nalaten door de Klant om alle noodzakelijke toestemmingen, vergunningen en licenties te verkrijgen, inclusief maar niet beperkt tot, in verband met de Informatie, netwerken of computersystemen van de Klant; (iv) schending van garantie door Klant; (v) schending van deze Overeenkomst door Klant; (vi) gebruik van Diensten door Klant of Aan Klant Gelieerde Ondernemingen; (vii) nalatigheid, opzettelijk wangedrag of ander onrechtmatig handelen of nalaten door de Klant; en (viii) Beweringen waarin wordt beweerd dat: Phoenix NAP was niet geautoriseerd om door Klant gevraagde Services te leveren.

Deze sectie vermeldt de exclusieve rechtsmiddelen van elke partij voor een claim of actie van een derde partij, en niets in deze overeenkomst of elders verplicht een van beide partijen tot een grotere schadevergoeding aan de andere.

12. ONDERAANNEMING

Phoenix NAP kan deze overeenkomst geheel of gedeeltelijk toewijzen, uitbesteden of delegeren, of rechten, plichten, verplichtingen of aansprakelijkheden onder deze overeenkomst, van rechtswege of anderszins, op voorwaarde dat Phoenix NAP blijft verantwoordelijk voor de uitvoering van Services onder deze Overeenkomst. Anders mag geen van beide partijen deze Overeenkomst overdragen zonder toestemming van de andere partij, welke toestemming niet op onredelijke gronden zal worden onthouden, geconditioneerd of vertraagd.

13. KOSTEN

De subsecties van deze sectie definiëren de terugkerende en niet-terugkerende kosten en vergoedingen volgens dit schema.

  1. MAANDELIJKS TERUGKERENDE KOSTEN
  2. De initiële maandelijkse terugkerende kosten zijn de initiële maandelijkse kosten die voor dit schema in rekening worden gebracht. Deze vergoeding kan worden gewijzigd in onderlinge overeenstemming tussen de Klant en de Provider op basis van wijzigingen in de initiële configuraties, gedekte apparaten of andere vergelijkbare omgevingsvariabelen.

  3. NIET-TERUGKERENDE SERVICEKOSTEN
  4. De eenmalige diensten en vergoedingen in verband met dit Schema omvatten, maar zijn niet beperkt tot, Out-of-Scope vergoedingen en / of de vergoedingen voor alle bijbehorende arbeid en andere diensten die worden verstrekt onder een Werkverklaring of voor de migratie / installatie / implementatie van de productieomgeving van de Klant van de huidige staat tot die van de Provider Cloud/ Hostingomgeving of voor andere doeleinden die door Provider en Klant zijn overeengekomen, inclusief, maar niet beperkt tot, diegene die in een Werkverklaring zijn gedefinieerd als eenmalige of eenmalige vergoedingen of diensten, hetzij gecreëerd op het moment van of na de uitvoering van deze overeenkomst.

  5. EERSTE INSTALLATIEKOSTEN
  6. De initiële installatiekosten en kosten voor dit Schema zijn de eenmalige eenmalige kosten die verband houden met de initiële configuratie van de services van de Klant. Deze vergoeding kan worden gewijzigd in onderlinge overeenstemming tussen de Klant en de Provider op basis van wijzigingen in de oorspronkelijke configuraties, omvang, gedekte apparaten of andere vergelijkbare omgevingsvariabelen. De initiële installatiekosten zijn exclusief de kosten voor gegevensmigratie. Gegevensmigratiekosten worden gespecificeerd en gedekt in een afzonderlijke werk- of projectverklaring.

v.2; 11152021