Addendum voor beveiligingsdiensten

1. INLEIDING

Het aanbod van beveiligingsdiensten door Phoenix NAP biedt klanten een schaalbare informatiebeveiligingsoplossing die in staat is potentiële beveiligingsdreigingen tegen de omgeving van een klant te detecteren en te melden. Deze gepatenteerde set van systemen en processen maakt gebruik van de modernste hardware-, software- en beveiligingsprofessionals om Client-netwerk (en), eindpunt (en) en andere gerelateerde gebeurtenissen te observeren en te bewaken om abnormale acties en beveiligingsbedreigingen te detecteren.

2. OVEREENKOMST

In dit Addendum voor beveiligingsservices ("SSA") worden de specifieke voorwaarden uiteengezet waaronder Phoenix NAP ("PNAP") levert informatiebeveiligingsdiensten aan de klant. De Master Service-overeenkomst die tussen PNAP en de Klant is gesloten, neemt de voorwaarden hierin volledig op en bepaalt dat deze SSA, en de uitvoering van de Master Services-overeenkomst door de Klant, de aanvaarding van de hierin vermelde voorwaarden inhoudt. Termen met een hoofdletter die hierin worden gebruikt, maar niet worden gedefinieerd, hebben de betekenis zoals uiteengezet in de Master Services Agreement. De initiële looptijd voor deze service is vermeld op het toepasselijke serviceorderformulier ("SOF"), uitgevoerd door PNAP en de klant, verwijzend naar deze services. Zoals hierin vermeld, betekent "Overeenkomst" dit Addendum voor beveiligingsdiensten, samen met de MSA en alle beleidslijnen en addenda die hierin door verwijzing zijn opgenomen, inclusief de Statement of Work (SOW), Responsibility Matrix ("RM"), Service Level Agreement (SLA), Beleid voor acceptabel gebruik ("AUP") en Privacybeleid ("PP"). Deze overeenkomst zet de voorwaarden uiteen die van toepassing zijn op het addendum voor beveiligingsdiensten.

3. ALGEMEEN

PNAP zal het huidige computernetwerkplatform van de Klant, de hosting ervan, en data security vereisten voor zover de Klant PNAP-toegang heeft verleend, en bevestigt dat de overeengekomen Dienst (en) interactie en werking met het platform van de Klant kunnen hebben en een veilige omgeving kunnen bieden in overeenstemming met de specificaties en in overeenstemming met de industrienormen uiteengezet in de overeengekomen op Statement of Work (SOW).

Indien de overeenkomst tussen PNAP en de Klant wordt beëindigd of afloopt, heeft de Klant de mogelijkheid om de overeenkomst te verlengen of de PNAP Security Services te vervangen door een derde partij van zijn keuze. Op verzoek zal PNAP commercieel redelijke inspanningen leveren om de Klant zo snel, economisch en efficiënt mogelijk over te laten stappen naar de nieuwe leverancier en indien mogelijk zal dit op een manier gebeuren die de meest naadloze en veilige overgang biedt met minimale bedrijfsonderbrekingen voor de Klant.

4. DIENSTEN EN FUNCTIES

Diensten Beschrijving
Bedreigingsbeheerplatform Dit productaanbod maakt gebruik van door de klant verstrekte beveiligingslogboeken van verschillende bronnen (zoals firewalls, switches en servers) en correleert die logs met threat signatures en gedragsanalyses om activiteiten te identificeren die de operators kunnen signaleren van een potentiële threat event. Deze threat behavior patronen worden verzameld uit en bijgewerkt op basis van geabonneerde industry threat intelligence feeds, proprietary threat intelligence of andere data die door de Client worden verstrekt.
Patchbeheer Dit aanbod is het proces van het gebruiken van een geautomatiseerde tool om systemen regelmatig te scannen op een bekende lijst met beschikbare patches, hotfixes en/of updates van het besturingssysteem om te bepalen of deze op die systemen moeten worden toegepast. Als de scans bepalen dat er patches nodig zijn, identificeert de Patch Management Solution de patch en plant de patchinstallatie via een change control-proces. Dit product is beperkt in scope tot PNAP-besturingssystemen die momenteel worden ondersteund.
Herstel van kritieke omgeving Het onderdeel Critical Environment Recovery van de service zal gebruikmaken van dezelfde disaster recovery-services die PNAP al biedt via zijn andere serviceaanbiedingen. Critical Environment Recovery zal een vereist onderdeel zijn van alle aanbiedingen en pakketten van beveiligingsservices, maar zal beperkt zijn tot de klant servers zoals gedefinieerd in de overeengekomen Statement of Work (SOW).
Beheer van firewall-schakelaars Veel organisaties hebben niet de vaardigheid en / of expertise op het gebied van best practices in de branche om hun firewalls en switches op de juiste manier te beheren. Met name voor bedrijven die meer geavanceerde laag 7-firewalls gebruiken, beschikt intern personeel mogelijk niet over de nodige training of middelen om deze apparaten effectief te onderhouden en te bewaken zoals ze zijn ontworpen. Bovendien, wanneer interne beheerders wijzigingen aanbrengen in hun firewalls en switches, doen ze dit vaak zonder een adequate geschiedenis van de wijzigingen bij te houden, waardoor ze niet over de juiste documentatie beschikken die nodig is om redenen van naleving. Het aanbod van PNAP Firewall / Switch Management omvat zowel het juiste beheer van de firewalls en switches, als de benodigde documentatie, inclusief het beheren en volgen van de authenticatie voor gebruikers die wijzigingen aanbrengen, evenals het volgen van de eerdere configuraties om de roll-back mogelijk te maken van wijzigingen indien nodig.
Kwetsbaarheid Beoordeling De Vulnerability Assessment-aanbieding scant door de klant goedgekeurde interne en externe netwerken met behulp van geautomatiseerde tools die bekende bedreigingsvectoren gebruiken om te testen op kwetsbaarheden. In gevallen waarin de diensten van een Certified Scanning Vendor nodig zijn, zal PNAP een van zijn partners inschakelen om deze diensten namens hen uit te voeren, met een vooraf onderhandelde frequentie zoals overeengekomen met de klant en hun nalevingsvereisten.
Prestatie monitoring Prestatiemonitoring omvat rapportage over prestatietrends, proactieve monitoring van waarschuwingen en het uitvoeren van analyses op prestatiemetingen; zoals up / down-frequentie en bandbreedtegebruik, processors, geheugen en opslaggebruik. Rapportagemethode en frequentie worden vastgelegd in de bijbehorende Statement of Work (SOW).
Eindpuntbeveiliging De End Point Security Service beheert de beveiliging van server en eindgebruikersapparaten, zoals pc-werkstations en laptops, door anti-malwaresoftware te gebruiken. Deze serviceaanbieding bewaakt, onderhoudt en beheert de endpoint-agents, zodat ze up-to-date en functioneel zijn.

5. BESTE PRAKTIJKEN

PNAP zal de volgende best practices implementeren met betrekking tot de ontwikkeling en implementatie van de Producten en Diensten. PNAP zal passende systeembeveiliging handhaven voor de Service van PNAP in overeenstemming met commercieel redelijke industrienormen en -praktijken die zijn ontworpen om alle gegevens en informatie die door of namens Klant worden verstrekt en die worden ingevoerd in, weergegeven op of verwerkt door de Service van PNAP en alle output daarvan ("Klantgegevens") te beschermen tegen diefstal, ongeautoriseerde openbaarmaking en ongeautoriseerde toegang. Dergelijke systeembeveiliging omvat onder andere: (1) implementatie van kwetsbaarheidstests voor toepassingen en mitigatieprocessen; (2) alle elektronische communicatie tussen PNAP en Klant via een beveiligde webportal, een beveiligde bestandsdeling of gecodeerde e-mail sturen; en (3) de volgende waarborgen:

  1. authenticatie
    • Alle toegang is geverifieerd, communicatie is beveiligd met best practices uit de branche en vastgelegd.
    • De systeemidentiteit is verbonden met een individuele gebruiker door het gebruik van referenties en door een tweede factor-authenticatiemechanisme.
    • Er wordt voorzien in redelijke verificatiecontroles die voldoen aan door de industrie erkende normen.
  2. autorisatie
    • Zorg ervoor dat geautoriseerde gebruikers alleen acties mogen uitvoeren binnen hun privilegeniveau.
    • Beheer de toegang tot beveiligde bronnen op basis van rol- of privilegeniveau.
    • Beperk en verdedig indien mogelijk tegen escalatie-aanvallen op privileges, volgens de beschikbare technologienormen en beste praktijken.
  3. Wachtwoord- en accountbeheer
    • Wachtwoorden voldoen aan best practices, waaronder:
      • Wachtwoorden versleutelen met "hashing" - en "salting" -technieken.
      • Wachtwoordcomplexiteit afdwingen.
      • Beperkte mislukte pogingen vóór accountvergrendeling.
      • Geen opslag en verzending van wachtwoorden in duidelijke tekst toestaan.
      • Wachtwoordreset verzendt geen inloggegevens.
    • In voorkomend geval zal PNAP opdrachten (die tijd en datum bevatten) veilig registreren en aanvullende bevoegdheden vereisen om een ​​volledig controlespoor van activiteiten mogelijk te maken.
  4. Data Security
    • Gegevens in rust
      • Klantgegevens worden versleuteld met best practices uit de branche.
      • Backups van klantgegevens hebben dezelfde controles als productiegegevens.
    • Gegevens in doorvoer
      • Klantgegevens die naar of van de klant worden verzonden, worden versleuteld (bijv. SSL, VPN, SFTP, op certificaten gebaseerde verificatie).
    • Clientgegevens die via de browser worden verzonden, moeten SSLv3 of beter gebruiken.
  5. Multi-tenancy
    • In een omgeving met meerdere huurders biedt PNAP passende beveiligingsmaatregelen en robuuste cryptografische methoden om klantgegevens te beschermen en te isoleren van andere huurders.
  6. Administratieve toegang en milieusegregatie
    • Toepassing van het principe van minimale voorrechten: Er moeten passende controles worden ingesteld om ervoor te zorgen dat de toegang beperkt blijft tot personeel dat de klantgegevens moet kunnen inzien om zijn/haar taken uit te kunnen voeren.
    • Waar mogelijk moeten vertrouwelijke gegevens worden gemaskeerd met eenrichtingshash-algoritmen.
    • Klantgegevens mogen niet worden gerepliceerd naar niet-productieomgevingen.
  7. Bedreigingsbeheer
    • Intrusion Detection

      • PNAP implementeert en onderhoudt een intrusion detection monitoring proces op netwerk- en hostniveau om PNAP Services te beschermen en ongewenst of vijandig netwerkverkeer te detecteren. PNAP zal zijn intrusion detection software continu updaten, op een geplande basis na de beschikbaarheid van updates door de gekozen softwareleverancier. PNAP zal maatregelen implementeren om ervoor te zorgen dat PNAP wordt gewaarschuwd wanneer het systeem of de service ongebruikelijke of kwaadaardige activiteit detecteert. PNAP zal Klant binnen vierentwintig (24) uur op de hoogte stellen van elke significante inbraak die een inbreuk op de gegevens van de Klant inhoudt.

    • Penetratietesten

      • phoenixNAP zal ten minste eenmaal per jaar penetratietests uitvoeren op zijn client-brede ondersteunende infrastructuur via een 3rd party Qualified Security Assessor (QSA) en de geïdentificeerde risico's op passende wijze afhandelen. Vanwege het risicovolle karakter van deze rapporten, phoenixNAP zal alleen een geredigeerd penetratietestrapport verstrekken als bewijs om aan te tonen dat penetratietesten zijn uitgevoerd. Klanten zijn niet gemachtigd om kwetsbaarheidsscans, beoordelingen of penetratietesten uit te voeren tegen de phoenixNAP service-infrastructuur.

    • Infrastructuurbeveiliging

      • PNAP configureert de infrastructuur (bijv. servers en netwerkapparaten) en platforms (bijv. besturingssystemen en web servers) om veilig te zijn door deze best practices te volgen:

      • Audit Logging: Client machtigt PNAP om logs te verzamelen, gebruiken, opslaan, overdragen, monitoren en anderszins te verwerken van alle systemen die geabonneerd zijn op de Service van PNAP. Deze logtypen omvatten, maar zijn niet beperkt tot, beveiligingslogs, web server logs, applicatielogs, systeemlogs en netwerkgebeurtenislogs. PNAP bewaakt zijn netwerken 24/7 met behulp van de nieuwste SIEM- en gedragsanalysetechnologieën. De klant erkent dat deze logs bron- en bestemmings-IP-adressen, gebruikte gebruikersaccounts, geprobeerde onjuiste wachtwoorden, klik- en scherminvoer en andere persoonlijk identificeerbare gegevenselementen kunnen bevatten.
      • Er worden dubbele kopieën van deze logboeken bewaard en een externe archiefkopie verkleint het risico op verlies door geknoei.
    • Netwerk veiligheid
      • PNAP moet voldoen aan industrienormen, waarbij perimeternetwerken worden gescheiden van eindpunten die in het particuliere netwerk worden gehost met behulp van industriestandaard firewalls of microsegmentatietechnieken op basis van Software Defined Networking-technologieën. PNAP zal zijn infrastructuur bijwerken en onderhouden met behulp van een industriestandaard methode voor onderhoud en wijzigingscontrole.
      • PNAP zal zijn perimeter-apparaten regelmatig monitoren en testen, en als er tekortkomingen worden ontdekt, zal PNAP deze tekortkomingen onmiddellijk oplossen en verhelpen.
    • Kwetsbaarheidsmanagement

      • Naast de hierboven beschreven kwetsbaarheidsbeoordelingen door derden, zal PNAP commercieel redelijke processen implementeren die zijn ontworpen om Klantgegevens te beschermen tegen systeemkwetsbaarheden, waaronder:

      • Perimeter scannen: PNAP zal perimeter scannen door het gebruik van ingebouwde sensoren binnen de PNAP-infrastructuur die informatie levert aan onze gecentraliseerde SIEM-tool.
      • Interne infrastructuurscanning: PNAP zal interne infrastructuurscanning uitvoeren door het gebruik van ingebouwde sensoren binnen de PNAP-infrastructuur die informatie levert aan onze gecentraliseerde SIEM-tool.
      • Scannen op malware: PNAP maakt waar mogelijk gebruik van een geavanceerd gedrags- en handtekeninggebaseerde antivirus- / antimalware-tool (APT), samen met technieken voor het op de witte lijst plaatsen van applicaties om de infrastructuur te beschermen tegen de dreiging van ongeautoriseerde schadelijke software.
    • Veilige configuratie

      • PNAP gebruikt een industriestandaard methodologie voor platformverharding en veilige configuratie, om de omvang en het oppervlak van de aanval te verminderen. Door het gebruik van microsegmentatietechnieken wordt laterale communicatie verder beperkt tot bekende communicatieparen en patronen.

  8. Beveiligingsprocedures
    • Reactie op incidenten

      • PNAP houdt beleid en procedures voor het beheer van beveiligingsincidenten aan, met inbegrip van gedetailleerde escalatieprocedures voor beveiligingsincidenten. In het geval van een inbreuk op de beveiligings- of vertrouwelijkheidsverplichtingen van PNAP, met gevolgen voor de omgeving of gegevens van een klant, stemt PNAP ermee in de betrokken klant (en) binnen vierentwintig (24) uur na ontdekking telefonisch en per e-mail op de hoogte te stellen van een dergelijk evenement. PNAP zal ook onmiddellijk een onderzoek naar de inbreuk uitvoeren, passende corrigerende maatregelen nemen en een Single-Point-of-Contact (SPoC) toewijzen. Deze SPoC of hun aangewezen persoon zal beschikbaar zijn voor beveiligingsvragen of betreft vierentwintig (24) uur per dag, zeven (7) dagen per week, tijdens het onderzoek van PNAP.

    • Patchbeheer

      • PNAP gebruikt een patchbeheerproces en toolset om alles te bewaren servers up-to-date met de juiste beveiligings- en functiepatches.

    • Gedocumenteerd herstelproces

      • PNAP gebruikt een gedocumenteerd herstelproces dat is ontworpen om alle geïdentificeerde bedreigingen en kwetsbaarheden met betrekking tot de PNAP-service tijdig aan te pakken.

  9. Ontslagprocedures voor werknemers
    • PNAP zal bij beëindiging van het dienstverband onmiddellijk alle inloggegevens en toegang tot bevoorrechte wachtwoordfaciliteiten, zoals identiteits- en toegangsbeheersystemen, beëindigen.
  10. Bestuur
    • Veiligheidsbeleid

      • PNAP zal een schriftelijk informatiebeveiligingsbeleid handhaven dat jaarlijks door PNAP wordt goedgekeurd en wordt gepubliceerd en gecommuniceerd aan alle PNAP-werknemers en relevante derde partijen. PNAP zal een speciale beveiligings- en compliancefunctie handhaven om beveiliging te ontwerpen, onderhouden en te bedienen ter ondersteuning van zijn "trust platform" in overeenstemming met industrienormen. Deze functie zal zich richten op systeemintegriteit, risicoacceptatie, risicoanalyse en -beoordeling, risico-evaluatie, risicobeheer en behandelingsverklaringen van toepasbaarheid en PNAP-beheer.

    • Beveiligingstraining

      • PNAP zorgt ervoor, zonder kosten voor de Klant, dat alle PNAP-medewerkers en Cliënten de relevante training volgen die vereist is om de hierin beschreven procedures en praktijken, waaronder training voor beveiligingsbewustzijn, ten minste jaarlijks te operationaliseren.

    • Beveiligingsbeoordelingen

      • PNAP en de klant kunnen ten minste eenmaal per jaar bijeenkomen om te bespreken: (1) de effectiviteit van het beveiligingsplatform van PNAP; en (2) alle updates, patches, fixes, innovaties of andere verbeteringen aan elektronische data security door andere commerciële providers of voor andere klanten van PNAP die volgens PNAP of de Klant de effectiviteit van het PNAP-beveiligingsplatform voor de Klant zullen verbeteren.

    • Audits door derden en nalevingsnormen
      • PNAP verstrekt Cliënt een kopie van SOC2 of vergelijkbare auditresultaten, binnen niet meer dan dertig (30) dagen nadat PNAP de resultaten of rapporten heeft ontvangen. Cliënt heeft het recht om, of om namens hem een ​​derde partij in te schakelen, de kantoren van PNAP tot vier (4) keer per kalenderjaar te bezoeken om due diligence- en auditprocedures uit te voeren op de bedrijfsactiviteiten van PNAP met betrekking tot de Service van PNAP in termen van technische infrastructuur, systeeminteractie, organisatie, kwaliteit, kwaliteitscontrole, personeel dat betrokken is bij services voor Cliënt en algemene middelen in termen van vaardigheden en personeel.
      • PNAP zal op verzoek van de klant bewijzen leveren voor een succesvolle SSAE nr. 18-audit, voor zover wettelijk toegestaan ​​en onder voorbehoud van toepasselijke wettelijke beperkingen en vertrouwelijkheidsverplichtingen. PNAP moet verifiëren dat de audit alle infrastructuur en applicaties certificeert die services ondersteunen en leveren aan klantgegevens.
      • PCI-DSS-naleving

        • PNAP zal voldoende beleid, praktijken en procedures handhaven om te voldoen aan de betaalkaartindustrie Data Security Standaard, aangezien deze van tijd tot tijd kan worden gewijzigd met betrekking tot de PNAP-service.

      • Kwetsbaarheidsbeoordelingen

        • PNAP voert ten minste jaarlijks een beoordeling van de kwetsbaarheid van toepassingen uit. Deze beoordelingen worden uitgevoerd met een externe gekwalificeerde beveiligingsbeoordelaar (QSA). Vanwege het risicovolle karakter van deze rapporten worden de rapporten en bevindingen niet openbaar gemaakt of ter inzage gegeven aan de klant. PNAP zal echter op verzoek een brief van de QSA beschikbaar stellen met een bevredigend antwoord op de geïdentificeerde bezorgdheid over bedreigingen. Klanten zijn niet geautoriseerd om kwetsbaarheidsscans, beoordelingen of penetratietests uit te voeren tegen de PNAP-toepassingsplatforms.

  11. Fysieke bewaking

    12. PNAP zal de toegang tot haar faciliteiten die worden gebruikt bij het uitvoeren van de PNAP-service beperken tot werknemers en geautoriseerde bezoekers met behulp van commercieel redelijke, industriestandaard fysieke beveiligingsmethoden. Dergelijke methoden omvatten ten minste bezoekersaanmeldingen, beperkte toegangssleutelkaarten en sloten voor werknemers; beperkte toegang tot server kamers en archivering backups; en inbraak- / inbraakalarmsystemen.

  12. Bedrijfscontinuïteit

    13. PNAP moet een bedrijfscontinuïteitsplan hebben voor het herstel van kritieke processen en activiteiten van de PNAP-service op de locatie(s) van waaruit de PNAP-service wordt geleverd. PNAP moet ook een jaarlijks getest plan hebben om PNAP te helpen op een geplande en geteste manier te reageren op een ramp. PNAP moet de klant onmiddellijk na schriftelijk verzoek van de klant een kopie van het dan geldende plan verstrekken.

  13. PNAP interne systemen Backup beheer
    • PNAP presteert volledig backups van interne systemen en database(s) met klantgegevens, ten minste eenmaal per dag, zonder onderbreking van de PNAP-service. PNAP zal ook off-site archiefopslag bieden op ten minste wekelijkse basis van alle backups van de interne systemen en database (s) met klantgegevens op beveiligd server(s) of andere commercieel aanvaardbare beveiligde media. Dergelijke gegevens backups worden versleuteld, elke werkdag off-site verzonden naar een veilige locatie en zeven (7) jaar bewaard / bewaard.
    • Om te herstellen van een Datacenter-storingincident, worden de vereiste back-upgegevens gerepliceerd over ten minste twee (2) geografisch verspreide gegevens data centers op elk moment. Backup snapshots kunnen periodiek naar een ander worden verzonden data center. Dataretentie voor een storing in een datacenter Incident maakt gebruik van vierentwintig (24) uurlijkse momentopnamen, veertien (14) dagelijks backups en drie (3) maandelijks backups. Deze backup beleid is ontworpen om zowel een gedeeltelijk als volledig herstel van het systeem doelmatig te ondersteunen.
  14. Recht op controle

    15. De Klant heeft het recht om, of namens hem, een derde partij in te schakelen om, op eigen kosten, eenmaal per kalenderjaar de kantoren van PNAP te bezoeken om due diligence en auditprocedures uit te voeren over de bedrijfsactiviteiten van PNAP met betrekking tot de Dienst van PNAP in termen van technische infrastructuur, systeeminteractie, organisatie, kwaliteit, kwaliteitscontrole, personeel betrokken bij dienstverlening aan klanten en algemene middelen qua vaardigheden en personeel. De klant begrijpt het eigendoms- en intellectuele eigendomsrecht van deze toegang en stemt ermee in een geheimhoudingsverklaring uit te voeren en na te leven, en de documentatie of verwijdering van deze informatie uit PNAP-gebouwen te beperken.

6. VERANTWOORDELIJKHEDEN VAN DE KLANT

De Klant dient alle fouten of storingen van een systeem dat onder deze overeenkomst valt te documenteren en onmiddellijk te rapporteren aan PNAP. PNAP levert alle benodigde reserveonderdelen en / of andere hardware om de apparatuur in eigendom te houden die nodig is voor de uitvoering van een dienst onder deze bijlage.

De Klant mag niets, materieel of immaterieel, gebruiken dat in overeenstemming is met en / of wordt verstrekt door deze overeenkomst voor onwettige doeleinden of voor enig doel dat is verboden door het Netwerkmisbruikbeleid van PNAP en / of het Beleid voor acceptabel gebruik zoals op zijn website is gepost.

Klant erkent dat PhoenixNAP de uitvoering en levering van de Services zijn afhankelijk van: (A) Klant die veilige en risicovrije toegang biedt tot zijn personeel, faciliteiten, apparatuur, hardware, netwerk en informatie, en (B) Tijdige besluitvorming door de Klant en het verstrekken van tijdige, nauwkeurige en volledige informatie en redelijke assistentie, inclusief, het verlenen van goedkeuringen of toestemmingen, aangezien (A) en (B) redelijkerwijs noodzakelijk worden geacht en redelijkerwijs worden gevraagd voor PhoenixNAP om de Services uit te voeren, te leveren en / of te implementeren. De klant zal deze onmiddellijk verkrijgen en verstrekken PhoenixNAP alle vereiste licenties, goedkeuringen of toestemmingen die nodig zijn voor PhoenixNAP's uitvoering van de Services. PhoenixNAP zal worden vrijgesteld van het niet nakomen van zijn verplichtingen onder dit Addendum voor zover een dergelijk falen uitsluitend wordt veroorzaakt door de vertraging van de Klant bij het uitvoeren of niet nakomen van zijn verantwoordelijkheden onder deze MSA en / of de Serviceorder / SOW.

7. WERKVERKLARING; VERANTWOORDELIJKHEID MATRIX

Een Statement of Work ("SOW") en Verantwoordelijkheidsmatrix ("RM") zullen worden gebruikt om de specifieke taken, reikwijdte, locaties, deliverables, normen, activiteiten en algemene vereisten te specificeren voor elke Information Security Service die door PNAP aan een Klant wordt aangeboden .

8. SERVICENIVEAUOVEREENKOMST (SLA)

De volgende PhoenixNAP Service Level Agreement ("SLA") is een beleid dat het gebruik van de PNAP-beveiligingsdiensten regelt onder de voorwaarden van de Master Service Agreement (de "MSA") tussen PNAP, LLC. en klanten van PNAP. Tenzij hierin anders is bepaald, is deze SLA onderworpen aan de voorwaarden van de MSA en hebben termen met een hoofdletter de betekenis die is gespecificeerd in de Overeenkomst. We behouden ons het recht voor om de voorwaarden van deze SLA te wijzigen in overeenstemming met de MSA.

  1. Servicetypen, prioriteit en reactietijden

    2. Prioriteit


     Erken tijd


     Meldingstijd

    Beschrijving

    Voorbeelden

    1. Prioriteit (kritiek)

    20 Minuten

    2 uur

    Significante impact op de bedrijfs- of klantgegevens; het probleem heeft een grote impact en is zeer zichtbaar voor het bedrijfsleven en / of hun bedrijfsvoering; er is geen oplossing beschikbaar.

    Wijdverbreide, langdurige DDOS

    Kritiek op compromissen / kritiek gegevensverlies

    Gevolgen voor klantmerken (in het nieuws)

    Verlies van klantgegevens

    Malware-activiteit gerelateerd aan losgeldactiviteit (bijv. CryptoLocker)

    Beveiligingsmonitoring serviceonderbreking

    2. Prioriteit (hoog)

    1/XNUMX

    4 uur

    Een groot percentage van het bedrijf wordt getroffen; het probleem heeft een grote impact of is zeer zichtbaar voor de klant en / of hun bedrijfsvoering; er is een beproefde en bewezen oplossing beschikbaar.

    Activiteit tegen bekende dreigingsindicatoren

    Malware Callback of Command and Control, activiteit

    Conformiteit

    3. Prioriteit (gemiddeld)

    4/XNUMX

    8 uur

    Een klein percentage van het bedrijf van de Klant wordt getroffen en / of het probleem is beperkt zichtbaar. Het systeem kan echter op een verslechterde manier blijven werken en / of een beproefde oplossing is beschikbaar.

    Herhaal overtreders

    Malware-activiteit gerelateerd aan bekende, kwaadaardige activiteit maar beperkt in blootstelling (bijv. Zeus, Coreboot)

    4. Prioriteit (laag)

    1 werkdag

    1 Dag

    De klant kan nog steeds volledige functionaliteit en normale prestaties bereiken, zolang de tijdelijke oplossing wordt gevolgd.

    Bewijs van poortscans of andere verkenningsactiviteiten

    Laag niveau van malware / spyware

  2. Service Commitment

    3. PNAP zal commercieel redelijke inspanningen leveren om Security Services beschikbaar te maken met een Monthly Uptime Percentage van 100%, exclusief geplande en vooraf erkende onderhoudsperioden waar alternatieve procedures zijn ingesteld voor continue monitoring. Zoals beschreven in sectie A: Service Types, Priority, and Response Times, zal PNAP, bij ontvangst van een waarschuwing, "erkennen" (via e-mail of telefonisch), in de beschreven tijdsbestekken, de impact van het incident en de acties die moeten worden ondernomen om de zorg te verminderen.

    In het geval dat PNAP niet voldoet aan de verplichting tot maandelijkse uptime-percentage, komt de klant in aanmerking voor het ontvangen van een servicetegoed zoals hieronder beschreven.

  3. Servicecredits

    4. Als het maandelijkse uptime-percentage voor een klant tijdens een servicemaand onder 100% zakt, komt die klant in aanmerking voor één (1) 10% servicetegoed, voor elke periode van dertig (30) minuten dat beveiligingsservices niet beschikbaar waren, tot een maximum bedrag gelijk aan een volledige maand facturering. Voor het bepalen van Servicecredits komt de Klant alleen in aanmerking voor Servicecredits die verband houden met het niet beschikbaar zijn van:

    1. InfraSentry: Monitor de service voor bedreigingsdetectie
    2. InfraSentry: Sophos-gerelateerde "Advanced Persistent Threat" tools

    Welke Service ook het minst beschikbaar was tijdens de Servicemaand, PNAP zal Servicecredits alleen toepassen op toekomstige betalingen die anderszins verschuldigd zijn door de Klant, op voorwaarde dat:

    1. PNAP mag het Servicetegoed aan de Klantaccount verstrekken voor de Servicemaand waarin de Niet-beschikbaarheid zich voordeed, en
    2. Klant is op de hoogte van alle betalingsverplichtingen zoals uiteengezet in de Overeenkomst.

    Servicecredits geven de Klant geen recht op enige terugbetaling of andere betaling van PNAP. Servicecredits mogen niet worden overgedragen of toegepast op een ander account. Tenzij anders bepaald in de Overeenkomst, zijn Servicecredits de enige en exclusieve remedie van de Klant voor het niet beschikbaar zijn of niet uitvoeren van Services.

  4. Kredietaanvraag en betalingsprocedures
    Om een ​​Servicetegoed te ontvangen, moet de Klant een verzoek indienen door een e-mailbericht te sturen naar [e-mail beveiligd]. Om in aanmerking te komen, moet het kredietverzoek:

    1. SLA Service Credit Claim opnemen in het onderwerp van het e-mailbericht;
    2. Vermeld in de hoofdtekst van de e-mail de naam van de klantorganisatie of de klant-ID, samen met de datums, tijden en lengte van elke periode van onbeschikbaarheid die de klant beweert te hebben meegemaakt;
    3. Voeg alle documentatie toe die de door de klant geclaimde onbeschikbaarheid bevestigt; en
    4. Ontvangen door PNAP binnen dertig (30) kalenderdagen na de laatste dag gerapporteerd in de claim Niet beschikbaar.

    Als het maandelijkse uptime-percentage van een dergelijk verzoek wordt bevestigd door PNAP en minder is dan 100% voor de servicemaand, dan zal PNAP het servicetegoed aan de klant verstrekken binnen één servicemaand na de maand waarin het verzoek is bevestigd. Als de Klant het verzoek en andere informatie niet verstrekt zoals hierboven vereist, wordt de Klant gediskwalificeerd om een ​​Servicetegoed te ontvangen. De gegevens en records van PNAP zijn de enige factor voor het valideren van claims wegens onbeschikbaarheid.

  5. Uitsluitingen
    De serviceverplichting is niet van toepassing op het niet beschikbaar zijn, opschorten of beëindigen van beveiligingsservices of andere prestatieproblemen:

    1. Dat is het gevolg van opschortingen van services die worden beschreven in de volgende secties van de overeenkomst: Termijn en beëindiging, en standaardgebeurtenissen en rechtsmiddelen;
    2. Veroorzaakt door factoren buiten de redelijke controle van PNAP, met inbegrip van overmacht of internettoegang of gerelateerde problemen buiten het PNAP Network Demarcation Point;
    3. Die het gevolg zijn van acties of inactiviteit van de klant of een derde partij;
    4. Dat het gevolg is van apparatuur, software of andere technologie van de Klant en / of apparatuur, software of andere technologie van derden (anders dan apparatuur van derden onder directe controle van PNAP);
    5. Dat is het gevolg van storingen in individuele functies, functies, infrastructuur en netwerkconnectiviteit Niet beschikbaar; of
    6. Voortkomend uit de opschorting en beëindiging van PNAP's recht van de Klant om Beveiligingsdiensten te gebruiken in overeenstemming met de Overeenkomst.

    Als de beschikbaarheid wordt beïnvloed door andere factoren dan die expliciet worden vermeld in deze overeenkomst, kan PNAP naar eigen goeddunken een servicetegoed verstrekken, rekening houdend met dergelijke factoren.

  6. Disclaimer
    Als PNAP het SLA-doel mist vanwege problemen met het gedrag van de Klant of de prestatie of het falen van de apparatuur, faciliteiten of applicaties van de Klant, kan PNAP de Klant geen krediet geven. Bovendien verzachtende omstandigheden buiten de redelijke controle van PNAP zoals (zonder beperking) handelingen van een overheidsinstantie, daden van terrorisme, oorlog, opstand, sabotage, embargo, brand, overstroming, staking of andere arbeidsverstoring, onderbreking van of vertraging in transport, onbeschikbaarheid van onderbreking of vertraging in telecommunicatie of services van derden (inclusief DNS-propagatie), het falen van software of hardware van derden of het niet kunnen verkrijgen van grondstoffen, benodigdheden of stroom die worden gebruikt in of apparatuur die nodig is voor het leveren van de services van de Klant, kan leiden tot enige problemen waarvoor PNAP niet aansprakelijk kan worden gesteld.

9. DISCLAIMERS

  1. Geen productgarantie

    2. PNAP biedt geen expliciete of impliciete garanties voor de verkoopbaarheid of geschiktheid van een product voor een bepaald doel. Hoewel alle services zijn ontworpen om veerkrachtig te zijn, is het aan de klant om rampen te plannen en het wordt altijd aanbevolen om off-site te houden backup van kritieke gegevens in geval van kritieke storing of ramp.

  2. Garantiedisclaimer

    3. PNAP IS NIET AANSPRAKELIJK VOOR ENIG VERLIES OF SCHADE VEROORZAAKT DOOR EEN DISTRIBUTEERDE AANVALSSTORING, VIRUSSEN OF ANDERE TECHNOLOGISCH SCHADELIJKE MATERIALEN DIE UW COMPUTERAPPARATUUR, COMPUTERPROGRAMMA'S, GEGEVENSNETWERK OF ANDERE GEBRUIKSVOORWAARDEN KUNNEN BEÏNVLOEDEN. , PHOENIX NAPDE WEBSITE VAN 'S OF DE SERVICE OF ITEMS DIE VIA DE WEBSITE OF DE SERVICE ZIJN GEKOCHT OF VERKREGEN, OF AAN HET UW DOWNLOADEN VAN ENIG MATERIAAL DAT ER OP IS GEPLAATST, OF OP EEN WEBSITE DIE ERAAN IS GELINKT. PHOENIX NAP GEEN ENKELE PERSOON PHOENIXNAP GEEFT ENIGE GARANTIE OF VERKLARING AAN ENIGE GEBRUIKER MET BETREKKING TOT DE VOLLEDIGHEID, VEILIGHEID, BETROUWBAARHEID, KWALITEIT, FUNCTIONALITEIT OF BESCHIKBAARHEID VAN DE DIENSTEN. ZONDER HET VOORGAANDE TE BEPERKEN PHOENIX NAP GEEN IEDEREEN PHOENIXNAP VERKLAART OF GARANDEERT DAT DE DIENST BETROUWBAAR, FOUTLOOS, INBRAAKBESTENDIG OF ONONDERBROKEN ZAL ZIJN, DAT DEFECTEN ZULLEN WORDEN VERBETERD, VRIJ VAN VIRUSSEN OF ANDERE SCHADELIJKE COMPONENTEN OF DAT DE DIENSTEN OP ANDERE WIJZE AAN DE BEHOEFTE VAN DE GEBRUIKER ONTVANGEN. BEHALVE VOOR DE BOVENSTAANDE GARANTIE, PHOENIXNAP BIEDT DE SERVICE, EN ALLES IN EEN "AS IS" EN "AS AVAILABLE" BASIS, ZONDER ENIGE GARANTIE. PHOENIX NAP WIJST HIERBIJ ALLE GARANTIES VAN ENIGE SOORT AF, UITDRUKKELIJK OF IMPLICIET, WETTELIJK OF ANDERSZINS, INCLUSIEF MAAR NIET BEPERKT TOT ENIGE GARANTIE VAN VERKOOPBAARHEID, NIET-INBREUK EN GESCHIKTHEID VOOR EEN BEPAALD DOEL.

    PHOENIX NAPDE TOTALE AANSPRAKELIJKHEID (HETZIJ OP BASIS VAN EEN CONTRACT, ONRECHTMATIGE DAAD OF ANDERSZINS) VOOR ALLE AANSPRAKELIJKHEIDSVORDERINGEN DIE VOORTVLOEIEN UIT OF IN VERBAND STAAN MET DE OVEREENKOMST, ZAL DE BEDRAGEN DIE DOOR DE KLANT ZIJN BETAALD VOOR DE DIENSTEN DIE AANLEIDING GEVEN TOT EEN AANSPRAKELIJKHEIDSVORDERING, NIET OVERSCHRIJDEN. HET VOORGAANDE HEEFT GEEN INVLOED OP ENIGE GARANTIES DIE NIET KUNNEN WORDEN UITGESLOTEN OF BEPERKT ONDER DE TOEPASSELIJKE WETGEVING. DEZE SECTIE BLIJFT OOK NA EEN VERLOOP OF BEËINDIGING VAN DE OVEREENKOMST BLIJVEN.

    IN GEEN GEVAL ZAL PHOENIX NAPZIJN AANGESLOTEN OF HUN LICENTIEGEVERS, DIENSTVERLENERS, WERKNEMERS, AGENTEN, OFFICIEREN OF BESTUURDERS ZIJN AANSPRAKELIJK VOOR SCHADE VAN ENIGE SOORT, ONDER ENIGE JURIDISCHE THEORIE, VOORTVLOEIEND UIT OF IN VERBAND MET UW GEBRUIK, OF ONMOGELIJKHEID OM DE DIENSTEN OF ELK WEBSITES TE GEBRUIKEN. VERBONDEN MET, MET INBEGRIP VAN ENIGE DIRECTE, INDIRECTE, SPECIALE, INCIDENTELE, GEVOLGSCHADE OF PUNITIEVE SCHADE, INCLUSIEF MAAR NIET BEPERKT TOT, PERSOONLIJK LETSEL, PIJN EN LIJDEN, EMOTIONELE RISICO, VERLIES VAN ONTVANGSTEN, VERLIES VAN VERGOEDING OF VERLIES VERLIES VAN GEBRUIK, VERLIES VAN GOODWILL, VERLIES VAN GEGEVENS EN OF HET DOOR TORT IS VEROORZAAKT (INCLUSIEF NALATIGHEID), SCHENDING VAN CONTRACT OF ANDERSZINS, OOK INDIEN VOORZIEN. HET VOORGAANDE HEEFT GEEN INVLOED OP ENIGE AANSPRAKELIJKHEID DIE NIET KAN WORDEN UITGESLOTEN OF BEPERKT ONDER DE TOEPASSELIJKE WETGEVING.

  3. Beperking van tijd tot indienen van claims

    4. Elke oorzaak of actie die u heeft die voortvloeit uit of verband houdt met deze gebruiksvoorwaarden, de service of de website moet worden gestart binnen een (1) jaar nadat de oorzaak van de actie is ontstaan, anders is een dergelijke oorzaak of claim een permanent uitgesloten.

  4. Kennisgeving van verlies

    5. PNAP is niet aansprakelijk voor verlies of beschadiging van gegevens. Klanten worden altijd aangemoedigd om een ​​kopie van gegevens te bewaren. In geval van verlies of vernietiging van of schade aan gegevens van de Klant, zal PNAP de Klant per e-mail op de hoogte stellen op een door de Klant opgegeven adres. Klant moet ervoor zorgen dat het e-mailadres geldig is.

10. TOESTEMMING

Door deze Overeenkomst aan te gaan en de Services te gebruiken, stemt de Klant ermee in en stemt hij er hierbij mee in Phoenix NAP toegang kan krijgen tot de netwerken en computersystemen van de Klant, inclusief de toegang tot en het gebruik, de openbaarmaking, het onderscheppen, de verzending, de ontvangst, de analyse, de verwerking, het kopiëren, het bewerken, de encryptie, de decryptie en de opslag van de informatie van de Klant en die van zijn werknemers, agenten en degenen die hij machtigt om de Diensten te gebruiken, hetzij gecodeerd of in duidelijke tekst ("Informatie van de Klant") met het doel om de Diensten te leveren, inclusief, maar niet beperkt tot, het analyseren van het netwerkverkeer van de Klant en voor de opslag en bewaring van de Informatie van de Klant voor toekomstige referentie en analyse. De Klant verklaart en garandeert dat hij voldoet aan alle toepasselijke wetten en voorschriften inzake gegevensverzameling en -overdracht van de landen waarin hij actief is en dat hij alle toestemmingen, vergunningen of licenties, schriftelijk of elektronisch, die nodig kunnen zijn onder de toepasselijke wetten, naar behoren heeft verkregen van zijn werknemers, agenten en degenen die hij machtigt om de Diensten te gebruiken om Phoenix NAP om de Diensten te leveren onder de Overeenkomst. Voorafgaand aan het gebruik van de Diensten, of op enig ander moment dat redelijkerwijs door Phoenix NAP, Klant zal zorgen Phoenix NAP echte en correcte kopieën van dergelijke toestemmingen.

11. VRIJWARING

Cliënt zal de. Verdedigen, vrijwaren en vrijwaren Phoenix NAP Gevrijwaarde partijen voor en tegen alle schade, bevelen, besluiten, vonnissen, aansprakelijkheden, claims, acties, rechtszaken, kosten en uitgaven (inclusief, maar niet beperkt tot, proceskosten en advocatenhonoraria) ("Claims") opgelopen door de Phoenix NAP Gevrijwaarde partijen of uiteindelijk berecht tegen de Phoenix NAP Vrijgestelde Partijen die voortvloeien uit of het gevolg zijn van: (i) inbreuk op intellectuele eigendomsrechten, met inbegrip van, maar niet beperkt tot, auteursrechten, handelsmerken, handelsgeheimen, octrooien en rechten van het gewoonterecht in verband met de Informatie, netwerken of computersystemen van de Klant; (ii) schending van toepasselijke wetten of beleidsregels door de Klant, met inbegrip van, maar niet beperkt tot in verband met de Informatie, netwerken of computersystemen van de Klant; (iii) het niet verkrijgen door de Klant van alle noodzakelijke toestemmingen, vergunningen en licenties, met inbegrip van, maar niet beperkt tot in verband met de Informatie, netwerken of computersystemen van de Klant; (iv) schending van de garantie door de Klant; (v) schending van deze Overeenkomst door de Klant; (vi) gebruik van Diensten door de Klant of de Gelieerde Ondernemingen van de Klant; (vii) nalatigheid, opzettelijk wangedrag of andere onrechtmatige handelingen of omissies door de Klant; en (viii) Claims die beweren dat Phoenix NAP was niet geautoriseerd om door Klant gevraagde Services te leveren.

Deze sectie vermeldt de exclusieve rechtsmiddelen van elke partij voor een claim of actie van een derde partij, en niets in deze overeenkomst of elders verplicht een van beide partijen tot een grotere schadevergoeding aan de andere.

12. ONDERAANNEMING

Phoenix NAP kan deze overeenkomst geheel of gedeeltelijk toewijzen, uitbesteden of delegeren, of rechten, plichten, verplichtingen of aansprakelijkheden onder deze overeenkomst, van rechtswege of anderszins, op voorwaarde dat Phoenix NAP blijft verantwoordelijk voor de uitvoering van Services onder deze Overeenkomst. Anders mag geen van beide partijen deze Overeenkomst overdragen zonder toestemming van de andere partij, welke toestemming niet op onredelijke gronden zal worden onthouden, geconditioneerd of vertraagd.

13. KOSTEN

De subsecties van deze sectie definiëren de terugkerende en niet-terugkerende kosten en vergoedingen volgens dit schema.

  1. MAANDELIJKS TERUGKERENDE KOSTEN

    2. De initiële maandelijkse terugkerende kosten zijn de initiële maandelijkse kosten die voor dit schema in rekening worden gebracht. Deze vergoeding kan worden gewijzigd in onderlinge overeenstemming tussen de Klant en de Provider op basis van wijzigingen in de initiële configuraties, gedekte apparaten of andere vergelijkbare omgevingsvariabelen.

  2. NIET-TERUGKERENDE SERVICEKOSTEN

    3. De eenmalige diensten en vergoedingen in verband met dit Schema omvatten, maar zijn niet beperkt tot, Out-of-Scope vergoedingen en / of de vergoedingen voor alle bijbehorende arbeid en andere diensten die worden verstrekt onder een Werkverklaring of voor de migratie / installatie / implementatie van de productieomgeving van de Klant van de huidige staat tot die van de Provider Cloud/ Hostingomgeving of voor andere doeleinden die door Provider en Klant zijn overeengekomen, inclusief, maar niet beperkt tot, diegene die in een Werkverklaring zijn gedefinieerd als eenmalige of eenmalige vergoedingen of diensten, hetzij gecreëerd op het moment van of na de uitvoering van deze overeenkomst.

  3. EERSTE INSTALLATIEKOSTEN

    4. De initiële installatiekosten en kosten voor dit Schema zijn de eenmalige eenmalige kosten die verband houden met de initiële configuratie van de services van de Klant. Deze vergoeding kan worden gewijzigd in onderlinge overeenstemming tussen de Klant en de Provider op basis van wijzigingen in de oorspronkelijke configuraties, omvang, gedekte apparaten of andere vergelijkbare omgevingsvariabelen. De initiële installatiekosten zijn exclusief de kosten voor gegevensmigratie. Gegevensmigratiekosten worden gespecificeerd en gedekt in een afzonderlijke werk- of projectverklaring.

v.2; 11152021