Appendice sui servizi di sicurezza

PREMESSA

I servizi di sicurezza offerti da Phoenix NAP fornisce ai Clienti una soluzione scalabile per la sicurezza delle informazioni, in grado di rilevare e notificare potenziali minacce alla sicurezza contro l'ambiente del Cliente. Questo insieme proprietario di sistemi e processi utilizza hardware, software e professionisti del settore della sicurezza all'avanguardia per osservare e monitorare le reti dei client, gli endpoint e altri eventi correlati per rilevare azioni anomale e minacce alla sicurezza.

2. ACCORDO

Questo Addendum sui servizi di sicurezza ("SSA") stabilisce i termini e le condizioni specifici in base ai quali Phoenix NAP ("PNAP") fornirà Servizi di sicurezza delle informazioni al Cliente. Il Contratto di servizio principale stipulato tra PNAP e il Cliente, incorpora pienamente i termini qui contenuti e prevede che il presente SSA e l'esecuzione del Contratto di servizio principale da parte del Cliente costituiscono l'accettazione dei termini e delle condizioni qui indicati. I termini in maiuscolo utilizzati ma non definiti nel presente documento avranno il significato stabilito nel Contratto di servizio principale. La durata del Periodo iniziale di questo Servizio è stabilita nel Modulo d'ordine del servizio ("SOF") applicabile, eseguito da PNAP e dal Cliente, con riferimento a questi Servizi. Come indicato nel presente documento, "Contratto" indica il presente Addendum sui servizi di sicurezza, insieme all'MSA e tutte le politiche e gli addenda qui incorporati per riferimento, tra cui lo Statement of Work (SOW), Responsibility Matrix ("RM"), Service Level Agreement (SLA), Politica di utilizzo accettabile ("AUP") e Informativa sulla privacy ("PP"). Il presente Contratto stabilisce i termini e le condizioni che si applicano all'Appendice sui servizi di sicurezza.

3. GENERALE

PNAP esaminerà l'attuale piattaforma di rete di computer del Cliente, il suo hosting e data security requisiti nella misura in cui il Cliente ha fornito l'accesso PNAP e conferma che i Servizi concordati possono interagire e operare con la piattaforma del Cliente e fornire un ambiente sicuro in conformità con le specifiche e in conformità con gli standard di settore stabiliti nelle su Statement of Work (SOW).

Se l'accordo tra PNAP e il Cliente viene risolto o scade, il Cliente avrà la possibilità di rinnovare l'accordo o sostituire i Servizi di sicurezza PNAP con un fornitore di terze parti di sua scelta. Su richiesta, PNAP intraprenderà sforzi commercialmente ragionevoli per trasferire il Cliente al nuovo fornitore nel modo più rapido, economico ed efficiente possibile e, se possibile, lo farà in modo da fornire la transizione più fluida e sicura con interruzioni minime dell'attività per il Cliente.

4. SERVIZI E CARATTERISTICHE

Servizi Descrizione
Piattaforma di gestione delle minacce Questa offerta di prodotto utilizza i registri degli eventi di sicurezza forniti dal Cliente da diverse origini (come firewall, switch e servers) e correla tali registri con firme delle minacce e analisi comportamentali per identificare attività che potrebbero segnalare agli operatori un potenziale evento di minaccia. Questi modelli di comportamento delle minacce vengono raccolti e aggiornati in base ai feed di informazioni sulle minacce del settore sottoscritti, informazioni sulle minacce proprietarie o altri dati forniti dal Cliente.
Gestione delle patch Questa offerta è il processo di utilizzo di uno strumento automatizzato per eseguire regolarmente la scansione dei sistemi rispetto a un elenco noto di patch, hotfix e/o aggiornamenti del sistema operativo disponibili per determinare se devono essere applicati a tali sistemi. Se le scansioni determinano la necessità di patch, Patch Management Solution identificherà la patch e pianificherà l'installazione della patch tramite un processo di controllo delle modifiche. Questo prodotto è limitato ai sistemi operativi attualmente supportati da PNAP.
Ripristino dell'ambiente critico La componente Critical Environment Recovery del servizio utilizzerà gli stessi servizi di ripristino di emergenza già forniti da PNAP attraverso le altre offerte di servizi. Critical Environment Recovery sarà un componente obbligatorio di tutte le offerte e i pacchetti di servizi di sicurezza, ma avrà un ambito limitato al client servers definiti nello Statement of Work (SOW) concordato.
Gestione switch firewall Molte organizzazioni non hanno la capacità e / o l'esperienza sulle best practice del settore per gestire adeguatamente i propri firewall e switch. Soprattutto per le aziende che utilizzano firewall di livello 7 più avanzati, il personale interno potrebbe non disporre della formazione o delle risorse necessarie per mantenere e monitorare efficacemente questi dispositivi come progettato. Inoltre, quando gli amministratori interni apportano modifiche ai firewall e agli switch, spesso lo fanno senza conservare una cronologia adeguata delle modifiche, quindi non dispongono della documentazione adeguata richiesta per motivi di conformità. L'offerta di PNAP Firewall / Switch Management includerà sia la gestione appropriata di firewall e switch, sia la documentazione necessaria, inclusa la gestione e il monitoraggio dell'autenticazione per gli utenti che apportano modifiche, nonché il monitoraggio delle configurazioni precedenti per consentire il rollback di modifiche se necessario.
Valutazione di vulnerabilità L'offerta Vulnerability Assessment esegue la scansione delle reti interne ed esterne approvate dal Cliente utilizzando strumenti automatizzati che utilizzano vettori di minacce noti per testare le vulnerabilità. Nei casi in cui sono necessari i servizi di un fornitore di scansioni certificato, PNAP incaricherà uno dei suoi partner di eseguire questi servizi per loro conto, con una frequenza pre-negoziata come concordato con il cliente e i suoi requisiti di conformità.
Monitoraggio delle prestazioni Il monitoraggio delle prestazioni include rapporti sulle tendenze delle prestazioni, monitoraggio proattivo degli avvisi e conduzione di analisi sulle metriche delle prestazioni; come frequenza su / giù e utilizzo della larghezza di banda, processori, memoria e utilizzo dell'archiviazione. Il metodo e la frequenza dei rapporti saranno definiti nello Statement of Work (SOW) associato.
End Point Security End Point Security Service gestisce la sicurezza di server e dispositivi degli utenti finali, come workstation PC e laptop, utilizzando software anti-malware. Questa offerta di servizi monitorerà, manterrà e gestirà gli agenti degli endpoint, garantendo che siano aggiornati e funzionanti.

5. MIGLIORI PRATICHE

Il PNAP attuerà le seguenti migliori pratiche per quanto riguarda lo sviluppo e l'implementazione dei Prodotti e Servizi. PNAP manterrà la sicurezza dei sistemi appropriati per il Servizio PNAP in conformità con gli standard e le pratiche del settore commercialmente ragionevoli progettati per proteggere tutti i dati e le informazioni fornite da o per conto del Cliente che vengono immesse, visualizzate o elaborate dal Servizio PNAP e tutti i relativi output ("Dati del cliente") da furto, divulgazione non autorizzata e accesso non autorizzato. Tale sicurezza dei sistemi include, tra le altre cose: (1) implementazione di test di vulnerabilità delle applicazioni e processi di mitigazione; (2) dirigere tutte le comunicazioni elettroniche del cliente PNAP tramite un portale web sicuro, una condivisione di file sicura o un'e-mail crittografata; e (3) le seguenti garanzie:

  1. Autenticazione
    • Tutti gli accessi sono autenticati, le comunicazioni protette utilizzando le migliori pratiche del settore e registrate.
    • L'identità dei sistemi è legata a un singolo utente mediante l'uso di credenziali e da un meccanismo di autenticazione a due fattori.
    • Vengono forniti controlli di autenticazione ragionevoli conformi a standard riconosciuti dal settore.
  2. Autorizzazione
    • Assicurati che gli utenti autorizzati siano autorizzati a eseguire solo azioni entro il loro livello di privilegio.
    • Controlla l'accesso alle risorse protette in base al ruolo o al livello di privilegio.
    • Mitigare e difendersi dagli attacchi di escalation dei privilegi se possibile, in base agli standard tecnologici disponibili e alle migliori pratiche.
  3. Gestione account e password
    • Le password sono conformi alle migliori pratiche, tra cui:
      • Crittografia delle password utilizzando tecniche di "hashing" e "salting".
      • Applicazione della complessità della password.
      • Limitazione dei tentativi falliti prima del blocco dell'account.
      • Non consentire l'archiviazione e la trasmissione di password in testo non crittografato.
      • La reimpostazione della password non invia le credenziali.
    • Se del caso, PNAP deve registrare in modo sicuro (con ora e data) i comandi che richiedono privilegi aggiuntivi per consentire un audit trail completo delle attività.
  4. Data Security
    • Dati a riposo
      • I dati dei clienti vengono crittografati utilizzando le migliori pratiche del settore.
      • BackupI dati dei clienti hanno gli stessi controlli dei dati di produzione.
    • Dati in transito
      • I dati del client in transito verso o dal client verranno crittografati (ad esempio, SSL, VPN, SFTP, autenticazione basata su certificato).
    • I dati del client inviati tramite browser devono utilizzare SSLv3 o superiore.
  5. Multi-tenancy
    • In un ambiente multi-tenant, PNAP fornisce adeguati controlli di sicurezza e solidi metodi crittografici per proteggere e isolare i dati del cliente da altri tenant.
  6. Accesso amministrativo e segregazione ambientale
    • Applicazione del principio del minimo privilegio: dovrebbero essere in atto controlli adeguati per garantire che l'accesso sia limitato al personale che deve vedere i dati del cliente per svolgere le proprie funzioni lavorative.
    • Ove possibile, i dati riservati dovrebbero essere mascherati con algoritmi di hashing unidirezionali.
    • I dati del cliente non devono essere replicati in ambienti non di produzione.
  7. Gestione delle minacce
    • Intrusion Detection
    • PNAP implementerà e manterrà un processo di monitoraggio del rilevamento delle intrusioni a livello di rete e host per proteggere i servizi PNAP e rilevare il traffico di rete indesiderato o ostile. Il PNAP aggiornerà continuamente il proprio software di rilevamento delle intrusioni, su base programmata, in seguito alla disponibilità di aggiornamenti da parte del fornitore di software prescelto. Il PNAP attuerà misure per garantire che il PNAP sia avvisato quando il sistema o il servizio rileva attività insolite o dannose. PNAP notificherà al Cliente entro ventiquattro (24) ore qualsiasi intrusione significativa che comporti una violazione dei dati del cliente.

    • Test di penetrazione
    • Il PNAP condurrà test di penetrazione almeno una volta all'anno sul proprio ambiente informatico a livello di Cliente attraverso un valutatore della sicurezza qualificato (QSA) di terze parti e si occuperà di eliminare in modo appropriato i rischi identificati. A causa della natura ad alto rischio di questi rapporti, i rapporti e i risultati non saranno divulgati pubblicamente o resi disponibili per l'ispezione del cliente. Il PNAP metterà comunque a disposizione, su richiesta, una lettera del QSA in cui si indica una soluzione soddisfacente per le minacce identificate. I clienti non saranno autorizzati a condurre scansioni di vulnerabilità, valutazioni o test di penetrazione contro l'infrastruttura del servizio PNAP.

    • Sicurezza dell'infrastruttura
    • PNAP deve configurare l'infrastruttura (ad es. serverse dispositivi di rete) e piattaforme (ad esempio, sistema operativo e web servers) per essere sicuri seguendo queste migliori pratiche:

      • Registrazione di controllo: il Cliente autorizza PNAP a raccogliere, utilizzare, archiviare, trasferire, monitorare e altrimenti elaborare i registri da tutti i sistemi sottoscritti al Servizio PNAP. Questi tipi di registro includono, ma non sono limitati a, registri di sicurezza, web server log, log delle applicazioni, log di sistema e log degli eventi di rete. PNAP monitora le sue reti 24 ore su 7, XNUMX giorni su XNUMX, utilizzando le più recenti tecnologie SIEM e di analisi comportamentale. Il Cliente riconosce che questi registri possono contenere indirizzi IP di origine e destinazione, account utente utilizzati, tentativi di password errate, clic e voci dello schermo e altri elementi di dati personali identificabili.
      • Verranno conservate copie duplicate di questi registri e una copia di archivio fuori sede ridurrà il rischio di perdita a causa di manomissioni.
    • Sicurezza di rete
      • PNAP deve essere conforme agli standard del settore, separando le reti perimetrali dagli endpoint ospitati nella rete privata utilizzando firewall standard del settore o tecniche di micro-segmentazione basate su tecnologie di rete definita dal software. PNAP aggiornerà e manterrà la propria infrastruttura utilizzando una metodologia di manutenzione e controllo delle modifiche standard del settore.
      • Il PNAP monitora e sottopone a prova i suoi dispositivi perimetrali su base regolare e, se vengono scoperte carenze, il PNAP risolve e rimedia prontamente tali carenze.
    • Gestione delle vulnerabilità
    • Oltre alle valutazioni delle vulnerabilità di terze parti sopra descritte, PNAP implementerà processi commercialmente ragionevoli progettati per proteggere i dati del cliente dalle vulnerabilità del sistema, tra cui:

      • Scansione perimetrale: PNAP eseguirà la scansione perimetrale attraverso l'uso di sensori incorporati nell'infrastruttura di PNAP fornendo informazioni al nostro strumento SIEM centralizzato.
      • Scansione dell'infrastruttura interna: PNAP eseguirà la scansione dell'infrastruttura interna tramite l'uso di sensori incorporati nell'infrastruttura di PNAP fornendo informazioni al nostro strumento SIEM centralizzato.
      • Scansione malware: dove possibile PNAP utilizza un comportamento avanzato e uno strumento antivirus / antimalware (APT) basato su firme, insieme a tecniche di whitelisting delle applicazioni per proteggere la propria infrastruttura dalla minaccia di software dannoso non autorizzato.
    • Configurazione sicura
    • PNAP utilizza una metodologia standard del settore per l'hardening della piattaforma e la configurazione sicura, al fine di ridurre l'ambito e la superficie dell'attacco. Attraverso l'uso di tecniche di micro-segmentazione, la comunicazione laterale è ulteriormente limitata a coppie e schemi di comunicazione noti.

  8. Procedure di sicurezza
    • Risposta agli incidenti
    • PNAP deve mantenere politiche e procedure di gestione degli incidenti di sicurezza, comprese procedure dettagliate di escalation degli incidenti di sicurezza. In caso di violazione degli obblighi di sicurezza o riservatezza di PNAP, che influisca sull'ambiente o sui dati di un cliente, PNAP si impegna a notificare il / i Cliente / i interessato / i per telefono ed e-mail di tale evento entro ventiquattro (24) ore dalla scoperta. PNAP effettuerà inoltre tempestivamente un'indagine sulla violazione, adotterà le misure correttive appropriate e assegnerà un punto di contatto unico (SPoC). Questo SPoC o il suo designato, sarà disponibile per domande o problemi di sicurezza ventiquattro (24) ore al giorno, sette (7) giorni alla settimana, durante l'ambito dell'indagine del PNAP.

    • Gestione delle patch
    • PNAP utilizza un processo di gestione delle patch e un set di strumenti per mantenere tutto serverè aggiornato con le patch di sicurezza e funzionalità appropriate.

    • Processo di riparazione documentato
    • PNAP utilizza un processo di riparazione documentato progettato per affrontare tempestivamente tutte le minacce e le vulnerabilità identificate in relazione al servizio PNAP.

  9. Procedure di licenziamento dei dipendenti
    • PNAP interromperà prontamente tutte le credenziali e l'accesso a servizi di password privilegiati, come i sistemi di gestione delle identità e degli accessi, al termine del rapporto di lavoro.
  10. Governance LPI
    • Politica di sicurezza
    • Il PNAP manterrà una politica scritta sulla sicurezza delle informazioni approvata annualmente dal PNAP e pubblicata e comunicata a tutti i dipendenti PNAP e alle terze parti interessate. Il PNAP manterrà una funzione dedicata di sicurezza e conformità per progettare, mantenere e gestire la sicurezza a sostegno della sua "piattaforma di fiducia" in linea con gli standard del settore. Questa funzione si concentrerà sull'integrità del sistema, l'accettazione del rischio, l'analisi e la valutazione del rischio, la valutazione del rischio, la gestione del rischio e le dichiarazioni di applicabilità del trattamento e la gestione del PNAP.

    • Formazione sulla sicurezza
    • PNAP garantirà, senza spese per il Cliente, che tutti i dipendenti e Clienti di PNAP completino la formazione pertinente richiesta per rendere operative le procedure e le pratiche descritte nel presente documento, inclusa la formazione di sensibilizzazione alla sicurezza, almeno una volta all'anno.

    • Revisioni sulla sicurezza
    • PNAP e il Cliente possono incontrarsi almeno una volta all'anno per discutere: (1) l'efficacia della piattaforma di sicurezza del PNAP; e (2) eventuali aggiornamenti, patch, correzioni, innovazioni o altri miglioramenti apportati all'elettronica data security da altri fornitori commerciali o per altri clienti di PNAP che PNAP o il Cliente ritengono migliorerà l'efficacia della piattaforma di sicurezza del PNAP per il Cliente.

    • Audit di terze parti e standard di conformità
      • PNAP fornirà al Cliente una copia del SOC2 o dei risultati di audit simili, entro non più di trenta (30) giorni dalla ricezione dei risultati o dei rapporti da parte di PNAP. Il Cliente ha il diritto di, o incaricare una terza parte per suo conto, di visitare gli uffici di PNAP fino a quattro (4) volte per anno solare al fine di condurre procedure di due diligence e audit sulle operazioni commerciali di PNAP relative al Servizio del PNAP in termini di infrastruttura tecnica, interazione di sistema, organizzazione, qualità, controllo qualità, personale coinvolto nei servizi per il Cliente e risorse generali in termini di competenze e personale.
      • PNAP fornirà la prova di una verifica SSAE n. 18 riuscita su richiesta del Cliente nella misura consentita dalla legge e soggetta alle restrizioni normative applicabili e agli obblighi di riservatezza. PNAP deve verificare che l'audit certifichi tutte le infrastrutture e le applicazioni che supportano e forniscono servizi ai dati del cliente.
      • Conformità PCI-DSS
      • PNAP deve mantenere politiche, pratiche e procedure sufficienti per conformarsi al settore delle carte di pagamento Data Security Standard, in quanto lo stesso potrà essere di volta in volta modificato, rispetto al Servizio PNAP.

      • Valutazioni delle vulnerabilità
      • PNAP deve condurre valutazioni della vulnerabilità dell'applicazione almeno una volta all'anno. Queste valutazioni saranno condotte con un Qualified Security Assessor (QSA) di terze parti. A causa della natura ad alto rischio di questi rapporti, i rapporti e i risultati non saranno divulgati pubblicamente o resi disponibili per l'ispezione del cliente. PNAP renderà comunque disponibile, su richiesta, una lettera del QSA con una disposizione soddisfacente delle preoccupazioni sulle minacce identificate. I clienti non saranno autorizzati a condurre scansioni di vulnerabilità, valutazioni o test di penetrazione contro le piattaforme applicative PNAP.

  11. Sicurezza fisica
  12. Il PNAP limiterà l'accesso alle sue strutture utilizzate nell'esecuzione del Servizio del PNAP ai dipendenti e ai visitatori autorizzati utilizzando metodi di sicurezza fisica standard del settore commercialmente ragionevoli. Tali metodi devono includere come minimo gli accessi dei visitatori, le chiavi magnetiche ad accesso limitato e le serrature per i dipendenti; accesso limitato a server stanze e archivio backupS; e sistemi di allarme antifurto / intrusione.

  13. Business Continuity
  14. Il PNAP deve disporre di un piano di continuità operativa per il ripristino dei processi critici e delle operazioni del Servizio del PNAP presso le sedi da cui viene fornito il Servizio del PNAP. Il PNAP deve inoltre disporre di un piano testato annualmente per assistere il PNAP nella reazione a un disastro in modo pianificato e testato. Il PNAP fornirà al Cliente una copia del suo piano in vigore in quel momento immediatamente dopo la richiesta scritta del Cliente per lo stesso.

  15. Sistemi interni PNAP Backup Management
    • PNAP deve funzionare a pieno backups dei sistemi interni e dei database contenenti i Dati del Cliente non meno di una volta al giorno senza interruzione del Servizio PNAP. Il PNAP fornirà inoltre un archivio di archiviazione fuori sede su base non inferiore a una settimana di tutti backupdei sistemi interni e dei database contenenti i dati del cliente in modo sicuro server(s) o altri supporti protetti commercialmente accettabili. Tali dati backupI messaggi verranno crittografati, inviati fuori sede in un luogo sicuro ogni giorno lavorativo e archiviati / conservati per sette (7) anni.
    • Al fine di recuperare da un Incidente di guasto del Datacenter, i dati di backup richiesti verranno replicati su almeno due (2) dislocazioni geografiche data centerin qualsiasi momento. Backup le istantanee possono essere periodicamente inviate a un altro data center. La conservazione dei dati per un incidente con errore nel datacenter utilizzerà ventiquattro (24) istantanee ogni ora, quattordici (14) al giorno backupse tre (3) mensili backupS. Questo backup è progettato per supportare opportunamente un ripristino parziale o completo del sistema.
  16. Diritto di revisione
  17. Il Cliente ha il diritto di, o di incaricare una terza parte per suo conto, a proprie spese, di visitare gli uffici di PNAP una volta per anno solare al fine di condurre procedure di due diligence e di verifica sulle operazioni commerciali di PNAP relative al Servizio di PNAP in termini di infrastruttura tecnica, interazione con i sistemi, organizzazione, qualità, controllo di qualità, personale coinvolto nei servizi per i clienti e risorse generali in termini di competenze e personale. Comprendendo la natura proprietaria e di proprietà intellettuale di questo accesso, il Cliente accetta di eseguire e rispettare un Accordo di non divulgazione e limitare la documentazione o la rimozione di queste informazioni dai locali del PNAP.

6. RESPONSABILITÀ DEL CLIENTE

Il Cliente deve documentare e segnalare tempestivamente a PNAP tutti gli errori o malfunzionamenti di un sistema coperto dal presente accordo. PNAP fornirà tutti i pezzi di ricambio e / o altro hardware necessari per mantenere le apparecchiature di sua proprietà necessarie per l'adempimento di qualsiasi servizio ai sensi del presente Programma.

Il Cliente non utilizzerà nulla, tangibile o intangibile, pertinente e / o fornito dal presente accordo per scopi illegali o per qualsiasi scopo proibito dalla Politica sull'abuso di rete e / o dalla Politica sull'uso accettabile di PNAP come pubblicata sul suo sito web.

Il cliente lo riconosce PhoenixNAP le prestazioni e la fornitura dei Servizi sono subordinate a: (A) il Cliente che fornisce un accesso sicuro e privo di rischi al proprio personale, strutture, attrezzature, hardware, rete e informazioni e (B) il tempestivo processo decisionale e la fornitura di e informazioni complete e assistenza ragionevole, inclusa la concessione di approvazioni o permessi, poiché (A) e (B) sono ritenuti ragionevolmente necessari e ragionevolmente richiesti per PhoenixNAP per eseguire, fornire e / o implementare i Servizi. Il cliente otterrà e provvederà prontamente a PhoenixNAP eventuali licenze, approvazioni o consensi necessari per PhoenixNAPprestazioni dei Servizi. PhoenixNAP sarà esonerato dal mancato adempimento dei propri obblighi ai sensi del presente Addendum nella misura in cui tale inadempienza è causata esclusivamente dal ritardo nell'esecuzione o dall'incapacità del Cliente di adempiere alle proprie responsabilità ai sensi del presente MSA e / o dell'Ordine di servizio / SOW.

7. DICHIARAZIONE DI LAVORO; MATRICE DI RESPONSABILITÀ

Una dichiarazione di lavoro ("SOW") e una matrice di responsabilità ("RM") devono essere utilizzate per specificare i compiti specifici, l'ambito, le posizioni, i risultati finali, gli standard, le attività e i requisiti generali per qualsiasi servizio di sicurezza delle informazioni offerto da PNAP a un cliente .

8. ACCORDO SUL LIVELLO DI SERVIZIO (SLA)

Le seguenti PhoenixNAP Il Service Level Agreement ("SLA") è una politica che disciplina l'uso dei servizi di sicurezza PNAP secondo i termini del Master Service Agreement (il "MSA") tra PNAP, LLC. e Clienti di PNAP. Salvo quanto diversamente previsto nel presente documento, il presente SLA è soggetto ai termini del MSA e i termini in maiuscolo avranno il significato specificato nel Contratto. Ci riserviamo il diritto di modificare i termini di questo SLA in conformità con l'MSA.

  1. Tipi di servizio, priorità e tempi di risposta

  2. Priorità


     Riconoscere il tempo


     Ora di notifica

    Descrizione

    Esempi

    1. Priorità (critica)

    di 20 minuti

    2 ore

    Impatto significativo sull'azienda o sui dati del cliente; il problema è di grande impatto e altamente visibile per le imprese e / o le loro operazioni commerciali; non è disponibile alcuna soluzione alternativa.

    DDOS diffuso e prolungato

    Compromissione di asset critici / Perdita di dati critici

    Impatti sui marchi dei clienti (nelle notizie)

    Perdita di dati del cliente

    Attività malware correlata all'attività di riscatto (ad esempio CryptoLocker)

    Interruzione del servizio di monitoraggio della sicurezza

    2. Priorità (alta)

    1 Hour

    4 ore

    Una grande percentuale dell'attività è interessata; il problema è di forte impatto o altamente visibile al cliente e / o alle sue operazioni aziendali; è disponibile una soluzione provata e provata.

    Attività rispetto agli indicatori di minaccia noti

    Attività di richiamata malware o comando e controllo

    Conformità

    3. Priorità (media)

    4 Hour

    8 ore

    Una piccola percentuale dell'attività del Cliente è interessata e / o il problema ha una visibilità limitata. Il sistema può rimanere operativo, tuttavia, in modo degradato e / o è disponibile una soluzione alternativa collaudata.

    Reati recidivi

    Attività di malware correlata ad attività note e dannose ma con esposizione limitata (ad es. Zeus, Coreboot)

    4. Priorità (bassa)

    1 giorno lavorativo

    1 Day

    Il cliente può comunque ottenere la piena funzionalità e prestazioni normali, purché venga seguita la soluzione alternativa.

    Prova di scansioni portuali o altre attività di ricognizione

    Malware / spyware di basso livello


  3. Impegno di servizio
  4. PNAP adotterà sforzi commercialmente ragionevoli per rendere disponibili i servizi di sicurezza con una percentuale di tempo di attività mensile del 100%, esclusi i periodi di manutenzione programmata e pre-riconosciuta in cui sono in atto procedure alternative per il monitoraggio continuo. Come descritto nella sezione A: Tipi di servizio, priorità e tempi di risposta, il PNAP, al ricevimento di un avviso, "riconoscerà" (tramite e-mail o telefonicamente), nei tempi descritti, l'impatto dell'incidente e le azioni che dovrebbero adottare per mitigare la preoccupazione.

    Nel caso in cui PNAP non soddisfi l'impegno della percentuale di tempo di attività mensile, il Cliente avrà diritto a ricevere un Credito di servizio come descritto di seguito.

  5. Crediti di servizio
  6. Se la percentuale di tempo di attività mensile per un cliente scende al di sotto del 100% durante un mese di servizio, quel cliente è idoneo a ricevere un (1) 10% di credito di servizio, per ogni periodo di trenta (30) minuti in cui i servizi di sicurezza non erano disponibili, fino a un massimo importo pari a un mese intero di fatturazione. Ai fini della determinazione dei Crediti di servizio, il Cliente sarà idoneo solo per i Crediti di servizio relativi all'indisponibilità di:

    1. InfraSentry: monitoraggio del servizio di rilevamento delle minacce
    2. InfraSentry: strumenti "Advanced Persistent Threat" relativi a Sophos

    Qualunque sia il servizio meno disponibile durante il mese del servizio, PNAP applicherà eventuali crediti di servizio solo a fronte di pagamenti futuri altrimenti dovuti dal Cliente, a condizione che:

    1. PNAP può emettere il credito di servizio sull'account del cliente per il mese di servizio in cui si è verificata l'indisponibilità e
    2. Il Cliente è in regola con tutti gli obblighi di pagamento stabiliti nel Contratto.

    I Crediti di servizio non danno diritto al Cliente ad alcun rimborso o altro pagamento da PNAP. I Crediti di servizio non possono essere trasferiti o applicati a nessun altro account. Salvo quanto diversamente previsto nel Contratto, i Crediti di servizio sono l'unico ed esclusivo rimedio del Cliente per qualsiasi indisponibilità o mancata prestazione dei Servizi.

  7. Richiesta di credito e procedure di pagamento
    Per ricevere un Credito di servizio, il Cliente deve inviare una richiesta inviando un messaggio di posta elettronica a noc @phoenixnap.com. Per essere ammissibile, la richiesta di credito deve:

    1. Includere la richiesta di credito per il servizio SLA nell'oggetto del messaggio di posta elettronica;
    2. Includere, nel corpo dell'e-mail, il nome dell'organizzazione del cliente o l'ID del cliente, insieme alle date, agli orari e alla durata di ciascun periodo di indisponibilità che il cliente afferma di aver vissuto;
    3. Includere tutta la documentazione che corrobora l'indisponibilità dichiarata dal Cliente; e
    4. Essere ricevuto da PNAP entro trenta (30) giorni di calendario dall'ultimo giorno segnalato nella richiesta di indisponibilità.

    Se la percentuale di tempo di attività mensile di tale richiesta è confermata da PNAP ed è inferiore al 100% per il mese di servizio, PNAP emetterà il credito di servizio al cliente entro un mese di servizio successivo al mese in cui la richiesta è stata confermata. La mancata fornitura da parte del Cliente della richiesta e di altre informazioni come richiesto in precedenza squalificherà il Cliente dal ricevere un Credito di servizio. I dati e le registrazioni di PNAP saranno l'unico fattore per la convalida dei reclami dovuti all'indisponibilità.

  8. esclusioni
    L'impegno per il servizio non si applica a qualsiasi indisponibilità, sospensione o cessazione dei servizi di sicurezza o qualsiasi altro problema di prestazioni:

    1. Ciò deriva dalle sospensioni del servizio descritte nelle seguenti sezioni del Contratto: Durata e risoluzione, Eventi e rimedi inadempienti;
    2. Causato da fattori al di fuori del ragionevole controllo di PNAP, inclusi eventi di forza maggiore o accesso a Internet o problemi correlati oltre il punto di demarcazione della rete PNAP;
    3. Ciò risulta da qualsiasi azione o inazione del Cliente o di terzi;
    4. Ciò risulta da apparecchiature, software o altra tecnologia del Cliente e / o apparecchiature, software o altre tecnologie di terze parti (diverse dalle apparecchiature di terzi sotto il controllo diretto di PNAP);
    5. Ciò deriva da guasti di singole funzioni, caratteristiche, infrastruttura e connettività di rete Indisponibilità; o
    6. Derivante dalla sospensione e dalla cessazione da parte di PNAP del diritto del Cliente di utilizzare i Servizi di sicurezza in conformità con l'Accordo.

    Se la disponibilità è influenzata da fattori diversi da quelli esplicitamente elencati nel presente contratto, PNAP può emettere un Credito di servizio considerando tali fattori a nostra esclusiva discrezione.

  9. Negazione di responsabilità
    Se PNAP non raggiunge l'obiettivo SLA a causa di problemi con il comportamento del Cliente o le prestazioni o il guasto delle apparecchiature, delle strutture o delle applicazioni del Cliente, PNAP non può dare credito al Cliente. Inoltre, circostanze attenuanti al di fuori del ragionevole controllo di PNAP come (senza limitazione) atti di qualsiasi ente governativo, atti di terrorismo, guerra, insurrezione, sabotaggio, embargo, incendi, inondazioni, scioperi o altri disturbi del lavoro, interruzione o ritardo nel trasporto, indisponibilità l'interruzione o il ritardo nelle telecomunicazioni o nei servizi di terze parti (inclusa la propagazione DNS), il fallimento del software o dell'hardware di terze parti o l'incapacità di ottenere materie prime, forniture o alimentazione utilizzata o apparecchiature necessarie per la fornitura dei servizi del Cliente potrebbero causare alcuni blocchi per cui PNAP non può essere ritenuto responsabile.

9. RINUNCE

  1. Nessuna garanzia sul prodotto
  2. PNAP non fornisce alcuna garanzia esplicita o implicita di commerciabilità o idoneità del prodotto per uno scopo particolare. Sebbene tutti i servizi siano progettati per essere resilienti, spetta al Cliente pianificare i disastri ed è sempre consigliabile mantenere un backup di dati critici in caso di guasto critico o disastro.

  3. Disclaimer di garanzia
  4. PNAP NON SARÀ RESPONSABILE PER QUALSIASI PERDITA O DANNO CAUSATO DA UN ATTACCO DENIAL-OF-SERVICE DISTRIBUITO, VIRUS O ALTRO MATERIALE TECNOLOGICAMENTE DANNOSO CHE POTREBBE INFETTARE L'ATTREZZATURA INFORMATICA, I PROGRAMMI INFORMATICI, LA RETE DATI O ALTRI MATERIALI PROPRIETARI RISULTANTI DALL'USO DEI SERVIZI , PHOENIX NAPIL SITO WEB O IL SERVIZIO O GLI ARTICOLI ACQUISTATI O OTTENUTI ATTRAVERSO IL SITO WEB O IL SERVIZIO O AL DOWNLOAD DELL'UTENTE DI QUALSIASI MATERIALE PUBBLICATO SU DI ESSO, O SU QUALSIASI SITO WEB COLLEGATO AD ESSO. NESSUNO DEI DUE PHOENIX NAP NESSUNA PERSONA ASSOCIATA CON PHOENIXNAP FORNISCE ALCUNA GARANZIA O DICHIARAZIONE A QUALSIASI UTENTE RIGUARDO A COMPLETEZZA, SICUREZZA, AFFIDABILITÀ, QUALITÀ, FUNZIONALITÀ O DISPONIBILITÀ DEI SERVIZI. SENZA LIMITARE QUANTO PRECEDENTE, NEMMENO PHOENIX NAP NÉ CHIUNQUE ASSOCIATO A PHOENIXNAP DICHIARA O GARANTISCE CHE IL SERVIZIO SARÀ AFFIDABILE, PRIVO DI ERRORI, A PROVA DI INTRUSIONE O ININTERROTTO, CHE I DIFETTI SARANNO CORRETTI, PRIVI DI VIRUS O ALTRI COMPONENTI DANNOSI O CHE I SERVIZI SODDISFERANNO ALTRIMENTI LE ESIGENZE O LE ASPETTATIVE DEL CLIENTE DI QUALSIASI UTENTE. SALVO LA GARANZIA DI CUI SOPRA, PHOENIXNAP FORNISCE IL SERVIZIO, E TUTTO SU BASE “COSÌ COM'È” E “COME DISPONIBILE”, SENZA ALCUNA GARANZIA. PHOENIX NAP CON LA PRESENTE NON RICONOSCE ALCUN TIPO DI GARANZIA, ESPLICITA O IMPLICITA, LEGALE O DI ALTRO TIPO, INCLUSA MA NON LIMITATA A QUALSIASI GARANZIA DI COMMERCIABILITÀ, NON VIOLAZIONE E IDONEITÀ A SCOPI PARTICOLARI.

    PHOENIX NAPLA RESPONSABILITÀ COMPLESSIVA DI (SIA IN CONTRATTO, ILLECITO O ALTRO) PER TUTTI I RECLAMI DI RESPONSABILITÀ DERIVANTI DA, O IN CONNESSIONE CON, L'ACCORDO NON POTRÀ SUPERARE GLI IMPORTI PAGATI DAL CLIENTE PER I SERVIZI CHE DANNO DATO A UNA RICHIESTA DI RESPONSABILITÀ. QUANTO SOPRA NON INFLUISCE SU NESSUNA GARANZIA CHE NON PU ESSERE ESCLUSA O LIMITATA AI SENSI DELLA LEGGE APPLICABILE. QUESTA SEZIONE SOPRAVVIVERÀ A QUALSIASI SCADENZA O RISOLUZIONE DEL CONTRATTO.

    IN NESSUN CASO PHOENIX NAP, LE SUE AFFILIATE O LORO LICENZIANTI, FORNITORI DI SERVIZI, DIPENDENTI, AGENTI, UFFICIALI O AMMINISTRATORI SONO RESPONSABILI PER DANNI DI QUALSIASI TIPO, SECONDO QUALSIASI TEORIA LEGALE, DERIVANTI DA O IN CONNESSIONE CON IL TUO UTILIZZO O INCAPACITÀ DI UTILIZZARE I SERVIZI O QUALSIASI SITO WEB ASSOCIATI AD ESSO, COMPRESI QUALSIASI DANNO DIRETTO, INDIRETTO, SPECIALE, ACCIDENTALE, CONSEQUENZIALE O PUNITIVO, INCLUSI, MA NON SOLO, LESIONI PERSONALI, DOLORE E SOFFERENZA, DISLESSIONE EMOTIVA, PERDITA DI ENTRATE, PERDITA DI PROFITTI, PERDITA DI LAVORO O RISPARMI PREVISTI PERDITA DI UTILIZZO, PERDITA DI AVVIAMENTO, PERDITA DI DATI E SE CAUSATA DA ILLECITO (INCLUSA NEGLIGENZA), VIOLAZIONE DEL CONTRATTO O ALTRO, ANCHE SE PREVEDIBILE. QUANTO SOPRA NON INFLUISCE SU ALCUNA RESPONSABILITÀ CHE NON PU BE ESSERE ESCLUSA O LIMITATA AI SENSI DELLA LEGGE VIGENTE.

  5. Limitazione dei tempi per presentare reclami
  6. Qualsiasi causa di azione o reclamo derivante da o relativa a questi termini di utilizzo, il servizio o il sito Web deve essere avviato entro un (1) anno dalla data in cui la causa dell'azione si è verificata, altrimenti tale causa di azione o reclamo è definitivamente vietato.

  7. Avviso di perdita
  8. PNAP non è responsabile per qualsiasi perdita o danneggiamento dei dati. I clienti sono sempre incoraggiati a conservare una copia dei dati. In caso di perdita, distruzione o danneggiamento dei dati del Cliente, PNAP fornirà una notifica al Cliente tramite e-mail a un indirizzo fornito dal Cliente. Il cliente deve assicurarsi che l'indirizzo e-mail sia valido.

10. CONSENSO

Accedendo al presente Contratto e utilizzando i Servizi, il Cliente acconsente e con la presente lo accetta Phoenix NAP può accedere alle reti e ai sistemi informatici del Cliente, incluso l'accesso e l'uso, la divulgazione, l'intercettazione, la trasmissione, la ricezione, l'analisi, l'elaborazione, la copia, la modifica, la crittografia, la decrittografia e l'archiviazione delle informazioni del Cliente e dei suoi dipendenti, agenti e coloro che autorizza utilizzare i Servizi, sia crittografati che in chiaro ("Informazioni del Cliente") allo scopo di fornire i Servizi, inclusa, senza limitazioni, l'analisi del traffico di rete del Cliente e per l'archiviazione e la conservazione delle Informazioni del Cliente per riferimento e analisi futuri. Il Cliente dichiara e garantisce di rispettare tutte le leggi e i regolamenti applicabili in materia di raccolta e trasferimento di dati dei paesi in cui opera e di aver debitamente ottenuto tutti i consensi, permessi o licenze, per iscritto o per via elettronica, che potrebbero essere necessari ai sensi delle leggi applicabili dal proprio dipendenti, agenti e coloro che autorizza a utilizzare i Servizi al fine di consentire Phoenix NAP per fornire i Servizi ai sensi del Contratto. Prima di utilizzare i Servizi, o in qualsiasi altro momento ragionevolmente determinato da Phoenix NAP, Il Cliente fornirà Phoenix NAP copie veritiere e corrette di tali consensi.

11. INDENNITÀ

Il Cliente dovrà difendere, indennizzare e tenere indenne il Phoenix NAP Parti indennizzate da e contro eventuali danni, ordini, decreti, sentenze, responsabilità, reclami, azioni, azioni legali, costi e spese (inclusi, senza limitazione, costi di contenzioso e spese legali) ("Reclami") sostenuti dal Phoenix NAP Parti indennizzate o infine giudicate contro Phoenix NAP Parti manlevate derivanti da o risultanti da: (i) violazione dei diritti di proprietà intellettuale, inclusi, a titolo esemplificativo, diritti d'autore, marchi, segreti commerciali, brevetti e diritti comuni in relazione alle informazioni, alle reti o ai sistemi informatici del Cliente; (ii) violazione delle leggi o delle politiche applicabili da parte del Cliente, incluso, senza limitazioni, in relazione alle Informazioni del Cliente, alle reti o ai sistemi informatici; (iii) mancato rispetto da parte del Cliente di tutti i consensi, permessi e licenze necessari, inclusi, senza limitazioni, in relazione alle Informazioni, alle reti o ai sistemi informatici del Cliente; (iv) violazione della garanzia da parte del Cliente; (v) violazione del presente Contratto da parte del Cliente; (vi) utilizzo dei Servizi da parte del Cliente o degli Affiliati del Cliente; (vii) negligenza, dolo o altri atti illeciti od omissioni da parte del Cliente; e (viii) pretese relative al fatto che Phoenix NAP non è stato autorizzato a fornire i Servizi richiesti dal Cliente.

La presente Sezione stabilisce i rimedi esclusivi di ciascuna parte per qualsiasi reclamo o azione di terze parti e nulla nel presente Accordo o altrove obbligherà una delle parti a fornire un maggiore indennizzo all'altra.

12. SUBAPPALTO

Phoenix NAP può cedere, subappaltare o delegare in tutto o in parte il presente Contratto, o qualsiasi diritto, dovere, obbligo o responsabilità ai sensi del presente Contratto, per legge o in altro modo, a condizione che Phoenix NAP rimarrà responsabile per la prestazione dei Servizi ai sensi del presente Contratto. In caso contrario, nessuna delle parti potrà cedere il presente Contratto senza l'autorizzazione dell'altra parte, autorizzazione che non sarà irragionevolmente negata, condizionata o ritardata.

13. ONERI

Le sottosezioni di questa sezione definiscono gli oneri e le commissioni ricorrenti e non ricorrenti ai sensi del presente prospetto.

  1. TARIFFE MENSILI RICORRENTI
  2. Gli Addebiti mensili ricorrenti iniziali sono i canoni mensili iniziali addebitati per questo Programma. Questa tariffa può essere modificata di comune accordo tra Cliente e Fornitore in base alle modifiche alle configurazioni iniziali, ai dispositivi coperti o ad altre variabili di ambiente simili.

  3. COSTI DI SERVIZIO NON RICORRENTI
  4. I servizi e le tariffe non ricorrenti associati a questo Programma includono, ma non sono limitati a, eventuali commissioni Fuori dall'ambito e / o le tariffe per la manodopera associata e altri servizi forniti in una Dichiarazione di lavoro o per la migrazione / installazione / implementazione dell'ambiente di produzione del Cliente dal suo stato attuale a quello del Provider Cloud/ Ambiente di hosting o per altri scopi concordati dal Fornitore e dal Cliente, inclusi, a titolo esemplificativo ma non esaustivo, quelli definiti in uno Statement of Work come commissioni o servizi una tantum o non ricorrenti creati al momento o successivamente all'esecuzione di questo accordo.

  5. COSTI DI IMPOSTAZIONE INIZIALE
  6. Le tariffe e gli addebiti per la configurazione iniziale per questo Programma sono le commissioni una tantum non ricorrenti associate alla configurazione iniziale dei servizi del Cliente. Questa tariffa può essere modificata di comune accordo tra Cliente e Fornitore in base alle modifiche alle configurazioni iniziali, all'ambito, ai dispositivi coperti o ad altre variabili ambientali simili. Le tariffe di installazione iniziale non includono le spese per la migrazione dei dati. Le tariffe per la migrazione dei dati saranno specificate e coperte in una dichiarazione di lavoro o progetto separata.

v.2; 11152021