Anexo de servicios de seguridad

1. INTRODUCCIÓN

La oferta de servicios de seguridad de Phoenix NAP proporciona a los Clientes una solución de seguridad de la información escalable, capaz de detectar y notificar sobre posibles amenazas de seguridad contra el entorno de un Cliente. Este conjunto patentado de sistemas y procesos utiliza hardware, software y profesionales de la industria de la seguridad de última generación para observar y monitorear las redes del Cliente, los puntos finales y otros eventos relacionados para detectar acciones anómalas y amenazas de seguridad.

2. ACUERDO

Este Apéndice de servicios de seguridad ("SSA") establece los términos y condiciones específicos bajo los cuales Phoenix NAP ("PNAP") proporcionará Servicios de Seguridad de la Información al Cliente. El Contrato de servicio maestro celebrado entre PNAP y el Cliente, incorpora completamente los términos del presente y establece que este SSA y la ejecución del Contrato de servicio maestro por parte del Cliente constituye la aceptación de los términos y condiciones aquí establecidos. Los términos en mayúscula utilizados pero no definidos en este documento tendrán los significados establecidos en el Acuerdo de servicios principal. La duración del Plazo inicial para este Servicio se establece en el Formulario de pedido de servicio correspondiente ("SOF"), ejecutado por PNAP y el Cliente, en referencia a estos Servicios. Como se menciona en el presente, "Acuerdo" significa este Apéndice de servicios de seguridad, junto con el MSA y todas las políticas y anexos que se incorporan aquí como referencia, incluida la Declaración de trabajo (SOW), Matriz de responsabilidad ("RM"), Acuerdo de nivel de servicio (SLA), Política de uso aceptable ("AUP") y Política de privacidad ("PP"). Este Acuerdo establece los términos y condiciones que se aplican al Anexo de servicios de seguridad.

3. GENERAL

PNAP examinará la plataforma de red informática actual del Cliente, su alojamiento y data security requisitos en la medida en que el Cliente haya proporcionado acceso a PNAP y confirme que los Servicios acordados pueden interactuar y operar con la plataforma del Cliente y proporcionar un entorno seguro de acuerdo con las especificaciones y de acuerdo con los estándares de la industria establecidos en el acuerdo acordado. sobre la declaración de trabajo (SOW).

Si el acuerdo entre PNAP y el Cliente se rescinde o expira, el Cliente tendrá la opción de renovar el acuerdo o reemplazar los Servicios de seguridad de PNAP con un proveedor externo de su elección. Previa solicitud, PNAP realizará esfuerzos comercialmente razonables para la transición del Cliente al nuevo proveedor de la manera más rápida, económica y eficiente posible y, si es posible, lo hará de una manera que proporcione la transición más fluida y segura con interrupciones comerciales mínimas para el Cliente.

4. SERVICIOS Y CARACTERÍSTICAS

Service Descripción
Plataforma de gestión de amenazas Esta oferta de productos utiliza registros de eventos de seguridad proporcionados por el Cliente de diferentes fuentes (como firewalls, conmutadores y servers) y correlaciona esos registros con firmas de amenazas y análisis de comportamiento para identificar la actividad que puede indicar a los operadores un evento de amenaza potencial. Estos patrones de comportamiento de amenazas se recopilan y actualizan en función de las fuentes de inteligencia de amenazas de la industria suscritas, la inteligencia de amenazas patentada u otros datos proporcionados por el Cliente.
Gestión de parches Esta oferta es el proceso de utilizar una herramienta automatizada para escanear regularmente los sistemas contra una lista conocida de parches, revisiones y / o actualizaciones del sistema operativo disponibles para determinar si deben aplicarse en esos sistemas. Si las exploraciones determinan que se necesitan parches, Patch Management Solution identificará el parche y programará la instalación del parche a través de un proceso de control de cambios. Este producto tiene un alcance limitado a los sistemas operativos compatibles actualmente con PNAP.
Recuperación de entornos críticos El componente de recuperación del entorno crítico del servicio utilizará los mismos servicios de recuperación ante desastres que ya proporciona PNAP a través de sus otras ofertas de servicios. La recuperación del entorno crítico será un componente obligatorio de todas las ofertas y paquetes de servicios de seguridad, pero tendrá un alcance limitado para el cliente. servers definido en la Declaración de trabajo acordada (SOW).
Gestión de conmutadores de cortafuegos Muchas organizaciones no tienen la habilidad y / o experiencia en las mejores prácticas de la industria para administrar adecuadamente sus firewalls y conmutadores. Especialmente para las empresas que utilizan firewalls de capa 7 más avanzados, es posible que el personal interno no tenga la capacitación o los recursos necesarios para mantener y monitorear de manera efectiva estos dispositivos como se diseñaron. Además, cuando los administradores internos realizan cambios en sus firewalls y conmutadores, con frecuencia lo hacen sin mantener un historial adecuado de los cambios, por lo que no cuentan con la documentación adecuada requerida por razones de cumplimiento. La oferta de gestión de cortafuegos / conmutadores de PNAP incluirá la gestión adecuada de los cortafuegos y conmutadores, así como la documentación necesaria, incluida la gestión y el seguimiento de la autenticación para los usuarios que realizan cambios, así como el seguimiento de las configuraciones anteriores para permitir la reversión. de cambios si es necesario.
Evaluación de vulnerabilidad La oferta de Evaluación de vulnerabilidades analiza las redes internas y externas aprobadas por el Cliente utilizando herramientas automatizadas que utilizan vectores de amenazas conocidos para probar las vulnerabilidades. En los casos en que sean necesarios los servicios de un proveedor de escaneo certificado, PNAP contratará a uno de sus socios para que realice estos servicios en su nombre, con una frecuencia negociada previamente según lo acordado con el cliente y sus requisitos de cumplimiento.
Supervisión del rendimiento El Monitoreo del desempeño incluye informes sobre las tendencias del desempeño, monitoreo proactivo de alertas y realización de análisis sobre métricas de desempeño; tales como frecuencia ascendente / descendente y uso de ancho de banda, procesadores, memoria y utilización de almacenamiento. El método y la frecuencia de los informes se definirán en la Declaración de trabajo (SOW) asociada.
Puesto final de Seguridad El End Point Security Service gestiona la seguridad de server y dispositivos de usuario final, como estaciones de trabajo de PC y computadoras portátiles, mediante el uso de software anti-malware. Esta oferta de servicio supervisará, mantendrá y administrará los agentes de punto final, asegurándose de que estén actualizados y sean funcionales.

5. MEJORES PRÁCTICAS

PNAP implementará las siguientes mejores prácticas con respecto al desarrollo y despliegue de los Productos y Servicios. PNAP mantendrá la seguridad de los sistemas adecuados para el Servicio de PNAP de acuerdo con los estándares y prácticas de la industria comercialmente razonables diseñados para proteger todos los datos e información proporcionados por o en nombre del Cliente que se ingresan, muestran o procesan en el Servicio de PNAP y todos los resultados de los mismos. ("Datos del cliente") contra el robo, la divulgación no autorizada y el acceso no autorizado. La seguridad de dichos sistemas incluye, entre otras cosas: (1) implementación de pruebas de vulnerabilidad de aplicaciones y procesos de mitigación; (2) dirigir todas las comunicaciones electrónicas del Cliente PNAP a través de un portal web seguro, un recurso compartido de archivos seguro o correo electrónico cifrado; y (3) las siguientes salvaguardas:

  1. Autenticación
    • Todo el acceso se autentica, la comunicación se protege utilizando las mejores prácticas de la industria y se registra.
    • La identidad de los sistemas está vinculada a un usuario individual mediante el uso de credenciales y mediante un mecanismo de autenticación de segundo factor.
    • Se proporcionan controles de autenticación razonables que cumplen con los estándares reconocidos por la industria.
  2. Autorización
    • Asegúrese de que los usuarios autorizados solo puedan realizar acciones dentro de su nivel de privilegios.
    • Controle el acceso a los recursos protegidos según el rol o el nivel de privilegio.
    • Mitigar y defenderse de los ataques de escalada de privilegios según sea posible, según los estándares de tecnología disponibles y las mejores prácticas.
  3. Gestión de cuentas y contraseñas
    • Las contraseñas se ajustan a las mejores prácticas, que incluyen:
      • Cifrar contraseñas mediante técnicas de "hash" y "salting".
      • Hacer cumplir la complejidad de la contraseña.
      • Limitar los intentos fallidos antes del bloqueo de la cuenta.
      • No permitir el almacenamiento y transmisión de contraseñas en texto claro.
      • El restablecimiento de contraseña no envía credenciales.
    • Cuando corresponda, el PNAP registrará de forma segura (con fecha y hora) los comandos que requieran privilegios adicionales para permitir una pista de auditoría completa de las actividades.
  4. Data Security
    • Los datos en reposo
      • Los datos del cliente se cifran utilizando las mejores prácticas de la industria.
      • BackupLos datos del cliente tienen los mismos controles que los datos de producción.
    • Datos en tránsito
      • Los datos del cliente en tránsito hacia o desde el cliente se cifrarán (por ejemplo, SSL, VPN, SFTP, autenticación basada en certificados).
    • Los datos del cliente enviados a través del navegador deben usar SSLv3 o mejor.
  5. Multi Alquiler
    • En un entorno de múltiples inquilinos, PNAP proporcionará controles de seguridad apropiados y métodos criptográficos robustos para proteger y aislar los Datos del Cliente de otros inquilinos.
  6. Acceso administrativo y segregación ambiental
    • Aplicación del principio de privilegio mínimo: Deben existir controles adecuados para garantizar que el acceso esté limitado al personal que debe ver los datos del cliente para cumplir con sus funciones laborales.
    • Siempre que sea posible, los datos confidenciales deben enmascararse con algoritmos hash unidireccionales.
    • Los datos del cliente no deben replicarse en entornos que no sean de producción.
  7. Manejo de amenazas
    • Detección de Intrusos

      • PNAP implementará y mantendrá un proceso de monitoreo de detección de intrusos a nivel de red y host para proteger los Servicios PNAP y detectar tráfico de red no deseado u hostil. PNAP actualizará su software de detección de intrusos de forma continua, de forma programada, siguiendo la disponibilidad de actualizaciones por parte del proveedor de software elegido. El PNAP implementará medidas para asegurar que el PNAP sea alertado cuando el sistema o servicio detecte actividad inusual o maliciosa. PNAP notificará al Cliente dentro de las veinticuatro (24) horas de cualquier intrusión significativa que implique una violación de los datos del cliente.

    • Pruebas de penetración

      • PNAP llevará a cabo pruebas de penetración al menos una vez al año en su entorno informático para todo el Cliente a través de un Asesor de seguridad calificado (QSA) de terceros, y eliminará adecuadamente los riesgos identificados. Debido a la naturaleza de alto riesgo de estos informes, los informes y hallazgos no se divulgarán públicamente ni estarán disponibles para la inspección del cliente. Sin embargo, PNAP pondrá a disposición, a pedido, una carta del QSA de disposición satisfactoria de las inquietudes de amenazas identificadas. Los clientes no estarán autorizados a realizar análisis de vulnerabilidades, evaluaciones o pruebas de penetración en la infraestructura del servicio PNAP.

    • Seguridad de infraestructura

      • PNAP configurará la infraestructura (p. Ej., serversy dispositivos de red) y plataformas (p. ej., SO y web servers) para estar seguro siguiendo estas mejores prácticas:

      • Registro de auditoría: el cliente autoriza a PNAP a recopilar, usar, almacenar, transferir, monitorear y procesar registros de todos los sistemas suscritos al Servicio de PNAP. Estos tipos de registro incluyen, entre otros, registros de seguridad, server registros, registros de aplicaciones, registros del sistema y registros de eventos de red. PNAP monitorea sus redes las 24 horas del día, los 7 días de la semana, utilizando las últimas tecnologías SIEM y de análisis de comportamiento. El Cliente reconoce que estos registros pueden contener direcciones IP de origen y destino, cuentas de usuario utilizadas, intentos de contraseñas incorrectas, entradas de clics y pantallas y otros elementos de datos de identificación personal.
      • Se mantendrán copias duplicadas de estos registros y una copia de archivo fuera del sitio reducirá el riesgo de pérdida debido a alteraciones.
    • Red de Seguridad
      • PNAP cumplirá con los estándares de la industria, separando las redes perimetrales de los puntos finales alojados en la red privada utilizando firewalls estándar de la industria o técnicas de microsegmentación basadas en tecnologías de redes definidas por software. El PNAP actualizará y mantendrá su infraestructura utilizando una metodología de control de cambios y mantenimiento estándar de la industria.
      • El PNAP deberá monitorear y probar sus dispositivos perimetrales de manera regular y, si se descubren deficiencias, el PNAP deberá solucionar y remediar rápidamente estas deficiencias.
    • Gestión de vulnerabilidad

      • Además de las evaluaciones de vulnerabilidad de terceros descritas anteriormente, PNAP implementará procesos comercialmente razonables diseñados para proteger los Datos del Cliente de las vulnerabilidades del sistema, que incluyen:

      • Escaneo de perímetro: PNAP realizará escaneo de perímetro mediante el uso de sensores integrados dentro de la infraestructura de PNAP que brindan información a nuestra herramienta SIEM centralizada.
      • Escaneo de infraestructura interna: PNAP realizará un escaneo de infraestructura interna mediante el uso de sensores integrados dentro de la infraestructura de PNAP que brindan información a nuestra herramienta SIEM centralizada.
      • Escaneo de malware: siempre que sea posible, PNAP utiliza una herramienta antivirus / antimalware (APT) basada en firmas y comportamiento avanzado, junto con técnicas de listas blancas de aplicaciones para proteger su infraestructura de la amenaza de software malicioso no autorizado.
    • Configuración segura

      • PNAP utiliza una metodología estándar de la industria para el fortalecimiento de la plataforma y la configuración segura, con el fin de reducir el alcance y la superficie del ataque. Mediante el uso de técnicas de microsegmentación, la comunicación lateral se restringe aún más a pares y patrones de comunicación conocidos.

  8. Procedimientos de seguridad
    • Respuesta al incidente

      • El PNAP mantendrá las políticas y los procedimientos de gestión de incidentes de seguridad, incluidos los procedimientos detallados de escalada de incidentes de seguridad. En el caso de una violación de las obligaciones de seguridad o confidencialidad de PNAP, que afecte el entorno o los datos de un cliente, PNAP acepta notificar a los Clientes afectados por teléfono y correo electrónico de dicho evento dentro de las veinticuatro (24) horas posteriores al descubrimiento. PNAP también llevará a cabo de inmediato una investigación sobre la infracción, tomará las medidas correctivas adecuadas y asignará un punto único de contacto (SPoC). Este SPoC o su designado estará disponible para preguntas o inquietudes de seguridad las veinticuatro (24) horas del día, los siete (7) días de la semana, durante el alcance de la investigación del PNAP.

    • Gestión de parches

      • PNAP utilizará un proceso de gestión de parches y un conjunto de herramientas para mantener servers actualizado con la seguridad adecuada y los parches de funciones.

    • Proceso de remediación documentado

      • PNAP utilizará un proceso de remediación documentado diseñado para abordar oportunamente todas las amenazas y vulnerabilidades identificadas con respecto al Servicio PNAP.

  9. Procedimientos de despido de empleados
    • PNAP cancelará de inmediato todas las credenciales y el acceso a las instalaciones de contraseñas privilegiadas, como los sistemas de administración de identidad y acceso, al terminar el empleo.
  10. Gobierno
    • Política de Seguridad

      • PNAP mantendrá una política de seguridad de la información escrita que sea aprobada anualmente por PNAP y publicada y comunicada a todos los empleados de PNAP y terceros relevantes. PNAP mantendrá una función de seguridad y cumplimiento dedicada para diseñar, mantener y operar la seguridad en apoyo de su "plataforma de confianza" en línea con los estándares de la industria. Esta función se centrará en la integridad del sistema, la aceptación de riesgos, el análisis y evaluación de riesgos, la evaluación de riesgos, la gestión de riesgos y las declaraciones de aplicabilidad del tratamiento y la gestión del PNAP.

    • Entrenamiento de seguridad

      • PNAP se asegurará, sin costo alguno para el Cliente, de que todos los empleados y Clientes de PNAP completen la capacitación pertinente requerida para poner en funcionamiento los procedimientos y prácticas descritos en este documento, incluida la capacitación en conciencia de seguridad, al menos una vez al año.

    • Revisiones de seguridad

      • El PNAP y el Cliente pueden reunirse al menos una vez al año para discutir: (1) la efectividad de la plataforma de seguridad del PNAP; y (2) las actualizaciones, parches, correcciones, innovaciones u otras mejoras realizadas en la electrónica data security por otros proveedores comerciales o para otros clientes de PNAP que PNAP o el Cliente creen que mejorarán la eficacia de la plataforma de seguridad de PNAP para el Cliente.

    • Normas de cumplimiento y auditorías de terceros
      • PNAP proporcionará al Cliente una copia del SOC2 o resultados de auditoría similares, en no más de treinta (30) días después de que PNAP reciba los resultados o informes. El Cliente tiene el derecho de, o contratar a un tercero en su nombre, para visitar las oficinas de PNAP hasta cuatro (4) veces por año calendario con el fin de llevar a cabo procedimientos de auditoría y diligencia debida en las operaciones comerciales de PNAP relacionadas con el Servicio de PNAP en términos de infraestructura técnica, interacción de sistemas, organización, calidad, control de calidad, personal involucrado con los servicios para el Cliente y recursos generales en términos de habilidades y personal.
      • PNAP proporcionará evidencia de una auditoría SSAE No. 18 exitosa a solicitud del Cliente en la medida permitida por la ley y sujeto a las restricciones regulatorias aplicables y las obligaciones de confidencialidad. PNAP debe verificar que la auditoría certifique toda la infraestructura y las aplicaciones que respaldan y prestan servicios a los datos del cliente.
      • Cumplimiento de PCI-DSS

        • PNAP mantendrá políticas, prácticas y procedimientos suficientes para cumplir con la industria de tarjetas de pago. Data Security Norma, ya que la misma podrá ser modificada de vez en cuando, con respecto al Servicio del PNAP.

      • Evaluaciones de vulnerabilidad

        • El PNAP deberá realizar evaluaciones de vulnerabilidad de las aplicaciones al menos una vez al año. Estas evaluaciones se llevarán a cabo con un asesor de seguridad calificado (QSA) de terceros. Debido a la naturaleza de alto riesgo de estos informes, los informes y hallazgos no se divulgarán públicamente ni estarán disponibles para la inspección del cliente. Sin embargo, el PNAP pondrá a disposición, previa solicitud, una carta del QSA de disposición satisfactoria de las inquietudes de amenazas identificadas. Los clientes no estarán autorizados a realizar análisis de vulnerabilidades, evaluaciones o pruebas de penetración en las plataformas de aplicaciones PNAP.

  11. Seguridad Física

    12. PNAP limitará el acceso a sus instalaciones utilizadas para realizar el Servicio de PNAP a los empleados y visitantes autorizados que utilicen métodos de seguridad física estándar de la industria comercialmente razonables. Como mínimo, dichos métodos deben incluir registros de visitantes, tarjetas de acceso restringido y candados para los empleados; acceso limitado a server salas y archivo backups; y sistemas de alarma antirrobo / intrusión.

  12. Continuidad del Negocio

    13. El PNAP deberá contar con un plan de continuidad comercial para la restauración de los procesos y operaciones críticos del Servicio del PNAP en las ubicaciones desde las que se presta el Servicio del PNAP. El PNAP también contará con un plan probado anualmente para ayudar al PNAP a reaccionar ante un desastre de una manera planificada y probada. PNAP proporcionará al Cliente una copia de su plan vigente en ese momento inmediatamente después de la solicitud por escrito del Cliente.

  13. Sistemas internos PNAP Backup Administración
    • PNAP se desempeñará por completo backups de sistemas internos y bases de datos que contienen Datos del Cliente al menos una vez al día sin interrupción del Servicio PNAP. El PNAP también proporcionará almacenamiento de archivos fuera del sitio al menos una vez por semana de todos los backups de los sistemas internos y la (s) base de datos (s) que contienen Datos del Cliente en server(s) u otros medios seguros comercialmente aceptables. Tales datos backupLos correos electrónicos se cifrarán, enviarán fuera del sitio a una ubicación segura todos los días hábiles y se almacenarán / retendrán durante siete (7) años.
    • Para recuperarse de un incidente de falla del centro de datos, los datos de respaldo requeridos se replicarán en al menos dos (2) áreas geográficamente dispersas data centers en cualquier momento. Backup Es posible que las instantáneas se envíen periódicamente a otro data center. Retención de datos para un incidente de falla en el centro de datos utilizará instantáneas de veinticuatro (24) horas, catorce (14) diarias backupsy tres (3) mensuales backups. Esta backup La política está diseñada para respaldar una recuperación parcial o total del sistema de manera oportuna.
  14. Derecho a auditar

    15. El Cliente tiene derecho a contratar a un tercero en su nombre para que, a su propio costo, visite las oficinas de PNAP una vez por año calendario para llevar a cabo procedimientos de auditoría y diligencia debida en las operaciones comerciales de PNAP relacionadas con el Servicio de PNAP en términos de infraestructura técnica, interacción de sistemas, organización, calidad, control de calidad, personal involucrado con los servicios a los clientes y recursos generales en términos de habilidades y personal. Al comprender la naturaleza de propiedad intelectual y de propiedad de este acceso, el Cliente acepta ejecutar y cumplir un Acuerdo de confidencialidad y limitar la documentación o eliminación de esta información de las instalaciones de PNAP.

6. RESPONSABILIDADES DEL CLIENTE

El cliente documentará e informará de inmediato todos los errores o fallas de un sistema cubierto por este acuerdo a PNAP. PNAP proporcionará todas las piezas de repuesto necesarias y / u otro hardware para mantener el equipo de su propiedad necesario para el cumplimiento de cualquier servicio bajo este Programa.

El Cliente no utilizará nada, ya sea tangible o intangible, que sea adjunto y / o proporcionado por este acuerdo para cualquier propósito ilegal o para cualquier propósito que esté prohibido por la Política de Abuso de Red de PNAP y / o la Política de Uso Aceptable como se publica en su sitio web.

El cliente reconoce que PhoenixNAP El desempeño y la entrega de los Servicios dependen de: (A) que el Cliente brinde acceso seguro y libre de peligros a su personal, instalaciones, equipos, hardware, red e información, y (B) La toma de decisiones oportuna por parte del Cliente y la provisión de información oportuna y precisa. e información completa y asistencia razonable, incluida la concesión de aprobaciones o permisos, según se considere (A) y (B) razonablemente necesario y razonablemente solicitado para PhoenixNAP para realizar, entregar y / o implementar los Servicios. El cliente obtendrá y proporcionará de inmediato a PhoenixNAP todas las licencias, aprobaciones o consentimientos necesarios para PhoenixNAPla ejecución de los Servicios. PhoenixNAP será excusado de su incumplimiento de sus obligaciones en virtud de este Anexo en la medida en que dicho incumplimiento sea causado únicamente por la demora del Cliente en el desempeño o el incumplimiento de sus responsabilidades en virtud de este MSA y / o la Orden de servicio / SOW.

7. DECLARACIÓN DE TRABAJO; MATRIZ DE RESPONSABILIDAD

Se utilizará una Declaración de trabajo ("SOW") y una Matriz de responsabilidad ("RM") para especificar los deberes, el alcance, las ubicaciones, los entregables, los estándares, las actividades y los requisitos generales específicos para cualquier Servicio de seguridad de la información ofrecido por PNAP a un Cliente. .

8. ACUERDO DE NIVEL DE SERVICIO (SLA)

Las siguientes PhoenixNAP El Acuerdo de Nivel de Servicio ("SLA") es una política que rige el uso de los Servicios de Seguridad de PNAP bajo los términos del Acuerdo de Servicio Maestro (el "MSA") entre PNAP, LLC. Y los Clientes de PNAP. A menos que se disponga lo contrario en el presente, este SLA está sujeto a los términos del MSA y los términos en mayúscula tendrán el significado especificado en el Acuerdo. Nos reservamos el derecho de cambiar los términos de este SLA de acuerdo con el MSA.

  1. Tipos de servicio, prioridad y tiempos de respuesta

    2. Prioridad


     Reconocer tiempo


     Hora de notificación

    Descripción

    Ejemplos

    1. Prioridad (crítica)

    20 Minutos

    2 horas

    Impacto significativo en los datos comerciales o del Cliente; el problema tiene un gran impacto y es muy visible para las empresas y / o sus operaciones comerciales; no hay ninguna solución alternativa disponible.

    DDOS extendido y prolongado

    Compromiso de activos críticos / pérdida de datos críticos

    Impactos en las marcas de los clientes (en las noticias)

    Pérdida de datos del cliente

    Actividad de malware relacionada con la actividad de rescate (por ejemplo, CryptoLocker)

    Interrupción del servicio de monitoreo de seguridad

    2. Prioridad (alta)

    1 horas

    4 horas

    Un gran porcentaje del negocio se ve afectado; el problema es de alto impacto o muy visible para el cliente y / o sus operaciones comerciales; una solución probada y comprobada está disponible.

    Actividad frente a indicadores de amenazas conocidos

    Actividad de devolución de llamada de malware, o comando y control

    Cumplimiento

    3. Prioridad (media)

    4 horas

    8 horas

    Un pequeño porcentaje del negocio del Cliente se ve afectado y / o el problema tiene una visibilidad limitada. Sin embargo, el sistema puede permanecer operativo de una manera degradada y / o hay disponible una solución probada y comprobada.

    Reincidentes

    Actividad de software malintencionado relacionada con actividad malintencionada conocida, pero de exposición limitada (p. Ej., Zeus, Coreboot)

    4. Prioridad (baja)

    1 día hábil

    1 Día

    El cliente aún puede lograr una funcionalidad completa y un rendimiento normal, siempre que se siga la solución alternativa.

    Evidencia de escaneos de puertos u otra actividad de reconocimiento

    Malware / spyware de bajo nivel

  2. Compromiso de servicio

    3. PNAP hará todos los esfuerzos comercialmente razonables para que los Servicios de seguridad estén disponibles con un Porcentaje de tiempo de actividad mensual del 100%, excluyendo los períodos de mantenimiento programados y reconocidos previamente en los que existen procedimientos alternativos para el monitoreo continuo. Como se describe en la sección A: Tipos de servicio, prioridad y tiempos de respuesta, el PNAP, al recibir una alerta, "acusará recibo" (ya sea por correo electrónico o por teléfono), en los plazos descritos, el impacto del incidente y las acciones que deberían tomarse para mitigar la preocupación.

    En caso de que PNAP no cumpla con el compromiso del Porcentaje de tiempo de actividad mensual, el Cliente será elegible para recibir un Crédito de servicio como se describe a continuación.

  3. Créditos de servicio

    4. Si el Porcentaje de tiempo de actividad mensual de un Cliente cae por debajo del 100% durante un Mes de servicio, ese Cliente es elegible para recibir un (1) Crédito de servicio del 10%, por cada período de treinta (30) minutos en que los Servicios de seguridad no estuvieron disponibles, hasta un máximo monto equivalente a la facturación de un mes completo. A los efectos de determinar los Créditos de servicio, el Cliente solo será elegible para los Créditos de servicio relacionados con la falta de disponibilidad de:

    1. InfraSentry: Supervisar el servicio de detección de amenazas
    2. InfraSentry: herramientas de "Amenazas persistentes avanzadas" relacionadas con Sophos

    Cualquiera que sea el Servicio que estuvo menos disponible durante el mes de Servicio, PNAP aplicará los Créditos de servicio solo contra pagos futuros que de otro modo debiera el Cliente, siempre que:

    1. PNAP puede emitir el Crédito de servicio a la cuenta del Cliente por el Mes de servicio en el que ocurrió la indisponibilidad, y
    2. El cliente está al día con todas las obligaciones de pago establecidas en el Acuerdo.

    Los Créditos de servicio no darán derecho al Cliente a ningún reembolso u otro pago de PNAP. Los Créditos de servicio no se pueden transferir ni aplicar a ninguna otra cuenta. A menos que se disponga lo contrario en el Acuerdo, los Créditos de servicio son el único y exclusivo recurso del Cliente por cualquier falta de disponibilidad o incumplimiento de los Servicios.

  4. Procedimientos de solicitud de crédito y pago
    Para recibir un Crédito de servicio, el Cliente debe enviar una solicitud enviando un mensaje de correo electrónico a noc @phoenixnap.com. Para ser elegible, la solicitud de crédito debe:

    1. Incluir Reclamación de crédito de servicio de SLA en el asunto del mensaje de correo electrónico;
    2. Incluir, en el cuerpo del correo electrónico, el nombre de la organización del cliente o la identificación del cliente, junto con las fechas, horas y duración de cada período de indisponibilidad que el cliente afirma haber experimentado;
    3. Incluir cualquier documentación que corrobore la indisponibilidad declarada por el Cliente; y
    4. Ser recibido por PNAP dentro de los treinta (30) días calendario del último día informado en el reclamo de indisponibilidad.

    Si el Porcentaje de tiempo de actividad mensual de dicha solicitud es confirmado por PNAP y es menor al 100% para el Mes de servicio, entonces PNAP emitirá el Crédito de servicio al Cliente dentro de un Mes de servicio posterior al mes en el que se confirmó la solicitud. Si el Cliente no proporciona la solicitud y otra información como se requiere anteriormente, el Cliente no podrá recibir un Crédito de servicio. Los datos y registros de PNAP serán el único factor para validar las reclamaciones por indisponibilidad.

  5. Exclusiones
    El Compromiso de servicio no se aplica a ninguna indisponibilidad, suspensión o terminación de los Servicios de seguridad, o cualquier otro problema de rendimiento:

    1. Que resulten de las Suspensiones del servicio descritas en las siguientes secciones del Acuerdo: Plazo y rescisión, y Eventos y soluciones por incumplimiento;
    2. Causado por factores fuera del control razonable de PNAP, incluido cualquier evento de fuerza mayor o acceso a Internet o problemas relacionados más allá del Punto de Demarcación de la Red PNAP;
    3. Que resulten de cualquier acción o inacción del Cliente o de un tercero;
    4. Que resulten del equipo, software u otra tecnología del Cliente y / o equipo, software u otra tecnología de terceros (que no sean equipos de terceros bajo el control directo de PNAP);
    5. Que resultan de fallas de funciones, características, infraestructura y conectividad de red individuales. Falta de disponibilidad; o
    6. Derivado de la suspensión de PNAP y la terminación del derecho del Cliente a utilizar los Servicios de seguridad de acuerdo con el Acuerdo.

    Si la disponibilidad se ve afectada por factores distintos de los enumerados explícitamente en este acuerdo, PNAP puede emitir un Crédito de servicio considerando dichos factores a nuestro exclusivo criterio.

  6. Observación
    Si PNAP no alcanza la meta del SLA debido a problemas con el comportamiento del Cliente o el desempeño o falla de los equipos, instalaciones o aplicaciones del Cliente, PNAP no puede darle crédito al Cliente. Además, circunstancias atenuantes más allá del control razonable del PNAP tales como (sin limitación) actos de cualquier organismo gubernamental, actos de terrorismo, guerra, insurrección, sabotaje, embargo, incendio, inundación, huelga u otra perturbación laboral, interrupción o demora en el transporte, indisponibilidad de la interrupción o demora en las telecomunicaciones o los servicios de terceros (incluida la propagación de DNS), la falla del software o hardware de terceros o la imposibilidad de obtener materias primas, suministros o energía utilizada o el equipo necesario para la prestación de los servicios del Cliente podría causar algunos problemas que el PNAP no puede ser responsable.

9 Descargos de responsabilidad

  1. Sin garantía de producto

    2. PNAP no ofrece ninguna garantía expresa o implícita de comerciabilidad o idoneidad del producto para ningún propósito en particular. Si bien todos los servicios están diseñados para ser resistentes, depende del Cliente planificar los desastres y siempre se recomienda mantener un backup de datos críticos en caso de falla crítica o desastre.

  2. Renuncia de Garantía

    3. PNAP NO SERÁ RESPONSABLE DE NINGUNA PÉRDIDA O DAÑO CAUSADO POR UN ATAQUE DE DENEGACIÓN DE SERVICIO DISTRIBUIDO, VIRUS U OTRO MATERIAL TECNOLÓGICAMENTE DAÑINO QUE PUEDA INFECTAR SU EQUIPO DE COMPUTADORA, PROGRAMAS DE COMPUTADORA, RED DE DATOS U OTROS SERVICIOS PROPIOS DEL USO DEL MATERIAL RESULTANTE DE SU USO. , PHOENIX NAPEL SITIO WEB O EL SERVICIO O LOS ARTÍCULOS COMPRADOS U OBTENIDOS A TRAVÉS DEL SITIO WEB O EL SERVICIO O DE SU DESCARGA DE CUALQUIER MATERIAL PUBLICADO EN ÉL, O EN CUALQUIER SITIO WEB VINCULADO A ÉL. NINGUNO PHOENIX NAP NI NINGUNA PERSONA ASOCIADA CON PHOENIXNAP OFRECE CUALQUIER GARANTÍA O REPRESENTACIÓN A CUALQUIER USUARIO CON RESPECTO A LA INTEGRIDAD, SEGURIDAD, FIABILIDAD, CALIDAD, FUNCIONALIDAD O DISPONIBILIDAD DE LOS SERVICIOS. SIN LIMITAR LO ANTERIOR, NI PHOENIX NAP NI NADIE ASOCIADO CON PHOENIXNAP REPRESENTA O GARANTIZA QUE EL SERVICIO SERÁ CONFIABLE, LIBRE DE ERRORES, A PRUEBA DE INTRUSIONES O ININTERRUMPIDO, QUE LOS DEFECTOS SERÁN CORREGIDOS, LIBRES DE VIRUS U OTROS COMPONENTES DAÑINOS O QUE LOS SERVICIOS DE OTRO MODO CUMPLIRÁN CON LAS NECESIDADES O EXPECTATIVAS DEL CLIENTE. EXCEPTO POR LA GARANTÍA ESTABLECIDA ANTERIORMENTE, PHOENIXNAP PROPORCIONA EL SERVICIO, Y TODO "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA GARANTÍA. PHOENIX NAP POR LA PRESENTE RENUNCIA A TODAS LAS GARANTÍAS DE CUALQUIER TIPO, YA SEAN EXPRESAS O IMPLÍCITAS, ESTATUTARIAS O DE OTRO MODO, INCLUYENDO, PERO NO LIMITADO A CUALQUIER GARANTÍA DE COMERCIABILIDAD, NO INFRACCIÓN E IDONEIDAD PARA UN PROPÓSITO PARTICULAR.

    PHOENIX NAPLA RESPONSABILIDAD TOTAL (YA SEA POR CONTRATO, AGRAVIO O DE OTRO MODO) POR TODAS LAS RECLAMACIONES DE RESPONSABILIDAD QUE SURJAN O EN RELACIÓN CON EL ACUERDO NO EXCEDERÁN LAS CANTIDADES PAGADAS POR EL CLIENTE POR LOS SERVICIOS QUE DAN LUGAR A UNA RECLAMACIÓN DE RESPONSABILIDAD. LO ANTERIOR NO AFECTA NINGUNA GARANTÍA QUE NO SE PUEDA EXCLUIR O LIMITAR SEGÚN LA LEY APLICABLE. ESTA SECCIÓN SOBREVIVIRÁ CUALQUIER VENCIMIENTO O TERMINACIÓN DEL ACUERDO.

    EN NINGÚN CASO SERÁ PHOENIX NAP, SUS AFILIADOS O SUS LICENCIANTES, PROVEEDORES DE SERVICIOS, EMPLEADOS, AGENTES, FUNCIONARIOS O DIRECTORES SERÁN RESPONSABLES DE LOS DAÑOS DE CUALQUIER TIPO, BAJO CUALQUIER TEORÍA LEGAL, QUE SURJAN DE O EN RELACIÓN CON SU USO O INCAPACIDAD DE USO DE LOS SERVICIOS O CUALQUIER SITIO WEB ASOCIADOS CON ÉL, INCLUYENDO CUALQUIER DAÑO DIRECTO, INDIRECTO, ESPECIAL, INCIDENTAL, CONSECUENCIAL O PUNITIVO, INCLUYENDO, PERO NO LIMITADO A, LESIONES PERSONALES, DOLOR Y SUFRIMIENTO, MOLESTIAS EMOCIONALES, PÉRDIDA DE INGRESOS, PÉRDIDA DE BENEFICIOS, PÉRDIDA DE AHORROS COMERCIALES O ANTICIPACIONES PÉRDIDA DE USO, PÉRDIDA DE BUENA VOLUNTAD, PÉRDIDA DE DATOS Y YA SEA CAUSADA POR AGRAVIO (INCLUYENDO NEGLIGENCIA), INCUMPLIMIENTO DE CONTRATO O DE OTRO MODO, INCLUSO SI ES PREVISIBLE. LO ANTERIOR NO AFECTA NINGUNA RESPONSABILIDAD QUE NO SE PUEDA EXCLUIR O LIMITAR SEGÚN LA LEY APLICABLE.

  3. Limitación de tiempo para presentar reclamos

    4. Cualquier causa de acción o reclamo que pueda tener que surja de o esté relacionada con estos términos de uso, el servicio o el sitio web debe iniciarse dentro de un (1) año después de que se acumule la causa de acción; de lo contrario, dicha causa de acción o reclamo es prohibido permanentemente.

  4. Aviso de pérdida

    5. PNAP no se hace responsable de ninguna pérdida o corrupción de datos. Siempre se anima a los clientes a conservar una copia de los datos. En caso de pérdida, destrucción o daño de los datos del Cliente, PNAP notificará al Cliente por correo electrónico a una dirección proporcionada por el Cliente. El cliente debe asegurarse de que la dirección de correo electrónico sea válida.

10. CONSENTIMIENTO

Al entrar en este Acuerdo y al utilizar los Servicios, el Cliente consiente y por la presente acepta que Phoenix NAP puede acceder a las redes y sistemas informáticos del Cliente, incluido el acceso y el uso, la divulgación, la interceptación, la transmisión, la recepción, el análisis, el procesamiento, la copia, la edición, el cifrado, el descifrado y el almacenamiento de la información del Cliente y la de sus empleados, agentes y aquellos a quienes autoriza utilizar los Servicios, ya sea encriptados o en texto sin cifrar ("Información del Cliente") con el fin de proporcionar los Servicios, incluido, entre otros, el análisis del tráfico de red del Cliente y el almacenamiento y retención de la Información del Cliente para referencia y análisis futuros. El Cliente declara y garantiza que cumple con todas las leyes y regulaciones de recopilación y transferencia de datos aplicables de los países en los que opera y que ha obtenido debidamente todos los consentimientos, permisos o licencias, por escrito o electrónicamente, que puedan ser necesarios según las leyes aplicables de su empleados, agentes y aquellos a quienes autoriza a utilizar los Servicios con el fin de habilitar Phoenix NAP para proporcionar los Servicios en virtud del Acuerdo. Antes de usar los Servicios, o en cualquier otro momento razonablemente determinado por Phoenix NAP, El cliente proporcionará Phoenix NAP copias verdaderas y correctas de dichos consentimientos.

11. INDEMNIZACIÓN

El cliente defenderá, indemnizará y mantendrá indemne el Phoenix NAP Partes indemnizadas de y contra daños, órdenes, decretos, sentencias, responsabilidades, reclamos, acciones, juicios, costos y gastos (incluidos, entre otros, costos de litigio y honorarios de abogados) ("Reclamaciones") incurridos por el Phoenix NAP Partes indemnizadas o finalmente adjudicadas contra el Phoenix NAP Partes indemnizadas que surjan o resulten de: (i) infracción de los derechos de propiedad intelectual, incluidos, entre otros, derechos de autor, marcas comerciales, secretos comerciales, patentes y derechos de derecho consuetudinario en relación con la Información del Cliente, las redes o los sistemas informáticos; (ii) violación de las leyes o políticas aplicables por parte del Cliente, que incluyen, entre otros, en relación con la Información del Cliente, las redes o los sistemas informáticos; (iii) incumplimiento por parte del Cliente de obtener todos los consentimientos, permisos y licencias necesarios, incluidos, entre otros, los relacionados con la Información, las redes o los sistemas informáticos del Cliente; (iv) incumplimiento de la garantía por parte del Cliente; (v) incumplimiento de este Acuerdo por parte del Cliente; (vi) uso de los Servicios por parte del Cliente o Afiliados del Cliente; (vii) negligencia, mala conducta intencional u otros actos u omisiones ilícitos por parte del Cliente; y (viii) Reclamaciones que alegan que Phoenix NAP no estaba autorizado para proporcionar los Servicios solicitados por el Cliente.

Esta Sección establece los recursos exclusivos de cada parte para cualquier reclamo o acción de terceros, y nada en este Acuerdo o en otra parte obligará a ninguna de las partes a proporcionar una indemnización mayor a la otra.

12. SUBCONTRATACIÓN

Phoenix NAP puede ceder, subcontratar o delegar total o parcialmente este Acuerdo, o cualquier derecho, deber, obligación o responsabilidad en virtud de este Acuerdo, por aplicación de la ley o de otro modo, siempre que Phoenix NAP seguirá siendo responsable de la prestación de los Servicios en virtud de este Acuerdo. De lo contrario, ninguna de las partes podrá ceder este Acuerdo sin el permiso de la otra parte, cuyo permiso no se denegará, condicionará o retrasará sin razón.

13. CARGOS

Las subsecciones de esta sección definen los cargos y tarifas recurrentes y no recurrentes de conformidad con este programa.

  1. CUOTAS MENSUALES RECURRENTES

    2. Los Cargos Mensuales Iniciales Recurrentes son los cargos mensuales iniciales que se cobran por este Programa. Esta tarifa puede modificarse por mutuo acuerdo entre el Cliente y el Proveedor en función de los cambios en las configuraciones iniciales, los dispositivos cubiertos u otras variables de entorno similares.

  2. TARIFAS DE SERVICIO NO RECURRENTES

    3. Los servicios y tarifas no recurrentes asociados con este Programa incluyen, entre otros, tarifas Fuera de Alcance y / o tarifas por cualquier trabajo asociado y otros servicios proporcionados bajo una Declaración de Trabajo o para la migración / instalación / implementación del entorno de producción del Cliente desde su estado actual hasta el del Proveedor Cloud/ Entorno de alojamiento o para otros fines acordados por el Proveedor y el Cliente, incluidos, entre otros, los definidos en una Declaración de trabajo como tarifas o servicios únicos o no recurrentes, ya sea que se hayan creado en el momento de la ejecución de este acuerdo.

  3. TARIFAS DE INSTALACIÓN INICIAL

    4. Las tarifas de configuración inicial y los cargos para este Programa son tarifas únicas no recurrentes asociadas con la configuración inicial de los servicios del Cliente. Esta tarifa puede ser modificada por mutuo acuerdo entre el Cliente y el Proveedor en función de los cambios en las configuraciones iniciales, el alcance, los dispositivos cubiertos u otras variables de entorno similares. Las tarifas de configuración inicial no incluyen los cargos por migración de datos. Las tarifas de migración de datos se especificarán y cubrirán en una Declaración de trabajo o proyecto por separado.

v.2; 11152021