Adendo de serviços de segurança

1. INTRODUÇÃO

Os serviços de segurança oferecidos por Phoenix NAP fornece aos Clientes uma solução de segurança da informação escalonável, capaz de detectar e notificar sobre ameaças de segurança potenciais contra o ambiente do Cliente. Este conjunto proprietário de sistemas e processos utiliza hardware, software e profissionais da indústria de segurança de última geração para observar e monitorar a (s) rede (s), endpoint (s) e outros eventos relacionados para detectar ações anômalas e ameaças à segurança.

2. ACORDO

Este Adendo de Serviços de Segurança ("SSA") estabelece os termos e condições específicos sob os quais Phoenix NAP (“PNAP”) fornecerá Serviços de Segurança da Informação ao Cliente. O Contrato Mestre de Serviços celebrado entre o PNAP e o Cliente incorpora integralmente os termos aqui descritos e prevê que este SSA e a assinatura do Cliente do Contrato Mestre de Serviços constituem a aceitação dos termos e condições aqui estabelecidos. Os termos em maiúsculas usados, mas não definidos aqui, terão os significados estabelecidos no Contrato de Serviços Principal. A duração do Prazo Inicial para este Serviço é definida no Formulário de Ordem de Serviço (“SOF”) aplicável, executado pelo PNAP e pelo Cliente, referente a esses Serviços. Conforme referido neste documento, "Contrato" significa este Adendo de Serviços de Segurança, juntamente com o MSA e todas as políticas e adendos que são incorporados neste documento por referência, incluindo a Declaração de Trabalho (SOW), Matriz de Responsabilidade ("RM"), Contrato de Nível de Serviço (SLA), Política de Uso Aceitável (“AUP”) e Política de Privacidade (“PP”). Este Contrato estabelece os termos e condições que se aplicam ao Adendo de Serviços de Segurança.

3. GERAL

O PNAP examinará a plataforma de rede de computadores atual do Cliente, sua hospedagem e data security requisitos na medida em que o Cliente forneceu acesso PNAP e confirma que o (s) Serviço (s) acordado (s) podem interagir e operar com a plataforma do Cliente e fornecer um ambiente seguro de acordo com as especificações e de acordo com os padrões da indústria estabelecidos no acordo mediante Declaração de Trabalho (SOW).

Se o contrato entre o PNAP e o Cliente for rescindido ou expirar, o Cliente terá a opção de renovar o contrato ou substituir os Serviços de Segurança PNAP por um provedor terceirizado de sua escolha. Mediante solicitação, o PNAP empreenderá esforços comercialmente razoáveis ​​para fazer a transição do Cliente para o novo provedor o mais rápido, economicamente e eficientemente possível e, se possível, fará isso de uma forma que forneça a transição mais perfeita e segura com interrupções mínimas de negócios para o Cliente.

4. SERVIÇOS E RECURSOS

Serviço Descrição
Plataforma de gerenciamento de ameaças Esta oferta de produto utiliza logs de eventos de segurança fornecidos pelo Cliente de diferentes fontes (como firewalls, switches e servers) e correlaciona esses logs com assinaturas de ameaças e análises comportamentais para identificar atividades que podem sinalizar aos operadores um evento de ameaça potencial. Esses padrões de comportamento de ameaça são coletados e atualizados com base em feeds de inteligência de ameaças do setor assinados, inteligência de ameaças proprietária ou outros dados fornecidos pelo Cliente.
Gerenciamento de Patch Esta oferta é o processo de usar uma ferramenta automatizada para verificar regularmente os sistemas em relação a uma lista conhecida de patches, hotfixes e / ou atualizações de sistema operacional disponíveis para determinar se eles devem ser aplicados a esses sistemas. Se as varreduras determinarem que os patches são necessários, o Patch Management Solution identificará o patch e agendará a instalação do patch por meio de um processo de controle de alterações. Este produto é limitado em escopo aos sistemas operacionais PNAP atualmente com suporte.
Recuperação de Ambiente Crítico O componente Critical Environment Recovery do serviço fará uso dos mesmos serviços de recuperação de desastres já fornecidos pelo PNAP por meio de suas outras ofertas de serviço. A Recuperação de Ambiente Crítico será um componente necessário de todas as ofertas e pacotes de serviços de segurança, mas terá escopo limitado ao cliente servers definido na Declaração de Trabalho (SOW) acordada.
Gerenciamento de switch de firewall Muitas organizações não têm a habilidade e / ou conhecimento nas melhores práticas do setor para gerenciar adequadamente seus firewalls e switches. Especialmente para empresas que usam firewalls de camada 7 mais avançados, o pessoal interno pode não ter o treinamento ou os recursos necessários para manter e monitorar com eficácia esses dispositivos conforme projetado. Além disso, quando os administradores internos fazem alterações em seus firewalls e switches, eles frequentemente o fazem sem manter um histórico adequado das alterações, portanto, não têm a documentação adequada exigida por motivos de conformidade. A oferta de Firewall / Switch Management do PNAP incluirá o gerenciamento apropriado dos firewalls e switches, bem como a documentação necessária, incluindo o gerenciamento e rastreamento da autenticação para usuários que fazem alterações, bem como o rastreamento das configurações anteriores para permitir a reversão de mudanças, se necessário.
Avaliação de vulnerabilidade A oferta de Avaliação de Vulnerabilidade faz a varredura de redes internas e externas aprovadas pelo Cliente usando ferramentas automatizadas que utilizam vetores de ameaças conhecidas para testar vulnerabilidades. Nos casos em que os serviços de um Fornecedor Certificado de Digitalização são necessários, a PNAP contratará um de seus parceiros para realizar esses serviços em seu nome, em uma frequência pré-negociada conforme acordado com o cliente e seus requisitos de conformidade.
Monitoramento de desempenho Monitoramento de desempenho inclui relatórios sobre tendências de desempenho, monitoramento proativo de alertas e realização de análises sobre métricas de desempenho; como frequência de aumento / redução e uso de largura de banda, processadores, memória e utilização de armazenamento. O método e a frequência dos relatórios serão definidos na Declaração de Trabalho (SOW) associada.
Segurança do ponto final O End Point Security Service gerencia a segurança de server e dispositivos de usuário final, como estações de trabalho de PC e laptops, usando software anti-malware. Esta oferta de serviço irá monitorar, manter e gerenciar os agentes de endpoint, garantindo que estejam atualizados e funcionais.

5. MELHORES PRÁTICAS

O PNAP deve implementar as seguintes melhores práticas no que diz respeito ao desenvolvimento e implantação dos Produtos e Serviços. O PNAP deve manter a segurança dos sistemas adequados para o Serviço do PNAP de acordo com os padrões e práticas comercialmente razoáveis ​​da indústria concebidos para proteger todos os dados e informações fornecidos por ou em nome do Cliente que são inseridos, exibidos ou processados ​​pelo Serviço do PNAP e todos os resultados deles (“Dados do cliente”) de roubo, divulgação não autorizada e acesso não autorizado. Essa segurança de sistemas inclui, entre outras coisas: (1) implementação de testes de vulnerabilidade de aplicativos e processos de mitigação; (2) direcionar todas as comunicações eletrônicas PNAP-Cliente por meio de um portal da web seguro, um compartilhamento de arquivos seguro ou e-mail criptografado; e (3) as seguintes salvaguardas:

  1. Autenticação
    • Todo o acesso é autenticado, a comunicação protegida usando as melhores práticas do setor e registrado.
    • A identidade do sistema é vinculada a um usuário individual pelo uso de credenciais e por um mecanismo de autenticação de segundo fator.
    • São fornecidos controles de autenticação razoáveis ​​em conformidade com os padrões reconhecidos da indústria.
  2. Autorização
    • Certifique-se de que os usuários autorizados só tenham permissão para executar ações dentro de seu nível de privilégio.
    • Controle o acesso a recursos protegidos com base na função ou nível de privilégio.
    • Mitigar e defender-se contra ataques de escalonamento de privilégios conforme viável, de acordo com os padrões de tecnologia e práticas recomendadas disponíveis.
  3. Gerenciamento de senha e conta
    • As senhas estão em conformidade com as práticas recomendadas, incluindo:
      • Criptografar senhas usando técnicas de “hashing” e “salting”.
      • Reforçando a complexidade da senha.
      • Limitando tentativas malsucedidas antes do bloqueio da conta.
      • Não permitindo o armazenamento e transmissão de senhas em texto não criptografado.
      • A redefinição de senha não envia credenciais.
    • Quando apropriado, o PNAP deve registrar com segurança (com hora e data) comandos que requerem privilégios adicionais para permitir uma trilha de auditoria completa das atividades.
  4. Data Security
    • Dados em repouso
      • Os dados do cliente são criptografados usando as melhores práticas do setor.
      • Backups de dados do cliente têm os mesmos controles que os dados de produção.
    • Dados em trânsito
      • Os dados do cliente em trânsito de ou para o cliente serão criptografados (por exemplo, SSL, VPN, SFTP, autenticação baseada em certificado).
    • Os dados do cliente enviados pelo navegador devem usar SSLv3 ou melhor.
  5. Múltiplos inquilinos
    • Em um ambiente multilocatário, o PNAP deve fornecer controles de segurança apropriados e métodos criptográficos robustos para proteger e isolar os dados do cliente de outros locatários.
  6. Acesso Administrativo e Segregação Ambiental
    • Aplicando o Princípio de Menor Privilégio: Controles adequados devem ser implementados para garantir que o acesso seja limitado ao pessoal que deve ver os Dados do Cliente para cumprir suas funções de trabalho.
    • Sempre que possível, os dados confidenciais devem ser mascarados com algoritmos de hash unilateral.
    • Os dados do cliente não devem ser replicados para ambientes de não produção.
  7. Gestão de Ameaças
    • Intrusion Detection
    • O PNAP deve implementar e manter um processo de monitoramento de detecção de intrusão na rede e no nível do host para proteger os serviços PNAP e detectar o tráfego de rede indesejado ou hostil. O PNAP deve atualizar seu software de detecção de intrusão continuamente, de forma programada, de acordo com a disponibilidade de atualizações pelo provedor de software escolhido. O PNAP deve implementar medidas para garantir que o PNAP seja alertado quando o sistema ou serviço detecta atividade incomum ou maliciosa. O PNAP notificará o Cliente dentro de vinte e quatro (24) horas de qualquer intrusão significativa que envolva uma violação dos dados do cliente.

    • Testes de Penetração
    • O PNAP deve realizar testes de penetração pelo menos uma vez por ano em seu ambiente de computação em todo o Cliente por meio de um Avaliador de Segurança Qualificado (QSA) terceirizado e descartar adequadamente os riscos identificados. Devido à natureza de alto risco desses relatórios, os relatórios e descobertas não serão divulgados publicamente ou disponibilizados para inspeção do cliente. No entanto, o PNAP disponibilizará, mediante solicitação, uma carta do QSA com a disposição satisfatória das preocupações com ameaças identificadas. Os clientes não serão autorizados a realizar varreduras de vulnerabilidade, avaliações ou testes de penetração na infraestrutura de serviço PNAP.

    • Segurança de Infraestrutura
    • PNAP deve configurar a infraestrutura (por exemplo, servers e dispositivos de rede) e plataformas (por exemplo, SO e web servers) para estar seguro seguindo estas práticas recomendadas:

      • Registro de auditoria: o cliente autoriza o PNAP a coletar, usar, armazenar, transferir, monitorar e processar registros de todos os sistemas inscritos no serviço PNAP. Esses tipos de registro incluem, mas não estão limitados a, registros de segurança, web server logs, logs de aplicativos, logs de sistema e logs de eventos de rede. O PNAP monitora suas redes 24 horas por dia, 7 dias por semana, usando as tecnologias mais recentes de SIEM e de análise comportamental. O Cliente reconhece que esses logs podem conter endereços IP de origem e destino, contas de usuário usadas, tentativas de senhas incorretas, entradas de cliques e telas e outros elementos de dados pessoalmente identificáveis.
      • Cópias duplicadas desses logs serão mantidas e uma cópia de arquivamento externa reduzirá o risco de perda devido à adulteração.
    • Rede de Segurança
      • O PNAP deve cumprir os padrões da indústria, separando as redes de perímetro dos terminais hospedados na rede privada usando firewalls padrão da indústria ou técnicas de microssegmentação baseadas em tecnologias de Rede Definida por Software. PNAP deve atualizar e manter sua infraestrutura usando uma manutenção padrão da indústria e metodologia de controle de mudanças.
      • O PNAP deve monitorar e testar seus dispositivos de perímetro em uma base regular e, se deficiências forem descobertas, o PNAP deverá prontamente solucionar e corrigir essas deficiências.
    • Gestão de Vulnerabilidades
    • Além das avaliações de vulnerabilidade de terceiros descritas acima, o PNAP deve implementar processos comercialmente razoáveis ​​projetados para proteger os Dados do Cliente de vulnerabilidades do sistema, incluindo:

      • Varredura de perímetro: o PNAP deve realizar varredura de perímetro por meio do uso de sensores embutidos na infraestrutura do PNAP, fornecendo informações para nossa ferramenta SIEM centralizada.
      • Varredura de infraestrutura interna: O PNAP deve realizar varredura de infraestrutura interna por meio do uso de sensores embutidos na infraestrutura do PNAP, fornecendo informações para nossa ferramenta SIEM centralizada.
      • Verificação de malware: Sempre que possível, o PNAP utiliza um comportamento avançado e uma ferramenta antivírus / antimalware (APT) baseada em assinatura, junto com técnicas de lista de permissões de aplicativos para proteger sua infraestrutura da ameaça de software malicioso não autorizado.
    • Configuração Segura
    • O PNAP utiliza uma metodologia padrão da indústria para fortalecimento da plataforma e configuração segura, a fim de reduzir o escopo e a superfície do ataque. Através do uso de técnicas de microssegmentação, a comunicação lateral é ainda mais restrita a pares e padrões de comunicação conhecidos.

  8. Procedimentos de Segurança
    • Resposta a Incidentes
    • O PNAP deve manter políticas e procedimentos de gerenciamento de incidentes de segurança, incluindo procedimentos detalhados de escalonamento de incidentes de segurança. Em caso de violação das obrigações de segurança ou confidencialidade do PNAP, afetando o ambiente ou os dados de um cliente, o PNAP concorda em notificar o (s) Cliente (s) afetado (s) por telefone e e-mail de tal evento dentro de vinte e quatro (24) horas após a descoberta. O PNAP também realizará prontamente uma investigação sobre a violação, tomará as medidas corretivas apropriadas e designará um Ponto Único de Contato (SPoC). Este SPoC ou seu designado, estará disponível para questões ou preocupações de segurança vinte e quatro (24) horas por dia, sete (7) dias por semana, no âmbito da investigação do PNAP.

    • Gerenciamento de Patch
    • PNAP deve usar um processo de gerenciamento de patch e conjunto de ferramentas para manter todos servers atualizado com patches de segurança e recursos apropriados.

    • Processo de Remediação Documentado
    • PNAP deve usar um processo de remediação documentado projetado para abordar atempadamente todas as ameaças e vulnerabilidades identificadas com relação ao serviço PNAP.

  9. Procedimentos de rescisão de funcionário
    • O PNAP deve encerrar imediatamente todas as credenciais e acesso a recursos de senha privilegiada, como sistemas de gerenciamento de identidade e acesso, após a rescisão do contrato de trabalho.
  10. Governance
    • Política de Segurança
    • O PNAP deve manter uma política de segurança da informação escrita que seja aprovada anualmente pelo PNAP e publicada e comunicada a todos os funcionários do PNAP e terceiros relevantes. O PNAP deve manter uma função de segurança e conformidade dedicada para projetar, manter e operar a segurança em apoio à sua “plataforma de confiança” em linha com os padrões da indústria. Esta função deve enfocar a integridade do sistema, aceitação de risco, análise e avaliação de risco, avaliação de risco, gestão de risco e declarações de tratamento de aplicabilidade e gestão PNAP.

    • Treinamento de segurança
    • O PNAP deve garantir, sem custo para o Cliente, que todos os funcionários e Clientes do PNAP concluam o treinamento relevante necessário para operacionalizar os procedimentos e práticas aqui descritos, incluindo treinamento de conscientização de segurança, pelo menos uma vez por ano.

    • Avaliações de segurança
    • O PNAP e o Cliente podem se reunir pelo menos uma vez por ano para discutir: (1) a eficácia da plataforma de segurança do PNAP; e (2) quaisquer atualizações, patches, correções, inovações ou outras melhorias feitas no sistema eletrônico data security por outros fornecedores comerciais ou para outros clientes do PNAP que o PNAP ou o Cliente acreditem que irão melhorar a eficácia da plataforma de segurança do PNAP para o Cliente.

    • Auditorias de terceiros e padrões de conformidade
      • O PNAP deve fornecer ao Cliente uma cópia do SOC2 ou resultados de auditoria semelhantes, em no máximo trinta (30) dias após o PNAP receber os resultados ou relatórios. O cliente tem o direito de, ou contratar um terceiro em seu nome, para visitar os escritórios do PNAP até quatro (4) vezes por ano civil, a fim de realizar procedimentos de auditoria e auditoria nas operações comerciais do PNAP relacionadas ao Serviço do PNAP em termos de infraestrutura técnica, interação de sistema, organização, qualidade, controle de qualidade, pessoal envolvido com serviços para o Cliente e recursos gerais em termos de habilidades e pessoal.
      • A PNAP fornecerá evidências de uma auditoria SSAE No. 18 bem-sucedida mediante solicitação do Cliente, na medida permitida por lei e sujeita às restrições regulatórias aplicáveis ​​e obrigações de confidencialidade. O PNAP deve verificar se a auditoria certifica toda a infraestrutura e aplicativos que suportam e fornecem serviços aos Dados do Cliente.
      • Conformidade com PCI-DSS
      • O PNAP deve manter políticas, práticas e procedimentos suficientes para cumprir com a Indústria de Cartões de Pagamento Data Security Padrão, como o mesmo pode ser alterado de tempos em tempos, no que diz respeito ao Serviço do PNAP.

      • Avaliações de Vulnerabilidade
      • O PNAP deve realizar avaliações de vulnerabilidade do aplicativo pelo menos anualmente. Essas avaliações serão conduzidas com um Avaliador de Segurança Qualificado (QSA) terceirizado. Devido à natureza de alto risco desses relatórios, os relatórios e descobertas não serão divulgados publicamente ou disponibilizados para inspeção do cliente. No entanto, o PNAP disponibilizará, mediante solicitação, uma carta do QSA com a disposição satisfatória das preocupações com ameaças identificadas. Os clientes não serão autorizados a realizar varreduras de vulnerabilidade, avaliações ou testes de penetração nas plataformas de aplicativos PNAP.

  11. Segurança física
  12. O PNAP deve limitar o acesso às suas instalações utilizadas na execução do Serviço do PNAP para funcionários e visitantes autorizados usando métodos de segurança física padrão da indústria comercialmente razoáveis. No mínimo, esses métodos devem incluir entradas de visitantes, cartões-chave de acesso restrito e bloqueios para funcionários; acesso limitado a server salas e arquivo backups; e sistemas de alarme contra roubo / intrusão.

  13. Continuidade nos Negócios
  14. O PNAP deve ter um plano de continuidade de negócios em vigor para o restabelecimento de processos e operações críticas do Serviço do PNAP no (s) local (is) a partir dos quais o Serviço do PNAP é prestado. O PNAP também deve ter um plano testado anualmente para ajudar o PNAP a reagir a um desastre de forma planejada e testada. O PNAP deve fornecer ao Cliente uma cópia de seu plano então vigente imediatamente após a solicitação por escrito do Cliente para o mesmo.

  15. Sistemas internos PNAP Backup Assistência Domiciliária
    • PNAP deve executar totalmente backups de sistemas internos e banco (s) de dados contendo Dados do Cliente pelo menos uma vez por dia, sem interrupção do Serviço PNAP. PNAP também deve fornecer armazenamento de arquivos fora do local em pelo menos uma base semanal de todos backups dos sistemas internos e banco de dados (s) contendo dados do cliente em segurança server(s) ou outra mídia segura comercialmente aceitável. Tais dados backupOs s serão criptografados, enviados para um local seguro a cada dia útil e armazenados / retidos por sete (7) anos.
    • A fim de se recuperar de um Incidente de falha do Datacenter, os dados de backup necessários serão replicados em pelo menos dois (2) geograficamente dispersos data centers em qualquer momento. Backup instantâneos podem ser enviados periodicamente para outro data center. A retenção de dados para um Incidente de falha no datacenter utilizará instantâneos de vinte e quatro (24) horas, quatorze (14) diariamente backupse três (3) mensais backups. Isto backup a política é projetada para oferecer suporte a uma recuperação parcial ou total do sistema de maneira conveniente.
  16. Direito de Auditoria
  17. O Cliente tem o direito de, ou contratar um terceiro em seu nome, para, às suas próprias custas, visitar os escritórios do PNAP uma vez por ano civil, a fim de realizar procedimentos de devida diligência e auditoria nas operações de negócios do PNAP relacionadas ao Serviço do PNAP em termos de infraestrutura técnica, interação de sistemas, organização, qualidade, controle de qualidade, pessoal envolvido com serviços para clientes e recursos gerais em termos de habilidades e pessoal. Compreendendo a natureza proprietária e de propriedade intelectual desse acesso, o Cliente se compromete a firmar e cumprir um Termo de Confidencialidade, e limitar a documentação ou retirada dessas informações das dependências do PNAP.

6. RESPONSABILIDADES DO CLIENTE

O Cliente deve documentar e relatar prontamente todos os erros ou malfuncionamentos de um sistema coberto por este acordo para o PNAP. A PNAP deve fornecer todas as peças sobressalentes e / ou outro hardware necessários para manter os equipamentos de sua propriedade necessários para o cumprimento de qualquer serviço sob este Anexo.

O Cliente não deve usar nada, seja tangível ou intangível, que seja pertinente e / ou fornecido por este contrato para qualquer finalidade ilegal ou para qualquer finalidade que seja proibida pela Política de Abuso de Rede e / ou Política de Uso Aceitável da PNAP, conforme publicado em seu site.

O cliente reconhece que PhoenixNAP o desempenho e a entrega dos Serviços dependem de: (A) Fornecimento do Cliente seguro e livre de riscos ao seu pessoal, instalações, equipamentos, hardware, rede e informações, e (B) tomada de decisão oportuna do Cliente e fornecimento oportuno e preciso e informações completas e assistência razoável, incluindo, concessão de aprovações ou permissões, como (A) e (B) são consideradas razoavelmente necessárias e razoavelmente solicitadas para PhoenixNAP para executar, entregar e / ou implementar os Serviços. O cliente irá prontamente obter e fornecer para PhoenixNAP quaisquer licenças, aprovações ou consentimentos necessários para PhoenixNAPdesempenho dos Serviços da. PhoenixNAP será dispensado do descumprimento de suas obrigações de acordo com este Adendo na medida em que tal falha for causada unicamente pelo atraso do Cliente no desempenho ou falha no desempenho de suas responsabilidades sob este MSA e / ou Ordem de Serviço / SOW.

7. DECLARAÇÃO DE TRABALHO; MATRIZ DE RESPONSABILIDADE

Uma Declaração de Trabalho ("SOW") e Matriz de Responsabilidade ("RM") deve ser usada para especificar as funções específicas, escopo, locais, resultados, padrões, atividades e requisitos gerais para qualquer Serviço de Segurança da Informação oferecido por PNAP a um Cliente .

8. ACORDO DE NÍVEL DE SERVIÇO (SLA)

Os seguintes PhoenixNAP O Acordo de Nível de Serviço ("SLA") é uma política que rege o uso dos Serviços de Segurança PNAP sob os termos do Acordo de Serviço Principal (o "MSA") entre PNAP, LLC. E Clientes de PNAP. Salvo disposição em contrário neste documento, este SLA está sujeito aos termos do MSA e os termos em letras maiúsculas terão o significado especificado no Contrato. Nós nos reservamos o direito de alterar os termos deste SLA de acordo com o MSA.

  1. Tipos de serviço, prioridade e tempos de resposta

  2. Prioridade


     Tempo de Reconhecimento


     Hora de Notificação

    Descrição

    Exemplos

    1. Prioridade (crítica)

    20 Minutos

    2 Horas

    Impacto significativo nos dados do negócio ou do cliente; o problema é de grande impacto e altamente visível para os negócios e / ou suas operações comerciais; não há solução alternativa disponível.

    DDoS difundido e prolongado

    Comprometimento de ativos críticos / perda de dados críticos

    Impactos nas marcas dos clientes (nas notícias)

    Perda de dados do cliente

    Atividade de malware relacionada à atividade de resgate (por exemplo, CryptoLocker)

    Interrupção do serviço de monitoramento de segurança

    2. Prioridade (alta)

    1 horas

    4 Horas

    Uma grande porcentagem da empresa é afetada; o problema é de alto impacto ou altamente visível para o cliente e / ou suas operações comerciais; uma solução experimentada e comprovada está disponível.

    Atividade contra indicadores de ameaças conhecidos

    Atividade de retorno de chamada de malware, ou comando e controle

    Compliance

    3. Prioridade (média)

    4 horas

    8 Horas

    Uma pequena porcentagem dos negócios do Cliente é afetada e / ou o problema tem visibilidade limitada. O sistema pode permanecer operacional, no entanto, de forma degradada e / ou uma solução alternativa testada e comprovada está disponível.

    Ofensores reincidentes

    Atividade de malware relacionada a atividades maliciosas conhecidas, mas com exposição limitada (por exemplo, Zeus, Coreboot)

    4. Prioridade (baixa)

    1 dia útil

    1 Dias

    O cliente ainda pode obter funcionalidade total e desempenho normal, desde que a solução alternativa seja seguida.

    Evidência de varreduras de portas ou outra atividade de reconhecimento

    Malware / spyware de baixo nível


  3. Compromisso de serviço
  4. O PNAP envidará esforços comercialmente razoáveis ​​para disponibilizar os Serviços de Segurança com uma Porcentagem de Tempo de Atividade Mensal de 100%, excluindo períodos de manutenção programados e pré-reconhecidos onde procedimentos alternativos estão em vigor para monitoramento contínuo. Conforme descrito na seção A: Tipos de serviço, prioridade e tempos de resposta, o PNAP, ao receber um alerta, irá "reconhecer" (por e-mail ou telefone), nos prazos descritos, o impacto do incidente e as ações que devem ser tomadas para mitigar a preocupação.

    Caso o PNAP não atenda ao compromisso de Percentual de Tempo de Atividade Mensal, o Cliente terá direito a receber um Crédito de Serviço conforme descrito abaixo.

  5. Créditos de serviço
  6. Se a porcentagem de tempo de atividade mensal para um cliente cair abaixo de 100% durante um mês de serviço, esse cliente é elegível para receber um (1) 10% de crédito de serviço, para cada período de trinta (30) minutos em que os serviços de segurança estavam indisponíveis, até um máximo valor igual ao faturamento de um mês inteiro. Para fins de determinação de Créditos de Serviço, o Cliente só será elegível para Créditos de Serviço relacionados à indisponibilidade de:

    1. InfraSentry: Monitorar serviço de detecção de ameaças
    2. InfraSentry: ferramentas de "Ameaça persistente avançada" relacionadas ao Sophos

    Qualquer que seja o Serviço que esteve menos disponível durante o mês do Serviço, o PNAP aplicará quaisquer Créditos de Serviço apenas contra pagamentos futuros devidos pelo Cliente, desde que:

    1. PNAP pode emitir o Crédito de Serviço para a conta do Cliente para o Mês de Serviço em que a Indisponibilidade ocorreu, e
    2. O Cliente está em dia com todas as obrigações de pagamento estabelecidas no Contrato.

    Os Créditos de Serviço não darão direito ao Cliente a qualquer reembolso ou outro pagamento do PNAP. Os créditos de serviço não podem ser transferidos ou aplicados a qualquer outra conta. Salvo disposição em contrário no Contrato, os Créditos de Serviço são o único e exclusivo recurso do Cliente para qualquer indisponibilidade ou não execução dos Serviços.

  7. Solicitação de crédito e procedimentos de pagamento
    Para receber um Crédito de Serviço, o Cliente deve enviar uma solicitação enviando uma mensagem de e-mail para noc @phoenixnap.com. Para ser elegível, o pedido de crédito deve:

    1. Incluir Solicitação de Crédito de Serviço de SLA no assunto da mensagem de e-mail;
    2. Incluir, no corpo do e-mail, o nome da Organização do Cliente ou ID do Cliente, juntamente com as datas, horas e duração de cada Período de Indisponibilidade que o Cliente afirma ter experimentado;
    3. Incluir qualquer documentação que corrobore a Indisponibilidade reivindicada pelo Cliente; e
    4. Ser recebido pela PNAP no prazo de trinta (30) dias corridos a partir do último dia informado no pedido de Indisponibilidade.

    Se a Porcentagem de Tempo de Atividade Mensal de tal solicitação for confirmada pelo PNAP e for inferior a 100% para o Mês de Serviço, então o PNAP emitirá o Crédito de Serviço para o Cliente dentro de um Mês de Serviço após o mês em que a solicitação foi confirmada. A falha do Cliente em fornecer a solicitação e outras informações conforme exigido acima desqualificará o Cliente de receber um Crédito de Serviço. Os dados e registros do PNAP serão o único fator de validação dos sinistros por Indisponibilidade.

  8. Não Inclui:
    O Compromisso de Serviço não se aplica a qualquer indisponibilidade, suspensão ou rescisão dos Serviços de Segurança ou quaisquer outros problemas de desempenho:

    1. Isso resulta das Suspensões de Serviço descritas nas seguintes seções do Contrato: Vigência e Rescisão, e Eventos e Recursos Inadimplentes;
    2. Causados ​​por fatores fora do controle razoável da PNAP, incluindo qualquer evento de força maior ou acesso à Internet ou problemas relacionados além do Ponto de Demarcação da Rede PNAP;
    3. Que resultem de quaisquer ações ou omissões do Cliente ou de terceiros;
    4. Que resulte de equipamento, software ou outra tecnologia do Cliente e / ou equipamento, software ou outra tecnologia de terceiros (que não seja equipamento de terceiros sob o controle direto do PNAP);
    5. Isso resulta de falhas de funções individuais, recursos, infraestrutura e indisponibilidade de conectividade de rede; ou
    6. Decorrente da suspensão e extinção do PNAP do direito do Cliente de utilizar os Serviços de Segurança nos termos do Contrato.

    Se a disponibilidade for afetada por outros fatores que não os explicitamente listados neste contrato, o PNAP poderá emitir um Crédito de Serviço considerando tais fatores a nosso exclusivo critério.

  9. Aviso Legal
    Se o PNAP não cumprir a meta do SLA devido a problemas com o comportamento do Cliente ou ao desempenho ou falha do equipamento, instalações ou aplicativos do Cliente, o PNAP não poderá dar crédito ao Cliente. Além disso, circunstâncias atenuantes além do controle razoável do PNAP, como (sem limitação) atos de qualquer órgão governamental, atos de terrorismo, guerra, insurreição, sabotagem, embargo, incêndio, inundação, greve ou outro distúrbio trabalhista, interrupção ou atraso no transporte, indisponibilidade de interrupção ou atraso em telecomunicações ou serviços de terceiros (incluindo propagação de DNS), falha de software ou hardware de terceiros ou incapacidade de obter matérias-primas, suprimentos ou energia usada ou equipamento necessário para o fornecimento de serviços do Cliente pode causar alguns travamentos pelo qual o PNAP não pode ser responsabilizado.

9. ISENÇÕES

  1. Sem garantia de produto
  2. PNAP não oferece garantias expressas ou implícitas de comercialização do produto ou adequação a qualquer propósito específico. Embora todos os serviços sejam projetados para serem resilientes, cabe ao cliente planejar os desastres e é sempre recomendável manter um local externo backup de dados críticos em caso de falha crítica ou desastre.

  3. Isenção de garantia
  4. PNAP NÃO SERÁ RESPONSÁVEL POR QUALQUER PERDA OU DANO CAUSADO POR UM ATAQUE DE NEGAÇÃO DE SERVIÇO DISTRIBUÍDO, VÍRUS OU OUTRO MATERIAL TECNOLOGICAMENTE NOCIVO QUE PODE INFECTAR SEU EQUIPAMENTO DE COMPUTADOR, PROGRAMAS DE COMPUTADOR, REDES DE DADOS OU OUTROS SERVIÇOS DE USO DE MATERIAL PROPRIEDADE , PHOENIX NAPSITE OU O SERVIÇO OU ITENS ADQUIRIDOS OU OBTIDOS ATRAVÉS DO SITE OU DO SERVIÇO OU PARA SEU DOWNLOAD DE QUALQUER MATERIAL PUBLICADO NELE, OU EM QUALQUER WEBSITE LINKADO A ELE. NENHUM PHOENIX NAP NEM QUALQUER PESSOA ASSOCIADA A PHOENIXNAP OFERECE QUALQUER GARANTIA OU REPRESENTAÇÃO A QUALQUER USUÁRIO COM RESPEITO À INTEGRIDADE, SEGURANÇA, CONFIABILIDADE, QUALIDADE, FUNCIONALIDADE OU DISPONIBILIDADE DOS SERVIÇOS. SEM LIMITAR O ACIMA, NEM PHOENIX NAP NEM QUALQUER UM ASSOCIADO COM PHOENIXNAP REPRESENTA OU GARANTE QUE O SERVIÇO SERÁ CONFIÁVEL, LIVRE DE ERROS, À PROVA DE INTRUSÃO OU ININTERRUPTO, QUE OS DEFEITOS SERÃO CORRIGIDOS, LIVRES DE VÍRUS OU OUTROS COMPONENTES PREJUDICIAIS OU QUE OS SERVIÇOS DE OUTRA FORMA ATENDERÃO ÀS NECESSIDADES OU EXPECTATIVAS DO USUÁRIO. EXCETO PARA A GARANTIA ESTABELECIDA ACIMA, PHOENIXNAP FORNECE O SERVIÇO E TUDO “COMO ESTÁ” E “CONFORME DISPONÍVEL”, SEM NENHUMA GARANTIA. PHOENIX NAP AQUI SE ISENTA DE TODAS AS GARANTIAS DE QUALQUER TIPO, EXPRESSAS OU IMPLÍCITAS, ESTATUTÁRIAS OU DE OUTRA FORMA, INCLUINDO, MAS NÃO SE LIMITANDO A QUAISQUER GARANTIAS DE COMERCIALIZAÇÃO, NÃO VIOLAÇÃO E ADEQUAÇÃO A UM DETERMINADO FIM.

    PHOENIX NAPA RESPONSABILIDADE AGREGADA (SEJA PELO CONTRATO, PRAZO OU DE OUTRA FORMA) PARA TODAS AS REIVINDICAÇÕES DE RESPONSABILIDADE DECORRENTES DE, OU EM RELAÇÃO A, O CONTRATO NÃO EXCEDERÁ OS MONTANTES PAGOS PELO CLIENTE PELOS SERVIÇOS QUE DEVEM A UMA REIVINDICAÇÃO DE RESPONSABILIDADE. O ACIMA MENCIONADO NÃO AFETA NENHUMA GARANTIA QUE NÃO PODE SER EXCLUÍDA OU LIMITADA SOB A LEI APLICÁVEL. ESTA SEÇÃO SOBREVIVERÁ A QUALQUER EXPIRAÇÃO OU RESCISÃO DO CONTRATO.

    EM NENHUMA HIPÓTESE VAI PHOENIX NAP, SUAS AFILIADAS OU SEUS LICENCIADORES, PRESTADORES DE SERVIÇOS, FUNCIONÁRIOS, AGENTES, DIRETORES OU DIRETORES SÃO RESPONSÁVEIS POR DANOS DE QUALQUER TIPO, SOB QUALQUER TEORIA LEGAL, DECORRENTES DE OU EM CONEXÃO COM SEU USO, OU INCAPACIDADE DE USAR OS SERVIÇOS OU QUAISQUER WEBSITES ASSOCIADO A ELE, INCLUINDO QUAISQUER DANOS DIRETOS, INDIRETOS, ESPECIAIS, INCIDENTAIS, CONSEQÜENCIAIS OU PUNITIVOS, INCLUINDO, MAS NÃO SE LIMITANDO A, LESÃO PESSOAL, DOR E SOFRIMENTO, PERDAS EMOCIONAIS, PERDA DE RECEITAS, PERDA DE LUCROS DE NEGÓCIO, PERDA DE USO, PERDA DE BOA VONTADE, PERDA DE DADOS, E SEJA CAUSADA POR DELITO (INCLUINDO NEGLIGÊNCIA), VIOLAÇÃO DE CONTRATO OU DE OUTRA FORMA, MESMO SE PREVISÍVEL. O ACIMA MENCIONADO NÃO AFETA NENHUMA RESPONSABILIDADE QUE NÃO POSSA SER EXCLUÍDA OU LIMITADA PELA LEI APLICÁVEL.

  5. Limitação no tempo para registrar reivindicações
  6. Qualquer causa de ação ou reclamação que Você possa ter decorrente de ou relacionada a estes termos de uso, o serviço ou o site deve ser iniciado dentro de um (1) ano após a causa da ação acumular, caso contrário, essa causa de ação ou reclamação é barrado permanentemente.

  7. Aviso de Perda
  8. PNAP não se responsabiliza por qualquer perda ou corrupção de dados. Os clientes são sempre incentivados a reter uma cópia dos dados. Em caso de perda, destruição ou dano aos dados do Cliente, o PNAP fornecerá notificação ao Cliente via e-mail para um endereço fornecido pelo Cliente. O cliente deve garantir que o endereço de e-mail é válido.

10. CONSENTIMENTO

Ao entrar neste Acordo e usando os Serviços, o Cliente consente e, por meio deste, concorda que Phoenix NAP pode acessar as redes e sistemas de computador do Cliente, incluindo o acesso e uso, divulgação, interceptação, transmissão, recebimento, análise, processamento, cópia, edição, criptografia, descriptografia e armazenamento de informações do Cliente e de seus funcionários, agentes e aqueles que autoriza usar os Serviços, criptografados ou em texto não criptografado ("Informações do Cliente") com a finalidade de fornecer os Serviços, incluindo, sem limitação, analisar o tráfego de rede do Cliente e para armazenamento e retenção de Informações do Cliente para referência e análise futura. O Cliente declara e garante que cumpre todas as leis e regulamentos aplicáveis ​​de recolha e transferência de dados dos países em que opera e que obteve devidamente todos os consentimentos, autorizações ou licenças, por escrito ou eletronicamente, que possam ser necessários ao abrigo das leis aplicáveis ​​do seu funcionários, agentes e aqueles que autoriza a usar os Serviços para habilitar Phoenix NAP para fornecer os Serviços nos termos do Contrato. Antes de usar os Serviços, ou em qualquer outro momento razoavelmente determinado por Phoenix NAP, O cliente fornecerá Phoenix NAP cópias verdadeiras e corretas de tais consentimentos.

11. INDENIZAÇÃO

O cliente deve defender, indenizar e isentar de responsabilidade o Phoenix NAP Partes indenizadas de e contra quaisquer danos, ordens, decretos, julgamentos, responsabilidades, reivindicações, ações, ações judiciais, custos e despesas (incluindo, sem limitação, custos de litígios e honorários advocatícios) ("Reivindicações") incorridas pelo Phoenix NAP Partes indenizadas ou finalmente julgadas contra o Phoenix NAP Partes Indenizadas decorrentes de ou resultantes de: (i) violação de direitos de propriedade intelectual, incluindo, sem limitação, direitos autorais, marcas registradas, segredos comerciais, patentes e direitos consuetudinários em conexão com as Informações do Cliente, redes ou sistemas de computador; (ii) violação das leis ou políticas aplicáveis ​​pelo Cliente, incluindo, sem limitação, em conexão com as Informações do Cliente, redes ou sistemas de computador; (iii) falha do Cliente em garantir todos os consentimentos, autorizações e licenças necessárias, incluindo, sem limitação, em conexão com as Informações do Cliente, redes ou sistemas de computador; (iv) violação da garantia pelo Cliente; (v) violação deste Acordo pelo Cliente; (vi) uso dos Serviços pelo Cliente ou Afiliadas do Cliente; (vii) negligência, má conduta intencional ou outros atos ilícitos ou omissões por parte do Cliente; e (viii) Reivindicações alegando que Phoenix NAP não estava autorizada a fornecer os Serviços solicitados pelo Cliente.

Esta Seção estabelece os recursos exclusivos de cada parte para qualquer reclamação ou ação de terceiros, e nada neste Acordo ou em qualquer outro lugar obrigará qualquer uma das partes a fornecer qualquer indenização maior à outra.

12. SUBCONTRATAÇÃO

Phoenix NAP pode atribuir, subcontratar ou delegar no todo ou em parte este Acordo, ou quaisquer direitos, deveres, obrigações ou responsabilidades nos termos deste Acordo, por força de lei ou de outra forma, desde que Phoenix NAP permanecerá responsável pela execução dos Serviços nos termos deste Contrato. Caso contrário, nenhuma das partes pode atribuir este Contrato sem a permissão da outra parte, permissão essa que não deve ser negada, condicionada ou atrasada injustificadamente.

13. TAXAS

As subseções desta seção definem os encargos e taxas recorrentes e não recorrentes de acordo com esta programação.

  1. TAXAS MENSAIS RECORRENTES
  2. As taxas mensais iniciais recorrentes são as taxas mensais iniciais cobradas para esta programação. Esta taxa pode ser modificada por acordo mútuo entre o Cliente e o Provedor com base nas alterações nas configurações iniciais, dispositivos cobertos ou outras variáveis ​​de ambiente semelhantes.

  3. TAXAS DE SERVIÇO NÃO RECORRENTES
  4. Os serviços e taxas não recorrentes associados a este Cronograma incluem, mas não estão limitados a quaisquer taxas fora do escopo e / ou taxas para qualquer trabalho associado e outros serviços fornecidos sob uma Declaração de Trabalho ou para a migração / instalação / implementação do ambiente de produção do Cliente de seu estado atual para o Provedor Cloud/ Ambiente de hospedagem ou para outros fins acordados pelo Provedor e pelo Cliente, incluindo, mas não se limitando a, aqueles definidos em uma Declaração de Trabalho como uma única vez ou taxas ou serviços não recorrentes criados no momento ou após a execução de este acordo.

  5. TAXAS DE CONFIGURAÇÃO INICIAL
  6. As taxas e encargos de configuração inicial para esta Programação são as taxas não recorrentes únicas associadas à configuração inicial dos serviços do Cliente. Esta taxa pode ser modificada por acordo mútuo do Cliente e do Provedor com base nas alterações nas configurações iniciais, escopo, dispositivos cobertos ou outras variáveis ​​de ambiente semelhantes. As taxas de configuração inicial não incluem as taxas de migração de dados. As taxas de migração de dados serão especificadas e cobertas por uma declaração de trabalho ou projeto separada.

v.2; 11152021