Addendum sur les services de sécurité

1. INTRODUCTION

L'offre de services de sécurité par Phoenix NAP fournit aux clients une solution de sécurité des informations évolutive, capable de détecter et de notifier les menaces de sécurité potentielles contre l'environnement d'un client. Cet ensemble propriétaire de systèmes et de processus utilise du matériel, des logiciels et des professionnels de la sécurité de pointe pour observer et surveiller le (s) réseau (s) client, les points de terminaison et autres événements associés afin de détecter les actions anormales et les menaces de sécurité.

2. ACCORD

Cet addendum sur les services de sécurité («SSA») énonce les termes et conditions spécifiques sous lesquels Phoenix NAP («PNAP») fournira des services de sécurité de l'information au client. Le contrat de service principal conclu entre PNAP et le client, incorpore pleinement les termes des présentes et stipule que ce SSA et l'exécution par le client du contrat de service principal constituent l'acceptation des termes et conditions énoncés dans les présentes. Les termes en majuscules utilisés mais non définis dans les présentes auront la signification indiquée dans le Contrat-cadre de services. La durée initiale de la durée de ce service est indiquée sur le bon de commande de service («SOF») applicable, exécuté par PNAP et le client, faisant référence à ces services. Tel que mentionné dans les présentes, «Accord» désigne cet Addendum sur les services de sécurité, ainsi que le MSA et toutes les politiques et addenda qui y sont incorporés par référence, y compris l'énoncé des travaux (SOW), la matrice de responsabilité («RM»), l'accord de niveau de service (SLA), politique d'utilisation acceptable («AUP») et politique de confidentialité («PP»). Cet accord définit les termes et conditions qui s'appliquent à l'addendum sur les services de sécurité.

3. DISPOSITIONS GÉNÉRALES

PNAP examinera la plate-forme de réseau informatique actuelle du client, son hébergement et data security exigences dans la mesure où le Client a fourni un accès PNAP, et confirme que le (s) Service (s) convenu (s) peuvent interagir et fonctionner avec la plateforme du Client et fournir un environnement sécurisé conformément aux spécifications et conformément aux normes de l'industrie énoncées dans le sur l'énoncé des travaux (EDT).

Si l'accord entre PNAP et le Client est résilié ou expire, le Client aura la possibilité soit de renouveler l'accord, soit de remplacer les Services de sécurité PNAP par un fournisseur tiers de son choix. Sur demande, PNAP entreprendra des efforts commercialement raisonnables pour faire la transition du Client vers le nouveau fournisseur aussi rapidement, économiquement et efficacement que possible et, si possible, le fera de manière à assurer la transition la plus transparente et la plus sûre avec un minimum d'interruptions d'activité pour le Client.

4. SERVICES ET CARACTÉRISTIQUES

Service Description
Plateforme de gestion des menaces Cette offre de produit utilise les journaux d'événements de sécurité fournis par le client provenant de différentes sources (telles que les pare-feu, les commutateurs et servers) et corrèle ces journaux avec les signatures de menaces et les analyses comportementales pour identifier les activités susceptibles de signaler aux opérateurs un événement de menace potentiel. Ces modèles de comportement des menaces sont collectés et mis à jour en fonction des flux de renseignements sur les menaces souscrits par l'industrie, des renseignements exclusifs sur les menaces ou d'autres données fournies par le client.
Gestion des correctifs Cette offre est le processus d'utilisation d'un outil automatisé pour analyser régulièrement les systèmes par rapport à une liste connue de correctifs de système d'exploitation, de correctifs et/ou de mises à jour disponibles afin de déterminer s'ils doivent être appliqués sur ces systèmes. Si les analyses déterminent que des correctifs sont nécessaires, la solution de gestion des correctifs identifiera le correctif et planifiera l'installation du correctif via un processus de contrôle des modifications. La portée de ce produit est limitée aux systèmes d'exploitation actuellement pris en charge par PNAP.
Récupération de l'environnement critique Le composant de récupération de l'environnement critique du service utilisera les mêmes services de récupération après sinistre déjà fournis par PNAP via ses autres offres de services. La récupération de l'environnement critique sera un composant obligatoire de toutes les offres et packages de services de sécurité, mais sa portée sera limitée au client servers définis dans l'énoncé des travaux (EDT) convenu.
Gestion des commutateurs de pare-feu De nombreuses organisations n'ont pas les compétences et / ou l'expertise sur les meilleures pratiques du secteur pour gérer correctement leurs pare-feu et commutateurs. En particulier pour les entreprises utilisant des pare-feu de couche 7 plus avancés, le personnel interne peut ne pas avoir la formation ou les ressources nécessaires pour entretenir et surveiller efficacement ces appareils tels qu'ils ont été conçus. De plus, lorsque les administrateurs internes apportent des modifications à leurs pare-feu et commutateurs, ils le font souvent sans conserver un historique adéquat des modifications, et ne disposent donc pas de la documentation appropriée requise pour des raisons de conformité. L'offre de gestion des pare-feu / commutateurs de PNAP comprendra à la fois la gestion appropriée des pare-feu et des commutateurs, ainsi que la documentation nécessaire, y compris la gestion et le suivi de l'authentification pour les utilisateurs apportant des modifications, ainsi que le suivi des configurations précédentes pour permettre la restauration. des changements si nécessaire.
Évaluation de la Vulnérabilité : L'offre d'évaluation de la vulnérabilité analyse les réseaux internes et externes approuvés par le client à l'aide d'outils automatisés qui utilisent des vecteurs de menace connus pour tester les vulnérabilités. Dans les cas où les services d'un fournisseur de numérisation certifié sont nécessaires, PNAP engagera l'un de ses partenaires pour effectuer ces services en leur nom, à une fréquence pré-négociée comme convenu avec le client et ses exigences de conformité.
Suivi de la performance La surveillance des performances comprend des rapports sur les tendances de performance, une surveillance proactive des alertes et la réalisation d'analyses sur les mesures de performance; tels que la fréquence de montée / descente et l'utilisation de la bande passante, les processeurs, la mémoire et l'utilisation du stockage. La méthode et la fréquence des rapports seront définies dans l'énoncé des travaux (EDT) associé.
Sécurité des points finaux Le service de sécurité End Point gère la sécurité des server et les appareils des utilisateurs finaux, tels que les postes de travail PC et les ordinateurs portables, en utilisant un logiciel anti-malware. Cette offre de service surveillera, maintiendra et gérera les agents de point de terminaison, en s'assurant qu'ils sont à jour et fonctionnels.

5. MEILLEURES PRATIQUES

PNAP mettra en œuvre les meilleures pratiques suivantes en ce qui concerne le développement et le déploiement des Produits et Services. PNAP doit maintenir la sécurité des systèmes appropriée pour le service de PNAP conformément aux normes et pratiques de l'industrie commercialement raisonnables conçues pour protéger toutes les données et informations fournies par ou au nom du client qui sont saisies, affichées sur ou traitées par le service de PNAP et toutes les sorties de celui-ci. (« Données client ») contre le vol, la divulgation non autorisée et l'accès non autorisé. La sécurité de ces systèmes comprend, entre autres : (1) la mise en œuvre de tests de vulnérabilité des applications et de processus d'atténuation ; (2) diriger toutes les communications électroniques PNAP-Client via un portail Web sécurisé, un partage de fichiers sécurisé ou un courrier électronique crypté ; et (3) les garanties suivantes :

  1. Authentification
    • Tous les accès sont authentifiés, la communication sécurisée à l'aide des meilleures pratiques de l'industrie et journalisée.
    • L'identité des systèmes est liée à un utilisateur individuel par l'utilisation d'informations d'identification et par un mécanisme d'authentification à second facteur.
    • Des contrôles d'authentification raisonnables conformes aux normes reconnues par l'industrie sont fournis.
  2. Autorisation
    • Assurez-vous que les utilisateurs autorisés ne sont autorisés à effectuer des actions que dans le cadre de leur niveau de privilège.
    • Contrôlez l'accès aux ressources protégées en fonction du rôle ou du niveau de privilège.
    • Atténuez et protégez-vous contre les attaques d'escalade de privilèges dans la mesure du possible, conformément aux normes technologiques disponibles et aux meilleures pratiques.
  3. Gestion des mots de passe et des comptes
    • Les mots de passe sont conformes aux meilleures pratiques, notamment:
      • Crypter les mots de passe à l'aide des techniques de «hachage» et de «salage».
      • Application de la complexité des mots de passe.
      • Limitation des tentatives infructueuses avant le verrouillage du compte.
      • Ne pas autoriser le stockage et la transmission des mots de passe en texte clair.
      • La réinitialisation du mot de passe n'envoie pas les informations d'identification.
    • Le cas échéant, le PNAP doit enregistrer en toute sécurité (avec l'heure et la date) les commandes nécessitant des privilèges supplémentaires pour permettre une piste d'audit complète des activités.
  4. Data Security
    • Données au repos
      • Les données client sont chiffrées selon les meilleures pratiques du secteur.
      • Backups des données client ont les mêmes contrôles que les données de production.
    • Données en transit
      • Les données client en transit vers ou depuis le client seront cryptées (par exemple, SSL, VPN, SFTP, authentification par certificat).
    • Les données client envoyées via le navigateur doivent utiliser SSLv3 ou mieux.
  5. Multi-comptes
    • Dans un environnement multi-locataires, PNAP doit fournir des contrôles de sécurité appropriés et des méthodes cryptographiques robustes pour protéger et isoler les données client des autres locataires.
  6. Accès administratif et ségrégation environnementale
    • Application du principe du moindre privilège : des contrôles appropriés doivent être mis en place pour garantir que l'accès est limité au personnel qui doit voir les données client afin de remplir ses fonctions.
    • Dans la mesure du possible, les données confidentielles doivent être masquées avec des algorithmes de hachage unidirectionnels.
    • Les données client ne doivent pas être répliquées dans des environnements hors production.
  7. Gestion des menaces
    • Détection d'intrusion

      • PNAP doit mettre en œuvre et maintenir un processus de surveillance de détection d'intrusion au niveau du réseau et de l'hôte pour protéger les services PNAP et détecter le trafic réseau indésirable ou hostile. Le PNAP mettra à jour son logiciel de détection d'intrusion en continu, de manière programmée suivant la disponibilité des mises à jour par le fournisseur de logiciel choisi. PNAP doit mettre en œuvre des mesures pour s'assurer que PNAP est alerté lorsque le système ou le service détecte une activité inhabituelle ou malveillante. PNAP informera le Client dans les vingt-quatre (24) heures de toute intrusion significative impliquant une violation des données du client.

    • Tests de pénétration

      • PNAP effectuera des tests d'intrusion au moins une fois par an sur son environnement informatique à l'échelle du client par l'intermédiaire d'un évaluateur de sécurité qualifié (QSA) tiers et éliminera de manière appropriée les risques identifiés. En raison de la nature à haut risque de ces rapports, les rapports et les conclusions ne seront pas divulgués publiquement, ni mis à disposition pour inspection par le client. Le PNAP mettra cependant à disposition, sur demande, une lettre de la QSA indiquant une résolution satisfaisante des problèmes de menace identifiés. Les clients ne seront pas autorisés à effectuer des analyses de vulnérabilité, des évaluations ou des tests de pénétration sur l'infrastructure de service PNAP.

    • Sécurité de l'infrastructure

      • Le PNAP doit configurer l'infrastructure (par exemple, servers et périphériques réseau) et plates-formes (p. ex., OS et Web servers) pour être sécurisé en suivant ces meilleures pratiques:

      • Journalisation d'audit : le client autorise PNAP à collecter, utiliser, stocker, transférer, surveiller et traiter les journaux de tous les systèmes abonnés au service de PNAP. Ces types de journaux incluent, sans s'y limiter, les journaux de sécurité, server journaux, journaux d'application, journaux système et journaux d'événements réseau. PNAP surveille ses réseaux 24h/7 et XNUMXj/XNUMX en utilisant les dernières technologies SIEM et d'analyse comportementale. Le Client reconnaît que ces journaux peuvent contenir des adresses IP source et de destination, des comptes d'utilisateurs utilisés, des tentatives de mauvais mots de passe, des entrées de clic et d'écran et d'autres éléments de données personnellement identifiables.
      • Des copies en double de ces journaux seront conservées et une copie d'archivage hors site réduira le risque de perte due à la falsification.
    • Network Security
      • Le PNAP doit se conformer aux normes de l'industrie, séparant les réseaux de périmètre des points d'extrémité hébergés dans le réseau privé à l'aide de pare-feu standard de l'industrie ou de techniques de micro-segmentation basées sur des technologies de réseau défini par logiciel. Le PNAP mettra à jour et maintiendra son infrastructure en utilisant une méthodologie standard de maintenance et de contrôle des modifications.
      • Le PNAP surveillera et testera régulièrement ses dispositifs de périmètre et, si des défaillances sont découvertes, le PNAP devra rapidement dépanner et remédier à ces défaillances.
    • Gestion de la vulnérabilité

      • En plus des évaluations de vulnérabilité tierces décrites ci-dessus, PNAP doit mettre en œuvre des processus commercialement raisonnables conçus pour protéger les données client des vulnérabilités du système, notamment :

      • Balayage du périmètre: PNAP effectuera un balayage du périmètre grâce à l'utilisation de capteurs intégrés dans l'infrastructure de PNAP fournissant des informations à notre outil SIEM centralisé.
      • Analyse de l'infrastructure interne: PNAP effectuera une analyse de l'infrastructure interne grâce à l'utilisation de capteurs intégrés dans l'infrastructure de PNAP fournissant des informations à notre outil SIEM centralisé.
      • Analyse des logiciels malveillants: lorsque cela est possible, PNAP utilise un outil antivirus / anti-malware (APT) avancé basé sur le comportement et les signatures, ainsi que des techniques de liste blanche d'applications pour protéger son infrastructure contre la menace de logiciels malveillants non autorisés.
    • Configuration sécurisée

      • PNAP utilise une méthodologie standard de l'industrie pour le renforcement de la plate-forme et la configuration sécurisée, afin de réduire la portée et la surface des attaques. Grâce à l'utilisation de techniques de micro-segmentation, la communication latérale est en outre restreinte aux paires et modèles de communication connus.

  8. Procédures de sécurité
    • Réponse aux incidents

      • Le PNAP doit maintenir des politiques et des procédures de gestion des incidents de sécurité, y compris des procédures détaillées d'escalade des incidents de sécurité. En cas de manquement aux obligations de sécurité ou de confidentialité de PNAP, impactant l'environnement ou les données d'un client, PNAP s'engage à informer le (s) Client (s) concerné (s) par téléphone et e-mail d'un tel événement dans les vingt-quatre (24) heures suivant sa découverte. Le PNAP mènera également rapidement une enquête sur la violation, prendra les mesures correctives appropriées et désignera un point de contact unique (SPoC). Ce SPoC ou son délégué, sera disponible pour des questions de sécurité ou des préoccupations vingt-quatre (24) heures par jour, sept (7) jours par semaine, pendant la durée de l'enquête du PNAP.

    • Gestion des correctifs

      • PNAP doit utiliser un processus de gestion des correctifs et un ensemble d'outils pour servers à jour avec les correctifs de sécurité et de fonctionnalités appropriés.

    • Processus d'assainissement documenté

      • Le PNAP doit utiliser un processus de correction documenté conçu pour traiter en temps opportun toutes les menaces et vulnérabilités identifiées en ce qui concerne le service PNAP.

  9. Procédures de licenciement des employés
    • PNAP mettra rapidement fin à toutes les informations d'identification et à l'accès aux fonctions de mot de passe privilégiées, telles que les systèmes de gestion des identités et des accès, lors de la cessation d'emploi.
  10. Gouvernance
    • Politique de sécurité

      • PNAP doit maintenir une politique écrite de sécurité des informations qui est approuvée chaque année par PNAP et publiée et communiquée à tous les employés de PNAP et aux tiers concernés. PNAP doit maintenir une fonction de sécurité et de conformité dédiée pour concevoir, maintenir et exploiter la sécurité à l'appui de sa « plate-forme de confiance » conformément aux normes de l'industrie. Cette fonction se concentrera sur l'intégrité du système, l'acceptation des risques, l'analyse et l'évaluation des risques, l'évaluation des risques, la gestion des risques et les déclarations d'applicabilité du traitement et la gestion du PNAP.

    • Formation à la sécurité

      • PNAP s'assurera, sans frais pour le client, que tous les employés et clients de PNAP suivent la formation pertinente requise pour opérationnaliser les procédures et les pratiques décrites ici, y compris la formation de sensibilisation à la sécurité, au moins une fois par an.

    • Examens de sécurité

      • Le PNAP et le Client peuvent se rencontrer au moins une fois par an pour discuter: (1) de l'efficacité de la plateforme de sécurité du PNAP; et (2) toutes mises à jour, correctifs, correctifs, innovations ou autres améliorations apportées à data security par d'autres fournisseurs commerciaux ou pour d'autres clients de PNAP qui, selon PNAP ou le client, améliorera l'efficacité de la plate-forme de sécurité du PNAP pour le client.

    • Audits tiers et normes de conformité
      • PNAP fournira au Client une copie du SOC2 ou des résultats d'audit similaires, dans un délai maximum de trente (30) jours après la réception des résultats ou des rapports par PNAP. Le client a le droit de, ou d'engager un tiers en son nom pour, visiter les bureaux de PNAP jusqu'à quatre (4) fois par année civile afin de mener des procédures de diligence raisonnable et d'audit sur les opérations commerciales de PNAP liées au service de PNAP en termes de l'infrastructure technique, de l'interaction du système, de l'organisation, de la qualité, du contrôle de la qualité, du personnel impliqué dans les services pour le client et des ressources générales en termes de compétences et de personnel.
      • PNAP fournira la preuve d'un audit SSAE n ° 18 réussi à la demande du Client dans la mesure permise par la loi et sous réserve des restrictions réglementaires applicables et des obligations de confidentialité. PNAP doit vérifier que l'audit certifie toutes les infrastructures et applications qui prennent en charge et fournissent des services aux données client.
      • Conformité PCI-DSS

        • Le PNAP doit maintenir des politiques, pratiques et procédures suffisantes pour se conformer à l'industrie des cartes de paiement Data Security Norme, telle qu'elle peut être modifiée de temps à autre, en ce qui concerne le service du PNAP.

      • Évaluations de la vulnérabilité

        • Le PNAP effectuera des évaluations de la vulnérabilité des applications au moins une fois par an. Ces évaluations seront menées avec un évaluateur de sécurité qualifié (QSA) tiers. En raison de la nature à haut risque de ces rapports, les rapports et les résultats ne seront pas rendus publics ni mis à la disposition du client pour inspection. Le PNAP mettra cependant à disposition, sur demande, une lettre de l'AQ de la résolution satisfaisante des menaces identifiées. Les clients ne seront pas autorisés à effectuer des analyses de vulnérabilité, des évaluations ou des tests de pénétration sur les plates-formes d'application PNAP.

  11. Sûreté Matérielle

    12. PNAP limitera l'accès à ses installations utilisées dans l'exécution du service de PNAP aux employés et aux visiteurs autorisés en utilisant des méthodes de sécurité physique standard de l'industrie commercialement raisonnables. Au minimum, ces méthodes doivent inclure les inscriptions des visiteurs, les cartes-clés à accès restreint et les serrures pour les employés ; accès limité à server salles et archives backups; et les systèmes d'alarme antivol / intrusion.

  12. Continuité d'Activité

    13. Le PNAP doit mettre en place un plan de continuité des activités pour la restauration des processus et des opérations critiques du service du PNAP sur le(s) emplacement(s) à partir duquel le service du PNAP est fourni. Le PNAP doit également mettre en place un plan testé chaque année pour aider le PNAP à réagir à une catastrophe de manière planifiée et testée. PNAP fournira au client une copie de son plan alors en vigueur dans les plus brefs délais après la demande écrite du client à ce sujet.

  13. Systèmes internes PNAP Backup Gestion
    • PNAP doit exécuter pleinement backups de systèmes internes et de bases de données contenant des données client au moins une fois par jour sans interruption du service PNAP. Le PNAP doit également fournir un stockage d'archives hors site au moins une fois par semaine de tous les backups des systèmes internes et base (s) de données contenant les données client sur server(s) ou d'autres supports sécurisés commercialement acceptables. De telles données backupLes s seront cryptés, envoyés hors site à un endroit sécurisé chaque jour ouvrable et stockés / conservés pendant sept (7) ans.
    • Afin de récupérer après un incident de défaillance du centre de données, les données sauvegardées requises seront répliquées sur au moins deux (2) géographiquement dispersées data centers à tout moment. Backup des instantanés peuvent être envoyés périodiquement à un autre data center. La conservation des données pour un incident de panne dans le centre de données utilisera vingt-quatre (24) instantanés toutes les heures, quatorze (14) par jour backups et trois (3) mois backups. Ce backup la politique est conçue pour prendre en charge à la fois une récupération partielle ou totale du système de manière appropriée.
  14. Droit de vérification

    15. Le client a le droit de, ou d'engager un tiers en son nom pour, à ses propres frais, visiter les bureaux de PNAP une fois par année civile afin de mener des procédures de diligence raisonnable et d'audit sur les opérations commerciales de PNAP liées au service du PNAP en termes de infrastructure technique, interaction des systèmes, organisation, qualité, contrôle qualité, personnel impliqué dans les services aux clients et ressources générales en termes de compétences et de personnel. Comprenant la nature exclusive et la propriété intellectuelle de cet accès, le Client accepte d'exécuter et de respecter un accord de non-divulgation et de limiter la documentation ou la suppression de ces informations des locaux de PNAP.

6. RESPONSABILITÉS DU CLIENT

Le client doit documenter et signaler rapidement toutes les erreurs ou dysfonctionnements d'un système couvert par le présent contrat à PNAP. PNAP fournira toutes les pièces de rechange et / ou tout autre matériel nécessaires pour entretenir l'équipement dont il est propriétaire et nécessaire à l'exécution de tout service en vertu de la présente annexe.

Le client ne doit pas utiliser quoi que ce soit, tangible ou intangible, qui est apparenté à et / ou fourni par cet accord à des fins illégales ou à des fins interdites par la politique d'abus de réseau de PNAP et / ou la politique d'utilisation acceptable telle que publiée sur son site Web.

Le client reconnaît que PhoenixNAP la performance et la livraison des services dépendent: (A) du fait que le client fournit un accès sûr et sans danger à son personnel, ses installations, son équipement, son matériel, son réseau et ses informations, et (B) la prise de décision et la fourniture en temps opportun par le client de et des informations complètes et une assistance raisonnable, y compris l'octroi d'approbations ou d'autorisations, car (A) et (B) sont jugés raisonnablement nécessaires et raisonnablement demandés pour PhoenixNAP pour exécuter, fournir et / ou mettre en œuvre les Services. Le client obtiendra et fournira rapidement PhoenixNAP toutes les licences, approbations ou consentements nécessaires pour PhoenixNAPla performance des Services. PhoenixNAP sera dispensé de son manquement à ses obligations en vertu du présent Addendum dans la mesure où un tel manquement est causé uniquement par le retard du Client dans l'exécution ou le manquement à ses responsabilités en vertu du présent MSA et / ou de la Commande de service / EDT.

7. ÉNONCÉ DES TRAVAUX; MATRICE DE RESPONSABILITÉ

Un énoncé des travaux (« SOW ») et une matrice de responsabilité (« RM ») doivent être utilisés pour spécifier les tâches, la portée, les emplacements, les produits livrables, les normes, les activités et les exigences générales pour tout service de sécurité de l'information offert par PNAP à un client. .

8. ACCORD DE NIVEAU DE SERVICE (SLA)

PhoenixNAP Le contrat de niveau de service (« SLA ») est une politique régissant l'utilisation des services de sécurité PNAP selon les termes du contrat de service principal (le « MSA » entre PNAP, LLC. et les clients de PNAP. Sauf disposition contraire dans les présentes, ce SLA est soumis aux termes du MSA et les termes en majuscules auront le sens spécifié dans le Contrat. Nous nous réservons le droit de modifier les termes de ce SLA conformément au MSA.

  1. Types de service, priorité et temps de réponse

    2. Priorité


     Reconnaître le temps


     Heure de notification

    Description

    Exemples

    1. Priorité (critique)

    20 MINUTES

    2 Heures

    Impact significatif sur l'entreprise ou les données client; le problème a un impact majeur et est très visible pour les entreprises et / ou leurs opérations commerciales; aucune solution de contournement n'est disponible.

    DDOS étendu et prolongé

    Compromis d'actifs critiques / perte de données critiques

    Impacts sur les marques des clients (dans les actualités)

    Perte de données client

    Activité malveillante liée à l'activité de rançon (par exemple, CryptoLocker)

    Interruption du service de surveillance de la sécurité

    2. Priorité (élevée)

    Heure 1

    4 Heures

    Un pourcentage important de l'entreprise est affecté; le problème a un impact important ou est très visible pour le client et / ou ses opérations commerciales; une solution de contournement éprouvée et éprouvée est disponible.

    Activité par rapport aux indicateurs de menace connus

    Activité de rappel de logiciel malveillant, ou commande et contrôle,

    Conformité

    3. Priorité (moyenne)

    Heure 4

    8 Heures

    Un petit pourcentage de l'activité du client est affecté et / ou le problème a une visibilité limitée. Le système peut cependant rester opérationnel de manière dégradée et / ou une solution de contournement éprouvée est disponible.

    Récidivistes

    Activité malveillante liée à une activité malveillante connue mais limitée en termes d'exposition (par exemple, Zeus, Coreboot)

    4. Priorité (faible)

    1 Jour Ouvrable

    1 Jour

    Le client peut toujours obtenir des fonctionnalités complètes et des performances normales, tant que la solution de contournement est suivie.

    Preuve de scans de port ou autre activité de reconnaissance

    Malware / spyware de bas niveau

  2. Engagement de service

    3. PNAP déploiera des efforts commercialement raisonnables pour rendre les services de sécurité disponibles avec un pourcentage de disponibilité mensuelle de 100 %, à l'exclusion des périodes de maintenance planifiées et pré-acquittées où des procédures alternatives sont en place pour une surveillance continue. Comme décrit dans la section A : Types de service, priorité et temps de réponse, le PNAP, à la réception d'une alerte, « accusera réception » (par e-mail ou par téléphone), dans les délais décrits, de l'impact de l'incident et des actions qui devraient être prises pour atténuer le problème.

    Dans le cas où PNAP ne respecte pas l'engagement de pourcentage de disponibilité mensuelle, le client sera éligible pour recevoir un crédit de service comme décrit ci-dessous.

  3. Crédits de service

    4. Si le pourcentage de disponibilité mensuelle d'un client tombe en dessous de 100% pendant un mois de service, ce client est éligible pour recevoir un (1) crédit de service de 10%, pour chaque période de trente (30) minutes pendant laquelle les services de sécurité étaient indisponibles, jusqu'à un maximum montant égal à la facturation d'un mois complet. Aux fins de la détermination des crédits de service, le client ne sera éligible qu'aux crédits de service liés à l'indisponibilité de:

    1. InfraSentry: Surveiller le service de détection des menaces
    2. InfraSentry: outils "Advanced Persistent Threat" liés à Sophos

    Quel que soit le service le moins disponible au cours du mois de service, PNAP appliquera les crédits de service uniquement contre les paiements futurs autrement dus par le client, à condition que:

    1. PNAP peut émettre le crédit de service sur le compte client pour le mois de service au cours duquel l'indisponibilité s'est produite, et
    2. Le client est à jour avec toutes les obligations de paiement énoncées dans l'accord.

    Les Crédits de Service ne donnent droit à aucun remboursement ou autre paiement de PNAP. Les crédits de service ne peuvent être transférés ou appliqués à aucun autre compte. Sauf disposition contraire dans le Contrat, les Crédits de Service sont le seul et unique recours du Client en cas d'indisponibilité ou de non-exécution des Services.

  4. Demande de crédit et procédures de paiement
    Pour recevoir un crédit de service, le client doit soumettre une demande en envoyant un message électronique à noc @phoenixnap.com. Pour être éligible, la demande de crédit doit:

    1. Incluez la réclamation de crédit de service SLA dans l'objet du message électronique;
    2. Inclure, dans le corps de l'e-mail, le nom de l'organisation du client ou l'identifiant du client, ainsi que les dates, heures et durée de chaque période d'indisponibilité que le client prétend avoir connu;
    3. Inclure toute documentation corroborant l'indisponibilité revendiquée par le client; et
    4. Être reçu par le PNAP dans les trente (30) jours calendaires suivant le dernier jour signalé dans la réclamation d'indisponibilité.

    Si le pourcentage de disponibilité mensuelle d'une telle demande est confirmé par PNAP et est inférieur à 100% pour le mois de service, alors PNAP émettra le crédit de service au client dans un délai d'un mois de service suivant le mois au cours duquel la demande a été confirmée. Le défaut du client de fournir la demande et les autres informations requises ci-dessus disqualifiera le client de recevoir un crédit de service. Les données et les enregistrements de PNAP seront le seul facteur de validation des demandes en raison de l'indisponibilité.

  5. Exclusions
    L'engagement de service ne s'applique pas à toute indisponibilité, suspension ou résiliation des services de sécurité, ni à tout autre problème de performance:

    1. Qui résultent des suspensions de service décrites dans les sections suivantes du contrat: durée et résiliation, et événements par défaut et recours;
    2. Causé par des facteurs en dehors du contrôle raisonnable de PNAP, y compris tout événement de force majeure ou d'accès à Internet ou des problèmes connexes au-delà du point de démarcation du réseau PNAP;
    3. Qui résultent de toute action ou inaction du client ou de tout tiers;
    4. Qui résultent de l'équipement du Client, du logiciel ou de toute autre technologie et / ou de l'équipement tiers, du logiciel ou de toute autre technologie (autre que l'équipement tiers sous le contrôle direct de PNAP);
    5. Qui résultent de défaillances de fonctions individuelles, de fonctionnalités, d'infrastructure et d'indisponibilité de connectivité réseau; ou
    6. Découlant de la suspension et de la résiliation par PNAP du droit du client d'utiliser les services de sécurité conformément à l'accord.

    Si la disponibilité est affectée par des facteurs autres que ceux explicitement énumérés dans cet accord, PNAP peut émettre un crédit de service en tenant compte de ces facteurs à notre seule discrétion.

  6. Clause de non-responsabilité 
    Si PNAP manque l'objectif SLA en raison de problèmes avec le comportement du client ou les performances ou la défaillance de l'équipement, des installations ou des applications du client, PNAP ne peut pas donner de crédit au client. En outre, des circonstances atténuantes échappant au contrôle raisonnable du PNAP telles que (sans limitation) les actes de tout organisme gouvernemental, les actes de terrorisme, la guerre, l'insurrection, le sabotage, l'embargo, le feu, l'inondation, la grève ou toute autre perturbation du travail, l'interruption ou le retard dans le transport, l'indisponibilité d'interruption ou de retard dans les télécommunications ou les services tiers (y compris la propagation DNS), la défaillance de logiciels ou de matériel tiers ou l'incapacité d'obtenir des matières premières, des fournitures ou de l'énergie utilisée ou de l'équipement nécessaire pour la fourniture des services du client pourrait entraîner des blocages dont PNAP ne peut être tenu responsable.

9. LIMITATIONS DE RESPONSABILITÉ

  1. Aucune garantie de produit

    2. PNAP ne donne aucune garantie expresse ou implicite de qualité marchande ou d'adéquation du produit à un usage particulier. Bien que tous les services soient conçus pour être résilients, il appartient au client de planifier les catastrophes et il est toujours recommandé de garder un site hors site backup des données critiques en cas de panne critique ou de catastrophe.

  2. Exclusion de garantie

    3. PNAP NE SERA PAS TENU RESPONSABLE DE TOUTE PERTE OU DOMMAGE CAUSÉ PAR UNE ATTAQUE DE DÉNI DE SERVICE DISTRIBUÉE, DES VIRUS OU AUTRE MATÉRIEL NOCIF TECHNOLOGIQUEMENT POUVANT INFECTER VOTRE ÉQUIPEMENT INFORMATIQUE, PROGRAMMES INFORMATIQUES, RÉSEAU DE DONNÉES OU AUTRE MATÉRIEL PROPRIÉTAIRE RÉSULTANT DE VOTRE UTILISATION , PHOENIX NAPLE SITE WEB OU LE SERVICE OU LES ARTICLES ACHETÉS OU OBTENUS PAR L'INTERMÉDIAIRE DU SITE WEB OU DU SERVICE OU À VOTRE TÉLÉCHARGEMENT DE TOUT MATÉRIEL PUBLIÉ SUR LUI, OU SUR TOUT SITE WEB Y LIÉ. NI PHOENIX NAP NI AUCUNE PERSONNE ASSOCIÉE À PHOENIXNAP FAIT TOUTE GARANTIE OU REPRÉSENTATION À TOUT UTILISATEUR CONCERNANT L'INTÉGRALITÉ, LA SÉCURITÉ, LA FIABILITÉ, LA QUALITÉ, LA FONCTIONNALITÉ OU LA DISPONIBILITÉ DES SERVICES. SANS LIMITER CE QUI PRÉCÈDE, NI PHOENIX NAP NI TOUTE PERSONNE ASSOCIÉE À PHOENIXNAP DÉCLARE OU GARANTIT QUE LE SERVICE SERA FIABLE, SANS ERREUR, PROUVE D'INTRUSION OU ININTERROMPU, QUE LES DÉFAUTS SERONT CORRIGÉS, SANS VIRUS OU AUTRES ÉLÉMENTS NOCIFS OU QUE LES SERVICES RÉPONDRE AUTREMENT AUX BESOINS OU ATTENTES DU CLIENT OU DE TOUT UTILISATEUR. SAUF POUR LA GARANTIE CI-DESSUS, PHOENIXNAP FOURNIT LE SERVICE, ET LE TOUT SUR UNE BASE «TEL QUEL» ET «TEL QUE DISPONIBLE», SANS AUCUNE GARANTIE. PHOENIX NAP PAR LA PRÉSENTE DÉCLINE TOUTE GARANTIE DE QUELQUE NATURE QUE CE SOIT, EXPLICITE OU IMPLICITE, LÉGALE OU AUTRE, Y COMPRIS MAIS SANS S'Y LIMITER TOUTE GARANTIE DE QUALITÉ MARCHANDE, DE NON-CONTREFAÇON ET D'ADÉQUATION À UN USAGE PARTICULIER.

    PHOENIX NAPLA RESPONSABILITÉ GLOBALE DE (QU'ELLE SOIT CONTRACTUELLE, DÉLICTUELLE OU AUTRE) POUR TOUTES LES RÉCLAMATIONS DE RESPONSABILITÉ DÉCOULANT DE, OU EN RELATION AVEC, L'ACCORD N'EXCÉDERA PAS LES MONTANTS PAYÉS PAR LE CLIENT POUR LES SERVICES DONNANT LIEU À UNE RÉCLAMATION DE RESPONSABILITÉ. CE QUI PRÉCÈDE N'AFFECTE AUCUNE GARANTIE QUI NE PEUT ÊTRE EXCLUE OU LIMITÉE EN VERTU DE LA LOI APPLICABLE. CETTE SECTION SURVIVRE À TOUTE EXPIRATION OU RÉSILIATION DU CONTRAT.

    EN AUCUN CAS PHOENIX NAP, SES AFFILIÉS OU LEURS CONCÉDANTS DE LICENCE, FOURNISSEURS DE SERVICES, EMPLOYÉS, AGENTS, OFFICIERS OU ADMINISTRATEURS SONT RESPONSABLES DES DOMMAGES DE QUELQUE NATURE QUE CE SOIT, SOUS TOUTE THÉORIE JURIDIQUE, DÉCOULANT DE OU EN LIEN AVEC VOTRE UTILISATION, OU IMPOSSIBILITÉ D'UTILISER LES SERVICES OU TOUT SITE WEB ASSOCIÉ À ELLE, Y COMPRIS TOUT DOMMAGE DIRECT, INDIRECT, SPÉCIAL, ACCESSOIRE, CONSÉCUTIF OU PUNITIF, Y COMPRIS MAIS SANS S'Y LIMITER, LES BLESSURES CORPORELLES, LA DOULEUR ET LA SOUFFRANCE, LA DÉTRESSE ÉMOTIONNELLE, LA PERTE DE REVENUS, LA PERTE DE PROFITS, LA PERTE D'AFFAIRES OU L'ANTICIPATION, PERTE D'UTILISATION, PERTE DE BONNE VOLONTÉ, PERTE DE DONNÉES ET QU'ELLE SOIT CAUSÉE PAR UN TORT (Y COMPRIS LA NÉGLIGENCE), UNE RUPTURE DE CONTRAT OU AUTRE, MÊME SI PRÉVISIBLE. CE QUI PRÉCÈDE N'AFFECTE AUCUNE RESPONSABILITÉ QUI NE PEUT ÊTRE EXCLUE OU LIMITÉE EN VERTU DE LA LOI APPLICABLE.

  3. Limite de temps pour déposer des réclamations

    4. Toute cause d'action ou réclamation que vous pourriez avoir découlant de ou liée à ces conditions d'utilisation, le service ou le site Web doit être commencée dans un délai d'un (1) an après la cause d'action, sinon, cette cause d'action ou réclamation est interdit en permanence.

  4. Avis de perte

    5. PNAP n'est pas responsable de toute perte ou corruption de données. Les clients sont toujours encouragés à conserver une copie des données. En cas de perte, de destruction ou d'endommagement des données du Client, PNAP en informera le Client par e-mail à une adresse fournie par le Client. Le client doit s'assurer que l'adresse e-mail est valide.

10. CONSENTEMENT

En concluant cet accord et en utilisant les services, le client consent et accepte par la présente que Phoenix NAP peut accéder aux réseaux et systèmes informatiques du Client, y compris l'accès et l'utilisation, la divulgation, l'interception, la transmission, la réception, l'analyse, le traitement, la copie, l'édition, le cryptage, le décryptage et le stockage des informations du Client et celles de ses employés, agents et ceux qu'il autorise d'utiliser les Services, qu'ils soient cryptés ou en texte clair (« Informations du client ») dans le but de fournir les Services, y compris, sans s'y limiter, l'analyse du trafic réseau du Client, et pour le stockage et la conservation des Informations du Client pour référence et analyse futures. Le client déclare et garantit qu'il se conforme à toutes les lois et réglementations applicables en matière de collecte et de transfert de données des pays dans lesquels il opère et qu'il a dûment obtenu tous les consentements, permis ou licences, par écrit ou par voie électronique, qui peuvent être nécessaires en vertu des lois applicables de son employés, agents et ceux qu'il autorise à utiliser les Services afin de permettre Phoenix NAP pour fournir les Services en vertu du Contrat. Avant d'utiliser les Services, ou à tout autre moment raisonnablement déterminé par Phoenix NAP, Le client fournira Phoenix NAP copies fidèles et correctes de ces consentements.

11. INDEMNITÉ

Le client doit défendre, indemniser et dégager de toute responsabilité le Phoenix NAP Les parties indemnisées de et contre tous dommages, ordonnances, décrets, jugements, responsabilités, réclamations, actions, poursuites, frais et dépenses (y compris, sans s'y limiter, les frais de litige et les honoraires d'avocat) («Réclamations») encourus par le Phoenix NAP Parties indemnisées ou finalement jugées contre le Phoenix NAP Parties indemnisées découlant de ou résultant de : (i) violation des droits de propriété intellectuelle, y compris, sans limitation, les droits d'auteur, les marques de commerce, les secrets commerciaux, les brevets et les droits de common law en relation avec les informations, les réseaux ou les systèmes informatiques du client ; (ii) violation des lois ou politiques applicables par le Client, y compris, sans s'y limiter, en relation avec les Informations du Client, les réseaux ou les systèmes informatiques ; (iii) l'échec du Client à obtenir tous les consentements, permis et licences nécessaires, y compris, sans s'y limiter, en rapport avec les Informations, les réseaux ou les systèmes informatiques du Client ; (iv) violation de la garantie par le Client ; (v) violation du présent Contrat par le Client ; (vi) l'utilisation des Services par le Client ou les Clients affiliés ; (vii) négligence, faute intentionnelle ou autres actes ou omissions illicites de la part du Client ; et (viii) les allégations alléguant que Phoenix NAP n'était pas autorisé à fournir les services demandés par le client.

Cette section énonce les recours exclusifs de chaque partie pour toute réclamation ou action d'un tiers, et rien dans le présent accord ou ailleurs n'obligera l'une ou l'autre des parties à fournir une plus grande indemnité à l'autre.

12. SOUS-TRAITANCE

Phoenix NAP peut céder, sous-traiter ou déléguer en tout ou en partie le présent Contrat, ou tout droit, devoir, obligation ou responsabilité en vertu du présent Contrat, par effet de la loi ou autrement, à condition que Phoenix NAP restera responsable de l'exécution des Services en vertu du présent Contrat. Dans le cas contraire, aucune des parties ne peut céder cet accord sans l'autorisation de l'autre partie, laquelle autorisation ne doit pas être refusée, conditionnée ou retardée sans motif raisonnable.

13. FRAIS

Les sous-sections de cette section définissent les frais et frais récurrents et non récurrents conformément à cette annexe.

  1. FRAIS RÉCURRENTS MENSUELS

    2. Les frais récurrents mensuels initiaux sont les frais mensuels initiaux facturés pour cette annexe. Ces frais peuvent être modifiés par accord mutuel du client et du fournisseur en fonction des modifications apportées aux configurations initiales, aux appareils couverts ou à d'autres variables d'environnement similaires.

  2. FRAIS DE SERVICE NON RÉCURRENTS

    3. Les services et frais non récurrents associés à cette annexe incluent, mais sans s'y limiter, les frais hors du champ d'application et / ou les frais pour toute main-d'œuvre associée et autres services fournis dans le cadre d'un énoncé de travail ou pour la migration / l'installation / la mise en œuvre de l'environnement de production du client de son état actuel à celui du fournisseur Cloud/ Environnement d'hébergement ou à d'autres fins convenues par le fournisseur et le client, y compris, mais sans s'y limiter, ceux définis dans un énoncé de travail comme des frais ou services ponctuels ou non récurrents, qu'ils soient créés au moment ou après l'exécution de cet accord.

  3. FRAIS DE CONFIGURATION INITIALE

    4. Les frais de configuration initiale et les frais pour cette annexe sont les frais non récurrents uniques associés à la configuration initiale des services du client. Ces frais peuvent être modifiés par accord mutuel du client et du fournisseur en fonction des modifications apportées aux configurations initiales, à la portée, aux appareils couverts ou à d'autres variables d'environnement similaires. Les frais de configuration initiale ne comprennent pas les frais de migration des données. Les frais de migration des données seront spécifiés et couverts dans un énoncé des travaux ou un projet distinct.

v.2 ; 11152021