Nachtrag zu Sicherheitsdiensten

1. EINFÜHRUNG

Das Sicherheitsdienstangebot von Phoenix NAP Bietet Clients eine skalierbare Informationssicherheitslösung, mit der potenzielle Sicherheitsbedrohungen für die Umgebung eines Clients erkannt und benachrichtigt werden können. Diese proprietären Systeme und Prozesse verwenden hochmoderne Hardware-, Software- und Sicherheitsfachleute, um Client-Netzwerke, Endpunkte und andere verwandte Ereignisse zu beobachten und zu überwachen, um anomale Aktionen und Sicherheitsbedrohungen zu erkennen.

2. VEREINBARUNG

Dieses Addendum für Sicherheitsdienste (SSA) enthält die spezifischen Bedingungen, unter denen Phoenix NAP („PNAP“) stellt dem Kunden Informationssicherheitsdienste zur Verfügung. Der zwischen PNAP und dem Kunden geschlossene Master-Servicevertrag enthält die hierin enthaltenen Bestimmungen vollständig und sieht vor, dass diese SSA und die Ausführung des Master-Servicevertrags durch den Kunden die Akzeptanz der hierin angegebenen Bedingungen darstellen. Großgeschriebene Begriffe, die hier verwendet, aber nicht definiert werden, haben die im Rahmenvertrag vereinbarten Bedeutungen. Die anfängliche Laufzeit für diesen Service ist auf dem entsprechenden Service Order Form („SOF“) angegeben, das von PNAP und dem Kunden unter Bezugnahme auf diese Services ausgeführt wird. Wie hierin erwähnt, bedeutet "Vereinbarung" dieses Addendum zu Sicherheitsdiensten zusammen mit der MSA und allen Richtlinien und Ergänzungen, auf die hiermit ausdrücklich Bezug genommen wird, einschließlich der Leistungsbeschreibung (SOW), der Verantwortlichkeitsmatrix ("RM") und der Vereinbarung zum Servicelevel (SLA), Richtlinien zur akzeptablen Nutzung („AUP“) und Datenschutzrichtlinien („PP“). Diese Vereinbarung enthält die Bedingungen, die für das Addendum zu Sicherheitsdiensten gelten.

3. GENERAL

PNAP prüft die aktuelle Computernetzwerkplattform des Kunden, deren Hosting und data security Anforderungen in dem Umfang, in dem der Kunde PNAP-Zugriff gewährt hat, und bestätigt, dass die vereinbarten Dienste mit der Plattform des Kunden interagieren und arbeiten und eine sichere Umgebung gemäß den Spezifikationen und den in den vereinbarten Industriestandards festgelegten Industriestandards bereitstellen können nach Arbeitserklärung (SOW).

Wenn die Vereinbarung zwischen PNAP und dem Kunden gekündigt wird oder abläuft, hat der Kunde die Möglichkeit, die Vereinbarung entweder zu verlängern oder die PNAP-Sicherheitsdienste durch einen Drittanbieter seiner Wahl zu ersetzen. Auf Anfrage unternimmt PNAP wirtschaftlich angemessene Anstrengungen, um den Kunden so schnell, wirtschaftlich und effizient wie möglich auf den neuen Anbieter umzustellen, und dies nach Möglichkeit so, dass ein möglichst nahtloser und sicherer Übergang mit minimalen Geschäftsunterbrechungen für den Kunden möglich ist.

4. DIENSTLEISTUNGEN UND FUNKTIONEN

Services BESCHREIBUNG
Bedrohungsmanagement-Plattform Dieses Produktangebot verwendet vom Client bereitgestellte Sicherheitsereignisprotokolle aus verschiedenen Quellen (z. B. Firewalls, Switches und servers) und korreliert diese Protokolle mit Bedrohungssignaturen und Verhaltensanalysen, um Aktivitäten zu identifizieren, die den Betreibern eines potenziellen Bedrohungsereignisses signalisieren können. Diese Bedrohungsverhaltensmuster werden aus abonnierten Branchen-Feeds zu Bedrohungsinformationen, proprietären Bedrohungsinformationen oder anderen vom Kunden bereitgestellten Daten erfasst und aktualisiert.
Patchverwaltung Bei diesem Angebot wird ein automatisiertes Tool verwendet, um Systeme regelmäßig anhand einer bekannten Liste verfügbarer Betriebssystem-Patches, Hotfixes und / oder Updates zu scannen, um festzustellen, ob diese auf diese Systeme angewendet werden sollten. Wenn die Scans feststellen, dass Patches benötigt werden, identifiziert die Patch-Verwaltungslösung den Patch und plant die Patch-Installation durch einen Änderungskontrollprozess. Dieses Produkt ist im Umfang auf derzeit von PNAP unterstützte Betriebssysteme beschränkt.
Wiederherstellung kritischer Umgebungen Die Critical Environment Recovery-Komponente des Dienstes verwendet dieselben Disaster Recovery-Dienste, die PNAP bereits über seine anderen Serviceangebote bereitgestellt hat. Die Wiederherstellung kritischer Umgebungen ist ein erforderlicher Bestandteil aller Sicherheitsdienstangebote und -pakete, beschränkt sich jedoch auf den Client servers definiert in der vereinbarten Leistungsbeschreibung (SOW).
Firewall-Switch-Verwaltung Viele Unternehmen verfügen nicht über die Fähigkeiten und / oder das Fachwissen zu Best Practices der Branche, um ihre Firewalls und Switches angemessen zu verwalten. Insbesondere für Unternehmen, die fortgeschrittenere Layer 7-Firewalls verwenden, verfügt das interne Personal möglicherweise nicht über die erforderlichen Schulungen oder Ressourcen, um diese Geräte wie geplant effektiv zu warten und zu überwachen. Wenn interne Administratoren Änderungen an ihren Firewalls und Switches vornehmen, tun sie dies häufig, ohne einen angemessenen Verlauf der Änderungen zu führen, und verfügen daher aus Compliance-Gründen nicht über die erforderliche Dokumentation. Das Firewall- / Switch-Management-Angebot von PNAP umfasst sowohl die entsprechende Verwaltung der Firewalls und Switches als auch die erforderliche Dokumentation, einschließlich der Verwaltung und Verfolgung der Authentifizierung für Benutzer, die Änderungen vornehmen, sowie der Verfolgung der vorherigen Konfigurationen, um das Rollback zu ermöglichen von Änderungen bei Bedarf.
Schwachstellenanalyse Das Vulnerability Assessment-Angebot scannt vom Kunden genehmigte interne und externe Netzwerke mithilfe automatisierter Tools, die bekannte Bedrohungsvektoren verwenden, um auf Schwachstellen zu testen. In Fällen, in denen die Dienste eines zertifizierten Scan-Anbieters erforderlich sind, wird PNAP einen seiner Partner damit beauftragen, diese Dienste in seinem Namen in einer mit dem Kunden vereinbarten Häufigkeit und gemäß den mit ihm festgelegten Compliance-Anforderungen auszuführen.
Leistungsüberwachung Die Leistungsüberwachung umfasst die Berichterstattung über Leistungstrends, die proaktive Überwachung von Warnungen und die Durchführung von Analysen zu Leistungsmetriken. B. Aufwärts- / Abwärtsfrequenz- und Bandbreitennutzung, Prozessoren, Speicher und Speichernutzung. Berichtsmethode und -häufigkeit werden in der zugehörigen Leistungsbeschreibung (SOW) festgelegt.
Endpunktsicherheit Der End Point Security Service verwaltet die Sicherheit von server und Endbenutzergeräte wie PC-Workstations und Laptops mithilfe von Anti-Malware-Software. Dieses Serviceangebot überwacht, wartet und verwaltet die Endpunktagenten und stellt sicher, dass sie auf dem neuesten Stand und funktionsfähig sind.

5. BEST PRACTICES

PNAP implementiert die folgenden Best Practices in Bezug auf die Entwicklung und Bereitstellung der Produkte und Dienstleistungen. PNAP sorgt für eine angemessene Systemsicherheit für den PNAP-Dienst gemäß den wirtschaftlich vertretbaren Industriestandards und -praktiken zum Schutz aller Daten und Informationen, die vom oder im Auftrag des Kunden bereitgestellt werden und in den PNAP-Dienst eingegeben, auf diesem angezeigt oder von diesem verarbeitet werden, sowie für alle Ausgaben daraus („Kundendaten“) vor Diebstahl, unbefugter Offenlegung und unbefugtem Zugriff. Diese Systemsicherheit umfasst unter anderem: (1) Implementierung von Anwendungsanfälligkeitstests und Minderungsprozessen; (2) die gesamte elektronische Kommunikation mit PNAP-Client über ein sicheres Webportal, eine sichere Dateifreigabe oder eine verschlüsselte E-Mail leiten; und (3) die folgenden Schutzmaßnahmen:

  1. Beglaubigung
    • Der gesamte Zugriff wird authentifiziert, die Kommunikation mithilfe von Best Practices der Branche gesichert und protokolliert.
    • Die Systemidentität ist durch die Verwendung von Anmeldeinformationen und durch einen zweiten Faktorauthentifizierungsmechanismus an einen einzelnen Benutzer gebunden.
    • Es werden angemessene Authentifizierungskontrollen bereitgestellt, die den branchenweit anerkannten Standards entsprechen.
  2. Genehmigung
    • Stellen Sie sicher, dass autorisierte Benutzer nur Aktionen innerhalb ihrer Berechtigungsstufe ausführen dürfen.
    • Steuern Sie den Zugriff auf geschützte Ressourcen basierend auf der Rollen- oder Berechtigungsstufe.
    • Reduzieren und verteidigen Sie Angriffe auf die Eskalation von Privilegien nach Möglichkeit gemäß den verfügbaren Technologiestandards und Best Practices.
  3. Passwort- und Kontoverwaltung
    • Passwörter entsprechen den Best Practices, einschließlich:
      • Verschlüsseln von Passwörtern mit "Hashing" - und "Salting" -Techniken.
      • Durchsetzen der Kennwortkomplexität.
      • Begrenzung fehlgeschlagener Versuche vor der Kontosperrung.
      • Keine Speicherung und Übermittlung von Passwörtern im Klartext zulassen.
      • Das Zurücksetzen des Passworts sendet keine Anmeldeinformationen.
    • Gegebenenfalls protokolliert PNAP Befehle (mit Uhrzeit und Datum), die zusätzliche Berechtigungen erfordern, sicher, um einen vollständigen Prüfpfad der Aktivitäten zu ermöglichen.
  4. Data Security
    • Daten in Ruhe
      • Client-Daten werden nach branchenüblichen Best Practices verschlüsselt.
      • Backups von Kundendaten haben die gleichen Steuerelemente wie Produktionsdaten.
    • Daten im Transit
      • Client-Daten, die zum oder vom Client übertragen werden, werden verschlüsselt (z. B. SSL, VPN, SFTP, zertifikatbasierte Authentifizierung).
    • Client-Daten, die über den Browser gesendet werden, sollten SSLv3 oder besser verwenden.
  5. Mandantenfähigkeit
    • In einer Umgebung mit mehreren Mandanten muss PNAP geeignete Sicherheitskontrollen und robuste kryptografische Methoden bereitstellen, um Kundendaten vor anderen Mandanten zu schützen und zu isolieren.
  6. Verwaltungszugang und Umweltsegregation
    • Anwenden des Prinzips der geringsten Berechtigung: Es sollten geeignete Kontrollen vorhanden sein, um sicherzustellen, dass der Zugriff auf Mitarbeiter beschränkt ist, die Kundendaten sehen müssen, um ihre Aufgaben erfüllen zu können.
    • Vertrauliche Daten sollten nach Möglichkeit mit Einweg-Hashing-Algorithmen maskiert werden.
    • Client-Daten sollten nicht in Nicht-Produktionsumgebungen repliziert werden.
  7. Bedrohungsmanagement
    • Intrusion Detection
    • PNAP muss einen Überwachungsprozess zur Erkennung von Eindringlingen auf Netzwerk- und Hostebene implementieren und aufrechterhalten, um die PNAP-Dienste zu schützen und unerwünschten oder feindlichen Netzwerkverkehr zu erkennen. PNAP aktualisiert seine Intrusion Detection-Software kontinuierlich und planmäßig, nachdem der ausgewählte Softwareanbieter Updates zur Verfügung gestellt hat. PNAP muss Maßnahmen ergreifen, um sicherzustellen, dass PNAP benachrichtigt wird, wenn das System oder der Dienst ungewöhnliche oder böswillige Aktivitäten feststellt. PNAP benachrichtigt den Kunden innerhalb von vierundzwanzig (24) Stunden über jeden wesentlichen Eingriff, der einen Verstoß gegen die Daten des Kunden zur Folge hat.

    • Penetrationstests
    • PNAP führt mindestens einmal jährlich Penetrationstests in seiner Client-weiten Computerumgebung durch einen qualifizierten Sicherheitsassessor (QSA) eines Drittanbieters durch und entsorgt die identifizierten Risiken angemessen. Aufgrund des hohen Risikos dieser Berichte werden die Berichte und Ergebnisse nicht öffentlich bekannt gegeben oder zur Überprüfung durch den Kunden zur Verfügung gestellt. PNAP wird jedoch auf Anfrage ein Schreiben der QSA zur zufriedenstellenden Disposition identifizierter Bedrohungsprobleme zur Verfügung stellen. Kunden sind nicht berechtigt, Schwachstellen-Scans, Bewertungen oder Penetrationstests für die PNAP-Service-Infrastruktur durchzuführen.

    • Infrastruktursicherheit
    • PNAP konfiguriert die Infrastruktur (z. servers und Netzwerkgeräte) und Plattformen (z. B. Betriebssystem und Web servers) um nach diesen Best Practices sicher zu sein:

      • Überwachungsprotokollierung: Der Client autorisiert PNAP, Protokolle von allen Systemen, die den PNAP-Dienst abonniert haben, zu sammeln, zu verwenden, zu speichern, zu übertragen, zu überwachen und anderweitig zu verarbeiten. Diese Protokolltypen umfassen, ohne darauf beschränkt zu sein, Sicherheitsprotokolle und das Web server Protokolle, Anwendungsprotokolle, Systemprotokolle und Netzwerkereignisprotokolle. PNAP überwacht seine Netzwerke rund um die Uhr mit den neuesten SIEM- und Verhaltensanalysetechnologien. Der Client erkennt an, dass diese Protokolle Quell- und Ziel-IP-Adressen, verwendete Benutzerkonten, versuchte falsche Kennwörter, Klick- und Bildschirmeinträge und andere persönlich identifizierbare Datenelemente enthalten können.
      • Doppelte Kopien dieser Protokolle werden beibehalten, und eine externe Archivierungskopie verringert das Verlustrisiko aufgrund von Manipulationen.
    • Netzwerksicherheit
      • PNAP muss den Industriestandards entsprechen und Perimeter-Netzwerke von Endpunkten trennen, die im privaten Netzwerk gehostet werden, indem branchenübliche Firewalls oder Mikrosegmentierungstechniken verwendet werden, die auf Software Defined Networking-Technologien basieren. PNAP aktualisiert und wartet seine Infrastruktur unter Verwendung einer branchenüblichen Wartungs- und Änderungskontrollmethode.
      • PNAP überwacht und testet seine Perimetergeräte regelmäßig. Wenn Mängel festgestellt werden, muss PNAP diese Mängel unverzüglich beheben und beheben.
    • Schwachstellenmanagement
    • Zusätzlich zu den oben beschriebenen Schwachstellenbewertungen von Drittanbietern implementiert PNAP wirtschaftlich sinnvolle Prozesse zum Schutz von Kundendaten vor Systemschwachstellen, einschließlich:

      • Perimeter-Scannen: PNAP führt das Perimeter-Scannen mithilfe eingebetteter Sensoren in der PNAP-Infrastruktur durch und liefert Informationen an unser zentrales SIEM-Tool.
      • Scannen der internen Infrastruktur: PNAP führt das Scannen der internen Infrastruktur mithilfe eingebetteter Sensoren in der Infrastruktur von PNAP durch und liefert Informationen an unser zentrales SIEM-Tool.
      • Malware-Scannen: Wenn möglich, verwendet PNAP ein erweitertes verhaltens- und signaturbasiertes Antiviren- / Anti-Malware-Tool (APT) sowie Whitelist-Techniken für Anwendungen, um seine Infrastruktur vor der Bedrohung durch nicht autorisierte schädliche Software zu schützen.
    • Sichere Konfiguration
    • PNAP verwendet eine branchenübliche Methode zur Plattformhärtung und sicheren Konfiguration, um den Angriffsumfang und die Oberfläche zu reduzieren. Durch die Verwendung von Mikrosegmentierungstechniken wird die laterale Kommunikation weiter auf bekannte Kommunikationspaare und -muster beschränkt.

  8. Sicherheitsmaßnahmen
    • Vorfallreaktion
    • PNAP muss Richtlinien und Verfahren für das Management von Sicherheitsvorfällen einhalten, einschließlich detaillierter Verfahren zur Eskalation von Sicherheitsvorfällen. Im Falle eines Verstoßes gegen die Sicherheits- oder Vertraulichkeitsverpflichtungen von PNAP, der sich auf die Umgebung oder Daten eines Kunden auswirkt, verpflichtet sich PNAP, betroffene Kunden innerhalb von vierundzwanzig (24) Stunden nach ihrer Entdeckung telefonisch und per E-Mail über ein solches Ereignis zu informieren. PNAP wird außerdem umgehend eine Untersuchung des Verstoßes durchführen, geeignete Abhilfemaßnahmen ergreifen und einen Single-Point-of-Contact (SPoC) zuweisen. Diese SPoC oder ihr Beauftragter steht im Rahmen der Untersuchung von PNAP vierundzwanzig (24) Stunden am Tag, sieben (7) Tage die Woche für Sicherheitsfragen oder Bedenken zur Verfügung.

    • Patchverwaltung
    • PNAP verwendet einen Patch-Management-Prozess und ein Tool-Set, um alle zu behalten servers auf dem neuesten Stand mit entsprechenden Sicherheits- und Funktionspatches.

    • Dokumentierter Sanierungsprozess
    • PNAP verwendet einen dokumentierten Korrekturprozess, um alle identifizierten Bedrohungen und Schwachstellen in Bezug auf den PNAP-Dienst rechtzeitig zu beheben.

  9. Kündigungsverfahren für Mitarbeiter
    • PNAP beendet nach Beendigung des Arbeitsverhältnisses unverzüglich alle Anmeldeinformationen und den Zugriff auf privilegierte Kennworteinrichtungen wie Identitäts- und Zugriffsverwaltungssysteme.
  10. Governance
    • Sicherheitspolitik
    • PNAP unterhält eine schriftliche Informationssicherheitsrichtlinie, die jährlich von PNAP genehmigt und veröffentlicht und allen PNAP-Mitarbeitern und relevanten Dritten mitgeteilt wird. PNAP unterhält eine spezielle Sicherheits- und Compliance-Funktion, um Sicherheit zur Unterstützung seiner „Vertrauensplattform“ gemäß den Industriestandards zu entwerfen, aufrechtzuerhalten und zu betreiben. Diese Funktion konzentriert sich auf Systemintegrität, Risikoakzeptanz, Risikoanalyse und -bewertung, Risikobewertung, Risikomanagement und Behandlungserklärungen zur Anwendbarkeit und PNAP-Management.

    • Sicherheitstraining
    • PNAP stellt ohne Kosten für den Kunden sicher, dass alle PNAP-Mitarbeiter und -Kunden mindestens einmal jährlich die entsprechenden Schulungen absolvieren, die zur Operationalisierung der hier beschriebenen Verfahren und Praktiken erforderlich sind, einschließlich Schulungen zum Sicherheitsbewusstsein.

    • Sicherheitsüberprüfungen
    • PNAP und Client können sich mindestens einmal jährlich treffen, um Folgendes zu besprechen: (1) die Wirksamkeit der Sicherheitsplattform von PNAP; und (2) alle Aktualisierungen, Patches, Korrekturen, Innovationen oder sonstigen Verbesserungen, die an der Elektronik vorgenommen wurden data security von anderen kommerziellen Anbietern oder für andere Kunden von PNAP, von denen PNAP oder der Kunde glauben, dass sie die Effektivität der Sicherheitsplattform von PNAP für den Kunden verbessern.

    • Audits und Compliance-Standards von Drittanbietern
      • PNAP stellt dem Kunden spätestens dreißig (2) Tage nach Eingang der Ergebnisse oder Berichte von PNAP eine Kopie von SOC30 oder ähnlichen Prüfungsergebnissen zur Verfügung. Der Kunde hat das Recht, bis zu vier (4) Mal pro Kalenderjahr die Büros von PNAP zu besuchen oder einen Dritten in seinem Namen zu beauftragen, um Due Diligence- und Prüfungsverfahren für den Geschäftsbetrieb von PNAP im Zusammenhang mit dem PNAP-Service durchzuführen von technischer Infrastruktur, Systeminteraktion, Organisation, Qualität, Qualitätskontrolle, Personal, das mit Dienstleistungen für den Kunden befasst ist, und allgemeinen Ressourcen in Bezug auf Fähigkeiten und Personal.
      • PNAP wird auf Kundenwunsch, soweit gesetzlich zulässig und vorbehaltlich geltender behördlicher Beschränkungen und Vertraulichkeitsverpflichtungen, den Nachweis einer erfolgreichen Prüfung nach SSAE Nr. 18 erbringen. PNAP muss überprüfen, ob das Audit alle Infrastrukturen und Anwendungen zertifiziert, die Dienste für Clientdaten unterstützen und bereitstellen.
      • PCI-DSS-Konformität
      • PNAP muss Richtlinien, Praktiken und Verfahren einhalten, die ausreichen, um der Zahlungskartenindustrie zu entsprechen Data Security Der Standard kann in Bezug auf den PNAP-Service von Zeit zu Zeit geändert werden.

      • Vulnerability Assessments
      • PNAP führt mindestens einmal jährlich Schwachstellenbewertungen für Anwendungen durch. Diese Bewertungen werden mit einem qualifizierten Sicherheitsassessor (QSA) eines Drittanbieters durchgeführt. Aufgrund des hohen Risikos dieser Berichte werden die Berichte und Ergebnisse nicht öffentlich bekannt gegeben oder zur Überprüfung durch den Kunden zur Verfügung gestellt. PNAP wird jedoch auf Anfrage ein Schreiben der QSA zur zufriedenstellenden Disposition identifizierter Bedrohungsprobleme zur Verfügung stellen. Kunden sind nicht berechtigt, Schwachstellenscans, Bewertungen oder Penetrationstests für die PNAP-Anwendungsplattformen durchzuführen.

  11. Physische Sicherheit
  12. PNAP beschränkt den Zugang zu seinen Einrichtungen, die zur Erbringung des PNAP-Dienstes genutzt werden, auf Mitarbeiter und autorisierte Besucher, die wirtschaftlich angemessene physische Sicherheitsmethoden nach Industriestandard anwenden. Zu diesen Methoden gehören mindestens Besucheranmeldungen, Schlüsselkarten mit eingeschränktem Zugang und Schlösser für Mitarbeiter. eingeschränkter Zugang zu server Zimmer und Archiv backups; und Einbruch- / Einbruchmeldesysteme.

  13. Geschäftskontinuität
  14. PNAP muss über einen Geschäftskontinuitätsplan für die Wiederherstellung kritischer Prozesse und Vorgänge des PNAP-Dienstes an den Standorten verfügen, von denen aus der PNAP-Dienst bereitgestellt wird. PNAP muss außerdem über einen jährlich getesteten Plan verfügen, der PNAP dabei unterstützt, auf geplante und getestete Weise auf eine Katastrophe zu reagieren. PNAP wird dem Kunden unverzüglich auf schriftliche Anfrage des Kunden eine Kopie seines jeweils aktuellen Plans zur Verfügung stellen.

  15. PNAP-interne Systeme Backup Management
    • PNAP muss voll funktionieren backups von internen Systemen und Datenbanken, die Client-Daten enthalten, mindestens einmal pro Tag ohne Unterbrechung des PNAP-Dienstes. PNAP stellt außerdem mindestens wöchentlich eine externe Archivspeicherung bereit backups der internen Systeme und Datenbanken, die Client-Daten enthalten, auf sicher server(s) oder andere kommerziell akzeptable sichere Medien. Solche Daten backups werden verschlüsselt, jeden Werktag an einen sicheren Ort außerhalb des Standorts gesendet und sieben (7) Jahre lang gespeichert / aufbewahrt.
    • Um einen Datencenter-Fehler zu beheben, werden die erforderlichen gesicherten Daten über mindestens zwei (2) geografisch verteilte Daten repliziert data centers zu jedem Zeitpunkt. Backup Schnappschüsse können regelmäßig an einen anderen gesendet werden data center. Datenaufbewahrung für einen Ausfall im Rechenzentrum Bei einem Vorfall werden vierundzwanzig (24) stündliche Schnappschüsse verwendet, vierzehn (14) täglich backups und drei (3) monatlich backups. Diese backup Die Richtlinie soll eine teilweise oder vollständige Wiederherstellung des Systems zweckmäßig unterstützen.
  16. Recht auf Prüfung
  17. Der Kunde hat das Recht, auf eigene Kosten einen Dritten in seinem Namen zu beauftragen, die Büros von PNAP einmal pro Kalenderjahr zu besuchen, um Due Diligence- und Prüfungsverfahren für den Geschäftsbetrieb von PNAP im Zusammenhang mit dem PNAP-Service durchzuführen Technische Infrastruktur, Systeminteraktion, Organisation, Qualität, Qualitätskontrolle, Personal, das mit Dienstleistungen für Kunden befasst ist, und allgemeine Ressourcen in Bezug auf Fähigkeiten und Personal. Der Kunde ist sich des Eigentums und des geistigen Eigentums dieses Zugriffs bewusst und erklärt sich damit einverstanden, eine Geheimhaltungsvereinbarung auszuführen und einzuhalten und die Dokumentation oder Entfernung dieser Informationen aus den Räumlichkeiten von PNAP einzuschränken.

6. VERANTWORTLICHKEITEN DER KUNDEN

Der Kunde muss alle Fehler oder Fehlfunktionen eines unter diese Vereinbarung fallenden Systems dokumentieren und unverzüglich an PNAP melden. PNAP stellt alle erforderlichen Ersatzteile und / oder sonstigen Hardwarekomponenten zur Verfügung, um die Geräte zu warten, die zur Erfüllung eines Dienstes gemäß diesem Zeitplan erforderlich sind.

Der Kunde darf nichts Materielles oder Immaterielles verwenden, das dieser Vereinbarung entspricht und / oder von dieser Vereinbarung bereitgestellt wird, für einen rechtswidrigen Zweck oder für einen Zweck, der durch die auf seiner Website veröffentlichten Richtlinien für Netzwerkmissbrauch und / oder akzeptable Nutzung von PNAP verboten ist.

Der Kunde erkennt dies an PhoenixNAP Die Leistung und Erbringung der Dienstleistungen hängt ab von: (A) dem Kunden, der einen sicheren und gefahrlosen Zugang zu Personal, Einrichtungen, Ausrüstung, Hardware, Netzwerk und Informationen bietet, und (B) der rechtzeitigen Entscheidungsfindung des Kunden und der rechtzeitigen und genauen Bereitstellung und vollständige Informationen und angemessene Unterstützung, einschließlich der Erteilung von Genehmigungen oder Genehmigungen, wie (A) und (B) als angemessen notwendig erachtet und angemessen angefordert werden PhoenixNAP die Dienste auszuführen, bereitzustellen und / oder zu implementieren. Der Kunde wird umgehend erhalten und zur Verfügung stellen PhoenixNAP alle erforderlichen Lizenzen, Genehmigungen oder Zustimmungen, die für erforderlich sind PhoenixNAPLeistung der Dienste. PhoenixNAP wird von der Nichterfüllung seiner Verpflichtungen aus diesem Nachtrag entschuldigt, sofern diese Nichterfüllung ausschließlich auf die Verzögerung des Kunden bei der Erfüllung oder Nichterfüllung seiner Verantwortlichkeiten gemäß dieser MSA und / oder dem Serviceauftrag / der Leistungsbeschreibung zurückzuführen ist.

7. ARBEITSERKLÄRUNG; VERANTWORTUNGSMATRIX

Eine Arbeitserklärung („SOW“) und eine Verantwortlichkeitsmatrix („RM“) werden verwendet, um die spezifischen Aufgaben, den Umfang, die Standorte, die zu erbringenden Leistungen, Standards, Aktivitäten und allgemeinen Anforderungen für jeden Informationssicherheitsdienst festzulegen, den PNAP einem Kunden anbietet .

8. HAFTUNGSAUSSCHLUSS

  1. Keine Produktgarantie
  2. PNAP übernimmt keine ausdrücklichen oder stillschweigenden Garantien für die Handelsfähigkeit oder Eignung des Produkts für einen bestimmten Zweck. Obwohl alle Dienste auf Ausfallsicherheit ausgelegt sind, ist es Sache des Kunden, Katastrophen zu planen, und es wird immer empfohlen, einen externen Standort zu wählen backup von kritischen Daten im Falle eines kritischen Ausfalls oder einer Katastrophe.

  3. Haftungsausschluss
  4. PNAP HAFTET NICHT FÜR VERLUSTE ODER SCHÄDEN, DIE DURCH EINEN VERTEILTEN DENIAL-OF-SERVICE-ANGRIFF, VIREN ODER ANDERES TECHNOLOGISCH SCHÄDLICHES MATERIAL VERURSACHT WERDEN, DAS IHRE COMPUTERAUSRÜSTUNG, COMPUTERPROGRAMME, DATENSCHUTZER , PHOENIX NAPDIE WEBSITE ODER DER DIENST ODER DIE EINZELTEILE, DIE ÜBER DIE WEBSITE ODER DEN SERVICE GEKAUFT ODER ERHALTEN WERDEN, ODER DURCH DAS HERUNTERLADEN VON MATERIALIEN, DIE AUF IHM ODER AUF EINER MIT IHM VERBUNDENEN WEBSITE VERÖFFENTLICHT SIND. WEDER PHOENIX NAP NOCH JEDE PERSON, DIE MIT VERBUNDEN IST PHOENIXNAP ÜBERNIMMT JEGLICHE GEWÄHRLEISTUNG ODER ZUSICHERUNG FÜR JEDEN BENUTZER IN BEZUG AUF VOLLSTÄNDIGKEIT, SICHERHEIT, ZUVERLÄSSIGKEIT, QUALITÄT, FUNKTIONALITÄT ODER VERFÜGBARKEIT DER DIENSTLEISTUNGEN. Ohne das Vorhergehende einzuschränken, NIEMALS PHOENIX NAP Noch jemand, der mit PHOENIXNAP ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DASS DER DIENST ZUVERLÄSSIG, FEHLERFREI, INTRUSIONSFÄHIG ODER UNTERBROCHEN IST, DASS FEHLER BEHEBT WERDEN, FREI VON VIREN ODER ANDEREN SCHÄDLICHEN KOMPONENTEN ODER DASS DIE DIENSTLEISTUNGEN DIE BEDÜRFNISSE ERFORDERN MIT AUSNAHME DER OBEN GENANNTEN GARANTIE PHOENIXNAP BIETET DEN SERVICE UND ALLES "WIE BESEHEN" UND "WIE VERFÜGBAR" OHNE JEGLICHE GEWÄHRLEISTUNG. PHOENIX NAP Hiermit werden alle Garantien jeglicher Art, ob ausdrücklich oder stillschweigend, gesetzlich oder anderweitig, ausgeschlossen, einschließlich, jedoch nicht beschränkt auf Gewährleistungen in Bezug auf Handelsfähigkeit, Nichtverletzung und Eignung für bestimmte Zwecke.

    PHOENIX NAPDIE GESAMTE HAFTUNG (OB VERTRAGS-, TORT- ODER ANDERWEITIGE) HAFTUNG FÜR ALLE HAFTUNGSANSPRÜCHE, DIE AUS DER VEREINBARUNG ODER IM ZUSAMMENHANG MIT DER VEREINBARUNG ENTSTEHEN. Das Vorstehende berührt keine Garantien, die nach geltendem Recht nicht ausgeschlossen oder eingeschränkt werden können. DIESER ABSCHNITT ÜBERNIMMT JEGLICHEN ABLAUF ODER KÜNDIGUNG DER VEREINBARUNG.

    In keinem Fall wird PHOENIX NAP, SEINE TOCHTERGESELLSCHAFTEN ODER IHRE LIZENZGEBER, DIENSTLEISTER, Mitarbeiter, Vertreter, leitende Angestellte oder Direktoren für Schäden aller Art haftet, UNDER RECHTSGRUND ANY, ODER IN VERBINDUNG MIT DER NUTZUNG AUS ODER UNMÖGLICHKEIT DER NUTZUNG DER SERVICES ODER WEBSITES MIT IHM VERBUNDEN, EINSCHLIESSLICH DIREKTER, INDIREKTER, BESONDERER, NEBEN-, FOLGESCHÄDEN ODER STRAFBESCHÄDIGUNGEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF PERSÖNLICHE VERLETZUNGEN, SCHMERZEN UND LEIDENDE, EMOTIONALE STÖRUNGEN, EINNAHMENVERLUSTE, VERLUSTSVERLUSTE VERLUST DER NUTZUNG, VERLUST DES GUTEN WILLENS, VERLUST DER DATEN UND OB DURCH TORT (EINSCHLIESSLICH NEGLIGENZ), VERTRAGSVERLETZUNG ODER ANDERWEITIG, AUCH WENN VORHERSAGBAR. DAS VORANGEGANGENE BEEINTRÄCHTIGT KEINE HAFTUNG, DIE NACH ANWENDBAREM RECHT NICHT AUSGESCHLOSSEN ODER BESCHRÄNKT WERDEN KANN.

  5. Verjährung von Ansprüchen
  6. Alle Klagegründe oder Ansprüche, die Sie möglicherweise aus oder im Zusammenhang mit diesen Nutzungsbedingungen, dem Dienst oder der Website haben, müssen innerhalb eines (1) Jahres nach dem Auftreten des Klagegrundes gestartet werden, andernfalls handelt es sich um einen solchen Klagegrund oder Anspruch dauerhaft gesperrt.

  7. Verlustmitteilung
  8. PNAP haftet nicht für den Verlust oder die Beschädigung von Daten. Kunden werden immer aufgefordert, eine Kopie der Daten aufzubewahren. Im Falle des Verlusts oder der Zerstörung oder Beschädigung von Kundendaten benachrichtigt PNAP den Kunden per E-Mail an eine vom Kunden angegebene Adresse. Der Kunde muss sicherstellen, dass die E-Mail-Adresse gültig ist.

9. ZUSTIMMUNG

Durch den Abschluss dieser Vereinbarung und die Nutzung der Dienste stimmt der Kunde dem zu und erklärt sich hiermit einverstanden Phoenix NAP kann auf die Netzwerke und Computersysteme des Kunden zugreifen, einschließlich des Zugriffs auf und der Verwendung, Offenlegung, Überwachung, Übertragung, Empfang, Analyse, Verarbeitung, Kopieren, Bearbeiten, Verschlüsselung, Entschlüsselung und Speicherung von Kundeninformationen und der seiner Mitarbeiter, Agenten und der von ihm autorisierten Nutzung der Dienste, ob verschlüsselt oder im Klartext („Kundeninformationen“), zum Zweck der Bereitstellung der Dienste, einschließlich, ohne Einschränkung, Analyse des Netzwerkverkehrs des Kunden sowie zur Speicherung und Speicherung von Kundeninformationen zur späteren Bezugnahme und Analyse. Der Kunde versichert und garantiert, dass er alle geltenden Gesetze und Vorschriften zur Datenerfassung und -übertragung der Länder einhält, in denen er tätig ist, und dass er alle Einwilligungen, Genehmigungen oder Lizenzen, die nach geltendem Recht erforderlich sind, ordnungsgemäß schriftlich oder elektronisch erhalten hat Mitarbeiter, Vertreter und diejenigen, die zur Nutzung der Dienste berechtigt sind, um diese zu aktivieren Phoenix NAP die Dienstleistungen im Rahmen der Vereinbarung bereitzustellen. Vor der Nutzung der Dienste oder zu einem anderen vernünftigerweise festgelegten Zeitpunkt von Phoenix NAPWird der Kunde zur Verfügung stellen Phoenix NAP wahre und korrekte Kopien solcher Zustimmungen.

9. ENTSCHÄDIGUNG

Der Kunde hat die zu verteidigen, zu entschädigen und schadlos zu halten Phoenix NAP Freistellungsparteien von und gegen Schäden, Anordnungen, Dekrete, Urteile, Verbindlichkeiten, Ansprüche, Klagen, Klagen, Kosten und Auslagen (einschließlich, ohne Einschränkung, Kosten für Rechtsstreitigkeiten und Anwaltskosten) („Ansprüche“), die der Phoenix NAP Entschädigte Parteien oder endgültig gegen die entschieden Phoenix NAP Freistehende Parteien, die sich aus folgenden Gründen ergeben oder daraus resultieren: (i) Verletzung von Rechten des geistigen Eigentums, einschließlich, ohne Einschränkung, Urheber-, Marken-, Geschäftsgeheimnis-, Patent- und Common-Law-Rechten in Verbindung mit Informationen, Netzwerken oder Computersystemen des Kunden; (ii) Verletzung geltender Gesetze oder Richtlinien durch den Kunden, einschließlich, ohne Einschränkung in Verbindung mit Kundeninformationen, Netzwerken oder Computersystemen; (iii) Versäumnis des Kunden, alle erforderlichen Einwilligungen, Genehmigungen und Lizenzen, einschließlich, jedoch nicht beschränkt auf, in Verbindung mit Informationen, Netzwerken oder Computersystemen des Kunden zu erhalten; (iv) Garantieverletzung durch den Kunden; (v) Verletzung dieser Vereinbarung durch den Kunden; (vi) Nutzung der Dienste durch Kunden oder verbundene Unternehmen; (vii) Fahrlässigkeit, vorsätzliches Fehlverhalten oder andere rechtswidrige Handlungen oder Unterlassungen des Kunden; und (viii) Ansprüche, die dies behaupten Phoenix NAP war nicht berechtigt, vom Kunden angeforderte Dienstleistungen zu erbringen.

In diesem Abschnitt werden die ausschließlichen Rechtsbehelfe jeder Partei für Ansprüche oder Handlungen Dritter aufgeführt, und nichts in dieser Vereinbarung oder anderswo verpflichtet eine Partei, der anderen Partei eine größere Entschädigung zu gewähren.

10. UNTERAUFTRAG

Phoenix NAP kann diese Vereinbarung oder Rechte, Pflichten, Pflichten oder Verbindlichkeiten aus dieser Vereinbarung ganz oder teilweise abtreten, untervergeben oder delegieren, sofern dies gesetzlich oder anderweitig vorgesehen ist Phoenix NAP bleibt für die Erbringung von Dienstleistungen im Rahmen dieser Vereinbarung verantwortlich. Andernfalls darf keine Partei diese Vereinbarung ohne die Erlaubnis der anderen Partei abtreten. Diese Erlaubnis darf nicht unangemessen zurückgehalten, konditioniert oder verzögert werden.

11. GEBÜHREN

In den Unterabschnitten dieses Abschnitts werden die wiederkehrenden und einmaligen Gebühren und Entgelte gemäß diesem Zeitplan definiert.

  1. Monatlich wiederkehrende Gebühren
  2. Die anfänglichen monatlichen wiederkehrenden Gebühren sind die anfänglichen monatlichen Gebühren, die für diesen Zeitplan erhoben werden. Diese Gebühr kann im gegenseitigen Einvernehmen von Kunde und Anbieter aufgrund von Änderungen an den ursprünglichen Konfigurationen, abgedeckten Geräten oder anderen ähnlichen Umgebungsvariablen geändert werden.

  3. NICHT WIEDERHOLENDE SERVICEGEBÜHREN
  4. Die mit diesem Zeitplan verbundenen einmaligen Dienstleistungen und Gebühren umfassen, ohne darauf beschränkt zu sein, Gebühren außerhalb des Geltungsbereichs und / oder Gebühren für damit verbundene Arbeitskräfte und andere Dienstleistungen, die im Rahmen einer Leistungsbeschreibung oder für die Migration / Installation / Implementierung erbracht werden der Produktionsumgebung des Kunden von seinem aktuellen Status zu der des Anbieters Cloud/ Hosting-Umgebung oder für andere vom Anbieter und Kunden vereinbarte Zwecke, einschließlich, aber nicht beschränkt auf diejenigen, die in einer Leistungsbeschreibung als einmalige oder einmalige Gebühren oder Dienstleistungen definiert sind, unabhängig davon, ob sie zum Zeitpunkt oder nach der Ausführung von erstellt wurden diese Vereinbarung.

  5. ERSTE EINRICHTUNGSGEBÜHREN
  6. Die anfänglichen Einrichtungsgebühren und Gebühren für diesen Zeitplan sind die einmaligen einmaligen Gebühren, die mit der anfänglichen Einrichtung der Dienste des Kunden verbunden sind. Diese Gebühr kann im gegenseitigen Einvernehmen zwischen Kunde und Anbieter aufgrund von Änderungen der ursprünglichen Konfigurationen, des Umfangs, der abgedeckten Geräte oder anderer ähnlicher Umgebungsvariablen geändert werden. Die Gebühren für die Ersteinrichtung enthalten keine Gebühren für die Datenmigration. Die Datenmigrationsgebühren werden in einer separaten Arbeits- oder Projektaufstellung angegeben und abgedeckt.

v.1; 05212018