Service Level Agreement
Diese Anlage („SLA-Anlage“) unterliegt den Bedingungen in den Abschnitten 2.2 (Bereitstellung von Diensten) und 2.3 (Schutz von Kundendaten).
Zusammenfassung der Schweregrade und Reaktionszeiten
Klassifizierung | Beschreibung des Fehlers | Reaktion |
Level 1 | Kritisch, es ist keine richtige Arbeit möglich. | Behebung innerhalb von 2 Stunden, 90 % der Zeit. |
Level 2 | Schwerwiegende Auswirkungen, wesentliche Funktionen außer Betrieb. Fehler führen zu zwischenzeitlichem Systemausfall. Leistungsprobleme. | Wenn das Problem nicht innerhalb von 24 Stunden behoben wird, Statusmeldung mit dem voraussichtlichen Zeitrahmen für die Behebung bzw. die nächste Statusmeldung. |
Level 3 | Beeinträchtigung von Abläufen/minimale Auswirkungen, Ausfall nicht kritischer Funktionen. | Regelmäßige Statusmeldung bis zur Behebung. |
Verfügbarkeit
Planmäßige Verfügbarkeit | 7 Tage die Woche, 24 Stunden am Tag. |
Planmäßige Betriebszeit | 99,5 % der planmäßigen Verfügbarkeit. |
Planmäßige Ausfallzeiten | Jegliche Ausfallzeit, über die der Kunde im Voraus benachrichtigt wird. |
Wartungsarbeiten werden im Voraus geplant, um Auswirkungen auf die Dienstbereitstellung zu vermeiden, typischerweise samstags als Zeitfenster von 4 Stunden beginnend um 2 Uhr Eastern Time.
Die Dienste sind jeden Monat während der Laufzeit 99,5 % der Zeit verfügbar, mit Ausnahme der planmäßigen, mit dem Kunden vereinbarten Wartungsarbeiten.
Nachtrag zu Sicherheit und Notfallwiederherstellung
A. Allgemeines. ServiceChannel.com, Inc. („Unternehmen“, „wir“ oder „unser“) ist der Ansicht, dass Daten ein äußerst wertvoller Vermögenswert sind, der geschützt werden muss. Daher haben wir ein Datensicherheitsprogramm (das „Programm“) entwickelt und implementiert, das in diesem Nachtrag zu Sicherheit und Datenwiederherstellung (der „Nachtrag“) näher beschrieben wird. Das Ziel des Programms ist der effektive Schutz personenbezogener und anderer sensibler Daten in Bezug auf den Betrieb, die Kunden und Geschäftspartner des Unternehmens (zusammen „sensible Daten“).
B. Definitionen. Für die Zwecke dieses Nachtrags haben die folgenden Begriffe die folgenden Bedeutungen, wenn sie (im englischen Original) großgeschrieben werden:
- „Datenvorfall“ bezeichnet jede unbefugte Offenlegung oder Nutzung, jeden unbefugten Erwerb, Verlust oder Zugriff auf sensible Daten, die sich aus einer Verletzung oder Gefährdung der Unternehmenssysteme ergeben.
- „Datenschutz- und Sicherheitsanforderungen“ bezeichnet, soweit zutreffend: (i) gesetzliche Anforderungen (bundes-, einzelstaatliche, lokale und internationale Gesetze, Regeln und Vorschriften sowie behördliche Anforderungen) in Bezug auf die Speicherung und Erhebung sensibler Daten; und (ii) allgemein anerkannte Branchenstandards in Bezug auf Datenschutz, Vertraulichkeit oder Sicherheit sensibler Daten.
- „Sicherheitskoordinator“ bezeichnet einen Mitarbeiter auf Führungsebene, der für die Umsetzung, Koordination und Aufrechterhaltung des Programms, einschließlich u. a. die Schulung des Personals, regelmäßige Tests der Sicherheitsvorkehrungen des Programms und die Bewertung von Drittanbietern verantwortlich ist.
- „Unternehmenssysteme“ bezeichnet die Informationstechnologiesysteme und -geräte des Unternehmens, die sensible Daten speichern, verarbeiten und/oder übermitteln, einschließlich u. a. das Netzwerk, die Datenbanken, Computer und Mobilgeräte des Unternehmens, soweit zutreffend.
C. Sensible Daten. Zur Klarstellung: Sensible Daten beinhalten:
- Alle Daten, die eine Person persönlich identifizieren (einschließlich u. a. Name, Postanschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Sozialversicherungsnummer, Führerscheinnummer, andere von der Regierung ausgestellte Kennnummer, Finanzkontonummer oder Kredit- oder Debitkartennummer).
- Alle finanziellen, geschäftlichen, rechtlichen und technischen Daten, die vom Unternehmen im Rahmen seiner Geschäftstätigkeit entwickelt, erhoben, erfahren oder erlangt werden und die vernünftigerweise als vertraulich angesehen werden sollten, einschließlich Daten, die den Kunden des Unternehmens gehören oder sich auf diese beziehen.
D. Sicherheitsprogramm. Das Unternehmen entwickelt, implementiert und pflegt das Programm, um so angemessene administrative, technische und physische Sicherheitsvorkehrungen zum Schutz der Vertraulichkeit und Sicherheit sensibler Daten zu treffen. Das Unternehmen muss das Programm zudem regelmäßig überprüfen und aktualisieren und die Entwicklungen in den Bereichen Technologie, Datenschutz- und Sicherheitsanforderungen sowie Branchenstandardpraktiken berücksichtigen. Derzeit umfasst der Schutz für Unternehmenssysteme:
- Benutzerauthentifizierungskontrollen, einschließlich sicherer Methoden zur Zuweisung, Auswahl und Speicherung von Zugriffsdaten, zur Beschränkung des Zugriffs auf entsprechend befugte Benutzer und zur Sperrung des Zugriffs nach einer angemessenen Anzahl fehlgeschlagener Authentifizierungsversuche.
- Zugriffskontrollen und physische Sicherheitsmaßnahmen, einschließlich Kontrollen zur Beschränkung des Zugriffs auf sensible Daten auf Personen, die nachweislich einen entsprechenden Geschäftsbedarf haben, unterstützt durch geeignete Richtlinien, Protokolle und Kontrollen zur Ermöglichung der Einrichtung, Änderung und Beendigung der Zugriffsberechtigung.
- Regelmäßige Überwachung der Unternehmenssysteme zur Prävention von Verlust oder unbefugtem Zugriff auf sensible Daten oder von deren Erwerb, Nutzung oder Offenlegung.
- Technische Sicherheitsmaßnahmen wie Firewalls, Virenschutz, Sicherheitspatch-Management und Angriffserkennung.
- Laufende Schulungs- und Sensibilisierungsprogramme, die sicherstellen sollen, dass Mitarbeiter und andere, die im Namen des Unternehmens handeln, die Richtlinien, Verfahren und Protokolle des Programms kennen und befolgen.
- Laufende Anpassung des Programms auf der Grundlage regelmäßiger Risikobewertungen, umfassender Evaluierungen (wie z. B. Bewertung durch Dritte) des Programms und Überwachung und regelmäßige Prüfung der Wirksamkeit von Schutzmaßnahmen. Eine solche Überprüfung muss mindestens einmal jährlich erfolgen, wobei eine zusätzliche Überprüfung immer dann erfolgt, wenn es eine wesentliche Änderung der technischen Umgebung oder der Geschäftspraktiken des Unternehmens gibt, die die Sicherheit der Unternehmenssysteme betrifft. Die Systeme des Unternehmens wurden als mit SSAE 18 (SOC 1 Typ II und SOC 2 Typ II) konform zertifiziert.
E. Zugriffskontrolle.
- Die Unternehmensleitung bietet Orientierung bei der Schaffung einer sicheren Zugriffsumgebung durch die Einrichtung von Zugriffsmanagementrichtlinien, die Genehmigung von Rollen und Verantwortlichkeiten und die einheitliche Koordination von Sicherheitsbemühungen über das gesamte Unternehmen hinweg.
- Etwaige Rechte zur Nutzung und zum Zugriff auf Unternehmenssysteme basieren auf den Zugriffsrechten der einzelnen Benutzer. Zugriffsrechte werden auf der Grundlage eines spezifischen geschäftlichen Bedarfs (d. h. nach dem „Need-to-know“-Prinzip) nur denjenigen Mitarbeitern gewährt, die einen solchen Zugriff benötigen, um ihre Aufgaben gemäß den Vorgaben der Unternehmensleitung zu erledigen.
- Alle Ressourcen, Systeme und Anwendungen des Unternehmens verfügen über Zugriffskontrollen, sofern sie nicht ausdrücklich als öffentlich zugängliche Ressourcen ausgewiesen sind.
- Der physische Zugang zu Standorten, an denen sensible Daten gespeichert werden, wird nur den Mitarbeitern und Dienstleistern gewährt, die diesen Zugriff benötigen, um ihre zugewiesenen Aufgaben zu erledigen bzw. Dienste bereitzustellen. Bereiche mit sensiblen Daten werden nach Möglichkeit vor potenzieller Zerstörung oder Beschädigung durch physische Gefahren wie Brand oder Hochwasser geschützt.
- Die Mitarbeiter, Zeitarbeiter, Auftragnehmer, Berater und anderen Arbeitskräfte des Unternehmens, einschließlich aller Mitarbeiter, die mit Dritten verbunden sind, sind dafür verantwortlich, an der Aufrechterhaltung des sicheren Zugriffs auf die Unternehmenssysteme mitzuwirken und sicherzustellen, dass das Unternehmen seine Datenschutzrichtlinie einhält.
F. Verschlüsselung.
- Das Unternehmen verwendet branchenführende Technologien und Methoden zum Schutz sensibler Daten. Alle sensiblen Daten werden während der Übermittlung und im Ruhezustand verschlüsselt. Sensible Daten im Ruhezustand werden mit einer starken AES_256-Verschlüsselung verschlüsselt. Alle sensiblen Daten werden während der Übermittlung mit SSL-Zertifikaten verschlüsselt, die über einen 2048-Bit-RSA-Schlüssel („starke SSL-Sicherheit“) verfügen. Die Bereitstellung einer End-to-End-Verschlüsselung durch das Unternehmen für alle Diensttransaktionen über SSL/TLS gilt als bewährte Branchenpraxis. Gegebenenfalls wird die Verschlüsselung mit modernen Protokollen wie TLSv1.2 durchgeführt. Das Unternehmen verschlüsselt Wartungsdaten bzgl. Kundeneinrichtungen, die über die Website des Unternehmens übermittelt werden, einschließlich Unternehmens- und Kontaktdaten, Dienstanfragen und Arbeitshistorie, Berichten, Angeboten und Rechnungen. Daten werden chiffriert und dann an den Browser eines Benutzers übermittelt, wo sie automatisch entschlüsselt werden. Andere Datenübermittlungsmethoden, wie FTP/sFTP/AS2, können ebenfalls mit Standard Secure Protocols (SSL oder SSH) verschlüsselt werden.
G. Systemüberwachung, -schutz und -sicherung.
- Das Unternehmen überwacht die Unternehmenssysteme angemessen auf die unbefugte Nutzung sensibler Daten oder den unbefugten Zugriff darauf.
- Das Unternehmen beauftragt, entweder intern oder auf Beraterbasis, mindestens einen Techniker zu Zwecken des Supports und der routinemäßigen Wartung der Unternehmenssysteme sowie zur Meldung aller tatsächlichen oder versuchten Angriffe oder Eindringungsversuche bzgl. der Unternehmenssysteme.
- Software zum Schutz vor Malware ist auf allen Computern installiert, auf denen sensible Daten gespeichert sind. Mindestens einmal pro Jahr werden alle Betriebssysteme und Anwendungen mit allen zum entsprechenden Zeitpunkt verfügbaren Sicherheitspatches oder anderen sicherheitsbezogenen Verbesserungen aktualisiert, die von ihren Anbietern zur Verfügung gestellt werden. Soweit Mitarbeiter zur Erledigung ihrer Aufgaben Heimcomputer oder Remote-Access-Geräte verwenden, ist auf solchen Heimcomputern oder Remote-Access-Geräten Software zum Schutz vor Malware zu installieren.
- Soweit Mitarbeitern Remote-Access-Geräte wie Laptops und drahtlose Handheld-Geräte zur Verfügung gestellt werden, kennzeichnet das Unternehmen diese entsprechend und führt eine jährliche Bestandsaufnahme dieser durch.
- Auf Unternehmenssystemen gespeicherte sensible Daten werden regelmäßig gesichert. Alle sensiblen Daten werden redundant gespeichert und in Rechenzentren auf mehrere physische Standorte verteilt. Kernsysteme des Unternehmens werden so eingesetzt, dass bei Ausfall eines Rechenzentrums oder einzelner Geräte genügend Kapazität vorhanden ist, damit der Datenverkehr ausbalanciert und zu den verbleibenden Standorten umgeleitet werden kann. Mittels einer cloudbasierten Bereitstellung isoliert das Unternehmen seine Anwendung von den internen Servern seiner Kunden, um das Risiko eines unbefugten Zugriffs auf die internen Systeme des Unternehmenskunden zu reduzieren.
- Das Unternehmen unterhält redundante, Cloud-IP-basierte Telekommunikationssysteme. Dazu gehören die Telefon-, Callcenter- und IVR-Systeme des Unternehmens. Im Falle eines Problems bei der Weiterleitung von Anrufen an das primäre Telekommunikationssystem des Unternehmens werden die Anrufe automatisch an alternative Systeme umgeleitet.
H. Bewertung und Anpassung des Programms.
- Die Unternehmensleitung muss die vernünftigerweise vorhersehbaren internen und externen Risiken für die Sicherheit und Vertraulichkeit sensibler Daten regelmäßig neu bewerten.
- Das Unternehmen behält sich jederzeit das Recht vor, die Bedingungen dieses Programms zu überarbeiten. Alle Mitarbeiter werden über etwaige Aktualisierungen in angemessener Weise informiert. Das Personal ist dafür verantwortlich, die in diesem Dokument dargelegten Regeln zu erfassen oder ggf. um Klärung zu bitten und sich mit der aktuellsten Version dieses Programms vertraut zu machen.
- Die Unternehmensleitung wird das Programm regelmäßig bewerten und anpassen, um Folgendes zu berücksichtigen: (a) die aktuelle Risikobewertung sowie Management- und Kontrollaktivitäten; (b) neue Risiken oder Schwachstellen, die vom Top-Management des Unternehmens mittels der oben dargelegten Standards identifiziert wurden; (c) technologische Änderungen, die den Schutz sensibler Daten beeinträchtigen könnten; (d) wesentliche Änderungen am Geschäft des Unternehmens, einschließlich der Größe, des Umfangs und der Art der Geschäftstätigkeit des Unternehmens; (v) die Menge der dem Unternehmen zur Verfügung stehenden Ressourcen; (vi) die Menge an sensiblen Daten, die vom Unternehmen gespeichert oder aufbewahrt werden; (vii) Vorliegen eines erhöhten Bedarfs an Sicherheit und Vertraulichkeit sensibler Daten; und (viii) alle anderen Umstände, die nach Ansicht der Unternehmensleitung wesentliche Auswirkungen auf das Programm haben könnten.
I. Personal und Dienstleister.
- Das Unternehmen muss sein Personal und andere Personen, die in seinem Namen handeln, wie notwendig und angemessen beaufsichtigen, um die Vertraulichkeit und Sicherheit sensibler Daten zu wahren.
- Vor der Beauftragung eines externen Dienstleisters, der sensible Daten erhalten kann, ergreift das Unternehmen angemessene Schritte, um externe Dienstleister auszuwählen, die in der Lage sind, angemessene Sicherheitsmaßnahmen zum Schutz der sensiblen Daten aufrechtzuerhalten.
- Das Unternehmen muss den Zugriff einer Person auf die Unternehmenssysteme nach Beendigung der Anstellung oder Beauftragung der Person durch das Unternehmen so bald wie vernünftigerweise möglich beenden. Mitarbeiter, deren Beschäftigungsverhältnis endet, müssen alle Schlüssel, IDs, Zugangscodes, Ausweise, Visitenkarten und dergleichen, die den Zugang zu den Räumlichkeiten und/oder Zugriff auf die Systeme des Unternehmens ermöglichen, an das Unternehmen zurückgeben.
J. Datenvorfälle.
- Im Falle eines Datenvorfalls führt der Sicherheitskoordinator eine Überprüfung der Ereignisse nach dem Vorfall durch und entscheidet über die geeigneten Maßnahmen, um den Datenvorfall zu begrenzen und seine Auswirkungen zu mindern.
- Der Sicherheitskoordinator ist für die Zusammenstellung eines qualifizierten Vorfallreaktionsteams verantwortlich, das für die Handhabung von Angelegenheiten im Zusammenhang mit dem Datenvorfall verantwortlich ist.
- Falls erforderlich, nimmt der Sicherheitskoordinator nach einem Datenvorfall Änderungen an den Geschäftspraktiken in Bezug auf den Schutz sensibler Daten vor.
- Der Sicherheitskoordinator dokumentiert das Vorstehende und legt der Unternehmensführung einen entsprechenden Bericht vor.
K. Sichere Rückgabe oder Entsorgung. Das Unternehmen muss sensible Daten, ob in Papier- oder elektronischer Form, auf sichere Weise zurückgeben oder entsorgen.