Contrato de nivel de servicio (Service Level Agreement, SLA)
Este anexo (“Anexo SLA”) está sujeto a los términos de las Secciones 2.2 (Prestación de servicios) y 2.3 (Protección de datos del Cliente).
Resumen de los niveles de gravedad y tiempo de respuesta
Clasificación | Descripción del fallo | Respuesta |
Nivel 1 | Muy dañino, no se puede realizar ningún trabajo útil. | Resolver en un plazo de 2 horas, el 90 % del tiempo. |
Nivel 2 | Impacto grave, funcionalidad principal desactivada. Errores que provocan fallos intermitentes del sistema. Problemas de rendimiento. | Si el problema no se resuelve en 24 horas, actualizar el estado con el plazo previsto para la resolución o la siguiente actualización. |
Nivel 3 | Operaciones degradadas/impacto mínimo, errores que causan un mal funcionamiento de una funcionalidad no esencial. | El estado se actualiza periódicamente hasta que se resuelve. |
Disponibilidad
Horas previstas | 7 días a la semana, 24 horas al día. |
Tiempo de actividad previsto | 99,5 % de las horas previstas. |
Tiempo de inactividad previsto | Cualquier tiempo de inactividad en el que se informe al Cliente con antelación. |
El mantenimiento previsto se programará para evitar el impacto en la prestación del servicio, generalmente los sábados durante una ventana que comienza a las 2:00 a.m. hora del este y con una duración de 4 horas.
Los servicios estarán disponibles el 99,5 % del tiempo en un mes determinado durante la Vigencia, excluyendo el mantenimiento previsto coordinado con el Cliente.
Adenda de seguridad y recuperación ante desastres
A. General. ServiceChannel.com, Inc. (“Empresa” “nosotros” o “nuestro”) estima que la información es un activo extremadamente valioso que debe protegerse. Por lo tanto, hemos creado e implementado un Programa de seguridad de la información (el “Programa”), tal como se describe con más detalle en esta Adenda de seguridad y recuperación de datos (la “Adenda”). El objetivo del Programa es la protección efectiva de la información de identificación personal y demás información confidencial relacionada con la actividad, los clientes y los socios comerciales de la Empresa (en conjunto, “Información sensible”).
B. Definiciones. A efectos de esta Adenda, los términos que aparecen a continuación tienen los siguientes significados siempre que se escriban con mayúscula inicial:
- “Incidente de datos” se refiere a cualquier acceso o adquisición, divulgación, uso o pérdida de carácter no autorizado de Información sensible que resulte de la violación o de la puesta en riesgo de los Sistemas de la Empresa.
- “Requisitos de privacidad y seguridad” se refiere, en la medida aplicable, a: (i) requisitos legales (leyes, normas y reglamentos federales, estatales, locales e internacionales, así como requisitos gubernamentales) relacionados con el almacenamiento y la recopilación de Información sensible; y (ii) normas del sector generalmente aceptadas en relación con la privacidad, la protección de datos, la confidencialidad o la seguridad de la Información sensible.
- “Coordinador de seguridad” se refiere a un empleado con categoría de gerente que es responsable de implementar, coordinar y mantener el Programa, lo que incluye, entre otros, la capacitación del personal, las pruebas regulares de las salvaguardas del Programa y la evaluación de proveedores de servicio externos.
- “Sistemas de la Empresa” se refiere a los sistemas y dispositivos de tecnología de la información de la Empresa que almacenan, tratan y/o transmiten Información sensible, incluidos, entre otros, la red, las bases de datos, los ordenadores y los dispositivos móviles de la Empresa, en la medida aplicable.
C. Información sensible. Para mayor claridad, la Información sensible incluye:
- Cualquier información que identifique personalmente a una persona (incluidos, entre otros, nombre, dirección postal, dirección de correo electrónico, número de teléfono, fecha de nacimiento, número de la Seguridad Social, número de permiso de conducir, otros números de identificación emitidos por el gobierno, número de cuenta financiera o número de tarjeta de crédito o débito).
- Toda información financiera, comercial, legal y técnica que la Empresa desarrolle, recopile, aprenda u obtenga en el transcurso de sus actividades comerciales que razonablemente se entendería como confidencial, incluida información perteneciente o referente a los clientes de la Empresa.
D. Programa de seguridad. La Empresa creará, implementará y mantendrá el Programa para incluir salvaguardas administrativas, técnicas y físicas razonablemente apropiadas a fin de proteger la confidencialidad y seguridad de la Información sensible. La Empresa también revisará y actualizará periódicamente el Programa, prestando atención a los avances tecnológicos, los Requisitos de privacidad y seguridad y las prácticas estándar del sector. Actualmente, la protección de los Sistemas de la Empresa incluye:
- Controles de autenticación de usuarios, incluidos métodos seguros para asignar, seleccionar y almacenar credenciales de acceso, limitar el acceso a usuarios autorizados y bloquear el acceso tras un número razonable de intentos de autenticación fallidos.
- Controles de acceso y medidas de seguridad de las instalaciones físicas, incluidos controles que limitan el acceso a la Información sensible a personas que tengan una necesidad comercial auténtica y demostrable de conocerla, reforzados con políticas, protocolos y controles adecuados para facilitar la autorización, el establecimiento, la modificación y la terminación del acceso.
- Supervisión periódica de los Sistemas de la Empresa para evitar la pérdida o el acceso, la adquisición, el uso o la divulgación no autorizados de Información sensible.
- Medidas de seguridad técnicas como protección de cortafuegos, protección antivirus, gestión de parches de seguridad y detección de intrusiones.
- Programas de formación y concienciación continuos, diseñados para garantizar que los miembros del personal y demás personas que actúen en nombre de la Empresa conozcan y cumplan las políticas, procedimientos y protocolos del Programa.
- Ajustes continuos al Programa basados en evaluaciones periódicas de riesgos, evaluaciones integrales (como evaluaciones de terceros) del Programa y supervisión y pruebas periódicas de la efectividad de las salvaguardas. Dicha revisión tendrá lugar al menos una vez al año y se realizará una revisión adicional siempre que se produzca un cambio sustancial en el entorno técnico o las prácticas comerciales de la Empresa que implique a la seguridad de los Sistemas de la Empresa. Los Sistemas de la Empresa han sido certificados como conformes a la SSAE 18 (SOC 1 Tipo II y SOC 2 Tipo II).
E. Control de acceso.
- La dirección de la empresa proporciona orientación para crear un entorno de acceso seguro mediante el establecimiento de políticas de gestión de acceso, la aprobación de funciones y responsabilidades y la coordinación coherente de los esfuerzos de seguridad en toda la empresa.
- Los derechos de uso y acceso a los Sistemas de la Empresa se basan en los privilegios de acceso de cada usuario. Los privilegios de acceso se conceden en función de una necesidad comercial específica (es decir, una “necesidad de conocer”) y se limitan únicamente a aquellos miembros del personal que requieran dicho acceso para realizar sus funciones laborales según lo determine la dirección de la Empresa.
- Todos los recursos, sistemas y aplicaciones de la Empresa tienen controles de acceso, a menos que se designen específicamente como un recurso de acceso público.
- El acceso físico a las ubicaciones donde se almacena la Información sensible se limita al personal y proveedores de servicio que requieren acceso para realizar sus funciones o servicios profesionales designados. Siempre que sea posible, las zonas de almacenamiento que contienen Información sensible estarán protegidas contra la posible destrucción o daños ocasionados por peligros físicos como incendios o inundaciones.
- Los empleados, trabajadores temporales, contratistas, consultores y demás trabajadores de la Empresa, incluido todo personal afiliado a terceros, son responsables de participar en el mantenimiento de un acceso seguro a los Sistemas de la Empresa y de garantizar que la Empresa cumpla con la Política de privacidad publicada.
F. Cifrado.
- La Empresa utiliza tecnologías y técnicas líderes en el sector para proteger la Información sensible. Toda la Información sensible se cifra en tránsito y en reposo. La información sensible en reposo se cifra mediante cifrado AES_256 con cifrado sólido. Toda la Información sensible en tránsito se cifra utilizando certificados SSL que ofrecen una clave RSA de 2048 bits (“seguridad SSL sólida”). La implementación de cifrado integral por parte de la Empresa para todas las transacciones de servicio a través de SSL/TLS representa una práctica recomendada del sector. Cuando proceda, el cifrado se negocia utilizando protocolos modernos como TLSv1.2. La Empresa cifra la información de mantenimiento de las instalaciones del cliente transmitida a través del sitio web de la Empresa, incluida información de contacto y de la Empresa, solicitudes de servicio e historial de trabajo, informes, propuestas y facturas. La información se codifica y luego se transmite al navegador de un usuario, donde se descifra automáticamente. Otros métodos de transmisión de datos, como FTP/sFTP/AS2, también se pueden cifrar utilizando protocolos seguros estándar (SSL o SSH).
G. Supervisión, protección y copia de seguridad del sistema.
- La Empresa supervisa razonablemente los Sistemas de la Empresa para detectar el uso o el acceso no autorizados a Información sensible.
- La Empresa contrata, ya sea de forma interna o como consultor, al menos a un técnico para proporcionar soporte y mantenimiento rutinario de los Sistemas de la Empresa y para informar de cualquier ataque o intrusión real o intento de ataque a la Empresa.
- Todos los ordenadores en que se almacena Información sensible tienen instalado software de protección contra malware. Al menos una vez al año, todos los sistemas operativos y aplicaciones se actualizan con el eventual parche de seguridad disponible actualmente u otras mejoras relacionadas con la seguridad que los proveedores pongan a disposición. En la medida en que el personal utilice ordenadores domésticos o dispositivos de acceso remoto para actividades profesionales, se instala software de protección contra malware en dichos ordenadores domésticos o dispositivos de acceso remoto.
- En la medida en que el personal reciba dispositivos de acceso remoto como ordenadores portátiles y dispositivos de acceso inalámbrico portátiles, la Empresa los etiqueta y realiza un inventario al menos una vez al año.
- La Información sensible almacenada en los Sistemas de la Empresa es objeto de una copia de seguridad de forma periódica. Toda la Información sensible se almacena y distribuye de forma redundante en centros de datos en múltiples ubicaciones físicas. Los Sistemas centrales de la Empresa están desplegados de modo que, en caso de fallo de un centro de datos o equipo individual, haya suficiente capacidad para permitir que el tráfico se equilibre y redirija a los sitios restantes. Al utilizar la implementación basada en la nube, la Empresa aísla su aplicación de los servidores internos de sus clientes para reducir el riesgo de acceso no autorizado a los sistemas internos de clientes de la Empresa.
- La Empresa mantiene sistemas de telecomunicaciones redundantes basados en IP en la nube. Esto incluye los sistemas telefónicos, el centro de llamadas y los sistemas IVR de la Empresa. En caso de que se produzca un problema al enviar llamadas al sistema de telecomunicaciones principal de la Empresa, las llamadas se redirigirán automáticamente a sistemas alternativos.
H. Evaluación y ajuste del Programa.
- La dirección de la Empresa volverá a evaluar periódicamente los riesgos internos y externos razonablemente previsibles para la seguridad y confidencialidad de la Información sensible.
- La Empresa se reserva el derecho de revisar las condiciones de este Programa en cualquier momento. Se cursará la pertinente notificación de las actualizaciones a todo el personal. El personal es responsable de comprender o solicitar aclaraciones sobre las reglas descritas en este documento y de familiarizarse con la versión más reciente de este Programa.
- La dirección de la Empresa evaluará y ajustará periódicamente el Programa según corresponda para abordar: (a) las actividades actuales de evaluación de riesgos, gestión y control; (b) nuevos riesgos o vulnerabilidades identificados por la alta dirección de la Empresa utilizando los estándares establecidos anteriormente; (c) cambios tecnológicos que puedan afectar a la protección de la Información sensible; (d) cambios sustanciales en la actividad de la Empresa, incluido el tamaño, alcance y tipo de negocio de la Empresa; (v) la cantidad de recursos disponibles para la Empresa; (vi) la cantidad de Información sensible almacenada o conservada por la Empresa; (vii) cualquier aumento de la necesidad de seguridad y confidencialidad de la Información sensible; y (viii) cualquier otra circunstancia que la dirección de la Empresa crea que pueda tener un impacto sustancial en el Programa.
I. Personal y proveedores de servicio.
- La Empresa ejercerá la supervisión necesaria y razonablemente adecuada sobre sus empleados y demás personas que actúen en su nombre para mantener la confidencialidad y seguridad de la Información sensible.
- Antes de contratar a un proveedor de servicios externo que pueda recibir Información sensible, la Empresa tomará las medidas razonables para seleccionar y confiar en proveedores de servicios externos que sean capaces de mantener medidas de seguridad adecuadas para proteger la Información sensible.
- La Empresa pondrá fin al acceso de una persona a los Sistemas de la Empresa tan pronto como sea razonablemente posible después de que dicha persona deje de ser empleada o estar contratada por la Empresa. El personal despedido debe entregar todas las llaves, identificaciones, códigos de acceso, credenciales, tarjetas de visita y similares que permitan el acceso a las instalaciones y/o sistemas de la Empresa.
J. Incidentes de datos.
- En caso de Incidente de datos, el Coordinador de seguridad llevará a cabo una revisión de los eventos posterior al incidente y decidirá las medidas adecuadas que se deben tomar para minimizar el incidente de datos y mitigar las consecuencias.
- El Coordinador de seguridad se encargará de reunir un equipo de respuesta a incidentes cualificado, que será responsable de gestionar los asuntos relacionados con el Incidente de datos.
- Si es necesario, el Coordinador de seguridad realizará cambios en las prácticas comerciales relacionadas con la protección de la información sensible después de un Incidente de datos.
- El Coordinador de seguridad documentará lo anterior y proporcionará un informe a la dirección.
K. Devolución o eliminaciones seguras. La Empresa devolverá o eliminará la Información sensible de forma segura, ya sea en papel o en formato electrónico