Descripción de los servicios Servicio de Protección Administrada para Servidores (“Managed Protection Services for Servers”) 1. Alcance de los Servicios El Servicios de Protección Administrada para Servidores (en idioma inglés denominado “IBM Managed Protection Services for Servers” y en adelante referenciado como “MPS for Servers”) está diseñado para brindar una protección activa a los dispositivos de servidor, a lo largo de una variedad de plataformas y sistemas operativos, utilizando un agente de Proventia® Server (denominado “Agente”). MPS for Servers ayuda a brindar una protección preventiva tanto de los ataques locales como de los basados en la red. IBM ofrece MPS for Servers en los siguientes niveles de servicio alternativos. MPS for Servers – Standard MPS for Servers – Select Ambos se encuentran descritos en detalle más adelante. Los detalles de su orden (por ejemplo, los servicios que requiere (incluyendo los niveles de servicio), el período contractual y los cargos) estarán especificados en una Orden. Las definiciones de la terminología específica de los servicios pueden encontrarse en www.ibm.com/services/iss/wwcontracts MPS for Servers – Standard y Select proveerán los siguientes servicios en soporte a los dispositivos de los productos: a. Protección basada en el servidor El Agente está diseñado para asegurar al sistema operativo subyacente (“SO”) evitando que los atacantes aprovechen tanto las vulnerabilidades del SO como las del nivel de las aplicaciones. b. Prevención de las Intrusiones Intrusion Prevention (Prevención de las Intrusiones) es un sistema de administración de seguridad para las computadoras y las redes que están diseñadas para identificar y bloquear las posibles violaciones a la seguridad (es decir, las intrusiones (ataques del exterior de la organización) y uso incorrecto (ataques del interior de la organización)). c. Protección de las aplicaciones de la Web El Agente está diseñado para brindar una capacidad de monitoreo, análisis y respuesta a las intrusiones para el tráfico codificado de secure sockets layer (“SSL”) tanto para los servidores de Apache como de Internet Information Server (“IIS”) Web. La siguiente tabla provee una visión general de los dispositivos del producto MPS for Servers para los niveles de servicio Standard y Select. Tabla 1 – Dispositivos del producto Dispositivos del Producto Protección basada en el servidor IDS/IPS Protección de las aplicaciones de la Web Nivel Standard Nivel Select Incluida Soporte para el bloqueo de los ataques enumerados en X-Force® Certified Attack List (“XFCAL”), y alerta de los incidentes de alta, media y baja gravedad. Incluida La siguiente tabla provee una visión general de los servicios de MPS for Servers, para los niveles de servicio Standard y Select, provistos en soporte a los dispositivos del producto listados precedentemente. INTC-7814-00 09/2007 Página 1 de 12 Tabla 2 - Servicios Dispositivo Nivel Standard Arranque, evaluación e implementación del proyecto Nivel Select Incluidos Administración de las políticas Política Standard IBM; el Cliente puede solicitar cambios si el tráfico legítimo estuviera bloqueado. Administración de los dispositivos IBM administra el Agente; el Cliente administra el servidor y el SO subyacentes Monitoreo de los eventos de seguridad Automatizado Virtual-SOC: Provee un acceso en tiempo real para las comunicaciones Automatizado y además un análisis humano en tiempo real las 24 horas del día, los 7 días de la semana MPS for Servers – Standard MPS for Servers – Standard está diseñado para proveer protección de los activos menos críticos y basados en el servidor del Cliente. Esto incluye la administración experta del Agente, las actualizaciones veloces del Contenido de Seguridad, el monitoreo de la disponibilidad del Agente, la información y la inteligencia en profundidad a través de Virtual-SOC, y la asistencia las 24 horas del día, los 7 días de la semana, a fin de resolver los problemas o de contestar las consultas relacionadas con el servicio. 2. Responsabilidades de IBM 2.1 Despliegue e Inicio 2.1.1 Recolección de datos Durante el despliegue y el inicio, IBM trabajará con el Cliente para desplegar un nuevo Agente o comenzará la administración de un Agente existente. 2.1.2 Arranque (Kickoff) del proyecto IBM enviará al Cliente un e-mail de bienvenida y llevará a cabo una llamada de arranque para: presentarle los contactos del Cliente al especialista en despliegues asignado; establecer las expectativas, y comenzar a evaluar los requisitos y el entorno del Cliente. IBM proveerá un documento llamado “Network Access Requirements”, que detalla cómo IBM se conectará, de una manera remota, con la red del Cliente y todo requisito técnico específico que permita dicho acceso. Normalmente, IBM se conectará a través de métodos estándares de acceso por Internet; sin embargo, una VPN site-to-site puede ser utilizada si fuera apropiado. 2.1.3 Evaluación Recolección de datos IBM le proveerá al Cliente un formulario para documentar la información detallada para la instalación inicial del Agente y los dispositivos de servicio asociados. Muchas de las consultas serán técnicas por naturaleza y ayudarán a determinar el diseño de la red del Cliente, los Hosts de la red y las políticas de seguridad deseadas. Una parte de los datos solicitados reflejará la organización del Cliente e incluirá los contactos de seguridad y las vías de escalamiento. Evaluación del entorno Al utilizar la información provista, IBM trabajará con el Cliente para comprender el entorno existente del mismo y creará una configuración e implementará una política de seguridad para el Agente. Si se migra de un Agente existente a uno más nuevo, IBM podrá utilizar la configuración y la política del Agente existente. Durante la evaluación, IBM podrá recomendar la adaptación de la política del Agente o el diseño de la red para mejorar la seguridad. INTC-7814-00 09/2007 Página 2 de 12 IBM trabajará con el Cliente para ayudar a determinar una óptima configuración del Agente basada en la configuración de la red y de los firewalls del Cliente, y las amenazas mundiales más activas (según lo determine el IBM Global Threat Operations Center). IBM podrá adaptar la política para reducir la cantidad de alarmas erróneas, si se requiriera. Evaluación del Agente existente Si IBM se hiciera cargo de un Agente existente, debería evaluar dicho Agente para asegurarse de que satisfaga ciertas especificaciones. IBM podrá requerir la actualización del software del Agente o del contenido de seguridad a las versiones más actuales a fin de proveer el servicio. Otro criterio requerido podrá incluir la adición o la remoción de aplicaciones y cuentas de usuarios. 2.1.4 Implementación Configuración remota Al encargarse de la administración de un Agente existente, IBM normalmente realizará la configuración de forma remota. Se le podrá solicitar al Cliente que cargue lo medios físicamente. Todos los Agentes administrados requerirán alguna configuración remota, la que podrá incluir el registro del Agente con la infraestructura de IBM Managed Security Services. 2.1.5 Transición a SOC Una vez que se ha configurado el Agente, físicamente instalado e implementado, y conectado a la infraestructura IBM Managed Security Services, IBM le brindará al Cliente la opción de tener una demostración de las capacidades de Virtual-SOC y la performance de las tareas comunes. El paso final del despliegue de los servicios ocurre cuando SOC se encarga de la administración y soporte del Agente y la relación con el Cliente. En ese momento, la fase de administración y soporte de los servicios actuales comienza oficialmente. Normalmente, IBM le presentará telefónicamente al Cliente el personal de SOC. 2.2 Administración y Soporte Actuales Luego de que el entorno de MPS for Servers - Standard ha sido establecido y durante cualquier período contractual de renovación, IBM proveerá MPS for Servers - Standard sobre una base de 24 horas del día / 7 días de la semana. 2.2.1 Prevención de Intrusiones (Intrusion Prevention) La tecnología de Intrusion Prevention permite que el Agente identifique los ataques. Si el Agente está instalado en línea, puede ayudar a bloquear los ataques a red. Administración de la política IBM configurará una política basada en el Agente y en el nivel de servicio comprado. IBM también mantendrá la política de Intrusion Prevention del Agente, permitiendo nuevas verificaciones de seguridad siguientes al release de las actualizaciones adicionales del Contenido de Seguridad. Las políticas estás configuradas, por omisión, para detectar y bloquear la actividad crítica de ataques, las explotaciones asociadas con los gusanos de propagación masiva y las firmas de denial of service (“DoS”). Monitoreo y escalamientos Todos los ataques cubiertos por la política del Agente serán informados a través de Virtual-SOC, incluyendo los datos amplios. Si el Agente está desplegado en línea con la funcionalidad de Intrusion Prevention, muchos de estos ataques habrán sido bloqueados y no se requerirá ninguna otra acción. Ya que la actividad maliciosa ocurre las 24 horas del día, los 7 días de la semana y el tráfico bloqueado es algo normal, no seguirá ningún escalamiento al bloqueo exitoso entrante del tráfico no deseado. IBM también da soporte al análisis automatizado para ciertas plataformas. Para estos Agentes con soporte, IBM generará alertas basadas en eventos entrantes de seguridad. Estos eventos de seguridad llamarán la atención de un analista de IBM para que realice una revisión. Los ataques accionables y validados serán tratados como Incidentes de Seguridad y serán escalados a los contactos designados del Cliente a través de e-mail y/o notificación de mensajería de texto basada en e-mails. Virtual-SOC permite que los Clientes visualicen e informen estas alertas, y provee un sistema de boletos con todos los adelantos para manejar y escalar internamente los Incidentes de Seguridad (Security Incidents). XFCAL INTC-7814-00 09/2007 Página 3 de 12 IBM configurará el Agente, basándose en una amplia lista predefinida de ataques, adaptada al entorno de red del Cliente. Cada Agente será implementado con XFCAL activada. XFCAL está diseñada para brindar protección de los ataques de alto riesgo que amenazan a las organizaciones en la actualidad. XFCAL es mantenida y actualizada trimestralmente en Virtual-SOC. Esta lista contiene muchos tipos de ataques incluyendo backdoors, Troyanos y gusanos. IBM actualizará la configuración del Agente a medida que cambien las amenazas. El Agente será monitoreado las 24 horas del día, los 7 días de la semana. 2.2.2 Detección de intrusiones ® Las capacidades de Intrusion Detection (Detección de Intrusiones) de IBM RealSecure Server Sensor aumentan las capacidades de Prevención de Intrusiones (Intrusion Prevention) del Agente proveyendo la capacidad de identificar y alertar acera de las actividades potencialmente sospechosas o inusuales. Al alertar pero no bloquear esta actividad, el Agente provee una visión completa de todo el tráfico que podrá tener impacto en la integridad del servidor, al tiempo que minimizará simultáneamente las interrupciones en el tráfico o en las solicitudes legítimas. Además, al combinar tanto los datos de la Detección de Intrusiones como los datos de la Prevención de Intrusiones los servidores Virtual-SOC, MPS for Servers Standard brindan una visión amplia de la estrategia de protección disponible basada en el servidor. Administración de la política IBM configurará una política basada en el Agente y el nivel de servicio comprado. IBM también mantendrá la política de Prevención de Intrusiones del Agente permitiendo nuevas verificaciones de seguridad siguientes al release de las actualizaciones adicionales del Contenido de Seguridad. Las políticas están configuradas, por omisión, para detectar y bloquear una actividad de ataque crítico, explotaciones asociadas con los gusanos de propagación masiva y las firmas de DoS. Cambios Si es tráfico legítimo es bloqueado inadvertidamente como resultado de redefiniciones de TCP o del bloqueo de Prevención de Intrusiones, el cliente podrá solicitar cambios en la política. Para los cambios de política del Agente solicitados por el Cliente IBM estará sujeta los SLAs listados en la sección titulada “Convenios de los Niveles de Servicio” de esta Descripción de Servicios. Las solicitudes de cambio de política están sujetas a la aprobación de IBM. Dicha aprobación no se mantendrá de forma irrazonable, sin embargo, entre otras razones, una solicitud podrá ser negada si el cambio de la política diera como resultado una gran cantidad de falsas alarmas. Si el Cliente es responsable de la administración del Agente, será solamente responsable de la aplicación de todos los cambios de política y de los filtros. Mantenimiento de la política actual IBM trabajará con el Cliente para mantener las estrategias de protección, incluyendo los tipos de comportamiento de bloqueo automático en el caso de los Agentes desplegados en línea. Sobre una base trimestral, IBM auditará las definiciones de la política del Cliente para verificar la precisión. Una vez por trimestre (a pedido del Cliente) IBM trabajará con el Cliente para revisar los Agentes que estén bajo administración e identificar los cambios recomendados a la estrategia de protección de la red. 2.2.3 Administración de los dispositivos IBM será el único proveedor de administración de dispositivos al nivel de software del Agente. IBM mantendrá el conocimiento del estado del sistema Agente, aplicará las actualizaciones del Agente y solucionará los problemas relacionados con el Agente, y trabajará con el Cliente para ayudar a asegurar que el dispositivo permanezca disponible. IBM monitoreará la disponibilidad del Agente las 24 horas del día, los 7 días de la semana. Las actualizaciones automáticas normales serán provistas para el software y el firmware. El Cliente será responsable de toda la administración del nivel del sistema operativo. La asistencia en línea podrá ser provista por IBM Professional Security Services (“PSS”) por una tarifa adicional. Conectividad de la administración INTC-7814-00 09/2007 Página 4 de 12 Todos los registros de seguridad, los eventos y los datos de administración viajan entre SOC y el Agente administrado a través de Internet. Los datos que viajen por Internet estarán codificados utilizando fuertes algoritmos de codificación estándares industriales siempre que sea posible, Las solicitudes de conectividad a través de medios alternos (por ejemplo, circuito de datos privado y/o VPN) serán abordadas sobre una base de caso-por-caso. Podrán aplicarse tarifas adicionales mensuales para ajustarse a los requisitos de conexión fuera de la conectividad estándar en banda. Plataformas de administración Para los Agentes de muchos vendors, IBM utilizará una plataforma de administración en las instalaciones de IBM para administrar el Agente. Para los productos de Proventia, IBM normalmente utilizará la infraestructura de administración de IBM SiteProtector™ para controlar la política y la configuración del Agente, para promocionar actualizaciones al Agente y para recibir, de una forma segura, datos del Agente utilizando el colector de eventos SiteProtector (denominado “Colector de Eventos”). En algunos casos, el Cliente ya podrá utilizar el SiteProtector y podrá elegir conectar el Agente con el Colector de Eventos en las instalaciones del Cliente. El Colector de Eventos del Cliente se conectará entonces con la infraestructura del SiteProtector en IBM. Esta configuración es comúnmente conocida como apilamiento (stacking). Todo Cliente que elija usar una configuración apilada del SiteProtector estará sujeto a responsabilidades adicionales. Almacenamiento de registros XPS sirve como un almacén de datos para los datos de eventos de una variedad de servicios de seguridad, aplicaciones y plataformas. A continuación del despliegue en Virtual-SOC, los registros migran a un medio de backup físico tal como una cinta o un DVD. El medio de backup es archivo en una instalación segura y controlada con respecto al entorno. Los datos archivados estarán disponibles durante un año desde la fecha de la creación del registro. A pedido del Cliente, IBM presentará una solicitud de ubicación y recuperación del medio. Las tarifas de consultas por hora se aplicarán por todo el tiempo dedicado a restaurar y preparar los datos en el formato solicitado del Cliente. Notificación de interrupción Si no se puede llegar al Agente a través de los medios estándares en banda, el Cliente será notificado telefónicamente utilizando un procedimiento de escalamiento predeterminado. A continuación del escalamiento telefónico, IBM comenzará a investigar los problemas relacionados con la configuración o la funcionalidad del dispositivo administrado. Actualizaciones de las aplicaciones Periódicamente, será necesario que IBM instale “parches” y actualizaciones del software para mejorar la performance del Agente, permitir la funcionalidad adicional y resolver los potenciales problemas en las aplicaciones. La aplicación de dichos “parches” y las actualizaciones podrán requerir un tiempo de inactividad de la plataforma o la asistencia del Cliente para completarse. Si se requiriera, IBM declarará una ventana de mantenimiento por adelantado y la notificación planteará claramente los impactos del mantenimiento programado y toda solicitud específica del Cliente. Actualizaciones del Contenido de Seguridad A fin de asegurar que muchas de las actuales amenazas sean adecuadamente identificadas, IBM actualizará las plataformas de seguridad con el Contenido de Seguridad más actual. El Contenido de Seguridad, entregado en la forma de nuevas verificaciones o firmas para el sistema de Prevención de Intrusiones, mejora las capacidades de seguridad del Agente. A discreción de IBM, las actualizaciones del Contenido de Seguridad podrán ser descargadas e instaladas en la plataforma de seguridad en cualquier momento. Dicha operación es transparente para los usuarios. Solución de problemas de los dispositivos Si el Agente no realiza lo esperado o es identificado como la fuente potencial de un problema relacionado con la red, IBM examinará la configuración y la funcionalidad del dispositivo por problemas potenciales. La solución de problemas podrá consistir en un análisis realizado por IBM fuera de línea o una sesión activa de solución de problemas entre IBM y el Cliente. IBM intentará resolver cualquier INTC-7814-00 09/2007 Página 5 de 12 problema técnico tan oportunamente como sea posible. Si el Agente es eliminado como la fuente de un problema dado, IBM no realizará otra resolución de problemas. 2.2.4 Virtual-SOC Virtual-SOC es una interfaz basada en la Web que está diseñada para permitir la entrega de los detalles claves del servicio y las soluciones de protección on demand. Virtual-SOC está estructurada para brindar una visión consolidada de la postura total de seguridad del Cliente. El portal puede combinar los datos de múltiples geografías p tecnologías en una interfaz común permitiendo un amplio análisis, alertas, recursos e informes. Virtual-SOC brinda acceso en tiempo real para las comunicaciones incluyendo la creación de boletos, el manejo de eventos, la respuesta a los incidentes, la presentación de los datos, la generación de informes y el análisis de las tendencias. También provee acceso al registro de seguridad y a los datos de los eventos y la visibilidad del estado de la actividad de la red, las investigaciones de los Incidentes de Seguridad y el acceso a los históricos de eventos. Informes El Cliente tendrá acceso a una amplia información de los servicios, a través del portal de la Web de seguridad de IBM para revisar los boletos de servicios y los Incidentes de Seguridad en cualquier momento. Una vez por mes, IBM producirá un resumen que incluya: 3. a. cantidad de SLAs invocados y satisfechos; b. cantidad y tipo de solicitudes de servicio; c. lista y resumen de los boletos de servicios; d. cantidad de Incidentes de Seguridad detectados, prioridad y estado, y e. lista y resumen de los Incidentes de Seguridad. Responsabilidades del Cliente Al tiempo que IBM trabajará con el Cliente para desplegar e implementar el Agente, e IBM administrará el Agente, se le solicitará al Cliente trabajar con IBM de buena fe y asistirla en ciertas situaciones según ésta lo solicite. 3.1 Despliegue e Inicio Se le requerirá al Cliente completar un formulario a fin de proveer la información detallada acerca de la configuración de la red (incluyendo las aplicaciones y los servicios para los Hosts en la red protegida) y deberá trabajar con IBM de buena fe para evaluar con precisión la red y el entorno del Cliente. El Cliente deberá proveer los contractos dentro de la organización y especificar una vía de escalamiento a través de la organización en el caso en que IBM deba contactar al Cliente. El Cliente deberá asegurar que todo Agente existente satisfaga las especificaciones de IBM y deberá trabajar para satisfacer las recomendaciones de la red y los requisitos de acceso de la red del Cliente si se requirieran cambios para asegurar estrategias de protección factibles. 3.2 Administración y Soporte Actuales 3.2.1 Administración de la política El Cliente reconoce que IBM es la única parte responsable y que posee la autoridad para cambiar la política del Agente y/o la configuración (salvo que el Cliente haya elegido ser responsable de administrar totalmente su Agente de seguridad según MPS for Servers - Standard). 3.2.2 Administración de los dispositivos Hardware y Software El Cliente es responsable de mantener las licencias del hardware del software actuales y de mantener los contratos con el vendor apropiado. El Cliente es responsable de asegurar que los servidores que alberguen Agentes que no estén basados en Dispositivos satisfagan la mayor parte de los requisitos del sistema actual especificados por el vendor del Agente. El Cliente acuerda permitir que IBM actualice un Agente dentro de los 30 días calendarios siguientes a una solicitud de actualización inicial. Si el Cliente le niega a IBM el permiso de realizar la actualización durante este período, ambas partes acuerdan que se reunirán en conferencia para conversar sobre una INTC-7814-00 09/2007 Página 6 de 12 vía de actualización mudamente acordada. Los dispositivos que no puedan ser actualizados dentro de los siguientes 30 días ya no podrán contar con soporte como parte de esta Descripción de Servicios. Entorno físico El Cliente deberá proveer un entorno seguro y físicamente controlado para el Agente y el servidor. Sobre una base anual, el Cliente acuerda trabajar con IBM para revisar la configuración del hardware actual de los dispositivos administrador e identificar las actualizaciones solicitadas. Estas actualizaciones estarán basadas en los cambios identificados al SO y a las solicitudes de las aplicaciones. Entorno de la red El Cliente es responsable de realizar los cambios acordados al entorno de la red basándose en las recomendaciones de IBM. Se le solicitará al Cliente mantener una conexión a Internet activa y totalmente funcional en todo momento y deberá asegurar que el Agente sea accesible por Internet a través de una dirección de IP dedicada y estática. Plataformas de administración Los Clientes que alberguen su propia infraestructura de SiteProtector: a. deberán instalar una corriente de eventos para IBM, a través de Internet; b. deberán asegurar que sus Colectores de Eventos tengan direcciones de IP exclusivas y ruteables para enviar los eventos a IBM; c. deberán tener un Colector de Eventos dedicado a los dispositivos que IBM estará monitoreando de parte del Cliente. Dicho Colector de Eventos no podrá recibir eventos de los dispositivos para los cuales el Cliente no haya realizado un contrato con IBM para la administración y el monitoreo; d. deberán proveer a IBM un acceso administrativo total al servidor de aplicaciones de SiteProtector, a través de la consola del SiteProtector, a los fines de impulsar las actualizaciones y de controlar la política; e. se les podrá solicitar la actualización de su infraestructura de SiteProtector a fin de transferir los datos a la infraestructura de IBM Managed Security Services y f. no deberán alterar la política o la configuración del Agente fuera del procedimiento establecido de solicitud de cambios de la política. MPS for Servers – Select El servicio proveerá la misma función y los mismos dispositivos que para MPS for Servers – Standard e incluirá los dispositivos adicionales o expandidos según se establece más abajo. En relación con lo dicho precedentemente, IBM cumplirá con las responsabilidades según lo establecido en la sección titulada “MPS for Servers – Standard”, subsección “Responsabilidades de IBM” precedente. Además, IBM cumplirá con las responsabilidades establecidas en la sección titulada “MPS for Servers – Select”, subsección “Responsabilidades de IBM” de abajo. Usted acordará cumplir con todas las tareas establecidas en la sección titulada “MPS for Servers – Standard”, subsección “Responsabilidades del Cliente” precedentes. Además, usted acordará cumplir con las responsabilidades establecidas en la sección titulada “MPS for Servers – Select”, subsección “Responsabilidades del Cliente” de abajo. 4. 4.1 Responsabilidades de IBM Administración y Soporte Actuales Después de que el entorno MPS for Servers - Select haya sido establecido y durante cualquier período contractual de renovación, IBM proveerá MPS for Servers - Select sobre una base de 24 horas por día, los 7 días de la semana. 4.1.1 Monitoreo de los eventos de seguridad IBM aumentará las capacidades de análisis automatizado de la infraestructura de XPS con un monitoreo en vivo las 24 horas del día, los 7 días de la semana. En el caso en que se detectara una actividad maliciosa, IBM revisará las alertas relevantes y, si fuera necesario, generará un boleto de Incidente de Seguridad en Virtual-SOC. Los Incidentes de Seguridad accionables y validados serán escalados al INTC-7814-00 09/2007 Página 7 de 12 Cliente vía e-mail, notificación de mensaje de texto por e-mail o telefónicamente, dependiendo de la gravedad del evento declarado, según se describe en la sección titulada “Recursos del SLA” más abajo. Se le proveerá al Cliente una descripción del Incidente de Seguridad, el impacto potencial y un curso de acción recomendado, Se le enviará al contacto designado del Cliente un e-mail con los detalles del Incidente de Seguridad. Los ataques identificados cubiertos por la política del Agente serán informados a través de Virtual-SOC, incluyendo datos amplios. Si el Agente fuera desplegado en línea con la funcionalidad de Prevención de Intrusiones, muchos de estos ataques habrán sido bloqueados, y no se requerirá ninguna otra acción. Dado que la actividad maliciosa ocurre las 24 horas del día, los 7 días de la semana y el tráfico bloqueado es un hecho normal, no habrá a continuación ningún escalamiento al bloqueo entrante exitoso del tráfico no deseado. En el caso de una violación a la seguridad, los servicios de respuesta de emergencia de IBM estarán disponibles por una tarifa adicional. Dichos servicios podrán incluir evaluaciones de daños, creación de planes para la solución y/o exámenes forenses de los Hosts comprometidos. 5. Convenios de los Niveles de Servicio para los Niveles de Servicio Standard y Select Los SLAs de IBM establecen los objetivos del tiempo de respuesta y las contramedidas para los Incidentes de Seguridad que resulten de MPS for Servers – Standard y Select. Los SLAs son efectivos cuando se ha completado el proceso de despliegue, el dispositivo haya sido definido en “live” y el soporte y la administración del dispositivo haya sido exitosamente cambiada a SOC. Los recursos del SLA estarán disponibles siempre que el Cliente cumpla con sus obligaciones según se define en esta Descripción de Servicios. 5.1 Garantías del SLA Las garantías del SLA descriptas más adelante comprenden las métricas medidas para la entrega de MPS for Servers – Standard y Select. Salvo que se lo establezca explícitamente más adelante, no se aplicará ninguna garantía de ningún tipo a los servicios entregados según MPS for Servers – Standard y Select. Los recursos por incumplimiento de las garantías SLA están especificados en la sección titulada “Recursos del SLA”, más abajo. a. Garantía de la prevención de los Incidentes de Seguridad – todos los Incidentes de Seguridad de XFCAL serán exitosamente detenidos en los segmentos de la red del Cliente que estén protegidos y monitoreados por un Agente. b. Garantía de identificación de los Incidentes de Seguridad (disponible para MPS for Servers - Select solamente) – IBM identificará todos los Incidentes de Seguridad al nivel de Prioridad 1, 2 y 3 basándose en los datos de eventos del Agente recibidos por SOCs. IBM determinará si un evento es un Incidente de Seguridad, basándose en los requisitos empresariales del Cliente, la configuración de la red y la configuración del Agente. c. Garantía de respuesta a los Incidentes de Seguridad (disponible para MPS for Servers – Select solamente) - IBM responderá a todos los Incidentes de Seguridad identificados dentro de los 15 minutos. El contacto para los Incidentes de Seguridad designado del Cliente será notificado telefónicamente acerca de los Incidentes de Seguridad de Prioridad 1 y por e-mail acerca de los Incidentes de Seguridad de Prioridad 2 y 3. Durante el escalamiento de un Incidente de Seguridad de Prioridad 1, IBM continuará intentando comunicarse con el contacto del Cliente hasta lograrlo o hasta que se hayan agotado todos los contactos para el escalamiento. Las actividades operativas relacionadas con los Incidentes de Seguridad y las respuestas serán documentadas y fechadas con el sistema de boletas de problemas de IBM, el que deberá ser usado como la única fuente de información con autoridad a los fines de esta garantía del SLA. d. e. Garantía de reconocimiento de solicitudes de cambios de la política – IBM acusará recibo de la solicitud de cambios de la política del Cliente dentro de las dos horas de que IBM la haya recibido. Esta garantía sólo estará disponible para las solicitudes de cambios de la política presentadas por un contacto de seguridad válido de acuerdo con los procedimientos provistos. Garantía de la implementación de solicitudes de cambios de la política: (1) INTC-7814-00 09/2007 Nivel Standard – las solicitudes de cambios de la política del Cliente serán implementadas dentro de las 24 horas de ser recibidas por IBM, salvo que la solicitud haya sido colocada en Página 8 de 12 un estado de “hold” debido a la insuficiente información requerida para implementar la solicitud de cambios de la política presentada. (2) Nivel Select - las solicitudes de cambios de la política del Cliente serán implementadas dentro de las cuatro horas de ser recibidas por IBM, salvo que la solicitud haya sido colocada en un estado de “hold” debido a la insuficiente información requerida para implementar la solicitud de cambios de la política presentada Esta garantía sólo estará disponible para las solicitudes de cambios de la política presentadas por un contacto de seguridad válido de acuerdo con los procedimientos establecidos. f. Garantía de monitoreo proactivo de los sistemas: g. (1) Nivel Standard – se le notificará al Cliente dentro de los 30 minutos posteriores a que IBM determine que no se ha podido conectar con el Agente del Cliente a través de la conectividad de in-band estándar. (2) Nivel Select - se le notificará al Cliente dentro de los 15 minutos posteriores a que IBM determine que no se ha podido conectar con el Agente del Cliente a través de la conectividad de in-band estándar. Garantía de actualización del Contenido de Seguridad proactiva: (1) Nivel Standard– IBM iniciará la aplicación de nuevas actualizaciones del Contenido de Seguridad dentro de las 72 horas posteriores a que la actualización haya sido publicada como generalmente disponible por el vendor. (2) Nivel Select - IBM iniciará la aplicación de nuevas actualizaciones del Contenido de Seguridad dentro de las 48 horas posteriores a que la actualización haya sido publicada como generalmente disponible por el vendor. Tabla 3 – Resumen del SLA Convenio de los Niveles de Servicio 5.2 Standard Select Garantía de prevención de los Incidentes de Seguridad Aplicable Aplicable Garantía de identificación de los Incidentes de Seguridad No aplicable Aplicable Garantía de respuesta de los Incidentes de Seguridad Aplicable; respuesta dentro de los 30 minutos Aplicable; respuesta dentro de los 15 minutos Garantía de reconocimiento de la solicitudes de cambios de la política Aplicable; acuse de recibo dentro de las 2 horas de la recepción Aplicable; acuse de recibo dentro de las 2 horas de la recepción Garantía de implementación de las solicitudes de cambios de la política Aplicable; implementación dentro de las 24 horas de la recepción Aplicable; implementación dentro de las 8 horas de la recepción Garantía de monitoreo proactivo del Agente Aplicable; notificación dentro de los 30 minutos Aplicable; notificación dentro de los 15 minutos Garantía de actualización proactiva del Contenido de Seguridad Inicio de las actualizaciones dentro de las 72 horas Inicio de las actualizaciones dentro de las 48 horas Recursos del SLA NOTA AL N&C DEL PAÍS: Reemplace “U$S 25.000 (EE.UU.)” por el equivalente en su moneda local (es decir, dólares, euros, etc.). Como el único recurso por incumplimiento de alguna de las garantías descritas en la sección titulada “Garantías del SLA”, IBM acreditará en la cuenta del Cliente si la misma no cumpliera con dichas garantías durante algún mes calendario dado. Para todos los SLAs, el Cliente podrá obtener no más de un crédito para cada SLA por día, ni exceder un total por todos los SLAs de U$S 25.000 (EE.UU.) en un INTC-7814-00 09/2007 Página 9 de 12 mes calendario dado, según se establece más adelante en la sección titulada “Exclusiones y Estipulaciones del SLA”. Las recuperaciones específicas del SLA están listadas más adelante: a. Recurso de prevención del Incidente de Seguridad – si la garantía de prevención del Incidente de Seguridad no se cumpliera en un mes calendario dado, el Cliente tendrá un crédito por los cargos aplicables por las tarifas de un mes de MPS for Servers – Standard o Select (según sea de aplicación) por el Incidente de Seguridad inicial que no se previno. b. Identificación del Incidente de Seguridad y recursos de respuesta del Incidente de Seguridad – si la garantía no se cumpliera para algún mes calendario dado, la cuenta del Cliente tendrá un crédito por los cargos prorrateados según se especifica abajo: c. (1) Incidentes de prioridad 1: El no poder cumplir con la identificación del (de los) evento(s) de seguridad como un Incidente de Seguridad dará como resultado un crédito de un mes por el dispositivo inicial que informó el (los) evento(s). (2) Incidentes de prioridad 2: El no poder cumplir con la identificación del (de los) evento(s) de seguridad como un Incidente de Seguridad dará como resultado un crédito de una semana por el dispositivo inicial que informó el (los) evento(s) (3) Incidentes de prioridad 3: El no poder cumplir con la identificación del (de los) evento(s) de seguridad como un Incidente de Seguridad dará como resultado un crédito de un día por el dispositivo inicial que informó el (los) evento(s) Reconocimiento de las solicitudes de cambios de la política, implementación de las solicitudes de cambios de la política, monitoreo proactivo de los sistemas y recursos proactivos de actualización del Contenido de Seguridad – Si IBM no cumple con alguna de estas garantías, el Cliente recibirá un crédito por los cargos aplicables por un día de la tarifa de monitoreo mensual por el dispositivo afectado y, si fuera aplicable, la plataforma de seguridad específica administrada cuya garantía no fue cumplida. Tabla 4 – Resumen de los SLAs y los recursos Convenios de los Niveles de Servicio Recursos para MPS for Servers Garantía de prevención de los Incidentes de Seguridad Crédito por un mes de la tarifa de monitoreo mensual para MPS for Servers – nivel de servicio Standard o Select, según sea aplicable Garantía de identificación de los Incidentes de Seguridad Crédito de un mes, una semana o un día por el dispositivo inicial que informó el evento, según se indicara precedentemente Garantía de respuesta de los Incidentes de Seguridad Garantía de reconocimiento de los pedidos de cambios de la política Garantía de la implementación de las solicitudes de cambios de la política Crédito de 1 día de la tarifa de monitoreo mensual por el dispositivo afectado Garantía del monitoreo proactivo de los sistemas Garantía de las actualizaciones proactivas del contenido de seguridad 5.3 Mantenimiento Programado y de Emergencia del Portal El mantenimiento programado deberá significar todo mantenimiento: a. del cual el Cliente sea notificado con por lo menos cinco días de anticipación o NOTA AL N&C DEL PAÍAS: Reemplace “8:00 – 16:00” por su equivalente local. b. que sea realizado durante la ventana de mantenimiento mensual estándar el segundo sábado de cada mes de 8:00 – 16:00. Observe que el mantenimiento programado será provisto al contacto designado del Cliente. INTC-7814-00 09/2007 Página 10 de 12 Ninguna declaración en la sección titulada “Convenios de los Niveles de Servicio” impedirá que IBM lleve a cabo el mantenimiento de emergencia sobre una base de “según sea necesario” Durante dicho mantenimiento de emergencia, el punto de contacto principal del Cliente afectado recibirá una notificación dentro de los 30 minutos de comenzar el mantenimiento de emergencia y dentro de los 30 minutos de la finalización de cualquier mantenimiento de emergencia. 5.4 Exclusiones y Estipulaciones del SLA 5.4.1 Información del contacto del Cliente Múltiples SLAs requieren que IBM notifique al contacto del Cliente designado luego de que hayan ocurrido cientos eventos. En el caso de tal evento, el Cliente será solamente responsable de proveerle a IBM la información precisa y actual del contacto para el (los) contacto(s) designado(s). La información actual del contacto en los registros está disponible para los contactos autorizados a través de VirtualSOC. IBM será liberada de sus obligaciones según estos SLAs si la información del contacto de IBM estuviera desactualizada o fuera imprecisa debido a una acción u omisión. 5.4.2 Notificaciones sobre los cambios en la red / servidor del Cliente El Cliente será responsable de notificarle a IBM con anticipación acerca de cualquier cambio en la red o en el servidor del entorno del Agente. Si no se pudiera notificar con anticipación, se le solicitará al Cliente que lo haga dentro de los siete días calendarios de dichos cambios en la red o en el servidor. La notificación se completará por medio de la presentación o la actualización de un boleto del servidor crítico mediante Virtual-SOC. Si el Cliente no cumpliera en notificarle a IBM según lo establecido precedentemente, todos los recursos del SLA serán considerados nulos e inválidos. 5.4.3 Penas / Recursos máximos pagaderos al Cliente El total de los créditos del SLA (denominados “recursos”) provistos por los niveles de servicio MPS for Servers – Standard o Select descritos en las secciones tituladas “Garantías del SLA” y “Recursos del SLA” precedentes, no deberán exceder un total de U$S 25.000 (EE.UU.) en un mes calendario. 5.4.4 Tráfico de la red aplicable a los SLAs Ciertos SLAs se concentran en la prevención, la identificación y el escalamiento de los Incidentes de Seguridad. Estos SLAs asumen que el tráfico ha llegado exitosamente al Agente y, por lo tanto tendrá la capacidad de procesar el tráfico contra la política instalada y generar un evento registrado. El tráfico que no pase lógica o electrónicamente a través de un Agente, ni genere un evento registrado, no estará cubierto por estos SLAs. 5.4.5 Cumplimiento e informes del SLA El cumplimiento del SLA y los recursos asociados están basados en los entornos de red totalmente funcionales, Internet y la conectividad de circuitos, Agentes y los servidores adecuadamente configurados. Si el incumplimiento del SLA fuera causado por el hardware o el software de CPE (incluyendo algún o todos los Agentes), todos los recursos del SLA serán considerados nulos e inválidos. IBM proveerá el informe del cumplimiento del SLA a través de Virtual-SOC. 5.4.6 Prueba de las capacidades de monitoreo y de respuesta El Cliente podrá probar las capacidades de monitoreo y de respuesta de IBM representando una actividad de reconocimiento simulado o una real, ataques al sistema o a la red y/o compromisos del sistema. Estas actividades podrán ser iniciadas directamente por el Cliente o por un tercero contratado sin ninguna notificación por adelantado a IBM. Los SLAs no se aplicarán durante el período de dichas actividades de representación y no serán pagaderos los recursos si la(s) garantía(s) asociada(s) no se cumplieran. 6. Objetivos del Nivel de Servicios (SLOs) Los SLOs de IBM establecen objetivos no vinculantes para la provisión de ciertos dispositivos de MPS for Servers – niveles de servicio Standard Select. Los SLOs son efectivos cuando el proceso de despliegue se ha completado, el dispositivo haya sido definido en “live” y el soporte y la administración del dispositivo haya sido exitosamente cambiada a SOC. IBM se reserva el derecho de modificar estos SLOs mediante notificación por escrito con 30 días de anticipación. a. Virtual-SOC – IBM brindará un 99,9% del objetivo de accesibilidad para Virtual-SOC fuera de los períodos detallados en la sección titulada “Mantenimiento Programado y de Emergencia del Portal”. b. Emergencia de Internet – En el caso en que IBM declare una emergencia de Internet, será el objetivo de IBM notificar a los puntos de contactos especificados del Cliente vía e-mail dentro de INTC-7814-00 09/2007 Página 11 de 12 los 15 minutos de declarada la emergencia. Esta notificación incluirá un número de rastreo de incidente, el número de teléfono puente y el momento en el que IBM llevará a cabo un resumen de la situación. Durante las emergencias declaradas de Internet, IBM proveerá un resumen de la situación a través de conferencia telefónica en vivo y un e-mail resumido diseñado para brindar la información que el Cliente pueda utilizar para proteger su organización. Los resúmenes de situaciones siguientes al comienzo de una emergencia de Internet reemplazarán a cualquier requisito para que IBM provea determinados escalamientos al Cliente por eventos directa mente relacionados con la emergencia de Internet. IBM comunicará todos los otros incidentes de nivel de prioridad durante una emergencia de Internet, a través de sistemas automatizados tales como e-mail, buscador de personas y mail de voz. Se restaurarán las prácticas de escalamientos estándar al concluir la emergencia de Internet declarada. La terminación del estado de emergencia. La terminación de un estado de emergencia es marcada por una disminución en el nivel de AlertCon a AlertCon 2 o una notificación por e-mail entregada al contacto de seguridad autorizado del Cliente. 7. Otros Términos y Condiciones IBM se reserva el derecho de modificar esta Descripción de Servicios, incluyendo los SLAs, con una notificación por escrito con treinta (30) días de anticipación. INTC-7814-00 09/2007 Página 12 de 12