Políticas de Prestación y Alojamiento en la Nube de Oracle Fecha de Entrada en Vigencia: 1 de diciembre de 2014 Versión 1.4

Transcripción

1 Políticas de Prestación y Alojamiento en la Nube de Oracle Fecha de Entrada en Vigencia: 1 de diciembre de 2014 Versión 1.4 Salvo disposición en contrario, estas Políticas de Prestación y Alojamiento en la Nube de Oracle (las Políticas de Prestación ) describen los Servicios en la Nube (Cloud Services) de Oracle que usted ha ordenado. Estas Políticas de Prestación pueden hacer referencia a otros documentos de Políticas de Servicios en la Nube de Oracle; toda referencia al término Cliente en estas Políticas de Prestación o en cualquiera de tales documentos de políticas se interpretará como referencia al término su tal como se define en el documento de pedido. Los términos escritos en mayúscula inicial pero no definidos de otro modo en este documento tendrán los significados que se les atribuyen en el respectivo Contrato, documento de pedido o política de Oracle. Descripción y Contenido Los Servicios en la Nube que se describen en el presente se prestan de conformidad con los términos del contrato, el documento de pedido y estas Políticas de Prestación. La prestación de los servicios por parte de Oracle está condicionada al cumplimiento por parte de usted y de sus usuarios de sus obligaciones y responsabilidades definidas en tales documentos y políticas incorporadas. Estas Políticas de Prestación y los documentos citados en las mismas están sujetos a modificaciones a discreción de Oracle; no obstante, las modificaciones que Oracle efectúe a las políticas no tendrán como consecuencia una reducción substancial en el nivel de rendimiento, seguridad o disponibilidad de los Servicios en la Nube prestados durante el Período de Servicios. Acceso Oracle presta los Servicios en la Nube desde un espacio de centro de datos de propiedad de Oracle o arrendado por esta. Oracle define los requisitos de hardware y software, así como también la arquitectura de sistemas y redes, de los servicios. Oracle podrá acceder a su entorno de servicios para prestar los Servicios en la Nube, lo que incluye la prestación de soporte del servicio. Horario de Operación Los Servicios en la Nube están diseñados para estar disponibles las 24 horas del día, los 7 días de la semana, los 365 días del año, excepto durante los períodos de mantenimiento del sistema y actualizaciones tecnológicas y de acuerdo con lo establecido de otro modo en el contrato, el documento de pedido y estas Políticas de Prestación. Estas Políticas de Prestación y Alojamiento en la Nube incluyen lo siguiente: 1. Política de Seguridad de los Servicios en la Nube de Oracle 2. Política de Resiliencia del Sistema de los Servicios en la Nube de Oracle 3. Política de Objetivo de Nivel de Servicio en la Nube de Oracle 4. Política de Gestión de Cambios de los Servicios en la Nube de Oracle 5. Política de Soporte de los Servicios en la Nube de Oracle 6. Política de Suspensión y Terminación de los Servicios en la Nube de Oracle 1. Política de Seguridad de los Servicios en la Nube de Oracle 1.1 Cifrado del Usuario para Conexiones Externas El acceso del cliente al sistema es a través de la Internet. Para el acceso al Servicio en la Nube de Oracle, se dispone de tecnología de cifrado SSL. Las conexiones SSL se negocian para un cifrado de al menos 128 bits o más potente. La clave privada que se utiliza para generar la clave de cifrado es de al menos 2048 bits. El cifrado SSL es implementado o configurable para todas las aplicaciones con certificado SSL basadas en la Web y desplegadas en Oracle. Se recomienda utilizar los navegadores más recientes certificados para los programas de Oracle, que son compatibles con cifrados de mayor intensidad y cuentan con mejoras en la seguridad, para establecer la conexión con programas habilitados vía Web. La lista de navegadores certificados para cada Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 1 de 17

2 versión de los programas de Oracle puede consultarse en el Portal de Soporte al Cliente de los Servicios en la Nube designado por Oracle para el servicio específico ordenado (p. ej., el portal My Oracle Support). En ciertos casos, el sitio de un tercero utilizado con servicios en la nube que no se encuentra bajo el control de Oracle puede forzar una conexión no cifrada. En algunos casos, es posible que el sitio de un tercero (como Facebook) que el Cliente desea integrar al Servicio en la Nube no acepte una conexión cifrada. Para aquellos Servicios en la Nube en los que las conexiones HTTP con el sitio del tercero están permitidas por Oracle, Oracle habilitará tales conexiones HTTP en forma adicional a la conexión HTTPS. 1.2 Control del Acceso a la Red Los equipos de operaciones de los Servicios en la Nube de Oracle acceden a los entornos del Cliente a través de una conexión de red segregada, que está dedicada al control del acceso al entorno y aislada del tráfico interno de la red corporativa de Oracle. La autenticación, autorización y contabilización se implementan a través de mecanismos de seguridad estándar diseñados para garantizar que solo tengan acceso a los sistemas los ingenieros de soporte y operaciones autorizados. 1.3 Ancho de Banda y Latencia de Red Oracle no es responsable de las conexiones de red del Cliente ni de las condiciones o problemas que surjan en virtud o como consecuencia de las conexiones de red del Cliente (p. ej., problemas de ancho de banda, latencia excesiva, interrupciones del servicio en la red), o causados por la Internet. Oracle monitorea sus propias redes y notificará a los Clientes cualquier problema interno que pueda repercutir en la disponibilidad. 1.4 Controles Antivirus Los Servicios en la Nube de Oracle emplean software antivirus estándar de la industria para analizar los archivos cargados. Los virus detectados se eliminan (o se ponen en cuarentena) en forma automática, y se genera una alerta automática que inicia el proceso de respuesta ante incidentes de Oracle. Las definiciones de virus se actualizan diariamente. 1.5 Cortafuegos Los Servicios en la Nube de Oracle utilizan cortafuegos (firewalls) para controlar el acceso entre la Internet y los Servicios en la Nube de Oracle al permitir únicamente el tráfico autorizado. Los cortafuegos administrados por Oracle se despliegan en capas para llevar a cabo la inspección de paquetes con políticas de seguridad configuradas para filtrar paquetes basados en protocolo, puerto, dirección IP de origen y destino, según corresponda, a fin de identificar orígenes, destinos y tipos de tráfico autorizados. 1.6 Endurecimiento de Sistemas Oracle emplea prácticas estandarizadas de endurecimiento de sistemas en todos los dispositivos de los Servicios en la Nube de Oracle. Esto incluye la restricción del acceso al protocolo, la eliminación o inhabilitación de software y servicios innecesarios, la eliminación de cuentas de usuario innecesarias, la administración de actualizaciones de mantenimiento (patches), y el registro. 1.7 Protección de la Seguridad Física Oracle proporciona instalaciones informáticas protegidas tanto para ubicaciones de oficinas como para infraestructura en la nube de producción. Los controles comunes entre ubicaciones y co-ubicaciones de oficinas/centros de datos actualmente incluyen, entre otros, los siguientes: El acceso físico requiere autorización y es monitoreado. Todos deben usar una identificación oficial en forma visible mientras se encuentren en el sitio. Los visitantes deben firmar un libro de registro de visitas y ser acompañados y/u observados mientras permanezcan en el establecimiento. Se controla la posesión de llaves/tarjetas de acceso y la capacidad de acceder a las ubicaciones. El personal que deja su empleo en Oracle debe devolver las llaves/tarjetas. Existen otras medidas de protección de la seguridad física para todos los centros de datos de los Servicios en la Nube de Oracle, que en la actualidad incluyen medidas de protección tales como: Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 2 de 17

3 Los establecimientos son monitoreados por CCTV. Las entradas están protegidas por barreras físicas diseñadas para evitar el ingreso no autorizado de vehículos. Las entradas están vigiladas las 24 horas el día, los 365 días del año, por guardias de seguridad que realizan un reconocimiento visual de identidad y gestionan el acompañamiento de los visitantes. 1.8 Control de Acceso al Sistema y Administración de Contraseñas El acceso a los sistemas en la Nube se controla restringiendo el acceso únicamente al personal autorizado. Oracle aplica políticas de contraseña a los componentes de la infraestructura y los sistemas de administración en la nube utilizados para operar el entorno de los Servicios en la Nube de Oracle. Los controles de acceso al sistema incluyen autenticación en el sistema, autorización, aprobación de acceso, aprovisionamiento y revocación para empleados y cualquier otro 'usuario' definido por Oracle. El Cliente es responsable de la administración de todos los usuarios finales dentro del programa. Oracle no administra las cuentas de los Usuarios Finales del Cliente. El Cliente podrá configurar los programas y características de seguridad incorporadas adicionales. 1.9 Revisión de Derechos de Acceso Las cuentas del sistema operativo y de la red para los empleados de Oracle son revisadas en forma periódica para garantizar niveles de acceso apropiados para los empleados. En caso de terminación del empleo, Oracle adopta medidas sin demora para dar por terminado el acceso físico, a la red y a la telefonía de los ex empleados. El Cliente es responsable de administrar y revisar el acceso correspondiente a las cuentas de sus propios empleados Mantenimiento Relacionado con la Seguridad Oracle lleva a cabo la gestión de cambios y el mantenimiento relacionados con la seguridad según se define y describe en la Política de Gestión de Cambios de los Servicios en la Nube de Oracle. Para cualquier paquete de actualizaciones de mantenimiento de seguridad que Oracle ponga a disposición general para Programas de Oracle determinados, Oracle aplicará y probará el paquete de actualizaciones de mantenimiento de seguridad en un entorno de ensayo (stage environment) del respectivo Servicio en la Nube. Oracle aplicará el paquete de actualizaciones de mantenimiento de seguridad en el entorno de producción del Servicio en la Nube una vez que Oracle finalice en forma satisfactoria las pruebas en el entorno de ensayo Protección/Gestión de Datos Durante el uso de los servicios en la Nube de Oracle, los Clientes de los Servicios en la Nube de Oracle mantienen el control y la responsabilidad por sus datos que residen en su entorno. Los Servicios en la Nube de Oracle brindan una variedad de servicios de protección de la información configurables como parte del servicio suscrito. Los datos del Cliente se cargan o generan para el uso dentro de los Servicios en la Nube de Oracle Medios Físicos en Tránsito El personal designado por Oracle gestiona los medios y los prepara para el transporte de acuerdo con procedimientos definidos, y solo cuando sea necesario. Los medios digitales se registran, cifran, transportan en forma segura, y según sea necesario para el archivo de copia de seguridad (backup), archivados por un proveedor externo fuera del sitio. Los proveedores están contractualmente obligados a cumplir con los términos aplicables a la protección de medios definidos por Oracle Eliminación de Datos Una vez producida la terminación de los servicios (según se describe en la Política de Suspensión y Terminación de los Servicios en la Nube de Oracle) o a solicitud del Cliente, Oracle eliminará los entornos o datos que residan en ellos de una manera diseñada para garantizar que razonablemente no sea posible acceder a ellos o leerlos, a menos que exista una obligación legal impuesta a Oracle que le impida eliminar los entornos o datos, en todo o en parte. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 3 de 17

4 Respuesta ante Incidentes de Seguridad Oracle evalúa y responde ante incidentes que crean sospechas de acceso o manejo no autorizado de datos del Cliente, ya sea que los datos se mantengan en activos de hardware de Oracle o en los activos de hardware personales de empleados y trabajadores eventuales de Oracle. Cuando tales incidentes se informan a la organización de Seguridad de la Información Global (GIS) de Oracle, esta define las rutas de remisión a una instancia superior y los equipos de respuesta para abordar esos incidentes, según la naturaleza de la actividad. GIS trabajará con el Cliente, los equipos técnicos que correspondan, y las autoridades competentes cuando sea necesario, para responder al incidente. El objetivo de la respuesta ante incidentes consiste en restablecer la confidencialidad, integridad y disponibilidad del entorno del Cliente, y determinar las causas fundamentales y las medidas de corrección. El personal de operaciones cuenta con procedimientos documentados para abordar incidentes en los que el manejo de datos pueda haber sido no autorizado, lo que incluye la presentación inmediata y razonable de informes, procedimientos de remisión a una instancia superior y prácticas de la cadena de custodia. Si Oracle determina que los datos del Cliente han sido objeto de una apropiación indebida, Oracle le comunicará al Cliente dicha apropiación indebida dentro de los tres días hábiles de haberlo determinado, salvo prohibición legal Privacidad de los Datos El Contrato de Procesamiento de Datos para los Servicios en la Nube de Oracle ( Contrato de Procesamiento de Datos ), y la Política de Privacidad de los Servicios de Oracle, describen el tratamiento por parte de Oracle de los datos que residen en sistemas de Oracle (incluida la información personal identificable o PII ) a los que pueda brindarse acceso a Oracle en relación con la prestación de Servicios en la Nube. El Contrato de Procesamiento de Datos describe específicamente los respectivos roles de Oracle y del Cliente en cuanto al procesamiento y el control de los datos personales que el Cliente proporciona a Oracle como parte de los Servicios en la Nube. Estos documentos pueden consultarse en: Política de Privacidad de los Servicios de Oracle: Contrato de Procesamiento de Datos para los Servicios en la Nube de Oracle: Cumplimiento Normativo Los servicios en la Nube de Oracle son conformes a los controles de seguridad de la ISO (Organización Internacional de Normalización) 27001:2013. El marco de seguridad de la ISO incluye un conjunto integral de controles de seguridad que se utilizan como base de referencia para los controles de seguridad y operativos destinados a administrar y proteger el Servicio en la Nube de Oracle, aunque no incluye la certificación ISO Los controles internos de los Servicios en la Nube de Oracle están sujetos a pruebas periódicas llevadas a cabo por organizaciones de auditoría externas e independientes. Tales auditorías pueden estar basadas en la Declaración de Normas para Trabajos de Atestación (SSAE, por sus siglas en inglés) Nro. 16, Informe sobre Controles en una Organización de Servicios ( SSAE 16 ), la Norma Internacional para Trabajos de Verificación (ISAE, por sus siglas en inglés) Nro. 3402, Informes de Verificación sobre Controles en una Organización de Servicios ( ISAE 3402 ), o cualquier otra norma o procedimiento de auditoría externa aplicable al Servicio en la Nube de Oracle que corresponda. Los informes de auditoría de los Servicios en la Nube de Oracle son publicados en forma periódica por los auditores externos de Oracle. No obstante, es posible que los informes no estén disponibles para todos los servicios o en todo momento. El Cliente puede solicitar que se le envíe una copia del último informe de auditoría publicado que se encuentre disponible para un Servicio en la Nube de Oracle en particular. Los informes de auditoría de los Servicios en la Nube de Oracle, y la información que contienen, constituyen información confidencial de Oracle, y deben ser tratados por el Cliente en consecuencia. Dichos informes pueden ser utilizados por el Cliente únicamente para evaluar el diseño y la eficacia operativa de los controles definidos aplicables a los Servicios en la Nube de Oracle y se proporcionan sin garantía de ninguna especie. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 4 de 17

5 El Cliente continuará siendo exclusivamente responsable de su cumplimiento normativo en relación con el uso que haga de cualquier Servicio en la Nube de Oracle. El Cliente deberá informar a Oracle los requisitos técnicos que resulten de sus obligaciones reglamentarias antes de la firma del contrato. Ciertos Servicios en la Nube de Oracle cuentan con certificación conforme a normas PCI DSS o FISMA/NIST y certificaciones adicionales; la adhesión a marcos regulatorios específicos dentro del Servicio en la Nube de Oracle puede ofrecerse por una tarifa adicional. El Cliente no debe proporcionar a Oracle información de salud, de tarjetas de pago u otra información personal sensible que exija el cumplimiento de obligaciones específicas de carácter reglamentario, legal o de la industria relativas a la seguridad de los datos para el procesamiento de tales datos; no obstante, cuando estén disponibles para ciertos Servicios en la Nube, Oracle podrá ofrecer, para la compra por parte de los Clientes de los Servicios en la Nube, servicios adicionales diseñados para el procesamiento de datos regulados dentro del entorno de servicios. Tenga en cuenta que tales servicios adicionales no están disponibles para todos los Servicios en la Nube. Oracle entiende que ciertos Clientes pueden tener requisitos de auditoría reglamentarios y, en estos casos, Oracle cooperará con el Cliente según se describe en el Contrato de Procesamiento de Datos Garantía de Seguridad del Software de Oracle La Garantía de Seguridad del Software de Oracle (Oracle Software Security Assurance, OSSA) es la metodología de Oracle para incorporar la seguridad en el diseño, la configuración (build), la prueba y el mantenimiento de sus servicios. El programa de OSSA se describe en 2. Política de Resiliencia del Sistema de los Servicios en la Nube de Oracle 2.1 Estrategia de Copia de Seguridad de los Servicios en la Nube de Oracle Oracle efectúa en forma periódica copias de seguridad de los datos de producción existentes en el Servicio en la Nube del Cliente para el uso exclusivo de Oracle a fin de reducir al mínimo la pérdida de datos en caso de desastre. En general, Oracle no actualiza, introduce, elimina ni recupera datos del Cliente en nombre del Cliente. Sin embargo, con carácter excepcional y sujeto a la aprobación por escrito y tarifas adicionales, Oracle podrá brindar asistencia al Cliente para recuperar los datos que el Cliente haya perdido como consecuencia de sus propias acciones. 3. Política de Objetivo de Nivel de Servicio en la Nube de Oracle 3.1 Disposiciones sobre Disponibilidad del Servicio A partir de la activación por parte de Oracle del entorno de producción del Cliente, y siempre que este permanezca en cumplimiento de los términos del documento de pedido (incluido el contrato) y cumpla los requisitos mínimos de configuración técnica recomendados por Oracle para acceder y usar los servicios desde la infraestructura de red del Cliente y las estaciones de trabajo de los usuarios del Cliente de acuerdo con lo establecido en la Documentación del Programa del Servicio en la Nube, Oracle trabaja para cumplir con el Objetivo de Nivel de Disponibilidad del Servicio de conformidad con los términos estipulados en esta Política. En estas Políticas de Prestación, las referencias al término producción significan (i) en el contexto de las ofertas de Software como un Servicio de los Servicios en la Nube de Oracle, las instancias de producción de tales servicios, o (ii) en el contexto de las ofertas de Plataforma como un Servicio de los Servicios en la Nube de Oracle, las instancias de desarrollo de tales servicios. 3.2 Objetivo de Nivel de Disponibilidad del Sistema del Servicio en la Nube de Oracle Oracle trabaja para cumplir con un Objetivo de Nivel de Disponibilidad del Sistema del 99,5% del servicio de producción, para el período de medición de un mes calendario, a partir de la activación por parte de Oracle del entorno de producción. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 5 de 17

6 3.3 Definición de Disponibilidad y Tiempo de Inactividad No Programado Disponibilidad o Disponible significa que el Cliente puede iniciar sesión y acceder al OLTP o a una parte transaccional de los Servicios en la Nube de Oracle, con sujeción a las siguientes disposiciones. Tiempo de Inactividad No Programado se refiere al tiempo en que los servicios no están Disponibles pero no incluye el tiempo durante el cual los servicios o cualquiera de sus componentes no están Disponibles por las siguientes razones: el error o la degradación del rendimiento o el mal funcionamiento producto de scripts, datos, aplicaciones, equipos, infraestructura, software, pruebas de penetración, pruebas de rendimiento o agentes de monitoreo dirigidos, proporcionados o realizados por el Cliente; la interrupción del servicio planificada, el mantenimiento programado y anunciado o las ventanas de mantenimiento, o interrupciones del servicio iniciadas por Oracle a pedido o por instrucción del Cliente para realizar el mantenimiento, la activación de configuraciones, copias de seguridad u otros fines que requieran que el servicio esté sin conexión transitoriamente; la falta de disponibilidad de servicios de gestión, auxiliares o de administración, incluidas las herramientas de administración, servicios de presentación de informes, utilidades, componentes de software de terceros que no se encuentren bajo el control exclusivo de Oracle, u otros servicios que admiten el procesamiento de transacciones centrales; las interrupciones del servicio que ocurran como resultado de las acciones u omisiones de Oracle a pedido o por instrucción del Cliente; las interrupciones del servicio resultantes de los equipos del Cliente o de terceros o componentes de software que no se encuentren bajo el control exclusivo de Oracle; los eventos resultantes de la interrupción o el cierre de los servicios debido a circunstancias que, en opinión razonable de Oracle, constituyan una amenaza importante para el funcionamiento normal de los servicios, la infraestructura operativa, la instalación desde la cual se prestan los servicios, el acceso o la integridad de los datos del Cliente (por ejemplo, el ataque de un pirata informático (hacker) o un malware); las interrupciones del servicio originadas en la administración del sistema, los comandos o las transferencias de archivos realizadas por los usuarios o representantes del Cliente; las interrupciones del servicio debidas a ataques de denegación del servicio, catástrofes naturales, cambios resultantes de acciones gubernamentales, políticas u otras de carácter regulatorio u órdenes judiciales, huelgas o conflictos laborales, actos de desobediencia civil, actos de guerra, actos contra las partes (incluidos los transportistas y otros proveedores de Oracle) y otros hechos de fuerza mayor; la incapacidad de acceder a los servicios o las interrupciones causadas por la conducta del Cliente, incluida la negligencia o el incumplimiento de las obligaciones esenciales del Cliente conforme al contrato, u otras circunstancias ajenas al control de Oracle; la falta de disponibilidad o el tiempo de respuesta tardío del Cliente para responder a incidentes que requieran su participación para la identificación del origen y/o la resolución, incluido el cumplimiento de las responsabilidades del Cliente por los servicios; las interrupciones del servicio causadas por fallas o fluctuaciones en los equipos o líneas eléctricas, de conectividad, de redes o de telecomunicaciones debido a la conducta del Cliente o a circunstancias ajenas al control de Oracle. 3.4 Medición de la Disponibilidad Al término de cada mes calendario del Período de Servicios en virtud de un documento de pedido, Oracle mide el Nivel de Disponibilidad del Sistema en el mes inmediatamente anterior. Oracle mide el Nivel de Disponibilidad del Sistema dividiendo la diferencia entre el número total de minutos del período de medición mensual y cualquier Tiempo de Inactividad No Programado por el número total de minutos del período de medición, y multiplicando el resultado por 100 para obtener un porcentaje. 3.5 Monitoreo Oracle utiliza diversas herramientas de software para monitorear (i) la disponibilidad y el rendimiento del entorno de servicios de producción del Cliente y (ii) el funcionamiento de los componentes de la red y la infraestructura. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 6 de 17

7 3.5.1 Herramientas de Monitoreo y Prueba del Cliente Debido al posible impacto adverso en el rendimiento y la disponibilidad del servicio, el Cliente no podrá usar sus propias herramientas de monitoreo o prueba (lo que incluye interfaces de usuario automatizadas y llamadas de servicio vía Web a cualquier Servicio en la Nube de Oracle) para procurar medir, en forma directa o indirecta, la disponibilidad, el rendimiento, o la seguridad de cualquier programa o característica o componente del servicio dentro de los servicios o el entorno. Oracle se reserva el derecho de eliminar o inhabilitar el acceso a cualquier herramienta que viole las restricciones precedentes sin responsabilidad alguna frente al Cliente Cargas de Trabajo del Cliente El Cliente no podrá efectuar cambios significativos en la carga de trabajo que excedan la cantidad permitida conforme a los derechos establecidos en el documento de pedido Cargas de Trabajo Automatizadas El Cliente no podrá usar ni autorizar el uso de herramientas de extracción (scraping) de datos o tecnologías para recopilar datos disponibles a través de la interfaz del usuario del Servicio en la Nube de Oracle o a través de llamadas de servicio vía Web sin el permiso expreso de Oracle otorgado por escrito. Oracle se reserva el derecho de exigir que las herramientas de extracción de datos propuestas por el Cliente sean validadas y probadas por Oracle antes de su uso en producción y que, a partir de entonces, estas se validen y prueben en forma anual. Oracle podrá requerir la firma de una orden de trabajo por escrito para llevar a cabo dichas tareas de prueba y validación. 4. Política de Gestión de Cambios de los Servicios en la Nube de Oracle 4.1 Gestión de Cambios y Mantenimiento de los Servicios en la Nube de Oracle Los equipos de Operaciones de los Servicios en la Nube de Oracle efectúan cambios a la infraestructura de hardware en la nube, el software operativo, el software del producto y el software de aplicaciones de soporte para mantener la estabilidad operativa, la disponibilidad, la seguridad, el rendimiento y la vigencia de la Nube de Oracle. Oracle sigue procedimientos formales de gestión de cambios para llevar a cabo la revisión, las pruebas, y la aprobación de los cambios que se requieran antes de su aplicación en el entorno de producción de los Servicios en la Nube de Oracle. Los cambios efectuados a través de procedimientos de gestión de cambios incluyen actividades de mantenimiento del servicio y del sistema, actualizaciones y mejoras, así como también cambios específicos para el Cliente. Los procedimientos de Gestión de Cambios de los Servicios en la Nube están diseñados para reducir al mínimo la interrupción del servicio. En lo que respecta a Mejoras y cambios específicos para el Cliente, en la medida de lo posible, Oracle tratará de coordinar los períodos de mantenimiento con el Cliente. Respecto de aquellos cambios que podrían causar una interrupción del servicio, Oracle trabajará para notificar por anticipado el impacto previsto. La duración de los períodos de mantenimiento para el mantenimiento programado no está incluida en el cálculo de los minutos de Tiempo de Inactividad No Programado del período de medición mensual para el Nivel de Disponibilidad del Sistema (ver Política de Objetivo de Nivel de Servicio en la Nube de Oracle ). Oracle emplea esfuerzos comercialmente razonables para reducir al mínimo el uso de estos períodos de mantenimiento de reserva y la duración de los eventos de mantenimiento que causen interrupciones del servicio Mantenimiento de Emergencia Es posible que Oracle deba llevar a cabo mantenimiento de emergencia en forma periódica para proteger la seguridad, el rendimiento, la disponibilidad o la estabilidad del entorno de producción. El mantenimiento de emergencia puede incluir la aplicación de actualizaciones de mantenimiento a programas y/o el mantenimiento de sistemas centrales según sea necesario. Oracle trabaja para reducir al mínimo el uso del mantenimiento de emergencia y trabajará para notificar con 24 horas de anticipación cualquier mantenimiento de emergencia que requiera una interrupción del servicio. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 7 de 17

8 4.1.2 Cambios de Mantenimiento Significativos A fin de asegurar la estabilidad, la disponibilidad, la seguridad y el rendimiento continuos de los Servicios en la Nube, Oracle se reserva el derecho de efectuar cambios significativos a su infraestructura de hardware, software operativo, software de aplicaciones y software de aplicaciones de soporte que se encuentren bajo su control, no más de dos veces por año calendario. Cada uno de tales eventos de cambio se considera mantenimiento programado y puede causar la falta de disponibilidad de los Servicios en la Nube por hasta 24 horas. Se procura que cada evento de cambio ocurra al mismo tiempo que el mantenimiento del sistema central o la ventana de actualización del programa. Oracle trabajará para notificar con una anticipación de hasta 60 días la falta de disponibilidad prevista. 4.2 Versiones de Software Actualizaciones y Mejoras de Software Oracle exige que todos los Clientes de los Servicios en la Nube mantengan actualizadas las versiones de software de los Servicios en la Nube de Oracle de acuerdo con las versiones de software que Oracle designe como generalmente disponibles (GA, por sus siglas en inglés). Para los Servicios en la Nube compatibles con múltiples versiones, Oracle en general designa la versión actual y la inmediatamente anterior como versiones GA. Oracle podrá otorgar una notificación respecto de la versión GA de Servicios en la Nube específicos en el portal de soporte o dentro de las Especificaciones del Servicio de los Servicios en la Nube. Las actualizaciones de software seguirán al lanzamiento de cada versión GA y son necesarias para mantener la vigencia de la versión. Las Políticas de Prestación y Alojamiento en la Nube de Oracle, tales como la Política de Objetivo de Nivel de Servicio y la Política de Soporte de los Servicios en la Nube, dependen de que el Cliente mantenga vigente la versión GA. Oracle no es responsable de problemas de rendimiento o seguridad en los Servicios en la Nube que sean consecuencia de la ejecución de versiones anteriores Características Obsoletas Una característica obsoleta es una característica que aparece en versiones anteriores o existentes del Servicio en la Nube y aún cuenta con soporte como parte del servicio, pero respecto de la cual Oracle ha notificado que la característica se eliminará en versiones futuras. Oracle emplea esfuerzos comercialmente razonables para publicar notificaciones sobre características obsoletas un trimestre antes de su eliminación y se reserva el derecho de declarar obsoletas, modificar o eliminar características de cualquier nueva versión sin previo aviso. 5. Política de Soporte de los Servicios en la Nube de Oracle El soporte descrito en esta Política de Soporte de Oracle solo es aplicable a los Servicios en la Nube de Oracle y es prestado por Oracle como parte de tales servicios conforme al documento de pedido. El Cliente puede adquirir servicios adicionales para la Nube de Oracle a través de otras ofertas de servicio de soporte de Oracle que Oracle designe para los Servicios en la Nube. 5.1 Términos de Soporte de los Servicios en la Nube de Oracle Tarifas de soporte Las tarifas pagadas por el Cliente por la oferta de Servicios en la Nube de Oracle conforme al documento de pedido incluyen el soporte que se describe en esta Política de Soporte de los Servicios en la Nube de Oracle. Se aplican tarifas adicionales por las ofertas de servicios de soporte de Oracle adquiridas por el Cliente Período de soporte El soporte de los Servicios en la Nube de Oracle comienza a estar disponible a partir de la fecha de inicio del servicio y finaliza con el vencimiento o la terminación del Servicio en la Nube en virtud de dicho documento de pedido (el período de soporte ). Oracle no tiene la obligación de prestar el soporte descrito en esta Política de Soporte de los Servicios en la Nube una vez finalizado el período de soporte Contactos técnicos Los contactos técnicos del Cliente constituyen el único nexo entre el Cliente y Oracle para los servicios de soporte de los Servicios en la Nube de Oracle. Dichos contactos técnicos deberán contar, como mínimo, con Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 8 de 17

9 capacitación inicial básica para la Nube de Oracle y, cuando fuera necesario, capacitación adicional adecuada para la función específica o fase de implementación, el uso especializado del producto/servicio y/o la migración. Los contactos técnicos del Cliente deberán tener conocimiento acerca de las ofertas de servicio en la Nube de Oracle y el entorno de Oracle a fin de colaborar en la resolución de problemas del sistema y asistir a Oracle en el análisis y la resolución de solicitudes de servicio. Cuando se envía una solicitud de servicio, el contacto técnico del Cliente deberá tener una comprensión básica del problema que se enfrenta y la capacidad de reproducir el problema para asistir a Oracle en el diagnóstico y la clasificación del problema. Para evitar interrupciones en los servicios de soporte, el Cliente debe notificar a Oracle cuando las responsabilidades del contacto técnico se transfieran a otra persona Soporte de los Servicios en la Nube Los Servicios de Soporte de los Servicios en la Nube de Oracle consisten en: Diagnóstico de problemas con los Servicios en la Nube de Oracle Esfuerzos comercialmente razonables para resolver errores informados y verificados en los servicios en la Nube de Oracle a fin de que funcionen en todos sus aspectos substanciales de acuerdo con lo descrito en la Documentación del Programa relacionada Soporte durante las actividades de Gestión de Cambios descritas en la Política de Gestión de Cambios de los Servicios en la Nube de Oracle Asistencia para las Solicitudes de Servicio técnico las 24 horas del día, los 7 días de la semana Acceso 24 x 7 a un Portal de Soporte al Cliente de los Servicios en la Nube designado por Oracle (p. ej., My Oracle Support) y Soporte Telefónico en Vivo para registrar Solicitudes de Servicio Acceso a foros comunitarios Asistencia de servicio no técnico al Cliente durante el horario de oficina normal de Oracle (de 8:00 a 17:00 hs.) hora local. 5.2 Sistemas de Soporte al Cliente de los Servicios en la Nube de Oracle Portal de Soporte al Cliente de los Servicios en la Nube Como parte de la oferta de Servicios en la Nube adquirida por el Cliente en virtud del documento de pedido, Oracle proporciona Soporte al Cliente para el Servicio en la Nube a través del Portal de Soporte al Cliente de los Servicios en la Nube designado para dicho Servicio en la Nube. El acceso al correspondiente Portal de Soporte al Cliente de los Servicios en la Nube se rige por las Condiciones de Uso publicadas en el sitio web de soporte designado, que se encuentran sujetas a modificaciones. Una copia de estos términos se encuentra disponible a su solicitud. El acceso al Portal de Soporte al Cliente de los Servicios en la Nube está limitado a los contactos técnicos designados por el Cliente y otros usuarios autorizados de los Servicios en la Nube. Cuando corresponda, el Portal de Soporte al Cliente de los Servicios en la Nube de Oracle brinda detalles de soporte a los contactos técnicos designados por el Cliente para permitir el uso del soporte de los Servicios en la Nube de Oracle. Todas las notificaciones y alertas del servicio aplicables al Cliente se publican en este portal Soporte Telefónico en Vivo Los contactos técnicos del Cliente pueden acceder al soporte telefónico en vivo a través de los números de teléfono y la información de contacto indicados en el sitio web de soporte de Oracle en o en aquella otra dirección designada por Oracle para los correspondientes Servicios en la Nube ordenados. 5.3 Definiciones de Severidad Las solicitudes de servicio correspondientes a los Servicios en la Nube de Oracle pueden ser presentadas por los contactos técnicos designados por el Cliente a través de los Sistemas de Soporte al Cliente de los Servicios en la Nube de Oracle indicados en la Sección 5.2 de esta Política. El Cliente y Oracle determinarán el nivel de severidad de la solicitud de servicio presentada por el Cliente, y este deberá estar basado en las definiciones de severidad que se describen a continuación: Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 9 de 17

10 Severidad 1 El uso en producción del Servicio en la Nube de Oracle por parte del Cliente se detiene o sufre un impacto tan grave que el Cliente no puede seguir trabajando de manera razonable. El Cliente sufre una pérdida total del servicio. La operación afectada es de misión crítica para el negocio, y la situación es una emergencia. Una solicitud de servicio de Severidad 1 presenta una o más de las siguientes características: Datos dañados Una función crítica documentada no se encuentra disponible El servicio se cuelga indefinidamente y causa demoras inaceptables o indefinidas para los recursos o la respuesta El servicio falla, y falla de manera reiterada después de los intentos de reinicio Oracle realizará esfuerzos razonables para responder a las solicitudes de servicio de Severidad 1 en un plazo de una (1) hora. Oracle trabajará las 24 horas, los 7 días de la semana hasta que la solicitud de servicio de Severidad 1 esté resuelta, se implemente una solución alternativa razonable, o hasta lograr un avance útil. El Cliente deberá proporcionar a Oracle un contacto durante este período de 24 x 7 para prestar asistencia con la recolección de datos, las pruebas y la aplicación de correcciones (fixes). Se requiere que el Cliente proponga esta clasificación de severidad con mucho cuidado, a fin de que Oracle pueda asignar los recursos necesarios para las situaciones de Severidad 1 válidas. Severidad 2 El Cliente sufre una pérdida grave del servicio. Existen importantes funcionalidades de los Servicios en la Nube de Oracle que no están disponibles, sin una solución alternativa aceptable; sin embargo, las operaciones pueden continuar en forma restringida. Severidad 3 El Cliente sufre una pérdida leve del servicio. El impacto es un inconveniente que puede requerir una solución alternativa para restablecer la funcionalidad. Severidad 4 El Cliente solicita información, alguna mejora o aclaración de la documentación relacionada con el Servicio en la Nube de Oracle, pero no existe impacto alguno en el funcionamiento de dicho servicio. El Cliente no sufre ninguna pérdida del servicio. 5.4 Cambio del Nivel de Severidad de una Solicitud de Servicio Nivel de Severidad Inicial En el momento en que Oracle acepta una solicitud de servicio, Oracle registrará el nivel de severidad inicial de la solicitud de servicio de acuerdo con las definiciones de severidad definidas anteriormente. El punto de atención inicial de Oracle, una vez aceptada una solicitud de servicio, será resolver las cuestiones que sustentan la solicitud de servicio. El nivel de severidad de una solicitud de servicio puede ajustarse según se describe a continuación Reducción del Nivel de Severidad de la Solicitud de Servicio: Si, durante el proceso de solicitud de servicio, la cuestión deja de justificar el nivel de severidad actualmente asignado en función del impacto actual sobre el funcionamiento en producción del correspondiente Servicio en la Nube de Oracle, entonces el nivel de severidad se reducirá al nivel que refleje de manera más apropiada su impacto actual Aumento del Nivel de Severidad de la Solicitud de Servicio: Si, durante el proceso de solicitud de servicio, la cuestión justifica la asignación de un nivel de severidad superior al actualmente asignado en función del impacto actual sobre el funcionamiento en producción del correspondiente Servicio en la Nube de Oracle, entonces el nivel de severidad se aumentará al nivel que refleje de manera más apropiada su impacto actual Adhesión a las definiciones de los Niveles de Severidad: El Cliente garantizará que la asignación y el ajuste de cualquier designación de nivel de severidad sean exactos en función del impacto actual sobre el funcionamiento en producción del respectivo Servicio en la Nube de Oracle. El Cliente reconoce que Oracle no Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 10 de 17

11 es responsable de cualquier incumplimiento de los estándares de rendimiento que surja del mal uso o la asignación incorrecta de designaciones de los niveles de severidad. 5.5 Remisión de la Solicitud de Servicio a una Instancia Superior Para las solicitudes de servicio que son remitidas a una instancia superior, el analista de soporte de Oracle interactuará con el gerente de remisión de solicitudes de servicio a una instancia superior que será responsable de gestionar la remisión. El gerente de remisión de solicitudes de servicio a una instancia superior de Oracle trabajará con el Cliente para desarrollar un plan de acción y asignar los recursos apropiados de Oracle. Si la cuestión que sustenta la solicitud de servicio continúa sin resolverse, el Cliente podrá comunicarse con el gerente de remisión de solicitudes de servicio a una instancia superior de Oracle para revisar la solicitud de servicio y requerir que sea remitida al siguiente nivel dentro de Oracle, según sea necesario. Para facilitar la resolución de una solicitud de servicio remitida a una instancia superior, se requiere que el Cliente proporcione contactos dentro de su organización que se encuentren al mismo nivel que aquellos dentro de Oracle a los que se les han remitido la solicitud de servicio. 5.6 Excepciones a la Política Las preguntas o solicitudes del Cliente relativas a una excepción a las Políticas de Prestación y Alojamiento de los Servicios en la Nube de Oracle deben efectuarse a través de una solicitud de servicio en el Portal de Soporte al Cliente de los Servicios en la Nube aplicable al servicio (p. ej., My Oracle Support). 6. Política de Suspensión y Terminación de los Servicios en la Nube de Oracle 6.1 Terminación de los Servicios en la Nube Terminación de los Servicios en la Nube Por un período de hasta 60 días después de la terminación o el vencimiento de los servicios de producción conforme al documento de pedido, Oracle pondrá a disposición los datos de producción del Cliente a fin de que este los recupere. Oracle no tiene obligación de conservar los datos para propósitos del Cliente después de este período posterior a la terminación de 60 días. Los Identificadores del Soporte al Cliente de Oracle (CSI) se cancelan al término del período de 60 días Terminación de Entornos Piloto Los pilotos de los Servicios en la Nube de Oracle adhieren a la misma política de terminación del servicio que los entornos de producción normales Asistencia al Cliente tras la Terminación Una vez producida la terminación del servicio, si el Cliente necesita asistencia de Oracle para obtener acceso al servidor seguro de Oracle a fin de recuperar sus datos de producción, este deberá crear una solicitud de servicio en el Portal de Soporte al Cliente de los Servicios en la Nube correspondiente al servicio (p. ej., My Oracle Support) Transferencias de Datos Seguras Como parte del proceso de terminación del servicio, Oracle pone a disposición protocolos seguros mediante los cuales los usuarios designados por el Cliente pueden transferir datos del Cliente desde el servicio. 6.2 Suspensión por Violación En caso de que Oracle detecte una violación, o reciba una comunicación relativa a una violación, de los términos y condiciones o la política de uso aceptable de los Servicios en la Nube de Oracle, Oracle asignará un agente de investigación. El agente de investigación puede adoptar medidas que incluyen, entre otras, la suspensión del acceso a cuentas de usuario, suspensión de acceso a cuentas de administrador, o suspensión del entorno hasta que se resuelvan los problemas. Oracle empleará esfuerzos razonables para restablecer los servicios del Cliente afectados sin demora una vez que Oracle determine, a su discreción razonable, que los problemas se han resuelto o la situación ha sido subsanada. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 11 de 17

12 Apéndice A Servicio en la Nube de Oracle Eloqua Marketing Este apéndice es aplicable a los Servicios en la Nube de Oracle Eloqua Marketing y establece las siguientes modificaciones a las Políticas de Prestación y Alojamiento en la Nube de Oracle: 3.3 Definición de Disponibilidad y Tiempo de Inactividad No Programado Las siguientes exclusiones adicionales son aplicables al Servicio en la Nube de Oracle Eloqua Marketing: (i) (ii) problemas que sean consecuencia de la combinación o fusión por parte del Cliente del Servicio en la Nube de Oracle Eloqua Marketing con hardware o software no suministrados por Oracle o no identificados por Oracle en la correspondiente documentación del programa como compatibles con el Servicio en la Nube de Oracle Eloqua Marketing; y problemas causados por la modificación de cualquier versión del Servicio en la Nube de Oracle Eloqua Marketing no efectuada por Oracle o no identificada por Oracle en la correspondiente documentación del programa Soporte de los Servicios en la Nube Los siguientes servicios de soporte adicionales son aplicables a los Servicios en la Nube de Oracle Eloqua Marketing: Asistencia de servicio no técnico al Cliente durante el horario de oficina normal de Oracle (de 8:00 a 20:00 hs.) hora local, con base en la dirección principal del Cliente indicada en los documentos de pedido de los servicios Soporte Telefónico en Vivo Los contactos técnicos del Cliente y los contactos del usuario final pueden acceder a soporte telefónico en vivo para los Servicios en la Nube de Oracle Eloqua Marketing a través de los números de teléfono y la información de contacto que pueden consultarse en html. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 12 de 17

13 Apéndice B Servicio en la Nube de la Plataforma de Marketing de Oracle Responsys Este apéndice es aplicable a la característica adicional del Servicio en la Nube de la Plataforma de Marketing de Oracle Responsys, excepto el Servicio en la Nube Responsys Automatic Failover for Transactional Messages, y establece las siguientes modificaciones a las Políticas de Prestación y Alojamiento en la Nube de Oracle para dicho Servicio en la Nube: 1.2 Control del Acceso a la Red Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 13 de 17

14 Apéndice C Servicio en la Nube Oracle Standalone Cobrowse y Servicio en la Nube Oracle RightNow Cobrowse Este apéndice es aplicable al Servicio en la Nube Oracle Standalone Cobrowse y al Servicio en la Nube Oracle RightNow Cobrowse, y establece las siguientes modificaciones a las Políticas de Prestación y Alojamiento en la Nube de Oracle para tales Servicios en la Nube: Acceso Oracle podrá acceder a su entorno de servicios para prestar los Servicios en la Nube, lo que incluye la prestación de soporte del servicio. 1.1 Cifrado del Usuario para Conexiones Externas 1.2 Control del Acceso a la Red Esta sección no se aplica a los servidores en malla (grid servers) utilizados para los Servicios en la Nube. 1.4 Controles Antivirus 1.5 Cortafuegos Esta sección no se aplica a los servidores en malla utilizados para los Servicios en la Nube Protección/Gestión de Datos Medios Físicos en Tránsito Eliminación de Datos Privacidad de los Datos 1.12 Cumplimiento Normativo Herramientas de Monitoreo y Prueba del Cliente Cargas de Trabajo Automatizadas 4. Política de Gestión de Cambios de los Servicios en la Nube de Oracle La Sección Política de Gestión de Cambios de los Servicios en la Nube de Oracle (Sección 4) no es aplicable. 6. Política de Suspensión y Terminación de los Servicios en la Nube de Oracle La Sección Política de Suspensión y Terminación de los Servicios en la Nube de Oracle (Sección 6) no es aplicable. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 14 de 17

15 Apéndice D Servicio en la Nube de Oracle Marketing (antes denominado Bluekai) Este apéndice es aplicable a los Servicios en la Nube de Oracle Marketing (antes denominado Bluekai) y establece modificaciones a las Políticas de Prestación y Alojamiento en la Nube de Oracle (las Políticas de Prestación ) para tal Servicio en la Nube. Salvo que se especifique lo contrario en el presente, cada sección establecida a continuación se aplicará en reemplazo de la correspondiente sección original de las Políticas de Prestación: Acceso Oracle podrá acceder a su entorno de servicios para prestar los Servicios en la Nube, lo que incluye la prestación de soporte del servicio. 1.1 Cifrado del Usuario para Conexiones Externas El acceso del Cliente al sistema es a través de la Internet. Para el acceso al Servicio en la Nube de Oracle, se dispone de tecnología de cifrado SSL. Las conexiones SSL se negocian para un cifrado de al menos 128 bits o más potente. La clave privada que se utiliza para generar la clave de cifrado es de al menos 2048 bits. El cifrado SSL es implementado o configurable para todas las aplicaciones con certificado SSL basadas en la Web y desplegadas en Oracle. Se recomienda utilizar los navegadores más recientes certificados para los programas de Oracle, que son compatibles con cifrados de mayor intensidad y cuentan con mejoras en la seguridad, para establecer la conexión con programas habilitados vía Web. En ciertos casos, el sitio de un tercero utilizado con servicios en la nube que no se encuentra bajo el control de Oracle puede forzar una conexión no cifrada. En algunos casos, es posible que el sitio de un tercero (como Facebook) que el Cliente desee integrar al Servicio en la Nube no acepte una conexión cifrada. Para aquellos Servicios en la Nube en los que las conexiones HTTP con el sitio del tercero están permitidas por Oracle, Oracle habilitará tales conexiones HTTP en forma adicional a la conexión HTTPS. 1.4 Controles Antivirus Los Servicios en la Nube de Oracle emplean software antivirus estándar de la industria. Los virus detectados se eliminan (o se ponen en cuarentena) en forma automática, y se genera una alerta automática que inicia el proceso de respuesta ante incidentes de Oracle. Las definiciones de virus se actualizan diariamente. 1.7 Protección de la Seguridad Física Oracle proporciona instalaciones informáticas protegidas para infraestructura de ubicaciones de oficinas, que incluyen: El acceso físico requiere autorización y es monitoreado. Todos deben usar una identificación oficial en forma visible mientras se encuentren en el sitio. Los visitantes deben firmar un libro de registro de visitas y ser acompañados y/u observados mientras permanezcan en el establecimiento. Se controla la posesión de llaves/tarjetas de acceso y la capacidad de acceder a las ubicaciones. El personal que deja su empleo en Oracle debe devolver las llaves/tarjetas. Existen otras medidas de protección de la seguridad física para todas las co-ubicaciones y los sitios de proveedores en la nube, que en la actualidad comprenden medidas de protección en cumplimiento de las normas SOC2 y/o SOC 1 que incluyen programas de seguridad física apropiados. 1.8 Control de Acceso al Sistema y Administración de Contraseñas El acceso a los sistemas en la Nube se controla restringiendo el acceso únicamente al personal autorizado. Oracle aplica políticas de contraseña a los componentes de la infraestructura y los sistemas de administración en la nube utilizados para operar el entorno de los Servicios en la Nube de Oracle. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 15 de 17

16 Los controles de acceso al sistema incluyen autenticación en el sistema, autorización, aprobación de acceso, aprovisionamiento y revocación para empleados y cualquier otro 'usuario' definido por Oracle. El Cliente es responsable de la administración de todos los usuarios finales dentro de servicio; si bien el Cliente no cuenta con acceso directo para la administración de cuentas, deberá otorgar a Oracle instrucciones por escrito acerca de las instalaciones y cambios de configuración administrativa que desee. 1.9 Revisión de Derechos de Acceso Las cuentas del sistema operativo y de la red para los empleados de Oracle son revisadas en forma periódica para garantizar niveles de acceso apropiados para los empleados. En caso de terminación del empleo, Oracle adopta medidas sin demora para dar por terminado el acceso físico, a la red y a la telefonía de los ex empleados. El Cliente es responsable de administrar y revisar el acceso correspondiente a las cuentas de sus propios empleados; si bien el Cliente no cuenta con acceso directo para la administración de cuentas, deberá otorgar a Oracle instrucciones por escrito acerca de las instalaciones y cambios de configuración administrativa que desee Mantenimiento Relacionado con la Seguridad Oracle lleva a cabo la gestión de cambios y el mantenimiento relacionados con la seguridad según se define y describe en la Política de Gestión de Cambios de los Servicios en la Nube de Oracle. Para cualquier paquete de actualizaciones de mantenimiento de seguridad que Oracle ponga a disposición general para portales o interfaces del Cliente designados por Oracle, Oracle aplicará y probará el paquete de actualizaciones de mantenimiento de seguridad en un entorno de ensayo del Servicio en la Nube que corresponda. Oracle aplicará el paquete de actualizaciones de mantenimiento de seguridad en el entorno de producción del Servicio en la Nube una vez que Oracle finalice en forma satisfactoria las pruebas en el entorno de ensayo Medios Físicos en Tránsito Privacidad de los Datos 1.12 Cumplimiento Normativo El Cliente continuará siendo exclusivamente responsable de su cumplimiento normativo en relación con el uso que haga de cualquier Servicio en la Nube de Oracle. El Cliente deberá informar a Oracle los requisitos técnicos que resulten de sus obligaciones reglamentarias antes de la firma del contrato. El Cliente no debe proporcionar a Oracle información personal, incluida, a mero título enunciativo, información de salud, de tarjetas de pago u otra información personal sensible. 2.1 Estrategia de Copia de Seguridad de los Servicios en la Nube de Oracle Oracle efectúa en forma periódica copias de seguridad de los datos de producción existentes en el Servicio en la Nube del Cliente para el uso exclusivo de Oracle a fin de reducir al mínimo la pérdida de datos en caso de desastre. En general, Oracle no actualiza, introduce, elimina ni recupera datos del Cliente en nombre del Cliente. Sin embargo, con carácter excepcional y sujeto a la aprobación por escrito y tarifas adicionales, Oracle podrá brindar asistencia al Cliente para recuperar datos de las copias de seguridad. 3.2 Objetivo de Nivel de Disponibilidad del Sistema del Servicio en la Nube de Oracle Oracle trabaja para cumplir con los siguientes niveles de Objetivo de Disponibilidad del Sistema, para el período de medición de un mes calendario, a partir de la activación por parte de Oracle del Entorno de Servicios del Cliente del entorno de producción: Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 16 de 17

17 Sistema Aplicable Objetivo de Disponibilidad del Sistema Servicio de Producción 99,5% Operaciones con Etiquetas y Píxeles 99,9% 3.3 Definición de Disponibilidad y Tiempo de Inactividad No Programado La segunda viñeta, que se transcribe a continuación, se elimina de la lista: la interrupción del servicio planificada, el mantenimiento programado y anunciado o las ventanas de mantenimiento o interrupciones del servicio iniciadas por Oracle a pedido o por instrucción del Cliente para realizar el mantenimiento, la activación de configuraciones, copias de seguridad u otros fines que requieran que el servicio esté sin conexión transitoriamente; Cambios de Mantenimiento Significativos A fin de asegurar la estabilidad, la disponibilidad, la seguridad y el rendimiento continuos de los Servicios en la Nube, Oracle se reserva el derecho de efectuar cambios significativos a su infraestructura de hardware, software operativo, software de aplicaciones y software de aplicaciones de soporte que se encuentren bajo su control. Cada uno de tales eventos de cambio se considera mantenimiento programado y puede causar la falta de disponibilidad de los Servicios en la Nube por hasta 24 horas. Se procura que cada evento de cambio ocurra al mismo tiempo que el mantenimiento del sistema central o la ventana de actualización del programa. Oracle trabajará para notificar con una anticipación de hasta 60 días la falta de disponibilidad prevista. 6.1 Terminación de los Servicios en la Nube Las secciones 6.1.2, 6.1.3, y no son aplicables Terminación de los Servicios en la Nube Por un período de hasta 121 días después de la terminación o el vencimiento de los servicios de producción conforme al documento de pedido, Oracle pondrá a disposición los datos de producción del Cliente a fin de que este los recupere. Oracle no tiene obligación de conservar los datos para propósitos del Cliente después de este período posterior a la terminación de 121 días. Los Identificadores del Soporte al Cliente de Oracle (CSI) se cancelan al término del período de 121 días. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_MX_ESP Página 17 de 17