Políticas de Prestación y Alojamiento en la Nube Empresarial de Oracle Fecha de Entrada en Vigencia: 1 de diciembre de 2014 Versión 1.

Transcripción

1 Políticas de Prestación y Alojamiento en la Nube Empresarial de Oracle Fecha de Entrada en Vigencia: 1 de diciembre de 2014 Versión 1.4 Salvo disposición en contrario, estas Políticas de Prestación y Alojamiento en la Nube de Oracle (las Políticas de Prestación ) describen los Servicios en la Nube (Cloud Services) de Oracle que usted ha ordenado. Estas Políticas de Prestación pueden hacer referencia a otros documentos de Políticas de la Nube de Oracle; toda referencia al término Cliente en estas Políticas de Prestación o en cualquiera de tales documentos de políticas se interpretará como referencia al término su tal como se define en el documento de pedido. Los términos escritos en mayúscula inicial pero no definidos de otro modo en el presente documento tendrán los significados que se les atribuyen en el Contrato, documento de pedido o política de Oracle que corresponda. Descripción y Contenido Los Servicios en la Nube que se describen en el presente se prestan de conformidad con los términos del contrato, el documento de pedido y estas Políticas de Prestación. La prestación de los servicios por parte de Oracle está condicionada al cumplimiento por parte de usted y de sus usuarios de sus obligaciones y responsabilidades definidas en tales documentos y políticas incorporadas. Estas Políticas de Prestación y los documentos citados en las mismas están sujetos a modificaciones a discreción de Oracle; no obstante, las modificaciones que Oracle efectúe a las políticas no tendrán como consecuencia una reducción substancial en el nivel de rendimiento, seguridad o disponibilidad de los Servicios en la Nube prestados durante el Período de Servicios. Acceso Oracle presta los Servicios en la Nube desde un espacio de centro de datos de propiedad de Oracle o arrendado por esta. Oracle define los requisitos de hardware y software, así como también la arquitectura de sistemas y redes, de los servicios. Oracle podrá acceder a su entorno de servicios para prestar los Servicios en la Nube, lo que incluye la prestación de soporte del servicio. Horario de Operación Los Servicios en la Nube están diseñados para estar disponibles las 24 horas del día, los 7 días de la semana, los 365 días del año, excepto durante los períodos de mantenimiento del sistema y actualizaciones tecnológicas y de acuerdo con lo establecido de otro modo en el contrato, el documento de pedido y estas Políticas de Prestación. Las Políticas de Prestación y Alojamiento incluyen lo siguiente: 1. Política de Seguridad de los Servicios en la Nube de Oracle 2. Política de Resiliencia del Sistema de los Servicios en la Nube de Oracle 3. Política del Servicio de Recuperación antes Desastres de los Servicios en la Nube de Oracle 4. Política de Objetivo de Nivel de Servicio en la Nube de Oracle 5. Política de Gestión de Cambios de los Servicios en la Nube de Oracle 6. Política de Soporte de los Servicios en la Nube de Oracle 7. Política de Suspensión y Terminación de los Servicios en la Nube de Oracle 1. Política de Seguridad de los Servicios en la Nube de Oracle 1.1 Cifrado del Usuario para Conexiones Externas El acceso del Cliente al sistema es a través de la Internet. Para el acceso al Servicio en la Nube de Oracle, se dispone de tecnología de cifrado SSL. Las conexiones SSL se negocian para un cifrado de al menos 128 bits o más potente. La clave privada que se utiliza para generar la clave de cifrado es de al menos 2048 bits. El cifrado SSL es implementado o configurable para todos los programas con certificado SSL basados en la Web y Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 1 de 20

2 desplegados en Oracle. Se recomienda utilizar los navegadores más recientes certificados para los programas de Oracle, que son compatibles con cifrados de mayor intensidad y cuentan con mejoras en la seguridad, para establecer la conexión con programas habilitados vía Web. La lista de navegadores certificados para cada versión de los programas de Oracle puede consultarse en el Portal de Soporte al Cliente de los Servicios en la Nube designado por Oracle para el servicio específico ordenado (p. ej., el portal My Oracle Support). En ciertos casos, es posible que el sitio de un tercero (como Facebook) que el Cliente desea integrar al Servicio en la Nube no acepte una conexión cifrada. Para aquellos Servicios en la Nube en los que las conexiones HTTP con el sitio del tercero están permitidas por Oracle, Oracle habilitará tales conexiones HTTP en forma adicional a la conexión HTTPS. 1.2 Segregación en las Redes Los centros de datos regionales de Oracle contienen un entorno de red aislado que se utiliza para prestar servicios a los Clientes de los Servicios en la Nube de Oracle. En cada entorno en la Nube, se despliegan tecnologías de red en capas a fin de proteger los datos del Cliente a nivel físico, de enlace de datos, de la red, del transporte y del programa. Los controles de acceso abarcan múltiples niveles, que constan de la capa de la red, el sistema, la base de datos, y el programa. El acceso se autoriza conforme a una política de denegación por defecto. 1.3 Control del Acceso a la Red Los equipos de operaciones de los Servicios en la Nube de Oracle acceden a los entornos del Cliente a través de una conexión de red segregada, que está dedicada al control del acceso al entorno y aislada del tráfico interno de la red corporativa de Oracle. La red dedicada funciona como una puerta de enlace (gateway) de acceso seguro entre los sistemas de soporte y los servidores de la base de datos y el programa de destino. Las puertas de enlace regionales están sincronizadas, formando un arreglo global mallado diseñado para brindar continuidad a las operaciones de soporte en caso de que falle alguna de las puertas de enlace. La autenticación, autorización y contabilización se implementan a través de mecanismos de seguridad estándar diseñados para garantizar que solo tengan acceso a los sistemas los ingenieros de soporte y de operaciones autorizados. Se implementan controles criptográficos para brindar a las áreas de operaciones y soporte de los Servicios en la Nube un acceso seguro y fácilmente configurado a los programas de destino. 1.4 Ancho de Banda y Latencia de Red Oracle no es responsable de las conexiones de red del Cliente ni de las condiciones o problemas que surjan en virtud o como consecuencia de las conexiones de red del Cliente (p. ej., problemas de ancho de banda, latencia excesiva, interrupciones del servicio en la red), o causados por la Internet. Oracle monitorea sus propias redes y notificará a los Clientes cualquier problema interno que pueda repercutir en la disponibilidad. 1.5 Control de Enrutamiento de Red Enrutadores Los controles de enrutador implementados para la Nube de Oracle proporcionan el punto de conexión entre los Servicios en la Nube de Oracle y el Proveedor del Servicio de Internet. Se despliegan enrutadores de límite (de frontera) en una configuración redundante y con tolerancia a fallos. Los enrutadores también se utilizan para aplicar las políticas de tráfico en el perímetro Cortafuegos Los Servicios en la Nube de Oracle utilizan cortafuegos (firewalls) para controlar el acceso entre la Internet y la Nube de Oracle al permitir únicamente el tráfico autorizado. Los cortafuegos se despliegan en capas para llevar a cabo la inspección de paquetes con políticas de seguridad configuradas para filtrar paquetes basados en protocolo, puerto, dirección IP de origen y destino, según corresponda, a fin de identificar orígenes, destinos y tipos de tráfico autorizados. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 2 de 20

3 1.6 Gestión de la Seguridad de la Red Controles de Red Los controles de red implementados para los Servicios en la Nube de Oracle abordan la protección y el control de los datos durante su transmisión desde el sistema del Cliente hasta el sistema alojado por Oracle. La infraestructura de seguridad de la red está diseñada para proteger los servidores contra un ataque basado en la red. Cortafuegos redundantes y administrados, que utilizan inspección dinámica de paquetes, proporcionan barreras entre los niveles de la arquitectura. El tráfico se filtra, y solo se permite el acceso de conexiones válidas a la zona desmilitarizada de la red. El tráfico dentro de cada nivel está restringido y controlado por cuestiones de seguridad Sistema de Detección/Prevención de Intrusiones en la Red Los Servicios en la Nube de Oracle utilizan Sistemas de Detección de Intrusiones en la Red (nids) para proteger el entorno. Se despliegan sensores de nids en Modo de Prevención de Intrusiones (IPS) o en Modo de Detección de Intrusiones (IDS) en la red, para monitorear y bloquear el tráfico de red sospechoso a fin de impedir que llegue a la red interna. Las alertas del nids se enrutan hacia un sistema de monitoreo centralizado que es administrado por los equipos de operaciones de seguridad las 24 horas del día, los 7 días de la semana, los 365 días del año Evaluaciones de Vulnerabilidad de la Red Los Servicios en la Nube de Oracle utilizan herramientas de evaluación de la vulnerabilidad de la red para identificar vulnerabilidades y amenazas de seguridad. Existen procedimientos formales establecidos para evaluar, validar, priorizar y subsanar problemas identificados. Oracle está suscrita a sistemas de notificación de vulnerabilidades para mantenerse al corriente de incidentes de seguridad, avisos, e información relacionada. Oracle adopta medidas respecto de la notificación de una amenaza o riesgo una vez que se confirma que existe un riesgo válido, que los cambios recomendados son aplicables a los entornos del servicio, y que los cambios no tendrán efectos adversos sobre dichos servicios Controles Antivirus Los Servicios en la Nube de Oracle emplean software antivirus para analizar los archivos cargados. Los virus detectados se eliminan (o se ponen en cuarentena) en forma automática, y se genera una alerta automática que inicia el proceso de respuesta ante incidentes de Oracle. Las definiciones de virus se actualizan diariamente Control/Auditoría de la Configuración Los Servicios en la Nube de Oracle utilizan un sistema centralizado para gestionar el acceso y la integridad de las configuraciones de los dispositivos de red. Existen controles de cambio establecidos para asegurar que solo se apliquen los cambios aprobados. Además, se llevan a cabo auditorías periódicas para confirmar el cumplimiento de los procedimientos de seguridad y operativos. 1.7 Endurecimiento de Sistemas Oracle emplea prácticas estandarizadas de endurecimiento de sistemas en todos los dispositivos de los Servicios en la Nube de Oracle. Esto incluye la restricción del acceso al protocolo, la eliminación o inhabilitación de software y servicios innecesarios, la eliminación de cuentas de usuario innecesarias, la administración de actualizaciones de mantenimiento (patches), y el registro. 1.8 Protección de la Seguridad Física Oracle proporciona instalaciones informáticas protegidas tanto para ubicaciones de oficinas como para infraestructura en la nube de producción. Los controles comunes entre ubicaciones y co-ubicaciones de oficinas/centros de datos actualmente incluyen, entre otros, los siguientes: El acceso físico requiere autorización y es monitoreado. Todos deben usar una identificación oficial en forma visible mientras se encuentren en el sitio. Los visitantes deben firmar un libro de registro de visitas y ser acompañados y/u observados mientras permanezcan en el establecimiento. Se controla la posesión de llaves/tarjetas de acceso y la capacidad de acceder a las ubicaciones. El personal que deja su empleo en Oracle debe devolver las llaves/tarjetas. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 3 de 20

4 Existen otras medidas de protección de la seguridad física para todos los centros de datos de los Servicios en la Nube de Oracle, que en la actualidad incluyen medidas de protección tales como: Los establecimientos son monitoreados por CCTV. Las entradas están protegidas por barreras físicas diseñadas para evitar el ingreso no autorizado de vehículos. Las entradas están vigiladas las 24 horas el día, los 365 días del año, por guardias de seguridad que realizan un reconocimiento visual de identidad y gestionan el acompañamiento de los visitantes. 1.9 Control de Acceso al Sistema y Administración de Contraseñas El acceso a los sistemas en la Nube se controla restringiendo el acceso únicamente al personal autorizado. Oracle aplica políticas de contraseña de alta intensidad a los componentes de la infraestructura y los sistemas de administración en la nube utilizados para operar el entorno de los Servicios en la Nube de Oracle. Esto incluye la exigencia de contraseñas de una extensión mínima, complejidad de la contraseña y cambios de contraseña periódicos. Se utilizan contraseñas complejas o autenticación multifactor en toda la infraestructura para reducir el riesgo de acceso por parte de intrusos mediante la explotación de cuentas de usuarios. Los controles de acceso al sistema incluyen autenticación en el sistema, autorización, aprobación de acceso, aprovisionamiento y revocación para empleados y cualquier otro 'usuario' definido por Oracle. El Cliente es responsable de la administración de todos los Usuarios Finales dentro del programa. Oracle no administra las cuentas de los Usuarios Finales del Cliente. El Cliente podrá configurar los programas y características de seguridad incorporadas adicionales Revisión de Derechos de Acceso Las cuentas del sistema operativo y de la red para los empleados de Oracle son revisadas en forma periódica para garantizar niveles de acceso apropiados para los empleados. En caso de terminación del empleo, Oracle adopta medidas sin demora para dar por terminado el acceso físico, a la red y a la telefonía de los ex empleados. El Cliente es responsable de administrar y revisar el acceso correspondiente a las cuentas de sus propios empleados Mantenimiento Relacionado con la Seguridad Oracle lleva a cabo la gestión de cambios y el mantenimiento relacionados con la seguridad según se define y describe en la Política de Gestión de Cambios de los Servicios en la Nube de Oracle. Para cualquier paquete de actualizaciones de mantenimiento de seguridad que Oracle ponga a disposición general para Programas de Oracle determinados, Oracle aplicará y probará el paquete de actualizaciones de mantenimiento de seguridad en un entorno de ensayo (stage environment) del respectivo Servicio en la Nube. Oracle aplicará el paquete de actualizaciones de mantenimiento de seguridad en el entorno de producción del Servicio en la Nube una vez que Oracle finalice en forma satisfactoria las pruebas en el entorno de ensayo Protección/Gestión de Datos Durante el uso de los servicios en la Nube de Oracle, los Clientes de los Servicios en la Nube de Oracle mantienen el control y la responsabilidad por sus datos residentes en su entorno. Los Servicios en la Nube de Oracle brindan una variedad de servicios de protección de la información configurables como parte del servicio suscrito. Los datos del Cliente se cargan o generan para el uso dentro del servicio en la Nube de Oracle suscrito Protección de Datos Los Servicios en la Nube ofrecen diversas tecnologías y opciones de cifrado estándar para proteger los datos mientras se encuentran en tránsito o en reposo. Para la transmisión por la red, los Clientes pueden optar por el uso de protocolos seguros (como SSL) para proteger sus datos en tránsito a través de redes públicas. Los protocolos seguros disponibles en la Nube de Oracle ofrecen algoritmos de cifrado complejos. Se emplean políticas y procesos sólidos de gestión de claves para cualquier cifrado de la Nube de Oracle Medios Físicos en Tránsito El personal designado por Oracle gestiona los medios y los prepara para el transporte de acuerdo con Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 4 de 20

5 procedimientos definidos y solo cuando sea necesario. Los medios digitales se registran, cifran, transportan en forma segura, y según sea necesario para el archivo de copia de seguridad (backup), son archivados por un proveedor externo fuera del sitio. Los proveedores están contractualmente obligados a cumplir con los términos aplicables a la protección de medios definidos por Oracle Eliminación de los Datos Una vez producida la terminación de los servicios (según se describe en la Política de Suspensión y Terminación de los Servicios en la Nube de Oracle) o a solicitud del Cliente, Oracle eliminará los entornos o datos que residan en ellos de una manera diseñada para garantizar que razonablemente no sea posible acceder a ellos o leerlos, a menos que exista una obligación legal impuesta a Oracle que le impida eliminar los entornos o datos, en todo o en parte Transferencia Segura de Archivos La función de transferencia segura de archivos está incorporada en las plataformas de almacenamiento de acceso a la red comúnmente utilizadas y utiliza protocolos seguros para la transferencia (tales como SFTP o WebDAV a través de SSL). La función puede utilizarse para cargar archivos a una ubicación segura, en general para la importación/exportación de datos en el servicio alojado en la Nube de Oracle, o para descargar archivos una vez producida la terminación del servicio Respuesta ante Incidentes de Seguridad Oracle evalúa y responde ante incidentes que crean sospechas de acceso o manejo no autorizado de datos del Cliente, ya sea que los datos se mantengan en activos de hardware de Oracle o en los activos de hardware personales de empleados y trabajadores eventuales de Oracle. Cuando tales incidentes se informan a la organización de Seguridad de la Información Global (GIS) de Oracle, y según la naturaleza de la actividad, GIS define las rutas de remisión a una instancia superior y los equipos de respuesta para abordar esos incidentes. GIS trabajará con el Cliente, los equipos técnicos que correspondan, y las autoridades competentes cuando sea necesario, para responder al incidente. El objetivo de la respuesta ante incidentes consiste en restablecer la confidencialidad, integridad y disponibilidad del entorno del Cliente, y determinar las causas fundamentales y las medidas de corrección. El personal de operaciones cuenta con procedimientos documentados para abordar incidentes en los que el manejo de datos pueda haber sido no autorizado, lo que incluye la presentación inmediata y razonable de informes, procedimientos de remisión a una instancia superior y prácticas de la cadena de custodia. Si Oracle determina que los datos del Cliente han sido objeto de una apropiación indebida, Oracle le comunicará al Cliente dicha apropiación indebida dentro de los tres días hábiles de haberlo determinado, salvo prohibición legal Privacidad de los Datos El Contrato de Procesamiento de Datos para los Servicios en la Nube de Oracle ( Contrato de Procesamiento de Datos ) y la Política de Privacidad de los Servicios de Oracle describen el tratamiento por parte de Oracle de los datos personales que residen en sistemas de Oracle a los que pueda brindarse acceso a Oracle en relación con la prestación de Servicios en la Nube. El Contrato de Procesamiento de Datos describe los respectivos roles de Oracle y del Cliente en cuanto al procesamiento y el control de los datos personales que el Cliente proporciona a Oracle como parte de los Servicios en la Nube. Estos documentos pueden consultarse en: Política de Privacidad de los Servicios de Oracle: Contrato de Procesamiento de Datos para los Servicios en la Nube de Oracle: Cumplimiento Normativo Los servicios en la Nube de Oracle son conformes a los controles de seguridad de la ISO (Organización Internacional de Normalización) 27001:2013. El marco de seguridad de la ISO incluye un conjunto integral de controles de seguridad que se utilizan como Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 5 de 20

6 base de referencia para los controles de seguridad y operativos destinados a administrar y proteger el Servicio en la Nube de Oracle, aunque no incluye la certificación ISO Los controles internos de los Servicios en la Nube de Oracle están sujetos a pruebas periódicas llevadas a cabo por organizaciones de auditoría externas e independientes. Tales auditorías pueden estar basadas en la Declaración de Normas para Trabajos de Atestación (SSAE, por sus siglas en inglés) Nro. 16, Informe sobre Controles en una Organización de Servicios ( SSAE 16 ), la Norma Internacional para Trabajos de Verificación (ISAE, por sus siglas en inglés) Nro. 3402, Informes de Verificación sobre Controles en una Organización de Servicios ( ISAE 3402 ), o cualquier otra norma o procedimiento de auditoría externa aplicable al Servicio en la Nube de Oracle que corresponda. Los informes de auditoría de los Servicios en la Nube de Oracle son publicados en forma periódica por los auditores externos de Oracle. No obstante, es posible que los informes no estén disponibles para todos los servicios o en todo momento. El Cliente puede solicitar que se le envíe una copia del último informe de auditoría publicado que se encuentre disponible para un Servicio en la Nube de Oracle en particular. Los informes de auditoría de los Servicios en la Nube de Oracle, y la información que contienen, constituyen información confidencial de Oracle, y deben ser tratados por el Cliente en consecuencia. Dichos informes pueden ser utilizados por el Cliente únicamente para evaluar el diseño y la eficacia operativa de los controles definidos aplicables a los Servicios en la Nube de Oracle y se proporcionan sin garantía de ninguna especie. El Cliente continuará siendo exclusivamente responsable de su cumplimiento normativo en relación con el uso que haga de cualquier Servicio en la Nube de Oracle. El Cliente deberá informar a Oracle los requisitos técnicos que resulten de sus obligaciones reglamentarias antes de la firma del contrato. Ciertos Servicios en la Nube de Oracle cuentan con certificación conforme a normas PCI DSS o FISMA/NIST y certificaciones adicionales; la adhesión a marcos regulatorios específicos dentro del Servicio en la Nube de Oracle puede ofrecerse por una tarifa adicional. El Cliente no debe proporcionar a Oracle información de salud, de tarjetas de pago u otra información personal sensible que exija el cumplimiento de obligaciones específicas de carácter reglamentario, legal o de la industria relativas a la seguridad de los datos para el procesamiento de tales datos; no obstante, cuando estén disponibles para ciertos Servicios en la Nube, Oracle podrá ofrecer, para la compra por parte de los Clientes de los Servicios en la Nube, servicios adicionales diseñados para el procesamiento de datos regulados dentro del entorno de servicios (p. ej., Servicio en la Nube Oracle RightNow PCI Certified Cloud Platform). Tenga en cuenta que tales servicios adicionales no están disponibles para todos los Servicios en la Nube. Oracle entiende que ciertos Clientes pueden tener requisitos de auditoría reglamentarios y, en estos casos, Oracle cooperará con el Cliente tal como se describe en el Contrato de Procesamiento de Datos Garantía de Seguridad del Software de Oracle La Garantía de Seguridad del Software de Oracle (Oracle Software Security Assurance, OSSA) es la metodología de Oracle para incorporar la seguridad en el diseño, la configuración (build), la prueba y el mantenimiento de sus servicios. El programa de OSSA se describe en assurance/overview/index.html. 2. Política de Resiliencia del Sistema de los Servicios en la Nube de Oracle La resiliencia y las copias de seguridad que se describen en esta Política solo son aplicables a los Servicios en la Nube de Oracle. El Cliente es exclusivamente responsable de elaborar un plan de continuidad empresarial diseñado para asegurar la continuidad de sus propias operaciones en caso de desastre y de realizar las copias de seguridad y recuperar todo software que no sea de Oracle. 2.1 Estrategia de Alta Disponibilidad de los Servicios en la Nube de Oracle Para la continuidad empresarial en caso de un incidente que afecte los Servicios en la Nube de Oracle, Oracle despliega los servicios en infraestructura informática resiliente. Los centros de datos de producción de Oracle Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 6 de 20

7 tienen componentes y suministro eléctrico redundantes con generadores de reserva destinados a mantener la disponibilidad de los recursos del centro de datos en caso de crisis según se describe a continuación. 2.2 Suministro eléctrico redundante El diseño de la infraestructura incluye fuentes de suministro eléctrico redundantes al centro de datos y distribución de energía eléctrica redundante para el centro de datos y a los bastidores del centro de datos. Los componentes de enfriamiento (enfriadores, torres, bombas y unidades de aire acondicionado de la sala de computadoras) incluyen redundancia. El suministro eléctrico de reserva para casos de emergencia incluye batería de reserva redundante, con almacenamiento de combustible del generador en el sitio y contratos de reabastecimiento de combustible. 2.3 Infraestructura de Red Redundante Los diseños de la red incluyen circuitos redundantes obtenidos de operadores diferentes, pares de cortafuegos, pares de conmutadores (switch), y pares de balanceadores de carga. 2.4 Servidores de Programa Redundantes El entorno del Cliente comprende un conjunto de uno o más servidores físicos o servidores virtuales que prestan servicios al Cliente. La funcionalidad general del nivel del programa puede estar distribuida entre múltiples servidores físicos o servidores virtuales. 2.5 Servidores de Base de Datos Redundantes Las bases de datos están configuradas para distribuir la carga de trabajo entre múltiples servidores físicos. Se logra una alta disponibilidad a través del agrupamiento en clústeres y la replicación. 2.6 Almacenamiento Redundante Los datos de los Servicios en la Nube de Oracle residen en configuraciones de almacenamiento redundante con protección frente a la falla de un disco individual o de unidades de disco. 2.7 Estrategia de Copia de Seguridad de los Servicios en la Nube de Oracle En respaldo de las prácticas de Recuperación ante Desastres de los Servicios en la Nube de Oracle (ver la Sección 3 a continuación), Oracle efectúa en forma periódica copias de seguridad de los datos de producción existentes en el Servicio en la Nube del Cliente para el uso exclusivo de Oracle a fin de reducir al mínimo la pérdida de datos en caso de desastre. Las copias de seguridad de las bases de datos se almacenan en el sitio principal utilizado para prestar los Servicios en la Nube de Oracle, así como también en una ubicación alternativa con fines de redundancia. Una copia de seguridad se conserva en línea y/o fuera de línea por un período de al menos 60 días a partir de la fecha en la que se efectúa la copia de seguridad. En general, Oracle no actualiza, introduce, elimina ni recupera datos del Cliente en nombre del Cliente. Sin embargo, con carácter excepcional y sujeto a la aprobación por escrito y tarifas adicionales, Oracle podrá brindar asistencia al Cliente para recuperar los datos que este haya perdido como consecuencia de sus propias acciones. 3. Política del Servicio de Recuperación antes Desastres de los Servicios en la Nube de Oracle 3.1 Alcance Esta Política es aplicable únicamente a los entornos de producción del Cliente dentro de los Servicios en la Nube de Oracle. Las actividades que se describen en esta Política no son aplicables a los planes o actividades de recuperación ante desastres, continuidad empresarial o copia de seguridad propios del Cliente, y el Cliente es responsable del archivo y la recuperación de cualquier software que no sea de Oracle. Los servicios de Recuperación ante Desastres están destinados a brindar la capacidad de restablecer el servicio en caso de un desastre de gran magnitud, según sea declarado por Oracle, que provoca pérdida de un centro de datos y la consiguiente falta de disponibilidad del servicio. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 7 de 20

8 A los fines de esta Política, un desastre significa un evento o condición no planificados que causan una pérdida total de acceso al sitio primario utilizado para prestar los Servicios en la Nube de Oracle de modo tal que los entornos de producción de Oracle en el sitio primario no se encuentran disponibles. 3.2 Resiliencia del Sistema Los Servicios en la Nube de Oracle mantienen una infraestructura redundante y resiliente diseñada para mantener altos niveles de disponibilidad y para recuperar servicios en caso de un desastre o interrupción significativos. Oracle diseña sus servicios en la nube utilizando principios de redundancia y tolerancia a fallos con un objetivo de tolerancia a fallos de un fallo de hardware de un único nodo. Los Servicios en la Nube de Oracle proporcionan una infraestructura que incorpora una estrategia integral de copia de seguridad de datos. La Nube de Oracle incluye capacidades redundantes tales como fuentes de alimentación eléctrica, sistemas de enfriamiento, servicios de telecomunicaciones, redes, dominios de aplicación, almacenamiento de datos, servidores físicos y virtuales y bases de datos. Oracle cuenta con dos centros de datos separados que funcionan como sitio primario y secundario para los Servicios en la Nube de Oracle. El entorno de reserva (sitio secundario) de producción del Cliente residirá en un centro de datos separado del sitio primario del Cliente. Oracle iniciará el plan de recuperación ante desastres previsto en esta Política una vez que declare un desastre, y tratará de recuperar los datos de producción y empleará esfuerzos razonables para restablecer el entorno de producción en el sitio secundario. Para una jurisdicción regional considerable (p. ej., los Estados Unidos de América o la Unión Europea), Oracle opera tanto un sitio de producción como un sitio secundario dentro de esa región. Los datos del Cliente se replican en instalaciones físicas separadas para restablecer los servicios por completo en caso de desastre en un sitio primario. Las copias de seguridad son para uso exclusivo de Oracle en caso de desastre. 3.3 Recuperación ante Desastres Oracle contempla la recuperación y reconstitución de sus Servicios en la Nube de producción al estado más reciente que se encuentre disponible tras un desastre. Oracle ha establecido sitios de procesamiento alternativos para lograr la plena capacidad operativa en caso de pérdida del servicio en un establecimiento primario. Oracle mantiene un Plan de Recuperación ante Desastres que describe procedimientos de recuperación. Las operaciones de recuperación ante desastres se aplican a la pérdida física de infraestructura en establecimientos de Oracle. Oracle se reserva el derecho de determinar el momento de activar el Plan de Recuperación ante Desastres. Durante la ejecución del Plan de Recuperación ante Desastres, Oracle proporciona informes de situación periódicos a los Clientes. Nota: el RTO y RPO que se describen a continuación no se aplican a personalizaciones del Cliente que dependen de componentes externos o software de terceros. Durante un evento activo de conmutación por error (failover), no se ofrece soporte para correcciones (fixes) no críticas ni solicitudes de mejora. El Cliente será exclusivamente responsable de los problemas originados en software de terceros y personalizaciones (CEMLI) de programas y servicios de Oracle Objetivo de Tiempo de Recuperación El objetivo de tiempo de recuperación (RTO) es el objetivo de Oracle relativo al período de tiempo máximo transcurrido entre la decisión de Oracle de activar los procesos de recuperación contemplados en esta Política para conmutar por error el servicio al sitio secundario a causa de un desastre declarado, y el momento en que el Cliente puede reanudar las operaciones de producción en el entorno de producción de reserva. Si la decisión de conmutar por error se adopta durante el período en el que hay una actualización en proceso, el RTO se extiende para incluir el tiempo necesario para completar la actualización. El RTO es de 12 horas a partir de la declaración de un desastre. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 8 de 20

9 3.3.2 Objetivo de Punto de Recuperación El objetivo de punto de recuperación (RPO) es el objetivo de Oracle relativo al máximo período de tiempo posible durante el cual podrían perderse datos, en caso de desastre. El RPO es de 1 hora a partir del acaecimiento de un desastre, excluyendo toda carga de datos que pueda estar en curso cuando ocurre dicho desastre Aprobaciones y Revisiones Esta Política y el correspondiente Plan de Recuperación ante Desastres se revisan anualmente. El Plan se revisa durante el proceso de revisión para incorporar resoluciones de problemas y mejoras en los procesos. 3.5 Restablecimiento del Servicio Esta Política identifica el propósito y el alcance del Plan de Recuperación ante Desastres, los roles y las responsabilidades, el compromiso de la gerencia, la coordinación entre las entidades de la organización y el cumplimiento. El plan documenta los procedimientos para recuperar un Servicio en la Nube en caso de desastre. Oracle tiene el compromiso de reducir al mínimo el tiempo de inactividad a causa de desastres o fallas en los equipos. Como parte de este compromiso, Oracle cuenta con un plan de recuperación ante desastres para empresas corporativas diseñado para lograr la recuperación y restablecimiento oportunos de las operaciones de Oracle. 3.6 Objetivos del Plan de Recuperación ante Desastres Los siguientes son los objetivos del Plan de Recuperación ante Desastres de Oracle para los Servicios en la Nube de Oracle: En una emergencia, la principal prioridad y objetivo de Oracle es la salud y seguridad humanas. Maximizar la eficacia de las operaciones de contingencia a través del Plan de Recuperación ante Desastres establecido que consta de las siguientes fases: o Fase 1 Fase de Autorización para el Inicio de la Recuperación ante Desastres, a fin de detectar la interrupción o caída del servicio en el sitio primario, determinar el alcance del daño y activar el plan. o Fase 2 Fase de recuperación, para restablecer las operaciones de TI temporarias en el sitio secundario. o Fase 3 Fase de reconstitución, para restablecer las capacidades de procesamiento y reanudar las operaciones en el sitio primario. Identificar las actividades, los recursos y procedimientos para cumplir con los requisitos de procesamiento durante interrupciones prolongadas. Asignar responsabilidades al personal designado y brindar orientación para la recuperación, durante períodos de interrupción prolongados. Asegurar la coordinación con otro personal responsable de las estrategias de planificación de la recuperación ante desastres. Asegurar la coordinación con puntos de contacto externos y proveedores y ejecución de este plan. 3.7 Prueba del Plan El Plan de Recuperación ante Desastres de los Servicios en la Nube se pone a prueba, como un ejercicio en vivo o una prueba teórica de simulación, en forma anual. Las pruebas se utilizan para capacitar al personal de alojamiento y se coordinan con todo el personal responsable de la elaboración y ejecución de los planes de contingencia. Las pruebas verifican que las copias de seguridad en línea puedan recuperarse y que los procedimientos para trasladar un servicio al sitio de procesamiento alternativo sean adecuados y eficaces. Los planes de prueba se elaboran de conformidad con la NIST Los resultados de las pruebas se utilizan para mejorar el proceso e iniciar acciones correctivas. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 9 de 20

10 4. Política de Objetivo de Nivel de Servicio en la Nube de Oracle 4.1 Disposiciones sobre Disponibilidad del Servicio A partir de la activación por parte de Oracle del entorno de producción del Cliente, y siempre que este permanezca en cumplimiento de los términos del documento de pedido (incluido el contrato) y cumpla los requisitos mínimos de configuración técnica recomendados por Oracle para acceder y usar los servicios desde la infraestructura de red del Cliente y las estaciones de trabajo de los usuarios del Cliente de acuerdo con lo establecido en la Documentación del Programa de los Servicios en la Nube, Oracle trabaja para cumplir con el Objetivo de Nivel de Disponibilidad del Servicio de conformidad con los términos estipulados en esta Política. 4.2 Objetivo de Nivel de Disponibilidad del Sistema del Servicio en la Nube de Oracle Oracle trabaja para cumplir con un Objetivo de Nivel de Disponibilidad del Sistema del 99,5% del servicio de producción, para el período de medición de un mes calendario, a partir de la activación por parte de Oracle del entorno de producción. 4.3 Definición de Disponibilidad y Tiempo de Inactividad No Programado Disponibilidad o Disponible significa que el Cliente puede iniciar sesión y acceder al OLTP o a una parte transaccional de los Servicios en la Nube de Oracle, con sujeción a las siguientes disposiciones. Tiempo de Inactividad No Programado se refiere al tiempo en que los servicios no están Disponibles pero no incluye el tiempo durante el cual los servicios o cualquiera de sus componentes no están Disponibles por las siguientes razones: el error o la degradación del rendimiento o el mal funcionamiento producto de scripts, datos, aplicaciones, equipos, infraestructura, software, pruebas de penetración, pruebas de rendimiento o agentes de monitoreo dirigidos, proporcionados o realizados por el Cliente; la interrupción del servicio planificada, el mantenimiento programado y anunciado o las ventanas de mantenimiento o interrupciones del servicio iniciadas por Oracle a pedido o por instrucción del Cliente para realizar el mantenimiento, la activación de configuraciones, copias de seguridad u otros fines que requieran que el servicio esté sin conexión transitoriamente; la falta de disponibilidad de servicios de gestión, auxiliares o de administración, incluidas las herramientas de administración, servicios de presentación de informes, utilidades, componentes de software de terceros que no se encuentren bajo el control exclusivo de Oracle, u otros servicios que admiten el procesamiento de transacciones centrales; las interrupciones del servicio que ocurran como resultado de las acciones u omisiones de Oracle a pedido o por instrucción del Cliente; las interrupciones del servicio resultantes de los equipos del Cliente o de terceros o componentes de software que no se encuentren bajo el control exclusivo de Oracle; los eventos resultantes de la interrupción o el cierre de los servicios debido a circunstancias que, en opinión razonable de Oracle, constituyan una amenaza importante para el funcionamiento normal de los servicios, la infraestructura operativa, la instalación desde la cual se prestan los servicios, el acceso o la integridad de los datos del Cliente (por ejemplo, el ataque de un pirata informático (hacker) o un virus); las interrupciones del servicio originadas en la administración del sistema, los comandos o las transferencias de archivos realizadas por los usuarios o representantes del Cliente; las interrupciones del servicio debidas a ataques de denegación del servicio, catástrofes naturales, cambios resultantes de acciones gubernamentales, políticas u otras de carácter regulatorio u órdenes judiciales, huelgas o conflictos laborales, actos de desobediencia civil, actos de guerra, actos contra las partes (incluidos los transportistas y otros proveedores de Oracle) y otros hechos de fuerza mayor; la incapacidad de acceder a los servicios o las interrupciones causadas por la conducta del Cliente, incluida la negligencia o el incumplimiento de las obligaciones esenciales del Cliente conforme al contrato, u otras circunstancias ajenas al control de Oracle; la falta de disponibilidad o el tiempo de respuesta tardío del Cliente para responder a incidentes que requieran su participación para la identificación del origen y/o la resolución, incluido el cumplimiento de las responsabilidades del Cliente por los servicios; Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 10 de 20

11 las interrupciones del servicio causadas por fallas o fluctuaciones en los equipos o líneas eléctricas, de conectividad, de redes o de telecomunicaciones debido a la conducta del Cliente o a circunstancias ajenas al control de Oracle. 4.4 Medición de la Disponibilidad Al término de cada mes calendario del Período de Servicios en virtud de un documento de pedido, Oracle mide el Nivel de Disponibilidad del Sistema en el mes inmediatamente anterior. Oracle mide el Nivel de Disponibilidad del Sistema dividiendo la diferencia entre el número total de minutos del período de medición mensual y cualquier Tiempo de Inactividad No Programado por el número total de minutos del período de medición, y multiplicando el resultado por 100 para obtener un porcentaje Presentación de Informes de Disponibilidad Oracle brindará al Cliente acceso a un portal de notificaciones al Cliente. Este portal proporcionará métricas relativas al Nivel de Disponibilidad del Sistema correspondiente a los Servicios en la Nube adquiridos en virtud del documento de pedido. Para aquellos Servicios en la Nube respecto de los cuales tales métricas no estén disponibles a través del portal de notificaciones al Cliente, Oracle proporcionará métricas relativas al Nivel de Disponibilidad del Sistema una vez que reciba una Solicitud de Servicio presentada por el Cliente a Oracle en la que solicite las métricas. 4.5 Monitoreo Oracle utiliza diversas herramientas de software para monitorear (i) la disponibilidad y el rendimiento del entorno de servicios de producción del Cliente y (ii) el funcionamiento de los componentes de la red y la infraestructura Componentes Monitoreados Oracle monitorea la infraestructura del servicio, y en la actualidad genera alertas relativas a CPU, memoria, almacenamiento, base de datos, componentes de red y transacciones. El personal de Operaciones de Oracle atiende las advertencias y alertas automatizadas asociadas con los desvíos del entorno de los umbrales de monitoreo definidos por Oracle, y sigue procedimientos operativos estándar para investigar y resolver los problemas subyacentes Herramientas de Monitoreo y Prueba del Cliente Debido al posible impacto adverso en el rendimiento y la disponibilidad del servicio, el Cliente no podrá usar sus propias herramientas de monitoreo o prueba (lo que incluye interfaces de usuario automatizadas y llamadas de servicio vía Web a cualquier Servicio en la Nube de Oracle) para procurar medir, en forma directa o indirecta, la disponibilidad, el rendimiento, o la seguridad de cualquier programa o característica o componente del servicio dentro de los servicios o el entorno. Oracle se reserva el derecho de eliminar o inhabilitar el acceso a cualquier herramienta que viole las restricciones precedentes sin responsabilidad alguna frente al Cliente Cargas de Trabajo del Cliente El Cliente no podrá efectuar cambios significativos en la carga de trabajo que excedan la cantidad permitida conforme a los derechos establecidos en el documento de pedido Cargas de Trabajo Automatizadas El Cliente no podrá usar ni autorizar el uso de herramientas de extracción (scraping) de datos o tecnologías para recopilar datos disponibles a través de la interfaz del usuario del Servicio en la Nube de Oracle o a través de llamadas de servicio vía Web sin el permiso expreso de Oracle otorgado por escrito. Oracle se reserva el derecho de exigir que las herramientas de extracción de datos propuestas por el Cliente sean validadas y probadas por Oracle antes de su uso en producción y que, a partir de entonces, estas se validen y prueben en forma anual. Oracle podrá requerir la firma de una orden de trabajo por escrito para llevar a cabo dichas tareas de prueba y validación. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 11 de 20

12 5. Política de Gestión de Cambios de los Servicios en la Nube de Oracle 5.1 Gestión de Cambios y Mantenimiento de los Servicios en la Nube de Oracle Los equipos de Operaciones de los Servicios en la Nube de Oracle efectúan cambios a la infraestructura de hardware en la nube, el software operativo, el software del producto y el software de aplicaciones de soporte para mantener la estabilidad operativa, la disponibilidad, la seguridad, el rendimiento y la vigencia de la Nube de Oracle. Oracle sigue procedimientos formales de gestión de cambios para llevar a cabo la revisión, las pruebas, y la aprobación de los cambios que se requieran antes de su aplicación en el entorno de producción de los Servicios en la Nube de Oracle. Los cambios efectuados a través de procedimientos de gestión de cambios incluyen actividades de mantenimiento del servicio y del sistema, actualizaciones y mejoras, así como también cambios específicos para el Cliente. Los procedimientos de Gestión de Cambios de los Servicios en la Nube están diseñados para reducir al mínimo la interrupción del servicio durante la implementación de los cambios. Oracle reserva períodos de mantenimiento específicos para cambios que pueden requerir que el Servicio en la Nube no se encuentre disponible durante el período de mantenimiento. Oracle se esfuerza por asegurar que los procedimientos de gestión de cambios se lleven a cabo durante las ventanas de mantenimiento programadas, considerando a la vez los períodos de tráfico reducido y los requisitos geográficos. El período de mantenimiento programado típico es una vez al mes los días viernes, a partir de alrededor de las 20:00 hs. hora local del centro de datos, y con una duración aproximada de 10 horas. Existen excepciones a este programa para ciertos servicios en la Nube; se dispone de documentación adicional en My Oracle Support en el Artículo de Conocimiento : Oracle trabajará para notificar con anticipación las modificaciones del período de mantenimiento estándar programado. En lo que respecta a mejoras y cambios específicos para el Cliente, en la medida de lo posible, Oracle tratará de coordinar los períodos de mantenimiento con el Cliente. Respecto de aquellos cambios que podrían causar una interrupción del servicio, Oracle trabajará para notificar por anticipado el impacto previsto. La duración de los períodos de mantenimiento para el mantenimiento programado no está incluida en el cálculo de los minutos de Tiempo de Inactividad No Programado del período de medición mensual para el Nivel de Disponibilidad del Sistema (ver Política de Objetivo de Nivel de Servicio en la Nube de Oracle ). Oracle emplea esfuerzos comercialmente razonables para reducir al mínimo el uso de estos períodos de mantenimiento de reserva y la duración de los eventos de mantenimiento que causen interrupciones del servicio Mantenimiento de Emergencia Es posible que Oracle deba llevar a cabo mantenimiento de emergencia en forma periódica para proteger la seguridad, el rendimiento, la disponibilidad o la estabilidad del entorno de producción. El mantenimiento de emergencia puede incluir la aplicación de actualizaciones de mantenimiento a programas y/o el mantenimiento de sistemas centrales según sea necesario. Oracle trabaja para reducir al mínimo el uso del mantenimiento de emergencia y trabajará para notificar con 24 horas de anticipación cualquier mantenimiento de emergencia que requiera una interrupción del servicio Cambios de Mantenimiento Significativos A fin de asegurar la estabilidad, la disponibilidad, la seguridad y el rendimiento continuos de los Servicios en la Nube, Oracle se reserva el derecho de efectuar cambios significativos a su infraestructura de hardware, software operativo, software de aplicaciones y software de aplicaciones de soporte que se encuentren bajo su control, no más de dos veces por año calendario. Cada uno de tales eventos de cambio se considera mantenimiento programado y puede causar la falta de disponibilidad de los Servicios en la Nube por hasta 24 horas. Se procura que cada evento de cambio ocurra al mismo tiempo que el período de mantenimiento programado. Oracle trabajará para notificar con una anticipación de hasta 60 días la falta de disponibilidad prevista. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 12 de 20

13 5.1.3 Migraciones del Centro de Datos Oracle podrá migrar los servicios del Cliente entre centros de datos de producción en la misma región del centro de datos a fin de recuperar los servicios del Cliente o en caso de recuperación ante desastres. Para todas las demás migraciones de centro de datos, Oracle notificará al Cliente con una anticipación mínima de 30 días. 5.2 Versiones de Software Actualizaciones y Mejoras de Software Oracle exige que todos los Clientes de los Servicios en la Nube mantengan actualizadas las versiones de software de los Servicios en la Nube de Oracle de acuerdo con las versiones de software que Oracle designe como generalmente disponibles (GA, por sus siglas en inglés). Para los Servicios en la Nube compatibles con múltiples versiones, Oracle en general designa la versión actual y la inmediatamente anterior como versiones GA. Oracle podrá otorgar una notificación respecto de la versión GA de Servicios en la Nube específicos en el portal de soporte o dentro de las Especificaciones del Servicio de los Servicios en la Nube. Las actualizaciones de software seguirán al lanzamiento de cada versión GA y son necesarias para mantener la vigencia de la versión. Las Políticas de Prestación y Alojamiento en la Nube de Oracle, tales como la Política de Objetivo de Nivel de Servicio, la Política de Recuperación ante Desastres y la Política de Soporte de los Servicios en la Nube, dependen de que el Cliente mantenga vigente la versión GA. Oracle no es responsable de problemas de rendimiento o seguridad en los Servicios en la Nube que sean consecuencia de la ejecución de versiones anteriores Evaluación de Nuevas Versiones Las nuevas versiones de la versión GA más reciente de los Servicios en la Nube de Oracle pueden ser evaluadas por el Cliente a través de un portal de autoservicio o mediante un proceso de incidentes a través del Portal de Soporte al Cliente de los Servicios en la Nube designado por Oracle para el servicio específico ordenado (p. ej., el portal My Oracle Support). Es responsabilidad del Cliente iniciar el proceso de evaluación de una nueva versión o revisión. El Cliente inicia el proceso de evaluación mediante la presentación de una solicitud de evaluación de nueva versión en el Portal de Soporte al Cliente de los Servicios en la Nube. Para las solicitudes de evaluación de nueva versión tramitadas a través del Portal de Soporte al Cliente de los Servicios en la Nube, una vez recibida la Solicitud de Servicio (SR), Oracle envía un aviso al/a los contacto(s) del Cliente responsable(s) de recibir comunicaciones relativas a las versiones mejoradas. Oracle prepara un entorno de evaluación actualizando el entorno de ensayo del Cliente a la última versión del producto en la Nube Fin de Ciclo de Vida Oracle reconoce que el Cliente puede tener motivos comerciales legítimos para no incorporar la última versión de los Servicios en la Nube de Oracle tan pronto como dicha versión se encuentre disponible. No obstante, Oracle no prestará soporte para versiones anteriores en exceso de lo establecido en la Política de Fin de Ciclo de Vida que se describe a continuación. Para los Servicios en la Nube compatibles con múltiples versiones, Oracle alojará y prestará soporte únicamente a las versiones GA designadas de un Servicio en la Nube de Oracle. Todas las demás versiones del servicio se consideran como fin de ciclo de vida (EOL). Oracle no proporciona Servicios en la Nube para versiones EOL. Para los Servicios en la Nube compatibles con múltiples versiones, los Clientes deben finalizar la actualización de los servicios a la última versión antes del EOL de una versión determinada. El Cliente reconoce que la omisión de finalizar la actualización antes del EOL de una versión del Servicio en la Nube puede implicar una actualización automática llevada a cabo por Oracle o una suspensión de los servicios. En ciertos casos, cuando una versión del Servicio en la Nube llega al EOL y Oracle no pone a disposición una versión mejorada, Oracle podrá designar, y exigir que los Clientes realicen la transición a un servicio en la nube que la suceda Características Obsoletas Una característica obsoleta es una característica que aparece en versiones anteriores o existentes del Servicio en la Nube y aún cuenta con soporte como parte del servicio, pero respecto de la cual Oracle ha notificado que la característica se eliminará en versiones futuras. Oracle emplea esfuerzos comercialmente razonables para publicar notificaciones sobre características obsoletas un trimestre antes de su eliminación y se reserva el derecho de declarar obsoletas, modificar o eliminar características de cualquier nueva versión sin previo aviso. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 13 de 20

14 6. Política de Soporte de los Servicios en la Nube de Oracle El soporte descrito en esta Política de Soporte de los Servicios en la Nube solo es aplicable a los Servicios en la Nube de Oracle y es prestado por Oracle como parte de tales servicios conforme al documento de pedido. El Cliente puede adquirir servicios adicionales para la Nube de Oracle a través de otras ofertas de servicio de soporte de Oracle que Oracle designe para los Servicios en la Nube. 6.1 Términos de Soporte de los Servicios en la Nube de Oracle Tarifas de soporte Las tarifas pagadas por el Cliente por la oferta de Servicios en la Nube de Oracle conforme al documento de pedido incluyen el soporte que se describe en esta Política de Soporte de los Servicios en la Nube de Oracle. Se aplican tarifas adicionales por las ofertas de servicios de soporte de Oracle adquiridas por el Cliente Período de soporte El soporte de los Servicios en la Nube de Oracle comienza a estar disponible a partir de la fecha de inicio del servicio y finaliza con el vencimiento o la terminación del Servicio en la Nube en virtud de dicho documento de pedido (el período de soporte ). Oracle no tiene la obligación de prestar el soporte descrito en esta Política de Soporte de los Servicios en la Nube una vez finalizado el período de soporte Contactos técnicos Los contactos técnicos del Cliente constituyen el único nexo entre el Cliente y Oracle para los servicios de soporte de los Servicios en la Nube de Oracle. Dichos contactos técnicos deberán contar, como mínimo, con capacitación inicial básica sobre el servicio y, cuando fuera necesario, capacitación adicional adecuada para la función específica o fase de implementación, el uso especializado del servicio/producto, y/o la migración. Los contactos técnicos del Cliente deberán tener conocimiento acerca de las ofertas de servicio en la Nube de Oracle y el entorno de Oracle a fin de colaborar en la resolución de problemas del sistema y asistir a Oracle en el análisis y la resolución de solicitudes de servicio. Al presentar una solicitud de servicio, el contacto técnico del Cliente deberá tener una comprensión básica del problema que se enfrenta y la capacidad de reproducir el problema para asistir a Oracle en el diagnóstico y la clasificación de dicho problema. Para evitar interrupciones en los servicios de soporte, el Cliente debe notificar a Oracle cuando las responsabilidades del contacto técnico se transfieran a otra persona Soporte de los Servicios en la Nube de Oracle Los Servicios de Soporte de los Servicios en la Nube de Oracle consisten en: Diagnóstico de problemas con los Servicios en la Nube de Oracle Esfuerzos comercialmente razonables para resolver errores informados y verificables en los servicios en la Nube de Oracle a fin de que funcionen en todos sus aspectos substanciales de acuerdo con lo descrito en la Documentación del Programa relacionada Soporte durante las actividades de Gestión de Cambios descritas en la Política de Gestión de Cambios de los Servicios en la Nube de Oracle Asistencia para las Solicitudes de Servicio técnico las 24 horas del día, los 7 días de la semana Acceso 24 x 7 a un Portal de Soporte al Cliente de los Servicios en la Nube designado por Oracle (p. ej., My Oracle Support) y Soporte Telefónico en Vivo para registrar Solicitudes de Servicio Acceso a foros comunitarios Asistencia de servicio no técnico al Cliente durante el horario de oficina normal de Oracle (de 8:00 a 17:00 hs.), hora local. 6.2 Sistemas de Soporte al Cliente de los Servicios en la Nube de Oracle Portal de Soporte al Cliente de los Servicios en la Nube Como parte de la oferta de Servicios en la Nube adquirida por el Cliente en virtud del documento de pedido, Oracle proporciona Soporte al Cliente para el Servicio en la Nube a través del Portal de Soporte al Cliente de los Servicios en la Nube designado para dicho Servicio en la Nube. El acceso al correspondiente Portal de Soporte al Cliente de los Servicios en la Nube se rige por las Condiciones de Uso publicadas en el sitio web de soporte designado, que se encuentran sujetas a modificaciones. Una copia de estos términos se encuentra disponible a Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 14 de 20

15 su solicitud. El acceso al Portal de Soporte al Cliente de los Servicios en la Nube está limitado a los contactos técnicos designados por el Cliente y otros usuarios autorizados de los Servicios en la Nube. Cuando corresponda, el Portal de Soporte al Cliente de los Servicios en la Nube de Oracle brinda detalles de soporte a los contactos técnicos designados por el Cliente para permitir el uso del soporte de los Servicios en la Nube de Oracle. Todas las notificaciones y alertas del servicio aplicables al Cliente se publican en este portal Soporte Telefónico en Vivo Los contactos técnicos del Cliente pueden acceder al soporte telefónico en vivo a través de los números de teléfono y la información de contacto indicados en el sitio web de soporte de Oracle en Definiciones de Severidad Las solicitudes de servicio correspondientes a los Servicios en la Nube de Oracle pueden ser presentadas por los contactos técnicos designados por el Cliente a través de los Sistemas de Soporte al Cliente de los Servicios en la Nube de Oracle indicados en la Sección 6.2 de esta Política. El Cliente y Oracle determinarán el nivel de severidad de la solicitud de servicio presentada por el Cliente, y este deberá estar basado en las definiciones de severidad que se describen a continuación: Severidad 1 El uso en producción del Servicio en la Nube de Oracle por parte del Cliente se detiene o sufre un impacto tan grave que el Cliente no puede seguir trabajando de manera razonable. El Cliente sufre una pérdida total del servicio. La operación afectada es de misión crítica para el negocio, y la situación es una emergencia. Una solicitud de servicio de Severidad 1 presenta una o más de las siguientes características: Datos dañados Una función crítica documentada no se encuentra disponible El servicio se cuelga indefinidamente y causa demoras inaceptables o indefinidas para los recursos o la respuesta El servicio falla, y falla de manera reiterada después de los intentos de reinicio Oracle realizará esfuerzos razonables para responder a las solicitudes de servicio de Severidad 1 dentro del plazo de una (1) hora. Oracle trabajará las 24 horas, los 7 días de la semana hasta que la solicitud de servicio de Severidad 1 esté resuelta, se implemente una solución alternativa razonable, o hasta lograr un avance útil. El Cliente deberá proporcionar a Oracle un contacto durante este período de 24 x 7 para prestar asistencia con la recolección de datos, las pruebas y la aplicación de correcciones (fixes). Se requiere que el Cliente proponga esta clasificación de severidad con mucho cuidado, a fin de que Oracle pueda asignar los recursos necesarios para las situaciones de Severidad 1 válidas. Severidad 2 El Cliente sufre una pérdida grave del servicio. Existen importantes funcionalidades de los Servicios en la Nube de Oracle que no están disponibles, sin una solución alternativa aceptable; sin embargo, las operaciones pueden continuar en forma restringida. Severidad 3 El Cliente sufre una pérdida leve del servicio. El impacto es un inconveniente que puede requerir una solución alternativa para restablecer la funcionalidad. Severidad 4 El Cliente solicita información, alguna mejora o aclaración de la documentación relacionada con el Servicio en la Nube de Oracle, pero no existe impacto alguno en el funcionamiento de dicho servicio. El Cliente no sufre ninguna pérdida del servicio. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 15 de 20

16 6.4 Cambio del Nivel de Severidad de una Solicitud de Servicio Nivel de Severidad Inicial En el momento en que Oracle acepta una solicitud de servicio, registrará el nivel de severidad inicial de la solicitud de servicio de acuerdo con las definiciones de severidad precedentes. El punto de atención inicial de Oracle, una vez aceptada una solicitud de servicio, será resolver las cuestiones que sustentan la solicitud de servicio. El nivel de severidad de una solicitud de servicio puede ajustarse según se describe a continuación Reducción del Nivel de Severidad de la Solicitud de Servicio: Si, durante el proceso de solicitud de servicio, la cuestión deja de justificar el nivel de severidad actualmente asignado en función del impacto actual sobre el funcionamiento en producción del correspondiente Servicio en la Nube de Oracle, entonces el nivel de severidad se reducirá al nivel que refleje de manera más apropiada su impacto actual Aumento del Nivel de Severidad de la Solicitud de Servicio: Si, durante el proceso de solicitud de servicio, la cuestión justifica la asignación de un nivel de severidad superior al actualmente asignado en función del impacto actual sobre el funcionamiento en producción del correspondiente Servicio en la Nube de Oracle, entonces el nivel de severidad se aumentará al nivel que refleje de manera más apropiada su impacto actual Adhesión a las definiciones de los Niveles de Severidad: El Cliente garantizará que la asignación y el ajuste de cualquier designación de nivel de severidad sean exactos en función del impacto actual sobre el funcionamiento en producción del respectivo Servicio en la Nube de Oracle. El Cliente reconoce que Oracle no es responsable de cualquier incumplimiento de los estándares de rendimiento que surja del mal uso o la asignación incorrecta de designaciones de los niveles de severidad por parte del Cliente. 6.5 Remisión de la Solicitud de Servicio a una Instancia Superior Para las solicitudes de servicio que son remitidas a una instancia superior, el analista de soporte de Oracle interactuará con el gerente de remisión de solicitudes de servicio a una instancia superior que será responsable de gestionar la remisión. El gerente de remisión de solicitudes de servicio a una instancia superior de Oracle trabajará con el Cliente para desarrollar un plan de acción y asignar los recursos apropiados de Oracle. Si la cuestión que sustenta la solicitud de servicio continúa sin resolverse, el Cliente podrá comunicarse con el gerente de remisión de solicitudes de servicio a una instancia superior de Oracle para revisar la solicitud de servicio y requerir que sea remitida al siguiente nivel dentro de Oracle, según sea necesario. Para facilitar la resolución de una solicitud de servicio remitida a una instancia superior, se requiere que el Cliente proporcione contactos dentro de su organización que se encuentren al mismo nivel que aquellos dentro de Oracle a los que se les han remitido la solicitud de servicio. 6.6 Excepciones a la Política Las preguntas o solicitudes del Cliente relativas a una excepción a las Políticas de Prestación y Alojamiento en la Nube de Oracle deben efectuarse a través de una solicitud de servicio en el Portal de Soporte al Cliente de los Servicios en la Nube aplicable al servicio (p. ej., My Oracle Support). 7. Política de Suspensión y Terminación de los Servicios en la Nube de Oracle 7.1 Terminación de los Servicios en la Nube Terminación de los Servicios en la Nube Una vez producida la terminación o el vencimiento de los servicios conforme al documento de pedido, o a solicitud del Cliente, Oracle eliminará, o tornará de otro modo inaccesibles, los entornos de producción y los datos que residan en ellos de una manera diseñada para garantizar que razonablemente no sea posible acceder a ellos o leerlos, a menos que exista una obligación legal impuesta a Oracle que le impida eliminar los entornos en todo o en parte. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 16 de 20

17 Por un período de hasta 60 días después de la terminación o el vencimiento de los servicios conforme al documento de pedido, Oracle pondrá a disposición los datos de producción del Cliente a fin de que este los recupere. Oracle no tiene obligación de conservar los datos para propósitos del Cliente después de este período posterior a la terminación de 60 días. Los Identificadores del Soporte al Cliente de Oracle (CSI) se cancelan al término del período de 60 días, y Oracle eliminará o tornará inaccesibles los datos del Cliente dentro del servicio Terminación de Entornos Piloto Los pilotos de los Servicios en la Nube de Oracle adhieren a la misma política de terminación del servicio que los entornos de producción normales Asistencia al Cliente tras la Terminación Una vez producida la terminación del servicio, si el Cliente necesita asistencia de Oracle para obtener acceso al servidor seguro de Oracle a fin de recuperar sus datos de producción, este deberá crear una solicitud de servicio en el Portal de Soporte al Cliente de los Servicios en la Nube correspondiente al servicio (p. ej., My Oracle Support) Transferencia Segura de Datos Como parte del proceso de terminación del servicio, Oracle pone a disposición protocolos seguros mediante los cuales los usuarios designados por el Cliente pueden transferir datos del Cliente desde el servicio. 7.2 Suspensión por Violación En caso de que Oracle detecte una violación, o reciba una comunicación relativa a una violación, de los términos y condiciones o la política de uso aceptable de los Servicios en la Nube de Oracle, Oracle asignará un agente de investigación. El agente de investigación podrá adoptar medidas que incluyen, entre otras, la suspensión del acceso a cuentas de usuario, suspensión de acceso a cuentas de administrador, o suspensión del entorno hasta que se resuelvan los problemas. Oracle empleará esfuerzos razonables para restablecer los servicios del Cliente afectados sin demora una vez que Oracle determine, a su discreción razonable, que los problemas se han resuelto o la situación ha sido subsanada. 7.3 Datos Exportables Los siguientes datos del Cliente pueden ser exportados por Oracle desde el entorno de producción de los Servicios en la Nube una vez producida la terminación. Datos de la Base de Datos: Todos los datos transaccionales. Documentos Adjuntos: Todos los documentos adjuntos que hayan sido cargados por el Cliente o adjuntados a una transacción de negocio o flujo de trabajo. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 17 de 20

18 Apéndice A Servicio en la Nube de la Plataforma de Marketing de Oracle Responsys Este apéndice es aplicable a la característica adicional del Servicio en la Nube de la Plataforma de Marketing de Oracle Responsys, conocida como Servicio en la Nube Responsys Automatic Failover for Transactional Messages, y establece las siguientes modificaciones a las Políticas de Prestación y Alojamiento en la Nube Empresarial de Oracle para tal Servicio en la Nube: 1.2 Segregación en las Redes 1.3 Control del Acceso a la Red Controles de Red 2.3 Infraestructura de Red Redundante 2.7 Estrategia de Copia de Seguridad de los Servicios en la Nube de Oracle Objetivo de Tiempo de Recuperación Se modifica la última oración de esta sección, la que quedará redactada de la siguiente manera: El RTO para el Servicio en la Nube Oracle Responsys Automatic Failover for Transactional Messages es de 30 minutos a partir de la declaración de un desastre Objetivo de Punto de Recuperación Se modifica la última oración de esta sección, la que quedará redactada de la siguiente manera: El RPO para el Servicio en la Nube Oracle Responsys Automatic Failover for Transactional Messages es de 15 minutos a partir del acaecimiento de un desastre. 4.2 Objetivo de Nivel de Disponibilidad del Sistema del Servicio en la Nube de Oracle Oracle trabaja para cumplir con un Objetivo de Nivel de Disponibilidad del Sistema del 99,9% del servicio de producción del Servicio en la Nube Oracle Responsys Automatic Failover for Transactional Messages, para el período de medición de un mes calendario, a partir de la activación del entorno de producción por parte de Oracle. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 18 de 20

19 Apéndice B Servicio en la Nube de Oracle TOA Technologies Este apéndice es aplicable al Servicio en la Nube de Oracle TOA Technologies y establece las siguientes modificaciones a las Políticas de Prestación y Alojamiento en la Nube Empresarial de Oracle para dicho Servicio en la Nube. Salvo que se especifique lo contrario en el presente, cada sección establecida a continuación se aplicará en reemplazo de la correspondiente sección original de las Políticas de Prestación: Parte 1 Modificaciones para ETAdirect Enterprise and ETAdirect Professional 1.1 Cifrado del Usuario para Conexiones Externas El acceso del Cliente al sistema es a través de la Internet. Para el acceso al Servicio en la Nube de Oracle, se dispone de tecnología de cifrado SSL. Las conexiones SSL se negocian para un cifrado de al menos 128 bits o más potente. La clave privada que se utiliza para generar la clave de cifrado es de al menos 2048 bits. El cifrado SSL es implementado o configurable para todos los programas con certificado SSL basados en la Web y desplegados en Oracle. Se recomienda utilizar los navegadores más recientes certificados para los programas de Oracle, que son compatibles con cifrados de mayor intensidad y cuentan con mejoras en la seguridad, para establecer la conexión con programas habilitados vía Web. La lista de navegadores certificados para el Servicio en la Nube de Oracle TOA Technologies se proporcionará al Cliente a su solicitud. En ciertos casos, es posible que el sitio de un tercero (como Facebook) que el Cliente desea integrar al Servicio en la Nube no acepte una conexión cifrada. Para aquellos Servicios en la Nube en los que las conexiones HTTP con el sitio del tercero están permitidas por Oracle, Oracle habilitará tales conexiones HTTP en forma adicional a la conexión HTTPS Medios Físicos en Tránsito Objetivo de Tiempo de Recuperación Se modifica la última oración de esta sección, la que quedará redactada de la siguiente manera: El RTO para ETAdirect Professional es de 5 horas a partir de la declaración de un desastre. El RTO para ETAdirect Enterprise es de 4 horas a partir de la declaración de un desastre Migraciones del Centro de Datos Parte 2 Modificaciones para ETAworkforce Acceso Horario de Operación 1. Política de Seguridad de los Servicios en la Nube de Oracle 2. Política de Resiliencia del Sistema de los Servicios en la Nube de Oracle Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 19 de 20

20 3. Política del Servicio de Recuperación antes Desastres de los Servicios en la Nube de Oracle 4. Política de Objetivo de Nivel de Servicio en la Nube de Oracle 5. Política de Gestión de Cambios de los Servicios en la Nube de Oracle 6. Política de Soporte de los Servicios en la Nube de Oracle El siguiente párrafo se agrega al final de la sección: Oracle no tiene obligación de ninguna especie de prestar servicios de soporte para problemas en el funcionamiento o rendimiento de ETAworkforce que sean causados por cualquiera de los siguientes factores: (i) productos de hardware o software que no sean de Oracle o problemas de configuración y redes de proveedores externos; (ii) alteraciones, daños o modificaciones (incluido, a mero título enunciativo, cambios de configuración) al software entregado que no sean efectuados o expresamente autorizados por Oracle; (iii) problemas causados por Su negligencia, abuso, o aplicación indebida, o (iv) Su uso del software de un modo diferente al permitido por la ley o al establecido en la documentación pertinente. Oracle se reserva el derecho de suspender y/o desconectar los servicios si cualquiera de los factores antes mencionados se considera una amenaza a los sistemas o Servicios en la Nube de Oracle. 7.1 Terminación de los Servicios en la Nube 7.3 Datos Exportables Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_MX_ESP Página 20 de 20