Servicios IBM de Seguridad Administrada para Correo Electrónico Seguro ( IBM Managed Security Services for Security )

Transcripción

1 Descripción del servicio Servicios IBM de Seguridad Administrada para Correo Electrónico Seguro ( IBM Managed Security Services for Security ) 1. Alcance de los servicios El Servicio IBM de Seguridad Administrada para Correo Electrónico Seguro (en idioma inglés denominado como IBM Managed Security Services for Security y en adelante referenciado como MSS for Security ) puede incluir: a. Servicios de Antivirus para ayudar a detectar los virus y ciertas otras imágenes en s de Internet; b. Servicios de Image Control para ayudar a detectar imágenes pornográficas en archivos de imágenes, tanto en s entrantes y salientes como en los adjuntos; c. Servicios de Antispam para ayudar a salvaguardar de los Spams a s de Internet, y/o d. Servicios de Content Control para ayudarlo al Cliente a detectar en s de Internet que el contenido de los mismos esté de acuerdo con la política de uso aceptable de la computadora (o su equivalente) establecida por el Cliente,. Los detalles de la orden del Cliente (por ejemplo los servicios que el Cliente requiera, el período contractual y los Cargos) estarán especificados en la Orden. Podrá encontrar las definiciones de la terminología específica del servicio en 2. Definiciones Bulk un grupo de más de s, con un contenido sustancialmente similar, que han sido enviados o recibidos en una única operación o en una serie de operaciones relacionadas. Cuarentena el aislamiento de los s de los que se sospecha que tienen un contenido indeseado, según las definiciones de su configuración, previa a la acción del usuario o a la eliminación automática. Tower Cluster Designado un agrupamiento (referenciado en adelante como Cluster ) de torres ( Towers ) (mínimo dos), diseñado para proveer al Cliente el MSS for Security. Disponibilidad de los servicios de la capacidad de establecer una sesión SMTP en el port 25 del Tower Cluster Designado y (i) recibir su entrante de parte de su dominio sobre una base de 24 horas/día, 7 días/semana, y (ii) aceptar su saliente de su host SMTP correctamente configurado de parte de su(s) dominio(s) sobre una base de 24 horas/día, 7 días/semana. Latencia el tiempo promedio de ida y vuelta para los s enviados cada cinco minutos hacia y desde cada Tower. Una herramienta de rastreo que mide e informa el tiempo sobre una base mensual. Si el promedio de ida y vuelta de su Tower Cluster Designado excede las demoras establecidas en la sección de este documento titulada Otros términos y condiciones, subsección Convenios de Nivel de Servicios, subsección Latencia, el Cliente podrá presentar una solicitud de crédito. Mantenimiento planificado los períodos de mantenimiento que ocasionan interrupciones en los servicios debido a la no disponibilidad del Tower Cluster Designado. Se le notificará al Cliente con un mínimo de cinco días calendarios previos a dicho mantenimiento. El Mantenimiento Planificado no deberá ser mayor que ocho horas por mes calendario y no ocurrirá durante las horas laborales locales. Open Relay un servidor de correo electrónico ( s ), que está configurado para recibir s de un tercero desconocido o no autorizado y enviarlo a uno o más destinatarios que no sean usuarios del sistema de s al cual está conectado el servidor. Se puede también hacer referencia a Open Relay como Spam Relay o Public Relay. Spam publicitario no solicitado. Tower un Cluster de servidores equilibrados de carga de s. Virus un código de programa que se coloca en un archivo o en la memoria, infecta a otros archivos y a las áreas de la memoria, y se ejecuta sin autorización. INTC /2007 Página 1 de 10

2 3. MSS for Security 3.1 Coordinación de MSS for Security Responsabilidades de IBM IBM asignará un representante técnico de despliegue, quien será el punto focal de IBM durante la fase de despliegue de MSS for Security. El representante técnico asignado por IBM, durante la fase de despliegue: a. le proveerá al Cliente un formulario requiriendo el perfil de los usuarios, el cual el Cliente deberá completar y entregar a IBM antes de que IBM le provea el MSS for Security; b. revisará la presente Descripción de Servicios y cualquier documento asociado a ella, con el Punto de Contacto asignado por el Cliente; c. coordinará y administrará las actividades técnicas del personal de IBM asignado, y d. establecerá y mantendrá las comunicaciones a través del Punto de Contacto asignado por el Cliente durante la fase de despliegue de MSS Security Responsabilidades del Punto de Contacto asignado por el Cliente Antes del inicio de MSS Security, el Cliente designará a una persona (denominada Punto de Contacto del Cliente ), a quien IBM dirigirá todas las comunicaciones relativas a los servicios y quien tendrá la autoridad de actuar en nombre del Cliente en todos los asuntos relacionados con este documento. El Punto de Contacto del Cliente: a. completará y devolverá a IBM el formulario con el perfil de los usuarios dentro de los diez (10) días hábiles contados desde la fecha en la cual entregó al Punto de Contacto del Cliente dicho perfil; b. servirá como la interfaz entre el equipo de IBM MSS Security y todos los departamentos que participen en MSS Security, así como también cualquier otro proveedor del Cliente, incluyendo los Internet Service Providers ( ISPs ) y las firmas de content-hosting, que el Cliente utilice para implementar su presencia en Internet; c. obtendrá y proveerá la información, los datos, los consentimientos, las decisiones y las aprobaciones aplicables según lo requiera IBM para llevar a cabo MSS Security, dentro de los dos (2) días hábiles contados a partir de la fecha en la cual IBM efectuó dicha solicitud, y d. ayudará a resolver los problemas de MSS Security y escalará los problemas en la organización del Cliente, según sea necesario Responsabilidades generales del Cliente La ejecución del servicio MSS Security por parte de IBM dependerá de que el Cliente cumpla con las responsabilidades detalladas a continuación. El Cliente acuerda: a. proveer todos los equipos y el software necesarios y pagar los cargos por las comunicaciones para acceder al portal de IBM en la Web o a cualquier otra herramienta de la Web requerida para la provisión de MSS Security; b. hacer que el personal adecuado del Cliente esté disponible para asistir a IBM en el cumplimiento de las responsabilidades de IBM; c. permitir que IBM haga conocer este documento y la Orden asociada a subcontratistas de IBM, no obstante cualquier parte en contrario en este documento o en un convenio relacionado, en conexión con el servicio MSS Security que se realizará bajo el presente; d. ser responsable del contenido de cualquier base de datos, la selección y la implementación de los controles sobre su acceso y uso, el backup y la recuperación, y la seguridad de los datos almacenados. Esta seguridad también incluirá todo procedimiento necesario para salvaguardar la integridad y la seguridad del software y de los datos utilizados en MSS Security contra el acceso por parte de personal no autorizado, y e. ser responsable de la identificación y la interpretación de cualquier ley, reglamentación y estatutos aplicables que afecten los sistemas de aplicaciones existentes del Cliente o los programas del Cliente a los que IBM tenga acceso durante la prestaci pn del servicio MSS Security. Es responsabilidad del Cliente asegurar que los sistemas y los programas cumplan con los requisitos de dichas leyes, reglamentaciones y estatutos. INTC /2007 Página 2 de 10

3 3.2 Servicios generales Responsabilidades de IBM IBM: a. proveerá al Cliente el acceso con la contraseña a una herramienta propietaria de informe y administración basada en Internet, a fin que pueda ver los datos y las estadísticas sobre el uso de MSS Security. Esta herramienta también ofrecerá una cantidad de instalaciones de configuración y administración; b. proveerá MSS Security sobre una base de 24 horas/día, 7 días/semana; c. proveerá soporte técnico para MSS Security sobre una base de 24 horas/día, 7 días/semana, y d. trabajará con el Cliente para resolver los problemas relacionados con MSS Security sobre una base de 24 horas/día, 7 días/semana Responsabilidades del Cliente El Cliente acuerda: a. monitorear la cantidad de usuarios. Los cambios en la cantidad de usuarios serán procesados de acuerdo con la sección Cambios de este documento; b. asegurará: (1) que todos los sistemas de a los que se les dará soporte tengan una dirección de IP inamovible; (2) que los sistemas de con soporte no envíen Bulk , actúen como un Open Relay ni envíen Spam, y (3) que el Cliente o cualquier integrante de su Empresa no utilice MSS for Security (ni alguna parte o porción del presente) para desarrollar o promover, de alguna manera, servicios comerciales similares a dicho MSS for Security; SI EL CLIENTE NO CUMPLE CON ESTAS OBLIGACIONES Y OCURRE UNA INTERRUPCIÓN DE MSS FOR SECURITY, IBM LE INFORMARÁ AL CLIENTE ACERCA DE DICHOS INCUMPLIMIENTOS Y SE RESERVARÁ EL DERECHO DE RETIRAR LA PROVISIÓN O DE SUSPENDER TODO EL SERVICIO DE MSS FOR SECURITY O PARTE DE ÉL INMEDIATAMENTE Y HASTA QUE DICHO USO FINALICE. c. proveer todos los datos técnicos y otra información que IBM pudiera solicitar, de una forma razonable y periódica, para permitirle brindar al Cliente el servicio MSS for Security; d. mantener la seguridad de la contraseña que le fue provista para acceder a la herramienta propietaria de configuración, administración e informe, basada en Internet, incluyendo la no divulgación a algún tercero; e. proveer a IBM el nombre, el número telefónico y la dirección de de su administrador de e- mail, si el Cliente hubiera seleccionado esta opción en el perfil de los clientes, y f. asegurar que el formulario apropiado de autorización para redireccionar el a una dirección de alternativa sea presentado a IBM oportunamente Antivirus Si el Cliente lo ha seleccionado en la Orden aplicable, IBM le entregará el Antivirus para ayudarlo a detectar los Virus tanto en sus s entrantes y salientes como en los adjuntos. El Antivirus estará limitado a la cantidad de usuarios especificados en la Orden Responsabilidades de IBM Actividad 1 - Inicialización y notificación IBM: a. le proveerá al remitente, al destinatario y, si el Cliente lo hubiera solicitado en el perfil de los clientes, a su administrador de , alertas automáticas de un entrante o un adjunto con virus; INTC /2007 Página 3 de 10

4 b. le notificará al remitente y, si el Cliente lo hubiera solicitado en el perfil de los usuarios, a un administrador de , acerca de un saliente o un adjunto con virus; c. remitirá el infectado con el virus a un servidor seguro que esté diseñado para destruirlo automáticamente después de 30 días, si el Cliente hubiera seleccionado desactivar las notificaciones; d. a pedido suyo y en circunstancias excepcionales, liberará el que la herramienta de administración haya mostrado que es factible de ser liberado, del servidor seguro al destinatario al que se le envió originalmente, (o a las direcciones si se tratara de un nombre de grupal o a un alias) o redireccionará un infectado a una dirección de alternativa al recibir de el Cliente el formulario de autorización adecuado; e. conservará los s entrantes infectados con virus, que IBM haya determinado como particularmente infecciosos o dañinos; f. notificará al Cliente acerca de los s infectados con virus, que hayan sido detectados pero no interceptados por el Antivirus, y le proveerá la suficiente información como para permitirle eliminar dicho , y g. configurará las herramientas de administración para generar informes sobre una base semanal o mensual, según lo haya el Cliente seleccionado en el perfil de los clientes. Actividad 2 - Soporte técnico y en proceso Durante el Período Contractual, IBM: a. no transmitirá ni liberará intencionalmente ningún que esté infectado con virus o del que se tenga la sospecha de estarlo, e instruirá a sus subcontratistas que estén comprendidos en el E- mail Antivirus, para que no transmitan ni liberen intencionalmente dichos s a terceros que no sean IBM, sus subcontratistas o cualquier personal o entidad para el cumplimiento de las leyes que estén comprendidos en la detección de los virus y en la protección contra los mismos, y b. si el Antivirus fuera suspendido o finalizado por la razón que fuere, revertirá todos los cambios relevantes realizados en la configuración al proveer el Antivirus, y el Cliente será responsable de emprender los cambios necesarios en la configuración para sus servidores de mails, y de informar a su ISP acerca de la necesidad de volver a rutear los s entrantes. Actividad 2 Convenios de Niveles de Servicio Los siguientes Niveles de Servicios (en inglés denominados Service Level Agreements y en adelante referenciados como SLAs ) se aplican solamente al Antivirus durante el Período Contractual: a. El objetivo es que el Antivirus detecte el 100% de los virus que se encuentren en los e- mails que este servicio ha escaneado. Se considerará que sus sistemas están infectados si un virus, en un recibido a través de este servicio, ha sido activado en sus sistemas. b. Si se detecta un infectado con virus pero no se lo detiene, para evitar la aplicación del SLA IBM podrá notificarlo prontamente al Cliente y proveerle suficiente información para que pueda identificar el infectado con virus. Si se previene la infección, no se aplicará este SLA. Si el Cliente no actúa rápidamente al recibir el aviso de un infectado con virus, no se aplicará este SLA. NOTA AL C&N DEL PAÍS: Reemplace tres mil dólares estadounidenses (U$S 3.000) por el equivalente en su moneda local (es decir, dólar, euro, etc.). c. Si sus sistemas fueran infectados por uno o más virus en un solo mes calendario durante el Período Contractual, IBM le acreditará la cifra menor del: (i) 100% de su cargo mensual para el servicio del Antivirus, o (ii) tres mil dólares estadounidenses (U$S 3.000). Dicho crédito se aplicará sólo si el Cliente se lo hubiera notificado a IBM y ésta hubiera confirmado y registrado que un Virus le fue enviado al Cliente a través del servicio Antivirus. Esta solución es el único y exclusivo recurso para cualquier infección de virus transmitida a través del servicio del Antivirus. Este recurso no se aplicará a ninguna autoinfección deliberada Responsabilidades del Cliente El Cliente acuerda: a. asumir toda responsabilidad de todos los cambios realizados a la configuración y a las operaciones y la administración de la Cuarentena de los s. Sin embargo, si el Cliente requiere asistencia, INTC /2007 Página 4 de 10

5 acordará en notificar prontamente a IBM si solicitara la desactivación de las notificaciones o si solicitara liberar los s, a los que la herramienta patentada de administración e informe basada en Internet muestre como liberables, al destinatario original desde el servidor seguro, y b. tomar todas las medidas necesarias para asegurar que el Cliente y aquéllos que envíen s desde los dominios que estén cubiertos por Antivirus, tengan conocimiento de las responsabilidades o de las obligaciones que el Cliente tiene con respecto a la protección de los datos y a las leyes y/o reglamentaciones sobre la privacidad Image Control Si el Cliente lo hubiera seleccionado en la Orden aplicable, IBM proveerá el servicio Image Control para ayudar al Cliente a detectar las imágenes pornográficas en los archivos de imágenes, tanto en sus s entrantes y salientes como en los adjuntos. El servicio Image Control está limitado a la cantidad de usuarios especificados en la Orden. IBM enfatiza que la configuración del servicio Image Control está totalmente en control del Cliente. El servicio Image Control tiene la intención de ser utilizado únicamente para permitirle al Cliente hacer cumplir una política existente y bien implementada sobre un uso aceptable de las computadoras (o su equivalente) Responsabilidades de IBM Actividad 1 - Inicialización y notificación IBM: a. realizará un escaneo de los s del Cliente entrantes y salientes utilizando Image Composition Análisis, a fin de intentar detectar imágenes potencialmente pornográficas en los archivos de imágenes adjuntados a un ; b. pondrá a disposición las opciones para que el Cliente determine las acciones que se tomarán al detectar una imagen que sospecha que sea pornográfica, incluyendo: (1) sólo conexión; (2) identificación de dicho en su encabezado (para s entrantes solamente); (3) copia de dicho a una dirección de predeterminada; (4) redireccionamiento de dicho a una dirección de predeterminada, y (5) eliminación de dicho , y c. proveerá alertas automáticas para el remitente y, si el fuera entrante, proveerá alertas al destinatario de un entrante o un adjunto que se sospeche que contiene imágenes pornográficas. Actividad 2 - Soporte técnico y en proceso Durante el Período Contractual, IBM: a. no almacenará, bajo ninguna circunstancia, ningún ítem que pudiera contener una imagen pornográfica, y b. si el Antivirus fuera suspendido o finalizado por la razón que fuere, revertirá todos los cambios relevantes realizados en la configuración al proveer el Image Control, y el Cliente será responsable de emprender los cambios necesarios en la configuración para sus servidores de mails, y de informar a su ISP acerca de la necesidad de volver a rutear los s entrantes Responsabilidades del Cliente El Cliente acuerda: a. definir las opciones de configuración del Image Control para sus dominios de acuerdo con sus necesidades. Las opciones estarán disponibles para especificar el nivel de sensibilidad de la detección pornográfica. La sensibilidad podrá ser de nivel alto medio o bajo. Se detectarán más imágenes pornográficas a un nivel alto de sensibilidad y menos imágenes pornográficas a un nivel bajo de sensibilidad. Sin embargo, la determinación de cuáles se consideran imágenes pornográficas es subjetiva. Por lo tanto, el nivel de detección de pornografía no puede ser medido con precisión, y INTC /2007 Página 5 de 10

6 b. tomar las medidas necesarias para asegurar que el Cliente, y aquéllos que envían s desde los dominios que estén cubiertos por el servicio Image Control, conozcan todas las responsabilidades que el Cliente tiene con respecto a la protección de datos, y a las leyes y/o reglamentaciones sobre la privacidad Antispam Si el Cliente lo ha seleccionado en la Orden aplicable, IBM le proveerá el servicio de Antispam para ayudar al Cliente a protegerse de los Spams al realizar un escaneo de sus s entrantes y de los adjuntos para detectar Spams y manejarlos de acuerdo con las pautas predeterminadas. El servicio Antispam estará limitado a la cantidad de usuarios especificados en la Orden Responsabilidades de IBM Actividad 1 - Inicialización y notificación IBM: a. proveerá al Cliente la capacidad de configurar una lista negra. Si este método de detección está seleccionado y se recibe un entrante de un dominio incluido en la lista negra, se tomará una acción según lo definido por las opciones de la configuración establecidas por el Cliente en el perfil de los usuarios; b. proveerá al Cliente la capacidad de configurar una lista blanca. Si este método de detección está seleccionado y se recibe un entrante de un dominio incluido en la lista blanca, éste evitará cualquier otro método de detección de Spams; c. cuando se active el Antispam, inicializará la acción de Spam como eliminación de Spams. El Cliente puede requerir una opción diferente antes de la activación inicial del servicio o puede cambiar esta opción accediendo a la herramienta de administración de Internet. Las siguientes opciones están disponibles para determinar la acción que será tomada con respecto a los Spams: (1) señalización del Spam dentro de su encabezamiento (el Spam continúa siendo enviado al destinatario designado); (2) redireccionamiento del Spam a una dirección de predeterminada; (3) Cuarentena del Spam, o (4) eliminación del Spam; d. si está seleccionada la opción de Cuarentena del Spam, proveerá esta opción a cada uno de los dominios especificados por el Cliente. La opción por omisión para notificar al usuario que el Spam ha sido guardado, está definida en notificaciones que se recibirán sobre una base diaria. El Cliente puede modificar la definición por omisión en cualquier momento por una de las siguientes opciones: (1) notificaciones que se recibirán sobre una base diaria; (2) notificaciones que se recibirán en diferentes intervalos, o (3) notificaciones que no se recibirán. Actividad 2 - Soporte técnico y en proceso Durante el Período Contractual, IBM: a. guardará el Spam sospechoso durante un máximo de 14 días, después de los cuales se eliminará automáticamente; b. proveerá la Cuarentena de Spams a un usuario después de que el Cliente haya configurado cada dominio de acuerdo con sus necesidades; c. configurará la cuenta de Cuarentena de Spams del usuario de manera que el mismo pueda acceder a ella; d. señalizará y enviará el Spam sospechoso al destinatario, si por alguna razón los servicios no pudieran aceptar el , y e. si el Antispam fuera suspendido o finalizado por la razón que fuere, revertirá todos los cambios relevantes realizados en la configuración al proveer el Antispam, y el Cliente será responsable de emprender los cambios necesarios en la configuración para sus servidores de mails, y de informar a su ISP acerca de la necesidad de volver a rutear los s entrantes. INTC /2007 Página 6 de 10

7 Actividad 2 Convenios de Niveles de Servicio Los siguientes SLAs se aplican solamente al Antispam durante el Período Contractual: s Positivos Falsos a. Si el índice de captura de positivos falsos excediera el 0,0004% de su tráfico total de s en un mes calendario, el Cliente tendrá derecho al siguiente crédito: Porcentaje del Índice de Captura de Positivos Falsos durante el Mes Calendario Mayor que 0,0004 pero menor que 0,004 25% Mayor que 0,004 pero menor que % Mayor que 0,04 pero menor que % Mayor que 0,4 100% Porcentaje del Cargo Mensual que será Acreditado b. Se otorgará el crédito sólo por los s positivos falsos enviados a support@messagelabs.com dentro de los cinco días de recibidos. c. Los siguientes s serán excluidos del SLA de positivos falsos: (1) s que no constituyen s comerciales legítimos; (2) s que contienen más de 20 destinatarios; (3) s en los que menos del 80% del contenido está en inglés nativo; (4) s en los que el remitente del está en su lista negra; (5) s enviados desde una máquina comprometida; (6) s enviados desde una máquina en la que está la lista de bloqueo de un tercero; (7) s enviados a más de 20 destinatarios y que tienen por lo menos el 80% igual en el contenido. d. IBM se reserva el derecho de cobrar al Cliente U$S 200,00 (Doscientos Dólares de los Estados Unidos de América) por hora por costos administrativos de investigaciones sustancialmente gravosas de s positivos falsos. s Negativos Falsos a. Si el índice de captura de negativos falsos excediera el 5% de su tráfico total de s en la cantidad de días consecutivos de la siguiente tabla, el Cliente podrá tener derecho al crédito especificado: Cantidad de días consecutivos durante los cuales el índice de captura de negativos falsos aumenta por encima del 5% en cualquier mes calendario 5 25% 10 50% 20 75% % b. el SLA de negativos falsos no será aplicable si: Porcentaje del Cargo Mensual que será Acreditado (1) el Cliente no ha implementado las pautas de configuración provistas, o (2) el no hubiera sido enviado a una dirección legítima; c. se otorgará el crédito sólo por los s negativos falsos enviados a support@messagelabs.com dentro de los cinco días de recibidos. d. IBM se reserva el derecho de cobrar al Cliente U$S 200,00 (Doscientos Dolares de los Estados Unidos de América) por hora por costos administrativos de investigaciones sustancialmente gravosas de s negativos falsos Responsabilidades del Cliente El Cliente acuerda: a. ser responsable de cambiar la opción por omisión del Spam ( eliminación del Spam ), a través de la herramienta de administración de Internet, si se deseara otra opción; INTC /2007 Página 7 de 10

8 b. definir las opciones de configuración del Antispam para sus dominios de acuerdo con sus necesidades; c. asumir la principal responsabilidad de todos los cambios realizados en la configuración y las operaciones y la administración de la Cuarentena de los s. Sin embargo, si el Cliente requiere asistencia, acordará en notificar prontamente a IBM si solicitara la desactivación de las notificaciones o si solicitara liberar los s, a los que la herramienta patentada de administración e informe basada en Internet muestre como liberables, al destinatario original desde el servidor seguro, y d. tomar las medidas necesarias para asegurar que el Cliente y aquéllos que envían s dentro de los dominios cubiertos por el Antispam, estén en conocimiento de toda la responsabilidad que el Cliente tenga con respecto a la protección de los datos, y a las leyes y/o reglamentaciones sobre la privacidad Content Control Si el Cliente lo ha seleccionado en la Orden aplicable, IBM le proveerá el servicio Content Control para ayudarlo a configurar la estrategia de filtrado basada en normas para que su esté de acuerdo con su política de uso aceptable de las computadoras (o su equivalente). El servicio Content Control estará limitado a la cantidad de usuarios especificados en la Orden. El servicio Content Control le permitirá al Cliente crear un conjunto de normas (a las que aquí se hace referencia como normas ) según las cuales los s entrantes y salientes que serán filtrados. IBM enfatiza que la configuración del servicio Content Control estará totalmente bajo control del Cliente. La precisión de las normas y la configuración determinará la precisión del servicio Content Control. El uso del servicio Content Control es sólo para permitirle al Cliente hacer cumplir una política existente y eficientemente implementada acerca del uso aceptable de las computadoras (o su equivalente). Si el servivio Content Control es utilizado junto con la acción de Cuarentena del servicio de Antispam, puede dar como resultado que un Spam sospechoso sea colocado en Cuarentena antes de que el Content Control lo haya filtrado Responsabilidades de IBM Actividad 1 - Inicialización y notificación IBM: a. proveerá la capacidad de ayudar al Cliente a configurar su propia estrategia de filtrado de s basado en normas de acuerdo con su política de uso aceptable de computadoras (o su equivalente); b. proveerá listas de palabras sugeridas (denominadas Listas de Palabras ) que el Cliente podrá utilizar para crear las normas; c. realizará un escaneo de los s y sus adjuntos tanto como sea factible, basándose en las normas y su configuración. No será posible realizar escaneos de adjuntos con un contenido que esté bajo el control directo del remitente, y d. pondrá a disposición del Cliente las opciones para determinar las acciones por tomar ante la detección de un del que se sospecha que cumple con las normas, que deberán estar alineadas a su política existente de uso aceptable de las computadoras. Las opciones incluyen: (1) señalización del dentro de su encabezamiento; (2) redireccionamiento del a una dirección de predeterminada; (3) copia del a una dirección predeterminada; (4) compresión de los adjuntos del ; (5) solo conexión a la herramienta propietaria de informe y administración basada en Internet, y (6) eliminación del . Actividad 2 - Soporte técnico y en proceso Durante el Período Contractual, IBM: a. si el servicio Content Control fuera suspendido o finalizado por alguna razón, revertirá todos los cambios relevantes realizados en la configuración al proveer el servicio Content Control, INTC /2007 Página 8 de 10

9 y el Cliente será responsable de emprender los cambios necesarios en la configuración para sus servidores de mails, y de informar a su ISP acerca de la necesidad de volver a rutear los s entrantes Responsabilidades del Cliente El Cliente acuerda: a. revelar las Listas de Palabras sólo a aquellas personas de su compañía que estén involucradas en los temas contemplados por el presente, y que tengan una necesidad específica de conocerlas. El Cliente reconoce que las Listas de Palabras pueden ser consideradas ofensivas y que el Cliente acuerda indemnizar a IBM y a sus subcontratistas por cualquier daño (incluyendo costos razonables y honorarios de abogado) que puedan ser compensados a algún tercero (incluyendo cualquiera de sus empleados) con respecto a alguna demanda o acción que surja de IBM o de sus subcontratistas que le provean las Listas de Palabras; b. permitir a IBM compilar y publicar las listas de palabras por omisión utilizando las normas o las palabras obtenidas de las listas de palabras de sus clientes; c. asistir al curso de capacitación sobre la configuración del Content Control; d. asumir la principal responsabilidad de la liberación de los s, que sean liberables desde el servidor seguro hacia el destinatario original y, en circunstancias excepcionales, asegurar que el Cliente informará a IBM que los s liberados fueron procesados oportunamente; e. definir las opciones de la configuración para el Content Control para cada uno de sus dominios, de acuerdo con sus necesidades, y f. tomar todas las medidas necesarias para asegurar que el Cliente y aquéllos que envíen s desde los dominios que estén cubiertos por servicio Content Control, tengan conocimiento de las responsabilidades o de las obligaciones que el Cliente tiene con respecto a la protección de los datos, y a las leyes y/o reglamentaciones sobre la privacidad, y que las cumplan. 4. Cambios El Cliente podrá solicitar un cambio a su servicio MSS for Web Security mediante una notificación escrita a IBM con un mes de anticipación. IBM confirmará el cambio en una Orden revisada con cualquier ajuste aplicable a los cargos. El Cargo Total Anual no será menor que el Cargo Mínimo Anual establecido en la Orden. 5. Otros Términos y Condiciones IBM se reserva el derecho de modificar los términos de esta Descripción de Servicios, incluyendo los SLAs, mediante una notificación por escrito con 30 días de anticipación. 5.1 Restricción/Garantía El Cliente comprende y acuerda que IBM no dará ninguna garantía, expresa o implícita, ni asumirá ninguna obligación o responsabilidad legal por la precisión, la finalización o la inutilidad de cualquier información provista como parte de servicio MSS Web Security. 5.2 Convenios de Niveles de Servicio Disposiciones Generales a. Todas las solicitudes de crédito deberán ser presentadas a IBM dentro de los cinco (5) días posteriores al final del mes en el que ocurra la elegibilidad. La elegibilidad para el crédito estará sujeta a la verificación de IBM. b. Los niveles de servicio no serán aplicables: (1) hasta los treinta (30) días posteriores a la activación de servicio MSS for Web Security; (2) si las configuraciones de su sistema no cumplieran con las pautas de configuración provistas; (3) durante los períodos del Mantenimiento Planificado; (4) durante los períodos de no disponibilidad debido a fuerza mayor o actos u omisiones de su parte, de IBM o de un tercero, o (5) durante cualquier período de suspensión del servicio MSS for Web Security de acuerdo con el Convenio. INTC /2007 Página 9 de 10

10 c. Todos los créditos serán prorrateados por la cantidad de usuarios afectados por la degradación en los niveles de servicio. d. La responsabilidad total máxima de IBM, en cualquier mes calendario, no excederá el 100% de su cargo mensual Disponibilidad Si la disponibilidad del servicio estuviera por debajo del 100% en cualquier mes calendario durante el Período Contractual, el Cliente tendrá derecho al siguiente crédito: Latencia Porcentaje de disponibilidad del servicio de por mes calendario Menor que el 100% pero mayor que el 99,0% Menor que el 99,0% pero mayor que el 98,0% Menor que el 98,0% pero mayor que el 97,0% Menor que el 97,0% pero mayor que el 96,0% Menor que el 96,0% pero mayor que el 95,0% Menos que 95% Este SLA de Latencia no se aplica a: Porcentaje del crédito de cargo mensual La terminación de MSS for Security a su discreción. Si los servicios fueran terminados, dicha terminación será el único y exclusivo recurso con respecto a la disponibilidad de menos del 95% en un mes calendario dado a. ningún brote de virus donde el virus a una relación del sea mayor que 1:200; b. una denegación de ataque de servicio causado por el Cliente a el Cliente mismo, o tal ataque de un tercero, o c. las demoras causadas por un bucle de mails desde/hacia sus sistemas. Tiempo promedio de ida y vuelta de < 95% de las mediciones (en minutos) Mayor que 2 pero menor que 4 5 Mayor que 4 pero menor que 6 10 Mayor que 6 pero menor que 8 15 Mayor que 8 pero menor que Mayor que Porcentaje crediticio del Cargo Mensual INTC /2007 Página 10 de 10