Políticas de Hosting y Prestación de Servicios Cloud Oracle para Empresas Fecha de Efectividad: 1 de diciembre de 2014 Versión 1.4

Transcripción

1 Políticas de Hosting y Prestación de Servicios Cloud Oracle para Empresas Fecha de Efectividad: 1 de diciembre de 2014 Versión 1.4 Salvo que se indique lo contrario, las presentes Políticas de Hosting y Prestación de Servicios Cloud Oracle (a continuación, las Políticas de Prestación de Servicios ) describen los Servicios Cloud Oracle solicitados por Vd. Estas Políticas de Prestación de Servicios pueden incluir referencias a otros documentos que incluyan Políticas de Cloud Oracle; toda referencia al Cliente en las presentes Políticas de Prestación de Servicios o en cualquiera de esos otros documentos de Políticas de Cloud Oracle se considerará una referencia a Vd. según la definición contenida en el Pedido. Los términos con mayúscula inicial que no se definen en el presente documento tendrán el significado adscrito a ellos en el Acuerdo, el Pedido o la política de Oracle que resulte pertinente. Información General e Índice Los Servicios Cloud que se describen en el presente documento se prestan con arreglo a las condiciones del acuerdo, del Pedido y de las presentes Políticas de Prestación de Servicios. La prestación de los Servicios por parte de Oracle está condicionada por el cumplimiento por su parte y por parte de sus usuarios de las obligaciones y responsabilidades que se le asignan en los documentos citados y en las políticas incorporadas por referencia. Estas Políticas de Prestación de Servicios y los documentos referenciados en ellas están sujetos a cambios a discreción de Oracle; no obstante, los cambios introducidos por Oracle en las políticas no se traducirán en una reducción sustancial del nivel de rendimiento o de la seguridad o disponibilidad de los Servicios Cloud prestados durante el Plazo de Prestación de los Servicios. Acceso Oracle presta los Servicios Cloud desde unas instalaciones de su propiedad o alquiladas en las que ha instalado su centro de datos. Oracle define los requisitos relacionados con la arquitectura de los sistemas y las redes, el hardware y el software que deben cumplirse para la prestación de los Servicios. Oracle puede acceder a su entorno de los Servicios para prestar los Servicios Cloud, incluida la prestación del soporte de los Servicios. Horario de Funcionamiento Los Servicios Cloud se han diseñado para estar disponibles las veinticuatro (24) horas del día, los siete (7) días de la semana y los trescientos sesenta y cinco (365) días del año, excepto durante periodos de mantenimiento de los sistemas y actualizaciones tecnológicas, además de con las otras salvedades previstas en el acuerdo, el Pedido y las presentes Políticas de Prestación de Servicios. Las Políticas de Hosting y Prestación de Servicios incluyen las siguientes políticas: 1. Política de Seguridad de Cloud Oracle 2. Política de Resiliencia del Sistema de Cloud Oracle 3. Política del Servicio de Recuperación ante Desastres de Cloud Oracle 4. Política relativa al Objetivo de Nivel de Servicios de Cloud Oracle 5. Política de Gestión de Cambios de Cloud Oracle 6. Política de Soporte de Cloud Oracle 7. Política de Suspensión y Resolución de Cloud Oracle 1. Política de Seguridad de Cloud Oracle 1.1 Cifrado de Usuario para Conexiones Externas El acceso del Cliente al sistema se realiza a través de Internet. Para acceder al Servicio Cloud Oracle, es posible utilizar tecnología de cifrado SSL. Las conexiones SSL se negocian para un cifrado de 128 bits o superior. La clave privada utilizada para generar la clave de cifrado tiene un tamaño mínimo de 2048 bits. La conexión segura SSL se ha implementado o puede configurarse para todos los programas basados en Web con certificación SSL Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 1 de 20

2 desplegados en Oracle. Para la conexión a programas habilitados para Web, se recomienda utilizar las últimas versiones de navegadores certificados para programas Oracle, que son compatibles con intensidades de cifrado más elevadas y ofrecen una mayor seguridad. La lista de navegadores certificados para cada versión de los programas Oracle puede consultarse en el Portal de Soporte al Cliente Cloud designado por Oracle para el Servicio concreto solicitado (por ejemplo, el portal My Oracle Support). Puede ocurrir que un sitio de terceros (como Facebook) que el Cliente desee integrar con el Servicio Cloud no acepte una conexión cifrada. En el caso de los Servicios Cloud para los que Oracle permite conexiones HTTP con sitios de terceros, Oracle habilitará dichas conexiones HTTP, además de la conexión HTTPS. 1.2 Segregación de Redes Los centros de datos regionales de Oracle tienen un entorno de red aislado que se utiliza para prestar Servicios a los Clientes de Cloud Oracle. En cada entorno de Cloud, se despliegan tecnologías de red con una arquitectura en varias capas, concebida para proteger los datos del Cliente a varios niveles: físico, vínculo de datos, red, transporte y programa. Los controles de acceso se aplican a distintas capas: red, sistema, base de datos y programa. Para la autorización del acceso, se aplica una política básica de denegación por defecto. 1.3 Control de Acceso a la Red Los equipos de operaciones de Cloud Oracle acceden a los entornos del Cliente a través de una conexión de red segregada, que se utiliza exclusivamente para el control de acceso a entornos y está aislada del tráfico de la red corporativa interna de Oracle. La red especializada actúa como un gateway de acceso seguro entre los sistemas de soporte y los servidores de programas y bases de datos objetivos. Los gateways regionales están sincronizados y se combinan para formar una red mundial diseñada para dar continuidad a las operaciones de soporte en el caso de que uno de los gateways falle. La autenticación, la autorización y la contabilidad se llevan a cabo mediante mecanismos de seguridad estándar concebidos para garantizar que solo las operaciones autorizadas y los ingenieros de soporte tengan acceso a los sistemas. Se aplican controles criptográficos para proporcionar a las operaciones y al soporte de Cloud un acceso seguro y de configuración sencilla a los programas objetivo. 1.4 Ancho de Banda y Latencia de la Red Oracle no es responsable de las conexiones de red del Cliente, ni de las condiciones o los problemas derivados de dichas conexiones o relacionados con ellas (como, por ejemplo, problemas de ancho de banda, latencia excesiva o interrupciones de la red) o causados por la Internet. Oracle monitoriza sus propias redes y notificará a sus Clientes cualquier problema interno que pueda afectar a la disponibilidad. 1.5 Control de Enrutamiento de la Red Enrutadores Los controles de enrutador que se implementan para Cloud Oracle constituyen el punto de conexión entre los Servicios Cloud Oracle y el (los) Proveedor(es) de Servicios de Internet. Se despliegan enrutadores periféricos en una configuración redundante y tolerante a errores. También se utilizan enrutadores para aplicar políticas de tráfico en el perímetro Cortafuegos Los Servicios Cloud Oracle utilizan cortafuegos para controlar el acceso de Internet a Cloud Oracle y viceversa permitiendo solo el tráfico autorizado. Se despliegan cortafuegos en varias capas con el fin de realizar inspecciones de paquetes con políticas de seguridad configuradas para filtrar los paquetes por protocolo, puerto, fuente y dirección IP de destino, según proceda, para identificar fuentes, destinos y tipos de tráfico autorizados. 1.6 Gestión de la Seguridad de la Red Controles de la Red Los controles de la red implementados para los Servicios Cloud Oracle tienen por fin proteger y controlar los datos durante su transmisión del sistema del Cliente al sistema hosted de Oracle. La infraestructura de seguridad de la red se ha diseñado para proteger a los servidores de un ataque a través de la red. Cortafuegos gestionados y redundantes, que utilizan la inspección de estado de paquetes, sirven de barrera entre los distintos niveles de Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 2 de 20

3 la arquitectura. El tráfico se filtra y solo las conexiones válidas reciben autorización para pasar a la zona desmilitarizada de la red. El tráfico dentro de cada nivel está restringido y controlado por razones de seguridad Sistema de Detección y Prevención de Intrusos en la Red Los Servicios Cloud Oracle utilizan Sistemas de Detección de Intrusos en la Red ( nids, del inglés Network Intrusion Detection Systems ) para proteger el entorno. Se despliegan sensores nids en la red, bien en el Modo de Prevención de Intrusos ( IPS, del inglés Intrusion Prevention Mode ) o en el Modo de Detección de Intrusos ( IDS, del inglés Intrusion Detection Mode ), a fin de monitorizar y bloquear tráfico sospechoso en la red, impidiendo que llegue a la red interna. Las alertas nids se encaminan a un sistema centralizado de monitorización que está gestionado por los equipos de operaciones de seguridad las veinticuatro (24) horas, los siete (7) días de la semana, los trescientos sesenta y cinco (365) días del año Evaluaciones de la Vulnerabilidad de la Red Los Servicios Cloud Oracle utilizan herramientas de evaluación de la vulnerabilidad de la red para identificar vulnerabilidades y amenazas para la seguridad. Se han establecido procedimientos formales con el fin de evaluar, validar, priorizar y corregir los problemas detectados. Oracle se suscribe a sistemas de notificación de vulnerabilidades para disponer de información actualizada sobre incidencias y avisos de seguridad, así como otra información relacionada. Oracle adopta medidas a partir de las notificaciones de amenazas o riesgos si se confirma que el riesgo existe realmente, que los cambios recomendados son aplicables a entornos de Servicios y que dichos cambios no irán en detrimento de los Servicios Controles Antivirus Cloud Oracle utiliza software antivirus para escanear los archivos cargados. Los virus detectados se eliminan (o se ponen en cuarentena) de forma automática, y también se genera automáticamente una alerta que pone en marcha el proceso de respuesta a incidencias de Oracle. Las definiciones de virus se actualizan diariamente Control y Auditoría de la Configuración Cloud Oracle utiliza un sistema centralizado para gestionar el acceso y la integridad de las configuraciones de los dispositivos de la red. Existen controles de cambios que permiten garantizar que solo se aplican los cambios autorizados. Asimismo, se llevan a cabo auditorías periódicas para comprobar que se están cumpliendo los procedimientos operativos y de seguridad. 1.7 Refuerzo de Sistemas Oracle utiliza prácticas normalizadas de refuerzo de sistemas en todos los dispositivos de Cloud Oracle. Esto incluye la restricción del acceso en función del protocolo, la eliminación o desactivación de software y Servicios innecesarios, la supresión de cuentas de usuario innecesarias, la gestión de parches y el registro. 1.8 Medidas Físicas de Seguridad Oracle proporciona instalaciones informáticas seguras tanto para las oficinas como para la infraestructura de Cloud de producción. Entre los controles que actualmente se aplican tanto en las oficinas como en las ubicaciones conjuntas/centros de datos se incluyen los siguientes: El acceso físico a las instalaciones requiere una autorización y se monitoriza. En el interior de las instalaciones todas las personas deben llevar en un lugar visible una identificación oficial. Los visitantes deben firmar un registro y estar acompañados y/o ser observados en todo momento mientras permanezcan en las instalaciones. La posesión de llaves/tarjetas de acceso y la capacidad de acceder a las instalaciones se monitoriza. Toda persona que deje de trabajar para Oracle debe devolver las llaves/tarjetas. En todos los centros de datos de Cloud Oracle se han implementado medidas adicionales de seguridad física, que en la actualidad incluyen las siguientes: Las instalaciones se monitorizan mediante un circuito cerrado de televisión. Los accesos están protegidos con barreras físicas diseñadas para evitar la entrada no autorizada de vehículos. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 3 de 20

4 Los accesos están vigilados las veinticuatro (24) horas del día, los trescientos sesenta y cinco (365) días del año por personal de seguridad que se encarga de la identificación visual y el acompañamiento de los visitantes. 1.9 Control de Acceso al Sistema y Gestión de Contraseñas El acceso a los sistemas de Cloud Oracle está controlado y se permite exclusivamente al personal autorizado. Oracle aplica políticas de contraseñas seguras para los componentes de la infraestructura y los sistemas de gestión de la Cloud utilizados para operar el entorno Cloud Oracle. Estas políticas establecen la longitud mínima y la complejidad que deben tener las contraseñas, además de la obligatoriedad de cambiarlas de forma periódica. Se utilizan contraseñas seguras o la autenticación de factores múltiples en toda la infraestructura, a fin de reducir el riesgo de que un intruso consiga acceder aprovechando cuentas de usuarios. Los controles del acceso al sistema incluyen la autenticación de sistema, la autorización, la aprobación del acceso, el aprovisionamiento y la revocación para empleados y cualquier otra persona considerada usuario por Oracle. El Cliente es responsable de la administración de los Usuarios Finales dentro del programa. Oracle no gestiona las cuentas de los Usuarios Finales del Cliente. El Cliente puede configurar los programas, así como caracteristicas integradas de seguridad adicionales Revisión de los Derechos de Acceso Las cuentas del sistema operativo y de redes de los empleados de Oracle se revisan periódicamente para garantizar que el nivel de acceso de los empleados sea en todo momento el adecuado. Cuando un empleado deja de serlo, Oracle toma medidas inmediatas para cancelar el acceso físico y el acceso a telefonía y redes del exempleado. El Cliente tiene la responsabilidad de gestionar y revisar el acceso en el caso de las cuentas de sus propios empleados Mantenimiento Relacionado con la Seguridad Oracle lleva a cabo tareas de gestión de cambios y mantenimiento relacionadas con la seguridad, que se definen y describen en la Política de Gestión de Cambios de Cloud Oracle. Cada vez que Oracle ponga a disposición de determinados Programas Oracle un paquete de parches de seguridad, Oracle aplicará y probará el paquete de parches de seguridad en un entorno de ensayo del Servicio Cloud de que se trate. Oracle aplicará el paquete de parches de seguridad al entorno de producción del Servicio Cloud una vez que complete con éxito las pruebas en el entorno de ensayo Gestión y Protección de los Datos Durante el uso de los Servicios Cloud Oracle, los Clientes de Cloud Oracle mantienen en todo momento el control de los datos de su propiedad almacenados en su entorno, y siguen siendo responsables de ellos. Los Servicios Cloud Oracle prestan una amplia variedad de Servicios de protección de la información configurables como parte del Servicio al que el Cliente se suscribe. Los datos del Cliente son datos cargados o generados para su uso dentro del Servicio Cloud Oracle al que el Cliente se ha suscrito Protección de Datos Cloud Oracle ofrece varias tecnologías estándar y opciones de cifrado para proteger los datos tanto en circulación como en reposo. Para la transmisión por la red, el Cliente puede optar por utilizar protocolos seguros (como SSL) para proteger sus datos cuando circulan por redes públicas. Los protocolos seguros disponibles en Cloud Oracle ofrecen algoritmos de cifrado altamente fiables. Para todo procedimiento de cifrado en Cloud Oracle se utilizan políticas y procedimientos de gestión de claves seguras Soportes Físicos en Circulación El personal designado por Oracle manipulan los soportes y los preparan para su transporte de acuerdo con procedimientos definidos y exclusivamente en caso de necesidad. Los soportes digitales se registran, se cifran, se transportan de forma segura y, si es necesario para el archivo de backups, se almacenan en una localización segura de un proveedor externo. Los proveedores están obligados por acuerdo a cumplir las condiciones fijadas por Oracle para la protección de soportes físicos. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 4 de 20

5 Eliminación de Datos Una vez finalicen los Servicios (con arreglo a lo previsto en la Política de Suspensión y Resolución de Cloud Oracle) o a petición del Cliente, Oracle eliminará entornos o datos almacenados en ellos utilizando un procedimiento concebido para garantizar, dentro de lo razonable, que resulte imposible acceder a ellos o leerlos, salvo que Oracle tenga una obligación legal que le impida eliminar parte o la totalidad de los entornos o de los datos Transmisión Segura de Archivos La funcionalidad de transmisión segura de archivos se ofrece sobre la base de plataformas de almacenamiento de acceso a la red utilizadas de forma habitual y emplea protocolos seguros para la transmisión (como SFTP o WebDAV sobre SSL). La funcionalidad puede utilizarse para cargar archivos a una localización segura, por lo general para la importación y exportación de datos en el Servicio hosted de Cloud Oracle, o para descargar archivos a la resolución del Servicio Respuesta a Incidencias de Seguridad Oracle evalúa y responde a incidencias que hacen sospechar que se ha producido un acceso o una manipulación no autorizados de datos de Clientes, con independencia de que los datos se guarden en activos de hardware de Oracle o en los activos de hardware personales de empleados de Oracle y trabajadores eventuales. Cuando el área de Seguridad de la Información Global (GIS) de Oracle recibe la información sobre dichas incidencias y, según cuál sea la naturaleza de la actividad, define las rutas de escalada y los equipos de respuesta para resolver las incidencias. GIS trabajará con el Cliente, así como con los equipos técnicos pertinentes y con las fuerzas de seguridad cuando sea necesario para responder a la incidencia. El objetivo de la respuesta a la incidencia será restablecer la confidencialidad, la integridad y la disponibilidad del entorno del Cliente, así como determinar la causa subyacente de la incidencia y los pasos a seguir para corregirla. El personal de operaciones cuenta con procedimientos documentados para abordar las incidencias cuando puede haberse producido una manipulación no autorizada de datos, procedimientos que incluyen políticas en materia de notificación inmediata y razonable, procedimientos de escalada y políticas sobre la cadena de custodia. Si Oracle determina que se ha producido una apropiación indebida de datos del Cliente, lo comunicará al Cliente en el plazo de tres (3) días hábiles, salvo que la ley lo prohíba Privacidad de los Datos El Acuerdo de Procesamiento de Datos para Servicios Cloud Oracle (el Acuerdo de Procesamiento de Datos ), y la Política de Privacidad de Servicios Oracle describen el tratamiento que hace Oracle de los datos de carácter personal almacenados en sus sistemas y a los que puede tener acceso en relación con la prestación de Servicios Cloud. El Acuerdo de Procesamiento de Datos describe las respectivas funciones de Oracle y del Cliente en lo relativo al tratamiento y el control de los datos de carácter personal que el Cliente proporciona a Oracle en el marco de los Servicios Cloud. Estos documentos están disponibles en: Política de Privacidad de Servicios Oracle: html Acuerdo de Procesamiento de Datos para Servicios Cloud Oracle: Cumplimiento de la Ley Los Servicios Cloud Oracle se prestan de conformidad con los controles de seguridad ISO 27001:2013 (de la Organización Internacional de Normalización, o ISO ). El marco de seguridad de la ISO incluye un extenso conjunto de controles de seguridad que son el punto de partida de los controles operativos y de seguridad que se utilizan para gestionar y proteger el Servicio Cloud Oracle, pero esto no incluye la certificación ISO Los controles internos de los Servicios Cloud Oracle se someten a pruebas periódicas realizadas por organizaciones de auditoría externa independientes. Dichas auditorías pueden basarse en la Statement on Standards for Attestation Engagements (Norma para trabajos de atestiguación, o SSAE ) número 16, denominada Reporting on Controls at a Service Organization (Informes sobre controles en organizaciones de Servicios, o SSAE 16 ), Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 5 de 20

6 en la International Standard on Assurance Engagements (Norma internacional para trabajos de verificación, o ISAE ) número 3402, denominada Assurance Reports on Controls at a Service Organization (Informes de verificación sobre controles en organizaciones de Servicios, o ISAE 3402") o en cualquier otra norma o procedimiento en materia de auditoría externa aplicable al Servicio Cloud Oracle de que se trate. Los auditores externos de Oracle publican periódicamente sus informes de auditoría de los Servicios Cloud Oracle, No obstante, es posible que los informes no estén disponibles para todos los servicios o en todo momento.. El Cliente puede solicitar un ejemplar del informe de auditoría publicado más recientemente para un Servicio Cloud Oracle. Los informes de auditoría de los Servicios Cloud Oracle y la información que contienen constituyen información confidencial de Oracle, circunstancia que el Cliente deberá tener en cuenta en su manejo. Dichos informes solo podrán ser utilizados por el Cliente para evaluar el diseño y la eficacia operativa de los controles establecidos para los Servicios Cloud Oracle y se proporcionan sin garantía alguna. El Cliente continúa siendo el único responsable de cumplir la ley en su utilización de cualquier Servicio Cloud Oracle. El Cliente deberá informar a Oracle de cualesquiera requisitos técnicos derivados de sus obligaciones normativas antes de firmar el acuerdo. Algunos Servicios Cloud Oracle cuentan con la certificación PCI DSS o FISMA/NIST; previo pago de tarifas adicionales, pueden estar disponibles otros certificados y el cumplimiento de marcos normativos concretos dentro del Servicio Cloud Oracle. El Cliente no debe proporcionar a Oracle información sobre su salud, su tarjeta de pago u otra información personal confidencial para cuyo tratamiento deban aplicarse obligaciones de seguridad de datos específicas de índole normativa, legal o industrial; no obstante, cuando estén disponibles para determinados Servicios Cloud, Oracle puede ofrecer a los Clientes de Cloud la adquisición de Servicios adicionales concebidos para el tratamiento de datos regulados en el entorno de los Servicios (como el Servicio Cloud denominado Oracle RightNow PCI Certified Cloud Platform Cloud Service). Téngase en cuenta que estos Servicios adicionales no están disponibles para todos los Servicios Cloud. Oracle entiende que algunos Clientes pueden estar sujetos a requisitos normativos de auditoría y en tal caso colaborará con dichos Clientes como se describe en el Acuerdo de Procesamiento de Datos Oracle Software Security Assurance Oracle Software Security Assurance (OSSA) es la metodología que Oracle utiliza para integrar la seguridad en el diseño, la construcción, las pruebas y el mantenimiento de sus Servicios. El programa OSSA se describe en la siguiente URL: 2. Política de Resiliencia del Sistema de Cloud Oracle La resiliencia y los backups que se describen en la presente Política son aplicables exclusivamente a los Servicios Cloud Oracle. El Cliente es el único responsable del desarrollo de un plan de continuidad de la actividad que le permita garantizar la continuidad de sus operaciones en caso de desastre, así como de la realización de backups y la recuperación de cualquier software que no pertenezca a Oracle. 2.1 Estrategia de Alta Disponibilidad de los Servicios Cloud Oracle Con el fin de garantizar la continuidad de la actividad si se produce una incidencia que afecte a los Servicios Cloud Oracle, Oracle despliega los Servicios en una infraestructura informática resiliente. Los centros de datos de producción de Oracle cuentan con redundancia de componentes y de alimentación, así como con generadores de respaldo, a fin de garantizar la disponibilidad de los recursos de los centros de datos si se produce una crisis, tal como se describe a continuación. 2.2 Alimentación Redundante El diseño de la infraestructura incluye fuentes de alimentación redundantes para el centro de datos y distribución redundante de electricidad para el centro de datos y a los bastidores de este. Los componentes de refrigeración del centro de datos (refrigeradores, torres, bombas y aparatos de aire acondicionado de la sala de ordenadores) incluyen redundancia. El sistema de alimentación de emergencia incluye baterías de respaldo redundantes y combustible para el generador, que se almacena in situ; además, se han firmado acuerdos de reabastecimiento. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 6 de 20

7 2.3 Infraestructura de Red Redundante El diseño de la red incluye circuitos redundantes de distintas operadoras, pares de cortafuegos, pares de conmutadores y pares de estabilizadores de carga. 2.4 Servidores de Programas Redundantes El entorno del Cliente está constituido por un conjunto de uno (1) o varios servidores físicos o servidores virtuales que prestan Servicios al Cliente. La funcionalidad por capas global del programa puede distribuirse entre múltiples servidores físicos o servidores virtuales. 2.5 Servidores de Bases de Datos Redundantes Las bases de datos están configuradas para distribuir la carga de trabajo entre varios servidores físicos. La alta disponibilidad se logra mediante dos métodos: clustering y replicación. 2.6 Almacenamiento Redundante Los datos de los Servicios Cloud Oracle se almacenan en configuraciones de almacenamiento redundantes con protección frente a fallos de discos individuales o del array. 2.7 Estrategia de Backup de los Servicios Cloud Oracle Como apoyo a las políticas de Recuperación ante Desastres de Cloud Oracle (véase la Sección 3), Oracle realiza periódicamente backups de los datos de producción almacenados en el Servicio Cloud del Cliente, para uso exclusivo de Oracle, con el fin de minimizar la pérdida de datos en caso de desastre. Los backups de las bases de datos se almacenan en la localización primaria desde la que se prestan los Servicios Cloud Oracle, así como en una localización alternativa con fines de redundancia. Cada backup se conserva en línea y/o fuera de línea durante un mínimo de sesenta (60) días a partir de la fecha en que se realiza. Por lo general, Oracle no actualiza, inserta, suprime ni restablece datos del Cliente en nombre de este. Sin embargo, con carácter excepcional y previa autorización por escrito y pago de tarifas adicionales, Oracle podrá ayudar al Cliente a restaurar datos que este haya perdido como consecuencia de sus propias acciones. 3. Política del Servicio de Recuperación ante Desastres de Cloud Oracle 3.1 Alcance La presente Política es aplicable exclusivamente a los entornos de producción del Cliente en el marco de los Servicios Cloud Oracle. Las actividades que se describen en la presente Política no son aplicables a los planes o actividades de recuperación ante desastres, de continuidad de la actividad o de backup propios del Cliente, que es el responsable de archivar y recuperar todo software que no pertenezca a Oracle. El objetivo de los Servicios de Recuperación ante Desastres es permitir restablecer el Servicio en caso de un desastre grave, declarado como tal por Oracle, que provoque la pérdida de un centro de datos y la consiguiente imposibilidad de acceder al Servicio. A los efectos de la presente Política, se entenderá por desastre" un acontecimiento o una situación imprevistos como consecuencia de los cuales sea totalmente imposible acceder a la localización primaria utilizada para prestar los Servicios Cloud Oracle, de tal forma que los entornos de producción del Cliente en la localización primaria no estén disponibles. 3.2 Resiliencia del Sistema Los Servicios Cloud Oracle tienen una infraestructura redundante y resiliente diseñada para mantener elevados niveles de disponibilidad y para recuperar Servicios si se produce un desastre o una interrupción significativos. Oracle diseña sus Servicios Cloud aplicando principios de redundancia y tolerancia a fallos, con el fin de que el sistema pueda tolerar un fallo de hardware de un único nodo. Los Servicios Cloud Oracle proporcionan una infraestructura que incorpora una estrategia de backup exhaustivo de datos. La Cloud Oracle incluye capacidades redundantes en varios ámbitos: fuentes de alimentación, Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 7 de 20

8 sistemas de refrigeración, Servicios de telecomunicaciones, redes, dominios de aplicación, almacenamiento de datos, servidores físicos y virtuales y bases de datos. Oracle posee dos (2) centros de datos independientes que funcionan como la localización primaria y la localización secundaria de los Servicios Cloud Oracle. El entorno de producción de respaldo del Cliente (localización secundaria) está almacenado en un centro de datos separado de la localización primaria del Cliente. Oracle pondrá en marcha el plan de recuperación ante desastres previsto en la presente Política en el momento en que declare un desastre, con el objetivo de recuperar los datos de producción y hacer esfuerzos razonables para restablecer el entorno de producción en la localización secundaria. Oracle dispone de una localización primaria y una localización secundaria en cada una de las regiones más importantes (por ejemplo, Estados Unidos o la Unión Europea). Los datos del Cliente se replican en instalaciones separadas físicamente con el fin de restablecer todos los Servicios si se produce un desastre en una localización primaria. Los backups son para uso exclusivo de Oracle en caso de desastre. 3.3 Recuperación ante Desastres Oracle ha previsto la recuperación de sus Servicios Cloud de producción tras un desastre y su restitución al último estado disponible. Oracle ha establecido localizaciones de procesamiento alternativas que permiten ofrecer todas las capacidades operativas en caso de pérdida del Servicio en una localización primaria. Oracle cuenta con un Plan de Recuperación ante Desastres que describe los procedimientos de recuperación. Las operaciones de recuperación ante desastres son aplicables en caso de pérdida física de infraestructuras en instalaciones de Oracle. Oracle se reserva el derecho de determinar en qué momento conviene activar el Plan de Recuperación ante Desastres. Durante la aplicación del Plan de Recuperación ante Desastres, Oracle proporciona periódicamente a los Clientes información actualizada sobre la situación. Nota: el RTO y el RPO que se describen a continuación no son aplicables a versiones personalizadas para Clientes que dependan de componentes externos o de software de terceros. Durante una situación de conmutación por error (failover) activa, no se proporciona soporte a solicitudes de correcciones no críticas y mejoras. El Cliente será el único responsable de los problemas que se produzcan con el software de terceros y con versiones personalizadas (CEMLI) de programas y Servicios de Oracle Objetivo de Tiempo de Recuperación El objetivo de tiempo de recuperación (RTO) es el objetivo establecido por Oracle para el plazo máximo que puede transcurrir entre la decisión de Oracle de activar los procesos de recuperación previstos en la presente Política y la conmutación por error del Servicio a una localización secundaria debido a un desastre declarado como tal, y el momento en el que el Cliente puede reanudar sus operaciones de producción en el entorno de producción de respaldo. Si la decisión de conmutar por error el Servicio se toma durante un periodo en el que se está realizando una actualización, el RTO se amplía para incluir el tiempo necesario para concluir la actualización. El RTO se ha fijado en doce (12) horas a partir de la declaración de desastre Objetivo de Punto de Recuperación El objetivo de punto de recuperación (RPO) es el objetivo establecido por Oracle para la duración máxima de la pérdida de datos en caso de desastre. El RPO se ha fijado en una (1) hora a partir del momento en que se produce un desastre, excluyendo las cargas de datos que se estuvieran llevando a cabo en el momento del desastre. 3.4 Aprobaciones y Revisiones La presente Política y el Plan de Recuperación ante Desastres correspondiente se revisan anualmente. El Plan se revisa durante el proceso de revisión destinado a incorporar resoluciones de problemas y mejoras de procesos. 3.5 Restablecimiento del Servicio La presente Política regula el objetivo y el alcance del Plan de Recuperación ante Desastres, las funciones y responsabilidades, el compromiso de la dirección, la coordinación entre entidades de la organización y el cumplimiento de la ley. El plan documenta los procedimientos que han de seguirse para recuperar un Servicio Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 8 de 20

9 Cloud en caso de desastre. Oracle se ha comprometido a reducir al mínimo el tiempo de inactividad consecuencia de cualquier desastre o fallo del equipo. Como parte de este compromiso, Oracle cuenta con un plan de recuperación ante desastres para sus clientes empresariales que permite recuperar y restablecer rápidamente las operaciones de Oracle. 3.6 Objetivos del Plan de Recuperación ante Desastres A continuación se enumeran los objetivos del Plan de Recuperación ante Desastres de Oracle para los Servicios Cloud Oracle. En una situación de emergencia, la salud y la seguridad de las personas constituyen el objetivo principal y la máxima prioridad de Oracle. Maximizar la eficacia de las operaciones de emergencia mediante el Plan de Recuperación ante Desastres establecido, que comprende las fases siguientes: o Fase 1 - Fase de Autorización de la Puesta en Marcha de la Recuperación ante Desastres: detectar la alteración o caída del Servicio en la localización primaria, determinar el alcance de los daños y activar el plan. o Fase 2 - Fase de Recuperación: restablecer las operaciones informáticas temporales en la localización secundaria. o Fase 3 - Fase de Reconstitución: restablecer las capacidades de procesamiento y reanudar las operaciones en la localización primaria. Identificar las actividades, los recursos y los procedimientos precisos para hacer frente a las necesidades de procesamiento durante interrupciones prolongadas. Asignar responsabilidades al personal designado y proporcionarle directrices para la recuperación durante interrupciones prolongadas. Garantizar la coordinación con otro personal responsable de estrategias de planificación de la recuperación ante desastres. Garantizar la coordinación con puntos de contacto y proveedores externos y la ejecución del presente plan. 3.7 Pruebas del Plan El Plan de Recuperación ante Desastres de los Servicios Cloud se somete a pruebas anuales, en condiciones reales o simuladas. Las pruebas se utilizan para formar al personal de hosting y se coordinan con todo el personal con responsabilidades en el ámbito de la planificación y la ejecución en casos de emergencia. Las pruebas permiten verificar que los backups en línea pueden recuperarse y que los procedimientos para conmutar un Servicio a la localización de procesamiento alternativa son adecuados y eficaces. La elaboración de los planes de prueba se realiza con arreglo a la NIST Los resultados de las pruebas se utilizan para mejorar el proceso y poner en marcha medidas correctoras. 4. Política relativa al Objetivo de Nivel de Servicios de Cloud Oracle 4.1 Disposiciones sobre la Disponibilidad del Servicio A partir del momento en que Oracle active el entorno de producción del Cliente y siempre que este continúe respetando los términos y condiciones del Pedido (incluido el acuerdo) y cumpla los requisitos mínimos de configuración técnica recomendados por Oracle para el acceso y la utilización de los Servicios desde la infraestructura de red del Cliente y los puestos de trabajo del usuario del Cliente que se recogen en la Documentación de Programa de los Servicios Cloud, Oracle hará todo lo que esté en su mano para alcanzar el Objetivo de Nivel de Disponibilidad del Servicio conforme a las condiciones establecidas en la presente Política. 4.2 Objetivo de Nivel de Disponibilidad del Sistema del Servicio Cloud Oracle Oracle trabaja para cumplir un Objetivo de Disponibilidad del Sistema del noventa y nueve y medio por ciento (99,5 %) del Servicio de producción durante un periodo de evaluación de un (1) mes natural a partir de la activación del entorno de producción de Oracle. 4.3 Definición de Disponibilidad y Tiempo de Inactividad no Programado Disponibilidad" o Disponible" significa que el Cliente puede iniciar sesión y acceder al OLTP o la parte de Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 9 de 20

10 transacciones de los Servicios Cloud Oracle, siempre que se cumplan las disposiciones siguientes. Tiempo de Inactividad no Programado" significa cualquier periodo de tiempo durante el que los Servicios no están Disponibles, pero no incluye los periodos de tiempo en que los Servicios o cualquiera de sus componentes no están Disponibles como consecuencia de: un fallo, disminución del rendimiento o mal funcionamiento que se deba a scripts, datos, aplicaciones, equipo, infraestructuras, software, pruebas de intrusión, pruebas de rendimiento o agentes de monitorización ordenados, proporcionados o realizados por el Cliente; interrupciones programadas, tareas o periodos de mantenimiento programados o interrupciones iniciadas por Oracle a petición o por orden del Cliente con fines de mantenimiento, activación de configuraciones, backups u otros que obliguen a que el Servicio esté fuera de línea durante un periodo de tiempo; falta de disponibilidad de Servicios de gestión, auxiliares o administrativos, incluyendo herramientas administrativas, Servicios de elaboración de informes, suministros públicos, componentes de software de terceros que no estén bajo el control exclusivo de Oracle, u otros Servicios de apoyo al procesamiento básico de transacciones; interrupciones derivadas de cualquier acción u omisión de Oracle a petición del Cliente o por orden de este; interrupciones que se deban al equipo del Cliente, a equipos de terceros o a componentes de software que no estén bajo el control exclusivo de Oracle; acontecimientos causados por una interrupción o cierre de los Servicios como consecuencia de circunstancias que, en la opinión razonable de Oracle, suponen una amenaza significativa para el normal funcionamiento de los Servicios, la infraestructura operativa, la instalación desde la que se prestan los Servicios, el acceso a los datos del Cliente o la integridad de estos (por ejemplo, el ataque de un hacker o de malware); interrupciones que se deban a la administración del sistema, a comandos o a transmisiones de archivos que hayan llevado a cabo usuarios o representantes del Cliente; interrupciones que se deban a ataques del tipo de denegación de Servicio, desastres naturales, cambios causados por medidas de gobiernos, entidades políticas o normativas o por órdenes judiciales, huelgas o conflictos laborales, actos de desobediencia civil, actos de guerra, actos contra partes (incluidas operadoras y otros proveedores de Oracle) y otros casos de fuerza mayor; imposibilidad de acceder a los Servicios o interrupciones causadas por la conducta del Cliente, incluidas negligencias o incumplimientos de obligaciones sustanciales del Cliente en virtud del acuerdo, o por otras circunstancias que Oracle no pueda controlar; falta de disponibilidad o un tiempo de respuesta indebidamente largo del Cliente para responder a incidencias cuando sea necesaria su participación para la identificación del origen y/o para la resolución de la incidencia, incluido el cumplimiento de las responsabilidades del Cliente en relación con cualesquiera Servicios; interrupciones causadas por fallos o fluctuaciones del equipo o las líneas eléctricas, de conexión, de red o de telecomunicaciones que se deban a la conducta del Cliente o a circunstancias que Oracle no pueda controlar. 4.4 Medición de la Disponibilidad Una vez concluido cada mes natural del Plazo de Prestación de los Servicios según lo previsto en un Pedido, Oracle mide el Nivel de Disponibilidad del Sistema" del mes inmediatamente precedente. Oracle calcula el Nivel de Disponibilidad del Sistema dividiendo la diferencia entre el número total de minutos del periodo de medición mensual y cualquier Tiempo de Inactividad no Programado, por el número total de minutos del periodo de medición, y multiplicando el resultado por 100 para obtener un porcentaje Comunicación de la Disponibilidad Oracle proporcionará al Cliente acceso a un portal de notificaciones al Cliente. En este portal se recogerán métricas sobre el Nivel de Disponibilidad del Sistema para los Servicios Cloud adquiridos conforme al Pedido. En el caso de los Servicios Cloud para los que no haya métricas disponibles a través del portal de notificaciones al Cliente, Oracle comunicará las métricas sobre el Nivel de Disponibilidad del Sistema cuando el Cliente le presente un Service Request (petición de Servicio, SR) solicitando tales métricas. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 10 de 20

11 4.5 Monitorización Oracle utiliza distintas herramientas para monitorizar (i) la disponibilidad y el rendimiento del entorno de los Servicios de producción del Cliente y (ii) el funcionamiento de los componentes de la red y la infraestructura Componentes Monitorizados Oracle monitoriza la infraestructura de los Servicios y actualmente genera alertas para CPU, memoria, almacenamiento, base de datos, componentes de red y transacciones. El personal de Operaciones de Oracle se ocupa de cualquier advertencia y alerta automatizada relacionada con divergencias del entorno con respecto a los umbrales de monitorización definidos por Oracle, y aplica procedimientos operativos estándar para investigar y resolver los problemas subyacentes Herramientas de Monitorización y Pruebas del Cliente Como consecuencia de los posibles efectos adversos para el rendimiento y la disponibilidad del Servicio, el Cliente no está autorizado a usar sus propias herramientas de monitorización o pruebas (incluidas interfaces de usuario automatizadas y llamadas a Servicios web a cualquier Servicio Cloud Oracle) para intentar medir, directa o indirectamente, la disponibilidad, el rendimiento o la seguridad de cualquier programa, función o componente de Servicio de los Servicios o el entorno. Oracle se reserva el derecho de eliminar o deshabilitar el acceso a cualquier herramienta que infrinja las restricciones citadas, sin que esto le obligue a asumir responsabilidad alguna ante el Cliente Cargas de Trabajo del Cliente El Cliente no podrá realizar cambios significativos de la carga de trabajo por encima de la cantidad autorizada por los derechos otorgados en el Pedido Cargas Automatizadas El Cliente deberá abstenerse de usar o autorizar el uso de herramientas o técnicas de extracción de datos para recopilar datos disponibles a través de la interfaz de usuario del Servicio Cloud Oracle o de llamadas a Servicios web sin la autorización expresa previa de Oracle. Oracle se reserva el derecho a exigir que las herramientas de extracción de datos que el Cliente quiera usar sean validadas y probadas por Oracle antes de su uso en producción y posteriormente se sometan a validaciones y pruebas con carácter anual. Oracle puede exigir que se formalice un plan de trabajo escrito para llevar a cabo esta labor de prueba y validación. 5. Política de Gestión de Cambios de Cloud Oracle 5.1 Gestión de Cambios y Mantenimiento de Cloud Oracle El departamento de Operaciones de Cloud Oracle efectúa cambios en la infraestructura de hardware, el software operativo, el software de productos y el software de aplicaciones de soporte de cloud con el fin de mantener la estabilidad operativa, la disponibilidad, la seguridad, el rendimiento y la vigencia de la Cloud Oracle. Oracle aplica procedimientos formales de gestión de cambios para llevar a cabo las preceptivas revisiones, pruebas y aprobaciones de cambios antes de su aplicación en el entorno de producción de Cloud Oracle. Los cambios realizados mediante procedimientos de gestión de cambios incluyen actividades de mantenimiento y actualizaciones y mejoras del sistema y los Servicios, así como cambios específicos de un Cliente. Los procedimientos de Gestión de Cambios de Cloud Oracle se han diseñado para reducir al mínimo las interrupciones del Servicio durante la implementación de los cambios. Oracle reserva periodos de mantenimiento específicos para los cambios que hacen que el Servicio Cloud no esté disponible durante el periodo de mantenimiento. Oracle se esfuerza en garantizar que los procedimientos de gestión de cambios se lleven a cabo durante los periodos de mantenimiento, teniendo también en cuenta los periodos de tráfico reducido y las necesidades por razones geográficas. Por lo general, los periodos de mantenimiento programados tienen lugar una vez al mes, en viernes, se inician alrededor de las horas (hora local del centro de datos) y duran aproximadamente diez (10) horas. Existen excepciones a esta programación en algunos Servicios Cloud; puede consultarse información adicional en el Knowledge Article de My Oracle Support: Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 11 de 20

12 Oracle se esforzará notificar previamente las modificaciones del periodo de mantenimiento estándar. En el caso de cambios y actualizaciones específicos de un Cliente, Oracle se esforzará coordinar los periodos de mantenimiento con el Cliente siempre que sea posible. Cuando se prevea que los cambios van a provocar una interrupción del Servicio, Oracle se esforzará en notificar los efectos previstos con antelación. La duración de los periodos de mantenimiento programados no se tiene en cuenta a la hora de calcular los minutos de Tiempo de Inactividad no Programado en el periodo de medición mensual para determinar el Nivel de Disponibilidad del Sistema (véase la Política relativa al Objetivo de Nivel de Servicios de Cloud Oracle"). Oracle realiza esfuerzos comercialmente razonables para reducir al mínimo el uso de estos periodos de mantenimiento reservados, así como la duración de las tareas de mantenimiento cuando estas dan lugar a interrupciones de Servicios Mantenimiento de Emergencia En ocasiones, Oracle puede verse obligada a realizar operaciones de mantenimiento de emergencia para proteger la seguridad, el rendimiento, la disponibilidad o la estabilidad del entorno de producción. El mantenimiento de emergencia puede incluir la instalación de parches de programas y/o el mantenimiento básico del sistema. Oracle se esfuerza en reducir al mínimo el uso del mantenimiento de emergencia y hará todo lo posible para notificar con un preaviso de veinticuatro (24) horas cualquier mantenimiento de emergencia que obligue a interrumpir el Servicio Cambios Sustanciales de Mantenimiento Con el fin de contribuir a garantizar la estabilidad, la disponibilidad, la seguridad y el rendimiento continuos de los Servicios Cloud, Oracle se reserva el derecho de efectuar cambios sustanciales en su infraestructura de hardware, software operativo, software de aplicaciones y software de aplicaciones de soporte bajo su control, como máximo en dos ocasiones en cada año natural. Cada uno de estos cambios se considera mantenimiento programado y puede hacer que los Servicios Cloud no estén disponibles durante un máximo de veinticuatro (24) horas. Cada uno de estos cambios se programa para que tenga lugar simultáneamente con el periodo de mantenimiento programado. Oracle se esforzará notificar con un preaviso de hasta sesenta (60) días la falta de disponibilidad prevista Migraciones entre Centros de Datos Oracle puede migrar Servicios del Cliente de un centro de datos a otro situado en la misma región a efectos de los centros de datos, con miras a recuperar Servicios del Cliente o para la recuperación ante desastres. Oracle notificará al Cliente cualquier otra migración entre centros de datos con un preaviso mínimo de treinta (30) días. 5.2 Versiones de Software Actualizaciones y Mejoras del Software Oracle obliga a todos los Clientes de Servicios Cloud a mantener las versiones del software de los Servicios Cloud Oracle actualizadas a las versiones del software que Oracle designa como generalmente disponibles (GA). En el caso de los Servicios Cloud que son compatibles con varias versiones, Oracle considera normalmente versiones GA la versión actual y la versión inmediatamente anterior. Oracle puede notificar el lanzamiento de una versión GA de Servicios Cloud concretos en el portal de soporte o en las Especificaciones del Servicio de los Servicios Cloud. Las mejoras del software se producirán inmediatamente después del lanzamiento de cada versión GA y deberán mantener la vigencia de la versión. Las Políticas de Hosting y Prestación de Servicios Cloud Oracle, tales como la Política relativa al Objetivo de Nivel de Servicios, la Política de Recuperación ante Desastres y la Política de Soporte Cloud, dependen de que el Cliente mantenga la vigencia de la versión GA. Oracle no aceptará responsabilidad alguna por problemas de rendimiento o de seguridad que se produzcan en los Servicios Cloud como consecuencia de su ejecución en versiones anteriores Evaluación de Nuevas Versiones El Cliente podrá evaluar los nuevos lanzamientos de la versión GA más reciente de los Servicios Cloud Oracle mediante un portal de autoservicio o un proceso de incidencias a través del Portal de Soporte al Cliente de Cloud designado por Oracle para el Servicio concreto solicitado (por ejemplo, el portal My Oracle Support). La responsabilidad de iniciar el proceso de evaluación de una nueva versión o lanzamiento corresponde al Cliente. El Cliente inicia el proceso de evaluación presentando una solicitud de evaluación de una nueva versión en el Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 12 de 20

13 Portal de Soporte al Cliente de Cloud. En el caso de las solicitudes de evaluación de versiones nuevas cursadas a través del Portal de Soporte al Cliente de Cloud, una vez se recibe el Service Request (SR), Oracle envía un acuse de recibe al (a los) contacto(s) del Cliente responsables de la recepción de comunicaciones relacionadas con actualizaciones. Oracle prepara un entorno de evaluación actualizando el entorno de ensayo del Cliente a la última versión del producto Cloud Final de la Vida Oracle comprende que el Cliente puede tener motivos comerciales legítimos para no actualizarse a la última versión disponible de los Servicios Cloud Oracle tan pronto como dicha versión se encuentre disponible. Sin embargo, Oracle no prestará Servicios de soporte a versiones más antiguas con arreglo a la Política de Final de la Vida que se describe a continuación. En el caso de los Servicios Cloud que son compatibles con varias versiones, Oracle únicamente albergará y dará soporte a las versiones designadas como GA de un Servicio Cloud Oracle. Se considerará que el resto de las versiones han alcanzado el final de la vida" (EOL). Oracle no presta Servicios Cloud para versiones EOL. En el caso de los Servicios Cloud que son compatibles con varias versiones, los Clientes están obligados a completar la actualización de los Servicios a la última versión antes de que una versión dada alcance su EOL. El Cliente reconoce que si no completa la actualización antes del EOL de una versión de un Servicio Cloud, Oracle podrá realizar automáticamente la actualización o los Servicios podrán suspenderse. En determinadas circunstancias en las que una versión de un Servicio Cloud alcanza su EOL y Oracle no pone a disposición del Cliente una versión actualizada, Oracle podrá designar un Servicio Cloud sucesor y pedir al Cliente que migre a dicho Servicio Características Obsoletas Una característica obsoleta es una característica que aparece en versiones anteriores o actuales del Servicio Cloud y a la que todavía se presta soporte como parte del Servicio, pero que Oracle ha comunicado que se eliminará en versiones futuras. Oracle realiza esfuerzos comercialmente razonables para publicar notificaciones sobre las características obsoletas un trimestre antes de su eliminación y se reserva el derecho a considerar obsoleta, modificar o eliminar cualquier característica en cualquier nueva versión sin preaviso alguno. 6. Política de Soporte de Cloud Oracle El soporte descrito en la presente Política de Soporte de Cloud es aplicable exclusivamente a los Servicios Cloud Oracle y es prestado por Oracle como parte de dichos Servicios con arreglo al Pedido. El Cliente puede adquirir Servicios adicionales para Cloud Oracle a través de otros Servicios de soporte de Oracle ofertados designados por Oracle para Servicios Cloud. 6.1 Condiciones del Soporte de Cloud Oracle Tarifas del soporte Las tarifas satisfechas por el Cliente por los Servicios Cloud Oracle ofertados con arreglo al Pedido incluyen el soporte descrito en la presente Política de Soporte de Cloud Oracle. Si el Cliente adquiere Servicios de soporte de Oracle ofertados adicionales, deberá pagar tarifas adicionales por ellos Plazo de prestación de Servicios de soporte El soporte de Cloud Oracle entrará en vigor en la fecha de inicio del Servicio y dejará de tener efecto en el momento en que expiren o se resuelvan los Servicios Cloud según lo dispuesto en dicho Pedido ( plazo de prestación de Servicios de soporte"). Oracle no está obligada a proporcionar el soporte descrito en la presente Política de Soporte de Cloud una vez finalizado el plazo de prestación de Servicios de soporte. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 13 de 20

14 6.1.3 Contactos técnicos Los contactos técnicos del Cliente son los únicos intermediarios entre el Cliente y Oracle en relación con los Servicios de soporte de Cloud Oracle. Tales contactos técnicos deben tener, como mínimo, formación inicial básica sobre el Servicio y, en la medida de lo necesario, formación complementaria adecuada para un rol específico o una fase de implementación específica, el uso de productos/servicios especializados y/o migración. Los contactos técnicos del Cliente deben conocer los Servicios de Cloud Oracle ofertados y el entorno Oracle para ayudar a resolver problemas del sistema y asistir a Oracle en el análisis y la resolución de Service Requests. A la hora de remitir un SR, el contacto técnico del Cliente deberá partir de un entendimiento inicial del problema detectado y tener la capacidad de reproducir el problema y así poder ayudar a Oracle a diagnosticar y clasificar el problema. Para evitar interrupciones en los Servicios de soporte, el Cliente deberá informar a Oracle sobre cualquier transferencia de las responsabilidades de un técnico de contacto a otra persona física Soporte de Cloud Oracle Los Servicios de soporte de Cloud Oracle comprenden: El diagnóstico de problemas o incidencias con los Servicios Cloud Oracle. Esfuerzos comercialmente razonables para resolver los errores comunicados y verificables de los Servicios Cloud Oracle, de forma que su rendimiento sea en todos los aspectos sustanciales el descrito en la Documentación de Programa asociada. Soporte durante las actividades de Gestión de Cambios descritas en la Política de Gestión de Cambios de Cloud Oracle. Asistencia en Service Requests técnicos las veinticuatro (24) horas del día, los siete (7) días de la semana. Acceso las veinticuatro (24) horas del día, los siete (7) días de la semana a un Portal de Soporte al Cliente de Cloud designado por Oracle (por ejemplo, My Oracle Support) y a Soporte Telefónico en Vivo para presentar Service Requests. Acceso a foros comunitarios. Asistencia no técnica de Servicio al Cliente durante el horario laboral habitual de Oracle ( horas, hora local). 6.2 Sistemas de Soporte al Cliente de Cloud Oracle Portal de Soporte al Cliente de Cloud En el marco de los Servicios ofertados de Cloud Oracle adquiridos por el Cliente conforme al Pedido, Oracle proporciona Soporte al Cliente para el Servicio Cloud a través del Portal de Soporte al Cliente de Cloud designado para el Servicio Cloud de que se trate. El acceso al Portal de Soporte al Cliente de Cloud aplicable se rige por las Condiciones de Uso publicadas en la página web de soporte designada, sujetas a cambio. Los usuarios pueden solicitar una copia de estas condiciones. Solo los contactos técnicos designados por el Cliente y otros usuarios autorizados de los Servicios Cloud pueden acceder al Portal de Soporte al Cliente de Cloud. Cuando procede, el Portal de Soporte al Cliente de Cloud Oracle proporciona datos de soporte a los contactos técnicos designados por el Cliente para permitir el uso del soporte de Cloud Oracle. Todas las alertas y notificaciones de Servicio relevantes para el Cliente se publican en este portal Soporte Telefónico en Vivo Los contactos técnicos del Cliente pueden acceder al soporte telefónico en vivo a través de los números de teléfono y la información de contacto que pueden consultarse en la página web del soporte de Oracle, en la URL Definiciones de Gravedad Los contactos técnicos designados por el Cliente pueden presentar los Service Requests para Servicios Cloud Oracle a través de los Sistemas de Soporte al Cliente de Cloud Oracle que se indican en la Sección 6.2 de la presente Política. El Cliente y Oracle establecerán el nivel de gravedad de un SR presentado por el Cliente en función de las siguientes definiciones de gravedad: Gravedad 1 El uso en producción del Servicio Cloud Oracle por parte del Cliente queda interrumpido o tan gravemente afectado que le impide seguir trabajando de manera razonable. El Cliente sufre una pérdida completa de Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 14 de 20

15 Servicio. La operación afectada es crítica para el negocio y la situación es de emergencia. Un Service Request de Gravedad 1 presenta, al menos, una de las siguientes características: Los datos han quedado dañados. Una función crítica documentada no está disponible. El Servicio deja de responder de forma indefinida, lo que causa retrasos inaceptables o indefinidos en los recursos o las respuestas. El sistema se bloquea y sigue bloqueándose repetidamente después de cada intento de reinicio. Oracle empleará todos los esfuerzos razonables para responder a los SR de Gravedad 1 en el plazo de una (1) hora. Oracle trabajará veinticuatro (24) horas al día, siete (7) días a la semana hasta que el SR de Gravedad 1 quede resuelto, o el tiempo que sea necesario mientras pueda lograrse algún progreso útil. El Cliente deberá facilitar a Oracle un contacto permanente durante este periodo de trabajo las veinticuatro (24) horas del día los siete (7) días de la semana, para ayudar a recopilar datos, realizar pruebas y poner en práctica correcciones. El Cliente deberá proponer esta clasificación de gravedad con especial cuidado, de forma que las situaciones de Gravedad 1 reales obtengan la asignación de recursos necesarios por parte de Oracle. Gravedad 2 El Cliente sufre una pérdida grave de Servicio. Funciones importantes de los Servicios Cloud Oracle no están disponibles sin ninguna solución alternativa; sin embargo, las operaciones pueden continuar de forma restringida. Gravedad 3 El Cliente experimenta una leve pérdida de Servicio. El impacto se traduce en molestias y puede requerir una solución alternativa para restablecer la funcionalidad. Gravedad 4 El Cliente necesita información, una mejora, o una aclaración de la documentación del Servicio Cloud Oracle, pero sin ningún impacto en el uso de dicho Servicio. El Cliente no sufre ninguna pérdida de Servicio. 6.4 Cambio del Nivel de Gravedad de un Service Request Nivel de Gravedad Inicial Oracle registrará, en el momento en que acepte un SR, el nivel de gravedad inicial del SR basándose en las anteriores definiciones de gravedad. El enfoque inicial de Oracle, una vez aceptado el SR, irá dirigido a resolver las incidencias descritas en el SR. El nivel de gravedad de un SR puede ajustarse de acuerdo con las siguientes descripciones: Rebaja del Nivel de Gravedad de un Service Request: Si, durante el proceso del SR, la incidencia deja de justificar el nivel de gravedad asignado en ese momento en función de su impacto actual en la operación de producción del Servicio Cloud Oracle pertinente, el nivel de gravedad se rebajará hasta el nivel de gravedad que refleje de forma más apropiada su impacto actual Aumento del Nivel de Gravedad de un Service Request: Si, durante el proceso del SR, la incidencia justifica la asignación de un nivel de gravedad superior al asignado en ese momento en función de su impacto actual en la operación de producción del Servicio Cloud Oracle pertinente, el nivel de gravedad se incrementará hasta el nivel de gravedad que refleje de forma más apropiada su impacto actual Adherencia a las Definiciones de Nivel de Gravedad: El Cliente deberá garantizar la máxima precisión en la asignación y ajuste de cualquier designación de nivel de gravedad en función del impacto actual en la operación de producción del Servicio Cloud Oracle pertinente. El Cliente acepta que Oracle no será responsable de cualquier incumplimiento de los estándares de rendimiento provocado por su mal uso o asignación de las designaciones de los niveles de gravedad. 6.5 Escalada de Service Requests Para escalar un SR, el analista de soporte técnico de Oracle se pondrá en contacto con el director de escalada de SR de Oracle, que se encargará de gestionar su escalada. El director de escalada de SR de Oracle trabajará Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 15 de 20

16 con el Cliente para desarrollar el plan de acción y asignar los recursos oportunos de Oracle. Si el problema por el que ha presentado el SR sigue sin resolver, el Cliente puede ponerse en contacto con el director de escalada de SR de Oracle para revisar el SR y solicitar que sea escalado al siguiente nivel dentro de Oracle según sea necesario. Para facilitar la resolución de un SR escalado, el Cliente tendrá que proporcionar los datos de las personas de contacto dentro de su organización que se encuentren al mismo nivel que aquellas a las que se ha escalado el SR dentro de Oracle. 6.6 Excepciones a la Presente Política Las consultas o solicitudes de excepciones a la Política de Hosting y Prestación de Servicios Cloud Oracle que desee realizar un Cliente deberán efectuarse a través de un Service Request en el Portal de Soporte al Cliente de Cloud aplicable al Servicio (por ejemplo, My Oracle Support). 7. Política de Suspensión y Resolución de Cloud Oracle 7.1 Resolución de los Servicios Cloud Resolución de los Servicios Cloud A la resolución o expiración de los Servicios conforme a lo dispuesto en el Pedido, o a petición del Cliente, Oracle eliminará o impedirá el acceso a los entornos de producción y a los datos almacenados en ellos utilizando un procedimiento concebido para garantizar, dentro de lo razonable, que resulte imposible acceder a ellos o leerlos, salvo que Oracle tenga una obligación legal que le impida eliminar parte o la totalidad de los entornos. Durante un máximo de sesenta (60) días a partir de la resolución o expiración de los Servicios conforme a lo dispuesto en el Pedido, Oracle pondrá los datos de producción a disposición del Cliente para que este pueda recuperarlos. Oracle no tiene obligación alguna de conservar los datos para el Cliente una vez finalizado el citado plazo de sesenta (60) días a partir de la resolución. Los Identificadores de Soporte al Cliente Oracle (CSI, del inglés Customer Support Identifiers") se suprimen al final del periodo de sesenta (60) días, y Oracle eliminará o impedirá el acceso a los datos del Cliente almacenados en el Servicio Resolución de Entornos Piloto Los pilotos de los Servicios Cloud Oracle están sujetos a la misma política de resolución del Servicio que los entornos de producción normales Asistencia al Cliente a la Resolución Si, una vez resuelto el Servicio, el Cliente necesita asistencia de Oracle para acceder al servidor seguro de Oracle con el fin de recuperar sus datos de producción, el Cliente deberá crear un Service Request en el Portal de Soporte al Cliente de Cloud aplicable al Servicio (por ejemplo, My Oracle Support) Transmisiones Seguras de Datos Como parte del proceso de resolución del Servicio, Oracle proporciona protocolos seguros para que usuarios designados del Cliente puedan transmitir los datos de este almacenados en el Servicio. 7.2 Suspensión por Infracción Si Oracle detecta una infracción de los términos y condiciones o la política de uso aceptable de los Servicios Cloud Oracle, o recibe una comunicación sobre una infracción de dichas condiciones, Oracle designará un agente investigador. El agente investigador podrá tomar medidas como, entre otras, la suspensión del acceso a la cuenta de usuario, la suspensión del acceso a la cuenta de administrador o la suspensión del entorno hasta que se resuelva la incidencia. Oracle se esforzará razonablemente a restablecer puntualmente los Servicios del Cliente en cuanto determine, a su entera discreción dentro de lo razonable, que los problemas se han resuelto o la situación que generó la suspensión ha sido subsanada. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 16 de 20

17 7.3 Datos Exportables Los datos del Cliente que se indican a continuación pueden ser exportados por Oracle del entorno de producción de los Servicios Cloud a la resolución de los Servicios. Datos de Bases de datos: Todos los datos de transacciones. Documentos Adjuntos: Todos los documentos adjuntos cargados por el Cliente o adjuntados a una transacción o flujo de negocio. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 17 de 20

18 Apéndice A Servicio Cloud de Plataforma de Marketing Responsys Oracle (Oracle Responsys Marketing Platform Cloud Service) El presente apéndice es aplicable a la característica adicional del Oracle Responsys Marketing Platform Cloud Service conocida como Servicio Cloud de Conmutación Automática para Mensajes de Transacción de Responsys (Responsys Automatic Failover for Transactional Messages Cloud Service) y establece las modificaciones que se detallan a continuación en las Políticas de Hosting y Prestación de Servicios Cloud Oracle para Empresas para dicho Servicio Cloud: 1.2 Segregación de Redes 1.3 Control de Acceso a la Red Controles de la Red 2.3 Infraestructura de Red Redundante 2.7 Estrategia de Backup de los Servicios Cloud Oracle Objetivo de Tiempo de Recuperación La última frase de esta Sección se modifica para que se lea como sigue: El RTO para el Oracle Responsys Automatic Failover for Transactional Messages Cloud Service se ha fijado en treinta (30) minutos a partir de la declaración de desastre Objetivo de Punto de Recuperación La última frase de esta Sección se modifica para que se lea como sigue: El RPO para el Oracle Responsys Automatic Failover for Transactional Messages Cloud Service se ha fijado en quince (15) minutos a partir del momento en que se produzca un desastre. 4.2 Objetivo de Nivel de Disponibilidad del Sistema del Servicio Cloud Oracle Oracle trabaja para cumplir un Objetivo de Disponibilidad del Sistema del noventa y nueve coma nueve por ciento (99,9 %) del Oracle Responsys Automatic Failover for Transactional Messages Cloud Service de producción, durante un periodo de evaluación de un (1) mes natural a partir de la activación del entorno de producción de Oracle. Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 18 de 20

19 Apéndice B Servicio Cloud de TOA Technologies de Oracle (Oracle TOA Technologies Cloud Service) El presente apéndice es aplicable al Oracle TOA Technologies Cloud Service y establece las modificaciones que se detallan a continuación en las Políticas de Hosting y Prestación de Servicios Cloud Oracle para Empresas para dicho Servicio Cloud. Salvo que en el presente apéndice se especifique lo contrario, cada una de las Secciones que se recogen a continuación se aplicará en sustitución de la Sección original correspondiente de las Políticas de Prestación de Servicios: Parte 1 Modificaciones para ETAdirect Enterprise y ETAdirect Professional 1.1 Cifrado de Usuario para Conexiones Externas El acceso del Cliente al sistema se realiza a través de Internet. Para acceder al Servicio Cloud Oracle, es posible utilizar tecnología de cifrado SSL. Las conexiones SSL se negocian para un cifrado de 128 bits o superior. La clave privada utilizada para generar la clave de cifrado tiene un tamaño mínimo de 2048 bits. La conexión segura SSL se ha implementado o puede configurarse para todos los programas basados en Web con certificación SSL desplegados en Oracle. Para la conexión a programas habilitados para Web, se recomienda utilizar las últimas versiones de navegadores certificados para programas Oracle, que son compatibles con intensidades de cifrado más elevadas y ofrecen una mayor seguridad. La lista de navegadores certificados para el Oracle TOA Technologies Cloud Service se facilitará al Cliente previa solicitud. Puede ocurrir que un sitio de terceros (como Facebook) que el Cliente desee integrar con el Servicio Cloud no acepte una conexión cifrada. En el caso de los Servicios Cloud para los que Oracle permite conexiones HTTP con sitios de terceros, Oracle habilitará dichas conexiones HTTP, además de la conexión HTTPS Soportes Físicos en Circulación Objetivo de Tiempo de Recuperación La última frase de esta Sección se modifica para que se lea como sigue: El RTO para ETAdirect Professional se ha fijado en cinco (5) horas a partir de la declaración de desastre. El RTO para ETAdirect Enterprise se ha fijado en cuatro (4) horas a partir de la declaración de desastre Migraciones entre Centros de Datos Parte 2 Modificaciones para ETAworkforce Acceso Horario de Funcionamiento 1. Política de Seguridad de Cloud Oracle 2. Política de Resiliencia del Sistema de Cloud Oracle Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 19 de 20

20 3. Política del Servicio de Recuperación ante Desastres de Cloud Oracle 4. Política relativa al Objetivo de Nivel de Servicios de Cloud Oracle 5. Política de Gestión de Cambios de Cloud Oracle 6. Política de Soporte de Cloud Oracle Se añade el texto siguiente al final de la Sección: Oracle no tiene obligación alguna de prestar Servicios de soporte en relación con problemas de funcionamiento o rendimiento de ETAworkforce provocados por cualquiera de las siguientes causas: (i) productos de software o hardware que no sean de Oracle o problemas de setup y redes de operadoras; (ii) alteraciones, daños o modificaciones (incluidos, entre otros, cambios de la configuración) en el software entregado que Oracle no haya realizado o autorizado expresamente; (iii) problemas causados por negligencias, usos indebidos o aplicaciones indebidas del Cliente, o (iv) su uso del software de formas no permitidas por la ley o no recogidas en la documentación pertinente. Oracle se reserva el derecho de suspender y/o desconectar los Servicios si cualquiera de las circunstancias anteriores se considera una amenaza para los sistemas de Oracle o para los Servicios Cloud. 7.1 Resolución de los Servicios Cloud 7.3 Datos Exportables Cloud_Oracle Cloud Enterprise Hosting and Delivery Policies_v120114_ES_ESP Página 20 de 20