Descripción del Servicio 1. Ámbito de los Servicios IBM Managed Security Services for Web Security IBM Managed Security Services for Web Security (denominado MSS for Web Security o Servicio ) puede incluir: a. Servicios de Web Antivirus y Web Antispyware para ayudar al Cliente a detectar Virus y Spyware en respuesta a las solicitudes de páginas Web y anexos emitidos por los usuarios del Cliente y/ o b. Servicio Web URL para ayudar a impedir el acceso, por parte de los usuarios del Cliente, a ciertos anexos o páginas Web (de acuerdo con la política de restricción de acceso del Cliente). El servicio MSS for Web Security se destina a ayudar al Cliente a hacer cumplir una política adecuada de uso de la computadora. Los detalles del pedido del Cliente (por ejemplo: los servicios necesarios, el período de contrato y los costos) se especificarán en un Pedido. Las definiciones de la terminología específica del Servicio se encuentran en www.ibm.com/services/iss/wwcontracts. 2. Definiciones Clúster de Torres Designado un clúster de torres (dos, como mínimo) designado para prestar el servicio MSS for Web Security al Cliente. Virus Conocido un Virus respecto al cual, en el momento que IBM recibe el contenido: (i) los escáneres de terceros usados por IBM ya pusieron a disposición del público una firma por como mínimo una hora para configuración o (ii) está incluido en la "Wild List" mantenida en http://www.wildlist.org e identificado como "In the wild" por, como mínimo, dos participantes de la lista. Mantenimiento Planificado periodos de mantenimiento que producen trastorno en los servicios debido a la indisponibilidad del Clúster de Torres Designado. Se le informará al Cliente acerca de dicho mantenimiento con por lo menos cinco días de antecedencia. El Mantenimiento Planificado no debe exceder más de ocho horas por mes natural y no se realizará durante el horario comercial local del Cliente. Solicitud una solicitud de contenido Web (como una página Web) realizada por un usuario a través de un navegador Web o herramienta HTTP semejante, desde cualquier servidor Web conectado a Internet. Spyware software o herramientas que reúnen informaciones secretamente (normalmente acerca de la actividad de usuarios o sistemas), sin el conocimiento o permiso del usuario o de la organización. Virus código de programa que se fija en un archivo o memoria, infecta otros archivos o áreas de memoria y ejecuta sin autorización. Latencia Web tiempo medido desde el momento que IBM recibe el contenido hasta el punto del intento de transmisión del contenido. Disponibilidad de Servicios Web la disponibilidad de los Servicios Web para aceptar las solicitudes de salida de la Web del Cliente. 3. MSS for Web Security 3.1 Coordinación del MSS for Web Security 3.1.1 Responsabilidades de IBM IBM proporcionará un ingeniero de despliegue que será el punto focal de IBM durante la fase de inicialización y notificación del servicio MSS for Web Security. El ingeniero de despliegue hará lo siguiente: a. proporcionarle a usted un perfil de cliente que el Cliente debe rellenar antes que IBM preste el servicio MSS for Web Security; b. revisar esta Descripción de Servicio y todos los documentos asociados junto con el Punto de Contacto del Cliente; c. coordinar y gestionar las actividades técnicas del personal asignado de IBM y INTC-7796-02 11/2008 Página 1 de 6
d. establecer y mantener comunicaciones a través del Punto de Contacto del Cliente durante la fase de inicialización y notificación de MSS for Web Security. 3.1.2 Responsabilidades del Punto de Contacto al Cliente Antes del inicio de MSS for Web Security, el Cliente designará a una persona (denominada "Punto de Contacto del Cliente"), a la cual se dirigirán todas las comunicaciones relacionadas con MSS for Web Security y que tendrá autoridad para actuar en nombre del Cliente en todos los asuntos concernientes al Servicio. El Punto de Contacto del Cliente hará lo siguiente: a. rellenar y devolver el perfil del cliente a IBM dentro de diez días hábiles a partir del recibimiento; b. actuar como interfaz entre el equipo de Servicio de IBM y todos los departamentos del Cliente que participan en MSS for Web Security, como también todos los proveedores de terceros, incluyendo Proveedores de Servicios de Internet ( ISPs ) y firmas de alojamiento de contenido usados por el Cliente para implementar su presencia en Internet; c. obtener y facilitar informaciones, datos, permisos, decisiones y aprobaciones aplicables según IBM lo requiera para prestar el Servicio, dentro de dos días hábiles a partir de la solicitud de IBM y d. ayudar a resolver los problemas del Servicio y escalarlos dentro de la organización del Cliente según sea necesario. 3.1.3 Responsabilidades Generales del Cliente El desempeño del servicio MSS for Web Security por parte de IBM depende del cumplimiento de esas responsabilidades generales del Cliente. El Cliente acepta lo siguiente: a. proporcionar todo el software y los equipos necesarios y pagar los cargo de comunicación para acceder al portal Web de IBM Web o cualquier otra herramienta Web necesaria para la prestación del Servicio; b. poner a disposición un personal adecuado para ayudar a IBM en el cumplimiento de las responsabilidades de IBM; c. permitir que IBM divulgue este documento y el Pedido asociado a sus subcontratistas, en el contexto del Servicio a prestar de acuerdo con este documento; d. ser responsable del contenido de cualquier base de datos, la selección e implementación de controles en su acceso y uso, backup y recuperación y la seguridad de los datos almacenados. Esa seguridad también incluye todos los procedimientos necesarios para proteger la integridad y seguridad del software y de los datos usados en el Servicio contra el acceso por parte de personas no autorizadas y e. ser responsable de la identificación e interpretación de cualquier ley, reglamento y estatuto aplicable que afecte los datos y software ya existentes del Cliente a los cuales IBM tendrá acceso durante la prestación del Servicio. El Cliente es responsable de garantizar que los datos y el software cumplan con los requisitos de dichas leyes, reglamentos y estatutos. 3.2 Servicios Generales 3.2.1 Responsabilidades de IBM IBM: a. proporcionará al Cliente el acceso mediante contraseña a una herramienta patentada de gestión y emisión de informes basada en para permitir que el Cliente vea datos y estadísticas del uso del Servicio. Esta herramienta también ofrece varios recursos de configuración y gestión; b. prestará el Servicio 24 horas al día, 7 días a la semana; c. proporcionará acceso al software, como proxy en el cliente y una herramienta de sincronización de Lightweight Directory Access Protocol ( LDAP ) que puede ser necesaria en algunos recursos del Servicio; d. prestará el soporte técnico del Servicio 24 horas al día, 7 días a la semana y e. trabajará remotamente con el Cliente 24 horas al día, 7 días a la semana para resolver problemas del Servicio. 3.2.2 Responsabilidades del Cliente El Cliente acepta lo siguiente: INTC-7796-02 11/2008 Página 2 de 6
a. supervisar el número de usuarios e informar a IBM si el número real de usuarios excede la cantidad pedida. IBM y el Cliente trabajarán para actualizar el Pedido para que incluya los usuarios adicionales; b. administrar y mantener todo el software opcional proporcionado por IBM para respaldar el Servicio; c. proporcionar todos los datos técnicos y otras informaciones que IBM pueda solicitar razonablemente de tiempos en tiempos para que pueda prestar el Servicio al Cliente; d. mantener la seguridad de la contraseña proporcionada al Cliente para acceder a la herramienta patentada de configuración, gestión e informes basada en Internet, lo que incluye no divulgarla a ningún tercero y e. proporcionar a IBM el nombre, número de teléfono y dirección de e-mail del administrador de Web del Cliente, si el Cliente ha seleccionado esa opción en su perfil. 3.2.3 Acuerdos Generales de Nivel de Servicio Las garantías del acuerdo general de nivel de servicio ( SLA ) descritas a continuación abarcan las métricas medidas para la prestación del Servicio. A menos que se declare explícitamente a continuación, no se aplican garantías adicionales de ninguna clase a los servicios prestados bajo esta Descripción de Servicio. Las únicas compensaciones para el incumplimiento de las garantías del SLA están especificadas en la sección intitulada Compensaciones de SLA a continuación. Los niveles de Servicio no se aplican: a. hasta 30 días después de la activación del Servicio; b. si las configuraciones de sistema del Cliente no cumplen con las guías de configuración que se proporcionaron; c. durante los periodos de Mantenimiento Planificado o d. durante periodos de indisponibilidad debido a razones de fuerza mayor. Garantías del SLA General Garantía de Disponibilidad de Servicios Web - IBM mantendrá la disponibilidad del Servicio durante 100% del mes natural. La garantía de Disponibilidad de Servicios Web sólo se aplica si el host, los dispositivos de gateway o proxys del Cliente están configurados correctamente 24 horas al día, 7 días a la semana. Garantía de Latencia Web IBM entregará contenido con una latencia promedio de 100 milisegundos o menos. La garantía de Latencia Web sólo se aplica a objetos de 1 MB o menos. Se deben someter todas las solicitudes de crédito a IBM dentro de cinco días tras el final del mes en el cual elegibilidad ocurrió. La elegibilidad de crédito está sujeta a la verificación de IBM. Compensaciones de SLA General Las compensaciones de SLA están disponibles desde que el cliente cumpla son sus obligaciones, según se definen en esa Descripción de Servicios. Se emitirá un crédito como la única compensación para el incumplimiento de las garantías descritas en la sección Garantías del SLA durante cualquier mes natural. El Cliente no puede obtener más que 100% del cargo mensual en un determinado mes natural. El pago de créditos de Servicio se considerará como daños liquidados y es la única y exclusiva compensación del Cliente. Compensación para la Disponibilidad de Servicio Web - Si la Disponibilidad del Servicio Web es inferior a 100% en cualquier mes natural durante el periodo contractual, se emitirá un crédito como sigue: Porcentaje de la Disponibilidad de Porcentaje de Crédito del Cargo Mensual Servicio Web por Mes Natural Inferior a 100% pero superior a 99,0% 25 Inferior a 99,0% pero superior a 98,0% 50 Inferior a 98% 100 Terminación del Servicio a criterio del Cliente. En el caso de que se termine el Servicio, dicha terminación será la única y exclusiva compensación respecto a la disponibilidad del INTC-7796-02 11/2008 Página 3 de 6
Servicio inferior a 98% en un determinado mes natural. Compensación para la Latencia Web - Si el tiempo promedio del escaneo del contenido Web calculado a lo largo de cualquier mes natural es inferior a 100%, se emitirá un crédito de acuerdo con la siguiente tabla: Porcentaje Promedio del Escaneo del Porcentaje de Crédito del Cargo Mensual Contenido Web Dentro de 100 Milisegundos Inferior a 100% pero superior a 99,0% 25 Inferior a 99,0% pero superior a 98,0% 50 Inferior a 98,0% pero superior a 97,0% 75 Inferior a 97% 100 Terminación del Servicio a criterio del Cliente. En el caso de que se termine el Servicio, dicha terminación será la única y exclusiva compensación respecto a la Latencia Web. 3.3 Web Antivirus y Web Antispyware Si el Cliente lo selecciona en un Pedido aplicable, IBM proporcionará Web Antivirus y Web Antispyware para ayudar al Cliente a detectar Virus y Spyware en solicitudes salientes y entrantes de Protocolo de Transferencia de Hipertexto ( HTTP ) y Protocolo de Transferencia de Archivos ( FTP ) sobre HTTP referentes a páginas Web y anexos. Los servicios Web Antivirus y Web Antispyware se limitan al número de usuarios especificados en el Pedido. 3.3.1 Responsabilidades de IBM Actividad 1 - Inicialización y Notificación IBM proporcionará el acceso a Web Antivirus y Web Antispyware a través de las direcciones IP desde las cuales el tráfico Web del Cliente se origina ( IPs de escaneo ). Los IPs de escaneo del Cliente se usarán para identificar su tráfico Web y para seleccionar sus valores específicos. IBM no realizará escaneos en archivos o contenido que no se originan de los IPs de escaneo del Cliente. Actividad 2 - Soporte Técnico y Contínuo Durante el periodo del contrato, IBM hará lo siguiente: a. dirigir el contenido y los archivos de HTTP externo y FTP sobre HTTP que se originan de Solicitudes (incluyendo todos los anexos, macros o ejecutables) a través de MSS for Web Security. Otros tipos de contenido enrutados por HTTP (es decir, multimedia en modalidad continua y/ o HTTPS/ SSL) también se pueden pasar a través de MSS for Web Security, pero no se les escaneará para detectar Virus o Spyware; b. escanear cada transferencia de archivo o contenido resultante de cada Solicitud. Si no se encuentran infecciones, se pasará el archivo o contenido; c. denegar el acceso del usuario a un archivo (por ejemplo: una página Web o un accesorio) en el cual se haya detectado un Virus o Spyware o que se considere imposible de escanear (con excepción del tráfico de SSL). En ese caso, IBM tratará de emitir al usuario una alerta automática acerca de la página Web infectada y d. informar al usuario y, si el Cliente lo solicita, a un administrador Web, acerca de una descarga de archivo en la cual se detectó un Virus o Spyware en las comunicaciones del Cliente por Internet. 3.3.2 Responsabilidades del Cliente El Cliente acepta lo siguiente: a. implementar y mantener los valores de configuración necesarios para dirigir el tráfico externo a través de MSS for Web Security y b. asegurar que su tráfico interno de HTTP y FTP sobre HTTP no se dirija a través de Web Antivirus y Web Antispyware. Si el servicio de Internet del Cliente exige una conexión directa y no mediante proxy, el Cliente es responsable de realizar los cambios necesarios en la infraestructura para facilitar la conexión directa. 3.3.3 Acuerdos de Nivel de Servicio La garantía del SLA descrita abajo abarca las métricas concernientes a la prestación de Web Antivirus. A menos que se declare explícitamente a continuación, no se aplican garantías adicionales de ninguna INTC-7796-02 11/2008 Página 4 de 6
clase a los servicios prestados bajo esta Descripción de Servicio. Las compensaciones para el incumplimiento de las garantías del SLA están especificados en la sección intitulada Compensaciones de SLA a continuación. Las compensaciones de SLA están disponibles desde que el cliente cumpla con sus obligaciones, según se definen en esa Descripción de Servicios. Garantías del SLA Garantía de Protección Contra Virus Conocidos IBM bloqueará todos los Virus Conocidos. Este SLA sólo se aplica a la versión 2 del servicio Web Antivirus. Los sistemas del Cliente se considerarán infectados si un Virus Conocido, contenido en una transacción Web recibida a través de la versión 2 del servicio Web Antivirus, es activado en los sistemas del Cliente, ya sea automáticamente o por intervención manual. Si se detecta, pero no se impide, una transacción Web que contiene un Virus Conocido, para evitar la aplicación del SLA, IBM puede informar prontamente al Cliente y facilitar informaciones suficientes para habilitar al Cliente a identificar y suprimir el elemento. Si se evita la infección, este SLA no se aplica. Si el Cliente no actúa prontamente al recibir el anuncio de un elemento infectado con un Virus Conocido, este SLA no se aplica. IBM explorará lo máximo posible del elemento Web descargado. Tal vez no sea posible explorar elementos que están encapsulados o en túnel para fines de comunicación a través de los protocolos Web soportados (HTTP, y FTP sobre HTTP), transmitidos sobre HTTPS, comprimidos o modificados respecto a su forma original para distribución, protección de la licencia de productos, descarga o actualización o contenido que esté bajo el control directo del remitente (por ejemplo: elementos protegidos por contraseña o cifrados). Esos elementos y/ o anexos no están incluidos en este SLA. Compensaciones de SLA Compensación para la Protección Contra Virus Conocidos Si los sistemas del Cliente están infectados por un o más Virus en un único mes natural durante el periodo del contrato, IBM emitirá un crédito para lo siguiente (el que sea menor): (i) 100% del cargo mensual del servicio Web Antivirus o (ii) 10.000 dólares de Estados Unidos (o lo equivalente en moneda local). Dicho crédito sólo se aplica si el Cliente informó a IBM e IBM confirmó y registró que se ha pasado un Virus al Cliente a través del Servicio. Esta compensación no se aplica a cualquier auto-infección intencional por parte del Cliente. 3.4 Web URL Filtering Si el Cliente lo selecciona en un Pedido aplicable, IBM proporcionará Web URL Filtering para ayudar al Cliente a denegar el acceso de los usuarios a una página Web o accesorio de acuerdo con la política de restricción de acceso del Cliente. Web URL Filtering se limita al número de usuarios especificado en el Pedido. 3.4.1 Responsabilidades de IBM Actividad 1 - Inicialización y Notificación IBM proporcionará el acceso a Web URL Filtering a través de las direcciones IP desde las cuales el tráfico Web del Cliente se origina ( IPs de escaneo ). Los IPs de escaneo del Cliente se usarán para identificar su tráfico Web y para seleccionar sus valores específicos. IBM no realizará escaneos en archivos o contenido que no se originan de los IPs de escaneo del Cliente. Actividad 2 - Soporte Técnico y Continuo Durante el periodo del contrato, IBM hará lo siguiente: a. dirigir el contenido y los archivos de HTTP externo y FTP sobre HTTP que resultan de Solicitudes (incluyendo todos los anexos, macros o ejecutables) a través de Web URL Filtering; y b. denegar el acceso a un URL, página Web o accesorio cuando la política de restricción de acceso se aplique. En ese caso, IBM tratará de emitir al usuario una alerta automática acerca de la página Web o del URL inadecuado. 3.4.2 Responsabilidades del Cliente El Cliente acepta lo siguiente: INTC-7796-02 11/2008 Página 5 de 6
a. configurar Web URL Filtering para que incluya sus políticas de restricción de acceso, que deben basarse en categorías y en tipos de contenido; b. distribuir y crear sus políticas de restricción de acceso (basadas tanto en categorías como en tipos de contenido); c. implementar y mantener los valores de configuración necesarios para dirigir el tráfico externo a través de Web URL Filtering y d. asegurar que su tráfico interno de HTTP y FTP sobre HTTP no se dirija a través de Web URL Filtering. Si el servicio de Internet del Cliente exige una conexión directa y no mediante proxy, el Cliente es responsable de realizar los cambios necesarios en la infraestructura para facilitar la conexión directa. 4. Declaración de Limitación de Responsabilidad/ Garantía El Cliente comprende y acepta que IBM no ofrece ninguna garantía, expresa o implícita, ni asume ninguna responsabilidad jurídica por la exactitud, integridad o utilidad de cualquier información facilitada como parte del Servicio. 5. Otros Términos y Condiciones IBM se reserva el derecho de modificar los términos de esta Descripción de Servicio en cualquier momento. Si dicha modificación reduce el ámbito o nivel del Servicio que se está prestando (por ejemplo: eliminación de un Servicio prestado anteriormente o aumento del tiempo de Respuesta a Incidentes), IBM proporcionará un anuncio con por lo menos 30 días de antelación a través del portal Web IBM u otros medios electrónicos. INTC-7796-02 11/2008 Página 6 de 6