«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten.

Størrelse: px
Begynne med side:

Download "«SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten."

Transkript

1 Tjenestenivåprogram for Ariba Commerce Cloud-tjenester Tilgjengelighetsgaranti for tjenester Sikkerhet Diverse 1. Tilgjengelighetsgaranti for tjenester a. Bruk. Tilgjengelighetsgarantien for tjenester gjelder den aktuelle løsningen. «Løsning» eller «tjeneste» betyr og omfatter følgende produkter som kunden (eller «du») har inngått avtale om og betalt for i henhold til en kontrakt mellom deg og Ariba eller et annet SAP-selskap, og for det aktuelle datasenteret kunden bruker for å få tilgang til tjenestene som er oppført her: «SAP» betyr SAP-selskapet som du har inngått avtale med om tjenesten. b. Garanti. i. Prosent. Tjenesten vil være tilgjengelig 99,5 % av tiden, sju dager i uken, 24 timer i døgnet sett i forhold til en kalendermåned («Tilgjengelighetsgaranti for tjenester»). Tilgjengelighetsgarantien for tjenester på 99,5 % tilsvarer (= 0,995 * 60 * 24 * 365) minutter oppetid per år. ii. Krav ved manglende overholdelse. Hvis tjenesten ikke oppfyller tilgjengelighetsgarantien for tjenester, vil SAP kreditere kundens konto med det totale antallet kreditenheter som formelen nedenfor gir. Kunden kan benytte kreditenhetene som betaling for eventuelle fremtidige kjøp av tjenester fra SAP. (A) Beregning. Det totale antallet kreditenheter beregnes på følgende måte: Totalt antall kreditenheter = [Utilgjengelighetsperiode (i minutter avrundet opp)] X Faktisk årlig abonnementsavgift (pro rata per minutt for den relevante løsningen). «Utilgjengelighetsperiode» betyr tidsrommet da tjenesten ikke oppfylte tilgjengelighetsgarantien for tjenesten. Det er kun utilgjengeligheter som oppstår i datasenteret som brukes av kunden for abonnerte produkter, som vil telle mot beregningen av utilgjengelighetsperioden. «Kreditenhet». En kreditenhet representerer en valutaenhet i den samme valutaen som kunden benyttet til å betale SAP for den aktuelle løsningen, for eksempel Euro, norske kroner eller annen valuta. Én kreditenhet er lik en valutaenhet. Hvis for eksempel kunden har betalt i Euro, er én kreditenhet lik 1,00 Euro.

2 «Årsperiode» betyr en periode på tolv måneder som starter på årsdatoen for kundens abonnement på den aktuelle løsningen. Hvis for eksempel kunden inngår et toårig abonnement på en tjeneste som starter 1. januar 2015, er de to årsperiodene (a) 1. januar 2015 til 31. desember 2015, og (b) 1. januar 2016 til 31. desember «Årlig abonnementsavgift pro rata per minutt» betyr beløpet som kunden faktisk har betalt til SAP for den aktuelle tjenesten som samsvarer med den aktuelle årsperioden delt på (=60*24*365) minutter i året. Merk: Hvis kunden har lisensiert bestemte Aribaprogramvareprodukter før desember 2006, og har tilgang til Ariba Network som en rammeverktjeneste (Foundation Services) som en del av avgiftene for tekniske støttetjenester, blir avgiftene for tekniske støttetjenester brukt til beregning av den årlige abonnementsavgiften. c. Planlagt nedetid. Ved behov vil SAP planlegge nedetid for løsningen i forbindelse med rutinemessig vedlikehold eller systemoppgraderinger («Planlagt nedetid»). SAP skal iverksette forretningsmessig rimelige tiltak for å unngå vedlikehold og systemoppgraderinger i tidsrom med høyest trafikk. Vedlikehold og systemoppgraderinger blir vanligvis lagt til det såkalte «vedlikeholdsvinduet» lørdag til lørdag (i tidssonen Stillehavskysten, Pacific Time). SAP forbeholder seg retten til å utvide eller endre tidspunktene for vedlikeholdsvinduet. SAP skal iverksette forretningsmessig rimelige tiltak for å varsle kunder minst 72 timer før en planlagt nedetid. d. Utelatelser. Følgende blir ikke tatt med i beregningen av utilgjengelighetsperioden: (i) planlagt nedetid som er varslet kunden minst én virkedag før slik planlagt nedetid, (ii) utilgjengelighet som ikke skyldes SAP (feil forårsaket av faktorer som ligger utenfor SAPs direkte kontroll, for eksempel feil som skyldes utstyr eller programvare kontrollert av tredjepart), og (iii) utilgjengelighet som skyldes kundeforespørsler eller tilstander som kunden har godkjent på forhånd. Kunden er eneansvarlig for å ha tilfredsstillende kontroll med kundens dataoverføringer til tjenesten, for overvåking av slike overføringer og for å varsle SAP om eventuell manglende tilgang til tjenesten innen fem (5) dager fra begynnelsen av en slik hendelse. Kunden er eneansvarlig for å angi aktuelle databehandlings- og dataoverføringsparametere og for å kontrollere at alle inn- og utdata er nøyaktige og fullstendige. 2. Sikkerhetselementer Tjenesten inneholder følgende sikkerhetselementer: a. Fysisk sikkerhet. Tjenesten er enten under SAPs kontroll eller plassert eksternt hos tredjepart på en sikkert plassering. Tilgang til maskinvaren, programvaren og andre elementer som utgjør tjenesten, er begrenset til autorisert personale. SAP benytter servere med redundant-funksjoner for maksimal tilgjengelighet.

3 b. Nødgjenoppretting. Tjenesten benytter en nødgjenopprettingsplan slik at SAP kan oppfylle tilgjengelighetsgarantien for tjenester som angitt i dette tjenestenivåprogrammet (SLP, Service Level Program). c. Datasikkerhet. Transaksjoner som er utført ved hjelp av tjenesten, blir i første omgang lagret i en database for å unngå tap. Alle kundedata som ligger på systemene, blir sikkerhetskopiert daglig. Sikkerhetskopier lagres eksternt hos tredjepart på en sikkert plassering. Sikkerhetskopier omfatter kundens registrerings- og kontoinformasjon. Tjenesten gjennomgår periodisk, forebyggende vedlikehold. Dette forebyggende vedlikeholdet legges til tidsrom med minst mulig trafikk. Eventuelle transaksjonskøer må vente mens vedlikeholdet utføres, og behandlingen gjenopptas når vedlikeholdet er fullført. Kun organisasjonene som er involvert i en transaksjon, har tillatelse til å se transaksjonen, bortsett fra tilfeller der SAP blir bedt om å feilsøke et teknisk problem og må ha tilgang til et transaksjonsdokument. Aktuell [1] tjeneste kjører redundant-kopier av alle kritiske programvaredelsystemet relatert til transaksjonsruting. Slik redundans aktiverer failover ved en eventuell feil, slik av avbrudd i tjenesten holdes på et minimum. d. Tjenestesikkerhet. SAP implementerer kommersielt tilgjengelig sikkerhetsprogramvare, -maskinvare og -teknikker for å minimere og forhindre uautorisert bruk av løsningen. Dette omfatter brannmurer, programvare for oppdaging av inntrengere og overvåket bruk av løsningen. Tjenesten utfører også autentisering av interaktive brukerøkter. For økt sikkerhet bruker tjenesten HTTPS, som er HTTP over SSL (Secure Sockets Layer). SSLsikkerhetsprotokollen gir datakryptering, servergodkjenning, meldingsintegritet og valgfri klientgodkjenning for TCP/IP-tilkoblinger. Løsningens webservere bruker et digitalt serversertifikat for å aktivere SSL-tilkoblinger. e. Verifisering av revisor. Hva gjelder SAPs datasentre som er vert for tjenestene som allerede eksisterer på datoen angitt for dette dokumentet, blir forpliktelsene knyttet til tjenesten revidert minst én gang per år av en godkjent tredjepartsrevisor, for å verifisere SAPs håndtering av disse sikkerhetsforpliktelsene. Se WebTrust-sertifiseringen som tildelt til SAPs enhet Ariba. Eventuelle nye datasentre som skal være vert for tjenestene, vil bli inkludert av SAP i den neste planlagte revisjonen.

4 3. Diverse a. Tjenesteintegritet. Kunden samtykker til: (i) ikke å bruke en enhet, programvare eller teknikk som forstyrrer eller forsøke å forstyrre løsningens normale funksjon, (ii) ikke å legge ut eller sende innhold som inneholder virus, programfeil, cancelbots, dataorm, trojaner eller annet skadelig element til tjenesten, (iii) ikke å handle på en måte som utsetter tjenesten for en urimelig eller uforholdsmessig stor belastning slik at det påvirker andre brukere negativt, eller (iv) ikke å bruke en enhet eller teknologi som medfører gjentatte automatiske forsøk på å få tilgang til passordbeskyttede deler av tjenesten som kunden ikke har mottatt et gyldig passord til av Ariba eller SAP. Kunden har ikke tillatelse til å la tredjeparter bruke kundens passord uten forutgående skriftlig samtykke fra SAP. Kunden er også innforstått med at SAP ikke kan eller vil garantere at filer eller programvare fra andre produsenter enn SAP, av ethvert slag eller fra enhver kilde, som er tilgjengelig for nedlasting via løsningen, er fri for infeksjon eller virus, ormer, trojanere eller annen kode eller defekter som gir seg utslag i kontaminasjon eller destruktive egenskaper. Kunden erkjenner at SAP har rett til, men er ikke forpliktet til, å iverksette tiltak knyttet til bruken av tjenesten (inkludert, men ikke begrenset til å fjerne innhold eller avslå ruting av bestemte data) hvis SAP har rimelig grunn til å anta at slike tiltak er nødvendige for å overholde loven. b. Av hensyn til våre globale kunder er dette dokumentet oversatt til flere språk. Den engelske versjonen av denne avtalen skal styre dersom det oppstår en eventuell tvetydighet som følge av en slik oversettelse. c. BORTSETT FRA DEN UTTRYKTE TILGJENGELIGHETSGARANTIEN FOR TJENESTEN SOM ER FASTSATT I DEL 1, GIR DETTE DOKUMENTET (I) INGEN ANDRE ERKLÆRINGER ELLER GARANTIER KNYTTET TIL TILGANG, TILGJENGELIGHET ELLER BRUKERVENNLIGHET FOR LØSNINGEN, ei heller (II) REDUSERER, ENDRER ELLER OPPHEVER DET EVENTUELT ANDRE UTTRYKTE GARANTIER I SIGNERTE AVTALER MELLOM PARTENE. Kravene som er angitt i del 1, er kundens eneste krav, og SAPs eneansvar dersom garantiene angitt i del 1 ovenfor ikke oppfylles. [1] Hvis du bruker et lokalt produkt fra Ariba, og kjøper Hosting Services (vertstjenester) for at Ariba eller SAP skal være vert for en spesifikk implementering for deg, gjelder ikke denne setningen hvis Ariba/SAP utfører vertsoppgaven via SAPs underleverandør AT&T. AT&Tvertsmiljøet kjører ikke redundant-kopier av alle kritiske programvaredelsystemer, men tjenesten

5 vil likevel omfattes av prosentandelen angitt for tilgjengelighetsgarantien for tjenesten. For de fleste kunder som har slike vertstjenester, blir ikke AT&T benyttet. SLP 1. mars 2014