Dienstbeschrijving Toegang op Afstand Versie November 2013
©
2013 Copyright KPN Lokale Overheid
Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit dit document worden gereproduceerd, verspreid of toegankelijk gemaakt door middel van druk, (foto)kopie, database of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking.
Inhoudsopgave
Hoofdstuk 1. Inleiding
4
1.1 Aanleiding
4
1.2 Functionaliteit
4
1.3 Beheer
4
Hoofdstuk 2. Functionele beschrijving ToegangOpAfstand
5
2.1 Algemeen
5
2.2 Gebruikersomgeving
5
2.3 Gebruikersbeheer
5
2.4 Overzicht 2.4.1 Gebruikers 2.4.2 Authenticatiemiddelen 2.4.2.1. Gebruikersnaam/wachtwoord 2.4.2.2. Token 2.4.2.3. SMS-authenticatie 2.4.2.4. Smartcard of token met PKI-certificaat 2.4.3 Gebruikerssystemen 2.4.4 Internet 2.4.5 Toegangsportaal ToegangOpAfstand 2.4.6 Klantkoppeling 2.4.7 Klantinfrastructuur 2.4.7.1. Directory Server 2.4.8 Toepassingen 2.4.8.1. Standaard Toepassingen 2.4.8.2. Niet-Standaard Toepassingen
5 6 6 7 7 7 7 8 8 8 9 9 9 10 10 11
Hoofdstuk 3. Aansluitproces
12
Hoofdstuk 4. Beveiligings-maatregelen
13
4.1 Network Access Control
13
4.2 Logging
13
4.3 Monitoring
13
4.4 Endpoint Security 4.4.1 Host Checker 4.4.2 Secure Virtual Workspace 4.4.3 Cache Cleaner
14 14 14 14
© KPN Lokale Overheid
2 van 30
Hoofdstuk 5. Werkplek Componenten 5.1 Installer Service
Hoofdstuk 6. Systeemvereisten
15 16
17
6.1 Eisen aan de klantinfrastructuur en –systemen
17
6.2 Eisen aan de systemen van eindgebruikers 6.2.1 Web & File Browsing 6.2.2 Secure Terminal Access 6.2.3 Network Connect 6.2.4 Web- en file-browsing op mobiele apparaten
17 17 18 19 20
Hoofdstuk 7. Service
21
7.1 Service levels
21
7.2 Kwaliteitsafspraken
21
Hoofdstuk 8. Tariefstructuur, facturering en betaling
24
8.1 Tariefstructuur 8.1.1 Eenmalige kosten 8.1.2 Maandelijkse kosten 8.1.3 Wijzigingen 8.1.4 Kosten maatwerk
24 24 24 24 24
8.2 Facturering 8.2.1 Eenmalige kosten 8.2.2 Maandelijkse kosten
25 25 25
8.3 Betaling
25
8.4 Indexering
25
8.5 Looptijd contract
25
8.6 Opzegging contract
25
8.7 Ontbindende voorwaarden
25
Hoofdstuk 9. Voorwaarden
26
9.1 Algemene voorwaarden KPN Lokale Overheid
26
9.2 Wijzigingen in de dienst
26
9.3 De dienst ToegangOpAfstand is alleen voor eigen gebruik
26
Hoofdstuk 10. Informatie en communicatie
27
10.1 KPN Lokale Overheid Servicedesk
27
10.2 Escalatie
27
10.3 Documentatie
27
Bijlage 1. Begrippenlijst
© KPN Lokale Overheid
28
3 van 30
Hoofdstuk 1. Inleiding
Deze dienstbeschrijving geeft uitgebreide informatie over de dienst Toegang op Afstand. In dit document wordt met “Opdrachtgever” bedoeld de klant van KPN Lokale Overheid en met “Opdrachtnemer” wordt KPN Lokale Overheid bedoeld. Opdrachtgever en Opdrachtnemer zijn de contractpartijen voor Toegang op Afstand. 1.1 Aanleiding Steeds meer organisaties bieden medewerkers de mogelijkheid tot telewerken. Hierbij moeten bewuste keuzes worden gemaakt ten aanzien van beveiliging, beheer en gebruikersgemak. Organisaties moeten bepalen welke informatie en functionaliteiten beschikbaar moeten en mogen zijn voor telewerkers en onder welke voorwaarden. KPN Lokale Overheid biedt de dienst Toegang op Afstand, waarmee organisaties op een verantwoorde wijze telewerken mogelijk maken. 1.2 Functionaliteit De dienst Toegang op Afstand zorgt voor een veilige toegang tot uw kantoor- en andere applicaties voor thuisof telewerkers. De dienst is gebaseerd op SSL-VPN-technologie, welke uw data, applicaties en netwerk(en) veilig ontsluit via internet. Voor de authenticatie van de gebruiker kunt u kiezen uit verschillende mogelijkheden: PKI-certificaten (op smartcard of USB-token), RSA-tokens, SMS-authenticatie en gebruikersnaam/wachtwoord. Ook voor de autorisatie van gebruikers zijn er meerdere mogelijkheden: u kunt kiezen voor de LDAP-directory van KPN Lokale Overheid voor het beheren van uw gebruikers of u kunt gebruikmaken van een koppeling met de directory van uw eigen organisatie. 1.3 Beheer Met de keuze voor de dienst Toegang op Afstand besteedt u het technisch beheer van uw telewerkvoorziening volledig uit. Hierdoor is de continuïteit en stabiliteit van deze voorziening maximaal geborgd. De afschrijving van de apparatuur is geen issue voor de klant; KPN Lokale Overheid is verantwoordelijk voor tijdige vervanging van de apparatuur om de dienstverlening op peil te houden.
© KPN Lokale Overheid
4 van 30
Hoofdstuk 2. Functionele beschrijving Toegang op Afstand
2.1 Algemeen De dienst Toegang op Afstand is vanuit internet benaderbaar via diverse web-portalen. De dienst voorziet in de veilige toegang van thuis- en telewerkers tot de kantooromgeving van een KPN Lokale Overheid-klant. Door het gebruik van SSL ‘tunneling’ kan gevoelige data over de publieke infrastructuur (internet) worden getransporteerd zonder het gevaar van ‘meelezen’. Toegang op Afstand maakt gebruik van een JAVA applet op het systeem van de gebruiker, welke na authenticatie en autorisatie alle overige sessies op het systeem van de gebruiker sluit tijdens de periode dat de SSL tunnel actief is. De tunnel wordt opgebouwd op basis van SSL/TLS, waarna authenticatie/autorisatie plaatsvindt van de gebruiker. Voor de authenticatie zijn diverse mogelijkheden beschikbaar namelijk: 1) Gebruikersnaam/wachtwoord; 2) One-Time-Password (OTP) via token of SMS; 3) PKI token (icm PIN). Voor de autorisatie van de gebruiker dient deze in een directory geregistreerd te zijn die wordt aangesloten op de dienst. Hiervoor zijn er twee mogelijkheden: 1) de directory van de klant; 2) de LDAP-directory van KPN Lokale Overheid. 2.2 Gebruikersomgeving De gebruiker kan van de dienst gebruikmaken met een standaard werkplekomgeving of mobiel apparaat met toegang tot het internet (kabel, ADSL, etc). Deze werkplek dient te zijn voorzien van een modern Windows, Mac of Linux operating systeem en een recente internet browser. Bij het gebruik van een PKI token dient een reader aangesloten te kunnen worden op een USB-poort en dient zogenaamde middleware geïnstalleerd te worden. Het PKI token is hetzelfde dat wordt gebruikt voor (onder andere) elektronisch bankieren bij de BNG (PKI Klasse X); gebruikers die al over een dergelijk token beschikken kunnen deze ook gebruiken voor Toegang op Afstand. 2.3 Gebruikersbeheer Het gebruikersbeheer kan door een daartoe aangewezen medewerker van de klant zelf worden uitgevoerd. De gebruikers worden ingevoerd en beheerd in de LDAP-server van KPN Lokale Overheid via een eenvoudige webinterface. Hiervoor is geen specifieke kennis, training of ervaring nodig. Het is ook mogelijk om voor het gebruikersbeheer gebruik te maken van de directory (bijvoorbeeld Microsoft Active Directory, Novell eDirectory, Sun Java Systems Directory Server of OpenLDAP) in uw eigen organisatie. 2.4 Overzicht Bij gebruik van Toegang op Afstand spelen de volgende elementen een rol: •
Gebruikers
•
Authenticatiemiddelen
© KPN Lokale Overheid
5 van 30
•
Gebruikerssystemen
•
Internet
•
SSL Telewerken dienst
•
Klantkoppeling
•
Klantinfrastructuur
In de volgende paragrafen worden deze elementen en de relaties daartussen beschreven.
Figuur 1: Overzicht van elementen in Toegang op Afstand 2.4.1 Gebruikers Gebruikers zijn normaal gesproken werknemers van uw organisatie, maar kunnen bijvoorbeeld ook partners en leveranciers zijn. De dienst Toegang op Afstand kan voor authenticatie/autorisatie (omwille van toegang tot data, applicaties en netwerken) van genoemden gebruikmaken van diverse authenticatie- en autorisatiebronnen (zie paragraaf “Directory Server”). 2.4.2 Authenticatiemiddelen Authenticatiemiddelen worden gebruikt door uw organisatie om werknemers authentiek te helpen identificeren aan de dienst en achterliggende, te ontsluiten data, applicaties en netwerken. Naast gebruikersnaam/wachtwoord is sterke authenticatie mogelijk op basis van een one-time-password (OTP) via een RSA-token of SMS of op basis van een smartcard of token met PKI-certificaat.
© KPN Lokale Overheid
6 van 30
2.4.2.1. Gebruikersnaam/wachtwoord De basis authenticatiemethode voor de dienst is gebruikersnaam/wachtwoord. De opgegeven identiteit wordt gevalideerd met behulp van een standaard authenticatie- en autorisatiebron (zie paragraaf “Directory Server”). Het gebruik van slechts een gebruikersnaam/wachtwoord voor authenticatie wordt niet als sterke authenticatie gezien. 2.4.2.2. Token De token is een klassieke vorm van sterke authenticatie, en wel met een zeer lage client footprint (geen middleware nodig). Anders dan bij smartcards met certificaten, zijn hierbij voor correct functioneren geen additionele middelen (hardware, software) op het gebruikerssysteem noodzakelijk. Het gebruik van tokens binnen Toegang op Afstand valt samen met het gebruik van gebruikersnaam en wachtwoord, dit ten behoeve van Single Sign-On doeleinden. De token laat bij activatie een code zien (ook wel One-Time Password of OTP genoemd) die eenmalig kan worden gebruikt ten behoeve van authenticatie. Samen met een PIN-code en gebruikersnaam/wachtwoord zal deze code door gebruikers worden ingevoerd in het loginscherm van de dienst.
Figuur 2: Token 2.4.2.3. SMS-authenticatie SMS-Authenticatie lijkt op Token-Authenticatie, met als verschil dat de code voor authenticatie (het One-Time Password) per SMS-bericht wordt verstuurd naar de mobiele telefoon van de eindgebruiker. Authenticeren door middel van SMS-Authenticatie geschiedt door middel van het invoeren van gebruikersnaam/wachtwoord plus de per SMS-bericht ontvangen, eenmalig te gebruiken code. In tegenstelling tot authenticatie met behulp van een token is hierbij geen PIN-code vereist. Deze PIN-code is namelijk al ingegeven bij het unlocken ofwel het activeren van de mobiele telefoon. Een groot voordeel van SMS-Authenticatie is het bieden van sterke authenticatie zonder dat distributie van sterke authenticatiemiddelen, zoals smartcards of tokens, vereist is. Een vereiste voor het gebruik van SMS-Authenticatie is de beschikbaarheid van een mobiel telefoonnummer (als directory-attribuut) per gebruiker in de door Toegang op Afstand gebruikte authenticatie- en autorisatiebron (zie paragraaf “Directory Server”).
Figuur 3: SMS-Authenticatie 2.4.2.4. Smartcard of token met PKI-certificaat De authenticatiemethode op basis van een smartcard of token met PKI-certificaat biedt sterke authenticatie op basis van een chip met daarop een X.509 certificaat, beschermd door middel van een PIN-code. Samen met Kerberos ondersteuning biedt dit ideale Single Sign-On mogelijkheden binnen omgevingen gebaseerd op Kerberos-authenticatie. Bij deze authenticatiemethode is een smartcardlezer alsmede software (driver, middleware) op het gebruikerssysteem noodzakelijk. Bij authenticatie op basis van een smartcard met daarop
© KPN Lokale Overheid
7 van 30
een certificaat vindt controle plaats op geldigheid wat betreft de levensduur van het certificaat, of het certificaat al dan niet is ingetrokken (CRL/OCSP). En op basis van of het aangeboden certificaat integer is en wordt vertrouwd door de authenticatiebron, in dit geval de Toegang op Afstand dienst (waarin het certificaat van de relevante CA’s is geïmporteerd). Informatie uit de gebruikte certificaten wordt ter beschikking gesteld aan achterliggende, te ontsluiten applicaties. Voor meer informatie over smartcards en certificaten, zie de beschrijving van de PKI-diensten van KPN Lokale Overheid op http:// kpnlokaleoverheid.nl. Hier staan tevens additionele voordelen van smartcardgebruik beschreven, zoals multifunctionele inzetbaarheid. Smartcards combineren diverse soorten informatiedragers in slechts één pasje (contactchip, contactloze chip/RFID, magneetstrip, foto, en tekst). De smartcard is volgens KPN Lokale Overheid de manier om logische en fysieke toegangsbeveiliging te integreren.
Figuur 4: Smartcard 2.4.3 Gebruikerssystemen Gebruikerssystemen zijn systemen gebruikt door gebruikers om een verbinding met de dienst en achterliggende, ontsloten data, applicaties en netwerken op te zetten en zijn van de volgende typen, mits voorzien van een webbrowser: •
Desktop
•
Laptop
•
PDA
•
SmartPhone
Voor een exact overzicht van ondersteunde typen gebruikerssystemen en de daarop aanwezige operating systems en webbrowsers, zie hoofdstuk 4. Beheer van gebruikerssystemen valt buiten de Toegang op Afstand dienstverlening. Wel wordt ondersteuning geboden voor specifieke Werkplek Componenten die impact hebben op gebruikerssystemen. Zie voor meer informatie het hoofdstuk 5 in dit document. 2.4.4 Internet Toegang tot de dienst en achterliggende, ontsloten data, applicaties en netwerken voor gebruikers geschiedt via het internet. Het beheer van het internet valt buiten de dienstverlening. Communicatie over het internet, tussen het gebruikerssysteem en de dienst, wordt versleuteld. De sterkte van deze versleuteling voldoet aan de eisen en wensen van deze tijd. 2.4.5 Toegangsportaal Het Toegangsportaal is het punt waarop alle te ontsluiten data, applicaties en netwerken aan de gebruiker gepresenteerd worden. Het platform regelt authenticatie, autorisatie en versleuteling van de verbindingen tussen gebruikers en applicaties. Het Toegangsportaal kent een generieke inlogpagina in KPN Lokale Overheid-huisstijl (zie https://sslvpn.gemnet.nl); indien gewenst kan een klantspecifieke inlogpagina in eigen huisstijl en op een eigen URL worden gemaakt. Na inloggen komt de gebruiker in de Virtuele Klantomgeving van zijn eigen organisatie. Deze Virtuele Klantomgeving biedt een webportaal (menuscherm), gepresenteerd in de huisstijl van de klant, bestaande uit hyperlinks naar geautoriseerde, te ontsluiten applicaties per gebruikersrol.
© KPN Lokale Overheid
8 van 30
Naast toegang tot applicaties via het Toegangsportaal is het tevens mogelijk om direct een SSL VPN-verbinding (Netwerk Tunnel) op te zetten met een door de Toegang op Afstand dienst ontsloten netwerk van de klant. Hiervoor is dan slechts de SSL-VPN Client nodig, die automatisch wordt geïnstalleerd bij eerste keer aanmelden.
Figuur 5: Inlogpagina en Virtuele Klantomgeving Op het Toegangsportaal worden binnen de Virtuele Klantomgeving, volgens specificatie van de klant, een aantal gebruikersrollen gedefinieerd welke enerzijds worden gekoppeld aan te ontsluiten data, applicaties en netwerken en anderzijds worden gekoppeld aan één of meerdere rechten- of gebruikersgroepen binnen de Directory Server. Zie tevens paragraaf “Directory Server” in dit document. Op deze wijze kan de klant zelf volgens reguliere methoden gebruikersbeheer uitvoeren. 2.4.6 Klantkoppeling Voor gebruik van Toegang op Afstand is een verbinding tussen de dienst en de te ontsluiten data, applicaties en netwerken (klantinfrastructuur) vereist. Deze verbinding wordt gerealiseerd door een speciale koppeling over het besloten Gemnet- netwerk. 2.4.7 Klantinfrastructuur De klantinfrastructuur bestaat uit data, applicaties en netwerken die worden ontsloten door de Toegang op Afstand dienst. Voor de dienst zijn de belangrijkste componenten van de klantinfrastructuur de Directory Server en de Toepassingen. 2.4.7.1. Directory Server Standaard wordt de dienst gekoppeld met de LDAP-directory van KPN Lokale Overheid; hierin kan de klant de gebruikers opvoeren en autoriseren voor de dienst. Echter, als Directory Server kan ook een bestaande, centrale gebruikersdatabase van de klant, welke is gebaseerd op LDAP, zoals Microsoft Active Directory, Novell eDirectory, Sun Java Systems Directory Server of OpenLDAP worden ingezet. De dienst gebruikt deze gebruikersdatabase om gebruikers te authenticeren en te autoriseren voor de te ontsluiten data, applicaties en netwerken. De Directory Server wordt tevens als authenticatie- en/of autorisatiebron gebruikt wanneer gebruikers authenticeren met sterke authenticatiemiddelen. Ongeacht of gebruik wordt gemaakt van de LDAP-directory van KPN Lokale Overheid of van een eigen Directory Server, de klant voert zelf gebruikersbeheer uit volgens gangbare methoden. Ook bepaalt de klant zelf, door middel van het koppelen van gebruikers aan rechtengroepen, welke gebruikers toegang hebben tot de dienst en achterliggende, te ontsluiten data, applicaties en netwerken. De rechtengroepen binnen de Directory Server zijn gekoppeld aan gebruikersrollen binnen de dienst, die door de klant zijn gedefinieerd en door KPN Lokale Overheid zijn opgevoerd. Omwille van het authenticeren en autoriseren van gebruikers door de dienst (gebruikmakende van de Directory Server van de klant) moet in de Directory Server een speciaal service account met leesrechten worden aangemaakt en toegewezen worden aan de Toegang op Afstand dienst van KPN Lokale Overheid.
© KPN Lokale Overheid
9 van 30
2.4.8 Toepassingen Binnen de Toegang op Afstand dienst wordt een tweetal toepassingen onderscheiden, namelijk: •
Standaard Toepassingen
•
Niet-Standaard Toepassingen
2.4.8.1. Standaard Toepassingen Tot Standaard Toepassingen behoren webapplicaties en remote thin-clients of webfolders (Terminal Services, File Shares) die standaard door de dienst worden ondersteund, alsmede netwerkpaden of complete netwerken voor specifieke client/server applicaties. Voor standaard webapplicaties en remote thin-clients of web folders is Single Sign-On mogelijk mits deze Standaard Toepassingen dezelfde authenticatie- en autorisatiebron (zie paragraaf “Directory Server”) gebruiken als de authenticatie- en autorisatiebron die wordt gebruikt om toegang tot de dienst te krijgen. Single-Sign On wordt op deze wijze gerealiseerd door middel van het doorsturen van de eerder aangeboden gebruikersnaam en het wachtwoord of PKI-authenticatie naar de desbetreffende Standaard Toepassing. Standaard Toepassingen zijn: •
Lotus iNotes
Standaard webapplicatie •
Microsoft Outlook Web Access
Standaard webapplicatie •
Microsoft SharePoint
Standaard webapplicatie •
Applicatie Tunnel (Secure Application Manager)
Zorgt voor specifieke netwerkpaden ten behoeve van specifieke client/server TCP/IP (alsmede UDP/IP) communicatie zoals geldt voor applicaties als Microsoft Outlook, SAP, FTP clients, SSH clients, etc. •
Netwerk Tunnel (Network Connect)
Ontsluit een netwerk via TCP/IP (alsmede UDP/IP) in zijn geheel door middel van SSL VPN. Zie tevens het hoofdstuk 6.2.3. •
Terminal Services
Naast ontsluiting van (en Single Sign-On tot) de webinterfaces van Microsoft Terminal Services en Citrix, is er ook een remote thin-client beschikbaar welke in de webbrowser draait. Op deze wijze is geen speciale client software nodig om toegang te krijgen tot applicaties ontsloten via Terminal Services. •
File Share
De inhoud van file shares (bijvoorbeeld home directories) wordt door middel van de webbrowser op het gebruikerssysteem aan de gebruiker gepresenteerd via webfolders. De eigenlijke locaties van deze file shares zijn servers binnen de klantinfrastructuur. Doordat direct via een webbrowser veilige toegang tot file shares kan worden verschaft is er geen noodzaak voor het opzetten van een Netwerk Tunnel naar de desbetreffende klantinfrastructuur voor deze Standaard Toepassing.
© KPN Lokale Overheid
10 van 30
Figuur 6: Alle bedrijfsdata, -applicaties en -netwerken toegankelijk via één centraal, beveiligd platform 2.4.8.2. Niet-Standaard Toepassingen Onder Niet-Standaard Toepassingen worden webapplicaties verstaan anders dan de in de Standaard Toepassingen genoemde webapplicaties. Voor Niet-Standaard Toepassingen geldt een integratietraject per toepassing (ten behoeve van ontsluiting en Single Sign-On) op basis van nacalculatie. Hierbij moet worden opgemerkt dat dergelijke integratietrajecten meestal vlot verlopen.
© KPN Lokale Overheid
11 van 30
Hoofdstuk 3. Aansluitproces
Toegang op Afstand is per direct leverbaar. Om de dienst perfect inzetbaar te maken voor uw organisatie dient het aanvraagformulier volledig te worden ingevuld. In het formulier komen de volgende onderdelen aan de orde: •
Aantal gebruikers
•
Keuze gebruikersdatabase
•
Authenticatiemethode
•
Toe te passen huisstijl
•
Te ontsluiten bronnen
•
Instellingen Host Checker (optioneel)
•
Instellingen Secure Virtual workspace (optioneel)
© KPN Lokale Overheid
12 van 30
Hoofdstuk 4. Beveiligingsmaatregelen
Toegang op Afstand is voorzien van een aantal beveiligingsmaatregelen verdeeld over diverse categorieën, zoals Authenticatie (zie hoofdstuk “ Authenticatiemiddelen”), Autorisatie (zie paragraven “Toegangsportaal” en “Directory Server”), Network Access Control, Logging, Monitoring en Endpoint Security. 4.1 Network Access Control Gebruikers maken verbinding met de door Toegang op Afstand ontsloten klantinfrastructuur door middel van een SSL VPN tunnel. Als extra veiligheidsmaatregel kan worden gespecificeerd welke componenten binnen de ontsloten klantinfrastructuur beschikbaar worden gesteld aan gebruikers. Toegang op Afstand effectueert deze specificatie door middel van Network Access Control-functionaliteit en biedt per gebruikersrol wel of geen toegang tot bepaalde data, applicaties en netwerken binnen de door Toegang op Afstand ontsloten klantinfrastructuur. 4.2 Logging Door middel van de Logging functionaliteit binnen Toegang op Afstand wordt voor de klant gebruikers specifieke informatie verzameld en bewaard voor rapportage- alsmede facturatiedoeleinden. Deze informatie bevat onder andere: •
Gebruikersidentiteit
•
Geslaagde aanmeldpogingen
•
Mislukte aanmeldpogingen
•
Hoeveelheid netwerkverkeer
•
Gebruikerssessies (starttijd, stoptijd)
•
Netwerkeigenschappen (IP adres, verbinding)
•
Administratieve handelingen beheerders
Tevens wordt informatie over gebeurtenissen verzameld die rechtstreeks of indirect gerelateerd zijn aan een gebruikerssessie of aan de daarbij betrokken componenten binnen de dienst. Logging geschiedt op een detailniveau vereist voor audits en certificeringen. 4.3 Monitoring Alle componenten binnen de dienst worden 24x7 bewaakt op correct functioneren. Fout of verdacht gedrag per component wordt automatisch gelogd en tevens op basis daarvan notificaties verstuurd naar het op dat moment dienstdoende personeel voor het uitvoeren van nadere inspecties en het zo nodig ondernemen van verdere acties of hersteloperaties.
© KPN Lokale Overheid
13 van 30
4.4 Endpoint Security Toegang op Afstand biedt optionele Endpoint Security functionaliteit ten behoeve van controle en beveiliging van gebruikerssystemen. Dit om de vertrouwdheidstatus van een gebruikerssysteem te kunnen vaststellen (valt deze bijvoorbeeld onder het beleid van de klant?). In deze paragraaf worden de Endpoint Security componenten van de dienst nader beschreven. 4.4.1 Host Checker De Host Checker component controleert het gebruikerssysteem op de volgende zaken: •
Systeem Identiteit •
Registry Instelling
•
Bestand Controle
•
Machine Certificaat
Heeft het systeem een bepaalde registry instelling? Heeft het systeem lokaal een bestand met bepaalde eigenschappen? Is het systeem voorzien van een bepaald machine certificaat? •
Systeem Status •
Is Anti-Virus software: Aanwezig, geactiveerd, up-to-date?
•
Is een Personal Firewall: Aanwezig, geactiveerd?
Wanneer deze controles falen wordt er voor gekozen om bepaalde data, applicaties en netwerken niet beschikbaar te stellen voor gebruikers, of om de sessie te beëindigen en wel volgens specificaties van de klant. 4.4.2 Secure Virtual Workspace Met de optie Secure Virtual Workspace is het mogelijk om een gebruikerssessie te virtualiseren en te isoleren. Hierdoor wordt het onmogelijk voor lokaal geïnstalleerde software om sessie-data te kopiëren. Data die tijdens de sessie wordt vergaard en lokaal op schijf of in de registry moet worden opgeslagen wordt versleuteld. Dit geschiedt door middel van creatie van een virtueel bestandssysteem en een virtuele registry. Na beëindiging van de sessie wordt alle gerelateerde data verwijderd van, of versleuteld achtergelaten op, het gebruikerssysteem. Secure Virtual Workspace volgt de US Department of Defense 5220.M Cleaning and Sanitization Standard. 4.4.3 Cache Cleaner De Cache Cleaner verwijdert na de gebruikerssessie alle gerelateerde, lokaal opgeslagen data, inclusief tijdelijk opgeslagen documenten die online zijn ingekeken, alsmede formulier-data en opgeslagen adressen van websites (browser history). Tevens zorgt de Cache Cleaner ervoor dat er geen gebruikersnamen of wachtwoorden, gebruikt tijdens de sessie, worden opgeslagen door de webbrowser.
© KPN Lokale Overheid
14 van 30
Hoofdstuk 5. Werkplek Componenten
Werkplek Componenten worden gebruikt om in bepaalde Toegang op Afstand functionaliteit op Microsoft Windows gebruikerssystemen te kunnen voorzien. En om Microsoft Windows gebruikerssystemen in staat te stellen om bepaalde typen verbindingen te initiëren en achterliggende, ontsloten data, applicaties en netwerken. Werkplek Componenten worden, indien nodig, automatisch geïnstalleerd door de dienst.
Naam
Functie
Host Checker
Controleert de identiteit en de status van het gebruikerssysteem
Secure Virtual Workspace
Virtualiseert en isoleert de gebruikerssessie
Cache Cleaner
Verwijdert tijdelijke bestanden na afloop van een gebruikerssessie
Secure Application Manager
TCP/IP Proxy (Port Forwarding)
Network Connect
SSL VPN Client
Terminal Services
Ondersteuning voor Terminal Services toepassingen
Tabel 1: Overzicht Werkplek Componenten Voor installatie en uitvoer van Werkplek Componenten zijn bepaalde, minimale rechten per gebruiker benodigd, voor gebruikerssystemen gebaseerd op Microsoft Windows. Informatie over overige typen (anders dan Microsoft Windows) gebruikerssystemen is op navraag beschikbaar bij KPN Lokale Overheid. Ondersteuning voor Linux en Mac OS is mogelijk, zij het in beperkte mate. ActiveX
ActiveX
Java
Java
Rechten
Rechten
Rechten
Rechten
Installatie
Uitvoer
Installatie
Uitvoer
Host Checker
Restricted User
Restricted User
Restricted User
Restricted User
Secure Virtual Workspace
Restricted User
Restricted User
Restricted User
Restricted User
Cache Cleaner
Restricted User
Restricted User
Restricted User
Restricted User
Secure Application Manager
Administrator
Power User
Administrator
Restricted User
Network Connect
Administrator
Power User
Administrator
Power User
Terminal Services
Power User
Restricted User
Restricted User
Restricted User
Naam
Tabel 2: Overzicht benodigde rechten Werkplek Componenten op Microsoft Windows gebruikerssystemen
© KPN Lokale Overheid
15 van 30
KPN Lokale Overheid kan op verzoek assisteren bij integratie van Werkplek Componenten op werkplekken van de klant. Echter de klant is zelf verantwoordelijk voor de integratie. 5.1 Installer Service Eenmalig kan, indien wenselijk, een Installer Service worden gedistribueerd naar Microsoft Windows gebruikerssystemen. De Installer Service die op Microsoft Windows draait als service, gebruikmakende van Administrator-rechten, draagt zorg voor installatie en deels ook voor uitvoer van Werkplek Componenten. Dit heeft als gevolg dat geen van de Werkplek Componenten, zowel wat installatie als wat uitvoer betreft, nog langer Administrator- of Power User-rechten benodigen en voldoende hebben aan Restricted User-rechten. De Installer Service kan, bijvoorbeeld door middel van Microsoft Systems Management Services, van te voren worden gedistribueerd naar Microsoft Windows gebruikerssystemen.
© KPN Lokale Overheid
16 van 30
Hoofdstuk 6. Systeemvereisten
In dit hoofdstuk wordt beschreven aan welke eisen de betrokken systemen en infrastructuur moeten voldoen voor een goede werking van de dienst. Het gaat hierbij enerzijds om de klantinfrastructuur en –systemen en anderzijds om de client-PC’s vanwaar de verbinding wordt opgezet. 6.1 Eisen aan de klantinfrastructuur en –systemen De klantsystemen die bereikbaar moeten zijn voor de gebruikers van de Toegang op Afstand dienst dienen vanaf het Gemnet- netwerk benaderd te kunnen worden. Dit gebeurt op basis van de door KPN Lokale Overheid toegewezen IP-adressen. Eventueel kan hierbij gebruik worden gemaakt van IP-adresvertaling of inzet van een extra fysieke netwerkpoort. Al het verkeer afkomstig van de centrale systemen van de dienst en van de eindgebruikers heeft source-adressen in de reeks 10.250.224.0/20. Deze reeks dient daarom in de klantinfrastructuur naar de Gemnet- router gerouteerd te worden. 6.2 Eisen aan de systemen van eindgebruikers Toegang op Afstand is een web-based dienst en wordt gestart vanaf een browser scherm op een client PC. De ondersteunde platforms voor client-PC’s worden hieronder beschreven, hierbij wordt onderscheid gemaakt tussen de beschikbare functionaliteiten van de dienst. Er wordt gebruik gemaakt van de termen “qualified platform” en “compatible platform”. De platforms in de “qualified platform” categorie zijn voor de betreffende release systematisch getest door de leverancier. De platforms in de “compatible platforms” categorie zijn niet systematisch getest voor de betreffende release, maar zullen naar verwachting (gebaseerd op testen bij eerdere releases en kennis van de platforms) gewoon werken en worden volledig ondersteund. 6.2.1 Web & File Browsing Voor de functionaliteit van web- en file-browsing worden de volgende platforms door de leverancier aangemerkt als “Qualified platforms”:
Platform
Operating System: Browser and Java Environment
Windows
•
XP Professional SP2 32 bit: Internet Explorer 6.0, Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise 32 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise 64 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise SP1 32 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise SP1 64 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Mac OS X 10.5.0: Safari 3.0.Sun JRE 6
•
Mac OS X 10.4.3: Safari 2.0. Sun JRE 5
•
Mac OS X 10.3.2: Safari 1.1. Sun JRE 5
Mac
Linux
•
OpenSuse 10.3: Firefox 2.0.Sun JRE 6
•
Ubuntu 7.10: Firefox 2.0.Sun JRE 6
© KPN Lokale Overheid
17 van 30
Voor de functionaliteit van web- en file-browsing worden de volgende platforms door de leverancier aangemerkt als “Compatible platforms”:
Platform
Operating System
Browser and Java Environment
Windows
•
XP Professional SP2 32 bit: Internet Explorer 6.0, Internet
•
Internet Explorer 7.0
Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
(Wherever applicable)
Vista Enterprise 32 bit: Internet Explorer 7.0 and Firefox
•
Firefox 2.0
2.0.Sun JRE 6
•
Internet Explorer 6.0
Vista Enterprise 64 bit: Internet Explorer 7.0 and Firefox
•
(Wherever-applicable)
2.0.Sun JRE 6
•
Sun JRE 5/1.5.07 and above
Vista Enterprise SP1 32 bit: Internet Explorer 7.0 and
•
Microsoft JVM – for Windows 2000
•
Safari 1.0 and above
•
Firefox 1.5 and above
•
Mozilla 2.0 and above
• • •
Firefox 2.0.Sun JRE 6 •
Vista Enterprise SP1 64 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
Mac
Linux
Solaris
•
Mac OS X 10.5.0: Safari 3.0.Sun JRE 6
•
Mac OS X 10.4.3: Safari 2.0. Sun JRE 5
•
Mac OS X 10.3.2: Safari 1.1. Sun JRE 5
•
OpenSuse 10.3: Firefox 2.0.Sun JRE 6
•
Ubuntu 7.10: Firefox 2.0.Sun JRE 6
•
Solaris 10
6.2.2 Secure Terminal Access Voor de functionaliteit van Secure Terminal Access (RDP-client als JAVA-applet in de browser) worden de volgende platforms door de leverancier aangemerkt als “Qualified platforms”:
Platform
Operating System
Windows
•
XP Professional SP2 32 bit: Internet Explorer 6.0, Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise 32 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise 64 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise SP1 32 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise SP1 64 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Mac OS X 10.5.0: Safari 3.0.Sun JRE 6
•
Mac OS X 10.4.3: Safari 2.0. Sun JRE 5
•
Mac OS X 10.3.2: Safari 1.1. Sun JRE 5
•
OpenSuse 10.3: Firefox 2.0.Sun JRE 6
•
Ubuntu 7.10: Firefox 2.0.Sun JRE 6
Mac
Linux
© KPN Lokale Overheid
18 van 30
Voor de functionaliteit van Secure Terminal Access (RDP-client als JAVA-applet in de browser) worden de volgende platforms door de leverancier aangemerkt als “Compatible platforms”: Platform
Operating System
Browser and Java Environment
Windows
•
Vista Ultimate No SP and SP1, 32 bit and 64 bit
•
Internet Explorer 7.0 (Wherever applicable)
•
Vista Business No SP and SP1, 32 bit and 64 bit
•
Firefox 2.0
•
Vista Home Basic No SP and SP1, 32 bit and 64 bit
•
Internet Explorer 6.0 (Wherever-applicable)
•
Vista Home Premium No SP and SP1, 32 bit and 64 bit
•
Sun JRE 5/1.5.07 and above
•
XP Professional SP3, 32 bit and 64 bit
•
Microsoft JVM – for Windows 2000
•
XP Professional SP2 64 bit
•
2000 Professional SP4
•
XP Home Edition SP2
•
XP Media Center 2005
•
Windows 2003 server SP2, 32bit and 64 bit
Mac
Mac OS X 10.2.8
•
Safari 1.0 and above
Linux
OpenSuse 10.1
•
Firefox 1.5 and above
6.2.3 Network Connect Voor de functionaliteit van Network Connect (VPN-verbinding naar een netwerk obv gepushte client) worden de volgende platforms door de leverancier aangemerkt als “Qualified platforms”:
Platform
Operating System
Windows
•
XP Professional SP2 32 bit: Internet Explorer 6.0, Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise 32 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise 64 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise SP1 32 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Vista Enterprise SP1 64 bit: Internet Explorer 7.0 and Firefox 2.0.Sun JRE 6
•
Mac OS X 10.5.0: Safari 3.0.Sun JRE 6
•
Mac OS X 10.4.3: Safari 2.0. Sun JRE 5
•
Mac OS X 10.3.2: Safari 1.1. Sun JRE 5
•
OpenSuse 10.3: Firefox 2.0.Sun JRE 6
•
Ubuntu 7.10: Firefox 2.0.Sun JRE 6
Mac
Linux
Voor de functionaliteit van Network Connect (VPN-verbinding naar een netwerk obv gepushte client) worden de volgende platforms door de leverancier aangemerkt als “Compatible platforms”:
Platform
Operating System
Browser and Java Environment
Windows
•
Vista Ultimate No SP and SP1, 32 bit and 64 bit
•
Internet Explorer 7.0 (Wherever applicable)
•
Vista Business No SP and SP1, 32 bit and 64 bit
•
Firefox 2.0
•
Vista Home Basic No SP and SP1, 32 bit and 64 bit
•
Internet Explorer 6.0 (Wherever-
•
Vista Home Premium No SP and SP1, 32 bit and 64 bit
•
XP Professional SP3, 32 bit and 64 bit
•
Sun JRE 5/1.5.07 and above
•
XP Professional SP2 64 bit
•
Microsoft JVM – for Windows 2000
•
2000 Professional SP4
•
XP Home Edition SP2
•
XP Media Center 2005
•
Windows 2003 server SP2, 32bit and 64 bit
© KPN Lokale Overheid
applicable)
19 van 30
Mac
•
Mac OS X 10.2.8
•
Safari 1.0 and above
Linux
•
OpenSuse 10.1
•
Firefox 1.5 and above
•
Fedora 9
6.2.4 Web- en file-browsing op mobiele apparaten Voor de functionaliteit van web- en file-browsing op mobiele apparaten worden de volgende platforms door de leverancier aangemerkt als “Compatible platforms”: •
Windows Mobile 6.0 based Pocket PC devices: Pocket IE 6.0
•
Windows Mobile 5.0 based Pocket PC devices: Pocket IE 4.0
•
Palm OS 5.4: Blazer 4.5
•
Symbian OS 7.1: Opera 6.31
•
NTT I-mode phone
•
AU/KDDI phone : Openwave Mobile Browser
•
Vodafone phone : Openwave Mobile Browser
© KPN Lokale Overheid
20 van 30
Hoofdstuk 7. Service
7.1 Service levels De dienst Toegang op Afstand wordt gehost vanuit een betrouwbaar datacenter waar diverse voorzieningen zijn getroffen om een zeer hoge beschikbaarheid te kunnen bereiken. Dubbele aansluiting op een stroomnetwerk, 3voudig uitgevoerde airconditioning en fysiek gescheiden koppeling aan IP- netwerken zijn hierin standaard voorzien. Qua apparatuur is de dienst tenminste dubbel uitgevoerd, wordt een reguliere automatische testcyclus doorlopen en worden specialisten 7 x 24 automatisch opgeroepen in geval van (dreigende) problemen. Software upgrades en systeemaanpassingen worden altijd zodanig uitgevoerd dat de dienstverlening onderbroken kan worden voortgezet. Als dit niet mogelijk is, dan wordt vooraf schriftelijk (per e-mail) met de klant afgestemd wanneer en hoe lang een onderbreking duurt. In geval van overmacht (onverwachte problemen met meer gevolgen dan de single-point of failures waarvoor voorzieningen zijn getroffen) licht KPN Lokale Overheid de klant onmiddellijk in met een duidelijke omschrijving van de problemen en de te verwachten duur. Voorbeelden daarvan zijn: verwoesting van het datacentre als geheel door brand, explosie, etc. 7.2 Kwaliteitsafspraken Voor de dienst Toegang op Afstand gelden de volgende kwaliteitsafspraken: Primaire dienst en opties
Service Level Service Window
7 x 24 met uitzondering van onderhoudsvensters. Tevens kan KPN Lokale Overheid de dienst om zwaarwegende beveiligingsredenen tijdelijk onderbreken. In een dergelijk geval worden klanten zo spoedig mogelijk geïnformeerd.
Onderhoudsvenster
Beheerwerkzaamheden worden zo veel mogelijk uitgevoerd terwijl de dienst beschikbaar
(onderhoudswindow)
blijft. Incidenteel onderhoudsvenster: bij uitzondering mogelijk. Vast onderhoudsvenster: elke laatste zondag van de maand; begin: de zaterdag ervoor om 18:00 uur; einde: zondag 16:00 uur lokale tijd.
Aankondigingtermijn incidenteel
≥ 2 weken
onderhoudsvenster Beschikbaarheid
© KPN Lokale Overheid
≥ 99,90% per maand
21 van 30
Indienen van meldingen, verzoeken en aanvragen per telefoon Service Level Service Window
kantoortijden; major incident ook buiten kantoortijden
NB: om buiten kantooruren een beroep te kunnen doen op de KPN Lokale Overheid servicedesk dient de Opdrachtgever in het algemene KPN Lokale Overheid contract te beschikken over Service Window 7 x 24. Indienen van meldingen, verzoeken en aanvragen per e-mail of fax
Service Level Service Window
7 x 24
Reactietijd
< 8 uur tijdens kantoortijden
Afhandeltijden wijzigingsverzoeken en aanvragen
Verzoek voor een standaard wijziging of standaard aanvraag die tijdens kantoortijden kan worden doorgevoerd of uitgevoerd
normaal
≤ 5 werkdagen
spoed
zo mogelijk ≤ 2 werkdagen
onmiddellijk
zo kort mogelijk; in elk geval ≤ 1 werkdag
Verzoek voor een standaard wijziging die niet tijdens kantoortijden kan worden doorgevoerd
Verzoek voor een niet-standaard wijziging of niet-
normaal
≤ 5 werkdagen
spoed
in overleg
onmiddellijk
in overleg
(alle)
in overleg
standaard aanvraag
Afhandeltijden storingen
Storing / incident
Incident, laag
≤ 5 werkdagen
Incident, normaal
≤ 1 werkdag
Incident, major
≤ 4 uur
Prioriteit bij storingen Een storing waarbij de totaal beschikbare capaciteit van de dienst verminderd is, wordt als volgt geclassificeerd:
Major
de beschikbare capaciteit is minder dan 50% van alle capaciteit die voor een klant is gereserveerd
© KPN Lokale Overheid
22 van 30
Normaal
de beschikbare capaciteit is 50% tot 80% van alle capaciteit die voor een klant is gereserveerd
Laag
de beschikbare capaciteit is 80% tot 99% van alle capaciteit die voor een klant is gereserveerd
De bovenstaande kwaliteitsafspraken hebben geen betrekking op (de beschikbaarheid van) Internet.
© KPN Lokale Overheid
23 van 30
Hoofdstuk 8. Tariefstructuur, facturering en betaling
De dienst Toegang op Afstand kent een eenmalig implementatie bedrag en een maandelijks exploitatie bedrag per gebruiker. Alle genoemde prijzen en tarieven zijn exclusief BTW. 8.1 Tariefstructuur 8.1.1 Eenmalige kosten Het eenmalige implementatie bedrag is opgebouwd uit: •
De eenmalige opstartkosten
•
De eventuele kosten voor eigen huisstijl en URL op de inlogpagina
•
De eventuele kosten van de koppeling met een eigen directory
Deze eenmalige vergoeding voor de dienst wordt gefactureerd na het ondertekenen van het Protocol van Oplevering (PvO). De eenmalige bedragen voor wijzigingen worden maandelijks achteraf in rekening gebracht. 8.1.2 Maandelijkse kosten Het maandelijkse tarief is opgebouwd uit tarieven per gebruiker, gestaffeld naar aantallen gebruikers. Deze tarieven zijn exclusief kosten van eventuele authenticatie middelen. De maandelijkse kosten worden maandelijks vooraf in rekening gebracht. 8.1.3 Wijzigingen Indien er aanpassingen gewenst zijn aan een bestaande aansluiting op de dienst, dan kunnen deze doorgevoerd worden tegen een eenmalig wijzigingstarief. De eenmalige bedragen voor wijzigingen worden maandelijks achteraf in rekening gebracht. Bij upgrade of downgrade van het abonnement wordt het nieuwe maandtarief vanaf de eerstvolgende maand in rekening gebracht. 8.1.4 Kosten maatwerk Voor eventueel maatwerk worden de tarieven in een offerte vastgelegd.
© KPN Lokale Overheid
24 van 30
8.2 Facturering 8.2.1 Eenmalige kosten De eenmalige kosten worden binnen 30 werkdagen na datum ondertekening van het aanvraagformulier door KPN Lokale Overheid middels een factuur bij de Opdrachtgever in rekening gebracht.
8.2.2 Maandelijkse kosten De maandelijkse kosten worden binnen 30 werkdagen na datum ondertekening van het aanvraagformulier door KPN Lokale Overheid middels een factuur bij de Opdrachtgever in rekening gebracht. Bij upgrade of downgrade van het abonnement wordt het nieuwe maandtarief vanaf de eerstvolgende maand in rekening gebracht. 8.3 Betaling De betaaltermijn bedraagt 30 dagen na dagtekening van de factuur. 8.4 Indexering Op de maandelijks in rekening te brengen tarieven zijn de indexeringsregels van KPN Lokale Overheid van toepassing. Zie hiervoor de algemene voorwaarden van KPN Lokale Overheid. Deze kunt u vinden op ons klantenportaal http://kpnlokaleoverheid.nl. 8.5 Looptijd contract De looptijd gaat in op de datum van ondertekening van de offerte. Na verloop van de minimale looptijd, wordt het contract telkens jaarlijks stilzwijgend met 1 jaar verlengd. 8.6 Opzegging contract Opzegging van het contract dient twee maanden voorafgaand aan het einde van de looptijd schriftelijk te geschieden. 8.7 Ontbindende voorwaarden Voor de ontbindende voorwaarden wordt verwezen naar de algemene voorwaarden van KPN Lokale Overheid. Deze kunt u vinden op ons klantenportaal http://kpnlokaleoverheid.nl.
© KPN Lokale Overheid
25 van 30
Hoofdstuk 9. Voorwaarden
9.1 Algemene voorwaarden KPN Lokale Overheid Op de dienst Toegang op Afstand zijn de Algemene Voorwaarden KPN Lokale Overheid van toepassing. 9.2 Wijzigingen in de dienst Wijzigingen in de dienst, geïnitieerd vanuit de Opdrachtnemer, die geen invloed hebben op de functionaliteit van de dienst kunnen zonder overleg met de Opdrachtgever worden doorgevoerd. Wijzigingen in de dienst, geïnitieerd vanuit de Opdrachtnemer, die wel invloed hebben op de functionaliteit van de dienst moeten altijd in overleg met de Opdrachtgever worden doorgevoerd. Specifieke aanpassingen voor een Opdrachtgever worden uitgevoerd in opdracht van en in rekening gebracht bij de Opdrachtgever. De contactpersoon van de Opdrachtgever kan via het aanvraagformulier een wijzigingsverzoek indienen. Wijzigingen die niet als “standaard” op het aanvraagformulier zijn aangemerkt zijn altijd maatwerk en worden op basis van een geaccordeerde offerte uitgevoerd. 9.3 De dienst Toegang op Afstand is alleen voor eigen gebruik Een aansluiting op de dienst mag niet worden overgedragen aan andere organisaties.
© KPN Lokale Overheid
26 van 30
Hoofdstuk 10. Informatie en communicatie
10.1 KPN Lokale Overheid Servicedesk De KPN Lokale Overheid Servicedesk is er voor: •
aanmelden van incidenten,
•
verkrijgen van informatie over de status van de dienstverlening.
De KPN Lokale Overheid Servicedesk is bereikbaar op werkdagen tijdens kantooruren (maandag t/m vrijdag van 08.00-17.30 uur, exclusief de erkende feestdagen en vrije dagen). Buiten kantooruren is een voice-response systeem beschikbaar waar een boodschap ingesproken kan worden. De wijze van opvolging van een dergelijke melding is afhankelijk van het service-contract van de Opdrachtgever. Telefoon: (070) 343 69 00 E-mail:
[email protected] 10.2 Escalatie Voor escalaties dient de Opdrachtgever contact op te nemen met de accountmanager van KPN Lokale Overheid. 10.3 Documentatie De volgende documentatie wordt meegeleverd: •
Factsheet,
•
Dienstbeschrijving,
•
Aanvraagformulier.
© KPN Lokale Overheid
27 van 30
Bijlage 1. Begrippenlijst
7 x 24 Alle tijden, zowel binnen als buiten kantoortijden. Aankondigingtermijn De aankondigingstermijn is de periode tussen het moment dat KPN Lokale Overheid een activiteit (bijvoorbeeld werkzaamheden binnen een incidenteel onderhoudsvenster) aankondigt en het moment waarop die activiteit begint. Aanvraag/Request for Information (RfI) Een aanvraag of RfI is een verzoek van een klant om gegevens beschikbaar te stellen. Er bestaat onderscheid tussen standaard aanvragen en niet-standaard aanvragen. Afhandeltijd De afhandeltijd is de periode tussen het moment dat een vraag of melding bekend is geworden en is geregistreerd bij de servicedesk van KPN Lokale Overheid. En het moment waarop de storing is verholpen, resp. aan het wijzigingsverzoek of aanvraag is voldaan, resp. aan de indiener wordt teruggemeld dat de vraag of melding niet in behandeling wordt genomen. Genoemde tijden betreffen streeftijden. KPN Lokale Overheid neemt in alle redelijkheid maatregelen ter voorkoming van herhaling wanneer genoemde streeftijden niet gehaald worden. Beschikbaarheid Beschikbaarheid is het gedeelte van de openstellingtijd waarop de functies van (het desbetreffende onderdeel van) de dienst daadwerkelijk bruikbaar zijn. (Niet-beschikbaarheid kan alleen door een storing worden veroorzaakt.) De beschikbaarheid wordt uitgedrukt in een percentage over een bepaalde periode. Feestdag Nieuwjaarsdag, de Christelijke tweede Paas- en Pinksterdag, de beide Kerstdagen, Hemelvaartsdag, de dag waarop de verjaardag van de Koning(in) wordt gevierd. Incidenteel onderhoudsvenster/incidenteel onderhoudswindow Een incidenteel onderhoudsvenster is een onderhoudsvenster waarvoor geen vast tijdstip in de servicelevelbeschrijving is vermeld. Een incidenteel onderhoudsvenster voor klantspecifieke componenten wordt tevoren met de desbetreffende klant afgesproken. Een incidenteel onderhoudsvenster voor generieke componenten wordt tevoren aangekondigd. Kantoortijden Van 8:00 tot 18:00 u (lokale tijd) op werkdagen.
© KPN Lokale Overheid
28 van 30
Onderhoudsvenster/Onderhoudswindow De meeste diensten kunnen tijdelijk worden gesloten om onderhoud uit te voeren. Per dienst is aangegeven wanneer dit kan gebeuren en hoe lang tevoren dit wordt afgesproken of aangekondigd. Daarbij wordt onderscheid gemaakt tussen een vast onderhoudsvenster en een incidenteel onderhoudsvenster. Openstelling/Service Window De openstelling, of het Service Window, geeft de tijden aan waarop de functies van een dienst bruikbaar behoren te zijn voor de beoogde gebruikers. Prioriteit Een prioriteit is een voorrangsaanduiding voor het uitvoeren van werkzaamheden, zoals het verhelpen van een storing en het afhandelen van een wijzigingsverzoek. Een prioriteit wordt toegekend op grond van impact, urgentie en hoeveelheid inspanning. Een eenmaal toegekende prioriteit kan worden gewijzigd op grond van nieuwe inzichten. Prioriteit bij storingen Bij het verhelpen van een storing ligt de nadruk op de impact van de storing. Op grond hiervan worden drie prioriteitscategorieën gebruikt, te weten:
Major
de beschikbare capaciteit is minder dan 50% van alle capaciteit die voor een klant is gereserveerd
Normaal
de beschikbare capaciteit is 50% tot 80% van alle capaciteit die voor een klant is gereserveerd
Laag
de beschikbare capaciteit is 80% tot 99% van alle capaciteit die voor een klant is gereserveerd
Voor de SSL-VPN dienst heeft KPN Lokale Overheid vastgesteld welke storingen in welke categorie vallen. Prioriteit bij wijzigingsverzoeken en aanvragen Bij het vaststellen van de prioriteit voor het afhandelen van een wijzigingsverzoek of aanvraag ligt de nadruk op de urgentie van de wijziging of aanvraag. Op grond hiervan worden drie prioriteitscategorieën gebruikt, te weten:
Major
afhandeling binnen de afgesproken tijdsduur; deze kan verschillen per type wijziging
Spoed
afhandeling vóór verzoeken met prioriteit ‘normaal’; zo mogelijk binnen 1 werkdag
Onmiddellijk
afhandeling zo spoedig mogelijk; zo mogelijk vóór alle andere werkzaamheden
De prioriteitscategorie van een wijzigingsverzoek of aanvraag wordt door de indiener gekozen. Reactietijd De reactietijd is de periode tussen het moment dat een vraag of melding bekend is geworden en is geregistreerd bij de servicedesk van KPN Lokale Overheid en het moment van eerste terugmelding door KPN Lokale Overheid aan de aanmelder of contactpersoon. Als een vraag of melding telefonisch binnenkomt, dan vindt de terugmelding onmiddellijk plaats. De reactietijd is dus alleen van toepassing bij vragen of meldingen per e-mail of fax, en bij meldingen (alarmeringen) vanuit geautomatiseerde systemen.
© KPN Lokale Overheid
29 van 30
Standaard en niet-standaard aanvraag Standaard aanvragen zijn tevoren afgesproken en gedocumenteerd, inclusief: benodigde invoergegevens; resultaten; afhandeltijd; tarief. Bij een niet-standaard aanvraag worden deze afspraken gemaakt of gecompleteerd nadat de aanvraag is ingediend. Een standaard aanvraag kan klant specifiek zijn, of kan zijn beschreven voor alle klanten van een generieke dienst. Standaard en niet-standaard wijziging Standaard wijzigingen zijn tevoren afgesproken en gedocumenteerd, inclusief: benodigde invoergegevens; uit te voeren activiteiten; resultaten; afhandeltijd; tarief. Bij een niet-standaard wijziging worden deze afspraken gemaakt of gecompleteerd nadat het wijzigingsverzoek is ingediend. Een standaard wijziging kan klant specifiek zijn, of kan zijn beschreven voor alle klanten van een generieke dienst. Storing/incident Een storing of incident is de situatie dat een of meer functies van een dienst voor een of meer beoogde gebruikers tijdens de openstelling niet met de afgesproken kwaliteit beschikbaar zijn. Vast onderhoudsvenster/vast onderhoudswindow Een vast onderhoudsvenster is een onderhoudsvenster dat elke week, maand of andere periode op een vast tijdstip begint. Dit tijdstip en de maximale duur zijn vermeld in de service-levelbeschrijving van de dienst. Werkdag Elke dag met uitzondering van zaterdagen, zondagen en feestdagen. Wijzigingsverzoek/Request for Change (RfC) Een wijzigingsverzoek of RfC is een verzoek van een klant om een wijziging aan te brengen in de ICTinfrastructuur, programmatuur of configuratie(gegevens). Er bestaat onderscheid tussen standaard wijzigingen en niet-standaard wijzigingen.
© KPN Lokale Overheid
30 van 30