Serviceniveauprogramma voor Ariba Cloud Services • • •
Garantie voor toegankelijkheid van de service Beveiliging Overig
1. Garantie voor toegankelijkheid van de service a. Toepasselijkheid. De garantie voor toegankelijkheid van de service is van toepassing op de betreffende oplossing. "Oplossing" of "service" betekent en omvat de volgende producten als hiervoor transacties zijn uitgevoerd en betaald door de klant (of "u"), zoals vastgelegd in een contract tussen u en Ariba of een ander SAP-bedrijf en voor het betreffende datacenter dat de klant gebruikt om toegang te krijgen tot de volgende vermelde services: http://www.ariba.com/legal/ariba-SLP-products-english-2014-03-01. "SAP" betekent het SAP-bedrijf waarmee u een contract hebt voor de service.
b. Garantie. i. Percentage. De service is 99,5% procent van de tijd toegankelijk, zeven dagen per week, vierentwintig uur per dag, berekend over een kalendermaand (de "Garantie voor toegankelijkheid van de service"). De Garantie dat de service 99,5% van de tijd toegankelijk is, correspondeert met 522.972 (= 0,995 * 60 * 24 * 365) minuten uptime per jaar. ii. Verhaal bij niet-naleving. Als de service er niet in slaagt om te voldoen aan de Garantie voor toegankelijkheid, zal SAP op de account van klant het aantal totale credits storten die voortvloeien uit het toepassen van onderstaande formule. De klant kan de credits gebruiken om in de toekomst diensten van SAP aan te schaffen. (A) Berekening. Het totale aantal credits wordt als volgt berekend: Totale aantal credits = [periode van ontoegankelijkheid (in minuten, afgerond naar boven)] X pro-rata de daadwerkelijk betaalde jaarlijkse abonnementskosten per minuut (voor de afzonderlijke van toepassing zijnde oplossing). "Periode van ontoegankelijkheid" betekent de periode dat de service niet wist te voldoen aan de Garantie voor toegankelijkheid. Alleen ontoegankelijkheid die optreedt in het datacenter dat de klant gebruikt voor het product (of de producten) waarvoor de klant een abonnement heeft, telt mee voor de berekening van de periode van ontoegankelijkheid. "Credits". Een credit stelt een munteenheid voor, in dezelfde valuta als waarin de klant SAP heeft betaald voor de betreffende service of oplossing, bijv. euro's, U.S. dollars of een andere munteenheid.
Een credit is gelijk aan één eenheid van de betreffende munt. Bijvoorbeeld: als de klant heeft betaald in U.S. dollars, dan is één credit gelijk aan 1,00 U.S. dollar. "Periode op jaarbasis" betekent een periode van twaalf maanden, beginnend op de dag dat de klant een abonnement heeft genomen op de betreffende oplossing Als de klant zich bijvoorbeeld bindt aan een tweejarig abonnement op een service en transacties gaat uitvoeren, te beginnen op 1 januari 2015, dan zijn de twee periodes op jaarbasis (a) 1 januari 2015 t/m 31 december 2015; en (b) 1 januari 2016 t/m 31 december 2016. "Pro-rata jaarlijkse abonnementskosten per minuut" betekent het bedrag dat de klant daadwerkelijk aan SAP betaald heeft voor de betreffende service die correspondeerde met de betreffende Periode op jaarbasis gedeeld door 525.600 (=60*24*365) minuten in een jaar. Opmerking: als de klant een licentie voor bepaalde Aribasoftwareproducten heeft genomen die teruggaat tot voor december 2006 uitgegeven en gebruik maakt van het Ariba Network als een basisservice als onderdeel van de kosten voor technische ondersteuningsdiensten, dan worden deze kosten voor technische ondersteuningsdiensten gebruikt om de jaarlijkse abonnementskosten te berekenen. c. Geplande serviceonderbreking. SAP zal de service onderbreken om onderhoud te plegen of upgrades aan het systeem uit te voeren ("Geplande serviceonderbreking") voor de service wanneer dit nodig wordt geacht. SAP zal alle redelijke zakelijke inspanningen verrichten om onderhoud en systeemupgrades buiten piekuren te plannen. In het algemeen wordt onderhoud of een systeemupgrade gepland op zaterdag van 17.00 uur tot zondag 05.00 uur ("Onderhoudsvenster"). SAP behoudt zich het recht voor om de tijden van het onderhoudsvenster te wijzigen. SAP zal alle redelijke zakelijke inspanningen verrichten om ten minste 72 uur voor het optreden van een geplande serviceonderbreking klanten hiervan op de hoogte te stellen. d. Uitzonderingen. Bij het berekenen van de periode van ontoegankelijkheid is het volgende niet van toepassing: (i) geplande serviceonderbreking waarvoor geldt dat de klant minstens één werkdag voor het optreden van een dergelijke geplande serviceonderbreking hiervan op de hoogte is gesteld; (ii) ontoegankelijkheid die buiten de schuld van SAP ligt (zoals storingen die worden veroorzaakt door factoren die niet onder SAP's controle vallen, bijvoorbeeld als de oorzaak ligt bij apparatuur of software die onder het beheer van derden valt), en (iii) ontoegankelijkheid op verzoek van de klant of waar de klant vooraf mee heeft ingestemd. De klant is geheel verantwoordelijk voor het behouden van adequate controle over de transmissie van klantgegevens naar de service, voor het monitoren van dergelijke transmissies en voor het rapporteren aan SAP van storingen waardoor de service niet toegankelijk is, en wel binnen vijf (5) dagen na
aanvang van een dergelijke gebeurtenis. De klant is geheel verantwoordelijk voor het instellen van de van toepassing zijnde parameters voor gegevensverwerking en -transmissie, en voor het inspecteren of alle ingevoerde en uitgevoerde gegevens nauwkeurig en volledig zijn. 2. Beveiligingselementen De service bevat de volgende beveiligingselementen: a. Fysieke beveiliging. Ofwel de service valt onder SAP's controle ofwel bevindt zich op een veilige externe locatie die beheerd wordt door derden. Toegang tot de hardware, software en andere elementen waaruit de service bestaat, is louter beperkt tot bevoegd personeel. SAP gebruikt servers met redundante functies om maximale toegankelijkheid te realiseren.
b. Herstel na een noodgeval. De service maakt gebruik van een plan voor herstel na een noodgeval, zodat SAP kan voldoen aan de Garantie voor toegankelijkheid zoals is vastgelegd in dit Serviceniveauprogramma.
c. Gegevensbeveiliging. Transacties die zijn uitgevoerd met behulp van de service worden aanvankelijk opgeslagen in een database om verlies ervan te voorkomen. Er wordt dagelijks een back-up gemaakt van alle klantgegevens die zich op de systemen bevinden. Back-ups worden opgeslagen op een veilige externe locatie die door derden wordt beheerd. Onder de back-ups vallen de registratie- en accountgegevens van de klant. Er wordt regelmatig preventief onderhoud gepleegd aan de service. Dit preventieve onderhoud is gepland op tijden die buiten de piekperiodes liggen. Het kan tijdens het onderhoud voorkomen dat transacties in een wachtrij worden geplaatst; deze transacties worden dan verwerkt wanneer het onderhoud is afgerond. Alleen de organisaties die betrokken zijn bij een transactie hebben toestemming om die transactie te bekijken, met uitzondering van gevallen waarbij SAP gevraagd wordt om een technisch probleem op te lossen en toegang tot een transactiedocument nodig heeft. Waar van toepassing [1] maakt de service redundante kopieën van alle kritieke software-subsystemen die gerelateerd zijn aan de routering van de transactie. Deze redundantie maakt omschakeling mogelijk in het geval er een fout optreedt, zodat onderbreking van de service tot een minimum wordt beperkt.
d. Beveiliging van de service. SAP implementeert commercieel beschikbare beveiligingssoftware, hardware en technieken om niet-bevoegd gebruik van de service tot een minimum te beperken en voorkomen. Hiertoe behoren firewalls, softwaretools om indringers te detecteren en het monitoren van het gebruik van de service. De service voert ook verificatie van interactieve gebruikerssessies uit.
Voor nog betere beveiliging maakt de service gebruik van HTTPS, ofwel HTTP via SSL (Secure Sockets Layer). Het SSL-beveiligingsprotocol biedt gegevenscodering, serververificatie, berichtcontrole en optionele clientverificatie voor TCP/IP-verbindingen. De webservers van de oplossing gebruiken een digitaal certificaat om SSL-verbindingen mogelijk te maken.
e. Verificatie door een auditor. Wat betreft de SAP datacenters die de bestaande services hosten op het moment van publicatie van dit document, wordt de service minstens eenmaal per jaar gecontroleerd door een erkende externe auditor om SAP's prestaties m.b.t. deze beveiligingsdoelen te verifiëren. Zie het WebTrustzegel dat is toegekend aan de SAP-unit Ariba. Als een nieuw datacenter de services in de toekomst gaat hosten, zal SAP een dergelijk datacenter opnemen in de volgende audit.
3. Overig a. Integriteit van de oplossing. De klant gaat ermee akkoord de volgende zaken niet uit te voeren: (i) een apparaat, software of techniek gebruiken om de correcte werking van de oplossing of service te belemmeren (of een poging hiertoe te doen); (ii) iets op de service publiceren of ernaar verzenden dat een virus, bug, cancelbot, worm, Trojan Horse of ander schadelijk onderdeel bevat; (iii) actie ondernemen waardoor een onredelijke of buitensporig grote belasting op de service wordt gelegd, zodat andere gebruikers hiervan nadeel van ondervinden; of (iv) een apparaat of technologie gebruiken om herhaalde automatische pogingen te doen om toegang te krijgen tot door wachtwoorden beschermde onderdelen van de service waarvoor de klant geen geldig wachtwoord toegekend heeft gekregen door Ariba of SAP. De klant mag derden niet toestaan om het wachtwoord van de klant te gebruiken zonder voorafgaande schriftelijke toestemming van SAP. De klant is zich er ook van bewust dat SAP niet kan garanderen en ook niet garandeert dat bestanden of programma's die niet afkomstig zijn van SAP, van welke aard of bron dan ook, die u via de oplossing of service kunt downloaden, vrij zijn van infecties, virussen, wormen en Trojan Horses of andere code of defecten die besmettende of destructieve eigenschappen vertonen. De klant erkent dat SAP het recht heeft, maar niet verplicht is, om dergelijke acties te ondernemen met betrekking tot het gebruik van de service (waaronder maar niet beperkt tot het verwijderen van content of het weigeren om bepaalde gegevens te routeren) als SAP redelijkerwijs meent dat dergelijke acties nodig zijn om aan de wet te voldoen.
b. Voor het gemak van onze klanten wereldwijd is dit document vertaald in diverse talen. Wij wijzen u erop dat in het geval van dubbelzinnigheid of onduidelijkheid
als gevolg van een dergelijke vertaling de inhoud van de Engelse versie bindend is.
c. MET UITZONDERING VAN DE UITDRUKKELIJKE GARANTIE VOOR TOEGANKELIJKHEID VAN DE SERVICE ZOALS VERMELD IN DEZE SECTIE 1, (I) CREËERT DIT DOCUMENT GEEN ANDERE VOORSTELLING OF GARANTIE MET BETREKKING TOT DE BESCHIKBAARHEID, TOEGANKELIJKHEID OF BRUIKBAARHEID VAN DE SERVICE; of (II) VERMINDERT, WIJZIGT OF ONTKENT DIT DOCUMENT GEEN ANDERE UITDRUKKELIJKE GARANTIE(S) IN EEN ONDERTEKENDE OVEREENKOMST TUSSEN DE PARTIJEN. Het verhaal dat vermeld is in Sectie 1 is de enige en uitsluitende vorm van verhaal voor de klant en SAP's enige aansprakelijkheid voor het niet-nakomen van de garanties zoals vermeld in bovenstaande sectie 1.
[1] Als u een OnPremise-product van Ariba gebruikt en hostingdiensten voor Ariba of SAP aanschaft om een bepaalde implementatie speciaal voor u te hosten, dan is deze zin niet van toepassing als Ariba/SAP die hosting uit laat voeren door SAP’s onderaannemer AT&T. De AT&T hosting maakt geen redundante kopieën van alle kritieke software-subsystemen, maar de service zal desondanks presteren binnen het percentage dat is vastgelegd in de Garantie voor toegankelijkheid van de service. We wijzen u erop dat voor de meeste klanten die dergelijke hostingdiensten krijgen, AT&T niet wordt gebruikt als onderaannemer. SLP 1 maart 2014
