Service Level Agreement: managed hosting
Versie: Status: Datum:
1.1 definitief 28-2-2014
XLhosted Lavendelheide 21 9202 PD Drachten http://www.xlhosted.com
[email protected] tel.: 085-8500158
1
Afbakening en definities
1.1 Definities
Kantoortijden: Maandag tot en met vrijdag van 08:30 tot 17:00 Nederlandse tijd, met uitzondering van officiële feestdagen. Klant: De persoon of organisatie die de overeenkomst is aangegaan met XLhosted. Technisch beheerder: De persoon of organisatie die voor de klant het beheer uitvoert. Deze kan gelijk zijn aan de klant. Technicus: Gekwalificeerd medewerker van XLhosted, die zelfstandig verstoringen verhelpt en het aanspreekpunt is voor de klant. Overmacht: Elke van de wil van partijen onafhankelijke c.q. onvoorzienbare omstandigheid, waardoor nakoming van de overeenkomst redelijkerwijs door de andere partij niet meer kan worden verlangd. Supportsysteem: Het supportsysteem waar de klant incidenten, vragen, etc. kan neerleggen bij XLhosted. Het supportsysteem is te vinden op de volgende url: http://mijn.xlhosted.com. E-mails die vanaf klant worden verstuurd naar
[email protected] komen binnen op het supportsysteem. E-mails verstuurd aan
[email protected] worden automatisch doorgestuurd naar het juiste support-adres. Hostingplatform: De omgeving waar de website(s) en/of webshop(s) van de klant zijn geplaatst. Het platform kan worden onderverdeeld in webservers en databaseservers. Responsetijd: De gestelde tijd waarin een reactie moet worden gegeven op een vraag of probleem die door klant of technisch beheerder is aangemeld. Terugkoppeling: Het bericht dat een technicus na oplossing van een incident meldt via telefoon, via e-mail of supportsysteem bij klant of technisch beheerder. Hier wordt vermeld wat het probleem was en hoe dit is opgelost.
1.2 Afbakening
XLhosted is verantwoordelijk voor de beschikbaarheid van het hostingplatform. Het XLhosted en haar leveranciers kunnen in geen enkel geval aansprakelijk worden gesteld voor schade, winstderving of verloren besparingen. Ook niet als XLhosted op deze (mogelijke) schade is gewezen. XLhosted en haar leveranciers zijn noch aansprakelijk voor claims van derden. Het hostingplatform van XLhosted maakt gebruikt van voorzieningen van leveranciers om de dienst aan te bieden aan de klant. XLhosted neemt verantwoordelijkheid voor de werking van de benodigde software. Hieronder valt software voor databases (MySQL), webservers (Apache, Nginx en PHP), FTP (ProFTPD) en e-mail (Exim en Dovecot). Applicaties die niet op het hostingplatform zijn geïnstalleerd door XLhosted vallen buiten deze overeenkomst. XLhosted is niet verantwoordelijk voor verminderde prestaties als gevolg van het moedwillig verstoren van de dienstverlening door derden of storingen die buiten XLhosted gaande zijn. Hieronder vallen onder andere aanvallen van hackers, distributed denial of service attacks (DDOS) of storingen bij leveranciers en tussenpersonen. XLhosted is maandelijks maximaal aansprakelijk voor een bedrag ter hoogte van de maandsom, mits aantoonbaar is dat XLhosted hier nalatig is geweest. De klant volgt de aanwijzingen van XLhosted snel en adequaat op en maakt op een verantwoordelijke manier gebruik van de door XLhosted beschikbaar gestelde dienst. Communicatie over de overeenkomst vindt altijd plaats met de klant. Indien nodig zal ook de technisch beheerder worden betrokken bij de communicatie. Pagina 2 van 7
XLhosted Lavendelheide 21 9202 PD Drachten http://www.xlhosted.com
[email protected] tel.: 085-8500158
2
Incidenten en response
3
Indien de Klant een storing ontdekt, kan dit op de volgende manieren gemeld worden: o Tijdens kantoortijden: per telefoon, e-mail (
[email protected]) of het supportsysteem. o Buiten kantoortijden: per e-mail (
[email protected]) of het supportsysteem. Responsetijd is tijdens kantooruren 1 uur. Responsetijd buiten kantooruren is 1 uur. Terugkoppeling wordt tijdens kantoortijden binnen 2 uur gedaan. Terugkoppeling wordt buiten kantoortijden binnen 4 uur gedaan.
Beschikbaarheid
3.1 Downtime
Downtime gaat in wanneer (1) XLhosted heeft geconstateerd dat er een storing is of (2) de Klant de storing meldt en er aan één van de volgende criteria is voldaan: o De webserverfunctionaliteit werkt niet: binnen vijf (5) seconden kan de standaard pagina van de webserver niet worden geopend. Deze standaard pagina kan worden benaderd op http://hostname.nl, waarbij hostname wordt gewijzigd naar de juiste hostname van de server. Deze hostname is terug te vinden in de e-mail die klant krijgt bij het bestellen van de dienst. o Er geen connectie met de database kan worden gemaakt. Klant gebruikt juiste gegevens en heeft geen acties uitgevoerd waardoor de connectie niet meer kan worden gemaakt.
Uitgezonderd van Downtime zijn de volgende scenario’s: Overmacht, zoals DDoS aanvallen, hackersactiviteiten, het uitvallen van stroom of het verliezen van de netwerkconnectiviteit. Aangekondigd onderhoud, waarbij dit minimaal een (1) week van tevoren is aangekondigd. Spoedonderhoud, waarvan XLhosted het noodzakelijk acht om dit per direct uit te voeren in verband met de veiligheid en stabiliteit van het hostingplatform. Verminderde bereikbaarheid van de website(s), database(s) of e-mail tijdens het maken van back-ups. Tijdens en buiten Kantoortijden geldt een uptimegarantie van 99.9%. Hierbij is maximaal 42 minuten downtime geoorloofd. Bij het overschrijven van deze 42 minuten downtime per maand tijdens kantooruren is de SLA niet gehaald.
Pagina 3 van 7
XLhosted Lavendelheide 21 9202 PD Drachten http://www.xlhosted.com
[email protected] tel.: 085-8500158
3.2 Aanspraak De klant komt in aanmerking voor restitutie voor downtime mits door XLhosted wordt bevestigd dat er inderdaad sprake was van downtime. Bij verschil van mening levert de klant screenshots aan waarop zichtbaar is dat er sprake is van downtime. Een technicus zal na aanlevering van het screenshot dit controleren. Hierdoor wordt getracht misbruik te voorkomen.
4
Back-ups
5
XLhosted maakt elke zondagnacht c.q. maandagochtend een volledige back-up van de Klant. Onder een volledige back-up vallen de volgende gegevens: o Domeinen en bijhorende bestanden; o Subdomeinen; o FTP accounts; o Databases; o E-mail accounts; o E-mails aanwezig op de server; o E-mail forwards; o E-mail autoresponders; o E-mail vacation messages; o E-mail instellingen; o E-mail mailing lists. Dit proces verloopt automatisch en wordt met regelmaat gecontroleerd op fouten. XLhosted maakt een dagelijkse back-up met uitzondering van zondagnacht c.q. maandagochtend. Het betreft hier alleen een back-up van de database(s) van de klant. De back-up wordt op een locatie buiten het netwerk waar het hostingplatform van XLhosted gebruik van maakt opgeslagen. Elke volledige back-up wordt een (2) week bewaard, waarna deze verwijderd wordt. Dagelijkse back-ups worden zeven (7) dagen bewaard. Na zeven (7) back-ups c.q. dagen wordt automatisch de oudste back-up van het systeem verwijderd. Back-ups zijn niet terug te zetten door de Klant en kunnen worden teruggezet door een technicus van XLhosted Voor het terugzetten van een dagelijkse back-up wordt € 25,- gefactureerd. Voor het terugzetten van een volledige back-up wordt € 50,- gefactureerd. Het terugplaatsen van een back-up gebeurt in overleg met Klant. Mogelijk zijn er met de klant andere afspraken gemaakt omtrent de back-up. Deze afspraken staan dan in de offerte of zijn via e-mail afgesproken c.q. bevestigd.
Privacy
De hostingomgeving is alleen toegankelijk voor geautoriseerde medewerkers van XLhosted. De klant heeft toegang tot zijn eigen omgeving binnen de hostingomgeving. Alle medewerkers van XLhosted hebben een geheimhoudingsplicht met betrekking tot (meta-)informatie die opgeslagen is op het hostingplatform.
Pagina 4 van 7
XLhosted Lavendelheide 21 9202 PD Drachten http://www.xlhosted.com
[email protected] tel.: 085-8500158
6 Dataveiligheid
7
Op de webservers van XLhosted wordt gebruikt gemaakt van een RAID-5 of RAID-10 opstelling. Hierbij is de kans op dataverlies door het uitvallen van één harde schijf geen probleem. Een uitgevallen harde schijf wordt binnen 12 uur vervangen. De netwerkverbindingen, stroom en koeling zijn in het datacenter dubbel uitgevoerd door de leverancier van XLhosted.
Beveiliging en onderhoud
XLhosted voert preventieve maatregelen uit om zo de kans op (beveiligings)incidenten te verkleinen.
7.1 Preventief Onder het nemen van preventieve maatregelen wordt het volgende verstaan: Het scannen op software. Het scannen op verdachten activiteiten. Het periodiek updaten van softwarecomponenten. Het scannen van e-mails op virussen en spam. De werking van het spamfilter is door de klant zelf in te stellen. Standaard staat deze aan en op een hoge filtering. Het scannen op verouderde softwarepakketten die door klant worden gebruikt, mits deze zijn geïnstalleerd door Installatron.
7.2 Software updates Wanneer er verouderde softwarepakketten, plugins en/of modules worden aangetroffen door XLhosted die een mogelijke bedreiging voor het hostingplatform van XLhosted zijn, kan één van onderstaande acties worden uitgevoerd: Direct updaten van het softwarepakket, waarbij klant geen notificatie krijgt; Direct updaten van het softwarepakket, waarbij klant achteraf een notificatie krijgt; Het inplannen van de update en de klant op de hoogte stellen van planning en actie; Een notificatie naar de klant waarin wordt aangeboden de nieuwste versie van het softwarepakket te testen en daarna te updaten. Afhankelijk van de versie van het verouderde softwarepakket, de risico’s voor het hostingplatform en de impact op de werking van het softwarepakket wordt een besluit genomen door de technicus.
7.3 Onderhoud Onderhoud aan het hostingplatform van XLhosted wordt van te voren aangekondigd via de e-mail. Aankondiging hiervan dient minimaal één (1) week van tevoren gebeuren. Onderhoud met significante functionaliteitswijzigingen worden ten minste vier (4) weken van te voren aangekondigd.
Pagina 5 van 7
XLhosted Lavendelheide 21 9202 PD Drachten http://www.xlhosted.com
[email protected] tel.: 085-8500158
7.4 Spoedonderhoud XLhosted kan ten behoeve van de stabiliteit en veiligheid van haar hostingplatform spoedonderhoud uitvoeren. Een voorbeeld hiervan is een publicatie van urgente beveiligingsproblemen waar een fix is voor uitgebracht. Dit type onderhoud kan niet wachten tot de eerst volgende onderhoudsperiode en wordt daarom per direct uitgevoerd. Indien mogelijk wordt gekozen om dit buiten kantoortijden te doen, om zo mogelijke overlast voor de klant te voorkomen. Mogelijke vermindering van de dienstverlening en/of downtime als gevolg van dit noodonderhoud vallen niet onder de gemeten downtime. Spoedonderhoud wordt altijd toegelicht via het supportsysteem of via e-mail.
7.5 Technische maatregelen en wachtwoorden
Op servers die door XLhosted gebruikt worden, staat ConfigServer Firewall in combinatie met Login Failure Detectie geïnstalleerd. CSF is een softwarematige firewall. Samen met LFD zorgt deze ervoor dat bij verscheidende mislukte loginpogingen het IP-adres tijdelijk geblokkeerd wordt. Wanneer het betreffende IP-adres binnen vierentwintig (24) uur meerdere keren tijdelijk geblokkeerd wordt, wordt het IP-adres permanent geblokkeerd. Een IP-adres van deze blokkade afhalen kan door contact op te nemen met een technicus van XLhosted. Alle servers die met elkaar moeten communiceren, doen dit over een beveiligde verbinding. Wachtwoorden die door XLhosted voor de klant worden ingesteld, zijn automatisch gegenereerd. Elke website, gehost op het hostingplatform van XLhosted, draait onder een eigen gebruiker. Hierdoor is het niet nodig om mappen zoals ‘uploads’ of ‘media’ de rechten ‘777’ te geven. Hierdoor is het ook niet mogelijk dat een hacker er in slaagt om buiten deze directory te komen en zo naar directories van andere klanten te gaan. Klantwachtwoorden worden niet op het hostingplatform opgeslagen. Daarentegen worden deze wachtwoorden opgeslagen in een versleutelde database op een laptop van technicus van XLhosted. Deze database is versleuteld middels het AES/Rijndal principe en heeft een 265 Bit-key. Het openen van deze database gebeurt door middel van een two-factor authenticatie. Mocht de database in verkeerde handen komen, kan deze niet worden geopend. Bij ontslag van een technicus wordt deze database van de laptop verwijderd.
7.6 Procedurele maatregelen
De technici van XLhosted houden nauwgezet beveiligingslekken in de gaten. Op basis van de ernst van het beveiligingslek, impact op de systemen en impact voor de klant wordt gekeken naar een oplossing. Voor een mutatie van site-, e-mail-, klantgegevens en domeineigendom, dat gedaan moet worden door XLhosted, vereisen wij authenticatie met behulp van een wachtwoord of ondertekend schriftelijk bewijs van goedkeuring. Dit is de enige manier om social engineering te voorkomen. Logbestanden van het hostingplatform worden regelmatig gescand op verdachte patronen. Hierdoor is XLhosted in staat om in een relatief vroeg stadium actie te ondernemen.
Pagina 6 van 7
XLhosted Lavendelheide 21 9202 PD Drachten http://www.xlhosted.com
[email protected] tel.: 085-8500158
8 Monitoring Alle servers van XLhosted zijn opgenomen in een extern monitoringsysteem. Door het monitoringsysteem extern te plaatsen, kan te allen tijde de status van de servers worden bekeken. Opgenomen in het monitoringsysteem zijn: Server load; CPU verbruik per gebruiker; Geheugengebruik; Diskruimte; Netwerkactiviteit; Disk I/O; MySQL-queries; Apache processen; DNS; Poorten voor een juiste werkend van de service (bijvoorbeeld poort 80). Metingen worden elke 5 tot 10 minuten doorgegeven aan het monitoringsysteem. Verstoringen van diensten worden direct doorgegeven aan tenminste 2 technicus. Afhankelijk van de type applicatie die gemonitord wordt, gebeurt dit via e-mail en/of sms.
9 Communicatie In geval van een verstoring, wordt dit te allen tijde vermeld op het supportsysteem. Klantgerichte incidenten worden enkel gecommuniceerd naar de klant via e-mail of telefoon. XLhosted kent 3 soorten incident: Klein incident: downtime verwacht 15-60 minuten voor alle klanten. Middelgroot incident: downtime verwacht 60-120 minuten voor alle klanten met mogelijk dataverlies voor klanten. Groot incident: downtime verwacht 120+ minuten met dataverlies voor klanten.
Pagina 7 van 7
