IBM Fraud Risk Assessment Add-Ons for IBM i2

Transcrição

1 Descrição de Serviço IBM Fraud Risk Assessment Add-Ons for IBM i2 Esta Descrição de Serviço descreve o Serviço em Nuvem que a IBM fornece ao Cliente. Cliente, significa a parte contratante, seus usuários autorizados e destinatários do Serviço em Nuvem. A Cotação e o Certificado de Titularidade (PoE - Proof of Entitlement) aplicáveis são fornecidos como Documentos de Transação. 1. Serviço em Nuvem Os Serviços em Nuvem a seguir são cobertos por esta Descrição do Serviço: 1.1 Serviços em Nuvem de Negócios e Varejo Os Serviços em Nuvem IBM Risk Add-On são concedidos para uso com tipos específicos de Aplicativos. Um Aplicativo é definido como um dos tipos a seguir: Varejo ou Negócios. Ofertas distintas estão disponíveis para Aplicativos de Varejo e Aplicativos de Negócios. a. Um Aplicativo de Varejo é definido como um aplicativo bancário on-line, aplicativo de dispositivo móvel ou aplicativo de comércio eletrônico (e-commerce) projetado para atender consumidores. A política do Cliente pode classificar determinadas empresas de pequeno porte como elegíveis para acesso de varejo. b. Um Aplicativo de Negócios é definido como um aplicativo bancário on-line, aplicativo de dispositivo móvel ou aplicativo de comércio eletrônico (e-commerce) projetado para atender entidades corporativas, institucionais ou equivalentes, ou qualquer aplicativo que não seja categorizado como de Varejo. 1.2 Serviço em Nuvem IBM Risk Assessment Add-On for IBM i2 for Business e/ou o IBM Risk Assessment Add-On for IBM i2 for Retail O IBM Risk Assessment Add-On for IBM i2 é um serviço baseado em nuvem desenvolvido para oferecer a detecção de malware e/ou de uma atividade suspeita de tomada de controle de contas (account takeover), sem agente (agentless) em navegadores que se conectam ao aplicativo de Negócios ou de Varejo, usando ID de dispositivo, detecção de phishing e detecção de roubo de credencial acionada por malware. As ofertas do IBM Risk Assessment Add-on for IBM i2 fornecem outra camada de proteção e visam fornecer scores de avaliação de risco de navegadores ou dispositivos móveis (por meio do navegador nativo ou do aplicativo de dispositivo móvel do Cliente) acessando um aplicativo de Negócios ou de Varejo diretamente para o Cliente. O IBM Risk Assessment Add-On pode ser integrado aos aplicativos de Negócios e/ou de Varejo do Cliente, para os quais o Cliente subscreveu a cobertura e os processos de prevenção de fraudes dos Serviços em Nuvem. Este Serviço em Nuvem inclui: a. TMA: O TMA é disponibilizado no ambiente hospedado na nuvem do IBM Risk Assessment Add-On for IBM i2, por meio do qual o Cliente (e um número ilimitado de sua equipe autorizada) pode: (i) visualizar e fazer download de relatórios de dados e avaliações de risco de determinados eventos e (ii) visualizar, subscrever e configurar a entrega de feeds de ameaça gerados a partir das ofertas do Risk Assessment Add-On for i2. b. Dados de eventos: O Cliente (e um número ilimitado de membros de sua equipe autorizada) pode usar o TMA para receber dados de eventos gerados como um resultado das interações on-line dos Participantes Elegíveis com o(s) Aplicativo(s) de Negócios e/ou Varejo do Cliente para o(s) qual(is) ele subscreveu a cobertura do Serviço em Nuvem, ou o Cliente pode receber os dados dos eventos por meio de um modo de entrega de API de backend. c. Script da Web e/ou APIs: Para implementação em um website para os propósitos de acesso ou uso do Serviço em Nuvem. d. Funcionalidades e serviços aprimorados, incluindo: implementação estendida e serviços de configuração, políticas de segurança customizadas, serviços de investigação, etc. i (11/2017) Página 1 de 10

2 e. Proteção de um aplicativo. Para cada aplicativo adicional, o Cliente deve obter autorização para o IBM Risk Add-On for IBM i2 Additional Applications for Business ou o IBM Risk Add-On for IBM i2 Additional Applications for Retail. f. Suporte Premium g. Policy Manager: O Policy Manager está incluído no serviço Risk Assessment Add-On Premium e está disponível no ambiente hospedado na nuvem do IBM Risk Assessment Add-On for IBM i2, por meio do qual o Cliente (e um número ilimitado de pessoas autorizadas) pode: (i) projetar, testar e implementar na lógica do ambiente de produção para detectar atividade fraudulenta, (ii) desenvolver relatórios e painéis e (iii) visualizar, configurar e definir políticas de segurança e políticas para detectar atividades suspeitas no Aplicativo do cliente. Os serviços de consultoria são necessários para a ativação do recurso Policy Manager e para o suporte de detalhamento adicional necessário. Os detalhes dos serviços de consultoria serão descritos separadamente em uma descrição de trabalho (statement of work). Quando o Policy Manager estiver ativado, a IBM reserva-se o direito de acessar o ambiente do Cliente para fins de suporte, para ajustar as políticas do Cliente a fim de corrigir os principais problemas derivados de mudanças na política. O Cliente compromete-se a proteger os dados expostos através do Policy Manager contra uso indevido. Quando o recurso Policy Manager estiver ativado, o Cliente deve seguir as diretrizes da IBM para a configuração das regras, conforme descrito na documentação. O Cliente reconhece que a IBM não é responsável por qualquer situação que possa decorrer do não seguimento dessas recomendações por parte do Cliente. Qualquer problema de degradação de estabilidade e/ou de serviço que possa surgir devido à configuração incorreta do recurso Policy Manager pelo Cliente não será considerado como Tempo de Inatividade para o cálculo do SLA. Melhores Práticas de Avaliação de Risco Em caso de detecção de malware ou detecção de tomada de controle de conta (account takeover), o Cliente deve seguir o Guia de Melhores Práticas do Pinpoint. O Cliente não deve usar os Serviços em Nuvem do IBM Risk Assessment Add-On for IBM i2 de qualquer forma que possa afetar a experiência do Participante Elegível imediatamente após uma detecção de malware ou de tomada de controle de conta, de forma que isso permitisse que outras pessoas vinculassem ações do Cliente ao uso de ofertas do IBM Risk Assessment Add-On for IBM i2 (por exemplo, notificações, mensagens, bloqueio de dispositivos ou bloqueio de acesso ao Aplicativo de negócios e/ou de varejo imediatamente após uma detecção de malware ou de controle de conta (account takeover). 1.3 Serviços Opcionais Para implementar o IBM Risk Assessment Add-On for IBM i2 for Business, em qualquer Aplicativo de Negócios adicional, além do primeiro Aplicativo, é necessária a autorização para o IBM Risk Add-On for IBM i2 Additional Application for Business. Para implementar o IBM Risk Assessment Add-On for IBM i2 for Retail, em qualquer Aplicativo de Varejo adicional, além do primeiro Aplicativo, é necessária a autorização para o IBM Risk Add-On for IBM i2 Additional Applications for Retail IBM Risk Add-On for IBM i2 Mobile for Business e/ou IBM Risk Add-On for IBM i2 Mobile for Retail Os Serviços em Nuvem IBM Risk Add-On for IBM i2 Mobile são projetados para incluir outra camada de proteção a fim de fornecer acesso seguro à web em Aplicativos de Negócios e/ou varejo, para os quais o Cliente tenha subscrito a cobertura dos Serviços em Nuvem, avaliação de risco dos dispositivos e proteção contra pharming. A detecção de Wi-Fi segura está disponível apenas para plataformas Android. Os Serviços em Nuvem IBM Risk Add-On for IBM i2 Mobile incluem um kit de desenvolvimento de software ("SDK") para dispositivo móvel próprio, um pacote de software contendo documentação, bibliotecas de software próprias para programação e outros arquivos e itens relacionados, bem como o "Componente de Tempo de Execução" ou "Redistribuível", um código próprio gerado pelo IBM Risk Add- i (11/2017) Página 2 de 10

3 On for IBM i2 Mobile SDK que pode ser incorporado e integrado em aplicativos móveis ios ou Android independentes protegidos do Cliente para os quais o Cliente tenha subscrito a cobertura dos Serviços em Nuvem ("Aplicativo de Dispositivo Móvel Integrado do Cliente"). O IBM Risk Add-On for IBM i2 Mobile for Retail está disponível em pacotes de 100 Participantes Elegíveis ou pacotes de 100 Dispositivos de Cliente, e o IBM Risk Add-On for IBM i2 Mobile for Business está disponível em pacotes de 10 Participantes Elegíveis ou pacotes de 10 Dispositivos de Cliente. Através do TMA, o Cliente (e número ilimitado de membros da sua equipe autorizada) pode receber relatórios de dados do evento e avaliações de tendências de risco. Através do Aplicativo de Dispositivo Móvel Integrado do Cliente, o Cliente pode receber informações sobre análise de risco e dispositivos móveis com relação aos dispositivos móveis dos Participantes Elegíveis que fizeram download do Aplicativo de Dispositivo Móvel Integrado do Cliente, permitindo que o Cliente formule uma política de prevenção de fraude ao tornar mandatórias ações de mitigação em relação a estes riscos. Para o propósito desta oferta, "dispositivos móveis" incluem apenas telefones celulares e tablets suportados e não incluem PCs ou MACs. O Cliente pode: a. usar internamente o IBM Risk Add-On for IBM i2 Mobile com o propósito exclusivo de desenvolver o Aplicativo de Dispositivo Móvel Integrado do Cliente. b. integrar o Redistribuível (somente no formato de código objeto) de modo integral não separável no Aplicativo de Dispositivo Móvel Integrado do Cliente. Qualquer parte modificada ou integrada do Redistribuível em conformidade com esta concessão de licença deve estar sujeita aos termos da Descrição de Serviço; e c. comercializar e distribuir o Redistribuível para download para dispositivos móveis dos Participantes Elegíveis ou no portador do Dispositivo do Cliente, desde que: Exceto conforme expressamente permitido neste Contrato, o Cliente (1) não pode usar, copiar, modificar ou distribuir o SDK; (2) não pode reverter a montagem, reverter a compilação ou de qualquer outra forma, converter ou reverter a engenharia do SDK, exceto conforme expressamente permitido por lei, sem a possibilidade de renúncia contratual; (3) não pode sublicenciar, alugar ou arrendar o SDK; (4) não pode remover quaisquer arquivos de direitos autorais ou aviso contidos no Redistribuível; (5) não pode usar o mesmo nome de caminho que os arquivos/módulos do Redistribuível originais; e (6) não pode usar nomes ou marcas comerciais da IBM, de seus licenciadores ou distribuidores em conexão com a comercialização do Aplicativo de Dispositivo Móvel Integrado do Cliente sem o consentimento prévio e por escrito da IBM, do licenciador ou do distribuidor. O Redistribuível deve permanecer integrado de uma forma não separável dentro do Aplicativo de Dispositivo Móvel Integrado do Cliente. O Redistribuível deve estar apenas no formato de código de objeto e deve estar em conformidade com todas as orientações, instruções e especificações no SDK e na sua documentação. O contrato de licença do usuário final para o Aplicativo de Dispositivo Móvel Integrado do Cliente deve notificar o usuário final que o Redistribuível não pode ser i) usado para qualquer outro propósito além de ativar o Aplicativo de Dispositivo Móvel Integrado do Cliente, ii) copiado (exceto para propósitos de backup), iii) adicionalmente distribuído ou transferido, iv) ter sua montagem revertida, compilação revertida ou de outra qualquer outra forma, convertido, exceto conforme especificamente permitido por lei e sem a possibilidade de uma renúncia contratual. O contrato de licença do cliente deve proteger a IBM tanto quanto os termos deste Contrato. O SDK pode ser implantado apenas como parte do desenvolvimento e testes de unidade internos do Cliente em dispositivos de teste móveis especificados do Cliente. O Cliente não está autorizado a usar o SDK para o processamento de cargas de trabalho de produção, simulação de cargas de trabalho de produção ou escalabilidade de testes de qualquer código, aplicativo ou sistema. O Cliente não está autorizado a usar qualquer parte do SDK para quaisquer outros propósitos. O Cliente é o único responsável pelo desenvolvimento, teste e suporte do Aplicativo de Dispositivo Móvel Integrado do Cliente. O Cliente é responsável por toda a assistência técnica para o Aplicativo de Dispositivo Móvel Integrado do Cliente e por quaisquer modificações nos Redistribuíveis feitas pelo Cliente, conforme permitido neste documento. i (11/2017) Página 3 de 10

4 O Cliente está autorizado a instalar e usar os Redistribuíveis e o IBM Security Mobile SDK apenas para suportar o uso dos Serviços em Nuvem pelo Cliente. A IBM testou aplicativos de amostra criados com ferramentas móveis fornecidas no IBM Risk Add-On for IBM i2 Mobile SD ("Mobile Tools") para determinar se eles serão executados corretamente em determinadas versões de plataformas de sistema operacional móveis, da Apple (ios), da Google (Android) e de outras (coletivamente "Mobile OS Platforms"), porém, as Mobile OS Platforms são fornecidas por terceiros, e não estão sob o controle da IBM, e estão sujeitas à mudança sem aviso para a IBM. Desta forma, e não obstante qualquer disposição em contrário, a IBM não garante que quaisquer aplicativos ou outros resultados criados usando as Ferramentas Móveis serão executadas apropriadamente em, interoperarão com ou serão compatíveis com quaisquer Plataformas de SO Móveis ou dispositivos móveis. Componentes de Origem e Materiais de Amostra O IBM Risk Add-On for IBM i2 Mobile SDK pode incluir alguns componentes no formato de códigofonte ("Componentes de Origem") e outros materiais identificados como Materiais de Amostra. O Cliente pode copiar e modificar Componentes de Origem e Materiais de Amostra somente para uso interno, desde que esse uso esteja dentro dos limites dos direitos da licença sob este Contrato e que o Cliente não altere ou exclua quaisquer informações ou avisos sobre direitos autorais contidos nos Componentes de Origem ou nos Materiais de Amostra. A IBM fornece os Componentes de Origem e os Materiais de Amostra sem obrigação de suporte e "NO ESTADO", SEM GARANTIA DE QUALQUER TIPO, SEJA EXPRESSA OU IMPLÍCITA, INCLUINDO GARANTIA DE PROPRIEDADE, NÃO INFRAÇÃO OU NÃO INTERFERÊNCIA E AS GARANTIAS IMPLÍCITAS E CONDIÇÕES DE COMERCIALIZAÇÃO E ADEQUAÇÃO A UM DETERMINADO PROPÓSITO. O Cliente observa que os Componentes de Origem ou os Materiais de Amostra são fornecidos exclusivamente como exemplo de como implementar o Embeddable no CIMA, os Componentes de Origem ou os Materiais de Amostra podem não ser compatíveis com o ambiente de desenvolvimento do Cliente e o Cliente é o único responsável pelos testes e implementação do Embeddable em seu CIMA. O Cliente concorda em criar, reter e fornecer para a IBM e seus auditores registros por escrito precisos, resultados de ferramenta do sistema e outras informações do sistema suficientes para fornecer uma verificação auditável de que o uso do IBM Risk Add-On for IBM I2 Mobile SDK por parte do Cliente está em conformidade com os termos desta Descrição de Serviço. 2. Descrição da Segurança Este Serviço em Nuvem segue os princípios de privacidade e segurança de dados da IBM para os Serviços em Nuvem disponíveis em além de quaisquer termos adicionais fornecidos nesta seção. Qualquer mudança nos princípios de privacidade e de segurança de dados da IBM não reduzirá a segurança do Serviço em Nuvem. Este Serviço em Nuvem pode ser utilizado para processar conteúdo com dados pessoais se o Cliente, como controlador de dados, determinar que as medidas de segurança técnicas e organizacionais são adequadas para os riscos apresentados pelo processamento e pela natureza dos dados a serem protegidos. O Cliente reconhece que este Serviço em Nuvem não oferece recursos para a proteção de dados pessoais sigilosos ou dados sujeitos aos requisitos regulamentares adicionais. Este Serviço em Nuvem está incluído na certificação Privacy Shield da IBM e aplica-se quando o Cliente escolhe hospedar o Serviço em Nuvem em um datacenter localizado nos Estados Unidos e está sujeito à Política de Privacidade Privacy Shield da IBM, disponível em O Serviço em Nuvem criptografa conteúdo durante a transmissão de dados para a rede IBM e a partir dela, bem como enquanto aguarda a transmissão de dados a partir do terminal. 2.1 Uso Lícito e Consentimento Uso Lícito O uso deste Serviço em Nuvem pode envolver várias leis ou regulamentos. O Serviço em Nuvem somente pode ser usado somente para propósitos lícitos e de forma lícita. O Cliente concorda em usar o Serviço em Nuvem em conformidade com as leis, os regulamentos e as políticas aplicáveis, e assume toda a responsabilidade pelo cumprimento dos mesmos. i (11/2017) Página 4 de 10

5 Autorização para Coletar e Processar Dados O Serviço em Nuvem coletará informações de Participantes Elegíveis e Dispositivos Clientes que interagem com Aplicativos de Negócios ou de Varejo para os quais o Cliente subscreveu a cobertura do Serviço em Nuvem. O Serviço em Nuvem coleta informações que, isoladamente ou em conjunto, podem ser consideradas Dados Pessoais em algumas jurisdições. Dados Pessoais são quaisquer informações que podem ser usadas para identificar um indivíduo específico, tais como um nome, endereço de , endereço residencial ou número de telefone que são fornecidas para a IBM armazenar, processar ou transferir em nome do Cliente. Práticas de coleta e processamento de dados podem ser atualizadas para melhorar a funcionalidade do Serviço em Nuvem. Um documento com uma descrição completa das práticas de coleta e processamento de dados é atualizado conforme necessário e estará disponível para o Cliente mediante solicitação. O Cliente autoriza a IBM a coletar essas informações e processá-las de acordo com a seção Transferências Além das Fronteiras e a seção Privacidade de Dados desta Descrição de Serviço. Para ofertas do IBM Fraud Risk Assessment Add-Ons for IBM i2 que incluem o TMA: Os dados a seguir são coletados e armazenados no TMA para administradores do TMA da empresa patrocinadora: endereço de (como login), senha em hash, nome próprio, sobrenome, cargo e departamento. Para Serviços em Nuvem do IBM Risk Assessment Add-On for IBM i2: Dados coletados podem incluir: identificadores de usuário ou de terminal, como ID do Usuário criptografado ou submetido a hash unidirecional, Persistent User ID (PUID) e ID de Sessão do Cliente; dados relacionados ao aplicativo protegido, como atributos/elementos específicos do aplicativo bancário on-line dos clientes conforme renderizados no navegador do usuário final, visitas a websites e histórico de navegação; informações do ambiente de software instalado, atributos e configurações do navegador e do dispositivo e comprimento do histórico do navegador; informações de hardware e registro de data e hora; cabeçalhos do navegador e dados do protocolo de comunicação, como endereço IP do usuário, cookies, cabeçalho de referência e outros cabeçalhos de HTTP; dados do movimento do mouse do usuário final, tais como as coordenadas do ponteiro do mouse, os cliques e o movimento da roda de rolagem (e seus equivalentes) e o registro de data e hora ao interagir com o aplicativo bancário on-line do Cliente; sites de phishing e informações enviadas para sites de phishing; a critério exclusivo do Cliente, o ritmo de digitação no teclado e as sequências de digitação das famílias de teclas usadas pelo usuário final para inserir um nome de usuário, senha e outros textos (mas não as letras, números ou caracteres especiais, e sem a capacidade de discernir o nome de usuário ou senha); e a critério exclusivo do Cliente, dados transacionais (quantia de transação, moeda de transação e códigos de destino, identificador do banco de destino da transação submetido a hash unidirecional, identificador da conta de destino da transação submetido a hash unidirecional, valor binário se a transação for um novo recebedor e data/hora da transação) e, opcionalmente, scores de risco. Ao ativar o Policy Manager, todos os dados estendidos usados são de exclusiva responsabilidade do Cliente. A IBM recomenda o hash ou a criptografia de quaisquer dados que possam ser considerados Identificadores Pessoais. O Cliente entende e concorda que a IBM não está coletando, armazenando, gerenciando ou mantendo os livros e/ou registros oficiais do Cliente. Para ofertas do IBM Risk Add-On for IBM i2 Mobile: Dados coletados podem incluir: identificadores de usuários, tais como ID do Usuário criptografado ou submetido a hash unidirecional; i (11/2017) Página 5 de 10

6 informações sobre o dispositivo, tais como endereço IP, ID do dispositivo submetido a hash, registro de data e hora, valores MD5 do pacote instalado e outras informações de hardware e software do dispositivo; versão e data de instalação do SDK de dispositivo móvel ou do Navegador de dispositivo móvel; visitas a aplicativos protegidos; afiliação do Cliente; e dados de risco do dispositivo (por exemplo, presença de malware, ocultadores de raiz, status de criptografia Wi-Fi, se foi realizado jailbreak em um dispositivo); rastreio de pilha de falhas (crack stack trace) (no caso de término de aplicativo); dados de construção do telefone (por exemplo, modelo, fabricante); interações com a tela de toque por usuários finais, incluindo coordenadas x e y, área de toque e tipo de ação (para cima, para baixo e mover); dados de sensores de movimento, uso de energia/recursos, configurações de conectividade, sensores de ambiente, tais como temperatura, luz e pressão de ar, bem como configurações gerais do dispositivo (volume, toque, brilho da tela, etc.). 2.2 Consentimento Informado dos Titulares dos Dados Para Serviços em Nuvem do IBM Risk Assessment Add-On for IBM i2 para Serviços em Nuvem do IBM Risk Add-On for IBM i2 Mobile: O Cliente concorda que obteve ou irá obter quaisquer consentimentos totalmente informados, permissões ou licenças necessários para permitir o uso lícito do Serviço em Nuvem e para permitir a coleta e o processamento das informações pela IBM através do Serviço em Nuvem. 2.3 Uso de Dados de Segurança Como parte do Serviço em Nuvem, que inclui relatório de atividades, a IBM irá preparar e manter sem identificação e/ou agregadas as informações coletadas do Serviço em Nuvem ("Dados de Segurança"). Os Dados de Segurança não identificarão o Cliente, seus Participantes Elegíveis ou um indivíduo, exceto conforme disposto no item (d) abaixo. O Cliente concorda que a IBM pode usar e/ou copiar perpetuamente os Dados de Segurança apenas para os propósitos a seguir: a. publicação e/ou distribuição dos Dados de Segurança (por exemplo, em compilações e/ou análises relacionadas à segurança cibernética); b. desenvolvimento ou aprimoramento de produtos ou serviço; c. condução de pesquisas internamente ou com terceiros; d. compartilhamento legal de informações confirmadas de perpetradores de terceiros; e e. regras sem identificação do Policy Manager. 2.4 Transferências Além das Fronteiras O Cliente concorda que a IBM pode processar o Conteúdo, incluindo quaisquer Dados Pessoais, conforme identificado na seção denominada Uso Lícito e Consentimento acima, de acordo com as leis e requisitos relevantes além das fronteiras de países para processadores e subprocessadores nos países a seguir fora do Espaço Econômico Europeu e países considerados pela Comissão Europeia como tendo níveis adequados de segurança: os EUA. 2.5 Privacidade de Dados Caso o Cliente disponibilize Dados Pessoais para o Serviço em Nuvem nos Estados Membros da União Europeia, Islândia, Liechtenstein, Noruega ou Suíça, ou se o Cliente tiver Participantes Elegíveis ou Dispositivos Clientes nesses países, o Cliente, como o único controlador de dados, nomeará a IBM como um processador de Dados Pessoais (conforme esses termos foram definidos na Diretiva 95/46/EC da UE). A IBM processará esses Dados Pessoais somente na medida necessária para disponibilizar a oferta de Serviço em Nuvem de acordo com as descrições de Serviços em Nuvem publicadas pela IBM e o Cliente concorda que tal processamento está em conformidade com as instruções do Cliente. A IBM fornecerá notificação com antecedência razoável por meio do Portal do Cliente no caso de uma mudança material no local de processamento ou na maneira que a IBM protege os Dados Pessoais como parte do Serviço em Nuvem. O Cliente pode finalizar o período de subscrição em vigor para o Serviço em Nuvem i (11/2017) Página 6 de 10

7 afetado, mediante notificação por escrito à IBM dentro de trinta (30) dias a contar da notificação da IBM da mudança para o Cliente. As partes ou suas filiais pertinentes podem firmar contratos distintos,não modificados, padrão Cláusula de Modelo da União Europeia em suas funções correspondentes em conformidade com a Decisão da Comunidade Europeia 2010/87/EU com cláusulas opcionais removidas. Todos os litígios ou responsabilidades oriundas desses contratos, mesmo se realizados pelas afiliadas, serão tratados pelas partes como se a disputa ou responsabilidade tivesse surgido entre elas sob os termos deste Contrato. a. O Cliente concorda que, para os serviços prestados pelo datacenter da Alemanha, conforme determinado durante o processo de prestação de serviços, a IBM pode processar conteúdo, incluindo quaisquer Dados Pessoais, além das fronteiras de um país para os seguintes processadores e subprocessadores: Nome do Processador/Subprocessador Função (Processador ou Subprocessador de Dados) Local A entidade contratada da IBM Processador Conforme indicado no Documento de Transação Amazon Web Services (Alemanha) Subprocessador Alemanha IBM Ireland Ltd. Processador Irlanda IBM Israel Ltd. Processador Israel Para os serviços prestados por meio do Data center da Alemanha, alguns serviços de suporte ao cliente podem ser prestados por funcionários da IBM com base em qualquer país da União Europeia. b. O Cliente concorda que, para os serviços prestados pelo datacenter do Japão, conforme determinado durante o processo de prestação de serviços, a IBM pode processar conteúdo, incluindo quaisquer Dados Pessoais, além das fronteiras de um país para os seguintes processadores e subprocessadores: Nome do Processador/Subprocessador Função (Processador ou Subprocessador de Dados) Local A entidade contratada da IBM Processador Japão, conforme indicado no Documento de Transação Amazon Web Services (Japão) Subprocessador Japão IBM Ireland Ltd. Processador Irlanda IBM Israel Ltd. Processador Israel c. O Cliente concorda que, para os serviços prestados pelo datacenter dos EUA, a IBM pode processar conteúdo, incluindo quaisquer Dados Pessoais, além das fronteiras de um país para os seguintes processadores e subprocessadores: Nome do Processador/Subprocessador Função (Processador ou Subprocessador de Dados) Local A entidade contratada da IBM Processador Conforme indicado no Documento de Transação Amazon Web Services LLC Subprocessador Estados Unidos IBM Ireland Ltd. Processador Irlanda IBM Israel Ltd. Processador Israel IBM Corp Processador Estados Unidos d. Para os serviços prestados por meio dos data centers listados na Seção 4.6.c acima, "Data center dos EUA", a IBM também pode processar por meio de um ou mais dos subprocessadores aplicáveis a seguir, conforme determinado durante o processo de prestação de serviço: i (11/2017) Página 7 de 10

8 Nome do Processador/Subprocessador Função (Processador ou Subprocessador de Dados) Local Amazon Web Services (Austrália) Subprocessador Amazon Web Services (Cingapura) Subprocessador Austrália Singapura Amazon Web Services (Irlanda) Subprocessador Irlanda e. O Cliente concorda que a IBM pode, mediante notificação por meio do Portal do Cliente, migrar o processamento de Amazon Web Services para datacenters da IBM. Além disso, a IBM pode, mediante um aviso fornecido por meio do Portal do Cliente, alterar as listas de subprocessadores acima. f. Os dados do Titular da Conta serão processados na região em que o Titular da Conta instalou originalmente o Software Cliente do Titular da Conta. Isso pode significar que o conteúdo do Titular da Conta pode ser processado tanto na região de origem quanto na região acordada com o Cliente. g. Os dados de suporte ao cliente são armazenados em um servidor em nuvem do Salesforce.com que está localizado na Irlanda. Para fins esclarecimento, se o Cliente rescindir um desses Serviços em Nuvem, a IBM poderá manter os dados do Cliente com o objetivo de fornecer ao mesmo os Serviços em Nuvem restantes, pois, de acordo com esta Descrição de Serviço, o IBM Fraud Risk Assessment Add-Ons for IBM i2 é uma solução integrada. 3. Acordo de Nível de Serviço A IBM fornece o seguinte Acordo de Nível de Serviço ("SLA" - Service Level Agreement) de disponibilidade para o Serviço em Nuvem, conforme especificado no PoE. O SLA não é uma garantia. O SLA está disponível apenas para o Cliente e aplica-se apenas ao uso em ambientes de produção. 3.1 Créditos de Disponibilidade O Cliente deve registar um chamado de suporte de Severidade 1 com o help desk de suporte técnico da IBM dentro de 24 horas após o Cliente primeiramente tomar conhecimento de que há um impacto crítico no negócio e o Serviço em Nuvem não está disponível. O Cliente deve ajudar a IBM em qualquer diagnóstico e resolução de problemas. Uma reivindicação de chamado de suporte pela falha em atender um SLA deve ser submetida dentro de três dias úteis após o término do mês contratado. A solução para uma reivindicação de SLA válida será um crédito em uma fatura futura para o Serviço em Nuvem com base no período durante o qual o processamento do sistema de produção para o Serviço em Nuvem não está disponível ("Tempo de Inatividade"). O Tempo de Inatividade é medido a partir do momento em que Cliente relata o evento até o momento em que o Serviço em Nuvem é restaurado, e não inclui: o tempo relacionado a uma interrupção de manutenção planejada ou anunciada; causas além do controle da IBM; problemas com o Conteúdo ou a com tecnologia, designs ou instruções do Cliente ou de terceiros; configurações do sistema e de plataformas não suportadas ou outros erros do Cliente; ou incidente de segurança causado pelo Cliente ou testes de segurança do Cliente. IBM aplicará o mais alto Crédito de Disponibilidade aplicável com base na disponibilidade cumulativa do Serviço em Nuvem durante cada mês contratado, conforme mostrado na tabela abaixo. O total de Crédito de Disponibilidade com relação a qualquer mês contratado não pode exceder 10 por cento de um doze avos (1/12) do encargo anual para o Serviço em Nuvem. 3.2 Níveis de Serviço Disponibilidade do Serviço em Nuvem durante um mês contratado Disponibilidade durante um mês contratado Crédito (% da taxa do encargo mensal* para o mês contratado que é objeto da reivindicação) < 99,9% 2% < 99% 5% < 96% 10% i (11/2017) Página 8 de 10

9 Os Níveis de Serviço e os Créditos de Serviço associados são medidos separadamente por Serviço em Nuvem e por Aplicativo Cliente. Ao calcular créditos de SLA para Serviços em Nuvem com base em autorizações de Aplicativo, a Disponibilidade será calculada com base nas diretrizes a seguir: Cada Aplicativo terá uma parcela ponderada designada com base no volume da quantidade de sessões contadas durante o mês contratado. O tempo de inatividade de cada Serviço em Nuvem por Aplicativo será acumulado separadamente para o mês contratado. Disponibilidade, expressa como uma porcentagem, é calculada como: o número total de minutos em um mês contratado menos o número total de minutos de Tempo de Inatividade em um mês contratado, dividido pelo número total de minutos no mês contratado. 4. Suporte Técnico O Suporte Técnico para os Serviços em Nuvem está disponível para um Cliente e seus Participantes Elegíveis a fim de ajudar em seu uso dos Serviços em Nuvem. O Suporte Padrão está incluído na subscrição de todas as ofertas. O Suporte Premium não está disponível para os Serviços em Nuvem do IBM Risk Add-On for IBM i2 Mobile. Os Clientes e seus Participantes elegíveis podem submeter chamados de suporte eletronicamente, conforme detalhado na publicação Software as a Service [SaaS] Support Handbook: 01.ibm.com/software/support/saas_support_guide.html?product= Informações de Autorização e Faturamento 5.1 Métricas de Encargos O Serviço em Nuvem está disponível sob a métrica de encargos especificada no Documento de Transação: a. Participante Elegível é uma unidade de medida pela qual o Serviço em Nuvem pode ser obtido. Cada indivíduo ou entidade elegível a participar de qualquer programa de prestação de serviço gerenciado ou controlado pelo Serviço em Nuvem é um Participante Elegível. Devem ser obtidas autorizações suficientes para cobrir todos os Participantes Elegíveis gerenciados ou controlados pelo Serviço em Nuvem durante o período de medição especificado no Documento de Transação do Cliente. Cada programa de prestação de serviço gerenciado pelo Serviço em Nuvem é analisado separadamente e, então, adicionado aos outros. Indivíduos ou entidades elegíveis para diversos programas de prestação de serviço requerem autorizações distintas. Para propósitos de autorização desses Serviços em Nuvem, um Participante Elegível é um usuário final de um Cliente, que possui credenciais de login exclusivas para um Aplicativo de Negócios ou de Varejo do Cliente. b. Dispositivo Cliente é uma unidade de medida pela qual o Serviço em Nuvem pode ser obtido. Um Dispositivo Cliente é um dispositivo de computação de um único usuário ou um sensor com propósito especial ou um dispositivo de telemetria que solicita a execução de, ou recebe para execução, um conjunto de comandos, procedimentos ou solicitações, ou fornece dados para outro sistema de computador que geralmente é referido como um servidor, ou é, de qualquer outra forma, gerenciado pelo servidor. Diversos Dispositivos Clientes podem compartilhar acesso a um servidor comum. Um Dispositivo do Cliente pode ter alguma capacidade de processamento ou ser programável para permitir que um usuário trabalhe. O Cliente deve obter autorizações para cada Dispositivo Cliente que executa, fornece dados, usa serviços fornecidos ou acessa de outra forma o Serviço em Nuvem durante o período de medição especificado no Documento de Transação do Cliente. c. Aplicativo é uma unidade de medida pela qual o Serviço em Nuvem pode ser obtido. Um Aplicativo é um programa de software com nome exclusivo. Devem ser obtidas autorizações suficientes para cada Aplicativo disponibilizado para acesso e uso durante o período de medição especificado no PoE ou no Documento de Transação do Cliente. i (11/2017) Página 9 de 10

10 5.2 Verificação Para o Serviço em Nuvem, um Aplicativo é um único Aplicativo de Negócios ou de Varejo do Cliente. O cliente irá i) manter, e fornecer mediante solicitação, registros e resultados obtidos de ferramentas do sistema, conforme razoavelmente necessário para que a IBM e seu auditor independente verifiquem a conformidade do Cliente com o Contrato e ii) prontamente solicitar e pagar pelas autorizações necessárias nos encargos da IBM em vigor, bem como por outros encargos e passivos apurados como resultado de tal verificação, conforme a IBM especificar em uma fatura. Essas obrigações de verificação de conformidade permanecem aplicáveis durante a vigência do Serviço em Nuvem e pelos dois anos subsequentes. 6. Opções de Vigência e Renovação A vigência do Serviço em Nuvem começa na data em que a IBM notifica o Cliente sobre seu acesso ao Serviço em Nuvem, conforme documentado no PoE. O PoE especificará se o Serviço em Nuvem será renovado automaticamente, continuará em uma base de uso contínuo ou terminará no final da vigência. Para renovação automática, a menos que o Cliente forneça um aviso prévio de rescisão, por escrito, pelo menos 90 dias antes da data de expiração da vigência, o Serviço em Nuvem será renovado automaticamente pela duração especificada no PoE. No caso de uso contínuo, o Serviço em Nuvem continuará disponível, mês a mês, até que o Cliente forneça um aviso prévio de rescisão, por escrito, noventa (90) dias antes do término. O Serviço em Nuvem permanecerá disponível até o final do mês civil após tal período de 90 dias. 7. Termos Adicionais 7.1 Implementação do IBM Fraud Risk Assessment Add-Ons for IBM i2 Para cada Aplicativo subscrito pelo Cliente, a subscrição básica do Cliente inclui as atividades de configuração e implementação inicial necessárias na nuvem da IBM, incluindo inicialização única, configuração, Modelo Splash, teste e treinamento iniciais. As atividades de implementação não incluem as atividades de implementação necessárias nos aplicativos ou sistemas do Cliente. A fase de implementação dos vários Serviços em Nuvem é projetada para ser implementada em prazos conforme detalhado nos guias de implementação relevantes. A conclusão dessas fases de implementação dentro do prazo alocado depende do compromisso e da participação integrais da gerência e da equipe do Cliente. O Cliente deve fornecer as informações necessárias oportunamente. O desempenho da IBM é previsto com base nas informações e decisões oportunas do Cliente e qualquer atraso poderá resultar em custos adicionais e/ou atraso na conclusão desses serviços de implementação. Para cada Aplicativo subscrito pelo Cliente, a subscrição básica do Cliente inclui atividades de configuração e implementação inicial necessárias na nuvem da IBM, incluindo inicialização única, configuração, Modelo Splash, teste e treinamento iniciais. A subscrição do Cliente inclui suporte e teste para as páginas nas quais esse aplicativo do Cliente será identificado como recomendado pela IBM na implementação inicial. A IBM não é responsável por: (i) implementação parcial, (ii) opção do Cliente por não implementar os serviços de nuvem da IBM, conforme recomendado pela IBM ou (iii) a opção do Cliente por conduzir a implementação, configuração e teste por conta própria. (iv) implementação ou proteção parcial resultante de informações inadequadas fornecidas pelo Cliente. Serviços adicionais, incluindo atividades de implementação além da implementação inicial, podem ser contratados mediante o pagamento de um encargo adicional sob um contrato distinto. i (11/2017) Página 10 de 10