Serviços Gerenciados de Segurança da IBM (Computação em Nuvem) gerenciamento de segurança dos dispositivos móveis

Transcrição

1 Serviços Gerenciados de Segurança da IBM (Computação em Nuvem) gerenciamento de segurança dos dispositivos móveis INTC Página 1 de 17

2 Índice 1. Escopo dos Serviços Definições Serviços Centros de Operações de Segurança Portal Responsabilidades da IBM em Relação ao Portal Responsabilidades da Empresa em Relação ao Portal Contatos dos Serviços Responsabilidades da IBM em Relação aos Contatos dos Serviços Responsabilidades da Empresa em Relação aos Contatos dos Serviços Inteligência de Segurança Responsabilidades da IBM em Relação à Inteligência de Segurança Responsabilidades da Empresa em Relação à Inteligência de Segurança Gateway de Segurança Remota Responsabilidades da IBM em Relação do Gateway de Segurança Remota Responsabilidades da Empresa em Relação do Gateway de Segurança Remota Cliente de Segurança do Dispositivo Responsabilidades da IBM em Relação ao Cliente de Segurança do Dispositivo Responsabilidades da Empresa em Relação ao Cliente de Segurança do Dispositivo Painel de Autoatendimento de Segurança Remota Responsabilidades da IBM em Relação ao Painel de Autoatendimento de Segurança Remota Responsabilidades da Empresa em Relação ao Painel de Autoatendimento de Segurança Remota Suporte ao Dispositivo Apple ios Responsabilidade da IBM em Relação ao Suporte ao Dispositivo Apple ios Responsabilidade da Empresa em Relação ao Suporte ao Dispositivo Apple ios Implementação e Ativação Responsabilidades da IBM em Relação à Implementação e à Ativação Responsabilidades da Empresa em Relação à Implementação e à Ativação Monitoramento e Gerenciamento Responsabilidades da IBM em Relação ao Monitoramento e ao Gerenciamento Responsabilidades da Empresa em Relação ao Monitoramento e ao Gerenciamento Relatório de Serviços Responsabilidades da IBM em Relação ao Relatório de Serviços Responsabilidades da Empresa em Relação ao Relatório de Serviços Coleta e Arquivamento Responsabilidades da IBM em Relação à Coleta e ao Arquivamento...15 INTC Página 2 de 17

3 Responsabilidades da Empresa em Relação à Coleta e ao Arquivamento Acordos de Nível de Serviço Disponibilidade dos SLAs Compensações de SLA Outros Termos e Condições Geral Sistemas de Terceiros Renúncia de Responsabilidade...17 INTC Página 3 de 17

4 Descrição dos Serviços Serviços Gerenciados de Segurança da IBM (Computação em Nuvem) - Gerenciamento de Segurança dos Dispositivos Móveis EM ADITAMENTO AOS TERMOS E CONDIÇÕES ESPECIFICADOS ABAIXO, ESTA DESCRIÇÃO DOS SERVIÇOS INCLUI AS "DISPOSIÇÕES GERAIS DOS SERVIÇOS GERENCIADOS DE SEGURANÇA DA IBM" ("DISPOSIÇÕES GERAIS") DISPONÍVEIS EM E INCORPORADAS NESTE DOCUMENTO POR REFERÊNCIA. 1. Escopo dos Serviços Os Serviços Gerenciados de Segurança da IBM Gerenciamento de Segurança dos Dispositivos Móveis (denominado "MDS" ou "Serviços") foram desenvolvidos para fornecer ao Destinatário dos Serviços a implementação e o gerenciamento de segurança remota utilizando software de segurança para dispositivos móveis, ferramentas de gerenciamento centralizadas e serviços de segurança. As características dos Serviços descritas no presente documento dependem da disponibilidade e da compatibilidade dos produtos que estão sendo utilizados e de suas respectivas características. É possível que nem todas as características do produto sejam compatíveis, inclusive no caso de produtos compatíveis. A IBM disponibiliza informações sobre as características compatíveis mediante solicitação. Isso inclui hardware, software e firmware da IBM e de terceiros. 2. Definições Condição de Alerta ( AlertCon ) uma métrica de risco global desenvolvida pela IBM utilizando métodos proprietários. O AlertCon baseia-se em diversos fatores, incluindo a quantidade e a severidade de vulnerabilidades conhecidas, os ataques a essas vulnerabilidades, a acessibilidade pública a tais ataques, atividade de worm de propagação em massa e atividade global de ameaças. Os quatro níveis de AlertCon estão descritos no portal Serviços Gerenciados de Segurança da IBM ( IBM MSS ) (denominado "Portal"). Cliente de Segurança do Dispositivo ( Cliente ) Um aplicativo de segurança para ser transferido por download e instalado no dispositivo móvel. Executa as funções de segurança para o dispositivo móvel e se comunica com o Gateway para obter as políticas e as configurações de segurança. Materiais de Apoio incluem, entre outros, manuais de laboratório, anotações do instrutor, material impresso, metodologias, curso eletrônico, e imagens, políticas e procedimentos de estudo de caso, bem como os demais materiais exclusivos de treinamento criados pela IBM ou em seu nome. Quando aplicável, os Materiais de Apoio também podem incluir manuais do participante, exercícios, documentos de laboratório e slides da apresentação fornecidos pela IBM. Gateway de Segurança Remota ( Gateway ) Uma ferramenta baseada na web utilizada pela sua equipe de TI ou helpdesk e pelos administradores IBM para executar tarefas de gerenciamento da solução. Portal Uma ferramenta de gerenciamento baseada na web utilizada pelos seus contatos autorizados para obter informações e interagir com a equipe da IBM. Painel de Autoatendimento de Segurança Remota Uma ferramenta baseada na web utilizada pelos usuários do Cliente de Segurança do Dispositivo para executar determinadas tarefas da solução. 3. Serviços A tabela a seguir destaca as características mensuráveis dos Serviços. As seções subsequentes fornecem uma descrição de cada característica. Resumo das Características dos Serviços Característica dos Serviços Métrica ou Qtde. Acordos de Nível de Serviço Disponibilidade dos serviços 100% SLA de disponibilidade dos serviços Disponibilidade do Portal IBM 99,9% SLA de disponibilidade do Portal IBM INTC Página 4 de 17

5 Contatos de Segurança Autorizados Usuários administrativos do Gateway de Segurança Remota Usuários privados de dados do Gateway de Segurança Remota 3 usuários Indisponível 3 usuários Indisponível 3 usuários Indisponível Solicitação de mudança de política Reconhecimento da solicitação de mudança de política Implementação da solicitação de mudança de política Até 4 por mês 2 horas 24 horas Indisponível SLA de reconhecimento da solicitação de mudança de política SLA de implementação da solicitação de mudança de política 3.1 Centros de Operações de Segurança Os Serviços Gerenciados de Segurança da IBM são oferecidos a partir de uma rede de Centros de Operações de Segurança da IBM ( SOCs ). A IBM fornecerá acesso aos SOCs 24 horas por dia, sete dias por semana. 3.2 Portal O Portal oferece acesso a um ambiente (e ferramentas associadas) desenvolvido para monitorar e gerenciar as condições de segurança de sua empresa, por meio da fusão de dados tecnológicos e de serviços de diversos fornecedores e geografias em uma interface comum baseada na web. O Portal também pode ser utilizado para fornecer Materiais de Apoio. Esses Materiais não são vendidos. Eles são licenciados e de propriedade exclusiva da IBM. A IBM concede uma licença de acordo com os termos estabelecidos no Portal. OS MATERIAIS DE APOIO SÃO FORNECIDOS NO ESTADO EM QUE SE ENCONTRAM, SEM GARANTIA OU INDENIZAÇÃO DE QUALQUER TIPO, EXPRESSA OU IMPLÍCITA, POR PARTE DA IBM, INCLUINDO, ENTRE OUTROS, GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM DETERMINADO PROPÓSITO E NÃO VIOLAÇÃO DE DIREITOS DE EXCLUSIVIDADE E DE PROPRIEDADE INTELECTUAL Responsabilidades da IBM em Relação ao Portal a. fornecer acesso ao Portal 24 horas por dia, sete dias por semana. O Portal fornecerá: (1) notificação e alerta de inteligência de segurança; (2) informações de chamados de serviços; (3) inicialização e atualizações de chamados e fluxos de trabalho; (4) bate-papo ao vivo e colaboração com analistas do SOC; (5) um painel de relatório com base em modelos; (6) autorização para fazer o download de dados e (7) acesso aos Materiais de Apoio de acordo com os termos estabelecidos no Portal; e b. manter a disponibilidade do Portal de acordo com as métricas fornecidas nesta Descrição dos Serviços, na seção intitulada Acordos de Nível de Serviço, Disponibilidade do Portal IBM Responsabilidades da Empresa em Relação ao Portal a. utilizar o Portal para executar as atividades diárias dos Serviços operacionais, conforme necessário; b. garantir que os funcionários com acesso ao Portal cumpram com os Termos de Uso estabelecidos no Portal, incluindo, entre outros, os termos associados aos Materiais de Apoio; INTC Página 5 de 17

6 c. proteger, de forma apropriada, suas credenciais de login do Portal (incluindo a não divulgação de tais credenciais a pessoas não autorizadas); d. notificar a IBM imediatamente em caso de suspeita de comprometimento de suas credenciais de login; e e. indenizar e isentar a IBM de quaisquer perdas contraídas pela própria empresa ou por terceiros, como resultado da não proteção das credenciais de login. 3.3 Contatos dos Serviços É possível escolher entre os diversos níveis de acesso ao SOC e ao Portal para acomodar as várias funções dentro de sua organização. Contatos de Segurança Autorizados Um Contato de Segurança Autorizado é definido como um tomador de decisão responsável por todos os problemas operacionais relacionados aos Serviços Gerenciados de Segurança da IBM. Contatos Designados para os Serviços Um Contato Designado para os Serviços é definido como um tomador de decisão responsável por um subconjunto de problemas operacionais relacionados aos Serviços Gerenciados de Segurança da IBM, a um Agente ou a um grupo de Agentes. A IBM só fará interface com um Contato Designado para o Serviço a respeito das atividades operacionais pertencentes ao subconjunto sob responsabilidade desse contato (por exemplo, contato designado de indisponibilidade do Agente). Usuários do Portal A IBM oferece diversos níveis de acesso aos Usuários do Portal. Esses níveis de acesso podem ser aplicados aos Serviços Gerenciados de Segurança da IBM, a um Agente ou a um grupo de Agentes. Os Usuários do Portal serão autenticados por meio de senha estática ou por tecnologia de criptografia de chave pública a ser fornecida (por exemplo, token RSA SecureID) com base em seus requisitos. Usuários Administrativos do Gateway de Segurança Remota ( Usuário Admin do MSG ) Um Usuário Administrativo do Gateway de Segurança Remota é definido como um usuário do Gateway de Segurança Remota com capacidade e permissão para executar comandos administrativos nos dispositivos móveis registrados, incluindo localização remota, bloqueio e limpeza, bem como gerenciamento de desativações dos dispositivos e de reconfiguração de senha de usuário do Cliente de Segurança do Dispositivo. Usuários de Dados Pessoais do Gateway de Segurança Remota ( Usuário de Dados Pessoais do MSG ) Um Usuário de Dados Pessoais do Gateway de Segurança Remota é definido como um usuário do Gateway de Segurança Remota com capacidade e permissão para ativar o rastreamento e a monitoração de usuários de dispositivos móveis específicos, além de visualizar os resultados Responsabilidades da IBM em Relação aos Contatos dos Serviços Contatos de Segurança Autorizados a. permitir a criação de até três Contatos de Segurança Autorizados; b. fornecer a cada Contato de Segurança Autorizado: (1) autorização para criar um número ilimitado de Contatos Designados para os Serviços e de Usuários do Portal; (2) autorização para delegar responsabilidades aos Contatos Designados para os Serviços; c. estabelecer interface com os Contatos de Segurança Autorizados a respeito das questões de suporte e notificação relacionados aos Serviços; e d. verificar a identidade dos Contatos de Segurança Autorizados utilizando um método de autenticação com passphrase de desafio pré-compartilhada. Contatos Designados para os Serviços a. verificar a identidade dos Contatos Designados para os Serviços utilizando um método de autenticação com passphrase de desafio pré-compartilhada; e INTC Página 6 de 17

7 b. estabelecer interface somente com os Contatos Designados para os Serviços a respeito do subconjunto de questões operacionais sob responsabilidade desses contatos. Usuários do Portal a. fornecer acesso ao Portal, com recursos que incluem (quando aplicável): (1) envio de solicitações de Serviços aos SOCs; (2) comunicação via "bate-papo ao vivo" com analistas do SOC a respeito de incidentes ou chamados específicos, gerados como parte dos Serviços; (3) criação de chamados internos relacionados aos Serviços e designar tais chamados para os Usuários do Portal; (4) consulta, visualização e atualização de chamados relacionados aos Serviços; (5) planejamento e execução de relatórios; b. autenticar Usuários do Portal utilizando senha estática; e c. autenticar Usuários do Portal utilizando uma tecnologia de criptografia de chave pública a ser fornecida (por exemplo, token RSA SecureID) com base em seus requisitos. Usuários Admin do MSG a. fornecer acesso ao Gateway de Segurança Remota, com recursos que incluem (quando aplicável): (1) capacidade de executar comandos administrativos em dispositivos móveis registrados, incluindo: (a) localização remota, bloqueio e limpeza; (b) gerenciamento de desativações de dispositivos; e (c) reconfiguração de senha de usuário do Cliente de Segurança do Dispositivo. Usuários de Dados Pessoais do MSG a. fornecer acesso ao Gateway de Segurança Remota, com recursos que incluem: (1) ativação de rastreamento e monitoração de usuário do Cliente de Segurança do Dispositivo para dispositivos móveis específicos; e (2) revisão dos dados de rastreamento de usuário coletados para usuários específicos Responsabilidades da Empresa em Relação aos Contatos dos Serviços Contatos de Segurança Autorizados a. fornecer à IBM as informações de contato referentes a cada Contato de Segurança Autorizado. Os Contatos de Segurança Autorizados serão responsáveis por: (1) criar Contatos Designados para os Serviços e delegar-lhes responsabilidades e permissões, quando aplicável; (2) criar usuários do Portal; (3) autenticar com os SOCs utilizando uma passphrase de desafio pré-compartilhada; e (4) manter suas informações de contato e caminhos de notificação, além de fornecer tais informações à IBM; b. disponibilizar pelo menos um Contato de Segurança Autorizado 24 horas/dia, 7 dias/semana; INTC Página 7 de 17

8 c. informar à IBM, no prazo de três dias úteis, sobre alterações nas informações do Contato de Segurança Autorizado; e d. reconhecer que só é permitido possuir, no máximo, três Contatos de Segurança Autorizados, independentemente do número de serviços IBM ou assinaturas de Agente contratados. Contatos Designados para os Serviços a. fornecer à IBM as informações de contato e as responsabilidades da função referentes a cada Contato Designado para os Serviços. Tais Contatos Designados para os Serviços serão responsáveis pela autenticação com os SOCs utilizando uma passphrase; e b. reconhecer que talvez seja necessário disponibilizar um Contato Designado para os Serviços 24 horas/dia, 7 dias/semana, com base no subconjunto de responsabilidades do Contato (ou seja, indisponibilidade do Agente). Usuários do Portal A Empresa concorda em que: a. os Usuários do Portal o utilizarão para executar atividades diárias de Serviços operacionais; b. os Usuários do Portal serão responsáveis pelo fornecimento de tokens RSA SecureID compatíveis com a IBM (quando aplicável); e c. os Usuários do Portal não terão contato direto com os SOCs, a menos que eles também sejam Contatos de Segurança Autorizados ou Contatos Designados para os Serviços. Usuários Admin do MSG a. executar comandos administrativos em dispositivos móveis registrados a partir do Gateway de Segurança Remota, incluindo: (1) localização remota, bloqueio e limpeza; (2) gerenciamento de desativações de dispositivos; e (3) reconfiguração de senha de usuário do Cliente de Segurança do Dispositivo. Usuários de Dados Pessoais do MSG a. ativar o rastreamento e a monitoração de usuário do Cliente de Segurança do Dispositivo para dispositivos móveis específicos, a partir do Gateway de Segurança Remota; e b. revisar os resultados obtidos do Gateway de Segurança Remota. 3.4 Inteligência de Segurança A inteligência de segurança é fornecida pelo Centro de Análise de Ameaças IBM X-Force. O Centro de Análise de Ameaças X-Force publica o nível de ameaça AlertCon na Internet. O AlertCon descreve as variações progressivas de alerta das condições atuais de ameaça à segurança na Internet. Caso as condições de ameaça à segurança na Internet sejam elevadas ao AlertCon 3, o que indica ataques focados que exigem ação defensiva imediata, a IBM fornecerá acesso em tempo real ao seu resumo de instruções da situação global. Como usuário do Portal, a empresa tem acesso ao Serviço de Análise de Ameaças Hospedado no X-Force. O Serviço de Análise de Ameaças Hospedado no X-Force inclui acesso ao Insight Trimestral de Ameaças X-Force IBM ( IQ de Ameaças ). Utilizando o Portal, é possível criar uma lista de observação de vulnerabilidade com informações de ameaças customizadas. Além disso, cada Usuário do Portal pode fazer uma solicitação para receber um de avaliação da Internet todo dia útil. Essa avaliação fornece uma análise das condições das ameaças na Internet conhecidas atualmente, dos dados de métricas de portas da Internet em tempo real e das notícias personalizadas de alertas, orientações e segurança. INTC Página 8 de 17

9 Observação: O acesso e o uso da inteligência de Segurança fornecidos por meio do Portal (incluindo o IQ de Ameaças e o diário de avaliação da Internet) estão sujeitos aos Termos de Uso estabelecidos no contrato. Caso os Termos de Uso entrem em conflito com os termos desta Descrição dos Serviços ou quaisquer documentos de contratos associados, os Termos de Uso do Portal devem prevalecer. Em aditamento aos Termos de Uso estabelecidos no Portal, a utilização de informações em qualquer link, ou website não IBM, e de recursos estão sujeitos aos termos de uso desses recursos e dos termos postados em tais links ou websites não IBM Responsabilidades da IBM em Relação à Inteligência de Segurança a. fornecer acesso ao Serviço de Análise de Ameaças Hospedado no X-Force; b. fornecer um nome de usuário, senha, URL e permissões adequadas para acesso ao Portal; c. exibir informações de segurança no Portal assim que elas forem disponibilizadas; d. em caso de configuração por parte da Empresa, fornecer, por meio do Portal, inteligência de segurança específica para a lista definida de observação de vulnerabilidade; e. caso seja solicitado, fornecer de avaliação de segurança na Internet para cada dia útil; f. publicar no Portal um AlertCon de Internet; g. declarar uma emergência de Internet caso o nível diário do AlertCon atinja AlertCon 3. Nesse caso, a IBM fornecerá acesso em tempo real ao seu resumo de instruções da situação global; h. fornecer a funcionalidade das características do Portal para que uma lista de observação de vulnerabilidade possa ser criada e mantida; i. fornecer informações adicionais sobre alertas, orientações ou outros problemas de segurança importantes que a IBM julgar necessários; e j. fornecer acesso ao IQ de ameaças por meio do Portal Responsabilidades da Empresa em Relação à Inteligência de Segurança A Empresa concorda em utilizar o Portal para: a. receber diário de avaliação de segurança da Internet, se desejado; b. criar uma lista de observação de vulnerabilidade, se desejado; c. acessar o IQ de Ameaças; e d. fornecer o contrato para aderir ao acordo de licenciamento e não encaminhar informações de Serviços às pessoas sem licença apropriada. 3.5 Gateway de Segurança Remota O Gateway de Segurança Remota é uma ferramenta baseada na web para que sua equipe de TI ou helpdesk execute determinadas tarefas, como localizar, bloquear ou limpar um dispositivo móvel em nome de um de seus funcionários Responsabilidades da IBM em Relação do Gateway de Segurança Remota a. fornecer acesso ao Gateway de Segurança Remota 24 horas por dia, sete dias por semana; b. fornecer credenciais de acesso aos Usuários Admin do MSG designados pela sua Empresa; e c. fornecer credenciais de acesso aos Usuários de Dados Pessoais do MSG designados pela sua Empresa Responsabilidades da Empresa em Relação do Gateway de Segurança Remota a. assegurar que os funcionários que acessam o Gateway de Segurança Remota em seu nome cumpram com os Termos de Uso estabelecidos no documento; b. responsabilizar-se pela utilização das funções do Gateway de Segurança Remota fornecidas de acordo com as leis e regulamento do local; c. proteger, de forma apropriada, suas credenciais de login do Gateway de Segurança Remota (incluindo a não divulgação de tais credenciais a pessoas não autorizadas); INTC Página 9 de 17

10 d. gerenciar desativações dos dispositivos e reconfigurações de senha de usuário do Cliente de Segurança do Dispositivo, quando aplicável; e. notificar a IBM imediatamente em caso de suspeita de comprometimento de suas credenciais de login; e f. indenizar e isentar a IBM de quaisquer perdas contraídas pela própria empresa ou por terceiros, como resultado da não proteção das credenciais de login. 3.6 Cliente de Segurança do Dispositivo O Cliente de Segurança do Dispositivo é um software fornecido pela IBM, sem custo adicional, a ser instalado nos dispositivos móveis designados pela Empresa para serem gerenciados como parte dos Serviços Responsabilidades da IBM em Relação ao Cliente de Segurança do Dispositivo a. fornecer instruções, que podem ser repassadas aos usuários da Empresa, sobre como fazer o download e instalar o Cliente de Segurança do Dispositivo em seus dispositivos; e b. mediante solicitação, fornecer instruções sobre como obter o Cliente de Segurança do Dispositivo, de modo a disponibilizar o software a seus usuários a partir de seu próprio site de download ou sistema de gerenciamento de dispositivo Responsabilidades da Empresa em Relação ao Cliente de Segurança do Dispositivo a. fornecer aos seus usuários as instruções da IBM sobre como fazer o download do Cliente de Segurança do Dispositivo em seus dispositivos; e b. conforme necessário, obter o software Cliente de Segurança do Dispositivo da IBM e disponibilizálo aos seus usuários a partir de seu próprio site de download ou sistema de gerenciamento de dispositivo. 3.7 Painel de Autoatendimento de Segurança Remota O Painel de Autoatendimento de Segurança Remota foi desenvolvido para que os usuários do Cliente executem funções de segurança dos dispositivos diretamente, sem o envolvimento da equipe da IBM ou da equipe de TI/helpdesk de sua Empresa. O Painel de Autoatendimento de Segurança Remota fornecerá funções como localização, bloqueio e limpeza de dispositivos remotos, todos sob demanda, de acordo com o dispositivo do usuário Responsabilidades da IBM em Relação ao Painel de Autoatendimento de Segurança Remota a. fornecer acesso ao Painel de Autoatendimento de Segurança Remota para os usuários do Cliente de sua empresa, 24 horas por dia, sete dias por semana Responsabilidades da Empresa em Relação ao Painel de Autoatendimento de Segurança Remota a. orientar seus usuários sobre como registrar os dispositivos nos Serviços e acessar o Painel de Autoatendimento de Segurança Remota; b. assegurar que os usuários finais protejam adequadamente suas credenciais de login do Painel de Autoatendimento de Segurança Remota (incluindo a não divulgação de tais credenciais a pessoas não autorizadas); c. ao utilizar o Gateway de Segurança Remota, reconfigurar imediatamente a senha de qualquer usuário caso haja suspeita de comprometimento das credenciais de login; e d. indenizar e isentar a IBM de quaisquer perdas contraídas pela própria empresa ou por terceiros, como resultado da não proteção das credenciais de login. 3.8 Suporte ao Dispositivo Apple ios Os Serviços incluem recursos para os dispositivos Apple ios, que exigem a utilização de perfis de configuração da Apple e o serviço de notificação push da Apple. A utilização desses recursos pode exigir um certificado gerado pela Apple para fornecer gerenciamento dos dispositivos ios de sua Empresa. INTC Página 10 de 17

11 3.8.1 Responsabilidade da IBM em Relação ao Suporte ao Dispositivo Apple ios a. fornecer um guia sobre como obter o certificado necessário da Apple; e b. instalar o certificado Apple em nossos sistemas para autorizar o gerenciamento dos dispositivos Apple ios de sua Empresa Responsabilidade da Empresa em Relação ao Suporte ao Dispositivo Apple ios a. obter um certificado da Apple para a organização, seguindo os processos e procedimentos da Apple, incluindo solicitar os programas necessários e pagar as taxas, se houver; b. obter anualmente (ou conforme exigido pela Apple) um certificado atualizado para a organização, utilizando o processo de solicitação de certificado da Apple; e c. fornecer à IBM o certificado atualizado da Apple. 3.9 Implementação e Ativação Durante a implementação e a ativação, a IBM trabalhará em conjunto com a Empresa para implementar os componentes de tecnologia em seu ambiente e fazer a transição para o gerenciamento steady-state Responsabilidades da IBM em Relação à Implementação e à Ativação A IBM executará as atividades a seguir a fim de ativar o Serviço de sua Empresa. Atividade 1 - Início do Projeto O objetivo desta atividade é conduzir a chamada de início do projeto. A IBM enviará um de boasvindas e conduzirá uma chamada de início, de até uma hora, para no máximo três pessoas de sua equipe para: a. apresentar o Ponto de Contato de sua Empresa ao especialista de implementação designado da IBM; b. revisar as respectivas responsabilidades de cada parte; c. estabelecer as expectativas de planejamento; e d. iniciar a avaliação dos requisitos e ambiente de sua Empresa. Critérios de Conclusão: Esta atividade será considerada concluída quando a IBM tiver conduzido a chamada de início do projeto. Materiais para Entrega: Nenhum Atividade 2 - Avaliação O objetivo desta atividade é avaliar os requisitos atuais de negócios e de tecnologia de sua Empresa, relacionados à segurança remota, a fim de desenvolver as políticas e configurações necessárias. Tarefa 1 - Reunir Dados a. fornecer um formulário para coletar dados sobre: (1) política de negócios para o uso de dispositivos móveis no ambiente de trabalho de sua Empresa; (2) requisitos específicos de segurança relacionados aos dispositivos móveis; (3) nomes, informações de contato, funções e responsabilidades dos membros da equipe; (4) requisitos exclusivos do país e do local; (5) número e tipo de usuários do Cliente de Segurança do Dispositivo; e (6) motivadores e/ou dependências chave dos negócios que possam influenciar a entrega e as linhas de tempo dos Serviços. Observação: A IBM pode alterar o formulário de coleta de dados quando julgar necessário, ao longo do desempenho dos Serviços. INTC Página 11 de 17

12 b. planejar reuniões, conforme necessário, para esclarecer as perguntas e respostas (quando a IBM julgar necessário). Tarefa 2 - Requisitos de Avaliação a. utilizar as informações fornecidas no formulário de coleta de dados para avaliar os requisitos de segurança remota de sua Empresa; e b. trabalhar em conjunto com sua empresa para estabelecer grupo de usuários, direitos de acesso de administrador, e recursos, políticas e configurações de segurança para atender às suas necessidades. Critérios de Conclusão: Esta atividade será considerada concluída quando a IBM tiver recebido o formulário de coleta de dados completo e avaliado os requisitos de sua Empresa. Materiais para Entrega: Nenhum Atividade 3 - Implementação O objetivo desta atividade é implementar a solução, incluindo o mapeamento dos requisitos identificados para as políticas e configurações do Gateway de Segurança Remota. a. criar uma conta de cliente para sua Empresa; b. criar, no máximo, 10 grupos de políticas, conforme necessário; c. criar contas administrativas para a equipe de helpdesk de sua Empresa e configurar funções, direitos de acesso e permissões, conforme necessário; d. permitir que o acordo a respeito dos amplos recursos de segurança corporativos padrão seja implementado; e. configurar e implementar as políticas, perfis e configurações necessários aos vários recursos de segurança; f. gerar um código de licença para ativar o cliente de Segurança do Dispositivo; g. fornecer as informações de conexão e acesso ao Gateway de Segurança Remota; e h. verificar a conexão, a disponibilidade e a funcionalidade do Painel de Autoatendimento de Segurança Remota, e resolver os problemas conforme necessário. Critérios de Conclusão: Esta atividade será considerada concluída quando a IBM tiver fornecido acesso ao Gateway de Segurança Remota e verificado o acesso de sua Empresa ao Painel de Autoatendimento de Segurança Remota. Materiais para Entrega: Nenhum. Atividade 4 - Treinamento e Ativação O objetivo desta atividade é permitir que sua equipe de helpdesk entregue o Cliente de Segurança do Dispositivo aos usuários, e execute atividades de autoatendimento. a. fornecer o Material de Apoio pelo menos um dia antes do treinamento; b. conduzir, remotamente, um treinamento de até 90 minutos para no máximo 3 membros de sua equipe de helpdesk, a fim de utilizar o Gateway de Segurança Remota, manipular os problemas de registro do download/dispositivo do Cliente e executar tarefas básicas de serviços definidos; e c. fornecer o código de licença para ativação do Cliente de Segurança do Dispositivo. Critérios de Conclusão: Esta atividade será considerada concluída quando a IBM tiver conduzido o treinamento para o helpdesk de sua Empresa. INTC Página 12 de 17

13 Materiais para Entrega: Material de Apoio Atividade 5 - Ativação dos Serviços O objetivo desta atividade é ativar os Serviços. a. assumir o gerenciamento e o suporte de Serviços; e b. fazer a transição dos Serviços para os SOCs contínuos de gerenciamento e suporte. Critérios de Conclusão: Esta atividade será considerada concluída quando os Serviços tiverem sido ativados. Materiais para Entrega: Nenhum Responsabilidades da Empresa em Relação à Implementação e à Ativação Atividade 1 - Início do Projeto a. participar da chamada de início do projeto; e b. revisar as respectivas responsabilidades de cada parte. Atividade 2 - Avaliação Tarefa 1 - Reunir Dados a. preencher e devolver à IBM o formulário de coleta de dados em até cinco dias após o recebimento; b. obter e fornecer informações, dados, consentimentos, decisões e aprovações aplicáveis conforme exigido pela IBM para a implementação dos Serviços, no prazo de dois dias úteis a partir da solicitação da IBM; e c. trabalhar de boa-fé junto com a IBM para avaliar com precisão os requisitos de segurança remota de sua Empresa. Tarefa 2 - Requisitos de Avaliação a. responder a tempo as solicitações da IBM para esclarecimento das respostas do formulário de coleta de dados; e b. providenciar quaisquer outras informações, conforme solicitado pela IBM, para que ela possa fornecer os Serviços. Atividade 3 - Implementação a. conectar-se ao Painel de Autoatendimento de Segurança Remota para verificar a configuração de contas, grupos, recursos e dispositivos. Atividade 4 - Treinamento e Ativação a. definir a equipe de helpdesk a participar no treinamento realizado pela IBM; b. responsabilizar-se por assegurar que a equipe de helpdesk seja capaz de executar as tarefas de gerenciamento e de suporte ao usuário do Cliente de Segurança do Dispositivo, especificadas pela IBM utilizando o Gateway de Segurança Remota; c. desenvolver materiais extras de comunicação para o usuário do Cliente de Segurança do Dispositivo, caso seja necessário para a instalação do Cliente de Segurança do Dispositivo e o registro do dispositivo; d. distribuir a guia de instalação/configuração, o código de licença e materiais extras de comunicação do cliente aos usuários do Cliente de Segurança do Dispositivo; e INTC Página 13 de 17

14 e. instruir os usuários participantes do Cliente de Segurança do Dispositivo a fazer o download do Cliente de Segurança do Dispositivo e a registrar os seus dispositivos móveis Monitoramento e Gerenciamento O monitoramento e o gerenciamento constituem os serviços contínuos fornecidos como parte do MDS Responsabilidades da IBM em Relação ao Monitoramento e ao Gerenciamento Atividade 1 - Monitoramento e Alerta O objetivo desta atividade é monitorar o status do registro do Cliente, a utilização dos recursos de segurança ativados e alertar sua Empresa sobre atividades anormais. a. monitorar o status dos registros dos dispositivos; b. monitorar a utilização dos recursos de segurança ativados para cada plataforma e pelos usuários do Cliente de Segurança do Dispositivo; c. coletar e relatar o registro de contas e as estatísticas de uso dos recursos periodicamente; e d. notificá-la sobre violações específicas da política pelos usuários do Cliente de Segurança dos Dispositivos de sua Empresa. Atividade 2 - Gerenciamento de Relatório e de Política O objetivo desta atividade é fornecer recomendações sobre mudanças de política ou etapas necessárias para melhorar a segurança dos dispositivos móveis e executar o gerenciamento da política. a. analisar, ao menos mensalmente, o uso do Cliente de Segurança do Dispositivo em todos os dispositivos móveis de sua Empresa; b. sugerir mudanças na política ou no perfil que ela julgar necessárias; c. revisar solicitações de mudança de política iniciadas por sua Empresa; d. modificar as mudanças de política em comum acordo com sua Empresa; e. testar e verificar os resultados de tais mudanças de política; f. notificar sua Empresa quando novas políticas estarão em vigor e comunicar qualquer impacto em potencial; e g. implementar as mudanças de política e verificar se elas terão impacto adverso na implementação atual. Materiais para Entrega: Nenhum Responsabilidades da Empresa em Relação ao Monitoramento e ao Gerenciamento Atividade 1 - Monitoramento e Alerta a. revisar o registro do dispositivo e as estatísticas de uso dos recursos fornecidos pela IBM; e b. comunicar e endereçar violações específicas da política quando fornecidas pela IBM. Atividade 2 - Gerenciamento de Relatório e de Política a. revisar os relatórios e as recomendações fornecidas pela IBM; b. solicitar mudanças de política com base nas recomendações da IBM ou nos próprios requisitos de sua Empresa; c. participar de discussões sobre as mudanças de política desejadas; d. comunicar aos usuários do Cliente de Segurança do Dispositivo a respeito das mudanças de política ou de problemas encontrados em seus dispositivos, caso necessário; e e. última análise, aprovar todas as mudanças de política. INTC Página 14 de 17

15 3.11 Relatório de Serviços Por meio do Portal, é possível acessar as informações dos Serviços Responsabilidades da IBM em Relação ao Relatório de Serviços A IBM fornecerá acesso aos recursos de relatório no Portal, os quais incluem: a. número de SLAs chamadas e cumpridas; b. número, tipos e resumo das solicitações/chamados de Serviços; Responsabilidades da Empresa em Relação ao Relatório de Serviços a. gerar relatórios relacionados aos Serviços, utilizando o Portal; 3.12 Coleta e Arquivamento No decorrer da operação do serviço, a IBM coletará estatísticas de uso e, caso a Empresa permita, rastreamento e atividade de monitoramento de dados de usuários pessoais do Cliente de Segurança do Dispositivo Responsabilidades da IBM em Relação à Coleta e ao Arquivamento a. coletar os dados gerados pelos usuários do Cliente de Segurança do Dispositivo de sua Empresa; b. disponibilizar os dados no Painel de Autoatendimento de Segurança Remota e no Portal; c. limpar os dados e gerar relatórios a partir dos sistemas IBM, no prazo de 90 dias da desatribuição dos dispositivos móveis individuais e no término dos Serviços Responsabilidades da Empresa em Relação à Coleta e ao Arquivamento A Empresa concorda: a. e reconhece que: (1) a IBM limpará os dados de acordo com os intervalos de tempo definidos na seção "Responsabilidade da IBM em Relação à Coleta e ao Arquivamento" acima; (2) todos os dados serão transmitidos aos SOCs por meio da Internet; (3) a IBM só pode coletar e verificar os dados que atingiram a infraestrutura do IBM MSS com sucesso; e (4) a IBM não garante o envio jurídico de quaisquer dados de Serviços para sistemas jurídicos domésticos ou internacionais. A admissibilidade de prova baseia-se nas tecnologias envolvidas e na capacidade de sua Empresa em provar a manipulação adequada dos dados e a cadeia de custódia para cada subconjunto dos dados apresentados. 4. Acordos de Nível de Serviço Os SLAs da IBM estabelecem os objetivos e as contramedidas do tempo de resposta para eventos específicos resultantes dos Serviços. Os SLAs tornam-se efetivos quando o processo de implementação estiver concluído e o Serviço tiver passado para "ativo" com sucesso nos SOCs. As compensações de SLA estarão disponíveis desde que a Empresa cumpra com as obrigações definidas nesta Descrição dos Serviços e em todos os documentos de contrato associados. 4.1 Disponibilidade dos SLAs Os padrões de SLA descritos abaixo compreendem as métricas medidas para prestação dos Serviços. Salvo explicitamente indicado abaixo, nenhuma garantia de qualquer tipo deve ser aplicada aos Serviços prestados sob esta Descrição dos Serviços. As únicas soluções para o não cumprimento dos padrões de SLA estão especificadas nesta Descrição dos Serviços, na seção intitulada "Compensações de SLA". a. Disponibilidade dos Serviços a IBM fornecerá 100% de disponibilidade dos serviços aos SOCs. b. Disponibilidade do Portal IBM a IBM fornecerá 99,9% de acessibilidade ao Portal fora dos horários especificados nesta Descrição dos Serviços, na seção intitulada "Manutenção Programada e Emergencial do Portal". Isso inclui o Portal IBM, o Gateway de Segurança Remota e o Painel de Autoatendimento de Segurança Remota. c. Reconhecimento da solicitação de mudança de política a IBM reconhecerá o recebimento da solicitação de mudança de política no prazo de duas horas após o recebimento. Este SLA está INTC Página 15 de 17

16 disponível somente para solicitações de mudança de política realizadas por um Contato de Segurança Autorizado ou um Contato Designado para os Serviços, de acordo com os procedimentos estabelecidos e documentos no Portal. d. Implementação da solicitação de mudança de política a IBM implementará as solicitações de mudança de política no prazo de 24 horas a partir do recebimento, a menos que a solicitação tenha sido colocada em "hold" em função de informações insuficientes, necessárias para implementar a solicitação de mudança de política. Este SLA está disponível somente para solicitações de mudança de política realizadas por um Contato de Segurança Autorizado ou um Contato Designado para os Serviços, de acordo com os procedimentos estabelecidos e documentos no Portal. 4.2 Compensações de SLA Caso a IBM não cumpra com estes SLAs, será emitido um crédito de um dia para o serviço mensal. Resumo dos SLAs e Compensações Acordos de Nível de Serviço Compensações de Disponibilidade Disponibilidade dos serviços Disponibilidade do Portal IBM Reconhecimento da solicitação de mudança de política Crédito de um dia da cobrança dos Serviços mensais Implementação da solicitação de mudança de política 5. Outros Termos e Condições 5.1 Geral A Empresa reconhece e concorda que: a. todos os softwares fornecidos pela IBM como parte destes Serviços são licenciados, e não vendidos. Exceto para as licenças especificamente garantidas neste documento, todos os direitos, títulos e interesses, no e para o software, devem permanecer investidos na IBM ou em sues licenciadores; b. informará à IBM, por escrito e com no mínimo 30 dias de antecedência do cancelamento ou rescisão dos Serviços, ou imediatamente se a licença do software for rescindida pela IBM por qualquer motivo, caso você escolha: (1) que a IBM remova o software fornecido por ela de forma remota ou auxiliando sua Empresa a fazê-lo; ou (2) manter o software fornecido pela BM. Caso a Empresa opte pela remoção do software, ela concorda em cooperar com a IBM, fornecendo o acesso remoto necessário para que a IBM remova o software ou auxilie sua Empresa a fazê-lo. c. em aditamento aos termos e condições listados acima, os termos de licença específicos serão apresentados para revisão e aceitação ao fazer o download e também ao instalar o software. 5.2 Sistemas de Terceiros Para sistemas (os quais, para os objetivos desta disposição, incluem, entre outros, aplicativos e endereços IP) de terceiros que estarão sujeitos a teste nos termos deste documento, a Empresa concorda: a. que antes da IBM iniciar os testes em sistemas de terceiros, a Empresa obterá uma carta assinada pelo proprietário de cada sistema, autorizando a IBM a fornecer os Serviços para o sistema e indicando a aceitação, por parte do proprietário, das condições estabelecidas na seção intitulada "Permissão para Execução de Teste", além de fornecer à IBM uma cópia de tal autorização; b. em ser a única responsável por comunicar aos proprietários dos sistemas quaisquer riscos, exposições e vulnerabilidades identificados nesses sistemas pelo teste remoto da IBM e INTC Página 16 de 17

17 c. providenciar e facilitar a troca de informações entre o proprietário do sistema e a IBM, sempre que a ela julgar necessário. a. informar a IBM imediatamente sempre que houver uma mudança de propriedade de qualquer sistema sujeito a teste nos termos deste documento; b. não divulgar os Materiais para entrega, ou o fato de que a IBM executou os Serviços, externamente à Empresa sem o consentimento prévio, por escrito, da IBM; e c. indenizar a IBM na íntegra por qualquer perda ou responsabilidade incorrida pela IBM devido a reclamações de terceiros decorrentes de falha da Empresa em cumprir com os requisitos desta seção, intitulada "Sistemas de Terceiros", e para qualquer intimação ou reclamação de terceiros apresentada contra a IBM, suas subcontratadas ou agentes, decorrentes de (a) teste de riscos de segurança, exposições ou vulnerabilidades dos sistemas sujeitos a teste nos termos deste documento, (b) fornecimento dos resultados de tais testes para sua Empresa, ou (c) uso ou divulgação de tais resultados por parte de sua Empresa. 5.3 Renúncia de Responsabilidade A Empresa compreende e concorda que: a. fica a critério exclusivo da Empresa utilizar ou não qualquer informação fornecida conforme os Serviços descritos neste documento. Da mesma forma, a IBM não se responsabilizará por quaisquer ações tomadas ou não pela Empresa com base nos serviços executados e/ou materiais entregues, fornecidos nos termos deste documento; b. a IBM não fornece serviços jurídicos ou representa ou garante que os serviços ou produtos que ela fornece ou obtém em nome de sua Empresa assegurarão a conformidade com leis específicas, incluindo, entre outros, qualquer lei relacionada à segurança ou privacidade; c. é de responsabilidade de sua Empresa procurar um advogado competente para aconselhá-la na identificação e interpretação de quaisquer leis relevantes que possam afetar os negócios e de quaisquer ações necessárias para cumprir com tais leis; e d. novas tecnologias, mudanças na configuração, atualizações de software e manutenção de rotina, dentre outros itens, podem criar exposições de segurança novas e desconhecidas. Além disso, hackers e terceiros continuam a empregar técnicas e ferramentas cada vez mais sofisticadas, resultando em desafios crescentes à segurança do sistema do computador pessoal. É de responsabilidade exclusiva da Empresa fornecer e manter a segurança adequada da organização, dos ativos, dos sistemas e dos funcionários. O desempenho dos serviços da IBM não constitui qualquer representação ou garantia por parte da IBM (a) de que a tecnologia da informação, software, informações, equipamentos, instalações, equipe, clientes, visitantes, ou qualquer outra pessoa, de sua Empresa ou de terceiros, estão ou estarão (i) seguros contra prejuízos ou (ii) seguros contra acesso não autorizado, roubo, perda, dano, intercepção, interrupção, vírus, ou outras exposições de segurança, ou danos físicos (incluindo morte) às pessoas ou dano ou perda de propriedade causados pelos itens anteriores, ou (b) de que a IBM fornecerá avisos relacionados a tais exposições. INTC Página 17 de 17