IBM Application Security on Cloud
Popis služby
IBM Application Security on Cloud
Tento Popis služby stanovuje podmínky služby Cloud Service, kterou IBM poskytuje Zákazníkovi. Zákazník znamená smluvní stranu a její oprávněné uživatele a příjemce služby Cloud Service. Příslušná Cenová nabídka a Dokument o oprávnění (Proof of Entitlement) jsou poskytnuty ve formě samostatných Transakčních dokumentů.
1. Cloud Service
IBM Application Security on Cloud je místem, které Zákazníkovi poskytuje asistenci s identifikací zranitelných míst v zabezpečení (jako například SQL injection, cross-site scripting nebo únik dat) pro řadu aplikací. Služba zahrnuje řadu různých typů a technik skenování zabezpečení aplikace identifikujících problémy se zabezpečením dané aplikace.
IBM Application Security on Cloud poskytuje následující funkce:
● Skenování mobilních aplikací z hlediska zranitelných míst v zabezpečení. Skenování probíhá prostřednictvím interaktivních (glassbox) technik analýzy zabezpečení.
● Skenování produktivních a preproduktivních webových serverů ve veřejné nebo soukromé síti z hlediska ohrožení zabezpečení. Skenování probíhá prostřednictvím dynamických (blackbox) technik analýzy zabezpečení.
● Skenování datových toků webových a desktop aplikací z hlediska zranitelných míst v zabezpečení. Skenování probíhá prostřednictvím statických (whitebox) technik analýzy zabezpečení.
● Identifikace zranitelných balíků typu Open Source použitých v aplikaci.
● Podrobné sestavy týkající se zranitelných míst v zabezpečení, které zahrnují souhrny zjištění a kroky k nápravě, podle kterých mohou vývojáři postupovat.
● Integrace s různými platformami DevOps.
● Kognitivní funkce pro pokrytí hlubokého procházení a rychlost/účinnost při řešení skutečných ohrožení zabezpečení.
1.1 IBM Application Security Analyzer
IBM Application Security Analyzer lze objednat na Instanci aplikace, na Pracovní pozici (procházení) nebo na Instanci a umožňuje následující typy procházení:
● Dynamic Analyzer – testování předproduktivních nebo produktivních webů za použití technik DAST
● Mobile Analyzer – testování binárních dat systému iOS nebo Android za použití technik IAST
● Static Analyzer – testování toku bajtů nebo dat zdrojového kódu za použití technik SAST
● Intelligent Finding Analytics for IBM AppScan Source – Používání kognitivních funkcí pro omezení falešných pozitivních výsledků a šumů a identifikaci optimálních míst oprav podle hodnocení AppScan Source.
1.2 IBM Application Security Open Source Analyzer
IBM Application Security Open Source Analyzer zjišťuje a identifikuje balíčky typu open source používané v kódu aplikace. Kontroluje tyto balíčky z hlediska ohrožení zabezpečení a nabízí prostředky nápravy.
IBM Application Security Open Source Analyzer lze objednat na Instanci aplikace nebo jako Instanci.
2. Ochrana obsahu a údajů
Datový list zpracování a ochrany údajů (Datový list) poskytuje specifické informace o službě Cloud Service týkající se typu Obsahu, který je povoleno zpracovávat, využívaných činností vztahujících se ke zpracování, funkcí ochrany údajů a specifických aspektů uchovávání a vrácení Obsahu. Veškeré detaily nebo vysvětlení a podmínky, včetně povinností Zákazníka, vztahující se k využívání služeb Cloud Service a funkcí ochrany údajů, pokud existují, jsou uvedeny v této části. K využívání služby Cloud Service Zákazníkem se může vztahovat i více Datových listů, v závislosti na možnostech zvolených Zákazníkem. Datové listy mohou být dostupné pouze v angličtině, nikoli v lokálním jazyce. Navzdory jakýmkoli lokálním zákonným praktikám nebo zvyklostem strany potvrzují, že rozumí angličtině a souhlasí s jejím využitím jako vhodného jazyka pro akvizici a používání služeb Cloud Service. Následující Datové listy platí pro
službu Cloud Service a její dostupné možnosti. Zákazník potvrzuje, že i) společnost IBM smí dle potřeby a okolností upravit Datové listy dle vlastního uvážení a ii) takové změny budou mít přednost před předchozími verzemi. Účelem jakékoliv změny Datových listů bude i) zlepšit nebo vyjasnit stávající závazky, ii) zachovat soulad s aktuálně platnými normami a platnými právními předpisy nebo iii) upravit další závazky. Žádné změny Datových listů nebudou podstatným způsobem snižovat ochranu dat služby Cloud Service.
Odkaz(y) na příslušné Datové listy: xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxxxxxxxxxxx/xxxxxxx-
reports/report/html/softwareReqsForProduct?deliverableId=3BCAB730D48411E481EA86A39A30DD8D
Zákazník je povinen učinit nezbytné kroky za účelem objednání, aktivace nebo používání dostupných funkcí ochrany údajů pro službu Cloud Service a přijímá odpovědnost za využívání služeb Cloud Service, pokud Zákazník tyto kroky, včetně splnění zákonných požadavků na ochranu údajů nebo jiných zákonných požadavků týkajících se Obsahu, neučiní.
Dodatek o zpracování údajů (Data Processing Addendum, DPA) společnosti IBM na adrese xxxx://xxx.xxx/xxx a Přílohy DPA se uplatní pro tuto Smlouvu a odkazuje se na ně jako na její součást, pokud se na osobní údaje zahrnuté v Obsahu vztahuje Evropské obecné nařízení o ochraně údajů (EU/2016/679) (GDPR). Příslušný Datový list pro tuto službu Cloud Service bude sloužit jako Dodatek DPA. Pokud se uplatňuje DPA, platí závazek společnosti IBM zasílat oznámení o změnách Dílčím zpracovatelům a právo Zákazníka vznášet námitky proti těmto změnám dle ustanovení DPA.
2.1 Využití dat
IBM nepoužije ani nesdělí výsledky pocházející z používání služby Cloud Service Zákazníkem, které jsou jedinečné vzhledem k vašemu Obsahu (Poznatky) nebo jinak identifikují Zákazníka. IBM je však oprávněna využít Obsah a další informace (s výjimkou Poznatků), které vyplynou z Obsahu v průběhu poskytování předmětu služby Cloud Service, k odstranění identifikátorů zákazníka a osobních identifikátorů tak, aby již nadále nebylo možné data zákazníka nebo osobní údaje přiřadit konkrétnímu jednotlivci bez uplatnění dalších informací. IBM použije tyto údaje pouze pro účely průzkumů, testování a vývoje nabídek.
3. Xxxxxx o úrovni služeb
IBM poskytuje pro Cloud Service následující Dohodu o úrovni služeb, jak je uvedeno v Dokumentu o oprávnění (Proof of Entitlement). Dohoda o úrovni služeb nepředstavuje záruku. Dohoda o úrovni služeb je k dispozici pouze pro Zákazníka a vztahuje se pouze na používání v produktivních prostředích.
3.1 Kredity za porušení úrovně dostupnosti služeb
Zákazník musí u IBM střediska technické podpory zaregistrovat tiket podpory se Závažností 1 do 24 hodin od okamžiku, kdy poprvé zjistil, že událost měla kritický obchodní dopad a služba Cloud Service není dostupná. Zákazník musí s IBM přiměřeně spolupracovat při diagnostice a řešení problémů.
Nárok na požadavek podpory za nesplnění Dohody o úrovni služeb musí být předložen do tří pracovních dní od konce smluvního měsíčního období. Kompenzací za platný nárok týkající se Dohody o úrovni služeb bude kredit vydaný oproti budoucí faktuře za Cloud Service na základě doby, během které nebylo zpracování produktivního systému pro Cloud Service k dispozici ("Odstávka"). Odstávka se měří od okamžiku, kdy Zákazník nahlásí událost, do okamžiku obnovení Cloud Service a nezahrnuje čas související s plánovanou nebo nahlášenou odstávkou v rámci údržby, příčinami mimo kontrolu IBM, problémy s obsahem, technologií Zákazníka nebo třetí osoby, návrhy nebo pokyny, nepodporovanými konfiguracemi systému a platformami nebo jinými chybami Zákazníka či incidentem zabezpečení způsobeným Zákazníkem nebo testováním zabezpečení Zákazníka. IBM bude aplikovat nejvyšší použitelnou kompenzaci vycházející ze souhrnné dostupnosti služby Cloud Service dosažené během každého smluvního měsíčního období, jak je uvedeno v tabulce níže. Celková kompenzace vztahující se k jakémukoliv smluvnímu měsíčnímu období nesmí přesáhnout deset procent z jedné dvanáctiny (1/12) ročního poplatku za Cloud Service.
3.2 Úrovně služeb
Dostupnost Cloud Service v průběhu smluvního měsíčního období
Dostupnost v průběhu smluvního měsíčního období | Kompenzace (% měsíčního registračního poplatku* za smluvní měsíční období, za které je uplatňován nárok) |
Méně než 99,9 % | 2 % |
Méně než 99 % | 5 % |
Méně než 95 % | 10 % |
* Pokud byla služba Cloud Service získána od Obchodního partnera IBM, bude měsíční registrační poplatek vypočítán na základě aktuálního ceníku pro Cloud Service, který je platný pro smluvní měsíční období, na které se nárok vztahuje, se slevou 50 %. IBM Zákazníkovi přímo poskytne slevu.
Procento dostupnosti se vypočítá jako: celkový počet minut v rámci smluvního měsíčního období minus celkový počet minut Odstávky za smluvní měsíční období, děleno celkovým počtem minut za Smluvní měsíční období.
4. Technická podpora
Technická podpora pro službu Cloud Service je poskytována prostřednictvím e-mailu, online fór a online systému hlášení problémů. Příručka podpory SaaS (software as a service) IBM dostupná na adrese xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxx_xxxxxxx_xxxxx.xxxx uvádí kontaktní údaje technické podpory a další informace a procesy. Technická podpora je nabízena se službou Cloud Service a není dostupná jako samostatná nabídka.
4.1 Přístup k Datům Zákazníka
IBM bude mít možnost přistupovat k datům Zákazníka pro účely diagnostiky problémů se službou a umožnění skenování aplikace Zákazníka službou. IBM bude k datům přistupovat pouze pro účely opravy vad a poskytnutí podpory pro produkty nebo služby IBM.
5. Oprávnění a informace o fakturaci
5.1 Metriky poplatků
Služba Cloud Service je poskytována v rámci metriky poplatků uvedené v Transakčním dokumentu:
a. Úloha je měrnou jednotkou, na jejímž základě lze získat Cloud Service. Úloha je objekt v rámci služby Cloud Service, který nelze dále dělit a který představuje proces výpočetního zpracování včetně všech jeho podprocesů. Je nutno získat dostatečný počet oprávnění, který bude pokrývat celkový počet Úloh zpracovaných nebo spravovaných prostřednictvím Cloud Service během období měření uvedeného v Zákazníkově Dokumentu o oprávnění (Proof of Entitlement) nebo v Transakčním dokumentu.
b. Instance aplikace je měrnou jednotkou, na jejímž základě lze získat Cloud Service. Pro každou Aplikaci připojenou ke službě Cloud Service je vyžadováno oprávnění Aplikační instance. Pokud má Aplikace více komponent, každá z nich slouží k jinému účelu nebo jiné uživatelské základně a každá z nich může být připojena ke službě Cloud Service nebo může být službou spravována, považuje se každá taková komponenta za samostatnou Aplikaci. Navíc testovací, vývojové, fázovací a produktivní prostředí Aplikace se považují za samostatné instance Aplikace a každé toto prostředí musí mít oprávnění. Více Instancí aplikace v jednom prostředí se považuje za samostatné instance Aplikace a oprávnění musí mít každá z nich. Je nutno získat dostatečný počet oprávnění, který bude pokrývat počet Aplikačních instancí připojených ke službě Cloud Service během období měření uvedeného v Dokumentu o oprávnění (Proof of Entitlement) nebo v Transakčním dokumentu Zákazníka.
Pro účely této služby Cloud Service jsou Instance aplikace po sobě jdoucí skeny jediné aplikace dále definované následovně:
● Pro Dynamické testování: web adresovatelný prostřednictvím veřejné nebo privátní adresy URL. Každá Instance aplikace poskytuje oprávnění pro web až s 5000 stránek v jediné doméně.
● Pro Statické testování: jednotka kódu spustitelná v jednom spustitelném prostředí. Každá Instance aplikace poskytuje oprávnění pro jednotky skenování s kódem do 1 000 000 řádků.
● Pro Mobilní testování: jednotka binárního kódu, který lze spustit na mobilním zařízení. Jednotlivé odlišné mobilní platformy (např. iOS a Android) představují odlišné instance aplikace.
● Pro testování typu Open Source: jednotka kódu vytvořená pro jedno spustitelné prostředí. Každá Instance aplikace poskytuje oprávnění pro jednotky skenování s kódem do 1 000 000 řádků.
● Pro Intelligent Finding Analytics for IBM AppScan Source: jediný soubor vyhodnocení AppScan Source.
c. Instance je měrnou jednotkou, na jejímž základě lze získat službu Cloud Service. Instance je přístup ke specifické konfiguraci služby Cloud Service. Pro každou Instanci služby Cloud Service zpřístupněnou a používanou během období měření uvedeného v Dokumentu o oprávnění (Proof of Entitlement) nebo v Transakčním dokumentu Zákazníka je nutno získat dostatečný počet oprávnění.
Pro jednotlivá oprávnění Instance neexistuje omezení počtu prováděných Úloh ani Instancí aplikace (připojených Aplikací). Současně lze však spustit maximálně 10 Úloh.
d. Souběžná událost je měrnou jednotkou, na jejímž základě lze získat službu Cloud Service. Událost je výskyt specifické události, která je zpracovávána nebo souvisí s použitím služby Cloud Service. Je nutno získat dostatečný počet oprávnění k pokrytí maximálního počtu Událostí, ke kterým dojde současně během období měření uvedeného v Dokumentu o oprávnění (Proof of Entitlement) nebo v Transakčním dokumentu.
5.2 Poplatky za překročení limitu
Pokud skutečné používání služby Cloud Service během období měření překračuje oprávnění uvedená v Dokumentu o oprávnění (Proof of Entitlement), bude poplatek za překročení účtován v sazbě stanovené v Transakčním dokumentu v měsíci následujícím po takovém překročení.
5.3 Fakturační frekvence
Na základě vybrané fakturační frekvence bude IBM fakturovat Zákazníkovi splatné poplatky na začátku období fakturační frekvence, s výjimkou typu poplatků za překročení a použití, které budou fakturovány zpětně.
5.4 Ověření
Zákazník i) povede a na vyžádání poskytne záznamy a výstupy ze systémových nástrojů v rozsahu přiměřeně potřebném pro IBM a jejího nezávislého auditora pro účely kontroly dodržování této Smlouvy ze strany Zákazníka a ii) neprodleně objedná a uhradí veškerá požadovaná oprávnění dle příslušné aktuální sazby IBM a uhradí i další poplatky a závazky stanovené na základě výsledků takového ověření, které IBM uvede na faktuře. Tyto povinnosti vzniklé v souvislosti s kontrolou dodržování podmínek jsou a budou účinné po dobu poskytování služby Cloud Service a ještě dva roky poté.
6. Smluvní období a možnost obnovení
Smluvní období pro poskytování služby Cloud Service začíná datem, kdy IBM Zákazníkovi oznámí, že mu byl udělen přístup ke službě Cloud Service, jak je uvedeno v Dokumentu o oprávnění (Proof of Entitlement). Dokument o oprávnění určí, zda se Cloud Service obnovuje automaticky, je používána nepřetržitě, nebo zda je po uplynutí smluvního období ukončena.
V případě automatického obnovení platí, že pokud Zákazník neposkytne 30 dní před datem ukončení období písemnou žádost o záměru nabídku neobnovit, bude Cloud Service automaticky obnovena na období uvedené v Dokumentu o oprávnění (Proof of Entitlement). Obnovení podléhá ročnímu zvýšení ceny dle ustanovení cenové nabídky. V případě, že k automatickému obnovení dojde po doručení oznámení IBM o stažení služby Cloud Service, doba obnovení skončí ke konci aktuálního období prodloužení nebo k ohlášenému datu stažení, podle toho, co nastane dříve.
V případě průběžného používání bude Cloud Service dále dostupná na měsíční bázi, dokud Zákazník neposkytne 30 dní předem písemnou žádost. Cloud Service zůstane po ukončení takového 30denního období na konci kalendářního měsíce k dispozici.
7. Dodatečné podmínky
7.1 Aspekty zabezpečení
Bezpečnostní skenování nemusí identifikovat všechna rizika v aplikaci.
Zákazník nesmí používat služby Cloud Services samostatně nebo v kombinaci s jinými službami či produkty, na podporu kterékoliv z níže uvedených vysoce rizikových činností: návrh, výstavba, řízení nebo údržba jaderných zařízení, systémů hromadné přepravy, systémů řízení automobilů, systémů řízení letecké dopravy, zbrojních systémů nebo letecké navigace či komunikace; nebo jakékoliv jiné činnosti, při které by mohlo selhání služby Cloud Service způsobit vznik závažného rizika smrti nebo vážného úrazu.
Tato služba Cloud Service může Zákazníkovi pomoci zajistit dodržování závazků, jež pro něj mohou vyplývat z právních předpisů, norem nebo postupů. Jakékoli instrukce, informace týkající se doporučeného užívání nebo jiné pokyny, které Zákazník získá prostřednictvím služby Cloud Service, nepředstavují právní, účetní nebo jinou odbornou radu a Zákazník by si měl zajistit své vlastní právní nebo jiné odborné poradce. Užívání této služby Cloud Service nezaručuje dodržování jakýchkoli zákonů, nařízení, standardů nebo postupů.
Služba Cloud Service provádí invazivní a neinvazivní testy na webových stránkách a webových nebo mobilních aplikacích, které se Zákazník rozhodne skenovat. Zákazník souhlasí, že nebude službu Cloud Service využívat k testování žádných systémů (což pro účely tohoto ustanovení zahrnuje kromě jiného i aplikace a adresy IP), a to včetně jeho vlastních, bez řádného oprávnění ze strany vlastníka systému. V případě systémů, které jsou vlastnictvím třetí osoby a na kterých má Zákazník v úmyslu využívat službu Cloud Service, souhlasí Zákazník, že nese výhradní odpovědnost za sdělení veškerých rizik, ohrožení a slabin identifikovaných v těchto systémech službou Cloud Service vlastníkovi systému a odškodní IBM v plném rozsahu za případné ztráty či závazky, které IBM vzniknou na základě nároků třetích osob vyplývajících z toho, že Zákazník nesplní požadavky z tohoto oddílu, pro jakékoli nároky či předvolání ze strany třetích osob vznesené vůči IBM či subdodavatelům nebo zástupcům IBM vyplývající z (a) použití služby Cloud Service Zákazníkem k testování bezpečnostních rizik, ohrožení či slabin systémů, které jsou předmětem testování podle této smlouvy, nebo (b) použití či zveřejnění těchto výsledků Zákazníkem.
Testování znamená určité riziko, včetně - nikoli však pouze - následujících rizik:
a. počítačové systémy Zákazníka se mohou během testování aplikací zablokovat nebo se mohou zhroutit, což může mít za následek dočasnou nedostupnost systému nebo ztrátu dat;
b. výkon a propustnost systémů Zákazníka a rovněž výkon a propustnost souvisejících směrovačů a ochranných bariér mohou být během testování dočasně sníženy;
c. může být generováno nadměrné množství zpráv protokolu, což může mít za následek nadměrnou spotřebu prostoru na disku pro soubory protokolu;
d. data mohou být změněna nebo vymazána v důsledku testování ohrožení zabezpečení;
e. systémy pro detekci proniknutí do systému mohou spustit alarmy;
f. e-mailová funkce testované webové aplikace může spustit e-maily; a
g. služba Cloud Service může zachytit provoz monitorované sítě pro účely hledání událostí.
Všechna práva a opravné prostředky v rámci dohod o úrovni služeb poskytnuté IBM, které se týkají webů nebo aplikací podléhajících testování, se během testování neuplatní.
V případě, že Zákazník použije ověřená přihlašovací pověření pro testovanou aplikaci do Cloud Service, je povinen používat taková pověření pouze pro testovací účty, a nikoli pro produktivní uživatele. Použití pověření produktivních uživatelů může mít za následek přenos osobních údajů přes službu Cloud Service.
Cloud Service lze nakonfigurovat ke skenování produktivních webových aplikací. Pokud Zákazník nastaví typ skenování na "produktivní", služba bude provádět skenování způsobem, který sníží rizika uvedená výše; v některých situacích však služba Cloud Service může způsobit snížení výkonu nebo nestabilitu testovaných produktivních webů a infrastruktury. IBM neposkytuje žádné záruky ani garance s ohledem na vhodnost použití Cloud Service ke skenování produktivních webů. Zákazník je povinen stanovit, zda je služba Cloud Service vhodná či bezpečná pro webové stránky, webové aplikace, mobilní aplikace nebo technické prostředí Zákazníka.
Cloud Service je určena k identifikaci širokého spektra potenciálních problémů týkajících se zabezpečení a dodržování právních předpisů v oblasti mobilních a webových aplikací a služeb. Netestuje všechna
ohrožení zabezpečení nebo všechna rizika v oblasti dodržování právních předpisů, ani nefunguje jako bariéra proti útokům na zabezpečení. Bezpečnostní rizika, regulace a standardy se průběžně mění a služba Cloud Service nemůže všechny takové změny zohledňovat. Zákazník odpovídá za zabezpečení svých webových aplikací, systémů a zaměstnanců a za dodržování právních předpisů a rovněž za jakékoli nápravné akce samostatně. Záleží výhradně na uvážení Zákazníka, zda bude či nebude využívat jakékoli informace poskytnuté službou Cloud Service.
Pro účely vyjasnění se má za to, že obsah Zákazníka popsaný v části Ochrana údajů Smlouvy o poskytování služeb Cloud Service, případně Podmínky užívání – Všeobecné podmínky pro nabídky cloudu, obsahuje také data, ke kterým může IBM získat přístup během Testování průniku aplikace.
7.2 Aktivační software
Služba Cloud Service může vyžadovat použití aktivačního softwaru, který si Zákazník stáhne do svých systémů pro usnadnění používání služby Cloud Service. Zákazník je oprávněn používat aktivační software výhradně ve spojení s užíváním služby Cloud Service. Aktivační software je Zákazníkovi poskytován za následujících podmínek:
Aktivační software | Příslušné licenční podmínky (pokud existují) |
Static Analyzer Client Utility (IRX Generator) | Poskytnutí pro použití „jak stojí a leží“ |
Přítomnost AppScan | Poskytnutí pro použití „jak stojí a leží“ |