IBM Application Security on Cloud
IBM:n käyttöehdot – SaaS-tuotteita koskevat ehdot
IBM Application Security on Cloud
Käyttöehdot (ToU-ehdot) koostuvat tästä asiakirjasta IBM:n käyttöehdot – SaaS-tuotteita koskevat ehdot (SaaS- tuotteita koskevat ehdot) ja asiakirjasta IBM:n käyttöehdot – Yleiset ehdot (Yleiset ehdot), joka on saatavana seuraavasta URL-osoitteesta: xxxx://xxx.xxx.xxx/xxxxxxxx/xxx/xxxxx.xxx/xxx/xxx-xxx-xxxxx/.
Mahdollisissa ristiriitatilanteissa SaaS-tuotteita koskevat ehdot ovat etusijalla Yleisiin ehtoihin nähden. Asiakas hyväksyy ToU-ehdot tilaamalla tai ottamalla käyttöön IBM SaaS -tuotteen.
ToU-ehtoja koskevat soveltuvin osin IBM:n kansainvälisen Passport Advantage -sopimuksen, IBM:n kansainvälisen Passport Advantage Express -sopimuksen tai IBM:n kansainvälisen valikoituja IBM Software as a Service (SaaS) -tuotteita koskevan sopimuksen (Sopimus) ehdot, jotka yhdessä ToU-ehtojen kanssa muodostavat kokonaissopimuksen.
1. IBM SaaS
Nämä SaaS-tuotteita koskevat ehdot koskevat seuraavaa IBM SaaS -tuotetta:
● IBM Application Security Analyzer.
2. Maksujen mittayksiköt
IBM SaaS -tuotteen myynnissä sovelletaan yhtä seuraavista mittayksiköistä Sopimusasiakirjassa määritetyllä tavalla:
a. Sovellusilmentymä on mittayksikkö, jonka mukaan IBM SaaS -tuotteen voi hankkia. Sovellusilmentymän käyttöoikeus on pakollinen kutakin IBM SaaS -tuotteeseen yhdistettyä Sovelluksen ilmentymää kohden. Jos Sovelluksessa on useita komponentteja, joista kullakin on erillinen tarkoituksensa ja/tai käyttäjäjoukkonsa ja joista kukin voidaan yhdistää IBM SaaS - tuotteeseen tai asettaa sen hallintaan, jokainen tällainen komponentti katsotaan erilliseksi sovellukseksi. Lisäksi testaus-, kehitys-, välivaihe- ja tuotantoympäristössä ajettavat Sovellukset katsotaan Sovelluksen erillisiksi ilmentymiksi, joilla tulee olla oma käyttöoikeutensa. Tietyssä ympäristössä ajettavat useat Sovellusilmentymät katsotaan Sovelluksen erillisiksi ilmentymiksi, joilla tulee olla käyttöoikeus. Käyttöoikeuksia on hankittava määrä, joka vastaa mittauskauden aikana IBM SaaS -tuotteeseen yhdistettyjen Sovellusilmentymien määrää. Mittauskausi on määritetty Asiakkaan Käyttölupatodistuksessa (PoE) tai Sopimusasiakirjassa.
3. Maksut ja laskutus
IBM SaaS -tuotteesta perittävä maksu määritetään Sopimusasiakirjassa.
3.1 Käyttöön perustuvat maksut
Käyttöön perustuvat maksuvaihtoehdot laskutetaan palvelun käyttöajankohtaa seuraavana kuukautena. Hinta on määritetty Sopimusasiakirjassa.
3.2 Osittainen kuukausimaksu
Sopimusasiakirjassa määritetty osittainen kuukausimaksu voidaan laskea suhteellisesti jaetun hinnan perusteella.
4. Sopimuskausi ja uusimisvaihtoehdot
IBM SaaS -tuotteen sopimuskausi alkaa päivänä, jolloin IBM ilmoittaa Asiakkaalle, että tämä voi käyttää Käyttölupatodistuksessa mainittua IBM SaaS -tuotetta. Käyttölupatodistuksessa määritetään, uusiutuuko IBM SaaS -tilaus automaattisesti, jatkuuko se jatkuvana käyttönä vai päättyykö tilaus tilauskauden päättyessä.
Jos käytössä on automaattinen uusiutuminen, IBM SaaS -tilaus uusiutuu automaattisesti Käyttölupatodistuksessa määritetyn tilauskauden ajaksi, ellei Asiakas ilmoita kirjallisesti tilauksen uusimatta jättämisestä vähintään 90 päivää ennen tilauskauden päättymispäivämäärää.
Jos käytössä on jatkuva käyttö, IBM SaaS -tuote pysyy käytettävissä kuukausi kerrallaan, kunnes Asiakas ilmoittaa kirjallisesti tilauksen päättämisestä vähintään 90 päivää ennen haluttua päättämishetkeä. IBM SaaS -tuote pysyy käytössä sen kalenterikuukauden loppuun, jolloin kyseinen 90 päivän jakso päättyy.
5. Tekninen tuki
Sen jälkeen, kun IBM on ilmoittanut Asiakkaalle, että IBM SaaS -tuote on käytettävissä, teknistä tukea toimitetaan Tilauskauden aikana verkon keskusteluryhmissä ja vakiotukena sinä aikana, jolta Asiakkaalla on Käyttöön perustuvia maksuja. IBM SaaS -tuotteessa Asiakkaat voivat lähettää tukipyyntöjä tai pyytää apua verkkokeskusteluistunnossa. IBM antaa käyttöön IBM Software as a Service Support Handbook - tukioppaan, joka sisältää muiden tietojen ja prosessikuvausten ohella myös teknisen tuen yhteystiedot.
Vakavuustaso | Vakavuustason määritelmä | Vastausaikatavoitteet | Vastausajan voimassaolo |
1 | Liiketoiminnan kannalta olennainen häiriö tai palvelun käyttökatko: Liiketoiminnan kannalta olennaiset toiminnot eivät ole käytettävissä, tai tärkeä käyttöliittymä ei toimi. Tämä koskee tavallisesti tuotantoympäristöä ja merkitsee sitä, että palvelujen käytön epäonnistuminen haittaa toimintaa vakavasti. Tilanteeseen tarvitaan ratkaisu heti. | Yhden (1) tunnin kuluessa | 24 x 7 |
2 | Merkittävä vaikutus liiketoimintaan: Liiketoimintaan liittyvä palvelun ominaisuus tai toiminto toimii merkittävän puutteellisesti, tai Asiakas on vaarassa ylittää liiketoimintaan liittyviä määräaikoja. | Kahden (2) tunnin kuluessa normaalina työaikana | Maanantaista perjantaihin normaalina työaikana |
3 | Vähäinen vaikutus liiketoimintaan: Merkitsee, että palvelu tai toiminto on käyttökelpoinen eikä häiriön vaikutus toimintaan ole vakava. | Neljän (4) tunnin kuluessa normaalina työaikana | Maanantaista perjantaihin normaalina työaikana |
4 | Pieni vaikutus liiketoimintaan: Tiedustelu tai muu kuin tekninen pyyntö | Yhden (1) työpäivän kuluessa | Maanantaista perjantaihin normaalina työaikana |
5.1 Asiakkaan tietojen käyttö
IBM saa käyttää Asiakkaan tietoja selvittääkseen palveluun liittyvien ongelmien syitä sekä helpottaakseen palvelun tekemiä Asiakkaan sovellukseen kohdistuvia tarkistuksia. IBM käyttää tietoja ainoastaan vikojen korjaukseen tai toimittaakseen IBM-tuotteisiin tai -ohjelmiin liittyvää tukipalvelua.
6. IBM SaaS -tuotteiden lisäehdot
Tietoturvatarkistukset eivät välttämättä tunnista kaikkia sovellukseen sisältyviä tietoturvauhkia.
Asiakkaan on mahdollista käyttää IBM SaaS -tuotetta apuna vaatimustenmukaisuuteen liittyvien velvoitteiden täyttämisessä. Velvoitteet voivat perustua lakeihin, säädöksiin, standardeihin tai käytäntöihin. Mitään Palvelun antamia ohjeita tai ehdottamia käyttötapoja ei ole tarkoitettu lainopillisiksi, kirjanpitoon liittyviksi tai muiksi asiantuntijan neuvoiksi, ja Asiakasta kehotetaan hankkimaan omat lainopilliset ja muut neuvonantajansa. Asiakas vastaa yksin sen varmistamisesta, että Asiakas ja Asiakkaan toimet, sovellukset ja järjestelmät vastaavat kaikkien sovellettavien lakien, säädösten, standardien ja käytäntöjen vaatimuksia. Tämän Palvelun käyttö ei takaa lakien, säädösten, standardien ja käytäntöjen vaatimustenmukaisuutta.
IBM SaaS tekee Asiakkaan tarkistettaviksi valitsemille Web-sivustoille sekä Web- ja mobiilisovelluksille sisäisiä ja ulkoisia testejä, joihin sisältyy tiettyjä riskejä, näihin rajoittumatta muun muassa seuraavia:
a. Asiakkaan tietokonejärjestelmät, joissa on ajossa testattavia sovelluksia, voivat lakata vastaamasta tai kaatua, mistä voi olla seurauksena järjestelmän tilapäinen käyttökeskeytys tai tietojen katoaminen
b. Asiakkaan järjestelmien sekä niihin liittyvien reitittimien ja palomuurien suorituskyky ja siirtonopeus voivat tilapäisesti heiketä testauksen aikana
c. testaus voi tuottaa huomattavan määrän lokisanomia, mistä voi aiheutua lokitiedostojen liiallista levytilan kulutusta
d. haavoittuvuuksien luotaus voi muuttaa tai poistaa tietoja
e. tunkeutumisen tunnistusjärjestelmät saattavat aktivoida hälytyksiä
f. testattavan Web-sovelluksen sähköpostitoiminto saattaa aktivoitua lähettämään sähköpostiviestejä
g. IBM SaaS -tuote voi pysäyttää valvottavan verkon liikenteen etsiäkseen tapahtumia.
Jos Asiakas antaa Palveluun testattavan sovelluksen todennetut sisäänkirjauksen valtuustiedot, Asiakkaan tulee käyttää ainoastaan testitilien valtuustietoja, ei tuotantokäyttöön tarkoitettujen käyttäjätilien valtuustietoja. Jos käytetään tuotantokäyttöön tarkoitettujen käyttäjätilien valtuustietoja, Palvelun välityksellä voi siirtyä henkilötietoja.
IBM SaaS -tuote voidaan määrittää tarkistamaan tuotantokäytössä olevia Web-sovelluksia. Jos Asiakas valitsee tuotantokäyttöön kohdistuvan tarkistuslajin, Palvelu tekee tarkistukset tavalla, joka vähentää edellä mainittuja riskejä, mutta joissakin tilanteissa IBM SaaS -tuote kuitenkin aiheuttaa testattavissa tuotantokäytön sivustoissa ja infrastruktuurissa suorituskyvyn heikkenemistä tai epävakautta. IBM ei anna mitään takuita tai lausumia IBM SaaS -tuotteen soveltuvuudesta käytettäväksi tuotantosivustojen tarkistukseen.
ASIAKAS VASTAA SEN SELVITTÄMISESTÄ, ONKO PALVELU TARKOITUKSENMUKAINEN JA TURVALLINEN ASIAKKAAN WEB-SIVUSTOLLE, WEB-SOVELLUKSILLE, MOBIILISOVELLUKSILLE JA TEKNISELLE YMPÄRISTÖLLE.
IBM SaaS -tuote on suunniteltu tunnistamaan lukuisia erilaisia mobiili- ja Web-sovelluksiin sekä Web- palveluihin liittyviä mahdollisia tietoturva- ja vaatimustenmukaisuusongelmia. Palvelu ei testaa kohteita kaikkien haavoittuvuuksien ja vaatimustenmukaisuuteen liittyvien riskien varalta, eikä se myöskään toimi suojana tietoturvaan kohdistuvia hyökkäyksiä vastaan. Tietoturvaan liittyvät uhkat, säädökset ja standardit muuttuvat jatkuvasti, eikä Palvelu välttämättä mukaudu kaikkiin tällaisiin muutoksiin. Asiakkaan Web-sovelluksen, järjestelmien ja työntekijöiden tietoturva ja vaatimustenmukaisuus sekä näihin liittyvät korjaustoimet ovat yksin Asiakkaan vastuulla. Palvelun tuottamien tietojen käyttö tai käyttämättä jättäminen perustuu yksinomaan Asiakkaan omaan harkintaan.
Tietyt lait kieltävät kaikki luvattomat tietokonejärjestelmiin kohdistuvat tunkeutumis- tai käyttöyritykset. ASIAKAS VASTAA SEN VARMISTAMISESTA, ETTÄ ASIAKAS EI KÄYTÄ PALVELUA MUIDEN KUIN SELLAISTEN WEB-SIVUSTOJEN JA/TAI SOVELLUSTEN TARKISTUKSEEN, JOTKA ASIAKAS OMISTAA TAI JOIDEN TARKISTUKSEEN ASIAKKAALLA ON OIKEUDET JA VALTUUDET.
6.2 Evästeet
Asiakas on tietoinen siitä ja hyväksyy sen, että IBM voi normaalina IBM SaaS -palvelun toimintaan ja tukeen kuuluvana toimenpiteenä kerätä Asiakkaalta IBM SaaS -palvelun käyttöön liittyviä henkilötietoja (jotka voivat koskea Asiakkaan työntekijöitä ja alihankkijoita) seurannan ja muiden tekniikoiden avulla. Näin tehdessään IBM kerää käyttötilastoja ja tietoja IBM SaaS -palvelun tehokkuudesta parantaakseen käyttökokemusta ja mukauttaakseen vuorovaikutustaan Asiakkaan kanssa. Asiakas vahvistaa hankkivansa tai hankkineensa hyväksynnän sille, että IBM voi käsitellä kerättyjä henkilötietoja voimassa olevan lainsäädännön mukaisesti IBM:n sisäisesti tai muiden IBM-yhtiöiden ja niiden alihankkijoiden välityksellä kaikkialla, missä IBM alihankkijoineen toimii. IBM noudattaa Asiakkaan työntekijöiden ja alihankkijoiden pyyntöjä tarkastella, päivittää, korjata tai poistaa heistä kerättyjä henkilötietoja.
6.3 Johdannaishyötyjen sijainnit
Verotus perustuu soveltuvin osin sijainteihin, joiden Asiakas määrittää hyötyvän IBM SaaS -tuotteesta. IBM soveltaa verotusta IBM SaaS -tuotteen tilauksen yhteydessä annetun liiketoimintaosoitteen perusteella ja käyttää kyseistä osoitetta ensisijaisena hyötyvänä sijaintina, ellei Asiakas toimita IBM:lle lisätietoja. Asiakas vastaa siitä, että kyseiset tiedot ovat ajan tasalla ja että mahdolliset muutokset toimitetaan IBM:lle.
IBM:n käyttöehdot – IBM SaaS -tuotteen määritykset
Liite A
1. IBM Application Security on Cloud -tuotteen yleiskuvaus
IBM Application Security on Cloud on keskitetty ratkaisu, jonka avulla Asiakas voi tunnistaa tietoturvauhkia (kuten SQL-injektion, sivustojen väliset komentosarjat ja tietovuodot) monista eri sovelluksista. Palvelu sisältää monia erilaisia sovellusten tietoturvan tarkistustekniikoita, joista kukin tunnistaa kyseisen sovelluksen tietoturvaongelmia.
IBM Application Security on Cloud sisältää seuraavat toiminnot:
● Tietoturvauhkien etsintä mobiilisovelluksista. Tämä toteutetaan dynaamisten (blackbox) ja vuorovaikutteisten (glassbox) tietoturvan analyysitekniikoiden avulla.
● Tietoturva-aukkojen etsintä tuotanto- tai esituotantotilassa olevista, julkisesti käsiteltävissä olevista tai yksityisissä verkoissa sijaitsevista Web-sivustoista. Tämä toteutetaan dynaamisten (blackbox) tietoturvan analyysitekniikoiden avulla.
● Tietoturva-aukkojen etsintä Web- ja työasemasovellusten tietovirroista. Tämä toteutetaan staattisten (whitebox) tietoturvan analyysitekniikoiden avulla.
● Kehittäjät voivat seurata yksityiskohtaisia tietoturva-aukkoraportteja, jotka sisältävät sekä ylätason tiivistelmät löydöksistä että korjaustoimet.
● Integrointi moniin DevOps-käyttöympäristöihin, kuten Maven- ja IBM UrbanCode - käyttöympäristöihin.