Service Level Agreement (SLA)
2022
GOUD
VERSIE 1.2 – 13-9-2022
Inhoud
3.2 Gepland Onderhoud en noodonderhoud 5
3.4 Veiligheid en betrouwbaarheid 8
4.3 Reactietijdentabel Incidenten 9
4.7 Escalatiepad Incidenten 10
4.8 Proces en uitvoerende Partijen 10
4.10 Voorwaarden en uitsluitingen 11
4.11 Probleem management (onder beheer) 12
4.12 Change management (onder beheer) 12
4.13 Back-up management (onder beheer) 12
6. Aanvullende dienstverlening 13
7.1 Integriteit en vertrouwelijkheid 14
7.2 Certificeringen Trans-iX heeft de volgende certificaten 15
7.3 Back-up en recovery procedure 15
7.5 Meldplicht/security Incident rapportage 16
1. Doel
Het doel van deze Service Level Agreement (SLA) is het nader vastleggen van performance afspraken zoals geldende Reactietijden, Hersteltijden en Beschikbaarheid ter zake van de door Trans-iX gehoste ICT-infrastructuur of beheercontracten (de Dienst) van Opdrachtgever. De technische beschrijving van de Dienst is vastgelegd in de Overeenkomst tussen Trans-iX en Opdrachtgever en beschrijft de details van de voorzieningen die geleverd worden voor deze Dienst.
Deze SLA is onlosmakelijk verbonden met de, tussen Opdrachtgever en Trans-iX gesloten Overeenkomst, waarvan de Algemene Voorwaarden van Trans-iX integraal onderdeel uitmaken.
Trans-iX is te allen tijde gerechtigd de SLA te wijzigen. Een wijziging zal door Trans-iX via e-mail of post worden gecommuniceerd aan Opdrachtgever. De gewijzigde SLA treedt in werking dertig
(30) dagen na bekendmaking, tenzij tegen de wijzigingen, binnen dertig (30) dagen na bekendmaking, schriftelijk bezwaar wordt gemaakt. Trans-iX heeft dan het recht de Overeenkomst voor de resterende duur voort te zetten onder de overeengekomen SLA of de Overeenkomst met een opzegtermijn van één (1) Maand te beëindigen.
Opdrachtgever is uitsluitend gerechtigd de Overeenkomst te beëindigen met ingang van de dag waarop de gewijzigde SLA in werking treedt indien de gewijzigde SLA een substantiële verslechtering van de positie van Opdrachtgever inhoudt. Indien wijzigingen het gevolg zijn van wettelijke voorschriften, kan Opdrachtgever deze wijzigingen niet weigeren.
De in de SLA overeengekomen Service Levels kunnen alleen nagekomen worden indien de afspraken en procedures tussen Trans-iX en Opdrachtgever eveneens worden nageleefd.
Rangorde | Overeenkomst |
01 | Contract op basis van een Offerte |
02 | Algemene Voorwaarden |
03 | Service Level Agreement |
04 | Overige schriftelijke communicatie tussen Trans-iX en Opdrachtgever |
In geval van tegenstrijdigheden of onduidelijkheden in de bovengenoemde overeenkomsten prevaleert een Overeenkomst van hogere rangorde. De rangorde van de diverse overeenkomsten is in bovenstaand schema aangegeven.
De SLA gaat in op datum van oplevering van de eerste Dienst en heeft een looptijd en contractduur gelijk aan die van de laatste Dienst.
Contactgegevens van de contractbeheerders en contactpersonen worden digitaal vastgelegd in onze documentatie en CRM-systeem. Wijzigingen kunnen digitaal worden aangegeven. De opdrachtgever is te allen tijde verantwoordelijk voor de up-to-date gegevens van de contactpersonen.
De operationele communicatie betreffende Incidenten en wensen vindt zoveel mogelijk plaats tussen de contactpersonen van Opdrachtgever en Trans-iX.
Bij een Goud abonnement heeft u toegang tot een eigen service manager. Deze zal voor u klaar staan om er voor te zorgen dat de overleggen plaatsten vinden en de
SLA voor u bewaken. Hoewel wij stimuleren om alles naar het algemene nummer te communiceren kunt u escaleren naar de service manager. Hoewel wij er naar streven om altijd dezelfde service manager aan u te koppelen staat het ons vrij om deze te
vervangen als de omstandigheden daarom vragen.
Overleg
Op verzoek van Opdrachtgever zal overleg plaatsvinden samen met de vaste contactpersonen.
Tijdens het overleg wordt de Dienst, op operationeel niveau, inhoudelijk afgestemd en worden werkafspraken en procedures besproken en geëvalueerd. Ook wordt er bekeken of de huidige SLA nog dekkend is en of een upgrade noodzakelijk is.
Agendapunten
Agendapunten worden voornamelijk bepaald door lopende zaken, projecten, wijzigingen van procedures en de Beschikbaarheid van de Dienst.
De SLA heeft betrekking op de Dienst zoals beschreven in de Overeenkomst.
Trans-iX spant zich in om ervoor te zorgen dat de Dienst te allen tijde buiten het Maintenance Window om, probleemloos beschikbaar is. In het geval dat een Incident de Beschikbaarheid vermindert, verplicht Trans-iX zich tot het oplossen van het Incident binnen de in deze SLA overeengekomen termijnen. Trans-iX verplicht zich tot regelmatige controle en gedegen Onderhoud van de door opdrachtnemer in gebruik genomen Dienst en zorgt dat de capaciteit van deze Dienst zodanig is dat dit bij normaal gebruik niet leidt tot Incidenten.
Window | Omschrijving |
Maintenance platformen en diensten | Maandag t/m Donderdag van 23.00 tot 07.00 uur volgens Nederlandse tijdszone |
3.2 Gepland Onderhoud en noodonderhoud
Voor alle vitale onderdelen van de ICT-infrastructuur van Trans-iX geldt dat preventief en gepland Onderhoud plaats zal vinden.
Gepland incidenteel Onderhoud
Trans-iX beoogt om bij onderhoudswerkzaamheden de merkbare invloed op de Dienst tot het uiterste minimum te beperken door de volgende maatregelen te hanteren:
• Onderhoudswerkzaamheden worden tot een noodzakelijk minimum beperkt
• Onderhoudswerkzaamheden zullen zoveel mogelijk worden gecombineerd
Gepland Onderhoud vindt plaats tijdens het Maintenance Window (zie bepaling 3.1) van Trans-iX. Tijdens deze Maintenance Windows kan Trans-iX zonder toestemming van Opdrachtgever onderhoudswerkzaamheden verrichten. Trans-iX streeft ernaar om gepland Regulier Onderhoud
minimaal één week van tevoren aan Opdrachtgever te melden via de NOC website per e-mail naar Contactpersoon van Opdrachtgever. Een bericht van gepland Onderhoud bevat de volgende informatie:
• Datum
• Aanvang- en eindtijd
• De Dienst waarop het geplande Onderhoud invloed heeft
• Impact (eventuele verwachte uitval van de Dienst + maximale tijdsduur)
Het is mogelijk dat tijdens dit Maintenance Window de Dienst tijdelijk geheel of gedeeltelijk buiten gebruik is en daardoor niet beschikbaar is voor Opdrachtgever (Incident met Prioriteit: zie bepaling 4.2 ).
In overleg en met toestemming van Opdrachtgever kan op ieder gewenst tijdstip gepland Onderhoud worden uitgevoerd. Bijvoorbeeld om op verzoek van Opdrachtgever een wijziging door te voeren. Deze handeling zal altijd in goed overleg plaatsvinden.
Gepland Onderhoud is uitgesloten van de beschikbaarheidsberekeningen tenzij de periode voor het geplande Onderhoud wordt overschreden en de Dienst daardoor voor Opdrachtgever niet beschikbaar is.
Noodonderhoud
Noodonderhoud kan nodig zijn wanneer zich onvoorziene omstandigheden voordoen die de continuïteit en/of veiligheid van de Dienst of andere Diensten van Trans-iX in gevaar brengen. In een dergelijke situatie wordt Opdrachtgever zo spoedig mogelijk geïnformeerd.
Onbeschikbaarheid tijdens noodonderhoud telt mee in de beschikbaarheidsberekening, tenzij deze in het Maintenance Window wordt uitgevoerd.
Geautomatiseerde Updates indien een beheercontract is afgesloten
Om een Operating System (OS) up-to-date te houden stellen wij automatische updates en reboots in op infrastructuur waar dit mogelijk is. Deze updates gebeuren in het Maintenance Window (zie bepaling 3.1) zonder een vooraankondiging via de mail of telefoon. Het is mogelijk dat er een korte onderbreking is. Wij monitoren dit wel, dus bij eventuele incidenten wordt de storingsdienst automatisch geactiveerd.
Uitgesloten
Hoewel Trans-iX haar Maintenance Windows zo goed mogelijk probeert af te stemmen met haar leveranciers, kan het gebeuren dat deze niet overeenkomen. Als dit impact heeft op de dienstverlening, dan zullen wij dit, nadat het bij ons is aangemeld, aan u doorgeven.
Voor de Beschikbaarheid van de Dienst geldt een garantie zoals is opgenomen in onderstaande tekst.
Trans-iX garandeert niet dat er altijd communicatie over het internet mogelijk is of dat er altijd een verbinding tot stand kan worden gebracht met een andere machine aangesloten op het internet. Er is sprake van Onbeschikbaarheid als de Dienst van Trans-iX als gevolg van een niet geplande gebeurtenis voor geen enkele gebruiker bruikbaar is (= gehele uitval van de Dienst). Als een Dienst slechts voor bepaalde gebruikers onbruikbaar is, of niet correct functioneert, is er sprake van een Incident waarbij de Dienst op zich als beschikbaar wordt aangemerkt.
De verantwoordelijkheid van Trans-iX met betrekking tot Beschikbaarheid zoals geformuleerd in deze SLA zijn niet van toepassing op Storingen, indien de uitval veroorzaakt wordt door:
• wijzigingen aan de Dienst die op verzoek van Opdrachtgever worden doorgevoerd
• besmetting of aanval van de IT-omgeving (bijv. door virusuitbraken, (D)DoS etc.);
• ongeautoriseerde wijzigingen door Opdrachtgever op de Apparatuur van Trans-iX;
• een Storing in de telecommunicatie-infrastructuur van derden;
• gepland Onderhoud, tenzij het Maintenance Window wordt overschreden;
• het uitzetten van de Dienst door Opdrachtgever, of met geldige reden, door Trans-iX;
• overmacht zoals beschreven in de Algemene Voorwaarden van Trans-iX
• onoordeelkundig gebruik maken van de Dienst door Opdrachtgever, ter beoordeling door Trans-iX;
• het falen van geïnstalleerde software op de virtuele- of dedicated server(s) (indien niet opgenomen in het beheercontract);
• het falen van niet door Trans-iX beheerde hardware en/of software van Opdrachtgever (indien hardware niet in garantie is van Trans-iX);
• het in strijd handelen met de Overeenkomst of de Algemene Voorwaarden betreffende het gebruik van de Dienst door Opdrachtgever;
• niet reageren door Opdrachtgever op het advies dat de SLA niet meer gehaald kan worden met de huidige afgenomen diensten;
• dat Trans-iX of haar leveranciers geen toegang krijgen tot de Dienst om reparatiewerkzaamheden uit te voeren;
• uitgevoerde wijzigingen door eigen personeel of derden, zonder dat dit gemeld is aan Trans-iX;
• aantoonbaar achterstallig onderhoud door derden, of opdrachtgever;
• end-of-life producten;
• calamiteiten (bijv. brand of diefstal).
De Beschikbaarheid (A) van de Dienst wordt als volgt berekend: A = 100% * [1 – (t : T)]
t = het aantal minuten dat de Dienst gedurende de Maand niet beschikbaar is voor Opdrachtgever (gehele uitval van de Dienst). De tijd, door Trans-iX gemeten en geregistreerd, wordt geteld vanaf de Melding van de Storing tot het gereed melden door Trans-iX van de Storing aan Opdrachtgever (of het tijdstip waarop Trans-iX tracht de Melding door te geven) (= Hersteltijd).
T = totaal aantal minuten per Maand (= 43.800 minuten)
Onderdeel | Beschikbaarheid per Maand |
Dienst zoals beschreven in de Overeenkomst | 99,99% Op voorwaarde dat de DRP omgeving of het dual datacentrum ontwerp gerealiseerd is. |
3.4 Veiligheid en betrouwbaarheid
Trans-iX zal zich inspannen om toegang tot gegevens door onbevoegden te voorkomen en om informatie van Opdrachtgever geheim te houden.
4. Incident Management
Incident Management heeft tot doel (dreigende) verstoringen in de Dienst zo snel mogelijk te verhelpen. Trans-iX streeft ernaar dat Opdrachtgever zo min mogelijk hinder van Incidenten ondervindt. In geval van een Incident moet Opdrachtgever zo snel mogelijk met de normale werkzaamheden door kunnen gaan.
Dit wordt gedaan door het aannemen, beoordelen, oplossen en afmelden van Meldingen van Incidenten van Opdrachtgever.
4.2 Prioriteitentabel Incidenten
Prioriteit | Betekenis |
1 | Gehele uitval van de Dienst (Storing) of gedeeltelijke uitval van de Dienst (de Dienst is ernstig verstoord) |
2 | Problemen met beperkte gevolgen voor Opdrachtgever (geen grote urgentie of geen hoge impact) |
4.3 Reactietijdentabel Incidenten
Prioriteit | Reactietijd | Hersteltijd |
1 | 2 uur | 8 uur Op voorwaarde dat de DRP omgeving of het dual datacentrum ontwerp gerealiseerd is. |
2 | 2 uur | Best effort inspanning |
Opdrachtgever meldt Incidenten bij Trans-iX. Deze gaan via de Contactpersoon van Opdrachtgever naar de Contactpersoon van Trans-iX. Opdrachtgever verplicht zich om alle informatie door te geven die relevant kan zijn voor het oplossen van het Incident.
Indien Opdrachtgever een beheercontract afneemt, geschieden meldingen van Incidenten door middel van het monitoringsysteem van Trans-iX. Het monitoringsysteem wordt door Trans-iX zodanig geconfigureerd dat Incidenten adequaat gedetecteerd worden.
Het melden van Incidenten binnen het geldende Service Window is vastgelegd in onderstaande tabel:
Prioriteit | Melding tijdens Kantooruren | Melding buiten Kantooruren |
1 | x00 (0)00 00 00 000 + servicedesk@Trans- xX.xx | |
2 | x00 (0)00 00 00 000 of servicedesk@Trans- xX.xx | N.v.t. |
Incidenten met Prioriteit 1 dienen altijd gemeld te worden per telefoon en per e-mail.
De Melding moet de volgende onderdelen bevatten:
• Naam melder
• Telefoonnummer en e-mailadres melder
• De datum (evt. tijdstip) waarop het Incident ontstaan is
• Omschrijving van het Incident
• Een geschatte Prioriteit van Opdrachtgever
Opdrachtgever welke gebruikmaakt van de Dienst is te allen tijde zelf verantwoordelijk voor eigen back-ups voor herstel van de data. Wenst de Opdrachtgever gebruik te maken van een herstel vanuit de noodherstelprocedure van Trans-iX, dan kunnen hier kosten voor in rekening worden gebracht. Dit kan apart beschreven worden in een beheervoorstel.
Trans-iX zal binnen de overeengekomen Hersteltijd de Dienst opleveren zoals deze oorspronkelijk is opgeleverd en deze weer beschikbaar maken. Bij het overhandigen aan de opdrachtgever stopt de downtimemelding.
Als diensten buiten de ICT-infrastructuur vallen van Trans-iX dan is de Hersteltijd afhankelijk van de SLA-tijden van die leverancier en vervallen onze SLA-tijden en compensatieregeling.
Na het ontvangen van de Melding zal Trans-iX telefonisch of elektronisch een Melding teruggeven waarin Trans-iX de Prioriteit en verwachte Hersteltijd aangeeft.
Na het afhandelen van het Incident zal er een terugkoppeling over het verholpen Incident naar de Incidentmelder gedaan worden.
Escalatieniveau | Verantwoordelijke bij Trans-iX | Escalatie tijd |
Niveau 0 escalatie (reguliere Melding van Incidenten) | Technische beheerders van Trans-iX | Best effort |
Niveau 1 escalatie | Service manager | Best effort |
Niveau 2 escalatie | Manager Operations | Best effort |
4.8 Proces en uitvoerende Partijen (Conform 4.3 Reactietijdentabel Incidenten)
Processtap | Omschrijving | Resultaat | Uitvoerend |
Registreren & Classificeren | Opdrachtgever wordt gehoord, zijn Melding wordt geïnterpreteerd. | Interpretatie Melding | Trans-iX |
Onderzoeken & Initiëren | De verantwoordelijke voor het bieden van de oplossing wordt bepaald. De verantwoordelijke kan zijn: . Trans-iX zelf; | Benodigde acties bepaald en uitgezet | Trans-iX |
. een andere partij; kan ook een partij zijn waarmee Opdrachtgever een afspraak heeft. | |||
Oplossen & Herstellen | Verantwoordelijke Trans-iX: de benodigde actie wordt uitgevoerd conform de bij Trans-iX gebruikelijke wijze. Verantwoordelijke andere partijen: de benodigde actie valt verder niet onder deze SLA; Trans-iX zal, binnen het geldende Service Window, binnen de Reactietijden conform de gestelde Prioriteit, de Calls routeren naar de derde partij die verantwoordelijk is voor de oplossing van het Incident. (Transferred Calls) | Oplossen Incident | Trans-iX, derde partijen |
Afsluiten | Indien het Incident is opgelost, wordt dit gemeld. | Afgesloten Melding | Trans-iX |
Prioriteit | Kosten |
1 | Supporturen ter oplossing van incidenten worden op basis van nacalculatie aan Opdrachtgever in rekening gebracht, tenzij Opdrachtgever een beheercontract heeft afgesloten. Opdrachtgever is, voor aanvang van de werkzaamheden die verband houden met de oplossing van het Incident, akkoord met 2 uur werkzaamheden tegen het geldende uurtarief. Daarna volgt overleg tussen Opdrachtgever en Trans-iX of Trans-iX de oplosactie moet afronden. Door deze procedure kan Trans-iX direct aanvangen met de werkzaamheden wat de Hersteltijd verkort. Indien de oplosactie minder dan 2 uur in beslag neemt, is Opdrachtgever de werkelijke Hersteltijd verschuldigd. |
2 | Aparte offerte, tenzij anders overeengekomen. |
Incidenten veroorzaakt door Apparatuur waar Trans-iX verantwoordelijk voor is, worden kosteloos opgelost. Bij een Dedicated Server onder garantie bij de leverancier wordt defecte hardware kosteloos vervangen.
4.10 Voorwaarden en uitsluitingen
• Calls die, in overleg met Opdrachtgever, op ‘Afspraak gemaakt’ of ‘wachten op klant’ zijn gezet vallen buiten de overeengekomen Service Levels.
• Contactgegevens van derde partijen dienen schriftelijk vastgelegd te worden. Dit is de verantwoordelijkheid van Opdrachtgever. Indien geen contactgegevens bekend zijn bij Trans-iX wordt de Contactpersoon van Opdrachtgever geïnformeerd over een Incident waarvoor de derde partij verantwoordelijk is.
• Opdrachtgever dient zorg te dragen in haar contracten met derde partijen dat Trans-iX geïnformeerd wordt over status en voortgang van de naar die partijen doorverwezen Calls.
• Applicatie beheer is uitgesloten van onze dienst verlening. Software van derde of buiten ons advies aangeschaft zal niet ondersteund worden. Hulp bij dit soort problemen of incidenten zal gebeuren op basis van de dan geldende nacalculatie tarieven en op basis van best effort.
4.11 Probleem management (onder beheer)
De definitie van een probleem is als een incident binnen een korte tijd zich herhaaldelijk voordoet. Oplossingen vallen binnen de SLA regels.
4.12 Change management (onder beheer)
De definitie van een change is het aanbrengen van een wijziging op de lopende configuratie. Onder ons beheer contract kunnen we voor u aanpassingen maken die niet vallen onder data bewerking of applicatie beheer.
4.13 Back-up management (onder beheer)
Onder ons beheer en als u de dienst heeft afgenomen controleren wij automatisch of de back-up is gelukt. Specifieke Back-up services worden afgesproken per dienst contract.
5. Compensatieregeling
Als de overeengekomen uptime op basis van een jaarrapportage, of de reactietijden op incidenten en verzoeken niet worden gehaald, heeft de Opdrachtgever recht op compensatie.
Dienst | Compensatie |
Housing en netwerkconnectiviteit | Maximaal 50% van 1 maandbedrag van de housing en netwerkconnectiviteit producten |
Netwerk, firewall- en load balancing apparatuur | Maximaal 50% van 1 maandbedrag van de housing-, lease- en beheerproducten |
Besturingssystemen en shared services | Maximaal 50% van 1 maandbedrag van de beheer- en shared servicesproducten |
Reactietijden | Voor elke 2 keer dat de Reactietijd van een Incident niet wordt gehaald in een maand, maximaal 50% van het maandbedrag van producten waar de verlopen incidenten op van toepassing waren |
Om aanspraak te maken op compensatie bij downtime dient binnen 14 kalenderdagen na het beschikbaar komen van de rapportage een verzoek tot compensatie ingediend te worden. Bij het niet halen van de Reactietijd dient binnen 14 kalenderdagen, na het voor de tweede keer optreden hiervan, een verzoek tot compensatie ingediend te worden.
Deze ingebrekestelling dient via een ticket of schriftelijk te worden ingediend en geldt alleen voor de getroffen producten. De contactgegevens staan vermeld op de website
xxxx://xxx.Xxxxx-xX.xx/xxxxxxx.
Om in aanmerking te komen voor compensatie heeft Trans-iX een aantal voorwaarden waaraan moet worden voldaan.
• Contractuele boetes zijn niet cumulatief. Indien er meerdere gevolgen zijn door één oorzaak, wordt eenmalig een compensatie uitgekeerd.
• Bij overmacht komen de compensaties te vervallen.
• De administratie en metingen van Trans-iX zijn leidend.
• Onderhoudswerkzaamheden vallen buiten de garantie en worden dan ook niet meegenomen in de metingen.
• Indien de Opdrachtgever advies niet opvolgt zoals in het hoofdstuk ‘Capaciteit’ beschreven wordt, vervallen alle garanties op de dienst. Elke ingebrekestelling op deze garanties wordt afgewezen.
6. Aanvullende dienstverlening
Trans-iX levert op verzoek een beheercontract dat voor uw gewenste dienstverleningsniveau geschikt is. Als u geen gebruik maakt van een beheercontract maar wel zo nu en dan van dienstverlening van Trans-iX gebruik wil maken, dan kan dat op basis van nacalculatie.
Ondersteuning buiten kantoortijden, of dienstverlening buiten de overeenkomsten op de diensten, is mogelijk op basis van nacalculatie per uur waarbij de volgende prijzen worden gehanteerd, exclusief voorrijkosten:
• Support engineer - Standaardtarief tijdens kantoortijden €150,00
Voor uitvoering van de werkzaakheden ’s avonds, in weekenden of op feestdagen geldt een toeslag zoals hieronder vermeld. Let u erop dat deze tijden alleen in overleg kunnen worden ingepland.
• 50% toeslag geldt na 18:00 uur tot 07:30 uur van maandag t/m vrijdag;
• 100% toeslag geld op zaterdag van 00:00 uur tot 23:59 uur;
• 150% toeslag geldt op zon- en feestdagen 00:00 uur tot de volgende ochtend 07:00;
7. Cyberveiligheid
7.1 Integriteit en vertrouwelijkheid
Trans-iX geeft geen garanties en aanvaardt geen aansprakelijkheid met betrekking tot de veiligheid van netwerkverbindingen en opgeslagen gegevens. Trans-iX zal zich inspannen om fysieke en logische toegang tot gegevens door onbevoegden te voorkomen en om informatie van Xxxxx geheim te houden.
Trans-iX erkent het belang van een scherpe beveiliging van de omgeving van de opdrachtgever. Trans-iX houdt zich regelmatig op de hoogte van de laatste informatie omtrent beveiliging. Ten einde een optimale beveiliging te garanderen nemen Trans-iX en Klant de onderstaande maatregelen:
• Opdrachtgever is verantwoordelijk voor de personen die zij door middel van het verlenen van autorisatie, toegang verschaft tot de software die behoort tot de systeemomgeving alsmede de applicaties. Klant en Trans-iX zullen in gezamenlijk overleg nadere afspraken maken over te hanteren regels en richtlijnen ten aanzien van het door Klant gewenste beveiligingsbeleid.
• Trans-iX zal bijhouden, welke medewerkers authenticaties en autorisaties mogen aanpassen op de omgeving van de opdrachtgever.
• Indien een server met een beheercontract is getroffen door een beveiligingsincident, zal Trans-iX beraadslagen wat de te volgen stappen zijn. Indien nodig zullen patches op korte termijn geïnstalleerd worden. Indien hierbij onderbreking van de service van Trans-iX plaatsvindt dan wordt opdrachtgever onverwijld hiervan op de hoogte gesteld.
• In het geval van ernstige beveiligingsproblemen, in hardware of software met een beheercontract, zal Trans-iX beraadslagen wat de te volgen stappen zijn. Indien nodig, zullen patches op korte termijn geïnstalleerd worden. Wanneer dit niet toereikend blijkt te zijn, zal Trans-iX B.V. na overleg overgaan tot het opnieuw inrichten van de server. Indien hierbij onderbreking van de service van Trans-iX plaatsvindt dan wordt opdrachtgever onverwijld hiervan op de hoogte gesteld.
• Trans-iX verleent medewerking aan securityaudits en geeft toestemming voor penetratietests op de omgeving van de opdrachtgever, mits deze de Beschikbaarheid van de dienstverlening van Trans-iX niet in gevaar brengen; zulks ter beoordeling door
Trans-iX. De kosten van een beveiligingsaudit en penetratietest zijn voor opdrachtgever. Verzoeken moeten minstens 14 dagen voorafgaande aan de geplande audit of penetratietest schriftelijk worden ingediend. Penetratietesten zijn niet toegestaan op de gedeelde componenten van Trans-iX.
Trans-iX heeft de volgende certificaten:
Naam | Certificerende instantie | Scope |
NEN-EN-ISO 27001:2017+A11:2020 | QualityMasters | Ontwerpen, adviseren, leveren en beheren van clouddiensten, datacentrumdiensten en kantoorautomatisering voor de zakelijke markt. |
NEN 7510:2017+A1:2020 | QualityMasters | Ontwerpen, adviseren, leveren en beheren van clouddiensten, datacentrumdiensten en kantoorautomatisering voor de zakelijke markt. |
7.3 Back-up en recovery procedure
Met betrekking tot de Back-up en recovery van de gegevens dienen de volgende afspraken te worden vastgelegd:
• RPO (recovery point in time):
o Hoe vaak wordt een Back-up gemaakt? Dit bepaalt hoeveel data er verloren gaat bij een dataverlies
• Medium/locatie:
o Op welk medium wordt een Back-up gemaakt en waar wordt deze bewaard?
• Bewaartermijn:
o Hoe lang wordt een Back-up bewaard.
• Recovery procedure:
o Klant kan Trans-iX verzoeken tot het beschikbaar maken van gegevens uit de Back-up. Klant en Trans-iX zullen in gezamenlijk overleg nadere afspraken maken over de te hanteren recovery procedure. Facturatie voor de recovery procedure door Trans-iX geschiedt op basis van nacalculatie.
• RTO (Recovery Time Objective)
o Wij voorzien niet in de dienst om specifieke data uit de back-up te halen zonder expliciete toestemming en de exacte locatie van het bestand te kennen. Dit in verband met de verwerkersverantwoordelijkheden.
Xxxxx heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Overeenkomst, en alles dat daarmee verband houdt. Deze audit kan eens per jaar
plaatsvinden, maar mag bij een concreet vermoeden van niet naleving van de Overeenkomst vaker plaatsvinden. Trans-iX zal op de hoogte gesteld worden van deze vermoedens
Trans-iX zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is, tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
De bevindingen naar aanleiding van de uitgevoerde audit zullen door partijen in onderling overleg worden beoordeeld en naar aanleiding hiervan, al dan niet worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.
De kosten van een audit komen voor rekening van de Klant.
7.5 Meldplicht/security Incident rapportage
In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van de Dienst die leidt tot een aanzienlijke kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van data van de Klant zal Trans-iX, zich naar beste kunnen inspannen om Klant daarover onmiddellijk te infomeren. De meldplicht geldt ongeacht de impact van het lek.
Indien de wet- en/of regelgeving dit vereist zal Trans-iX meewerken aan het informeren van de terzake relevante autoriteiten en eventueel betrokkenen. Verantwoordelijke is verantwoordelijk voor het melden naar de relevante autoriteiten.
De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
• Wat de (vermeende) oorzaak is van het lek;
• Wat de (vermeende) omvang is van het lek;
• Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• Wat de (voorgestelde) oplossing is;
• Wat de reeds genomen maatregelen zijn.
Om (security) Incidenten en eventueel falen van de Dienst goed te kunnen diagnosticeren is het van belang dat de Klant toegang kan hebben/geven tot de loginformatie van de Dienst:
Log parameter | Hoe op te vragen? | Retentie periode |
Ticket historie | Ticket systeem | 2 jaar |
Linux Logfiles | Service Request | 18 maanden |
Windows Logfiles | Service Request | 18 maanden |
Firewall Logfiles | Service Request | 18 maanden |
Monitoring data (Consolidatie) | Service Request | 18 maanden |
Audit logs | Service Request | 18 maanden |
Onder beheer zullen wij de log files zo instellen dat dit mogelijk wordt gemaakt. Dit gaat altijd in overleg.
8. Definities
Begrip/afkorting | Beschrijving/definitie |
Apparatuur | De door Opdrachtgever geleverde, of door Trans-iX aan Opdrachtgever ter beschikking gestelde Apparatuur zoals (virtuele) servers, netwerkinfrastructuur en randapparatuur welke zijn geplaatst in het netwerk van Trans-iX. |
Beschikbaarheid | Is het tegenovergestelde van Onbeschikbaarheid. |
Call | Dit is een Melding aan de Contactpersoon van Trans-iX. Het kan hier gaan om een Melding van een Incident, vraag, verzoek of klacht. |
Contactpersoon | Door Opdrachtgever en Trans-iX aan te wijzen personen die dienen als Contactpersoon voor het melden van alle relevante kwesties aangaande de dagelijkse gang van zaken met betrekking tot de Dienst. |
Dienst | Afhankelijk van wat Opdrachtgever heeft aangevraagd, stelt Trans-iX een virtuele- of dedicated server of co-locatie ruimte in een 19” rack met netwerkverbinding en stroomtoevoer ter beschikking. Nader omgeschreven in de Overeenkomst. |
Hersteltijd | De tijd, door Trans-iX gemeten en geregistreerd, tussen de Melding van een Incident en het gereed melden door Trans-iX van het Incident aan Opdrachtgever (of het tijdstip waarop Trans-iX tracht de Melding door te geven). |
Kantooruren | Werkdagen tussen 08:30 en 17:00 uur volgens Nederlandse tijdszone. |
Maand | Met een Maand wordt een kalendermaand bedoeld. |
Maintenance Window | Gedefinieerd tijdsbestek waarbinnen Trans-iX en/of zijn leveranciers Onderhoud kunnen plegen. |
Melding | Elk verzoek van de Opdrachtgever aan Trans-iX (elektronisch en/of mondeling). |
Noodnummer | Het storingsnummer dat buiten Kantooruren beschikbaar is voor de Melding van Incidenten. |
Onbeschikbaarheid | Er is sprake van Onbeschikbaarheid als de Dienst van Trans-iX als gevolg van een niet geplande gebeurtenis voor geen enkele gebruiker bruikbaar is. |
Onderhoud | Het uitvoeren van reparaties, het nemen van voorzorgsmaatregelen en regelmatige controle van de geïnstalleerde Apparatuur alsmede gepland Onderhoud en noodonderhoud. |
Overeenkomst | Een complete Overeenkomst bestaat uit 3 delen: Deel 1: overzicht Dienst met bijhorende kosten Deel 2: overige voorwaarden en beschrijving van de Dienst. Deel 3: getekende offerte met bijbehorende contractnummers |
Prioriteit | De volgorde waarin Incidenten worden behandeld. |
Probleem | Een 'Probleem' is een gevolg of een mogelijk gevolg van één of meerdere incidenten en of is een terugkerend Incident bij dezelfde belanghebbende. |
Reactietijd | De tijdsduur tussen een correcte Melding door Opdrachtgever van een Incident en de aanvang van de werkzaamheden verband houdende met de oplossing van een Incident. |
Change | Change (wijzigingsverzoek), ingesteld door Trans-iX of Opdrachtgever. |
Service Window | Gedefinieerd tijdsbestek waarbinnen Trans-iX bereikbaar is voor Incidenten. |
SLA | Service Level Agreement. |
Incident | Een Incident is in de ICT een verstoring in de dienstverlening waardoor de te verwachten service in zijn geheel of gedeeltelijk is verdwenen of dreigt te verminderen. Een Incident kan aangemeld worden door een eigen medewerker, klant, software, gebruiker, belanghebbende en of een leverancier die daarvoor geautoriseerd is. |
Werkdag | Maandag tot en met vrijdag met uitzondering van de volgens de Nederlandse kalender algemeen erkende feestdagen. |