SERVICE LEVEL AGREEMENT
SERVICE LEVEL AGREEMENT
Onderliggend document beschrijft de Service Level Agreement (SLA) van Entrust ten aanzien van de Dienst die voor daartoe geregistreerde Opdrachtgevers van Entrust van toepassing is.
Dit document is onlosmakelijk verbonden met de Overeenkomst tussen Opdrachtgever en Entrust waarin de af te nemen dienst(en) overeen zijn gekomen. De looptijd van de SLA is gelijk aan de looptijd van de Overeenkomst. Het beheer van de SLA berust bij Entrust.
INCIDENT MANAGEMENT
Opdrachtgever is zelf verantwoordelijk om de juiste contactpersonen aan te melden bij deze statuspagina.
Incidenten worden geregistreerd en afgehandeld conform het bepaalde in deze SLA. Incidenten worden door Opdrachtgever gemeld aan Entrust door de geregistreerde contactpersonen en op de wijze zoals gecommuniceerd door Entrust en/of bepaald in deze SLA. Indien Incidenten op een andere wijze aan Entrust worden gemeld, bijvoorbeeld via andere telefoonnummers of e-mailadressen, dan kan een correcte afhandeling niet worden gegarandeerd.
Voor de registratie van een door Opdrachtgever gemeld Incident is Opdrachtgever verantwoordelijk voor het aanleveren van de volgende gegevens:
• Een beschrijving van het Incident, zo accuraat mogelijk, waaronder in ieder geval – maar niet uitsluitend:
o Impact of ernst: betreft het één of meerdere gebruikers;
o Tijdstip van constateren;
o Op welke manier is het Incident ontdekt;
o Informatie over foutcodes, of mogelijke screenshots;
o Te doorlopen stappen om het probleem te reproduceren;
• Beschrijving van de door Opdrachtgever reeds genomen stappen;
• Bedrijfsgegevens van Opdrachtgever, alsmede de actuele contactgegevens van de contactpersoon.
1. PRIORITEITEN
De Incidenten, mits vatbaar voor verdere afhandeling door Entrust, worden ingedeeld in de volgende prioriteitsniveaus. Entrust streeft ernaar om Incidenten, zoals weergegeven in de onderstaande kolom, af te handelen, afhankelijk van het interne prioriteitsniveau dat door Entrust aan het Incident wordt toegekend.
Classificatie | Niveau | Response Time | Resolution Time | Explanation |
Priotiteit 1 | Hoog | 30 minuten | 4 uur | De Dienst is geheel niet beschikbaar en eindgebruikers kunnen niet ondertekenen. |
Priotiteit 2 | Midden | 30 minuten* | 8 uur* | De Dienst is voor een beperkt niveau niet beschikbaar en slechts bepaalde functionaliteit is niet beschikbaar voor een beperkte groep van eindgebruikers. |
Priotiteit 3 | Laag | 30 minuten* | 16 uur* | Geen productie verstorende fouten, incidenten zoals aanpassen accountgegevens of kleur instellingen ondertekenscherm. |
*Voor prioriteit 2 en 3 meldingen geldt de Reactie- en Oplostijd binnen Werkuren.
Het prioriteitsniveau wordt redelijkerwijs, naar aanleiding van de melding door Opdrachtgever, bepaald door de supportmedewerker van Entrust, die het Incident in behandeling neemt. Hiervoor is het van belang dat Opdrachtgever alle relevante informatie, waaronder - maar niet uitsluitend - de informatie zoals opgenomen in hoofdstuk 1, ten aanzien van het incident aanlevert. Indien Opdrachtgever van mening is dat sprake is van prioriteitsniveau 1, dan zal Opdrachtgever het betreffende incident telefonisch aan Entrust melden conform deze SLA.
Om een terugkoppeling naar Opdrachtgever te doen, dient Entrust in bezit te zijn van geldige contactgegevens van de contactpersoon bij Opdrachtgever. Gedurende het aansluitproces worden deze SLA-specifieke gegevens door Opdrachtgever aangeleverd en worden de aan de zijde van Entrust relevante gegevens bekend gemaakt. Opdrachtgever heeft hierbij de verantwoordelijkheid voor het verschaffen van correcte en up-to-date contactgegevens. Indien de bij Entrust bekende contactgegevens niet juist zijn vanwege een doen of nalaten door Opdrachtgever, of indien het
niettijdig terugkoppelen door Entrust over het Incident het gevolg is van omstandigheden welke Entrust niet kunnen worden toegerekend, dan geldt als tijdstip van terugkoppeling de poging die Entrust daartoe gedaan heeft.
Opdrachtgever stemt er mee in naar beste vermogen te assisteren bij het verhelpen van het Incident. Tevens zal Opdrachtgever toegang verlenen aan Entrust tot de plaatsen waar het Incident kan worden verholpen, voor zover Opdrachtgever toegang kan verlenen. Indien assistentie zoals hiervoor bedoeld niet wordt verleend of indien Entrust geen toegang heeft tot de Dienst, niet door toedoen van Entrust, gaat de Oplostijd pas in op het moment dat Opdrachtgever de benodigde assistentie verleent of Entrust toegang heeft gekregen tot de Dienst en/of het betreffende Incident.
2. AVALABILITY
Entrust spant zich vierentwintig (24) uur per dag, zeven (7) dagen per week gedurende het gehele jaar in de Dienst conform het hieronder genoemde percentage van die tijd beschikbaar te laten zijn, welke is aan te merken als de Gewenste Beschikbaarheid.
Entrust hanteert ten aanzien van haar Dienst een beschikbaarheidspercentage van 99,8% (‘Gewenste Beschikbaarheid’).
Beschikbaar wil zeggen dat de Dienst door Opdrachtgever benaderd en gebruikt kan worden. Niet inbegrepen zijn storingen aan de verbinding en/of apparatuur die buiten de macht van Entrust liggen, waaronder de verbinding en/of apparatuur van Opdrachtgever zelf. De Daadwerkelijke Beschikbaarheid wordt als volgt gemeten: Uren van Daadwerkelijke Beschikbaarheid gedeeld door de uren van theoretisch mogelijke beschikbaarheid met aftrek van (gepland) Onderhoud.
De Daadwerkelijke Beschikbaarheid wordt op jaarbasis bepaald.
De niet-beschikbaarheid als gevolg van overmacht, externe (verificatie)diensten zoals SMS, iDEAL, DigiD, iDIN, eHerkenning en/of gepland/noodzakelijk Onderhoud worden niet aangemerkt als Incident in de berekening van de Daadwerkelijke Beschikbaarheid.
3. ONDERHOUD
Het reguliere onderhoudswindow van de Dienst is op Werkdagen tussen 0.00 AM en 07.00 AM of in het weekend. Binnen dit onderhoudswindow heeft Entrust de mogelijkheid om Onderhoud ongepland uit te voeren.
Entrust zal zich inspannen gepland Onderhoud minimaal 5 Werkdagen voorafgaand aan het geplande onderhoud kenbaar te maken aan Opdrachtgever via xxxxx://xxxxxx.Xxxxxxx.xxx/ aan de geregistreerde contactpersonen van Opdrachtgever. Aankondigingen verlopen via het gekozen kanaal (bijvoorbeeld per email) bij xxxxx://xxxxxx.xxxxxxxx.xxx/.
Bij calamiteiten of storingen kunnen wijzigingen direct worden doorgevoerd. Daarnaast kan Entrust de Dienst of gedeelten daarvan binnen en buiten het reguliere onderhoudswindow zonder aankondiging aanpassen om de functionaliteit te verbeteren/aan te passen en om fouten te herstellen door middel van Updates.
4. PERFORMANCE
Entrust heeft de nodige maatregelen genomen voor een snelle verwerking van de ondertekenverzoeken. Als maatstaf geldt dat Opdrachtgever en eindgebruiker een goede gebruikerservaring moeten ervaren. Entrust zal ervoor zorgdragen dat het klaarzetten van een
ondertekenverzoek in maximaal 10 seconden afgehandeld zal worden. Deze performance is echter afhankelijk van de gekozen ondertekenmethode door Opdrachtgever (grootte document, aantal handtekeningen, verificatiemethode(s)). In aanvulling op de gestelde norm, in opvolging van eventuele performance opmerkingen, zal Entrust metingen verrichten en verbeteringen doorvoeren.
Entrust kan bepaalde ‘rate limits’ vaststellen en van toepassing verklaren op de Dienst, zoals aantal documenten per transactie en pagina’s per document. Deze ‘rate limits’ worden gecommuniceerd via de support pagina of een ander medium. Deze ‘rate limits’ kunnen binnen deze SLA met instemming van Entrust specifiek worden aangepast.
5. MONITORING
De Dienst wordt continu gemonitord op beschikbaarheid. Zowel op infrastructuur door de ICTleverancier als extern via internet monitoring diensten.
Daarnaast wordt Opdrachtgever continue op de hoogte gehouden van de beschikbaarheid via de rapportages zoals te vinden op xxxxx://xxxxxx.xxxxxxxx.xxx/.
6. NIEUWE RELEASES
De Dienst is bereikbaar via een portaal of API. Nieuwe versies van het portaal of de API zullen geïntroduceerd worden voor alle Opdrachtgevers. Versies van de API zullen downwards compatible zijn, of minimaal één oudere versie ondersteunen. Opdrachtgevers wordt steeds een redelijke termijn geboden om de API koppeling aan te (laten) passen om naar een nieuwe versie te migreren.
Entrust communiceert nieuwe features via haar product nieuwsbrief en Website.
7. BACK-UP EN CONTINUÏTEIT
De ICT-leverancier van Entrust maakt een dagelijkse back-up van de systemen t.a.v. de Dienst. De backup wordt na twee weken verwijderd.
Doel van de Dienst is om alleen benodigde data op te slaan gedurende het ondertekenproces. Na afronding van het ondertekenproces en terugkoppeling van getekende document en transactiebewijs zullen documenten verwijderd worden. Het is de verantwoordelijkheid van Opdrachtgever om de documenten vervolgens te archiveren.
8. RECOVERY
Entrust maakt gebruik van de ISO gecertificeerde Secure Hosting dienst, via haar ICT-leverancier. De Dienst draait op een virtuele infrastructuur onder de secure hosting dienst van de ICT-leverancier. Bij calamiteiten kan direct uitwijk plaatsvinden naar het 2e datacenter. In geval van een calamiteit in het
“ene” (operationele) datacenter zal voor de dienstverlening ten behoeve van de Dienst, indien nodig, automatisch worden uitgeweken naar het “andere”(uitwijk) datacenter.
9. BEVEILIGING EN CERTIFICERING
Entrust beschikt over de volgende certificeringen en verklaringen, te weten:
• ISO/IEC 27001:2013 certificering;
• Service Organization Control (SOC) 2-verklaring;
• DigiD TPM verklaring;
• iDIN – Digital Identity Service Provider (DISP).
De ICT-leverancier van de Dienst beschikt daarnaast over NEN 7510:2011, ISO 9001:2008, ISO 20000- 1:2011, ISO 27001:2013 en ISAE 3402 Type 2 certificering.
Teneinde Opdrachtgever inzicht te verschaffen in de door Entrust getroffen beveiligingsmaatregelen, wordt inzage in het beveiligingsbeleid verschaft. Het beveiligingsbeleid van Entrust is te raadplegen op de Website: xxxxx://xxx.xxxxxxxx.xx/xxxxxxxxxxxxxxxxxxxxxx. Entrust kan dit beveiligingsbeleid van tijd tot tijd herzien. Voor een uitgebreid overzicht van de door Entrust getroffen beveiligingsmaatregelen en behaalde certificeringen wordt verwezen naar de beveiligingsverklaring van Entrust.
10. RAPPORTAGE
Entrust stelt een maandelijkse online rapportage ter beschikking aan Opdrachtgever. In de rapportage staat informatie over beschikbaarheid van de Dienst, Incidenten en mogelijk onderhoud. Rapportage is online beschikbaar via xxxx://xxxxxx.xxxxxxxx.xxx/
Rapportage over het aantal ondertekenverzoeken en status is standaard beschikbaar via xxxxx://xxxxxx.xxxxxxxx.xxx en inlog is beschikbaar via de accounthouder.
Entrust zal Opdrachtgever inzage geven in het ticketsysteem waarbinnen de voortgang en afhandelingen van supportaanvragen kan worden bewaakt.
In geval van grote calamiteiten en/of incidenten zal Entrust Opdrachtgever binnen deze SLA informeren over de oorzaak van het probleem, alsmede de stappen die worden ondernomen om een dergelijk probleem in de toekomst te voorkomen, door middel van het uitbrengen van een problem report aan Opdrachtgever.
11. OVERLEG ACCOUNTMANAGER
Twee keer paar jaar vindt er op locatie van Opdrachtgever overleg plaats met een accountmanager van Entrust over de dienstverlening. Zowel de ervaring van Opdrachtgever als de nieuwste ontwikkelingen worden persoonlijk afgestemd en waar nodig meegenomen in vervolgacties.
Daarnaast wordt de prioritering van functionaliteiten van de standaard dienstverlening mede bepaald door onze Opdrachtgevers en biedt het persoonlijke contact mogelijkheden om wensen en verbeteringen waar mogelijk mee te nemen in de standaard dienstverlening.
12. AUDIT
De rapportage van de security audits die Entrust periodiek uitvoert is ter inzage beschikbaar. Dit zijn
o.a. de rapportages die worden opgesteld in het kader van de audits met betrekking tot de ISO 27001 en SOCII certificering, alsmede (delen van) de rapportages naar aanleiding van in opdracht van Entrust uitgevoerde penetratietesten. Entrust is gerechtigd om aanvullende voorwaarden aan de terbeschikkingstelling te verbinden, waaronder nadere afspraken omtrent het vertrouwelijk behandelen van de rapportages.
Opdrachtgever heeft het recht om in overleg en voor eigen rekening een audit/ penetratie test uit te voeren. Kosten voor eventuele verbeteringen vallen niet per definitie onder de verantwoordelijkheid van Entrust.
Voor het uitvoeren van een security audit dient Opdrachtgever te beschikken over een getekende toestemmingsverklaring van Entrust.
13. MAATWERK JURIDISCHE DOCUMENTEN
Indien Opdrachtgever wijzigingen wenst overeen te komen ten aanzien van de juridische documenten zoals Entrust die hanteert, dan is het sluiten van een SLA noodzakelijk. Entrust biedt immers een standaarddienst en wenst de kosten voor Opdrachtgever laag te houden. Bij onderhandelingen over de (juridische) voorwaarden, maakt Entrust niet alleen juridische kosten maar zal Entrust in bepaalde gevallen ook haar (interne) processen moeten aanpassen. De kosten die gepaard gaan met deze extra werkzaamheden zijn verwerkt in de vergoeding die is verschuldigd voor de SLA.
14. WIJZIGINGEN
Ten aanzien van wijzigingen van de SLA wordt het bepaalde ten aanzien van de wijziging van de Overeenkomst, zoals opgenomen in de Algemene Voorwaarden overeenkomstig van toepassing verklaard.
15. DEFINITIES
De in deze SLA met hoofdletters geschreven termen hebben de hierna volgende betekenis