IBM OpenPages GRC on Cloud
服务描述
IBM OpenPages GRC on Cloud
本“服务描述”描述 IBM 向客户提供的云服务。客户表示缔约方及其授权用户和云服务接收方。提供适用的“报价”和“权利证明”(PoE) 作为独立的交易文档。
1. 云服务
IBM OpenPages GRC on Cloud 是一项服务,可向客户提供一套工具集,这套工具集旨在帮助识别、管理、监控和报告企业范围内的风险和合规性计划。
1.1 基本订购
客户必须获取以下所述的 GRC 版本之一以及 GRC Data Storage 的权利。
1.1.1 IBM OpenPages GRC Starter Edition on Cloud
IBM OpenPages GRC Starter Edition on Cloud 权利提供的云服务配置支持多达近 200 名 IBM OpenPages GRC 业务用户的交易量。
1.1.2 IBM OpenPages GRC Basic Edition on Cloud
IBM OpenPages GRC Basic Edition on Cloud 权利提供的云服务配置支持多达近 1,000 名 IBM OpenPages GRC 业务用户的交易量。
1.1.3 IBM OpenPages GRC Classic Edition on Cloud
IBM OpenPages GRC Classic Edition on Cloud 权利提供的云服务配置支持多达近 2,500 名 IBM OpenPages GRC 业务用户的交易量。
1.1.4 IBM OpenPages GRC Data Storage on Cloud
IBM OpenPages GRC Data Storage on Cloud(必需组件)权利为客户的云服务实例提供 GRC 数据存储。将按 150 千兆字节分配量出售存储容量。
1.2 GRC 解决方案
客户必须至少获取下述一个 GRC 解决方案的权利。
1.2.1 IBM OpenPages Financial Control Management on Cloud
IBM OpenPages Financial Controls Management on Cloud 是可以帮助客户记录和管理与财务报表规章相关联的财务控制和相关流程的工具。
1.2.2 IBM OpenPages Operational Risk Management on Cloud
IBM OpenPages Operational Risk Management on Cloud 是可以帮助客户自动执行识别、度量和监视运营风险的过程的工具。它将各种风险数据(包括风险和控制自评估、损失事件、场景分析、外部损失和关键风险指标)组合到单一集成模块中。
1.2.3 IBM OpenPages IT Governance on Cloud
IBM OpenPages IT Governance on Cloud 是可以帮助客户使 IT 运营管理与其公司业务活动、策略和法规需求保持一致的工具。
1.2.4 IBM OpenPages Policy and Compliance Management on Cloud
IBM OpenPages Policy and Compliance Management on Cloud 是可以帮助客户整合策略和合规性管理、自动执行策略管理生命周期以及管理法规变更和监管交互的工具。
1.2.5 IBM OpenPages Internal Audit Management on Cloud
IBM OpenPages Internal Audit Management on Cloud 是可以帮助客户自动执行和管理内部审计并开展范围更广泛的风险与合规性管理活动的工具。
功能包括:
● 审计规划
● 作业报告管理
● 时间和费用报告
● 审计报告与总结
1.2.6 IBM OpenPages Model Risk Governance on Cloud
IBM OpenPages Model Risk Governance on Cloud 是可以帮助客户管理其模型监管工作的工具。
1.2.7 IBM OpenPages Regulatory Compliance Management on Cloud
IBM OpenPages Regulatory Compliance Management on Cloud 是可以帮助客户使监管数据与内部数据和分类法保持一致,并评估法律义务影响的工具。
1.2.8 IBM OpenPages Vendor Risk Management on Cloud
IBM OpenPages Vendor Risk Management on Cloud 是帮助客户管理第三方合规性和风险以及了解每一家供应商或每一份合约与业务流程之间的关联的工具。
1.3 用户角色
1.3.1 IBM OpenPages GRC Administrator User on Cloud
允许 IBM OpenPages GRC Administrator User on Cloud(至少需要一个)用户访问所有管理功能以及所有有权使用的云服务的 GRC 功能。
1.3.2 IBM OpenPages GRC Business User on Cloud
允许 IBM OpenPages GRC Business User on Cloud 用户与所有有权使用的云服务的 GRC 功能进行全面交互。
1.3.3 IBM OpenPages GRC Limited User on Cloud
IBM OpenPages GRC Limited User on Cloud 用户仅能单独将有权使用的云服务的 GRC 功能用于以下用途之一:
a. 低干涉:使用云服务来执行需要访问有限的子组件(不超过 3 个)的业务功能;
b. 频繁使用:使用云服务来执行每月、每季度或每年发生的周期性业务功能(非临时且频率不超过每月一次);或者
c. 只读:使用云服务仅查看数据和报告。
1.3.4 IBM OpenPages GRC Single-Function User on Cloud
IBM OpenPages GRC Platform Single-Function User on Cloud 用户仅能单独将有权使用的云服务的 GRC功能的一个子组件用于执行特定业务功能,包括但不限于响应通过预定义表单自动提出的周期性问题、访问策略管理对象以明确证明理解并接受策略,或者创建损失事件对象。这不包括访问报告。
1.4 设置服务
客户必须获取 IBM OpenPages GRC New Client Jump Start on Cloud 或 IBM OpenPages GRC Existing Client Jump Start on Cloud。
1.4.1 IBM OpenPages GRC New Client Jump Start on Cloud
IBM OpenPages GRC New Client Jump Start on Cloud 为云服务的初始实施提供服务,面向初次接触
OpenPages GRC 的新客户。
可通过与 IBM OpenPages 服务部门签订单独的工作说明书 (SOW),来获取为云服务配置/扩展或稍后添加 GRC 解决方案的支持。
工作说明书 (SOW) 是其他特定于客户的活动所必需的,此类活动包括:
● 设置业务实体层次结构
● 实施基于用户的安全性
● 协助数据加载
● 其他特定于客户的活动
1.4.2 IBM OpenPages GRC Existing Client Jump Start on Cloud
IBM OpenPages GRC Existing Client Jump Start on Cloud 为云服务的初始实施提供服务,面向从现有
OpenPages GRC Platform 内部部署桥接而来的客户。
可通过与 IBM OpenPages 服务部门签订单独的工作说明书 (SOW),来获取为云服务扩展或添加其他 GRC
解决方案的支持。
工作说明书 (SOW) 是迁移现有客户数据或其他特定于客户的活动所必需的,此类活动包括:
1.5 其他实例
1.5.1 IBM OpenPages GRC Non-Production Instance on Cloud
IBM OpenPages GRC Non-Production Instance on Cloud 为内部开发和测试活动提供云服务的非生产实例。
1.6 其他应用程序
1.6.1 IBM OpenPages Loss Event Entry on Cloud
IBM OpenPages Loss Event Entry on Cloud 应用程序提供了一个接口,通过此接口,非活跃用户或非配置用户可以将运营风险损失事件提交至云服务中,而无需向全部业务用户体验公开。
1.6.2 IBM OpenPages GRC SDI Connector for UCF Common Controls Hub on Cloud
IBM OpenPages GRC SDI Connector for UCF Common Controls Hub on Cloud 应用程序能够将法规内容
(例如,新法规或控制措施)从统一的合规性框架(客户必须获取 UCF Common Controls Hub 订购)导入云服务。
2. 内容和数据保护
“数据处理和保护数据表”(数据表)提供特定于云服务的信息,关于支持处理的内容类型、所涉及的处理活动、数据保护功能以及有关内容保留和返回的细节。本部分规定有关使用云服务和数据保护功能(如果
有)的任何详细信息或澄清和条款(包括客户责任)。根据客户选择的选项,可能有多个数据表适用于客户对云服务的使用。数据表可能仅提供英语版本,无本地语言版本。尽管存在任何本地法律或惯例,双方均同意他们理解英语并且英语是有关采购和使用云服务的相应语言。以下数据表适用于云服务及其可用选项。客户确认,i) IBM 可以随时自行修改数据表,ii) 此类修改将取代以前的版本。对数据表进行任何修改的意图将是:i) 改善或澄清现有的承诺,ii) 与当前所采用标准和适用法律保持一致,或 iii) 提供额外承诺。对数据表的修改不会实质性降低云服务的数据安全性。
适用数据表的链接:
xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxxxxxxxxxxx/xxxxxxx- reports/report/html/softwareReqsForProduct?deliverableId=79E08A8001B011E7982D0C38141F4056
客户负责采取必要的行动来订购、启用或使用可用的云服务数据保护功能,如果客户未能执行此类操作,包括未能满足与内容相关的任何数据保护或其他法律要求,那么客户承担使用云服务的责任。
如果欧盟“一般数据保护条例”(EU/2016/679) (GDPR) 适用于内容中包含的个人数据,那么 xxxx://xxx.xxx/xxx 中的 IBM 数据处理附件 (DPA) 和 DPA 附录将适用,并作为本协议的一部分加以引用。此云服务适用的数据表将充当 DPA 附录。如果 DPA 适用,根据 DPA 中的规定,IBM 有义务向分包处理机构提供变更通知,并且客户有权利拒绝此类变更。
3. 服务标准协议
IBM 按照 PoE 中的规定为云服务提供了以下可用性服务级别协议 (SLA)。x SLA 不构成保证。x SLA 仅提供给客户,且只能应用于生产环境。
3.1 可用性积分
客户必须在首次发现存在关键业务影响并且云服务不可用的 24 小时内,通过 IBM 技术支持帮助中心记录
1 级严重性支持凭单。客户必须为 IBM 的任何问题诊断和解决提供合理帮助。
必须在约定的月份结束后的 3 个工作日内提交支持凭单,对未能满足 SLA 提出索赔。针对有效 SLA 索赔的赔偿将基于云服务的生产系统处理不可用的时间段(“停机时间”),以针对云服务的将来发票的贷记金额的形式支付。停机时间从客户报告停机事件开始计算,到云服务复原为止,其中不包括有关以下方面的时间:计划或宣布的维护停运;IBM 可控范围之外的停机原因;客户或第三方的内容或技术、设计或指令问题;不受支持的系统配置和平台或其他由客户引起的错误;或客户导致的安全事件或客户安全测试。IBM会根据每个约定的月份内累积的可用云服务应用适用的最高赔偿,如下表中所示。对任何“约定的月份”给与的赔偿总额不应超过年度云服务费用的十二分之一 (1/12) 的百分之十。
3.2 服务级别
约定的月份内的云服务的可用性
一个合同月期间的可用性 | 补偿 (受索赔的“约定的月份”的每月订购费用* 的百分比) |
小于 99.9% | 2% |
小于 99% | 5% |
小于 95% | 10% |
* 如果云服务是从 IBM 业务合作伙伴处购买的,那么每月订购费用将基于受索赔的“约定的月份”期间有效的云服务当时目录价格进行计算,适用折扣费率为 50%。IBM 将直接向客户提供折扣。
可用性以百分比表示,计算如下:一个合同月中的总分钟数减合同月总停机时间,除以该合同月的总分钟数。
4. 技术支持
通过在线问题报告系统提供云服务技术支持。IBM 的软件即服务支持指南 (xxxxx://xxx.xxx.xxx/xxxxxxxx/xxxxxxx/xxxx_xxxxxxx_xxxxx.xxxx) 提供了技术支持联系信息以及其他信息和流程。技术支持随附于云服务,不作为独立产品提供。
5. 权利和计费信息
5.1 收费标准
云服务根据交易文档中指定的收费标准提供:
● 授权用户是获取云服务时所使用的计量单位。客户必须为每位唯一的“授权用户”取得单独且专有的权利,使其能够以任何方式,通过任何途径直接或间接地(例如,通过多路复用程序、设备或应用程序服务器)访问云服务。必须获取足够的权利,以涵盖客户 PoE 或交易文档中所指定的评估周期内有权访问云服务的“授权用户”的数量。
● 服务项目是获取服务的计量单位。服务项目包含与云服务相关的专业服务和/或培训服务。必须获取足够的权利以涵盖每项服务项目。
● 实例是获取云服务所使用的一种计量单位。实例是对云服务特定配置的访问。客户必须获取足够的权利,以涵盖客户的 PoE 或交易文档中所指定的评估期间可访问和使用的每个云服务实例。
● “应用程序”是获取云服务所使用的一种计量单位。一个应用是一个具有唯一名称的软件程序。 必须获取足够的权利以涵盖客户的 PoE 或交易文档中所指定的评估期间云服务开发的或者可供访问和使用的所有应用程序。
● 千兆字节是获取云服务所使用的一种计量单位。千兆字节定义为 2 的 30 次方个字节的数据( 1,073,741,824 字节)。 必须获取足够的权利,以涵盖客户的 PoE 或交易文档中所指定的评估期间由云服务处理的千兆字节数据总数。
5.2 设置费用
通过 IBM OpenPages GRC New Client Jump Start on Cloud 服务产品或 IBM OpenPages GRC Existing Client Jump Start on Cloud 服务产品提供标准安装服务及其相应的费用。
如果客户需要其他配置或服务,客户必须通过补充的工作说明书签订 IBM OpenPages GRC on Cloud 服务合约。
5.3 超额使用费
如果评估期间云服务的实际使用超出了 PoE 中指定的权利,那么将在此类盘盈后的下个月按照交易文档中的指定的费率收取超额使用费。
6. 期限和续订选项
云服务期限自 IBM 通知客户可访问 PoE 中记录的云服务之日算起。PoE 将指定云服务是自动续订、在持续使用基础上继续,还是在期限结束时终止。
对于自动续订,除非客户在期限到期日期之前,至少提前 90 天发出不再续订的书面通知,否则将按照 PoE 中指定的期限对云服务自动续订。续订价格每年将按照报价中指定的利率增长。如果自动续订是在收到 IBM 通知撤回云服务之后,则续订期限将在当前续订期限终止或宣布的撤回日期结束,以较早者为准。
对于持续使用,在客户提前 90 天发出终止书面通知之前,云服务将以月为单位继续有效。云服务的有效期
将于 90 天期限过后的日历月末终止。
7. 附加条款
7.1 通用条款
客户同意 IBM 可在宣传或市场营销中将客户公开为云服务的订户。
7.2 备份
每天执行生产实例备份,按需执行非生产实例备份。IBM 会将客户的生产实例数据的备份副本最长保留 3
年,非生产实例数据的备份副本最长保留 90 天。客户负责配置云服务安全性,以禁止个别用户删除数据,数据一经删除,客户承认并同意 IBM 不负责恢复此类已删除的数据,可能会对此类恢复服务予以收费(如果可用)。
7.3 云服务到期
在云服务到期或终止之前,客户可以使用云服务提供的任何报告或导出功能来抽取数据。定制数据抽取服务基于单独协议提供。
如果在云服务到期或终止后 30 天内收到来自客户的支持请求,那么 IBM 将会以本机应用程序格式向客户返回客户内容的电子副本。
7.4 灾难恢复
在自然灾害(例如,火灾、地震、洪水等)引发主要系统中断的情况下,IBM 将以商业上合理的努力来完成生产实例的灾难恢复,以 72 小时为恢复时间目标将客户生产数据恢复到备用数据中心。这不是一项保证,并且不提供服务级别协议。
7.5 非生产限制
如果将云服务指定为“非生产”,那么仅用于内部非生产活动,包括但不限于测试、性能调优、故障诊断、内部基准评测、登台、质量评估活动和/或使用发布的应用程序编程接口开发内部使用的云服务插件或扩展。在没有获取相应生产权利的情况下,未授权客户将云服务的任何部分用于任何其他用途。
7.6 不保证合规性
云服务可用于帮助客户满足合规性义务的要求,该义务可能基于法律、法规、标准或实践。云服务提供的任何指示、建议用法或指南并未包含法律、财务或其他专业建议,提醒客户获取自己的法律顾问或其他专家顾问。客户自行负责确保客户及其活动遵守所有适用法律、法规、标准和实践。 使用云服务并不保证遵守任何法律、法规、标准或实践。
客户进一步确认云服务是为客户提供帮助的工具,无法代替客户管理人员和员工向第三方提供建议以及做出投资及其他业务和风险管理决策的技能、判断和经验。对于使用云服务所获得的结果,客户自行负责。
7.7 链接到第三方 Web 站点或其他服务
如果客户或云服务用户与一个通过云服务链接或访问的第三方 Web 站点或其他服务相互传输“内容”,那么客户和云服务用户将向 IBM 提供支持任何此类“内容”传输所必需的同意,并且此类交互仅限于在客户和第三方 Web 站点或服务之间进行。IBM 不对此类第三方站点、服务或数据进行任何保证或声明,且不对此类第三方站点、服务或数据质量承担任何责任。
7.8 有关使用第三方权益的限制
未经 IBM 书面许可,客户不得使用云服务或任何组件(包括但不限于云服务生成的输出数据和报告)向第三方提供服务办事处、托管服务或任何种类的商业信息技术服务。