WebSphere Commerce Managed Hosted
服务描述
WebSphere Commerce Managed Hosted
本“服务描述”描述 IBM 向客户提供的 Cloud Service。客户表示缔约方及其授权用户和 Cloud Service 接收方。提供适用的“报价”和“权利证明”(PoE) 作为独立的交易文档。
1. Cloud Service
IBM Websphere Commerce Managed Hosted 是一项电子商务云服务,支持商家到消费者 (B2C)、商家到商家 (B2B) 、通过渠道合作伙伴间接进行的数字化销售或同时进行上述所有销售活动。IBM 负责管理基础架构(网络、存储与计算资源),修复应用程序以及维护基础架构和相应的安全性和隐私控件。
此 Cloud Service 旨在支持客户实施扩展,满足客户独特的业务需求。WebSphere Commerce Managed Hosted – Essentials Edition 和 WebSphere Commerce Managed Hosted – Standard Edition 均提供以下功能。主要功能包括:
a. 多 店 面 创 建
Cloud Service 支持客户根据地理区域、多个客户品牌、消费群、客户的大客户或商业模式,针对不同产品服务受众运营多个店面。扩展站点功能可用于分享销售和市场营销数据等资产。
b. 购物车和结算
每个店面均支持购物者将所选商品加入购物车。然后购物者可对购物车中商品进行结算,结算流程会采集客户信息、地址和付款方式。结算后,购物车中的商品会转化为订单。
c. 业务用户工具
Cloud Service 包含业务用户工具,用于辅助完成店铺管理、销售和市场营销任务,包括目录管理、推广管理、促销活动管理、定价管理、页面布局管理和店铺管理等。
d. 合 同 和 权 利
Cloud Service 支持根据客户合同管理产品权利,包括采购和定价的能力。
e. 工 作 空 间
Cloud Service 提供访问受控的工作区域,在此区域中,客户可以更改管理资产或预览更改,而不影响客户生产站点上当前运行的内容。
f. 导 航 和 搜 索
Cloud Service 提供可扩展的搜索功能,支持自动搜索术语建议、拼写更正、基于搜索的销售规则和搜索词关联管理等功能。
g. 开发人员工具
Cloud Service 包含 IBM WebSphere Commerce Developer Enterprise,该工具提供集成开发环境,在此环境中,客户可以创建并测试扩展,从而扩展业务逻辑或更改客户站点的外观,满足独特的业务需求。
1.1 IBM WebSphere Commerce Managed Hosted – Essentials Edition
IBM WebSphere Commerce Managed Hosted – the Essentials Edition 包含以下资源和服务。要获取更多详细信息,请参阅“其他条款”部分:
● 一 (1) 个 测 试 环 境
● 一 (1) 个 生 产 环 境
● 数据存储分配
● 七 (7) 天恢复时间目标和两 (2) 天恢复点目标
● IBM WebSphere Commerce Developer Enterprise(可下载)不限用户数量版。(参阅“支持软件”部分)。
● 互联网数据吞吐量
● 一 (1) 个虚拟专用网络
● 十四 (14) 天存储备份和恢复时间
● 一 (1) 个外部监视页面
● 一 (1) 项外部监控交易
● Security – Base
1.1.1 IBM WebSphere Commerce Managed Hosted – Essentials Edition Add-Ons
可选择将以下功能、资源和服务添加到 IBM WebSphere Commerce Managed Hosted Essentials Edition
。要获取更多详细信息,请参阅“其他条款”部分。
● IBM WebSphere Commerce Managed Hosted-EE-AddOn-Production Readiness Extension
1.2 IBM WebSphere Commerce Managed Hosted – Standard Edition
IBM WebSphere Commerce Managed Hosted – Standard Edition 服务产品包含以下资源和服务。要获取更多详细信息,请参阅“其他条款”部分:
● 一 (1) 个 集 成 环 境
● 一 (1) 个 测 试 环 境
● 一 (1) 个预生产环境
● 一 (1) 个 生 产 环 境
● 数据存储分配
● 四十八 (48)小时恢复时间目标和二十四 (24) 小时恢复点目标
● IBM WebSphere Commerce Developer Enterprise(可下载)不限用户数量版。(参阅“支持软件”部分)。
● 互联网数据吞吐量
● 一 (1) 个虚拟专用网络
● 十四 (14) 天存储备份和恢复时间
● 一 (1) 个外部监视页面
● 一 (1) 项外部监控交易
● Security – Base
1.2.1 IBM WebSphere Commerce Managed Hosted - Standard Edition 附 件
可选择将以下功能、资源和服务添加到 IBM WebSphere Commerce Managed Hosted Standard Edition 中
。要获取更多详细信息,请参阅“其他条款”部分。
● IBM WebSphere Commerce Managed Hosted-SE-AddOn-Production Readiness Extension
● IBM WebSphere Commerce Managed Hosted-SE-AddOn-Recovery Time Objective
● 购买该附件可获得四 (4) 小时恢复时间目标和两 (2) 小时恢复点目标,改进恢复目标,实现业务连续性。
● IBM WebSphere Commerce Managed Hosted-SE-AddOn-Pre Production Environment
1.3 可 选 Cloud Service 附 件
下列可选 Cloud Service 附件可用于 Essentials 和 Standard Edition,“其他条款”部分对下列附件进行了描述。
● IBM WebSphere Commerce Managed Hosted-AddOn-Integration Environment
● IBM WebSphere Commerce Managed Hosted-AddOn-Test Environment
● IBM WebSphere Commerce Managed Hosted-AddOn-Data Storage
● IBM WebSphere Commerce Managed Hosted-AddOn-Peak Hourly Burst Capability
● IBM WebSphere Commerce Managed Hosted-AddOn-Virtual Private Network
● IBM WebSphere Commerce Managed Hosted-AddOn-Internet Data Throughput Improvement
● IBM WebSphere Commerce Managed Hosted-AddOn-External Monitor Page
● IBM WebSphere Commerce Managed Hosted-AddOn-External Monitor Transaction
● IBM WebSphere Commerce Managed Hosted-AddOn-Security RSA SecureID
● IBM WebSphere Commerce Managed Hosted-AddOn-Security SSL Certificate
● IBM WebSphere Commerce Managed Hosted-AddOn-Security Host Based Intrusion Detection
1.4 设 置 服 务
Cloud Service 的初始订购需要一次性设置费用,此费用包含下面第 7.11 节中描述的针对以下时间段(“设置期限”)的设置服务:对于 IBM WebSphere Commerce Managed Hosted – Essentials Edition,三 (3) 个月;对于 IBM WebSphere Commerce Managed Hosted – Standard Edition,六 (6) 个月。
● IBM WebSphere Commerce Managed Hosted-EE-One Time Set Up
● IBM WebSphere Commerce Managed Hosted-SE-One Time Set Up
2. 安 全 描 述
此 Cloud Service 遵循 xxxx://xxx.xxx.xxx/xxxxx/xxxx-xxxxxxxx 中提供的针对 IBM SaaS 的 IBM 数据安全和隐私原则,以及本部分中提供的任何其他条款。对于 IBM 数据安全和隐私原则的任何更改都不会降低 Cloud Service 的安全性级别。
客户承认此 Cloud Service 不提供相关功能用于保护个人数据、敏感个人数据或受其他法规需求约束的数据。如果客户在其内容中包含此类数据,即表示在确定技术和组织安全措施对于处理过程所带来的风险以及要
保护的数据性质是适当的之后,IBM 可以根据此协议处理此类数据。客户知晓并同意 IBM 并不了解内容中包含的数据类型,并且无法对 Cloud Service 或已实施的安全保护的适当性进行评估。
2.1 安全特性和责任
Cloud Service 实施以下安全特性:
此 Cloud Service 会根据所使用的协议在 IBM 网络与端点网络或机器之间传输数据时对内容进行加密。
IBM 要求对静态数据进行文件级别加密以保护数据。客户负责确保传输数据时通过安全协议(例如,SFTP)传输内容。
基本订购提供以下额外安全功能:
● 防 病 毒
防病毒软件在 IBM 管理操作系统之上安装并管理。
● 防 火 墙
IBM 创建初始防火墙策略,限制所有不必要的以及未经授权访问 Cloud Service 环境的行为,并测试防火墙和网络组件。该服务可用于高可用性虚拟化独立单硬件平台或高可用性双硬件平台配置。
● RSA SecureID
保留 Cloud Service 环境服务器管理访问权限的客户必须获取 RSA SecureID。IBM 为 Cloud Service的双因素认证警报提供许可、安装、主动监视和管理服务。基本订购提供一 (1) 个 RSA SecureID,可以附件形式订购额外的 RSA SecureID。
● 基于网络的入侵检测
IBM 实施基于网络的入侵防护,监控系统,对入侵防护系统警报做出响应并执行事件关联。标准入侵防护系统 (IPS) 策略将应用于 Cloud Service。
● 文件完整性监控
IBM 通过使用当前文件状态与已知基线之间的自动验证方式来验证操作系统完整性和应用软件文件完整性,实施文件完整性监控。
2.2 支付卡行业 (PCI) 帐户数据
此 Cloud Service 并非旨在用于存储、传输或处理 PCI 帐户数据。为限制风险,应使用 iFrame 或可将 PCI
帐户数据从客户浏览器直接传输到兼容 PCI 的支付供应商的其他技术,重定向或输出 PCI 帐户数据。
如果需要,此 Cloud Service 将允许 PCI 帐户数据遍历网络,并在 DMZ 和应用程序层内的服务器映像上进行处理。PCI 帐户数据可在内存中进行处理,并转发至客户的支付供应商,但不允许传输至数据库或写入带有此 Cloud Service 的任何设备上的任何文件系统。
IBM 将在订购持续时间内遵守与 Cloud Service 管理的控件相关的“支付卡行业数据安全标准”(PCI DSS)。相应的控件将通过包含合规性证明 (AOC) 的商家自我评估问卷版本 D (SAQ D) 进行记录,或者通过 PCI DSS 指定的相应报告方法进行记录。
3. 服 务 标 准 协 议
IBM 按照 PoE 中的规定为 Cloud Service 提供了以下可用性服务级别协议 (SLA)。x SLA 不构成保证。x
SLA 仅提供给客户,且只能应用于生产环境。
3.1 可 用 性 积 分
客户必须在首次发现存在关键业务影响并且 Cloud Service 不可用的 24 小时内,通过 IBM 技术支持帮助中心记录 1 级严重性支持凭单。客户必须为 IBM 的任何问题诊断和解决提供合理帮助。
必须在客户意识到该类事件(关键业务影响和 Cloud Service 不可用)之后 10 个工作日内提交支持凭单,对未能满足 SLA 提出索赔。客户提出的全部索赔必须包含 Cloud Service 中断的日期和时间。IBM 将验证并判定客户是否有资格获得 SLA 积分。针对有效 SLA 索赔的赔偿将基于 Cloud Service 的生产系统处理不可用的时间段(“停机时间”),以针对 Cloud Service 的将来发票的贷记金额的形式支付。停机时间从客户报告停机事件开始计算,到 Cloud Service 复原为止,其中不包括:
a. 已安排或已发布的维护中断相关的时间;
b. 由于 IBM 不可控的原因导致可用性受影响;包括但不限于:任何配置、设置或更改;
c. 客户或第三方的内容或技术、设计或指令问题;
d. 不受支持的系统配置和平台或其他由客户引起的错误;
e. 客户导致的安全事件或客户安全测试;
f. 扩 展 ;
g. 不当使用服务 API 或服务功能;
h. IBM 可控范围之外的影响可用性的任何配置、设置或更改;
i. 由于客户拒绝批准将 IBM 发起的升级应用到生产环境或客户采取其他操作阻止此类升级,导致 IBM
无法将升级应用到生产环境;
j. 对 Cloud Service 的使用超出相应的服务产品标准限制范围;或
k. 如果客户违反本服务描述或协议下的任何主要义务,包括但不限于:已购买订购级别或违反交易文档中规定的任何付款义务。
IBM 会根据每个约定的月份内累积的可用 Cloud Service 应用适用的最高赔偿,如下表中所示。对任何“约定的月份”给与的赔偿总额不应超过年度 Cloud Service 费用的十二分之一 (1/12) 的百分之十。
对于捆绑 Cloud Service(打包并作为单一服务产品以单一组合价格一起销售的各个 Cloud Service 服务产品),赔偿的计算将基于捆绑 Cloud Service 的每月单一组合价格,而不是每个单项 Cloud Service 的每月订购费用。在给定时间内,客户只能对一个单项 Cloud Service 提交相关索赔。
3.2 服 务 级 别
约定的月份内的 Cloud Service 的可用性
一个合同月期间的可用性 | 补偿 (受索赔的“约定的月份”的每月订购费用* 的百分比) |
小于 99.9% | 2% |
小于 99% | 5% |
小于 95% | 10% |
* 如果 Cloud Service 是从 IBM 业务合作伙伴处购买的,那么每月订购费用将基于受索赔的“约定的月份”期间有效的 Cloud Service 当时目录价格进行计算,适用折扣费率为 50%。IBM 将直接向客户提供折扣。
可用性以百分比表示,计算如下:一个合同月中的总分钟数减合同月总停机时间,除以该合同月的总分钟数。
4. 客 户 支 持 管 理
通过电子邮件、电话和在线问题报告系统提供 Cloud Service 支持。IBM 将提供技术支持联系信息和其他信息与流程。支持随附于 Cloud Service,不作为独立产品提供。
支持仅在正常工作时间提供。IBM 为 1 级严重性和 2 级严重性事件提供全天候支持,针对 3 级严重性和 4
级严重性事件的支持于美国东部标准时间/东部夏季时间周一至周五上午 8 点到下午 8 点提供,IBM 节假日除外。
IBM 将指定一位项目主管 (PE) 与每位客户联系,处理 Cloud Service 支持事宜。项目主管将:
● 作为客户联系人,处理合同、账单、客户业务目标战略规划等帐户管理事务;
● 报告服务目标,努力达成价值目标;以及
● 参与管理会议。
IBM 还将分配支持团队,该团队将提供:
● 单一客户联系人,进行事件和变更管理监督;
● 维护间隔管理;
● 监控问题或故障事件,跟踪事件直到事件修复,并对 1 级严重性中断进行根本原因分析;
● 每月服务级别目标报告;以及
● 监控和跟踪故障凭单直至故障得以解决。
支持团队通过每周与客户举行进度汇报会议(回顾事件和变更管理)来执行运营服务。在服务激活 30 天内,IBM 和客户将开展特定于客户的升级过程。
严重性 | 严重性定义 | 响应时间目标 |
1 | 关键业务影响/服务停止: 业务关键功能无法运行或关键接口已故障。这通常适用于生产环境,并且表示无法访问服务对运营产生重大影响。这一情况需要立刻解决。 | 15 分钟内 |
2 | 严重业务影响: 服务特性或服务功能在使用中受到严重限制,或者客户可能错过业务截止期限。 | 30 分钟内 |
3 | 轻微业务影响: 表明服务或功能还可使用,不会对运营产生关键影响。 | 60 分钟内 |
4 | 最小业务影响: 咨询或非技术请求。 | 在 1 个工作日之内 |
响应时间自 IBM 收到事件通知之时算起,至 IBM 向客户做出响应之时结束。以上描述的响应时间目标仅出于描述 IBM 的目标,并不保证实现该目标。
4.1 支 持 终 止
Cloud Service 基于客户初次订购服务之日的通用 IBM WebSphere Commerce Enterprise Edition ("WSC")软件版本/发行版级别。Cloud Service 的支持仅在该 WSC 版本或发行版依据 IBM 软件支持生命周期策略受支持时有效,自 IBM 宣布该 WSC 版本或发行版支持终止之日起,Cloud Service 的支持即终止。若想 IBM 继续为 Cloud Service 提供支持,则须对作为基本应用程序的受支持的 WSC 版本进行升级。
客户对此 Cloud Service 的基本订购不包含升级。任何升级都应单独收费,并仅根据单独的专业服务协议和
/或工作说明书执行。
4.2 支持案例分类
作为 Cloud Service 的一部分,IBM 团队将通过客户提供涉及有关 Cloud Service 问题的案例管理(“支持案例分类”)。作为“支持案例分类”的一部分,IBM 将通过诊断任务来调查问题。如果确定问题原因与 Cloud Service、IBM 支持的扩展(客户与 IBM 根据独立协议签订有关此类扩展的合同)或基础架构有关,那么 IBM 将对案例进行管理,直至问题得到解决。如果必须通过客户负责的领域来提供解决方案,IBM 将提供分类过程中发现的所有相关诊断,以帮助客户或其授权的第三方解决问题,并继续通过案例管理工具提供案例管理。
4.3 维 护 窗 口
当前为 Cloud Service 安排了 IBM 的标准每周维护窗口。客户可以利用这些维护窗口的机会来请求将应用程序发行版应用于其生产环境。可能适用某些限制,并且需要与 IBM 进行协调。这些维护窗口并不一定意味着 Cloud Service 将中断或不可用,将针对 IBM 活动最大限度减少服务中断。如果客户需要对其扩展执行维护活动,并且上述维护活动必须在维护窗口期间执行,IBM 将通知客户在维护窗口期间 Cloud Service是否将不可用,并且每个日历月中由维护引发的 Cloud Service 计划停机时间将不超过八小时。
可能发生其他计划内和非计划内(紧急)停机,除非 IBM 认为出现漏洞、损失风险或服务完整性风险过高,否则将至少提前一个工作日通知客户 Cloud Service 将不可用。
4.3.1 部署 IBM 发起的更新
IBM 执行必需的 Cloud Service 维护和更新,包括实施基础架构补丁、应用程序补丁和安全补丁(统称
“IBM 发起的更新”)。
定期执行或在计划的维护窗口内执行 IBM 发起的更新。执行计划维护将至少提前 2 天在客户门户网站上宣布,或者执行 IBM 确定为紧急情况并通过客户门户网站提供通知的维护(“计划的维护”)。计划的维护窗口不计入 SLA,亦不享受补偿。
如果在 IBM 发起的更新应用到生产环境之前,需要客户对扩展进行测试或对 IBM 发起的更新对扩展的效果进行测试,那么 IBM 将与客户制定双方同意的部署计划。
如果 IBM 决定由于未能将 IBM 发起的更新部署到生产环境,导致存在或可能存在高严重性安全漏洞,则
IBM 可以立即暂挂 Cloud Service,直至完成升级 IBM 发起的更新为止。
如果由于扩展问题或未能获得客户允许来升级更新,导致在生产环境中仍未能实施 IBM 发起的更新,在这种情况下因使用 Cloud Service 而引发任何第三方索赔,并且此类索赔本可通过实施 IBM 发起的更新而避免,则客户同意向 IBM 补偿、为 IBM 辩护并使 IBM 免受损害。
4.3.2 部署客户发起的更新
客户可要求 IBM 将客户提供扩展更新、数据或将应用配置(更新除外)应用到 Cloud Service(统称为“客户发起的更新”)。IBM 将与客户共同制定双方同意的将客户发起的更新部署至预生产环境和生产环境的计划。客户将提供必需的部署软件包和指示信息(包括验证和回退步骤)。
5. 权利和计费信息
5.1 收 费 标 准
Cloud Service 根据交易文档中指定的收费标准提供:
● 连接是获取 Cloud Service 所使用的一种计量单位。连接是数据库、应用程序、服务器或任何其他类型的设备到 Cloud Service 的链接或关联。客户必须获取足够的权利,以涵盖客户的 PoE 或交易文档中所指定的评估期间针对 Cloud Service 已生成或所生成的连接总数。
● 千兆字节是获取 Cloud Service 所使用的一种计量单位。千兆字节定义为 2 的 30 次方个字节的数据
(1,073,741,824 字节)。 必须获取足够的权利,以涵盖客户的 PoE 或交易文档中所指定的评估期间由 Cloud Service 处理的千兆字节数据总数。
● “十万个订单行”是获取 Cloud Service 时所采用的一种计量单位。“订单”是指 Cloud Service 中定义的任何文档类型。“订单行”是订单上的行项。客户必须获取足够的权利以涵盖客户 PoE 或交易文档中指定的评估期间 Cloud Service 所管理或处理的订单行总数,向上取整到十万。
● 实例是获取 Cloud Service 所使用的一种计量单位。实例是对 Cloud Service 特定配置的访问。客户必须获取足够的权利,以涵盖客户的 PoE 或交易文档中所指定的评估期间可访问和使用的每个 Cloud Service 实例。
● “千个订单行”是获取 Cloud Service 时所采用的一种计量单位。“订单”是指 Cloud Service 中定义的任何文档类型。“订单行”是订单上的行项。客户必须获取足够的权利以涵盖客户 PoE 或交易文档中指定的评估期间 Cloud Service 所管理或处理的订单行总数,向上取整到千。
5.2 设 置 费 用
将按照交易文档中规定的费率,对每次订购的安装服务收取一次性设置费用。将按照交易文档中规定的费率,对每次订购的安装服务按需收取设置费用。
5.3 超 额 使 用 x
如果评估期间 Cloud Service 的实际使用超出了 PoE 中指定的权利,那么将在此类盘盈后的下个月按照交易文档中的指定的费率收取超额使用费。
5.4 按使用付费的费用
在使用后的下个月将按照交易文档中指定的费率,对“按使用付费”的费用进行计费。
6. 期限和续订选项
Cloud Service 期限自 IBM 通知客户可访问 PoE 中记录的 Cloud Service 之日算起。PoE 将指定 Cloud Service 是自动续订、在持续使用基础上继续,还是在期限结束时终止。
对于自动续订,除非客户在期限到期日期之前,至少提前 90 天发出不再续订的书面通知,否则将按照
PoE 中指定的期限对 Cloud Service 自动续订。
对于持续使用,在客户提前 90 天发出终止书面通知之前,Cloud Service 将以月为单位继续有效。Cloud Service 的有效期将于 90 天期限过后的日历月末终止。
7. 附 加 条 款
客户同意 IBM 可在宣传或市场营销中将客户公开为 Cloud Service 的订户。
7.1 支 持 软 件
Cloud Service 需要使用客户下载至客户系统的支持软件,以方便 Cloud Service 使用。客户仅可在与
Cloud Service 的使用关联的情况下使用支持软件。根据以下条款向客户提供支持软件:
支持软件 | 适用的许可条款(如果有) |
IBM WebSphere Commerce Developer Enterprise | xxxx://xxx- 00.xxx.xxx/xxxxxxxx/xxx/xxxxx.xxx/xxxxxxxxx/?xxxxxxxxxx &searchorder=4&searchmax=0&query=(IBM+WebSpher e+Commerce+Developer+Enterprise) |
7.2 存储备份与恢复
作为 Cloud Service 基本订购的一部分, IBM 提供存储快照备份服务,以保护文件系统中的数据。存储快照备份服务包含数据可用性支持、快照和复制计划配置、快照数据恢复辅助等服务。每日快照在异步复制至
第二个非现场存储器之前,最多保留 14 天。存储快照备份提供在上述 14 天内随时恢复保留的数据的能力。
7.3 恢复时间目标/恢复点目标
如果 IBM 断定发生灾难,IBM 将每小时与客户进行一次沟通,以告知恢复进展状态,包括有关 RTO 和
RPO 的进展。
IBM 将根据版本订购提供一个时间段来为客户的生产环境执行恢复活动。
IBM 在定义的恢复点目标 (RPO) 和恢复时间目标 (RTO) 期限内,将数据转移至指定的在地理上分散的灾难恢复位置的备用环境中。IBM 通过复制存储快照来管理存储灾难恢复,以实现所需的 RPO/RTO。灾难恢复包括客户数据到地理上分散的灾难恢复位置的 IBM 管理存储基础架构的完整副本。存储快照借助 IBM 管理存储基础架构提供客户数据时间点捕获功能。将快照之间的差异数据更改复制到非现场存储,以维护客
户数据的同步。快照和复制频率由既定的恢复点目标/恢复时间目标决定。为满足客户合同的灾难恢复要求,必要时为每 GB 分配存储容量。
7.4 扩 展
扩展允许客户通过创建 Cloud Service 应用程序的软件扩展来配置 Cloud Service,以满足客户的业务需求
。扩展是在使用 Cloud Service 过程中提供的内容,不属于 Cloud Service。客户负责所有扩展的开发、管理、维护与支持。客户可以与 IBM 或 IBM 以书面方式特别授权的第三方承包商签订单独合同来创建扩展。客户负责确保任何此类第三方承包商遵守这些条款。
a. 客户创建的扩展受到以下附加条款和条件的约束:
(1) 客户同意遵守与扩展的开发和交付相关的服务产品标准。
(2) IBM 将有权审查和批准或拒绝扩展的设计文档、测试计划、测试结果和对象代码,以符合本协议条款的要求。
(3) IBM 可以要求客户执行 IBM 指定的性能测试。客户应在 Cloud Service 启动之前的合理时间范围内,提前向 IBM 提供此类设计文档、测试计划、测试结果和对象代码以供 IBM 进行审查,并且应与 IBM 协作解决 IBM 发现的问题。
(4) 客户同意实施和维护相应的计划,以防止在扩展中包含恶意软件(包括病毒、木马程序、拒绝服务和其他隐秘破坏性技术)。
(5) IBM 可以监控和扫描扩展,以确定是否存在安全漏洞和/或恶意软件。IBM 可以从任何 Cloud Service 环境中除去扩展或者暂挂 Cloud Service,直至安全性漏洞或恶意软件问题得到解决。
(6) 扩展不得包含或添加独立于 Cloud Service 运行的任何第三方商用软件或打包软件产品,禁止添加任何此类第三方商用软件或打包软件产品。
(7) 客户负责培训员工并确保其持续具备相应知识和技能,以在订购期限内使用 Cloud Service 和扩展。任何所需培训或课程帮助的费用均由客户承担。如果 IBM 认为客户无法通过合理帮助来
执行所需任务,IBM 可自行决定要求客户与 IBM 专业服务人员进行接洽开展实践知识传授活动。此类知识传授活动应由客户承担费用,IBM 和其关联公司之间的知识传授活动除外。IBM 将根
据客户请求向客户提供此类培训,并向客户收取额外费用。
(8) 客户或其许可方保留向 IBM 提供的(以供在 Cloud Service 中托管的)扩展的或其中包含的全部权利、所有权和利益或许可。客户向 IBM 表明并保证,客户已具有所需权利来向 IBM 提供客户扩展以供 Cloud Service 托管,并且客户扩展本身或由 IBM 通过 Cloud Service 进行托管都不侵犯任何第三方专利或版权。
(9) 客户授予 IBM 及其分包商为托管这些扩展或以其他方式履行其义务所必须的全球范围的、免版
税的、已全额付款的、可撤销的、可再许可的所有权利和许可,并且同意及时获取必要的同意,并保持这些必要同意一直有效。客户将按照请求向 IBM 提供任何此类权利、许可或必要同意的
证明。如果客户未能及时获取并向 IBM 提供任何此类权利、许可或必要同意从而影响 IBM 履行义务的能力,那么 IBM 将免除其义务。在本节中“必要同意”是指向 IBM 及其分包商提供权利或许可所需的所有同意、许可或批准,以使 IBM 及其分包商仅在根据此“服务描述”履行义务(包括开发衍生作品)所必要的限度内,以电子或其他形式访问、使用和/或修改扩展,而不侵犯此类扩展的提供商、许可方或所有者的所有权或知识产权。
(10) 客户将确保客户通过扩展所引入的代码、数据和其他工件不会增加安全风险,也不存在额外的认证需求,除非 IBM 通过本“服务描述”的修订或附录明确表示同意。在不限制上述规定的情况下,客户将:(a) 对所有扩展执行 Web 应用程序和静态代码漏洞扫描,以识别任何安全风险;并且 (b) 以书面方式向 IBM 披露扩展中包含的或随扩展提供的漏洞扫描所发现的任何风险。
b. 客户负责在所有环境中测试扩展。
c. 在客户运行验收 (COA) 之前,客户将扩展部署至集成、测试、预生产和生产环境(如适用)。
d. 在客户运行验收 (COA) 之后,IBM 将通过发送 IBM 支持凭单工具请求,将扩展部署至预生产环境和生产环境(如适用)。
e. IBM 将执行的旨在支持扩展的其他工作(例如,创建扩展或激活其他集成组件)将在 IBM 与客户之间,根据另行签署的工作说明书及其中包含的期限和费用开具发票单独收费。
7.5 Cloud Service 环 境
x Cloud Service 可提供用于运行软件的功能性基础架构,IBM 将为此类软件提供支持以及必要的网络、硬件和系统补丁。作为订购的一部分,IBM 基于 Cloud Service 版本提供以下部分或全部环境。其他环境或独立环境将根据请求提供并额外收费。
● Integration Environment
提供同等功能的单一生产实例以及支持基础架构,仅限用于对新 Cloud Service(包括应用程序和任
何扩展)进行集成和功能测试。集成环境预计每天将多次部署,以实现可随时部署至测试环境的构建。此环境包含在 WebSphere Commerce Managed Hosted – Standard Edition 中。可以添加额外集成
环境。
● Test Environment
提供同等功能的单一生产实例以及支持基础架构,通常用于对新的 Cloud Service(包括应用程序和任何扩展)进行质量保证、性能和最终测试。测试环境通常仅部署稳定的代码流,以准备最终升级至预生产、生产环境等环境(如适用)。额外测试环境可根据需要作为附件使用。
● 预 生 产 环 境
提供用于部署的有限生产副本,以及客户所接受的对含有任何扩展的最终应用程序的配置测试。此环境会得到维护,以确保生产环境正常运作并且符合合规性标准,但并不涵盖在服务级别协议 (SLA) 范围内。客户运行验收 (COA) 之后,仅限 IBM 人员或授权用户对此系统进行管理访问。这是在生产环境中上线之前,客户开展用户接受测试和最终性能评估/测试的主要位置。额外的预生产环境可根据需要作为附件使用。
● 生 产 环 境
Cloud Service 生命周期管理中的所有“运行”软件最终驻留于此。生产环境由应用程序、系统和支持系统基础架构组成,最终用户和企业客户可以访问并使用此环境来执行自己的业务流程和事务。客户运行验收 (COA) 之后,仅限 IBM 人员或授权用户对此系统进行管理访问。
7.6 Cloud Service 集 成
Cloud Service 支持通过各种方法来与旧服务和支持服务集成。随 Cloud Service 提供以下功能(包含或不包含使用虚拟或物理线路)。
● 应用程序接口 (API)
一组用于构建软件和应用程序的例程、协议和工具。
● 消 息 队 列 (MQ)
用于实现进程间通信 (IPC) 或相同进程内的线程间通信。它允许使用 Cloud Service 通过出站 Java消息服务 (JMS) 连接作为 MQ 网络或点对点通信的端点。Cloud Servic 不提供入站连接点,也不提供两 (2) 个或两个以上不属于 Cloud Servic 的端点之间的路由。
● 安全文件传输协议 (SFTP) 或 SSH 文件传输协议
通过安全且可靠的数据流提供文件访问、文件传输和文件管理的网络协议。Cloud Service 会提供 SFTP 服务器,用于由扩展使用的入站文件传输。来自 Cloud Service 的数据和报告出站传输可通过应用程序或扩展中嵌入的基于 Java 的 SFTP 客户端来完成。SFTP 传输需要文件级别加密以保护静态数据。
7.7 监 控
7.7.1 应用程序和环境监控
作为基本订购的一部分,将执行下列监控:
● 应用程序监控
监控应用程序的运行状况。
● 生产和预生产环境监控
IBM 将根据故障和影响的严重性来响应平台监视器。IBM 将把检测到的应用程序不可用作为 1 级严重性支持案例进行处理,并开始对问题进行分类。
● 集成环境和测试环境监控
IBM 将把检测到的集成环境应用程序不可用作为 3 级严重性支持案例进行处理,通过复原至最近一次已知有效的备份或者通过重新安装来解决问题。
7.7.2 外 部 监 控
IBM 将在外部监控基本订购配置中,采用以下方式,提供针对客户站点的警报和报告功能:
a. 外部监控 - 页面(1)- 监控单一页面(如主页、产品页面);和
b. 外部监控 - 交易(1)- 在一个流程(比如搜索结果、添加至购物车)中监控最多 10 个页面。
外部监控源自于 IBM 数据中心之外,采用模拟给定用户体验的点击路径的自动化方法,通过互联网监控 Cloud Service。IBM 将与客户共同开发综合用例,并且将基于对 Cloud Service 的影响来监控并开放相应的支持案例,然后开始对问题进行分类。
额外外部页面监视和外部交易监视作为 Cloud Service 附件提供。
7.8 数据存储分配
客户的“数据存储分配”针对的是生产环境,并且所含存储器大小适合保留订单行和其他客户内容。所提供的存储容量将在交易文档中显示。在达到限制的情况下,客户可减少存储的数据量,或者使用 Data Storage附件购买额外数据存储容量。
7.9 互联网数据吞吐量
客户的“互联网数据吞吐量”针对的是生产环境,并且适合订单行和其他客户内容。吞吐量将在交易文档中显示。如果客户请求的互联网数据吞吐量提升超过原始大小,那么客户可以使用 Internet Data Throughput Improvement 附件来购买额外容量。
7.10 共享基础架构邮件服务(仅限出站)
共享出站邮件传送作为 Cloud Service 的一部分予以提供。客户可以配置应用程序,以将这些共享资源用于非业务关键性电子邮件、通知、系统级别状态电子邮件和/或电子邮件警报。Cloud Service 可用于交易电子邮件,但 IBM 不保证传送大批量电子邮件营销活动、为此类活动提供支持或者对电子邮件问题进行故障诊断(例如,在第三方电子邮件系统中出现的垃圾邮件)。客户可以签订单独的电子邮件服务合同(例如: IBM Watson Campaign Automation),以获取有保证的电子邮件交付、增强型传送选项和针对交易电子邮件与市场营销活动(大批量电子邮件)的支持。集成第三方邮件服务需要通过扩展来执行此类服务,并且将需要与供应商单独签订合同。
7.11 设置和生产就绪
将向客户收取一次性设置费用,IBM 据此提供本部分中描述的设置服务,准备基于 Edition 订购的适当时间段,为 Cloud Service 做好生产准备。
“设置服务”包括:
a. 配 置 Cloud Service 环 境 ;
b. 将最新版本的应用程序和所有适用的补丁安装到环境中;
c. 与客户后端系统建立网络连接和相互连接;以及
d. 准备生产环境,以支持客户完成客户扩展的初始部署。
“设置服务”是远程交付服务。设置服务还包括 IBM 分配培训团队,该团队由技术项目经理、项目实施设置经理和客户技术负责人组成,该团队将指导客户完成初次安装和使用,并在相应的设置时间段内,通过远程会议和基于 Web 的学习会议提供培训和常见问题及解答。
如果由于 IBM 控制范围之外的原因导致设置服务超过适用的设置期限,将按月额外向客户收取生产准备就绪扩展费用。设置服务不包括实施服务(包括由 Cloud Service 提供支持的客户电子商务解决方案的定制、配置和实施或者满足客户特定业务或技术需求的服务,此类特殊需求包括容量需求、外观和其他界面需求以及扩展构建等),实施服务将根据单独的服务协议来提供。
满足以下条件时即可实现“生产准备就绪”:(1) 完成设置服务;并且 (2) 客户已在生产环境中完成扩展的初始部署。
“交易文档”中规定的 Cloud Service 订购费用从“生产准备就绪”开始计算。
7.12 客户运行验收
客户运行验收 (COA) 发生在生产就绪之后,是 IBM 和客户用于明确以下内容的流程:
a. 客户是否已安装、测试并以书面方式验收 Cloud Service (包括扩展和数据加载);
b. IBM 是否已对设备和配置的环境控制进行记录和审核,以验证其运行就绪状态;
c. IBM 是否已将质量保证方法应用于环境(包括冗余测试)并且自动执行应用程序开启/关闭过程;
d. 上线后支持服务是否开始;以及
e. SLA 是否已生效。
在 COA 准备阶段,客户必须:
● 提供获得下列权限的访客名单:访问、打开故障凭单、制定维护计划和请求变更;
● 确定有权请求变更访客名单的员工;
● 按照双方同意的计划,在计划实施期间向客户员工提供实时访问和参与权限;以及
● 准备将域名系统 (DNS) 入口从现有站点/服务(如适用)重新定向至在线 Cloud Service IP 地址。在必要之时,IBM 将验证 DNS 重定向。
7.13 性 能 测 试
客户接受通过扩展对 Cloud Service 进行修改,并且 Cloud Serive 与第三方服务和客户的其他应用集成。 IBM 不保证最终性能和响应时间,也不对此单独负责。客户负责在上线前和上线后开展任何及所有性能测试。
作为支持服务的一部分,IBM 将为客户解决任何性能问题提供合理的协助。
7.14 网络集成选项
支持(但非必要)通过以下选项与客户网络进行集成。
a. 互联网连接白名单
将对 Cloud Service 或 Cloud Service 各个部分的访问限制于特定互联网公共地址。限制访问可以灵活地将访问限制于客户指定地点。白名单包含在 Cloud Service 之中。
b. 基于互联网的虚拟专用网 (VPN)
在公共网络中扩展专用网络。 VPN 是通过使用专用连接、虚拟隧道连接协议或流量加密建立虚拟点到点连接而创建的。仅当通过互联网的集成连接未加密或者未受到适当保护时,Cloud Service 才需要 VPN。需要冗余线路以实现高可用性。VPN 可作为可选附件提供。
额外的 VPN 连接可根据需要作为附件使用。
c. 内容交付网络 (CDN)
根据业务需要,可能需要使用内容交付网络来增强面向最终用户的性能。最终用户可能是电子商务购物者或客户服务代表,根据业务性质,此类用户可能跨特定区域或多个区域。CDN 不包含在 Cloud Service 之中。客户负责根据需要评估、配置和采购第三方 CDN,以满足客户的性能需求。
7.15 安 全 选 项
● 安 全 SSL 证 书
应用程序加速器是负载均衡服务选项,支持安全套接字层 (SSL) 加速、缓存和压缩,以提高应用程序性能和网络效率。
“安全 SSL 证书”附加组件根据需要提供此功能。IBM 不负责提供和管理任何与此附加组件相关的所需加密证书密钥和密码。此服务在高可用性配置中提供。
● 基于安全主机的入侵检测
“基于安全主机的入侵检测”附加组件提供主机终端入侵防护,利用标准入侵防护策略来监控恶意活动并且响应入侵防护系统警报(如果客户已购买此类选项)。
7.16 IBM 对客户数据的使用
IBM 可以编译和分析关于客户使用 Cloud Services 的匿名、聚集数据,以及准备报告、研究、分析和其他此编译和分析所生成的工作作品(统称为“编译数据”)。IBM 保留对编译数据的及其中包含的全部所有权。 IBM 可以将客户的数据复制到测试环境内的测试服务器中,仅用于测试和提高 IBM 产品质量的目的。
7.17 终止后的义务
除本协议中规定的终止后义务外,本协议或本“服务描述”到期或因任何原因而终止时:
● IBM 将根据到期或终止后 30 天内客户提交的书面请求,免费按应用程序中可用的原生格式向客户提供客户当前交易数据的完整副本,并在提供此类数据之后删除此数据。
● 如果客户需要正式终止计划,则 IBM 为支持将各种环境转移至非 IBM 数据中心而产生的任何工作或费用将在独立协议中约定费率和期限。
7.18 客 户 赔 偿
有关此 Cloud Service,如果由于以下原因引起或与以下各项相关的任何第三方索赔,客户同意补偿、为 IBM 辩护并使 IBM 免受损害:1) 在某个环境中由客户或客户指定的第三方所创建的任何内容,或由客户或客户指定的第三方以其他方式提供、上载或传输到某个环境中的内容(前述事项不包括由 IBM 或代表 IBM提供的内容,如果有),2) Cloud Service 中由客户或代表客户创建的数据,或者由客户提供、上载或传输到环境中的数据;或者 3) 客户或客户的 Cloud Service 用户违反协议中规定的 Cloud Service 的使用限制
。前提是:(i) 立即向客户提供任何此类索赔的书面通知;(ii) 客户拥有此类索赔的辩护与和解的唯一控制权
;并且 (iii) IBM 提供客户在合理范围内请求的所有信息和帮助,由客户自行承担相应成本和费用。
7.19 第三方服务
Cloud Service 可能包含与第三方服务的集成、指向第三方服务的链接或者可能用于访问第三方服务。对第三方服务的访问是“按现状”提供的,不带任何支持义务,不作任何形式的明示或默示的保证,包括所有权、不侵权或不中断保证,以及默示的有关适销性以及适用于某种特定用途的保证和条件。
客户负责与第三方签署单独协议并遵守这些协议,从而访问或使用此类第三方服务。在 Cloud Service 中的本服务产品下,IBM 不提供这些第三方服务。除客户可能通过独立交易向 IBM 单独购买此类第三方服务外
,IBM 不是任何此类单独协议的参与方,并且作为本协议的明示条件,客户同意在希望与 Cloud Service 一起使用的范围内,遵守此类单独协议的条款。如果客户、Cloud Service 用户或终端用户同意将“内容”传输至通过 Cloud Service 链接或访问的第三方服务,那么客户、Cloud Service 用户和终端用户将向 IBM 提供支持任何此类“内容”传输所必需之同意,并且此类交互应被视作为仅在客户和提供第三方服务的第三方之间进行。
7.20 IBM WebSphere Commerce Managed Hosted 服务产品标准
x章节描述了服务产品标准,这些标准说明了每个版本订购的某些功能和技术限制与参数(“服务产品标准”
)。除非 IBM 与客户以书面形式另行约定,否则客户对 Cloud Service 的使用以及 Cloud Service 和任何允许扩展的任何实施或配置都受到以下“服务产品标准”中所述限制和参数的约束。超出以下限制和参数的使用需要获得 IBM 书面同意,除关联的实施或定制服务的任何费用外,可能会导致收取额外的 Cloud Service 费用。
Cloud Service 支持的每小时订单行峰值数量随每年订购行数增加而增加。如果客户请求临时或永久增加每小时峰值行数,那么必须订购“Peak Hourly Burst Capability”附件。如果超出此数量,那么 Cloud Service的性能可能降级,并且 SLA 不再适用。可通过购买“Peak Hourly Burst Capability”附件来获取额外容量。
该表显示了针对订购的“十万个订单行”权利单位数量支持的每小时订单行峰值数量:
订购的十万个订单行单位数 | 每小时订单行峰值数量 |
1 | 150 |
2 到 5 | 300 |
6 到 10 | 675 |
11 到 17 | 1,020 |
18 到 25 | 1,365 |
订购的十万个订单行单位数 | 每小时订单行峰值数量 |
26 到 37 | 2,055 |
38 到 50 | 2,745 |
51 到 75 | 4,500 |
76 到 100 | 6,000 |
101 到 125 | 7,500 |
126 到 250 | 9,000 |
251 到 275 | 10,500 |
276 到 500 | 15,000 |
501 到 750 | 21,000 |
751 到 1,000 | 30,000 |
1,001 到 1,250 | 39,000 |
1,251 到 2,500 | 75,000 |
2,501 到 3,750 | 120,000 |
3,751 到 5,000 | 240,000 |
5,001 及以上 | IBM 将根据实际需求进行确定 |
例如:如果客户订购 420 万订单行单位,则每小时订单行峰值数量可能达到 2,745 行。订购“Peak Hourly Lines Capability”附件使客户能够在任何一小时内针对每个“千个订单行”权利增加一千个订单行的容量。可购买多个额外单位,以按每小时 1,000 个订单行的倍数增加容量。
下表中列出了适用于 Cloud Service 的其他服务产品标准和量:
项目 | 服务产品标准 |
库存上载 | 库存更新必须为增量更改,在任何滚动的十五分钟期限内将不超过 10% 的总目录传输到 Cloud Service。 |
每个订单平均行数 | 在交易文档中指定 |
目录大小 | 在交易文档中指定 |
7.21 定 义
a. 应用程序 - 指为 Cloud Service 提供基本功能的软件产品,包括原件和所有完整或部分副本:1)机器可读的指令和数据,2)组件,3)音频/视频内容(例如图象、文本、录音或图片),4)相关许可材料以及 5)许可使用文件或密钥以及文档,前述各项由 IBM 提供,客户可通过 Cloud Service 进行访问。
b. 灾难 - 指自然或人为引发的事件,导致重要技术基础架构和系统运作中断,对 Cloud Service 造成复杂或不可逆的破坏。
c. 环境 - 指应用程序的可部署实例(包括支持应用程序实现预期目的所需的基础架构),也指上下文所需的集成环境、测试环境、预生产环境或生产环境。
d. 扩展 - 扩展是客户或其授权第三方提供的软件工件和配置,用于通过实施客户的业务流程扩展 Cloud Service、管理特定数据需求和提供客户特定品牌,以支持客户的业务需求。这包括但不限于软件代码、数据库扩展、为定制客户对 Cloud Service 的使用而创建的脚本或文件,包括集成第三方服务或数据源。扩展由客户负责。
e. 启用 - 启用是指激活生产环境站点,以供客户用于正常业务活动和/或供客户用于以任何方式为其客户服务和/或供客户用于支持收入生成。
f. 支付卡行业 (PCI) 帐户数据 - 支付卡上包含的或者与支付卡交易关联的持卡人帐户信息(包括大额借记、贷记、预付、电子钱包、ATM、POS 卡),包括受到“支付卡行业数据安全标准”(PCI DSS) 所规定的安全性与处理准则约束的持卡人数据 (CHD) 和敏感帐户数据 (SAD)。
g. 个人可标识信息 (PII) - 指可以识别个人或者提供有关个人的可标识信息的任何信息。PII 包括与个人身份有关的个人信息(例如,个人的家庭住址)以及与个人专业或职业身份有关的个人信息(例如,个人的办公地址)。PII 还包括有关个人的公开数据,例如互联网上提供的信息。PII 包含个人自行通过数据收集表提供的信息、通过系统化观察所收集的有关个人的信息(例如,个人的学习活动完成情况或者其他行为或活动)以及数据控制器或处理器推断得出的有关个人的信息(例如,个人购买某个产品的倾向或其专业知识)。请注意,奥地利、列支敦士登和瑞士的数据隐私要求也将有关法律实体的信息(例如,公司名称)视为 PII。PII 在某些国家或地区也称为“个人数据”。
h. 恢复点目标 - 由于灾难导致 IT 服务丢失数据的最长可承受时间段。
i. 恢复时间目标 - 是时间段目标和服务级别目标,其中在声明发生灾难后必须复原业务流程,以避免发生与业务连续性中断相关的不可接受的后果。
j. 安全补丁 - 影响应用程序的安全性相关漏洞的修补。
k. 第三方服务 - 指通过 Cloud Service 访问的第三方服务、数据库、Web 服务、软件或其他第三方内容
。
l. 升级 - 指基本应用程序的新版本或发行版,用于替换先前版本或发行版,并且通常包含新功能部件和功能。