Fedict All Rights Reserved Unclassified

Transcriptie

1 Fedict BEPALINGEN WP 5 -Aanpassen Service Level agreeement Fedict All Rights Reserved Unclassified

2 Table of Content

3 1. Inleiding Dit document beschrijft de bepalingen voor de aangepaste SLA die zal worden afgesproken ter vervanging van de huidige SLA. Dit is het onderwerp van WP 5 Aanpassen SLA overeenkomst (paragraaf ).

4 2. Service management vereisten Fedict vraagt van zijn dienstverlener steeds een managed service. Dit houdt in dat een groot aantal service management elementen onder de verantwoordelijkheid vallen van de dienstverlener. In dit hoofdstuk wordt nader omschreven welke verwachtingen Fedict heeft ten opzicht van de dienstverlener m.b.t. de diverse managed services. De vereisten worden indicatief gemarkeerd volgens belang: (M): verplicht feature, niet negocieerbaar (tenzij uit de antwoorden van alle blijkt dat deze vereiste niet haalbaar is). (MN): verplicht feature qua geest, maar de haalbaarheid wordt in de grace period onderzocht. Indien u hieraan niet kan voldoen moet dit zeer expliciet vermeld worden. (R): aanbevolen: ondersteuning van dit feature resulteert in een betere evaluatie ALGEMEEN De aanbieder accepteert dat zijn aanspreekpunt voor diensten zowel Fedict kan zijn (bijvoorbeeld in geval van incidenten, changes, e.d.), als een derde partij die is aangesteld door, en handelt namens Fedict. (M) De technische services zijn alle 24 uur op 24, 7 dagen op 7, 365 dagen per jaar beschikbaar. (M) De services worden ondersteund betreffende incident management voor P1 incidenten, 24 uur op 24, 7 dagen op 7, 365 dagen per jaar. De details van de ondersteuning zijn later in dit hoofdstuk verder gedetailleerd. (M) Alle service requests, incidenten en changes m.b.t. de diensten die via dit contract worden afgenomen worden gelogd en zijn gedurende de looptijd van het contract beschikbaar voor Fedict, hierna zullen deze in een open formaat overgedragen worden aan Fedict. (MN) Voor sommige taken kan Fedict vragen om de Fedict Service Management tool te gebruiken. (R) 2.2. TOOLING De dienstverlener is verantwoordelijk voor de monitoring en het event management voor alle componenten die onder zijn verantwoordelijkheid vallen. Het is ook de verantwoordelijkheid van de dienstverlener ervoor te zorgen dat de eventuele incidenten die voortvloeien uit deze events worden gelogd en gecommuniceerd aan Fedict. (M) Naast het monitoringsysteem van de dienstverlener heeft Fedict steeds read-only toegang tot ALLE configuratiegegevens en loggegevens (via open interfaces bijvoorbeeld SNMP) van de toestellen. (M) Tijdige notificatie naar Fedict (en eventueel application/infrastructure owners) in geval van dreigende of effectieve onbeschikbaarheid of degradatie van de dienst (bepaalde drempelwaarden worden overschreden). De notificaties moeten vooraf gefilterd zijn. Fedict wil niet geïnformeerd worden over low-level problemen en problemen die in normale omstandigheden moeten kunnen opgelost worden door de dienstverlener voordat een effectieve dienstverstoring optreedt. (M) Tijdige notificatie naar Fedict in geval van dreigende of effectieve security incidenten zoals: o Inbreuk op vertrouwelijkheid van de gegevens o Beveiliging van de applicaties o Non-repudiation problemen o Verlies van data / corrupte gegevens 2.3. PROCESSEN Algemeen processen

5 Alle processen bij de dienstverlener zijn ingericht volgens de best practices van ITILv3. (MN) Fedict vereist dat de service management processen van de dienstverlener gedocumenteerd en geïmplementeerd zijn ten behoeve van Fedict en dit ten laatste voor de grace period. (M) Het deel van de processen dat door de dienstverlener wordt gemanaged moet auditeerbaar zijn. Het minimum maturiteitsniveau is level 3 Defined. Voor de processen vereist Fedict dat ze zowel qua opzet en bestaan ( design effectiveness ) als qua werking ( operating effectiveness ) effectief zijn. (M) Incident management De dienstverlener is integraal verantwoordelijk voor het incident management. Hij biedt hiertoe een Service Desk functie aan. De dienstverlener gebruikt haar eigen service management tool ter ondersteuning van het incident management, tenzij anders afgesproken. Op basis van de impact en de urgentie wordt voor elk incident de prioriteit bepaald. Indien het een prioriteit 1 incident betreft wordt de major incident management procedure gevolgd. De Service Desk is beschikbaar op dezelfde momenten dan dat er support wordt voorzien, d.w.z. 24 uur op 24, 7 dagen op 7 en 365/6 dagen per jaar voor P1 incidenten. (M) Fedict kan voor incidenten direct per mail, web form of telefoon contact opnemen met de Service Desk. (M) Alle incidenten en verzoeken hebben een uniek ticketnummer. Voor alle meldingen van de klant wordt dit meteen aan de klant meegedeeld. (M) Er is een online self-support voorzien zoals een FAQ, Wiki of discussiefora beschikbaar en deze wordt up-to-date gehouden. (MN) Fedict dient onmiddellijk op de hoogte worden gesteld van dreigende of effectieve onbeschikbaarheid en van dreigende of effectieve security incidenten. (M) Fedict dient i.g.v. een major incident periodieke updates te ontvangen over de status van de onbeschikbaarheid (meerdere keren per dag). (M) Fedict ontvangt i.g.v. een major incident binnen de 24 uur een eerste versie van een formeel incidentrapport waarin minimaal wordt vermeldt: duur van onbeschikbaarheid, root-cause, impact en remediërende acties. Dit rapport kan eventueel ook via het de fedcloud worden gepubliceerd. Van zodra er meer informatie beschikbaar komt wordt er een update van het rapport verstuurd. (M) De Service Desk is verplicht tweetalig: Nederlands- en Franstalig. Dit wil zeggen dat tijdens de kantooruren minimaal een Service Desk agent beschikbaar die het Nederlands en Frans voldoende beheerst in geschreven en gesproken woord in het kader van een normale dienstverlening. (MN) De Service Desk medewerkers spreken, lezen en begrijpen tevens Engels (naast het Nederlands en Frans). (R) Fedict kan voor incidenten per secure chat contact opnemen met de Service Desk. Dit kan eventueel via pidgin (R) Er zijn technische experts beschikbaar, welke indien nodig gecontacteerd kunnen worden om snel en accuraat kritische incidenten op te lossen. Deze experts zijn op dezelfde tijden beschikbaar als de Service Desk. (MN) De wijze van prioriteitsstelling van de dienstverlener komt overeen met die van Fedict Problem management Problem management is de verantwoordelijkheid van de dienstverlener. De dienstverlener heeft voldoende competenties om structurele problemen te identificeren en op te lossen. Naast reactief problem management verwacht Fedict ook vooral proactief problem management van de dienstverlener: idealiter zijn problemen opgelost voordat ze zichtbaar zijn voor de klant Change, release & deployment management

6 Changes kunnen zowel door Fedict als door de dienstverlener geïnitieerd worden. Voor standaard changes geldt: Initiatie door Fedict: Fedict wenst het aantal wijzigingen op bestaande services te minimaliseren. Indien Fedict toch een wijzigingsverzoek heeft zullen de RFC s binnen de in de SLA overeengekomen periode worden onderzocht door de dienstverlener waarna aan Fedict een impactanalyse en inschatting van de ontwikkelingstijd wordt overgemaakt. De dienstverlener is verantwoordelijk voor de integrale uitvoering van de change (incl. testen). De geboden optie wordt uiteindelijk beschikbaar gesteld voor alle andere klanten (bijv. upgrade of patch voor bepaalde database service). Initiatie door dienstverlener: in het geval de servicewijzigingen door de dienstverlener geïnitieerd worden, worden deze aangekondigd conform de targets uit het SLA. Indien voor de gebruikte software security patches beschikbaar komen, worden deze door de dienstverlener binnen een minimale periode aan de hand van een servicewijziging toegepast. Gebundelde release aanpak waarbij releases worden doorgevoerd op vooraf gedefinieerde planned maintenance windows. (MN) Tijdens het planned maintenance window mag de service nooit down zijn. (MN) Een doorgevoerde wijziging mag geen impact hebben op de SLA commitments van de leverancier, tenzij expliciet op voorhand anders is overeengekomen. (M) Fedict heeft het recht om nog minimum 6 maanden de oude versie te gebruiken van zodra de dienstverlener een nieuwe versie (release, patch) van de service doorvoert. (MN) De dienstverlener neemt de nodige maatregelen om een restore van de oorspronkelijke situatie te kunnen uitvoeren indien de change niet het gewenste resultaat oplevert. (M) Fedict wenst dat het planned maintenance window maximaal 4 uur duurt en plaats vindt tussen 20:00 uur en 24 uur CET op een nader te bepalen dag, maximaal één maal per maand. (MN) Fedict heeft de mogelijkheid om het precieze tijdstip waarop een change (geïnitieerd door de dienstverlener) te kiezen, binnen een door de dienstverlener gedefinieerd window. (MN) Service level vereisten Aankondigingstijd RFC: 4 weken Request fulfilment De dienstverlener is verantwoordelijk voor het afhandelen van aanvragen tot het leveren van de services uit de service catalogue. De services worden beschikbaar gesteld voor Fedict, en dit binnen de vooropgestelde service levels. Fedict heeft op elk moment een actueel zicht op de status van zijn aanvraag. (M) Alleen de door Fedict geautoriseerde personen zijn in staat om services uit de service catalogue te bestellen. (M) Alleen de services die via het contract met Fedict zijn overeengekomen zijn zichtbaar op het portaal (of de overige zijn ge-disabled ). Fedict kan een evenwaardig alternatief overwegen indien hetzelfde doel wordt bereikt, namelijk het voorkomen dat een klant een dienst afneemt die niet contractueel is overeengekomen. (MN) Availability, performance & capacity management De dienstverlener is verantwoordelijk voor het garanderen van de beschikbaarheid, performance en voldoende capaciteit voor de componenten die onder haar verantwoordelijkheid vallen. Pro-actieve bewaking (conform monitoring design documentatie) en opvolging van de beschikbaarheid Rapporteren van beschikbaarheidsissues en beveiligingsissues. Voorstellen formuleren om de beschikbaarheid te verhogen (bijv. risico analyse)

7 Maandelijkse pro-actieve opvolging en trend analyse van de beschikbare en verwachte benutting van de IAM infrastructuur (capacity plan met 6 maand forecast) Rapporteren en trend analyse omtrent de capaciteitsbenutting en verwachte tekorten in capaciteit. Capaciteitsplan up to date houden Geven van pro-actief advies aan Fedict om het capaciteitsplan te verbeteren. Voorstellen formuleren om de capaciteitsbenutting en gebruik te optimaliseren. Het aanleveren van specificaties voor een correcte en optimale werking van de onderliggende db. Uitvoeren van periodieke load test (baselining) (via workpackage) Andere Service asset & Configuration management De dienstverlener is verantwoordelijk voor het configuration management van de services die door hen worden aangeboden. Dit zijn alle componenten die binnen het beheer van de dienstverlener vallen en betreft vooral het management van low level configuration items zoals serienummers, interne server configuratie e.d. Specificaties Op verzoek van Fedict zal de dienstverlener inlichtingen geven over de configuratie van de onderliggende infrastructuur en het configuration management proces. Fedict zal alle geheimhoudingsvereisten van de dienstverlener respecteren in verband met het overhandigen van deze informatie. (M) Service level vereisten Correctheid van de configuratie: 100% Service level management Tussen de dienstverlener en Fedict bestaat een klant - leverancier relatie. Teneinde de kwaliteit van de door de dienstverlener geleverde services te kunnen beoordelen wordt er een SLA opgesteld vóór aanvang van de inwerkingtreding van de services. De dienstverlener doet hiervoor een voorstel in haar offerte op basis van de gevraagde services en service levels. Het SLA wordt actief vanaf het moment van de go-live. Periodiek, minimaal 1 keer per maand, wordt er een service meeting gepland tussen beide partijen in de burelen van Fedict. De dienstverlener neemt het initiatief om de meeting te organiseren, deze te structureren en de agenda te bepalen om basis van de input van Fedict. Tijdens de service meeting wordt de kwaliteit van de dienstverlening besproken, inclusief de belangrijkste incidenten en uitgevoerde en geplande wijzigingen. Tevens wordt er in het SLA een service improvement plan (SIP) voorzien. Dit plan wordt opgevolgd tijdens de service meetings en bevat concrete actiepunten voor de dienstverlener en/of Fedict teneinde de kwaliteit van de service structureel te verbeteren. De dienstverlener stelt een persoonlijk aanspreekpunt ter beschikking voor de service manager infrastructuur. Dit aanspreekpunt is de unieke contactpersoon (managementniveau) aan de zijde van de dienstverlener. Tevens is hij/zij het eerste aanspreekpunt in geval van escalatie. (M) Rapportage: o De dienstverlener biedt inzicht in de kwaliteit van dienstverlening en zijn performantie ten opzichte van het SLA. Voor elke KPI wordt naast de actual wordt de SLA target getoond. Actuals en SLA targets worden zowel als point-in-time als in trendvorm voor de afgelopen maand en jaar getoond. (MN) o De dienstverlener geeft periodiek een meer gedetailleerde inzicht in de kwaliteit van dienstverlening door te rapporteren over de KPI s zoals vermeld in de secties service level vereisten. Deze cijfers worden binnen 5 werkdagen na afloop van de maand beschikbaar gesteld aan de infrastructuur service manager. De mate waarin de KPI s al dan niet worden behaald vormt de basis voor de penaliteitenregeling. De maandelijkse rapportage bevat tevens een verslag over de acties die zijn ondernomen voor het oplossen van de P1 en P2 incidenten

8 van de afgelopen maand. Tevens wordt gerapporteerd over de root cause van de geïdentificeerde problemen. (MN) (Voorstellen tot) wijzigingen aan het SLA worden ten laatste 0 dagen op voorhand aan Fedict gecommuniceerd. (MN) Information security management Algemeen security De data mag de datacenter niet verlaten. Dit betekent dat er geen data mag getransfereerd worden naar de netwerken van de dienstverlener of derden. (M) De dienstverlener dient bereid te zijn om, op vraag van Fedict, het veiligheidsbeheer in het kader van de dienstverlening aan te passen. (R) Fedict behoudt zich het recht voor een security audit uit te voeren, hetzij door Fedict zelf, hetzij door een door Fedict aangeduide derde partij. De resultaten van dergelijke audit zullen samen met de dienstverlener worden besproken en de actiepunten die eruit volgen zullen worden uitgevoerd zonder bijkomende kosten. (MN) Personeel en security De toegang tot de infrastructuur zal persoonsgebonden zijn. Alleen met expliciete toestemming van Fedict kunnen per apparaat gemeenschappelijke credentials gebruikt worden, in dit laaste geval moet de dienstverlener een lijst bijhouden van personen die toegang heeft gehad tot deze gemeenschappelijke credentials. De lijst van personen zal beperkt worden tot personen die opgeleid zijn tot het beheren van de omgeving zoals beschreven in dit bestek. Daarnaast is de toegang beperkt tot wat strikt noodzakelijk is voor de uitvoering van de functie. Deze lijst zal continu geactualiseerd worden door de dienstverlener. Wijzigingen worden direct doorgegeven aan Fedict. (M) Voor personen die de systemen beheren die gevoelige informatie bevatten of de security beïnvloeden, is daarnaast een veiligheidsmachtiging (accreditatie) noodzakelijk. (MN) Fedict moet te allen tijde inzicht kunnen krijgen in de procedures m.b.t. het inhuren van uw beheerders (ook derden) van IT of anderen met systeemtoegang. Deze zouden moeten omvatten: voorafgaande tewerkstellingscontroles (identiteit, nationaliteit of status, werkgelegenheidsgeschiedenis, referenties, verwijzingen naar veroordelingen, en het doorlichten van hoger personeel welke voorrechtrollen uitoefenen). (R) Security-incidenten De dienstverlener heeft een formeel proces in de plaats voor het detecteren, identificeren, analyseren en reageren op security incidenten. (M) Alle security incidenten worden onmiddellijk gemeld aan Fedict en uitvoerig gedocumenteerd, inclusief de maatregelen die zullen worden getroffen om dit in de toekomst te voorkomen. Tevens wordt hierover gerapporteerd in het periodieke servicerapport. (MN) Detectiemaatregelen dienen opgezet te worden om aanvallen en pogingen tot inbraken te detecteren, melden en preventief op te vangen, door het nemen van tegenmaatregelen. (M) Fedict of een derde partij die door Fedict is aangesteld heeft het recht om penetratietesten uit te voeren. De penetratietesten, inclusief het doel, scope en planning ervan, gebeuren in nauw overleg met de dienstverlener, uitzonderlijk kan dit ook zonder verwittiging uitgevoerd worden. De dienstverlener zelf heeft niet het recht penetratietesten uit te voeren. (MN)

9 Fedict of een derde partij die door Fedict is aangesteld heeft het recht om vulnerability scans testen uit te voeren. (MN) IT Service continuity management De dienstverlener is verantwoordelijk voor de IT service continuity van de services die door hen worden opgeleverd en beheerd. Het deel business continuity planning is en blijft onder beheer van Fedict. De dienstverlener verzekert steeds de continuïteit voor alle componenten, nodig om de service aan te bieden, waarvoor zij verantwoordelijk zijn. (M) De dienstverlener beschikt over een actueel en compleet DRP en bijbehorende procedures die jaarlijks worden geëvalueerd. (M) De dienstverlener voert periodiek een geplande DRP test uit. Dit gebeurt minimaal 1 keer per jaar. (M) In geval van een continuïteitsprobleem, i.g.v. een storing of een geschil tussen de partijen, doet de dienstverlener afstand van zijn recht de dienstverlening onder eender welke omstandigheden op te schorten. (M) De dienstverlener stelt het DRP ter beschikking van Fedict. (MN) Fedict krijgt inzicht in alle informatie die betrekking heeft op het DRP. Dit houdt onder meer in: DRP, procedures, contracten, DRP testen (test plannen, scope van de testen, testresultaten, aanbevelingen e.d.). Op verzoek worden deze ter beschikking gesteld van Fedict. (R) Continual Service Improvement Het doel van continue serviceverbetering (CSI) is de IAM infrastructuur en dienstverlening continu af te stemmen op de wijzigende en toekomstige behoeften van de business. Continual Service Improvement bij de dienstverlener werkt conform de volgende verantwoordelijkheden: Voorstellen (target gemiddeld 1/jaar) formuleren om het service niveau te verhogen Voorstellen (target gemiddeld 1/jaar) formuleren om andere services te introduceren die een antwoord kunnen bieden op noden van de IAM gebruikers Jaarlijkse proces review (effectiviteit en efficiëntie)

10 3. Berekening penaliteiten Het bedrag van elke boete is een vooraf vastgesteld percentage van de totale maandelijkse vergoeding voor de diensten. In geval van aanhoudende inbreuken op een verbintenis gedurende twee of meer opeenvolgende maanden wordt de boete voor aanhoudende inbreuk toegepast voor deze verbintenis vanaf de tweede maand, in plaats van (en niet bovenop) de boete voor een eenmalige inbreuk. Het totale bedrag van de boetes (voor alle eenmalige en aanhoudende inbreuken samen) voor een bepaalde maand is beperkt tot 45% van de maandelijkse vergoeding voor de diensten. In het geval dat de dienstverlening beter is dan bepaald wordt er een bonus toegekend. Deze bonus kan worden gebruikt om boetes tijdens een bepaalde maand, of de 3 maanden die daarop volgen te compenseren INCIDENT SERVICE LEVELS Boete voor een eenmalige inbreuk op deze verbintenis: Oplossing P1- en P2-incidenten: 5% van de maandelijkse vergoeding voor de dienst. Oplossing P3- tot P4-incidenten en serviceaanvragen: 3% van de maandelijkse vergoeding voor de dienst. In geval van een inbreuk op beide verbintenissen worden beide boetes toegepast. Boete voor aanhoudende inbreuken op deze verbintenis: Oplossing P1- en P2-incidenten:10% van de maandelijkse vergoeding voor de dienst. Oplossing P3- tot P4-incidenten en serviceaanvragen: 6% van de maandelijkse vergoeding voor de dienst. In geval van een inbreuk op beide verbintenissen worden beide boetes toegepast PROBLEM SERVICE LEVELS Boete voor een eenmalige inbreuk op deze verbintenis: Root cause analyse P1- en P2-problemen: 5% van de maandelijkse vergoeding voor de dienst. Root cause analyse P3- en P4-problemen: 3% van de maandelijkse vergoeding voor de dienst. In geval van een inbreuk op beide verbintenissen worden beide boetes toegepast. Boete voor aanhoudende inbreuken op deze verbintenis: Root cause analyse P1- en P2-problemen:10% van de maandelijkse vergoeding voor de dienst. Root cause analyse P3- en P4-problemen:6% van de maandelijkse vergoeding voor de dienst. In geval van een inbreuk op beide verbintenissen worden beide boetes toegepast CHANGE REQUEST SERVICE LEVELS Boete voor een eenmalige inbreuk op deze verbintenis: Tijd om de verandering te implementeren: 5% van de maandelijkse vergoeding voor de dienst. Boete voor een aanhoudende inbreuk op deze verbintenis: Tijd om de verandering te implementeren: 10% van de maandelijkse vergoeding voor de dienst. In geval van een inbreuk op beide verbintenissen worden beide boetes toegepast AVAILABILITY SERVICE LEVELS Boete voor een eenmalige inbreuk op deze verbintenis: Inbreuk op de beschikbaarheidsverbintenis tijdens de overeengekomen servicetijd (24x7): 10% van de maandelijkse vergoeding voor de dienst

11 Boete voor aanhoudende inbreuken op deze verbintenis: Inbreuk op de beschikbaarheidsverbintenis tijdens overeengekomen servicetijd: 20% van de maandelijkse vergoeding voor de dienst 3.5. PERFORMANCE SERVICE LEVELS Boete voor een eenmalige inbreuk op deze verbintenis: 5% van de maandelijkse vergoeding voor de dienst. Boete voor aanhoudende inbreuken op deze verbintenis: 10% van de maandelijkse vergoeding voor de dienst SERVICE MANAGEMENT SERVICE LEVELS Zie tabel hieronder. Boete voor een eenmalige inbreuk op deze verbintenis: 1% van de maandelijkse vergoeding voor de dienst. Boete voor een aanhoudende inbreuk op deze verbintenis: 2% van de maandelijkse vergoeding voor de dienst. Tabel Berekening Service Management Levels Reporting Implementatie acties komende uit SMM Implementatie acties komende uit Steerco Meeting minutes aantal dagen na deadline BIRT reporting 1,00% 2,00% 3,00% 4,00% 5,00% SLA report 1,00% 2,00% 3,00% 4,00% 5,00% Incident report 1 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% Incident report 2 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% Capacity report 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SSM Actie 1 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SSM Actie 2 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SSM Actie 3 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SSM Actie 4 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SSM Actie 5 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SC Actie 1 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SC Actie 2 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SC Actie 3 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SC Actie 4 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% SC Actie 5 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% Meeting minutes SMM 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00% Meeting minutes SC 0,50% 1,00% 1,50% 2,00% 2,50% 3,00% 3,50% 4,00% 4,50% 5,00%

12

13 4. SLA AS IS TO BE AS IS T a r g e t TO BE SMA FAS Performance Scen ario's Target N1 Target N2 N1 N3 Target N1 Requ est of a Toke n: Proce ss Cred ential Requ est 5% 8% 3 sec 10 sec 7% Chan ge of Proce ss Mod ify Identi ty Attrib utes Availability.85%,5% user interf Performance ace 5% 8% 2 sec 10 sec 7% appli 5% 8% 0,1 sec 0,5 sec 7% catio n % interf N 2 Target N3 N1 N2 N3 %,0% 1 sec 3 sec 10 sec %,0% 1 sec 3 sec 10 sec,0% 0,1 sec 0,2 sec 0,5 sec

14 AS RMA ace Availability ALL.85%,5% Performance eid N/A,5% token N/A,5% com m cert N/A,5% sms otp N/A,5% Attrib ute servic e 5% 8% 2 sec 10 sec 7% Availability.85%,85% Creat e a Direc t Assig Performance n 5% 8% 1 sec 3 sec 7% Creat e an Invita tion Appr ove assig nmen t Adjus t end date Assig nmen t Temp orally deact ivate Stop assig nmen t %,0% 1 sec 3 sec 10 sec %,0% 1 sec 2 sec 3 sec

15 HMA Resta rt assig nmen t Availability.85%,85% Find an identi ty on Nam Performance e 5% 8% 1 sec 3 sec 7% Find identi ty on RRN Show detail s of an identi ty Identi ty takeo ver %,0% 1 sec 2 sec 3 sec Availability.0%,85% CMA TBD Incident Mgt 5% Response Time P1 15 min 100% 15 min P2 5% 30 min 100% 30 min P3 0% 4 h 100% 4 h P4 0% 2 bd 100% 2 bd Resolution time P1 5% 1 h 100% 1 h P2 5% 4 h 100% 4 h P3 0% 3 bd 100% 3 bd P4 0% 5 bd 100% 5 bd 5 bd Closure time P1 5% 5 bd 100% 5 bd P2 5% 5 bd 100% 5 bd

16 Problem Mgt RCA Analysis P3 0% 5 bd 100% 5 bd P4 0% 5 bd 100% 5 bd P1 0% 2 bd 100% 2 bd P2 0% 4 bd 100% 4 bd P3 80% 5 bd 100% 5 bd P4 80% 5 bd 100% 5 bd Min : Minuten h : Uren bd : Business days