Oracle Cloud Hosting en Delivery Policies Ingangsdatum: December 1, 2014 Versie 1.4

Transcriptie

1 Oracle Cloud Hosting en Delivery Policies Ingangsdatum: December 1, 2014 Versie 1.4 Tenzij anders wordt aangegeven, beschrijven deze Oracle Cloud Hosting en Delivery Policies (de Delivery Policies ) de Oracle Cloud Services die door u zijn besteld. Deze Delivery Policies kunnen verwijzen naar andere Oracle Cloud-beleidsdocumenten; elke verwijzing naar Klant in deze Delivery Policies of in zulke andere beleidsdocumenten worden geacht te verwijzen naar u zoals dit in het ordering document is gedefinieerd. Woorden die in dit document met een hoofdletter worden geschreven maar niet verder gedefinieerd zijn, hebben de betekenis die in de desbetreffende Oracle Overeenkomst, het ordering document of de beleidslijn hieraan is toegekend. Overzicht en inhoudsopgave De hierin beschreven Cloud Services worden geleverd onder de bepalingen van de overeenkomst, het ordering document en deze Delivery Policies. De levering van de services door Oracle is afhankelijk van het naleven door u en uw gebruikers van uw verplichtingen en verantwoordelijkheden die in deze documenten en het daarin opgenomen beleid zijn bepaald. Deze Delivery Policies, en de documenten waarnaar hierin wordt verwezen, kunnen naar eigen goeddunken van Oracle worden gewijzigd; wijzigingen in Oracle s beleidslijnen zullen echter niet leiden tot een materiele vermindering van het niveau van de prestaties, de beveiliging of beschikbaarheid van de Cloud Services die gedurende de looptijd van de Services Period worden geleverd. Toegang Oracle levert Cloud Services viadatacenterruimte die eigendom is van of wordt geleased door Oracle. Oracle definieert de vereisten van de architectuur, hardware en software voor het netwerk en de systemen voor de services. Oracle kan toegang krijgen tot uw servicesomgeving om de Cloud Services uit te voeren, waaronder het leveren van serviceondersteuning. Uren van beschikbaarheid De Cloud Services zijn ontworpen om 24 uur per dag, 7 dagen per week, 365 dagen per jaar beschikbaar te zijn, met uitzondering van perioden voor systeemonderhoud en upgrades van technologie en zoals anders wordt uiteengezet in de overeenkomst, het ordering document en deze Delivery Policies. Deze Cloud Hosting en Delivery Policies omvatten het volgende: 1.Oracle Cloud Security Policy 2.Oracle Cloud System Resiliency Policy 3.Oracle Cloud Service Level Objective Policy 4.Oracle Cloud Change Management Policy 5.Oracle Cloud Support Policy 6.Oracle Cloud Suspension andtermination Policy 1. Oracle Cloud Security Policy 1.1 Gebruikersencryptie voor Externe Verbindingen Klanten krijgen toegang tot het systeem via internet. SSL-encryptietechnologie is beschikbaar voor toegang tot Oracle Cloud Service. SSL-verbindingen worden onderhandeld voor ten minste 128 bit encryptie of sterker. De private sleutel die wordt gebruikt om de cijfersleutel te genereren, bestaat uit ten minste 2048 bits. SSL wordt geïmplementeerd of kan worden geconfigureerd voor alle webgebaseerde SSL-gecertificeerde applicaties die bij Oracle worden gebruikt. Het wordt aanbevolen de nieuwste beschikbare browsers die voor Oracle-programma s zijn gecertificeerd, die compatibel zijn met hogere codeersterkten en beter zijn beveiligd, te gebruiken om verbinding te maken met webgebaseerde programma s. De lijst van gecertificeerde browsers voor elke versie van Oracleprogramma s kan worden geraadpleegd op de Cloud Customer Support Portaldie voor de specifieke bestelde service is opgezet (bijvoorbeeld de portal My Oracle Support). In sommige gevallen, wanneer een site van derden, die niet door Oracle wordt beheerd, met cloudservices wordt gebruikt, kan een niet-versleutelde verbinding tot stand Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 1 van 17

2 worden gebracht. In sommige gevallen wordt een versleutelde verbinding niet geaccepteerd door een site van derden (zoals Facebook) die de Klant wil integreren met de Cloud Service. Voor Cloud Services waarbij HTTPverbindingen met de site van derden door Oracle worden toegestaan, zal Oracle dergelijke HTTP-verbindingen, naast de HTTPS-verbinding, mogelijk maken. 1.2 Netwerktoegangsbeheer Oracle Cloud- operation teams benaderen Klantomgevingen via een gesegregeerde netwerkverbinding die specifiek is opgezet voor omgevingstoegangsbeheer en geïsoleerd is van het verkeer op Oracle s interne bedrijfsnetwerk. Authenticatie, autorisatie en accounting worden geïmplementeerd via standaardbeveiligingsmechanismen die ontwikkeld werden om te garanderen dat uitsluitend goedgekeurde operations- en support engineers toegang hebben tot de systemen. 1.3 Netwerkbandbreedte en -latentie Oracle is niet verantwoordelijk voor de netwerkverbindingen van de Klant of voor omstandigheden of problemen voortkomend uit of gerelateerd aan de netwerkverbindingen van de Klant (zoals problemen met de bandbreedte, overmatige latentie of netwerkuitvallen) of veroorzaakt door het internet. Oracle houdt toezicht over haar eigen netwerken en zal Klanten op de hoogte stellen van alle interne problemen die de beschikbaarheid kunnen beïnvloeden. 1.4 Antiviruscontroles Oracle Cloud maakt gebruik van binnen de industrie standaardantivirussoftware om geüploade bestanden te scannen. Gedetecteerde virussen worden automatisch verwijderd (of in quarantaine geplaatst) en er wordt automatisch een waarschuwing gegenereerd die het incidentresponsproces van Oracle in gang zet. Virusdefinities worden dagelijks bijgewerkt. 1.5 Firewalls Oracle Cloud Services maken gebruik van firewalls om de toegang te beheren tussen het internet en Oracle Cloud Services door uitsluitend geautoriseerd dataverkeer toe te laten. De door Oracle beheerde firewalls worden via een gelaagde benadering ingezet om pakketten te inspecteren aan de hand van beveiligingsbeleidslijnen, die zijn geconfigureerd voor het filteren van pakketten, op basis van protocol, poort en bron- en bestemmings-ipadres, waar van toepassing, om geautoriseerde bronnen, doelen en verkeerstypen te identificeren. 1.6 Systeemversterking Oracle past gestandaardiseerde praktijken voor systeemversterking toe op alle Oracle Cloud-apparaten. Dit omvat beperking van protocoltoegang, verwijdering of uitschakeling van onnodige software en services, verwijdering van onnodige useraccounts, patchbeheer en logboekregistratie. 1.7 Fysieke beveiligingsmaatregelen Oracle biedt beveiligde computerfaciliteiten voor zowel kantoorlocaties als productiecloudinfrastructuur. Algemene controles tussen kantoorlocaties en co-locaties/datacenters omvatten momenteel onder andere: Fysieke toegang vereist autorisatie en wordt bewaakt. Iedereen moet duidelijk zichtbaar officiële identificatie dragen op de locatie. Bezoekers moeten een bezoekersregister tekenen en worden begeleid en/of geobserveerd zolang zij zich op de locatie bevinden. Bezit van sleutels/toegangskaarten en de mogelijkheid van toegang tot de locaties worden bewaakt.personeel waarvan het dienstverband bij Oracle wordt beëindigd moet sleutels/kaarten inleveren. Aanvullendefysieke beveiligingisvan toepassing op alle Oracle Cloud-datacenters. Dit omvat onder andere de volgende maatregelen: Locaties worden via CCTV bewaakt. Ingangen zijn voorzien van fysieke barrières om te voorkomen dat voertuigen ongeautoriseerde toegang krijgen. Ingangen worden 24 uur per dag, 365 dagen per jaar bemand door beveiligingspersoneel dat visuele identificatie uitvoert en het escorteren van bezoekers regelt. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 2 van 17

3 1.8 Systeemtoegangs- en wachtwoordbeheer Toegang tot Cloud-systemen wordt beheerd door de toegang te beperken tot uitsluitend geautoriseerd personeel. Oracle handhaaft een wachtwoordbeleid voor infrastructuurcomponenten en cloudbeheersystemen die worden gebruikt voor de werking van de Oracle Cloud-omgeving. Systeemtoegangscontroles omvatten maatregelen zoals systeemauthenticatie, autorisatie, toegangsgoedkeuring, provisioning en herroeping voor werknemers en andere door Oracle gedefinieerde gebruikers. De Klant is verantwoordelijk voor alle Eindgebruikersadministratie binnen het programma. Oracle beheert de Eindgebruikersaccounts van de Klant niet. De Klant kan de programma s en aanvullende, ingebouwde beveiligingsfuncties configureren. 1.9 Evaluatie van Toegangsrechten Netwerk- en besturingssysteemaccounts voor Oracle-werknemers worden regelmatig geëvalueerd om de juiste toegangsniveaus voor werknemers te garanderen. Wanneer het dienstverband van een werknemer wordt beëindigd, neemt Oracle direct acties om netwerk-, telefonie- en fysieke toegang door een dergelijke voormalige werknemer te beëindigen. De Klant is verantwoordelijk voor het beheren en evalueren van toegang voor de eigen werknemersaccounts Beveiligingsgerelateerd onderhoud Oracle voert beveiligingsgerelateerd wijzigingsbeheer en onderhoud uit zoals gedefinieerd en beschreven in de Oracle Cloud Change Management Policy. Voor elkei security patch bundle die Oracle algemeen beschikbaar stelt voor specifieke Oracle Programma s, zal Oracle de security patch bundle toepassen en testen in een testomgeving van de van toepassing zijnde Cloud Service. Oracle zal de security patch bundle toepassen op de productieomgeving van de Cloud Service nadat Oracle de tests in de testomgeving succesvol heeft voltooid Beheer/bescherming van gegevens Tijdens het gebruik van Oracle Cloud Services behouden Oracle Cloud-klantenhet beheer van en de verantwoordelijkheid voor hun gegevens die zich in hun omgeving bevinden. Als onderdeel van de service waarvoor een abonnement is afgesloten, bieden de Oracle Cloud Services diverse configureerbare services voor informatiebescherming. Klantgegevens zijn gegevens die zijn geüpload of gegenereerd voor gebruik binnen de Oracle Cloud Services Fysieke media in transit Aangewezen Oracle-personeel behandelen media en bereiden deze voor op transport in overeenstemming met gedefinieerde procedures en uitsluitend zoals vereist is. Digitale media worden vastgelegd, versleuteld, beveiligd getransporteerd en indien nodig voor back-up/archivering opgeslagen bij een derde-partij off-site leverancier. Leveranciers zijn contractueel verplicht te voldoenaan de door Oracle gedefinieerde bepalingen ten aanzien van mediabescherming Gegevensvernietiging Na beëindiging van services (zoals beschreven in de Oracle Cloud Suspension andtermination Policy) of op verzoek van de Klant zal Oracle omgevingen of de gegevens in die omgevingen verwijderen op een manier waarvan zeker is dat de omgevingen/gegevens daarna niet meer toegankelijk zijn of kunnen worden gelezen, tenzij Oracle wettelijk verplicht is verwijdering van alle of een deel van de omgevingen of gegevens te voorkomen Reactie op beveiligingsincidenten Oracle evalueert en reageert op incidenten die vermoedens van onbevoegde toegang tot of verwerking van Klantgegevenscreëren, ongeacht of de gegevens zich bevinden op hardware van Oracle of op de persoonlijke hardware van werknemers en contractanten van Oracle.Wanneer de GIS-organisatie van Oracle (Global Information Security) van dergelijke incidenten op de hoogte wordt gesteld, definieert GIS escalatiepaden en responsteams om deze incidenten aan te pakken, afhankelijk van de aard van de activiteit. GIS werkt waar nodig samen met de Klant, de geschikte technische teams en wetshandhavingsinstanties om op het incident te reageren.het doel van de incidentrespons is het herstellen van de vertrouwelijkheid, integriteit en beschikbaarheid van de omgeving van de Klant en om de basisoorzaken en herstelstappen te bepalen. Het operationeel personeel heeft procedures Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 3 van 17

4 vastgelegd voor het aanpakken van incidenten waarbij mogelijk sprake is van onbevoegde verwerking van gegevens, inclusief directe en redelijke rapportage, escalatieprocedures en een rij van bewakingspraktijken. Als Oracle bepaalt dat misbruik is gemaakt van de gegevens van de Klant, zal Oracle dergelijk misbruik binnen drie werkdagen na een dergelijke bepaling melden bij de Klant, tenzij dit bij wet verboden is Gegevensprivacy Oracle s Data Processing Agreement for Oracle Cloud Services ( Data Processing Agreement ) en de OracleServices Privacy Policy beschrijven de manier waarop Oracle gegevens verwerkt die zich bevinden op Oracle-systemen (inclusief persoonlijk identificeerbare informatie of PII ) waartoe Oracle mogelijk toegang heeft binnen het kader van de levering van Cloud Services. De Data Processing Agreement omschrijft de respectievelijke rol van Oracle en de Klant voor het verwerken en controleren van de persoonsgegevens die de Klant verstrekt aan Oracle als onderdeel van de Cloud Services. Deze documenten zijn beschikbaar via: OracleServices Privacy Policy: Data Processing Agreement for Oracle Cloud Services: Naleving van regelgeving De Oracle Cloud Services voldoen aan de beveiligingscontroles van ISO (International OrganizationforStandardization) 27001:2013. Het ISO-beveiligingsframework omvat een uitgebreide set beveiligingscontroles die worden gebruikt als basislijn voor de operationele en beveiligingscontroles die worden ingezet voor het beheren en beveiligen van de Oracle Cloud Service, maar dit omvat geen ISO certificering. De interne controles van Oracle Cloud Services zijn onderhevig aan periodieke tests door onafhankelijke, externe auditorganisaties. Dergelijke audits kunnen zijn gebaseerd op de Statement on Standards forattestationengagements (SSAE), nr. 16, Reporting on Controls at a Service Organization ( SSAE 16 ), de International Standard on Assurance Engagements (ISAE), nr. 3402, Assurance Reports on Controls at a Service Organization ( ISAE 3402 ) of een andere soortgelijke auditnorm of -procedure van derden die van toepassing is op de specifieke Oracle Cloud Service. Auditrapporten van Oracle Cloud Services worden periodiek gepubliceerd door de externe auditeurs van Oracle, alhoewel rapporten mogelijk niet altijd beschikbaar zijn voor alle services. De Klant kan een exemplaar van het huidige gepubliceerde auditrapport aanvragen dat beschikbaar is voor een bepaalde Oracle Cloud Service. De auditrapporten van Oracle Cloud Services, en de informatie in die rapporten, vormen vertrouwelijke informatie van Oracle en moeten door de Klant overeenkomstig worden behandeld. Dergelijke rapporten mogen uitsluitend door de Klant worden gebruikt om het ontwerp en de operationele effectiviteit van gedefinieerde controles die van toepassing zijn op Oracle Cloud Services te evalueren en worden zonder garantie geleverd. De Klant blijft volledig verantwoordelijk voor zijn naleving van regelgeving bij het gebruik van een Oracle Cloud Service. De Klant moet Oracle op de hoogte brengen van eventuele technische vereisten die voortvloeien uit zijn regulerende verplichtingen alvorens het contract te tekenen. Enkele Oracle Cloud Services zijn gecertificeerd volgens PCI DSS- of FISMA/NIST-normen; tegen aanvullende vergoeding zijn aanvullende certificeringen en naleving van specifieke regelgevende kaders binnen de Oracle Cloud Service mogelijk beschikbaar. De Klant moet Oracle geen gezondheids-, betaalkaart- of andere gevoelige persoonlijke informatie verstrekken waarbij specifieke regelgevende, wettelijke of industriegegevensbeveiligingsverplichtingen worden opgelegd voor de verwerking van dergelijke gegevens; echter waar beschikbaar voor bepaalde Cloud Services kan Oracle Cloud Klanten aanvullende services te koop aanbieden die zijn ontwikkeld voor de verwerking van gereguleerde gegevens binnen de servicesomgeving. N.B. Dergelijke aanvullende services zijn niet voor alle Cloud Services beschikbaar. Oracle begrijpt dat op sommige Klanten mogelijk regelgevende auditvereisten van toepassing zijn en Oracle zal in die gevallen met de Klant samenwerken zoals beschreven in de Data Processing Agreement. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 4 van 17

5 1.13 Oracle Software Security Assurance Oracle Software Security Assurance (OSSA) is Oracle s methodologie voor het inbouwen van beveiliging in het ontwerp, de build, de tests en het onderhoud van haar services. Het OSSA-programma wordt beschreven op 2. Oracle Cloud System Resiliency Policy 2.1 Back-upstrategie van Oracle Cloud Services Oracle maakt periodiek back-ups van productiegegevens in de Cloud Service van de Klant; deze zijn uitsluitend bedoeld voor gebruik door Oracle om gegevensverlies in geval van een disaster te minimaliseren. In principe worden Klantgegevens niet door Oracle namens de Klant geüpdatet, ingevoegd, verwijderd of teruggezet. Bij uitzondering kan Oracle na schriftelijke goedkeuring en tegen aanvullende vergoeding de Klant ondersteunen bij het terugzetten van gegevens die de Klant heeft verloren als gevolg van zijn eigen acties. 3. Oracle Cloud Service Level Objective Policy 3.1 Bepalingen ten aanzien van de beschikbaarheid van de services Vanaf de activering door Oracle van de productieomgeving van de Klant, en op voorwaarde dat de Klant de voorwaarden van het ordering document (inclusief de overeenkomst) blijft naleven en voldoet aan de door Oracle aanbevolen minimale technische configuratievereisten voor toegang en gebruik van de services vanaf de netwerkinfrastructuur van de Klant en de work stations van de gebruikers van de Klant, zoals dit is uiteengezet in de Cloud Service Programma Documentatie, werkt Oracle eraan om het Beoogde servicebeschikbaarheidsniveau te bereiken overeenkomstig de in dit beleid aangegeven bepalingen. In deze Delivery Policies hebben verwijzingen naar de term productie de betekenis (i) binnen de context van Oracle Cloud Software as a Service-aanbod: de productie-instanties van dergelijke services, of (ii) binnen de context van Oracle Cloud Platform as a Serviceaanbod: de ontwikkelingsinstanties van dergelijke services. 3.2 Beoogd systeembeschikbaarheidsniveau van Oracle Cloud Service Oracle probeert om een Beoogd systeembeschikbaarheidsniveau van 99,5% te behalen op de productieservice, gedurende de meetperiode van één kalendermaand, vanaf de activering van de productieomgeving door Oracle. 3.3 Definitie van Beschikbaarheid en Ongeplande Downtime Beschikbaarheid of Beschikbaar betekent dat de Klant zich kan aanmelden bij en toegang heeft tot de OLTP of het transactionele gedeelte van de Oracle Cloud Services, onderhevig aan de volgende bepalingen. Ongeplande Downtime betekent alle tijd tijdens welke de services niet Beschikbaar zijn, maar hieronder valt niet de tijd waarin de services, of enig onderdeel van de services, niet Beschikbaar zijn als gevolg van: Een storing in of verslechtering van de prestaties of een defect voortvloeiend uit scripts, data, applicaties, apparatuur, infrastructuur, software, testen op indringing, prestatietests of bewakingsmiddelen die worden aangestuurd, geleverd of uitgevoerd door de Klant; Geplande onbeschikbaarheid, gepland en aangekondigd onderhoud of onderhoudswindows, of door Oracle op verzoek of aangeven van de Klant ondernomen onderbrekingen voor onderhoud, activering van configuraties, back-ups of andere doeleinden die vereisen dat de service tijdelijk offline wordt genomen; Niet-beschikbaarheid van beheer-, hulp- of administratieservices, waaronder administratietools, rapportageservices, utilities, third party software componenten waarover Oracle geen volledige controle heeft of andere services die de verwerking van de core transactie ondersteunen; Uitval die zich voordoet als gevolg van enige acties of nalaten door Oracle op verzoek of aanwijzing van de Klant; Uitval als gevolg van apparatuur van de Klant of van derden of third party software componenten waarover Oracle geen volledige controle heeft; Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 5 van 17

6 Gebeurtenissen voortvloeiend uit een onderbreking of uitval van de services als gevolg van omstandigheden waarvan Oracle rederlijkerwijs kon menen dat deze een aanzienlijke bedreiging vormen voor de normale werking van de services, de besturingsinfrastructuur, de faciliteit van waaruit de services worden geleverd, toegang tot, of de integriteit van gegevens van Klanten (bijvoorbeeld een hacker- of virusaanval); Uitval als gevolg van systeembeheer, opdrachten of bestandsoverdrachten die door gebruikers of vertegenwoordigers van de Klant zijn uitgevoerd; Uitval als gevolg van Denial of Service-aanvallen, natuurrampen, veranderingen voortvloeiend uit acties van de overheid, de politiek of overige regulerende acties of gerechtelijke bevelen, stakingen of arbeidsconflicten, daden van burgerlijke ongehoorzaamheid, oorlogshandelingen, acties tegen partijen (waaronder carriersen andere verkopers van Oracle) en andere gebeurtenissen die overmacht opleveren; Het niet in staat zijn om toegang te verkrijgen tot de services of onderbrekingen die zijn veroorzaakt door het gedrag van de Klant, waaronder nalatigheid of inbreuken op de materiele verplichtingen van de Klant onder de overeenkomst, of door andere omstandigheden waar Oracle geen controle op heeft; Gebrek aan beschikbaarheid of niet-tijdigeresponstijd van de Klant om te reageren op incidenten die de inspraak van de Klant vereisen voor bronidentificatie en/of resolutie, inclusief voldoen aan de verantwoordelijkheden van de Klant voor alle services; Onderbrekingen die worden veroorzaakt door storingen of schommelingen in elektrische, connectiviteits-, netwerk- of telecommunicatieapparatuur of leidingen als gevolg van handelingen van de Klant of omstandigheden waarover Oracle geen controle heeft. 3.4 Meting van Beschikbaarheid Aan het eind van elke kalendermaand van de Services Periode onder een ordering document meet Oracle het Systeembeschikbaarheidsniveau van de direct voorafgaande maand. Oracle meet het Systeembeschikbaarheidsniveau door het verschil tussen het totale aantal minuten in de maandelijkse meetperiode en enige Ongeplande Downtime te delen door het totale aantal minuten in de meetperiode, en het resultaat vervolgens te vermenigvuldigen met 100 om tot een percentage te komen. 3.5 Bewaking Oracle gebruikt diverse softwaretools voor het bewaken van (i) de beschikbaarheid en prestaties van de productieservicesomgeving van de Klant, en (ii) de werking van infrastructuur- en netwerkcomponenten Tools voor bewaking en tests bij de Klant Gezien de potentiële impact op de prestaties en beschikbaarheid van services mag de Klant geen eigen tools voor bewaking of tests gebruiken (inclusief geautomatiseerde gebruikersinterfaces en web service calls naar enige Oracle Cloud Service) om direct of indirect de beschikbaarheid, prestaties of beveiliging van enig programma, functie of servicecomponent binnen de services of omgeving te meten. Oracle behoudt zich het recht voor om de toegang tot enige tool die de bovenstaande beperkingen schendt te verwijderen of uit te schakelen zonder enige aansprakelijkheid jegens de Klant Klantworkloads De Klant mag geen aanzienlijke wijzigingen doorvoeren in de workload buiten de hoeveelheid waarop aanspraak mag worden gemaakt volgens het ordering document Geautomatiseerde workloads Klanten mogen geen tools voor data-scraping en geen technologieën voor het verzamelen van gegevens beschikbaar via de gebruikersinterface van de Oracle Cloud Service, of via web service calls, gebruiken (of gebruik ervan toestaan) zonder uitdrukkelijke schriftelijke goedkeuring van Oracle.Oracle behoudt zich het recht voor te eisen dat de door de Klant voorgestelde data-scrapingtools door Oracle worden gevalideerd en getest voorafgaand aan gebruik ervan in productie en vervolgens jaarlijks worden gevalideerd en getest. Oracle kan eisen dat een schriftelijke Statement of Work wordt uitgevoerd voor het uitvoeren van dergelijke validaties en tests. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 6 van 17

7 4. Oracle Cloud Change Management Policy 4.1 Oracle Cloud wijzigingsbeheer en onderhoud Oracle Cloud Operations voert wijzigingen door in de hardware infrastructuur, besturingssoftware, productsoftware en ondersteunende applicatiesoftware van de cloud om de operationele stabiliteit, beschikbaarheid, beveiliging, prestaties en actualiteit van de Oracle Cloud te behouden. Oracle volgt formele wijzigingsbeheerprocedures om de nodige evaluatie, tests en goedkeuring van de wijzigingen te voorzien voorafgaand aan toepassing in de productieomgeving van Oracle Cloud. Wijzigingen die via de wijzigingsbeheerprocedures worden doorgevoerd, omvatten systeem- en serviceonderhoud, upgrades, updates en Klantspecifieke wijzigingen. De Oracle Cloud wijzigingsbeheerprocedures zijn ontwikkeld om onderbrekingen in de dienstverlening te minimaliseren. In het geval van Klantspecifieke wijzigingen en upgrades zal Oracle, waar mogelijk, de onderhoudsperioden met de Klant coördineren. In het geval van wijzigingen waarvan wordt verwacht dat deze de service zullen onderbreken, zal Oracle proberen een voorafgaande kennisgeving te leveren over de verwachte impact. De duur van de onderhoudsperioden voor gepland onderhoud is niet opgenomen in de berekening van de minuten voor Ongeplande Downtime tijdens de maandelijkse meetperiode voor het Systeembeschikbaarheidsniveau (zie Oracle Cloud Service Level Objective Policy ). Oracle levert commercieel redelijke inspanningen om het gebruik van deze gereserveerde onderhoudsperioden te minimaliseren en om de duur van de onderhoudsactiviteiten die een serviceonderbreking veroorzaken te minimaliseren Noodonderhoud Oracle kan periodiek vereist zijn noodonderhoud uit te voeren om de beveiliging, prestaties, beschikbaarheid of stabiliteit van de productieomgeving te beschermen. Noodonderhoud kan patching van programma s en/of onderhoud van core systemen omvatten. Oracle probeert om het gebruik van noodonderhoud te minimaliseren en probeert om 24 uur van tevoren een kennisgeving te leveren van enig noodonderhoud dat onderbreking van service vereist Belangrijke onderhoudswijzigingen Om continue de stabiliteit, beschikbaarheid, beveiliging en prestaties van de Cloud Services te garanderen, behoudt Oracle zich het recht voor om, maximaal tweemaal per kalenderjaar, belangrijke wijzigingen door te voeren in de hardware infrastructuur, besturingssoftware, applicatiesoftware en ondersteunende applicatiesoftware die door haar worden beheerd. Elke dergelijke wijzigingsgebeurtenis wordt beschouwd als gepland onderhoud en kan ertoeleiden dat de Cloud Services tot 24 uur niet beschikbaar zijn. Elke dergelijke wijzigingsgebeurtenis is bedoeld om tegelijkertijd plaatsvinden met het core systeemonderhoud of een programma-upgrade. Oracle probeert om de Klant voorafgaand in kennis te stellen tot 60 dagen op voorhand van de verwachte onbeschikbaarheid van de Cloud Services. 4.2 Softwareversiebeheer Software upgrades en updates Oracle vereist van alle Cloud Services-klanten dat zij de softwareversies van de Oracle Cloud Services actueel houden met de softwareversies die Oracle als Generally Available (algemeen beschikbaar; GA) aanduidt. Voor Cloud Services die meerdere versies ondersteunen, duidt Oracle doorgaans de huidige en direct voorgaande versie aan als GA-versies. Oracle kan een kennisgeving leveren aangaande de GA-release van specifieke Cloud Services via de ondersteuningsportal of binnen de Service Specifications voor de Cloud Services. Software updates volgen op de vrijgave van elke GA-release en zijn vereist om de versies actueel te houden. De Oracle Cloud Hosting en Delivery Policies, zoals de Service Levels Objective Policy en de Cloud Support Policy, zijn afhankelijk van het actueel houden door de Klant vande meest recente GA-versie. Oracle is niet verantwoordelijk voor prestatie- of beveiligingsproblemen die bij de Cloud Services optreden, die een gevolg zijn van het gebruik van oudere versies. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 7 van 17

8 4.2.2 Afgeschafte Features Een Afgeschafte Feature is een feature die voorkomt in eerdere of bestaande versies van de Cloud Service en nog steeds wordt ondersteund als onderdeel van de service, maar waarvan Oracle heeft aangegeven dat deze in toekomstige versies zal verwijderd worden. Oracle zal commercieel redelijke inspanningen leveren om kennisgevingen, ten aanzien van de afschaffing van features, een kwartaal voorafgaand aan de verwijdering te doen, en behoudt zich het recht voor om zonder voorafgaande kennisgeving features af te schaffen, aan te passen of te verwijderen uit een nieuwe versie. 5. Oracle Cloud Support Policy De ondersteuning die in deze Cloud Support Policy wordt beschreven, is uitsluitend van toepassing op Oracle Cloud Services en wordt door Oracle geleverd als onderdeel van dergelijke services onder het ordering document. De Klant kan aanvullende services voor Oracle Cloud aanschaffen via andere Oracle-support service offerings die door Oracle voor Cloud Services zijn aangewezen. 5.1 Bepalingen voor Oracle Cloud Support Ondersteuningsvergoedingen De vergoedingen die de Klant betaalt voor het Oracle Cloud Services-aanbod onder het ordering document, omvatten de ondersteuning die in deze Oracle Cloud Support Policy wordt beschreven. Aanvullende vergoedingen zijn van toepassing op bijkomende Oracle-ondersteuningsservices die door de Klant worden aangeschaft Ondersteuningsperiode Oracle Cloud-ondersteuning is beschikbaar na de startdatum van de service en eindigt na afloop of beëindiging van de Cloud Service onder een dergelijk ordering document (de ondersteuningsperiode ). Oracle is niet verplicht om na afloop van de ondersteuningsperiode de ondersteuning te bieden die in deze Cloud Support Policy wordt beschreven Technische contactpersonen De technische contactpersonen bij de Klant fungeren als enige tussenpersoon tussen de Klant en Oracle voor Oracle Cloud-ondersteuningsservices. Dergelijke technische contactpersonen moeten, op zijn minst, initiële basistraining voor Oracle Cloud hebben gevolgd en, waar nodig, aanvullende training geschikt voor de specifieke rol of implementatiefase, gespecialiseerd service-/productgebruik en/of migratie. De technische contactpersonen bij de Klant moeten kennis hebben van het Oracle Cloud-serviceaanbod en de Oracle-omgeving om problemen met het systeem te helpen oplossen en Oracle bij te staan bij het analyseren en oplossen van service requests. Wanneer een service request wordt ingediend, moet de technische contactpersoon bij de Klant een basisbegrip hebben van het probleem dat wordt ondervonden en de mogelijkheid om het probleem te kunnen reproduceren om Oracle bij te staan bij het diagnosticeren en achterhalen van het probleem. Om onderbreking in ondersteuningsservices te voorkomen, moet de Klant Oracle op de hoogte stellen zodra de verantwoordelijkheden van een technische contactpersoon worden overgedragen op een andere persoon Oracle Cloud Support Ondersteuningsservices voor Oracle Cloud bestaan uit: Diagnose van problemen met de Oracle Cloud Services. Commercieel redelijke inspanningen om gemelde en verifieerbare fouten in de Oracle Cloud Services op te lossen, zodat deze in elk materieel opzicht functioneren zoals beschreven in de bijbehorende Programmadocumentatie. Ondersteuning tijdens Wijzigingsbeheeractiviteiten beschreven in de Oracle Cloud Change Management Policy. 24 uur per dag, 7 dagen per week assistentie bij technische Service Requests. 24 uur per dag, 7 dagen per week toegang tot een Cloud Customer Support Portal opgezet door Oracle (bijvoorbeeld de portal My Oracle Support) en Live Telefonische Ondersteuning om Service Requests vast te leggen. Toegang tot community forums. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 8 van 17

9 Niet-technische assistentie door de Klantenservice tijdens normale Oracle-werkuren (8:00 tot 17:00) plaatselijke tijd. 5.2 Systemen voor Klantondersteuning voor Oracle Cloud Cloud Customer Support Portal Als onderdeel van het Oracle Cloud-aanbod dat de Klant heeft verkregen onder het ordering document, biedt Oracle Klantondersteuning voor de Cloud Service via de Cloud Customer Support Portal, die voor de die bepaalde Cloud Service is opgezet. Toegang tot de van toepassing zijnde Cloud Customer Support Portal is onderhevig aan de Voorwaarden voor Gebruik die op de aangewezen ondersteuningssite staan aangegeven en aan verandering onderhevig zijn. Een exemplaar van deze voorwaarden zijn op verzoek verkrijgbaar. Toegang tot de Cloud Customer Support Portal is beperkt tot de aangewezen technische contactpersonen bij de Klant en andere geautoriseerde gebruikers van de Cloud Services. Waar van toepassing, worden op de Oracle Cloud Customer Support Portal ondersteuningsdetails geplaatst voor de aangewezen technische contactpersonen bij de Klant om het gebruik van Oracle Cloud-ondersteuning mogelijk te maken. Alle voor de Klant relevante servicekennisgevingen en -waarschuwingen worden op deze portal geplaatst Live Telefonische Ondersteuning De technische contactpersonen bij de Klant hebben toegang tot live telefonische ondersteuning via de telefoonnummers en de contactgegevens die op de ondersteuningswebsite van Oracle staan aangegeven op of eventuele andere adressen die door Oracle zijn aangegeven voor de van toepassing zijnde bestelde Cloud Services. 5.3 Severity-definities Service Requests voor Oracle Cloud Services kunnen door aangewezen technische contactpersonen bij de Klant worden ingediend via de Systemen voor Klantondersteuning voor Oracle Cloud aangegeven in sectie 5.2 van dit beleid. Het severity-niveau van een service request die door de Klant wordt ingediend, wordt geselecteerd door zowel de Klant als Oracle en moet worden gebaseerd op de volgende severity-definities: Severity 1 Het productiegebruik van de Klant van de Oracle Cloud Service is gestopt of wordt zo sterk beïnvloed dat de Klant niet redelijk kan blijven werken. De Klant ervaart een volledig serviceverlies. De beïnvloedde werking is van cruciaal businessbelang en het betreft een noodsituatie. Een service request met Severity 1 heeft één of meer van de volgende kenmerken: Gegevens zijn beschadigd Een essentiële gedocumenteerde functie is niet beschikbaar De service hangt gedurende onbepaalde tijd, waardoor sprake is van onacceptabele of oneindige vertraging ten aanzien van resources of respons De service crasht en blijft dat herhaaldelijk doen na pogingen tot opnieuw opstarten Oracle zal redelijke inspanningen leveren om binnen een(1) uur te reageren op service requests met Severity 1. Oracle zal 24 uur per dag, 7 dagen per week werken totdat de service request met Severity 1 is opgelost, of totdat een redelijke workaround is ingesteld of zolang nuttige vooruitgang mogelijk is. De Klant moet Oracle binnen deze 24x7-periode een contactpersoon toewijzen om te helpen bij het verzamelen van gegevens, het uitvoeren van tests en het toepassen van fixes. De Klant moet de severity-classificatie zorgvuldig kiezen, zodat geldige Severity 1- situaties de benodigde resources krijgen toegewezen door Oracle. Severity 2 De Klant ervaart een ernstig serviceverlies. Belangrijke features van de Oracle Cloud Services zijn niet beschikbaar en er is geen acceptabele workaround; de activiteiten kunnen echter in beperkte mate worden voortgezet. Severity 3 De Klant ervaart een beperkt serviceverlies.de impact is een ongemak en kan een workaround vereisen om de functionaliteit te herstellen. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 9 van 17

10 Severity 4 De Klant verzoekt om informatie, uitbreiding of toelichting van documentatie met betrekking tot de Oracle Cloud Service, maar er is geen sprake van een impact op de werking van een dergelijke service. De Klant ervaart geen serviceverlies. 5.4 Verandering van severity-niveau van Service Request Initieel Severity-niveau Wanneer Oracle een service request accepteert, zal Oracle een eerste severity-niveau van de service request vastgeleggen op basis van de bovenstaande severity-definities. De initiële focus van Oracle, bij acceptatie van een service request, is het oplossen van de onderliggende problemen van de service request. Het severity-niveau van een service request kan worden aangepast zoals hieronder wordt beschreven Verlagen van Service Request-niveaus: Als tijdens het service request-proces, het huidig toegewezen severity-niveau van het probleem, niet meer gerechtvaardigd is op basis van de huidige impact op de productiewerking van de van toepassing zijnde Oracle Cloud Service, wordt het severity-niveau verlaagd tot het severity-niveau dat de huidige impact het best weerspiegelt Verhogen van Service Request-niveaus: Als tijdens het service request-proces, het toewijzen van een hoger severity-niveau, dan het huidig toegewezen severity-niveau. aan het probleem gerechtvaardigd is op basis van de huidige impact op de productiewerking van de van toepassing zijnde Oracle Cloud Service,, wordt het severity-niveau verhoogd tot het severity-niveau dat de huidige impact het best weerspiegelt Handhaving van definities van Severity-niveaus: De Klant zal ervoor zorgen dat de toewijzing en aanpassing van een toegekend severity-niveau juist gebaseerd is op de huidige impact op de productiewerking van de van toepassing zijnde Oracle Cloud Service. De Klant erkent dat Oracle niet verantwoordelijk is voor het niet naleven van prestatienormen als gevolg van verkeerd gebruik of onjuiste toewijzing van de severity-niveaus door de Klant. 5.5 Escalatie van Service Request In het geval van geëscaleerde service requests zal Oracle s ondersteuningsanalist de Oracle service request escalation manager,die verantwoordelijk is voor het beheer van de escalatie, inschakelen. Oracle s service request escalation manager zal samenwerken met de Klant om een actieplan te ontwikkelen en de juiste Oracleresources toewijzen. Als het onderliggende probleem van de service request onopgelost blijft, kan de Klant contact opnemen met de Oracle service request escalation manager om de service request te evalueren verzoeken dat het geëscaleerd wordt bij het volgende niveau bij Oracle. Om een oplossing voor een geëscaleerde service request mogelijk te maken, moet de Klant contactpersonen doorgeven binnen zijn organisatie van hetzelfde niveau als de contactpersonen bij Oracle waarnaar de service request is geëscaleerd. 5.6 Beleidsuitzonderingen Vragen of verzoeken van de Klant voor een uitzondering op de Oracle Cloud Hosting en Delivery Policies moeten worden ingediend via een service request via de Cloud Customer Support Portaldie van toepassing is op de service (bijvoorbeeld de portal My Oracle Support). 6. Oracle Cloud Suspension andtermination Policy 6.1 Beëindiging van Cloud Services Beëindiging van Cloud Services Gedurende een periode tot 60 dagen na beëindiging of afloop van productieservices onder het ordering document, zal Oracle de productiegegevens van de Klant beschikbaar stellen, zodat de Klant deze kan terughalen. Oracle is niet verplicht om de gegevens voor doeleinden van de Klant te behouden na deze Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 10 van 17

11 periode van 60 dagen na beëindiging. Oracle Customer Support Identifiers (CSI s) worden na afloop van de periode van 60 dagen beëindigd Beëindiging van Pilotomgevingen Op pilots van Oracle Cloud Services is hetzelfde beleid inzake servicebeëindiging van toepassing als op normale productieomgevingen Klantassistentie bij beëindiging Wanneer de service wordt beëindigd en de Klant assistentie nodig heeft van Oracle om toegang te verkrijgen tot de beveiligde server van Oracle om zijn productiegegevens op te halen, moet de Klant een service request indienen via de Cloud Customer Support Portal die van toepassing is op de service (bijvoorbeeld de portal My Oracle Support) Beveiligde gegevensoverdracht Als onderdeel van het servicebeëindigingsproces stelt Oracle beveiligde protocollen beschikbaar waarmee aangewezen gebruikers bij de Klant Klantgegevens van die service kunnen overdragen. 6.2 Opschorting na schending Als Oracle een schending detecteert of op de hoogte wordt gebracht van een schending van de bepalingen en voorwaarden van Oracle Cloud Services of het beleid inzake acceptabel gebruik, zal Oracle een onderzoeksagent toewijzen. De onderzoeksagent kan acties ondernemen, met inbegrip van maar niet beperkt tot opschorting van toegang tot useraccount, opschorting van toegang tot administratoraccount of opschorting van de omgeving totdat de problemen zijn opgelost. Oracle zal redelijke inspanningen leveren om de services van de Klant te herstellen direct nadat Oracle, naar haar redelijke oordeel, heeft vastgesteld dat de problemen zijn opgelost of de situatie is hersteld. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 11 van 17

12 Bijlage A Oracle Eloqua Marketing Cloud Service Deze bijlage is van toepassing op de Cloud Services voor de Oracle Eloqua Marketing Cloud Service en omvat de volgende aanpassingen aan de Oracle Cloud Hosting en Delivery Policies: 3.3 Definitie van Beschikbaarheid en Ongeplande Downtime De volgende aanvullende uitsluitingen zijn van toepassing op de Oracle Eloqua Marketing Cloud Service: (i) (ii) alle problemen voortkomend uit het combineren of samenvoegen door de Klant van de Oracle Eloqua Marketing Cloud Service met enige hardware of software die niet door Oracle is geleverd of niet door Oracle in de van toepassing zijnde programmadocumentatie is aangemerkt als compatibel met de Oracle Eloqua Marketing Cloud Service; en alle problemen veroorzaakt door enige aanpassing van welke versie ook van de Oracle Eloqua Marketing Cloud Service die niet door Oracle is doorgevoerd of niet door Oracle in de van toepassing zijnde programmadocumentatie is aangegeven Oracle Cloud Support De volgende aanvullende ondersteuningsservices zijn van toepassing op de Oracle Eloqua Marketing Cloud Services: Niet-technische assistentie door de Klantenservice wordt geleverd tijdens Oracle-werkuren (8:00 tot 20:00) plaatselijke tijd, gebaseerd op het primaire adres van de Klant dat is opgenomen in de ordering documents voor de services Live telefonische ondersteuning De technische contactpersonen bij de Klant en contactpersonen van de eindgebruikers hebben toegang tot live telefonische ondersteuning met betrekking tot de Oracle Eloqua Marketing Cloud Services via de telefoonnummers en de contactgegevens die staan aangegeven op html. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 12 van 17

13 Bijlage B Oracle Responsys Marketing Platform Cloud Service Deze bijlage is van toepassing op de aanvullende functie van de Oracle Responsys Marketing Platform Cloud Service, met uitzondering van de Responsys Automatic Failover for TransactionalMessagesCloud Service en omvat de volgende aanpassingen aan de Oracle Cloud Hosting en Delivery Policies voor een dergelijke Cloud Service: 1.2 Netwerktoegangsbeheer Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 13 van 17

14 Bijlage C Oracle Standalone Cobrowse Cloud Service en Oracle RightNow Cobrowse Cloud Service Deze bijlage is van toepassing op de Oracle Standalone Cobrowse Cloud Service en de Oracle RightNow Cobrowse Cloud Service en omvat de volgende aanpassingen aan de Oracle Cloud Hosting en Delivery Policies voor dergelijke Cloud Services: Toegang Oracle kan toegang krijgen tot uw servicesomgeving om de Cloud Services uit te voeren, inclusief het leveren van serviceondersteuning. 1.1 Gebruikersencryptie voor Externe Verbindingen 1.2 Netwerktoegangsbeheer Deze sectie is niet van toepassing op gridservers die voor de Cloud Services worden gebruikt. 1.4 Antiviruscontroles 1.5 Firewalls Deze sectie is niet van toepassing op gridservers die voor de Cloud Services worden gebruikt Beheer/bescherming van gegevens Fysieke media in Transit Gegevensvernietiging Gegevensprivacy 1.12 Naleving van regelgeving Tools voor bewaking en tests bij de Klant Geautomatiseerde workloads 4. Oracle Cloud Change Management Policy De Oracle Cloud Change Management Policy (sectie 4) is niet van toepassing. 6. Oracle Cloud Suspension andtermination Policy De Oracle Cloud Suspension andtermination Policy (sectie 6) is niet van toepassing. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 14 van 17

15 Bijlage D Oracle Marketing Cloud Service (voorheen Bluekai) Deze bijlage is van toepassing op de Oracle Marketing Cloud Service (voorheen Bluekai) en omvat de volgende aanpassingen aan de Oracle Cloud Hosting en Delivery Policies (de Delivery Policies voor een dergelijke Cloud Service. Tenzij anderszins aangegeven hierin, is elke onderstaande sectie van toepassing in plaats van de oorspronkelijke overeenkomende sectie in de Delivery Policies: Toegang Oracle kan toegang krijgen tot uw servicesomgeving om de Cloud Services uit te voeren, inclusief het leveren van serviceondersteuning. 1.1 Gebruikersencryptie voor Externe Verbindingen Klanten krijgen toegang tot het systeem via internet. SSL-encryptietechnologie is beschikbaar voor toegang tot Oracle Cloud Service. SSL-verbindingen worden onderhandeld voor ten minste 128 bit encryptie of sterker.de private sleutel die wordt gebruikt om de cijfersleutel te genereren, bestaat uit ten minste 2048 bits. SSL wordt geïmplementeerd of kan worden geconfigureerd voor alle webgebaseerde SSL-gecertificeerde applicaties die bij Oracle worden gebruikt. Het wordt aanbevolen de nieuwste beschikbare browsers die voor Oracle-programma s zijn gecertificeerd, diecompatibel zijn met hogere codeersterkten en beter zijn beveiligd, te gebruiken om verbinding te maken met webgebaseerde programma s. In sommige gevallen, wanneer een site van derden, die niet door Oracle wordt beheerd, met cloudservices wordt gebruikt, kan een niet-versleutelde verbinding tot stand worden gebracht. In sommige gevallen wordt een versleutelde verbinding niet geaccepteerd door een site van derden (zoals Facebook), die de Klant wil integreren met de Cloud Service. Voor Cloud Services waarbij HTTP-verbindingen met de site van derden door Oracle worden toegestaan, zal Oracle dergelijke HTTP-verbindingen, naast de HTTPSverbinding, mogelijk maken. 1.4 Antiviruscontroles Oracle Cloud maakt gebruik van industrie-standaardantivirussoftware.gedetecteerde virussen worden automatisch verwijderd (of in quarantaine geplaatst) en er wordt automatisch een waarschuwing gegenereerd die het incidentresponsproces van Oracle in gang zet. Virusdefinities worden dagelijks bijgewerkt. 1.7 Fysieke beveiligingsmaatregelen Oracle biedt beveiligde faciliteiten voor de infrastructuur van kantoorlocaties, waaronder: Fysieke toegang vereist autorisatie en wordt bewaakt. Iedereen moet duidelijk zichtbaar officiële identificatie dragen op de locatie. Bezoekers moeten een bezoekersregister tekenen en worden begeleid en/of geobserveerd zolang zij zich op de locatie bevinden. Bezit van sleutels/toegangskaarten en de mogelijkheid van toegang tot de locaties worden bewaakt. Personeel waarvan het dienstverband bij Oracle wordt beëindigd moet sleutels/kaarten inleveren. Aanvullende fysieke beveiligingen zijn ingesteld voor alle co-locaties en sites van cloudproviders,die momenteel beveiligingen die compatibel zijn met SOC 2- en/of SOC 1-normen omvatten,en die gepaste fysieke beveiligingsprogramma s omvatten. 1.8 Systeemtoegangs- en wachtwoordbeheer Toegang tot Cloud-systemen wordt beheerd door de toegang te beperken tot uitsluitend geautoriseerd personeel. Oracle handhaaft een wachtwoordbeleid voor infrastructuurcomponenten en cloudbeheersystemen die worden gebruikt voor de werking van de Oracle Cloud-omgeving. Systeemtoegangscontroles omvatten maatregelen zoals systeemauthenticatie, autorisatie, toegangsgoedkeuring, provisioning en herroeping voorwerknemers en andere door Oracle gedefinieerde gebruikers. De Klant is verantwoordelijk voor alle Eindgebruikersadministratie binnen de service; hoewel de Klant geen directe toegang Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 15 van 17

16 heeft tot accountbeheer, kan hij Oracle schriftelijk op de hoogte stellen van gewenste administratieve configuratieinstellingen set-ups en -wijzigingen. 1.9 Evaluatie van toegangsrechten Netwerk- en besturingssysteemaccounts voor Oracle-werknemers worden regelmatig geëvalueerd om de juiste toegangsniveaus voor werknemers te garanderen. Wanneer het dienstverband van een werknemer wordt beëindigd, neemt Oracle direct acties om netwerk-, telefonie- en fysieke toegang door een dergelijke voormalige werknemer te beëindigen. De Klant is verantwoordelijk voor het beheren en evalueren van toegang voor de eigen werknemersaccounts; hoewel de Klant geen directe toegang heeft tot accountbeheer, kan hij Oracle schriftelijk op de hoogte stellen van gewenste administratieve configuratie-instellingen set-ups en -wijzigingen Beveiligingsgerelateerd onderhoud Oracle voert beveiligingsgerelateerd wijzigingsbeheer en onderhoud uit zoals gedefinieerd en beschreven in de Oracle Cloud Change Management Policy. Voor elke security patch bundle die Oracle algemeen beschikbaar stelt voor specifieke Oracle-klantgerichte portals of interfaces, zal Oracle de security patch bundle toepassen en testen in een testomgeving van de van toepassing zijnde Cloud Service. Oracle zal de security patch bundle toepassen op de productieomgeving van de Cloud Service nadat Oracle de tests in de testomgeving succesvol heeft voltooid Fysieke media in Transit Gegevensprivacy 1.12 Naleving van regelgeving De Klant blijft volledig verantwoordelijk voor zijn naleving van regelgeving bij het gebruik van een Oracle Cloud Service. De Klant moet Oracle op de hoogte brengen van eventuele technische vereisten die voortvloeien uit zijn regulerende verplichtingen alvorens het contract te tekenen. De Klant moet Oracle geen persoonlijke informatie verstrekken, inclusief maar niet beperkt tot informatie met betrekking tot gezondheids-, betaalkaart- of andere gevoelige persoonlijke informatie. 2.1 Back-upstrategie van Oracle Cloud Services Oracle maakt periodiek back-ups van productiegegevens in de Cloud Service van de Klant; deze zijn uitsluitend bedoeld voor gebruik door Oracle om gegevensverlies in geval van een disaster te minimaliseren. In principe worden Klantgegevens niet door Oracle namens de Klant geüpdatet, ingevoegd, verwijderd of teruggezet. Bij uitzondering kan Oracle na schriftelijke goedkeuring en tegen aanvullende vergoeding de Klant ondersteunen bij het terugzetten van gegevens vanuit back-ups. 3.2 Beoogd Dysteembeschikbaarheidsniveau van Oracle Cloud Service Oracle probeertom de volgende Beoogde Systeembeschikbaarheidsniveaus te behalen gedurende de meetperiode van één kalendermaand, vanaf de activering door Oracle van de Services Environment van de productieomgeving van de Klant. Van toepassing zijnde systeem Beoogde Systeembeschikbaarheid Productieservice 99,5% Tag en pixel serving bewerkingen 99,9% Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 16 van 17

17 3.3 Definitie van Beschikbaarheid en Ongeplande Downtime Het 2e opsommingspunt hieronder is uit de lijst verwijderd: Geplande onbeschikbaarheid, gepland en aangekondigd onderhoud of onderhoudswindows, of door Oracle op verzoek of aangeven van de Klant ondernomen onderbrekingen voor onderhoud, activering van configuraties, back-ups of andere doeleinden die vereisen dat de service tijdelijk offline wordt genomen; Belangrijke onderhoudswijzigingen Om continue de stabiliteit, beschikbaarheid, beveiliging en prestaties van de Cloud Services te garanderen, behoudt Oracle zich het recht voor om belangrijke wijzigingen door te voeren in de hardware infrastructuur, besturingssoftware, applicatiesoftware en ondersteunende applicatiesoftware die door haar worden beheerd. Elke dergelijke wijzigingsgebeurtenis wordt beschouwd als gepland onderhoud en kan ertoe leiden dat de Cloud Services tot 24 uur niet beschikbaar zijn. Elke dergelijke wijzigingsgebeurtenis is bedoeld om tegelijkertijd plaats te vinden met het core systeemonderhoud of een programma-upgradevenster. Oracle probeert om de Klant voorafgaand in kennis te stellen tot 60 dagen op voorhand van de verwachte onbeschikbaarheid van de Cloud Services. 6.1 Beëindiging van Cloud Services Secties 6.1.2, en zijn niet van toepassing Beëindiging van Cloud Services Gedurende een periode tot 121 dagen na beëindiging of afloop van de productieservices onder het ordering document, zal Oracle de productiegegevens van de Klant beschikbaar stellen, zodat de Klant deze kan terughale. Oracle is niet verplicht om de gegevens voor doeleinden van de Klant te behouden na deze periode van 121 dagen na beëindiging. Oracle Customer Support Identifiers (CSI s) worden na afloop van de periode van 121 dagen beëindigd. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_NL_NLD Pagina 17 van 17