White Paper
Transcription
White Paper
Cloud Services Pillar für globale Geschäftsbereiche VERTRAGSDOKUMENT ATION | JULI 2016 Inhaltsverzeichnis Geltungsbereich 2 Serviceverfügbarkeit 2 Oracle Cloud Security Policy 3 Change Management 3 Disaster Recovery 4 Übertragung von Informationen 5 Compliance 7 . CLOUD SERVICES PILLAR FÜR GLOBALE GESCHÄFTSBEREICHE Geltungsbereich Dieses Dokument gilt für Oracle Cloud Services for Industry (OCI) und Oracle Hospitality and Oracle Retail Cloud (OHRC). OCI unterstützt die Cloud-Angebote, die von den globalen Geschäftsbereichen Communications, Financial Services, Health Sciences, Construction and Engineering und Utilities bereitgestellt werden. OHRC unterstützt die Cloud-Angebote, die von den globalen Geschäftsbereichen Hospitality und Retail bereitgestellt werden, mit Ausnahme der folgenden, von OCI gehosteten Cloud-Angebote des globalen Geschäftsbereichs Retail: Oracle Retail Advanced Science Engine Foundation Cloud Service o Oracle Retail Advanced Clustering Cloud Service o Oracle Retail Assortment and Space Optimization Cloud Service o Oracle Retail Customer Decision Tree and Demand Transference Science Cloud Service Oracle Retail Insights o Oracle Retail Merchandising Insights Cloud Service o Oracle Retail Customer Insights Cloud Service o Oracle Retail Market Basket Insights Cloud Service Oracle Retail Merchandise Financial Planning Cloud Service Oracle Retail Demand Forecasting Cloud Service Dieses Dokument ergänzt die Oracle Cloud Hosting & Delivery Policies und Oracle Practice-Dokumente. Es dient zur Abdeckung bestimmter Ausnahmen und Zusatzbedingungen für die globalen Geschäftsbereiche von Oracle. Serviceverfügbarkeit Für den Zweck der Ermittlung des Systemverfügbarkeitsniveaus der Oracle Cloud Services beziehen sich die Begriffe „verfügbar“ und „Verfügbarkeit“ darauf, dass Sie und Ihre Benutzer sich beim OLTP oder beim transaktionsbezogenen Teil der Oracle Cloud Services anmelden und darauf zugreifen können. Am Ende jedes Kalendermonats des Leistungszeitraums unter einem Auftragsdokument führt Oracle eine Messung des „Systemverfügbarkeitsniveaus“ für den unmittelbar vorhergehenden Monat durch. Sofern nichts Gegenteiliges in der Service Description bestimmt wird, misst Oracle das Systemverfügbarkeitsniveau, indem die Differenz zwischen der Gesamtzahl der Minuten des monatlichen Messungszeitraums und etwaiger ungeplanter Ausfallzeiten durch die Gesamtzahl der Minuten des Messungszeitraums dividiert und das Ergebnis mit 100 multipliziert wird, um so einen Prozentsatz zu berechnen. Die angestrebten Serviceverfügbarkeitsniveaus sind in den Oracle Cloud Hosting & Delivery Policies im Abschnitt Oracle Cloud Service Level Objective Policy oder in der für den jeweiligen Cloud Service des globalen Geschäftsbereichs geltenden Service Description aufgeführt. Oracle bemüht sich darum, das angestrebte Systemverfügbarkeitsniveau für den Messungszeitraum jedes Kalendermonats einzuhalten, der mit Oracles Aktivierung der Produktionsumgebung beginnt. GLOBAL BUSINESS UNITS CLOUD SERVICES PILLAR Meldung der Verfügbarkeit Oracle stellt auf Anfrage Verfügbarkeits-Reports für einen bestimmten Zeitraum zur Verfügung. Oracle Cloud Security Policy Weitere Informationen zu den Sicherheitsverfahren von Oracle für die globalen Geschäftseinheiten von Oracle stehen auf Anfrage zur Verfügung. Change Management Anwendungs-Upgrades und -Updates Oracle verpflichtet alle Kunden von Cloud Services, ihre Services hinsichtlich der von Oracle als allgemein verfügbar gekennzeichneten Softwareversionen aktuell zu halten. Auf jede Veröffentlichung der allgemein verfügbaren Version folgen Software-Updates, die für die Services erforderlich sind, um die Aktualität der Version aufrechtzuerhalten. Für bestimmte Cloud Services führt Oracle Upgrades durch, indem vor dem Upgrade der Produktionsumgebung ein Upgrade Ihrer Nicht-Produktionsumgebung auf die aktuellste Version des Cloud-Produkts durchgeführt wird. Oracle Cloud Hosting and Delivery Policies, wie zum Beispiel die Service Levels Objective Policy, die Disaster Recovery Service PolicyZiele und die Support Policy, hängen davon ab, dass Sie Ihre Softwareversion auf dem Stand der allgemein verfügbaren Version halten. Oracle trägt keine Verantwortung für Probleme der Cloud Services bezüglich Leistung und Sicherheit, die sich aus der Ausführung früherer Versionen ergeben. Oracle benachrichtigt Sie im Vorfeld über Updates oder Upgrades, die zu einer Unterbrechung Ihrer Services führen. OCI führt an jedem 2. und 4. Freitag des Monats zwischen 21:00 und 06:00 Uhr Ortszeit am Standort des Rechenzentrums Anwendungs-Upgrades durch. Wenn Sie zur Auswahl Ihres eigenen Upgrade-Zeitfensters berechtigt sind, kontaktiert Oracle Sie entweder zwecks Absprache des geänderten Upgrade-Zeitfensters oder Sie können Ziel-Datum und -Uhrzeit selbst auswählen; hiervon ausgenommen sind blockierte Zeiträume, die sich Oracle zur Wartung des Kernsystems vorbehält. Nach Abschluss der Bereitstellung und sofern dies möglich ist, weist OHRC Ihnen einen Upgrade-Slot zu, dessen Zeitpunkt die Auswirkungen auf Ihr Unternehmen minimiert. Upgrades werden von Montag bis Sonntag zwischen 20:00 und 06:00 Uhr Ortszeit am Standort des Rechenzentrums durchgeführt. Änderungen an Anwendungen Der Zugriff auf Produktionsserver auf Ebene des Betriebssystems und der Datenbank ist auf die Gruppen Oracle Cloud for Industry Services und Application Management beschränkt. Änderungen der Anwendung durch den Kunden sind nur über die definierte Bedienoberfläche, den Webservice oder eine Standard-API zulässig. Die Anwendung darf nicht über Änderungen oder Erweiterungen des zugrunde liegenden Basis-Anwendungscodes angepasst werden. GLOBAL BUSINESS UNITS CLOUD SERVICES PILLAR Wartung des Kernsystems Die Wartung des Kernsystems umfasst Änderungen an Hardware, Netzwerksystemen, Sicherheitssystemen, Betriebssystemen, Speichersystemen oder allgemeiner unterstützender Software der Cloud-Infrastruktur. Die Wartung des Kernsystems kann zu Serviceunterbrechungen führen. Oracle bemüht sich darum, Serviceunterbrechungen aufgrund der Wartung des Kernsystems auf höchstens 2 Stunden während eines geplanten Servicezeitraums zu beschränken. Oracle kann entscheiden, eine vorgesehene Wartung des Kernsystems nicht anzusetzen. Für OCI ist der von Oracle geplante Servicezeitraum für die Wartung des Kernsystems Freitags zwischen 21:00 und 06:00 Uhr Ortszeit am Standort des Rechenzentrums. Hierbei handelt es sich um ein festes Wartungsfenster, und Sie erhalten keine Benachrichtigungen zu anstehenden Wartungen des Kernsystems. Für OHRC ist der von Oracle geplante Servicezeitraum für die Wartung des Kernsystems Dienstags zwischen 21:00 und 06:00 Uhr Ortszeit am Standort des Rechenzentrums. Oracle benachrichtigt sie im Vorfeld über anstehende Wartungen des Kernsystems, die zu einer Unterbrechung Ihrer Services führen. Routinemäßige Infrastrukturwartung Oracle verwaltet Aktivitäten zur routinemäßigen Infrastrukturwartung, damit die Umgebung auf dem neuesten Stand, mit Kapazitäten und stabil bereitgestellt wird. Routinemäßige Wartungen führen erwartungsgemäß nicht zu Serviceunterbrechungen. Sofern dies möglich ist, wird die routinemäßige Infrastrukturwartung innerhalb des Zeitfensters zur Wartung des Kernsystems durchgeführt und erfolgt gemäß derselben Benachrichtigungs-Richtlinie. End of Life für Cloud Services der Oracle Geschäftsbereiche Bestimmte Cloud Services verfügen über Informationen zur EOL-Richtlinie. Sofern zutreffend, können Sie unter folgendem Link auf die Dokumentation zugreifen: http://www.oracle.com/us/corporate/contracts/cloud-services Disaster Recovery Disaster Recovery-Services dienen der Bereitstellung einer Servicewiederherstellungsfunktion für den Fall einer von Oracle deklarierten gravierenden Katastrophe, die zum Verlust eines Rechenzentrums oder einer entsprechenden Nichtverfügbarkeit von Services führt. Im Sinne dieser Richtlinie bedeutet „Katastrophe“ ein ungeplantes Ereignis oder einen Umstand, das bzw. der den vollständigen Verlust des Zugangs zum primären Standort bewirkt, der zur Bereitstellung der Oracle Cloud Services genutzt wird, sodass die Produktionsumgebungen des Kunden am primären Standort nicht verfügbar sind. Die Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) gelten nicht für Ihre von Komponenten oder Software Dritter abhängigen Anpassungen. Bei einem aktiven Failover-Ereignis werden nicht kritische Fehlerkorrekturen und Verbesserungsanfragen nicht unterstützt. Für Probleme, die durch Software von Drittanbietern und Anpassungen an Programmen und Services von Oracle verursacht werden, tragen Sie die alleinige Verantwortung. Die RTO- und RPO-Ziele sind in der für den jeweiligen Cloud Service des globalen Geschäftsbereichs geltenden Service Description aufgeführt. Wenn Oracle eine Katastrophe erklärt, leitet Oracle seinen Disaster Recovery-Plan zur Wiederherstellung der Produktionsumgebungen der betroffenen Cloud Services auf den letzten verfügbaren Zustand in Übereinstimmung mit den folgenden GLOBAL BUSINESS UNITS CLOUD SERVICES PILLAR RTO- und RPO-Zielen ein, wie in der für den jeweiligen Cloud Service des globalen Geschäftsbereichs geltenden Service Description definiert. Die Leistung von Produktionsservices kann für die Dauer der Katastrophe eingeschränkt sein. Ein Ziel für die Wiederherstellungszeit (RTO, Recovery Time Objective) ist das Ziel von Oracle für den maximalen Zeitraum zwischen der Entscheidung von Oracle, die Wiederherstellungsverfahren aufgrund einer deklarierten Katastrophe am sekundären Standort zu aktivieren, und dem Zeitpunkt, an dem Sie den Produktionsbetrieb in der sekundären Produktionsumgebung wieder aufnehmen können. Wird die Failover-Entscheidung während des Zeitraums getroffen, in dem ein Upgrade am sekundären Standort durchgeführt wird, wird das RTO um den zur Fertigstellung des Upgrades erforderlichen Zeitraum verlängert. Das Ziel für den Wiederherstellungspunkt (RPO, Recovery Point Objective) ist das Ziel von Oracle für den größtmöglichen Zeitraum, in dem Daten im Falle einer Katastrophe verloren gehen können. Die RPO-Zeit gilt nicht für Datenlasten, die zum Zeitpunkt des Eintretens der Katastrophe möglicherweise unterwegs sind. Übertragung von Informationen Secure File Transfer Protocol (sFTP) Secure File Transfer Protocol (sFTP)-Services sind zugriffsbeschränkte Systeme, die dazu dienen, Datendateien sicher hoch- oder herunterzuladen. sFTP-Downloads/-Uploads werden in einem elektronischen Audit Log aufgezeichnet, der folgende Angaben enthält: Datum und Uhrzeit, Benutzername und Name der hoch-/heruntergeladenen Datei. Die Nachverfolgbarkeit von Benutzeranfragen Änderungskontrollprozesse gewährleistet. für Zugriff auf sFTP und Änderungen an Zugriffsrechten wird über Account-Nutzung Oracle behält sich das Recht vor, ohne vorherige Ankündigung den Zugriff auf den und die Nutzung des sFTP-Services einzuschränken oder Benutzern, Websites oder Kunden den Zugriff darauf zu verwehren, wenn ihre Nutzung des Services nicht gemäß den Nutzungsbedingungen erfolgt. Der Zugriff wird auf jedem Account bestimmten Directorys nach dem Prinzip der geringsten Berechtigung gewährt. Kunden-Accounts verfügen über vollständigen Lese- und Schreibzugriff auf die Daten der einzelnen Directorys, auf die der Benutzer zugreifen kann. Die vorhandenen technischen Kontrollen sind dafür konzipiert, die Vertraulichkeit von Daten sicherzustellen und den unbefugten Zugriff auf die Daten anderer Accounts zu verhindern. Versuche, auf Directorys zuzugreifen, die nicht für einen beliebigen Account autorisiert sind, stellen einen Verstoß gegen die Nutzungsbedingungen dar und können zur Sperrung des Accounts führen. Oracle übernimmt keine Haftung für den unbefugten Zugriff des Kunden auf Daten innerhalb eines Directorys über einen Account, der über eine Zugriffsgenehmigung und -autorisierung verfügt. Account-Bereitstellung Zurzeit werden sFTP-Accounts mit einem sicheren Kennwort mit 10 Zeichen erstellt. Das Account-Kennwort wird per E-Mail an die mit dem Account verknüpfte Adresse geschickt. Aus diesem Grund muss es sich bei der mit einem Account verknüpften E-Mail-Adresse um eine gültige individuelle E-Mail-Adresse handeln; E-Mail-Adressen von Gemeinschaftskonten oder geschäftlichen E-MailVerteilerlisten sind nicht zulässig. Inaktive Accounts werden deaktiviert und anschließend gemäß dem folgenden Zeitplan gelöscht: Accounts, die 3 Monate lang inaktiv sind, werden deaktiviert. Accounts, die 6 Monate lang inaktiv sind, werden gelöscht. Der Kunde muss über das Ticket-System einen Antrag auf Kündigung von Accounts stellen, die nicht mehr benötigt werden oder für die Widerrufsbedarf besteht. GLOBAL BUSINESS UNITS CLOUD SERVICES PILLAR Account-Authentifizierung Kennwörter werden automatisch generiert und können nicht vom Account-Inhaber geändert oder von Oracle wiederhergestellt werden. Wenn für ein Kennwort Änderungs- oder Zurücksetzungsbedarf besteht, muss der Account-Inhaber über das Ticket-System einen formellen Änderungsantrag einreichen, damit ein neues Kennwort generiert wird. Das aktualisierte Account-Kennwort wird per E-Mail an die mit dem Account verknüpfte Adresse geschickt. Account-Authentifizierung – Alternative Automatisierungsmethoden Der sFTP-Service unterstützt Public Key Authentication, ein Verfahren zur automatischen Anmeldung ohne Passwort. Jeder Account verfügt über ein Public Key Directory. Die Anmeldung für einen Account ohne Abfrage eines Kennwortes wird möglich, indem ein lokales Private and Public Key-Paar erstellt, die Public Key-Datei in dieses Directory hochgeladen und die Client-Software so konfiguriert wird, dass sie Public Key Authentication nutzt. Oracle unterstützt mehrere Public Key-Dateien pro Account. Zulässige Nutzung Alle über den sFTP-Service übertragenen Daten müssen speziell zur Unterstützung der vom Kunden gehosteten Umgebung(en) dienen. Die Nutzung des sFTP-Service für Daten-Backups, zur vorübergehenden Aufbewahrung, für nicht lizenzierte urheberrechtlich geschützte Materialien oder für sonstige illegale Materialien ist nicht gestattet. Kundenintegrationen, die automatische Datenübertragungsagenten oder „Skripte“ verwenden, sind zulässig, sollten jedoch entweder manuell oder nach einem regelmäßigen Zeitplan ausgeführt werden, dessen sFTP-Verbindungsrate bei höchstens 10 Mal pro Stunde liegt. Die Nutzung von automatisierten Prozessen, die aggressiv eine Verbindung herstellen, die Verbindung nicht ordnungsgemäß herstellen oder trennen, die keine Authentifizierung vornehmen oder die keine angemessene Dateiübertragung ausführen, stellt einen Verstoß gegen die Nutzungsbedingungen dar. Datenablage Auf dem sFTP-Server abgelegte Dateien werden nach 60 Tagen automatisch gelöscht. Alle ein- und ausgehenden sFTP-Daten gelten als vorübergehende Daten und unterliegen nicht der Backup-Aufbewahrung. Als einzige Ausnahme gelten die Directory-Struktur und SSH Login Key File-Informationen; diese werden zurückbehalten und nicht automatisch gelöscht. Payload-Verschlüsselungsanforderungen – Data-at-Rest Wenn das Serviceangebot externen regulatorischen Anforderungen unterliegt, die eine Data-at-Rest-Verschlüsselung vorschreiben, wie PCI DSS, nutzt die Konfiguration des Oracle sFTP-Service für das Deployment eine Whole-Disk-Verschlüsselung, oder der Service wird dahingehend konzipiert, dass eingehende verschlüsselte Datendateien mit einem von Oracle bereitgestellten Public Key oder x.509-Zertifikat akzeptiert werden. Umgekehrt muss der Kunde Oracle in gutem Glauben ein x.509-Zertifikat für sFTPDatenintegrationen bereitstellen, wenn das Serviceangebot über ausgehende Daten und Dateiübertragungsintegrationen verfügt. Verschlüsselungsanforderungen – Transport Die Industrie-Sicherheitsstandards und die Sicherheitsrichtlinien von Oracle schreiben eine End-to-End (Socket-to-Socket)-basierte Transportverschlüsselung für den Datenaustausch vor. Die Nutzung von FTP over SSL (FTPS) und FTP garantiert nicht, dass die Transportverschlüsselung während der Aufnahme der Datenverbindung ordnungsgemäß durchgesetzt oder verhandelt wird, und zweiteres Protokoll (FTP) verfügt über keinerlei Transportverschlüsselung. Daher sind die Oracle Datenübertragungsstandards auf sFTP beschränkt; Ziel ist es, die Vertraulichkeit von Datenübertragungen zwischen Oracle und dem Kunden zu gewährleisten. GLOBAL BUSINESS UNITS CLOUD SERVICES PILLAR Compliance Audit Reports Audit Reports und Konformitätsschreiben zu Oracle Cloud Services werden regelmäßig von den externen Auditoren von Oracle herausgegeben. Reports und Schreiben stehen möglicherweise nicht für alle Services oder zu jeder Zeit zur Verfügung. Der Kunde kann eine Kopie des jeweils aktuellen Audit Reports oder Schreibens für einen bestimmten Oracle Cloud Service anfordern, sofern zutreffend, indem er seinen Oracle Sales Representative oder die ihm zugewiesene Oracle Account-Kontaktperson kontaktiert und die folgenden Angaben übermittelt: Firmierung Kontaktperson Titel E-Mail-Adresse des Empfängers Begründung der Anfrage (z. B. Zweck und beabsichtigter Verwendungszweck) GLOBAL BUSINESS UNITS CLOUD SERVICES PILLAR Oracle Corporation, World Headquarters Worldwide Inquiries 500 Oracle Parkway Phone: +1.650.506.7000 Redwood Shores, CA 94065, USA Fax: +1.650.506.7200 CONNECT W ITH US blogs.oracle.com/oracle facebook.com/oracle twitter.com/oracle oracle.com GLOBAL BUSINESS UNITS CLOUD SERVICES PILLAR Copyright © 2016, Oracle and/or its affiliates. All rights reserved .