IBM Managed Security Services for Security

(1)

Descripción del Servicio

IBM Managed Security Services for E-mail Security

1. Ámbito de los Servicios

IBM Managed Security Services for E-mail Security (denominado “MSS for E-mail Security” o “Servicio”) puede incluir:

a. Servicios de E-mail Antivirus para ayudar a detectar virus y algunos otros tipos de imágenes en el e-mail de Internet del Cliente;

b. Servicios E-mail Image Control para ayudar a detectar imágenes pornográficas contenidas en archivos de imagen en el e-mail entrante y saliente del Cliente y en los adjuntos;

c. Servicios E-mail Antispam para ayudar a proteger el e-mail de Internet del Cliente contra Spam y/ o d. Servicios E-mail Content Control para ayudar al Cliente a detectar contenidos de acuerdo con su

política de uso aceptable de la computadora (o su equivalente) en el e-mail de Internet del Cliente. Los detalles del pedido del Cliente (por ejemplo: los servicios necesarios, el período de contrato y los costos) se especificarán en un Pedido.

Las definiciones de la terminología específica del Servicio se encuentran en www.ibm.com/services/iss/wwcontracts

2. Definiciones

E-mail en Masa – un grupo de más de 5.000 e-mails, con contenido substancialmente semejante,

enviado y recibido en una única operación o una serie de operaciones relacionadas.

Clúster de Torres Designado – un clúster servidores de e-mail con equilibrio de carga (dos, como

mínimo) designado para prestar el servicio MSS for E-mail Security al Cliente.

Disponibilidad del Servicio de E-mail – la capacidad de establecer una sesión Protocolo Simple de

Transferencia de Correo (“SMTP”) en el puerto 25 del Clúster de Torres Designado según lo medido por los sistemas de rastreo de disponibilidad de IBM.

Latencia – el tiempo promedio de ida y vuelta para los e-mails enviados cada cinco minutos desde/

hacia cada Torre, según lo medido por los sistemas de rastreo de disponibilidad de IBM.

Relé Abierto – un servidor de e-mail, configurado para recibir e-mail de un tercero desconocido o no autorizado y encaminarlo a un o más destinatarios que no son usuarios del sistema de e-mail al cual el servidor de e-mail está conectado. Relé Abierto también se conoce como "Relé de Spam" o "Relé Público".

Mantenimiento Planificado – períodos de mantenimiento que producen trastorno en los servicios debido a la indisponibilidad del Clúster de Torres Designado. Se le informará al Cliente acerca de dicho mantenimiento con por lo menos cinco días de antecedencia. El Mantenimiento Planificado no debe exceder más de ocho horas por mes natural y no se realizará durante el horario comercial local.

Cuarentena – aislamiento de e-mails que levantan sospechas de contenido indeseado, de acuerdo con los valores de configuración del Cliente, antes de la acción realizada por el usuario o la supresión automática.

Spam – e-mail comercial no solicitado.

Virus – código de programa que se fija en un archivo o memoria, infecta otros archivos o áreas de memoria y ejecuta sin autorización.

3. Servicios

3.1 Coordinación de MSS for E-mail Security 3.1.1 Responsabilidades de IBM

IBM proporcionará un ingeniero de despliegue que será el punto focal de IBM durante la fase de despliegue de MSS for E-mail Security. El ingeniero de despliegue hará lo siguiente:

(2)

b. revisar esta Descripción de Servicio y todos los documentos asociados junto con el Punto de Contacto del Cliente;

c. coordinar y gestionar las actividades técnicas del personal asignado de IBM y

d. establecer y mantener comunicaciones a través del Punto de Contacto del Cliente durante la fase de despliegue del Servicio.

3.1.2 Responsabilidades del Punto de Contacto del Cliente

Antes del inicio del Servicio, se designará a una persona (denominada "su Punto de Contacto"), a la cual se dirigirán todas las comunicaciones relacionadas con el Servicio y que tendrá autoridad para actuar en su nombre en todos los asuntos concernientes al Servicio. El Punto de Contacto del Cliente hará lo siguiente:

a. rellenar y devolver el perfil del cliente a IBM dentro de diez días hábiles a partir del recibimiento; b. actuar como interfaz entre el equipo de Servicio de IBM y todos los departamentos del Cliente que

participan en el Servicio, como también todos los proveedores de terceros, incluyendo Proveedores de Servicios de Internet (“ISPs”) y firmas de alojamiento de contenido usados por el Cliente para implementar su presencia en Internet;

c. obtener y facilitar informaciones, datos, permisos, decisiones y aprobaciones aplicables según IBM lo requiera para prestar el Servicio, dentro de dos días hábiles a partir de la solicitud de IBM y d. ayudar a resolver los problemas del Servicio y escalarlos dentro de la organización del Cliente

según sea necesario.

3.1.3 Responsabilidades Generales del Cliente

La prestación del Servicio por parte de IBM depende del cumplimiento de esas responsabilidades generales del Cliente. El Cliente acepta lo siguiente:

a. proporcionar todo el software y los equipos necesarios y pagar los costos de comunicación para acceder al portal Web de IBM Web o cualquier otra herramienta Web necesaria para la prestación del Servicio;

b. poner a disposición un personal adecuado para ayudar a IBM en el cumplimiento de las responsabilidades de IBM;

c. permitir que IBM divulgue este documento y pedido a sus subcontratistas, no obstante algo en contrario en este documento o un acuerdo relacionado, en conexión con el Servicio a prestar de acuerdo con este documento;

d. ser responsable del contenido de cualquier base de datos, la selección e implementación de controles en su acceso y uso, backup y recuperación y la seguridad de los datos almacenados. Esa seguridad también incluye todos los procedimientos necesarios para proteger la integridad y seguridad del software y de los datos usados en el Servicio contra el acceso por parte de personas no autorizadas y

e. ser responsable de la identificación e interpretación de cualquier ley, reglamento y estatuto aplicable que afecte sistemas de aplicaciones o programas ya existentes del Cliente a los cuales IBM tendrá acceso durante la prestación del Servicio. El Cliente es responsable de garantizar que los sistemas y programas cumplan con los requisitos de dichas leyes, reglamentos y estatutos.

3.2 Servicios Generales 3.2.1 Responsabilidades de IBM

IBM:

a. proporcionará al Cliente el acceso mediante contraseña a una herramienta patentada de gestión y emisión de informes basada en Internet para permitir que el Cliente vea datos y estadísticas del uso del Servicio. Esta herramienta también ofrece varios recursos de configuración y gestión; b. prestará el Servicio 24 horas al día, 7 días a la semana;

c. prestará el soporte técnico del Servicio 24 horas al día, 7 días a la semana y

d. trabajará con el Cliente 24 horas al día, 7 días a la semana para resolver problemas del Servicio.

3.2.2 Responsabilidades del Cliente

(3)

a. supervisar el número de usuarios y notificar a IBM si la cantidad real de usuarios supera la del pedido o es inferior al mínimo necesario de diez usuarios. IBM y el Cliente trabajarán para actualizar el Pedido para que incluya los usuarios adicionales.

b. asegurar:

(1) que todos los sistemas de e-mail a soportar tienen una dirección IP estática;

(2) que los sistemas de e-mail soportados no envíen E-mail en Masa, actúen como un Relé Abierto o envíen Spam y

(3) que ni el Cliente ni los miembros de su Empresa usen el Servicio (o cualquier parte suya) en alguna forma que desarrolle o promueva servicios comerciales semejantes a dicho Servicio; SI EL CLIENTE NO CUMPLE CON ESAS OBLIGACIONES Y OCURRE UN TRASTORNO EN EL SERVICIO, IBM LE INFORMARÁ ACERCA DE ESOS INCUMPLIMIENTOS Y SE RESERVA EL DERECHO DE DENEGAR LA PRESTACIÓN DEL SERVICIO O

SUSPENDERLO TOTAL O PARCIALMENTE DE INMEDIATO Y HASTA QUE SE TERMINE DICHO USO.

c. proporcionar todos los datos técnicos y otras informaciones que IBM pueda solicitar razonablemente de tiempos en tiempos para que pueda prestar el Servicio al Cliente;

d. mantener la seguridad de la contraseña proporcionada al Cliente para acceder a la herramienta patentada de configuración, gestión e informes basada en Internet, lo que incluye no divulgarla a ningún tercero;

e. proporcionar a IBM el nombre, número de teléfono y dirección de e-mail del administrador de e-mail del Cliente, si el Cliente ha seleccionado esa opción en su perfil y

f. asegurar que el formulario de autorización de liberación para reencaminar el e-mail a una dirección alternativa se envíe a IBM oportunamente.

3.3 Acuerdos Generales de Nivel de Servicio

Los acuerdos de nivel de Servicio (“SLAs”) no se aplican:

a. hasta 30 días después de la activación de MSS for E-mail Security;

b. si las configuraciones de sistema del Cliente no cumplen con las guías de configuración que se proporcionaron;

c. durante los períodos de Mantenimiento Planificado;

d. durante períodos de indisponibilidad debido a casos de fuerza mayor o acciones u omisiones del Cliente, de IBM o de un tercero o

e. durante cualquier período de suspensión de MSS for E-mail Security en conformidad con el Acuerdo.

3.3.1 Garantías del SLA General

Las garantías generales del SLA descritas en esta sección abarcan las medidas del rendimiento de todos los componentes que constituyen MSS for E-mail Security. A menos que se declare explícitamente en esta sección o una sección subsiguiente de esta Descripción de Servicio, no se aplican garantías

adicionales de ninguna clase a los servicios prestados bajo este documento. Las únicas compensaciones para el incumplimiento de las garantías generales del SLA están especificadas en la sección intitulada “Compensaciones de SLA” a continuación.

a. Garantía de entrega de e-mail - IBM entregará el 100% de todos los e-mails enviados o recibidos. Este SLA no se aplica a e-mail que contiene un Virus o bloqueado por el E-mail Antispam.

b. Garantía de Disponibilidad del Servicio de E-mail - IBM mantendrá la disponibilidad del Servicio de E-mail durante 100% del mes natural.

La garantía de Disponibilidad del Servicio de E-mail sólo se aplica si el Clúster de Torres designado tiene capacidad de:

(1) recibir los e-mails entrantes del Cliente en nombre del dominio del Cliente 24 horas al día, 7 días a la semana y

(2) aceptar los e-mails salientes del Cliente, provenientes de un host de SMTP correctamente configurado en nombre de los dominios del Cliente 24 horas al día, 7 días a la semana.

(4)

c. Garantía de Latencia de E-mail – En cualquier mes natural, el tiempo promedio de ida y vuelta del Clúster de Torres designado del Cliente será, como máximo, un minuto. Ese tiempo de ida y vuelta no incluye retardos producidos por un bucle de correo para/ desde los sistemas del Cliente. La garantía de Latencia de E-mail no se aplica durante:

(1) cualquier epidemia de Virus en la cual la proporción de los Virus para los e-mails es superior a 1:50 o

(2) El Cliente sufre un ataque de denegación de servicio.

Se deben someter todas las solicitudes de crédito a IBM dentro de cinco días tras el final del mes en el cual elegibilidad ocurrió. La elegibilidad de crédito está sujeta a la verificación de IBM.

3.3.2 Compensaciones de SLA General

Las compensaciones de SLA están disponibles desde que el cliente cumpla son sus obligaciones, según se definen en esa Descripción de Servicios.

Se emitirá un crédito como la única compensación para el incumplimiento de las garantías descritas en la sección arriba intitulada “Garantías del SLA” durante cualquier mes natural. El Cliente no puede obtener más que 100% del cargo mensual en un determinado mes natural.

a. Compensación para la entrega de mails - En el caso de que IBM no entregue un mensaje de e-mail y el Cliente no esté infringiendo los términos de esta Descripción de Servicio, el Cliente tendrá derecho a terminar MSS for E-mail Security mediante un aviso con 30 días de antelación.

b. Compensación para la Disponibilidad de Servicio de mail - Si la Disponibilidad del Servicio de E-mail es inferior al 100% en cualquier mes natural durante el período contractual, se emitirá un crédito como sigue:

Porcentaje de la Disponibilidad del Servicio de E-mail por Mes Natural

Porcentaje de Crédito del Cargo Mensual Inferior al 100% pero superior a 99,0% 25

Inferior a 99,0% pero superior a 98,0% 50

Inferior a 98% 100

Terminación de MSS for E-mail Security, a criterio del Cliente. En el caso de que se termine el Servicio, dicha terminación será la única y exclusiva compensación respecto a la disponibilidad del MSS for E-mail Security inferior a 98% en un determinado mes natural.

c. Compensación para la Latencia de E-mail - Si la Latencia de E-mail es superior a 1 minuto en cualquier mes natural durante el período contractual, se emitirá un crédito como sigue:

Tiempo Promedio de Ida y Vuelta Porcentaje de Crédito del Cargo Mensual Superior a 1 minuto pero, como máximo, 1 minuto y 30

segundos 25

Superior a 1 minuto y 30 segundos pero, como máximo, 2 minutos

50 Superior a 2 minutos pero, como máximo, 2 minutos y 30

segundos

75 Superior a 2 minutos y 30 segundos 100

3.4 Servicio Boundary Encryption (Opcional)

Mediante solicitud del Cliente, y por una tarifa adicional, IBM prestará el Servicio Boundary Encryption opcional, según se describe abajo.

El Servicio Boundary Encryption (“Boundary Encryption”) proporciona canales de comunicación cifrados destinados a habilitar la formación de una red de e-mail privada protegida (“SPEN”) con organizaciones socias nominadas ("Socios de SPEN”). Boundary Encryption se basa en estándar RFC 3207 Extensión de Servicio de Protocolo Simple de Transferencia de Correo (“SMTP”) para Seguridad de SMTP sobre la Capa de Transporte (“TLS”) (llamado “STARTTLS”) de la Fuerza de Tareas de Ingeniería de Internet ("IETF").

3.4.1 Responsabilidades de IBM

(5)

a. transmitirá los e-mails intercambiados por Boundary Encryption entre los dominios del Cliente que usan Boundary Encryption (“dominios nominados”) y Socios de SPEN, sólo sobre conexiones de TLS;

b. usará SMTP no cifrado para pasar los e-mails enviados del Cliente a una organización no configurada como Socia de SPEN (“No Socia de SPEN”), salvo que exista una configuración diferente;

c. empleará esfuerzos comercialmente razonables para negociar una conexión de TLS oportunista con No Socios de SPEN que solicitan una conexión de TLS para enviar e-mails al Cliente. Si el No Socio de SPEN no solicita una conexión de TLS, se usará SMTP no cifrado para pasar el e-mail de Boundary Encryption al destinatario;

d. proporcionará su certificado de servidor para autenticación cuando un servidor de correo externo origina una conexión de TLS. Si está configurado para eso, el servicio Boundary Encryption iniciará, intercambiará y verificará una solicitud de certificado del cliente. Si no se puede validar un certificado suministrado, la conexión de TLS se terminará anormalmente;

e. proporcionará su certificado de cliente para autenticación cuando un servidor de correo aceptante lo solicite. Si no se puede establecer una conexión de TLS, se devolverá el e-mail al servidor de correo de origen a través de una conexión de TLS, con una razón adecuada para la anomalía; f. para cada certificado enviado por un servidor de correo remoto como parte de una conexión de

TLS, confirmará que una entidad certificadora reconocida firmó el certificado, que el certificado no caducó y que las informaciones de dominio de e-mail corresponden a lo que se espera. Si no se puede validar un certificado, la conexión de TLS asociada se terminará anormalmente; y

g. mantendrá una lista de entidades certificadoras reconocidas para fines de validación de certificado.

El Cliente acepta:

a. proporcionar a IBM una lista de Socios de SPEN;

b. asegurar que su servidor de correo y los servidores de correo de sus Socios SPEN soportan STARTTLS;

c. proporcionar a IBM una lista de dominios nominados;

d. asegurar que todos los certificados cumplan con el estándar X.509 v3;

e. si se requiere que IBM asigne recursos técnicos adicionales a la prestación de PBE debido a que el Cliente no empleó la diligencia debida, acepta pagar los costos asociados y

f. ser el único responsable del incumplimiento de obligaciones respecto al registro y mantenimiento de certificados válidos o por la falta de puntualidad o exactitud de la información, por su parte o por parte de cualquier tercero (incluidos los Socios de SPEN).

3.4.3 Servicios Adicionales de Cifrado de Límite

Si el Cliente usa Cifrado de Límite en conjunto con el Cifrado Basado en Políticas (según se detalla a continuación), se debe implementar el modelo de “Conexión Segura” de Cifrado de Límite. En ese caso, se aplican las siguientes reglas respecto al intercambio de e-mails cifrados:

● todos los intercambios de e-mail entre el Cliente e IBM deben estar protegidos por cifrado de TLS y ● cuando se envía al Cliente un e-mail desde una organización que es Socia de SPEN, IBM aceptará

la conexión y enrutará el e-mail al Cliente sobre TLS.

Si el Cliente usa Cifrado de Límite en conjunto con la funcionalidad de sistema de firma del E-mail Antispam, se recomienda que el Cliente incluya los dominios de todos sus Socios de SPEN en la lista de remitentes aprobados de E-mail Antispam.

Si el Cliente se suscribe a “Secure Connection” del Servicio Boundary Encryption:

● todos los e-mails dirigidos al dominio del Cliente se enrutarán al Cliente en un formato cifrado y ● todos los e-mails enviados a los dominios nominados del Cliente serán cifrados por IBM para

recibimiento. El formato del enrutamiento hacia adelante (es decir, cifrado o no) será determinado por las reglas de TLS especificadas por el Cliente y por la posibilidad de que el servidor de destino reciba e-mails sobre TLS oportunista.

(6)

3.4.4 Declaración de Limitación de Responsabilidad

El Cifrado de Límite se destina a usarse sólo para permitir que el Cliente haga cumplir una política de uso del computador (o su equivalente) ya existente, aceptable e implementada efectivamente. En

algunos países, el uso del Cifrado de Límite puede estar sujeto a la legislación. El Cliente es responsable de verificar la legislación relevante antes de desplegar el Cifrado de Límite. IBM no es responsable de cualquier responsabilidad civil o criminal en la cual el Cliente pueda incurrir en consecuencia de la operación del Cifrado de Límite.

3.5 Servicio Policy Based Encryption

El Servicio Policy-Based Encryption (“PBE”) se destina a permitir que el Cliente envíe y reciba e-mails cifrados de acuerdo con su política de seguridad de e-mail. El PBE sólo está disponible si el Cliente tiene una suscripción actual del Servicio Boundary Encryption y de E-mail Content Control.

IBM:

a. permitirá que E-mail Content Control defina las políticas de cifrado saliente para el e-mail; b. proporcionará la entrega de e-mails cifrados al buzón de entrada del destinatario externo;

c. permitirá que el destinatario obtenga acceso al e-mail cifrado a través de un portal Web protegido; d. permitirá que el destinatario acceda al portal Web protegido para responder al e-mail en un formato

cifrado;

e. permitirá que el Cliente envíe un e-mail cifrado directamente al buzón de entrada del destinatario sin que el destinatario necesite descargar software;

f. no obstante algo en contrario en esta Descripción de Servicio o en un acuerdo relacionado, prestará el servicio de PBE dentro de cuatro semanas naturales a partir del Inicio, a condición de que el Cliente haya empleado la debida diligencia técnica.

El Cliente acepta:

a. proporcionar todos los recursos, informaciones y autorizaciones que sean necesarios para activar o corregir sus servicios de correo de DNS para obtener conectividad para el servicio de PBE;

b. firmar un contrato para 50 Usuarios, como mínimo. Cada Usuario individual de PBE será un Usuario de E-mail Content Control;

c. ser responsable de los costos iniciales de configuración y los costos recurrentes para la creación de marca de PBE y PBE Branding Enterprise. Mediante solicitud del Cliente, los cambios

subsiguientes de la creación de marca del portal Web estarán disponibles por una tarifa adicional de 500 dólares de Estados Unidos por solicitud de cambio;

d. ser el único responsable de la configuración de PBE en su entorno y de la exactitud de esa configuración;

e. ser el único responsable de implementar la configuración de PBE de acuerdo con sus necesidades. El Cliente configurará PBE a través de ClientNet al seleccionar opciones disponibles en el Servicio E-mail Content Control;

f. si se requiere que IBM asigne recursos técnicos adicionales a la prestación de PBE debido a que el Cliente no empleó la diligencia debida, el Cliente acepta pagar los costos asociados;

g. y reconoce que el tiempo de espera para los pedidos y solicitudes de cambio de PBE es de cuatro semanas a partir de la fecha que IBM acepta el pedido o la solicitud de cambio, a condición de que el Cliente haya empleado la debida diligencia técnica y

h. reconoce que la configuración de PBE está totalmente bajo su control y que la exactitud de esa configuración determina la exactitud del PBE.

3.5.3 Servicios Adicionales de PBE

a. Si el Cliente se suscribe a “PBE Push Online” del Servicio PBE, se envía al destinatario una notificación por e-mail con un adjunto cifrado que contiene el e-mail original salvado. El destinatario puede ver el e-mail descifrado online (a través de una sesión de SSL seguro) en su navegador al hacer clic en el adjunto cifrado e ingresar su contraseña.

(7)

b. Si el Cliente se suscribe a “PBE Push Offline” del Servicio PBE, se envía al destinatario una notificación por e-mail con un adjunto cifrado que contiene el e-mail original salvado. Tras el registro inicial online, el destinatario puede ver el e-mail descifrado offline a través de una aplicación Java en su desktop.

c. Si el Cliente se suscribe a “PBE Pull” del Servicio PBE, se envía una notificación por e-mail al destinatario. El destinatario puede ver el e-mail descifrado online (a través de una sesión de SSL seguro) en su navegador al iniciar la sesión en el portal Web protegido e ingresar su contraseña. d. Si el Cliente se suscribe a “PBE Compose” del Servicio PBE, el destinatario de un e-mail cifrado

puede enviar un e-mail nuevo a cualquiera de los Usuarios de PBE del Cliente.

e. Si el Cliente se suscribe a “PBE Branding Enterprise” del Servicio PBE, también recibirá “PBE Branding” y “PBE Compose”.

f. Si el Cliente se suscribe a “PBE Combo” del Servicio PBE, el E-mail Content Control seleccionará el método de cifrado (es decir, “PBE Pull”, “PBE Push Online” o “PBE Push Offline”) de acuerdo con la regla de E-mail Content Control determinada por el Cliente.

3.5.4 Limitaciones del Servicio

a. El número de e-mails protegidos, que usan PBE, que el Cliente puede enviar en cualquier mes natural no puede exceder 100 veces el Uso Registrado para el PBE. Al enviar a varios

destinatarios, cada dirección exclusiva contará como un e-mail protegido. En el caso de que el Cliente exceda la cantidad de e-mails protegidos en un determinado mes natural, IBM aumentará el Uso Registrado y, a su exclusivo criterio, ajustará las facturas subsiguientes como corresponda. b. Los e-mails enrutados a través del PBE están limitados al tamaño máximo de 15 MB por e-mail

(comprimidos).

c. El SLA de latencia de e-mail no se aplica al PBE.

3.5.5 Declaración de Limitación de Responsabilidad

El Cliente reconoce y acepta que el cifrado de e-mails a través del PBE se realizará en Estados Unidos y que IBM no puede aceptar ninguna responsabilidad por cualquier infracción de la legislación o los reglamentos aplicables. IBM no es responsable de ningún daño o pérdida que resulte directa o indirectamente del incumplimiento de las obligaciones de cifrado del PBE respecto al Cliente.

3.6 E-mail Antivirus

Si el Cliente lo selecciona en un Pedido aplicable, IBM proporcionará E-mail Antivirus para ayudarlo a detectar Virus en sus e-mails entrantes y salientes y adjuntos. E-mail Antivirus se limita al número de usuarios especificado en el Pedido.

Actividad 1 - Inicialización y Notificación

IBM:

a. proporcionará al remitente, destinatario pretendido y, si usted lo solicita en el perfil de Cliente, a su administrador de e-mail alertas automáticas respecto a un mensaje de e-mail o adjunto entrante en el cual se detectó un Virus;

b. avisará al remitente y, si usted lo solicita en el perfil del cliente, a un administrador de e-mail, acerca de un mensaje de e-mail o adjunto saliente en el cual se detectó un Virus;

c. encaminará los e-mails infectados por Virus a un servidor protegido diseñado para destruirlos automáticamente después de 30 días, si el Cliente optó por desactivar las notificaciones; d. mediante solicitud del Cliente en circunstancias excepcionales, liberará los e-mails que la

herramienta de gestión considere como liberables del servidor protegido a la dirección de e-mail del destinatario pretendido originalmente (o a sus direcciones, si se trata de un nombre o alias de grupo de e-mail), o redirigirá los e-mails infectados a una dirección de e-mail alternativas al recibir el formulario de autorización de liberación adecuado;

e. retendrá los e-mails entrantes infectados por virus que IBM considere como particularmente infecciosos o dañinos;

(8)

f. notificará al Cliente acerca de e-mails infectados por Virus, detectados pero no interceptados por el E-mail Antivirus, y facilitará al Cliente informaciones suficientes para que pueda suprimir ese e-mail y

g. configurará la herramienta de gestión para que genere informes semanal o mensualmente, según lo seleccionado por el Cliente en su perfil.

Actividad 2 - Soporte Técnico y Contínuo

Durante el período del contrato, IBM hará lo siguiente:

a. no transmitir ni liberar intencionalmente (e instruir los subcontratistas involucrados en E-mail Antivirus a no hacerlo) cualquier e-mail que está (o puede estar) infectado por Virus terceros que no sean IBM, sus subcontratistas o cualquier personal responsable del cumplimiento de la ley o entidades involucradas en la detección y protección contra Virus y

b. en el caso de que se suspenda o termine E-mail Antivirus por cualquiera razón, revertir todos los cambios de configuración relevantes realizados en la prestación de E-mail Antivirus; el Cliente será responsable de realizar todos los cambios de configuración necesarios a sus servidores de correo e informar a su ISP acerca de la necesidad de reenrutar los e-mails entrantes.

El Cliente acepta lo siguiente:

a. asumir la responsabilidad principal de todos los cambios de configuración y de las operaciones y administración de la Cuarentena de e-mail. Sin embargo, si el Cliente requiere asistencia, acepta informar prontamente a IBM si necesita que se desactiven las notificaciones o se liberen los e-mails que la herramienta patentada de configuración, gestión e informes basada en Internet considere como liberables al destinatario originalmente pretendido, desde el servidor protegido y

b. tomar todas las medidas necesarias para asegurar que el Cliente y los que envían e-mails desde los dominios cubiertos por el E-mail Antivirus, conozcan todas las responsabilidades que el Cliente tiene respecto a las leyes y/ o reglamentos de privacidad y protección de datos.

3.6.3 Acuerdos de Nivel de Servicio

Además de las garantías generales del SLA descritas arriba, las siguientes garantías del SLA abarcan las medidas de entrega del E-mail Antivirus. Las únicas compensaciones para el incumplimiento de esas garantías del SLA están especificadas en la sección intitulada “Compensaciones de SLA” a continuación. Las compensaciones de SLA se quedan disponibles desde que el cliente cumpla con sus obligaciones, según se definen en esa Descripción de Servicios.

Garantías del SLA

● Garantía de detección de Virus - el E-mail Antivirus detectará el 100% de los Virus contenidos en los e-mails explorados. Los sistemas del Cliente se considerarán infectados si un Virus, contenido en un mensaje de e-mail recibido a través del E-mail Antivirus, fue activado en sus sistemas. Si se detecta pero no se impide un mensaje de e-mail infectado por Virus, IBM puede informar prontamente al Cliente y facilitar informaciones suficientes para permitir que el Cliente identifique y suprima el correo infectado por Virus. Si se evita la infección, este SLA no se aplica. Si el Cliente no actúa prontamente al recibir el anuncio de un correo infectado con un Virus, este SLA no se aplica.

● Garantía de tasa de falsos positivos de captura de Virus - la tasa de falsos positivos de captura de Virus no debe exceder 0,0001% del tráfico total de e-mail del Cliente en un determinado mes natural.

Compensaciones de SLA

Se emitirá un crédito como la única compensación para el incumplimiento de cualquiera de las garantías descritas en la sección “Garantías del SLA” durante cualquier mes natural. El Cliente no puede obtener más que un crédito para cada SLA por día, en una forma que no supere un total, referente a todos los SLAs, de 10.000 dólares de Estados Unidos o lo equivalente en moneda local, en un determinado mes natural.

● Compensación para la detección de Virus - Si IBM no cumple la garantía de detección de Virus, se emitirá un crédito correspondiente a los costos aplicables referentes a un mes de la tarifa de supervisión del E-mail Antivirus o 10.000 dólares de Estados Unidos (lo que sea inferior).

(9)

Dicho crédito sólo se aplica si el Cliente informó a IBM e IBM confirmó y registró que se ha pasado un Virus al Cliente a través del E-mail Antivirus. Ésa es la única y exclusiva compensación para cualquier infección por Virus pasada al Cliente a través del Servicio E-mail Antivirus. Esta compensación no se aplica a cualquier auto-infección intencional por parte del Cliente.

IBM explorará lo máximo posible de los e-mails y sus adjuntos. Tal vez no sea posible explorar adjuntos con un contenido que esté bajo el control directo del remitente (por ejemplo: adjuntos cifrados o protegidos por contraseña). Esos e-mails y adjuntos no están incluidos en este SLA. ● Compensación para la tasa de falsos positivos de captura de Virus - si la tasa de falsos positivos de

captura de Virus supera 0,0001% del tráfico total de e-mail del Cliente en un determinado mes natural, se emitirá un crédito correspondiente a los costos aplicables referentes a un mes de la tarifa de supervisión del E-mail Antivirus.

Porcentaje de la Tasa de Falsos Positivos de Captura de Virus (durante el Mes Natural)

Porcentaje de Crédito del Cargo Mensual Superior a 0,0001% pero como máximo 0,001% 25

Superior a 0,003% pero como máximo 0,03% 50 Superior a 0,03% pero como máximo 0,3% 75

Superior a 0,3% 100

3.7 E-mail Image Control

Si el Cliente lo selecciona en un Pedido aplicable, IBM proporcionará E-mail Image Control para ayudarlo a detectar imágenes pornográficas contenidos en archivo de imagen en sus e-mails entrantes y salientes y adjuntos. E-mail Image Control se limita al número de usuarios especificado en el Pedido.

IBM resalta que la configuración de mail Image Control está totalmente bajo el control del Cliente. E-mail Image Control se destina a usarse sólo para permitir que el Cliente haga cumplir una política de uso del computador (o su equivalente) ya existente, aceptable e implementada efectivamente.

IBM:

a. explorará los e-mails entrantes y salientes del Cliente a través del Análisis de Composición de Imágenes para intentar detectar imágenes posiblemente pornográficas contenidas en los archivos de imagen adjuntos a un mensaje de e-mail;

b. pondrá a disposición del Cliente opciones para determinar las acciones a tomar al detectar una imagen con sospechas de pornografía, incluyendo:

(1) sólo registro;

(2) identificación de ese e-mail en la cabecera (sólo para los e-mails entrantes); (3) copia del e-mail para una determinada dirección de e-mail;

(4) redirección del e-mail para una dirección de e-mail predeterminada y (5) supresión del e-mail y

c. proporcionará alertas automáticas al remitente y, si el e-mail es entrante, proporcionará alertas al destinatario de un e-mail o adjunto entrante que, según se detectó, puede contener una imagen pornográfica.

a. no almacenar, bajo ninguna circunstancia, ningún elemento sospechoso de contener imágenes pornográficas y

b. en el caso de que se suspenda o termine E-mail Image Control por cualquiera razón, revertir todos los cambios de configuración relevantes realizados en la prestación de E-mail Image Control; el Cliente será responsable de realizar todos los cambios de configuración necesarios a sus

servidores de correo e informar a su ISP acerca de la necesidad de reenrutar los e-mails entrantes.

(10)

a. definir las opciones de configuración de E-mail Image Control referente a sus dominios, de acuerdo con sus necesidades. Están disponibles opciones para especificar el nivel de la sensibilidad de la detección de pornografía. Se puede definir la sensibilidad como alta, mediana o baja. Con el nivel de sensibilidad alto se detectan más imágenes pornográficas que con el nivel de sensibilidad bajo. Sin embargo, el criterio para determinar qué constituye una imagen pornográfica es subjetivo. Por tanto, no se puede medir con precisión el nivel de detección de pornografía y

b. tomar todas las medidas necesarias para asegurar que el Cliente y los que envían e-mails desde los dominios cubiertos por el E-mail Image Control conozcan todas las responsabilidades que el Cliente tiene respecto a las leyes y/ o reglamentos de privacidad y protección de datos.

3.8 E-mail Antispam

Si el Cliente lo seleccione en un Pedido aplicable, IBM prestará el Servicio E-mail Antispam para ayudar a proteger al Cliente contra Spam al explorar los e-mails y adjuntos entrantes para detectar Spam y manejarlo de acuerdo con guías predeterminadas. E-mail Antispam se limita al número de usuarios especificado en el Pedido.

IBM:

a. proporcionará al Cliente la posibilidad de configurar una lista negra. Si se selecciona ese método de detección y se recibe un e-mail entrante de un dominio incluido en la lista negra, se realizará una acción según lo definido por las opciones de configuración definidas por el Cliente en su perfil; b. proporcionará al Cliente la posibilidad de configurar una lista blanca. Si se selecciona este método

de detección y se recibe un e-mail entrante de un dominio incluido en la lista blanca, se pasarán por alto automáticamente todos los otros métodos de detección de Spam;

c. al activar E-mail Antispam, inicializará la acción de Spam como “supresión de Spam”. El Cliente puede solicitar otra opción antes de la activación inicial de E-mail Antispam o bien cambiar esa opción al acceder la herramienta de gestión en Internet. Están disponibles las siguientes opciones para determinar qué acción se debe realizar al detectar Spam:

(1) etiquetado de Spam en la cabecera (el Spam sigue siendo enviado al destinatario designado); (2) redirección de Spam a una dirección de e-mail predeterminada;

(3) Cuarentena de Spam o (4) supresión de Spam;

d. si se selecciona la opción “Quarantine of Spam”, proporcionará Cuarentena de Spam para cada uno de los dominios especificados por el Cliente. La opción predeterminada para informar al

Usuario de que se ha almacenado Spam es definida como “notifications to be received on a per day basis”. El Cliente puede alterar el valor predeterminado, en cualquier momento, a una de las opciones siguientes:

(1) notifications to be received on a per day basis; (2) notifications to be received at various intervals o (3) notifications are not to be received.

a. almacenar el posible Spam por 14 días como máximo; después de eso, se le suprimirá automáticamente;

b. proporcionar Spam Quarantine a un usuario después que el Cliente configure cada dominio de acuerdo con sus necesidades;

c. configurar la cuenta de Spam Quarantine del usuario para que pueda acceder a ella;

d. etiquetar y enviar el posible Spam al destinatario si, por alguna razón, el servicio Spam Quarantine no puede aceptar e-mail y

e. en el caso de que se suspenda o termine E-mail Antispam por cualquiera razón, revertir todos los cambios de configuración relevantes realizados en la prestación de E-mail Antispam; el Cliente

(11)

será responsable de realizar todos los cambios de configuración necesarios a sus servidores de correo e informar a su ISP acerca de la necesidad de reenrutar los e-mails entrantes.

a. ser responsable de cambiar la opción predeterminada de Spam (“deletion of Spam”), a través de la herramienta de gestión de Internet, si se desea otra opción;

b. definir las opciones de configuración de E-mail Antispam referente a sus dominios, de acuerdo con sus necesidades;

c. asumir la responsabilidad principal de todos los cambios de configuración y de las operaciones y administración de la Cuarentena de e-mail. Sin embargo, si el Cliente requiere asistencia, acepta informar prontamente a IBM si necesita que se desactiven las notificaciones o se liberen los e-mails que la herramienta patentada de configuración, gestión e informes basada en Internet considere como liberables al destinatario originalmente pretendido, desde el servidor protegido se procese en forma oportuna y

d. tomar todas las medidas necesarias para asegurar que el Cliente y los que envían e-mails desde los dominios cubiertos por el E-mail Antispam conozcan todas las responsabilidades que el Cliente tiene respecto a las leyes y/ o reglamentos de privacidad y protección de datos.

3.8.3 Acuerdos de Nivel de Servicio

Además de las garantías generales del SLA descritas arriba, las siguientes garantías del SLA abarcan las medidas de entrega del E-mail Antispam. Las únicas compensaciones para el incumplimiento de esas garantías del SLA están especificadas en la sección intitulada “Compensaciones de SLA” a continuación. Las compensaciones de SLA se quedan disponibles desde que el cliente cumpla con sus obligaciones, según se definen en esa Descripción de Servicios.

Garantías del SLA

● Garantía de tasa de captura de Spam - el E-mail Antispam detectará el 99% del Spam contenido en los e-mails explorados.

Una tasa de captura de Spam más baja se aplica a los e-mails que contienen conjuntos de caracteres asiáticos. En el caso de que la tasa de captura de Spam sea inferior a 99%, el Cliente puede tener derecho a un crédito correspondiente a 25% de su cargo mensual. En el caso de que la tasa de captura de Spam sea inferior a 96%, el Cliente puede tener derecho a un crédito correspondiente a 100% de su cargo mensual.

La garantía de tasa de captura de Spam no se aplica si:

(1) El Cliente no implementó los valores recomendados del E-mail Antispam o (2) no se envió el mensaje de e-mail a una dirección legítima.

● Garantía de tasa de falsos positivos de captura de Spam - la tasa de falsos positivos de captura de Spam no debe exceder 0,0003% del tráfico total de e-mail del Cliente en un determinado mes natural.

Los siguientes e-mails no están incluidos en la garantía de tasa de falsos positivos de captura de Spam:

(1) e-mails que no son correo empresarial legítimo; (2) e-mails que contienen más de 20 destinatarios;

(3) e-mails de remitentes que están en la lista de remitentes bloqueados del Cliente, incluyendo los definidos por usuarios individuales si el Cliente habilitó los valores a nivel de usuario; (4) e-mails enviados desde una máquina comprometida;

(5) e-mails enviados desde una máquina que está en la lista de bloqueos de un tercero;

(6) e-mails enviados a más de 20 destinatarios que tienen por lo menos 80% de contenido igual. Se emitirá un crédito sólo en el caso de e-mails de falso positivo enviados a

(12)

Compensaciones de SLA

Se emitirá un crédito como la única compensación para el incumplimiento de cualquiera de las garantías descritas en la sección “Garantías del SLA” durante cualquier mes natural. El Cliente puede no puede obtener más que un crédito para cada SLA por día, en una forma que no supere un total, referente a todos los SLAs de 10.000 dólares de Estados Unidos o lo equivalente en moneda local, en un determinado mes natural.

● Compensación para la tasa de captura de Spam - Si IBM no cumple la garantía de tasa de captura de Spam, se emitirá un crédito referente al cargo mensual total o parcial de E-mail Antispam, según lo indicado en la gráfica a continuación ó 10.000 dólares de Estados Unidos (lo que sea inferior). Porcentaje de la Tasa de Captura de Spam durante el

Mes Natural

Porcentaje del Cargo Mensual a Acreditar Superior a 98% pero inferior a 99% 25

Superior a 97% pero inferior a 98% 50 Superior a 96% pero inferior a 97% 75

Inferior a 96% 100

● Compensación para la tasa de falsos positivos de captura de Spam - si la tasa de falsos positivos de captura de Spam supera 0,0003% del tráfico total de e-mail del Cliente en un determinado mes natural, se emitirá un crédito correspondiente a los costos aplicables referentes a un mes de la tarifa de supervisión del E-mail Antispam.

Porcentaje de la Tasa de Falsos Positivos de Captura de Spam (durante el Mes Natural)

Porcentaje de Crédito del Cargo Mensual Superior a 0,0003% pero como máximo 0,003% 25

Superior a 0,003% pero como máximo 0,03% 50 Superior a 0,03% pero como máximo 0,3% 75

Superior a 0,3% 100

3.9 E-mail Content Control

Si el Cliente lo selecciona en un Pedido aplicable, IBM prestará el Servicio E-mail Content Control para ayudarlo a configurar una estrategia de filtración basada en reglas para los e-mails del Cliente, de acuerdo con su política de uso aceptable del computador (o su equivalente). E-mail Content Control se limita al número de usuarios especificado en el Pedido.

E-mail Content Control permitirá que el Cliente cree un conjunto de reglas (denominadas en este documento como "reglas") de acuerdo con las cuales se filtran los e-mails entrantes y salientes. IBM resalta que la configuración de E-mail Content Control está totalmente bajo el control del Cliente. La exactitud de las reglas y configuración determinará la exactitud de E-mail Content Control. E-mail

Content Control se destina a usarse sólo para permitir que el Cliente haga cumplir una política de uso del computador (o su equivalente) ya existente, aceptable e implementada efectivamente.

Si se usa el E-mail Content Control en conjunto con la acción de Cuarentena del servicio E-mail

Antispam, puede suceder que se ponga en Cuarentena el posible Spam antes que haya sido filtrado por el E-mail Content Control.

IBM:

a. proporcionará la posibilidad para ayudar al Cliente a configurar su propia estrategia de filtración de e-mails basada en reglas, de acuerdo con su política de uso aceptable del computador (o su equivalente);

b. proporcionará listas de palabras sugeridas (llamadas “Listas de Palabras”) que el Cliente puede usar para crear las reglas;

c. explorará lo máximo posible los e-mails y sus adjuntos, de acuerdo con las reglas y la configuración del Cliente. Tal vez no sea posible explorar adjuntos con un contenido que esté bajo el control directo del remitente y

d. pondrá a disposición del Cliente opciones para determinar qué acciones se deben realizar al detectar e-mails que posiblemente correspondan a las reglas, las cuales deben estar de acuerdo con la política de uso aceptable del computador. Las opciones son:

(13)

(1) etiquetar los e-mails dentro de sus cabeceras;

(2) redirigir los e-mails a una dirección de e-mail predeterminada; (3) copiar los e-mails a una dirección de e-mail predeterminada; (4) comprimir los adjuntos de e-mail;

(5) registrar sólo en la herramienta patentada de informes y gestión basada en Internet y (6) suprimir los e-mails.

En el caso de que se suspenda o termine E-mail Content Control por cualquiera razón durante el período contractual, IBM revertirá todos los cambios de configuración relevantes realizados en la prestación de E-mail Content Control; el Cliente será responsable de realizar todos los cambios de configuración necesarios a sus servidores de correo e informar a su ISP acerca de la necesidad de reenrutar los e-mails entrantes.

a. divulgar las Listas de Palabra sólo a las personas de la compañía que están involucradas en los temas de este documento y tienen una necesidad específica de conocerlas. El Cliente reconoce que las Listas de Palabras pueden considerarse como ofensivas y acepta indemnizar IBM y sus subcontratistas contra cualquier daño (incluidos los costos razonables y honorarios de abogado) que pueden ser adjudicados a cualquier tercero (incluidos los empleados del Cliente) respecto a cualquier reclamo o acción judicial relacionado con el suministro de la Lista de Palabras al Cliente por parte de IBM o sus subcontratistas;

b. permitir que IBM compile y publique listas de palabras predeterminadas con las reglas o palabras obtenidas de las listas de palabras personalizadas del Cliente;

c. asistir a un curso de entrenamiento sobre la configuración de E-mail Content Control;

d. asumir la responsabilidad principal de liberar e-mails considerados liberables desde el servidor protegido al destinatario pretendido originalmente; en circunstancias excepcionales, asegurar que el anuncio del Cliente a IBM para liberar los e-mails se procese en forma oportuna;

e. definir las opciones de configuración del E-mail Content Control para cada uno de los dominios del Cliente, de acuerdo con sus necesidades y

f. tomar todas las medidas necesarias para asegurar que el Cliente y los que envían e-mails desde los dominios cubiertos por el E-mail Content Control conozcan y cumplan todas las

responsabilidades u obligaciones que el Cliente tiene respecto a las leyes y/ o reglamentos de privacidad y protección de datos.

4. Declaración de Limitación de Responsabilidad/ Garantía

El Cliente comprende y acepta que IBM no ofrece ninguna garantía, expresa o implícita, ni asume ninguna responsabilidad jurídica por la exactitud, integridad o utilidad de cualquier información facilitada como parte de MSS for E-mail Security.

5. Otros Términos y Condiciones

IBM se reserva el derecho de modificar los términos de esta Descripción de Servicio en cualquier

momento. Si dicha modificación reduce el ámbito o nivel del Servicio que se está prestando (por ejemplo: eliminación de un Servicio prestado anteriormente o aumento del tiempo de respuesta a Incidentes de Seguridad), IBM proporcionará un anuncio con por lo menos 30 días de antelación a través del portal Web u otros medios electrónicos.