Service Level-Programm für Ariba Cloud-Services Gewährleistung der Zugänglichkeit des Service Sicherheit Verschiedenes 1. Gewährleistung der Zugänglichkeit des Service a. Anwendbarkeit. Die Gewährleistung der Zugänglichkeit des Service bezieht sich auf den jeweiligen Service. Mit "Service" sind die folgenden Produkte gemeint und eingeschlossen, sofern diese vom Ariba-Kunden ("Ihnen") beansprucht und bezahlt werden, wie in einem Vertrag zwischen Ihnen und Ariba oder einem anderen SAP-Unternehmen festgelegt, und bezogen auf das entsprechende Datencenter, das der Kunde verwendet, um auf die hier aufgeführten Services zuzugreifen: http://www.ariba.com/legal/ariba-slp-products-english-2014-03-01. "SAP" bezieht sich auf das Unternehmen SAP, mit dem Sie einen Vertrag für den Service abgeschlossen haben. b. Gewährleistung. i. Prozentsatz. Der Service ist pro Kalendermonat 99,5 % der Zeit an sieben Tage pro Woche 24 Stunden täglich zugänglich ("Gewährleistung der Zugänglichkeit des Service"). Die Gewährleistung der Zugänglichkeit des Service von 99,5 % entspricht einer Betriebszeit von 522.972 (= 0,995 * 60 * 24 * 365) Minuten pro Jahr. ii. Rechtsmittel bei Nichteinhaltung. Falls der Service die Gewährleistung der Zugänglichkeit des Service nicht einhält, erstellt SAP für das Kundenkonto eine in Punkten berechnete Gutschrift, deren Höhe sich aus der Anwendung der im Folgenden aufgeführten Formel ergibt. Der Kunde kann diese Gutschrift für zukünftige Käufe von SAP-Services nutzen. (A) Berechnung. Die Anzahl der Gutschriftspunkte wird wie folgt berechnet: Gesamtanzahl Gutschriftspunkte = [Zeitraum der Nichtzugänglichkeit (in aufgerundeten Minuten)] X anteilig pro Minute gezahlte jährliche Abonnementgebühren (für den nicht zugänglichen Service). Als "Zeitraum der Nichtzugänglichkeit" wird der Zeitraum bezeichnet, in dem der Service der Gewährleistung der Zugänglichkeit des Service nicht entsprochen hat. Als Maß für den Zeitraum der Nichtzugänglichkeit gilt nur eine Nichtzugänglichkeit, die in dem von dem Kunden für die abonnierten Produkte genutzten Datencenter auftritt. "Gutschriftspunkt". Ein Gutschriftspunkt stellt eine
Währungseinheit in der vom Kunden für den betreffenden Service an SAP gezahlten Währung dar, wie beispielsweise Euro, US- Dollar oder andere Währungen. Ein Gutschriftspunkt entspricht einer Währungseinheit. Beispiel: Wenn ein Kunde in Euro zahlt, entspricht ein Gutschriftspunkt 1,-. Mit "Jahreszeitraum" ist ein Zeitraum von 12 Monaten gemeint, der am Jahrestag des Kundenabonnements des jeweiligen Service beginnt. Beispiel: Wenn der Kunde im Rahmen eines zwei Jahre andauernden Abonnements eines Service, das am 1. Januar 2015 beginnt, Transaktionen ausführt, sind die zwei Jahreszeiträume (a) 1. Januar 2015 bis 31. Dezember 2015; und (b) 1. Januar 2016 bis 31. Dezember 2016. "Anteilig pro Minute gezahlte jährliche Abonnementgebühren" bezeichnet den vom Kunden für den entsprechenden Service an SAP gezahlten Betrag, der dem jeweiligen Jahreszeitraum geteilt durch 525.600 (=60*24*365) Minuten pro Jahr entsprochen hat. Hinweis: Wenn der Kunde vor Dezember 2006 Lizenzen für bestimmte Ariba-Softwareprodukte erworben hat und als Teil der Gebühren für technische Support-Services das Ariba Network als Grundlagenservice verwendet, werden die jährlichen Abonnementgebühren basierend auf den Gebühren für den technischen Support berechnet. c. Geplante Ausfallzeiten. Wenn notwendig, plant SAP Ausfallzeiten für Wartungsarbeiten oder Systemaktualisierungen ("Geplante Ausfallzeiten") für den Service. SAP unternimmt dabei wirtschaftlich angemessene Anstrengungen, die Wartungsarbeiten bzw. Systemaktualisierungen außerhalb der Zeiten vorzunehmen, an denen der Service stark genutzt wird. Im Allgemeinen finden solche Arbeiten samstags zwischen 8:00 Uhr und 20:00 Uhr US-pazifischer Zeit statt ("Wartungszeitfenster"). SAP behält sich das Recht vor, das Zeitfenster für Wartungsarbeiten zu verlängern bzw. die Zeiten zu ändern. SAP unternimmt wirtschaftlich angemessene Anstrengungen, Kunden mindestens 72 Stunden vor dem Beginn geplanter Ausfallzeiten über den temporären Ausfall des Systems zu informieren. d. Ausnahmen. Folgende Faktoren gelten für die Berechnung des Zeitraums der Nichtzugänglichkeit nicht: (i) Geplante Ausfallzeiten, über die der Kunde mindestens einen Werktag vor jeder geplanten Ausfallzeit informiert wurde; (ii) Nichtzugänglichkeit, die SAP nicht verschuldet hat (beispielsweise Ausfälle, die außerhalb der direkten Kontrolle von SAP liegen, z. B. wenn diese durch Hardware oder Software verursacht wurden, die von Dritten gesteuert wird); (iii) Nichtzugänglichkeit aufgrund von Kundenanfragen oder wenn diese vom Kunden vorab genehmigt wurde. Kunden haben die alleinige Verantwortung für die Ausübung angemessener Kontrolle eigener Datenübertragungen an den Service, für die Überwachung solcher Übertragungen und dafür, Ariba innerhalb von fünf Tagen zu informieren, falls der Service nicht zugänglich ist. Kunden haben die
alleinige Verantwortung für die Einrichtung angemessener Datenverarbeitungsund -übertragungsparameter sowie für die Überprüfung sämtlicher Datenein- und -ausgabe auf Exaktheit und Vollständigkeit. 2. Sicherheitselemente Folgende Elemente gehören zur Sicherheit des Service: a. Physische Sicherheit. Der Service unterliegt entweder der Kontrolle von SAP oder befindet sich in einer sicheren externen Anlage einer Drittpartei. Der Zugriff auf Hardware, Software und andere Elemente, aus denen der Service besteht, ist ausschließlich autorisierten Mitarbeitern gestattet. Zur Gewährung maximaler Zugänglichkeit verwendet SAP Server mit redundanten Funktionen. b. Wiederherstellung nach einem Totalausfall. Für den Service gilt ein Plan für die Wiederherstellung nach einem Totalausfall, der SAP ermöglicht, die in diesem Service Level-Programm aufgeführte Zugänglichkeit des Service zu gewährleisten. c. Datensicherheit. Unter Verwendung des Service ausgeführte Transaktionen werden zunächst in einer Datenbank gespeichert, um Datenverluste zu verhindern. Von allen Kundendaten, die sich in den Systemen befinden, werden täglich Sicherungskopien angelegt. Diese Kopien werden in einer externen Anlage einer Drittpartei aufbewahrt. Sicherungskopien enthalten die Registrierungs- und Kontoinformationen der Kunden. Der Service wird regelmäßig vorbeugend gewartet. Diese vorbeugende Wartung findet außerhalb der Zeiten statt, in denen der Service besonders stark genutzt wird. Transaktionen in Warteschlangen werden gegebenenfalls angehalten, und ihre Verarbeitung wird nach Abschluss der Wartungsarbeiten fortgesetzt. Nur die an einer Transaktion beteiligten Organisationen können diese Transaktion sehen, außer wenn SAP ein technisches Problem beheben muss und zu diesem Zweck Zugriff auf ein Transaktionsdokument benötigt. Der Service führt gegebenenfalls redundante Kopien aller zur Weiterleitung der Transaktion wichtigen Software-Untersysteme aus [1]. Durch diese Redundanz wird im Fall eines Fehlers ein Failover ermöglicht, d. h. ein Wechsel vom Primärsystem zu einem Stand-By-System, sodass die Unterbrechung des Service minimal ist. d. Sicherheit des Service. SAP führt handelsübliche Sicherheitssoftware und - hardware aus und wendet Techniken zur Minimierung und Verhinderung nicht autorisierter Nutzung des Service an. Dazu gehören Firewalls, Software zur Aufdeckung nicht autorisierter Zugriffsversuche sowie die Überwachung der Servicenutzung. Außerdem authentifiziert der Service interaktive
Benutzersitzungen. Um größere Sicherheit zu gewährleisten, verwendet der Service HTTPS, d. h. HTTP über SSL (Secure Sockets Layer). Das SSL- Sicherheitsprotokoll bietet Datenverschlüsselung, Server-Authentifizierung, Nachrichtenintegrität und optionale Client-Authentifizierung für TCP/IP- Verbindungen. Die Webserver des Service verwenden ein digitales Serverzertifikat, um SSL-Verbindungen zu ermöglichen. e. Verifizierung durch Auditor. Für die SAP-Datencenter, in denen die ab dem Datum dieses Dokuments bestehenden Services gehostet werden, gilt, dass das Engagement von SAP bezüglich dieser Services mindestens einmal pro Jahr durch einen anerkannten Auditor einer Drittpartei überprüft wird, um die Leistung von SAP im Bereich der Sicherheit zu verifizieren. Dem SAP-Unternehmen Ariba ist das WebTrust-Siegel verliehen worden. Alle neuen Datencenter, die die Services möglicherweise zukünftig hosten, werden von SAP in den Umfang des nächsten geplanten Audits aufgenommen. 3. Verschiedenes a. Integrität des Service. Der Kunde erklärt sich damit einverstanden: (i) keinerlei Geräte, Software oder Techniken zu verwenden, die die einwandfreie Funktion des Service stören oder zu stören versuchen; (ii) keine Daten an den Service zu senden, die Viren, Programmfehler, Störroutinen, Würmer, Trojaner oder andere schädliche Elemente enthalten; (iii) keine Handlungen durchzuführen, die dem Service eine nicht angemessene oder unverhältnismäßig große Last auferlegen, durch die andere Benutzer beeinträchtigt werden; (iv) keinerlei Geräte oder Technologien zu verwenden, die wiederholte Zugriffsversuche auf passwortgeschützte Teile des Service ausführen, für die der Kunde kein von Ariba oder SAP zugewiesenes gültiges Passwort hat. Ohne vorherige schriftliche Zustimmung von SAP darf der Kunde keiner Drittpartei die Verwendung des Kundenpassworts gestatten. Der Kunde ist sich außerdem darüber im Klaren, dass SAP auch keine Garantie oder Gewährleistung dafür übernehmen kann, dass Dateien oder Software-Anwendungen jeglicher Art und aus beliebiger Quelle, die nicht von SAP stammen, aber über den Service zum Herunterladen bereitstehen, frei von Viren, Würmern, Trojanern oder anderen Codesequenzen oder Defekten sind, die verunreinigende oder zerstörerische Eigenschaften aufweisen. Der Kunde erkennt an, dass SAP das Recht, aber keine Verpflichtung hat, solche auf die Verwendung des Service bezogenen Aktionen zu ahnden (einschließlich der, aber nicht beschränkt auf die Entfernung von Inhalt oder die Verweigerung der Weiterleitung bestimmter Daten), wenn SAP der Ansicht ist, dass zur Einhaltung anwendbarer Gesetze solche Maßnahmen erforderlich sind.
b. Für unsere globalen Kunden ist dieses Dokument möglicherweise in mehrere Sprachen übersetzt worden. Bitte beachten Sie, dass bei eventuellen Unklarheiten, die aufgrund einer Übersetzung auftreten können, der Inhalt und Wortlaut des englischen Textes die Grundlage dieser Vereinbarung bildet. c. AUSSER DER IN ABSCHNITT 1 DIESES DOKUMENTS AUSDRÜCKLICH GEGEBENEN GEWÄHRLEISTUNG DER ZUGÄNGLICHKEIT DES SERVICE (I) STELLT DIESES DOKUMENT KEINERLEI ERKLÄRUNG ODER GARANTIE BEZÜGLICH DER VERFÜGBARKEIT, ZUGÄNGLICHKEIT ODER VERWENDBARKEIT DES SERVICE DAR; (II) MINDERT, ÄNDERT ODER NEGIERT DIESES DOKUMENT IN KEINSTER WEISE ANDERE AUSDRÜCKLICHE GARANTIEN IN UNTERZEICHNETEN VERTRÄGEN ZWISCHEN DEN PARTEIEN. Die in Abschnitt 1 angegebenen Rechtsmittel sind die einzigen und ausschließlichen Rechtsmittel, die der Kunde zur Verfügung hat, und stellen die gesamte Haftbarkeit von SAP dar, falls die in Abschnitt 1 gegebenen Gewährleistungen nicht eingehalten werden. [1] Falls Sie ein On-Premise-Produkt von Ariba verwenden und Hosting-Services erwerben, damit Ariba oder SAP eine Ihnen fest zugeordnete Implementierung des Service als Host- Unternehmen ausführt, gilt dieser Satz nicht, wenn Ariba/SAP den Hosting-Service über den SAP-Vertragspartner AT&T bereitstellt. Der Hosting-Service von AT&T führt keine redundanten Kopien aller kritischen Software-Untersysteme aus. Die Gewährleistung der Zugänglichkeit des Service liegt trotzdem im Bereich des angegebenen Prozentsatzes. Für die meisten Kunden, die solche Hosting-Services erhalten, wird AT&T nicht genutzt. Service Level-Programm, 1. März 2014