Oracle Cloud Hosting and Delivery Policies

Werbung
Oracle Cloud Hosting and Delivery Policies
Datum des Inkrafttretens: 1. Juni 2015
Version 1.5
Sofern nicht anderweitig festgelegt, werden in diesen Oracle Cloud Hosting and Delivery Policies (die „Delivery
Policies“) die von Ihnen bestellten Oracle Cloud Services beschrieben. In diesen Delivery Policies wird unter
Umständen auf andere Oracle Cloud-Richtliniendokumente Bezug genommen. Der in diesen Delivery Policies
oder in anderen Richtliniendokumenten verwendete Begriff „Kunde“ bezieht sich auf „Sie“, wie dieser Begriff im
Auftragsdokument definiert wird. Begriffe, die in diesem Dokument nicht anderweitig definiert werden, haben die
ihnen im relevanten Oracle Vertrag, Auftragsdokument oder in der relevanten Oracle Richtlinie zugewiesenen
Bedeutungen.
Überblick und Inhaltsverzeichnis
Die hierin beschriebenen Cloud Services werden gemäß den Bestimmungen aus dem Vertrag, Auftragsdokument
und diesen Delivery Policies erbracht. Voraussetzung für die Erbringung der Services durch Oracle ist, dass Sie
und Ihre Benutzer den in den genannten Dokumenten und den darin eingebundenen Richtlinien festgelegten
Verpflichtungen und Verantwortlichkeiten nachkommen. Diese Delivery Policies und die darin eingebundenen
Dokumente können von Oracle nach eigenem Ermessen geändert werden. Von Oracle vorgenommene Änderungen
an den Richtlinien führen jedoch nicht zu einer wesentlichen Einschränkung des Leistungs-, Sicherheits- oder
Verfügbarkeitsniveaus der Ihnen für die Dauer des Leistungszeitraums bereitgestellten Cloud Services.
Zugriff
Oracle stellt Cloud Services von Rechenzentren aus bereit, die Eigentum von Oracle sind oder von Oracle
gemietet werden. Die Anforderungen der Services an die Netzwerk- und Systemarchitektur und Hard- und Software werden von Oracle festgelegt. Oracle kann auf Ihre Leistungsumgebung zugreifen, um die Cloud Services
und insbesondere Service-Support zu erbringen.
Betriebszeiten
Die Cloud Services sind so konzipiert, dass sie 24 Stunden am Tag, sieben Tage in der Woche und 365 Tage im
Jahr verfügbar sind. Eine Ausnahme bilden Systemwartungszeiten, technologische Upgrades sowie sonstige im
Vertrag, Auftragsdokument oder diesen Delivery Policies dargelegte Ereignisse.
Diese Oracle Hosting and Delivery Policies umfassen Folgendes:
1.
2.
3.
4.
5.
6.
Oracle Cloud Security Policy
Oracle Cloud System Resiliency Policy
Oracle Cloud Service Level Objective Policy
Oracle Cloud Change Management Policy
Oracle Cloud Support Policy
Oracle Cloud Suspension and Termination Policy
1. Oracle Cloud Security Policy
1.1
Benutzerverschlüsselung für externe Verbindungen
Der Zugriff des Kunden auf das System erfolgt über das Internet. Für den Oracle Cloud Service-Zugriff steht SSLoder TLS-Verschlüsselungstechnologie zur Verfügung. In Bezug auf die SSL- oder TLS-Verbindungen wird eine
Verschlüsselung von mindestens 128 Bit ausgehandelt. Die Länge des zur Erzeugung des Chiffrierschlüssels
verwendeten privaten Schlüssels beträgt mindestens 2048 Bit. SSL oder TLS wird für alle von Oracle
bereitgestellten webbasierten, SSL- oder TLS-zertifizierten Anwendungen implementiert oder konfigurierbar
gemacht. Es wird empfohlen, dass für die Verbindung zu webfähigen Programmen die neusten zur Verfügung
stehenden Browser verwendet werden, die für Oracle Programme zertifiziert sind, mit höheren Chiffrierstärken
kompatibel sind und über eine erweiterte Sicherheit verfügen. Die Liste der zertifizierten Browser für die
jeweiligen Versionen von Oracle Programmen kann auf dem von Oracle für den spezifischen bestellten Service
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 1 von 17
genannten Cloud Customer Support Portal (z. B. dem My Oracle Support-Portal eingesehen) werden. In manchen
Fällen kann bei einer Drittanbieter-Website mit Cloud Services, die nicht unter der Kontrolle von Oracle steht, eine
nicht-verschlüsselte Verbindung erforderlich werden. In manchen Fällen akzeptieren Drittanbieter-Websites, die
der Kunde in den Cloud Service integrieren möchte, keine verschlüsselten Verbindungen. Bei Cloud Services, für
die Oracle HTTP-Verbindungen mit der Drittanbieter-Website erlaubt, aktiviert Oracle diese HTTP-Verbindungen
zusätzlich zu HTTPS-Verbindungen.
1.2
Netzwerkzugriffskontrolle
Die Oracle Cloud Operations-Teams nutzen zum Zugriff auf Kundenumgebungen eine gesonderte
Netzwerkverbindung, die für die Umgebungszugriffskontrolle vorgesehen und vom Traffic des internen
Unternehmensnetzwerks von Oracle getrennt ist. Authentifizierung, Autorisierung und Buchhaltung werden
mithilfe von standardmäßigen Sicherheitsmechanismen implementiert, mit denen dafür gesorgt wird, dass nur
zugelassene Betriebsmitarbeiter und Support-Techniker Zugriff auf die Systeme haben.
1.3
Netzwerkbandbreite und Latenz
Oracle trägt keine Verantwortung für die Netzwerkverbindungen des Kunden oder für Umstände oder Probleme
aus oder in Zusammenhang mit den Netzwerkverbindungen des Kunden (z. B. Probleme bezüglich Bandbreite,
exzessiver Latenz, Netzwerkausfällen) oder Probleme, die vom Internet verursacht werden. Oracle überwacht
seine eigenen Netzwerke und bemüht sich, etwaige interne Probleme zu beheben, die sich auf die Verfügbarkeit
auswirken könnten.
1.4
Anti-Virus-Kontrollen
Zum Scannen hochgeladener Dateien nutzt Oracle Cloud dem Brachenstandard entsprechende Anti-VirusSoftware. Viren werden nach ihrer Erkennung automatisch entfernt (oder in Quarantäne verschoben), und es wird
eine entsprechende Warnung erzeugt, durch die der Incident Response-Prozess von Oracle eingeleitet wird. Die
Virusdefinitionen werden täglich aktualisiert.
1.5
Firewalls
Oracle Cloud Services nutzen Firewalls, um den Zugriff zwischen dem Internet und Oracle Cloud Services zu
kontrollieren, indem nur zugelassener Traffic erlaubt wird. Von Oracle verwaltete Firewalls werden geschichtet
bereitgestellt, um Paketinspektionen mit Sicherheitsrichtlinien durchzuführen, die (je nach dem) für das Filtern von
Paketen auf Grundlage von Protokoll, Port, Quelle oder Ziel-IP-Adresse konfiguriert sind, um so autorisierte
Quellen, Ziele und Traffic-Typen zu identifizieren.
1.6
Systemhärtung
Oracle wendet standardisierte Systemhärtungsverfahren für Oracle Cloud Geräte an. Dazu gehören die Einschränkung des Protokollzugriffs, das Entfernen oder Deaktivieren unnötiger Software und Geräte, das Entfernen
unnötiger Benutzer-Accounts, Patch-Management und Protokollierung.
1.7
Physische Sicherheitsvorrichtungen
Oracle bietet gesicherte Datenverarbeitungseinrichtungen sowohl für Büros und Produktions-Cloud-Infrastrukturen.
Zu den üblichen Kontrollen zwischen Büros und Co-Locations/Rechenzentren gehören zurzeit unter anderem
folgende Maßnahmen:
 Der Zugang von Personen wird überwacht und erfordert eine entsprechende Autorisierung.
 Alle Personen vor Ort müssen deutlich sichtbar einen offiziellen Ausweis an der Kleidung tragen.
 Besucher müssen sich ins Besucherverzeichnis eintragen und/oder während ihres Besuchs begleitet
oder überwacht werden.
 Es wird überwacht, wer Schüssel/Zugangskarten besitzt und in der Lage ist, die Räumlichkeiten zu
betreten. Mitarbeiter, die Oracle verlassen, müssen ihre Schlüssel/Karten zurückgeben.
Für alle Oracle Cloud Rechenzentren bestehen weitere physische Sicherheitsmaßnahmen. Zurzeit sind dies unter
anderem Folgende:
 Die Örtlichkeiten werden mit CCTV-Systemen überwacht.
 Die Eingänge sind durch Schranken gesichert, damit keine Fahrzeuge unerlaubt auf das Gelände
gelangen können.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 2 von 17

1.8
An den Eingängen sind 24 Stunden am Tag an 365 Tagen im Jahr Wachmänner postiert, die visuelle
Identitätsprüfungen vornehmen und für die Begleitung von Besuchern Sorge tragen.
Systemzugriffskontrolle und Passwortverwaltung
Der Zugriff auf Cloud-Systeme wird dadurch kontrolliert, dass er auf autorisiertes Personal beschränkt wird.
Oracle hat Passwortrichtlinien für Infrastrukturkomponenten und Cloud-Managementsysteme festgelegt, die zum
Betrieb der Oracle Cloud-Umgebung verwendet werden.
Zu den Systemzugriffskontrollen gehören Systemauthentifizierung, Autorisierung, Zugriffsgenehmigung und die
Vergabe und Rücknahme von Berechtigungen für Mitarbeiter und andere von Oracle angegebene „Benutzer“. Die
Verantwortung für die gesamte Endnutzerverwaltung innerhalb des Programms trägt der Kunde. Oracle verwaltet
nicht die Endnutzer-Accounts des Kunden. Der Kunde kann die Programme und zusätzliche integrierte
Sicherheitsfunktionen konfigurieren.
1.9
Prüfung von Zugriffsrechten
Die Netzwerk- und Betriebssystem-Accounts für Oracle Mitarbeiter werden regelmäßig geprüft, damit jeder
Mitarbeiter über die benötigten Zugriffsrechte verfügt. Bei einem Ausscheiden eines Mitarbeiters aus dem
Unternehmen sorgt Oracle umgehend für die Beendigung des Netzwerks- und Telefoniezugriffs sowie der
physischen Zugangsberechtigung dieses Mitarbeiters. Für die Verwaltung und Prüfung des Zugriffs auf seine
eigenen Mitarbeiter-Accounts ist der Kunde verantwortlich.
1.10 Sicherheitsbezogene Wartung
Oracle führt wie jeweils in der Oracle Cloud Change Management Policy definiert sicherheitsbezogenes Change
Management und sicherheitsbezogene Wartung durch. Bei allen Sicherheitspatch-Paketen, die Oracle für bestimmte
Oracle Programme bereitstellt, führt Oracle jeweils einen Test des Sicherheitspatch-Pakets in einer Testumgebung
des entsprechenden Cloud Service durch. Nach einem erfolgreichen Test des Sicherheitspatch-Pakets in der
Testumgebung wendet Oracle das Sicherheitspatch-Paket auf die Produktionsumgebung des Cloud Service an.
1.11 Datenverwaltung/-schutz
Während der Nutzung von Oracle Cloud Services bleiben Oracle Cloud-Kunden für die in ihrer Umgebung
befindlichen Daten verantwortlich. Im Rahmen von abonnierten Oracle Cloud Services wird eine Reihe von
konfigurierbaren Services zum Schutz von Informationen bereitgestellt. Kundendaten werden zur Nutzung
innerhalb der Oracle Cloud Services hochgeladen oder erzeugt.
1.11.1 Transport von physischen Medien
Ausschließlich im Bedarfsfall bereiten eigens mit dieser Aufgabe betraute Oracle Mitarbeiter den Transport von
Medien gemäß festgelegten Verfahren vor. Digitale Medien werden protokolliert, verschlüsselt, sicher transportiert
und, falls für die Backup-Archivierung erforderlich, von einem Drittanbieter extern gesichert. Solche Anbieter werden
vertraglich verpflichtet, sich an die von Oracle festgelegten Bestimmungen für den Schutz von Medien zu halten.
1.11.2 Entsorgung von Daten
Nach der Beendigung von Services (wie in der Oracle Cloud Suspension and Termination Policy beschrieben)
oder nach Aufforderung des Kunden löscht Oracle Umgebungen oder darin befindliche Daten in einer Weise, mit
der sichergestellt wird, dass auf diese Umgebungen/Daten nach vernünftigem Ermessen kein (Lese-)Zugriff mehr
möglich ist, es sei denn, Oracle wird durch eine rechtliche Verpflichtung daran gehindert, die Umgebungen oder
Daten vollständig oder teilweise zu löschen.
1.11.3 Reaktion auf Sicherheitsvorkommnisse (Security Incident Response)
Oracle bewertet und reagiert auf Vorkommnisse, die einen unbefugten Zugriff auf Kundendaten vermuten lassen.
Dabei ist es unerheblich, ob sich die betroffenen Daten auf Hardware-Assets von Oracle oder auf den privaten
Hardware-Assets von Mitarbeitern oder externem Personal befinden. Sobald die Global Information Security
(GIS)-Organisation von Oracle von einem solchen Vorkommnis in Kenntnis gesetzt wurde, legt sie je nach der Art
der Aktivität Eskalationspfade und Reaktionsteams zur Behandlung des Vorkommnisses fest. GIS arbeitet je nach
Bedarf mit dem Kunden, den zuständigen Technikteams und den Strafverfolgungsbehörden zusammen, um auf
das Vorkommnis einzugehen. Ziel der Incident Response ist es, die Vertraulichkeit, Integrität und Verfügbarkeit
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 3 von 17
der Umgebung des Kunden wiederherzustellen, die jeweilige Ursache zu ermitteln sowie entsprechende
Behebungsmaßnahmen festzulegen. Das Betriebspersonal verfügt über dokumentierte Verfahren zur Handhabung
von Vorkommnissen, bei denen sich potenziell ein unbefugter Umgang mit Daten ereignet hat; zu diesen Verfahren
gehören unverzügliches und angemessenes Reporting, Eskalationsverfahren und Kontrollketten. Kommt Oracle zu
der Feststellung, dass sich ein widerrechtlicher Zugriff auf Daten des Kunden ereignet hat, meldet Oracle diese
Tatsache dem Kunden innerhalb von 72 Stunden nach deren Entdeckung, es sei denn, dies ist gesetzlich anders
geregelt.
1.11.4 Datenschutz
Im Data Processing Agreement for Oracle Cloud Services („Datenverarbeitungsvertrag“) und in den Oracle
Oracle Services Privacy Policy wird beschrieben, wie Oracle mit Daten umgeht, die sich auf Oracle Systemen
befinden (z. B. personenbezogene Daten) und auf die Oracle unter Umständen im Zusammenhang mit der
Bereitstellung von Cloud Services Zugriff erhält. Im Datenverarbeitungsvertrag werden konkret die Rollen von
Oracle und des Kunden bei der Verarbeitung und Kontrolle personenbezogener Daten beschrieben, die der Kunde
Oracle im Rahmen der Cloud Services bereitstellt. Diese Dokumente stehen unter folgenden Adressen zur Verfügung:


Oracle Services Privacy Policy
http://www.oracle.com/us/legal/privacy/services-privacy-policy-078833.html
Data Processing Agreement for Oracle Cloud Services: http://www.oracle.com/dataprocessingagreement
1.12 Erfüllung der gesetzlichen Vorschriften
Die Oracle Cloud Services entsprechen dem Sicherheitsstandard 27001:2013 der ISO (Internationale
Organisation für Normung).
Das ISO-Sicherheits-Framework umfasst zahlreiche Sicherheitskontrollen, die als Grundlage für die Betriebs- und
Sicherheitskontrollen zur Verwaltung und zum Schutz des Oracle Cloud Service dienen. Sie umfassen jedoch
nicht eine Zertifizierung nach ISO 27001.
Die internen Kontrollen von Oracle Cloud Services unterliegen regelmäßigen Tests durch unabhängige AuditOrganisationen. Solche Audits können auf Grundlage des Statement on Standards for Attestation Engagements
(SSAE) Nr. 16, „Reporting on Controls at a Service Organization“ („SSAE 16“), des International Standard on
Assurance Engagements (ISAE) Nr. 3402, „Assurance Reports on Controls at a Service Organization“ (ISAE 3402“)
oder eines anderen auf den jeweiligen Oracle Cloud Service anwendbaren Standards oder Verfahrens der
unabhängigen Audit-Organisation erfolgen. Audit-Reports zu Oracle Cloud Services werden regelmäßig von den
externen Auditoren herausgegeben. Es stehen jedoch nicht unbedingt immer Reports für alle Services zur Verfügung.
Der Kunde kann eine Kopie des jeweils aktuellen Reports zu einem bestimmten Oracle Cloud Service anfordern.
Die Audit-Reports zu Oracle Cloud Services und die darin enthaltenen Informationen sind vertrauliche Informationen
von Oracle und sind vom Kunden dementsprechend zu behandeln. Solche Reports dürfen nur vom Kunden zur
Bewertung der Gestaltung und der betrieblichen Effektivität definierter Kontrollen verwendet werden, die auf
Oracle Cloud Services angewendet werden. Sie werden ohne jede Gewähr zur Verfügung gestellt.
Der Kunde trägt bei seiner Nutzung von Oracle Cloud Services die alleinige Verantwortung für die Einhaltung
gesetzlicher Vorschriften. Der Kunde muss Oracle vor Ausfertigung des Vertrags auf eventuelle technische
Anforderungen hinweisen, die sich aus seinen gesetzlichen Verpflichtungen ergeben. Einige Oracle Cloud
Services verfügen über Zertifizierungen gemäß PCI DSS- oder FISMA/NIST-Standards, und unter Umständen
stehen gegen zusätzliche Vergütungen weitere Zertifizierungen sowie die Einhaltung von bestimmten rechtlichen
Rahmenregelungen innerhalb des Oracle Cloud Service zur Verfügung. Der Kunde darf Oracle keine Informationen
zu seinem Gesundheitszustand, Kreditkarteninformationen oder sonstige sensible personenbezogenen Daten
übermitteln, deren Verarbeitung an spezifische rechtliche oder branchenbezogene Datensicherheitsverpflichtungen
geknüpft ist. Allerdings kann Oracle (sofern für den jeweiligen Cloud Service verfügbar) Cloud-Kunden
zusätzliche Services zum Kauf anbieten, die auf die Verarbeitung von regulierten Daten innerhalb der
Leistungsumgebung ausgelegt sind. Solche zusätzlichen Services stehen nicht für alle Cloud Services zur
Verfügung.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 4 von 17
Oracle ist sich der Tatsache bewusst, dass einige Kunden aufsichtsrechtlichen Audit-Anforderungen unterliegen.
In solchen Fällen kooperiert Oracle mit dem Kunden wie im Datenverarbeitungsvertrag beschrieben.
1.13 Oracle Software Security Assurance
Mit der Oracle Software Security Assurance (OSSA) sorgt Oracle bei Konzipierung, Entwicklung, Erprobung und
Wartung seiner Services für Sicherheit. Eine Beschreibung des OSSA-Programms kann hier abgerufen werden:
http://www.oracle.com/us/support/assurance/overview/index.html.
2. Oracle Cloud System Resiliency Policy
2.1
Backup-Strategie für Oracle Cloud Services
Oracle führt regelmäßig Backups der Produktionsdaten im Cloud Service des Kunden durch. Diese werden von
Oracle ausschließlich zum Zwecke der Minimierung von Datenverlusten im Falle einer Katastrophe genutzt.
Oracle führt in der Regel keine Updates, Einfügungen, Löschungen oder Wiederherstellungen von Kundendaten
im Auftrag des Kunden durch. In Ausnahmefällen und unter der Voraussetzung einer schriftlichen Genehmigung
und der Zahlung zusätzlicher Vergütungen kann Oracle den Kunden allerdings bei der Wiederherstellung von
Daten, die der Kunde aufgrund eigenen Verschuldens verloren hat, unterstützen.
3. Oracle Cloud Service Level Objective Policy
3.1
Bestimmungen zur Service-Verfügbarkeit
Ab Aktivierung der Cloud Services für den Kunden durch Oracle und unter der Voraussetzung, dass der Kunde
alle Bestimmungen aus dem Auftragsdokument (einschließlich des Vertrags) einhält und die von Oracle empfohlenen
Mindestanforderungen an die technische Konfiguration für den Zugriff und die Nutzung der Services aus der
Netzwerkinfrastruktur und von den Arbeitsplätzen des Kunden aus, wie in der Programmdokumentation des
Cloud Service festgelegt, erfüllt, bemüht sich Oracle um die Erfüllung des Serviceverfügbarkeitsniveaus in
Übereinstimmung mit den in diesen Richtlinien festgelegten Bestimmungen. Der Begriff „Produktion“ bezeichnet
im Sinne dieser Delivery Policies (i) im Kontext von Oracle Cloud Software as a Service-Angeboten die
Produktionsinstanzen solcher Services oder (ii) im Kontext von Oracle Cloud Platform as a Service-Angeboten
die Entwicklungsinstanzen solcher Services.
3.2
Angestrebtes Systemverfügbarkeitsniveau des Oracle Cloud Service
Oracle bemüht sich, ein angestrebtes Systemverfügbarkeitsniveau von 99,5 % des Produktionsservice
einzuhalten, das für jeweils einen Kalendermonat gemessen wird. Dies gilt ab der Aktivierung der
Produktionsumgebung durch Oracle.
Definition von „Verfügbarkeit“ und „ungeplante Ausfallzeit“
3.3
„Verfügbarkeit“ oder „verfügbar“ bedeutet, dass der Kunde vorbehaltlich der nachfolgenden Bestimmungen auf
das OLTP oder den transaktionsbezogenen Teil der Oracle Cloud Services zugreifen kann. „Ungeplante
Ausfallzeit“ bezieht sich auf jeden Zeitraum, in dem die Services nicht verfügbar sind, beinhaltet jedoch nicht den
Zeitraum, in dem Services oder Komponenten der Services aus folgenden Gründen nicht verfügbar sind:



Nichterfüllung oder Reduzierung der Leistung oder Betriebsstörungen infolge von Skripten, Daten,
Anwendungen, Ausrüstung, Infrastruktur, Software, Penetrationstests, Leistungstests oder MonitoringAgents, die vom Kunden angewiesen, bereitgestellt oder ausgeführt werden;
Geplante Ausfallzeit, geplante oder angekündigte Wartung oder Wartungsfenster, oder Ausfallzeit, die
von Oracle auf Wunsch oder Anweisung des Kunden zu Wartungszwecken, zur Aktivierung von
Konfigurationen, Erstellung von Sicherungskopien oder zu anderen Zwecken initiiert werden, die es
erforderlich machen, dass die Services vorübergehend offline gehen;
Nichtverfügbarkeit von Management-, Hilfs- oder Verwaltungsservices einschließlich Verwaltungstools,
Reporting-Services, Versorgungsleistungen, Softwarekomponenten von Dritten, die nicht dem alleinigen
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 5 von 17








3.4
Einflussbereich von Oracle unterliegen, oder von anderen Services, die die Ausführung der
Kerntransaktion unterstützen;
Ausfälle infolge von Handlungen oder Unterlassungen seitens Oracle auf Wunsch oder Anweisung des
Kunden;
Ausfälle aufgrund von Ausrüstung des Kunden oder Ausrüstung Dritter oder Softwarekomponenten, die
nicht dem alleinigen Einflussbereich von Oracle unterliegen;
Ereignisse, die sich aus einer Unterbrechung oder einem Ausfall der Services aufgrund von Umständen
ergeben, bei denen Oracle vernunftgemäß davon ausgehen kann, dass sie eine erhebliche Bedrohung
des normalen Betriebs der Services, der Betriebsinfrastruktur, der Einrichtung, von der aus die Services
bereitgestellt werden, des Zugriffs auf und der Unversehrtheit von Kundendaten (z. B. ein Hacker- oder
ein Malware-Angriff) darstellen;
Ausfälle aufgrund von Systemverwaltung, Befehlen oder Dateiübertragungen, die von Benutzern oder
Vertretern des Kunden ausgeführt werden;
Ausfälle aufgrund von Denial-of-Service-Angriffen, Naturkatastrophen, Änderungen infolge von
politischen, anderen regulatorischen oder Regierungsaktionen oder gerichtlichen Anordnungen, Streik
oder Streitigkeiten mit Gewerkschaftsvertretern, zivilem Ungehorsam, kriegerischen Handlungen,
Aktionen gegen die Parteien (einschließlich Zustelldiensten und anderen Lieferanten von Oracle) sowie
infolge weiterer Ereignisse höherer Gewalt;
Nichtverfügbarkeit des Zugangs zu den Services oder Ausfälle, die durch das Verhalten des Kunden,
einschließlich Fahrlässigkeit oder Verstoß des Kunden gegen wesentliche Verpflichtungen im Rahmen
des Vertrags, oder andere Umstände verursacht werden, die sich dem Einflussbereich von Oracle
entziehen;
Mangelnde Verfügbarkeit oder nicht fristgerechte Antwortzeit des Kunden bei Zwischenfällen, die eine
Beteiligung des Kunden zur Identifizierung der Ursache und/oder Behebung des Problems erfordern,
einschließlich der Erfüllung der Verantwortlichkeiten des Kunden in Bezug auf einen der Services;
Ausfälle, die durch Ausfälle oder Schwankungen der Stromversorgung, Konnektivität, NetzwerkTelekommunikationsausrüstung oder diesbezüglichen Leitungen verursacht werden, die auf dem
Verhalten des Kunden oder Umständen beruhen, die sich dem Einflussbereich von Oracle entziehen.
Messung der Verfügbarkeit
Am Ende jedes Kalendermonats des Leistungszeitraums unter einem Auftragsdokument führt Oracle eine
Messung des „Systemverfügbarkeitsniveaus“ für den unmittelbar vorhergehenden Monat durch. Oracle misst das
Systemverfügbarkeitsniveau, indem die Differenz zwischen der Gesamtzahl der Minuten des monatlichen
Messungszeitraums und etwaiger ungeplanter Ausfallzeiten durch die Gesamtzahl der Minuten des
Messungszeitraums dividiert und das Ergebnis mit 100 multipliziert wird, um so einen Prozentsatz zu berechnen.
3.5
Überwachung
Oracle nutzt eine Reihe verschiedener Software-Tools zur Überwachung (i) der Verfügbarkeit und Leistung der
Produktionsserviceumgebung des Kunden und (ii) des Betriebs der Infrastruktur- und Netzwerkkomponenten.
3.5.1 Überwachungs- und Test-Tools des Kunden
Aufgrund etwaiger nachteiliger Auswirkungen auf die Serviceleistung und -verfügbarkeit ist es dem Kunden nicht
gestattet, seine eigenen Überwachungs- und Test-Tools (einschließlich automatisierter Benutzeroberflächen und
Webservice-Aufrufen zu Oracle Cloud Services) zu nutzen, um direkt oder indirekt die Verfügbarkeit, Leistung
oder Sicherheit eines Programms, Funktionen oder einer Servicekomponente in den Services oder der Umgebung
zu messen. Oracle behält sich das Recht vor, den Zugriff auf Tools, die gegen die vorstehenden Beschränkungen
verstoßen, zu entfernen oder zu deaktivieren. Dadurch entsteht Oracle keine Haftung gegenüber dem Kunden.
3.5.2 Workloads des Kunden
Dem Kunden ist es nicht gestattet, wesentliche Änderungen am Workload vorzunehmen, die über die gemäß den
Berechtigungen nach diesem Auftragsdokument zulässige Höhe hinausgehen.
3.5.3 Automatisierte Workloads
Dem Kunden ist es untersagt, Daten-Scraping-Tools oder Technologien zur Sammlung von Daten, die über die
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 6 von 17
Benutzeroberfläche des Oracle Cloud Service oder über Webservice-Aufrufe zur Verfügung stehen, zu verwenden
oder deren Nutzung zu gestatten, sofern Oracle dies nicht ausdrücklich schriftlich genehmigt. Oracle behält sich
das Recht vor, zu verlangen, dass die vom Kunden vorgeschlagenen Daten-Scraping-Tools von Oracle validiert
und getestet werden, bevor sie in der Produktion eingesetzt werden, und dass sie danach jedes Jahr validiert und
getestet werden. Oracle kann im Rahmen solcher Test- und Validierungsleistungen die Ausfertigung eines
schriftlichen Leistungsverzeichnisses verlangen.
4. Oracle Cloud Change Management Policy
4.1
Oracle Cloud Change Management und Wartung
Oracle Cloud Operations nimmt Änderungen an der Hardwareinfrastruktur, der Betriebssoftware, der Produktsoftware und unterstützender Anwendungssoftware der Cloud vor, um so für die betriebliche Stabilität, Verfügbarkeit, Sicherheit, Leistung und Aktualität der Oracle Cloud zu sorgen. Oracle hält sich dabei an formale Change
Management-Verfahren, in deren Rahmen die Änderungen vor ihrer Anwendung auf die Oracle CloudProduktionsumgebung hinreichend geprüft, getestet und genehmigt werden.
Zu Änderungen im Rahmen von Change Management-Verfahren gehören beispielsweise System- und Servicewartungsaktivitäten, Upgrades und Updates und kundenspezifische Änderungen. Oracle Cloud-Change Management-Verfahren dienen zur Minimierung von Serviceunterbrechungen während der Implementierung von
Änderungen.
Oracle behält sich bestimmte Wartungszeiträume für Änderungen vor, bei denen die Nichtverfügbarkeit des Cloud
Service während des Wartungszeitraums möglicherweise erforderlich ist. Oracle bemüht sich, sicherzustellen,
dass Change Management-Verfahren während der geplanten Wartungsfenster durchgeführt werden, während
Zeiträume mit geringem Datenverkehr und geografische Anforderungen berücksichtigt werden.
Oracle bemüht sich, Änderungen am Zeitplan für Standard-Wartungszeiträume vorher bekanntzugeben. Bei
kundenspezifischen Änderungen und Upgrades stimmt Oracle die Wartungszeiträume, soweit möglich, mit dem
Kunden ab.
Im Falle von Änderungen, die erwartungsgemäß zu Serviceunterbrechungen führen, bemüht sich Oracle, die
voraussichtlichen Auswirkungen vorab schriftlich mitzuteilen. Die Dauer von Wartungszeiträumen für geplante
Wartungsarbeiten sind in der Berechnung der Minuten von ungeplanten Ausfallzeiten im monatlichen
Messungszeitraum für das Systemverfügbarkeitsniveau nicht enthalten (siehe „Oracle Cloud Service Level
Objective Policy“). Oracle bemüht sich im wirtschaftlich vertretbaren Maße, die Nutzung dieser reservierten
Wartungszeiträume sowie die Dauer von zu Serviceunterbrechungen führenden Wartungsereignissen zu
minimieren.
4.1.1 Notfallwartung
Oracle ist unter Umständen regelmäßig dazu gezwungen, Notfallwartungsarbeiten durchzuführen, um die
Sicherheit, Leistung, Verfügbarkeit oder Stabilität der Produktionsumgebung zu schützen. Unter Notfallwartung
fallen unter anderem je nach Bedarf das Patching von Programmen und/oder die Wartung des Kernsystems.
Oracle bemüht sich, Notfallwartungsaktivitäten gering zu halten, und bemüht sich außerdem, 24 Stunden vorab
schriftlich über Notfallwartungsleistungen zu informieren, die zu einer Serviceunterbrechung führen.
4.1.2 Umfangreiche Wartungsänderungen
Oracle behält sich das Recht vor, zur Unterstützung der Sicherstellung einer fortlaufenden Stabilität, Verfügbarkeit, Sicherheit und Leistung der Cloud Services höchstens zweimal pro Kalenderjahr umfangreiche Änderungen
an seiner Hardwareinfrastruktur, Betriebssoftware, Anwendungssoftware und unterstützenden Anwendungssoftware, die unter seiner Kontrolle stehen, vorzunehmen. Alle solche Änderungsereignisse werden als geplante
Wartungsarbeiten erachtet und können dazu führen, dass die Cloud Services bis zu 24 Stunden nicht verfügbar
sind. Alle solche Änderungsereignisse sollen während des geplanten Wartungszeitraums stattfinden. Oracle
bemüht sich, 60 Tage vorab schriftlich über eine solche voraussichtliche Nichtverfügbarkeit zu informieren.
4.1.3 Rechenzentrumsmigrationen
Im Rahmen der Bereitstellung von Cloud Services durch Oracle ist berechtigt, die Cloud Services-Umgebung des
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 7 von 17
Kunden zwischen Produktionsrechenzentren innerhalb derselben Rechenzentrumsregion zu verlegen. Außer zur
Wiederherstellung von Cloud Services des Kunden informiert Oracle den Kunden mindestens 30 Tage im Voraus
über eine solche Rechenzentrumsmigration.
4.2
Softwareversionierung
4.2.1 Software-Upgrades und -Updates
Oracle verpflichtet alle Kunden von Cloud Services, die Softwareversionen der Oracle Cloud Services hinsichtlich
der von Oracle als allgemein verfügbar gekennzeichneten Softwareversionen aktuell zu halten. Auf jede
Veröffentlichung der allgemein verfügbaren Version folgen Software-Updates, die erforderlich sind, um die
Aktualität der Version aufrechtzuerhalten. Oracle Cloud Hosting and Delivery Policies, wie zum Beispiel die
Service Levels Objective Policy und die Cloud Support Policy, hängen davon ab, dass der Kunde seine
Softwareversion auf dem Stand der allgemein verfügbaren Version hält. Oracle trägt keine Verantwortung für
Probleme der Cloud Services bezüglich Leistung und Sicherheit, die sich aus der Ausführung früherer Versionen
ergeben.
4.2.2 End of Life
Oracle unterstützt keine älteren Versionen, die über die nachfolgend beschriebene End of Life-Richtlinie
hinausgehen. Oracle hostet und unterstützt nur die als allgemein verfügbar gekennzeichneten Versionen eines
Oracle Cloud Service. Alle anderen Versionen des Service gelten als „End of Life“ (EOL). Oracle bietet keine
Cloud Services für EOL-Versionen an. Kunden sind verpflichtet, die Serviceupgrades auf die neueste Version vor
EOL einer entsprechenden Version durchzuführen. Der Kunde erkennt an, dass das Versäumnis, das Upgrade
vor EOL einer Cloud Service-Version durchzuführen, dazu führen kann, dass ein Upgrade automatisch von
Oracle durchgeführt wird oder die Services ausgesetzt werden. Unter bestimmten Umständen, wenn eine Cloud
Service-Version EOL erreicht hat und Oracle keine Upgradeversion zur Verfügung stellt, kann Oracle einen
Folge-Cloud Service bestimmen und den Kunden verpflichten, zu dem Folge-Cloud Service zu wechseln.
4.2.3 Überholte Funktionen
Eine überholte Funktion ist eine Funktion, die in früheren oder aktuellen Versionen des Cloud Service enthalten
ist und immer noch als Teil des Service unterstützt wird, bei der Oracle jedoch darüber informiert hat, dass sie in
zukünftigen Versionen nicht mehr enthalten sein wird. Oracle bemüht sich in wirtschaftlich vertretbarem Maße,
Mitteilungen zur Entfernung von überholten Funktionen ein Vierteljahr im Voraus zu veröffentlichen, und behält
sich das Recht vor, Funktionen ohne Vorankündigung als überholt einzustufen, zu verändern oder aus neuen
Versionen zu entfernen.
5. Oracle Cloud Support Policy
Der in dieser Richtlinie beschriebene Cloud Support gilt nur für Oracle Cloud Services und wird von Oracle im
Rahmen der Services bereitgestellt, die unter dem Auftragsdokument bestellt wurden. Der Kunde ist berechtigt,
zusätzliche Services für Oracle Cloud über andere Oracle Support Serviceangebote zu erwerben, die von Oracle
für Cloud Services geltend ausgewiesen wurden.
5.1
Bedingungen für Oracle Cloud Support
5.1.1 Vergütungen für Support
Die vom Kunden für die im Rahmen des Auftragsdokuments gezahlten Vergütungen für Oracle Cloud Serviceangebote beinhalten den in dieser Oracle Cloud Support Policy beschriebenen Support. Zusätzliche Vergütungen
gelten für zusätzliche vom Kunden erworbene Oracle Support Serviceangebote.
5.1.2 Support-Zeitraum
Oracle Cloud Support ist ab dem Startdatum der Services verfügbar und endet nach Ablauf oder Kündigung der
Cloud Services im Rahmen des Auftragsdokuments (der „Support-Zeitraum“). Oracle ist nicht verpflichtet, den in
dieser Cloud Support-Richtlinie beschriebenen Support über das Ende des Support-Zeitraums hinaus bereitzustellen.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 8 von 17
5.1.3 Kontaktpersonen für technische Unterstützung
Die Kontaktpersonen für technische Unterstützung des Kunden sind die einzige Verbindung zwischen dem Kunden
und Oracle in Bezug auf Oracle Cloud Support Services. Diese Kontaktpersonen für technische Unterstützung
müssen mindestens eine einführende Grundlagenschulung für Oracle Cloud und, je nach Bedarf, ergänzende
Schulungen für die jeweilige Position oder Implementierungsphase, spezielle Service-/Produktnutzung und/oder
Migration erhalten haben. Die Kontaktpersonen für technische Unterstützung des Kunden müssen sich mit den
Oracle Cloud Serviceangeboten und der Oracle Umgebung auskennen, um Oracle bei der Lösung von Systemproblemen und der Analyse und Bearbeitung von Service Requests zu unterstützen. Bei Einreichung eines Service
Requests muss die Kontaktperson für technische Unterstützung des Kunden über Grundkenntnisse über das
vorliegende Problem verfügen und in der Lage sein, das Problem zu reproduzieren, um Oracle bei der Diagnose und
Kategorisierung des Problems zu unterstützen. Um Unterbrechungen bei den Support Services zu vermeiden, muss
der Kunde Oracle benachrichtigen, sobald die Verantwortlichkeiten einer Kontaktperson für technische Unterstützung auf eine andere Person übertragen werden.
5.1.4 Oracle Cloud Support
Support Services für Oracle Cloud umfassen Folgendes:
 Diagnose von Problemen bei den Oracle Cloud Services
 Angemessene wirtschaftliche Anstrengungen zur Lösung von berichteten und verifizierbaren Fehlern in
den Oracle Cloud Services, sodass diese in allen wesentlichen Aspekten wie beschrieben der damit
verbundenen Programmdokumentation entsprechen
 Support im Rahmen von in der Cloud Change Management Policy definierten Change ManagementAktivitäten
 Unterstützung bei technischen Service Requests rund um die Uhr an 7 Tagen pro Woche
 Rund um die Uhr an 7 Tagen die Woche Zugang zu einem Cloud-Kundensupport-Portal, das von Oracle
angegeben wird (z. B. My Oracle Support), und Live-Telefon-Support zur Protokollierung von Service
Requests
 Zugang zu Community-Foren
 Nicht-technischer Kundendienst während der normalen Geschäftszeiten von Oracle (8 bis 17 Uhr Ortszeit).
5.2
Oracle Cloud-Kundensupport-Systeme
5.2.1 Cloud-Kundensupport-Portal
Im Rahmen des vom Kunden unter diesem Auftragsdokument erworbenen Oracle Cloud-Angebots bietet Oracle
dem Kunden Support für die Cloud Services über das Cloud Kundensupport-Portal an, das für diese Cloud Services
angegeben wurde. Der Zugang zum jeweiligen Cloud Kundensupport-Portal unterliegt den Nutzungsbedingungen
auf der jeweiligen Support-Website, für die Änderungen vorbehalten sind. Eine Kopie dieser Bedingungen ist auf
Anfrage erhältlich. Der Zugang zum Cloud Kundensupport-Portal ist den ausgewiesenen Kontaktpersonen für
technische Unterstützung des Kunden und anderen autorisierten Benutzern der Cloud Services vorbehalten. Das
Oracle Cloud Kundensupport-Portal bietet den Kontaktpersonen für technische Unterstützung des Kunden ggf.
Support-Details, damit diese auf den Oracle Cloud Support zurückgreifen können. Alle für den Kunden relevanten
Service-Benachrichtigungen und -Erinnerungen werden in diesem Portal gepostet.
5.2.2 Live-Telefon-Support
Die Kontaktpersonen für technische Unterstützung des Kunden können den Live-Telefon-Support über die
Telefonnummern und Kontaktinformationen nutzen, die auf der Support-Website von Oracle unter
http://www.oracle.com/support/contact.html oder einer anderen von Oracle für die bestellten Cloud Services
angegebenen Internetadresse zu finden sind.
5.3
SL-Definitionen
Service Requests für Oracle Cloud Services können von der Kontaktperson für technische Unterstützung des
Kunden über die in Ziffer 5.2 dieser Richtlinie erwähnten Oracle Cloud-Kundensupport-Systeme eingereicht
werden. Der Schweregrad (SL) eines vom Kunden eingereichten Service Requests wird vom Kunden und Oracle
bestimmt und muss auf den folgenden SL-Definitionen basieren:
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 9 von 17
Schweregrad 1
Die produktionsbezogene Nutzung der Oracle Cloud Services des Kunden wird ausgesetzt oder so stark beeinträchtigt, dass der Kunde die Arbeit nicht auf zumutbare Weise fortsetzen kann. Der Kunde erleidet einen
vollständigen Leistungsverlust. Der beeinträchtigte Betrieb ist geschäftsgefährdend und die Situation als Notfall
einzustufen. Ein Service Request mit Schweregrad 1 zeichnet sich durch mindestens eine der folgenden
Eigenschaften aus:
• Beschädigte Daten
• Eine kritische dokumentierte Funktion ist nicht verfügbar
• Service-Verzögerungen von unbegrenzter Dauer, die inakzeptable oder zeitlich unbegrenzte Verzögerungen in
Bezug auf Ressourcen oder Reaktionen verursachen
• Service-Abstürze und wiederholte Abstürze nach Neustartversuchen
Oracle bemüht sich in angemessenem Maße, auf Service Requests mit Schweregrad 1 innerhalb einer
(1) Stunde zu reagieren. Oracle wird rund um die Uhr an 7 Tagen die Woche arbeiten, bis ein Service Request
mit Schweregrad 1 behoben ist, ein zumutbarer Workaround gefunden wurde oder so lange, wie ein nützlicher
Fortschritt erzielt wird. Der Kunde muss Oracle für diesen Zeitraum steter Unterstützung einen Ansprechpartner
nennen, der Oracle bei Datenerhebung, Testing und Anwendung von Korrekturen unterstützen kann. Der Kunde
ist verpflichtet, diese Schweregradklassifizierung mit Bedacht zu wählen, sodass Oracle die notwendigen
Ressourcen für tatsächliche Situationen mit Schweregrad 1 zur Verfügung stellen kann.
Schweregrad 2
Der Kunde erleidet einen schwerwiegenden Leistungsverlust. Wichtige Funktionen der Oracle Cloud Services
stehen ohne akzeptablen Workaround nicht zur Verfügung. Allerdings können die betrieblichen Abläufe eingeschränkt fortgesetzt werden.
Schweregrad 3
Der Kunde erleidet einen geringen Leistungsverlust. Die Beeinträchtigung stellt eine Unannehmlichkeit dar, die
zur Wiederherstellung der Funktionalität eventuell eines Workarounds bedarf.
Schweregrad 4
Der Kunde fordert Informationen, eine Verbesserung oder Dokumentation zur Klärung bezüglich der Oracle Cloud
Services an, doch die Ausführung des Services ist nicht beeinträchtigt. Der Kunde erleidet keinerlei Leistungsverlust.
5.4
Änderung des Service Request-Schweregrads
5.4.1 Anfänglicher Schweregrad: Zum Zeitpunkt des Eingangs eines Service Requests bei Oracle dokumentiert
Oracle den anfänglichen Schweregrad des Service Requests auf Grundlage der oben genannten SL-Definitionen.
Oracle konzentriert sich nach Annahme eines Service Requests zunächst auf die Lösung des dem Service
Request zugrundeliegenden Problems. Der Schweregrad eines Service Requests kann wie nachstehend
beschrieben angepasst werden.
5.4.2 Herabstufung eines Service Request-Schweregrads: Wenn im Laufe der Service Request-Bearbeitung der anfänglich zugewiesene Schweregrad des Problems aufgrund der aktuellen Beeinträchtigung der
Produktionsabläufe der jeweiligen Oracle Cloud Services nicht länger gerechtfertigt ist, wird der anfängliche
Schweregrad auf den Schweregrad herabgestuft, der der aktuellen Beeinträchtigung am ehesten gerecht wird.
5.4.3 Hochstufung eines Service Request-Schweregrads: Wenn im Laufe der Service Request-Bearbeitung
eine Hochstufung des anfänglich zugewiesenen Schweregrads des Problems aufgrund der aktuellen Beeinträchtigung
der Produktionsabläufe der jeweiligen Oracle Cloud Services gerechtfertigt ist, wird der anfängliche Schweregrad
auf den Schweregrad hochgestuft, der der aktuellen Beeinträchtigung am ehesten gerecht wird.
5.4.4 Einhaltung der SL-Definitionen: Der Kunde muss sicherstellen, dass Zuweisung und Anpassung von
Schweregraden je nach aktueller Beeinträchtigung der Produktionsabläufe der jeweiligen Oracle Cloud Services
auf korrekten Angaben basieren. Der Kunde bestätigt, dass Oracle nicht für die Nichteinhaltung von Leistungs-
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 10 von 17
standards verantwortlich ist, die durch die missbräuchliche oder fehlerhafte Zuweisung von Schweregraden
seinerseits entstanden sind.
5.5
Service Request-Eskalation
Bezüglich eskalierter Service Requests wird der Oracle Support-Analytiker den Oracle Service RequestEskalationsmanager einsetzen, der für das Eskalationsmanagement verantwortlich ist. Der Oracle Service
Request-Eskalationsmanager wird mit dem Kunden zusammen an der Erstellung eines Maßnahmenplans
arbeiten und angemessene Oracle Ressourcen zuweisen. Wenn das dem Service Request zugrundeliegende
Problem nicht gelöst werden kann, kann sich der Kunde an den Oracle Service Request-Eskalationsmanager
wenden, damit dieser den Service Request prüft und bei Bedarf eine Eskalation auf die nächste Stufe innerhalb
von Oracle anfordert. Um die erfolgreiche Bearbeitung eines eskalierten Service Requests zu unterstützen, muss
der Kunde Kontaktpersonen aus dem eigenen Unternehmen nennen, die auf einer Ebene tätig sind, die der
Ebene entspricht, auf die der Service Request innerhalb von Oracle eskaliert wurde.
5.6
Richtlinienbezogene Ausnahmen
Anfragen des Kunden bezüglich Ausnahmen von den Oracle Cloud Hosting and Delivery Policies müssen in
Form eines Service Requests über das Cloud Kundensupport-Portal für den jeweiligen Service (z. B. My Oracle
Support) erfolgen.
6. Oracle Cloud Suspension and Termination Policy
6.1
Beendigung von Cloud Services
6.1.1 Beendigung von Cloud Services
Für einen Zeitraum von bis zu 60 Tagen nach der Beendigung oder dem Ablauf von Produktionsservices unter
dem Auftragsdokument macht Oracle Kundenproduktionsdaten für den Abruf durch den Kunden verfügbar.
Oracle ist nicht verpflichtet, die Daten für die Zwecke des Kunden nach diesem 60-tägigen Zeitraum aufzubewahren. Customer Support Identification-Nummern (CSI-Nummern) laufen am Ende des 60-tägigen Zeitraums
aus.
6.1.2 Beendigung von Pilot-Umgebungen
Pilotprojekte von Oracle Cloud Services unterliegen denselben Richtlinien bezüglich der Beendigung von
Services wie normale Produktionsumgebungen.
6.1.3 Unterstützung des Kunden bei Beendigung
Bei der Beendigung von Services muss der Kunde, sofern er zum Zugriff auf den sicheren Server von Oracle und
zum Abrufen seiner Produktionsdaten Unterstützung von Oracle benötigt, einen Service Request im servicespezifischen Cloud Kundensupport-Portal (z. B. My Oracle Support) erstellen.
6.1.4 Sichere Datenübertragung
Im Rahmen des Service-Beendigungsprozesses stellt Oracle geschützte Protokolle zur Verfügung, mithilfe derer
entsprechend ausgewiesene Benutzer des Kunden Kundendaten aus dem Service übertragen können.
6.2
Aussetzung aufgrund eines Verstoßes
Wenn Oracle einen Verstoß gegen die Bedingungen und Konditionen der Oracle Cloud Services oder der
Richtlinie zur akzeptablen Nutzung bemerkt oder über einen solchen Verstoß in Kenntnis gesetzt wird, setzt
Oracle einen Untersuchungsbeauftragten ein. Der Untersuchungsbeauftragte kann bis zur Lösung des Problems
verschiedene Maßnahmen ergreifen, wie die Aussetzung des Zugriffs auf den Benutzer-Account, die Aussetzung
des Zugriffs auf den Administrator-Account oder die Aussetzung der Umgebung. Oracle unternimmt angemessene Anstrengungen, um die Services des Kunden umgehend wiederherzustellen, nachdem Oracle nach
vernünftigem Ermessen feststellt, dass die Probleme gelöst wurden oder die Situation behoben wurde.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 11 von 17
Anhang A – Oracle Eloqua Marketing Cloud Service
Dieser Anhang gilt für die Oracle Eloqua Marketing Cloud Service Cloud Services. In ihm werden die nachstehend
aufgeführten Abweichungen von den Oracle Cloud Hosting and Delivery Policies dargelegt.
3.3
Definition von „Verfügbarkeit“ und „ungeplante Ausfallzeit“
Für den Oracle Eloqua Marketing Cloud Service gelten folgende zusätzliche Ausnahmen:
(i)
(ii)
Probleme, die daraus entstehen, dass der Kunde den Oracle Eloqua Marketing Cloud Service mit
Hardware oder Software kombiniert oder verbindet, die nicht von Oracle bereitgestellt wird oder
von Oracle nicht in der jeweiligen Programmdokumentation als mit dem Oracle Eloqua Marketing
Cloud Service kompatibel gekennzeichnet wird, und
Probleme, die aus einer Modifizierung einer Version des Oracle Eloqua Marketing Cloud Service
hervorgehen, die nicht von Oracle durchgeführt oder schriftlich in der jeweiligen Programmdokumentation angegeben wird.
5.1.4
Oracle Cloud Support
Für den Oracle Eloqua Marketing Cloud Service gelten folgende zusätzliche Support Services:
 Nicht-technischer Kundendienst während der normalen Geschäftszeiten von Oracle (8 bis 17 Uhr
Ortszeit), basierend auf der Hauptanschrift des Kunden, die in den Auftragsdokumenten für die Services
angegeben wurde.
5.2.2 Live-Telefon-Support
Die Kontaktpersonen für technische Unterstützung des Kunden sowie Kontaktpersonen von Endnutzern können
den Live-Telefon-Support für Oracle Eloqua Marketing Cloud Services über die Telefonnummern und Kontaktinformationen nutzen, die unter http://www.oracle.com/us/corporate/acquisitions/eloqua/support-1926306.html
zu finden sind.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 12 von 17
Anhang B – Oracle Responsys Marketing Platform Cloud Service
Dieser Anhang gilt für die zusätzliche Funktion des Oracle Responsys Marketing Platform Cloud Service, mit
Ausnahme des Responsys Automatic Failover for Transactional Messages Cloud Service. In ihm werden die
nachstehend aufgeführten Abweichungen von den Oracle Cloud Hosting and Delivery Policies für solche Cloud
Services dargelegt.
1.2
Netzwerkzugriffskontrolle
Dieser Abschnitt ist nicht anwendbar.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 13 von 17
Anhang C – Oracle Standalone Cobrowse Cloud Service und Oracle RightNow
Cobrowse Cloud Service
Dieser Anhang gilt für Oracle Standalone Cobrowse Cloud Service und Oracle RightNow Cobrowse Cloud
Service. In ihm werden die nachstehend aufgeführten Abweichungen von den Oracle Cloud Hosting and Delivery
Policies für solche Cloud Services dargelegt.
Zugriff
Oracle kann auf Ihre Leistungsumgebung zugreifen, um die Cloud Services und insbesondere Service Support zu
erbringen.
1.1
Benutzerverschlüsselung für externe Verbindungen
Dieser Abschnitt ist nicht anwendbar.
1.2
Netzwerkzugriffskontrolle
Dieser Abschnitt gilt nicht für Grid-Server, die für die Cloud Services eingesetzt werden.
1.4
Anti-Virus-Kontrollen
Dieser Abschnitt ist nicht anwendbar.
1.5
Firewalls
Dieser Abschnitt gilt nicht für Grid-Server, die für die Cloud Services eingesetzt werden.
1.11 Datenverwaltung/-schutz
Dieser Abschnitt ist nicht anwendbar.
1.11.1 Transport von physischen Medien
Dieser Abschnitt ist nicht anwendbar.
1.11.2 Entsorgung von Daten
Dieser Abschnitt ist nicht anwendbar.
1.11.4. Datenschutz
Dieser Abschnitt ist nicht anwendbar.
1.12 Erfüllung der gesetzlichen Vorschriften
Dieser Abschnitt ist nicht anwendbar.
3.5.1 Überwachungs- und Test-Tools des Kunden
Dieser Abschnitt ist nicht anwendbar.
3.5.3 Automatisierte Workloads
Dieser Abschnitt ist nicht anwendbar.
4. Oracle Cloud Change Management Policy
Die Oracle Cloud Change Management Policy (Abschnitt 4) ist nicht anwendbar.
6. Oracle Cloud Suspension and Termination Policy
Die Oracle Cloud Suspension and Termination Policy (Abschnitt 6) ist nicht anwendbar.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 14 von 17
Anhang D – Oracle Marketing Cloud Service (früher bekannt als Bluekai)
Dieser Anhang gilt für Oracle Marketing Cloud Service (früher bekannt als Bluekai). In ihm werden Abweichungen
von den Oracle Cloud Hosting and Delivery Policies (die „Delivery Policies“) für solche Cloud Services dargelegt.
Sofern hierin nichts anderes angegeben wird, gilt jeder nachstehend aufgeführte Abschnitt anstelle des
ursprünglich in den Delivery Policies enthaltenen Abschnitts:
Zugriff
Oracle kann auf Ihre Leistungsumgebung zugreifen, um die Cloud Services und insbesondere Service-Support zu
erbringen.
1.1
Benutzerverschlüsselung für externe Verbindungen
Der Zugriff des Kunden auf das System erfolgt über das Internet. Für den Oracle Cloud Service-Zugriff steht SSLoder TLS-Verschlüsselungstechnologie zur Verfügung. In Bezug auf die SSL- oder TLS-Verbindungen wird eine
Verschlüsselung von mindestens 128 Bit ausgehandelt. Die Länge des zur Erzeugung des Chiffrierschlüssels
verwendeten privaten Schlüssels beträgt mindestens 2048 Bit. SSL oder TLS wird für alle von Oracle
bereitgestellten webbasierten, SSL- oder TLS-zertifizierten Anwendungen implementiert oder konfigurierbar
gemacht. Es wird empfohlen, dass für die Verbindung zu webfähigen Programmen die neusten zur Verfügung
stehenden Browser verwendet werden, die für Oracle Programme zertifiziert sind, mit höheren Chiffrierstärken
kompatibel sind und über eine erweiterte Sicherheit verfügen. In manchen Fällen kann bei einer DrittanbieterWebsite mit Cloud Services, die nicht unter der Kontrolle von Oracle steht, eine nicht-verschlüsselte Verbindung
erforderlich werden. In manchen Fällen akzeptieren Drittanbieter-Websites, die der Kunde in den Cloud Service
integrieren möchte, keine verschlüsselten Verbindungen. Bei Cloud Services, für die Oracle HTTP-Verbindungen
mit der Drittanbieter-Website erlaubt, aktiviert Oracle diese HTTP-Verbindungen zusätzlich zu HTTPSVerbindungen.
1.4
Anti-Virus-Kontrollen
Oracle Cloud nutzt dem Brachenstandard entsprechende Anti-Virus-Software. Viren werden nach ihrer
Erkennung automatisch entfernt (oder in Quarantäne verschoben), und es wird eine entsprechende Warnung
erzeugt, durch die der Incident Response-Prozess von Oracle eingeleitet wird. Die Virusdefinitionen werden
täglich aktualisiert.
1.7
Physische Sicherheitsvorrichtungen
Oracle bietet gesicherte Einrichtungen für Infrastrukturen in Büros an, z. B. mithilfe folgender Maßnahmen:




Der Zugang von Personen wird überwacht und erfordert eine entsprechende Autorisierung.
Alle Personen vor Ort müssen deutlich sichtbar einen offiziellen Ausweis an der Kleidung tragen.
Besucher müssen sich ins Besucherverzeichnis eintragen und/oder während ihres Besuchs überwacht
werden.
Es wird überwacht, wer Schüssel/Zugangskarten besitzt und in der Lage ist, die Räumlichkeiten zu
betreten. Mitarbeiter, die Oracle verlassen, müssen ihre Schlüssel/Karten zurückgeben.
Für alle Co-Locations und Standorte von Cloud Providern bestehen weitere physische Sicherheitsmaßnahmen,
die zurzeit unter anderem Sicherheitsmaßnahmen umfassen, die den SOC- und/oder SOC 1-Standards
entsprechen. (Diese Standards sehen entsprechende Programme zur physischen Sicherheit vor.)
1.8
Systemzugriffskontrolle und Passwortverwaltung
Der Zugriff auf Cloud-Systeme wird dadurch kontrolliert, dass er auf autorisiertes Personal beschränkt wird.
Oracle hat Passwortrichtlinien für Infrastrukturkomponenten und Cloud-Managementsysteme festgelegt, die zum
Betrieb der Oracle Cloud-Umgebung verwendet werden.
Zu den Systemzugriffskontrollen gehören Systemauthentifizierung, Autorisierung, Zugriffsgenehmigung und die
Vergabe und Rücknahme von Berechtigungen für Mitarbeiter und andere von Oracle angegebene „Benutzer“. Die
Verantwortung für die gesamte Endnutzerverwaltung innerhalb des Service trägt der Kunde. Obwohl der Kunde
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 15 von 17
keinen direkten Account-Verwaltungszugriff besitzt, muss er Oracle schriftlich über etwaige gewünschte
verwaltungsmäßige Konfigurationseinrichtungen und -änderungen informieren.
1.9
Prüfung von Zugriffsrechten
Die Netzwerk- und Betriebssystem-Accounts für Oracle Mitarbeiter werden regelmäßig geprüft, damit jeder
Mitarbeiter über die benötigten Zugriffsrechte verfügt. Bei einem Ausscheiden eines Mitarbeiters aus dem
Unternehmen sorgt Oracle umgehend für die Beendigung des Netzwerks- und Telefoniezugriffs sowie der
physischen Zugangsberechtigung dieses Mitarbeiters.
Für die Verwaltung und Prüfung des Zugriffs auf seine eigenen Mitarbeiter-Accounts ist der Kunde verantwortlich.
Obwohl der Kunde keinen direkten Account-Verwaltungszugriff besitzt, muss er Oracle schriftlich über etwaige
gewünschte verwaltungsmäßige Konfigurationseinrichtungen und -änderungen informieren.
1.10 Sicherheitsbezogene Wartung
Oracle führt wie jeweils in der Oracle Cloud Change Management Policy definiert sicherheitsbezogenes Change
Management und sicherheitsbezogene Wartung durch. Bei allen Sicherheitspatch-Paketen, die Oracle für
bestimmte an seine Kunden gerichteten Portale oder -oberflächen allgemein verfügbar macht, führt Oracle jeweils
einen Test des Sicherheitspatch-Pakets in einer Testumgebung des entsprechenden Cloud Service durch. Nach
einem erfolgreichen Test des Sicherheitspatch-Pakets in der Testumgebung wendet Oracle das SicherheitspatchPaket auf die Produktionsumgebung des Cloud Service an.
1.11.1 Transport von physischen Medien
Dieser Abschnitt ist nicht anwendbar.
1.11.4 Datenschutz
Dieser Abschnitt ist nicht anwendbar.
1.12 Erfüllung der gesetzlichen Vorschriften
Der Kunde trägt bei seiner Nutzung von Oracle Cloud Services die alleinige Verantwortung für die Einhaltung
gesetzlicher Vorschriften. Der Kunde muss Oracle vor Ausfertigung des Vertrags auf eventuelle technische Anforderungen hinweisen, die sich aus seinen gesetzlichen Verpflichtungen ergeben. Der Kunde darf Oracle keine
Informationen zu seinem Gesundheitszustand, Kreditkarteninformationen oder sonstige sensible personenbezogenen Daten übermitteln, deren Verarbeitung an spezifische rechtliche oder branchenbezogene Datensicherheitsverpflichtungen geknüpft ist.
2.1
Backup-Strategie für Oracle Cloud Services
Oracle führt regelmäßig Backups der Produktionsdaten im Cloud Service des Kunden durch. Diese werden von
Oracle ausschließlich zum Zwecke der Minimierung von Datenverlusten im Falle einer Katastrophe genutzt.
Oracle führt in der Regel keine Updates, Einfügungen, Löschungen oder Wiederherstellungen von Kundendaten
im Auftrag des Kunden durch. In Ausnahmefällen und unter der Voraussetzung einer schriftlichen Genehmigung
und der Zahlung zusätzlicher Vergütungen kann Oracle den Kunden allerdings bei der Wiederherstellung von
Daten aus Backups unterstützen.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 16 von 17
3.2
Angestrebtes Systemverfügbarkeitsniveau des Oracle Cloud Service
Oracle bemüht sich, die folgenden Serviceverfügbarkeitsniveaus für die Systemverfügbarkeiten einzuhalten, die
für jeweils einen Kalendermonat gemessen werden. Dies gilt ab der Aktivierung der Serviceumgebung der
Produktionsumgebung des Kunden durch Oracle:
Anwendbares System
Produktionsservice
Tag- und Pixel-Serving-Vorgänge
Angestrebtes
Systemverfügbarkeitsniveau
99,5 %
99,9 %
Definition von „Verfügbarkeit“ und „ungeplante Ausfallzeit“
3.3
Der zweite Aufzählungspunkt unten wird aus der Liste entfernt:

Geplante Ausfallzeit, geplante oder angekündigte Wartung oder Wartungsfenster, oder Ausfallzeit, die
von Oracle auf Wunsch oder Anweisung des Kunden zu Wartungszwecken, zur Aktivierung von
Konfigurationen, Erstellung von Sicherungskopien oder zu anderen Zwecken initiiert werden, die es
erforderlich machen, dass die Services vorübergehend offline gehen;
4.1.2 Umfangreiche Wartungsänderungen
Oracle behält sich das Recht vor, zur Unterstützung der Sicherstellung einer fortlaufenden Stabilität, Verfügbarkeit, Sicherheit und Leistung der Cloud Services umfangreiche Änderungen an seiner Hardwareinfrastruktur,
Betriebssoftware, Anwendungssoftware und unterstützenden Anwendungssoftware, die unter seiner Kontrolle
stehen, vorzunehmen. Alle solche Änderungsereignisse werden als geplante Wartungsarbeiten erachtet und
können dazu führen, dass die Cloud Services bis zu 24 Stunden nicht verfügbar sind. Alle solche Änderungsereignisse sollen entweder zur selben Zeit wie die Wartung des Kernsystems oder des Programm-Upgradefensters stattfinden. Oracle bemüht sich, 60 Tage vorab schriftlich über eine solche voraussichtliche Nichtverfügbarkeit zu informieren.
6.1
Beendigung von Cloud Services
Die Abschnitte 6.1.2, 6.1.3 und 6.1.4 sind nicht anwendbar.
6.1.1 Beendigung von Cloud Services
Für einen Zeitraum von bis zu 121 Tagen nach der Beendigung oder dem Ablauf von Produktionsservices unter
dem Auftragsdokument macht Oracle Kundenproduktionsdaten für den Abruf durch den Kunden verfügbar.
Oracle ist nicht verpflichtet, die Daten für die Zwecke des Kunden nach diesem 121-tägigen Zeitraum aufzubewahren. Customer Support Identification-Nummern (CSI-Nummern) laufen am Ende des 121-tägigen Zeitraums aus.
Oracle Cloud Hosting and Delivery Policies_DE_DEU
Stand: 1. Juni 2015
Seite 17 von 17
Herunterladen
Explore flashcards