TERMINOS Y CONDICIONES
Los términos y condiciones a continuación definidos se aplican para poder adquirir y operar la solución de Oneshield en cualquiera de los paquetes, durante el tiempo que se brinde el servicio y se encuentre en vigencia del contrato.
- Descripción del servicio.
1.1 Definición de Oneshield. Oneshield es una solución integral que reduce la complejidad de implementar y gestionar estrategias de ciberseguridad, además de ayudar a los clientes a protegerse contra amenazas y riesgos operativos y financieros derivados de ataques cibernéticos y también podría ayudar a cumplir con normas, leyes y políticas internas o de sus clientes.
1.2 Componentes de la solución. Oneshield fusiona en un solo contrato consultoría, tecnología avanzada, servicios de implementación, operación, monitoreo y un equipo de profesionales altamente capacitados.
En la primera etapa de servicio Oneshield ofrece brindar servicios de consultoría basados en el marco CIS[1] (Centro de Seguridad en Internet) que permitirán al cliente identificar áreas de mejora, vulnerabilidades y mejores prácticas en la definición de la estrategia de ciberseguridad.
En la segunda etapa de servicio Oneshield incluye la implementación de las tecnologías de seguridad de Microsoft necesarias para cubrir la estrategia de ciberseguridad aplicable al cliente.
En la tercera etapa de servicio Oneshield incluye la gestión del ambiente, atención a incidentes reportados por el cliente, el monitoreo, la detección y respuesta ante incidentes de seguridad, ayudando al cliente a prevenir problemas de ataques cibernéticos.
1.3 Paquetes de Oneshield. Oneshield es desarrollado como una solución que se adecúa a las necesidades y madurez de cada cliente, por lo que se han creado tres diferentes tipos de paquetes; todos los paquetes tienen un mínimo de 100 (cien) usuarios y han sido dimensionados para un máximo de 1000 (mil) usuarios.
Oneshield Protect para organizaciones o empresas en etapas iniciales de transformación digital donde se usan principalmente herramientas de colaboración y productividad en la nube.
Oneshield Defend para organizaciones o empresas con un grado mayor de adopción de la nube, donde además de los servicios de productividad utilizan ya servicios de infraestructura en la nube tipo IaaS (Infraestructura como Servicio), SaaS (Software como Servicio) o PaaS (Plataforma como Servicio).
Oneshield Comply para organizaciones o empresas con necesidades avanzadas de cumplimiento y protección de su propiedad intelectual e industrial.
- Obligaciones del Cliente.
Existen diferentes necesidades y requerimientos que el cliente deberá cumplir para que el servicio de Oneshield se pueda entregar y brindar de manera optima
2.1 Requerimientos tecnológicos. Oneshield es una solución de servicios consultivos y técnicos soportados por la tecnología de Microsoft Security, para lograr ayudar a los clientes a cumplir sus objetivos de madurez en seguridad cibernética cada plan de Oneshield requiere de suscripciones Microsoft mínimas definidas:
Cantidad de usuarios | Oneshield Protect | Oneshield Defend | Oneshield Comply |
De 100 a 300 | Microsoft 365 Business Premium[2] ó Microsoft 365 E3 + AddOn E5 Security | Microsoft 365 E3 + AddOn E5 Security ó Microsoft 365 E5 | Microsoft 365 E5 |
Más de 300 |
DICHAS SUSCRIPCIONES SE DEBERAN ADQURIR POR SEPARADO A TRAVÉS DE DISRIBUIDORES AUTORIZADOS. Además del licenciamiento de Microsoft 365 para cada usuario, el cliente deberá contar con una suscripción para la configuración de Microsoft Sentinel, solución SIEM/SOAR (Administración de eventos e información de seguridad/Orquestación, automatización y respuesta de seguridad) y utilizada por nuestro SOC/MDR (Centro de Operaciones de Seguridad/Detección y Respuesta Gestionadas). Se recomienda que dicha suscripción sea independiente y exclusiva para el servicio de Microsoft Sentinel que permita al cliente controlar el consumo de este servicio eficazmente. COSTO VARIABLE y GESTIONADO ENTRE CLIENTE Y DISTRIBUIDOR
2.2 Plataforma minima requerida. Oneshield es una solución que ayuda a los clientes a cumplir su estrategia de ciberseguridad basada en el computo en la nube, para lograr el objetivo de Oneshield el cliente deberá ya utilizar los servicios de productividad y colaboración de la suite de Microsoft 365, así como contar con una plataforma de sistema operativo en las ultimas versiones soportadas y homologada.
En caso de no cumplir con estos requisitos de infraestructura, el cliente podrá iniciar la migración a los servicios previo a la contratación de la solución de Oneshield.
2.3 Recursos Humanos. Oneshield ayudará a los usuarios o clientes desde la consultoría hasta el servicio administrado, sin embargo, durante las etapas de servicio descritas en el punto 1.2 anterior, se requiere la interacción del usuario o cliente para conocer su infraestructura, definir la estrategia de seguridad, comunicar la entrega de los servicios ya configurados y administrados.
- Contratación del servicio.
3.1 Vigencia del contrato. Oneshield esta disponible para su contratación de forma anual o trianual.
3.2 Pago del servicio. Oneshield ofrece a los clientes la modalidad de pago mensual el cual se deberá ejecutar a mes anticipado.
3.3. Renovación de contrato. Oneshield no se renueva de forma automática, por lo que el cliente deberá confirmar con 30 (treinta) días anteriores a la terminación del contrato vigente, si desea continuar y realizar la renovación del servicio, de acuerdo con las condiciones comerciales aplicables al momento de la renovación.
3.4. Moneda de pago. Oneshield se podrá pagar en México en pesos mexicanos y para los clientes de otros países el pago se realizará en dólares americanos.
3.4. Cambio de paquete. El cliente podrá cambiar el paquete de servicio durante el proceso de renovación del contrato, bajo el conocimiento de cumplir con los requisitos de licenciamiento para poder tener el servicio.
3.5 Cancelación del contrato. El contrato de Oneshield podrá ser cancelado por el cliente cubriendo la penalización por cancelación anticipada, para conocer los porcentajes de penalización refiérase a la TABLA DE PENALIZACIONES dentro del contrato de servicios.
- Alcance de los servicios.
4.1 Alcance general del servicio. Oneshield es una solución integral de servicios de seguridad cibernética, como parte de nuestro alcance se realizará el análisis y generación de la estrategia de seguridad, la configuración de la plataforma de Microsoft de acuerdo con la definición de la estrategia y el servicio administrado y monitoreo, detección, investigación y respuesta ante incidentes de seguridad.
4.2 Limitaciones y excepciones generales del servicio. Oneshield no es responsable de la protección de la infraestructura del cliente, Oneshield es una solución que ayudará a los clientes en el monitoreo, investigación y respuesta ante incidentes que se presenten durante la vigencia del contrato, sin embargo, el cliente es responsable de la seguridad de su infraestructura, así como en su caso, el resguardo de las claves de accesibilidad restringida que se llegarsen a generar con base en el Servicio.
A continuación, se describen las limitaciones y exclusiones propias del servicio de Oneshield.
Limitación de responsabilidades. El cliente acepta que, a pesar de nuestros mejores esfuerzos, no podemos garantizar una protección del 100% (cien por ciento) contra todas las amenazas cibernéticas.
En ningún caso seremos responsables por pérdidas de utilidades, pérdida de negocio, interrupción de negocios, pérdida de datos, o cualquier otro daño indirecto, especial, incidental, consecuente o punitivo que surja del uso o la incapacidad de usar nuestros servicios, incluso si hemos sido advertidos sobre la posibilidad de dichos daños.
Uso Aceptable. El cliente se compromete a utilizar nuestros servicios de acuerdo con todas las leyes y regulaciones aplicables y de manera ética y responsable.
El cliente acepta no realizar actividades que puedan interferir o dañar nuestros servicios o la seguridad de otros usuarios, ni para operar negocios ilícitos o la comisión de algún delito derivado de sus actividades.
Indemnización. El cliente acepta indemnizar, defender y eximir de responsabilidad a sus empleados, directores y afiliados de cualquier reclamación, responsabilidad, daño, costo o gasto, incluyendo honorarios legales razonables, que surjan del uso de nuestros servicios o su violación de estos Términos.
En caso, que un empleado, colaborador, director, representante, apoderado o personal del Cliente utilice los Servicios Oneshield para la comisión de un delito o violatorios de alguna ley, dicha persona será la responsable ante las autoridades competentes, debiendo el Cliente sacar en paz y salvo a los empleados, colaboradores, directores, representantes o apoderados de Oneshield.
Licenciamiento, herramientas. Oneshield no contempla como parte del servicio la entrega de licencias y/o suscripciones, herramientas, etc. para que los servicios de seguridad funcionen, es responsabilidad del cliente la contratación de estos insumos.
Análisis de herramientas y pruebas de penetración. Para la construcción de la estrategia de ciberseguridad a aplicar no se contempla la ejecución de pruebas de penetración o validación de configuraciones actuales.
Configuración de las herramientas de productividad y colaboración. Dentro de la suite de Microsoft 365 existen diferentes herramientas que ayudarán al cliente a ser más productivos en su día a día, Oneshield no contemple en ninguna medida la configuración de alguno de estos servicios, para mayor detalle refiérase al ANEXO DE SERVICIOS SOPORTADOS Y NO SOPORTADOS en el contrato.
Gestión del cambio. Oneshield no incluye el uso de metodologías, materiales, capacitaciones, etcétera, para ayudar al cliente en las estrategias de Gestión del cambio y evangelización de los riesgos de seguridad cibernética.
4.3 Alcance de servicio SOC/MDR. Oneshield ofrece el servicio administrado bajo las siguientes premisas.
Servicio de Monitoreo, Detección y Respuesta en esquema 7x24x365 (siete días por veinticuatro horas por trescientos sesenta y cinco días), soportado por el aprovechamiento de la 1 (una) plataforma SIEM Microsoft Sentinel.
Monitoreo y detección de amenazas en tiempo real: Microsoft Sentinel y un servicio de SOC/MDR trabajando juntos proporcionan una detección temprana de las amenazas y una respuesta rápida a los incidentes.
Utilización de técnicas avanzadas a partir de la tecnología de Microsoft Sentinel y el conocimiento del equipo técnico en el análisis de amenazas para identificar patrones de ataques y prevenir futuros ataques.
Proporciona acceso a expertos en seguridad altamente capacitados que pueden ofrecer asesoramiento y orientación para mejorar la postura general de seguridad cibernética de la organización o empresa.
El cliente contará con una mesa de ayuda donde podrá levantar solicitudes de atención, poniendo a disposición del cliente acceso web, correo electrónico y telefónico para el levantamiento de solicitudes de servicio.
Equipo de atención. El SOC/MDR ofrece diferentes niveles para la atención de los incidentes de seguridad.
Nivel 1: Operación;
Nivel 2: Respuesta a incidentes;
Nivel 3: Cacería de amenazas;
Nivel 4: Dirección estratégica.
4.4 Limitaciones y exclusiones del SOC/MDR. A continuación, se describen las limitaciones y exclusiones propias del servicio de SOC/MDR (Centro de Operaciones de Seguridad/Detección y Respuesta Gestionadas).
Fuentes conectadas al servicio SIEM y monitoreadas por el SOC/MDR. Únicamente las fuentes de los servicios de seguridad de Microsoft 365 se van a conectar al servicio, la herramienta soporta la integración de fuentes externas en nube u on-premise (en la premisa), sin embargo, estas están fuera del alcance.
Falsos positivos y falsos negativos. Ningún sistema de detección es perfecto, y existe la posibilidad de que se generen falsos positivos (alertas incorrectas) o falsos negativos (amenazas no detectadas), sin embargo, el equipo estaría monitoreando para reducir esta posibilidad.
Adaptación a nuevas amenazas. El equipo SOC/MDR trabajarán para reducir esta posibilidad, sin embargo, es conocido que los atacantes modernizan sus opciones de ataque.
4.5 Alcance de servicio administrado. Oneshield contempla como parte de la entrega del servicio la gestión y servicio administrado de la plataforma de seguridad de Microsoft:
Altas, Bajas y Cambios. Parte del servicio contempla la modificación de las reglas, políticas creadas durante la implementación del servicio si es necesario adaptar de acuerdo con las necesidades del negocio.
Atención 5×8. La atención de solicitudes de servicio se realizará bajo un esquema 5×8 (si el cliente requiere hacer algún cambio, creación, ajuste, etcétera en una política, regla o condición de seguridad, si tiene algún incidente o problema reportado que se deba verificar en la configuración del servicio).
Plataforma de contacto. El cliente contara con diferentes alternativas para levantar una solicitud de servicio, como son: plataforma web, correo electrónico, número telefónico.
Presentación de estatus del servicio. Como parte del servicio, el cliente contará con un contacto principal de atención el cual definirá sesiones trimestrales con el cliente para compartir el estatus del servicio en general incluyendo y no limitando temas como: solicitudes de atención y el estado de estas. Estado de la protección y también compartir recomendaciones de industria que puedan hacer sentido al cliente.
4.6 Limitaciones y exclusiones del servicio administrado. A continuación, se describen las limitaciones y exclusiones propias del servicio administrado.
Soporte y Gestión de herramientas de productividad y colaboración. Durante la etapa de servicio administrado Oneshield no brindará soporte sobre los servicios de colaboración y productividad de Microsoft y/o terceros. Durante la gestión de incidentes se revisará el caso y si no es referente a las herramientas de seguridad se informará al cliente y/o proveedor de soporte para su atención y seguimiento y se dará por finalizado desde la atención de Oneshield.
4.7 Suspensión parcial o total del Servicio. Oneshield a su elección podrá suspender temporalmente o definitivamente el servicio al Cliente por falta de pago de una o dos mensualidades, dando paso a la rescisión y cobro de la pena convencional establecidos en el Contrato.
- Propiedad intelectual
5.1 Propiedad intelectual. Oneshield es un servicio integral de servicios soportado por el equipo de especialistas de SECURE NEXTGEN SYSTEMS, S.A. DE C.V., la metodología de trabajo y entrega de los servicios, así como los paquetes definidos han sido elaborados bajo el conocimiento especializado de los diferentes equipos para entregar una solución completa a cada uno de los clientes.
- Confidencialidad del servicio
6.1 Acuerdo de no divulgación. Oneshield es una solución de SECURE NEXTGEN SYSTEMS, S.A. DE C.V., para garantizar la confidencialidad de la información el cliente y SECURE NEXTGEN SYSTEMS, S.A. DE C.V., firmaran un acuerdo de confidencialidad para más detalle referirse al Acuerdo de Confidencialidad como parte de la firma y aprobación del contrato.
Oneshield esta soportado ante el cliente bajo un contrato de servicios y podrán identificar y revisar a mayor detalle el apartado de confidencialidad en clausula vigésima.
- Ley y jurísdicción aplicable.
Para la interpretación y cumplimiento de los presentes términos y condiciones las partes se somenten de conformidad con lo que establezcan las leyes de la legislación en México, así como a la jurísdicción de los tribunales de la Ciudad de México renunciando expresamente a cualquier otro fuero que pudiere corresponderles por razón de sus domicilios presentes o futuros.
Al utilizar nuestros servicios el cliente reconoce haber leído, comprendido y aceptado estos Términos y Condiciones en su totalidad.
[1] CIS fue creado a finales de la década de 2000 por una coalición de expertos y voluntarios con el objetivo de crear un marco para proteger a las empresas de ciberseguridad. Se compone de 20 controles que son actualizados regularmente por expertos de todos los campos (gobierno, academia e industria) para ser consistentemente modernos y estar por delante de las amenazas de ciberseguridad (https://www.cisecurity.org/)
[2] Microsoft Business Premium por regla del fabricante no podrá ser utilizado para empresas con más de 300 usuarios.