Oracle Cloud Hosting and Delivery Policies Data di Efficacia: 1 dicembre 2014 Versione 1.4

Transcript

1 Oracle Cloud Hosting and Delivery Policies Data di Efficacia: 1 dicembre 2014 Versione 1.4 Se non diversamente stabilito, le presenti Oracle Cloud Hosting and Delivery Policies (le Delivery Policy ) descrivono i Servizi Cloud di Oracle ordinati dal Cliente. Le presenti Delivery Policy possono fare riferimento ad altri documenti relativi a Policy Cloud di Oracle; ogni riferimento al Cliente, operato nelle presenti Delivery Policy o in altri documenti, è usato per indicare il Cliente in base alla definizione di cui al documento d ordine. I termini in maiuscolo non definiti nel presente documento avranno il significato loro attributo nell Accordo Oracle, nel documento d ordine o nella policy rilevante. Panoramica e indice dei contenuti I Servizi Cloud qui descritti sono forniti ai sensi dell accordo, del documento d ordine e delle presenti Delivery Policy. La prestazione dei servizi da parte di Oracle è subordinata all osservanza da parte del Cliente e dei suoi utenti delle obbligazioni e delle responsabilità definite in tali documenti e policy incorporate. Le presenti Policy e i documenti in esse richiamati sono soggetti a modifica a discrezione di Oracle; in ogni caso, durante il Periodo dei Servizi, le modifiche apportate da Oracle alle Policy non potranno comportare una riduzione significativa del livello di prestazioni, sicurezza o disponibilità dei Servizi Cloud forniti al Cliente. Accesso Oracle fornisce i Servizi Cloud mediante il data center di sua proprietà o dato in locazione. Oracle definisce i servizi di rete e le architetture di sistema, nonché i requisiti hardware e software. Oracle potrà accedere all ambiente dei servizi del Cliente ai fini della prestazione dei Servizi Cloud, ivi compresa la fornitura dei servizi di supporto. Orario di operatività I Servizi Cloud sono disponibili 24 ore su 24, 7 giorni su 7, 365 giorni l anno, ad eccezione dei periodi di manutenzione del sistema e di aggiornamento tecnologico, nonché nei casi previsti dall accordo, dal documento d ordine e dalle presenti Delivery Policy. Le presenti Cloud Hosting and Delivery Policies includono quanto segue: 1. Oracle Cloud Security Policy 2. Oracle Cloud System Resiliency Policy 3. Oracle Cloud Service Level Objective Policy 4. Oracle Cloud Change Management Policy 5. Oracle Cloud Support Policy 6. Oracle Cloud Suspension and Termination Policy 1. Oracle Cloud Security Policy 1.1 Crittografia utente per le connessioni esterne Il Cliente accede al sistema mediante Internet. La tecnologia di crittografia SSL è disponibile per l accesso ai Servizi Cloud Oracle. Le connessioni SSL sono negoziate mediante un sistema di crittografia almeno a 128 bit o superiore. La chiave privata utilizzata per la generazione della chiave cifrata è almeno di 2048 bit. La tecnologia SSL è implementata o configurabile per tutti i programmi basati sul web certificati SSL e distribuiti da Oracle. Si consiglia di utilizzare i più recenti browser certificati per l impiego dei programmi Oracle. Tali browser, presentando un elevato livello di cifratura e una maggiore sicurezza, possono essere utilizzati per connettersi a programmi basati sul web. L elenco dei browser certificati per ciascuna versione dei programmi Oracle è disponibile per la consultazione sul Portale di Supporto dei Clienti Cloud previsto da Oracle per un uno specifico servizio ordinato (ossia il portale My Oracle Support). In alcuni casi, un sito di terzi utilizzato con i servizi cloud e non sotto il controllo di Oracle potrebbe forzare una connessione non crittografata. In alcuni casi, un sito di terzi (come, ad esempio, Facebook) che il Cliente desideri integrare nel Servizio Cloud potrebbe non accettare una connessione Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 1 di 17

2 crittografata. Per i Servizi Cloud nei quali siano consentite connessioni HTTP con il sito di terzi, Oracle potrà abilitare tali connessioni HTTP in aggiunta alla connessione HTTPS. 1.2 Controllo di accesso alla rete I team operativi Oracle Cloud accedono agli ambienti del Cliente mediante una connessione di rete separata, la quale è espressamente dedicata all ambiente di controllo dell accesso ed è isolata dal traffico di rete aziendale interno di Oracle. Autenticazione, autorizzazione e accounting sono implementati mediante sistemi di sicurezza standard progettati per assicurare l accesso ai sistemi esclusivamente alle operazioni approvate e ai tecnici di supporto. 1.3 Larghezza di banda della rete e latenza Oracle non è responsabile per le connessioni di rete del Cliente o per condizioni o problemi derivanti o correlati a connessioni di rete del Cliente (ad esempio, per problemi di banda, latenza eccessiva, interruzioni di rete) o causati da Internet. Oracle monitora le proprie reti e comunicherà ai Clienti ogni problema interno che possa inficiarne la disponibilità. 1.4 Controlli antivirus Oracle Cloud impiega software antivirus per analizzare i file caricati. I virus rilevati sono rimossi (o posti in quarantena) automaticamente e altrettanto automaticamente viene generato un avviso che dà inizio al procedimento di risposta agli incidenti adottato da Oracle. Le definizioni dei virus sono aggiornate giornalmente. 1.5 Firewall I Servizi Cloud Oracle utilizzano firewall per controllare l accesso tra Internet e Oracle Cloud, consentendo esclusivamente il traffico autorizzato. I firewall sono impiegati da Oracle mediante un approccio a livelli per effettuare l ispezione dei pacchetti secondo policy di sicurezza configurate in modo da filtrare i pacchetti in base al protocollo, alla porta, alla sorgente e all indirizzo IP di destinazione, a seconda dei casi, al fine di identificare sorgenti, destinazioni e tipi di traffico autorizzati. 1.6 Hardening del sistema Oracle adotta pratiche standardizzate di hardening del sistema su tutti i dispositivi Oracle Cloud. Tali pratiche comprendono protocolli di limitazione degli accessi, rimozione o disabilitazione dei software e servizi non necessari, rimozione degli account utente non necessari, gestione delle patch e logging. 1.7 Misure di sicurezza fisiche Oracle fornisce strutture di elaborazione sicure sia per gli uffici che per l infrastruttura cloud di produzione. I controlli comunemente effettuati tra i luoghi degli uffici e i luoghi dei data center attualmente includono, a titolo esemplificativo: Autorizzazione e controllo degli accessi fisici Tutti i soggetti presenti sul luogo devono indossare identificativi ufficiali ben visibili I visitatori devono firmare un apposito registro ed essere accompagnati e/o osservati durante la loro presenza in loco Il possesso di chiavi o tessere d accesso e l autorizzazione all accesso sono monitorati. I dipendenti che lasciano Oracle devono riconsegnare le proprie chiavi o tessere Ulteriori misure di sicurezza fisiche sono adottate per tutti i data center Oracle Cloud, attualmente tali misure comprendono: Controllo dei luoghi mediante CCTV Protezione delle entrate mediante barriere fisiche progettate per prevenire l ingresso non autorizzato dei veicoli Le entrate sono sorvegliate 24 ore su 24, 365 giorni l anno da guardie di sicurezza incaricate del riconoscimento visivo dell identità e della gestione dell accompagnamento dei visitatori Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 2 di 17

3 1.8 Controllo dell accesso al sistema e gestione password L accesso ai sistemi Oracle Cloud è controllato mediante limitazione al solo personale autorizzato. Oracle adotta policy di sicurezza delle password sui componenti dell infrastruttura e sui sistemi di gestione cloud impiegati per il funzionamento dell ambiente Oracle Cloud. Il sistema di controllo degli accessi include autenticazione, autorizzazione, approvazione degli accessi, fornitura e revoca per i dipendenti e qualsiasi altro soggetto considerato utente da Oracle. Il Cliente è responsabile per l amministrazione di tutti gli Utenti Finali nell ambito del programma. Oracle non gestisce gli account degli Utenti Finali del Cliente. Il Cliente può configurare i programmi e funzioni di sicurezza aggiuntive. 1.9 Verifica dei diritti di accesso Gli account relativi alla rete e al sistema operativo dei dipendenti Oracle sono verificati regolarmente al fine di assicurare i corretti livelli di accesso dei dipendenti medesimi. In caso di cessazione del rapporto di lavoro, Oracle adotterà le misure idonee ad impedire l accesso di rete, telefonico e fisico a tali ex dipendenti. Il Cliente è responsabile per la gestione e verifica degli accessi in relazione agli account dei propri dipendenti Manutenzione riguardante la sicurezza Oracle esegue la gestione e manutenzione delle modifiche riguardanti la sicurezza come previsto e descritto nella Oracle Cloud Change Management Policy. Per qualsiasi pacchetto di patch di sicurezza reso disponibile da parte di Oracle per i Programmi Oracle designati, Oracle stessa applicherà e proverà tale pacchetto di patch di sicurezza su un ambiente di staging del relativo Servizio Cloud. Oracle applicherà il pacchetto di patch di sicurezza all ambiente di produzione del Servizio Cloud solo dopo aver completato con successo la fase di testing nell ambiente di staging a tale scopo destinato Protezione e gestione dei dati Durante l utilizzo dei servizi Cloud Oracle, i Clienti di tali servizi conservano il controllo e la responsabilità in relazione ai propri dati residenti nel loro ambiente. I servizi Cloud Oracle forniscono una varietà di strumenti configurabili per la protezione delle informazioni quale parte del servizio sottoscritto. I dati del Cliente sono caricati o generati per l uso nell ambito dei Servizi Cloud Oracle Media fisici in transito Il personale designato da Oracle gestisce i media e li prepara per il trasporto in base alle procedure previste e solo ove richiesto. I media digitali sono registrati, crittografati, trasportati in sicurezza e quant altro necessario ai fini dell archiviazione di backup presso un fornitore terzo in altro luogo. I fornitori sono contrattualmente obbligati a conformarsi alle condizioni stabilite da Oracle per la protezione dei media Cancellazione dei dati A seguito della cessazione dei servizi (come descritto nella Oracle Cloud Suspension and Termination Policy) o su richiesta del Cliente, Oracle provvederà alla cancellazione degli ambienti o dei dati ivi presenti, secondo modalità atte a garantire l accesso o la lettura dei medesimi, salvo che non vi sia un obbligo giuridico che vieti a Oracle la cancellazione totale o parziale dei summenzionati ambienti o dati Risposta agli incidenti di sicurezza Oracle valuta e risponde agli incidenti determinanti sospetti di accesso o gestione non autorizzata dei dati del Cliente sia ove tali dati siano presenti su hardware di Oracle che su hardware personale dei dipendenti o collaboratori di Oracle medesima. Quando il team Global Information Security (GIS) di Oracle viene informato di tali incidenti, a seconda della natura dell attività, il GIS medesimo definisce percorsi di escalation e team di risposta al fine di risolvere tali incidenti. In risposta ai suddetti incidenti, il GIS lavorerà al fianco del Cliente, dei team tecnici appropriati, nonché, ove necessario, delle forze dell ordine. Gli obiettivi della risposta agli incidenti consisteranno nel ripristinare la riservatezza, integrità e disponibilità dell ambiente del Cliente e nello stabilire cause e rimedi. Lo staff operativo dispone di procedure documentate volte a risolvere gli incidenti in caso di gestione non autorizzata dei dati, tra cui un rapporto tempestivo e ragionevole, delle procedure di escalation e pratiche di catena di custodia. Qualora Oracle dovesse rilevare un appropriazione indebita dei dati del Cliente, Oracle medesima la segnalerà entro tre giorni lavorativi dalla suddetta rilevazione, salvo divieti di legge. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 3 di 17

4 Data Privacy L Accordo denominato Data Processing Agreement for Oracle Cloud Services ( Accordo Data Processing ) e la Oracle Services Privacy Policy descrivono il trattamento, da parte di Oracle, dei dati presenti sui sistemi Oracle (ivi comprese le informazioni di identificazione personale o PII ), la quale potrà accedervi in relazione alla fornitura dei Servizi Cloud. L Accordo Data Processing descrive i rispettivi ruoli di Oracle e del Cliente in relazione al trattamento e controllo dei dati personali forniti dal Cliente medesimo a Oracle nell ambito dei Servizi Cloud. Tali documenti sono disponibili all indirizzo: Oracle Services Privacy Policy: Data Processing Agreement for Oracle Cloud Services: Conformità alle normative I servizi Cloud Oracle sono conformi agli standard di sicurezza ISO (International Organization for Standardization) 27001:2013. Il framework di sicurezza ISO comprende una serie di controlli di sicurezza utilizzati come base per i controlli operativi e di sicurezza impiegati nella gestione e protezione del Servizio Cloud Oracle; tale framework non include, però, la certificazione ISO I controlli interni dei Servizi Cloud Oracle sono soggetti a testing periodici svolti da organizzazioni di verifica terze e indipendenti. Tali verifiche possono essere effettuate in base allo Statement on Standards for Attestation Engagements (SSAE) No. 16, al Reporting on Controls at a Service Organization ( SSAE 16 ), all International Standard on Assurance Engagements (ISAE) No. 3402, all Assurance Reports on Controls at a Service Organization ( ISAE 3402 ), o a standard o procedure delle summenzionate organizzazioni di verifica terze, che siano applicabili allo specifico Servizio Cloud Oracle. I rapporti di verifica relativi ai Servizi Cloud Oracle sono pubblicati periodicamente dalle organizzazioni di verifica terze, anche se tali rapporti potrebbero non essere sempre disponibili per tutti i servizi. Il Cliente può richiedere di ricevere una copia del rapporto di verifica correntemente pubblicato e disponibile per un determinato Servizio Cloud Oracle. I rapporti di verifica relativi ai Servizi Cloud Oracle, e le informazioni ivi contenute, sono da considerarsi confidenziali di Oracle e devono essere gestiti dal Cliente conformemente a tale loro natura. I suddetti rapporti possono essere utilizzati dal Cliente al solo scopo di valutazione della progettazione ed effettiva operatività dei controlli previsti per i pertinenti Servizi Cloud Oracle e sono forniti senza alcuna garanzia. Il Cliente è il solo responsabile per la propria conformità alle normative nel suo utilizzo di qualsiasi Servizio Cloud Oracle. Il Cliente deve informare Oracle di tutti i requisiti tecnici derivanti dai propri obblighi di legge prima della sottoscrizione del contratto. Alcuni servizi Cloud Oracle sono certificati per gli standard PCI DSS o FISMA/NIST e ulteriori certificazioni e conformità a specifici sistemi normativi nell ambito del Servizio Cloud Oracle possono essere disponibili dietro corrispettivi aggiuntivi. Il Cliente non deve fornire a Oracle informazioni relative a salute, carte di pagamento o altri dati personali sensibili che implicano obblighi normativi, di legge o contrattuali aventi ad oggetto la sicurezza dei dati in relazione al trattamento dei suddetti dati; tuttavia, ove disponibile per determinati Servizi Cloud, Oracle potrà offrire per l acquisto da parte dei Clienti Cloud servizi aggiuntivi progettati per il trattamento dei dati effettuato nell ambiente dei servizi. I suddetti servizi aggiuntivi non sono disponibili per tutti i Servizi Cloud. Oracle è consapevole del fatto che alcuni Clienti possano avere obblighi normativi di verifica e, pertanto, coopererà in tali casi con il Cliente come descritto nell Accordo Data Processing Oracle Software Security Assurance Oracle Software Security Assurance (OSSA) è la metodologia adottata da Oracle per l implementazione della sicurezza nella progettazione, costruzione, testing e manutenzione dei suoi servizi. Il programma OSSA è descritto all indirizzo Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 4 di 17

5 2. Oracle Cloud System Resiliency Policy 2.1 Strategia di backup dei Servizi Cloud Oracle Oracle effettua periodicamente backup dei dati di produzione presenti nel Servizio Cloud Oracle del Cliente al solo scopo di minimizzare il rischio di perdita di tali dati in caso di disastro. Di solito, Oracle non aggiorna, inserisce, cancella o ripristina i dati del Cliente per conto di quest ultimo. A ogni modo, in via di eccezione e dietro approvazione scritta e pagamento di corrispettivi aggiuntivi, Oracle può assistere il Cliente nel ripristino dei dati andati perduti a seguito di condotte del Cliente stesso. 3. Oracle Cloud Service Level Objective Policy 3.1 Disposizioni sulla disponibilità del servizio A partire dall attivazione, da parte di Oracle, dell ambiente di produzione del Cliente, e a condizione che il Cliente rimanga conforme alle condizioni del documento d ordine (compreso l accordo) e soddisfi i requisiti minimi consigliati della configurazione tecnica per l accesso e l utilizzo dei servizi dall infrastruttura di rete e dalle workstation utente del Cliente come previsto nella Documentazione di Programma del Servizio Cloud, Oracle opera al fine di soddisfare il Livello Obiettivo di Disponibilità del Servizio in conformità con le condizioni di cui alla presente Policy. Nelle presenti Delivery Policy, il riferimento al termine produzione indica (i) nel contesto dell offerta Cloud Software as a Service di Oracle, le istanze di produzione di tali servizi, o (ii) nel contesto dell offerta Cloud Platform as a Service di Oracle, le istanze di sviluppo di tali servizi. 3.2 Livello Obiettivo di Disponibilità del Sistema in relazione al Servizio Cloud Oracle Oracle opera affinché sia assicurato al Cliente un Livello Obiettivo di Disponibilità del Sistema pari al 99,5% del servizio di produzione, per un periodo di misurazione pari a un mese di calendario, con decorrenza dall attivazione, da parte di Oracle, dell ambiente di produzione. 3.3 Definizione di disponibilità e inattività imprevista Disponibilità o disponibile indica la possibilità per il Cliente di effettuare il login e accedere alla porzione OLTP o transazionale dei Servizi Cloud Oracle, in base alle disposizioni di seguito riportate. Inattività Imprevista indica un lasso di tempo nel quale i servizi non sono disponibili, ma non include qualsiasi periodo nel quale i servizi o un componente degli stessi non sono disponibili a causa di: Guasto, riduzione delle prestazioni o malfunzionamento determinato da script, dati, applicazioni, attrezzature, infrastrutture, software, test di penetrazione, test delle performance o agenti di monitoraggio controllati, forniti o eseguiti dal Cliente; Le interruzioni pianificate, le manutenzioni programmate e preannunciate o i periodi di manutenzione o le interruzioni avviate da Oracle su richiesta o direzione del Cliente per manutenzione, attivazione di configurazioni, backup o altre attività che richiedano la temporanea indisponibilità del servizio; L indisponibilità dei servizi di gestione, ausiliari o amministrativi, ivi compresi gli strumenti di amministrazione, i servizi di rapporto, le utility, i componenti software di terzi non sotto l esclusivo controllo di Oracle o altri servizi di supporto all elaborazione delle transazioni centrali; Interruzioni determinate da una qualsiasi azione o omissione posta in essere da Oracle su richiesta o direzione del Cliente; Interruzioni determinate da attrezzature del Cliente o di terzi o da componenti software non sotto l esclusivo controllo di Oracle; Eventi determinati da un interruzione o arresto dei servizi a causa di circostanze ragionevolmente considerate da Oracle una significativa minaccia alla normale operatività dei servizi, all infrastruttura operativa, alla struttura mediante la quale i servizi sono forniti, all accesso o integrità dei dati del Cliente (ad esempio, un attacco hacker o malware); Interruzioni dovute ad amministrazione del sistema, comandi o trasferimenti di file eseguiti dagli utenti o dai rappresentanti del Cliente; Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 5 di 17

6 Interruzioni dovute ad attacchi denial of service, disastri naturali, modifiche derivanti da azioni governative, politiche o di altre autorità o da provvedimenti giudiziari, scioperi o vertenze sindacali, episodi di disobbedienza civile, guerre, atti contro le parti (inclusi i vettori e altri fornitori di Oracle) e altre cause di forza maggiore; Impossibilità di accedere ai servizi o interruzioni causate da condotte del Cliente, compresa negligenza o violazione delle obbligazioni sostanziali di cui all accordo o per altre circostanze al di fuori del controllo di Oracle; Mancanza di disponibilità o risposta tardiva del Cliente a incidenti che richiedono l intervento dello stesso per identificarne la fonte e/o essere risolti, compreso l adempimento delle responsabilità del Cliente riguardo qualsiasi servizio; Interruzioni causate da guasti o fluttuazioni relative a elettricità, connessione, rete o apparecchiature di telecomunicazioni o linee dovute a comportamenti del Cliente o a circostanze che esulino dal controllo di Oracle. 3.4 Misurazione della disponibilità Successivamente alla fine di ciascun mese di calendario del Periodo dei Servizi ai sensi del documento d ordine, Oracle misura il Livello di Disponibilità del Sistema relativamente al mese immediatamente precedente. Oracle misura il Livello di Disponibilità del Sistema dividendo la differenza tra il numero totale di minuti nel periodo mensile di misurazione e ogni periodo di Inattività Imprevista per il numero totale di minuti del periodo di misurazione e moltiplicando il risultato per 100 per ottenere una figura percentuale. 3.5 Monitoraggio Oracle utilizza diversi strumenti software al fine di monitorare (i) la disponibilità e le prestazioni dell ambiente di produzione dei servizi del Cliente e (ii) l operatività dell infrastruttura e dei componenti di rete Strumenti di monitoraggio e testing del Cliente In ragione delle conseguenze potenzialmente negative su prestazioni e disponibilità del servizio, il Cliente non può utilizzare i propri strumenti di monitoraggio e testing (ivi comprese le interfacce utente e le chiamate di servizio web a un qualsiasi Servizio Cloud Oracle) al fine di tentare, direttamente o indirettamente, la misurazione della disponibilità, delle prestazioni o della sicurezza di qualsivoglia programma o funzione di un componente del servizio nell ambiente dei servizi. Oracle si riserva il diritto di rimuovere o disabilitare l accesso a qualsiasi strumento che violi le precedenti limitazioni senza alcuna responsabilità nei confronti del Cliente Carichi di lavoro del Cliente Il Cliente non può apportare modifiche significative al carico di lavoro oltre il limite consentito in base ai diritti forniti ai sensi del documento d ordine Carichi di lavoro automatizzati Il Cliente non può utilizzare, né autorizzare l uso di, strumenti o tecnologie di scraping allo scopo di raccogliere i dati disponibili mediante l interfaccia utente del Servizio Cloud Oracle o per il tramite di chiamate di servizio web senza espressa autorizzazione scritta di Oracle. Oracle si riserva il diritto di richiedere al Cliente la validazione e il testing degli strumenti di scraping dei dati proposti dal Cliente stesso prima del loro utilizzo in produzione e di sottoporli annualmente a testing e validazione. Oracle potrebbe richiedere una dichiarazione scritta del lavoro da eseguire ai fini della prestazione di tale testing o lavoro di validazione. 4. Oracle Cloud Change Management Policy 4.1 Gestione delle modifiche e manutenzione Oracle Cloud Il team operativo Oracle Cloud apporta modifiche all infrastruttura hardware cloud, al software operativo, ai prodotti software e al software delle applicazioni di supporto al fine di mantenere stabilità operativa, disponibilità, sicurezza, prestazioni e diffusione del Cloud Oracle. Oracle segue procedure formali di gestione delle modifiche per fornire la necessaria verifica, il testing e l approvazione delle modifiche prima di applicarle all ambiente di produzione Oracle Cloud. Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 6 di 17

7 Le modifiche effettuate mediante le procedure di gestione delle modifiche includono attività di manutenzione di sistema e di servizio, upgrade e aggiornamenti e modifiche specifiche del Cliente. Le procedure di gestione delle modifiche Oracle Cloud sono progettate per ridurre al minimo l interruzione del servizio. Per modifiche e upgrade specifici del Cliente, ove possibile, Oracle opererà al fine di coordinare i periodi di manutenzione con il Cliente stesso. Per le modifiche che si prevede possano causare l interruzione del servizio, Oracle opererà al fine di fornire una previa comunicazione di tale interruzione. La durata dei periodi di manutenzione relativi alla manutenzione programmata non sono inclusi nel calcolo dei minuti del tempo di Inattività Imprevista nella misurazione mensile periodica relativa al Livello di Disponibilità del Sistema (si veda la Oracle Cloud Service Level Objective Policy ). Oracle compirà ogni sforzo commercialmente ragionevole per minimizzare il ricorso a tali periodi di manutenzione programmata e per minimizzare la durata delle manutenzioni determinanti l interruzione del servizio Manutenzione di emergenza Oracle potrebbe dover eseguire periodicamente una manutenzione di emergenza al fine di proteggere sicurezza, prestazioni, disponibilità o stabilità dell ambiente dei servizi. La manutenzione di emergenza può includere patching dei programmi e/o manutenzione del sistema centrale come richiesto. Oracle lavorerà al fine di minimizzare il ricorso alla manutenzione di emergenza e opererà per fornire comunicazione con preavviso di 24 ore di qualsiasi manutenzione di emergenza che richieda un interruzione del servizio Modifiche di manutenzione maggiori Al fine di assicurare in modo continuativo stabilità, disponibilità, sicurezza e prestazioni dei Servizi Cloud, Oracle si riserva il diritto di apportare modifiche maggiori alla sua infrastruttura hardware, al software operativo, alle applicazioni software e alle applicazioni software di supporto che siano sotto il suo controllo, non più di due volte per anno. Ciascuna delle suddette modifiche è considerata manutenzione programmata e può determinare l indisponibilità dei Servizi Cloud per un periodo massimo di 24 ore. Ciascuna delle suddette modifiche dovrebbe verificarsi, tendenzialmente, contestualmente alla manutenzione del sistema centrale o alla finestra di aggiornamento programmata. Oracle opererà al fine di comunicare fino a 60 giorni prima tale indisponibilità. 4.2 Versione del software Upgrade e aggiornamenti del software Oracle richiede a tutti i Clienti dei Servizi Cloud di mantenere le versioni del software dei Servizi Cloud Oracle aggiornate con le versioni del software designate da Oracle medesima come generalmente disponibili (GA). Per i Servizi Cloud che supportano più versioni, Oracle, di solito, designa la versione corrente e quella immediatamente precedente come versioni GA. Oracle può fornire comunicazione dell uscita di GA di specifici Servizi Cloud sul portale di supporto o nell ambito delle Specifiche di Servizio relative ai Servizi Cloud. Aggiornamenti del software seguiranno all uscita di ogni versione GA e sono richiesti per mantenere la versione corrente. Le Oracle Cloud Hosting and Delivery Policies, quali la Service Levels Objective Policy e la Cloud Support Policy, dipendono dal mantenimento, da parte del Cliente, della corrente versione GA. Oracle non è responsabile per i problemi inerenti alle prestazioni o sicurezza dei Servizi Cloud che possano derivare dall esecuzione di versioni precedenti Funzioni obsolete Una funzione obsoleta consiste in una funzione presente in versioni precedenti o esistenti del Servizio Cloud ed ancora supportata come parte del servizio, ma per cui Oracle ha comunicato che verrà eliminata in versioni future. Oracle compie ogni ragionevole sforzo al fine di comunicare le funzioni obsolete con un trimestre di anticipo rispetto alla loro rimozione e si riserva il diritto di dichiarare obsolete, modificare o rimuovere funzioni da qualsiasi nuova versione senza alcun preavviso. 5. Oracle Cloud Support Policy Il supporto descritto nella presente Cloud Support Policy si applica a qualsiasi Servizio Cloud Oracle fornito da Oracle quale parte di tali servizi ai sensi del documento d ordine. Il Cliente può acquistare servizi aggiuntivi per Oracle Cloud mediante un altra offerta di servizio di supporto Oracle designata da Oracle medesima per i Servizi Cloud. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 7 di 17

8 5.1 Condizioni di supporto Oracle Cloud Corrispettivi del supporto I corrispettivi pagati dal Cliente per i Servizi Cloud Oracle offerti ai sensi del documento d ordine includono il supporto descritto nella presente Oracle Cloud Support Policy. In relazione ai servizi di supporto addizionali offerti da Oracle e acquistati dal Cliente, saranno applicabili dei corrispettivi aggiuntivi Periodo di supporto Il supporto Oracle Cloud diventa disponibile a partire dalla data iniziale del servizio e termina alla scadenza o cessazione del Servizio Cloud ai sensi di tale documento d ordine (il periodo di supporto ). Oracle non è obbligata a fornire il supporto descritto nella presente Cloud Support Policy oltre la fine del periodo di supporto Contatti tecnici I contatti tecnici del Cliente costituiscono l unica relazione tra il Cliente e Oracle in relazione ai servizi di supporto Oracle Cloud. Tali contatti tecnici devono avere, quanto meno, una formazione iniziale di base relativa a Oracle Cloud e, come necessario, un ulteriore formazione adeguata allo specifico ruolo o fase di implementazione, all utilizzo specializzato di servizi o prodotti e/o alla migrazione. I contatti tecnici del Cliente devono avere conoscenza dell offerta del Servizio Cloud Oracle e dell ambiente Oracle al fine di agevolare la soluzione dei problemi di sistema e di assistere Oracle nell analisi e risoluzione delle richieste di assistenza. Quando inoltra una richiesta di assistenza, il contatto tecnico del Cliente dovrebbe avere una comprensione quantomeno di base del problema riscontrato e la capacità di riprodurre il medesimo al fine di assistere Oracle nella diagnosi e nello stabilire la priorità del problema. Per evitare interruzioni nei servizi di supporto, il Cliente deve comunicare a Oracle il trasferimento delle responsabilità del contatto tecnico ad altra persona Supporto Oracle Cloud I Servizi di supporto Oracle Cloud sono costituiti da: Diagnosi dei problemi relativi ai servizi Cloud Oracle. Sforzi commercialmente ragionevoli per risolvere gli errori rapportati e verificabili nei servizi Cloud Oracle affinché i medesimi possano essere eseguiti in tutti i loro aspetti materiali come descritto nella relativa Documentazione del Programma. Supporto durante le attività di Gestione delle Modifiche descritte nella Oracle Cloud Change Management Policy. Supporto con Richieste di Assistenza tecnica 24 ore al giorno, 7 giorni alla settimana. Accesso 24 ore al giorno, 7 giorni alla settimana, a un Portale di Supporto del Cliente Cloud designato da Oracle (ossia, My Oracle Support) e servizio di supporto telefonico con operatore per registrare le Richieste di Assistenza. Accesso ai forum delle community. Il servizio di assistenza al Cliente, a carattere non-tecnico, è fornito durante il normale orario lavorativo locale di Oracle (dalle 8:00 alle 17:00). 5.2 Sistemi di supporto del Cliente Oracle Cloud Portale di Supporto del Cliente Cloud Quale parte dell offerta Oracle Cloud acquistata dal Cliente ai sensi del documento d ordine, Oracle fornisce al Cliente il Supporto per il Servizio Cloud mediante il Portale di Supporto del Cliente Cloud designato per tale Servizio Cloud. L accesso al pertinente Portale di Supporto del Cliente Cloud è regolato dalle Condizioni di Utilizzo pubblicate sul sito web di supporto designato, le quali sono soggette a variazioni. Una copia di tali condizioni è disponibile su richiesta. L accesso al Portale di Supporto del Cliente Cloud è riservato ai contatti tecnici designati dal Cliente e ad altri utenti autorizzati dei Servizi Cloud. Se applicabile, il Portale di Supporto del Cliente Oracle Cloud fornisce dettagli relativi al supporto ai contatti tecnici designati dal Cliente per l utilizzo del supporto Oracle Cloud. Tutte le comunicazioni e gli avvisi di servizio relativi al Cliente sono pubblicati sul portale. Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 8 di 17

9 5.2.2 Supporto telefonico con operatore I contatti tecnici del Cliente possono accedere al supporto telefonico con operatore mediante i numeri telefonici o le informazioni di contatto presenti sul sito di supporto Oracle all indirizzo o ad altro indirizzo designato da Oracle per i relativi Servizi Cloud ordinati. 5.3 Definizioni di severità Le richieste di assistenza relative ai Servizi Cloud Oracle devono essere inoltrate dai contatti tecnici designati dal Cliente mediante il Sistema di Supporto del Cliente Oracle Cloud indicato nell Articolo 5.2 della presente Policy. Il livello di severità di una richiesta di assistenza sottoposta dal Cliente è selezionato sia dal Cliente medesimo sia da Oracle e deve essere basato sulle definizioni di severità di seguito riportate: Severità 1 L uso di produzione, da parte del Cliente, del Servizio Cloud Oracle è interrotto o così gravemente pregiudicato da non consentire la ragionevole prosecuzione del lavoro. Il Cliente subisce una completa perdita del servizio. Le operazioni pregiudicate sono essenziali al business e la situazione è da considerarsi un emergenza. Una richiesta di assistenza di Severità 1 presenta una o più delle seguenti caratteristiche: Dati corrotti Una funzione documentata essenziale non disponibile Interruzione indefinita del servizio, determinante un ritardo inaccettabile o indefinito in relazione a risorse o risposte Crash del sistema e crash ripetuti dopo i tentativi di riavvio Oracle compirà ogni ragionevole sforzo per rispondere alle richieste di assistenza di Severità 1 entro una (1) ora. Oracle lavorerà 24 ore al giorno, 7 giorni alla settimana, fino alla risoluzione della richiesta di assistenza di Severità 1, con l adozione di una soluzione ragionevole o fino a quando possano essere compiuti dei significativi progressi. Durante il suddetto periodo, il Cliente dovrà fornire a Oracle un contatto per assisterla con la raccolta dei dati, con il testing e con l applicazione delle correzioni. Il Cliente deve proporre questa classificazione di severità con estrema attenzione, affinché le situazioni effettivamente di Severità 1 possano ottenere la necessaria allocazione di risorse da parte di Oracle. Severità 2 Il Cliente subisce una grave perdita del servizio. Importanti funzioni dei Servizi Cloud Oracle non sono disponibili e non vi sono soluzioni alternative accettabili; tuttavia, le operazioni possono proseguire con delle limitazioni. Severità 3 Il Cliente subisce una marginale perdita del servizio. Il pregiudizio consiste in un inconveniente, il quale può richiedere una soluzione alternativa per ripristinare la funzionalità. Severità 4 Il Cliente richiede informazioni, miglioramenti o chiarimenti riguardanti la documentazione in relazione al Servizio Cloud Oracle, senza alcuna conseguenza negativa sull operatività di tale servizio. Il Cliente non subisce alcuna perdita del servizio. 5.4 Modifica al livello di severità della richiesta di assistenza Livello di severità iniziale Al momento dell accettazione della richiesta di assistenza, Oracle registrerà un livello iniziale di severità della richiesta di assistenza basato sulle definizioni di severità sopra esposte. Il focus iniziale di Oracle, a seguito dell accettazione di una richiesta di assistenza, consisterà nella risoluzione dei problemi sottesi a tale richiesta di assistenza. Il livello di severità di una richiesta di assistenza può essere modificato come di seguito indicato Riduzione dei livelli di richiesta di assistenza: Qualora, durante l iter della richiesta di assistenza, il problema cessi di appartenere al livello di severità correntemente assegnato in base al suo impatto sulle operazioni di produzione del relativo Servizio Cloud Oracle, il livello di severità verrà ridotto a quello più adeguatamente corrispondente al suo attuale impatto. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 9 di 17

10 5.4.3 Aumento dei livelli di richiesta di assistenza: Qualora, durante l iter della richiesta di assistenza, il problema assuma un livello di severità maggiore di quello correntemente assegnato in base al suo impatto sulle operazioni di produzione del relativo Servizio Cloud Oracle, il livello di severità verrà elevato a quello più adeguatamente corrispondente al suo attuale impatto Aderenza alle definizioni dei livelli di severità: Il Cliente dovrà assicurare che l assegnazione e la modifica di una qualsiasi designazione del livello di severità sia basata, in modo accurato, sull effettivo impatto sulle operazioni di produzione del relativo Servizio Cloud Oracle. Il Cliente è consapevole e accetta che Oracle non è responsabile per qualsiasi impossibilità a soddisfare gli standard di prestazioni a causa di un uso o assegnazione inappropriati da parte del Cliente delle designazioni del livello di severità. 5.5 Escalation della richiesta di assistenza In caso di escalation delle richieste di assistenza, l analista del supporto Oracle opererà con il manager delle escalation delle richieste di assistenza, il quale sarà responsabile della gestione di tali escalation. Il manager delle escalation del servizio di richiesta di assistenza Oracle coopererà con il Cliente al fine di sviluppare un piano d azione e allocare le risorse Oracle adeguate. Nel caso in cui il problema sotteso alla richiesta di assistenza resti irrisolto, il Cliente potrà contattare il manager delle escalation delle richieste di assistenza al fine di richiedere che la medesima sia portata al livello di escalation successivo in ambito Oracle come richiesto. Al fine di agevolare la risoluzione di una richiesta di assistenza posta in escalation, il Cliente deve fornire i contatti nell ambito della propria organizzazione operanti al medesimo livello di quelli di Oracle ai quali la richiesta di assistenza è stata posta in escalation. 5.6 Deroghe alla Policy Le domande o richieste del Cliente inerenti a deroghe alle Oracle Cloud Hosting and Delivery Policies devono essere formulate con una richiesta di assistenza sul Portale di Supporto del Cliente Cloud relativo al servizio (ossia, My Oracle Support). 6. Oracle Cloud Suspension and Termination Policy 6.1 Cessazione dei Servizi Cloud Cessazione dei Servizi Cloud Per un periodo fino a 60 giorni dopo la cessazione o scadenza dei servizi di produzione in base al documento d ordine, Oracle renderà disponibili al Cliente i dati produzione ai fini del loro recupero da parte del Cliente medesimo. Decorso tale periodo di 60 giorni successivo alla cessazione, Oracle non avrà più alcuna obbligazione di conservazione dei dati per scopi del Cliente. Gli Oracle Customer Support Identifiers (CSI) vengono meno alla fine del periodo di 60 giorni Cessazione degli ambienti pilot I pilot dei Servizi Cloud Oracle sono regolati dalla medesima policy di cessazione del servizio prevista per i normali ambienti di produzione Assistenza del Cliente alla cessazione Alla cessazione del servizio, ove il Cliente necessiti di assistenza da parte di Oracle per ottenere l accesso ai server protetti di Oracle al fine di recuperare i suoi dati di produzione, il Cliente medesimo dovrà formulare una richiesta di assistenza nel Portale di Supporto del Cliente Cloud relativo a tale servizio (ossia, My Oracle Support) Trasferimento sicuro dei dati Quale parte del processo di cessazione del servizio, Oracle rende disponibili protocolli sicuri mediante i quali gli utenti designati dal Cliente possono trasferire i dati del Cliente medesimo dal servizio. Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 10 di 17

11 6.2 Sospensione dovuta a violazione Ove Oracle rilevi una violazione o sia contattata in merito a una violazione dei termini e condizioni dei Servizi Cloud Oracle o delle policy di utilizzo applicabili, Oracle medesima incaricherà un agente dell investigazione. L agente incaricato delle investigazioni può intraprendere azioni ivi comprese, senza limitazione alcuna, la sospensione dell account utente, la sospensione dell accesso all account dell amministratore o la sospensione dell ambiente fino alla risoluzione del problema. Oracle compirà ogni ragionevole sforzo per ristabilire tempestivamente l operatività dei Servizi del Cliente una volta che, a propria ragionevole discrezione, ritenga che la situazione che ha dato luogo alla sospensione sia stata sanata. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 11 di 17

12 Appendice A - Oracle Eloqua Marketing Cloud Service La presente appendice si applica ai Servizi Oracle Eloqua Marketing Cloud Services e apporta modifiche alle Oracle Cloud Hosting and Delivery Policies, come segue: 3.3 Definizione di disponibilità e tempo di inattività non programmato Le seguenti esclusioni aggiuntive si applicano al Servizio Oracle Eloqua Marketing Cloud Service: (i) (ii) qualsiasi problema derivante dalla combinazione o fusione, da parte del Cliente, del Servizio Oracle Eloqua Marketing Cloud Service con qualsiasi hardware o software non fornito da Oracle o dalla medesima non identificato, nella relativa documentazione del programma, come compatibile con il Servizio Oracle Eloqua Marketing Cloud Service; e qualsiasi problema causato da una qualsiasi modifica apportata ad una qualunque versione del Servizio Oracle Eloqua Marketing Cloud Service non effettuata da Oracle o dalla medesima non identificata nella relativa documentazione scritta Supporto Oracle Cloud I seguenti servizi di supporto aggiuntivi si applicano ai Servizi Oracle Eloqua Marketing Cloud Services: Il servizio di assistenza al Cliente, a carattere non-tecnico, è fornito durante l orario lavorativo locale di Oracle (dalle 8:00 alle 20:00), in base all indirizzo principale del Cliente indicato nei documenti d ordine relativi ai servizi Supporto telefonico con operatore I contatti tecnici del Cliente e degli utenti finali possono accedere al supporto telefonico con operatore relativo all Oracle Eloqua Marketing Cloud Service mediante i numeri telefonici e le informazioni di contatto presenti all indirizzo Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 12 di 17

13 Appendice B - Oracle Responsys Marketing Platform Cloud Service La presente appendice si applica alle funzioni aggiuntive al Servizio Oracle Responsys Marketing Platform Cloud Service, ad esclusione del Servizio Responsys Automatic Failover for Transactional Messages Cloud Service, e apporta modifiche alle Oracle Cloud Hosting and Delivery Policies per tale Servizio Cloud, come segue: 1.2 Controllo di accesso alla rete Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 13 di 17

14 Appendice C - Oracle Standalone Cobrowse Cloud Service e Oracle RightNow Cobrowse Cloud Service La presente appendice si applica ai servizi Oracle Standalone Cobrowse Cloud Service e Oracle RightNow Cobrowse Cloud Service, e apporta modifiche alle Oracle Cloud Hosting and Delivery Policies per tali Servizi Cloud, come segue: Accesso Oracle potrà accedere all ambiente dei servizi del Cliente ai fini della prestazione dei Servizi Cloud, ivi compresa la fornitura del servizio di supporto. 1.1 Crittografia utente per le connessioni esterne 1.2 Controllo di accesso alla rete Il presente articolo non è applicabile ai server grid utilizzati per i Servizi Cloud. 1.4 Controlli antivirus 1.5 Firewall Il presente articolo non è applicabile ai server grid utilizzati per i Servizi Cloud Gestione e protezione dei dati Media fisici in transito Cancellazione dei dati Data Privacy 1.12 Conformità alle normative Strumenti di monitoraggio e testing del Cliente Carichi di lavoro automatizzati 4. Oracle Cloud Change Management Policy La Oracle Cloud Change Management Policy (Articolo 4) non è applicabile. 6. Oracle Cloud Suspension and Termination Policy La Oracle Cloud Suspension and Termination Policy (Articolo 6) non è applicabile. Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 14 di 17

15 Appendice D - Oracle Marketing Cloud Service (precedentemente noto come Bluekai) La presente appendice si applica al Servizio Oracle Marketing Cloud Service (precedentemente noto come Bluekai) e apporta modifiche alle Oracle Cloud Hosting and Delivery Policies (le Delivery Policy ) per tale Servizio Cloud. Salvo quanto altrimenti specificato, ogni articolo qui di seguito riportato si applicherà in sostituzione del corrispondente articolo originario delle Delivery Policy: Accesso Oracle potrà accedere all ambiente dei servizi del Cliente ai fini della prestazione dei Servizi Cloud, ivi compresa la fornitura del servizio di supporto. 1.1 Crittografia utente per le connessioni esterne Il Cliente accede al sistema mediante Internet. La tecnologia di crittografia SSL è disponibile per l accesso ai Servizi Cloud Oracle. Le connessioni SSL sono negoziate mediante un sistema di crittografia almeno a 128 bit o superiore. La chiave privata utilizzata per la generazione della chiave cifrata è almeno di 2048 bit. La tecnologia SSL è implementata o configurabile per tutti i programmi basati sul web certificati SSL e distribuiti da Oracle. Si consiglia di utilizzare i più recenti browser certificati per l impiego dei programmi Oracle. Tali browser, presentando un elevato livello di cifratura e una maggiore sicurezza, possono essere utilizzati per connettersi a programmi basati sul web. In alcuni casi, un sito di terzi utilizzato con i servizi cloud e non sotto il controllo di Oracle potrebbe forzare una connessione non crittografata. In alcuni casi, un sito di terzi (come, ad esempio, Facebook) che il Cliente desideri integrare nel Servizio Cloud potrebbe non accettare una connessione crittografata. Per i Servizi Cloud nei quali siano consentite connessioni HTTP con il sito di terzi, Oracle potrà abilitare tali connessioni HTTP in aggiunta alla connessione HTTPS. 1.4 Controlli antivirus Oracle Cloud impiega software antivirus conformi agli standard del settore. I virus rilevati sono rimossi (o posti in quarantena) automaticamente e altrettanto automaticamente viene generato un avviso che dà inizio al procedimento di risposta agli incidenti adottato da Oracle. Le definizioni dei virus sono aggiornate giornalmente. 1.7 Misure di sicurezza fisiche Oracle fornisce strutture di elaborazione sicure per gli uffici, comprese: Autorizzazione e controllo degli accessi fisici Tutti i soggetti presenti sul luogo devono indossare identificativi ufficiali ben visibili I visitatori devono firmare un apposito registro ed essere accompagnati e/o osservati durante la loro presenza in loco Il possesso di chiavi o tessere d accesso e l autorizzazione all accesso sono monitorati. I dipendenti che lasciano Oracle devono riconsegnare le proprie chiavi o tessere Ulteriori misure di sicurezza fisiche sono adottate in tutti i luoghi e siti dei fornitori cloud, le quali attualmente includono misure di sicurezza conformi agli standard SOC2 e/o SOC 1 e che comprendono adeguati programmi di sicurezza fisica. 1.8 Controllo dell accesso al sistema e gestione password L accesso ai sistemi Oracle Cloud è controllato mediante limitazione al solo personale autorizzato. Oracle adotta policy di sicurezza delle password sui componenti dell infrastruttura e sui sistemi di gestione cloud impiegati per il funzionamento dell ambiente Oracle Cloud. Il sistema di controllo degli accessi include autenticazione, autorizzazione, approvazione degli accessi, fornitura e revoca per i dipendenti e qualsiasi altro soggetto considerato utente da Oracle. Il Cliente è responsabile per l amministrazione di tutti gli Utenti Finali nell ambito del programma. Sebbene il Cliente non abbia accesso diretto Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 15 di 17

16 alla gestione dell account, il medesimo dovrà comunicare per iscritto a Oracle ogni configurazione amministrativa desiderata e le relative modifiche. 1.9 Verifica dei diritti di accesso Gli account di rete e del sistema operativo per i dipendenti Oracle sono verificati con regolarità al fine di assicurare gli appropriati livelli di accesso dei dipendenti. In caso di cessazione del rapporto di lavoro, Oracle adotterà le misure idonee ad impedire l accesso di rete, telefonico e fisico a tali ex dipendenti. Il Cliente è responsabile per la gestione e verifica degli accessi in relazione agli account dei propri dipendenti. Sebbene il Cliente non abbia accesso diretto alla gestione dell account, il medesimo dovrà comunicare per iscritto a Oracle ogni configurazione amministrativa desiderata e le relative modifiche Manutenzione riguardante la sicurezza Oracle esegue la gestione e manutenzione delle modifiche riguardanti la sicurezza come previsto e descritto nella Oracle Cloud Change Management Policy. Per qualsiasi pacchetto di patch di sicurezza reso disponibile da parte di Oracle per i Programmi Oracle designati, Oracle stessa applicherà e proverà tale pacchetto di patch di sicurezza su un ambiente di testing del relativo Servizio Cloud. Oracle applicherà il pacchetto di patch di sicurezza all ambiente di produzione del Servizio Cloud solo dopo aver completato con successo la fase di testing nell ambiente di staging a tale scopo destinato Media fisici in transito Data Privacy 1.12 Conformità alle normative Il Cliente è il solo responsabile per la propria conformità alle normative nel suo utilizzo di qualsiasi Servizio Cloud Oracle. Il Cliente deve informare Oracle di tutti i requisiti tecnici derivanti dai propri obblighi di legge prima della sottoscrizione del contratto. Il Cliente non deve fornire a Oracle informazioni personali, ivi comprese senza limitazione alcuna quelle relative a salute, carte di pagamento o altri dati personali sensibili. 2.1 Strategia di backup dei Servizi Cloud Oracle Oracle effettua periodicamente backup dei dati di produzione presenti nel Servizio Cloud Oracle del Cliente al solo scopo di minimizzare il rischio di perdita di tali dati in caso di disastro. Di solito, Oracle non aggiorna, inserisce, cancella o ripristina i dati del Cliente per conto di quest ultimo. Ad ogni modo, in via di eccezione e dietro approvazione scritta e pagamento di corrispettivi aggiuntivi, Oracle può assistere il Cliente nel ripristino dei dati dai backup. 3.2 Livello Obiettivo di Disponibilità del Sistema in relazione al Servizio Cloud Oracle Oracle opera affinché sia assicurato al Cliente un Livello Obiettivo di Disponibilità del Sistema di seguito indicato, per un periodo di misurazione pari a un mese di calendario, con decorrenza dall attivazione, da parte di Oracle, dell ambiente di produzione: Sistema applicabile Obiettivo di Disponibilità del Sistema Servizio di produzione 99,5% Operazioni tag e pixel serving 99,9% Cloud_Oracle Cloud Hosting and Delivery Policies_v Pagina 16 di 17

17 3.3 Definizione di disponibilità e inattività imprevista Il secondo punto, di seguito indicato, è rimosso dall elenco: Le interruzioni pianificate, le manutenzioni programmate e preannunciate o i periodi di manutenzione o le interruzioni avviate da Oracle su richiesta o direzione del Cliente per manutenzione, attivazione di configurazioni, backup o altre attività che richiedano la temporanea indisponibilità del servizio; Modifiche di manutenzione maggiori Al fine di assicurare in modo continuativo stabilità, disponibilità, sicurezza e prestazioni dei Servizi Cloud, Oracle si riserva il diritto di apportare modifiche maggiori alla sua infrastruttura hardware, al software operativo, alle applicazioni software e alle applicazioni software di supporto che siano sotto il suo controllo. Ciascuna delle suddette modifiche è considerata manutenzione programmata e può determinare l indisponibilità dei Servizi Cloud per un periodo massimo di 24 ore. Ciascuna delle suddette modifiche dovrebbe verificarsi, tendenzialmente, contestualmente alla manutenzione del sistema centrale o alla finestra di aggiornamento programmata. Oracle opererà al fine di comunicare fino a 60 giorni prima tale indisponibilità. 6.1 Cessazione dei Servizi Cloud Articoli 6.1.2, e non applicabili Cessazione dei Servizi Cloud Per un periodo fino a 121 giorni dopo la cessazione o scadenza dei servizi di produzione ai sensi del documento d ordine, Oracle renderà disponibili al Cliente i dati di produzione per consentire il loro recupero da parte del Cliente medesimo. Trascorso il suddetto periodo di 121 giorni successivo alla cessazione, Oracle non avrà più alcuna obbligazione di conservazione di tali dati per gli scopi del Cliente. Gli Oracle Customer Support Identifiers (CSI) vengono meno alla fine del periodo di 121 giorni. Cloud_Oracle Cloud Hosting and Delivery Policies_v120114_IT_ITA Pagina 17 di 17