Acuerdo de nivel de servicio (SLA)
Acuerdo de nivel de servicio
El acuerdo de nivel de servicio se pone a su disposición para realizar consultas y conocer de manera pormenorizada los términos, conceptos, plazos y elementos aplicables de acuerdo con la naturaleza de los servicios que Grupo Altoplano y Moorty Software proveen.
Usted podrá visualizar el modelo SLA para consultas sobre los servicios que le son proveídos.
PROCEDIMIENTO DE RECUPERACIÓN DE INFORMACIÓN
Este protocolo tiene como objetivo definir los procedimientos y las responsabilidades necesarias para garantizar la integridad y disponibilidad de los datos respaldados hasta la última fecha de respaldo de acuerdo al plan de backup adquirido.
Este escenario requiere la intervención directa del personal de LA EMPRESA que continuación se le denominara como El Administrador de Sistemas en colaboración con el CLIENTE en lo sucedido se le denominará el CEO o el responsable de accesos para la restauración de la copia, identificación y gestión de la información comprometida.
Por lo cual El Administrador de Sistemas se compromete a proporcionar los recursos necesarios de almacenamiento de acuerdo con el plan de almacenamiento contratado y Backup adquiridos por el CLIENTE, con el fin de implementar y mantener un sistema de Backup eficiente. Asimismo, se establece la colaboración entre el CEO o el responsable de accesos y el Administrador de Sistemas para el desarrollo y coordinación de procedimientos de respuesta ante incidentes de pérdida de datos:
- Reporte de incidencia: El sistema de monitoreo constante de la infraestructura empresarial en la nube estará atento para identificar desviaciones o error en los servicios o servidores. Los usuarios o clientes podrán informar sobre problemas si encuentran obstáculos para acceder a los servicios o perciben un comportamiento anómalo desde la plataforma de soporte señalada en la póliza soporte técnico contratado.
- Análisis de incidencia y acceso a sistemas: Una vez que se detecta el incidente, se pone en marcha el protocolo de respuesta. Esto podría implicar la notificación al CEO o el responsable de accesos y al administrador del sistema acerca de la situación. El administrador del sistema investigará la causa principal del problema y evaluará si es necesario restaurar desde una copia de seguridad.
- Tiempos de respuesta: Los períodos de respuesta pueden fluctuar dependiendo de la gravedad del incidente y la importancia de los servicios perjudicados. No obstante, se establecerán metas definidas para los tiempos de respuesta en un lapso de primeras respuestas en 2 horas y resolver los menos urgentes con lapsos de primeras respuestas en 4 horas.
- Restauración de información: El Administrador de Sistemas realizará la restauración desde el Backup correspondiente, minimizando así el impacto en las operaciones comerciales de la empresa. Se llevarán a cabo pruebas periódicas de restauración para garantizar la integridad y disponibilidad de los datos respaldados.
Recomendaciones adicionales: A continuación se enlistan recomendaciones para la prevención de riesgos informáticos, señalando prácticas de ciberseguridad que deberá de emplear el CLIENTE y el personal que intervenga con el uso de los sistemas suministrados.
- Fortalecer la seguridad de las contraseñas:
- Implementar políticas de contraseñas sólidas que requieran combinaciones de caracteres complejos y que se cambien regularmente.
- Utilizar autenticación de múltiples factores cuando sea posible para una capa adicional de seguridad.
- Se debe restringir el acceso a las contraseñas únicamente a aquellas personas cuyas responsabilidades laborales requieran el acceso directo a dichas credenciales. Se recomienda limitar la disponibilidad de contraseñas a individuos con responsabilidades específicas y directamente relacionadas con el servicio o recurso en cuestión.
- Establece un programa de rotación regular de contraseñas para todos sus servicios, esto reduce el riesgo de compromiso de seguridad debido a contraseñas robadas o comprometidas.
- Si es necesario compartir contraseñas de forma manual, como en una reunión cara a cara, asegúrate de que estén cifradas o encriptadas durante la transmisión y que solo las personas autorizadas tengan acceso a la clave de descifrado.
- Capacitar a los empleados en seguridad cibernética:
- Informar a los usuarios sobre las mejores prácticas de seguridad, como la identificación de correos electrónicos de phishing y la prevención de la ingeniería social.
- Fomentar una cultura de seguridad en toda la organización, donde los empleados estén conscientes de los riesgos y sepan cómo reportar posibles incidencias.
- Crear un plan de respuesta a incidentes:
- Capacitar al personal sobre cómo ejecutar el plan de respuesta a incidentes y realizar simulacros periódicos para asegurar su eficacia.
- Políticas de seguridad por el administrador de sistemas (Sys-Admin):
- Utilizar herramientas seguras para compartir contraseñas, como sistemas de gestión de contraseñas cifradas o servicios de almacenamiento seguro de contraseñas, evita enviar contraseñas por correo electrónico o mensajes de texto no cifrados.
- Lleva un registro de quién accede a las contraseñas y cuándo se accede a ellas, realiza auditorías periódicas para garantizar que se cumplan las políticas de manejo de contraseñas.
El CLIENTE en todo momento llevará a cabo las recomendaciones y hará del conocimiento a su personal, así como a las personas que este designe con acceso a los datos respaldados, con el propósito de minimizar el riesgo de pérdida o corrupción de datos debido a posibles errores humanos. Además, se compromete a cumplir con las políticas y procedimientos de seguridad establecidos por organismos internacionales de Sys-Admin.
Se establece que son casos irrecuperables, tales como la corrupción generalizada de datos, fallos catastróficos de Hardware en centros de datos y ataques de Ransomware donde la recuperación de datos puede resultar extremadamente difícil o imposible sin la clave de descifrado adecuada.
PROCEDIMIENTO DE REACTIVACIÓN
El procedimiento de reactivación consiste en restablecer la integridad de la información en los sistemas proporcionados hasta la última fecha registrada, a partir del día en que se efectuó la suspensión del servicio. Con el propósito de llevar a cabo la reactivación, se deberá de realizar de acuerdo al protocolo siguiente:
- El CLIENTE deberá formalizar su solicitud de manera expresa, comunicándose con el Soporte Técnico a través de los medios puestos a disposición en la Sección Tres del presente acuerdo en los horarios señalados.
- La solicitud de reactivación conlleva un costo adicional de acuerdo al listado de precios actualizado a la fecha de la solicitud del servicio, cuya cancelación deberá ser verificada mediante la remisión de un ticket o captura de pantalla que refleje la cantidad requerida al correo pagos@moorty.mx (Será indispensable que el monto por concepto de reactivación será efectuado y confirmado con antelación a la fecha programada para la cita de reactivación).
Cabe señalar que, en casos donde el CLIENTE no haya regularizado el pago de los servicios contratados en un plazo superior a (14) catorce días, procederá la purga de la información almacenada. En tal circunstancia, una vez transcurrido el mencionado plazo, no se llevará a cabo el restablecimiento de los servicios.
PROCEDIMIENTO DE MANTENIMIENTO
Las acciones de mantenimiento se efectúan como una periodicidad mensual en los servidores con la información y servicios alojados. A continuación se enlistan las acciones realizadas con la finalidad de mantener activos los servicios proveídos:
- Se efectúan actualizaciones de seguridad, parches del sistema operativo por medio del uso de gestores de paquetes de distribución, así como la actualización de paquetes de Software para que estén en su última versión publicada de manera mensual.
- En los casos de servidores privados, se efectuará con la misma periodicidad la limpieza del almacenamiento de archivos temporales y registros “Logs de sistema” anteriores con fines de poder liberar espacio de su servidor.
- Se dará una constante revisión semanal de los recursos de los servidores privados, como los elementos principales; la CPU, la memoria instalada, el espacio en disco (libre o disponible) y de red; esto para identificar si existen posibles fallos, cuellos de botella o problemas de rendimiento de los recursos. De ser necesario, se ajusta la configuración del sistema y de las aplicaciones para optimizar el rendimiento del servidor, como ajustes en el Kernel y configuración de la red.
- Se monitorea los permisos de archivos y directorios según sea necesario para garantizar que solo los usuarios autorizados tengan acceso a los recursos del servidor.
- Supervisión del Firewall para proteger los servidores de accesos no autorizados y asegúrate de que solo los puertos necesarios están abiertos.
- Realización de pruebas periódicas para la aseguración de las copias de seguridad en caso de restauración en el uso del protocolo de recuperación de información.
Los servicios de mantenimiento y de prevención enlistados anteriormente se realizan en horarios no laborales, por lo que no afectará su uso u operatividad de los servicios proveídos.