СПЕЦИАЛЬНЫЕ УСЛОВИЯ ОБЛАЧНОГО СЕРВИСА «Межсетевой экран уровня приложений WAF Premium»
Дата размещения текущей редакции: 24.05.2024
Утв. Приказом ПАО «МТС» 26/00052П
Дата размещения первой редакции: 24.05.2024
г. Москва, Российская Федерация
ПРЕАМБУЛА
ВАЖНО! Настоящие Условия являются неотъемлемой частью Соглашения на предоставление Облачных сервисов. Заключая Соглашение на предоставление Облачных сервисов, Пользователь принимает настоящие Условия.
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1. Веб-приложение – программный ресурс Пользователя, представляющий собой совокупность информации и программ для ЭВМ её обрабатывающих, отображающих и/или структурирующих размещённый в сети Интернет, предназначенный для представления Пользователем в сети Интернет определённой информации и/или обеспечивающий определённое взаимодействие с пользователями, управляемый и администрируемый Пользователем.
1.2. Личный кабинет (ЛК) – веб-интерфейс производителя технологии, используемый для предоставления Облачного сервиса, через который Пользователь с использованием выданных ему МТС идентифицирующих данных может отслеживать результаты работы WAF.
1.3. Облачный сервис «Межсетевой экран уровня приложений (WAF) Premium» (Облачный сервис, Услуга, Сервис) - услуга по организации и предоставлению доступа к сервису защиты Веб-приложений Пользователя в сети Интернет от атак и уязвимостей, оказываемая МТС Пользователю в соответствии с настоящими Условиями.
1.4. Brute Force – метод атаки на защищённое пространство, при котором осуществляется исчерпание всевозможных вариантов несанкционированного проникновения в защищённое пространство, перебор всех возможных вариантов паролей.
1.5. Dirbuster – многопотоковое программное приложение, предназначенное для перебора имён директорий и файлов веб-приложений и веб-серверов.
1.6. OWASP TOP 10 – список наиболее опасных векторов атак на веб-приложения, сформированный международной некоммерческой организацией по безопасности веб-приложений OWASP.
1.7. WAF – Web Application Firewall (Межсетевой экран уровня приложений).
Термины с прописной буквы, которые используются, но не определены в настоящих Условиях, имеют значение, присвоенное им в Пользовательском соглашении1, Соглашении на предоставление Облачных сервисов2, Соглашении об уровне доступности3 или Правилах взаимодействия со службой технической поддержки4.
2. ОПИСАНИЕ ОБЛАЧНОГО СЕРВИСА
2.1. Пользователь формирует Заказ одним из способов, предусмотренных Соглашением на предоставление Облачных сервисов, а МТС оказывает Пользователю Услуги, в соответствии с настоящими условиями и параметрами, указанными в Заказе.
2.2. Заключая Соглашение, Пользователь осуществляет акцепт настоящих Условий, Соглашения об уровне доступности и Правил взаимодействия со службой технической поддержки.
2.3. Услуга обеспечивает фильтрацию сетевого трафика Веб-приложений Пользователя с целью его анализа на прикладном уровне, которая включает в себя следующие возможности:
- блокировка атак OWASP TOP 10;
- блокировка аномального поведения, в том числе подбор учетных данных (Brute-Force), сканирование директорий (Dirbuster);
- предотвращение бот-активности;
- пассивное выявление уязвимостей веб-приложений;
- внедрение безопасных HTTP заголовков;
- формирование индивидуального профиля веб-приложения;
- создание правил фильтрации, основанных на результатах работы узла фильтрации и специфике защищаемых веб-приложений.
2.4. В течение всего периода оказания Услуги Пользователь может использовать Личный кабинет в целях получения статистики по работе WAF.
2.5. В рамках Услуги МТС выполняет следующие действия:
- конфигурирование программного обеспечения WAF;
- эксплуатация программного обеспечения WAF;
- мониторинг и реагирование на Инциденты.
2.6. Конфигурирование программного обеспечения WAF:
- добавление защищаемых доменов Пользователя в WAF;
- настройка фильтрации сетевого трафика Веб-приложений Пользователя с целью его анализа на прикладном уровне;
- организация доступа в Личный кабинет WAF для Пользователя.
2.7. Эксплуатация программного обеспечения WAF:
- настройка индивидуального профиля защиты для каждого Веб-приложения Пользователя, обучение и настройка WAF для обеспечения корректной фильтрации трафика;
- выявление ложных срабатываний механизмов защиты;
- корректировка индивидуальных профилей защиты в случае выявления ложных срабатываний, изменения состава/функциональности Веб-приложений или по запросу Пользователя;
- изменение конфигурации защищаемых Веб-приложений в WAF по запросу Пользователя;
- настройка специальных политик или профилей, защищаемых в Веб-приложениях по требованию Пользователя.
2.8. Мониторинг и реагирование на события безопасности:
- определение параметров мониторинга работоспособности WAF;
- сбор и хранение метрик WAF;
- анализ метрик WAF;
- участие в разборе Инцидентов работоспособности в режиме 8x5 в соответствии с уровнем обслуживания, указанным в разделе 3 настоящих Условий;
- реагирование на Инциденты, выявленные по результатам мониторинга, в режиме 24x7;
- восстановление работоспособности WAF, нарушенной в результате Инцидентов;
- оповещения Пользователя о произошедших Инцидентах работоспособности, повлекших перерыв или ухудшение качества работы WAF;
- предоставление отчетов по зафиксированным Инцидентам работоспособности и обращениям Пользователя в техническую службу МТС по запросу Пользователя.
2.9. Услуга предусматривает для Пользователя возможность выбора параметра величины трафиковой нагрузки, оцениваемый в количестве запросов в секунду (Requests Per Second, RPS), поступающей в направлении защищаемого Веб-приложения для одного домена второго или третьего уровня. Величина значения RPS указывается в Заказе. Общий объем RPS не может превышать 1200.
2.10. Защита дополнительных доменов второго или третьего уровней является отдельным параметром услуги и осуществляется за отдельную плату. Количество доменов указывается в Заказе.
2.11. В Заказе специфицируются адреса Веб-приложений всех доменов второго и третьего уровней, в случае отсутствия в составе Заказа данной информации МТС не несет ответственности за фильтрацию сетевого трафика данных Веб-приложений.
3. УРОВЕНЬ ОБСЛУЖИВАНИЯ И ДОСТУПНОСТИ ОБЛАЧНОГО СЕРВИСА И РАСЧЕТ НЕУСТОЙКИ
3.1. МТС в рамках предоставления Облачного сервиса обязуется рассматривать обращения Пользователя в связи с возникшими Инцидентами и Сервисными запросами, устранять Инциденты и отвечать на Сервисные запросы в порядке, установленном Соглашением об уровне доступности, Правилами взаимодействия со службой технической поддержки, в случае противоречия настоящих Условий и Соглашения об уровне доступности и/или Правил взаимодействия со службой технической поддержки, в том числе в части Видов Сервисных запросов и обращений и Условий обработки обращений приоритет имеют настоящие Условия.
3.2. Все обращения Пользователя должны направляться/сообщаться в соответствии с Правилами взаимодействия со службой технической поддержки (служба).
3.3. Параметры функционирования предоставленной в рамках оказания Облачного сервиса.
Доступность Облачного сервиса (А)
| Наименование | Время, в которое должен предоставляться Облачный сервис | Согласованное время Технической поддержки Облачного сервиса | Уровень доступности Облачного сервиса, % |
|---|---|---|---|
| Межсетевой экран уровня приложений (WAF) Premium | 24х7х365(366) | 24х7х365(366) | 99,5 |
3.4. Виды Сервисных запросов и обращений, а также время реакции и решения.
Сервисные запросы
| Вид запроса | Приоритет | Время реакции | Время решения по запросу | Согласованное время поддержки |
|---|---|---|---|---|
| Запрос на обслуживание/на предоставление информации | Низкий | В течение первых 30 минут с момента регистрации Сервисного запроса | До 32 рабочих часов с момента регистрации Сервисного запроса* | 8х5 |
| Запрос на изменение | Высокий | В течение первых 30 минут с момента регистрации Сервисного запроса | До 6 рабочих часов с момента регистрации Сервисного запроса* | 8х5 |
| Запрос на изменение | Средний | В течение первых 30 минут с момента регистрации Сервисного запроса | До 16 рабочих часов с момента регистрации Сервисного запроса* | 8х5 |
| Запрос на изменение | Низкий | В течение первых 30 минут с момента регистрации Сервисного запроса | До 32 рабочих часов с момента регистрации Сервисного запроса* | 8х5 |
* – Срок фактического выполнения обращений увеличивается в случаях, когда требуется установление ошибок исходного кода и/или требуется дополнительная информация от Пользователя. В данном случае Обращение переводится в статус «Ожидание» до момента решения запроса Технической поддержки.
3.5. Категории критичности Сервисных запросов.
| Критичность | Описание |
|---|---|
| Высокий | Обращение, вызванное необходимостью изменения политики безопасности WAF, в том числе исключения ложных блокировок запросов пользователей или блокировки нежелательных запросов пользователей. |
| Средний | Обращение, вызванное необходимостью изменения конфигурации текущих защищаемых Веб-приложений, в том числе изменения параметров проксирования веб-запросов. |
| Низкий | Другие обращения, в том числе связанные с предоставлением или прекращением доступа в Личный кабинет, а также добавлением новых Веб-приложений под защиту WAF. |
3.6. Условия обработки обращений
| Описание | Условия |
|---|---|
| Общее количество обращений типа «Инцидент» в календарный месяц | Не ограничено |
| Общее количество обращений типа «Запрос на обслуживание», «Предоставление информации» в календарный месяц | Не более 8 |
| Общее количество обращений типа «Запрос на изменение» в календарный месяц | Не более 16 |
| Кто имеет право делать обращения со стороны Пользователя | Любое контактное лицо, внесенное Пользователем в список авторизованных лиц |
| Количество контактных лиц, имеющих право делать обращения | Не ограничено |
| Количество одновременно открытых обращений типа «Инцидент» | Не ограничено |
| Количество одновременно открытых обращений типа «Запрос на обслуживание», «Предоставление информации», «Запрос на изменение» | Не более 2-х |
3.7. Расчет суммы неустойки за несоблюдение заявленного уровня качества оказанных Услуг.
3.7.1. Размер суммы неустойки за несоблюдение уровня доступности Услуг
| Коэффициент доступности Облачного сервиса, A %/мес. | Размер неустойки за несоблюдение уровня доступности Облачного сервиса**, % от стоимости Облачного сервиса, без учёта НДС в календарном месяце по соответствующему Заказу |
|---|---|
| A ≥ 99,5 | 0 |
| 99,5 ≥ A ˃ 99,4 | 5 |
| 99,4 ≥ A ˃ 99,1 | 7 |
| А < 99,1 | 10 |
** — В соответствии с порядком получения неустойки, указанном в Соглашении об уровне доступности.
4. ТАРИФИКАЦИЯ УСЛУГ
4.1. Стоимость Услуги определяется в соответствии с Заказом и схемой тарификации.
4.2. Схема тарификации – Фиксированная оплата.
4.2.1. Тарифы за Услуги приведены из расчета за 1 (один) оплаченный период за 1 (одну) единицу ресурсов Услуги в конфигурации, указанной в Заказе для следующих компонентов:
- Количество запросов в секунду (Requests Per Second, RPS), шт.
- Защита дополнительных доменов второго или третьего уровней, шт.
4.2.2. День подключения/отключения Услуги входит в расчет стоимости Услуги в соответствующем Периоде Услуг как целый день оказания Услуги.
4.2.3. В случае оказания Услуг неполный месяц при схеме тарификации Фиксированная плата стоимость Услуг рассчитывается из фактического количества полных календарных дней предоставления Услуг в соответствующем месяце.
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1. МТС имеет право удалить информацию, размещенную Пользователем в рамках Облачного сервиса на Виртуальных дисках Виртуальных машин, резервные копии и освободить занятые ресурсы Облачной платформы в порядке и сроки, установленные в Соглашении на предоставление Облачных сервисов.
5.2. Максимальный срок тестирования Облачного сервиса (с учётом всех продлений): 14 календарных дней.
1 − Пользовательское соглашение, URL: https://docs.cloud.mts.ru/docum/termsofuse-CloudHub.html.
2 − Соглашение на предоставление облачных сервисов, URL: https://docs.cloud.mts.ru/docum/hub_oferta.html.
3 − Соглашение об уровне доступности, URL: https://docs.cloud.mts.ru/docum/hub_sla.html.
4 − Правила взаимодействия со службой технической поддержки, URL: https://docs.cloud.mts.ru/docum/hub_technicalregulations.html.