Nosso SLA
Esse é um documento público que com os protocolos de segurança as políticas de SLA da IRT - “MEXX”. Caso você seja cliente e queira mais informações detalhadas entre em contato.
Monitoramento de disponibilidade
Procedimentos de recuperação de serviços
SLA para notificação de incidentes - Classificação e tempo de resposta desejado
Escalonamento
Observações gerais
SLA de disponibilidade
A plataforma da IRT é dividida em componentes de API e componentes de frontend e acompanhamos a taxa de disponibilidade em tempo real. Oferecemos um compromisso atual de disponibilidade anual de 99,90% . Atualmente nossos servidores estão operando com a seguinte média de disponibilidade anual:
|
Ambiente de Homologação |
Ambiente de Produção |
|
API – 99,3% |
API – 99,90% |
|
Frontend – 99,3% |
Frontend - 99,90% |
Nossas métricas:
100% ATÉ 99,3% - Bom, garante a margem de atualização e correções emergenciais
99,3% ATÉ 99% - Gerenciado, melhorias a serem realizadas para correção
ABAIXO DE 99% - Ruim, ambiente com inconsistência, melhoria de infraestrutura obrigatória
O ambiente de produção possui janela de atualizações semanais em horário fixo que não será divulgado para evitar tentativas de ataque de DDOS na janela de manutenção. Caso você seja cliente e gostaria de saber a janela de indisponibilidade para instalações e troca de versões entre em contato.
Monitoramento de disponibilidade
Códigos maliciosos. A IRT observa os princípios estabelecidos em OWASP_SCP e ATTACK FORGE no que diz respeito ao monitoramento, interceptação, bloqueio e tratamento de códigos maliciosos. A aplicação possui duas camadas de proteção, sendo a primeira delas um WAF que intercepta 99% dos ataques direcionados. Um segundo nível na camada do servidor de aplicação controla quais requisições merecem e são aptas a alcançar a aplicação.
Redes. A camada de rede da aplicação possui firewall com bloqueios de acesso que evitam qualquer tentativa de acesso público via técnicas de força-bruta em portas sensíveis como portas de bancos de dados e portas de servidores de aplicação, sendo apenas a porta 443 (HTTPS) exposta através de WAF ao mundo exterior.
Rastreamento. As ações dos usuários criados pelo cliente na plataforma são registradas e disponíveis para consulta pelo usuário principal do cliente, permitindo assim um rastreamento de eventos que possam elucidar alguma questão de segurança da informação do cliente. Caso seja solicitado e autorizado pelo cliente a IRT poderá consultar os logs para apoiar em alguma eventual investigação.
Certificados eletrônicos. A IRT oferece certificado público para canal SSL através do seu WAF Cloudflare. Caso o cliente queira utilizar seu próprio certificado essa configuração poderá ser solicitada durante o período de implantação da plataforma. IRT compromete-se a utilizar as chaves criptográficas e certificados digitais com a única finalidade de expor serviços em HTTPS/TLS assinados pelo certificado do cliente.
Procedimentos de recuperação de serviços
Todos os riscos são identificados, avaliados e mitigados sempre que possível durante o planejamento da implantação. Nos casos onde um ou mais aprovadores julguem necessário, deve ser utilizado o aceite do risco por meio de carta formal a ser assinada pelo representante da alta direção ou cliente envolvido.
RPO – O backup do banco de dados é realizado 02 versões do backup full semanal e 06 versões de backup incremental diário (executado diariamente);
Atendimento e suporte técnico
Classificação de atendimento
O SLA de atendimento é correspondente à criticidade do módulo e do negócio. Atualmente os atendimentos possuem a seguinte classificação:
|
Urgência |
Alta |
Média |
Baixa |
|
Serviço Indisponível |
Problemas em integrações |
Bug não crítico em funcionalidades |
Novas solicitações, atualizações ou procedimentos |
|
Problemas de acessos |
Inconsistência de dados |
Solicitações de ajuda |
Dúvidas de funcionalidades já documentadas |
|
Questões de segurança e privacidade |
Bug crítico em funcionalidades |
Dúvidas de funcionalidades não documentadas |
Outros |
Canais de atendimento
Horários de atendimento comercial: De segunda a sexta-feira das 8h às 12h – 14h às 18h.
Plataforma de suporte técnico, Whatsapp, Email e Telefone
SLA de atendimento
O SLA de atendimento pode variar conforme o andamento da solicitação. Algumas solicitações podem exigir atuação de desenvolvimento de software ou mesmo reuniões de entendimento de escopo por isso oferecemos uma média estimada de TTR (Time-to-Respond) e TTRP (Time-to-resolution-plan) para a maioria dos casos.
A classificação de urgência também pode sofrer alteração interna. Um problema específico de um módulo que não afeta o usuário final em larga escala pode vir a ter a sua prioridade rebaixada após análise inicial.
A tabela abaixo é correspondente ao serviço oferecido na modalidade SAAS e não se aplica aos módulos que possuem instalação on-premise.
SLA para notificação de incidentes - Classificação e tempo de resposta e solução
| DEFINIÇÃO DE PRIORIDADE | TEMPO PARA PRIMEIRA RESPOSTA | TEMPO MÉDIO DE SOLUÇÂO |
| URGÊNCIA | 60 minutos | 2 horas |
| ALTO | 4 horas | 2 dias |
| MÉDIO | 6 horas | 4 dias |
| BAIXO | 8 horas | 8 dias |
Escalonamento
Quando um chamado viola o seu SLA ocorrerá o escalonamento para o gerente de operação, se o problema persistir o diretor de operação será acionado.
Observações gerais
Para que possamos trabalhar com situações que fogem da nossa alçada em relação a tempo de resolução e ou até mesmo chamados que ultrapassem a previsão listada anteriormente, precisamos esclarecer alguns pontos:
Para demandas com necessidade de uma maior carga horária e ou envolvimento de terceiros, será necessária uma nova avaliação juntamente com o cliente para um novo prazo de resolução.
Os prazos mencionados são baseados em demandas que estejam 100% vinculadas a tarefas internas da empresa, ou seja sem a necessidade da intervenção de informações do cliente e ou terceiros.
Para situações de dependência de informações do cliente, o prazo estipulado pela empresa é pausado e só será continuado quando tivermos as informações solicitadas.
Para casos de interrupções de serviços causados por terceiros de clientes vinculados aos serviços da IRT, o cliente não terá direito a ressarcimento proporcional.
Para demandas finalizadas pela equipe da IRT dentro do prazo e que retornem para análise da equipe, entraram em análise novamente. Ou seja, voltarão para o ciclo inicial.
Revisões
Esta norma é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.
Gestão da Política
Esta norma é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Diretoria da IRT.
A presente norma foi aprovada no dia 15/03/2022.