STACKIT

Servicebeschreibung STACKIT Cloud

1. Allgemeines

1.1 Einführung

Unter der Marke STACKIT erbringt die Schwarz IT KG, Stiftsbergstraße 1, 74172 Neckarsulm, Registergericht Stuttgart, HRA 730995 („SIT“) als nationaler Anbieter professionelle Infrastructure- & Platform-as-a-Service Leistungen („STACKIT Cloud Services“) auf Basis von OpenStack, die als Public Cloud Variante ausschließlich gegenüber Unternehmern („Kunden“) bereitgestellt werden. Die SIT ist der IT-Service Provider der Schwarz Gruppe.

Die STACKIT Cloud Services orientieren sich an der internationalen Norm ISO/IEC 27001:2013 und einem ITIL gestützten Betriebsmodell und werden durch spezialisierte Experten erbracht.

1.2 Standort der Rechenzentren

Die STACKIT Cloud Services werden in Rechenzentren von SIT in Deutschland sowie künftig auch in anderen Mitgliedsstaaten der europäischen Union bereitgestellt und betrieben. Alle Rechenzentren werden ISO27001, ISO20000 und TÜV-Level 3 konform betrieben. Als europäischer Cloud Service Provider unterliegt STACKIT der europäischen Datenschutzgrundverordnung (EU-DSGVO).

1.3 Geltungsbereich

Die vorliegende allgemeingültige Servicebeschreibung („Servicebeschreibung“) bildet neben den separat geregelten Nutzungsbedingungen sowie den vom Kunden ausgewählten Leistungsschein(en) einen wesentlichen Vertragsbestandteil des Vertrags über den Bezug eines STACKIT Cloud Services zwischen SIT und dem Kunden.

Im Falle von Widersprüchen zwischen den Nutzungsbedingungen, der Servicebeschreibung und dem geltenden Leistungsschein hat der Leistungsschein insofern und insoweit Vorrang vor der Servicebeschreibung und den Nutzungsbedingungen; die Servicebeschreibung hat insofern und insoweit Vorrang vor den Nutzungsbedingungen.

1.4 Änderung der Servicebeschreibung

SIT ist berechtigt die Servicebeschreibung auch für ein laufendes Vertragsverhältnis über den Bezug eines STACKIT Cloud Services mit Wirkung für die Zukunft anzupassen; auf Ziff. 6 der Nutzungsbedingungen, welche hier entsprechend gilt, wird hingewiesen.

2. Service Level Agreement

2.1 Leistungsübergabepunkt

Die Leistungsverantwortung für zu erbringende STACKIT Cloud Services seitens SIT endet am Internet-Übergabepunkt zwischen dem jeweiligen durch SIT betriebenen Rechenzentrum und dem Internet Service Provider der jeweiligen Region.

2.2 Betriebszeiten

Die Betriebszeiten der STACKIT Cloud Services sind Montag bis Sonntag, „7x24h“, an 365 Tagen im Jahr (ausgenommen geplante Wartungsarbeiten).

2.3 Verfügbarkeit

Die generelle Verfügbarkeit eines STACKIT Cloud Service beträgt – nach Abzug der Ausgeschlossenen Ereignisse Gemäß Ziff. 2.4- 99,9% im Kalendermonatsmittel, sofern nicht in dem jeweiligen, dem STACKIT Cloud Service zugrundeliegenden Leistungsschein etwas Abweichendes geregelt ist („Verfügbarkeit“). Verfügbarkeitsangaben gelten ausschließlich für vertraglich vereinbarte STACKIT Cloud Services und deren Bestandteile; für die Verfügbarkeit kundeneigener Komponenten oder Komponenten Dritter (Soft- wie auch Hardware) trifft SIT keine Verfügbarkeitszusage.

Die kalendermonatlich erzielte Verfügbarkeit wird wie folgt berechnet:

Die generelle Verfügbarkeit des STACKIT Portals und des STACKIT Application Programming Interface (API) unterliegt keiner Verfügbarkeitszusage durch SIT. SIT strebt jedoch eine Verfügbarkeit für das STACKIT Portal und das STACKIT Application Programming Interface (API) von jeweils 99,9% im Monatsdurchschnitt an. Ausfälle, Störungen oder sonstige Nichterreichbarkeiten des STACKIT Portals oder des STACKIT Application Programming Interface (API), beeinflussen die Berechnung der Verfügbarkeit eines STACKIT Cloud Service nicht.

2.4 Ausgeschlossene Ereignisse

Ausgeschlossene Ereignisse bezeichnen insbesondere solche Zeiträume, in denen aufgrund nachfolgend aufgeführter Ausfälle und Störungen ein vertragsgemäßes Zurverfügungstellen der STACKIT Cloud Services nicht gewährleistet werden kann („Ausgeschlossene Ereignisse“). Ausgeschlossene Ereignisse gelten nicht als Ausfallzeit. Zu ausgeschlossenen Ereignissen zählen insbesondere:

STACKIT Cloud Services die durch SIT explizit als Testversion, Beta oder in ähnlicher Weise bezeichnet und vertrieben werden, unterliegen keiner Verfügbarkeitszusage durch SIT. Ausfälle oder Störungen, welche durch die Nutzung derartiger Services durch den Kunden auftreten, werden als ausgeschlossene Ereignisse gewertet.

2.5 Unterstützte Softwareversionen

STACKIT Cloud Services können zum Zeitpunkt des Abschlusses eines Vertragsverhältnisses zwischen dem Kunden und SIT spezifische Softwareversionen aufweisen („Hauptversionen“). Um die STACKIT Cloud Services sowie die Leistungserbringung gegenüber dem Kunden sicher und aktuell zu halten, behält sich SIT vor, die Hauptversionen der eingesetzten Software durch Nachfolgeversionen („Nachfolgeversionen“) – auch für bereits abgeschlossene Vertragsverhältnisse – zu ersetzen.

In einem solchen Fall gilt insbesondere das Folgende:

2.6 Backup

Eine Datensicherung durch SIT findet standardmäßig nicht statt, sofern nichts Abweichendes in den individuellen Leitungsscheinen geregelt ist.

Findet bei einzelnen STACKIT Cloud Services ausweislich des vertraglich zugrundeliegenden Leistungsscheins eine Datensicherung statt, richtet sich die Datensicherung des entsprechenden STACKIT Cloud Services nach den nachfolgenden Standards, sofern im individuellen Leistungsschein nichts Abweichendes geregelt bzw. durch Kunden nichts Abweichendes konfiguriert worden ist:

Backup ParameterAusprägung
Recovery Point Objective (RPO)4 h
Recovery Time Objective (RTO)4 h
Retention Period (RP)14 Tage, tagesgenaue Aufbewahrung nach den ersten 4 h

2.7 Support

SIT stellt ihren Kunden qualifiziertes Personal sowie unterstützende Ressourcen zur Störungsbeseitigung gemäß den untenstehenden Parametern zur Verfügung.

Eingehende Supportfälle werden dabei von SIT nach ihrer Kritikalität bewertet, was in unterschiedlichen Reaktionszeiten resultiert.

SIT behält sich eine Herabstufung in der Kritikalität vor, wenn der STACKIT Cloud Service verfügbar ist und der Grund der Störung im Verantwortungsbereich des Kunden liegt.

SIT weist darauf hin, dass im Rahmen der Bearbeitung eines Supportfalls es – je nach Kundenanliegen – erforderlich sein kann, dass SIT auf die STACKIT Cloud Services des Kunden zugreift, um den Supportfall adäquat bearbeiten zu können.

SupportlevelStandard
KanäleHelp Center (support.stackit.cloud)
E-Mail (support@stackit.de)
Verfügbarkeit der Störungsanzeige 24/7
Reaktionszeiten*Incidents: < 4 h
Service Requests: Best Effort
Lösungszeit**Best Effort
Knowledge & Best PracticeZugang zur Knowledge Database (docs.stackit.cloud)
Zugang zur Community (community.stackit.cloud)
PreisKostenlos

2.8 Wartungsarbeiten

SIT führt regelmäßig Wartungsarbeiten (beispielsweise in Form von Updates, Patches, Bug Fixes oder Hardwaretausch und Hardwarerweiterungen) zur Gewährleistung der Funktion, Qualität und Sicherheit der STACKIT Cloud Services durch.

Wartungsarbeiten, welche voraussichtlich eine Beeinträchtigung der Nutzbarkeit der STACKIT Cloud Services für den Kunden zur Folge haben, kündigt SIT in der Regel zwei Wochen vor deren Durchführung über die STACKIT Cloud Status-Website an. Für dringende Wartungsarbeiten kann die Ankündigung auch deutlich kurzfristiger erfolgen oder je nach Einzelfall komplett entfallen. SIT empfiehlt den Kunden sich regelmäßig über Wartungsarbeiten auf der STACKIT Cloud Status-Website zu informieren.

Während der Durchführung von Wartungsarbeiten kann der Zugang zu STACKIT Cloud Services vorübergehend eingestellt oder beschränkt sein, insbesondere wenn dies nach der Art der durchzuführenden Wartungsarbeiten zwingend erforderlich ist.

Ausfallzeiten, die aufgrund von durchgeführten Wartungsarbeiten entstehen, sind als Ausgeschlossene Ereignisse im Sinne der Ziff. 2.4 zu behandeln.

2.9 Service Payback

Sollte die vereinbarte Verfügbarkeit für STACKIT Cloud Services nicht wie beschrieben eingehalten werden, erhält der Kunde im Rahmen der nachfolgenden Abwicklung eine Gutschrift in Form eines Guthabens auf sein Kundenkonto („Service Payback“):

Verfügbarkeit (Monat) Service Payback
< 99,5%10%
< 99,0%20%
< 98,5%50%
< 95,0%100%

Weitergehende Ansprüche des Kunden auf Minderung der Vergütung sind ausgeschlossen. Etwaige Schadenersatzansprüche des Kunden bleiben unberührt.

3. Security Incidents

3.1 Analysemöglichkeit durch SIT

Für STACKIT Cloud Services, die durch SIT bereitgestellt und durch den Kunden, der die STACKIT Cloud Services bezieht, genutzt werden, können durch SIT Maßnahmen im eigenen Ermessen ergriffen werden, um Schwachstellen sowohl im Verantwortungsbereich von SIT, als auch im Verantwortungsbereich des Kunden („Security Incidents“) frühzeitig aufzudecken. Im Verantwortungsbereich des Kunden liegen dabei insbesondere sämtliche Hardware, Applikationen und Software Dritter, die nicht durch SIT bereitgestellt werden („Verantwortungsbereich des Kunden“).

Werden Security Incidents im Verantwortungsbereich des Kunden durch SIT oder externe Dienstleister von SIT erkannt, wird der Kunde über diese informiert. Je nach Schweregrad des Security Incident ist der Kunde verpflichtet, für seinen Verantwortungsbereich zeitnah geeignete Maßnahmen zur Vermeidung des Security Incident zu ergreifen (z.B. durch das Patchen einer betroffenen Anwendung). Wird der Verantwortungsbereich des Kunden beispielsweise nicht mit den neuesten Patches oder Workarounds abgesichert, beherbergt der Verantwortungsbereich Sicherheitsrisiken für SIT oder den Kunden selbst, oder wird die Qualität der STACKIT Cloud Services durch ein Security Incident im Verantwortungsbereich des Kunden negativ beeinflusst oder gefährdet, behält sich SIT entsprechende Gegenmaßnahmen gem. Ziff. 3.3 vor.

3.2 Datenerhebung für Analysemöglichkeiten durch SIT

Zur Erkennung möglicher Security Incidents im Verantwortungsbereich des Kunden können Log-Daten der Kundensysteme oder Perimeter (bspw. Firewalls, Switches, Router und andere) regelbasiert nach Anomalien und potenziellen Security Incidents ausgewertet werden. Auch können entsprechende Schwachstellen-Scans (pro- und reaktiv) für im Internet verfügbare Systeme durchgeführt werden.

3.3 Mögliche Gegenmaßnahmen bei Security Incidents

Zum Schutz des Kunden sowie der STACKIT Cloud Services, behält sich SIT vor, bei Verdachtsfällen oder nachgewiesenen Security Incidents und entsprechendem Schweregrad entsprechende Maßnahmen ohne vorherige Ankündigung oder Rücksprache mit dem Kunden zu ergreifen („Gegenmaßnahmen“). Selbstverständlich erfolgt hierzu spätestens im Nachgang eine separate Information des Kunden. Zu den Gegenmaßnahmen gehören insbesondere:

Stand: Januar 2022