Þjónustuskilmálar Umbru fyrir rekstur skýjageira stofnana

27. október 2023

1. Almennt

Skilmálar þessir gilda um þjónustu sem Umbra, kt. 420169-0439 (hér eftir rekstraraðili) veitir stofnunum (hér eftir nefnt þjónustukaupi) í tengslum við rekstur og stjórnun á Microsoft 365 umhverfi og lausnum (hér eftir nefnt skýjageiri).

Skýjageirar sem falla undir þessa þjónustuskilmála eru publicadministrationis.onmicrosoft.com og judicialis.onmicrosoft.com.

Sameiginlegt markmið rekstraraðila og þjónustukaupa er að allur daglegur rekstur skýjageira falli innan þeirrar þjónustu sem rekstraraðili veitir skv. skilmálum þessum. Fjármála- og efnahags­ráðu­neytið (FJR) tilgreinir þær stofnanir sem tilheyra og tengjast þessum skýjageirum.

Þessum skilmálum er ætlað að skýra fyrir samningsaðilum fyrirkomulag reksturs og þjónustu í Microsoft 365 umhverfi ríkisins, ábyrgðir og skyldur innan þess.

Allar efnislegar breytingar á skilmálum þessum skal tilkynna þjónustukaupum með að minnsta kosti 90 daga fyrirvara.

2. Skýringar

Rekstraraðili

Rekstraraðili annast rekstur skýjageira fyrir hönd FJR. Rekstraraðili ber ábyrgð á því að þjónustukaupi fái aðgang að þeim Microsoft 365 þjónustum og vörum sem í boði eru og þjónustukaupi hefur leyfi fyrir og eru í samþykktu vöru­fram­boði Þjónustueigendaráðs.

Skýjageiri (e. tenant)

Skýjageiri er samheiti yfir Microsoft stjórnunar- og þjónustustýringar sem rekstrar­aðila er úthlutað til að hafa umsjón með réttindum og stýringum ásamt lausnaframboði fyrir hönd skilgreinds hóps stofnana eða skóla sem eru í sameiginlegu skýjastjórnkerfi Microsoft s.s. Microsoft 365, Azure o.fl.

Skýjageiri afmarkar sameiginlegar stýringar og umsjón á þeim vörum og þjónustum sem tilgreindir þjónustukaupendur geta nýtt sér skv. samningum um Microsoft 365.

Microsoft 365 skýjageiri inniheldur allar skýjaþjónustur (vörur og þjónustur) frá Microsoft sem Microsoft 365 leyfið innifelur, en er þó háð því hvaða þjónustu­framboð Þjónustueigendaráð ákveður og tæknilegum takmörkunum og útfærslu Arkitektúrráðs á hverjum tíma. Þjónustuskrá kann að breytast en eingöngu í fullu samráði við Þjónustueigendaráð.

Þjónustukaupi

Ríkisstofnun eða annar ríkisaðili sem tilheyrir tilgreindum skýjageira ríkisins.

Þjónustutengiliðir stofnunar

Þjónustukaupi tilgreinir þjónustutengiliði sem hafa heimild til að óska eftir þjónustu frá rekstraraðila. Þjónustukaupa er heimilt að tilgreina fleiri en einn þjónustutengilið, en skal leitast við að þeir takmarkist við þá sem sinna notenda­þjónustu eða tölvurekstri hjá þjónustukaupa.

Viðskiptalegir tengiliðir stofnunar

Rekstraraðili og þjónustukaupi skipa viðskiptalega tengiliði vegna samstarfs þessa. Viðskiptalegir tengiliðir skulu í öllum efnum geta komið fram og tekið ákvarðanir fyrir hönd aðila um framkvæmd þjónustunnar, gefið út og veitt viðtöku yfirlýsingum varðandi hana, þ.m.t. tilkynningar og óskir um breytingar á þjónustunni.

Tengiliður FJR

Sérstakur tengiliður hjá FJR hefur eftirlit með því að rekstraraðili uppfylli skyldur sínar gagnvart þjónustukaupa í samræmi við þessa skilmála. Þjónustukaupa er heimilt að senda ábendingar varðandi þjónustu rekstraraðila til hans. Tengiliðir er skráðir á upplýsingasíðu samningsins.

Þjónustueigendaráð (e. Service Owner Board)

Þjónustueigendaráð ber ábyrgð á þjónustugrunni sem inniheldur þjónustuskrá, vegvísa og regluvörslu fyrir vörur og þjónustu. Ráðið vinnur í umboði FJR og veitir fulltrúi þess ráðinu forstöðu. Þjónustueigendaráði er ætlað að vera rödd notenda varðandi framþróun skrifstofuumhverfis ríkisins (Microsoft 365). Frekari skýringar á hlutverki og verkefnum Þjónustueigendaráðs eru á upplýsingasíðu samningsins.

Arkitektúrráð

Arkitektúrráð hefur það hlutverk að sjá um tæknilegar útfærslur þeirra ákvarðana sem Þjónustueigandaráð ákveður varðandi vörur og þjónustur. Ráðið samanstendur af fulltrúum sem tilnefndir eru af rekstraraðilum. Forstöðumaður Arkitektúrráðs í umboði FJR er Kristján Ingi ÚIfsson, viðskiptastjóri Microsoft hjá Umbru. Frekari upplýsingar um Arkitektúrráð eru á upplýsingasíðu samningsins.

3. Rekstur

Með daglegum rekstri er átt við að tryggð sé eðlileg þjónusta við skýjageira til að starfsemi þjónustukaupa raskist ekki af því leyti sem rekstraraðili getur tryggt það þar sem rekstur kerfisins er að öðru leyti í höndum Microsoft. Rekstraraðili ber ekki ábyrgð á stöðvunartíma (e. downtime) sem verður vegna þjónustufalls í gagnaverum hjá Microsoft, nettengingum eða öðrum innviðum sem rekstraraðili ræður ekki yfir. Þjónusta rekstraraðila takmarkast við virkni og eiginleika hugbúnaðar Microsoft og annarra hugbúnaðarlausna í samrekstri.

Í þjónustusamningi er ekki innifalin vinna við breytingar og aðlögun á kerfum þjónustukaupa. Hins vegar getur rekstraraðili veitt gegn gjaldi ráðgjöf og þjónustu til þjónustukaupa vegna tenginga og færslu gagna til skýjageira.

Rekstraraðili ber ábyrgð á að öll þjónusta hans samræmist þessum skilmálum. Ef rekstraraðili er í vafa um framkvæmd einstakra atriða samningsins skal hafa samráð við viðskiptastjóra Microsoft hjá Umbru eða tengilið FJR.

Rekstraraðila er heimilt að nota undirverktaka við að framkvæma einstaka þjónustu­þætti, en slíkt leysir rekstraraðila ekki undan skuldbindingum sínum samkvæmt skilmálum þessum. Rekstraraðili ber ábyrgð gagnvart þjónustukaupa á að undirverktaki efni skuldbindingar sínar.

4. Leyfisumsýsla

Umbra annast leyfaumsýslu fyrir Microsoft samninginn. Þjónustukaupar sem heyra undir samninginn þurfa að panta öll Microsoft leyfi og telja árlega inn á hann hjá Umbru.

5. Þjónustustig

Rekstraraðili hefur innleitt formlega þjónustustjórnun. Allar verkbeiðnir sem berast rekstraraðila eru skráðar og flokkaðar og gefinn viðbragðstími og viðeigandi forgangur. Öll vinna sem tengist viðkomandi beiðni er ítarlega skráð og hægt að rekja ferli allra beiðna og fá fram greinargóð yfirlit og skýrslur. Samskipti vegna þjónustubeiðna skulu fara fram í gegnum verk­beiðna­kerfi.

Þjónustustig 1:

Dagleg almenn notendaþjónusta við Office 365 er í höndum þjónustukaupa, s.s. lykilorðabreytingar, almenn aðstoð og uppsetning á Microsoft notenda­hugbúnaði, stofnun notenda og að setja rétt leyfi á notendur. Þjónustu­tengiliður getur óskað eftir aðstoð frá rekstraraðila á þjónustustigi 2.  Þjónustukaupendur sem eru að öllu leiti skilgreindir í skýjageira (cloud only) leita eftir þjónustu á þjónustustigi 1 til rekstraraðila.

Þjónustustig 2:

Þjónustu sem ekki er hægt að leysa á þjónustustigi 1 skal þjónustukaupi sjá um í samvinnu við rekstraraðila eftir þörfum. Mál sem þurfa sérhæfða þekkingu og/eða aukinn aðgang til að leysa þurfa aðkomu rekstraraðila, en skulu undirbúin eins og kostur er af þjónustukaupa.

Þjónustustig 3:

Rekstraraðili sér um að veita sérhæfða kerfisstjóraþjónustu við Microsoft 365 skýjageirann. T.d. þegar Þjónustueigendaráð hefur samþykkt að breyta framboði þjónustu í Microsoft 365, annaðhvort að bæta við eða taka út. Rekstraraðili fylgist með skýjageiraumhverfi og lætur vita í gegnum beiðnakerfi ef hann verður var við útföll eða takmarkanir á þjónustu í gagnaverum Microsoft sem kunna að hafa áhrif á rekstur. Ef um meiriháttar þjónusturof er að ræða mun rekstraraðili senda sérstaka tilkynningu. Rekstraraðili sér um að senda inn þjónustubeiðnir til Microsoft Support og koma í ferli.

Þjónustustig 4:

Beiðnir sem eru stofnaðar í Microsoft 365 skýjageira og fara beint til Microsoft  Support.

6. Þjónustuviðbragð

Forgangur A (Neyð - 90 mín viðbragð)

Aðstoðar er þörf eins fljótt og auðið er og miðast við að málinu (e. Incident) sé komið í farveg innan 90 mínútna á dagtíma (9 – 16). Undir þetta falla aðeins beiðnir vegna miðlægrar þjónustu, þegar heill starfsstaður liggur niðri en ekki hluti útstöðva eða stakir notendur. Almenn notendaþjónusta er aldrei sett í þennan flokk.

Forgangur B (Mikill - 4 klukkustunda viðbragð)

Aðstoðar er þörf svo fljótt sem verða má á dagtíma. Beiðnir sem falla í þennan flokk hafa bein áhrif á þjónustu sem þjónustukaupi veitir sínum viðskiptavinum.

Forgangur C (Meðal - 8 klukkustunda viðbragð)

Í þennan forgang fara allar almennar beiðnir sem ekki þarf að leysa úr strax á dagtíma. Hér getur verið um uppsetningu notenda að ræða (cloud only), beiðni um upplýsingar sem þjónustukaupi hefur ekki sjálfur aðgang að, sem og aðrar breytingar á umhverfi þjónustukaupa sem ekki flokkast sem bilun eða skerðing á þjónustu.

7. Kröfur til rekstraraðila

Aðgengi að auknum stjórnunarréttindum (kerfisstjórar/Global Admin) skýjageira skal vera takmarkað við þá aðila hjá rekstraraðila sem þurfa raunverulega að vinna með aukin réttindi í skýjageiranum.

Rekstraraðili ber ekki ábyrgð á því ef þjónustukaupi framfylgir ekki fyrirmælum rekstraraðila um meðferð hugbúnaðar eða gengur gegn ákvæðum eða tilmælum um öryggisráðstafanir sem gerðar eru vegna skýjageirans.

Rekstraraðili ber ábyrgð á öryggi skýjageira og öryggi gagna í skýjageiranum samkvæmt tækniforskrift Arkitektúrráðs.  Samþætting við Active Directory þjónustukaupa skal fara eftir skjöluðum stöðlum Arkitektúrráðs.  Eftirlit með virkni samþættingar og mögulegum villuboðum er í höndum rekstraraðila (takmarkað við þjónustukaupa sem veitt hefur fullt aðgengi samkvæmt staðli Arkitektúrráðs). Rekstraraðili tekur daglegt afrit af gögnum í skýjageiranum og varðveitir á Íslandi. Tíðari vörsluafritun þarf að semja sérstaklega um við rekstraraðila og aukagjald getur komið til ef magn fer umfram það magn sem innifalið er í þjónustugjaldi (allt að 1 TB).

Rekstraraðili ber ábyrgð á því að uppsetning á skýjageira og tengingar við hann séu samkvæmt bestu stöðlum og leiðbeiningum sem Arkitektúrráð gefur út hverju sinni.

Rekstraraðili hefur eftirlit með og setur kröfur varðandi tengingar stofnana við skýjageira til að tryggja að slíkar tengingar fylgi hönnun skýjageirans og tækniforskrift Arkitektúrráðs.

8. Kröfur til þjónustukaupa

Arkitektúrráð gefur út tæknilega skjölun hönnunar og rekstrarþátta skýjageira ríkisins.  Þjónustukaupi skuldbindur sig til þess að fylgja tæknilegri útfærslu á eigin upplýsingatækniumhverfi í samræmi við skjölun Arkitektúrráðs, þ.m.t. kröfum til Active Directory.

Þjónustukaupi annast fræðslu til eigin starfsfólks á sviði almennrar öryggis­vitundar.

Notendastýringar eru alfarið á ábyrgð þjónustukaupa, t.d. nöfn, réttindi og viðhald lykilorða.

9. Þjónusta

Rekstraraðilar munu eiga í samráði við Arkitektúrráð um að koma upp gátlista yfir staðlaðar uppsetningar á þjónustum eins og t.d. lykilorðareglum, gagna­vernd, fjölþáttaauðkenningu og öðrum öryggisþáttum sem eru í Microsoft 365 skýjageira.

Dagleg rekstrarþjónusta innifelur eftirfarandi:

1. Kerfisstjórn skýjageira og tengdra lausna, þ.m.t. umsjón með öryggisstillingum og vöktun og grípa til aðgerða eftir þörfum.
2. Eftirlit með ástandi þjónusta í Microsoft 365 umhverfinu (Service Health) og sjá til þess að tilkynningar um slíkt séu aðgengilegar tengiliðum þjónustukaupa ef breytingar eða þjónusturof verður svo hægt sé að gera viðeigandi ráðstafanir.
3. Þjónustuborð fyrir tengiliði, ásamt annarri aðstoð og ráðgjöf við UT deildir þjónustukaupa.
4. Eftirlit með tilkynningum um nýjungar eða breytingar í Microsoft 365 og sjá til þess að tilkynningar um slíkt séu aðgengilegar tengiliðum þjónustu­kaupa.
5. Fylgjast með öryggismálum (Secure Score) í Microsoft 365 ásamt notenda- og útstöðvaöryggi í Entra/Intune/Defender og grípa til aðgerða ef þörf er á. Miðlun gagna í vöktun til netöryggissveitar (CERT-IS).
6. Stöðug framþróun skýjageira og virkjun á nýjum lausnum frá Microsoft.

10. Vinnsluskilmálar

Rekstraraðili skuldbindur sig til að uppfylla kröfur til vinnsluaðila í skilningi persónuverndarlaga og um þjónustuna gilda vinnsluskilmálar sem birtir eru á heimasíðu rekstraraðila.

11. Þjónustukönnun

Árlega mun FJR standa fyrir þjónustukönnun meðal þjónustutengiliða stofnanna.  FJR gerir kröfu til rekstraraðila að vegin einkunn úr þjónustukönnun sé að lágmarki 4 á skalanum 1 – 5, eða að lágmarki 8 á skalanum 1 – 10.  Hlutlaus fagaðili mun framkvæma þjónustukönnun fyrir hönd FJR og leitast verður við að tengja þjónustukannanir saman á milli ára, svo hægt sé að lesa í þróun á þjónustuupplifun stofnana.

12. Útleiðing þjónustu

Við lok þjónustu mun rekstraraðili aðstoða þjónustukaupa með aðgangs­heimildir og greiða þjónustuaðila leið til að afrita gögn stofnunar úr umhverfi Microsoft 365 og/eða flytja þau í umhverfi annars þjónustuveitanda.

Vinna vegna uppsagnar þjónustu er ekki innifalin í mánaðargjaldi.

Hafi þjónustukaupi ekki óskað eftir afhendingu gagna eða flutningi til annars þjónustu­veitanda innan 90 daga frá lokum þjónustu er rekstraraðila heimilt að eyða gögnum að undangenginni staðfestri viðvörun til þjónustukaupa mánuði áður en til eyðingar kemur.

13. Þjónustugjald og viðbótarþjónusta

Rekstraraðili mun innheimta þjónustugjald fyrir daglega rekstrarþjónustu samkvæmt samþykktri og auglýstri verðskrá. Verðskrá kann að taka breytingum í samræmi við ákvörðun FJR.

Þau almennu þjónustugjöld sem eru í gildi á hverjum tíma sem og gjöld fyrir aukaþjónustu eru tilgreind í gjaldskrá sem birt er á heimasíðu Umbru.

Þjónustugjald er innheimt mánaðarlega. Fjársýsla ríkisins annast innheimtu og uppgjör þjónustugjalda.

14. Yfirlýsing

Samningsaðilum er það ljóst að þetta samstarf er í þróun og fyrirséð að ekki er hægt að tiltaka eða sjá fyrir allt sem komið getur upp á. Þar af leiðandi er gert ráð fyrir því að allir aðilar, FJR, rekstraraðili og þjónustukaupi muni ræða saman og grípa til ráðstafana ef skilmálarnir ná ekki yfir málið.

Viðauki 1 – Tengdar og valkvæðar lausnir

Rekstraraðili býður upp á eftirfarandi tengdar og valkvæðar lausnir til viðbótar almennum rekstri á skýjageirum. Um er að ræða bæði lausnir sem eru að hluta til eða öllu leyti innifaldar í þjónustugjöldum eða fáanlegar gegn aukagjaldi.

Afritunarþjónusta

Rekstraraðili sér um að taka og varðveita afrit af gögnum þjónustukaupa í skýjageira. Afritunin takmarkast við almenn Office skjöl og önnur gögn þjónustukaupa sem Microsoft gefur möguleika á að afrita í Microsoft 365 umhverfinu.

Afritun á eftirfarandi lausnum er innifalin í þjónustugjaldi: Exchange Online, SharePoint Online, Microsoft 365 Groups, Microsoft Teams, OneDrive for Business, Public Folders, Project Online og Planner.

Sértæk umhverfi eins og Power BI og Power Platform eru ekki innifalinn í afritatöku.

Frekari afritun og afritunarþjónustu þarf að semja um sérstaklega. Stöðluð afritunarþjónusta byggir á daglegri afritun og innifelur allt að 1TB í eitt ár. Tilgangur afritunar er að eiga öryggisafrit af gögnum á Íslandi og felur ekki í sér útgáfustýringu einstakra gagna, umfram að geyma sex síðustu útgáfur.

Þjónustukaupa verður gert kleift að endurheimta skjöl úr afritun.

Notendaumsjón (fyrir þjónustukaupa sem eru alfarið í skýjaþjónustu)

Rekstraraðili veitir þjónustu við stofnun notenda og endur­stillingu lykilorða fyrir þá Þjónustukaupa sem ekki hafa eigin notendaumsjón samstillta við Active Directory (AD).

Símaþjónusta (Teams)

Þjónustan felur í sér að virkja landlínunúmer í Teams sem leysir þannig af hólmi hefðbundinn borðsíma. Þjónustan er innifalin í þjónustugjaldi.

Valkvæðar lausnir

Rekstraraðili kann að bjóða valkvæðar viðbótarlausnir. Beiðni um slíkt skal vera skrifleg frá viðskiptalegum tengiliði þjónustukaupa. Gefin er út sérstök verðskrá fyrir valkvæðar lausnir og þjónustu.

•  Gjaldskrá valkvæðrar þjónustu
• Þjónustuskilmálar Umbru fyrir rekstur skýjageira stofnana

Breytingasaga