SERVICE LEVEL AGREEMENT
1 ALGEMEEN
DOELSTELLING
Het doel van dit Service Level Agreement (SLA) addendum is de te leveren dienstverlening te beschrijven en vast te leggen met betrekking tot het Obsurv API Developer Portal.
Het SLA is als addendum opgesteld, omdat de API services afhankelijk zijn van Obsurv. Het addendum geeft aanvullende context aan de artikelen van het Obsurv SLA voor gebruikers van het API Developer Portal. Dit addendum vormt onlosmakelijk onderdeel van het Obsurv SLA. Het Obsurv SLA geldt ten allen tijde als leidende en primaire basistekst.
In dit addendum is dezelfde structuur gehanteerd als dat in het van het Obsurv SLA. Een gebruiker dient het Obsurv SLA te raadplegen indien men meer achterliggende informatie wil verkrijgen.
OVEREENKOMST EN PARTIJEN
Dit SLA is altijd onderdeel van een Onderhouds- en Ondersteuningsovereenkomst (De “Overeenkomst”). De naleving van het SLA is een afspraak tussen Sweco en de Klant. Een nieuwe versie van dit SLA wordt op termijn beschikbaar gesteld via
https://developer.obsurv.nl/ServiceLevelAgreement ; hiervan krijgt u als Klant vooraf een melding.
Dit SLA is afzonderlijk van toepassing op elk geregistreerd account dat gebruik maakt van de API services van Obsurv binnen het API Developer Portal. Een geregistreerd account wordt gezien als een gebruiker oftewel ‘Developer’ van het API Developer Portal.
DUUR EN BEEIDIGING
De geldigheid van het SLA is gelijk aan de afgesloten contractperiode en bepaling zoals benoemd in de Overeenkomst.
OVERMACHT
Overmacht omvat een tekortkoming in de nakoming van de Overeenkomst, die niet te wijten is aan schuld van een partij en evenmin krachtens, wet, rechtshandeling of in het maatschappelijk rechtsverkeer geldende opvatting voor rekening van de betreffende partij. Raadpleeg het Obsurv SLA om precies te weten wat valt binnen Overmacht.
INSPANNINGSPLICHT
Sweco informeert de Klant bij het (deels) niet kunnen halen van de Beschikbaarheidsnorm. Dit gebeurt via een maandelijkse rapportage die wordt verstuurd op de tiende dag van de volgende maand.
Indien Sweco niet kan voldoen aan de gestelde Oplostijd in geval van een Storing met urgentie wordt de Klant door Sweco actief geïnformeerd binnen de gestelde Reactietijd met de verwachte Oplostijd.
DEFINITIES
Alle begrippen in dit SLA worden aangeduid met een hoofdletter. De definities van deze begrippen worden hieronder gegeven.
API Beperkingsbeleid
Een beleid dat toegang tot API’s beperkt aan de hand van diverse toepassingen.
API Developer Portal
Het API Developer Portal publiceert API’s, waar de klant API’s kan ontdekken en proberen.
API endpoints
Een API endpoint is een digitale locatie, waar een API verzoeken ontvangt over specifieke bronnen op een server.
Audit
Controleren van Obsurv betrokken informatiesystemen bij vermoeden van misbruik.
Authenticatie
De vastgestelde identiteit van een persoon.Autorisatie
Rechten toewijzen aan geauthentiseerde gebruikers.Beschikbaarheidsnorm
De afgesproken Beschikbaarheid van de dienstverlening door Sweco. De norm wordt uitgedrukt in een beschikbaarheidspercentage, dat als volgt word berekend:Beschikbaarheidsnorm = 100% * [1 – ((t-o) : T)]
t = het aantal uren dat de Hosting Omgeving / API Developer Portal gedurende het jaar niet beschikbaar was
o = het aantal uren gedurende het jaar betreffende de bovengenoemde uitzonderingen
T = het totaal aantal uren per jaar
Identificatie
Iemands identiteit vaststellen.Informatiebeveiliging
Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen.Informatieveiligheid
Geeft aan of de maatregelen rondom het beschermen van informatie op voldoende niveau is.Logging
Bijhouden van gegevens.Malware
Kwaadaardige software.Oauth 2.0
Open standaard autorisatie.Primaire sleutels
Sleutel dat toegang verleent tot een API.Rate-limit
Bij rate limiting wordt het maximaal aantal requests per minuut gelimiteerd.Sandbox API’s
Een omgeving waar gebruikers API’s kunnen testen om kenmerken van de productieomgeving na te bootsen en reacties te creëren.
Secundaire sleutels
Secundaire sleutel dat toegang verleent tot een API, zodra de primaire sleutel niet actief is.Versionering
Alle werkzaamheden omtrent het beheer van API versies.VPN
Met een VPN legt men een versleutelde ‘tunnel’ aan tussen een digitaal apparaat en een server.Obsurv SLA
Het SLA is als addendum opgesteld, omdat de API services afhankelijk zijn van Obsurv. Het addendum geeft aanvullende context aan de artikelen van het Obsurv SLA voor gebruikers van het API Developer Portal.Kantooruren
De bereikbaarheid van Sweco op Werkdagen tijdens van 8.30 uur tot 17.00 uur, met uitzondering van algemeen erkende feestdagen in Nederland.Nieuwe Versie
Een verbeterde versie van de Programmatuur die aan de Klant ter beschikking wordt gesteld. Niet onder een Nieuwe Versie zijn begrepen opties of toekomstige producten waarvoor Sweco afzonderlijke gebruikersrechten verleent of die Sweco beschikbaar stelt tegen betaling van afzonderlijke vergoedingen.Quotum
Een quotum (ook wel quota genoemd) beschrijft een bepaald maximum aantal API aanroepen voor langere intervallen. Deze intervallen kunnen bestaan op maand- en jaarbasis.Request
Een request, ook wel een call of verzoek genoemd, is de actie die wordt verricht bij het aanroepen van een API endpoint.
2 DIENSTOMSCHRIJVING
BESCHRIJVING
Sweco stelt het API developer Portal ter beschikking aan de klant voor het ontdekken en gebruik van Obsurv API’s. Het API Developer Portal is uitsluitend bedoeld om API informatie (API-specificaties, referenties, documentatie en code voorbeelden) en een API testomgeving ter beschikking te stellen aan de Klant.
Het API Developer Portal wordt in Nederland beheerd en opgeslagen in dezelfde infrastructuur van de Obsurv omgeving.
SERVICE COMPONENTEN
De volgende componenten zijn onderwerp van dit SLA.
Toegangsbeheer
Betreft het beheer van de toegang van gebruikers tot het API Developer Portal. De doelstelling van toegangsbeheer is het adequaat organiseren van de toegankelijkheid van het API Developer Portal.
Service level beheer
Service level beheer treft het beheer van API-gebruik. Het doel van dit beheer is het verhogen van de kwaliteit van de dienst verlening.API Lifecycle beheer
API Lifecycle beheer treft het beheer rondom het beschikbaar maken van nieuwe API endpoints. Het doel van dit beheer is het proces versoepelen naar de overstap van een nieuwe API endpoint.Beschikbaarheidsbeheer
Bewaken van de Beschikbaarheid van het API Developer Portal tijdens de afgesproken Kantooruren ten einde deze maximaal ter beschikking te kunnen stellen. Het doel van dit beheer is dus het zorgen dat de diensten beschikbaar zijn.Beveiligingsbeheer (Monitoring)
Het voorkomen van misbruik van het API Developer Portal door niet-geautoriseerde gebruikers. Het doel van dit beheer is het beheersbaar maken van informatieveiligheid risico’s.
ROLLEN EN VERANTWOORDELIJKHEDEN
De tabel hieronder geeft de verschillende rollen en verantwoordelijkheden aan de kant van Sweco bij de uitvoering van dit SLA aan. Deze Rollen en verantwoordelijkheden zijn identiek aan dat van het Obsurv SLA:
Technisch beheerder
Technisch onderhoud en beheer van het API Developer Portal
Service Manager
Contactpersoon voor het API Developer Portal en naleving SLA
3 TOEGANGSBEHEER
Aanvulling van het Obsurv SLA
BESCHRIJVING
Toegangsbeheer treft het beheer van de toegang van gebruikers tot het API Developer Portal. Sweco voert dit beheer uit.
Onder het toegangsbeheer worden de volgende taken uitgevoerd:
Abonnementsverzoeken keuren;
Supscription keys beschikbaar stellen;
Gebruikers toegang verlenen tot informatie.
ROLLEN EN VERANTWOORDELIJKHEDEN
Toegangsbeheer
Bewaken dat slechts geautoriseerde personen toegang hebben tot het API Developer Portal.
REGISTRATIE
Het is vereist dat gebruikers zich registreren met eigen naam. Registratie met privé e-mailadres is niet toegestaan. Het is niet toegestaan dat toegangsgegevens tot de API’s worden gedeeld of verkocht. Inloggegevens, Primaire sleutels en Secundaire sleutels worden verstaan onder toegangsgegevens tot de API’s.
Bij registratie gaat de gebruiker akkoord met de voorwaarden zoals beschreven in het SLA.
ABONNEMENT
Als een gebruiker toegang wil krijgen tot het gebruik van API’s dient de gebruiker zich te abonneren op een specifiek API Product. Van één API product zijn twee versies beschikbaar: Raadplegen en Muteren. Bij een abonnementsverzoek wordt er een mail verzonden aan de gebruiker. In deze mail wordt gevraagd naar aanvullende informatie waaronder: bedrijf en vervullende functie. Aan de hand van de verschafte informatie bepaald de Service manager of een abonnementsverzoek met autorisatiekeuze ‘Raadplegen’ of ‘Muteren’ wordt goedgekeurd.
SERVICE NORMEN
De service normen van toegangsbeheer wordt uitgedrukt in Reactietijd, zoals weergegeven in het onderstaande tabel. Dit heeft betrekking op de reactietijd bij behandeling van een abonnementsverzoek.
KPI Reactietijd
De streeftijd waarbinnen de Service manager een eerste reactie op een abonnementsverzoek doet aan de melder.
Toepasbaar op
Abonnementsverzoek
Streefgetal
Binnen 2 werkdagen
Meetmethode
Rapportage in het systeem
4 SERVICELEVEL BEHEER
Aanvulling van het Obsurv SLA
BESCHRIJVING
Servicelevel beheer treft het beheer van API-gebruik. Sweco voert dit beheer uit.
ROLLEN EN VERANTWOORDELIJKHEDEN
Verantwoordelijkheid
Gatewaybeheer
Omschrijving
Werkzaamheden met betrekking tot het beheren van de API Gateway. Waaronder: Technische inrichting.
Wie
Technisch beheerder
PROEFTUIN / SANDBOX
Naast dynamische documentatie wordt een proeftuin aangeboden in de vorm van Sandbox API’s. Hier kan de gebruiker direct verzoeken doen en krijgt op deze manier snel functionaliteiten inzichtelijk. Op deze manier krijgt de gebruiker direct feedback over hoe hun applicaties aansluiten op de aangeboden API’s. Sweco kan invloed uitoefenen op de sandbox API’s door toepassing van een API beperkingsbeleid.
API BEPERKINGSBELEID
Sweco is vrij in het aanpassen van het API Beperkingsbeleid. Dit geldt voor ieder beschikbaar API Beperkingsbeleid. Zodra Sweco bijvoorbeeld constateert dat er een grote piek in API verzoeken plaatsvind. Kan Sweco de Rate-limit van een API aanpassen, waardoor er bijvoorbeeld nu één verzoek per 60 seconden kan plaatsvinden. Grote pieken in het aantal verzoeken kunnen storingen op de backend systemen veroorzaken.
5 API LIFECYCLE BEHEER
Aanvulling van het Obsurv SLA
BESCHRIJVING
API Lifecycle beheer treft het beheer rondom het beschikbaar maken van nieuwe API endpoints. Sweco voert dit beheer uit.
ROLLEN EN VERANTWOORDELIJKHEDEN
Verantwoordelijkheid
API Lifecycle beheer
Omschrijving
Werkzaamheden met betrekking tot het beheren van de API Lifecycles en versionering, waaronder het beschikbaar maken van nieuwe API versies.
Wie
Technisch beheerder
VERSIONERING
Versionering maakt het voor clients inzichtelijk op welke API wordt aangesloten. Sweco introduceert op deze manier nieuwe API versies zonder dat dit impact heeft op API clients. Hoe lang een specifieke API versie wordt ondersteund is van onbepaalde tijd. De gebruiker is zelf verantwoordelijk gebruik te maken van de juiste API versies. Zodra een klant problemen ervaart in functionaliteiten dient de klant eerst gebruik te gaan maken van de meest recente API versie.
Obsurv API’s zijn altijd geversioneerd. Sweco zal minstens 6 maanden van tevoren aankondigen wanneer een API versie Offline wordt gehaald, zodat een gebruiker zich kan voorbereiden over te stappen op een nieuwe API versie. Gebruikers kiezen zelf het moment van overschakelen naar een nieuwe API versie, als dit maar wordt gerealiseerd voor het einde van de overgangsperiode.
SERVICE NORMEN
Publiceren nieuwe API versie
Omschrijving
Publicatie van nieuwe API versie wordt vooraf gecommuniceerd
Toepasbaar op
API Developer Portal
De gebruiker is zelf verantwoordelijk voor het overstappen naar een nieuwe API versie.
Verwijderen API versie
Omschrijving
API versie wordt verwijderd uit het API Developer Portal. Wordt verwijderd conform een vast gecommuniceerd tijdsblok.
Toepasbaar op
API Developer Portal
De gebruiker is zelf verantwoordelijk voor het overstappen naar een nieuwe API versie.
6 BESCHIKBAARHEIDSBEHEER
Aanvulling van het Obsurv SLA
BESCHRIJVING
Onder het niet beschikbaar zijn van het API Developer Portal wordt verstaan, dat het API Developer Portal gedurende één aaneengesloten kwartier (15 minuten) gedurende Kantooruren niet benaderbaar is voor de Klant, buiten het maandelijkse onderhoudswindow.
ROLLEN EN VERANTWOORDELIJKHEDEN
Verantwoordelijkheid
1 Meldingsafhandeling (1e lijns ondersteuning)
2 Technisch beheer
Omschrijving
1 Bij Storingen in de Beschikbaarheid meldt de Klant dit bij de Helpdesk van Sweco
2 Bewaken ongestoorde werking van het API Developer Portal
Wie
1 Helpdesk medewerker
2 Technisch beheerder
ANALYSE
Een gebruiker kan op het API Developer Portal analyses verkrijgen over het API gebruik. De analyses geven onder andere inzicht in:
Totale verzoeken
Succesvolle verzoeken
Mislukte verzoeken
Geblokkeerde verzoeken
Data overdracht
API reactie tijd
Bandbreedte
Locatie
De weergegeven analyses op het API Developer Portal gelden niet als indicatie voor de servicebeschikbaarheid. Een gebruiker dient er rekening mee te houden dat de geografische weergegeven locaties kunnen afwijken bij onder andere het gebruik van een VPN. Mislukte en geblokkeerde verzoeken kunnen ontstaan door foutief ingevulde vereiste gegevens bij het aanroepen van een API.
De maandelijkse Obsurv rapportage geldt ten alle tijden als lijdende draad voor de servicebeschikbaarheid. Indien de beschikbaarheid niveaus niet worden behaald zal er aan de maandelijkse Obsurv rapportage de niet behaalde beschikbaarheidsniveaus van het API Developer Portal worden toegevoegd. Wanneer de beschikbaarheidsniveaus van het API Developer Portal op voldoende niveau zijn zal er geen extra opmerking worden toegevoegd aan de maandelijkse Obsurv rapportage.
SERVICE NORMEN
Het beschikbaarheidsniveau van het API Developer Portal bedraagt tijdens Kantooruren 99,5%.
KPI Beschikbaarheidsnorm API Developer Portal
Omschrijving
Percentage minimale Beschikbaarheid API Developer Portal
Toepasbaar op
API Developer Portal
Streefgetal
> 99,5%
Meetmethode
Rapportage in monitoring tool
7 BEVEILIGINGSBEHEER
Aanvulling van het Obsurv SLA
BESCHRIJVING
Beveiligingsbeheer betreft het waarborgen van de Beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening.
Sweco handelt in lijn met vigerende Nederlandse en Europese wet- en regelgeving rondom informatiebeveiliging en de bescherming van persoonsgegevens, waaronder de Algemene Verordening Gegevensbescherming (AVG). Sweco draagt zorg voor de bescherming van de persoons- en/of bedrijfsgegevens van de Klant. In dit kader kan met de Klant een Verwerkingsovereenkomst worden afgesloten.
ROLLEN EN VERANTWOORDELIJKHEDEN
Verantwoordelijkheid
1 Technisch beheer API Developer Portal
2 Toegangsbeheer
Omschrijving
1 Bewaken ongestoorde werking van het API Developer Portal
2 Bewaken dat slechts geautoriseerde personen toegang hebben tot het API Developer Portal
Wie
1 Technisch beheerder Sweco
2 Service manager
IDENTIFICATIE & AUTHENTICATIE
Een nieuwe gebruiker kan zich registreren op het API Developer Portal. Echter is deze gebruiker nog niet geïdentificeerd. Zodra een gebruiker gebruik wil gaan maken van een API dient deze zich te abonneren op een API product. Voordat een gebruiker toegang krijgt tot een API ontvangt de gebruiker een mail om zich te identificeren. In deze mail wordt gevraagd naar aanvullende informatie waaronder: bedrijf en vervullende functie.
Sweco hanteert voor het API Developer Portal een Gebruikersnaam en Wachtwoord als authenticatie methode. Als een authenticatie methode wordt gewijzigd om toegang te krijgen tot het API Developer Portal zal Sweco hierover een mail sturen.
AUTORISATIE
De Service manager bepaalt onder welke rol een gebruiker wordt geautoriseerd: Raadplegen of Muteren. Dit wordt bepaald aan de hand van de door gebruiker verschafte informatie bij het abonneren op een API Product. De Service manager is vrij in het wijzigen van autorisatie rollen. Het onderstaande tabel geeft weer wat wordt verstaan onder Raadplegen en Muteren.
Autorisatie
1 Raadplegen
2 Muteren
Omschrijving
1 De gebruiker kan alleen informatie opvragen.
2 De gebruiker kan informatie opvragen, toevoegen, bijwerken en/of verwijderen.
HTTP
1 GET
2 GET, POST, DEL, PUT
Oauth 2.0 & Supscription keys
Bij de autorisatie van een API verzoek maakt het API Developer Portal gebruik van Oauth 2.0. Oauth 2.0 is een autorisatiestandaard en maakt gebruik van tokens, waardoor vertrouwelijke gegevens niet afgegeven hoeven te worden. Naast Oauth client credentials zal de gebruiker supscription keys moeten invoeren om een API verzoek te doen. Deze keys zijn verkregen bij activatie van een abonnementsverzoek. Het is niet toegestaan sleutels te delen met andere partijen en dienen strikt door alleen de gebruiker te worden gebruikt.
LOGGING & AUDIT
Sweco is toegestaan te loggen. Dit geeft inzicht in de verkeersstromen tussen API clients, API Gateway en het achterliggende applicatielandschap. Historische verkeersstromen kunnen worden herleid voor audit doeleinden (Privacy, Beveiliging en Transparantie).
BEVEILIGINGSVEREISTEN
Het onderstaande tabel geeft algemene beveiligingsvereisten weer.
Beveiligde verbinding
Voordat gegevens worden overgedragen moet een beveiligde verbinding tot stand worden gebracht.
Beveiliging eigen systeem
Elke partij is verantwoordelijk voor de beveiliging van haar eigen systeem.
Geen Malware verzenden
Elke partij stemt ermee in om bij gegevensuitwisseling geen Malware te introduceren via onder andere API’s.
Actieve maatregelen informatieveiligheid
Elke partij treft actieve maatregelen voor het waarborgen van de informatieveiligheid.
Risicoanalyse
Elke partij voert regelmatig risicoanalyses uit. Om zwakke schakels in systemen te monitoren.
Transparant contact
Elke partij stemt ermee in om transparant te zijn tegenover de andere partij. Op deze manier kan snel actie worden ondernomen bij vermoeden van informatieveiligheid risico’s.
