Trust Center
Service Level Agreements (SLA)
Rahmenwerk für verbindliche Service-Levels nach ITIL und ISO 20000. Definiert Verfügbarkeits-, Performance-, Support- und Sicherheits-SLAs mit kontinuierlichem Monitoring und definierten Eskalationsprozessen.
Management-Zusammenfassung
- Das SLA-Rahmenwerk definiert verbindliche Service-Levels fuer Verfuegbarkeit, Performance, Support, Sicherheit und Berichtswesen.
- Die Einhaltung der SLAs wird kontinuierlich ueberwacht und in monatlichen Service-Reports nachgewiesen.
- Bei Ueberschreitung von Schwellwerten greifen definierte Eskalations- und Gutschriftsverfahren.
- SLA-Parameter werden jaehrlich ueberprueft und an geaenderte Geschaeftsanforderungen angepasst.
- Alle SLAs basieren auf ITIL- und ISO-20000-Standards und werden im Rahmen des ISMS auditiert.
Verfuegbarkeits-SLA
| Service-Tier | Verfuegbarkeit | Max. Ausfall / Woche |
|---|---|---|
| Standard | 99,9 % | 10,1 min |
| Business | 99,95 % | 5,0 min |
| Enterprise | 99,99 % | 1,0 min |
| Premium | 99,995 % | 0,5 min |
Performance-SLA
| Metrik | Standard | Business | Enterprise |
|---|---|---|---|
| API Response Time (p95) | < 1.000 ms | < 500 ms | < 200 ms |
| API Response Time (p99) | < 2.000 ms | < 1.000 ms | < 500 ms |
| Durchsatz (max. req/s) | 100 req/s | 500 req/s | 2.000 req/s |
Support-SLA — Reaktionszeit nach Prioritaet
| Prioritaet | Definition | Reaktionszeit | Update-Intervall |
|---|---|---|---|
| Kritisch | Produktionsausfall oder Datenverlust | < 30 min | Alle 30 min |
| Hoch | Schwerwiegende Funktionseinschraenkung | < 2 h | Alle 2 h |
| Mittel | Nicht-kritischer Fehler oder Workaround verfuegbar | < 8 h | Taeglich |
| Niedrig | Allgemeine Anfrage oder Information | < 24 h | Nach Bedarf |
Sicherheits-SLA
- Patch kritischer Schwachstellen (CVSS >= 9,0): <= 24 h nach Verfuegbarkeit des Patches.
- Patch hoher Schwachstellen (CVSS 7,0–8,9): <= 7 Tage nach Verfuegbarkeit des Patches.
- Patch mittlerer Schwachstellen (CVSS 4,0–6,9): <= 30 Tage nach Verfuegbarkeit des Patches.
- Schwachstellen-Scan-Intervall: woechentlich automatisiert, monatlich manuell fuer kritische Systeme.
- Penetrationstests: jaehrlich extern (Infrastruktur und Applikation), Red Teaming alle 2 Jahre.
- Vulnerability-Disclosure-Programm: 90-Tage-Fenster fuer Responsible Disclosure mit Bug-Bounty.
Berichtswesen-SLA
| Bericht | Format | Frequenz | Empfaenger |
|---|---|---|---|
| Service-Report | Monatlich | Kunde | |
| SLA-Einhaltung | PDF / CSV | Quartalsweise | Kunde + Management |
| Sicherheits-Report | Quartalsweise | CISO + Kunde | |
| Verfuegbarkeits-Dashboard | Echtzeit-Dashboard | Kontinuierlich | Kunde |
Eskalationsmatrix
| Level | Eskalationsstufe | Reaktionszeit | Verantwortlich |
|---|---|---|---|
| L1 | First Level Support | < 30 min | Service Desk |
| L2 | Fach-Eskalation | < 2 h | Application Support |
| L3 | Management-Eskalation | < 4 h | Service Manager |
| L4 | Geschaeftsfuehrung | < 8 h | Geschaeftsfuehrung |
ISO 27001 Verbindung
ISO/IEC 27001:2022 stellt die Kontrollanker fuer das SLA-Programm bereit.
- A.5.31 Informationssicherheit im Projektmanagement
- A.5.37 Dokumentierte Betriebsablaeufe
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung