SAP and Customer have entered into an agreement for a subscription to certain SAP products and services ( Agreement ) pursuant to which Customer is subscribing to SAP Authentication 365 (the Cloud Service ). These ( Supplement ) and any modifications to the Agreement made herein apply solely to the Cloud Service and not to any other SAP product or service. 1. CLOUD SERVICE 1.1. The Cloud Service (i) generates and provides to the Customer via an API call a twofactor authentication token ( Token ) in response to a request for such a Token from the Customer via an API call to the SAP network and (ii) authenticates the Token entered by the Customer s end user in the applicable Customer application after the SAP network s receipt via an API call from the Customer of such entered Token. A Token is a combination of numeric and alphanumeric characters configurable by Customer (e.g., PIN codes, verification codes, one-time password). 1.2. The Cloud Service is provided through customized API calls between Customer and SAP, along with a hosted User Interface (UI) which may be used to set defaults and view analytics and metrics. The Cloud Service may only be used by Authorized Users. The UI can be accessed by Authorized Users who are developers granted access by Customer s administrative user. 1.3. The Cloud Service DOES NOT include the physical transmission of a Token to a Customer s end-users ( Token-End User Transmission Service ). Subject to technical conditions that might exist within a Customer s network ecosystem, the Cloud Service is functionally compatible with multiple communications messaging technologies that can function as a Token-End User Transmission Service, including SMS text, Internet push, and e-mail transmission. CUSTOMER IS RESPONSIBLE FOR OBTAINING TOKEN-END USER TRANSMISSION SERVICE FROM A SERVICE PROVIDER OF CUSTOMER S CHOICE. SAP CAN PROVIDE TO CUSTOMER TOKEN-END USER TRANSMISSION SERVICE IF CUSTOMER ELECTS TO RECEIVE SUCH SERVICE FROM SAP SUBJECT TO SAP S SEPARATE APPLICABLE TOKEN-END USER TRANSMISSION SERVICE TECHNOLOGY AND SEPARATE TERMS Syarat dan Ketentuan Tambahan SAP dan Pelanggan telah mengadakan perjanjian untuk berlangganan produk dan layanan SAP tertentu ( Perjanjian ) yang menjadi dasar bagi Pelanggan untuk berlangganan SAP Authentication 365 ( Layanan Cloud ). Syarat dan Ketentuan Tambahan ( Tambahan ) ini dan setiap modifikasi terhadap Perjanjian yang dibuat dalam dokumen ini hanya berlaku untuk Layanan Cloud dan bukan untuk produk atau layanan SAP lainnya. 1. LAYANAN CLOUD 1.1. Layanan Cloud tersebut (i) membuat dan memberikan token otentikasi dua faktor ( Token ) kepada Pelanggan melalui panggilan API untuk merespons permintaan untuk Token tersebut dari Pelanggan melalui panggilan API ke jaringan SAP dan (ii) mengotentikasi Token yang dimasukkan oleh pengguna akhir pada Pelanggan dalam aplikasi Pelanggan yang berlaku setelah jaringan SAP menerima Token yang dimasukkan tersebut dari Pelanggan melalui panggilan API. Sebuah Token adalah kombinasi karakter numerik dan alfanumerik yang dapat dikonfigurasi oleh Pelanggan (misalnya kode PIN, kode verifikasi, kata sandi satu waktu). 1.2. Layanan Cloud diberikan melalui panggilan API yang disesuaikan antara Pelanggan dan SAP, bersama dengan Antarmuka Pengguna (User Interface/UI) yang di-host yang dapat digunakan untuk mengatur nilai standar dan menampilkan analitik dan metrik. Layanan Cloud hanya dapat digunakan oleh Pengguna yang Sah. UI dapat diakses oleh Pengguna yang Sah yang merupakan pengembang yang menerima akses dari pengguna administratif pada Pelanggan. 1.3. Layanan Cloud TIDAK termasuk transmisi fisik Token ke pengguna akhir pada Pelanggan ( Layanan Transmisi Token-Pengguna Akhir ). Bergantung pada kondisi teknis yang mungkin ada dalam ekosistem jaringan Pelanggan, Layanan Cloud secara fungsional kompatibel dengan sejumlah teknologi komunikasi olah pesan yang dapat berfungsi sebagai Layanan Transmisi Token-Pengguna Akhir, termasuk pesan SMS, Internet push, dan pengiriman email. PELANGGAN BERTANGGUNG JAWAB UNTUK MEMPEROLEH LAYANAN TRANSMISI TOKEN-PENGGUNA AKHIR DARI PENYEDIA LAYANAN YANG DIPILIH PELANGGAN. SAP DAPAT MEMBERIKAN LAYANAN TRANSMISI TOKEN-PENGGUNA AKHIR KEPADA PELANGGAN JIKA PELANGGAN MEMILIH UNTUK MENERIMA LAYANAN TERSEBUT DARI SAP DENGAN TUNDUK PADA TEKNOLOGI TRANSMISI TOKEN-PENGGUNA Supplement (DUAL) idid.v.4-2016 Page 1 of 5
AND CONDITIONS. 2. FEES. The Usage Metric for the Cloud Service as to which the applicable fees shall apply is the number of Successful Authentications per month. A Successful Authentication occurs when Customer s end user requests that the Token received on the end user s mobile device via the Token-End User Transmission Service be authenticated, and a match, meaning an authentication, of the Token input by the enduser into the Customer s reference website or application is made by the Cloud Service with the Token generated by the Cloud Service for that end-user. 3. ADDITIONAL TERMS 3.1 Support. Support services for the Cloud Service are set forth in Attachment 1 to this Supplement. SAP may update the support services from time to time, subject to the Continuous Modification terms of the GTC. 3.2 Cloud Service Data. Data used or generated in connection with the Cloud Service shall include the Token, the mobile directory number of the Customer s end user ( MDN ), the Token value parameters received by SAP from Customer to generate a Token with respect to a Customer request therefor, and related meta-data generated by the Cloud Service on the SAP network (collectively, Cloud Service Data ). As between the Customer and SAP, Cloud Service Data shall be the property of SAP, including any intellectual property rights therein but excluding any MDN except for the right set forth below to retain and store all MDNs on the SAP network. SAP shall have the right, but not the obligation, to retain and store Cloud Service Data in the SAP network during term, and after the expiration or termination, of the Cloud Service. Notwithstanding the foregoing, SAP shall make available to Customer certain of the Cloud Service Data during the term of the Cloud Service, provided that (i) each Token shall be deleted upon authentication or expiration thereof and (ii) upon expiration or termination of the Cloud Service, Customer will have no access to the Cloud Service and accordingly no access to Cloud Service Data resident on the SAP network. AKHIR DAN SYARAT DAN KETENTUAN SAP TERPISAH YANG BERLAKU. 2. IMBALAN. Metrik Penggunaan untuk Layanan Cloud yang untuknya imbalan akan berlaku adalah jumlah Otentikasi yang Berhasil per bulan. Otentikasi yang Berhasil terjadi saat pengguna akhir pada Pelanggan meminta agar Token yang diterima di perangkat mobile pengguna akhir melalui Layanan Transmisi Token-Pengguna Akhir diotentikasi, dan pasangan, yang berarti otentikasi, Token yang dimasukkan oleh pengguna akhir ke dalam situs web referensi atau aplikasi Pelanggan dibuat melalui Layanan Cloud dengan Token yang dihasilkan oleh Layanan Cloud untuk pengguna akhir tersebut. 3. SYARAT-SYARAT TAMBAHAN 3.1 Dukungan. Layanan dukungan untuk layanan Cloud dinyatakan dalam Lampiran 1 untuk Tambahan ini. SAP dapat memperbarui layanan dukungan dari waktu ke waktu, yang tunduk pada syarat-syarat Modifikasi Berkelanjutan terhadap GTC. 3.2 Data Layanan Cloud. Data yang digunakan atau dihasilkan dalam kaitannya dengan Layanan Cloud akan mencakup Token, nomor direktori mobile (mobile directory number/mdn) pengguna akhir pada Pelanggan, parameter nilai Token yang diterima oleh SAP dari Pelanggan untuk membuat Token terkait dengan permintaan Pelanggan, dan metadata terkait yang dibuat melalui Layanan Cloud pada jaringan SAP (secara bersama-sama disebut, Data Layanan Cloud ). Sedangkan antara Pelanggan dan SAP, Data Layanan Cloud akan menjadi milik SAP, termasuk setiap hak kekayaan intelektual yang terkandung di dalamnya, namun kecuali setiap MDN kecuali hak yang dinyatakan di bawah untuk mempertahankan dan menyimpan semua MDN di jaringan SAP. SAP akan memiliki hak, namun bukan kewajiban, untuk mempertahankan dan menyimpan Data Layanan Cloud dalam jaringan SAP selama jangka waktu, dan setelah pengakhiran atau habisnya masa berlaku Layanan Cloud. Meskipun terdapat ketentuan sebelumnya, SAP akan menyediakan kepada Pelanggan Data Layanan Cloud tertentu selama jangka waktu Layanan Cloud, dengan ketentuan bahwa (i) setiap Token akan dihapus setelah otentikasi atau habisnya masa berlaku Token tersebut dan (ii) setelah pengakhiran atau habisnya masa berlaku Layanan Cloud, Pelanggan tidak akan memiliki akses ke Layanan Cloud dan oleh karenanya, tidak ada akses pula ke Data Layanan Cloud yang berada di jaringan SAP. Supplement (DUAL) idid.v.4-2016 Page 2 of 5
Attachment 1 To Support Services for SAP Authentication 365 This document ( Support Cloud Services Document ) describes the support services provided by SAP for. Customer may report a suspected fault to SAP by sending an email to: EMSupport.sapmobileservices@sap.com or such other email address as SAP notifies to the Customer from time to time. To diagnose and resolve suspected faults, SAP will require certain information when the problem is first reported with as much detail as possible. This will include: The Hub Account(s) and/or SAP Authentication 365 account affected MSDISN(s) affected and / Or OrderId(s) affected Impact (e.g. High 100% of traffic affected, Medium 20% of traffic affected, Low 1 message or administration request) Traffic Affected means responsiveness of the Cloud Service (e.g. API calls are not being processed or not responding, as measured in msecs). Description of the problem(s) Company name Name and contact telephone number of the person reporting the fault The Customer will ensure that the ticket number generated by SAP in response to the report of a suspected fault is included in the subject field of all future correspondence in relation to such suspected fault. Severity levels Faults reported by the Customer will be allocated a severity level in accordance with the severity of the problem: Lampiran 1 untuk Syarat dan Ketentuan Tambahan Layanan Dukungan untuk SAP Authentication 365 Dokumen ini ( Dokumen Layanan Cloud Dukungan ) menjelaskan layanan dukungan yang disediakan oleh SAP untuk SAP Authentication 365. Pelanggan dapat melaporkan dugaan gangguan kepada SAP dengan mengirim email ke: 'EMSupport.sapmobileservices@sap.com' atau alamat email lainnya yang diberitahukan SAP kepada Pelanggan dari waktu ke waktu. Untuk mendiagnosis dan menyelesaikan dugaan gangguan, SAP akan mendapatkan informasi tertentu saat masalah pertama kali dilaporkan dengan sebanyak mungkin perincian. Hal ini akan mencakup: Akun(-akun) Hub dan/atau akun SAP Authentication 365 yang terdampak MSDISN dan/atau OrderId yang terdampak Pengaruh (misalnya pesan atau permintaan administratis Tinggi 100% dari lalu lintas yang terdampak, Menengah 20% dari lalu lintas yang terdampak, Rendah 1%) Lalu Lintas yang Terdampak berarti keresponsifan Layanan Cloud (misalnya panggilan API sedang tidak diproses atau tidak merespons, yang diukur dalam milidetik (mdet)). Deskripsi masalah Nama perusahaan Nama dan nomor telepon orang yang melaporkan gangguan Pelanggan akan memastikan bahwa nomor tiket yang dibuat oleh SAP sebagai respons terhadao laporan dugaan gangguan termasuk dalam bidang 'subyek' pada semua korespondensi di masa mendatang terkait dugaan gangguan tersebut. Tingkat keparahan Suatu tingkat keparahan akan ditetapkan untuk gangguan yang dilaporkan oleh Pelanggan sesuai dengan keparahan masalah: Supplement (DUAL) idid.v.4-2016 Page 3 of 5
S1 - Severity one/ S1 - Keparahan satu S2 - Severity two/ S2 - Keparahan dua S3 - Severity three/ S3 - Keparahan tiga S4 - Severity four/ S4 - Keparahan empat Fault Response A severity one (S1) problem consists of a fault which renders the Cloud Service unavailable. This applies to a total outage of the Cloud Service where tokens cannot be generated or authenticated./ Masalah dengan keparahan tingkat satu (S1) terdiri dari gangguan yang menjadikan Layanan Cloud tidak tersedia. Hal ini berlaku untuk pemadaman total Layanan Cloud di mana token tidak dapat dibuat atau diotentikasi. A severity two (S2) problem consists of a fault causing acute operational problems (e.g. considerable service restriction like the numerous operational API errors that are not related to implementation)./ Masalah dengan keparahan tingkat dua (S1) terdiri dari gangguan yang mengakibatkan masalah operasional akut (misalnya keterbatasan layanan yang wajar seperti sejumlah kesalahan API operasional yang tidak terkait dengan implementasi). A severity three (S3) problem consists of a fault which causes non- acute operational problem (e.g. delays in generating tokens or token authentication response delayed)./ Masalah dengan keparahan tingkat tiga (S3) terdiri dari gangguan yang mengakibatkan masalah operasional non akut (misalnya penundaan dalam pembuatan token atau respons otentikasi token). A severity four (S4) problem consists of a fault causing the SAP Authentication 365 analytics to be partially inaccurate./ Masalah dengan keparahan tingkat empat (S4) terdiri dari gangguan yang mengakibatkan analitik menjadi tidak akurat secara parsial. Respons Terhadap Gangguan SAP shall endeavour to inform the Customer concerning any reproducible fault reported, to prepare an action plan and to fix any reproducible fault within the following estimated time frames: SAP akan berupaya untuk memberitahukan Pelanggan tentang setiap gangguan berulang yang dilaporkan, menyiapkan rencana tindakan, dan memperbaiki gangguan berulang dalam perkiraan kerangka waktu berikut: Stage \ Severity/ Tahap\Tingkat Keparahan S1 S2 S3 S4 Initial response time/ Waktu respons awal Target Restoration (work around)/ Pemulihan Target (solusi sementara) 1 hour/ 1 jam 2 hours/ 2 jam 2 hours/ 2 jam 5 hours/ 5 jam 24 hours/ 24 jam 2 working days/ 2 hari kerja 48 hours/ 48 jam Reasonable time/ Waktu yang wajar Target Resolution/ Penyelesaian Target 2 working days/ 2 hari kerja 5 working days/ 5 hari kerja Next release/ Next release/ Rilis berikutnya Rilis berikutnya Supplement (DUAL) idid.v.4-2016 Page 4 of 5
Initial Response Time means the target time to notify the Customer of a fault once it becomes known to SAP or to respond to the Customer s notification to SAP of a fault. Target Restoration means the target time to find a temporary workaround for the reported fault. A temporary workaround is a solution which substantially restores Cloud Service, although some problems may persist. SAP offers no assurance that a workaround for a reported fault will be available by such target time. Target Resolution means the target time to attain a fully restored Cloud Service. Escalation procedure In the event the solution detailed in the action plan are not implemented in accordance with the estimated time as set out in the preceding paragraph, SAP will apply the following escalation procedure: In the case of S1 faults, exceeding any of (1) Initial Response, (2) Target Restoration, (3) Target Resolution times shall be reported to SAP Mobile Services SVP Engineering. Where a S1 fault has been escalated, the parties will formulate a new, or revise an existing, action plan with additional technical and human resources to address the issue. SAP shall update the Customer on a periodic basis. S2, S3 and faults, for which a solution is not provided within the estimated time frame and for which the same level of urgency persists, are escalated one level in classification of seriousness: S3 to S2, S2 to S1. The parties shall discuss a new, or revise an existing, action plan with additional technical and human resources to address the issue. Waktu Respons Awal berarti waktu target untuk memberi tahu Pelanggan tentang suatu gangguan saat diketahui oleh SAP atau untuk merespons pemberitahuan Pelanggan tentang suatu gangguan kepada SAP. Pemulihan Target berarti waktu target untuk menemukan solusi sementara untuk gangguan yang dilaporkan. Solusi sementara adalah solusi yang secara substansial memulihkan Layanan Cloud, meskipun sejumlah masalah belum terselesaikan. SAP tidak menjamin bahwa solusi untuk gangguan yang dilaporkan akan tersedia pada waktu target tersebut. Penyelesaian Target berarti waktu target untuk memperoleh Layanan Cloud yang dipulihkan sepenuhnya. Prosedur eskalasi Apabila solusi yang diperinci dalam rencana tindakan tidak diimplementasikan sesuai dengan perkiraan waktu yang dinyatakan dalam paragraf sebelumnya, SAP akan menerapkan prosedur eskalasi berikut: Dalam hal gangguan S1, jika melebihi salah satu dari waktu (1) Respons Awal, (2) Pemulihan Target, (3)Penyelesaian Target maka akan dilaporkan ke SVP Engineering Layanan Mobile SAP. Jika gangguan S1 telah dieskalasi, para pihak akan merumuskan rencana tindakan yang baru atau merevisi yang sudah ada dengan sumber daya manusia dan sumber daya teknis tambahan untuk menyelesaikan masalah. SAP akan memberikan pembaruan kepada Pelanggan secara berkala. Gangguan S2 dan S3, di mana solusi tidak diberikan selama perkiraan kerangka waktu dan di mana tingkat urgensi yang sama tetap terjadi, dieskalasi satu tingkat dalam klasifikasi tingkat keparahan: S3 ke S2, S2 ke S1. Para pihak akan mendiskusikan rencana tindakan yang baru atau merevisi yang sudah ada dengan sumber daya manusia dan sumber daya teknis tambahan untuk menyelesaikan masalah. Supplement (DUAL) idid.v.4-2016 Page 5 of 5