Software-as-a-Service
SAAS-Vertrag

SOFTWARE-AS-A-SERVICE-VERTRAG

TROY GROUP, INC. EIN UNTERNEHMEN AUS DELAWARE ("UNTERNEHMEN"), IST BEREIT, SAAS-DIENSTLEISTUNGEN FÜR SIE ALS NATÜRLICHE PERSON ODER DIE VON IHNEN VERTRETENE JURISTISCHE PERSON (ZUSAMMEN MIT ALLEN VERBUNDENEN UNTERNEHMEN, DER "KUNDE") BEREITZUSTELLEN, DIE DIE SOFTWARE (WIE UNTEN DEFINIERT) NUTZEN WERDEN, VORBEHALTLICH DER AKZEPTANZ ALLER IN DIESER SOFTWARE-ALS-DIENSTLEISTUNG-VEREINBARUNG (DIE "VEREINBARUNG") ENTHALTENEN BESTIMMUNGEN UND BEDINGUNGEN DURCH DEN KUNDEN. DIESE VEREINBARUNG IST EIN RECHTSVERBINDLICHER UND DURCHSETZBARER VERTRAG ZWISCHEN UNTERNEHMEN UND KUNDE. DER KUNDE SOLLTE DIE BESTIMMUNGEN UND BEDINGUNGEN DIESER VEREINBARUNG SORGFÄLTIG LESEN, BEVOR ER ZUSTIMMT. DIESE BEDINGUNGEN MÜSSEN NICHT UNTERSCHRIEBEN WERDEN, UM VERBINDLICH ZU SEIN. DURCH ANKLICKEN DER SCHALTFLÄCHE "ICH STIMME ZU" ODER "ABSENDEN" ODER DURCH EINE ANDERE ELEKTRONISCHE ZUSTIMMUNG DES KUNDEN STIMMT DER KUNDE DEN BEDINGUNGEN DIESER VEREINBARUNG ZU. WENN DER KUNDE DIESEN BEDINGUNGEN NICHT ZUSTIMMT, AKZEPTIEREN SIE DIESE VEREINBARUNG NICHT UND NUTZEN SIE DIE SAAS-DIENSTE NICHT.

ALLE ANGEBOTE ZUM VERKAUF VON SAAS-DIENSTLEISTUNGEN UNTERLIEGEN DIESEN BEDINGUNGEN, UND ALLE VOM KUNDEN VORGESCHLAGENEN ERGÄNZUNGEN ODER ÄNDERUNGEN WERDEN HIERMIT AUSDRÜCKLICH ABGELEHNT. WENN DER KUNDE DIESE BEDINGUNGEN IM NAMEN EINER ANDEREN PERSON, EINES UNTERNEHMENS ODER EINER ANDEREN JURISTISCHEN PERSON AKZEPTIERT, SICHERN SIE ZU UND GEWÄHRLEISTEN, DASS SIE: (I) DIE VOLLE BEFUGNIS HABEN, DIESE PERSON, DIESES UNTERNEHMEN ODER DIESE JURISTISCHE PERSON AN DIESE BEDINGUNGEN ZU BINDEN, (II) DIESE BEDINGUNGEN GELESEN UND VERSTANDEN HABEN UND (III) DIESEN BEDINGUNGEN IM NAMEN DER PERSON, DES UNTERNEHMENS ODER DER JURISTISCHEN PERSON, DIE SIE VERTRETEN, ZUSTIMMEN.

Für eine gute und wertvolle Gegenleistung, deren Angemessenheit hiermit anerkannt wird, vereinbaren das Unternehmen und der Kunde die nachstehend aufgeführten Bedingungen und Konditionen:

DARUM vereinbaren die Vertragsparteien folgendes:

  1. DEFINITIONEN

"Administrator-Nutzer" bezeichnet jeden Mitarbeiter des Kunden, der vom Kunden dazu bestimmt wurde, als technischer Administrator der SaaS-Dienste im Namen des Kunden zu fungieren.

 

"Verbundenes Unternehmen" bedeutet ein Unternehmen, das sich direkt oder indirekt im Besitz oder unter der Kontrolle einer Partei befindet oder von ihr kontrolliert wird oder mit ihr in gemeinsamem Besitz oder unter gemeinsamer Kontrolle steht, wobei "Kontrolle" die Befugnis bedeutet, das Management oder die Angelegenheiten des Unternehmens zu lenken, und "Besitz" das wirtschaftliche Eigentum von mehr als fünfzig Prozent (50 %) der stimmberechtigten Aktien oder anderer gleichwertiger Stimmrechtsanteile des Unternehmens bedeutet.

 

"Kundeninhalt" bezeichnet alle Daten und Materialien, die der Kunde dem Unternehmen zur Verwendung in Verbindung mit den SaaS-Diensten zur Verfügung stellt, einschließlich, aber nicht beschränkt auf Kundenanwendungen, Datendateien und Grafiken.

 

"Dokumentation" bezeichnet die Benutzerhandbücher, Online-Hilfen, Versionshinweise, Schulungsmaterialien und andere Dokumentationen, die das Unternehmen dem Kunden in Bezug auf die Nutzung oder den Betrieb der SaaS-Dienste zur Verfügung stellt oder zugänglich macht.

 

"Rechnung" bezeichnet die vom Unternehmen an den Kunden gestellte Rechnung, die den Kauf der SaaS-Dienste sowie die Anzahl der Nutzer und der im Rahmen dieser Dienste erbrachten Prüfungen wiedergibt.

 

"Sonstige Leistungen" sind alle technischen und nicht-technischen Leistungen, die das Unternehmen im Rahmen dieses Vertrags erbringt, einschließlich, aber nicht beschränkt auf Implementierungsleistungen und andere professionelle Leistungen, Schulungs- und Ausbildungsleistungen, jedoch mit Ausnahme der SaaS-Leistungen. Sonstige Dienstleistungen werden nach Aufwand zu den Zeiten oder während der Zeiträume erbracht, die in einer Rechnung angegeben und von den Parteien einvernehmlich vereinbart wurden.

 

"Software" bezeichnet die Objektcode-Version jeder Software, zu der der Kunde als Teil des Dienstes Zugang erhält, einschließlich aller Updates oder neuer Versionen.

 

"SaaS-Dienste" beziehen sich auf den spezifischen, in einer Rechnung ausgewiesenen, über das Internet zugänglichen Dienst des Unternehmens, der die Nutzung der AssurePay-Cloud-Scheckdruckdienste des Unternehmens ermöglicht, die vom Unternehmen oder seinem Dienstanbieter gehostet und dem Kunden über ein Netzwerk auf einer befristeten Nutzungsbasis zur Verfügung gestellt werden.

 

"Abonnementlaufzeit" ist der in einer Rechnung angegebene Zeitraum, in dem der Kunde über die SaaS-Dienste des Unternehmens Online-Zugang zur Software hat und diese nutzen kann. Der Abonnementzeitraum verlängert sich jeweils um 12 Monate, es sei denn, eine der Parteien teilt der anderen Partei mindestens 30 Tage vor Ablauf des aktuellen Abonnementzeitraums schriftlich mit, dass er nicht verlängert wird.

  1. SAAS-DIENSTE

2.1 Gewährung der Lizenz. Während der Abonnementlaufzeit erhält der Kunde ein nicht ausschließliches, nicht abtretbares, unentgeltliches, weltweites Recht, auf die SaaS-Dienste zuzugreifen und diese ausschließlich für den internen Geschäftsbetrieb des Kunden gemäß den Bedingungen dieser Vereinbarung zu nutzen.

2.2 Anerkenntnis. Der Kunde erkennt an, dass es sich bei diesem Vertrag um einen Dienstleistungsvertrag handelt und dass das Unternehmen dem Kunden keine Kopien der Software als Teil der SaaS-Dienste liefert.

  1. EINSCHRÄNKUNGEN

3.1 Allgemeines. Der Kunde darf nicht und wird es auch niemandem erlauben: (i) die SaaS-Dienste oder die Software zu kopieren oder neu zu veröffentlichen, (ii) die SaaS-Dienste anderen Personen als den autorisierten Administrator-Benutzern zur Verfügung zu stellen, (iii) die SaaS-Dienste zu vermieten, zu verleasen, zu vertreiben, zu verkaufen, unterzulizenzieren, zu übertragen oder Dritten Zugang zu den SaaS-Diensten zu gewähren, (iv) die SaaS-Dienste zu nutzen oder auf sie zuzugreifen, um Dritten Service-Büro-, Time-Sharing- oder andere Computer-Hosting-Dienste anzubieten, (v) die SaaS-Dienste oder die Dokumentation zu vervielfältigen, zu adaptieren, zu modifizieren oder davon abgeleitete Werke zu erstellen, (vi) Urheberrechtshinweise zu entfernen, zu modifizieren oder zu verdecken, (vii) den Quellcode der Software, die für die Bereitstellung der SaaS-Dienste verwendet wird, zurückzuentwickeln, zu dekompilieren, zu disassemblieren oder anderweitig zu versuchen, ihn abzuleiten, es sei denn, dies ist nach geltendem Recht ausdrücklich erlaubt, (viii) die SaaS-Dienste in ein Produkt oder eine Dienstleistung zu integrieren, die der Kunde einem Dritten zur Verfügung gestellt hat, oder (ix) auf die SaaS-Dienste zuzugreifen oder die Dokumentation zu verwenden, um ein ähnliches Produkt oder ein Konkurrenzprodukt zu erstellen. Vorbehaltlich der hierin gewährten eingeschränkten Lizenz sind das Unternehmen oder seine Dienstleister Eigentümer aller Rechte, Titel und Anteile an der Software, den SaaS-Diensten, der Dokumentation und anderen im Rahmen dieser Vereinbarung bereitgestellten Leistungen, einschließlich aller Änderungen, Verbesserungen, Upgrades, abgeleiteten Arbeiten und Feedbacks in Bezug darauf sowie der Rechte am geistigen Eigentum daran. Der Kunde erklärt sich damit einverstanden, alle Rechte, Titel und Interessen, die er an dem Vorstehenden hat, an das Unternehmen abzutreten.

  1. KUNDENZUSTÄNDIGKEITEN

4.1 Unterstützung. Der Kunde wird dem Unternehmen in wirtschaftlich angemessenem Umfang Informationen und Unterstützung zur Verfügung stellen, damit das Unternehmen die SaaS-Dienste erbringen kann. Auf Verlangen des Unternehmens hat der Kunde dem Unternehmen unverzüglich Kundeninhalte in einem vom Unternehmen angegebenen und zugänglichen elektronischen Dateiformat zu liefern. Der Kunde erkennt an, dass die Fähigkeit des Unternehmens, die SaaS-Dienste auf die in diesem Vertrag vorgesehene Weise zu erbringen, von der Richtigkeit und Rechtzeitigkeit dieser Informationen und Unterstützung abhängen kann.

4.2 Einhaltung von Gesetzen. Der Kunde ist verpflichtet, im Zusammenhang mit der Nutzung der SaaS-Dienste alle anwendbaren lokalen, bundesstaatlichen, nationalen und ausländischen Gesetze einzuhalten, einschließlich der Gesetze, die sich auf den Datenschutz, die internationale Kommunikation und die Übermittlung von technischen oder personenbezogenen Daten beziehen. Der Kunde erkennt an, dass das Unternehmen und seine Dienstanbieter keine Kontrolle über den Inhalt der vom Kunden über die SaaS-Dienste übermittelten Informationen ausüben. Der Kunde darf keine Informationen, Software oder andere Materialien, die durch Urheberrechte, Datenschutzrechte oder andere geistige Eigentumsrechte geschützt sind, hochladen, veröffentlichen, vervielfältigen oder verbreiten, ohne zuvor die Erlaubnis des Eigentümers dieser Rechte einzuholen.

4.3 Unbefugte Nutzung; Falsche Informationen. Der Kunde hat physische, technische und administrative Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten, die dazu bestimmt sind, den unbefugten Zugriff, die Zerstörung, die Nutzung oder die Änderung der SaaS-Dienste zu schützen. Der Kunde muss: (a) das Unternehmen unverzüglich über jede unbefugte Nutzung eines Passworts oder einer Benutzerkennung oder jede andere bekannte oder vermutete Sicherheitsverletzung zu informieren, (b) das Unternehmen unverzüglich zu informieren und angemessene Anstrengungen zu unternehmen, um jede unbefugte Nutzung der SaaS-Dienste, die dem Kunden bekannt ist oder vermutet wird, zu unterbinden, und (c) keine falschen Identitätsangaben zu machen, um Zugang zu den SaaS-Diensten zu erhalten oder diese zu nutzen. Das Unternehmen ist nicht verantwortlich für den Zugang oder die Nutzung der SaaS-Dienste, die der Kunde Drittanbietern, Verkäufern oder Auftragnehmern gewährt, und lehnt ausdrücklich jegliche Haftung und Verantwortung für Produkte oder Dienste Dritter oder für Handlungen oder Unterlassungen von Drittanbietern, Verkäufern oder Auftragnehmern ab.

4.4 Administrator-Zugang. Der Kunde trägt die alleinige Verantwortung für diejenigen, denen er erlaubt, Administrator-Nutzer zu werden, sowie für die Handlungen und Unterlassungen seiner Administrator-Nutzer. Das Unternehmen haftet nicht für Daten- oder Funktionsverluste, die direkt oder indirekt durch die Administrator-Nutzer verursacht werden. Das Unternehmen ist nicht verantwortlich für die interne Verwaltung oder Administration der Nutzung der SaaS-Dienste durch den Kunden.

4.5 Eingaben des Kunden. Der Kunde und seine ordnungsgemäß bevollmächtigten administrativen Nutzer sind allein verantwortlich für das Sammeln, Eingeben und Aktualisieren aller Kundeninhalte, die auf den SaaS-Diensten gespeichert sind, und für die Sicherstellung, dass die Kundeninhalte (i) nichts enthalten, was tatsächlich oder potenziell das Urheberrecht, das Geschäftsgeheimnis, die Marke oder ein anderes geistiges Eigentumsrecht eines Dritten verletzt oder veruntreut, oder (ii) nichts enthalten, was obszön, verleumderisch, belästigend, beleidigend oder bösartig ist. Der Kunde ist verpflichtet: (i) das Unternehmen unverzüglich über jede unbefugte Nutzung eines Passworts oder einer Benutzerkennung oder jede andere bekannte oder vermutete Sicherheitsverletzung zu informieren, (ii) das Unternehmen unverzüglich zu informieren und angemessene Anstrengungen zu unternehmen, um jede unbefugte Nutzung der SaaS-Dienste, die dem Kunden bekannt ist oder vermutet wird, zu unterbinden, und (iii) keine falschen Identitätsangaben zu machen, um Zugang zu den SaaS-Diensten zu erhalten oder diese zu nutzen.

4.6 Lizenz des Kunden. Vorbehaltlich der Bedingungen dieser Vereinbarung gewährt der Kunde dem Unternehmen und seinen Dienstleistern eine begrenzte, nicht exklusive und nicht übertragbare Lizenz zum Kopieren, Speichern, Konfigurieren, Ausführen, Anzeigen und Übertragen von Kundeninhalten ausschließlich in dem Umfang, der für die Bereitstellung der SaaS-Dienste für den Kunden erforderlich ist.

4.7 Eigentum und Beschränkungen. Der Kunde behält das Eigentum und die geistigen Eigentumsrechte an seinen Kundeninhalten. Das Unternehmen oder seine Lizenzgeber behalten alle Eigentums- und geistigen Eigentumsrechte an den SaaS-Diensten, Softwareprogrammen und allem, was im Rahmen der Vereinbarung entwickelt und geliefert wird. Vorbehaltlich dieser Vereinbarung und ausschließlich in dem Umfang, der für die Bereitstellung der SaaS-Dienste erforderlich ist, gewährt der Kunde dem Unternehmen einen weltweiten lizenzgebührenfreien, zeitlich begrenzten Zugang zur Nutzung, Verarbeitung, Vervielfältigung, Verteilung, Ausführung, Ausfuhr und Anzeige des Kundeninhalts sowie zum Zugriff auf den Kundeninhalt, um auf die Supportanfragen des Kunden zu reagieren. Technologien von Drittanbietern, die für die Verwendung mit einigen Unternehmensprogrammen geeignet oder notwendig sind, werden in der Programmdokumentation bzw. im Bestelldokument angegeben. Das Recht des Kunden, diese Drittanbietertechnologie zu nutzen, unterliegt den Bedingungen des vom Unternehmen angegebenen Lizenzvertrags für die Drittanbietertechnologie und nicht den Bestimmungen dieses Vertrags.

4.8 Vorschläge. Das Unternehmen und seine Dienstleister haben eine gebührenfreie, weltweite, unwiderrufliche, unbefristete Lizenz zur Nutzung und Einbindung von Vorschlägen, Verbesserungswünschen, Empfehlungen oder sonstigem Feedback des Kunden, einschließlich administrativer Nutzer, in Bezug auf die Bereitstellung oder den Betrieb der SaaS-Dienste.

  1. BESTELLUNG UND BEZAHLUNG

5.1 Bestellungen. Der Kunde bestellt die SaaS-Dienste auf der Grundlage einer Rechnung. Für alle vom Kunden erworbenen SaaS-Dienste und sonstigen Dienste gelten ausschließlich dieser Vertrag und die entsprechende Rechnung.

5.2 Rechnungsstellung und Zahlung. Das Unternehmen stellt dem Kunden alle Gebühren in Rechnung. Der Kunde ist verpflichtet, alle unstrittigen Rechnungen innerhalb von dreißig (30) Tagen nach Erhalt der Rechnung zu bezahlen. Sofern nicht ausdrücklich anders angegeben, sind die Gebühren nicht erstattungsfähig. Wenn der Kunde der Meinung ist, dass eine Rechnung falsch ist, muss er sich spätestens dreißig (30) Tage nach Erhalt der betreffenden Rechnung mit dem Unternehmen in Verbindung setzen und alle unbestrittenen Beträge bezahlen. Die Parteien werden die strittigen Beträge in gutem Glauben ansprechen, um die Angelegenheit zu klären.

5.3 Steuern. Das Unternehmen stellt dem Kunden die anfallenden Steuern als separaten Posten auf jeder Rechnung in Rechnung. Der Kunde ist für die Zahlung aller Umsatz- und Nutzungssteuern, der Mehrwertsteuer (VAT) oder ähnlicher Abgaben im Zusammenhang mit dem Kauf und der Nutzung der SaaS Services durch den Kunden verantwortlich. Soweit solche Steuern vom Unternehmen zu zahlen sind, hat der Kunde den Betrag dieser Steuern zu erstatten. Wenn der Kunde zum Zeitpunkt der Erhebung oder Veranlagung solcher Steuern eine Befreiung von den entsprechenden Steuern erhalten hat, muss er dem Unternehmen diese Unterlagen zur Änderung der Rechnungsunterlagen vorlegen.

  1. LAUFZEIT UND KÜNDIGUNG

6.1 Laufzeit der SaaS-Vereinbarung. Die Laufzeit dieser Vereinbarung beginnt am Tag des Inkrafttretens und gilt für die Abonnementlaufzeit, es sei denn, sie wird von einer der Parteien wie in diesem Abschnitt beschrieben gekündigt. Der Kunde erhält 90, 60 und 30 Tage vor dem Ablaufdatum eine Vorankündigung des Ablaufs. Wenn die Zahlung für die Verlängerung nicht vor dem Ablaufdatum eingeht, werden alle Services ausgesetzt. Für die Wiederherstellung der SaaS-Dienste fallen die in den Vertragsbedingungen genannten Gebühren sowie Gebühren für die Reaktivierung der Dienste (bis zu 500 US-Dollar) an. Wenn die Bestätigung und die Zahlung nicht innerhalb von 30 Tagen nach dem Ablaufdatum eingegangen sind, werden das Kundenkonto und alle damit verbundenen Dateien in Übereinstimmung mit den Datenschutzgesetzen gelöscht. Wenn das Kundenkonto und die Dateien gelöscht werden, muss der Kunde die volle Onboarding-Gebühr (zusätzlich zu anderen fälligen Gebühren) zahlen, um das Kundenkonto und die Bereitstellung der SaaS-Dienste wiederherzustellen.

6.2 Beendigung. Jede Partei kann diese Vereinbarung sofort kündigen, wenn die andere Partei einen wesentlichen Verstoß begangen hat, der nicht innerhalb von dreißig (30) Tagen nach Erhalt der Mitteilung über diesen Verstoß behoben wurde.

6.3 Aussetzung bei Nichtzahlung. Das Unternehmen behält sich das Recht vor, die Bereitstellung der SaaS-Dienste und anderer Dienste auszusetzen, wenn der Kunde unbestrittene Beträge, die dem Unternehmen gemäß dieser Vereinbarung zustehen, nicht rechtzeitig bezahlt. Die Aussetzung der SaaS-Dienste oder Sonstigen Dienste entbindet den Kunden nicht von seinen Zahlungsverpflichtungen im Rahmen dieser Vereinbarung. Der Kunde erklärt sich damit einverstanden, dass das Unternehmen weder gegenüber dem Kunden noch gegenüber Dritten für Verbindlichkeiten, Ansprüche oder Kosten haftet, die sich aus der Aussetzung der SaaS-Dienste oder der Sonstigen Dienste aufgrund der Nichtzahlung durch den Kunden ergeben oder damit zusammenhängen. Wenn das Unternehmen die SaaS-Dienste aussetzt, wird das Unternehmen die SaaS-Dienste unverzüglich wiederherstellen, sobald der Kunde den unbestrittenen Teil der Rechnung des Unternehmens bezahlt hat. Eine Reaktivierungsgebühr von $500 wird dem Kunden in Rechnung gestellt. Erfolgt die Zahlung des Kunden nicht innerhalb von dreißig (30) Tagen nach der Aussetzung, werden das Konto des Kunden und alle damit verbundenen Dateien in Übereinstimmung mit den Datenschutzgesetzen aus dem Datenzentrum des Unternehmens gelöscht.

6.4 Wirkung der Beendigung. (a) Bei Beendigung dieser Vereinbarung oder bei Ablauf der Subskriptionsdauer stellt das Unternehmen unverzüglich die Bereitstellung der SaaS-Dienste ein und alle im Rahmen dieser Vereinbarung gewährten Nutzungsrechte erlöschen. (b) Wenn das Unternehmen diesen Vertrag aufgrund einer Vertragsverletzung durch den Kunden kündigt, hat der Kunde dem Unternehmen unverzüglich alle Beträge zu zahlen, die zu diesem Zeitpunkt gemäß diesem Vertrag fällig sind und während des verbleibenden Teils der Abonnementlaufzeit fällig werden. Kündigt der Kunde diesen Vertrag aufgrund einer Vertragsverletzung durch das Unternehmen, so hat das Unternehmen alle im Voraus bezahlten Beträge für nicht erbrachte SaaS-Dienste, die nach dem Kündigungsdatum geliefert werden sollten, unverzüglich an den Kunden zurückzuzahlen. (c) Nach Beendigung dieser Vereinbarung und auf anschließende schriftliche Aufforderung durch die offenlegende Partei hat die empfangende Partei, die materielle vertrauliche Informationen erhalten hat, diese Informationen unverzüglich zurückzugeben oder zu vernichten und eine schriftliche Bescheinigung über die Vernichtung vorzulegen, wobei die empfangende Partei ihrem Rechtsbeistand gestatten kann, eine Archivierungskopie dieser Informationen für den Fall eines späteren Streits zwischen den Parteien aufzubewahren.

  1. GARANTIEN

7.1 Gewährleistung. Das Unternehmen sichert zu und gewährleistet, dass es die SaaS-Dienste auf professionelle Art und Weise in Übereinstimmung mit den allgemeinen Industriestandards bereitstellt und dass die SaaS-Dienste im Wesentlichen in Übereinstimmung mit der Dokumentation erbracht werden. Im Falle eines Gewährleistungsanspruchs gelten für den Kunden ausschließlich die Bestimmungen in Abschnitt 6, Kündigung und Beendigung.

7.2 DAS UNTERNEHMEN GARANTIERT NICHT, DASS DIE SAAS-DIENSTE FEHLERFREI ODER UNUNTERBROCHEN ERBRACHT WERDEN ODER DASS DAS UNTERNEHMEN ALLE FEHLER DER SAAS-DIENSTE KORRIGIEREN WIRD. DER KUNDE ERKENNT AN, DASS DAS UNTERNEHMEN DIE ÜBERTRAGUNG VON DATEN ÜBER KOMMUNIKATIONSEINRICHTUNGEN, EINSCHLIESSLICH DES INTERNETS, NICHT KONTROLLIERT UND DASS DER SAAS-SERVICE EINSCHRÄNKUNGEN, VERZÖGERUNGEN UND ANDEREN PROBLEMEN UNTERWORFEN SEIN KANN, DIE MIT DER NUTZUNG SOLCHER KOMMUNIKATIONSEINRICHTUNGEN VERBUNDEN SIND. ABSCHNITT 7.1 DIESER VEREINBARUNG ENTHÄLT DIE EINZIGE UND AUSSCHLIESSLICHE GARANTIE DES UNTERNEHMENS (AUSDRÜCKLICH ODER STILLSCHWEIGEND) IN BEZUG AUF DEN GEGENSTAND DIESER VEREINBARUNG, UND SOFERN HIERIN NICHT AUSDRÜCKLICH ETWAS ANDERES BESTIMMT IST, LEHNT DAS UNTERNEHMEN ALLE ANDEREN GARANTIEN UND ZUSICHERUNGEN JEGLICHER ART AB, EINSCHLIESSLICH UND OHNE EINSCHRÄNKUNG JEGLICHER STILLSCHWEIGENDEN GARANTIE DER MARKTGÄNGIGKEIT, DER FUNKTIONSFÄHIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, JEGLICHER ODER ANDERER GARANTIEN, DIE DURCH DAS GESETZ IMPLIZIERT SIND ODER SICH AUS HANDELSBRAUCH, GESCHÄFTSGANG ODER LAUFLEISTUNG ERGEBEN. WEDER DAS UNTERNEHMEN NOCH SEINE LIZENZGEBER ODER ANDERE LIEFERANTEN GEWÄHRLEISTEN ODER GARANTIEREN, DASS DER BETRIEB DES ABONNEMENTDIENSTES UNUNTERBROCHEN, VIRENFREI ODER FEHLERFREI IST, NOCH HAFTEN DAS UNTERNEHMEN ODER SEINE DIENSTLEISTER FÜR UNBEFUGTE ÄNDERUNGEN, DIEBSTAHL ODER ZERSTÖRUNG VON DATEN, DATEIEN ODER PROGRAMMEN DES KUNDEN ODER EINES BENUTZERS. DER KUNDE KANN ANDERE GESETZLICHE RECHTE HABEN, JEDOCH IST DIE DAUER DER GESETZLICH VORGESEHENEN GARANTIEN, SOFERN VORHANDEN, AUF DEN KÜRZESTEN GESETZLICH ZULÄSSIGEN ZEITRAUM BESCHRÄNKT.

  1. HAFTUNGSBESCHRÄNKUNGEN

8.1 Anerkenntnis. WEDER EINE PARTEI (NOCH EIN LIZENZGEBER ODER EIN ANDERER LIEFERANT DES UNTERNEHMENS) HAFTET FÜR INDIREKTE, ZUFÄLLIGE, BESONDERE ODER FOLGESCHÄDEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF SCHÄDEN DURCH GESCHÄFTSUNTERBRECHUNG, VERLUST DES GUTEN WILLENS, ENTGANGENE GESCHÄFTE, GEWINNE, DATEN ODER DIE NUTZUNG VON DIENSTLEISTUNGEN, DIE EINER PARTEI ODER EINEM DRITTEN IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ENTSTANDEN SIND, UNABHÄNGIG VON DER ART DES ANSPRUCHES (EINSCHLIESSLICH FAHRLÄSSIGKEIT), AUCH WENN DIESE VORHERSEHBAR WAREN ODER DIE ANDERE PARTEI AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DIE GESAMTHAFTUNG DES UNTERNEHMENS FÜR SCHÄDEN IM RAHMEN DIESER VEREINBARUNG, UNABHÄNGIG VON DER ART DES ANSPRUCHS ODER DER KLAGE, OB AUS VERTRAG ODER UNERLAUBTER HANDLUNG (EINSCHLIESSLICH FAHRLÄSSIGKEIT, VERSCHULDENSUNABHÄNGIGER HAFTUNG ODER ANDERER THEORIEN), ÜBERSTEIGT NICHT DIE GEBÜHREN, DIE DER KUNDE IM RAHMEN DIESER VEREINBARUNG IN DEN LETZTEN 12 MONATEN VOR DEM TAG DER ENTSTEHUNG DES ANSPRUCHS BEZAHLT HAT.

  1. VERTRAULICHKEIT

9.1 Begriffsbestimmung. "Vertrauliche Informationen" sind alle Informationen, die eine Partei der anderen Partei direkt oder indirekt offenbart, die (a) wenn sie in schriftlicher, grafischer, maschinenlesbarer oder sonstiger greifbarer Form vorliegen, als "vertraulich" oder "geschützt" gekennzeichnet sind, (b) wenn sie mündlich oder durch Vorführung offenbart werden, zum Zeitpunkt der ersten Offenlegung als vertraulich gekennzeichnet ist und der empfangenden Partei innerhalb von 30 Tagen nach dieser Offenlegung schriftlich als "vertraulich" oder "geschützt" bestätigt wird, (c) aufgrund der Bestimmungen dieser Vereinbarung ausdrücklich als vertraulich gilt oder (d) aufgrund der Umstände der Offenlegung und der Art der Informationen selbst vernünftigerweise als vertraulich oder geschützt erscheint. Zu den vertraulichen Informationen gehören auch Informationen, die einer offenlegenden Partei von Dritten im Rahmen einer Vertraulichkeitsverpflichtung offengelegt werden. Ohne das Vorstehende einzuschränken, gelten die Software, der Code, die Erfindungen, das Know-how, die technischen und leistungsbezogenen Informationen in Bezug auf die SaaS-Dienste ohne Kennzeichnung oder weitere Bezeichnung als vertrauliche Informationen des Unternehmens. Vorbehaltlich der Anzeige von Kundeninhalten gemäß dieser Vereinbarung gelten die Kundeninhalte als vertrauliche Informationen des Kunden. Software und Dokumentation des Unternehmens gelten als vertrauliche Informationen des Unternehmens.

9.2 Vertraulichkeit. Während der Laufzeit dieser Vereinbarung und für 5 Jahre danach (im Falle von Software für immer) behandelt jede Partei alle vertraulichen Informationen der anderen Partei als vertraulich, verwendet diese vertraulichen Informationen nur zur Ausübung ihrer Rechte und Erfüllung ihrer Verpflichtungen im Rahmen dieser Vereinbarung und gibt diese vertraulichen Informationen nicht an Dritte weiter. Ohne das Vorstehende einzuschränken, wird jede Partei mindestens das gleiche Maß an Sorgfalt, aber nicht weniger als ein angemessenes Maß an Sorgfalt aufwenden, um die Offenlegung ihrer eigenen vertraulichen Informationen zu verhindern, um die Offenlegung der vertraulichen Informationen der anderen Partei zu verhindern. Jede Partei hat die andere Partei unverzüglich über jeden tatsächlichen oder vermuteten Missbrauch oder jede unbefugte Offenlegung der vertraulichen Informationen der anderen Partei zu informieren. Keine der Parteien darf Prototypen, Software oder andere materielle Objekte, die vertrauliche Informationen der anderen Partei enthalten und die der Partei im Rahmen dieser Vereinbarung zur Verfügung gestellt werden, zurückentwickeln, disassemblieren oder dekompilieren. Jede Partei darf vertrauliche Informationen der anderen Partei auf einer Need-to-know-Basis an ihre Mitarbeiter, Vertreter oder Auftragnehmer weitergeben, die Vertraulichkeitsvereinbarungen oder Vertraulichkeitspflichten unterliegen, die sie dazu verpflichten, diese vertraulichen Informationen vertraulich zu behandeln und sie nur zur Erleichterung der Erbringung ihrer Dienstleistungen im Auftrag der empfangenden Partei zu verwenden.

9.3 Ausnahmen. Vertrauliche Informationen schließen Informationen aus, die: (a) zum Zeitpunkt der Offenlegung öffentlich bekannt sind oder nach der Offenlegung ohne Verschulden der empfangenden Partei öffentlich bekannt werden, (b) der empfangenden Partei zum Zeitpunkt der Offenlegung ohne Einschränkung bekannt sind oder der empfangenden Partei ohne Einschränkung aus einer anderen Quelle als der offenlegenden Partei bekannt werden, die nicht durch Vertraulichkeitsverpflichtungen gegenüber der offenlegenden Partei gebunden ist, oder (c) von der empfangenden Partei unabhängig entwickelt werden, ohne die vertraulichen Informationen zu verwenden, wie aus den schriftlichen Unterlagen der empfangenden Partei hervorgeht. Die empfangende Partei darf vertrauliche Informationen der anderen Partei offenlegen, soweit eine solche Offenlegung durch Gesetz, Vorladung oder Anordnung eines Gerichts oder einer anderen staatlichen Behörde vorgeschrieben ist, vorausgesetzt, die empfangende Partei bemüht sich in angemessener Weise, die andere Partei vor einer solchen Offenlegung unverzüglich zu benachrichtigen, um es der offenlegenden Partei zu ermöglichen, eine Schutzanordnung zu beantragen oder eine solche Offenlegung anderweitig zu verhindern oder einzuschränken. Jede Partei kann die Existenz dieser Vereinbarung und die Beziehung der Parteien offenlegen, erklärt sich jedoch damit einverstanden, dass die spezifischen Bedingungen dieser Vereinbarung als vertrauliche Informationen behandelt werden; vorausgesetzt jedoch, dass jede Partei die Bedingungen dieser Vereinbarung gegenüber denjenigen offenlegen kann, die dies wissen müssen und zur Vertraulichkeit verpflichtet sind, wie z. B. Buchhalter, Rechtsanwälte, Bankiers und Investoren.

  1. ALLGEMEINE BESTIMMUNGEN

10.1 Nicht-exklusiver Dienst. Der Kunde erkennt an, dass die SaaS-Dienste auf nicht-exklusiver Basis bereitgestellt werden. Nichts soll als Verhinderung oder Einschränkung der Fähigkeit des Unternehmens angesehen werden, die SaaS-Dienste oder andere Technologien, einschließlich der zuerst für den Kunden entwickelten Merkmale oder Funktionen, für andere Parteien bereitzustellen.

10.2 Personenbezogene Daten. Der Kunde erkennt hiermit an und erklärt sich damit einverstanden, dass die Erfüllung dieses Vertrags durch das Unternehmen es erforderlich machen kann, dass das Unternehmen und seine Dienstleister personenbezogene Daten des Kunden oder personenbezogene Daten von Mitarbeitern und verbundenen Unternehmen des Kunden verarbeiten, übermitteln und/oder speichern, einschließlich, aber nicht beschränkt auf personenbezogene Daten einer lebenden Person (PII) ("personenbezogene Daten"). Durch die Übermittlung personenbezogener Daten an das Unternehmen erklärt sich der Kunde damit einverstanden, dass das Unternehmen und seine Dienstleister personenbezogene Daten nur in dem Umfang verarbeiten, übermitteln und/oder speichern dürfen, der erforderlich ist, um das Unternehmen in die Lage zu versetzen, seinen Verpflichtungen im Rahmen dieses Vertrags nachzukommen, und dies ausschließlich zu diesem Zweck. In Bezug auf alle personenbezogenen Daten, die dem Unternehmen vom oder durch den Kunden zur Verfügung gestellt werden, ist der Kunde als alleiniger Datenverantwortlicher für die Einhaltung aller anwendbaren Datenschutzgesetze oder ähnlicher Gesetze verantwortlich, wie z. B. die britische Datenschutz-Grundverordnung (GDPR) und das Datenschutzgesetz (DPA) 2018 (die "Richtlinie") sowie die Gesetze zur Umsetzung dieser Richtlinie, die die Verarbeitung personenbezogener Daten und besonderer Datenkategorien, wie sie in dieser Richtlinie definiert sind, regeln. Der Kunde erklärt sich damit einverstanden, alle erforderlichen Zustimmungen einzuholen und alle erforderlichen Offenlegungen vorzunehmen, bevor er personenbezogene Daten in Kundeninhalte aufnimmt und die Software und SaaS-Dienste nutzt. Der Kunde bestätigt, dass er die alleinige Verantwortung für alle persönlichen Daten trägt, die in Kundeninhalten enthalten sein können, einschließlich aller Informationen, die das Unternehmen im Namen des Kunden an Dritte weitergibt. Der Kunde ist allein dafür verantwortlich, den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten des Kunden durch das Unternehmen und seine Dienstleister im Rahmen dieser Vereinbarung zu bestimmen, einschließlich der Tatsache, dass eine solche Verarbeitung gemäß den Anweisungen des Kunden nicht dazu führt, dass das Unternehmen oder seine Dienstleister gegen die geltenden Datenschutzgesetze verstoßen. Vor der Verarbeitung informiert der Kunde das Unternehmen über alle besonderen Datenkategorien, die in den personenbezogenen Daten des Kunden enthalten sind, sowie über alle Beschränkungen oder besonderen Anforderungen bei der Verarbeitung dieser besonderen Datenkategorien, einschließlich aller Beschränkungen der grenzüberschreitenden Übertragung. Der Kunde ist dafür verantwortlich, sicherzustellen, dass die SaaS-Dienste solche Einschränkungen oder besonderen Anforderungen erfüllen. Das Unternehmen oder seine Dienstleister dürfen personenbezogene Daten, die die in diesem Abschnitt genannten Anforderungen erfüllen, gemäß dieser Vereinbarung verarbeiten.

10.3 Personenbezogene Daten bei der Bereitstellung von SaaS-Diensten. Der Kunde erklärt sich damit einverstanden, alle Mitteilungen zu machen und alle Zustimmungen einzuholen, die sich auf die Verwendung der Daten durch das Unternehmen oder seine Dienstleister für die Bereitstellung der SaaS-Dienste beziehen, einschließlich derjenigen, die sich auf die Erhebung, Verwendung, Verarbeitung, Übertragung und Offenlegung personenbezogener Daten beziehen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität, Integrität, Rechtmäßigkeit, Zuverlässigkeit und Angemessenheit aller Kundendaten und behält das Eigentum an diesen Daten.

10.4 Schadloshaltung. Der Kunde wird das Unternehmen und seine verbundenen Unternehmen, Aktionäre, leitenden Angestellten, Direktoren, Vertreter und Mitarbeiter von allen Ansprüchen, Kosten, Schäden, Verlusten, Verbindlichkeiten und Ausgaben, einschließlich angemessener Anwaltsgebühren und -kosten, freistellen, verteidigen und schadlos halten, die sich aus Ansprüchen ergeben, die sich aus (i) Kundeninhalten ergeben oder damit in Zusammenhang stehen; (ii) der Verletzung von Verpflichtungen, Zusicherungen, Gewährleistungen und Zusagen des Kunden, die in dieser Vereinbarung festgelegt sind, sei es durch Handlung oder Unterlassung, Fahrlässigkeit, Betrug oder Nichteinhaltung geltender Gesetze, (ii) der Nutzung der SaaS-Dienste durch den Kunden oder einen zugelassenen Nutzer in Kombination mit Software, Anwendungen oder Diensten Dritter. Der Kunde wird mit dem Unternehmen bei der Abwehr von Ansprüchen, die er im Rahmen seiner Entschädigungsverpflichtungen gemäß dieser Vereinbarung geltend macht, in vollem Umfang zusammenarbeiten und solche Ansprüche nicht ohne die vorherige schriftliche Zustimmung des Unternehmens beilegen.

10.5 Abtretung. Keine der Parteien darf diese Vereinbarung oder Rechte aus dieser Vereinbarung ohne die Zustimmung der anderen Partei abtreten, die nicht unangemessen verweigert oder verzögert werden darf; vorausgesetzt jedoch, dass jede Partei diese Vereinbarung an einen Erwerber des gesamten oder eines wesentlichen Teils des Geschäfts der betreffenden Partei, auf das sich diese Vereinbarung bezieht, abtreten darf, sei es durch Fusion, Verkauf von Vermögenswerten oder auf andere Weise. Diese Vereinbarung ist für die Rechtsnachfolger und zulässigen Abtretungsempfänger der Parteien verbindlich und kommt ihnen zugute. Jede Partei kann bei der Erfüllung ihrer Pflichten im Rahmen dieses Abkommens Unterauftragnehmer einsetzen, jedoch unter der Voraussetzung, dass eine solche Partei nicht von ihren Verpflichtungen im Rahmen dieses Abkommens entbunden wird.

10.6 Höhere Gewalt. Jede Partei ist für den Zeitraum und in dem Umfang von der Leistung befreit, in dem diese Partei oder ein Unterauftragnehmer ganz oder teilweise an der Erfüllung von Verpflichtungen oder Dienstleistungen aufgrund von Ursachen gehindert ist, die sich ihrer Kontrolle entziehen und nicht auf ihr Verschulden zurückzuführen sind, einschließlich, aber nicht beschränkt auf höhere Gewalt, Streiks, Aussperrungen, Aufstände, terroristische oder kriegerische Handlungen, Epidemien, Ausfälle von Kommunikationsleitungen und Stromausfälle.

10.7 Verzicht. Ein Verzicht ist nur dann wirksam, wenn er schriftlich erfolgt und von der verzichtenden Partei unterzeichnet wird. Der Verzicht einer Partei auf eine Verletzung dieser Vereinbarung stellt keinen Verzicht auf eine andere oder spätere Verletzung dar.

10.8 Trennbarkeit. Sollte eine Bestimmung dieser Vereinbarung für ungültig oder nicht durchsetzbar befunden werden, ist diese Bestimmung so umzugestalten, dass sie so weit wie möglich die gleiche Wirkung wie die ursprüngliche Bestimmung hat, und der Rest dieser Vereinbarung bleibt in vollem Umfang in Kraft.

10.9 Gesamte Vereinbarung. Diese Vereinbarung enthält die gesamte Vereinbarung der Parteien und ersetzt alle früheren mündlichen und schriftlichen Mitteilungen der Parteien, die den Gegenstand dieser Vereinbarung betreffen. Diese Vereinbarung kann nur in einem von beiden Parteien unterzeichneten Schreiben geändert werden. Standard- oder gedruckte Bedingungen, die in einer Bestellung oder Verkaufsbestätigung enthalten sind, gelten als abgelehnt und sind ungültig, es sei denn, sie werden von der Partei, gegen die sie durchgesetzt werden sollen, ausdrücklich schriftlich akzeptiert; der bloße Beginn der Arbeit oder der Zahlung auf der Grundlage solcher Formulare gilt nicht als Akzeptanz der Bedingungen.

10.10 Keine Drittbegünstigten. Diese Vereinbarung ist eine Vereinbarung zwischen den Parteien und überträgt keine Rechte auf die Mitarbeiter, Vertreter, Auftragnehmer, Partner oder Kunden der Parteien oder auf andere natürliche oder juristische Personen.

10.11 Unabhängiger Auftragnehmer. Die Parteien haben den Status unabhängiger Auftragnehmer, und nichts in dieser Vereinbarung oder im Verhalten der Parteien ist so zu verstehen, dass die Parteien in irgendeiner anderen Beziehung stehen. Sofern in dieser Vereinbarung nichts anderes vorgesehen ist, ist keine der Parteien für die Handlungen oder Unterlassungen der anderen Partei oder des Personals der anderen Partei verantwortlich.

10.12 Statistische Informationen. Das Unternehmen ist berechtigt, anonym statistische Informationen in Bezug auf die Leistung der SaaS-Dienste zum Zwecke der Verbesserung der SaaS-Dienste zusammenzustellen, vorausgesetzt, dass diese Informationen die Daten des Kunden nicht identifizieren oder den Namen des Kunden enthalten.

10.13 Überleben. Die hierin enthaltenen Zusicherungen und Gewährleistungen gelten auch nach der Beendigung oder dem Ablauf dieser Vereinbarung, gleich aus welchem Grund.

10.14 Geltendes Recht. Diese Vereinbarung und alle Ansprüche, die sich aus oder im Zusammenhang mit dieser Vereinbarung ergeben, unterliegen den Gesetzen (ohne Berücksichtigung der Kollisionsnormen) des Staates Kalifornien, U.S.A. Die Parteien vereinbaren, dass diese Vereinbarung nicht den Verkauf von Waren betrifft und dass das einheitliche Handelsgesetzbuch (Uniform Commercial Code) in der jeweils gültigen Fassung oder ähnliche Gesetze über den Verkauf von Waren auf diese Vereinbarung Anwendung finden. Die Parteien vereinbaren ferner, dass alle rechtlichen Schritte oder Verfahren im Zusammenhang mit dieser Vereinbarung ausschließlich vor den staatlichen Gerichten in Orange County, Kalifornien, oder den Bundesgerichten in Orange County, Kalifornien, eingeleitet werden, und beide Parteien erklären sich damit einverstanden, sich der alleinigen und ausschließlichen Zuständigkeit und dem Gerichtsstand dieser Gerichte für alle Angelegenheiten im Zusammenhang mit dieser Vereinbarung zu unterwerfen, einschließlich, aber nicht beschränkt auf alle Angelegenheiten im Zusammenhang mit den SaaS-Diensten, der Dokumentation und/oder der Software.

10.15 Einhaltung von Gesetzen. Das Unternehmen hat im Zusammenhang mit der Erbringung der SaaS-Dienste alle anwendbaren lokalen, bundesstaatlichen, nationalen und ausländischen Gesetze einzuhalten, einschließlich jener Gesetze, die sich auf den Datenschutz, die internationale Kommunikation und die Übermittlung von technischen oder personenbezogenen Daten beziehen.

SCHEDULE A– Data Security Protections and Safeguards

This attachment describes the organizational and technical protections and safeguards that TROY Group, Inc. (“TROY”) has in place to protect the privacy and security of Customer’s data.

Policy & Compliance

The protection of Customer’s data is integral to TROY’s business operations. All TROY employees are subject to mandatory criminal background checks and drug screening procedures to ensure the integrity of our workforce and the services we provide to you. TROY may use subcontractors from time to time to perform certain functions in furtherance of the Services. TROY contractually requires its subcontractors to adhere to the same personnel standards of quality to which TROY holds its own workforce.

TROY maintains up-to-date information security policies to ensure compliance with all applicable state and federal requirements related to maintaining security, confidentiality, and protection of Customer’s data, including the HIPAA Security Rule and GDPR. These security policies are published and available to all TROY employees and subcontractor personnel. TROY also requires its employees and subcontractor personnel to complete appropriate trainings to maintain compliance with those policies and procedures, including when existing policies are updated and before new policies go into effect.

The policies and procedures include dedicated methods for both TROY employees and subcontractor personnel to quickly report potential security risks or threats to systems and services, as well as potential data security incidents. All subcontractors and subcontractor personnel are required to immediately notify TROY of any potential threats, risks, or data security incidents.

Infrastructure & Network Security

TROY utilizes a high-availability virtual database and high-availability virtual machines to strengthen the resiliency of the AssurePay Cloud application. Thanks to the redundant and flexible nature of the system, failover can happen automatically, and TROY is able to perform maintenance on individual nodes without taking the application offline. This combination of factors helps TROY maintain a service uptime of 99.7% or better.

TROY provisions unique user accounts for all individuals with access to the TROY network, systems, and applications, and to any of Customer’s systems or applications. This applies to TROY employees, subcontractor personnel, vendors, and any other applicable third party. Documented and traceable requests and approvals from Human Resources and department managers are required before the creation of user accounts and provisioning of access rights. Additional security approvals are required for all privileged and administrative access rights.

User account access rights are reviewed annually to ensure that users are granted and maintain only the minimum privileges necessary to perform their assigned job duties. All user accounts are disabled and all access rights are immediately revoked upon notification of termination of employment or services. TROY tracks the access of its workforce to Customer data.

Identity verification procedures are in place and enforced for all user account password resets.

All connections from the TROY network to the internet and to other external or third-party networks are documented, formally authorized, and properly protected. All routers and firewalls are configured with access control lists to allow only specific network traffic to pass through. Default passwords for all services and devices are changed before being implemented. Privileged access on network and systems infrastructure, including access to security logs, is strictly limited.

TROY regularly tests its network and infrastructure security for exploitable vulnerabilities, with independent third-party penetration tests conducted annually. If any vulnerabilities are identified, they are promptly mitigated. Furthermore, TROY’s regular patching process ensures that all devices are up to date with applicable patches and software and firmware updates. Critical security patches are applied in an expedited fashion and without a requirement for prior approval. All endpoints within the TROY network are protected with up-to-date antivirus software and other defenses against malicious software attacks, and all directories can be included in real-time antivirus scanning.

TROY physically secures its infrastructure from unauthorized access, tampering, damage, and theft by any intruder.

TROY Group can provide a Drata Security Report and penetration test report upon request. Additionally, the AssurePay Cloud application operates on the Microsoft Azure cloud computing platform which is certified compliant for SOC2 for operational security and resilience. Additional information can be found at https://learn.microsoft.com/en-us/azure/compliance/. AssurePay Cloud also utilizes the market-leading and SOC2-compliant Auth0 for secure login and authentication. Additional information on Auth0 can be found at https://auth0.com/security.

Application Security

TROY Group manages authentication and access to the AssurePay Cloud application using Active Directory integration. All users with access to AssurePay Cloud are required to have and use their own unique username and password. Password requirements include a minimum of ten (10) characters, including at least one (1) capital letter, a number, and a special character. Password expiration intervals can be set to a minimum of sixty (60) days, with the four previously used passwords disallowed. AssurePay Cloud utilizes multifactor authentication for login, and user accounts can be locked after a certain number of failed login attempts.

User credentials are managed by AssurePay Cloud Identity as a Service (“IDaaS”) provider Auth0, who has one of the highest reputations within the industry for reliability and security. TROY does not store passwords or other user authentication tokens in any form on any TROY systems.

Audit logs and access reports can be produced to identify all activity of a given user within the AssurePay Cloud application.

The AssurePay Cloud application provides no method for Customer data to be transmitted or exfiltrated out of the application by email or fax.

Where data must be deleted to meet applicable document retention and destruction policies, the AssurePay Cloud application can be configured to securely destroy data at specified times or within specified time periods.

All AssurePay Cloud application code is developed and reviewed in accordance with Agile SDLC standards.

Data Security

TROY Group takes reasonable precautions in line with industry standards and best practices to protect the security of Customer’s data. If necessary, TROY Group may receive data from Customer as part of the Services provided to Customer. All Customer data will be isolated from the data of all other TROY clients and encrypted using Azure SQL Transparent Data Encryption. TROY Group will never store any of Customer’s sensitive data, even temporarily, on an end-user device such as a laptop, mobile device, removeable storage device.

Transmissions containing Customer data are secured with a minimum of Transport Layer Security (TLS) 1.2 or better.

The nature of the AssurePay Cloud’s high-availability database increases the application’s resiliency and resistance to disruption. Even so, TROY maintains and tests its procedures for successfully recovering data in the event of a disaster scenario. The standard backup and recovery procedures for the database are managed by Microsoft Azure, but TROY can manually restore the database to any point in time in the preceding seven (7) days. TROY also maintains long-term daily backups for thirty (30) days. In the unlikely event of a disaster recovery operation, TROY is able to recover and restore the system within four (4) hours during the support period.

If and when Customer’s use of TROY’s services is terminated, TROY affirms that it will promptly and securely return or destroy any Customer data in TROY’s possession.

 

SCHEDULE B

SOFTWARE MAINTENANCE AGREEMENT

SERVICE LEVELS

CALL CENTER

TROY's call center will be available Monday through Thursday 8:00 a.m. – 6:30 p.m. and Friday 8:00 a.m. – 5:30 p.m. Eastern Time, excluding holidays. Holidays observed by TROY are: New Year’s Eve, New Year’s Day, Memorial Day, 4th of July, Labor Day, Thanksgiving Day and the day after Thanksgiving, Christmas Eve, and Christmas.

RESPONSE TIME

Average response time during the stated coverage period will be within four (4) working hours of a support request at least 80 percent of the time, unless deferred to a more convenient time by the customer.