Service Level Agreement (SLA) — QMA MSSP / MDR
Este documento define los niveles de servicio para la operación administrada de ciberseguridad de QMA (MSSP/MDR): tiempos de primera respuesta, cadencia de comunicación, escalamiento y métricas operativas reportables.
La disponibilidad de plataformas de terceros (Microsoft, iboss, SentinelOne, etc.) se rige por los SLA de cada fabricante y se referencia por separado para delimitar con precisión el alcance de QMA.
Alcance del SLA
Este SLA aplica a los servicios de operación administrada contratados bajo el modelo QMA MSSP, que incluyen:
monitoreo y triage 24×7, detección y respuesta (MDR), gestión de vulnerabilidades, firewall administrado y respuesta a incidentes (L1/L2).
Los servicios de plataforma subyacentes (SIEM, EDR, SASE) operan bajo los SLA de los fabricantes correspondientes.
Qué cubre este SLA
- Triage y notificación de eventos
- Escalamiento interno L1/L2/L3
- Comunicación de estado durante incidentes
- Reporteo mensual de métricas operativas (MTTA/MTTR)
- Acceso al portal de tickets/casos
Qué NO cubre
- Forense profunda no contratada
- Recuperación de datos
- Desarrollo de software
- Soporte a sistemas legacy fuera de alcance acordado
- Disponibilidad de plataformas de terceros (ver sección “Plataformas de terceros”)
Definiciones operativas
Incidente: evento de seguridad con impacto confirmado o probable en la confidencialidad, integridad o disponibilidad de activos en alcance.
Evento: actividad registrada en fuentes de telemetría que requiere análisis para determinar si constituye incidente.
Tiempo de primera respuesta: tiempo desde que QMA registra una alerta o ticket hasta que un analista notifica al cliente y toma control del caso.
Tiempo de contención guiada (MTTR): tiempo desde la primera respuesta hasta que QMA entrega una recomendación de contención o ejecuta la acción de contención acordada.
Ventana de mantenimiento: período programado notificado con ≥72 horas de anticipación, durante el cual pueden aplicarse cambios al servicio sin contar como tiempo de no disponibilidad.
Planes de cobertura
| Plan | Cobertura | Descripción |
|---|---|---|
| QMA MSSP Standard (8×5) | Lunes–Viernes, horario laboral México (07:00–19:00 CST), excepto feriados oficiales | Triage, notificación y escalamiento en horario. Alertas críticas fuera de horario se acumulan con escalamiento al inicio de siguiente jornada salvo acuerdo explícito. |
| QMA MSSP 24×7 | 24 horas, 7 días, 365 días | Cobertura ininterrumpida para triage, notificación y escalamiento. Recomendado para organizaciones en sectores financiero, salud, gobierno e infraestructura crítica. |
Canales de contacto: Portal de tickets / casos · Correo de soporte · Línea telefónica de escalamiento (Sev 1/2 únicamente).
Severidades y tiempos de respuesta
Definición de severidades
| Severidad | Descripción | Ejemplos |
|---|---|---|
| Sev 1 — Crítica | Operación detenida o compromiso activo confirmado | Ransomware activo · Exfiltración en curso · Credenciales privilegiadas comprometidas · Caída de controles críticos de seguridad |
| Sev 2 — Alta | Amenaza confirmada con impacto parcial o inminente | Intrusión posible · Escalamiento no autorizado de privilegios · Afectación parcial de servicios |
| Sev 3 — Media | Alerta relevante sin evidencia de compromiso activo | Configuración insegura detectada · Hardening urgente · Anomalía sin explotación confirmada |
| Sev 4 — Baja / Solicitud | Consultas operativas, cambios menores, tareas programables | Ajuste de reglas · Solicitud de reporte · Revisión de política |
Tiempos de primera respuesta
Plan 24×7
| Severidad | Primera respuesta | Cadencia de actualizaciones |
|---|---|---|
| Sev 1 | ≤ 15 minutos | Cada 30–60 min hasta estabilización |
| Sev 2 | ≤ 60 minutos | Cada 2–4 horas |
| Sev 3 | ≤ 4 horas | Actualización diaria o según ventana acordada |
| Sev 4 | ≤ 1 día hábil | Según backlog priorizado |
Plan 8×5 (en horario)
| Severidad | Primera respuesta | Cadencia de actualizaciones |
|---|---|---|
| Sev 1 | ≤ 60 minutos | Cada 2 horas en horario |
| Sev 2 | ≤ 4 horas | Diaria |
| Sev 3 | ≤ 1 día hábil | Según backlog |
| Sev 4 | ≤ 2 días hábiles | Según backlog |
Nota: Los tiempos aplican a eventos generados y registrados en el portal de QMA. Eventos que requieren información del cliente para clasificarse correctamente no inician el conteo hasta recibir la información necesaria.
Esquema de escalamiento
La operación sigue un modelo de niveles diseñado para contener y resolver incidentes en el menor tiempo posible:
L1 — Analista SOC: triage inicial, notificación al cliente, apertura de caso, ejecución de playbook básico (aislamiento de endpoint, bloqueo de cuenta, etc.).
L2 — Analista Senior / Threat Hunter: investigación profunda, correlación de evidencias, identificación de vector, recomendación de contención y remediación.
L3 — Ingeniería y Arquitectura: casos con impacto sistémico, cambios estructurales de arquitectura, vulnerabilidades de plataforma, coordinación con fabricante.
Escalamiento a fabricante: cuando el incidente involucra un defecto o limitación de plataforma (Microsoft, iboss, SentinelOne, etc.), QMA coordina el escalamiento y mantiene al cliente informado.
Respuesta a Incidentes avanzada (IR): para incidentes que requieren forense, recuperación legal o análisis post-breach, se activa el servicio de IR como complemento.
Ver Respuesta a Incidentes.
Disponibilidad del portal y reporteo
QMA opera un portal de tickets y acceso a casos para clientes activos con los siguientes compromisos:
Disponibilidad objetivo del portal: 99.9% mensual.
Definición de “no disponible”: incapacidad de autenticarse o de crear/consultar tickets críticos por causa atribuible a QMA (excluye conectividad del cliente, mantenimientos programados notificados y fuerza mayor).
Métricas operativas reportables (SLO mensuales)
QMA reporta mensualmente las siguientes métricas como SLO (objetivos operativos), no como garantías absolutas irrefutables,
dado que parte de los resultados depende de la completitud de fuentes del cliente:
| Métrica | Descripción | Frecuencia |
|---|---|---|
| MTTA (Mean Time to Acknowledge) | Tiempo promedio (P50 y P90) de primera respuesta por severidad | Mensual |
| MTTR (Mean Time to Recommend Remediation) | Tiempo promedio (P50 y P90) de recomendación de contención por severidad | Mensual |
| % de casos Sev 1/2 con Root Cause emitido | Proporción de incidentes críticos con análisis post-mortem entregado | Mensual |
| Cobertura de fuentes activas | % de fuentes de telemetría en alcance con datos recibidos en el período | Mensual |
| Falsos positivos escalados | Proporción de alertas escaladas sin confirmarse como incidente real | Mensual |
El reporte mensual se entrega dentro de los primeros 10 días hábiles del mes siguiente al período evaluado.
Ventanas de mantenimiento y exclusiones
Ventanas de mantenimiento
Las ventanas de mantenimiento programadas se notifican con un mínimo de 72 horas de anticipación.
Durante estas ventanas, los SLAs de tiempo de respuesta no aplican para los componentes en mantenimiento.
QMA minimiza el impacto programando mantenimientos en horarios de baja actividad.
Exclusiones del SLA
Los siguientes supuestos excluyen la aplicación de los tiempos de respuesta garantizados:
- Fallas de conectividad o ISP del cliente que impidan la recepción de telemetría.
- Endpoints sin agente instalado o logs no enviados a la plataforma de QMA.
- Permisos o credenciales insuficientes proporcionados por el cliente que limiten la visibilidad.
- Cambios no autorizados realizados por el cliente o terceros que modifiquen la configuración del servicio sin notificación a QMA.
- Fuerza mayor: eventos fuera del control razonable de QMA (cortes masivos de nube, desastres naturales, fallos de infraestructura regional).
- Alcance no contratado: sistemas, aplicaciones o entornos fuera del inventario de activos acordado en el SOW.
- Mantenimientos notificados conforme a lo indicado anteriormente.
Plataformas de terceros
La disponibilidad y desempeño de las plataformas subyacentes está sujeta a los SLA de cada fabricante.
QMA actúa como operador y notifica al cliente ante afectaciones identificadas, pero no puede garantizar tiempos de plataformas fuera de su control:
- Microsoft (M365 / Sentinel / Entra ID):
SLA Microsoft Online Services - iboss Zero Trust SASE: disponibilidad comprometida por iboss en contrato de plataforma.
- SentinelOne: SLA de plataforma según acuerdo de licencia vigente.
Remedios por incumplimiento (opcional según SOW)
Cuando QMA incumple el tiempo de primera respuesta para Sev 1 o Sev 2 en un mes calendario, el cliente puede solicitar un crédito de servicio
sobre el componente de operación administrada (excluye licencias de plataforma) aplicable a la factura siguiente.
Las condiciones específicas (porcentaje, tope y proceso de reclamación) se definen en el SOW o Anexo de Servicio correspondiente.
Para clientes Enterprise o en sectores regulados, los esquemas de crédito y penalidades se negocian en el contrato marco.
Consulte con su ejecutivo de cuenta.
Revisión y mejora continua
QMA revisa este SLA anualmente o ante cambios relevantes en la operación.
Los clientes activos son notificados con 30 días de anticipación ante cualquier modificación a los tiempos o métricas publicadas.
La mejora continua de las métricas operativas se discute en sesiones QBR/MBR trimestrales.
Preguntas frecuentes sobre el SLA
¿Este SLA aplica desde el inicio del contrato?
Los tiempos de respuesta entran en vigor al completar el onboarding (integración de fuentes de telemetría y validación de visibilidad). Durante la fase de onboarding (2–4 semanas), aplican tiempos de “operación asistida” definidos en el SOW.
¿Qué sucede si una alerta llega fuera de horario en plan 8×5?
En plan 8×5 las alertas críticas (Sev 1) generadas fuera de horario se registran y tienen prioridad máxima al inicio de la siguiente jornada. Si la organización requiere cobertura fuera de horario para Sev 1, se recomienda el plan 24×7.
¿Cómo se mide el MTTA en la práctica?
Desde el timestamp de creación del ticket o alerta en el sistema de QMA hasta el primer comentario o notificación del analista asignado al cliente.
¿Los SLOs mensuales se comparten con el cliente?
Sí. El reporte mensual incluye MTTA/MTTR por severidad (P50 y P90), cobertura de fuentes y resumen de casos gestionados.
¿Puedo solicitar un SLA personalizado por contrato?
Sí. Para clientes en sectores financiero, gobierno o con requisitos específicos de auditoría, QMA puede negociar un Anexo de Niveles de Servicio con métricas, tiempos y créditos adaptados al perfil de riesgo de la organización.
¿Este SLA cubre la respuesta a incidentes avanzada (forense)?
No. La respuesta básica (contención L1/L2) está cubierta. Forense, recuperación legal y análisis post-breach están cubiertos por el servicio de IR como complemento al MSSP. Ver Respuesta a Incidentes.