Tietoturvavaatimukset Logitechin toimittajille
Logitech Europe SA. ja kaikki sen kumppanit ja tytäryhtiöt (yhteisesti ”Logitech”) vaativat kaikkia toimittajiaan, palveluntarjoajiaan ja muita liikekumppaneitaan (”Toimittaja”) ylläpitämään kattavaa kirjallista tietoturvaohjelmaa (”Tietoturvaohjelma”), joka sisältää tekniset, fyysiset ja organisatoriset toimenpiteet, joilla varmistetaan Logitechin ja Logitechin tytäryhtiöiden sekä niiden työntekijöiden, edustajien, hankkijoiden, asiakkaiden ja Toimittajien (yhteisesti ”Logitechin tiedot”) antamien tietojen luottamuksellisuuden, turvallisuuden, eheyden ja saatavuuden varmistaminen., sekä Logitechin tietojen suojaamnen luvattomalta käytöltä, paljastamiselta, muuttamiselta tai tuhoamiselta. Tämä Tietoturvaohjelma liittyy ja sisältyy viitteenä palvelusopimuksiin (”Sopimukset”), jotka on tehty niissä mainitun Logitech-yksikön ja Toimittajan välillä. Tietoturvaohjelma sisältää erityisesti mutta ei niihin rajoittuen seuraavat toimenpiteet, jos ne ovat tarkoituksenmukaisia tai tarpeellisia Logitechin tietojen suojan varmistamiseksi:
- Käytön valvonta – Käytännöt, menettelyt sekä fyysiset ja tekniset valvontatoimenpiteet:
- sen varmistamiseksi, että vain asianmukaisesti valtuutetuilla henkilöillä on fyysinen pääsy Toimittajan tietojärjestelmiin ja tiloihin,joissa ne sijaitsevat;
- sen varmistamiseksi, että kaikilla Toimittajan työntekijöillä, jotka tarvitsevat pääsyn Logitechin tietoihin on asianmukaisesti valvottu pääsy niihin ja että ne työntekijät ja muut, joilla ei pitäisi olla pääsyä tietoihin eivät voi käyttää niitä;
- tietojen käytön todentamiseksi ja sallimiseksi vain valtuutetuille henkilöille ja sen estämiseksi, että Toimittajan työntekijät voivat luovuttaa Logitechin tietoja tai niihin liittyviä tietoja luvattomille henkilöille; sekä
- tarvittaessa Logitechin tietojen salaamiseksi ja tietojen salauksen purkamiseksi.
- sen varmistamiseksi, että vain asianmukaisesti valtuutetuilla henkilöillä on fyysinen pääsy Toimittajan tietojärjestelmiin ja tiloihin,joissa ne sijaitsevat;
- Tietoturvatietoisuus ja -koulutus – Kaikille Toimittajan työntekijöille (johtohenkilöstö mukaan luettuna) tarkoitettu säännöllinen tietoturvatietoisuus- ja koulutusohjelma, joka sisältää Tietoturvaohjelman toteuttamista ja noudattamista koskevan koulutuksen.
- Tietoturvaloukkausmenettelyt – Käytännöt ja menettelyt tietoturvaloukkausten havaitsemiseksi, niihin vastaamiseksi ja muutoin käsittelemiseksi, mukaan lukien menettelyt järjestelmien tarkkailemiseksi ja Logitechin tietoihin tai niihin liittyviin tietojärjestelmiin kohdistuvien todellisten ja yritettyjen hyökkäysten havaitsemiseksi, sekä menettelyt epäiltyjen tai tunnettujen tietoturvaloukkausten tunnistamiseksi ja niihin vastaamiseksi, tietoturvaloukkausten haitallisten vaikutusten lieventämiseksi ja tietoturvaloukkausten ja niiden seurausten dokumentoimiseksi. Jos Toimittaja saa tietää olosuhteista, jotka voivat aiheuttaa jommankumman osapuolen tietoturvaloukkauksia koskevien lakien mukaiset velvoitteet, Toimittajan on välittömästi ilmoitettava Logitechille asiasta kirjallisesti osoitteeseen soc@logitech.com ja toimittava Logitechin kanssa yhteistyössä, jotta Logitech voi suorittaa tietoturvaloukkauksia koskevien lakien mukaiset velvoitteensa.
- Valmiussuunnittelu – Käytännöt ja menettelyt sellaisia hätätilanteita tai muita tilanteita (esimerkiksi tulipalo, ilkivalta, järjestelmävika ja luonnonkatastrofi) varten, jotka vahingoittavat Logitechin tietoja tai Logitechin tietoja sisältäviä järjestelmiä, mukaan lukien tietojen varmuuskopiointisuunnitelma ja palautussuunnitelma, sekä välittömään kirjallisen ilmoituksen lähettämiseen Logitechille osoitteeseen soc@logitech.com.
- Laitteiden ja tietovälineiden hallinta – Käytännöt ja menettelyt koskien laitteistoja ja sähköisiä tietovälineitä, jotka sisältävät Logitechin tietoja Toimittajan tiloissa ja niiden ulkopuolella, sekä näiden kohteiden siirtämistä Toimittajan tiloissa, mukaan lukien käytännöt ja menettelyt koskien Logitechin tietojen ja/tai niiden laitteiden tai sähköisten tietovälineiden, joille ne on tallennettu, lopullista hävittämistä, sekä menettelyt Logitechin tietojen poistamiseksi sähköisistä tietovälineistä ennen kuin tietovälineet vapautetaan uudelleenkäyttöön. Toimittajan on varmistettava, että Logitechin tietoja ei ladata tai muuten tallenneta kannettaviin tietokoneisiin tai muihin kannettaviin laitteisiin, ellei näihin laitteisiin sovelleta kaikkia tässä mainittuja suojatoimenpiteitä. Tällaisia suojatoimenpiteitä ovat muun muassa se, että kaikki Logitechin tietoja käyttävät laitteet on salattava, ja se, että niissä on käytettävä ajan tasalla olevaa haittaohjelmien tunnistamiseen tarkoitettua esto-ohjelmistoa.
- Tarkastusvalvonta – Laitteet, ohjelmistot, palvelut, alustat ja/tai mekanismit, jotka tallentavat ja tutkivat toimintaa sähköisiä tietoja sisältävissä tai käyttävissä tietojärjestelmissä, mukaan lukien näitä turvavaatimuksia ja niiden noudattamista koskevat asianmukaiset lokit ja raportit.
- Käytännöt ja menettelyt – Käytännöt ja menettelyt, joilla varmistetaan Logitechin tietojen luottamuksellisuus, eheys ja saatavuus ja suojataan niitä vahingossa tapahtuvalta, luvattomalta tai sopimattomalta paljastamiselta, käytöltä, muuttamiselta tai tuhoamiselta.
- Tallennus- ja lähetyssuojaus – Tekniset turvatoimenpiteet, joilla suojataan sähköisen viestintäverkon kautta siirrettäviä Logitechin tietoja luvattomalta käytöltä, mukaan lukien mekanismi Logitechin tietojen salaamiseksi sähköisessä muodossa, kun niitä siirretään tai varastoidaan verkoissa tai järjestelmissä, joita valtuuttamattomat henkilöt voivat käyttää.
- Määrätty tietoturvavastuu – Toimittajan tulee nimetä tietoturvavastaava, joka vastaa Toimittajan tietoturvaohjelman kehittämisestä, toteutuksesta ja ylläpidosta.
- Fyysiset tallennusvälineet – Käytännöt ja menettelyt, joilla varmistetaan, että ennen kuin Logitechin tietoja sisältävä tallennusväline luovutetaan, myönnetään tai myönnetään uudelleen toiselle käyttäjälle tai ennen kuin tällainen tallennusväline poistetaan toimipaikasta pysyvästi, Toimittaja poistaa turvallisesti kohdan 2.3 (e.) mukaisesti tällaiset Logitech-tiedot sekä fyysisesti että loogisesti siten, että tietoväline ei sisällä jäännösdataa, tai tarvittaessa tuhoaa tällaiset tallennusvälineet fyysisesti. Toimittajan on ylläpidettävä tarkastuskelpoista ohjelmaa tässä osiossa asetettujen, kaikkia Logitechin tietoja sisältäviä tallennusvälineitä koskevien hävittämis- ja tuhoamisvaatimusten toteuttamiseksi.
- Testaus – Toimittajan tulee säännöllisesti testata Tietoturvaohjelmansa keskeiset hallintaominaisuudet, järjestelmät ja menettelyt varmistaakseen, että ne on otettu asianmukaisesti käyttöön ja että ne torjuvat tunnistetut uhat ja riskit tehokkaasti. Testien suorittamiseen tai arviointiin on käytettävä riippumatonta kolmatta osapuolta tai turvallisuusohjelmien kehittäjistä tai ylläpitäjistä riippumatonta henkilöstöä.
- Ohjelman pitäminen ajan tasalla – Toimittajan on seurattava, arvioitava ja tarvittaessa mukautettava Tietoturvaohjelmaa tekniikan ja alan tietoturvastandardien olennaisten muutosten, Logitechin tietojen arkaluonteisuuden mukaan, Toimittajaan tai Logitechin tietoihin kohdistuvien sisäisten tai ulkoisten uhkien, sekä Toimittajan omien muuttuvien liiketoimintajärjestelyjen, kuten fuusioiden ja yrityskauppojen, liittoutumien ja yhteisyritysten, ulkoistamisjärjestelyjen ja tietojärjestelmien muutosten mukaan.
Tarkemmin sanottuna Toimittajan Tietoturvaohjelman tulee täyttää tai ylittää seuraavat vaatimukset:
1. SOVELTAMISALA; MÄÄRITELMÄT
1.1. Tietoturvakäytäntö. Toimittaja noudattaa kaikilta osin Logitechin tietoturvavaatimuksia, jotka on asetettu näissä Logitechin toimittajia koskevissa tietoturvavaatimuksissa (”Tietoturvakäytäntö”). Tietoturvakäytäntö koskee Toimittajan toimintaa minkä tahansa Toimittajan ja Logitechin välisen sopimuksen (”Sopimus”) mukaisesti sekä kaikkea Logitechin tietojen käyttöä, keräämistä, tallentamista, siirtoa, paljastamista, tuhoamista tai poistamista sekä Logitechin tietoja koskevia tietoturvaloukkauksia (kuten alla on määritelty). Tämä Tietoturvakäytäntö ei rajoita muita Toimittajan velvollisuuksia, mukaan lukien Sopimuksen tai Toimittajaa koskevien lakien mukaisia velvoitteita, Toimittajan toimintaa Sopimuksen mukaisesti, Logitechin tietoja tai Sallittua tarkoitusta (kuten alla on määritelty). Siltä osin kuin tämä Tietoturvakäytäntö on suoraan ristiriidassa Sopimuksen kanssa, Toimittaja ilmoittaa Logitechille ristiriidasta viipymättä ja noudattaa niitä vaatimuksia (jotka Logitech voi nimetä), jotka ovat tiukemmat ja suojaavat Logitechin tietoja paremmin.
1.2. Määritelmät.
- ”Kumppani” tarkoittaa tietyn henkilön osalta mitä tahansa tahoa, joka suoraan tai epäsuorasti hallitsee kyseistä henkilöä, on kyseisen henkilön määräysvallassa tai kuuluu saman tahon määräysvaltaan kyseisen henkilön kanssa.
- ”Yhdistää” tarkoittaa Logitechin tietojen yhdistämistä mihin tahansa Toimittajan tai kolmannen osapuolen dataan tai tietoihin tai tallentamista niiden kanssa.
- ”Anonymisoida” tarkoittaa minkä tahansa datan tai tiedon (mukaan lukien Logitechin tiedot) käyttöä, keräämistä, tallentamista, siirtämistä tai muuntamista sellaisella tavalla tai sellaisessa muodossa, joka ei yksilöi, mahdollista tunnistamista tai ole muutoin johdettavissa mihinkään käyttäjään, laitetunnisteeseen, lähteeseen, tuotteeseen, palveluun, kontekstiin, tuotemerkkiin tai Logitechin tai sen Kumppaneihin.
- ”Logitechin tiedot” tarkoittaa erikseen ja yhteisesti (a) kaikkia Logitechin luottamuksellisia tietoja (kuten on määritelty Sopimuksessa tai osapuolten välisessä salassapitosopimuksessa), (b) muodosta riippumatta kaikkea muuta dataa, tietueita, tiedostoja, sisältöä tai tietoja, joita Toimittaja tai sen Kumppanit hankkivat, käyttävät, keräävät, vastaanottavat, säilyttävät tai ylläpitävät Logitechilta tai sen Kumppaneilta tai niiden puolesta tai muuten liittyen Sopimukseen, Sopimuksen nojalla tarjottaviin palveluihin tai osapuolten Sopimuksen mukaisten tai siihen liittyvien oikeuksien suorittamiseen tai harjoittamiseen ja (c) kohdasta (a) tai (b) johdetut tiedot siinäkin tapauksessa, että ne on Anonymisoitu.
1.3. Sallittu käyttötarkoitus.
Ellei Toimittaja ole Sopimuksen nojalla nimenomaisesti valtuutettu muuhun, Toimittaja saa käyttää, kerätä, säilyttää ja välittää vain niitä Logitechin tietoja, joiden käsittelyyn se on nimenomaisesti valtuutettu Sopimuksen nojalla, ja ainoastaan Sopimuksen mukaisten palvelujen tarjoamiseen niiden lisenssien (jos sellaisia on) mukaisesti, jotka sille on myönnetty sopimuksen mukaisesti (”Sallittu käyttötarkoitus”). Toimittaja ei käytä, kerää, säilytä tai lähetä Logitechin tietoja eikä yhdistä Logitechin tietoja Anonymisoidussakaan muodossa, paitsi jos se on Sopimuksen nojalla nimenomaisesti siihen valtuutettu. Toimittaja ei ilman Logitechin nimenomaista kirjallisesti ennalta antamaa suostumusta (A) siirrä, vuokraa, vaihtokauppaa, kauppaa, myy, vuokraa, lainaa, liisaa tai muutoin jaa tai anna minkään kolmannen osapuolen saataville mitään Logitechin tietoja tai (B) Yhdistä Logitechin tietoja Anonymisoidussakaan muodossa.
2. TIETOTURVAKÄYTÄNTÖ
2.1. Perustietoturvavaatimukset. Toimittaja ylläpitää alan parhaiden standardien ja Logitechin määrittelemien, Logitechin tietojen luokitukseen ja arkaluonteisuuteen perustuvien muiden vaatimusten mukaisesti fyysisiä, hallinnollisia ja teknisiä suojatoimia ja muita turvatoimia (A) ylläpitääkseen Toimittajan käyttämien, keräämien, säilyttämien ja siirtämien Logitechin tietojen turvallisuutta ja luottamuksellisuutta ja (B) suojatakseen kyseisiä tietoja tunnetuilta tai kohtuudella ennakoitavilta uhilta tai vaaroilta, jotka kohdistuvat niiden turvallisuuteen ja eheyteen, tahattomalta menettämiseltä, muuttamiselta, paljastumiselta ja muulta laittomalta käsittelyltä. Toimittaja noudattaa rajoituksetta seuraavia vaatimuksia:
- Palomuuri. Toimittaja asentaa ja ylläpitää toimivaa verkkopalomuuria internetin kautta saatavilla olevien tietojen suojaamiseksi ja pitää kaikkia Logitechin tietoja aina palomuurilla suojattuna.
- Päivitykset. Toimittaja pitää järjestelmänsä ja ohjelmistonsa päivitettynä uusimmilla päivityksillä, virheenkorjauksilla, uusilla versioilla ja muilla Logitechin tietojen turvallisuuden varmistamiseksi tarvittavilla muutoksilla.
- Haittaohjelmien torjunta. Toimittaja käyttää aina haittaohjelmien torjuntaohjelmistoa ja pitää haittaohjelmien torjuntaohjelmiston ajan tasalla. Toimittaja pyrkii estämään uhat, jotka aiheutuvat kaikista viruksista, vakoiluohjelmista ja muista haitallisista koodeista, jotka on tunnistettu tai jotka olisi kohtuudella pitänyt tunnistaa.
- Salaus. Toimittaja salaa käyttämättömänä olevat tiedot ja avointen verkkojen kautta lähetettävät tiedot alan parhaiden käytäntöjen mukaisesti.
- Testaaminen. Toimittaja testaa säännöllisesti tietoturvajärjestelmiään ja prosessejaan varmistaakseen, että ne täyttävät tämän Tietoturvakäytännön vaatimukset.
- Käytön valvonta. Toimittaja suojaa Logitechin tiedot muun muassa noudattamalla seuraavia vaatimuksia:
- Toimittaja antaa yksilöllisen tunnuksen jokaiselle, jolla on tietokoneen kautta pääsy Logitechin tietoihin.
- Toimittaja rajoittaa pääsyn Logitechin tietoihin vain niihin henkilöihin, jotka tarvitsevat näitä tietoja Sallittua käyttötarkoitusta varten.
- Toimittaja tarkistaa säännöllisesti luettelon ihmisistä ja palveluista, joilla on pääsy Logitechin tietoihin, ja poistaa tilit (tai ohjeistaa Logitechia poistamaan tilit), jotka eivät enää tarvitse käyttöoikeutta. Tämä tarkistus on suoritettava vähintään 90 päivän välein.
- Toimittaja ei käytä valmistajan toimittamia oletusjärjestelmäsalasanoja tai muita suojausparametreja missään käyttöjärjestelmissä, ohjelmistoissa tai muissa järjestelmissä. Toimittaja määrää ja varmistaa järjestelmässä pakotetun ”vahvojen salasanojen” käytön parhaiden käytäntöjen mukaisesti (kuvattu alla) kaikissa järjestelmissä, joissa isännöidään, säilytetään, käsitellään tai hallitaan Logitechin tietoja tai niiden käyttöä, ja vaatii, että kaikki salasanat ja käyttöoikeustiedot pidetään luottamuksellisina eikä niitä jaeta henkilöstön kesken. Salasanojen on täytettävä seuraavat ehdot: niiden on sisällettävä vähintään 12 merkkiä, ne eivät saa vastata aiempia salasanoja tai käyttäjän kirjautumistunnusta tai yleisnimeä, ne on vaihdettava aina, kun epäillään tai oletetaan, että tili on vaarantunut, ja ne vaihdetaan säännöllisesti vähintään 90 päivän välein.
- Toimittaja ylläpitää ja valvoo ”tilien lukitsemista” poistamalla käytöstä tilit, joilla on pääsy Logitechin tietoihin, kun tilillä yritetään käyttää väärää salasanaa vähintään 10 kertaa peräkkäin.
- Ellei Logitech ole antanut nimenomaista kirjallisesta suostumusta muuhun, Toimittaja pitää erillään Logitechin tiedot aina (mukaan lukien säilytys, käsittely tai siirto) Toimittajan ja kaikkien kolmansien osapuolten tiedoista.
- Jos Logitech pyytää kirjallisesti fyysisiä lisäkäytönvalvontatoimia, Toimittaja toteuttaa suojatut fyysiset kulunvalvontatoimet ja käyttää niitä.
- Toimittaja toimittaa Logitechille vuosittain tai Logitechin pyynnöstä useammin (1) lokitiedot kaikesta Logitechin tilien tai Toimittajalle toimitettujen Logitechin tunnistetietojen (esim. sosiaalisen median tilin tunnistetiedot) käytöstä (sekä valtuutetusta että luvattomasta) ja (2) yksityiskohtaiset lokitiedot kaikista tapauksista, joissa joku on tekeytynyt tai yrittänyt tekeytyä Logitechin henkilöstön jäseneksi tai Toimittajan henkilöstön jäseneksi, jolla on käyttöoikeus Logitechin tietoihin.
- Toimittaja tarkistaa säännöllisesti käyttölokit haitallisen toiminnan tai luvattoman käytön merkkien varalta.
- Toimittajan käytäntö. Toimittaja ylläpitää ja valvoo työntekijöiden, alihankkijoiden, edustajien ja Toimittajien tietoturva- ja verkkoturvallisuuskäytäntöä, joka täyttää tässä käytännössä määritetyt standardit, mukaan lukien menetelmät käytäntörikkomusten havaitsemiseksi ja kirjaamiseksi. Logitechin pyynnöstä Toimittaja toimittaa Logitechille tiedot Toimittajan tietoturva- ja verkkoturvallisuuskäytäntöjen rikkomuksista, vaikka kyseessä ei olisikaan Tietoturvaloukkaus.
- Alihankinta. Toimittaja ei tee alihankintana tai delegoi mitään tämän Tietoturvakäytännön mukaisia velvoitteitaan millekään alihankkijalle ilman Logitechin kirjallista ennakkosuostumusta. Alihankintasopimuksen tai delegoinnin olemassaolosta tai ehdoista riippumatta Toimittaja on vastuussa tämän Tietoturvakäytännön mukaisten velvoitteidensa täyttämisestä. Tämän Tietoturvakäytännön ehdot sitovat Toimittajan alihankkijoita ja henkilöstöä. Toimittaja (a) varmistaa, että Toimittajan alihankkijat ja henkilöstö noudattavat tätä Tietoturvakäytäntöä, ja (b) on vastuussa kaikista alihankkijoidensa ja henkilöstönsä toimista, tekemättä jättämisistä, laiminlyönneistä ja väärinkäytöksistä, mukaan lukien (soveltuvin osin) minkä tahansa lain, säännön tai asetuksen rikkominen.
- Etäkäyttö. Toimittaja varmistaa, että kaikki Logitechin tietoja sisältävien järjestelmien tai Toimittajan yritys- tai kehitystyöasemaverkkojen käyttö ulkopuolisista suojatuista yritys- tai tuotantoympäristöistä edellyttää monen tekijän todennusta (esim. vaatii vähintään kaksi erillistä tekijää käyttäjien tunnistamiseen).
- Toimittajan henkilöstö. Logitech voi asettaa Toimittajan henkilöstön Logitechin tietojen käytön ehdoksi, että Toimittajan henkilöstö allekirjoittaa ja toimittaa Logitechille yksittäiset salassapitosopimukset, joiden muodon Logitech määrittää. Logitechin niin vaatiessa Logitech pyytää Toimittajan henkilöstöä allekirjoittamaan yksittäiset salassapitosopimukset. Toimittaja hankkii ja toimittaa Logitechille allekirjoitetut yksittäiset salassapitosopimukset Toimittajan henkilöstön jäseniltä, joilla on pääsy Logitechin tietoihin (ennen käyttöoikeuden myöntämistä tai tietojen toimittamista Toimittajan henkilöstölle). Toimittaja myös (a) toimittaa pyynnöstä sovitun ajan kuluessa Logitechille luettelon Toimittajan henkilöstön jäsenistä, jotka ovat käyttäneet tai vastaanottaneet Logitechin tietoja, ja (b) ilmoittaa Logitechille enintään 24 tunnin kuluessa siitä, että tietty yksittäinen Toimittajan henkilöstön jäsen, jolla on oikeus käyttää Logitechin tietoja tämän osan mukaisesti, (y) ei enää tarvitse käyttöoikeutta Logitechin tietoihin tai (z) ei enää kuulu Toimittajan henkilöstöön (esim. poistuttuaan Toimittajan palveluksesta).
2.2. Pääsy Logitechin ekstranetiin ja toimittajaportaaleihin. Logitech voi myöntää Toimittajalle pääsyn Logitechin tietoihin verkkoportaalien tai muiden ei-julkisten verkkosivustojen tai Logitechin tai kolmannen osapuolen verkkosivuston tai järjestelmän ekstranet-palveluiden kautta (kukin näistä ”Ekstranet”) Sallittua käyttötarkoitusta varten. Jos Logitech antaa Toimittajalle pääsyn Logitechin tietoihin Ekstranetin kautta, Toimittajan on täytettävä seuraavat vaatimukset:
- Sallittu käyttötarkoitus. Toimittaja ja sen henkilöstö käyttävät Ekstranetiä ja käyttävät, keräävät, tarkastelevat, hakevat, lataavat tai tallentavat Logitechin tietoja Ekstranetistä vain Sallittuun käyttötarkoitukseen.
- Tilit. Toimittaja varmistaa, että Toimittajan työntekijät käyttävät kukin omaansa Logitechin osoittamaa Ekstranet-tiliä, ja vaatii, että Toimittajan henkilöstö pitää tunnistetietonsa luottamuksellisina.
- Järjestelmät. Toimittaja käyttää Ekstranetia vain tietokone- tai prosessointijärjestelmien tai -sovellusten kautta, joissa käytetään Toimittajan hallinnoimia käyttöjärjestelmiä ja joihin kuuluvat (i) kohdan 2.1(A) (Palomuuri) mukaiset järjestelmän verkon palomuurit, (ii) keskitetty korjaustiedostojen hallinta kohdan 2.1(B) (Päivitykset) mukaisesti, (iii) käyttöjärjestelmään tarkoitettu haittaohjelmien torjuntaohjelmisto kohdan 2.1(C) (Haittaohjelmien torjunta) mukaisesti ja (iv) kannettavien laitteiden osalta koko levyn salaus.
- Rajoitukset. Toimittaja ei lataa, peilaa tai tallenna pysyvästi Logitechin tietoja mistään Ekstranetista millekään tietovälineelle, mukaan lukien koneet, laitteet tai palvelimet ilman Logitechin kirjallista ennakkosuostumusta.
- Tilin sulkeminen. Toimittaja sulkee kunkin Toimittajan henkilöstön jäsenen tilin ja ilmoittaa Logitechille enintään 24 tunnin kuluessa siitä, että tietty yksittäinen Toimittajan henkilöstön jäsen, jolla on oikeus käyttää mitä hyvänsä Ekstranetia, (a) ei enää kuulu Toimittajan henkilöstöön (esim. poistuttuaan Toimittajan palveluksesta) tai (b) on käyttämättä Logitechin tietoja seuraavien 30 päivän ajan tai sitä kauemmin.
- Kolmannen osapuolen järjestelmät.
- Toimittaja ilmoittaa Logitechille etukäteen ja hankkii Logitechin kirjallisen suostumuksen ennen kuin se käyttää kolmannen osapuolen järjestelmiä, jotka tallentavat Logitechin tietoja tai joilla voi muuten olla pääsy niihin, ellei (a) tietoja ole salattu tämän Tietoturvakäytännön mukaisesti ja (b) ole varmistettu, että kolmannen osapuolen järjestelmä ei pysty käyttämään tietojen salauksen purkuavainta tai tietojen salaamattomia ”vain teksti” -versioita. Logitech pidättää oikeuden vaatia kolmannen osapuolen järjestelmää koskevaa Logitechin tietoturvatarkastusta (alla olevan kohdan 2.5 mukaisesti) ennen suostumuksen antamista.
- Jos Toimittaja käyttää kolmannen osapuolen järjestelmiä, jotka tallentavat tai muutoin voivat käyttää salaamattomia Logitechin tietoja, Toimittajan on tarkistettava kolmannen osapuolen järjestelmät ja niiden tietoturvaominaisuudet ja raportoitava Logitechille määräajoin kolmannen osapuolen järjestelmän tietoturva ominaisuuksista Logitechin pyytämässä muodossa (esim. SAS 70, SSAE 16 tai uudempi raportti) tai muussa Logitechin hyväksymässä alan standardi raportti muodossa.
2.3. Tietojen säilyttäminen ja tuhoaminen.
- Säilyttäminen. Toimittaja säilyttää Logitechin tietoja vain Sallittua käyttötarkoitusta varten ja niin kauan kuin se on tarpeen.
- Palauttaminen tai poistaminen. Toimittaja palauttaa Logitechille viipymättä (mutta enintään 10 päivän kuluessa Logitechin pyynnöstä) kaikki käytössä olevat Logitechin tiedot ja poistaa ne pysyvästi ja turvallisesti Logitechin palauttamista ja/tai poistamista koskevan ilmoituksen mukaisesti. Toimittaja poistaa myös pysyvästi ja turvallisesti kaikki Logitechin tiedot (internetissä tai verkossa) 90 päivän kuluessa Sallitun käyttötarkoituksen toteutumisesta tai Sopimuksen päättämisestä tai päättymisestä sen mukaan, kumpi näistä tapahtuu aikaisemmin, ellei sillä ole laissa määrättyä velvollisuutta säilyttää niitä. Logitechin pyynnöstä Toimittaja vahvistaa kirjallisesti, että kaikki Logitechin tiedot on tuhottu.
- Arkistokopiot. Jos Toimittajan on lain mukaan säilytettävä Logitechin tiedoista arkistokopiot verotusta tai vastaavia sääntelyjä varten, nämä arkistoidut Logitechin tiedot on säilytettävä jollakin seuraavista tavoista: ”passiivisena” (toisin sanoen ei saatavilla välittömään tai vuorovaikutteiseen käyttöön) eli fyysisesti suojattuun tilaan tallennettuna offline varmuuskopioina, tai salatussa muodossa siten, että järjestelmästä, johon salatut tiedostot on tallennettu, ei ole pääsyä salaukseen käytettyyn avaimeen.
- Palauttaminen. Jos Toimittaja suorittaa ”palautuksen” (eli ottaa käyttöön varmuuskopion) katastrofipalautusta varten, Toimittajalla on olemassa ylläpidetty prosessi, joka varmistaa, että kaikki Logitechin tiedot, jotka on poistettava Sopimuksen tai tämän Tietoturvakäytännön mukaisesti, poistetaan uudelleen tai pyyhitään pois palautetuista tiedoista tämän kohdan 2.3 mukaisesti 24 tunnin kuluessa palauttamisen jälkeen. Jos Toimittaja suorittaa palautuksen johonkin tarkoitukseen, mitään Logitechin tietoja ei saa palauttaa kolmannen osapuolen järjestelmiin tai verkkoihin ilman Logitechin kirjallista ennakosuostumusta. Logitech pidättää oikeuden vaatia kolmannen osapuolen järjestelmälle tai verkolle Logitechin suorittaman tietoturvatarkastuksen (alla olevan kohdan 2.5 mukaisesti), ennen kuin se sallii Logitechin tietojen palauttamisen kolmannen osapuolen järjestelmään tai verkkoon.
- Poistostandardit. Kaikki Toimittajan poistamat Logitechin tiedot poistetaan 18.12.2014 julkaistun NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation -artikkelin (saatavilla osoitteessa https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization) tai muiden Logitechin mahdollisesti vaatimien standardien mukaisesti Logitechin tietojen luokituksen ja arkaluonteisuuden perusteella.
2.4. Forensinen tuhoaminen. Ennen kuin Toimittaja hävittää millään tavalla laitteiston, ohjelmiston tai muun tietovälineen, joka sisältää tai on aikaisemmin sisältänyt Logitechin tietoja, Toimittaja suorittaa laitteiston, ohjelmiston tai muun tietovälineen täydellisen forensisen tuhoamisen, jotta mitään Logitechin tiedoista ei voidaan palauttaa missään muodossa. Toimittaja suorittaa forensisen tuhoamisen Logitechin mahdollisesti edellyttämien standardien mukaisesti Logitechin tietojen luokituksen ja arkaluonteisuuden perusteella. Toimittajan on toimitettava Logitechin pyynnöstä todistus tuhoamisesta.
- Toimittaja ei myy, jälleenmyy, lahjoita, kunnosta tai muutoin siirrä (mukaan lukien tällaisten laitteistojen, ohjelmistojen tai muiden tietovälineiden myynti tai siirto, hävittäminen Toimittajan liiketoiminnan purkamisen yhteydessä tai muu hävittäminen) mitään laitteistoa, ohjelmistoa tai muuta tietovälinettä, joka sisältää Logitechin tietoja, joita Toimittaja ei ole forensisesti tuhonnut.
2.5. Tietoturvatarkastus.
- Riskinarviointikysely. Logitech edellyttää, että kaikki toimittajat käyvät läpi Toimittajan riskinarvioinnin, joka käynnistetään antamalla päivitetyt vastaukset Logitechin riskinarviointikyselyyn. Tämä tapahtuu vähintään kerran vuodessa mutta mahdollisesti useamminkin toimittajan arvioidun riskin perusteella.
- Vahvistus. Logitechin kirjallisesta pyynnöstä Toimittaja vahvistaa Logitechille kirjallisesti, että se noudattaa tätä Sopimusta.
- Muut tarkastukset. Logitech pidättää oikeuden tarkistaa ajoittain niiden järjestelmien turvallisuuden, joita Toimittaja käyttää Logitechin tietojen käsittelyyn. Toimittaja tekee kohtuullista yhteistyötä ja toimittaa Logitechille kaikki vaaditut tiedot kohtuullisessa ajassa, kuitenkin enintään 20 kalenteripäivän kuluessa Logitechin pyynnön päivämäärästä.
- Korjaaminen. Jos tietoturvatarkastuksessa havaitaan puutteita, Toimittaja toteuttaa omalla kustannuksellaan kaikki tarvittavat toimenpiteet puutteiden korjaamiseksi sovitun ajan kuluessa.
2.6. Tietoturvaloukkaus.
- Toimittaja ilmoittaa Logitechille osoitteeseen soc@logitech.com viipymättä (enintään 24 tunnin kuluessa) sovellettavien lakien mukaisista Tietoturvaloukkauksista, (i) jotka koskevat Logitechin tietoja tai (ii) joita Toimittaja hallitsee toimenpiteillä, jotka ovat olennaisilta osiltaan samanlaisia kuin ne, jotka suojaavat Logitechin tietoja (kukin ”Tietoturvaloukkaus”). Toimittaja korjaa jokaisen Tietoturvaloukkauksen ajoissa ja toimittaa Logitechille kirjalliset tiedot Toimittajan sisäisestä tutkinnasta jokaisen Tietoturvaloukkauksen osalta. Toimittaja sitoutuu olemaan ilmoittamatta asiasta Logitechin puolesta millekään sääntelyviranomaiselle tai kenellekään asiakkaalle, ellei Logitech nimenomaisesti pyydä Toimittajaa kirjallisesti tekemään niin, ja Logitech pidättää oikeuden tarkistaa ja hyväksyä minkä tahansa ilmoituksen muodon ja sisällön ennen kuin se toimitetaan millekään taholle. Toimittaja tekee kohtuullista yhteistyötä ja työskentelee yhdessä Logitechin kanssa laatiakseen ja toteuttaakseen suunnitelman kaikkien vahvistettujen Tietoturvaloukkausten korjaamiseksi.
- Toimittaja ilmoittaa Logitechille viipymättä (enintään 24 tunnin kuluessa), jos Logitechin tietoja pyydetään oikeusprosessin tai sovellettavan lain nojalla.