EXIGENCES DE SÉCURITÉ RELATIVES AUX INFORMATIONS DES FOURNISSEURS LOGITECH
Logitech Europe SA. et toutes ses filiales et sociétés affiliées (ci-après dénommés collectivement "Logitech"), exigent que tous ses fournisseurs, fournisseurs de services et autres partenaires commerciaux ("Vous" ou "le Fournisseur") maintiennent un programme écrit complet de sécurité des informations ("Programme de sécurité des informations") qui inclut des mesures techniques, physiques et organisationnelles visant à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des informations fournies par Logitech, les sociétés affiliées de Logitech et leurs employés, représentants, sous-traitants, clients et fournisseurs (collectivement, les "Données Logitech") et pour protéger contre l’accès, l’utilisation, la divulgation, l’altération ou la destruction non autorisés des Données Logitech. Le présent Programme de sécurité des informations est joint aux, et incorporé par référence, aux Accords de services (''Accords'') conclus par et entre l'entité Logitech qui y est indiquée et Vous. En particulier, le Programme de sécurité des informations doit inclure, mais sans s'y limiter, les mesures suivantes ou nécessaires pour assurer la protection des Données Logitech, le cas échéant:
- Contrôles d'accès – Politiques, procédures et contrôles physiques et techniques:
- pour limiter l'accès physique aux personnes dûment autorisées à vos systèmes d'information et à l'installation ou aux installations dans lesquelles ils sont hébergés;
- pour s'assurer que tous les membres de votre personnel qui ont besoin d'accéder aux Données Logitech disposent d'un contrôle d'accès approprié et pour empêcher les membres du personnel et autres personnes non autorisées d'y accéder;
- pour authentifier et autoriser l'accès uniquement aux personnes autorisées et pour empêcher les membres de votre équipe de fournir des Données Logitech ou des informations connexes à des personnes non autorisées; et
- pour chiffrer et déchiffrer les Données Logitech si nécessaire.
- Sensibilisation et formation à la sécurité – Un programme régulier de sensibilisation et de formation à la sécurité pour tous les membres de votre personnel (y compris la direction), qui comprend une formation sur la mise en œuvre et le respect de votre Programme de sécurité des informations.
- Procédures en cas d'incident de sécurité – Politiques et procédures pour détecter les incidents de sécurité, y répondre et y remédier, y compris les procédures pour moniteur les systèmes et détecter les attaques réelles et les tentatives d'intrusion dans les Données Logitech ou les systèmes d'information associés, ainsi que les procédures d'identification et de réponse. les incidents de sécurité suspectés ou connus, atténuer les effets néfastes des incidents de sécurité et documenter les incidents de sécurité et leurs résultats. Si Vous avez connaissance de circonstances susceptibles de déclencher les obligations de l'une des Parties en vertu des Lois sur les atteintes à la sécurité, Vous devez immédiatement en informer Logitech par écrit via soc@logitech.com et coopérer pleinement avec Logitech pour permettre à Logitech de s'acquitter de ses obligations en vertu des Lois sur les atteintes à la sécurité. .
- Planification d’urgence – Politiques et procédures permettant de répondre à une urgence ou à tout autre événement (par exemple, un incendie, un vandalisme, une défaillance du système et une catastrophe naturelle) endommageant des Données Logitech ou des systèmes contenant des Données Logitech, notamment un plan de sauvegarde des données et un plan de reprise après sinistre et en envoyant immédiatement une notification écrite à Logitech via soc@logitech.com.
- Contrôles des dispositifs et des supports – Politiques et procédures relatives au matériel et aux supports électroniques contenant des Données Logitech entrant et sortant de vos installations, et le mouvement de ces éléments dans vos installations, y compris les politiques et procédures relatives à l'élimination finale des Données Logitech, et/ou le matériel ou les supports électroniques sur lesquels elles sont stockées, et les procédures de suppression des Données Logitech des supports électroniques avant que les supports ne soient disponibles pour une réutilisation. Vous devez vous assurer qu'aucune donnée Logitech n'est téléchargée ou stockée sur des ordinateurs portables ou d'autres dispositifs portables, à moins qu'ils ne soient soumis à toutes les protections requises aux présentes. Ces mesures de protection doivent préciser notamment que tous les dispositifs accédant aux Données Logitech doivent être chiffrés et utiliser un logiciel de prévention de détection des logiciels malveillants à jour.
- Contrôles d'audit – Matériel, logiciels, services, plates-formes et/ou mécanismes procéduraux qui enregistrent et examinent l'activité des systèmes d'information contenant ou utilisant des informations électroniques, y compris les journaux et rapports appropriés concernant ces exigences de sécurité et le respect de celles-ci.
- Politiques et procédures – Politiques et procédures visant à assurer la confidentialité, l'intégrité et la disponibilité des Données Logitech et à les protéger contre toute divulgation, utilisation, altération ou destruction accidentelle, non autorisée ou inappropriée.
- Sécurité du stockage et de la transmission – Mesures de sécurité techniques pour se prémunir contre tout accès non autorisé aux Données Logitech transmises via un réseau de communications électroniques, y compris un mécanisme de chiffrement des Données Logitech sous forme électronique pendant leur transit et leur stockage sur des réseaux ou des systèmes auxquels des personnes non autorisées peuvent avoir accès.
- Responsable de la sécurité désigné – Vous devez désigner un responsable de la sécurité chargé du développement, de la mise en œuvre et de la maintenance de votre Programme de sécurité des informations.
- Supports de stockage physiques – Politiques et procédures visant à garantir qu'avant qu'un support de stockage contenant des Données Logitech ne soit affecté, attribué ou réaffecté à un autre utilisateur, ou avant que ce support de stockage ne soit définitivement supprimé d'une installation, vous le supprimerez de manière sécurisée conformément à la Section 2.3. (e.). de telles Données Logitech d'un point de vue physique et logique, de sorte que le support ne contienne aucune donnée résiduelle. Au besoin, lesdits supports de stockage seront détruits physiquement. Vous devez maintenir un programme vérifiable de mise en œuvre des exigences d'élimination et de destruction énoncées dans la présente Section pour tous les supports de stockage contenant des Données Logitech.
- Tests – Vous devez tester régulièrement les principaux contrôles, systèmes et procédures de votre Programme de sécurité des informations pour vous assurer qu'ils sont correctement mis en œuvre et qu'ils permettent de faire face aux menaces et aux risques identifiés. Les tests doivent être effectués par ou placés sous la surveillance de tiers indépendants ou du personnel, indépendamment des responsables du développement et du maintien des programmes de sécurité.
- Maintenir le Programme à jour – Vous devez surveiller, évaluer et ajuster, le cas échéant, le Programme de sécurité des informations à la lumière de tout changement dans la technologie ou les normes de sécurité du secteur, de la sensibilité des Données Logitech, des menaces internes ou externes à vous ou aux Données Logitech, et l’évolution de vos propres accords commerciaux, tels que les fusions et acquisitions, les alliances et les coentreprises, les accords d’externalisation et les modifications apportées aux systèmes d’information.
Plus précisément, le Programme de sécurité des informations du fournisseur doit satisfaire au minimum les exigences suivantes:
1. PORTÉE; DÉFINITIONS
1.1. Politique de sécurité. Le Fournisseur se conformera à tous égards aux exigences de sécurité des Informations Logitech énoncées dans les présentes Exigences de sécurité des Informations Logitech pour les fournisseurs (la "Politique de sécurité"). La Politique de sécurité s'applique aux performances du Fournisseur dans le cadre de tout accord conclu entre le Fournisseur et Logitech (l'"Accord") et à tous les incidents d'accès, de collecte, d'utilisation, de stockage, de transmission, de divulgation, de destruction ou de suppression d'informations Logitech (tels que définis ci-dessous) . La présente Politique de sécurité ne restreint pas, de quelque manière que ce soit, les autres obligations du Fournisseur, notamment en vertu du Contrat ou en ce qui concerne les lois applicables au Fournisseur, les performances du Fournisseur en vertu du Contrat, les Informations Logitech ou l'Objectif autorisé (tel que défini ci-dessous). Dans la mesure où la présente Politique de sécurité entre directement en conflit avec le Contrat, le Fournisseur en informera sans délai Logitech et se conformera aux exigences les plus restrictives et assurant la meilleure protection des Informations Logitech (qui peuvent être désignées par Logitech).
1.2. Définitions.
- "Affilié" désigne, en ce qui concerne une personne en particulier, toute entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec cette personne.
- "Agréger" signifie combiner ou stocker des Informations Logitech avec des données ou des informations du Fournisseur ou de tout tiers.
- "Anonymiser" signifie utiliser, collecter, stocker, transmettre ou transformer toute donnée ou information (y compris les informations Logitech) d'une manière ou une forme qui n'identifie pas, ne permet pas l'identification et ne soit pas autrement attribuable à un utilisateur, un identifiant de dispositif, une source , produit, service, contexte, marque ou Logitech ou ses affiliés.
- "Informations Logitech" désigne, individuellement et collectivement: (a) toutes les Informations confidentielles de Logitech (telles que définies dans le Contrat ou dans l'accord de non-divulgation entre les parties); (b) toutes les autres données, enregistrements, fichiers, contenus ou informations, sous quelque forme que ce soit, acquis, consultés, collectés, reçus, stockés ou conservés par le Fournisseur ou ses Affiliés auprès de ou pour le compte de Logitech ou de ses Affiliés, ou autrement en lien avec le Contrat, les services fournis dans le cadre du Contrat, ou l'exécution ou l'exercice de droits par les parties en vertu du Contrat ou en rapport avec celui-ci; et (c) dérivé de (a) ou (b), même s'il est anonymisé.
1.3. Objectif autorisé.
Sauf autorisation expresse en vertu du Contrat, le Fournisseur peut accéder, collecter, utiliser, stocker et transmettre uniquement les Informations Logitech expressément autorisées en vertu du Contrat et uniquement dans le but de fournir les services au titre du Contrat, conformément aux licences (le cas échéant) accordées dans le cadre du présent Accord ("Objectif autorisé"). Sauf autorisation expresse dans le cadre du Contrat, le Fournisseur n'accédera pas, ne collectera, n'utilisera, ne stockera ou ne transmettra aucune information Logitech et ne rassemblera pas d'informations Logitech, même si elles sont anonymisées. Sauf accord exprès et préalable écrit de Logitech, le Fournisseur ne doit pas (A) transférer, louer, troquer, échanger, vendre, louer, prêter ou distribuer ou mettre à disposition des tiers des Informations Logitech ou (B) Agréger des Informations Logitech avec toute autre information ou donnée, même anonymisée.
2. POLITIQUE DE SÉCURITÉ
2.1. Exigences de sécurité de base. Conformément aux meilleures normes actuelles du secteur et aux autres exigences spécifiées par Logitech sur la base de la classification et du caractère sensible des Informations Logitech, le Fournisseur maintiendra des mesures de sécurité physiques, administratives et techniques (A) pour assurer la sécurité et la confidentialité des Informations Logitech consultées, collectées, utilisées, stockées ou transmises par le Fournisseur, et (B) pour protéger ces informations contre les menaces ou les dangers connus ou raisonnablement prévisibles pour leur sécurité et leur intégrité, les pertes accidentelles, les altérations, les divulgations et toutes les autres formes de traitement illégales. Sans limitation, le Fournisseur se conformera aux exigences suivantes:
- Pare-feu. Le Fournisseur installera et maintiendra un pare-feu réseau opérationnel afin de protéger les données accessibles via Internet et protéger à tout moment toutes les Informations Logitech.
- Mises à jour. Le Fournisseur tiendra ses systèmes et logiciels à jour avec les dernières mises à niveau, mises à jour, correctifs de bogues, nouvelles versions et autres modifications nécessaires pour assurer la sécurité des Informations Logitech.
- Anti-malware. Le Fournisseur utilisera à tout moment un logiciel de protection contre les programmes malveillants et le maintiendra à jour. Le Fournisseur atténuera les menaces de tous les virus, logiciels espions et autres codes malveillants qui sont ou auraient dû être raisonnablement détectés.
- Chiffrement. Le Fournisseur chiffrera les données stockées et les données envoyées sur des réseaux ouverts conformément aux meilleures pratiques du secteur.
- Test. Le Fournisseur testera régulièrement ses systèmes et processus de sécurité pour s'assurer qu'ils répondent aux exigences de la présente Politique de sécurité.
- Contrôles d'accès. Le Fournisseur sécurisera les Informations Logitech, notamment en se conformant aux exigences suivantes:
- Le Fournisseur attribuera un identifiant unique à chaque personne ayant accès aux Informations Logitech.
- Le Fournisseur limitera l'accès aux Informations Logitech aux seules personnes ayant besoin d'y accéder pour une Fin autorisée.
- Le Fournisseur examinera régulièrement la liste des personnes et des services ayant accès aux Informations Logitech et supprimera les comptes (ou conseillera à Logitech de supprimer les comptes) qui ne nécessitent plus d'accès. Cet examen doit être effectué au moins une fois tous les 90 jours.
- Le Fournisseur n'utilisera pas les mots de passe par défaut fournis par le fabricant et autres paramètres de sécurité sur les systèmes d'exploitation, logiciels ou autres systèmes. Le Fournisseur exigera et garantira l'utilisation de "mots de passe forts" appliqués par le système, conformément aux meilleures pratiques (décrites ci-dessous), sur tous les systèmes d'hébergement, de stockage, de traitement ou disposant de ou contrôlant l'accès aux Informations Logitech et exigera que tous les mots de passe et les identifiants d'accès restent confidentiels et ne sont pas partagés entre le personnel. Les mots de passe doivent répondre aux critères suivants: contenir au moins 12 caractères; ne pas correspondre aux mots de passe précédents, à l'identifiant de connexion ou au nom d'usage de l'utilisateur; doit être modifié chaque fois qu'un compte compromis est suspecté ou présumé; doit être remplacé régulièrement après 90 jours maximum.
- Le Fournisseur maintiendra et appliquera le "verrouillage de compte" en désactivant les comptes ayant accès aux Informations Logitech à l'issue de 10 tentatives consécutives de saisie de mot de passe incorrectes.
- Sauf autorisation expresse écrite de Logitech, le Fournisseur isolera à tout moment les Informations Logitech (y compris lors du stockage, du traitement ou de la transmission) des informations relatives au Fournisseur et à des tiers.
- Si des contrôles d'accès physique supplémentaires sont demandés par écrit par Logitech, le Fournisseur mettra en œuvre et utilisera ces mesures de contrôle d'accès physique sécurisé.
- Le Fournisseur fournira à Logitech sur une base annuelle, ou plus fréquemment à la demande de Logitech, (1) les données de journal concernant toute utilisation (autorisée ou non) des comptes Logitech ou des informations d'identification fournies au Fournisseur pour une utilisation au nom de Logitech (par exemple, identifiants d'un compte de réseau social) et (2) les données de journal détaillées concernant toute usurpation d'identité ou tentative d'usurpation d'identité du personnel de Logitech ou du fournisseur ayant accès aux Informations Logitech.
- Le Fournisseur examinera régulièrement les journaux d'accès à la recherche de signes de comportement malveillant ou d'accès non autorisé.
- Politique relative aux fournisseurs. Le Fournisseur maintiendra et appliquera une politique de sécurité des informations et du réseau pour les employés, les sous-traitants, les agents et les fournisseurs qui répond aux normes énoncées dans la présente politique, y compris des méthodes pour détecter et enregistrer les violations de la politique. À la demande de Logitech, le Fournisseur fournira à Logitech des informations sur les violations de la politique de sécurité des informations et du réseau du Fournisseur, même si cela ne constitue pas un Incident de sécurité.
- Sous-traitance. Le Fournisseur ne sous-traitera ni ne déléguera aucune de ses obligations en vertu de la présente Politique de sécurité à des sous-traitants sans le consentement écrit préalable de Logitech. Nonobstant l'existence ou les conditions de tout sous-contrat ou délégation, le Fournisseur restera responsable de l'exécution complète de ses obligations en vertu de la présente Politique de sécurité. Les conditions générales de la présente Politique de sécurité s'appliquent aux sous-traitants et au personnel du Fournisseur. Le Fournisseur (a) veillera à ce que ses sous-traitants et son personnel se conforment à la présente Politique de sécurité, et (b) sera responsable de tous les actes, omissions, négligences et comportements répréhensibles de ses sous-traitants et de son personnel, y compris (le cas échéant) les violations de toute loi, règle ou réglementation.
- Accès distant. Le Fournisseur s'assurera que tout accès depuis des environnements d'entreprise ou de production protégés aux systèmes contenant des Informations Logitech ou aux réseaux d'entreprise ou de développement du Fournisseur nécessite une authentification à plusieurs facteurs (par exemple, nécessite au moins deux facteurs distincts pour identifier les utilisateurs).
- Personnel du fournisseur. Logitech peut conditionner l'accès aux Informations Logitech par le personnel du Fournisseur à l'exécution par le personnel du Fournisseur et à la remise à Logitech d'accords de non-divulgation individuels, dont la forme est spécifiée par Logitech. Si Logitech l'exige, Logitech demande au personnel du Fournisseur d'exécuter l'accord de non-divulgation individuel. Le Fournisseur obtiendra et fournira à Logitech des accords de non-divulgation individuels signés par le personnel du Fournisseur qui aura accès aux Informations Logitech (avant d'accorder l'accès ou de fournir des informations au personnel du Fournisseur). Le Fournisseur (a) fournira également la liste des membres du personnel du Fournisseur qui ont accédé ou reçu les Informations Logitech à Logitech, sur demande, dans un délai convenu, et (b) informera Logitech au plus tard 24 heures après que tout membre du Fournisseur spécifique autorisé à accéder Informations Logitech conformément à la présente Section: (y) n'a plus besoin d'accéder aux Informations Logitech ou (z) n'est plus éligible comme membre du personnel du Fournisseur (par exemple, le personnel quitte son emploi auprès du Fournisseur).
2.2. Accès à l'extranet Logitech et aux portails fournisseurs. Logitech peut accorder au Fournisseur l'accès aux Informations Logitech via des portails Web ou d'autres sites Web non publics ou des services extranet sur le site Web ou le système de Logitech ou d'un tiers (chacun étant désigné comme un "Extranet") aux fins autorisées. Si Logitech autorise le Fournisseur à accéder aux Informations Logitech via un extranet, le Fournisseur doit se conformer aux exigences suivantes:
- Objectif autorisé. Le Fournisseur et son personnel accéderont à l'Extranet, collecteront, utiliseront, afficheront, récupéreront, téléchargeront ou stockeront les Informations Logitech depuis l'Extranet uniquement aux fins autorisées.
- Comptes. Le Fournisseur s'assurera que son personnel utilise uniquement le ou les comptes Extranet désignés par Logitech pour chaque individu et exigera du personnel du Fournisseur qu'il garde ses identifiants d'accès confidentiels.
- Systèmes. Le Fournisseur accédera à l'Extranet uniquement via des systèmes informatiques ou de traitement ou des applications exécutant des systèmes d'exploitation gérés par le Fournisseur et comprenant: (i) des pare-feu de réseau conformément à la Section 2.1(A) (Pare-feu); (ii) la gestion centralisée des correctifs conformément à la Section 2.1(B) (Mises à jour); (iii) un logiciel anti-programme malveillant adapté au système d'exploitation, conformément à la Section 2.1(C) (Anti-malware); et (iv) pour les dispositifs portables, le chiffrement intégral du disque.
- Restrictions Sauf approbation préalable écrite de Logitech, le Fournisseur ne téléchargera pas, ne reflétera pas ou ne stockera pas de façon permanente les Informations Logitech à partir d'un Extranet sur quelque support que ce soit, y compris des machines, dispositifs ou serveurs.
- Résiliation du compte. Le Fournisseur résiliera le compte de chaque membre du personnel du Fournisseur et informera Logitech au plus tard 24 heures après qu'un membre du personnel du Fournisseur ayant été autorisé à accéder à un Extranet (a) n'a plus besoin d'accéder aux Informations Logitech, (b) n'est plus qualifié de Fournisseur (par exemple, le personnel quitte son emploi auprès du Fournisseur) ou (c) n'accède plus aux Informations Logitech pendant 30 jours ou plus.
- Systèmes tiers.
- Le Fournisseur informera Logitech à l'avance et obtiendra l'approbation écrite préalable de Logitech avant d'utiliser un système tiers stockant ou susceptible d'avoir accès aux Informations Logitech, sauf si (a) les données sont chiffrées conformément à la présente Politique de sécurité, et (b) le système tiers n'aura pas accès à la clé de déchiffrement ou aux versions en clair des données. Logitech se réserve le droit d'exiger une évaluation de la sécurité de Logitech (conformément à la Section 2.5 ci-dessous) du système tiers avant de donner son approbation.
- Si le Fournisseur utilise des systèmes tiers qui stockent ou peuvent accéder à des informations Logitech non chiffrées, le Fournisseur doit effectuer une évaluation de la sécurité des systèmes tiers et de leurs contrôles de sécurité et fournira à Logitech des rapports périodiques sur les contrôles de sécurité du système tiers dans le format demandé par Logitech (par exemple, SAS 70, SSAE 16 ou un rapport ultérieur) ou tout autre rapport conforme aux normes du secteur et approuvé par Logitech.
2.3. Stockage et suppression des données.
- Stockage. Le Fournisseur stockera les Informations Logitech uniquement aux fins de l'Objectif autorisé et aussi longtemps que cela sera nécessaire.
- Retour ou suppression. Le Fournisseur renverra rapidement (mais au plus tard 10 jours après la demande de Logitech) à Logitech et supprimera définitivement et en toute sécurité toutes les Informations Logitech conformément à la notification de Logitech exigeant le retour et/ou la suppression. De plus, le Fournisseur supprimera définitivement et en toute sécurité toutes les instances actives (en ligne ou accessibles sur le réseau) des Informations Logitech dans un délai de 90 jours suivant la première de ces deux échéances, soit la réalisation de l'Objectif autorisé, soit la résiliation ou l'expiration du Contrat, sauf si la loi l'oblige à les conserver. À la demande de Logitech, le Fournisseur certifiera par écrit que toutes les Informations Logitech ont été détruites.
- Copies d'archives. Si le Fournisseur est tenu par la Loi de conserver des copies d'archivage des Informations Logitech à des fins fiscales ou réglementaires similaires, ces Informations Logitech archivées doivent être stockées de l'une des manières suivantes: en tant que support "à froid" ou hors ligne (c'est-à-dire qu'elles ne sont pas disponibles pour une utilisation immédiate ou interactive); une sauvegarde stockée dans une installation physiquement sécurisée; ou chiffrés, lorsque le système hébergeant ou stockant les fichiers chiffrés n'a pas accès à une copie de la ou des clés utilisées pour le chiffrement.
- Récupération. Si le Fournisseur effectue une "récupération" (c'est-à-dire un retour vers une sauvegarde) à des fins de récupération après sinistre, le Fournisseur disposera et maintiendra un processus garantissant que toutes les Informations Logitech devant être supprimées conformément au Contrat ou à la présente Politique de sécurité être supprimés à nouveau ou écrasés des données récupérées conformément à la présente Section 2.3 dans les 24 heures suivant la récupération. Si le Fournisseur effectue une récupération pour quelque raison que ce soit, aucune Information Logitech ne peut être récupérée sur un système ou un réseau tiers sans l'approbation écrite préalable de Logitech. Logitech se réserve le droit d'exiger une évaluation de la sécurité Logitech (conformément à la Section 2.5 ci-dessous) du système ou du réseau tiers avant d'autoriser la récupération d'informations Logitech sur un système ou un réseau tiers.
- Normes de suppression. Toutes les informations Logitech supprimées par le fournisseur seront supprimées conformément au document NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation (publication spéciale NIST 800-88 Révision 1, Directives pour l'assainissement des médias) du 18 décembre 2014 (disponible à l'adresse https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization) ou toute autre norme que Logitech peut exiger en fonction de la classification et de la sensibilité des Informations Logitech.
2.4. Destruction des données. Avant d'éliminer de quelque manière que ce soit du matériel, des logiciels ou tout autre support contenant ou ayant contenu des Informations Logitech, le Fournisseur procédera à une destruction complète du matériel, du logiciel ou de tout autre support afin qu'aucune des Informations Logitech puisse être récupérée sous n'importe quelle forme. Le Fournisseur procédera à la destruction des données conformément aux normes que Logitech peut exiger en fonction de la classification et du caractère sensible des Informations Logitech. Le Fournisseur fournira un certificat de destruction à la demande de Logitech.
- Le Fournisseur s'engage à ne pas vendre, revendre, donner, remettre à neuf ou transférer de quelque manière que ce soit (y compris la vente ou le transfert de tels matériels, logiciels ou autres supports, toute cession liée à la liquidation de l'entreprise du Fournisseur ou toute autre cession) tout matériel, un logiciel ou tout autre support contenant des Informations Logitech qui n'ont pas été détruites par des experts judiciaires par le Fournisseur.
2.5. Examen de la sécurité.
- Questionnaire d'évaluation des risques. Logitech exige que tous les fournisseurs se soumettent à une évaluation des risques fournisseur, qui s'effectue en fournissant des réponses mises à jour au questionnaire d'évaluation des risques de Logitech, au moins une fois par an, mais peut être plus fréquente en fonction du risque fournisseur évalué.
- Certification. Sur demande écrite de Logitech, le Fournisseur certifiera par écrit à Logitech sa conformité au présent Accord.
- Autres évaluations. Logitech se réserve le droit de revoir périodiquement la sécurité des systèmes que le Fournisseur utilise pour traiter les Informations Logitech. Le Fournisseur coopérera raisonnablement et fournira à Logitech toutes les informations requises dans un délai raisonnable, au plus tard 20 jours calendaires à compter de la date de la demande de Logitech.
- Rectification. Si un examen de la sécurité identifie des lacunes constatées, le Fournisseur prendra, à ses propres frais, toutes les mesures nécessaires pour remédier à ces lacunes dans un délai convenu.
2.6. Violation de sécurité.
- Le Fournisseur informera Logitech via soc@logitech.com dans les plus brefs délais (24 heures au plus) de toute violation de la sécurité telle que définie par les lois applicables (i) contenant des informations Logitech, ou (ii) gérées par le Fournisseur avec des contrôles sensiblement similaires à ceux les personnes protégeant les Informations Logitech (chacune constituant une "Violation de sécurité"). Le Fournisseur remédiera rapidement à chaque Violation de sécurité et fournira à Logitech des détails écrits concernant l'enquête interne du Fournisseur concernant chaque Incident de sécurité. Le Fournisseur s'engage à ne notifier aucune autorité de réglementation ni aucun client au nom de Logitech, sauf si Logitech le demande spécifiquement par écrit et que Logitech se réserve le droit d'examiner et d'approuver la forme et le contenu de toute notification avant qu'elle ne soit fournie à une partie quelconque. . Le Fournisseur coopérera raisonnablement et collaborera avec Logitech pour formuler et exécuter un plan visant à rectifier tous les Incidents de sécurité confirmés.
- Le Fournisseur informera Logitech dans les plus brefs délais (24 heures au plus) lorsque des Informations Logitech sont demandées en réponse à une procédure judiciaire ou en vertu de la loi applicable.