Információbiztonsági követelmények a Logitech beszállítói részére
Experience Fragment (Megoldásrészlet) Beszállítói információbiztonsági követelmények A Logitech Europe SA., az összes leányvállalata és társvállalata (együttesen „Logitech“) valamennyi beszállítójától, szolgáltatójától és egyéb üzleti partnerétől („Ön“ vagy „Beszállító“) megköveteli, hogy átfogó, írott formában lévő információbiztonsági programot („Információbiztonsági program“) tartson fenn, amely technikai, fizikai és szervezeti intézkedéseket tartalmaz a Logitech, a Logitech társvállalatai, valamint alkalmazottai, képviselői, szerződéses partnerei, ügyfelei és beszállítói által szolgáltatott információk (együttesen „Logitech-adatok“) titkosságának, biztonságának, integritásának és rendelkezésre állásának biztosítására, valamint a Logitech-adatok jogosulatlan hozzáférése, felhasználása, közzététele, megváltoztatása vagy megsemmisítése elleni védelemre. Jelen információbiztonsági program mellékletét képezi, és hivatkozással beépül azon szolgáltatási szerződésekbe („Szerződések“), amelyek a bennük megnevezett Logitech szervezet és Ön között jöttek létre. Az Információbiztonsági programnak elsősorban, de nem kizárólagosan az alábbi intézkedéseket kell tartalmaznia, amennyiben ez megfelelő vagy szükséges a Logitech-adatok védelmének biztosítása érdekében:
- A hozzáférés szabályozása – Olyan szabályzatok, eljárások, valamint fizikai és technikai eszközök,
- melyek célja az információs rendszerekhez és az azokat elhelyező létesítmény(ek)hez való fizikai hozzáférés megfelelő jogosultsággal rendelkező személyekre történő korlátozása;
- annak biztosítása, hogy minden olyan munkavállaló, akinek hozzá kell férnie a Logitech-adatokhoz, megfelelően ellenőrzött hozzáféréssel rendelkezzen, valamint annak megakadályozása, hogy a többi munkatárs és más személyek hozzáférjenek ezekhez az adatokhoz;
- az arra jogosult személyek ellenőrzése és a hozzáférés engedélyezése, valamint annak megakadályozása, hogy az Ön munkavállalói a Logitech-adatokat vagy az azokkal kapcsolatos információkat illetéktelen személyek számára átadják;
- a Logitech-adatok titkosítása és visszafejtése, amennyiben erre szükség van.
- Biztonságtudatosság és képzés - Rendszeres biztonságtudatossági szemléletet kialakító oktatási program minden munkavállaló számára (a vezetőséget is beleértve), amely magában foglalja az Információbiztonsági program végrehajtásával és az abban foglaltak betartásával kapcsolatos képzést.
- Biztonsági incidensekre vonatkozó eljárások – A biztonsági incidensek észlelésére, a reagálásra és ezek egyéb módon történő kezelésére vonatkozó irányelvek és eljárások, beleértve a rendszerek megfigyelésére és a Logitech-adatok vagy az azokhoz kapcsolódó információs rendszerek elleni tényleges és megkísérelt támadások vagy behatolások észlelésére szolgáló eljárásokat, továbbá a feltételezett vagy ismert biztonsági incidensek azonosítására és az azokra való reagálásra, a biztonsági incidensek káros hatásainak enyhítésére, valamint a biztonsági incidensek és azok eredményeinek dokumentálására vonatkozó eljárásokat. Ha olyan körülményről szerez tudomást, amely bármelyik félnek a biztonság megsértésére vonatkozó törvények szerinti kötelezettségeit vonhatja maga után, köteles haladéktalanul írásban értesíteni a Logitechet a soc@logitech.com címen, és teljes mértékben együttműködni velünk annak érdekében, hogy a Logitech teljesíteni tudja a biztonság megsértésére vonatkozó törvények szerinti kötelezettségeit.
- Készenléti terv – A Logitech-adatokat vagy az azokat tartalmazó rendszereket károsító vészhelyzet vagy egyéb esemény (például tűz, vandalizmus, rendszerhiba és természeti katasztrófa) esetén alkalmazandó irányelvek és eljárások, beleértve az adatmentési tervet és a katasztrófa utáni helyreállítási tervet, valamint a Logitech azonnali, a soc@logitech.com címen történő írásbeli értesítését.
- Eszköz- és adathordozó-szabályozás – A Logitech-adatokat tartalmazó hardverekre és elektronikus hordozóknak az Ön létesítményeibe és azokból való ki- és bevitelére, valamint ezen eszközöknek az Ön létesítményein belüli mozgására vonatkozó irányelvek és eljárások, beleértve a Logitech-adatok és/vagy az azokat tároló hardverek vagy elektronikus hordozók végső megsemmisítésére vonatkozó irányelveket és eljárásokat, valamint a Logitech-adatok elektronikus hordozókról történő eltávolítására vonatkozó eljárásokat, mielőtt ezeket az adathordozókat újrafelhasználásra bocsátanák. Ön köteles gondoskodni arról, hogy a Logitech-adatok kizárólag akkor legyenek letöltve, illetve laptopokon vagy más hordozható eszközökön más módon tárolva, ha azok az itt előírt összes védelemmel rendelkeznek. Az ilyen védelmi intézkedések közé tartozik többek között, de nem kizárólagosan, hogy a Logitech adataihoz hozzáférő valamennyi eszköznek titkosítva kell lennie, és naprakész, a rosszindulatú programokat észlelő szoftvert kell használnia.
- Ellenőrzésre alkalmas eszközök – Hardver, szoftver, szolgáltatások, platformok és/vagy eljárási mechanizmusok, amelyek rögzítik és vizsgálják az elektronikus információkat tartalmazó vagy használó információs rendszerekben végzett tevékenységeket, beleértve az e biztonsági követelményekre és azok betartására vonatkozó megfelelő naplókat és jelentéseket.
- Irányelvek és eljárások – A Logitech-adatok titkosságát, integritását és rendelkezésre állását biztosító, valamint a véletlen, jogosulatlan vagy nem megfelelő közzétételtől, felhasználástól, módosítástól vagy megsemmisítéstől védő irányelvek és eljárások.
- A tárolás és továbbítás biztonsága – Technikai biztonsági intézkedések az elektronikus kommunikációs hálózaton keresztül továbbított Logitech-adatokhoz való jogosulatlan hozzáférés elleni védelem érdekében, beleértve a Logitech-adatok elektronikus formában történő titkosítására szolgáló mechanizmust a továbbítás és a tárolás során olyan hálózatokon vagy rendszerekben, amelyekhez illetéktelen személyek hozzáférhetnek.
- Kijelölt biztonsági felelős – Önnek ki kell jelölnie egy biztonsági megbízottat, aki felelős az Információbiztonsági program kidolgozásáért, végrehajtásáért és karbantartásáért.
- Fizikai adattároló eszközök – Szabályok és eljárások annak biztosítására, hogy mielőtt a Logitech-adatokat tartalmazó adathordozókat más felhasználóhoz rendelik hozzá, osztják ki vagy csoportosítják át, vagy mielőtt az ilyen adathordozókat véglegesen eltávolítják egy létesítményből, Ön a 2.3. (e.) szakasznak megfelelően köteles biztonságosan törölni az ilyen Logitech-adatokat mind fizikai, mind logikai szempontból úgy, hogy a hordozó ne tartalmazzon adat maradványokat, illetve szükség esetén fizikailag megsemmisíti az ilyen adathordozókat. Ön köteles egy olyan ellenőrizhető programot fenntartani, amely végrehajtja az ebben a szakaszban meghatározott, a Logitech-adatokat tartalmazó valamennyi adathordozóra vonatkozó ártalmatlanítási és megsemmisítési követelményeket.
- Tesztelés – Rendszeresen tesztelnie kell az Információbiztonsági programja kulcsfontosságú ellenőrző elemeit, rendszereit és eljárásait annak biztosítása érdekében, hogy azokat megfelelően alkalmazzák, és hatékonyak legyenek az azonosított fenyegetések és kockázatok kezelésében. A teszteket független harmadik feleknek vagy a biztonsági programokat kidolgozó vagy felügyelő személyektől független munkatársaknak kell elvégezniük vagy felülvizsgálniuk.
- A program naprakészen tartása – Ön köteles figyelemmel kísérni, értékelni és szükség szerint módosítani az Információbiztonsági programot a technológia vagy az iparági biztonsági szabványok releváns változásainak, a Logitech-adatok érzékenységének, az Önt vagy a Logitech-adatokat érő belső vagy külső fenyegetéseknek a figyelembevételével, valamint az Ön saját változó üzleti feltételeinek, például az egyesülések és felvásárlások, szövetségek és közös vállalkozások, kiszervezési megállapodások és az információs rendszerek változásainak megfelelően.
Pontosabban a beszállító információbiztonsági programjának meg kell felelnie az alábbi követelményeknek, vagy felül kell múlnia ezeket:
1. HATÁLY; MEGHATÁROZÁSOK
1.1. Biztonsági szabályzat A Beszállító köteles minden tekintetben megfelelni a Logitech-információbiztonsági követelményeinek, amelyeket a jelen, „Információbiztonsági követelmények a Logitech beszállítói részére“ dokumentum („Biztonsági szabályzat“) tartalmaz. A Biztonsági szabályzat a Beszállító és a Logitech közötti bármely szerződés („a Szerződés“) vonatkozásában alkalmazandó a Beszállító teljesítésére, valamint (az alábbiakban meghatározott) Logitech-adatokkal kapcsolatos minden hozzáférésre, gyűjtésre, felhasználásra, tárolásra, továbbításra, nyilvánosságra hozatalra, megsemmisítésre, törlésre és biztonsági incidensre. A jelen Biztonsági szabályzat nem korlátozza a Beszállító egyéb kötelezettségeit, beleértve a Szerződés, illetve a Beszállítóra, a Szerződés szerinti teljesítésre, a Logitech-információkra vagy a (lent meghatározott) Engedélyezett célra vonatkozó bármely törvény szerinti kötelezettségeket. Amennyiben ez a biztonsági szabályzat közvetlenül ellentétes a Szerződéssel, a Beszállítónak haladéktalanul értesítenie kell a Logitechet az ellentétről, és a Logitech-információkat jobban védő, szigorúbb követelménynek (amelyet a Logitech határozhat meg) kell eleget tennie.
1.2. Meghatározások
- „Kapcsolódó fél“: egy adott személy tekintetében minden olyan entitás, amely közvetlenül vagy közvetve ellenőrzi az adott személyt, általa ellenőrzött vagy vele közös ellenőrzés alatt áll.
- „Összesítés“: a Logitech-információk összevonása vagy tárolása a Beszállító vagy más harmadik fél bármely adatával vagy információjával.
- „Anonimizálás“: bármely adat vagy információ (beleértve a Logitech-információkat is) olyan módon vagy formában történő felhasználása, gyűjtése, tárolása, továbbítása vagy átalakítása, amely nem azonosítja, nem teszi lehetővé az azonosítást, és más módon nem kapcsolható semmilyen felhasználóhoz, eszközazonosítóhoz, forráshoz, termékhez, szolgáltatáshoz, kontextushoz, márkához, a Logitech vállalathoz vagy annak leányvállalataihoz.
- „Logitech-információ“ – egyénileg és kollektíven: (a) minden bizalmas Logitech-információ (a Szerződésben vagy a felek közötti titoktartási megállapodásban meghatározottak szerint); (b) minden egyéb adat, feljegyzés, fájl, tartalom vagy információ, bármilyen formában vagy formátumban, amelyet a Beszállító vagy a hozzá kapcsolódó fél szerez meg, ér el, gyűjt, kap, tárol vagy tart fenn a Logitechtől vagy leányvállalataitól vagy azok nevében, illetve más módon a Szerződéssel, a Szerződés alapján nyújtott szolgáltatásokkal, vagy a Felek által a Szerződés alapján vagy azzal összefüggésben teljesített vagy gyakorolt jogokkal kapcsolatos információk; (c) az (a) vagy (b) pontból eredő információ, még akkor is, ha az anonimizált.
1.3. Engedélyezett cél
A Szerződésben külön engedélyezett esetek kivételével a Beszállító csak a Szerződésben kifejezetten engedélyezett Logitech-információkhoz férhet hozzá, gyűjtheti, használhatja, tárolhatja és továbbíthatja azokat, és kizárólag a Szerződés szerinti szolgáltatások nyújtása céljából, a Szerződésben megadott licenceknek (ha vannak ilyenek) megfelelően („Engedélyezett cél“). A Szerződésben kifejezetten engedélyezett esetek kivételével a Beszállító nem fér hozzá, nem gyűjt, nem használ, nem tárol és nem továbbít semmilyen Logitech-információt, és nem összesíti azokat, még akkor sem, ha az adatok anonimizáltak. A Logitech előzetes kifejezett írásbeli hozzájárulásának hiányában a Beszállító nem (A) adja át, adja bérbe, cseréli el, kereskedik vele, adja el, adja kölcsön, és más módon nem terjeszti vagy teszi hozzáférhetővé a Logitech-információkat harmadik fél számára, illetve (B) összesíti a Logitech-információkat bármely más adattal vagy információval, akkor sem, ha ezek anonimizált formában vannak.
2. BIZTONSÁGI SZABÁLYZAT
2.1. Alapvető biztonsági követelmények A Beszállító a jelenlegi legjobb iparági szabványokkal és a Logitech által, a Logitech-információk besorolása és érzékenysége alapján meghatározott egyéb követelményekkel összhangban fizikai, adminisztratív és technikai biztosítékokat, valamint egyéb biztonsági intézkedéseket tart fenn, (A) hogy megőrizze azon Logitech-információk biztonságát és bizalmas jellegét, melyekhez a Beszállító hozzáfér vagy amelyeket gyűjt, használ, tárol vagy továbbít, és (B) hogy megvédje ezeket az információkat a biztonságukat és integritásukat érintő ismert vagy reálisan várható fenyegetésekkel vagy veszélyekkel szemben, illetve védje őket a véletlen elvesztés, módosítás, közzététel és a feldolgozás minden más jogellenes formája ellen. A Beszállítónak – nem kizárólagosan – a következő követelményeknek kell megfelelnie:
- Tűzfal Beszállító telepít és fenntart egy működő hálózati tűzfalat az interneten keresztül elérhető adatok védelme érdekében, és a tűzfallal mindenkor védi a Logitech összes információját.
- Frissítések Beszállító naprakészen tartja rendszereit és szoftvereit a legújabb fejlesztésekkel, frissítésekkel, hibajavításokkal, új verziókkal és egyéb, a Logitech-információk biztonságának megőrzéséhez szükséges módosításokkal.
- Kártevők elleni védelem Beszállító mindenkor kártevőirtó szoftvert használ, és naprakészen tartja azt. Beszállító mérsékli az összes olyan vírus, kémprogram és egyéb rosszindulatú kód jelentette fenyegetést, amelyet észleltek vagy észlelniük kellett volna.
- Titkosítás Beszállító a tárolt és a nyílt hálózatokon keresztül küldött adatokat az iparági legjobb gyakorlatoknak megfelelően titkosítja.
- Ellenőrzés Beszállító rendszeresen teszteli biztonsági rendszereit és folyamatait annak érdekében, hogy azok megfeleljenek a jelen Biztonsági szabályzat követelményeinek.
- Hozzáférések ellenőrzése Beszállító gondoskodik a Logitech-információk biztonságáról, többek között az alábbi követelmények betartásával:
- Beszállító egyedi azonosítót rendel minden olyan személyhez, aki számítógépes hozzáféréssel rendelkezik a Logitech-információkhoz.
- Beszállító a Logitech-információkhoz való hozzáférést kizárólag azokra a személyekre korlátozza, akiknek az Engedélyezett cél érdekében „szükséges ismerniük“ ezeket.
- Beszállító rendszeresen felülvizsgálja a Logitech-információkhoz hozzáféréssel rendelkező személyek és szolgáltatások listáját, és eltávolítja azokat a fiókokat (vagy jelzi a Logitechnek, hogy távolítsa el a fiókokat), amelyek esetében már nincs szükség hozzáférésre. Ezt a felülvizsgálatot legalább 90 naponta egyszer el kell végezni.
- Beszállító nem használ a gyártó által megadott alapértelmezett rendszerjelszavakat és egyéb biztonsági paramétereket semmilyen operációs rendszerben, szoftverben vagy más rendszerben. A beszállító előírja és biztosítja a (lentebb ismertetett) legjobb gyakorlatokkal összhangban lévő, a rendszer által megkövetelt „erős jelszavak“ használatát minden olyan rendszerben, amely Logitech-információkat tartalmaz, tárol, dolgoz fel, hozzáfér vagy biztosítja a hozzáférést ezekhez, továbbá megköveteli, hogy minden jelszót és hozzáférési hitelesítő adatot bizalmasan kezeljenek, és ne kerüljön sor az ilyen azonosítók megosztására. A jelszavaknak a következő kritériumoknak kell megfelelniük: legalább 12 karaktert kell tartalmazniuk; nem egyezhetnek meg a korábbi jelszavakkal, a felhasználó bejelentkezési adatával vagy nevével; meg kell változtatni őket, ha felmerült annak gyanúja, vagy feltételezik, hogy a fiók belépési adatai nincsenek biztonságban. A jelszavakat rendszeresen, legalább 90 naponként cserélni kell.
- Beszállító fenntartja és alkalmazza a „fiókból való kizárást“ a Logitech-információkhoz hozzáféréssel rendelkező fiókok letiltásával, ha egy fiók esetében több mint 10 egymást követő alkalommal helytelen jelszó kerül megadásra.
- A Logitech kifejezett írásbeli engedélyének kivételével a Beszállító mindenkor elkülöníti a Logitech-információkat a saját és bármely harmadik fél adataitól (beleértve a tárolást, feldolgozást vagy továbbítást is).
- Ha a Logitech írásban a fizikai hozzáférés további szabályozását kéri, a Beszállító bevezeti és használja ezeket a biztonságos, a fizikai hozzáférést szabályozó és ellenőrző intézkedéseket.
- Beszállító évente, vagy a Logitech kérésére ennél gyakrabban a Logitech rendelkezésére bocsátja (1) a Logitech fiókjainak vagy a Beszállítónak a Logitech nevében történő használatra átadott hitelesítő adatoknak (pl. közösségi média fiókok belépési adatai) a teljes (engedélyezett és nem engedélyezett) használatára vonatkozó naplózott adatokat, valamint (2) részletes naplóadatokat azokról az esetekről, amikor valaki a Logitech vagy a Beszállító Logitech-információkhoz hozzáférő munkatársának adta ki magát, vagy kísérletet tett erre.
- Beszállító rendszeresen felülvizsgálja a hozzáférési naplókat rosszindulatú viselkedésre vagy jogosulatlan hozzáférésre utaló jelek szempontjából.
- Beszállítói szabályzat Beszállító az alkalmazottai, alvállalkozói, megbízottjai és beszállítói számára olyan információ- és hálózati biztonsági szabályzatot tart fenn és érvényesít, amely megfelel a jelen szabályzatban meghatározott előírásoknak, beleértve a szabályzat megsértésének felderítésére és naplózására szolgáló módszereket is. A Logitech kérésére a Beszállító tájékoztatja a Logitechet a Beszállítói információ- és hálózatbiztonsági szabályzat megsértéséről, még akkor is, ha az nem minősül Biztonsági incidensnek.
- Alvállalkozói szerződés Beszállító a Logitech előzetes írásbeli hozzájárulása nélkül nem adhatja ki alvállalkozónak, és nem ruházhatja át a jelen Biztonsági szabályzat szerinti kötelezettségeit. Bármely alvállalkozói szerződés vagy megbízás megléte vagy feltételei ellenére a Beszállító továbbra is felelős a jelen Biztonsági szabályzat szerinti kötelezettségeinek maradéktalan teljesítéséért. A jelen Biztonsági szabályzat feltételei és kikötései kötelező érvényűek a Beszállító alvállalkozóira és személyzetére is. Beszállító (a) biztosítja, hogy az alvállalkozói és azok személyzete megfeleljenek a jelen Biztonsági szabályzatban foglaltaknak, és (b) felelős az alvállalkozói és személyzetük minden cselekedetéért, mulasztásáért, gondatlanságáért és kötelességszegéséért, beleértve (adott esetben) bármely törvény, szabály vagy rendelet megsértését is.
- Távoli hozzáférés Beszállító biztosítja, hogy a védett vállalati vagy termelési környezeten kívülről a Logitech-információkat tartalmazó rendszerekhez vagy a Beszállító vállalati vagy fejlesztési munkaállomás-hálózataihoz való hozzáféréshez többfaktoros hitelesítésre szükséges (pl. legalább két külön tényező kell a felhasználók azonosításához).
- A Beszállító személyzete A Logitech a Beszállító személyzete általi, a Logitech-információkhoz való hozzáférést a Logitech által meghatározott formátumú egyéni titoktartási megállapodások aláírásához és a Logitech részére történő átadásához kötheti. Ha a Logitech úgy kívánja, kérheti egyéni titoktartási megállapodás aláírását a Beszállító személyzetétől. Beszállító gondoskodik a Logitech-információkhoz hozzáférést kapó Beszállítói személyzet aláírásával ellátott titoktartási megállapodások begyűjtéséről és átadásáról a Logitech részére (mielőtt hozzáférést biztosítana vagy információt adna át a Beszállító személyzetének). Beszállító továbbá (a) kérésre, a megállapodás szerinti időintervallumon belül a Logitech rendelkezésére bocsátja azon munkatársainak listáját, akik a Logitech-információkhoz hozzáfértek vagy azokat megkapták és (b) legkésőbb 24 órán belül értesíti a Logitechet, miután a Logitech információihoz való hozzáférésre a jelen szakasznak megfelelően jogosult, a Beszállítónál dolgozó bármely személy (y) már nem igényel hozzáférést a Logitech-információkhoz, vagy (z) már nem minősül a Beszállítónál dolgozó személynek (pl. megszűnik a munkaviszonya a Beszállítóval).
2.2. Hozzáférés a Logitech Extranethez és a Beszállítói portálokhoz A Logitech az Engedélyezett cél érdekében hozzáférést biztosíthat a Beszállítónak a Logitech-információkhoz. Ez történhet webportálokon vagy egyéb, nem nyilvános webhelyeken, illetve extranet szolgáltatáson keresztül, a Logitech vagy harmadik fél webhelyén vagy rendszerén (mindegyik egy „Extranet“). Ha a Logitech engedélyezi a Beszállítónak a Logitech-információkhoz való hozzáférést Extraneten keresztül, a Beszállítónak az alábbi követelményeknek kell megfelelnie:
- Engedélyezett cél Beszállító és annak személyzete kizárólag az Engedélyezett célból férhet hozzá az Extranethez, és férhet hozzá, gyűjthet, használhat, tekinthet meg, kérhet le, tölthet le vagy tárolhat az Extranetről származó Logitech-információkat.
- Fiókok Beszállító biztosítja, hogy a munkatársai csak a Logitech által az egyes személyek számára kijelölt Extranet-fiók(ok)at használják, és megköveteli tőlük, hogy hozzáférési azonosítóikat bizalmasan kezeljék.
- Rendszerek Beszállító kizárólag az általa kezelt operációs rendszereket futtató, és a következőket tartalmazó számítógépes vagy feldolgozó rendszereken vagy alkalmazásokon keresztül éri el az Extranetet: (i) rendszerhálózati tűzfalak a 2.1. szakasz (A) pontjának (Tűzfal) megfelelően; (ii) központosított javításkezelés a 2.1. szakasz (B) pontjának (Frissítések) megfelelően; (iii) az operációs rendszernek és a 2.1. szakasz (C) pontjának (Kártevők elleni védelem) megfelelő kártevőirtó szoftver; és (iv) hordozható eszközök esetében teljes lemeztitkosítás.
- Korlátozások A Logitech előzetes írásbeli jóváhagyásának hiányában a Beszállító nem tölthet le, másolhat vagy tárolhat tartósan semmilyen Extranetről származó Logitech-információt semmilyen adathordozón, beleértve bármilyen gépet, eszközt vagy szervert.
- Fiók megszüntetése Beszállító megszünteti a felhasználói fiókot, és legkésőbb 24 óra elteltével értesíti a Logitechet minden olyan esetben, ha személyzetének tagja, aki Extranet-hozzáférési jogosultsággal rendelkezett, (a) már nem igényel hozzáférést a Logitech információihoz (b) már nem minősül a Beszállító alkalmazottjának (pl. megszűnik a munkaviszonya), vagy (c) legalább 30 napig nem fér hozzá a Logitech-információkhoz.
- Harmadik fél rendszerei
- Beszállító előzetesen értesíti a Logitechet, és megszerzi a Logitech előzetes írásbeli jóváhagyását, mielőtt olyan harmadik fél rendszerét használná, amely a Logitech adatait tárolja vagy más módon hozzáférhet azokhoz, kivéve, ha (a) az adatokat a jelen Biztonsági szabályzatnak megfelelően titkosítják, és (b) a harmadik fél rendszere nem fér hozzá a visszafejtő kulcshoz vagy az adatok nem titkosított, „egyszerű szöveges“ változatához. A Logitech fenntartja a jogot, hogy jóváhagyás előtt a harmadik fél rendszerének Logitech biztonsági felülvizsgálatát kérje (az alábbi 2.5 szakasznak megfelelően).
- Ha a Beszállító olyan harmadik fél rendszereit használja, amelyek titkosítatlan Logitech-információkat tárolnak, vagy más módon hozzáférhetnek azokhoz, a Beszállítónak el kell végeznie a harmadik fél rendszereinek és biztonsági kontrolljainak felülvizsgálatát, és a Logitech által kért formátumban (pl. SAS 70, SSAE 16 vagy az azt követő jelentés) vagy más, a Logitech által jóváhagyott, elismert iparági szabvány szerinti jelentés formájában rendszeresen be kell számolnia a Logitechnek a harmadik fél rendszerének biztonsági ellenőrzéseiről.
2.3. Adatmegőrzés és megsemmisítés
- Adatmegőrzés Beszállító a Logitech-információt csak az Engedélyezett cél érdekében és csak az ahhoz szükséges ideig őrzi meg.
- Visszaszolgáltatás vagy törlés Beszállító haladéktalanul (de legfeljebb a Logitech kérésétől számított 10 napon belül) visszaszolgáltatja a Logitechnek, illetve véglegesen és biztonságosan törli az összes Logitech-információt a Logitech visszaszolgáltatást és/vagy törlést előíró értesítésének megfelelően. Továbbá a Beszállító az Engedélyezett cél befejezését, illetve a Szerződés megszűnését vagy lejártát követő 90 napon belül véglegesen és biztonságosan törli a Logitech-információk minden élő (online vagy hálózaton elérhető) példányát, kivéve, ha a megőrzésre jogszabály kötelezi. A Logitech kérésére a Beszállító írásban igazolja, hogy az összes Logitech-információt megsemmisítette.
- Archív példányok Ha a Beszállítót törvény kötelezi a Logitech-információk archivált másolatainak megőrzésére adóügyi vagy hasonló szabályozási célokból, akkor ezeket az archivált Logitech-információkat a következő módok egyikét használva kell tárolni: „hideg“ vagy offline (vagyis azonnali vagy interaktív használatra nem alkalmas) biztonsági másolatként egy biztonságos létesítményben; vagy úgy titkosítva, hogy a titkosított fájl(ok)nak helyet adó vagy tároló rendszer nem férhet hozzá a titkosításhoz használt kulcs(ok) másolatához.
- Helyreállítás Ha a Beszállító katasztrófa utáni helyreállítás céljából „helyreállítást“ végez (azaz visszatér egy biztonsági másolathoz), a Beszállítónak rendelkeznie kell egy olyan eljárással, amely biztosítja, hogy a Szerződés vagy a jelen Biztonsági szabályzat értelmében törlendő összes Logitech-információt ismét törlik a helyreállított adatok közül, vagy felülírják azokat a helyreállítást követő 24 órán belül, a 2.3 szakasznak megfelelően. Ha a Beszállító bármilyen célból helyreállítást végez, a Logitech előzetes írásbeli jóváhagyása nélkül semmilyen harmadik fél rendszerébe vagy hálózatába nem állítható vissza Logitech-információ. A Logitech fenntartja magának a jogot, hogy (az alábbi 2.5 szakasznak megfelelően) a harmadik fél rendszerének vagy hálózatának Logitech biztonsági felülvizsgálatát kérje, mielőtt engedélyezné a Logitech-információk bármely harmadik fél rendszerébe vagy hálózatába történő visszaállítását.
- Törlési normák Beszállítónak minden Logitech-információ törlését a Nemzeti Szabványügyi és Technológiai Intézet (NIST) 2014. december 18-án megjelent, 800-88 számú (1. rev.) szakmai kiadványa, „Az adathordozók fertőtlenítésének irányelvei“ (elérhető itt: https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization), vagy a Logitech által a Logitech-információ besorolása és érzékenysége alapján megkövetelt egyéb szabványok szerint kell végeznie.
2.4. Végleges törlés/megsemmisítés Mielőtt bármilyen módon ártalmatlanítana bármilyen hardvert, szoftvert vagy egyéb olyan adathordozót, amely Logitech-információt tartalmaz vagy tartalmazott, Beszállítónak végleges törlést kell végeznie a hardveren, szoftveren vagy egyéb adathordozón, hogy a Logitech-információit semmilyen formában ne lehessen visszaállítani vagy kinyerni. Beszállító a Logitech-információk besorolása és érzékenysége alapján végzi el a végleges megsemmisítést, a Logitech által megkövetelt szabványoknak megfelelően. A Logitech kérésére a Beszállítónak igazolást kell adnia a megsemmisítésről.
- A Beszállító nem adja el, nem értékesíti tovább, nem adományozza el, nem újítja fel és nem ruházza át más módon (beleértve az ilyen hardver, szoftver vagy egyéb adathordozó eladását vagy átruházását, a Beszállító vállalkozásának felszámolásával kapcsolatos elidegenítést vagy bármely más rendelkezést) a Logitech-információt tartalmazó hardvert, szoftvert vagy egyéb adathordozót, amelyen a Beszállító nem végezte el a végleges törlést.
2.5. Biztonsági felülvizsgálat
- Kockázatértékelési kérdőív A Logitech minden beszállítótól megköveteli a Beszállítói kockázatértékelés elvégzését, amelyet a Logitech kockázatértékelési kérdőívére adott frissített válaszok megadásával kell kezdeményezni, legalább évente, de a beszállító értékelése alapján gyakrabban is szükség lehet erre.
- Tanúsítványok A Logitech írásbeli kérésére a Beszállító írásban tanúsítja a Logitech számára, hogy megfelel a jelen Szerződésben foglaltaknak.
- Egyéb felülvizsgálatok A Logitech fenntartja magának a jogot, hogy rendszeresen felülvizsgálja azon rendszerek biztonságát, amelyeket a Beszállító a Logitech-információk feldolgozására használ. Beszállító a tőle elvárható módon együttműködik, és észszerű határidőn belül, de legfeljebb a Logitech kérésétől számított 20 naptári napon belül a Logitech rendelkezésére bocsátja az összes kért információt.
- Javító intézkedések Ha a biztonsági felülvizsgálat hiányosságokat állapít meg, a Beszállító saját költségén megtesz minden szükséges intézkedést, hogy a hiányosságokat a megállapodás szerinti határidőn belül orvosolja.
2.6. Biztonsági incidens
- A Beszállító indokolatlan késedelem nélkül (legfeljebb 24 órán belül) tájékoztatja a Logitechet a soc@logitech.com címen a hatályos törvény(ek)ben meghatározott olyan Biztonsági incidensekről, (i) amelyek Logitech-információt érintenek, vagy (ii) amelyeket a Beszállító a Logitech-információk védelméhez hasonló ellenőrzésekkel kezel (ezek mindegyike „Biztonsági incidens“). Beszállító minden egyes Biztonsági incidenst időben orvosol, és írásban részletesen tájékoztatja a Logitechet az egyes Biztonsági incidensekkel kapcsolatban lefolytatott belső vizsgálatról. Beszállító elfogadja, hogy a Logitech nevében nem értesít egyetlen szabályozó hatóságot vagy ügyfelet sem, kivéve, ha a Logitech kifejezetten erre kéri írásban. A Logitech fenntartja a jogot, hogy bármely értesítés formáját és tartalmát felülvizsgálja és jóváhagyja, mielőtt azt bármely félnek átadnák. Beszállító a tőle elvárható módon együttműködik a Logitechhel egy, az igazolt Biztonsági incidensek javítására vonatkozó terv kidolgozásában és végrehajtásában.
- Beszállító indokolatlan késedelem nélkül (legfeljebb 24 órán belül) tájékoztatja a Logitechet, ha a Beszállítótól Logitech-információk átadását kérik jogi eljárással összefüggésben vagy hatályos jogszabály alapján.