Ketentuan Keamanan Informasi Vendor Logitech
Rasakan Fragmen Ketentuan Keamanan Informasi Vendor Logitech Europe S.A. dan semua anak perusahaan dan afiliasinya (bersama-sama disebut dengan “Logitech”) mewajibkan semua vendornya, penyedia layanan dan partner bisnis lainnya (“Anda” atau “Vendor”) untuk memiliki program keamanan informasi tertulis yang komprehensif (“Program Keamanan Informasi”) yang mencakup langkah-langkah teknis, fisik, dan organisasi untuk memastikan kerahasiaan, keamanan, integritas, dan ketersediaan informasi yang disediakan oleh Logitech, afiliasi Logitech, dan karyawan, perwakilan, kontraktor, pelanggan, dan Vendornya (bersama-sama disebut dengan “Data milik Logitech”) dan untuk melindunginya dari akses, penggunaan, pengungkapan, perubahan, atau penghancuran Data milik Logitech oleh pihak yang tidak berwenang. Program Keamanan Informasi ini dilampirkan pada, dan digabungkan dengan referensi pada, perjanjian layanan (“Perjanjian”) oleh dan antara entitas Logitech yang disebutkan di dalamnya dengan Anda. Khususnya, Program Keamanan Informasi akan mencakup, tetapi tidak terbatas pada, langkah-langkah berikut yang pantas atau diperlukan untuk memastikan perlindungan atas Data milik Logitech:
- Kontrol Akses – Kebijakan, prosedur, serta kontrol fisik dan teknis:
- untuk membatasi akses fisik ke sistem informasi Anda dan fasilitas atau gedung tempat sistem itu berada kepada orang yang berwenang saja;
- untuk memastikan semua karyawan Anda yang memerlukan akses ke Data milik Logitech telah memiliki akses yang terkontrol dengan baik dan mencegah karyawan dan orang lainnya yang seharusnya tidak memiliki akses dari mendapatkan akses tersebut;
- untuk mengautentikasi dan mengizinkan akses hanya kepada pihak yang berwenang dan mencegah karyawan Anda dari memberikan Data milik Logitech atau informasi terkait dengannya kepada pihak tidak berwenang; dan
- untuk mengenkripsi dan mendekripsi Data milik Logitech jika diperlukan.
- Pelatihan dan Kesadaran tentang Keamanan – Program pelatihan dan kesadaran tentang keamanan untuk semua karyawan Anda (termasuk manajemen) secara rutin, yang mencakup pelatihan cara mengimplementasikan dan mematuhi Program Keamanan Informasi Anda.
- Prosedur Insiden Keamanan – Kebijakan dan prosedur untuk mendeteksi, menanggapi, dan mengatasi insiden keamanan, termasuk prosedur untuk memantau sistem serta mendeteksi usaha dan serangan atau gangguan yang terjadi pada Data milik Logitech atau sistem informasi terkait, dan prosedur untuk mengidentifikasi dan menanggapi dugaan atau insiden keamanan yang diketahui, memitigasi dampak merugikan dari insiden keamanan, serta mendokumentasi insiden keamanan dan hasilnya. Jika Anda mengetahui situasi yang dapat memicu kewajiban kedua belah Pihak dalam Undang-Undang Pelanggaran Keamanan, Anda harus segera menyampaikan pemberitahuan tertulis kepada Logitech via soc@logitech.com dan bekerja sama sepenuhnya dengan Logitech agar memungkinkan Logitech melaksanakan kewajibannya dalam Undang-Undang Pelanggaran Keamanan.
- Perencanaan Kontingensi – Kebijakan dan prosedur untuk menanggapi kejadian darurat atau kejadian lainya (misalnya kebakaran, vandalisme, kegagalan sistem, dan bencana alam) yang merusak Data milik Logitech atau sistem yang berisi Data milik Logitech, termasuk rencana cadangan data dan rencana pemulihan bencana, dan segera menyampaikan pemberitahuan tertulis kepada Logitech via soc@logitech.com.
- Perangkat dan Kontrol Media – Kebijakan dan prosedur keluar dan masuknya hardware dan media elektronik yang berisi Data milik Logitech dari fasilitas Anda, dan pergerakan item ini di dalam fasilitas Anda, termasuk kebijakan dan prosedur untuk menangani pembuangan akhir Data milik Logitech, dan/atau hardware atau media elektronik yang menyimpan data tersebut, dan prosedur untuk membuang Data milik Logitech dari media elektronik sebelum media itu digunakan kembali. Anda akan memastikan tidak ada Data milik Logitech yang di-download atau disimpan di laptop atau perangkat portabel lainnya kecuali perangkat itu tunduk pada semua perlindungan yang diwajibkan di sini. Langkah perlindungan seperti itu akan mencakup, tetapi tidak terbatas pada, semua perangkat yang mengakses Data milik Logitech harus dienkripsi dan menggunakan software pencegahan deteksi anti-malware terbaru.
- Kontrol audit – Hardware, software, layanan, platform dan/atau mekanisme prosedural yang mencatat dan memeriksa aktivitas dalam sistem informasi yang berisi atau menggunakan informasi elektronik, termasuk catatan dan laporan yang sesuai terkait ketentuan keamanan ini dan kepatuhannya.
- Kebijakan dan Prosedur – Kebijakan dan prosedur untuk memastikan kerahasiaan, integritas, dan ketersediaan Data milik Logitech dan melindunginya dari pengungkapan, penggunaan, perubahan, atau kehancuran yang tidak disengaja, tidak berwenang, atau tidak tepat.
- Keamanan Transmisi dan Penyimpanan – Langkah keamanan teknis untuk menjaga Data milik Logitech yang sedang dikirimkan melalui jaringan komunikasi elektronik dari akses tidak berwenang, termasuk mekanisme untuk mengenkripsi Data milik Logitech dalam bentuk elektronik saat dalam transit dan tempat penyimpanan di jaringan atau sistem yang mungkin bisa diakses oleh pihak tidak berwenang.
- Tanggung Jawab Keamanan yang Ditugaskan – Anda akan menugaskan seorang pejabat keamanan yang bertanggung-jawab untuk pengembangan, implementasi, dan pemeliharaan Program Keamanan Informasi Anda.
- Media Penyimpanan Fisik – Kebijakan dan prosedur untuk memastikan bahwa sebelum media penyimpanan yang berisi Data milik Logitech ditugaskan, dialokasikan, atau dialokasikan ulang ke pengguna lainnya, atau sebelum media penyimpanan seperti itu dihapus secara permanen dari sebuah fasilitas, Anda akan menghapus Data milik Logitech tersebut dari perspektif fisik maupun logis sesuai dengan Bagian n 2.3 (e.), sehingga media tersebut tidak lagi berisi data sisa atau, jika diperlukan, menghancurkan media penyimpanan itu secara fisik. Anda harus memiliki program yang dapat diaudit yang akan mengimplementasikan ketentuan pembuangan dan penghancuran yang ditetapkan di Bagian ini untuk semua media penyimpanan yang berisi Data milik Logitech.
- Pengujian – Anda akan rutin menguji kontrol, sistem, dan prosedur utama dari Program Keamanan Informasi Anda untuk memastikan semuanya sudah diimplementasikan dengan benar dan efektif dalam menangani ancaman dan risiko yang telah diidentifikasi. Pengujian harus dilakukan atau ditinjau oleh pihak ketiga independen atau staf yang tidak memiliki hubungan dengan pihak yang mengembangkan atau melaksanakan program keamanan.
- Menjaga Program agar Tetap Terkini – Anda akan memantau, mengevaluasi, dan, jika diperlukan, menyesuaikan Program Keamanan Informasi jika terjadi perubahan yang relevan dalam standar keamanan teknologi atau industri, sensitivitas Data milik Logitech, ancaman internal atau eksternal terhadap Anda atau Data milik Logitech, dan perubahan dalam bisnis Anda, seperti merger dan akuisisi, aliansi dan joint venture, pengaturan alihdaya, dan perubahan pada sistem informasi.
Lebih spesifik lagi, Program Keamanan Informasi Vendor harus memenuhi atau melampaui ketentuan berikut ini:
1. CAKUPAN; DEFINISI
1.1. Kebijakan Keamanan. Vendor akan mematuhi semua ketentuan keamanan informasi Logitech yang ditetapkan dalam Ketentuan Keamanan Informasi Logitech untuk Vendor berikut ini (“Kebijakan Keamanan”). Kebijakan Keamanan diterapkan pada pelaksanaan Vendor atas perjanjian apa pun antara Vendor dan Logitech (“Perjanjian”) dan semua akses, pengumpulan, penggunaan, penyimpanan, transmisi, pengungkapan, penghancuran atau penghapusan, dan insiden keamanan mengenai informasi milik Logitech (sebagaimana didefinisikan di bawah). Kebijakan Keamanan ini tidak membatasi kewajiban Vendor yang lainnya, termasuk dalam Perjanjian atau sehubungan dengan undang-undang apa pun yang berlaku pada Vendor, pelaksanaan Perjanjian oleh Vendor, Informasi milik Logitech atau Tujuan yang Diperbolehkan (sebagaimana didefinisikan di bawah). Jika Kebijakan Keamanan ini bertentangan dengan Perjanjian, Vendor akan segera memberi tahu Logitech tentang konflik ini dan akan mematuhi ketentuan yang lebih membatasi dan lebih melindungi Informasi milik Logitech (yang mungkin ditetapkan oleh Logitech).
1.2. Definisi.
- “Afiliasi” berarti, terkait dengan orang tertentu, entitas yang secara langsung atau tidak langsung mengontrol, dikontrol oleh, atau memiliki kontrol bersama dengan orang tersebut.
- “Gabungan” berarti mengombinasikan atau menyimpan Informasi milik Logitech bersama data atau informasi milik Vendor atau pihak ketiga mana pun.
- “Menganonimkan” berarti menggunakan, mengumpulkan, menyimpan, mengirimkan, atau mengubah data atau informasi apa pun (termasuk Informasi milik Logitech) dalam cara atau bentuk yang tidak mengidentifikasi, memungkinkan identifikasi, dan tidak dapat dihubungkan ke pengguna, alat pengidentifikasi perangkat, sumber, produk, layanan, konteks, merek mana pun, atau Logitech atau Afiliasinya.
- “Informasi milik Logitech” berarti, secara individual dan kolektif: (a) semua Informasi Rahasia milik Logitech (sebagaimana didefinisikan di Perjanjian atau di perjanjian kerahasiaan antara semua pihak); (b) semua data, catatan, file, konten, atau informal lainnya, dalam bentuk atau format apa pun, yang diperoleh, diakses, dikumpulkan, diterima, atau disimpan oleh Vendor atau Afiliasinya dari atau atas nama Logitech atau Afiliasinya, atau yang berhubungan dengan Perjanjian, layanan yang disediakan dalam Perjanjian, atau pelaksanaan para pihak atau melaksanakan hak dalam atau sehubungan dengan Perjanjian; dan (c) diambil dari (a) atau (b), bahkan jika Dianonimkan.
1.3. Tujuan yang Diperbolehkan
Kecuali jika diizinkan secara tegas dalam Perjanjian, Vendor hanya dapat mengakses, mengumpulkan, menggunakan, menyimpan, dan mengirimkan Informasi milik Logitech yang diizinkan secara tegas dalam Perjanjian dan hanya untuk tujuan menyediakan layanan dalam Perjanjian, sesuai dengan lisensi (jika ada) yang diberikan dalam Perjanjian (“Tujuan yang Diperbolehkan”). Kecuali jika diizinkan secara tegas dalam Perjanjian, Vendor tidak boleh mengakses, mengumpulkan, menggunakan, menyimpan, atau mengirimkan Informasi milik Logitech apa pun dan tidak akan Menggabungkan Informasi milik Logitech, bahkan jika Dianonimkan. Kecuali dengan persetujuan tertulis sebelumnya dari Logitech, Vendor tidak akan (A) memindahkan, menyewa, menukar, menjual, meminjamkan, menyewakan, atau mendistribusikan atau menyediakan Informasi milik Logitech apa pun kepada pihak ketiga mana pun atau (B) Menggabungkan Informasi milik Logitech dengan informasi atau data lainnya, bahkan jika Dianonimkan.
2. KEBIJAKAN KEAMANAN
2.1. Ketentuan Dasar Keamanan. Vendor akan, sesuai dengan standar industri terbaik saat ini dan ketentuan lainnya yang disebutkan oleh Logitech berdasarkan klasifikasi dan sensitivitas Informasi milik Logitech, menjaga keamanan fisik, administratif, dan teknis serta melakukan langkah keamanan lainnya (A) untuk menjaga keamanan dan kerahasiaan Informasi milik Logitech yang telah diakses, dikumpulkan, digunakan, disimpan, atau dikirimkan oleh Vendor, dan (B) untuk melindungi informasi tersebut dari ancaman atau bahaya yang diketahui atau diantisipasi secara wajar terhadap keamanan dan integritasnya, kehilangan yang tidak disengaja, perubahan, pengungkapan, dan semua bentuk pemrosesan yang melanggar hukum lainnya. Tanpa pembatasan, Vendor akan mematuhi semua ketentuan berikut:
- Firewall. Vendor akan menginstal dan mengaktifkan firewall jaringan untuk melindungi data yang bisa diakses via Internet dan akan selalu melindungi semua Informasi milik Logitech dengan firewall.
- Pembaruan. Vendor akan terus memperbarui sistem dan software-nya dengan peningkatan, pembaruan, dan perbaikan bug terbaru, serta versi baru dan modifikasi lainnya yang diperlukan untuk memastikan keamanan Informasi milik Logitech.
- Anti-malware. Vendor akan selalu menggunakan dan memperbarui software anti-malware. Vendor akan memitigasi ancaman dari semua virus, spyware, dan kode berbahaya lainnya yang telah atau seharusnya bisa terdeteksi.
- Enkripsi. Vendor akan mengenkripsi data yang tersimpan dan data yang dikirimkan melalui jaringan terbuka sesuai dengan praktik terbaik industri.
- Pengujian. Vendor akan menguji sistem dan proses keamanannya secara rutin untuk memastikan telah memenuhi ketentuan di Kebijakan Keamanan ini.
- Kontrol Akses Cepat. Vendor akan menjaga Informasi milik Logitech, termasuk dengan mematuhi ketentuan berikut:
- Vendor akan menetapkan ID unik pada setiap orang yang memiliki akses komputer atas Informasi milik Logitech.
- Vendor akan membatasi akses atas Informasi milik Logitech hanya kepada orang-orang yang berkepentingan untuk Tujuan yang Diperbolehkan.
- Vendor secara rutin akan meninjau daftar orang dan layanan yang memiliki akses atas Informasi milik Logitech dan menghapus akun (atau memberi tahu Logitech untuk menghapus akun) yang tidak memerlukan akses lagi. Peninjauan ini harus dilakukan setidaknya setiap 90 hari.
- Vendor tidak akan menggunakan kata sandi default yang diberikan pabrik untuk kata sandi sistem dan parameter keamanan lainnya atas sistem operasi, software, atau sistem lainnya. Vendor akan mewajibkan dan memastikan penggunakan “kata sandi kuat” yang dipaksakan sistem sesuai dengan praktik terbaik (dijelaskan di bawah) pada semua sistem yang menyelenggarakan, menyimpan, memproses, atau memiliki atau mengontrol akses atas Informasi milik Logitech dan akan mewajibkan semua kata sandi dan kredensial akses untuk dirahasiakan dan tidak dibagi di antara para personelnya. Kata sandi harus memenuhi kriteria berikut: terdiri dari setidaknya 12 karakter; tidak sama dengan kata sandi sebelumnya, login pengguna, atau nama yang umum; harus diganti setiap kali akun telah atau diduga akan dibobol; dan rutin diganti tidak lebih dari 90 hari.
- Vendor akan melakukan “penguncian akun” dengan menonaktifkan akun yang memiliki akses ke Informasi milik Logitech ketika kesalahan memasukkan kata sandi telah melampaui 10 kali berturut-turut.
- Kecuali diizinkan secara tegas dan tertulis oleh Logitech, Vendor akan selalu memisahkan Informasi milik Logitech (termasuk dalam penyimpanan, pemrosesan, atau pengiriman), dari informasi milik Vendor dan pihak ketiga mana pun.
- Jika kontrol akses fisik tambahan diminta secara tertulis oleh Logitech, Vendor akan mengimplementasikan dan menggunakan tindakan kontrol akses fisik yang aman tersebut.
- Vendor akan menyediakan item berikut pada Logitech setiap tahunnya atau bisa lebih sering sesuai permintaan dari Logitech, (1) data catatan berisi semua penggunaan (baik yang berwenang atau tidak berwenang) akun atau kredensial Logitech yang disediakan untuk digunakan Vendor atas nama Logitech (mis., kredensial akun media sosial), dan (2) data catatan terperinci tentang peniruan atau usaha untuk meniru personel Logitech atau Vendor yang memiliki akses ke Informasi milik Logitech.
- Vendor secara rutin akan meninjau catatan akses untuk mencari tanda-tanda perilaku jahat atau akses tidak berwenang.
- Kebijakan Vendor. Vendor harus memiliki dan memberlakukan kebijakan keamanan informasi dan jaringan untuk karyawan, subkontraktor, agen, dan Vendor yang memenuhi standar yang ditetapkan di kebijakan ini, termasuk metode untuk mendeteksi dan mencatat pelanggaran kebijakan. Atas permintaan dari Logitech, Vendor akan menyediakan informasi tentang pelanggaran atas kebijakan keamanan informasi dan jaringan Vendor kepada Logitech, bahkan jika tidak menyebabkan Insiden Keamanan.
- Subkontrak. Vendor tidak akan mensubkontrakkan atau mendelegasikan semua kewajibannya dalam Kebijakan Keamanan ini kepada subkontraktor mana pun tanpa persetujuan tertulis sebelumnya dari Logitech. Terlepas dari keberadaan atau ketentuan subkontrak atau pendelegasian apa pun, Vendor akan tetap bertanggung jawab atas pelaksanaan semua kewajibannya berdasarkan Kebijakan Keamanan ini. Syarat dan ketentuan Kebijakan Keamanan ini akan mengikat subkontraktor dan personel Vendor. Vendor (a) akan memastikan subkontraktor dan personel Vendor mematuhi Kebijakan Keamanan ini, dan (b) akan bertanggung jawab atas semua tindakan, penghilangan, kelalaian, dan kesalahan subkontraktor dan personelnya, termasuk (sebagaimana berlaku) pelanggaran atas undang-undang, peraturan, atau regulasi.
- Akses Jarak Jauh. Vendor akan memastikan setiap akses, dari luar lingkungan perusahaan atau produksi yang dilindungi, ke sistem yang berisi Informasi milik Logitech atau jaringan tempat kerja pengembangan atau korporat Vendor mensyaratkan autentikasi multi-faktor (mis., mensyaratkan setidaknya dua faktor terpisah untuk mengidentifikasi pengguna).
- Personel Vendor. Logitech dapat mempersyaratkan bahwa sebelum mengakses informasi milik Logitech, personel Vendor harus menandatangani dan mengirimkan perjanjian kerahasiaan kepada Logitech yang bentuknya ditentukan oleh Logitech Jika diwajibkan oleh Logitech, Logitech meminta personel Vendor untuk menandatangani perjanjian kerahasiaan individu. Vendor akan mendapatkan dan mengirimkan perjanjian kerahasiaan individu yang telah ditandatangani kepada Logitech dari personel Vendor yang akan memiliki akses ke Informasi milik Logitech (sebelum memberikan akses atau menyediakan informasi tersebut kepada personel Vendor). Vendor juga akan (a) menyediakan daftar personel Vendor yang telah mengakses atau menerima Informasi milik Logitech kepada Logitech saat diminta dalam kerangka waktu yang telah disepakati, dan (b) memberi tahu Logitech tidak kurang dari 24 jam setelah personel Vendor tertentu mendapatkan wewenang untuk mengakses Informasi milik Logitech sesuai dengan Bagian ini: (y) tidak lagi memerlukan akses ke Informasi milik Logitech atau (z) tidak lagi memenuhi syarat sebagai personel Vendor (mis., personel tidak lagi bekerja untuk Vendor).
2.2. Akses ke Extranet Logitech dan Portal Vendor.. Logitech dapat memberikan akses ke Informasi milik Logitech kepada Vendor via portal web atau situs web non-publik lainnya atau layanan extranet di sistem atau situs web Logitech atau pihak ketiga (masing-masing disebut dengan “Extranet ”) untuk Tujuan yang Diperbolehkan. Jika Logitech mengizinkan Vendor untuk mengakses Informasi milik Logitech dengan menggunakan Extranet, maka Vendor harus mematuhi ketentuan berikut:
- Tujuan yang Diperbolehkan. Vendor dan personelnya akan mengakses Extranet lalu mengakses, mengumpulkan, menggunakan, melihat, mengambil, men-download, atau menyimpan Informasi milik Logitech dari Extranet hanya semata-mata untuk Tujuan yang Diperbolehkan.
- Akun. Vendor akan memastikan bahwa personelnya hanya akan menggunakan akun Extranet yang diberikan kepada setiap orang oleh Logitech dan akan mewajibkan personelnya untuk merahasiakan kedensial aksesnya.
- Sistem. Vendor hanya akan mengakses Extranet melalui aplikasi atau sistem komputasi atau pemrosesan yang menjalankan sistem operasi yang dikelola oleh Vendor dan hal itu mencakup: (i) firewall jaringan sistem sesuai dengan Bagian 2.1(A) (Firewall); (ii) manajemen patch terpusat yang mematuhi Bagian 2.1(B) (Pembaruan); (iii) software anti-malware yang sesuai dengan sistem operasi yang sesuai dengan Bagian 2.1(C) (Anti-malware); dan (iv) enkripsi disk lengkap untuk perangkat portabel.
- Pembatasan. Kecuali jika telah disetujui sebelumnya secara tertulis oleh Logitech, Vendor tidak akan men-download, meniru, atau secara permanen menyimpan Informasi milik Logitech dari Extranet mana pun di medium apa pun, termasuk di mesin, perangkat, atau server apa pun.
- Penghapusan Akun. Vendor akan menghapus akun setiap personel Vendor dan memberi tahu Logitech tidak kurang dari 24 jam setelah personel Vendor terkait yang memiliki otorisasi untuk mengakses Extranet (a) tidak lagi memerlukan akses atas Informasi milik Logitech, (b) tidak lagi memenuhi syarat sebagai personel Vendor (mis., personel tidak lagi bekerja di Vendor), atau (c) tidak mengakses Informasi milik Logitech selama sekurang-kurangnya 30 hari.
- Sistem Pihak Ketiga.
- Vendor akan memberi tahu Logitech sebelumnya dan mendapatkan persetujuan tertulis dari Logitech sebelum menggunakan sistem pihak ketiga apa pun yang menyimpan atau memiliki akses pada Informasi milik Logitech, kecuali (a) data sudah di-enkrispi sesuai dengan Kebijakan Keamanan ini, dan (b) sistem pihak ketiga tidak akan memiliki akses pada kunci dekripsi atau versi data “plain text” yang tidak di-enkripsi. Logitech berhak untuk melakukan tinjauan keamanan Logitech (sesuai dengan Bagian 2.5 di bawah) atas sistem pihak ketiga sebelum memberikan persetujuannya.
- Jika Vendor menggunakan sistem pihak ketiga yang menyimpan atau dapat mengakses Informasi milik Logitech yang tidak di-enkripsi, maka Vendor harus melakukan tinjauan keamanan atas sistem pihak ketiga dan kontrol keamanannya seta memberikan laporan berkala kepada Logitech berisi kontrol keamanan sistem pihak ketiga dalam format yang diminta oleh Logitech (mis., SAS 70, SSAE 16 atau laporan penerusnya), atau laporan standar industri lainnya yang diakui dan telah disetujui Logitech.
2.3. Penyimpanan dan Penghancuran Data.
- Penyimpanan. Vendor akan menyimpan Informasi milik Logitech hanya untuk keperluan, dan sepanjang diperlukan untuk, Tujuan yang Diperbolehkan.
- Pengembalian atau Penghapusan. Vendor akan segera (tetapi tidak lebih dari 10 hari setelah permintaan dari Logitech) mengembalikan semua Informasi milik Logitech serta secara permanen dan aman menghapus semua Informasi tersebut berdasarkan dan sesuai pemberitahuan Logitech yang meminta pengembalian dan/atau penghapusan. Selain itu, Vendor juga akan secara permanen dan aman menghapus semua Informasi milik Logitech yang dapat diakses secara online atau via jaringan dalam waktu 90 hari setelah waktu yang lebih awal antara penyelesaian Tujuan yang Diperbolehkan atau penghentian atau kedaluwarsanya Perjanjian, kecuali hukum mewajibkan untuk menyimpannya. Jika diminta oleh Logitech, Vendor akan memberikan jaminan secara tertulis bahwa semua Informasi milik Logitech telah dihancurkan.
- Salinan Arsip. Jika Vendor diwajibkan oleh Hukum untuk menyimpan salinan arsip Informasi milik Logitech untuk keperluan pajak atau regulasi serupa, Informasi milik Logitech yang diarsipkan ini harus disimpan dalam salah satu cara berikut: sebagai simpanan cadangan “cold” atau offline (yaitu tidak tersedia untuk digunakan secara cepat atau interaktif) dalam fasilitas yang dijaga secara fisik; atau terenkripsi, di mana sistem yang menjadi host atau menyimpan file terenkripsi ini tidak memiliki akses pada salinan kunci yang digunakan untuk mengenkripsinya.
- Pemulihan. Jika Vendor melakukan suatu upaya “pemulihan” (yaitu menggunakan cadangan) untuk tujuan pemulihan bencana, maka Vendor harus memiliki suatu proses yang memastikan semua Informasi milik Logitech yang seharusnya dihapus berdasarkan Perjanjian atau Kebijakan Keamanan ini akan dihapus kembali atau ditimpa dari data yang dipulihkan sesuai dengan Bagian 2.3 ini dalam waktu 24 jam setelah dilakukannya pemulihan tersebut. Jika Vendor melakukan pemulihan untuk tujuan tertentu, tidak satu pun Informasi milik Logitech boleh dipulihkan ke jaringan atau sistem pihak ketiga mana pun tanpa persetujuan tertulis sebelumnya dari Logitech. Logitech memiliki hak untuk meminta dilakukannya tinjauan keamanan oleh Logitech (sesuai dengan Bagian 2.5 di bawah) atas jaringan atau sistem pihak ketiga mana pun sebelum mengizinkan pemulihan Informasi apa pun milik Logitech ke jaringan atau sistem pihak ketiga mana pun.
- Standar Penghapusan. Semua Informasi milik Logitech yang dihapus oleh Vendor harus dihapus sesuai dengan NIST Special Publication 800-88 Revisi 1, Guidelines for Media Sanitation 18 Desember 2014 (tersedia di https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization), atau standar lainnya yang dapat diwajibkan Logitech berdasarkan klasifikasi dan sensitivitas Informasi milik Logitech tersebut.
2.4. Penghancuran Forensik. Sebelum membuang hardware, software, atau media apa pun lainnya yang berisi, atau pada saat tertentu berisi, Informasi milik Logitech, maka Vendor akan melakukan penghancuran forensik yang menyeluruh atas hardware, software, atau media lain tersebut sehingga tidak satu pun Informasi milik Logitech dapat dipulihkan atau diambil dalam bentuk apa pun. Vendor akan melakukan penghancuran forensik sesuai dengan standar yang dapat diwajibkan Logitech berdasarkan klasifikasi dan sensitivitas Informasi milik Logitech tersebut. Vendor akan memberikan sertifikasi penghancuran jika diminta Logitech.
- Vendor tidak akan menjual, menjual kembali, mendonasikan, meremajakan, atau memindahkan (termasuk penjualan atau pemindahan hardware, software, atau media lainnya, setiap disposisi sehubungan dengan likuidasi bisnis Vendor, atau disposisi apa pun lainnya) hardware, software, atau media lainnya yang berisi Informasi milik Logitech yang belum dihancurkan secara forensik oleh Vendor.
2.5. Tinjauan Keamanan.
- Kuesioner Penilaian Risiko. Logitech mewajibkan semua vendor untuk mengikuti Penilaian Risiko Vendor, yang dipicu dengan menyediakan tanggapan terbaru atas kuesioner penilaian risiko Logitech, setidaknya setahun sekali, tetapi mungkin bisa lebih sering berdasarkan hasil penilaian risiko vendor.
- Sertifikasi. Atas permintaan tertulis dari Logitech, Vendor akan memberikan jaminan secara tertulis kepada Logitech bahwa mereka mematuhi Perjanjian ini.
- Tinjauan Lainnya. Logitech memiliki hak untuk meninjau sistem keamanan yang digunakan Vendor untuk memproses Informasi milik Logitech secara berkala. Vendor akan bekerja sama dan menyediakan semua informasi yang diperlukan kepada Logitech dalam kerangka waktu yang wajar, tetapi tidak lebih dari 20 hari kalender sejak tanggal permintaan Logitech.
- Remediasi. Jika tinjauan keamanan mengidentifikasi kekurangan yang menonjol, maka Vendor akan, dengan biayanya sendiri, mengambil semua tindakan yang diperlukan untuk memperbaiki kekurangan itu dalam waktu kerangka waktu yang telah disepakati.
2.6. Pelanggaran Keamanan.
- Vendor akan memberitahukan kepada Logitech via soc@logitech.com tanpa penundaan yang tidak semestinya (tidak lebih dari 24 jam) tentang Pelanggaran Keamanan, sebagaimana diatur oleh undang-undang yang berlaku, (i) yang berisi Informasi milik Logitech, atau (ii) yang dikelola oleh Vendor dengan kontrol yang secara substansial serupa dengan kontrol yang melindungi Informasi milik Logitech (masing-masing disebut sebagai “Pelanggaran Keamanan”). Vendor akan memperbaiki setiap Pelanggaran Keamanan secara tepat waktu dan memberikan informasi tertulis kepada Logitech mengenai penyelidikan internal tentang setiap Insiden Keamanan. Vendor setuju untuk tidak memberi tahu otoritas pengatur, atau pelanggan mana pun, atas nama Logitech kecuali Logitech secara khusus meminta secara tertulis agar Vendor melakukannya dan Logitech memiliki hak untuk meninjau dan menyetujui bentuk dan isi setiap pemberitahuan sebelum diberikan kepada pihak mana pun. Vendor akan bekerja sama dengan Logitech untuk menyusun dan melaksanakan rencana untuk memperbaiki semua Insiden Keamanan yang sudah terkonfirmasi.
- Vendor akan memberitahukan Logitech tanpa penundaan yang tidak semestinya (tidak lebih lama dari 24 jam) ketika Informasi milik Logitech digunakan sebagai tanggapan atas suatu proses hukum atau oleh undang-undang yang berlaku.