로지텍 벤더 정보 보안 요건
Logitech Europe SA. 및 그 계열사 및 자회사(이하 “로지텍”)는 모든 벤더, 서비스 제공업체, 기타 비즈니스 파트너(이하 “귀하” 또는 “벤더”)가 로지텍, 로지텍 계열사, 로지텍 및 계열사 직원, 대리인, 계약업체, 고객 및 벤더에 의해 제공된 정보(이하 “로지텍 데이터”)의 기밀성, 보안, 무결성, 가용성을 보호하고 로지텍 데이터에 대한 무단 액세스, 사용, 공개, 변경, 파괴를 막기 위한 기술적, 물리적, 조직적 방법이 포함되는 종합적인 서면 정보 보안 프로그램(“정보 보안 프로그램”)을 유지할 것을 요구합니다. 이 정보 보안 프로그램은 해당 계약에 명명된 로지텍 단체 및 귀하 사이의 서비스 계약(“계약”)에 첨부, 통합되는 참조 대상입니다. 특히, 정보 보안 프로그램은 로지텍 데이터의 보호를 보장하기 위해 적절하거나 필요한 경우에 대해 다음과 같은 조처를 포함해야 하며 이에 국한되지 않습니다.
- 액세스 통제 – 정책, 절차, 물리적 및 기술적 통제:
- 정보 시스템 및 시설 또는 정보 시스템이 있는 시설에 대한 물리적 액세스를 적절한 권한이 있는 사람에게만 제한합니다.
- 로지텍 데이터에 대한 액세스가 필요한 인력의 모든 인원이 적절하게 통제되는 액세스를 보유하고 있는지 확인합니다. 액세스 권한이 없는 인력 및 타인이 액세스를 획득하지 못하게 합니다.
- 권한이 있는 개인만 인증하고 액세스를 허가하여 인력이 허가받지 않은 개인에게 로지텍 데이터 또는 정보를 제공하는 것을 예방합니다.
- 필요한 경우 로지텍 데이터를 암호화 및 해독합니다.
- 보안 인식 및 교육 - 정기적으로 인력의 모든 구성원(경영진 포함)을 위한 보안 인식 및 교육 프로그램을 진행합니다. 여기에는 정보 보안 프로그램 실행 및 준수 방법에 대한 교육이 포함되어야 합니다.
- 보안 사고 절차 - 보안 사고를 탐지, 대응, 해결하는 정책 및 절차. 여기에는 시스템 모니터링 및 로지텍 데이터 또는 정보 관련 시스템에 대한 실제 공격 및 공격 시도와 침입을 탐지하는 절차, 의심스럽거나 알려진 보안 사고를 식별 및 대응하는 절차, 보안 사고의 해로운 영향을 완화하고 보안 사고 및 그 결과를 기록하는 절차가 포함됩니다. 보안 위반 법(Security Breach Laws)에 따라 어느 한 당사자의 의무를 유발하는 상황을 인지한 경우, soc@logitech.com에 이메일을 보내 로지텍에 즉시 서면 통지를 하고 보안 위반 법에 따라 로지텍이 그 의무를 수행할 수 있도록 로지텍에 전적으로 협조해야 합니다.
- 안전 대책 - 로지텍 데이터가 포함된 로지텍 데이터 또는 시스템을 손상시키는 비상 또는 기타 상황(예: 화재, 기물 파손, 시스템 장애, 자연재해)에 대응할 수 있는 데이터 백업 플랜 및 재해 복구 계획이 포함된 정책 및 절차. 이러한 상황이 발생하는 경우, soc@logitech.com에 이메일을 보내 로지텍에 즉시 서면 통지를 제공해야 합니다.
- 장치 및 미디어 통제 - 시설 안팎으로 이동하는 로지텍 데이터가 포함된 하드웨어 및 전자 미디어, 해당 항목의 시설 내 이동 관련 정책 및 절차. 여기에는 로지텍 데이터 및/또는 해당 데이터가 저장된 하드웨어 또는 전자 미디어의 최종 처분에 대한 정책 및 절차와 미디어 재사용 전에 전자 미디어에서 로지텍 데이터를 제거하는 절차가 포함되어야 합니다. 여기에서 요구하는 모든 보호 조치가 적용되지 않는 한, 노트북 또는 기타 휴대용 장치에 어떠한 로지텍 데이터도 다운로드 또는 저장해서는 안 됩니다. 해당 보호 조치에는 로지텍 데이터에 액세스하는 모든 장치의 암호화, 최신 맬웨어 방지 탐지 보호 소프트웨어가 포함되며 이에 국한되지 않습니다.
- 감사 통제 - 하드웨어, 소프트웨어, 서비스, 플랫폼 및/또는 해당 보안 요건 및 규정 준수에 대한 적절한 로그 및 리포트를 포함하여 전자 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 조사하는 절차적 메커니즘.
- 정책 및 절차 - 로지텍 데이터의 기밀성, 무결성 및 가용성을 보장하고 로지텍 데이터를 우발적, 무단, 부적절한 공개, 사용, 변경, 파괴로부터 보호하기 위한 정책 및 절차.
- 저장 및 전송 보안 - 허가받지 않은 개인이 액세스 할 수 있는 네트워크 또는 시스템에 전송 및 저장하는 중 전자 형식으로 로지텍 데이터를 암호화하는 메커니즘을 포함하여 전자 통신 네트워크를 통해 전송되는 로지텍 데이터에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치.
- 보안 책임 할당 - 정보 보안 프로그램의 개발, 구현 및 유지 관리를 담당하는 보안 담당자를 지정해야 합니다.
- 물리적 저장 매체 - 로지텍 데이터가 포함된 저장 매체를 다른 사용자에게 배정, 할당, 재배정하기 전 또는 해당 저장 매체를 시설에서 영구적으로 제거하기 전에, 귀하는 섹션 2.3 (e.)에 따라 해당 매체에 잔여 데이터가 없도록 해당 로지텍 데이터를 물리적 및 논리적 관점에서 안전하게 삭제하고 필요한 경우 물리적으로 해당 저장 매체를 파기해야 합니다. 귀하는 로지텍 데이터가 포함된 모든 저장 매체에 대해 이 섹션에 명시된 처분 및 파괴 요건을 포함하는 감사 프로그램을 유지해야 합니다.
- 테스트 - 정보 보안 프로그램의 주요 제어, 시스템 및 절차를 정기적으로 테스트하여 이것이 적절하게 실행되고 식별된 위협과 위험을 효과적으로 해결할 수 있는지 확인합니다. 테스트는 보안 프로그램을 개발 또는 유지하는 담당자로부터 독립적인 제3자 또는 직원이 수행 또는 검토해야 합니다.
- 최신 프로그램 유지 - 기술 또는 산업 보안 표준의 관련 변경 사항, 귀하 또는 로지텍 데이터에 대한 내부 및 외부 위협뿐만 아니라 인수 합병, 연합 및 합작 투자, 아웃소싱 계약, 정보 시스템 변경 등 자체적 비즈니스 방식 변경 등에 비추어 정보 보안 프로그램을 적절하게 모니터링, 평가 및 조정해야 합니다.
구체적으로 벤더의 정보 보안 프로그램은 최소한 다음 요건을 충족해야 합니다.
1. 범위, 정의
1.1. 보안 정책. 벤더는 로지텍 벤더 정보 보안 요건(“보안 정책”)에 명시된 로지텍의 정보 보안 요건을 전부 준수합니다. 보안 정책은 벤더와 로지텍 사이의 모든 계약(“계약”)에 따른 벤더의 수행과 로지텍 정보(아래의 정의에 따름)에 대한 모든 액세스, 수집, 사용, 저장, 전송, 공개, 파괴, 삭제 및 이에 대한 보안 사건에 적용됩니다. 이 보안 정책은 계약에 따라 또는 벤더에 적용되는 모든 법률을 포함하여 벤더의 기타 의무, 계약에 따른 벤더의 실행, 로지텍 정보 또는 허용 목적(아래의 정의에 따름)을 제한하지 않습니다. 이 보안 정책이 계약과 직접적으로 충돌하는 경우, 벤더는 즉시 로지텍에 이를 알리고 로지텍 정보에 대한 제한과 보호 정도가 더욱 높은 요건을 준수합니다(로지텍에서 지정할 수 있음).
1.2. 정의.
- “계열사”는 특정인에 대하여 해당자를 직간접적으로 통제하거나 해당자의 통제를 받거나 해당자의 공통 제어 대상인 모든 단체를 의미합니다.
- “통합”은 로지텍 정보를 벤더 또는 제3자의 임의의 데이터 또는 정보와 결합하거나 함께 저장하는 것을 의미합니다.
- “익명화”란 모든 사용자, 장치 식별자, 소스, 제품, 서비스, 맥락, 브랜드, 로지텍 또는 로지텍 계열사를 식별하거나 식별을 허락하거나 이에 귀속되지 않는 방식 또는 형식으로 데이터 또는 정보(로지텍 정보 포함)를 사용, 수집, 저장, 전송, 변형한다는 것을 의미합니다.
- “로지텍 정보”는 개별적 및 종합적으로 (a) 모든 로지텍 기밀 정보(당사자 사이의 계약 또는 비공개 계약에 따라 정의), (b) 로지텍 또는 로지텍 계열사를 통해서나 대리하여 또는 계약, 계약에 따라 제공되는 서비스, 계약과 관련된 당사자의 권리 수행 및 행사와 연관성에 따라 벤더가 획득, 액세스, 수집, 수신, 저장, 유지하는 모든 형식 또는 포맷의 모든 기타 데이터, 기록, 파일, 콘텐츠, 정보, (c) 익명화된 경우를 포함하여 (a) 또는 (b)에서 파생된 정보를 의미합니다.
1.3. 허용 목적.
계약에 따라 명시적으로 승인되는 경우를 제외하고, 벤더는 계약에 따른 서비스 제공을 위해서만 계약에 따라 허가된 라이선스와 일관되게(해당하는 경우) 계약에 따라 허가된 로지텍 정보에만 액세스, 수집, 사용, 저장, 전송할 수 있습니다(“허용 목적”). 계약에 따라 명시적으로 승인되는 경우를 제외하고, 벤더는 어떤 로지텍 정보를 액세스, 수집, 사용, 저장, 전송하거나 익명화된 정보를 포함하여 로지텍 정보를 통합할 수 없습니다. 로지텍이 사전에 서면을 통해 명시적으로 동의한 경우를 제외하고, 벤더는 (A) 로지텍 정보를 전송, 임대, 교환, 거래, 판매, 대여, 대출, 임차, 배포하거나 제3자에게 제공하거나 (B) 익명화된 경우에도 로지텍 정보와 기타 다른 정보 또는 데이터를 결합할 수 없습니다.
2. 보안 정책
2.1. 기본 보안 요건. 벤더는 현재 최고의 산업 표준 및 로지텍 정보의 분류 및 민감도를 기준으로 로지텍에서 지정한 기타 요건에 따라 물리적, 행정적, 기술적 안전장치 및 기타 보안 절차를 유지하여 (A) 벤더에 의해 액세스, 수집, 사용, 저장, 전송되는 로지텍 정보의 보안 및 기밀성을 유지하고 (B) 보안 및 무결성에 대해 알려지거나 합리적으로 예상할 수 있는 위협 또는 위험, 정보의 우발적 손상, 변경, 공개 및 기타 불법적인 처리 등으로부터 정보를 보호해야 합니다. 벤더는 제한 없이 다음 요건을 준수해야 합니다.
- 방화벽. 벤더는 인터넷을 통해 액세스할 수 있는 데이터를 보호하기 위해 작동하는 네트워크 방화벽을 설치하고 유지 관리하며 언제나 모든 로지텍 정보가 방화벽에 의해 보호되도록 해야 합니다.
- 업데이트. 벤더는 로지텍 정보의 보안을 보장하는 데 필요한 최신 업그레이드, 업데이트, 버그 수정, 새 버전 및 기타 수정을 통해 시스템 및 소프트웨어를 최신 상태로 유지해야 합니다.
- 맬웨어 방지. 벤더는 항상 맬웨어 방지 소프트웨어를 사용하고 최신 맬웨어 방지 소프트웨어를 유지해야 합니다. 벤더는 탐지되거나 합리적으로 탐지된 모든 바이러스, 스파이웨어, 악성 코드로 인한 위협을 완화해야 합니다.
- 암호화. 벤더는 업계 모범 사례에 따라 유휴 데이터와 개방 네트워크를 통해 전송되는 데이터를 암호화해야 합니다.
- 테스트. 벤더는 이 보안 정책의 요건을 충족하도록 보안 시스템 및 절차를 정기적으로 테스트해야 합니다.
- 액세스 컨트롤. 벤더는 다음 요건의 준수를 포함하여 로지텍 정보를 보호합니다.
- 벤더는 로지텍 정보에 대한 컴퓨터 액세스 권한을 가진 모두에게 고유 ID를 할당합니다.
- 벤더는 로지텍 정보에 대한 액세스를 허용 목적에 따라 “알아야 하는” 사람에게만 제한합니다.
- 벤더는 로지텍 정보에 대한 액세스 권한을 가진 사람 및 서비스 목록을 정기적으로 검토하여 더이상 액세스가 필요 없는 계정을 제거(또는 로지텍에 계정 제거 권고)합니다. 최소 90일마다 한 번 검토를 수행해야 합니다.
- 벤더는 모든 운영체제, 소프트웨어 또는 기타 시스템에서 시스템 비밀번호 또는 기타 보안 매개변수에 대해 제조업체에서 제공한 기본값을 사용하지 않아야 합니다. 벤더는 모범 사례(아래에서 설명)에 따라 모든 로지텍 정보를 호스팅, 저장, 처리 또는 그에 대한 액세스를 보유하거나 통제하는 모든 시스템에 시스템을 통해 제공되는 “강력한 비밀번호”를 요구 및 사용해야 합니다. 또한 모든 비밀번호 및 액세스 자격증명은 기밀이며 직원들 사이에 공유되지 않아야 합니다. 비밀번호는 다음의 요건을 충족해야 합니다. 비밀번호는 최소 12자로 이전 비밀번호, 사용자 로그인, 명칭과 일치하지 않아야 하며 계정 손상이 의심되거나 추정될 때마다 반드시 변경해야 합니다. 또한 90일 이상 같은 비밀번호를 사용하면 안 됩니다.
- 벤더는 계정이 연속 10번 이상 부정확한 비밀번호로 로그인을 시도하는 경우, 계정이 로지텍 정보에 액세스할 수 없는 “계정 잠금”을 유지하고 시행해야 합니다.
- 로지텍이 명시적으로 서면 승인한 경우를 제외하고 벤더는 로지텍 정보를 항상(저장, 처리, 전송 포함) 벤더 또는 제3자 정보로부터 분리해야 합니다.
- 로지텍에 의해 서면으로 추가적인 물리적 액세스 제어가 요청되면, 벤더는 해당하는 안전한 물리적 액세스 제어 수단을 실행하고 사용해야 합니다.
- 벤더는 로지텍의 요청에 따라 일 년에 한 번 이상 (1) 로지텍을 대신하여 사용하도록 벤더에게 제공된 로지텍 계정 또는 인증 정보의 모든 사용에 대한 로그(승인 및 무단을 모두 포함), (2) 로지텍 정보에 대한 액세스를 가진 로지텍 직원 또는 벤더 직원을 사칭하거나 사칭하려는 시도에 대한 상세 로그 데이터를 로지텍에 제공해야 합니다.
- 벤더는 악의적 행위 또는 무단 액세스의 조짐이 있는지 액세스 로그를 정기적으로 검토해야 합니다.
- 벤더 정책. 벤더는 정책 위반을 탐지하고 기록하는 방법을 포함하여 이 정책에 명시된 표준을 충족하는 직원, 하청업체, 대리인 및 벤더에 대해 정보 및 네트워크 보안 정책을 유지하고 시행해야 합니다. 로지텍의 요청이 있는 경우, 벤더는 보안 사고에 해당하지 않더라도 벤더의 정보 및 네트워크 보안 정책 위반에 대한 정보를 로지텍에 제공해야 합니다.
- 하청. 벤더는 로지텍의 사전 서면 동의 없이 이 보안 정책에 따른 의무를 하청을 주거나 하청업체에 위임할 수 없습니다. 하청 또는 위임의 존재 또는 조건이 있는 경우에도 벤더에게는 이 보안 정책의 의무를 완전히 수행할 책임이 있습니다. 이 보안 정책의 조건은 벤더의 하청업체 및 직원에게 구속력을 가집니다. 벤더는 (a) 벤더의 하청업체 및 직원이 이 보안 정책을 준수하는지 확인하고 (b) 모든 법률, 규칙, 규정의 위반을 포함하여(해당하는 경우) 하청업체 및 직원의 모든 행위, 누락, 과실 및 위법 행위에 대해 책임을 집니다.
- 원격 액세스. 벤더는 외부 보호 기업 또는 생산 환경부터 로지텍 정보를 보유한 시스템이나 벤더의 기업 또는 개발 워크스테이션 네트워크에 대한 액세스에 멀티팩터 인증(예: 사용자 식별에 두 가지 이상의 별도 요소 사용)을 사용하도록 보장해야 합니다.
- 벤더 직원. 로지텍은 벤더 직원이 로지텍에서 지정한 형식의 개별 비공개 계약을 로지텍에 실행하고 전달할 때 해당 직원이 로지텍 정보에 액세스하는 것을 조건으로 지정할 수 있습니다. 로지텍에서 필요한 경우, 로지텍은 벤더의 직원이 개별 비공개 계약을 실행하도록 요청합니다. 벤더는 로지텍 정보에 액세스할 수 있는 벤더 직원으로부터 로지텍이 서명한 개별 비공개 계약을 획득하여 제공합니다(벤더 직원에게 액세스를 허용하거나 정보를 제공하기 전). 벤더는 또한 (a) 합의된 시간 안에 요청이 있는 경우, 로지텍에 로지텍 정보에 액세스하거나 로지텍 정보를 수신한 벤더 직원 목록을 제공하고 (b) 또한 (y) 로지텍 정보에 대한 액세스가 더는 필요하지 않은 경우 (z) 벤더 직원 자격이 없는 경우(예: 직원이 벤더에서 퇴사) 섹션에 따라 특정 개별 벤더 직원이 로지텍 정보에 대한 액세스를 승인받은 경우 24시간 안에 로지텍에 알립니다.
2.2. 로지텍 엑스트라넷 및 벤더 포털 액세스.. 로지텍은 벤더가 허용 목적에 따라 웹 포털 또는 기타 비공개 웹사이트나 로지텍 또는 제3자의 웹사이트 또는 시스템(각각 “엑스트라넷”)의 엑스트라넷 서비스에 액세스하는 것을 허용할 수 있습니다. 로지텍이 벤더가 엑스트라넷을 사용하여 로지텍 정보에 액세스할 수 있도록 허용하는 경우, 벤더는 다음 요건을 준수해야 합니다.
- 허용 목적. 벤더 및 벤더 직원은 허용된 목적을 위해서만 엑스트라넷에 액세스하고 엑스트라넷에서 로지텍 정보를 액세스, 수집, 사용, 확인, 검색, 다운로드, 저장할 수 있습니다.
- 계정. 벤더는 벤더 직원이 로지텍에 의해 개인에게 지정된 엑스트라넷 계정만을 사용하는지 확인하고 벤더 직원이 액세스 인증정보를 기밀로 유지하게 해야 합니다.
- 시스템. 벤더는 (i) 섹션 2.1(A)(방화벽)에 따른 시스템 네트워크 방화벽, (ii) 섹션 2.1(B)(업데이트)를 준수하는 중앙 경로 관리, (iii) 섹션 2.1(C)(맬웨어 방지)에 따라 적절한 맬웨어 방지 소프트웨어가 있는 운영체제, (iv) 휴대용 장치의 경우 풀 디스크 암호화를 포함하여 벤더에서 관리하는 컴퓨팅 또는 프로세싱 시스템 또는 애플리케이션 실행 운영체제를 통해서만 엑스트라넷에 액세스해야 합니다.
- 제한. 로지텍이 사전 서면 승인한 경우를 제외하고, 벤더는 모든 기계, 장치, 서버를 포함하여 모든 매체에 엑스트라넷의 모든 로지텍 정보를 다운로드, 미러링, 영구 저장할 수 없습니다.
- 계정 종료. 벤더는 각 벤더 직원의 계정을 종료하고 엑스트라넷 액세스를 승인받은 적이 있는 모든 특정 직원이 (a) 더는 로지텍 정보에 액세스할 필요가 없거나, (b) 더는 벤더 직원이 아니거나(예: 직원이 벤더에서 퇴사), (c) 30일 이상 로지텍 정보에 액세스하지 않은 경우 24시간 안에 로지텍에 알려야 합니다.
- 제3자 시스템.
- 벤더는 (a) 데이터가 본 보안 정책에 따라 암호화되거나 (b) 제3자 시스템이 해독키 또는 데이터의 암호화되지 않은 “플레인 텍스트” 버전에 대한 액세스가 없는 경우 외에는 로지텍에 사전 통지를 제공하고 로지텍의 사전 서면 승인을 받은 후에 로지텍 정보를 보관하거나 이에 액세스할 수 있는 제3자 시스템을 사용할 수 있습니다. 로지텍은 승인하기 전에 제3자 시스템의 로지텍 보안 검토(아래 섹션 2.5에 따름)를 요구할 권리를 보유합니다.
- 벤더가 암호화되지 않은 로지텍 정보를 저장하거나 해당 정보에 액세스할 수 있는 제3자 시스템을 사용하는 경우, 벤더는 제3자 시스템 및 보안 제어에 대한 보안 검토를 반드시 수행하고 로지텍이 요청한 양식(예: SAS 70, SSAE 16, 후속 보고서) 또는 로지텍에서 승인한 기타 업계 표준 보고서 양식에 따라 제3자 시스템의 보안 통제에 대한 주기적 보고를 제공해야 합니다.
2.3. 데이터 보유 및 파괴.
- 보유. 벤더는 허용 목적을 위해 필요한 한에서만 로지텍 정보를 보유할 수 있습니다.
- 반환 또는 삭제. 벤더는 로지텍의 반환 및/또는 삭제 통지를 받은 후 이에 따라 즉시(로지텍의 요청 후 10일 이내에) 로지텍에 모든 로지텍 정보를 반환하고 영구적으로 안전하게 모든 로지텍 정보를 삭제해야 합니다. 또한 벤더는 법적으로 보유해야 하는 경우를 제외하고 허용 목적의 완료 또는 계약 종료 또는 만료 중 더 빠른 일자 기준으로 90일 이내에 영구적이며 안전하게 로지텍 정보의 모든 라이브(온라인 또는 액세스 가능한 네트워크) 인스턴스를 삭제해야 합니다. 로지텍이 요청하는 경우, 벤더는 모든 로지텍 정보가 파기되었음을 서면으로 인증해야 합니다.
- 보관용 사본. 벤더가 법에 따라 세금 또는 유사한 규제 목적으로 로지텍 정보의 보관용 사본을 보유해야 하는 경우, 해당 보관용 로지텍 정보는 물리적 보안이 적용된 시설 또는 암호화 상태로 암호화된 파일을 호스팅 또는 보관하는 시스템이 암호화에 사용된 키 사본에 대한 액세스를 갖고 있지 않은 “콜드” 또는 오프라인(예: 즉각적이거나 반응형 사용이 불가한 상태) 백업 중 하나로 보관되어야 합니다.
- 복구. 벤더가 재난 복구 목적으로 “복구”(예: 백업 복원)를 수행하는 경우, 벤더는 계약 또는 이 보안 정책에 따라 삭제되는 모든 로지텍 정보가 이 섹션 2.3에 따라 복구 발생 후 24시간 안에 재삭제 또는 복구 데이터로부터 덮어쓰기 되는 절차를 보유 및 유지해야 합니다. 벤더가 어떤 목적으로든 복구를 수행하는 경우, 로지텍의 사전 서면 승인 없이 어떠한 로지텍 정보도 제3자 또는 네트워크에 복구될 수 없습니다. 로지텍은 제3자 또는 네트워크에 로지텍 정보의 복구를 허가하기 전에 제3자 시스템 또는 네트워크에 대한 로지텍 보안 검토를 요구할 권리를 보유합니다(아래 섹션 2.5에 따름).
- 삭제 표준. 벤더가 삭제한 모든 로지텍 정보는 NIST 특별 간행물 800-88 개정안 1(NIST Special Publication 800-88 Revision 1), 2014년 12월 18일 미디어 관리 지침(Guidelines for Media Sanitation)(https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization에서 확인 가능) 또는 로지텍 정보의 분류 및 민감도를 기준으로 로지텍에서 요청하는 표준에 따라 삭제되어야 합니다.
2.4. 포렌식 파기. 로지텍 정보를 포함하거나 언제든지 포함한 적이 있는 모든 하드웨어, 소프트웨어, 기타 모든 매체를 처분하기 전에, 벤더는 하드웨어, 소프트웨어, 기타 매체에 대한 완전한 포렌식 파기를 수행하여 로지텍 정보 중 어떤 것도 어떤 형식으로든 복구되거나 회복될 수 없게 해야 합니다. 벤더는 로지텍 정보의 분류 및 민감도를 기준으로 로지텍에서 요청하는 표준에 따라 포렌식 파기를 수행해야 합니다. 벤더는 로지텍이 요청하는 경우, 파기 증명서를 제공해야 합니다.
- 벤더는 벤더에 의해 포렌식 파기되지 않은 로지텍 정보가 포함된 모든 하드웨어, 소프트웨어, 기타 매체를 판매, 재판매, 기부, 리퍼브, 이송할 수 없습니다(벤더 비즈니스의 모든 청산 또는 기타 모든 처분과 관련된 해당 하드웨어, 소프트웨어, 기타 매체의 모든 판매 또는 이전 포함).
2.5. 보안 검토.
- 위험 평가 설문지. 로지텍은 모든 벤더가 일 년에 한 번 이상 로지텍의 위험 평가 설문지에 대한 업데이트된 응답을 제공하는 벤더 위험 평가를 수행하도록 요청합니다. 이는 벤더의 평가된 위험에 따라 더 자주 이뤄질 수 있습니다.
- 인증. 로지텍의 서면 요청에 따라 벤더는 이 계약을 준수한다는 것을 로지텍에 서면으로 인증해야 합니다.
- 기타 검토. 로지텍은 벤더가 로지텍 정보 처리에 사용하는 시스템의 보안을 주기적으로 검토할 권리가 있습니다. 벤더는 로지텍의 요청 날짜로부터 20일을 넘기지 않는 합리적인 시간 안에 로지텍에 협력하고 모든 요청 정보를 제공해야 합니다.
- 개선. 보안 검토를 통해 결점이 식별되는 경우, 벤더는 자체적으로 경비 및 비용을 들여 약속된 시간 안에 해당 결점을 해결하는 데 필요한 모든 활동을 수행해야 합니다.
2.6. 보안 위반.
- 벤더는 관련 법률에 따라 (i) 로지텍 정보가 포함되었거나 (ii) 로지텍 정보 보호와 상당한 유사점이 있는 통제 권한을 가진 벤더에 의해 관리되는 보안 위반(각각 “보안 위반”)이 발생하는 경우 지체 없이(24시간 이내) soc@logitech.com에 이메일을 보내 로지텍에 알려야 합니다. 벤더는 각 보안 위반을 적시에 해결하고 각 보안 사고에 대한 벤더의 내부 조사 내용을 로지텍에 서면으로 제공해야 합니다. 벤더는 로지텍이 서면으로 요청하지 않는 한 로지텍을 대리하여 규제 기관이나 고객에게 알리지 않는 것에 동의합니다. 로지텍은 해당 내용이 어떠한 당사자에게 제공되기 전에 통지 양식 및 내용을 검토 및 승인할 권리를 보유합니다. 벤더는 로지텍에 합리적으로 협력 및 협조하여 확인된 모든 보안 사고를 바로잡을 계획을 만들고 수행해야 합니다.
- 벤더는 법적 절차 또는 관련 법률에 의해 로지텍 정보가 필요한 경우 지체 없이(24시간 이내) 로지텍에 알립니다.