Logitech Satıcı Bilgi Güvenliği Gereklilikleri
Europe SA., tüm bağlı kuruluşları ve alt kuruluşları (topluca “Logitech”); tüm satıcılarının, hizmet sağlayıcılarının ve diğer iş ortaklarının (“Siz” veya “Satıcı”) Logitech, Logitech bağlı kuruluşları, çalışanları, temsilcileri, yüklenicileri, müşterileri ve Satıcıları tarafından sağlanan bilgilerin (topluca “Logitech Verileri”) gizliliğini, güvenliğini, bütünlüğünü ve kullanılabilirliğini sağlamak ve Logitech Verileri’ni yetkisiz erişim, kullanım, ifşa, değişiklik veya imha eylemlerine karşı korumak adına teknik, fiziksel ve organizasyonel önlemler içeren kapsamlı bir yazılı güvenlik programı (“Bilgi Güvenliği Programı”) yürütmesini şart koşar. İşbu Bilgi Güvenliği Programı, işbu belgede adı geçen Logitech kuruluşu ile Sizin aranızdaki hizmet sözleşmelerine (“Sözleşmeler”) eklenir ve bunlara atıf arak dâhil edilir. Bilgi Güvenliği Programı, Logitech Verileri’nin korunmasını sağlamak için uygun veya gerekli olduğunda özellikle aşağıdaki önlemleri içerecek ancak bunlarla sınırlı olmayacaktır:
- Erişim Kontrolleri – İlkeler, prosedürler ve fiziksel ve teknik kontroller:
- Bilgi sistemlerinize ve içinde bulundukları tesis veya tesislere fiziksel erişimi uygun şekilde yetkilendirilmiş kişilerle sınırlama;
- Logitech Verileri’ne erişmesi gereken iş gücünüzdeki tüm üyelerin gereğine uygun şekilde kontrollü erişime sahip olmasını sağlama ve erişime ihtiyacı olmayan iş gücü üyelerinin ve diğerlerinin erişim elde etmesini önleme;
- kimlik doğrulaması yapıp yalnızca yetkili kişilere erişim izni verme ve iş gücünüzdeki üyelerin Logitech Verileri’ni veya bunlarla ilgili bilgileri yetkisiz kişilere vermesini önleme ve
- gerektiğinde Logitech Verileri’ni şifreleme ve bu verilerin şifresini çözme.
- Güvenlik Bilinci ve Eğitimi – İş gücünüzdeki tüm üyelere, Bilgi Güvenliği Programı’nızın nasıl uygulanacağına ve söz konusu program ile nasıl uyum sağlanacağına dair eğitim içeren bir güvenlik bilinci ve eğitimi programını (yönetim dâhil) düzenli olarak sağlama.
- Güvenlik Olayı Prosedürleri – Sistemleri izlemeye ve Logitech Verileri’ne veya bunlarla ilgili bilgi sistemlerine gerçekleştirilen ve teşebbüs edilen saldırı veya izinsiz girişleri algılamaya yönelik prosedürler ve şüpheli veya bilinen güvenlik olaylarını tanımlayıp bunlara müdahale etmeye, güvenlik olaylarının zararlı etkilerini ortadan kaldırmaya ve güvenlik olayları ile sonuçlarını belgelemeye yönelik prosedürler dâhil olmak üzere güvenlik olaylarını tespit etmeye, bu olaylara müdahale etmeye ve bunları başka şekilde çözmeye yönelik ilkeler ve prosedürler. Güvenlik İhlali Yasaları kapsamında bir Taraf’ın yükümlülüklerini tetikleyebilecek herhangi bir durumun farkına varırsanız derhâl soc@logitech.com adresi üzerinden Logitech’e yazılı bildirimde bulunmalı ve Logitech’in Güvenlik İhlali Yasaları kapsamında yükümlülüklerini yerine getirebilmesi için Logitech ile tam bir iş birliği içinde olmalısınız.
- Beklenmedik Durum Planlaması – Logitech Verileri’ne veya Logitech Verileri’ni içeren sistemlere zarar veren bir acil duruma veya başka bir duruma (ör. yangın, vandalizm, sistem arızası veya doğal afet) müdahale etmek amacıyla bir veri yedekleme planı ve felaket kurtarma planı içeren ve derhâl soc@logitech.com adresi üzerinden Logitech’e yazılı bildirim sağlanmasını gerektiren ilkeler ve prosedürler.
- Cihaz ve Ortam Kontrolleri – Logitech Verileri’nin ve/veya söz konusu verilerin depolandığı donanım veya elektronik ortamın nihai bertarafını ele almaya yönelik ilkeler ve prosedürler ile ortam yeniden kullanıma sunulmadan önce Logitech Verileri’ni elektronik ortamdan kaldırmaya yönelik prosedürler dâhil olmak üzere tesislerinizde veya tesislerinizin dışındaki Logitech Verileri’ni içeren donanım ve elektronik ortamlara ve bu ögelerin taşınmasına yönelik ilke ve prosedürler. İşbu belgede gerekli görülen tüm korumalara tabi olmadığı sürece, Logitech Verileri’nin indirilmemesini ya da dizüstü bilgisayarlarda veya diğer taşınabilir cihazlarda depolanmamasını sağlamalısınız. Söz konusu koruyucu önlemler, Logitech verilerine erişen tüm cihazların şifrelenmesini ve en güncel kötü amaçlı yazılım algılama ve önleme yazılımının kullanılmasını içerir ancak bunlarla sınırlı değildir.
- Denetim kontrolleri – Bu güvenlik gereklilikleri ve bunlarla uyumluluğa ilişkin uygun günlükler ve raporlar dâhil olmak üzere elektronik bilgi içeren veya kullanan bilgi sistemlerindeki faaliyetleri kaydeden ve inceleyen donanım, yazılım, hizmetler, platformlar ve/veya prosedür mekanizmaları.
- İlkeler ve Prosedürler – Logitech Verileri’nin gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamaya ve söz konusu verilerin kazara, yetkisiz veya uygunsuz şekilde ifşa edilmesini, kullanılmasını, değiştirilmesini veya imha edilmesini önlemeye yönelik ilkeler ve prosedürler.
- Depolama ve Aktarım Güvenliği – Yetkisiz kişilerin erişebileceği ağlar veya sistemlerde iletilirken ve depolanırken elektronik formdaki Logitech Verileri’ni şifrelemeye yönelik mekanizma dâhil olmak üzere elektronik iletişim ağı üzerinden iletilmekte olan Logitech Verileri’ni yetkisiz erişime karşı korumaya yönelik teknik güvenlik önlemleri.
- Atanan Güvenlik Sorumluluğu – Bilgi Güvenliği Programı’nızın geliştirilmesinden, uygulanmasından ve bakımından sorumlu bir güvenlik görevlisi atayacaksınız.
- Fiziksel Depolama Ortamı – Logitech Verileri’ni içeren herhangi bir depolama ortamı atanmadan, tahsis edilmeden veya farklı bir kullanıcıya yeniden tahsis edilmeden önce ya da bu tür depolama ortamları tesisten kalıcı olarak kaldırılmadan önce, Bölüm 2.3 (e.) uyarınca söz konusu Logitech Verileri’ni fiziksel ve mantıksal açıdan güvenli şekilde silmenizi, ortamın herhangi bir veri kalıntısı içermemesini veya gerekirse söz konusu depolama ortamının fiziksel olarak imha edilmesini sağlamaya yönelik ilkeler ve prosedürler. Logitech Verileri’ni içeren tüm depolama ortamları için bu Bölüm’de belirtilen bertaraf ve imha gerekliliklerini uygulayan denetlenebilir bir program sürdüreceksiniz.
- Test Etme – Tanımlanan tehditleri ve riskleri ele alma sürecinde düzgün şekilde uygulandıklarından ve etkili olduklarından emin olmak için Bilgi Güvenliği Programı’nızın temel kontrollerini, sistemlerini ve prosedürlerini düzenli olarak test edeceksiniz. Testler, bağımsız üçüncü taraflar veya güvenlik programlarını geliştiren veya sürdüren kişilerden bağımsız personel tarafından gerçekleştirilmeli veya incelenmelidir.
- Programı Güncel Tutma – Bilgi Güvenliği Programı’nı, teknoloji veya endüstri güvenlik standartlarındaki ilgili değişiklikler, Logitech Verileri’nin hassasiyet düzeyi, size veya Logitech Verileri’ne yönelik kurum içi ve dışı tehditler ve birleşmeler, satın almalar, ortaklıklar, ortak girişimler, dış kaynak düzenlemeleri ve bilgi sistemlerindeki değişiklikler gibi değişen işletme düzeniniz ışığında uygun şekilde izleyecek, değerlendirecek ve düzenleyeceksiniz.
Daha ayrıntılı olarak, Satıcı’nın Bilgi Güvenliği Programı aşağıdaki gereklilikleri karşılamalı veya aşmalıdır:
1. KAPSAM; TANIMLAR
1.1. Güvenlik İlkesi. Satıcı, bu Logitech Satıcılar için Bilgi Güvenliği Gereklilikleri’nde (“Güvenlik İlkesi”) belirtilen bilgi güvenliği gerekliliklerine her bakımdan uyacaktır. Güvenlik İlkesi, Satıcı ile Logitech arasındaki herhangi bir sözleşme (“Sözleşme”) kapsamında Satıcı’nın ifası ve Logitech Bilgileri’ne ilişkin tüm erişim, toplama, kullanım, depolama, iletim, ifşa, imha veya silme ve güvenlik olayları (aşağıda tanımlandığı üzere) için geçerlidir. İşbu Güvenlik İlkesi, Sözleşme kapsamında veya Satıcı için geçerli olan herhangi bir yasaya göre Satıcı’nın Sözleşme kapsamındaki ifası, Logitech Bilgileri veya İzin Verilen Amaç (aşağıda tanımlandığı üzere) dâhil olmak üzere Satıcı’nın diğer yükümlülüklerini sınırlamaz. İşbu Güvenlik İlkesi’nin Sözleşme ile doğrudan anlaşmazlığa düştüğü ölçüde Satıcı, anlaşmazlığı derhâl Logitech’e bildirecek ve Logitech Bilgileri için daha kısıtlayıcı ve daha koruyucu olan gerekliliğe (Logitech tarafından belirlenebilir) uyacaktır.
1.2. Tanımlar.
- “Bağlı Kuruluş”, belirli bir kişiyle ilgili olarak, bu kişiyi doğrudan veya dolaylı olarak kontrol eden, bu kişi tarafından kontrol edilen veya bu kişiyle ortak kontrol altında olan herhangi bir kuruluş anlamına gelir.
- “Toplulaştırma”, Logitech Bilgileri’ni Satıcı’nın veya herhangi bir üçüncü tarafın herhangi bir verisi veya bilgisi ile birleştirmek veya depolamak anlamına gelir.
- “Anonimleştirme”, herhangi bir veri veya bilgiyi (Logitech Bilgileri dâhil) herhangi bir kullanıcıyı, cihaz tanımlayıcısını, kaynağı, ürünü, hizmeti, bağlamı, markayı ya da Logitech’i veya Bağlı Kuruluşları’nı tanımlamayan, tanımlamaya izin vermeyen ve başka şekilde bunlara atfedilemeyen bir şekilde veya biçimde kullanmak, toplamak, depolamak, iletmek veya dönüştürmek anlamına gelir.
- “Logitech Bilgileri” ayrı ayrı ve toplu olarak şu anlamlara gelir: (a) Tüm Logitech Gizli Bilgileri (Sözleşme’de veya taraflar arasında akdedilen gizlilik sözleşmesinde tanımlandığı şekilde); (b) Logitech veya Bağlı Kuruluşları’ndan veya bunlar adına Satıcı veya Bağlı Kuruluşları tarafından ya da Sözleşme, Sözleşme kapsamında sağlanan hizmetler veya diğer tarafların Sözleşme kapsamında veya Sözleşme ile bağlantılı hakları ifası veya kullanımı ile bağlantılı olarak herhangi bir biçimde veya formatta elde edilen, erişim sağlanan, toplanan, alınan, depolanan veya tutulan tüm diğer veriler, kayıtlar, dosyalar, içerikler veya bilgiler ve (c) Anonimleştirilmiş olsa bile (a) ve (b) maddelerinden elde edilenler.
1.3. İzin Verilen Amaç.
Satıcı; Sözleşme kapsamında açıkça yetkilendirilmedikçe, Sözleşme kapsamında verilen (varsa) lisanslar ile tutarlı olarak yalnızca Sözleşme kapsamındaki hizmetleri sağlama amacına (“İzin Verilen Amaç”) yönelik şekilde yalnızca Sözleşme kapsamında açıkça yetkilendirilen Logitech Bilgileri’ni toplayabilir, kullanabilir, depolayabilir, iletebilir ve söz konusu bilgilere erişebilir. Satıcı; Sözleşme kapsamında açıkça yetkilendirilmedikçe herhangi bir Logitech Bilgisi’ni toplamayacak, kullanmayacak, depolamayacak, iletmeyecek ve söz konusu bilgilere erişmeyecektir ve Anonimleştirilmiş olsa bile Logitech Bilgileri’ni Toplulaştırmayacaktır. Satıcı; Logitech’in önceden açık yazılı izni olmadan (A) herhangi bir Logitech Bilgisi’ni aktarmayacak, kiralamayacak, takas etmeyecek, ticari faaliyetler için kullanmayacak, satmayacak, kiralamayacak, ödünç vermeyecek, kiraya vermeyecek ya da herhangi bir üçüncü tarafa dağıtmayacak veya sunmayacaktır ya da (B) Anonimleştirilmiş olsa bile Logitech Bilgileri’ni herhangi bir başka bilgi veya veri ile Toplulaştırmayacaktır.
2. GÜVENLİK İLKESİ
2.1. Temel Güvenlik Gereklilikleri. Satıcı; Logitech Bilgileri’nin sınıflandırılması ve hassasiyet düzeyine dayalı olarak Logitech tarafından belirtilen mevcut en iyi endüstri standartları ve diğer gerekliliklerle tutarlı olarak, (A) Satıcı tarafından erişim sağlanan, toplanan, kullanılan, depolanan veya iletilen Logitech Bilgileri’nin güvenliğini ve gizliliğini korumak ve (B) söz konusu bilgileri güvenliğine ve bütünlüğüne yönelik bilinen veya makul olarak beklenen tehditlerden veya tehlikelerden, kazara kaybedilmesine, değişikliklere, ifşa edilmesine ve diğer tüm yasa dışı işleme biçimlerine karşı korumak için fiziksel, idari ve teknik önlemler ile diğer güvenlik önlemlerini sürdürecektir. Satıcı, herhangi bir sınırlama olmaksızın aşağıdaki gerekliliklere uyacaktır:
- Güvenlik Duvarı. Satıcı, İnternet aracılığıyla erişilebilen verileri korumak için çalışan bir ağ güvenlik duvarı kurup söz konusu güvenlik duvarının bakımını yapacak ve tüm Logitech Bilgileri’nin her zaman güvenlik duvarı ile korunmasını sağlayacaktır.
- Güncellemeler. Satıcı, Logitech Bilgileri’nin güvenliğini sağlamak için gerekli olan en son yükseltmeler, güncellemeler, hata düzeltmeleri, yeni sürümler ve diğer değişikliklerle sistemlerini ve yazılımını güncel tutacaktır.
- Kötü Amaçlı Yazılımdan Koruma. Satıcı, her zaman kötü amaçlı yazılımdan koruma yazılımı kullanacak ve kötü amaçlı yazılımdan koruma yazılımını güncel tutacaktır. Satıcı, makul olarak tespit edilen veya tespit edilmesi gereken tüm virüslerden, casus yazılımlardan ve diğer kötü amaçlı kodlardan gelen tehditleri azaltacaktır.
- Şifreleme. Satıcı, bekleyen verileri ve açık ağlar üzerinden gönderilen verileri sektördeki en iyi uygulamalara uygun olarak şifreleyecektir.
- Test Etme. Satıcı, işbu Güvenlik İlkesi’nin gerekliliklerini karşıladığından emin olmak için güvenlik sistemlerini ve süreçlerini düzenli olarak test edecektir.
- Erişim Kontrolleri. Satıcı, aşağıdaki gerekliliklere uymak dâhil olmak üzere Logitech Bilgileri’ni güvence altına alacaktır:
- Satıcı, Logitech Bilgileri’ne bilgisayar üzerinden erişimi olan herkese benzersiz bir kimlik atayacaktır.
- Satıcı, Logitech Bilgileri’ne erişimi yalnızca İzin Verilen Amaç doğrultusunda “bilmesi gereken” kişilerle kısıtlayacaktır.
- Satıcı, Logitech Bilgileri’ne erişimi olan kişilerin ve hizmetlerin listesini düzenli olarak inceleyecek ve erişim gerektirmeyen hesapları kaldıracaktır (veya Logitech’e hesapları kaldırmasını tavsiye edecektir). Bu inceleme en az 90 günde bir gerçekleştirilmelidir.
- Satıcı, herhangi bir işletim sistemi, yazılım veya diğer sistemler üzerinde sistem parolaları ve diğer güvenlik parametreleri için üretici tarafından sağlanan varsayılanları kullanmayacaktır. Satıcı, Logitech Bilgileri’ni barındıran, depolayan, işleyen veya bunlara erişimi olan veya bunlara erişimi kontrol eden tüm sistemlerde en iyi uygulamalara (aşağıda açıklanmıştır) uygun olarak sistem tarafından gerektirilen “güçlü parolaların” kullanılmasını zorunlu kılıp sağlayacaktır ve tüm parolalar ile erişim kimlik bilgilerinin gizli tutulmasını ve personel arasında paylaşılmamasını şart koşacaktır. Parolalar şu kriterlere uymalıdır: En az 12 karakter içermelidir; önceki parolalar, kullanıcının oturum açma bilgileri veya ortak ad ile eşleşmez; hesabın ele geçirildiğinden şüphelenildiğinde veya bu tür bir varsayım yapıldığında değiştirilmelidir ve 90 günden fazla olmayacak şekilde düzenli olarak değiştirilmelidir.
- Bir hesapta art arda 10’dan fazla yanlış parola denemesi yapıldığında Satıcı, Logitech Bilgileri’ne erişimi olan hesapları devre dışı bırakarak “hesap kilitleme” sürecini uygulayacak ve zorunlu kılacaktır.
- Satıcı, Logitech tarafından yazılı olarak açıkça yetkilendirilmedikçe Logitech Bilgileri’ni (depolanan, işlenen veya iletilenler dâhil) her zaman Satıcı’nın ve herhangi bir üçüncü tarafın bilgilerinden izole edecektir.
- Ek fiziksel erişim kontrolleri Logitech tarafından yazılı olarak talep edildiğinde Satıcı, ilgili güvenli fiziksel erişim ve kontrol önlemlerini uygulayacak ve kullanacaktır.
- Satıcı; 1) Logitech adına kullanım için Satıcı’ya sağlanan Logitech hesaplarının veya kimlik bilgilerinin (ör. sosyal medya hesabının kimlik bilgileri) her türlü kullanımıyla (yetkili ve yetkisiz şekilde) ilgili kayıt verilerini ve (2) Logitech personelini veya Logitech Bilgileri’ne erişimi olan Satıcı personelini taklit etme veya taklit etme girişimleri hakkındaki ayrıntılı günlük verilerini yıllık olarak veya Logitech’in talebi üzerine daha sık aralıklarla Logitech’e sunacaktır.
- Satıcı, kötü amaçlı davranış veya yetkisiz erişim belirtilerine karşı erişim günlüklerini düzenli olarak inceleyecektir.
- Satıcı İlkesi. Satıcı, ilke ihlallerini tespit etme ve kaydetme yöntemleri dâhil olmak üzere işbu ilkede belirtilen standartları karşılayan çalışanlar, alt yükleniciler, aracılar ve Satıcılar için bir bilgi ve ağ güvenliği ilkesi uygulayacak ve zorunlu kılacaktır. Logitech’in talebi üzerine Satıcı, herhangi bir Güvenlik Olayı teşkil etmese bile, Satıcı’nın bilgi ve ağ güvenliği ilkesi ihlalleri hakkında Logitech’e bilgi verecektir.
- Alt Sözleşme. Satıcı, Logitech’in önceden yazılı izni olmadan işbu Güvenlik İlkesi kapsamındaki yükümlülükleri için alt sözleşme yapmayacak veya söz konusu yükümlülükleri alt yüklenicilere devretmeyecektir. Herhangi bir alt sözleşme veya yetki devrinin varlığına veya koşullarına bakılmaksızın Satıcı, işbu Güvenlik İlkesi kapsamındaki yükümlülüklerinin tam olarak yerine getirilmesinden sorumlu olacaktır. İşbu Güvenlik İlkesi’nin hüküm ve koşulları, Satıcı’nın alt yüklenicileri ve personeli için bağlayıcı olacaktır. Satıcı; (a) Satıcı’nın alt yüklenicilerinin ve personelinin işbu Güvenlik İlkesi’ne uymasını sağlayacak ve (b) alt yüklenicilerinin ve personelinin herhangi bir yasa, kural veya düzenleme (varsa) ihlali dâhil olmak üzere tüm eylemleri, kusurları, ihmalleri ve suistimallerinden sorumlu olacaktır.
- Uzaktan Erişim. Satıcı; Logitech Bilgileri’ni veya Satıcı’nın kurumsal veya geliştirme iş istasyonu ağlarını barındıran sistemlere, korunan kurum veya üretim ortamlarının dışından herhangi bir erişim için çok faktörlü kimlik doğrulamanın (ör. kullanıcıları tanımlamak için en az iki ayrı faktör gerektirir) gerekli kılındığından emin olacaktır.
- Satıcı personeli. Logitech; Logitech Bilgileri’ne Satıcı personeli tarafından erişimi, Satıcı’nın sözleşme şekli Logitech tarafından belirtilen bireysel gizlilik sözleşmelerini uygulaması ve Logitech’e teslim etmesi şartına bağlayabilir. Logitech tarafından gerekli görülmesi hâlinde Logitech, Satıcı personelinin bireysel gizlilik sözleşmesini imzalamasını talep eder. Satıcı, Logitech Bilgileri’ne erişimi olacak olan Satıcı personelinden imzalı bireysel gizlilik sözleşmelerini alacak ve Logitech’e teslim edecektir (erişim verilmeden veya Satıcı personeline bilgi sağlanmadan önce). Ayrıca Satıcı, (a) talep üzerine mutabık kalınan bir zaman diliminde Logitech Bilgileri’ne erişim sağlayan veya söz konusu bilgileri alan Satıcı personelinin bir listesini Logitech’e sağlayacak ve (b) Logitech Bilgileri’ne erişim sağlamaya yetkilendirilen herhangi bir belirli bireysel Satıcı personeli, (y) artık Logitech Bilgileri’ne erişime ihtiyaç duymuyorsa veya (z) artık Satıcı personeli olarak nitelendirilmiyorsa (ör. Satıcı’yla iş ilişkisini sonlandıran personel) ilgili durumları meydana geldikten sonra en geç 24 saat içinde Logitech’e bildirecektir.
2.2. Logitech Dışı Ağı’na ve Satıcı Portalları’na Erişim. Logitech, İzin Verilen Amaç doğrultusunda, Logitech’in veya bir üçüncü tarafın web sitesinde veya sisteminde web portalları veya diğer halka açık olmayan web siteleri veya dış ağ hizmetleri (her biri “Dış Ağ”) aracılığıyla Satıcı’ya Logitech Bilgileri’ne erişim izni verebilir. Logitech, Satıcı’nın bir Dış Ağ kullanarak herhangi bir Logitech Bilgisi’ne erişmesine izin verirse Satıcı aşağıdaki gerekliliklere uymalıdır:
- İzin Verilen Amaç. Satıcı ve personeli Dış Ağ’a erişecek ve Dış Ağ üzerinde yalnızca İzin Verilen Amaç doğrultusunda Logitech Bilgileri’ne erişecek, bunları toplayacak, kullanacak, görüntüleyecek, alacak, indirecek veya depolayacaktır.
- Hesaplar. Satıcı; Satıcı personelinin yalnızca Logitech tarafından her bir kişi için belirlenen Dış Ağ hesaplarını kullanmasını sağlayacak ve Satıcı personelinin erişim kimlik bilgilerini gizli tutmasını şart koşacaktır.
- Sistemler. Satıcı, yalnızca Satıcı tarafından yönetilen ve şunları içeren işletim sistemlerinin çalıştırıldığı işletim veya işleme sistemleri veya uygulamaları aracılığıyla Dış Ağ’a erişebilecek: (i) Bölüm 2.1(A) (Güvenlik duvarı) uyarınca sistem ağı güvenlik duvarları; (ii) Bölüm 2.1(B) (Güncellemeler) uyarınca merkezî yama yönetimi; (iii) Bölüm 2.1(C) (Kötü amaçlı yazılımdan koruma) uyarınca işletim sistemine uygun kötü amaçlı yazılımdan koruma yazılımı ve (iv) taşınabilir cihazlar için tam disk şifrelemesi.
- Kısıtlamalar. Logitech tarafından önceden yazılı olarak onaylanmadığı sürece Satıcı, hiçbir Logitech Bilgisi’ni herhangi bir makine, cihaz veya sunucu dâhil olmak üzere herhangi bir ortamda herhangi bir Dış Ağ’dan indirmeyecek, yansıtmayacak veya kalıcı olarak saklamayacaktır.
- Hesabın Sonlandırılması. Satıcı; herhangi bir Dış Ağ’a erişim sağlamaya yetkilendirilen herhangi bir belirli Satıcı personeli (a) artık Logitech Bilgileri’ne erişime ihtiyaç duymuyorsa, (b) artık Satıcı personeli olarak nitelendirilmiyorsa (ör. Satıcı ile iş ilişkisini sonlandıran personel) veya (c) 30 gün veya daha uzun süre boyunca Logitech Bilgileri’ne erişim sağlamamışsa ilgili durumlar meydana geldikten sonra en geç 24 saat içinde her bir Satıcı personelinin hesabını sonlandıracak ve Logitech’i bilgilendirecektir.
- Üçüncü Taraf Sistemler.
- Satıcı; (a) veriler işbu Güvenlik İlkesi’ne uygun şekilde şifrelenmemişse, Logitech Bilgileri’ni depolayan veya bu bilgilere başka şekilde erişimi olabilecek herhangi bir üçüncü taraf sistem kullanmadan önce Logitech’e önceden bildirimde bulunacak ve Logitech’in önceden yazılı onayını alacaktır ve (b) üçüncü taraf sistem, verilerin şifreleme anahtarına veya şifrelenmemiş “düz metin” versiyonlarına erişemeyecektir. Logitech, onay vermeden önce üçüncü taraf sistem için bir Logitech güvenlik incelemesi (aşağıdaki Bölüm 2.5 uyarınca) talep etme hakkını saklı tutar.
- Satıcı, Logitech Bilgileri’ni depolayan veya bu bilgilere başka şekilde erişimi olabilecek herhangi bir üçüncü taraf sistem kullanıyorsa Satıcı, üçüncü taraf sistemlerin güvenlik incelemesini gerçekleştirmesi gerekecek ve Logitech tarafından talep edilen biçimde (ör. SAS 70, SSAE 16 veya bir ardıl rapor) veya Logitech tarafından onaylanmış diğer bilinen endüstri standardı raporunda üçüncü taraf sistemin güvenlik kontrolleri hakkında Logitech’e periyodik raporlama sağlayacaktır.
2.3. Veri Saklama ve İmha Etme.
- Saklama. Satıcı, Logitech Bilgileri’ni yalnızca İzin Verilen Amaç doğrultusunda ve bu amaç için gerekli olduğu sürece saklayacaktır.
- İade Etme veya Silme. Satıcı, Logitech’in iade ve/veya silme işlemi gerektiren bildirimi üzerine ve uyarınca derhâl (Logitech’in talebinin ardından en fazla 10 gün içinde) tüm Logitech Bilgileri’ni Logitech’e iade edecek ve kalıcı ve güvenli bir şekilde silecektir. Ayrıca Satıcı, yasal olarak saklaması gerekmedikçe, İzin Verilen Amaç’ın erken tamamlanmasından ya da Sözleşme’nin feshedilmesinden veya sona ermesinden sonraki 90 gün içinde Logitech Bilgileri’nin tüm canlı (çevrimiçi veya ağdan erişilebilir) örneklerini kalıcı ve güvenli bir şekilde silecektir. Logitech tarafından talep edilmesi hâlinde Satıcı, tüm Logitech Bilgileri’nin imha edildiğini yazılı olarak onaylayacaktır.
- Arşiv Kopyaları. Satıcı’nın vergi veya benzer düzenleme amaçlarıyla Logitech Bilgileri’nin arşiv kopyalarını saklaması Kanunen zorunlu kılınıyorsa söz konusu arşivlenen Logitech Bilgileri şu yöntemlerden biri kullanılarak depolanmalıdır: fiziksel olarak güvenli bir tesiste depolanan “soğuk” veya çevrimdışı (yani, anında veya etkileşimli olarak kullanılamaz) yedekleme veya şifrelenmiş dosyayı/dosyaları barındıran veya saklayan sistemin şifreleme için kullanılan anahtarın/anahtarların bir kopyasına erişimi olmadığı durumlarda şifrelenmiş şekilde.
- Kurtarma. Satıcı, felaket kurtarma amacıyla bir “kurtarma” işlemi (yani bir yedeğe geri dönme) gerçekleştirirse Sözleşme veya işbu Güvenlik İlkesi çerçevesinde silinmesi gerekli görülen tüm Logitech Bilgileri’nin yeniden silinmesini veya kurtarma işleminden sonraki 24 saat içinde işbu Bölüm 2.3 uyarınca kurtarılan verilerin üzerine yazdırılmasını sağlayan bir süreç oluşturacak ve gerçekleştirecektir. Satıcı herhangi bir amaçla bir kurtarma işlemi gerçekleştirirse Logitech’in önceden yazılı onayı olmadan herhangi bir Logitech Bilgisi herhangi bir üçüncü taraf sistem veya ağ üzerinde kurtarılamayabilir. Logitech, herhangi bir Logitech Bilgisi’nin herhangi bir üçüncü taraf sistem veya ağ üzerinde kurtarılmasına izin vermeden önce, üçüncü taraf sistem veya ağ için bir Logitech güvenlik incelemesi (aşağıdaki Bölüm 2.5 uyarınca) talep etme hakkını saklı tutar.
- Silme Standartları. Satıcı tarafından silinen tüm Logitech Bilgileri, NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation 18 Aralık 2014 (https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization adresinden erişilebilir) veya Logitech Bilgileri’nin sınıflandırılması ve hassasiyet düzeyine bağlı olarak Logitech’in gerekli görebileceği diğer standartlar uyarınca silinecektir.
2.4. Adli İmha. Satıcı, Logitech Bilgileri’ni içeren veya herhangi bir zamanda içermiş olan herhangi bir donanım, yazılım veya diğer ortamları herhangi bir şekilde bertaraf etmeden önce, herhangi bir Logitech Bilgisi’nin herhangi bir biçimde kurtarılmasını veya geri alınmasını engellemek için donanım, yazılım veya diğer ortamların tam bir adli imhasını gerçekleştirecektir. Satıcı, Logitech Bilgileri’nin sınıflandırması ve hassasiyet düzeyine bağlı olarak Logitech’in gerekli görebileceği standartlara uygun olarak adli imha gerçekleştirecektir. Satıcı, Logitech’in talebi üzerine imha sertifikası sağlayacaktır.
- Satıcı, kendisi tarafından adli olarak imha edilmemiş Logitech Bilgileri’ni içeren herhangi bir donanımı, yazılımı veya diğer ortamı satmayacak, yeniden satmayacak, bağışlamayacak, yenilemeyecek veya başka şekillerde devretmeyecektir (bu tür herhangi bir donanımın, yazılımın veya diğer ortamların satışı veya devri, Satıcı’nın işinin tasfiyesi ile bağlantılı olarak elden çıkarılması veya diğer herhangi bir elden çıkarma dâhil).
2.5. Güvenlik İncelemesi.
- Risk Değerlendirme Anketi. Logitech, tüm tedarikçilerin Logitech’in risk değerlendirme anketine güncellenmiş yanıtlar sağlayarak hazırlanan Satıcı Risk Değerlendirmesi’nden en az yılda bir kez geçmesini gerektirir ancak bu, satıcının değerlendirilen riskine bağlı olarak daha sık olabilir.
- Sertifika. Satıcı, Logitech’in yazılı talebi üzerine işbu Sözleşme’ye uygun olduğunu yazılı olarak onaylayacaktır.
- Diğer İncelemeler. Logitech, Satıcı’nın Logitech Bilgileri’ni işlemek için kullandığı sistemlerin güvenliğini periyodik olarak inceleme hakkını saklı tutar. Satıcı, makul bir şekilde iş birliği yapacak ve gerekli tüm bilgileri Logitech’in talep tarihinden itibaren en fazla 20 takvim günü olmak üzere makul bir zaman diliminde Logitech’e sunacaktır.
- İyileştirme. Herhangi bir güvenlik incelemesi, gözlenmiş herhangi bir kusur tespit ederse Satıcı, masraf ve giderleri yalnızca kendisine ait olmak üzere, kararlaştırılan bir zaman dilimi içinde bu kusurları gidermek için gerekli tüm aksiyonları alacaktır.
2.6. Güvenlik İhlali.
- Satıcı; (i) Logitech Bilgileri’ni içeren veya (ii) Logitech Bilgileri’ni koruyan kurallara kayda değer ölçüde benzeyen kontroller ile Satıcı tarafından yönetilen (her biri “Güvenlik İhlali”) geçerli yasa(lar) tarafından tanımlanan Güvenlik İhlali’ni gereğinden fazla geciktirmeksizin (24 saatten fazla olmamak kaydıyla) soc@logitech.com adresi üzerinden Logitech’e bildirecektir. Satıcı, her Güvenlik İhlali’ni zamanında giderecek ve Logitech’e Satıcı’nın her bir Güvenlik Olayı ile ilgili dâhilî soruşturmasına ilişkin yazılı ayrıntıları sağlayacaktır. Logitech özellikle yazılı olarak aksini talep etmedikçe Satıcı, Logitech adına herhangi bir yasal yetkiliyi veya müşteriyi bilgilendirmemeyi kabul eder ve Logitech, herhangi bir bildirimin herhangi bir üçüncü tarafa sunulmadan önce biçimini ve içeriğini inceleme ve onaylama hakkını saklı tutar. Satıcı, onaylanmış tüm Güvenlik Olayları’nı düzeltmek için bir plan oluşturup ve uygulamak için Logitech ile makul ölçüde iş birliği yapacak ve birlikte çalışacaktır.
- Yasal sürece veya yürürlükteki yasalara yanıt olarak Logitech Bilgileri talep edildiğinde Satıcı, gereğinden fazla gecikme olmaksızın (24 saatten fazla olmamak kaydıyla) Logitech’i bilgilendirecektir.