罗技供应商信息安全要求
Logitech Europe S.A. 及其所有子公司和附属公司(统称“罗技”)要求其所有供应商、服务提供商和其他业务合作伙伴(“您”或“供应商”)维护全面的书面信息安全计划(“信息安全计划”),包括技术、物理和组织措施,以确保罗技、罗技关联公司及其员工、代表、承包商、客户和供应商提供的信息(统称为“罗技数据”)的机密性、安全性、完整性和可用性,并防止未经授权访问、使用、披露、更改或破坏罗技数据。本信息安全计划附属于并通过引用并入其中指定的罗技实体与您之间的服务协议(“协议”)。具体而言,信息安全计划应包括但不限于以下适当或必要的措施,以确保对罗技数据的保护:
- 访问控制 - 政策、程序以及物理和技术控制:
- 限制对您的信息系统及其所在设施的物理访问,仅限于经过适当授权的人员;
- 确保需要访问罗技数据的所有员工都具有适当的受控访问权限,并防止不应获得访问的员工和其他人获得访问权限;
- 仅对授权个人进行身份验证和允许访问,并防止您的员工向未经授权的个人提供罗技数据或相关信息;并
- 在需要时加密和解密罗技数据。
- 安全意识和培训 - 定期为您的所有员工(包括管理层)提供安全意识和培训计划,其中包括有关如何实施和遵守信息安全计划的培训。
- 安全事件程序 - 检测、响应和以其他方式解决安全事件的政策和程序,包括监控系统和检测对罗技数据或相关信息系统的实际和企图攻击或入侵的程序,以及识别和响应的程序可疑或已知的安全事件,减轻安全事件的有害影响,并记录安全事件及其结果。如果您发现任何可能触发任何一方在安全漏洞法下的义务的情况,您应立即通过 soc@logitech.com 向罗技提供书面通知,并应与罗技充分合作,以使罗技能够履行其在安全漏洞法下的义务。
- 应急计划 - 用于响应损坏罗技数据或包含罗技数据的系统的紧急情况或其他事件(例如,火灾、故意破坏、系统故障和自然灾害)的政策和程序,包括数据备份计划和灾难恢复计划,并立即通过 soc@logitech.com 向罗技提供书面通知。
- 设备和媒体控制 - 有关包含罗技数据的硬件和电子媒体进出您设施的政策和程序,以及这些物品在您设施内的移动,包括处理对罗技数据和/或存储数据的硬件或电子媒体的最终处置的政策和程序,以及在媒体可供重复使用之前从电子媒体中删除罗技数据的程序。您应确保不会将罗技数据下载或以其他方式存储在笔记本电脑或其他便携设备上,除非它们受到此处要求的所有保护。此类保护措施应包括但不限于:所有访问罗技数据的设备均应加密,并使用最新的反恶意软件检测预防软件。
- 审计控制 - 用于记录和检查包含或使用电子信息的信息系统活动的硬件、软件、服务、平台和/或程序机制,包括有关这些安全要求及其合规性的适当日志和报告。
- 政策和程序 - 确保罗技数据的机密性、完整性和可用性,并保护其免受意外、未经授权或不当披露、使用、更改或破坏的政策和程序。
- 存储和传输安全 - 防止未经授权访问通过电子通信网络传输的罗技数据的技术安全措施,包括在未经授权的个人可能有权限访问的网络或系统中传输和存储时以电子形式对罗技数据进行加密的机制。
- 指定的安全责任 - 您应指定一名安全员负责您的信息安全计划的开发、实施和维护。
- 物理存储介质 - 确保在将包含罗技数据的任何存储介质分配、调配或重新分配给其他用户之前,或在将此类存储介质从设施中永久移除之前,您将根据第 2.3 (e.) 节进行安全删除的政策和程序。从物理和逻辑角度两方面删除此类罗技数据,以使介质不包含残留数据,或在必要时物理销毁此类存储介质。对于包含罗技数据的所有存储介质,您应维护一个可审核的计划,以实施本节中规定的处置和销毁要求。
- 测试 - 您应定期测试您的信息安全计划的关键控制、系统和程序,以确保它们得到正确实施并有效应对已识别的威胁和风险。测试应由独立的第三方或独立于开发或维护安全程序的人员进行或审查。
- 持续更新计划 - 您应根据技术或行业安全标准的任何相关变化、罗技数据的敏感性、针对您或罗技数据的内外部威胁,以及您自己不断变化的业务安排,例如并购、联盟和合资、外包安排以及信息系统的变更,而对信息安全计划进行监控、评估和适当调整。
更具体地说,供应商的信息安全计划应满足或超过以下要求:
1.范围;定义
1.1.安全政策。供应商将在所有方面遵守《罗技供应商信息安全要求》(“安全政策”)中规定的罗技信息安全要求。本安全政策适用于供应商在供应商与罗技之间的任何协议(“协议”)下的供应商履约,以及与罗技信息(定义见下文)有关的所有访问、收集、使用、存储、传输、披露、销毁或删除以及安全事件。本安全政策不限制供应商的其他义务,包括根据本协议或适用于供应商的任何法律、供应商在本协议下的履约、罗技信息或许可目的(定义见下文)。如果本安全政策与协议直接冲突,供应商将立即将冲突通知罗技,并将遵守对罗技信息(可由罗技指定)更具限制性和保护性的要求。
1.2.定义。
- “关联公司”就特定人员而言是指直接或间接控制该人员、受其控制或与该人员共同控制的任何实体。
- “整合”是指将罗技信息与供应商或任何第三方的任何数据或信息合并或存储。
- “匿名化”是指以无法识别、允许识别并且不能以其他方式归属于任何用户、设备标识符、来源、产品、服务、环境、品牌,或者罗技或其附属公司的方式或形式使用、收集、存储、传输或转换任何数据或信息(包括罗技信息)。
- “罗技信息”分别和共指:(a) 所有罗技机密信息(定义见协议或双方的保密协议);(b) 供应商或其关联公司从罗技或其关联公司处或代表罗技或其关联公司获取、访问、收集、接收、存储或维护的所有其他数据、记录、文件、内容或信息,或者与本协议、本协议下提供的服务或双方履行或行使本协议项下或与本协议有关的权利的其他相关情况;(c) 源自 (a) 或 (b),即使是匿名的。
1.3.许可目的。
除非本协议明确授权,否则供应商仅可按根据协议授予的授权(如果有)的要求(“许可目的”)访问、收集、使用、存储和传输本协议明确授权的罗技信息,并且仅出于提供本协议项下服务的目的。除非协议明确授权,否则供应商不得访问、收集、使用、存储或传输任何罗技信息,也不会整合罗技信息,即使是匿名的。除非获得罗技事先明确的书面同意,否则供应商不得 (A) 转让、出租、易货、交易、出售、出租、出借、租赁或以其他方式向任何第三方分发或提供任何罗技信息,或 (B) 整合罗技信息与任何其他信息或数据,即使是匿名的。
2.安全政策
2.1.基本安全要求。供应商将根据当前最佳行业标准以及罗技根据罗技信息的分类和敏感性规定的其他此类要求,维护物理、管理和技术保护措施以及其他安全措施 (A),以维护供应商访问、收集、使用、存储或传输的罗技信息的安全性和机密性,以及 (B) 保护该信息免受已知或合理预期的对其安全性和完整性的威胁或危害、意外丢失、更改、披露和所有其他非法形式的处理。供应商将没有限制的情况下遵守以下要求:
- 防火墙。供应商将安装和维护有效的网络防火墙以保护可通过互联网访问的数据,并将始终保持所有罗技信息受防火墙保护。
- 更新。供应商将通过最新的升级、更新、错误修复、新版本和其他必要的修改使其系统和软件保持最新状态,以确保罗技信息的安全。
- 反恶意软件。供应商将始终使用反恶意软件,并使反恶意软件保持最新。供应商将减轻所有已合理检测到或应该检测到的病毒、间谍软件和其他恶意代码的威胁。
- 加密。供应商将根据行业最佳实践对静态数据和通过开放网络发送的数据进行加密。
- 测试。供应商将定期测试其安全系统和流程,以确保它们符合本安全政策的要求。
- 访问控制。供应商将保护罗技信息,包括遵守以下要求:
- 供应商将为每个可以通过计算机访问罗技信息的人员分配一个唯一的 ID。
- 供应商将限制对罗技信息的访问,仅限于出于许可目的“需要了解”的人员。
- 供应商将定期审查有权访问罗技信息的人员和服务列表,并移除不再需要访问权限的帐户(或建议罗技删除帐户)。该审查必须至少每 90 天执行一次。
- 供应商不会在任何操作系统、软件或其他系统上使用制造商提供的默认系统密码和其他安全参数。供应商将根据最佳实践(如下所述)强制并确保在所有托管、存储、处理或拥有或控制对罗技信息的访问权的系统上使用系统强制执行的“强密码”,并将要求所有密码访问凭证是保密的,不会在人员之间共享。密码必须满足以下条件:至少包含 12 个字符;与此前的密码、用户登录名或常用名不同;每当怀疑或假设帐户泄露时必须更改;并在不超过 90 天的期限内定期更换。
- 当帐户连续输入错误密码超过 10 次时,供应商将通过禁用可访问罗技信息的帐户来维持并强制执行“帐户锁定”。
- 除非获得罗技书面明确授权,否则供应商将始终将罗技信息(包括存储、处理或传输)与供应商和任何第三方信息隔离开来。
- 如果罗技以书面形式要求额外的物理访问控制,供应商将实施和使用这些安全的物理访问控制措施。
- 供应商应每年或更频繁地根据罗技的要求向罗技提供,(1) 有关罗技帐户的所有使用(授权和未经授权)或提供给供应商以代表罗技使用的凭据(例如社交媒体帐户)的日志数据,和 (2) 有关任何假冒或试图假冒罗技人员或有权访问罗技信息的供应商人员的详细日志数据。
- 供应商将定期审查访问日志以查找恶意行为或未经授权访问的迹象。
- 供应商政策。供应商将为员工、分包商、代理和供应商维护和执行符合本政策规定标准的信息和网络安全政策,包括检测和记录违反政策的方法。应罗技要求,供应商将向罗技提供有关违反供应商信息和网络安全政策的信息,即使此类行为并不构成安全事件。
- 转包。未经罗技事先书面同意,供应商不得将其在本安全政策下的任何义务转包或委托给任何分包商。即使有任何分包合同或委托或者相应条款存在,供应商仍将负责全面履行其在本安全政策下的义务。本安全政策的条款和条件将对供应商的分包商和人员具有约束力。供应商 (a) 将确保供应商的分包商和人员遵守本安全政策,并且 (b) 将对其分包商和人员的所有行为、遗漏、疏忽和不当行为负责,包括(如适用)违反任何法律、规则或监管。
- 远程访问。供应商将确保从外部受保护的公司或生产环境对保存罗技信息的系统或供应商的公司或开发工作站网络的任何访问都需要多重身份验证(例如,需要至少两个单独的因素来识别用户)。
- 供应商人员。罗技可在供应商人员执行并向罗技交付个人保密协议(形式由罗技指定)的情况下,允许供应商人员访问罗技信息。如果罗技有要求,罗技会要求供应商人员签署单独的保密协议。供应商将从有权访问罗技信息的供应商人员处获取签署的个人保密协议并交付给罗技(在向供应商人员授予访问权限或提供信息之前)。供应商还将 (a) 在商定的时间范围内应要求向罗技提供已访问或接收罗技信息的供应商人员名单,以及 (b) 在任何特定供应商人员授权访问后 24 小时内将本节规定的罗技信息通知给罗技:(y) 不再需要访问罗技信息或 (z) 不再具备供应商人员资格(例如,该人员离开供应商工作岗位)。
2.2.访问罗技外联网和供应商门户。罗技可出于许可目的授予供应商通过门户网站或其他非公开网站或者罗技或第三方网站或系统(均称为“外联网”)的外联网服务访问罗技信息的权限。如果罗技允许供应商使用外联网访问任何罗技信息,则供应商必须遵守以下要求:
- 许可目的。供应商及其人员将仅出于许可目的访问外联网并从外联网访问、收集、使用、查看、检索、下载或存储罗技信息。
- 账户。供应商将确保供应商人员仅使用罗技为每个人指定的外联网帐户,并将要求供应商人员对其访问凭证保密。
- 系统。供应商只能通过运行由供应商管理的操作系统的计算或处理系统或者应用程序访问外联网,其中包括:(i) 符合第 2.1(A) 节(防火墙)的系统网络防火墙;(ii) 符合第 2.1(B) 节(更新)的集中补丁管理;(iii) 符合第 2.1(C) 节(反恶意软件)的操作系统适用的反恶意软件;(iv) 对于便携式设备,全盘加密。
- 限制。除非获得罗技事先书面批准,否则供应商不可从任何外联网下载、镜像或永久存储任何介质上的任何罗技信息,包括任何机器、设备或服务器。
- 账户终止。供应商将终止每个供应商人员的账户,并在任何被授权访问任何外联网的特定供应商人员 (a) 不再需要访问罗技信息,(b) 不再有资格作为供应商人员(例如,人员离开供应商的工作岗位),或 (c) 至少30天不再访问罗技信息的情况下,在 24 小时通知罗技。
- 第三方系统。
- 供应商在使用存储或可能以其他方式访问罗技信息的任何第三方系统之前,应事先通知罗技并获得罗技的事先书面批准,除非 (a) 数据已按照本安全政策进行加密,并且 (b)第三方系统将无法访问解密密钥或未加密的“纯文本”数据版本。罗技保留在给予批准之前要求(根据下文第 2.5 节)对第三方系统进行罗技安全审查的权利。
- 如果供应商使用任何第三方系统存储或以其他方式访问未加密的罗技信息,则供应商必须对第三方系统及其安全控制进行安全审查,并以罗技要求的格式(例如 SAS 70、SSAE 16 或后续报告)或罗技批准的其他公认的行业标准报告格式定期向罗技提供有关第三方系统安全控制的报告。
2.3.数据的保留和销毁。
- 保留。供应商将仅出于许可目的并在必要的时间期限内保留罗技信息。
- 返还或删除。供应商应立即(在罗技提出要求后的 10 天内)将信息返还罗技,并根据罗技要求返还和/或删除的通知,永久、安全地删除所有罗技信息。此外,除非法律要求保留,否则供应商将在许可目的完成或者协议终止或到期后的 90 天内永久且安全地删除罗技信息的所有实时(在线或网络可访问)实例。如果罗技要求,供应商将书面证明所有罗技信息已被销毁。
- 存档副本。如果法律要求供应商出于税收或类似监管目的保留罗技信息的存档副本,则此存档的罗技信息必须以下列方式之一存储:作为“冷”或离线(即,不可用于即时或交互式使用)存储在物理安全设施中的备份;或者加密,其中托管或存储加密文件的系统无权访问用于加密的密钥的副本。
- 恢复。如果供应商出于灾难恢复的目的执行“恢复”(即恢复至备份),则供应商将拥有并维护一个流程,以确保根据协议或本安全政策需要删除的所有罗技信息将在恢复发生后 24 小时内,根据本第 2.3 节从恢复的数据中重新删除或覆盖。如果供应商出于任何目的执行恢复,未经罗技事先书面批准,不得将罗技信息恢复到任何第三方系统或网络。在允许将任何罗技信息恢复到任何第三方系统或网络之前,罗技保留要求对第三方系统或网络(根据下文第 2.5 节)进行罗技安全审查的权利。
- 删除标准。供应商删除的所有罗技信息将根据 2014 年 12 月 18 日 NIST 特别出版物 800-88 修订版 1 媒体卫生指南(可在 https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization 获取),或罗技根据罗技信息的分类和敏感性可能要求的其他此类标准进行删除。
2.4.取证销毁。在以任何方式处置包含或在任何时候包含罗技信息的任何硬件、软件或任何其他介质之前,供应商将对硬件、软件或其他介质进行彻底的取证销毁,以使罗技信息不能以任何形式恢复或检索。供应商将根据罗技据罗技信息的分类和敏感性要求的标准执行取证销毁。供应商应根据罗技的要求提供销毁证明。
- 供应商不得出售、转售、捐赠、翻新或以其他方式转让(包括任何此类硬件、软件或其他媒体的任何出售或转让,与供应商业务清算有关的任何处置,或任何其他处置)任何包含未经供应商取整销毁的罗技信息的硬件、软件或其他媒体。
2.5.安全审查。
- 风险评估问卷。罗技要求所有供应商进行供应商风险评估,通过提供对罗技风险评估问卷的更新答复来触发,至少每年进行一次,但根据供应商的评估风险可能会更频繁。
- 证明。应罗技的书面要求,供应商将书面向罗技证明其遵守本协议。
- 其他审查。罗技保留定期审查供应商用于处理罗技信息的系统安全性的权利。供应商将在合理的时间范围内合理合作并向罗技提供所有必需的信息,但不可超过自罗技提出要求之日起的 20 个日历日。
- 补救措施。如果任何安全审查发现任何注意到的缺陷,供应商将自行承担成本和费用,在商定的时间范围内采取所有必要的行动来解决这些缺陷。
2.6.安全漏洞。
- 对于符合适用法律定义的安全漏洞,若 (i) 包含罗技信息,或 (ii) 由供应商管理并且控制措施与保护罗技信息的控制措施基本相似(均视为“安全漏洞”),则供应商应通过 soc@logitech.com 及时(不超过 24 小时)通知罗技。供应商将及时纠正每个安全漏洞,并向罗技提供有关供应商对每个安全事件进行内部调查的书面详细信息。供应商同意不代表罗技通知任何监管机构或任何客户,除非罗技以书面形式明确要求供应商这样做,并且罗技保留在将任何通知提供给任何一方之前审查和批准任何通知的形式和内容的权利.供应商将与罗技合理合作,共同制定和执行整改所有已确认安全事件的计划。
- 根据法律程序或适用法律要求提供罗技信息时,供应商应及时(不超过 24 小时)通知罗技。