羅技供應商資訊安全性要求
Logitech Europe SA. 及其所有子公司和關聯公司 (統稱為「羅技」) 要求其所有供應商、服務提供商和其他業務合作夥伴 (以下稱「您」或「供應商」) 維護全面的書面資訊安全性計畫 (以下稱「資訊安全性計畫」),包括技術、實體和組織措施,以確保羅技、羅技關聯公司及其員工、代表、承包商、客戶和供應商提供之資訊 (統稱為「羅技資料」) 的機密性、安全性、完整性和可用性,並防止未經授權訪問、使用、披露、更改或破壞羅技資料。此資訊安全性計畫附加於其所指定的羅技實體與您之間的服務協議 (以下稱「協議」),並透過引用納入其中。具體而言,資訊安全性計畫應包括但不限於以下適當或必要措施,以確認保護羅技資料:
- 訪問控制 – 政策、程序、與實體和技術控制:
- 將對您資訊系統及其所在設施的實體訪問,限制為僅限獲得適當授權的人員;
- 確保需要訪問羅技資料的所有員工,都具有適當控制的訪問權限,並防止這些員工和其他不應訪問的員工獲得訪問權限;
- 僅允許獲得授權的個人進行訪問並進行身份驗證,並防止您的員工向未經授權的個人提供羅技資料或相關資訊;且
- 在需要時加密和解密羅技資料。
- 將對您資訊系統及其所在設施的實體訪問,限制為僅限獲得適當授權的人員;
- 安全意識和培訓 – 定期為您的所有員工 (包括管理層) 提供安全意識和培訓計畫,其中包括關於如何實施和遵守資訊安全性計畫的培訓。
- 安全事件程序 - 偵測、回應和以其他方式解決安全事件的政策和程序,包括監控系統和偵測對羅技資料或相關資訊系統的實際和企圖攻擊或入侵的程序,以及辨識與回應疑似或已知的安全事件,減輕安全事件有害影響,並記錄安全事件及其結果的程序。如果您知悉任何可能觸發任何一方根據安全漏洞法律需承擔之義務的情況,應立即透過 soc@logitech.com 向羅技提供書面通知,並應與羅技充分合作,以使羅技能夠履行其安全漏洞法律的義務。
- 應急計畫 - 用來回應損壞羅技資料或包含羅技資料之系統的緊急情況或其他事件 (例如火災、故意破壞、系統故障和自然災害) 的政策和程序,包括資料備份計畫和災難復原計劃,並立即透過 soc@logitech.com 向羅技提供書面通知。
- 裝置與媒體控制 - 包含羅技資料進出您設施的硬體和電子媒體的政策和程序,以及這些項目在您設施中的移動,包括處理羅技資料及/或儲存資料之硬體或電子媒體的最終處置方式的政策和程序,以及在媒體可供重複使用之前從電子媒體中刪除羅技資料的程序。您應確保沒有將羅技資料下載或以其他方式儲存在筆記型電腦或其他便攜式裝置上,除非資料受到此處要求的所有保護。此類保護措施應包括但不限於所有訪問羅技資料的裝置均應加密,並使用最新的反惡意軟體偵測預防軟體。
- 稽核控制 – 用於記錄或檢查電子資訊系統中之活動的硬體、軟體、服務、平台及/或程序機制,包括關於這些安全性要求及其合規性的適當日誌和報告。
- 政策和程序 - 確保羅技資料的機密性、完整性和可用性,並保護其免遭意外、未經授權或不當披露、使用、更改或破壞的政策和程序。
- 儲存和傳輸安全 – 防止未經授權訪問透過電子通訊網路傳輸之羅技資料的技術安全措施,包括在可能遭受未經授權之個人訪問的網路或系統上傳輸和儲存時對電子格式之羅技資料加密的機制。
- 指定安全性負責人 - 您應指定一名安全性官員負責您資訊安全性計畫的擬定、實施和維護。
- 實體儲存媒體 - 確保在將包含羅技資料的任何儲存媒體指派、分配或轉分配給其他使用者之前,或在將此類儲存媒體從設施中永久移除之前,您會根據第 2.3 (e.) 條進行安全刪除的政策和程序,使得從實體和邏輯的角度,該媒體不會包含殘餘資料,或在必要時實體銷毀此類儲存媒體。您應維護可供稽核的計畫,以對含有羅技資料的所有儲存媒體,實施本條規定的處置和銷毀要求。
- 測試 - 您應定期測試您資訊安全性計畫的關鍵控制、系統和程序,以確保其適當實施,並能有效應對發現的威脅和風險。測試應由獨立第三方或獨立於開發或維護安全程序以外的人員進行或審查。
- 使計畫保持最新狀態 - 您應根據技術或產業安全標準的任何相關變化、羅技資料的機密程度、對您或羅技資料的內部或外部威脅,以及您自身不斷變化的業務安排 (例如合併和收購、聯盟和合資企業、外包安排以及資訊系統的變化),監測、評估並酌情調整資訊安全性計畫。
更具體而言,供應商的資訊安全性計畫應達到或超過以下要求:
1.範圍;定義
1.1.安全性政策。供應商應在所有方面遵守羅技供應商資訊安全性要求 (以下稱「安全性政策」) 中規定的羅技資訊安全性要求。此安全性政策適用於供應商在供應商與羅技之間的任何協議 (以下稱「協議」) 下的履行行為,以及與羅技資訊 (定義見下文) 有關的所有訪問、收集、使用、儲存、傳輸、披露、銷毀或刪除、以及安全性事件。此安全性政策不限制供應商的其他責任,包括根據此協議的責任,或適用於供應商之任何法律、供應商對此協議的履行、羅技資訊或允許用途 (定義見下文) 的責任。如果此安全性政策與協議發生直接抵觸的情況,供應商應及時通知羅技此類抵觸情況,並遵守對羅技資訊施予更多限制和更多保護的要求 (可由羅技指定)。
1.2.定義。
- 「關聯公司」是指由某一特定人員直接或間接控制、受控於該人員或與該人員共同控制的任何實體。
- 「匯總」是指將羅技資訊與供應商或任何第三方的任何資料或資訊合併或或儲存。
- 「匿名」是指以不識別、不允許識別以及不歸屬於任何使用者、裝置識別項、來源、產品、服務、背景、品牌或羅技或其關聯公司的方式或形式,使用、收集、儲存、傳輸或轉換任何資料或資訊 (包括羅技資訊)。
- 「羅技資訊」是單指或總稱下列項目:(a) 所有羅技的保密資訊 (如協議或雙方之間的保密協議所定義);(b) 供應商或其關聯公司從羅技或其關聯公司,或代表羅技或其關聯公司,或與此協議、此協議下提供的服務、或雙方履行或行使此協議的權利或與之有關的其他方式,取得、訪問、收集、接收、儲存或維護之任何形式或格式的其他資料、記錄、檔案、內容或資訊;以及 (c) 由 (a) 或 (b) 衍生的資訊,即使其為匿名狀態。
1.3.允許用途。
除此協議明確授權的情況外,供應商只能訪問、收集、使用、儲存和傳輸此協議明確授權的羅技資訊,且僅使用於提供根據此協議,與本協議授予的授權 (如有的話) 一致的服務 (以下稱「允許用途」)。除非在協議中明確授權,否則供應商應不訪問、收集、使用、儲存或傳輸任何羅技資訊,也不匯總羅技資訊,即使其為匿名狀態。除非事先獲得羅技明確的書面同意,否則供應商不得 (A) 轉讓、出租、以物易物、交易、出售、貸用、租賃或以其他方式分發或向任何第三方提供任何羅技資訊,或 (B) 將羅技資訊與任何其他資訊或資料匯總,即使其為匿名狀態。
2.安全性政策
2.1.基本安全性要求。供應商應依照目前的最佳產業標準以及羅技根據羅技資訊的分類和機密程度所規定的其他要求,維護實體、行政和技術保障措施以及其他安全措施,(A) 以維護供應商訪問、收集、使用、儲存或傳輸之羅技資訊的安全性和保密性,以及 (B) 保護該資訊免遭已知或合理預期之對其安全性和完整性的威脅或危害、意外損失、更改、披露的侵害,以及所有其他非法形式的處理。供應商應遵守以下要求,不受任何限制:
- 防火牆。供應商應安裝和維護有效的網路防火牆,以保護透過網際網路訪問的資料,並將所有羅技資訊始終保持於防火牆的保護之下。
- 更新。供應商應將其系統和軟體保持具有最新升級、更新、錯誤修正、新版本和其他必要的修改,以確保羅技資訊的安全。
- 反惡意軟體。供應商應在任何時候始終使用反惡意軟體,並保持反惡意軟體的最新狀態。供應商應緩解來自所有可偵測到或應可合理偵測到之病毒、間諜軟體和其他惡意代碼的威脅。
- 加密。供應商應根據產業最佳實務,對靜態資料和在開放網路上傳送的資料進行加密。
- 測試。供應商應定期測試其安全系統和流程,以確保其符合此安全性政策的要求。
- 訪問控制。供應商應確保羅技資訊的安全性,包括遵守以下要求:
- 供應商應對每個能夠使用電腦訪問羅技資訊的人員,指派獨特的 ID。
- 供應商應對羅技資訊的訪問加以限制,只允許為允許用途而「需要知道」的人員訪問。
- 供應商應定期審查可訪問羅技資訊之人員和服務的名單,並刪除不再需要訪問的賬戶 (或建議羅技刪除賬戶)。此項審查必須至少每 90 天進行一次。
- 供應商應不在任何作業系統、軟體或其他系統上使用製造商提供的系統密碼,以及其他安全參數的預設值。供應商應根據最佳實務 (如下所述) 在所有託管、儲存、處理、或擁有或控制羅技資訊訪問權限的系統上,強制並確保使用系統規定的「強式密碼」,並應要求對所有密碼和訪問憑證保密,不在人員之間分享。密碼必須滿足以下條件:至少包含 12 個字元;與以前的密碼、使用者登入名稱或常用名稱不相符;如懷疑或假設賬戶遭入侵時必須變更密碼;且需在不超過 90 天後定期更換。
- 供應商應在賬戶錯誤密碼連續嘗試次數超過 10 次時,透過停用可訪問羅技資訊之賬戶,來維持並執行「賬戶鎖定」措施。
- 除非獲得羅技明確書面授權,否則供應商應始終將羅技資訊 (包括儲存、處理或傳輸),與供應商和任何第三方的資訊相互隔離。
- 如果羅技以書面形式要求額外的實體訪問控制措施,供應商應實施和使用此類安全實體訪問控制措施。
- 供應商應每年,或根據羅技的要求更頻繁地向羅技提供:(1) 有關所有使用 (包括授權和未經授權) 羅技賬戶,或提供給供應商代表羅技使用之憑證 (例如,社交媒體賬戶憑證) 的日誌資料,以及(2) 有關任何冒充或試圖冒充羅技人員或供應商人員訪問羅技資訊的詳細日誌資料。
- 供應商應定期審查訪問日誌,查看是否有惡意行為或未經授權的訪問跡象。
- 供應商應對每個能夠使用電腦訪問羅技資訊的人員,指派獨特的 ID。
- 供應商政策。供應商應為員工、分包商、代理人和供應商維護和執行符合此政策規定的標準資訊和網路安全性政策,包括偵測和記錄違反政策的方法。在羅技要求時,供應商應向羅技提供有關違反供應商資訊和網路安全性政策的資訊,即使其不構成安全性事件。
- 轉包。未經羅技事先書面同意,供應商不得將其在此安全性政策下的任何責任,轉包或委託給任何分包商。即使有任何轉包或授權的存在或條款,供應商仍應負責全面履行其在本安全性政策下的義務。此安全性政策的條款,應對供應商的分包商和人員具有約束力。供應商 (a) 應確保供應商的分包商和人員遵守此安全性政策,且 (b) 應對其分包商和人員的所有行為、不行為、疏忽和不當行為負責,包括 (如適用時) 違反任何法律、規則或條例。
- 遠端訪問。供應商應確保從受保護的企業或生產環境之外位置,對持有羅技資訊之系統或供應商之企業或開發工作站網路的任何訪問,都必須使用多因子認證 (例如,需要使用至少兩個獨立因子以識別使用者)。
- 供應商人員。羅技可將供應商人員需簽署並向羅技提交個人保密協議,指定為供應商人員訪問羅技資訊的條件,該保密協議的形式由羅技指定。如果羅技要求,羅技會要求供應商人員簽署個人保密協議。供應商應從能接觸到羅技資訊的供應商人員處取得並向羅技交付已簽署的個人保密協議 (在授予訪問權限或向供應商人員提供資訊之前)。供應商也應 (a) 在商定的時間範圍內應要求向羅技提供訪問或接收羅技資訊的供應商人員名單,以及 (b) 在根據本條款擁有授權可訪問羅技資訊之任何特定供應商人員有下述情況時,於 24 小時之內通知羅技:(y) 不再需要訪問羅技資訊或 (z) 不再具有供應商人員資格 (例如,該人員從供應商處離職)。
2.2.訪問羅技外部網路和供應商入口網站。羅技可透過羅技或第三方網站,或系統上的網路入口網站,或其他非公開網站或外部網路服務 (各為「外部網路」),授予供應商訪問羅技資訊的權限,以用於允許用途。如果羅技允許供應商使用外部網路訪問任何羅技資訊,供應商必須遵守以下要求:
- 允許用途。供應商及其人員應僅為允許用途訪問外部網路,以訪問、收集、使用、檢視、擷取、下載或儲存來自外部網路的羅技資訊。
- 賬戶。供應商應確保供應商人員只使用羅技為每個人指定的外部網路賬戶,並應要求供應商人員對其訪問憑證保密。
- 系統。供應商應僅透過執行由供應商管理之作業系統的運算或處理系統或應用程式,訪問外部網路,這些項目包括 (i) 符合第 2.1(A) 條 (防火牆) 規定的系統網路防火牆;(ii) 符合第 2.1(B) 條 (更新) 的集中修補程式管理;(iii) 符合第 2.1(C) 條 (反惡意軟體) 的作業系統適當反惡意軟體;以及 (iv) 對於便攜裝置,應具有完整磁碟加密。
- 限制。除非事先獲得羅技的書面許可,否則供應商不應將任何外部網路的任何羅技資訊下載、鏡像或永久儲存到任何媒體,包括任何機器、裝置或伺服器。
- 賬戶終止。供應商應在下列情況時,終止任何獲得授權可訪問任何外部網路之任何特定供應商人員的每個供應商人員賬戶,並在 24 小時內通知羅技:(a) 該人員不再需要訪問羅技資訊,(b) 該人員不再具有供應商人員資格 (例如,該人員從供應商處離職),或 (c) 在 30 天或更長時間不會訪問羅技資訊。
- 第三方系統。
- 供應商在使用任何儲存或可能以其他方式訪問羅技資訊的第三方系統之前,應事先通知羅技,並獲得羅技的事先書面許可,除非 (a) 資料依照此安全性政策進行加密,以及 (b) 第三方系統無法訪問解密金鑰或資料的未加密「純文字」版本。羅技保留在提供許可前,要求對第三方系統進行羅技安全性審查 (根據下文第 2.5 條) 的權利。
- 如果供應商使用任何儲存或以其他方式可能訪問未加密之羅技資訊的第三方系統,供應商必須對第三方系統及其安全控制進行安全審查,並應以羅技要求的格式 (例如,SAS 70、SSAE 16 或後續報告),或羅技認可的其他公認產業標準報告,向羅技定期報告第三方系統的安全性控制情況。
- 供應商在使用任何儲存或可能以其他方式訪問羅技資訊的第三方系統之前,應事先通知羅技,並獲得羅技的事先書面許可,除非 (a) 資料依照此安全性政策進行加密,以及 (b) 第三方系統無法訪問解密金鑰或資料的未加密「純文字」版本。羅技保留在提供許可前,要求對第三方系統進行羅技安全性審查 (根據下文第 2.5 條) 的權利。
2.3.資料保留與銷毀。
- 保留。供應商應僅為允許用途以及在允許用途所需的時間內,保留羅技資訊。
- 歸還或刪除。供應商應依照羅技要求歸還及/或刪除的通知,迅速 (在羅技提出要求後不得超過 10 天) 將資訊歸還羅技,並永久且安全地刪除所有羅技資訊。此外,供應商應在允許用途完成或協議終止或到期 (以較早者為準) 後的 90 天內,永久且安全地刪除羅技資訊的所有可用 (線上或可由網路訪問) 個體,除非法律要求予以保留。如果羅技要求,供應商應以書面形式證明所有羅技資訊已遭銷毀。
- 歸檔副本。如果法律要求供應商應為稅收或類似監管用途,保留羅技資訊的歸檔副本,此歸檔的羅技資訊必須以下列方式之一進行儲存:以「冷式」或離線 (即不能立即或互動使用) 方式備份,儲存於實體安全設施中;或以託管或儲存加密檔案之系統無法取得用於加密之金鑰的方式進行加密。
- 復原。如果供應商為災難復原用途而進行「復原」措施 (亦即恢復到備份狀態),供應商應擁有且維護相關程序,以確保根據協議或此安全性政策需要刪除的所有羅技資訊,將在復原發生後的 24 小時內,根據第 2.3 條從復原的資料中再次刪除或覆寫。如果供應商為任何目的而進行復原,在未經羅技事先書面許可的情況下,不得將羅技資訊復原到任何第三方系統或網路。羅技保留在允許將任何羅技資訊復原到任何第三方系統或網路之前,要求對第三方系統或網路進行羅技安全審查的權利 (根據下文第 2.5 條)。
- 刪除標準。供應商刪除的所有羅技資訊,應依照 NIST 特別出版品 800-88 修訂版 1,2014 年 12 月 18 日的媒體消除指南 (可在 https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization 取得) 進行,或依照羅技根據羅技資訊分類和機密程度可能要求的其他標準,進行刪除。
2.4.完全銷毀。在以任何方式處置包含或在任何時候包含羅技資訊的任何硬體、軟體或任何其他媒體之前,供應商應對該硬體、軟體或其他媒體進行徹底的完全銷毀,以使任何羅技資訊都無法以任何形式復原或擷取。供應商應依照羅技可能根據羅技資訊分類和機密程度而要求的標準,進行完全銷毀。供應商應依照羅技的要求提供銷毀證明。
- 供應商應不出售、轉售、捐贈、翻新或以其他方式,轉讓 (包括任何此類硬體、軟體或其他媒體的出售或轉讓,與供應商業務清算有關的任何處置,或任何其他處置) 任何包含羅技資訊,且未由供應商執行完全銷毀的硬體、軟體或其他媒體。
2.5.安全性審查。
- 風險評估問卷。羅技要求所有供應商進行供應商風險評估,此項評估透過提供對羅技風險評估問卷的最新回答來執行,至少每年一次,但根據供應商的評估風險,可能會更加頻繁。
- 證明。在羅技提出書面要求時,供應商應以書面形式向羅技證明其符合此協議的規定。
- 其他審查。羅技保留定期審查供應商用於處理羅技資訊之系統安全性的權利。供應商應合理合作,並在合理期間內向羅技提供所有需要的資訊,不得超過羅技要求之日起 20 個日曆日。
- 補救措施。如果任何安全性審查發現任何應注意的缺陷,供應商應在商定的時間期限內採取所有必要行動解決這些缺陷,費用由其自行承擔。
2.6.安全性漏洞。
- 供應商應透過 soc@logitech.com,通知羅技適用法律所定義的下列安全性漏洞,不得無故拖延 (不應超過 24 小時):(i) 包含羅技資訊,或 (ii) 由供應商管理,與保護羅技資訊之控制措施基本類似的安全性漏洞 (每項以下均稱為「安全漏洞」)。供應商應及時補救每個安全漏洞,並向羅技提供有關供應商對每個安全性事件之內部調查的書面細節。供應商同意不代表羅技通知任何監管機構或任何客戶,除非羅技以書面形式明確要求供應商如此行事,且羅技保留在向任何一方提供任何通知之前,審查和核准其形式和內容的權利。供應商應合理地與羅技合作,共同制定和執行計畫,以糾正所有確認的安全性事件。
- 供應商因法律程序或適用法律要求而提供羅技資訊時,應在沒有不當延遲的情況下 (不得超過 24 小時) 通知羅技。