Requisitos de segurança das informações do fornecedor

A Logitech Europe SA e todas as suas subsidiárias e afiliadas (coletivamente “Logitech”) exigem que todos os seus fornecedores, provedores de serviços e outros parceiros de negócios (“Você” ou “Fornecedor”) mantenham um programa de segurança da informação por escrito abrangente (“Programa de Segurança da Informação” ”) Que inclui medidas técnicas, físicas e organizacionais para garantir a confidencialidade, segurança, integridade e disponibilidade das informações fornecidas pela Logitech, afiliadas da Logitech, e seus funcionários, representantes, contratados, clientes e fornecedores (coletivamente,“Logitech Data” ) e para proteger contra acesso não autorizado, uso, divulgação, alteração ou destruição de dados da Logitech. Este Programa de Segurança da Informação está anexado e incorporado por referência aos contratos de serviços (“Contratos”) por e entre a entidade Logitech nele nomeada e Você. Em particular, o Programa de Segurança da Informação incluirá, mas não se limitará, às seguintes medidas, quando apropriado ou necessário, para garantir a proteção dos Dados da Logitech:

• Controles de acesso - Políticas, procedimentos e controles físicos e técnicos:
  
  1. para limitar o acesso físico aos seus sistemas de informação e às instalações ou instalações nas quais eles estão hospedados a pessoas devidamente autorizadas;
  2. para garantir que todos os membros da sua força de trabalho que precisam de acesso aos Dados da Logitech tenham acesso controlado de forma adequada e para evitar que esses membros da força de trabalho e outras pessoas que não deveriam ter acesso obtenham acesso;
  3. para autenticar e permitir o acesso apenas a indivíduos autorizados e evitar que membros de sua força de trabalho forneçam Dados da Logitech ou informações relacionadas a eles a indivíduos não autorizados; e
  4. para criptografar e descriptografar os Dados da Logitech quando necessário.
• Conscientização e treinamento de segurança - Um programa de conscientização e treinamento de segurança para todos os membros de sua força de trabalho (incluindo gerenciamento) em uma base regular, que inclui treinamento sobre como implementar e cumprir seu Programa de segurança da informação.
• Procedimentos de incidente de segurança - Políticas e procedimentos para detectar, responder e abordar de outra forma incidentes de segurança, incluindo procedimentos para monitorar sistemas e detectar ataques reais e tentativas de invasão nos dados da Logitech ou sistemas de informação relacionados a eles, e procedimentos para identificar e responder a eles incidentes de segurança suspeitos ou conhecidos, reduza os efeitos prejudiciais dos incidentes de segurança e documente os incidentes de segurança e seus resultados. Se Você tomar conhecimento de qualquer circunstância que possa desencadear as obrigações de qualquer uma das Partes de acordo com as Leis de Violação de Segurança, você deverá fornecer imediatamente uma notificação por escrito à Logitech através do e-mail securityincident@logitech.com e deverá cooperar totalmente com a Logitech para permitir que a Logitech cumpra suas obrigações de acordo com as Leis de Violação de Segurança ...
• Planejamento de contingência - Políticas e procedimentos para responder a uma emergência ou outra ocorrência (por exemplo, incêndio, vandalismo, falha do sistema e desastre natural) que danifica os dados da Logitech ou sistemas que contêm dados da Logitech, incluindo um plano de backup de dados e um plano de recuperação de desastres e imediatamente enviando um aviso por escrito à Logitech via securityincident@logitech.com.
• Controles de dispositivo e mídia - Políticas e procedimentos sobre hardware e mídia eletrônica que contêm dados da Logitech dentro e fora de suas instalações, e a movimentação desses itens dentro de suas instalações, incluindo políticas e procedimentos para tratar do descarte final de dados da Logitech e / ou o hardware ou a mídia eletrônica na qual estão armazenados e os procedimentos para remoção dos dados da Logitech da mídia eletrônica antes que a mídia seja disponibilizada para reutilização. Você deve garantir que nenhum Dados da Logitech seja baixado ou armazenado em laptops ou outros dispositivos portáteis, a menos que estejam sujeitos a todas as proteções aqui exigidas. Essas medidas de proteção devem incluir, mas não se limitar a, todos os dispositivos que acessam os dados da Logitech devem ser criptografados e usar software de prevenção antimalware atualizado.
• Controles de auditoria - Hardware, software, serviços, plataformas e / ou mecanismos de procedimentos que registram e examinam a atividade em sistemas de informação que contêm ou usam informações eletrônicas, incluindo logs e relatórios apropriados sobre esses requisitos de segurança e conformidade com eles.
• Políticas e procedimentos - Políticas e procedimentos para garantir a confidencialidade, integridade e disponibilidade dos dados da Logitech e protegê-los contra divulgação, uso, alteração ou destruição acidental, não autorizada ou imprópria.
• Segurança de armazenamento e transmissão - Medidas técnicas de segurança para proteger contra o acesso não autorizado a dados da Logitech que estão sendo transmitidos por uma rede de comunicações eletrônicas, incluindo um mecanismo para criptografar dados da Logitech em formato eletrônico durante o trânsito e no armazenamento em redes ou sistemas para os quais indivíduos não autorizados pode ter acesso.
• Responsabilidade de Segurança Atribuída - Você deve designar um oficial de segurança responsável pelo desenvolvimento, implementação e manutenção de seu Programa de Segurança da Informação.
• Mídia de armazenamento físico - Políticas e procedimentos para garantir que, antes de qualquer mídia de armazenamento contendo dados da Logitech ser atribuída, alocada ou realocada a outro usuário, ou antes de tal mídia de armazenamento ser removida permanentemente de uma instalação, você excluirá com segurança de acordo com a Seção 2.3 (por exemplo). tais Logitech Data de uma perspectiva física e lógica, de forma que a mídia não contenha dados residuais ou, se necessário, destrua fisicamente essa mídia de armazenamento. Você deve manter um programa auditável implementando os requisitos de descarte e destruição estabelecidos nesta seção para todas as mídias de armazenamento que contenham dados da Logitech.
• Teste - Você deve testar regularmente os principais controles, sistemas e procedimentos do Seu Programa de Segurança da Informação para garantir que eles sejam implementados de forma adequada e eficaz na abordagem das ameaças e riscos identificados. Os testes devem ser conduzidos ou revisados por terceiros ou equipes independentes daqueles que desenvolvem ou mantêm os programas de segurança.
• Mantenha o Programa atualizado - Você deve monitorar, avaliar e ajustar, conforme apropriado, o Programa de Segurança da Informação à luz de quaisquer mudanças relevantes na tecnologia ou nos padrões de segurança da indústria, a sensibilidade dos Dados da Logitech, ameaças internas ou externas você ou os dados da Logitech e seus próprios acordos comerciais em mudança, como fusões e aquisições, alianças e joint ventures, acordos de terceirização e mudanças nos sistemas de informação.
   

Mais especificamente, o Programa de Segurança da Informação do Fornecedor deve atender ou exceder os seguintes requisitos:

1. ESCOPO; DEFINIÇÕES

1.1. Política de segurança. O Fornecedor cumprirá em todos os aspectos os requisitos de segurança da informação da Logitech definidos nestes Requisitos de Segurança da Informação da Logitech para Fornecedores (a “Política de Segurança”). A Política de Segurança se aplica ao desempenho do Fornecedor sob qualquer contrato entre o Fornecedor e a Logitech (o “Contrato”) e a todos os acessos, coleta, uso, armazenamento, transmissão, divulgação, destruição ou exclusão e incidentes de segurança relacionados às Informações da Logitech (conforme definido abaixo). Esta Política de Segurança não limita outras obrigações do Fornecedor, incluindo sob o Contrato ou com relação a quaisquer leis que se apliquem ao Fornecedor, o desempenho do Fornecedor sob o Contrato, as Informações da Logitech ou a Finalidade Permitida (conforme definido abaixo). Na medida em que esta Política de Segurança entre em conflito direto com o Contrato, o Fornecedor notificará imediatamente a Logitech sobre o conflito e cumprirá o requisito que é mais restritivo e mais protetor das Informações da Logitech (que pode ser designado pela Logitech).

1.2. Definições.

1. “Afiliado” significa, com relação a uma pessoa em particular, qualquer entidade que controle direta ou indiretamente, seja controlada por, ou esteja sob o controle comum dessa pessoa.
2. “Agregar” significa combinar ou armazenar informações da Logitech com quaisquer dados ou informações do fornecedor ou de terceiros.
3. “Tornar anônimo” significa usar, coletar, armazenar, transmitir ou transformar quaisquer dados ou informações (incluindo informações da Logitech) de uma maneira ou forma que não identifique, permita a identificação e não seja de outra forma atribuível a qualquer usuário, identificador de dispositivo, fonte , produto, serviço, contexto, marca ou Logitech ou suas afiliadas.
4. “Informações da Logitech” significa, individual e coletivamente: (a) todas as Informações Confidenciais da Logitech (conforme definido no Contrato ou no contrato de não divulgação entre as partes); (b) todos os outros dados, registros, arquivos, conteúdo ou informações, em qualquer forma ou formato, adquiridos, acessados, coletados, recebidos, armazenados ou mantidos pelo Fornecedor ou suas Afiliadas de ou em nome da Logitech ou suas Afiliadas, ou de outra forma em conexão com o Contrato, os serviços fornecidos sob o Contrato, ou o desempenho ou exercício das partes de direitos sob ou em conexão com o Contrato; e (c) derivado de (a) ou (b), mesmo que anônimo.
   
   

1.3. Finalidade permitida.
Exceto quando expressamente autorizado no Contrato, o Fornecedor pode acessar, coletar, usar, armazenar e transmitir apenas as Informações da Logitech expressamente autorizadas no Contrato e apenas com a finalidade de fornecer os serviços sob o Contrato, consistentes com as licenças (se houver) concedidas nos termos do Contrato (a “Finalidade Permitida”). Exceto quando expressamente autorizado no Contrato, o Fornecedor não acessará, coletará, usará, armazenará ou transmitirá quaisquer Informações da Logitech e não agregará Informações da Logitech, mesmo que sejam anônimas. Exceto com o consentimento prévio e expresso por escrito da Logitech, o Fornecedor não irá (A) transferir, alugar, permutar, comercializar, alugar, emprestar, arrendar ou de outra forma distribuir ou disponibilizar a terceiros quaisquer Informações da Logitech ou (B) Informações Agregadas da Logitech com quaisquer outras informações ou dados, mesmo que sejam anônimos.

2. POLÍTICA DE SEGURANÇA

2.1. Requisitos básicos de segurança. O fornecedor manterá, de acordo com os melhores padrões atuais da indústria e outros requisitos especificados pela Logitech com base na classificação e sensibilidade das informações da Logitech, proteções físicas, administrativas e técnicas e outras medidas de segurança (A) para manter a segurança e a confidencialidade das informações da Logitech acessadas , coletadas, usadas, armazenadas ou transmitidas pelo Fornecedor, e (B) para proteger essas informações de ameaças ou riscos conhecidos ou razoavelmente antecipados à sua segurança e integridade, perda acidental, alteração, divulgação e todas as outras formas ilegais de processamento. Sem limitação, o Fornecedor cumprirá os seguintes requisitos:

1. Firewall. O fornecedor instalará e manterá um firewall de rede funcional para proteger os dados acessíveis através da Internet e manterá todas as informações da Logitech protegidas pelo firewall o tempo todo.
2. Atualizações. O fornecedor manterá seus sistemas e software atualizados com as últimas atualizações, atualizações, correções de erros, novas versões e outras modificações necessárias para garantir a segurança das informações da Logitech.
3. Antimalware. O fornecedor sempre usará o software antimalware e o manterá atualizado. O fornecedor atenuará as ameaças de todos os vírus, spyware e outros códigos maliciosos que são ou deveriam ter sido detectados.
4. Criptografia. O fornecedor criptografará os dados em repouso e os dados enviados por redes abertas de acordo com as práticas recomendadas do setor.
5. Testando. O Fornecedor testará regularmente seus sistemas e processos de segurança para garantir que atendam aos requisitos desta Política de Segurança.
6. Controles de acesso. O fornecedor protegerá as informações da Logitech, inclusive cumprindo os seguintes requisitos:
   
   1. O fornecedor atribuirá uma identificação exclusiva a cada pessoa com acesso por computador às informações da Logitech.
   2. O fornecedor restringirá o acesso às informações da Logitech apenas às pessoas com uma “necessidade de saber” para uma finalidade permitida.
   3. O fornecedor revisará regularmente a lista de pessoas e serviços com acesso às informações da Logitech e removerá contas (ou aconselhará a Logitech a remover contas) que não precisam mais de acesso. Essa revisão deve ser realizada pelo menos uma vez a cada 90 dias.
   4. O fornecedor não usará padrões fornecidos pelo fabricante para senhas de sistema e outros parâmetros de segurança em nenhum sistema operacional, software ou outros sistemas. O fornecedor exigirá e garantirá o uso de "senhas fortes" impostas pelo sistema de acordo com as práticas recomendadas (descritas abaixo) em todos os sistemas de hospedagem, armazenamento, processamento ou que tenham ou controlem o acesso às informações da Logitech e exigirá que todas as senhas e as credenciais de acesso são mantidas em sigilo e não são compartilhadas entre os funcionários. As senhas devem atender aos seguintes critérios: conter pelo menos 12 caracteres; não coincidir com as senhas anteriores, o login do usuário ou o nome comum; deve ser alterado sempre que houver suspeita ou suposição de um comprometimento da conta; e são substituídos regularmente após no máximo 90 dias.
   5. O fornecedor manterá e aplicará o “bloqueio de conta” desativando as contas com acesso às informações da Logitech quando uma conta ultrapassar mais de 10 tentativas consecutivas de senha incorreta.
   6. Exceto quando expressamente autorizado pela Logitech por escrito, o Fornecedor isolará as Informações da Logitech em todos os momentos (incluindo no armazenamento, processamento ou transmissão), das informações do Fornecedor e de quaisquer informações de terceiros.
   7. Se controles de acesso físico adicionais forem solicitados por escrito pela Logitech, o Fornecedor implementará e usará essas medidas de controle de acesso físico seguro.
   8. O Fornecedor fornecerá à Logitech anualmente ou com maior frequência mediante solicitação da Logitech, (1) dados de registro sobre todo o uso (tanto autorizado quanto não autorizado) das contas da Logitech ou credenciais fornecidas ao Fornecedor para uso em nome da Logitech (por exemplo, conta de mídia social credenciais) e (2) dados de registro detalhados sobre qualquer falsificação de identidade ou tentativa de falsificação de identidade de funcionários da Logitech ou de fornecedores com acesso às informações da Logitech.
   9. O fornecedor revisará regularmente os logs de acesso em busca de sinais de comportamento malicioso ou acesso não autorizado.
7. Política do fornecedor. O fornecedor manterá e aplicará uma política de segurança de informações e rede para funcionários, subcontratados, agentes e fornecedores que atenda aos padrões definidos nesta política, incluindo métodos para detectar e registrar violações de política. Mediante solicitação da Logitech, o Fornecedor fornecerá à Logitech informações sobre as violações das informações do Fornecedor e da política de segurança da rede, mesmo que isso não constitua um Incidente de Segurança.
8. Subcontrato. O Fornecedor não subcontratará ou delegará nenhuma de suas obrigações sob esta Política de Segurança a quaisquer subcontratados sem o consentimento prévio por escrito da Logitech. Não obstante a existência ou os termos de qualquer subcontrato ou delegação, o Fornecedor permanecerá responsável pelo total desempenho de suas obrigações sob esta Política de Segurança. Os termos e condições desta Política de Segurança serão vinculativos para os subcontratados e pessoal do Fornecedor. O Fornecedor (a) garantirá que os subcontratados e o pessoal do Fornecedor cumpram esta Política de Segurança e (b) será responsável por todos os atos, omissões, negligência e má conduta de seus subcontratados e pessoal, incluindo (conforme aplicável) a violação de qualquer lei, regra ou regulamentação.
9. Acesso remoto. O fornecedor garantirá que qualquer acesso de ambientes corporativos ou de produção protegidos externos aos sistemas que armazenam informações da Logitech ou às redes corporativas ou de estação de trabalho do fornecedor exija autenticação multifatorial (por exemplo, requer pelo menos dois fatores separados para a identificação de usuários).
10. Funcionários do fornecedor. A Logitech pode condicionar o acesso às Informações da Logitech por parte dos funcionários do Fornecedor à execução e à entrega do Fornecedor à Logitech de acordos individuais de sigilo, cuja forma é especificada pela Logitech. Se exigido pela Logitech, a Logitech solicita que o pessoal do Fornecedor execute o contrato de não divulgação individual. O fornecedor obterá e entregará à Logitech acordos individuais assinados de sigilo do pessoal do fornecedor que terá acesso às informações da Logitech (antes de conceder acesso ou fornecer informações ao pessoal do fornecedor). O Fornecedor também (a) fornecerá à Logitech a lista de funcionários do Fornecedor que acessaram ou receberam as Informações da Logitech mediante solicitação dentro de um período de tempo acordado e (b) notificará a Logitech no máximo 24 horas após qualquer funcionário específico do Fornecedor autorizado a acessar Informações da Logitech de acordo com esta seção: (y) não precisa mais de acesso às Informações da Logitech ou (z) não se qualifica mais como pessoal do Fornecedor (por exemplo, o pessoal deixa o emprego do Fornecedor).
     

2.2. Acesso à Extranet da Logitech e Portais de Fornecedores. A Logitech pode conceder ao Fornecedor acesso às Informações da Logitech por meio de portais da Web ou outros sites não públicos ou serviços de extranet no site ou sistema da Logitech ou de terceiros (cada um, uma “Extranet”) para o Propósito Permitido. Se a Logitech permitir que o Fornecedor acesse qualquer Informação da Logitech usando uma Extranet, o Fornecedor deve cumprir os seguintes requisitos:

1. Finalidade permitida. O Fornecedor e seu pessoal acessarão a Extranet e acessarão, coletarão, usarão, visualizarão, recuperarão, farão o download ou armazenarão as Informações da Logitech da Extranet apenas para a Finalidade Permitida.
2. Contas. O Fornecedor garantirá que a equipe do Fornecedor use apenas as contas da Extranet designadas para cada indivíduo pela Logitech e exigirá que a equipe do Fornecedor mantenha suas credenciais de acesso confidenciais.
3. Sistemas. O Fornecedor acessará a Extranet apenas por meio de sistemas de computação ou processamento ou aplicativos que executam sistemas operacionais gerenciados pelo Fornecedor e que incluem: (i) firewalls de rede do sistema de acordo com a Seção 2.1 (A) (Firewall); (ii) gerenciamento centralizado de patches em conformidade com a Seção 2.1 (B) (Atualizações); (iii) software anti-malware apropriado para o sistema operacional de acordo com a Seção 2.1 (C) (Anti-malware); e (iv) para dispositivos portáteis, criptografia de disco completo.
4. Restrições. Exceto se aprovado com antecedência por escrito pela Logitech, o Fornecedor não fará download, espelhará ou armazenará permanentemente qualquer Informação Logitech de qualquer Extranet em qualquer meio, incluindo quaisquer máquinas, dispositivos ou servidores.
5. Encerramento de conta. O Fornecedor encerrará a conta de cada um dos funcionários do Fornecedor e notificará a Logitech no máximo 24 horas após qualquer funcionário específico do Fornecedor que tenha sido autorizado a acessar qualquer Extranet (a) não precisa mais de acesso às Informações da Logitech, (b) não se qualifica mais como Fornecedor pessoal (por exemplo, o pessoal deixa o emprego do fornecedor), ou (c) não acessa mais as informações da Logitech por 30 dias ou mais.
6. Sistemas de terceiros.
   
   1. O Fornecedor dará à Logitech um aviso prévio e obterá a aprovação prévia por escrito da Logitech antes de usar qualquer sistema de terceiros que armazene ou possa ter acesso às Informações da Logitech, a menos que (a) os dados sejam criptografados de acordo com esta Política de Segurança, e (b) o sistema de terceiros não terá acesso à chave de criptografia ou versões não criptografadas em “texto simples” dos dados. A Logitech se reserva o direito de exigir uma análise de segurança da Logitech (de acordo com a Seção 2.5 abaixo) do sistema de terceiros antes de dar a aprovação.
   2. Se o Fornecedor usar qualquer sistema de terceiros que armazene ou possa acessar informações não criptografadas da Logitech, o Fornecedor deverá realizar uma análise de segurança dos sistemas de terceiros e seus controles de segurança e fornecerá relatórios periódicos à Logitech sobre os controles de segurança do sistema de terceiros no formato solicitado pela Logitech (por exemplo, SAS 70, SSAE 16 ou um relatório sucessor) ou outro relatório padrão da indústria reconhecido e aprovado pela Logitech.
       

2.3. Retenção e destruição de dados.

1. Retenção. O Fornecedor manterá as Informações da Logitech apenas para a finalidade e pelo tempo necessário para a finalidade permitida.
2. Retorno ou exclusão. O Fornecedor retornará imediatamente (mas no máximo 10 dias após a solicitação da Logitech) à Logitech e excluirá de forma permanente e segura todas as Informações da Logitech conforme e de acordo com o aviso da Logitech exigindo devolução e/ou exclusão. Além disso, o Fornecedor excluirá de forma permanente e segura todas as instâncias ativas (on-line ou acessíveis pela rede) das Informações da Logitech dentro de 90 dias após a conclusão do Objetivo Permitido ou rescisão ou expiração do Contrato, a menos que legalmente exigido para retê-lo. Se solicitado pela Logitech, o Fornecedor certificará por escrito que todas as informações da Logitech foram destruídas.
3. Cópias de arquivo. Se o Fornecedor for obrigado por lei a reter cópias arquivadas das Informações da Logitech para fins fiscais ou regulamentares semelhantes, estas Informações da Logitech arquivadas devem ser armazenadas de uma das seguintes formas: como um “frio” ou off-line (ou seja, não disponível para uso imediato ou interativo usar) backup armazenado em uma instalação fisicamente segura; ou criptografado, em que o sistema que hospeda ou armazena o(s) arquivo(s) criptografado(s) não tem acesso a uma cópia da(s) chave(s) usada(s) para criptografia.
4. Recuperação. Se o Fornecedor realizar uma “recuperação” (ou seja, revertendo para um backup) para fins de recuperação de desastres, o Fornecedor terá e manterá um processo que garante que todas as informações da Logitech que devem ser excluídas de acordo com o Contrato ou esta Política de Segurança serão ser excluído novamente ou sobrescrito dos dados recuperados de acordo com esta Seção 2.3 dentro de 24 horas após a recuperação ocorrer. Se o Fornecedor realizar uma recuperação para qualquer finalidade, nenhuma informação da Logitech poderá ser recuperada para qualquer sistema ou rede de terceiros sem a aprovação prévia por escrito da Logitech. A Logitech se reserva o direito de exigir uma análise de segurança da Logitech (de acordo com a Seção 2.5 abaixo) do sistema ou rede de terceiros antes de permitir a recuperação de quaisquer informações da Logitech para qualquer sistema ou rede de terceiros.
5. Padrões de exclusão. Todas as Informações da Logitech excluídas pelo Fornecedor serão excluídas de acordo com a Publicação Especial 800-88 Revisão 1 do NIST, Diretrizes para Saneamento de Mídia de 18 de dezembro de 2014 (disponível em https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization), ou outros padrões que a Logitech possa exigir com base na classificação e sensibilidade das Informações da Logitech.
    

2.4. Destruição forense. Antes de descartar qualquer tipo de hardware, software ou qualquer outra mídia que contenha, ou tenha contido a qualquer momento, Informações da Logitech, o Fornecedor executará uma destruição forense completa do hardware, software ou outra mídia para que nenhuma das Informações da Logitech pode ser recuperado ou recuperado de qualquer forma. O fornecedor executará a destruição forense de acordo com os padrões que a Logitech pode exigir com base na classificação e sensibilidade das informações da Logitech. O fornecedor deve fornecer certificado de destruição mediante solicitação da Logitech.

1. O Fornecedor não venderá, revenderá, doará, recondicionará ou de outra forma transferirá (incluindo qualquer venda ou transferência de qualquer hardware, software ou outra mídia, qualquer descarte em conexão com qualquer liquidação dos negócios do Fornecedor ou qualquer outro descarte) de hardware, software ou outra mídia que contenha informações da Logitech que não tenham sido destruídas judicialmente pelo fornecedor.
    

2.5. Análise de segurança.

1. Questionário de avaliação de risco. A Logitech requer que todos os fornecedores passem por uma Avaliação de Risco do Fornecedor, que será acionada com o fornecimento de respostas atualizadas ao questionário de avaliação de risco da Logitech, pelo menos uma vez por ano, mas pode ser mais frequente com base no risco avaliado do fornecedor.
2. Certificação. Mediante solicitação por escrito da Logitech, o Fornecedor certificará por escrito à Logitech que está em conformidade com este Contrato.
3. Outras avaliações. A Logitech se reserva o direito de revisar periodicamente a segurança dos sistemas que o Fornecedor usa para processar as Informações da Logitech. O fornecedor cooperará razoavelmente e fornecerá à Logitech todas as informações necessárias dentro de um prazo razoável, mas não maior do que 20 dias corridos a partir da data da solicitação da Logitech.
4. Correção. Se qualquer análise de segurança identificar quaisquer deficiências observadas, o Fornecedor irá, às suas custas e despesas, tomar todas as medidas necessárias para corrigir essas deficiências dentro de um prazo acordado.
    

2.6. Quebra de segurança.

1. O Fornecedor informará a Logitech via securityincident@logitech.com sem atrasos indevidos (não mais que 24 horas) de violação de segurança, conforme definido pelas leis aplicáveis (i) contendo informações da Logitech, ou (ii) gerenciado pelo fornecedor com controles substancialmente semelhantes a aqueles que protegem as informações da Logitech (cada um, uma “violação de segurança”). O fornecedor corrigirá cada violação de segurança em tempo hábil e fornecerá detalhes por escrito da Logitech sobre a investigação interna do fornecedor em relação a cada incidente de segurança. O Fornecedor concorda em não notificar qualquer autoridade reguladora, nem qualquer cliente, em nome da Logitech, a menos que a Logitech solicite especificamente por escrito que o Fornecedor o faça e a Logitech se reserva o direito de revisar e aprovar a forma e o conteúdo de qualquer notificação antes que ela seja fornecida a qualquer parte. O fornecedor cooperará razoavelmente e trabalhará junto com a Logitech para formular e executar um plano para retificar todos os incidentes de segurança confirmados.
2. O fornecedor informará a Logitech sem atrasos indevidos (em não mais do que 24 horas) quando as Informações da Logitech estiverem sendo solicitadas em resposta a um processo legal ou por lei aplicável.