Sikkerhedskrav til leverandører angående databeskyttelse

GÅ VIDERE TIL HOVEDINDHOLD
Pangea temporary hotfixes here

Logitechs sikkerhedskrav til leverandører angående databeskyttelse

Logitech Europe S.A. og alle dets datterselskaber og tilknyttede selskaber ("Logitech") kræver, at alle dets leverandører, tjenesteudbydere og andre forretningspartnere ("dig"/"du" eller "leverandør") opretholder en omfattende skriftlig datasikkerhedspolitik ("datasikkerhedspolitik"), der omfatter tekniske, fysiske og organisatoriske foranstaltninger for at sikre fortroligheden, sikkerheden, integriteten og tilgængeligheden af data leveret af Logitech, Logitechs tilknyttede selskaber og dets og deres medarbejdere, repræsentanter, underleverandører, kunder og samarbejdspartnere ("Logitech-data") og til beskytte mod uautoriseret adgang, brug, offentliggørelse, ændring eller ødelæggelse af Logitech-data. Denne datasikkerhedspolitik er knyttet til og refereres til i aftalerne om tjenester ("aftaler"), der er indgået af og mellem den Logitech-enhed, der er nævnt deri, og dig. Datasikkerhedspolitikken skal især omfatte, men ikke være begrænset til, følgende foranstaltninger, hvor det er relevant eller nødvendigt for at sikre beskyttelsen af Logitech-data:

  • Adgangskontrol – Politikker, procedurer og fysiske og tekniske kontroller, der bruges til:
    1. at begrænse fysisk adgang til dine it-systemer og de faciliteter, hvori de er placeret, til autoriserede personer;
    2. at sikre, at alle medarbejdere, der kræver adgang til Logitech-data, har passende og kontrolleret adgang, og at forhindre, at medarbejdere og andre, der ikke burde have adgang, får adgang;
    3. at godkende og kun give adgang til autoriserede personer samt forhindre, at dine medarbejdere kan levere Logitech-data eller oplysninger vedrørende disse til uautoriserede personer; og
    4. at kryptere og dekryptere Logitech-data, hvor det er nødvendigt.
  • Fokus på sikkerhed og træning – En politik, der skaber sikkerhedsbevidsthed og tilbyder træning til alle medlemmer af din arbejdsstyrke (inklusive ledelsen) på regelmæssig basis, herunder træning i, hvordan sikkerhedspolitikken implementeres og overholdes.
  • Procedurer for sikkerhedsbrister – Politikker og procedurer til at registrere, reagere på og på anden måde håndtere sikkerhedsbrister, herunder procedurer til overvågning af systemer og registrering af faktiske og forsøgte angreb på eller indtrængen i Logitechs-data eller informationssystemer i forbindelse hermed, og procedurer til at identificere og reagere på formodede eller kendte sikkerhedsbrister, minimere skadelige virkninger af sikkerhedsbrister og dokumentere sikkerhedsbrister og deres resultater. Hvis du bliver opmærksom på forhold, der kan være relevante for en af parternes forpligtelser i henhold til love om sikkerhedsbrud, skal du straks give skriftlig meddelelse herom til Logitech via securityincident@logitech.com og skal fuldt ud samarbejde med Logitech for at gøre det muligt for Logitech at udføre sine forpligtelser i henhold til love om sikkerhedsbrud.
  • Beredskabsplanlægning – Politikker og procedurer for, hvordan du reagerer på en nødsituation eller anden hændelse (f.eks. brand, hærværk, systemfejl og naturkatastrofer), der beskadiger Logitech-data eller systemer, hvor Logitech-data opbevares på, herunder en databackupstrategi og en beredskabsplan, samt procedurer for øjeblikkelig afsendelse af skriftlig meddelelse til Logitech via securityincident@logitech.com.
  • Kontrol af enheder og medier – Politikker og procedurer for kontrol af hardware og elektroniske medier, som Logitech-data er lagret på, og som kan befinde sig både inden og uden for dine faciliteter, samt procedurer for, hvordan disse enheder flyttes inden for dine faciliteter, herunder politikker og procedurer for håndtering af den endelige bortskaffelse af Logitech-data, og/eller den hardware eller det elektroniske medie, som dataene er gemt på, samt procedurer for fjernelse af Logitech-data fra elektroniske medier, før mediet gøres tilgængeligt til brug til andre formål. Du skal sikre, at ingen Logitech-data downloades til eller på anden måde lagres på bærbare computere eller andre transportable enheder, medmindre disse enheder er underlagt alle de beskyttelsesforanstaltninger, der kræves heri. Sådanne beskyttelsesforanstaltninger omfatter, men er ikke begrænset til, at alle enheder, der får adgang til Logitech-data, skal være krypteret og bruge opdateret software, der kan registrere og forhindre malware.
  • Revisionskontrol – Hardware, software, tjenester, platforme og/eller proceduremekanismer, der registrerer og undersøger aktivitet i informationssystemer, der indeholder eller bruger elektroniske data, herunder passende logfiler og rapporter vedrørende disse sikkerhedskrav og deres overholdelse.
  • Politikker og procedurer – Politikker og procedurer, der har til formål at sikre fortroligheden, integriteten og tilgængeligheden af Logitech-data og beskytte dem mod utilsigtet, uautoriseret eller ukorrekt offentliggørelse, brug, ændring eller ødelæggelse.
  • Lagring- og transmissionssikkerhed – Tekniske sikkerhedsforanstaltninger, der har til formål at beskytte mod uautoriseret adgang til Logitech-data, der transmitteres over et elektronisk kommunikationsnetværk, inklusive en mekanisme til at kryptere Logitech-data i elektronisk form under overførsel og lagring på netværk eller systemer, som uautoriserede personer kan have adgang til.
  • Defineret og tildelt sikkerhedsansvar – Du skal udpege en sikkerhedsmedarbejder, der er ansvarlig for udvikling, implementering og vedligeholdelse af informationssikkerhedspolitikken.
  • Fysiske lagringsmedier – Politikker og procedurer, der har til formål at sikre, at før et lagringsmedie, der indeholder Logitech-data, tildeles, allokeres eller omallokeres til en anden bruger, eller før sådanne lagringsmedier permanent fjernes fra en facilitet, vil samtlige Logitech-data i overensstemmelse med afsnit 2.3 (e.). blive slettet fra både et fysisk og logisk perspektiv, således at mediet ikke indeholder resterende data, eller sikre, at om nødvendigt sådanne lagringsmedier ødelægges permanent. Du skal opretholde en kontrollerbar politik, der opfylder kravene til bortskaffelse og destruktion omtalt i dette afsnit for alle lagringsmedier, der indeholder Logitech-data.
  • Test – Du skal regelmæssigt teste nøglefaktorerne, systemerne og procedurerne i din datasikkerhedspolitik for at sikre, at de er korrekt implementeret og kan effektivt håndtere de identificerede trusler og risici. Test bør udføres eller gennemgås af uafhængige tredjeparter eller personale uafhængigt af dem, der udvikler eller vedligeholder sikkerhedspolitikken.
  • Sørg for, at sikkerhedspolitikken altid er up-to-date – Du skal overvåge, evaluere og justere, hvor det er relevant, datasikkerhedspolitikken i lyset af relevante ændringer i teknologi eller industristandarder inden for sikkerhed, følsomheden af Logitech-dataene, interne eller eksterne trusler mod dig eller Logitech-dataene og dine egne skiftende forretningsforhold såsom fusioner og opkøb, partnerskabe og joint ventures, outsourcingaftaler og ændringer i it-systemer.
     

Mere specifikt skal leverandørens datasikkerhedspolitikken mindst opfylde følgende krav:

1. OMFANG; DEFINITIONER

1.1. Sikkerhedspolitik. Leverandøren vil i alle henseender overholde Logitechs krav til informationssikkerhed, der er angivet i disse Logitechs sikkerhedskrav til leverandører angående databeskyttelse ("sikkerhedspolitikken"). Sikkerhedspolitikken gælder for leverandørens engagement under enhver aftale mellem leverandøren og Logitech ("aftalen") og al adgang, indsamling, brug, lagring, transmission, videregivelse, ødelæggelse eller sletning af samt sikkerhedsbrister vedrørende Logitech-data (som defineret nedenfor) . Denne sikkerhedspolitik begrænser ikke andre forpligtelser for leverandøren, herunder i henhold til aftalen eller med hensyn til enhver lovgivning, der gælder for leverandøren, leverandørens engagement i henhold til aftalen, Logitech-dataene eller det tilladte formål (som defineret nedenfor). I det omfang denne sikkerhedspolitik er i direkte konflikt med aftalen, vil leverandøren straks underrette Logitech om konflikten og overholde det krav, der er det mest restriktive og mest beskyttende for Logitech-data (som kan være udpeget af Logitech).

1.2. Definitioner.

  1. "Tilknyttet" betegner personer og juridiske enheder, der direkte eller indirekte kontrollerer, kontrolleres af eller er under fælles kontrol med en sådan person eller enhed.
  2. "Sammenlægge" betyder at kombinere eller gemme Logitech-data sammen med data eller oplysninger fra leverandøren eller en tredjepart.
  3. "Anonymisere" betyder at bruge, indsamle, gemme, overføre eller omdanne data eller oplysninger (inklusive Logitech-data) på en måde, der ikke identificerer, tillader identifikation af og ikke på anden måde kan henføres til nogen bruger, enhed, kilde, produkt, service, kontekst, brand eller Logitech eller dets tilknyttede virksomheder.
  4. "Logitech-data" betyder individuelt og samlet: (a) alle Logitechs fortrolige oplysninger (som defineret i aftalen eller i fortrolighedsaftalen mellem parterne); (b) alle andre data, registreringer, filer, indhold eller oplysninger i enhver form eller format, erhvervet, tilgået, indsamlet, modtaget, opbevaret eller vedligeholdt af leverandøren eller dennes tilknyttede virksomheder fra eller på vegne af Logitech eller dets tilknyttede virksomheder eller på anden måde i forbindelse med aftalen, de tjenester, der leveres i henhold til aftalen, eller parternes udøvelse af eller udøvelse af rettigheder i henhold til eller i forbindelse med aftalen; og (c) afledt af (a) eller (b), selvom dataene er blevet anonymiseret.

1.3. Tilladt formål.
Medmindre det er udtrykkeligt godkendt i henhold til aftalen, må leverandøren kun få adgang til, indsamle, bruge, opbevare og overføre de Logitech-data, der udtrykkeligt er godkendt i henhold til aftalen og udelukkende med det formål at levere tjenesterne i henhold til aftalen, i overensstemmelse med licenserne (hvis nogen) givet i henhold til aftalen (det "tilladte formål"). Medmindre det er udtrykkeligt godkendt i henhold til aftalen, vil leverandøren ikke få adgang til, indsamle, bruge, opbevare eller overføre nogen Logitech-data og vil ikke lægge Logitech-data sammen med andre data, selv om de er anonymiserede. Med undtagelse af Logitechs forudgående udtrykkelige skriftlige samtykke, vil leverandøren ikke (A) overføre, udleje, bytte, handle med, sælge, udleje, udlåne, lease eller på anden måde distribuere eller gøre tilgængelig for nogen tredjepart nogen Logitech-data eller (B) lægge Logitech-data sammen med andre oplysninger eller data, også selvom de er anonymiserede.

2. SIKKERHEDSPOLITIK

2.1. Grundlæggende sikkerhedskrav. Leverandøren vil, i overensstemmelse med de nuværende bedste industristandarder og andre krav specificeret af Logitech og baseret på klassificeringen og følsomheden af Logitech-data, opretholde fysiske, administrative og tekniske sikkerhedsforanstaltninger og andre sikkerhedsforanstaltninger (A) for at opretholde sikkerheden og fortroligheden af Logitech-data, der tilgås, indsamles, anvendes, opbevares eller overføres af leverandøren, og (B) for at beskytte disse data mod kendte eller med rimelighed forventede trusler eller farer for deres sikkerhed og integritet, utilsigtet tab, ændring, offentliggørelse og alle andre ulovlige former for behandling. Leverandøren vil overholde følgende krav uden begrænsninger:

  1. Firewall. Leverandøren vil installere og vedligeholde en fungerende netværksfirewall for at beskytte data, der er tilgængelige via internettet, og vil til enhver tid holde alle Logitech-data beskyttet af firewallen.
  2. Opdateringer. Leverandøren vil holde sine systemer og software opdateret med de seneste opgraderinger, opdateringer, fejlrettelser, patches, nye versioner og andre ændringer, der er nødvendige for at beskytte Logitech-dataene.
  3. Antimalware. Leverandøren vil til enhver tid anvende antimalware-software og vil holde antimalware-softwaren opdateret. Leverandøren vil afbøde trusler fra alle virusser, spyware og anden skadelig kode, som er eller med rimelighed burde være blevet opdaget.
  4. Kryptering. Leverandøren vil kryptere de lagrede data og data, der sendes over åbne netværk, i overensstemmelse med industriens bedste praksis.
  5. Test. Leverandøren vil regelmæssigt teste sine sikkerhedssystemer og processer for at sikre, at de opfylder kravene i denne sikkerhedspolitik.
  6. Adgangskontrol. Leverandøren vil sikre Logitech-data, herunder, men ikke begrænset til, ved at overholde følgende krav:
    1. Leverandøren vil tildele et unikt id til alle personer med computeradgang til Logitech-data.
    2. Leverandøren vil begrænse adgangen til Logitech-data, så kun personer, der har brug for adgang for at kunne bidrage til opnåelsen af det tilladte formål, har adgang.
    3. Leverandøren vil regelmæssigt gennemgå listen over personer og tjenester med adgang til Logitech-data og fjerne konti (eller anmode Logitech til at fjerne konti), som ikke længere har brug for adgang. En sådan gennemgang skal udføres mindst én gang hver 90. dag.
    4. Leverandøren vil ikke bruge producentens standardindstillinger for systemadgangskoder og andre sikkerhedsparametre i nogen operativsystemer, software eller andre systemer. Leverandøren vil påbyde og sikre brugen af systemhåndhævede "stærke adgangskoder" i overensstemmelse med bedste praksis (beskrevet nedenfor) på alle systemer, der er vært for, opbevarer, behandler eller har eller kontrollerer adgang til Logitech-data, og vil kræve, at alle adgangskoder og adgangsoplysninger holdes fortrolige og ikke deles blandt personalet. Adgangskoder skal opfylde følgende kriterier: de skal indeholde mindst 12 tegn; ikke matcher tidligere adgangskoder, brugerens loginnavn eller almindelige navn; de skal ændres, når der er mistanke om eller antaget et kompromittering af en konto; og de ændres regelmæssigt efter ikke mere end 90 dage.
    5. Leverandøren vil opretholde og håndhæve procedurer for "kontolåsning" ved at deaktivere konti med adgang til Logitech-data, når en konto overstiger mere end 10 på hinanden følgende ukorrekte forsøg på indtastning af adgangskode.
    6. Medmindre der udtrykkeligt er givet en skriftlig tilladelse fra Logitech, vil leverandøren til enhver tid holde Logitech-data isoleret fra leverandørens egne data og data tilhørende tredjeparter, inklusive lagring, behandling og overførsel.
    7. Hvis yderligere fysisk adgangskontrol anmodes skriftligt af Logitech, vil leverandøren implementere og bruge sådanne fysiske adgangskontrolforanstaltninger.
    8. Leverandøren giver Logitech på årsbasis eller oftere efter Logitechs anmodning adgang til (1) logføringsdata om al brug (både autoriseret og uautoriseret) af Logitech-konti eller legitimationsoplysninger, der er givet til leverandøren til brug på vegne af Logitech (f.eks. legitimationsoplysninger til konti på sociale medier), og (2) detaljerede logføringsdata om enhver efterligning af eller forsøg på at efterligne Logitech-personale eller leverandørens personale, der har adgang til Logitech-data.
    9. Leverandøren vil regelmæssigt gennemgå adgangslogs for tegn på skadelig adfærd eller uautoriseret adgang.
  7. Leverandørens politik. Leverandøren vil opretholde og håndhæve en it- og netværkssikkerhedspolitik for medarbejdere, underleverandører, agenter og samarbejdspartnere, der opfylder standarderne i denne politik, herunder metoder til at registrere og logføre overtrædelser af politikken. Efter anmodning fra Logitech vil leverandøren give Logitech adgang til oplysninger om overtrædelser af leverandørens it- og netværkssikkerhedspolitik, selvom det ikke udgør en sikkerhedsbrist.
  8. Underentreprise. Leverandøren vil ikke outsource nogen af sine forpligtelser i henhold til denne sikkerhedspolitik til nogen underleverandører uden Logitechs forudgående skriftlige samtykke. Uanset eksistensen eller vilkårene for enhver underkontrakt eller outsourcingarrangement forbliver underleverandøren ansvarlig for den fulde opfyldelse af sine forpligtelser i henhold til denne sikkerhedspolitik. Vilkår og betingelser i denne sikkerhedspolitik vil være bindende for leverandørens underleverandører og personale. Leverandøren vil (a) sikre, at leverandørens underleverandører og personale overholder denne sikkerhedspolitik, og (b) vil være ansvarlig for alle handlinger, undladelser, uagtsomhed og forseelser fra sine underleverandører og personale, herunder (hvis relevant) overtrædelse af enhver lov, regel eller bestemmelse.
  9. Fjernadgang. Leverandøren vil sikre, at enhver form for adgang udefra virksomhedens beskyttede miljø til systemer, der indeholder Logitech-data, eller adgang til leverandørens eget produktions- eller udviklingsmiljø kræver multifaktorgodkendelse (f.eks. kræver mindst to separate faktorer til brugeridentifikation).
  10. Leverandørens personale. Logitech kan betinge adgang for leverandørens personale til Logitech-data baseret på leverandørens personales accept over for Logitech af individuelle fortrolighedsaftaler, hvis indhold bestemmes af Logitech. Hvis Logitech anmoder om det, skal leverandørens personale underskrive en sådan fortrolighedsaftale. Leverandøren vil indhente de underskrevne fortrolighedsaftaler fra det personale, der skal have adgang til Logitech-dataene, og levere dem til Logitech, og dette skal ske inden tildeling af adgang eller overdragelse af dataene til leverandørens personale. Leverandøren vil også (a) give en liste over leverandørens personale, der har fået adgang til eller modtaget Logitech-dataene, til Logitech efter anmodning og inden for en aftalt tidsramme, og (b) underrette Logitech senest 24 timer efter, at en medarbejder med adgang til Logitech-data i overensstemmelse med dette afsnit: (y) ikke længere behøver adgang til Logitech-data eller (z) ikke længere kan betragtes som leverandørens personale (f.eks. hvis medarbejderens ansættelse hos leverandøren ophører).
     

2.2. Adgang til Logitechs ekstranet og partnerportaler. Logitech kan give leverandøren adgang til Logitech-data via webportaler eller andre ikke offentligt tilgængelige websteder eller ekstranettjenester på Logitechs eller en tredjeparts websted eller system ("ekstranet") til det tilladte formål. Hvis Logitech giver leverandøren adgang til Logitech-data ved hjælp af et ekstranet, skal leverandøren overholde følgende krav:

  1. Tilladt formål. Leverandøren og dennes personale vil få adgang til ekstranettet og få adgang til og kunne indsamle, bruge, se, hente, downloade eller gemme Logitech-data fra ekstranettet udelukkende til det tilladte formål.
  2. Konti. Leverandøren vil sikre, at leverandørens personale kun bruger den eller de konti til ekstranettet, der er givet til de enkelte brugere af Logitech, og vil kræve, at leverandørens personale holder deres adgangsoplysninger fortrolige.
  3. Systemer. Leverandøren vil kun få adgang til ekstranettet gennem computer- eller it-systemer og -enheder, der kører operativsystemer, der administreres af leverandøren, og som omfatter: (i) netværksfirewalls i overensstemmelse med afsnit 2.1(A) (firewall); (ii) centraliseret opdateringssystem i overensstemmelse med afsnit 2.1(B) (opdateringer); (iii) passende antimalware-software til operativsystemet i overensstemmelse med afsnit 2.1(C) (antimalware); og (iv) fuld diskkryptering gældende for alle bærbare og transportable enheder.
  4. Begrænsninger. Medmindre det på forhånd er godkendt skriftligt af Logitech, vil leverandøren ikke downloade, kopiere eller permanent gemme nogen Logitech-data fra noget ekstranet på noget medie, inklusive maskiner, enheder eller servere.
  5. Lukning af konti. Leverandøren vil lukke kontoen for hver af leverandørens medarbejdere og underrette Logitech senest 24 timer efter, at et specifikt medarbejder hos leverandøren, der tidligere er blevet godkendt til at få adgang til et ekstranet (a) ikke længere har brug for adgang til Logitech-data, (b) ikke længere kan betragtes som leverandørens personale (f.eks. medarbejderens ansættelse hos leverandøren ophører), eller (c) ikke har tilgået Logitech-data i 30 dage eller mere.
  6. Tredjepartssystemer.
    1. Leverandøren vil give Logitech forudgående varsel og indhente Logitechs forudgående skriftlige godkendelse, før de bruger et tredjepartssystem, der lagrer eller på anden måde har adgang til Logitech-data, medmindre (a) dataene er krypteret i overensstemmelse med denne sikkerhedspolitik og (b) tredjepartssystemet ikke vil have adgang til dekrypteringsnøglen eller ukrypterede versioner af dataene. Logitech forbeholder sig retten til at kræve en Logitech-sikkerhedsgennemgang (i overensstemmelse med afsnit 2.5 nedenfor) af tredjepartssystemet, før der gives godkendelse.
    2. Hvis leverandøren bruger tredjepartssystemer, der gemmer eller på anden måde har adgang til ukrypterede Logitech-data, skal leverandøren udføre en sikkerhedsgennemgang af tredjepartssystemerne og deres sikkerhedsaspekter og vil periodisk rapportere til Logitech angående tredjepartssystemets sikkerhedsaspekter i et format, der accepteres af Logitech (f.eks. SAS 70, SSAE 16 eller nyere) eller en anden anerkendt industristandard til rapportering, der er godkendt af Logitech.
       

2.3. Opbevaring og sletning af data.

  1. Opbevaring. Leverandøren vil kun opbevare Logitech-data for at kunne opnå, og så længe det er nødvendigt for at kunne opnå, det tilladte formål.
  2. Returnering eller sletning. Leverandøren vil omgående (men ikke mere end 10 dage efter Logitechs anmodning) returnere til Logitech og permanent og definitivt slette alle Logitech-data efter og i overensstemmelse med den meddelelse fra Logitech, hvori der anmodes om returnering og/eller sletning af data. Leverandøren vil også permanent og definitivt slette alle live (dvs. tilgængelige online eller via netværk) forekomster af Logitech-data inden for 90 dage efter opnåelsen af det tilladte formål eller opsigelsen eller udløbet af aftalen, medmindre leverandøren er forpligtet ifølge lovgivningen at opbevare dem yderligere. Hvis Logitech anmoder om det, vil leverandøren skriftligt bekræfte, at alle Logitech-data er blevet slettet.
  3. Arkiverede kopier. Hvis leverandøren i henhold til lovgivningen er forpligtet til at opbevare arkiverede kopier af Logitech-data, f.eks. til skattemæssige eller lignende lovmæssige formål, skal sådanne arkiverede Logitech-data opbevares på en af følgende måder: som "kold" eller offline (dvs. ikke tilgængelig for øjeblikkelig eller interaktiv brug) backup gemt på en fysisk sikker placering; eller i krypteret form, hvor det system, der bruges til opbevaring af de krypterede filer, ikke har adgang til en kopi af den/de nøgle(r), der blev brugt til filkryptering.
  4. Gendannelse. Hvis leverandøren udfører en "gendannelse" (dvs. gendanner data fra en sikkerhedskopi) efter en it-relateret nedbrud, vil leverandøren have og vedligeholde en proces, der sikrer, at alle Logitech-data, der skal slettes i henhold til aftalen eller denne sikkerhedspolitik, slettes igen eller overskrives fra de gendannede data i overensstemmelse med afsnit 2.3 inden for 24 timer efter gendannelsen. Hvis leverandøren udfører en hvilken som helst form for gendannelse, må ingen Logitech-data gendannes til noget tredjepartssystem eller -netværk uden en forudgående skriftlig godkendelse fra Logitech. Logitech forbeholder sig retten til at kræve en Logitech-sikkerhedsgennemgang (i overensstemmelse med afsnit 2.5 nedenfor) af tredjepartssystemet eller -netværket, før der gives tilladelse til en gendannelse af Logitech-data til et tredjepartssystem eller -netværk.
  5. Standarder for sletning. Alle Logitech-data, der slettes af leverandøren, skal slettes i overensstemmelse med retningslinjerne i NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation fra 18. december 2014 (tilgængelig på http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP .800-88r1.Logitech), eller andre lignende standarder, som Logitech måtte kræve baseret på klassificeringen og følsomheden af Logitech-dataene.
     

2.4. Uigenkendelig destruktion. Før bortskaffelsen af hardware, software eller andre medier, der indeholder eller på noget tidspunkt har indeholdt Logitech-data, vil leverandøren udføre en komplet og uigenkendelig destruktion af hardwaren, softwaren eller andre medier, så ingen Logitech-data kan gendannes eller hentes i enhver form. Leverandøren vil udføre en uigenkendelig destruktion i overensstemmelse med de standarder, Logitech måtte kræve baseret på klassificeringen og følsomheden af Logitech-dataene. Leverandøren skal fremlægge beviser for en sådan destruktion efter anmodning fra Logitech.

  1. Leverandøren vil ikke sælge, videresælge, donere, istandsætte eller på anden måde overdrage (herunder salg eller overdragelse af hardware, software eller andre medier, bortskaffelse i forbindelse med ophør af leverandørens virksomhed eller anden bortskaffelse) hardware, software eller andre medier, der indeholder Logitech-data, som ikke er blevet uigenkendeligt destrueret af leverandøren.
     

2.5. Sikkerhedsgennemgang.

  1. Spørgeskema om risikovurdering. Logitech kræver, at alle leverandører gennemgår en risikovurdering af leverandører, der udløses ved besvare Logitechs spørgeskema om risikovurdering, hvilket som minimum skal ske på årsbasis men kan være hyppigere afhængigt af den risiko, som vurderes at være til stede hos leverandøren.
  2. Bekræftelse. Efter Logitechs skriftlige anmodning vil leverandøren skriftligt bekræfte over for Logitech, at denne fuldt ud overholder alle betingelser i nærværende aftale.
  3. Andre gennemgange. Logitech forbeholder sig retten til med jævne mellemrum at gennemgå sikkerheden af systemer, som leverandøren bruger til håndtering af Logitech-data. Leverandøren vil udvise en rimelig grad af samarbejde og forsyne Logitech med alle nødvendige oplysninger inden for en rimelig tidsramme, men ikke mere end 20 kalenderdage fra datoen for Logitechs anmodning.
  4. Udbedring. Hvis en sikkerhedsgennemgang identificerer nogle bemærkede mangler, vil leverandøren for egen regning tage alle nødvendige skridt til udbedring af disse mangler inden for en aftalt tidsramme.
     

2.6. Sikkerhedsbrister.

  1. Leverandøren vil uden unødig forsinkelse (dog ikke længere end 24 timer) give Logitech besked via securityincident@logitech.com om alle sikkerhedsbrister, som de er defineret af gældende lovgivning, og som (i) berører Logitech-data eller (ii) håndteres af leverandøren ved hjælp af metoder, der i det væsentlige svarer til dem, der beskytter Logitech-data ("sikkerhedsbrist"). Leverandøren vil håndtere hver sikkerhedsbrist rettidigt og give Logitech skriftlige detaljer vedrørende leverandørens interne undersøgelse vedrørende hver sikkerhedsbrist. Leverandøren vil undlade at kontakte myndigheder eller kunder på vegne af Logitech, medmindre Logitech udtrykkeligt skriftligt anmoder om, at leverandøren gør det, og Logitech forbeholder sig retten til at gennemgå og godkende formen og indholdet af enhver sådan henvendelse, før den sendes. Leverandøren vil inden for rimelighedens grænser arbejde sammen med Logitech om at formulere og eksekvere en handlingsplan, der skal rette op på alle bekræftede sikkerhedsbrister.
  2. Leverandøren vil uden unødig forsinkelse (dog ikke længere end 24 timer) give Logitech besked i situationer, hvor Logitech-data indgår i en juridisk undersøgelse eller proces i henhold til gældende lovgivning.