Logitech Anforderungen an Anbieter zur Sicherheit von Informationen
Logitech Europe S.A. und alle seine Tochtergesellschaften und verbundenen Unternehmen (zusammenfassend „Logitech“) verlangen von allen ihren Anbietern, Dienstanbietern und anderen Geschäftspartnern („Sie“ oder „Anbieter“) die Einhaltung eines umfassenden schriftlichen Programms zur Informationssicherheit („Informationssicherheitsprogramm“), das technische, physische und organisatorische Maßnahmen umfasst, um die Vertraulichkeit, Sicherheit, Integrität und Verfügbarkeit der von Logitech, den mit Logitech verbundenen Unternehmen sowie deren Mitarbeitern, Vertretern, Auftragnehmern, Kunden und Zulieferern bereitgestellten Informationen (zusammenfassend „Logitech Daten“ genannt) zu gewährleisten sowie zum Schutz dieser Logitech Daten gegen unbefugten Zugriff, Nutzung, Offenlegung, Veränderung oder Zerstörung. Dieses Informationssicherheitsprogramm ist Bestandteil der Dienstleistungsvereinbarungen („Vereinbarungen“), die zwischen dem hierin genannten Logitech Unternehmen und Ihnen geschlossen wurden. Das Informationssicherheitsprogramm muss insbesondere unter anderem die folgenden Maßnahmen umfassen, sofern dies zum Schutz der Logitech Daten angemessen oder erforderlich ist:
- Zugangskontrollen – Richtlinien, Verfahren sowie physische und technische Kontrollen:
- um den physischen Zugang zu Ihren Informationssystemen und der Einrichtung oder den Einrichtungen, in denen diese untergebracht sind, auf ordnungsgemäß autorisierte Personen zu beschränken;
- um sicherzustellen, dass allen Mitarbeitern, die Zugriff auf Logitech Daten benötigen, nur angemessen kontrollierter Zugriff gewährt wird, und den Zugriff durch Mitarbeiter und andere Personen, die keinen Zugriff haben sollen, zu verhindern;
- um nur autorisierte Personen zu authentifizieren und ihnen Zugriff zu gewähren und zu verhindern, dass Ihre Mitarbeiter Logitech Daten oder diesbezügliche Informationen an unbefugte Personen weitergeben; und
- um Logitech Daten bei Bedarf zu verschlüsseln und zu entschlüsseln.
- Sicherheitsbewusstsein und -schulung – ein Programm zur Bewusstseinsbildung und regelmäßige Schulungen für alle Mitarbeiter (einschließlich Management) einschließlich Schulungen zur Implementierung und Einhaltung Ihres Informationssicherheitsprogramms.
- Verfahren für Sicherheitsvorfälle – Richtlinien und Verfahren zur Erkennung von, Reaktion auf und anderweitige Behebung von Sicherheitsvorfällen, einschließlich Verfahren zur Überwachung von Systemen und zur Erkennung tatsächlicher und versuchter Angriffe auf oder Eingriffe in Logitech Daten oder damit zusammenhängende Informationssysteme sowie Verfahren zur Identifizierung und Reaktion auf Vorfälle vermutete oder bekannte Sicherheitsvorfälle, Minderung der schädlichen Auswirkungen von Sicherheitsvorfällen und Dokumentation von Sicherheitsvorfällen und deren Folgen. Wenn Ihnen Umstände zur Kenntnis gelangen, die die Verpflichtungen einer der Parteien gemäß Gesetzen zu Sicherheitsverstößen auslösen könnten, müssen Sie Logitech unverzüglich schriftlich unter untersecurityincident@logitech.com benachrichtigen und in vollem Umfang mit Logitech zusammenarbeiten, damit Logitech seinen Verpflichtungen gemäß Gesetzen zu Sicherheitsverstößen nachkommen kann.
- Notfallplanung – Richtlinien und Verfahren für die Reaktion auf einen Notfall oder ein anderes Ereignis (z. B. Brand, Vandalismus, Systemausfall und Naturkatastrophe), das Logitech Daten oder Systeme, die Logitech Daten enthalten, beschädigt, einschließlich eines Datensicherungsplans und eines Notfallwiederherstellungsplans und der unverzüglichen schriftlichen Benachrichtigung an „securityincident@logitech.com“.
- Geräte- und Medienkontrollen – Richtlinien und Verfahren für den Transport von Hardware und elektronischen Medien, die Logitech Daten enthalten, in Ihre Einrichtungen, aus diesen heraus und sowie innerhalb der Einrichtungen, darunter Richtlinien und Verfahren für die endgültige Entsorgung von Logitech Daten und/oder der Hardware oder elektronischen Medien, auf denen diese gespeichert sind, sowie Verfahren zum Entfernen von Logitech Daten von elektronischen Medien, bevor diese zur Wiederverwendung bereitgestellt werden. Sie müssen sicherstellen, dass keine Logitech Daten heruntergeladen oder anderweitig auf Notebooks oder anderen mobilen Geräten gespeichert werden, es sei denn, diese unterliegen allen hierin verlangten Schutzmaßnahmen. Zu diesen Schutzmaßnahmen gehören unter anderem die Verschlüsselung aller Geräte, die auf Logitech Daten zugreifen, und die Verwendung aktueller Anti-Malware-Software.
- Audit-Kontrollen – Hardware, Software, Dienste, Plattformen und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen, die elektronische Informationen enthalten oder verwenden, aufzeichnen und untersuchen, darunter geeignete Protokolle und Berichte zu diesen Sicherheitsanforderungen und deren Einhaltung.
- Richtlinien und Verfahren – Richtlinien und Verfahren zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Logitech Daten und zum Schutz vor versehentlicher, unbefugter oder unsachgemäßer Offenlegung, Verwendung, Änderung oder Vernichtung.
- Speicher- und Übertragungssicherheit – Technische Sicherheitsmaßnahmen zum Schutz gegen unbefugten Zugriff auf Logitech Daten, die über ein elektronisches Kommunikationsnetzwerk übertragen werden, einschließlich eines Mechanismus zur Verschlüsselung von Logitech Daten in elektronischer Form während der Übertragung und bei der Speicherung in Netzwerken oder Systemen, zu denen nicht autorisierte Personen Zugriff haben könnten.
- Zugewiesene Sicherheitsverantwortung – Sie müssen einen Sicherheitsbeauftragten benennen, der für die Entwicklung, Implementierung und Wartung Ihres Informationssicherheitsprogramms verantwortlich ist.
- Physische Speichermedien – Richtlinien und Verfahren, die sicherstellen, dass Sie Logitech Daten vor der Zuweisung oder Neuzuweisung von Speichermedien, die solche Daten enthalten, an andere Benutzer bzw. bevor die Speichermedien dauerhaft aus Ihrer Einrichtung entfernt werden, gemäß Absatz 2.3 (e.) sicher von diesen entfernen, und zwar sowohl in physischer als auch in logischer Hinsicht, wobei keinerlei Datenreste auf den Medien zurückbleiben, oder dass Sie die Medien gegebenenfalls physich vernichten. Sie müssen ein nachprüfbares Programm zur Umsetzung der in diesem Absatz dargelegten Entsorgungs- und Vernichtungsanforderungen für alle Speichermedien einhalten, die Logitech-Daten enthalten.
- Testen – Sie müssen die wichtigsten Kontrollen, Systeme und Verfahren Ihres Informationssicherheitsprogramms regelmäßig testen, um sicherzustellen, dass sie ordnungsgemäß implementiert sind und den identifizierten Bedrohungen und Risiken zuverlässig entgegenwirken. Die Tests sind von unabhängigen Dritten oder von Mitarbeitern durchzuführen oder zu prüfen, die von denjenigen, die die Sicherheitsprogramme entwickeln oder verwalten, unabhängig sind.
- Das Programm auf dem neuesten Stand halten – Sie müssen das Informationssicherheitsprogramm unter Berücksichtigung relevanter Änderungen der Technologie oder der Sicherheitsstandards der Branche, der Vertraulichkeit der Logitech-Daten, interner oder externer Bedrohungen für Sie oder die Logitech Daten sowie Ihrer eigenen sich ändernden Geschäftspraktiken und -beziehungen wie Fusionen und Übernahmen, Allianzen und Joint Ventures, Outsourcing-Vereinbarungen und Änderungen an Informationssystemen überwachen, auswerten und anpassen.
Das Informationssicherheitsprogramm des Anbieters muss im Einzelnen die folgenden Anforderungen erfüllen oder übertreffen:
1. UMFANG; DEFINITIONEN
1.1 Sicherheitsrichtlinien. Der Anbieter wird die in diesen Logitech Informationssicherheitsanforderungen für Anbieter (die „Sicherheitsrichtlinie“) dargelegten Informationssicherheitsanforderungen von Logitech in jeder Hinsicht einhalten. Die Sicherheitsrichtlinien gelten für die Leistungen des Anbieters im Rahmen jeglicher Vereinbarungen zwischen dem Anbieter und Logitech (die „Vereinbarung“) und für jeglichen Zugriff und jegliche Erfassung, Nutzung, Speicherung, Übertragung, Offenlegung, Vernichtung oder Löschung von Logitech Informationen (wie unten definiert) sowie für Sicherheitsvorfälle in Bezug auf diese. Diese Sicherheitsrichtlinie stellt keine Einschränkung anderer Verpflichtungen des Anbieters dar, einschließlich im Rahmen der Vereinbarung oder in Bezug auf Gesetze, die für den Anbieter gelten, auf die Leistungen des Anbieters im Rahmen der Vereinbarung, auf die Logitech Informationen oder auf den zulässigen Zweck (wie unten definiert). Soweit diese Sicherheitsrichtlinie direkt mit der Vereinbarung in Konflikt steht, wird der Anbieter Logitech unverzüglich über den Konflikt informieren und der strengeren Anforderung, die stärkeren Schutz für die Logitech Informationen bietet folgen. (Dies wird möglicherweise von Logitech festgelegt.)
1.2 Definitionen.
- „VerbundenesUnternehmen“ bezeichnet in Bezug auf eine bestimmte Person jede juristische Person, die diese Person direkt oder indirekt kontrolliert, von dieser kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht.
- „Aggregiert“ bedeutet die Kombination oder Speicherung von Logitech Informationen mit Daten oder Informationen des Anbieters oder eines Dritten.
- „Anonymisieren“ bedeutet die Verwendung, Erfassung, Speicherung, Übertragung oder Transformation von Daten oder Informationen (einschließlich Logitech Informationen) in einer Weise oder Form, die die Benutzer weder identifiziert noch deren Identifizierung zulässt oder eine Zuordnung zu einem Benutzer, einer Geräte-ID, einer Quelle, einem Produkt, einer Dienstleistung, einem Kontext, einer Marke oder zu Logitech oder seinen verbundenen Unternehmen ermöglicht.
- „Logitech Informationen“ bezeichnet einzeln und zusammenfassend: (a) alle vertraulichen Informationen von Logitech (wie in der Vereinbarung oder in der Geheimhaltungsvereinbarung zwischen den Parteien definiert); (b) alle anderen Daten, Aufzeichnungen, Dateien, Inhalte oder Informationen in jedweder Form oder in beliebigem Format, die der Anbieter oder seine verbundenen Unternehmen von oder im Namen von Logitech oder seinen verbundenen Unternehmen oder anderweitig in Verbindung mit der Vereinbarung, den im Rahmen der Vereinbarung bereitgestellten Dienstleistungen oder der Erfüllung oder Ausübung von Rechten der Parteien gemäß oder im Zusammenhang mit der Vereinbarung beschafft, erfasst, erhalten, gespeichert oder verwaltet hat oder auf die der zugegriffen hat; und (c) Daten in von (a) oder (b) abgeleiteten Fällen, auch wenn anonymisiert.
1.3 Zulässiger Zweck.
Soweit nicht ausdrücklich im Rahmen der Vereinbarung autorisiert, darf der Anbieter nur auf die gemäß der Vereinbarung ausdrücklich autorisierten Logitech Informationen zugreifen, diese erfassen, verwenden, speichern und übertragen, und zwar ausschließlich zum Zweck der Erbringung der Dienstleistungen im Rahmen der Vereinbarung und im Einklang mit den Lizenzen (sofern vorhanden), die im Rahmen der Vereinbarung gewährt wurden („Zulässiger Zweck“). Außer wie ausdrücklich im Rahmen der Vereinbarung genehmigt, wird der Anbieter keine Logitech Informationen erfassen, verwenden, speichern oder übertragen oder auf diese zugreifen sowie Logitech-Informationen nicht aggregieren, selbst wenn sie anonymisiert sind. Der Anbieter wird ohne vorherige ausdrückliche schriftliche Genehmigung von Logitech (A) keine Logitech Daten übertragen, vermieten, tauschen, handeln, verkaufen, verleihen, verleasen oder anderweitig verteilen oder Dritten zugänglich machen oder (B) Logitech Daten nicht mit alle anderen Informationen oder Daten, auch wenn sie anonymisiert sind.
2. SICHERHEITSRICHTLINIEN.
2.1 Grundlegende Sicherheitsanforderungen. Der Anbieter trifft in Übereinstimmung mit den besten derzeit geltenden Branchenstandards und anderen von Logitech anhand der Klassifizierung und Vertraulichkeit der Logitech Informationen festgelegten Anforderungen physische, administrative und technische Schutz- und Sicherheitsmaßnahmen (A), um die Sicherheit und Vertraulichkeit der vom Anbieter abgerufene, erfassten, verwendeten, gespeicherten oder übermittelten Logitech Daten, und (B) zum Schutz dieser Informationen vor bekannten oder vernünftigerweise vorhersehbaren Bedrohungen oder Gefahren für die Sicherheit und Integrität, versehentlichem Verlust, Änderung, Offenlegung und allen anderen rechtswidrigen Formen der Verarbeitung. Der Anbieter wird die folgenden Anforderungen uneingeschränkt erfüllen:
- eine Firewall). Der Anbieter installiert und wartet eine funktionierende Netzwerk-Firewall, um die über das Internet zugänglichen Daten zu schützen, und sorgt dafür, dass alle Logitech Informationen jederzeit durch die Firewall geschützt sind.
- Updates Der Anbieter wird seine Systeme und Software mit den neuesten Upgrades, Updates, Fehlerbehebungen, neuen Versionen und anderen Änderungen, die erforderlich sind, um die Sicherheit der Logitech Informationen zu gewährleisten, auf dem neuesten Stand halten.
- Anti-Malware. Der Anbieter verwendet jederzeit Anti-Malware-Software und hält die Anti-Malware-Software auf dem neuesten Stand. Der Anbieter minimiert Bedrohungen durch alle Viren, Spyware und anderen bösartigen Code, die erkannt werden oder vernünftigerweise hätten erkannt werden sollen.
- VERSCHLÜSSELUNG Der Anbieter verschlüsselt ruhende Daten und Daten, die über offene Netzwerke gesendet werden, gemäß den Best Practices der Branche.
- Testen Der Anbieter testet regelmäßig seine Sicherheitssysteme und -prozesse, um sicherzustellen, dass sie die Anforderungen dieser Sicherheitsrichtlinie erfüllen.
- Leicht zugängliche Bedienelemente Der Anbieter erfüllt zum Schutz der Logitech Informationen unter anderem die folgenden Anforderungen:
- Der Anbieter weist jeder Person mit Computerzugriff auf Logitech Informationen eine eindeutige ID zu.
- Der Anbieter beschränkt den Zugriff auf Logitech Informationen auf Personen, die diese Informationen für einen zulässigen Zweck unbedingt kennen müssen.
- Der Anbieter überprüft regelmäßig die Liste der Personen und Dienste mit Zugriff auf Logitech Informationen und entfernt Konten (oder weist Logitech an, Konten zu entfernen), die keinen Zugriff mehr benötigen. Diese Überprüfung muss mindestens alle 90 Tage durchgeführt werden.
- Der Anbieter verwendet keine vom Hersteller bereitgestellten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter auf Betriebssystemen, Software oder anderen Systemen. Der Anbieter ordnet die Verwendung systemerzwungener „sicherer Kennwörter“ gemäß den Best Practices (unten beschrieben) auf allen Systemen an und setzt dies durch, die Logitech Informationen hosten, speichern, verarbeiten oder den Zugriff darauf haben oder steuern, und verlangt, dass alle Kennwörter und Zugangsdaten vertraulich behandelt und nicht von Mitarbeitern gemeinsam genutzt werden. Kennwörter müssen die folgenden Kriterien erfüllen: Sie enthalten mindestens 12 Zeichen; stimmen nicht mit früheren Kennwörtern, dem Login oder dem allgemeinen Namen des Benutzers überein; sie müssen geändert werden, wenn eine Gefährdung des Kontos vermutet oder angenommen wird; sie werden regelmäßig nach spätestens 90 Tagen ersetzt.
- Der Anbieter legt eine „Kontosperrung“ fest und erzwingt sie, indem er Konten mit Zugriff auf Logitech Informationen sperrt, wenn mehr als 10 aufeinanderfolgende falsche Kennworteingaben für ein Konto vorgenommen wurden.
- Außer in Fällen, in denen dies ausdrücklich schriftlich von Logitech genehmigt wurde, wird der Anbieter Logitech Informationen jederzeit (einschließlich bei der Speicherung, Verarbeitung oder Übertragung) von den Informationen des Anbieters und von Drittanbietern isolieren.
- Wenn Logitech schriftlich zusätzliche physische Zugangskontrollen verlangt, implementiert und nutzt der Anbieter diese sicheren physischen Zugangskontrollen.
- Der Anbieter stellt Logitech jährlich oder auf Anforderung von Logitech öfter zur Verfügung: (1) Protokolldaten über die gesamte (sowohl autorisierte als auch nicht autorisierte) Nutzung der Logitech Konten oder Anmeldeinformationen, die dem Anbieter zur Nutzung im Namen von Logitech zur Verfügung gestellt wurden (z. B. Anmeldedaten für Social-Media-Konten) und (2) detaillierte Protokolldaten zur Vortäuschung der Identität von Logitech Mitarbeitern oder Mitarbeitern des Anbieters mit Zugriff auf Logitech-Informationen bzw. zu Versuchen einer solchen Vortäuschung.
- Der Anbieter überprüft die Zugriffsprotokolle regelmäßig auf Anzeichen von bösartigem Verhalten oder nicht autorisiertem Zugriff.
- Richtlinie für Anbieter. Der Anbieter führt eine Informations- und Netzwerksicherheitsrichtlinie für Mitarbeiter, Subunternehmer, Vertreter und Anbieter ein und setzt sie durch, die den in dieser Richtlinie festgelegten Standards entspricht, einschließlich der Methoden zum Erkennen und Protokollieren von Richtlinienverstößen. Auf Anfrage von Logitech wird der Anbieter Logitech Informationen über Verstöße gegen die Informations- und Netzwerksicherheitsrichtlinien des Anbieters zur Verfügung stellen, auch wenn es sich nicht um einen Sicherheitsvorfall handelt.
- Subunternehmer. Der Anbieter wird ohne die vorherige schriftliche Zustimmung von Logitech keine seiner Verpflichtungen aus dieser Sicherheitsrichtlinie an Subunternehmer weitergeben. Der Anbieter bleibt ungeachtet des Bestehens oder der Bedingungen von Verträgen mit Subunternehmern oder von Delegierungen verantwortlich für die vollständige Erfüllung seiner Verpflichtungen gemäß dieser Sicherheitsrichtlinie. Die Bedingungen dieser Sicherheitsrichtlinie sind für Subunternehmer und Personal des Anbieters bindend. Der Anbieter (a) stellt sicher, dass die Subunternehmer und das Personal des Anbieters diese Sicherheitsrichtlinien einhalten, und ist (b) für alle Handlungen, Unterlassungen, Fahrlässigkeit und Fehlverhalten seiner Subunternehmer und Mitarbeiter verantwortlich, einschließlich (soweit zutreffend) bei Verstößen gegen Gesetze und Vorschriften oder Regulierung.
- Fernzugriff. Der Anbieter stellt sicher, dass für jeden Zugriff von außerhalb der geschützten Unternehmens- oder Produktionsumgebungen auf Systeme, die Logitech Informationen enthalten, oder auf Unternehmensnetzwerke des Anbieters oder seine Netzwerke mit für die Entwicklung genutzten Arbeitsstationen eine mehrstufige Authentifizierung erforderlich ist (wobei z. B. mindestens zwei separate Faktoren zur Identifizierung von Benutzern erforderlich sind).
- Personal des Anbieters. Logitech kann den Zugang zu Logitech Informationen durch Mitarbeiter des Anbieters von der Ausfertigung persönlicher Geheimhaltungsvereinbarungen in einer von Logitech festgelegten Form durch die Mitarbeiter des Anbieters und Übermittlung dieser Vereinbarungen an Logitech abhängig machen. Wenn Logitech dies verlangt, fordert Logitech die Mitarbeiter des Anbieters auf, die persönliche Geheimhaltungsvereinbarung zu unterzeichnen. Der Anbieter wird unterschriebene persönliche Geheimhaltungsvereinbarungen derjenigen seiner Mitarbeitern einholen und an Logitech übermitteln, die Zugang zu den Logitech Informationen erhalten werden (bevor er den Mitarbeitern des Anbieters Zugriff gewährt oder ihnen Informationen zur Verfügung stellt). Der Anbieter wird Logitech außerdem (a) diese Liste der Mitarbeiter des Anbieters, die auf die Logitech Informationen zugegriffen oder diese erhalten haben, , auf Anfrage innerhalb eines vereinbarten Zeitrahmens zur Verfügung stellen und (b) Logitech in den folgenden Fällen spätestens 24 Stunden, nachdem spezifische Mitarbeiter des Anbieters, die gemäß diesem Abschnitt zum Zugriff auf Logitech Informationen autorisiert waren, benachrichtigen: (y) wenn sie keinen Zugriff mehr auf Logitech Informationen benötigen oder (z) wenn sie nicht mehr als Mitarbeiter des Anbieters qualifiziert sind (z. B. wenn ein Mitarbeiter das Beschäftigungsverhältnis kündigt).
2.2. Zugriff auf Logitech Extranet und Anbieterportale. Logitech kann dem Anbieter für den zulässigen Zweck Zugriff auf Logitech Informationen über Webportale oder andere nicht öffentliche Websites oder Extranet-Dienste auf der Website oder dem System von Logitech oder einer Drittpartei (jeweils ein „Extranet“) gewähren. Wenn Logitech dem Anbieter den Zugriff auf Logitech Informationen über ein Extranet gestattet, muss der Anbieter die folgenden Anforderungen erfüllen:
- Zulässiger Zweck. Der Anbieter und seine Mitarbeiter greifen auf das Extranet zu und greifen ausschließlich für den zulässigen Zweck auf Logitech Informationen aus dem Extranet zu, erfassen oder verwenden sie, zeigen sie an, laden sie herunter und speichern sie.
- Konten Der Anbieter stellt sicher, dass die Mitarbeiter des Anbieters ausschließlich das von Logitech für jede einzelne Person angegebene Extranet-Konto bzw. die von Logitech für jede einzelne Person angegebenen Extranet-Konten verwenden, und verlangt von den Mitarbeitern des Anbieters, ihre Zugangsdaten vertraulich zu behandeln.
- systeme Der Anbieter greift nur über Computer- oder Verarbeitungssysteme oder Anwendungen auf das Extranet zu, auf denen vom Anbieter verwaltete Betriebssysteme ausgeführt werden. Dazu gehören: (i) Systemnetzwerk-Firewalls gemäß Abschnitt 2.1(A) (Firewall); (ii) zentrales Patch-Management gemäß Abschnitt 2.1(B) (Updates); (iii) dem Betriebssystem angemessene Anti-Malware-Software gemäß Abschnitt 2.1(C) (Anti-Malware); und (iv) für tragbare Geräte vollständige Datenträgerverschlüsselung.
- Einschränkungen Der Anbieter wird, ausgenommen nach vorheriger schriftlicher Genehmigung von Logitech, keine Logitech Informationen aus einem Extranet herunterladen, spiegeln oder dauerhaft auf einem beliebigen Medium, einschließlich unter anderem auf Maschinen, Geräten oder Servern, speichern.
- Kündigung des Kontos. Der Anbieter schließt die Konten aller Mitarbeiter des Anbieters und benachrichtigt Logitech spätestens 24 Stunden, nachdem ein bestimmter Mitarbeiter des Anbieters, der für den Zugriff auf ein Extranet autorisiert war, (a) keinen Zugriff mehr auf Logitech Informationen benötigt, (b) nicht mehr als Mitarbeiter des Anbieters qualifiziert ist (z. B. das Personal scheidet beim Anbieter aus) oder (c) für 30 Tage oder länger nicht mehr auf Logitech Daten zugegriffen hat.
- Systeme von Drittanbietern.
- Der Anbieter benachrichtigt Logitech im Voraus und holt die vorherige schriftliche Genehmigung von Logitech ein, bevor er ein Drittanbietersystem verwendet, das Logitech Informationen speichert oder anderweitig darauf zugreifen kann, es sei denn, (a) die Daten sind in Übereinstimmung mit diesen Sicherheitsrichtlinien verschlüsselt, und (b) Das Drittsystem hat keinen Zugriff auf den Entschlüsselungsschlüssel oder unverschlüsselte „Klartext“-Versionen der Daten. Logitech behält sich das Recht vor, eine Sicherheitsüberprüfung (gemäß Abschnitt 2.5 unten) des Drittanbietersystems durch Logitech zu verlangen, bevor eine Genehmigung erteilt wird.
- Wenn der Anbieter Systeme von Drittanbietern verwendet, die unverschlüsselte Daten von Logitech speichern oder anderweitig darauf zugreifen können, muss der Anbieter eine Sicherheitsüberprüfung der Systeme des Drittanbieters und ihrer Sicherheitskontrollen durchführen und Logitech in regelmäßigen Abständen Berichte über die Sicherheitskontrollen des Systems des Drittanbieters in dem von Logitech angeforderten Format (z. B. SAS 70, SSAE 16 oder ein Nachfolgebericht) oder in einem anderen branchenüblichen, von Logitech genehmigten Berichtsformat senden.
2.3. Datenaufbewahrung und -vernichtung.
- Aufbewahrung. Der Anbieter speichert Logitech Informationen nur für den zulässigen Zweck und so lange, wie es für diesen erforderlich ist.
- Zurück oder Löschen. Der Anbieter wird alle Logitech Informationen unverzüglich (jedoch innerhalb von 10 Tagen nach Aufforderung durch Logitech) an Logitech zurücksenden und sie gemäß der Anweisung von Logitech zur Rückgabe und/oder Löschung dauerhaft und sicher löschen. Außerdem wird der Anbieter alle (online oder über das Netzwerk zugänglichen) Live-Instanzen der Logitech Informationen innerhalb von 90 Tagen nach Erfüllung des zulässigen Zwecks bzw. nach Kündigung oder Ablauf der Vereinbarung dauerhaft und sicher löschen, es sei denn, er ist gesetzlich zur Aufbewahrung verpflichtet. Auf Anforderung von Logitech wird der Anbieter schriftlich bestätigen, dass alle Logitech-Informationen vernichtet wurden.
- Archivierte Kopien. Falls der Anbieter gesetzlich verpflichtet ist, Archivkopien von Logitech Informationen aus steuerlichen oder ähnlichen behördlichen Gründen aufzubewahren, müssen diese archivierten Logitech Informationen auf eine der folgenden Arten gespeichert werden: als „kalte“ oder Offline-Datensicherung (d. h. nicht sofort oder interaktiv verfügbar), die in einer physisch sicheren Einrichtung aufbewahrt wird; oder in verschlüsselter Form, wobei das System, auf dem die verschlüsselten Dateien gehostet oder gespeichert sind, keinen Zugriff auf eine Kopie des/der Schlüssel(s) hat, die für die Verschlüsselung verwendet werden.
- Wiederherstellung. Wenn der Anbieter eine „Wiederherstellung“ (d. h. das Zurücksetzen auf eine Datensicherung) zum Zweck der Notfallwiederherstellung durchführt, führt der Anbieter einen Prozess ein, der gewährleistet, dass alle Logitech Daten, die gemäß der Vereinbarung oder dieser Sicherheitsrichtlinie gelöscht werden müssen, innerhalb von 24 Stunden nach der Wiederherstellung gemäß diesem Absatz 2.3 erneut gelöscht oder mit den wiederhergestellten Daten überschrieben werden. Wenn der Anbieter aus irgendeinem Grund eine Wiederherstellung durchführt, dürfen keine Logitech Informationen ohne die vorherige schriftliche Genehmigung von Logitech auf einem System oder Netzwerk eines Drittanbieters wiederhergestellt werden. Logitech behält sich das Recht vor, eine Sicherheitsüberprüfung (gemäß Abschnitt 2.5 unten) des Drittanbietersystems oder -netzwerks durch Logitech zu verlangen, bevor die Wiederherstellung von Logitech Informationen in einem Drittanbietersystem oder -netzwerk gestattet wird.
- Vorgaben zum Löschen. Alle vom Anbieter gelöschten Logitech Informationen werden in Übereinstimmung mit der NIST-Sonderveröffentlichung 800-88 Revision 1, Guidelines for Media Sanitation vom 18. Dezember 2014 (verfügbar unter https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization) oder anderen von Logitech unter Berücksichtigung der Klassifizierung und Vertraulichkeit der Logitech Informationen verlangten Normen gelöscht.
2.4. Forensische Zerstörung. Vor der Entsorgung von Hardware, Software oder anderen Medien, die Informationen von Logitech enthalten oder enthielten, führt der Anbieter eine vollständige forensische Vernichtung der Hardware, Software oder sonstigen Medien durch, sodass keine der Logitech Informationen in welcher Form auch immer wiederhergestellt oder abgerufen werden können. Der Anbieter führt die forensische Vernichtung der Informationen gemäß den von Logitech gemäß der Klassifizierung und Vertraulichkeit der Informationen verlangten Standards durch. Der Lieferant muss Logitech auf Anforderung eine Bescheinigung der Venichtung vorlegen.
- Der Anbieter wird keine Hardware, Software oder andere Medien, die Logitech-Informationen enthalten, die vom Anbieter nicht forensisch vernichtet wurden, verkaufen, weiterverkaufen, spenden, generalüberholen oder anderweitig weitergeben (darunter u. a. durch Verkauf solcher Hardware, Software oder Medien oder Weitergabe beispielsweise in Verbindung mit einer Liquidation des Unternehmens des Anbieters).
5 Sicherheitsüberprüfung.
- Fragebogen zur Risikobewertung. Logitech verlangt von allen Anbietern, dass sie sich einer Anbieter-Risikobewertung unterziehen, bei der sie mindestens einmal jährlich aktualisierte Antworten im Risikobewertungs-Fragebogen bereitstellen müssen. Dies kann je nach Einstufung der beim Anbieter vorhandenen Risiken auch in kürzeren Abständen erforderlich sein.
- Zertifizierungen Der Anbieter wird nach schriftlicher Aufforderung durch Logitech schriftlich bestätigen, dass er diese Vereinbarung einhält.
- Power Reviews Logitech behält sich das Recht vor, die Sicherheit der Systeme, die der Anbieter zur Verarbeitung von Logitech Informationen verwendet, regelmäßig zu überprüfen. Der Anbieter wird in angemessener Weise kooperieren und Logitech alle erforderlichen Informationen innerhalb angemessener Fristen, jedoch spätestens 20 Kalendertage ab dem Datum der Aufforderung durch Logitech, zur Verfügung stellen.
- Abhilfe. Wenn bei einer Sicherheitsüberprüfung Mängel festgestellt werden, wird der Anbieter auf eigene Kosten alle erforderlichen Maßnahmen ergreifen, um diese Mängel innerhalb eines vereinbarten Zeitrahmens zu beheben.
2.6. Sicherheitsverletzungen.
- Der Anbieter informiert Logitech über securityincident@logitech.com unverzüglich (nach spätestens 24 Stunden) über Sicherheitsverletzungen gemäß Definition nach geltendem Recht, die (i) Logitech Informationen betreffen oder (ii) bei Verwaltung durch den Anbieter mit Kontrollen, die im Wesentlichen, denen ähnlich sind, die zum Schutz von Logitech Informationen eingesetzt werden („Sicherheitslücke“). Der Anbieter wird jede Sicherheitsverletzung zeitnah beheben und Logitech schriftlich genaue Informationen zu den internen Untersuchungen des Anbieters in Bezug auf jeden Sicherheitsvorfall zur Verfügung stellen. Der Anbieter verpflichtet sich, keine Aufsichtsbehörden oder Kunden im Namen von Logitech zu benachrichtigen, es sei denn, Logitech fordert den Anbieter ausdrücklich schriftlich hierzu auf. Logitech behält sich das Recht vor, Form und Inhalt einer solchen Benachrichtigung zu überprüfen und zu genehmigen, bevor sie an eine andere Partei übermittelt wird. . Der Anbieter wird in angemessener Weise mit Logitech zusammenarbeiten und einen Plan zur Behebung aller bestätigten Sicherheitsvorfälle entwickeln und ausführen.
- Der Anbieter informiert Logitech unverzüglich (nach spätestens 24 Stunden) darüber, wenn Logitech Informationen in Reaktion auf ein Gerichtsverfahren oder durch geltendes Recht angefordert werden.