Απαιτήσεις ασφάλειας πληροφοριών για προμηθευτές

ΜΕΤΑΒΑΣΗ ΣΤΟ ΚΥΡΙΟ ΠΕΡΙΕΧΟΜΕΝΟ
Pangea temporary hotfixes here

Απαιτήσεις ασφάλειας πληροφοριών για προμηθευτές της Logitech

Η Logitech Europe SA. και όλες οι θυγατρικές και οι συνδεόμενες με αυτήν επιχειρήσεις (συλλογικά «Logitech») απαιτούν από όλους τους προμηθευτές, τους παρόχους υπηρεσιών και άλλους επιχειρηματικούς συνεργάτες της («Εσάς» ή τον «Προμηθευτή») να διατηρούν ένα ολοκληρωμένο έγγραφο πρόγραμμα ασφάλειας πληροφοριών («Πρόγραμμα ασφάλειας πληροφοριών») που περιλαμβάνει τεχνικά, φυσικά και οργανωτικά μέτρα για τη διασφάλιση της εμπιστευτικότητας, της ασφάλειας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών που παρέχονται από τη Logitech, της συνδεόμενες με τη Logitech εταιρείες και τους εργαζομένους, αντιπροσώπους, εργολάβους, πελάτες και Προμηθευτές αυτών (συλλογικά, «Δεδομένα της Logitech») και να προστατεύουν τα Δεδομένα της Logitech από μη εξουσιοδοτημένη πρόσβαση, χρήση, αποκάλυψη, τροποποίηση ή καταστροφή. Το παρόν Πρόγραμμα ασφάλειας πληροφοριών επισυνάπτεται και ενσωματώνεται διά παραπομπής στις συμφωνίες για υπηρεσίες («Συμφωνίες») από και ανάμεσα στο νομικό πρόσωπο της Logitech που κατονομάζεται και σε Εσάς. Ειδικότερα, το Πρόγραμμα ασφάλειας πληροφοριών πρέπει να περιλαμβάνει ενδεικτικά τα ακόλουθα μέτρα όπου είναι κατάλληλη ή απαραίτητα για τη διασφάλιση της προστασίας των Δεδομένων της Logitech:

  • Στοιχεία ελέγχου πρόσβασης – Πολιτικές, διαδικασίες και φυσικά και τεχνικά στοιχεία ελέγχου προκειμένου:
    1. να περιορίζεται η φυσική πρόσβαση στα συστήματα πληροφοριών σας και στην εγκατάσταση ή τις εγκαταστάσεις όπου αυτά φιλοξενούνται σε καταλλήλως εξουσιοδοτημένα φυσικά πρόσωπα,
    2. να διασφαλίζεται ότι όλα τα μέλη του εργατικού δυναμικού σας που χρειάζονται πρόσβαση σε Δεδομένα της Logitech έχουν καταλλήλως ελεγχόμενη πρόσβαση και να αποτρέπεται η απόκτηση πρόσβασης από τα μέλη του εργατικού δυναμικού και άλλα πρόσωπα που δεν πρέπει να έχουν πρόσβαση,
    3. να πραγματοποιείται έλεγχος ταυτότητας και να επιτρέπεται η πρόσβαση μόνο σε εξουσιοδοτημένα άτομα και να αποτρέπεται η παροχή Δεδομένων της Logitech ή πληροφοριών που σχετίζονται με αυτά από μέλη του εργατικού δυναμικού σας σε μη εξουσιοδοτημένα άτομα και
    4. να κρυπτογραφούνται και αποκρυπτογραφούνται Δεδομένα της Logitech όπου απαιτείται.
  • Ενημέρωση και εκπαίδευση σχετικά με την ασφάλεια – Ένα πρόγραμμα ενημέρωσης και εκπαίδευσης σχετικά με την ασφάλεια για όλα τα μέλη του εργατικού δυναμικού σας (συμπεριλαμβανομένης της διοίκησης) σε τακτική βάση, το οποίο περιλαμβάνει εκπαίδευση σχετικά με τον τρόπο υλοποίησης και συμμόρφωσης με το Πρόγραμμα ασφάλειας πληροφοριών.
  • Διαδικασίες περιστατικών ασφάλειας – Πολιτικές και διαδικασίες για τον εντοπισμό, την απόκριση και τη διευθέτηση με άλλο τρόπο περιστατικών ασφάλειας, συμπεριλαμβανομένων διαδικασιών για την παρακολούθηση συστημάτων και τον εντοπισμό επιτυχημένων ή επιχειρούμενων επιθέσεων ή εισβολών σε Δεδομένα της Logitech ή στα πληροφοριακά συστήματα που σχετίζονται με αυτά, καθώς και διαδικασίες για τον προσδιορισμό και την απόκριση σε ύποπτα ή γνωστά περιστατικά ασφάλειας, τον περιορισμό των επιπτώσεων περιστατικών ασφάλειας και την τεκμηρίωση περιστατικών ασφάλειας και της έκβασής τους. Εάν υποπέσει στην αντίληψή Σας οποιαδήποτε περίσταση η οποία ενδέχεται να ενεργοποιήσει τις υποχρεώσεις οποιουδήποτε κ των Συμβαλλομένων σύμφωνα με τη νομοθεσία περί παραβίασης ασφάλειας, πρέπει να παράσχετε αμέσως έγγραφη γνωστοποίηση στη Logitech μέσω της διεύθυνσης securityincident@logitech.com και να συνεργαστείτε πλήρως με τη Logitech προκειμένου να επιτραπεί στη Logitech να εκπληρώσει τις υποχρεώσεις της σύμφωνα με τη νομοθεσία περί παραβίασης ασφάλειας.
  • Σχεδιασμός έκτακτης ανάγκης – Πολιτικές και διαδικασίες για απόκριση σε έκτακτη ανάγκη ή άλλο συμβάν (για παράδειγμα, πυρκαγιά, βανδαλισμό, σφάλμα συστήματος και φυσική καταστροφή) το οποίο προκαλεί ζημιά στα Δεδομένα της Logitech ή στα συστήματα που περιέχουν Δεδομένα της Logitech, συμπεριλαμβανομένων ενός σχεδίου δημιουργίας αντιγράφων ασφαλείας δεδομένων και ενός προγράμματος αποκατάστασης από καταστροφή, και για άμεση παροχή έγγραφης γνωστοποίησης στη Logitech μέσω της διεύθυνσης securityincident@logitech.com.
  • Στοιχεία ελέγχου συσκευών και μέσων – Πολιτικές και διαδικασίες σχετικά με τον εξοπλισμό και τα ηλεκτρονικά μέσα που περιέχουν Δεδομένα της Logitech εντός και εκτός των εγκαταστάσεών σας, καθώς και σχετικά με την κίνηση αυτών των στοιχείων εντός των εγκαταστάσεών σας, συμπεριλαμβανομένων πολιτικών και διαδικασιών για τη διευθέτηση της τελικής απόρριψης των Δεδομένων της Logitech ή/και του εξοπλισμού ή των ηλεκτρονικών μέσων όπου αποθηκεύονται, καθώς και διαδικασιών για κατάργηση των Δεδομένων της Logitech από ηλεκτρονικά μέσα προτού αυτά διατεθούν για επαναχρησιμοποίηση. Πρέπει να εξασφαλίζετε ότι δεν πραγματοποιείται λήψη ή άλλη αποθήκευση Δεδομένων της Logitech σε φορητούς υπολογιστές ή άλλες φορητές συσκευές, εκτός εάν υπόκεινται σε όλα τα μέτρα προστασίας που απαιτούνται διά του παρόντος. Τα εν λόγω μέτρα προστασίας πρέπει να περιλαμβάνουν ενδεικτικά την κρυπτογράφηση όλων των συσκευών που αποκτούν πρόσβαση σε Δεδομένα της Logitech και τη χρήση ενημερωμένου λογισμικού πρόληψης και εντοπισμού κακόβουλων προγραμμάτων σε αυτές.
  • Στοιχεία ελέγχου ελέγχων – Εξοπλισμός, λογισμικό, υπηρεσίες, πλατφόρμες ή/και διαδικαστικοί μηχανισμοί που καταγράφουν και εξετάζουν τη δραστηριότητα στα πληροφοριακά συστήματα που περιέχουν ή χρησιμοποιούν ηλεκτρονικές πληροφορίες, συμπεριλαμβανομένων κατάλληλων αρχείων καταγραφής και αναφορών σχετικά με τις παρούσες απαιτήσεις ασφάλειας και τη συμμόρφωση με αυτές.
  • Πολιτικές και διαδικασίες – Πολιτικές και διαδικασίες για τη διασφάλιση της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των Δεδομένων της Logitech και την προστασία τους από ακούσια, μη εξουσιοδοτημένη ή ακατάλληλη αποκάλυψη, χρήση, τροποποίηση ή καταστροφή.
  • Ασφάλεια αποθήκευσης και διαβίβασης – Τεχνικά μέτρα ασφάλειας για προστασία από μη εξουσιοδοτημένη πρόσβαση στα Δεδομένα της Logitech που διαβιβάζονται μέσω δικτύου ηλεκτρονικών επικοινωνιών, συμπεριλαμβανομένου μηχανισμού για κρυπτογράφηση των Δεδομένων της Logitech σε ηλεκτρονική μορφή κατά τη διακίνηση και την αποθήκευση σε δίκτυα ή συστήματα στα οποία ενδέχεται να έχουν πρόσβαση μη εξουσιοδοτημένα άτομα.
  • Ανάθεση αρμοδιότητας ασφάλειας – Πρέπει να ορίσετε έναν υπεύθυνο ασφάλειας που θα έχει την ευθύνη για την ανάπτυξη, την υλοποίηση και τη διατήρηση του Προγράμματος ασφάλειας πληροφοριών.
  • Φυσικά μέσα αποθήκευσης – Πολιτικές και διαδικασίες οι οποίες διασφαλίζουν ότι, προτού οποιαδήποτε μέσα αποθήκευσης που περιέχουν Δεδομένα της Logitech εκχωρηθούν, διατεθούν ή αναδιατεθούν σε άλλον χρήστη ή καταργηθούν οριστικά από μια εγκατάσταση, θα διαγράφετε με ασφάλεια τα εν λόγω Δεδομένα της Logitech σύμφωνα με την Ενότητα 2.3 (ε) τόσο από φυσική όσο και από λογική άποψη, ώστε τα μέσα να μην περιέχουν υπολειπόμενα δεδομένα ή, εάν είναι απαραίτητο, θα προβαίνετε σε φυσική καταστροφή των εν λόγω μέσων αποθήκευσης. Πρέπει να τηρείτε ένα πρόγραμμα με δυνατότητα ελέγχου υλοποιώντας τις απαιτήσεις απόρριψης και καταστροφής που ορίζονται στην παρούσα Ενότητα για όλα τα μέσα που περιέχουν Δεδομένα της Logitech.
  • Δοκιμή – Πρέπει να πραγματοποιείτε τακτικά δοκιμή των σημαντικών στοιχείων ελέγχου, συστημάτων και διαδικασιών του Προγράμματος ασφάλειας πληροφοριών, προκειμένου να εξασφαλίζετε την κατάλληλη υλοποίηση και την αποτελεσματικότητά τους για τη διευθέτηση των προσδιοριζόμενων απειλών και κινδύνων. Οι δοκιμές πρέπει να διεξάγονται ή να ελέγχονται από ανεξάρτητα τρίτα μέρη ή προσωπικό ανεξάρτητο από αυτό που αναπτύσσει ή τηρεί τα προγράμματα ασφάλειας.
  • Συνεχής ενημέρωση του Προγράμματος – Πρέπει να παρακολουθείτε, να αξιολογείτε και να προσαρμόζετε, κατά περίπτωση, το Πρόγραμμα ασφάλειας πληροφοριών, λαμβάνοντας υπόψη τυχόν συναφείς αλλαγές στην τεχνολογία ή στα πρότυπα ασφάλειας του κλάδου, την ευαισθησία των Δεδομένων της Logitech, εσωτερικές ή εξωτερικές απειλές για εσάς ή τα Δεδομένα της Logitech, καθώς και τις δικές σας μεταβαλλόμενες επιχειρησιακές συνθήκες, όπως συγχωνεύσεις και εξαγορές, συμπράξεις και κοινοπραξίες, συμφωνίες εξωτερικών αναθέσεων και αλλαγές στα πληροφοριακά συστήματα.
     

Ειδικότερα, το Πρόγραμμα ασφάλειας πληροφοριών του Προμηθευτή πρέπει να πληροί ή να υπερβαίνει τις ακόλουθες απαιτήσεις:

1. ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ, ΟΡΙΣΜΟΙ

1.1. Πολιτική ασφάλειας. Ο Προμηθευτής θα συμμορφώνεται από κάθε άποψη με τις απαιτήσεις ασφάλειας πληροφοριών της Logitech που ορίζονται στις παρούσες Απαιτήσεις ασφάλειας πληροφοριών της Logitech για Προμηθευτές («Πολιτική ασφάλειας»). Η Πολιτική ασφάλειας ισχύει για την εκτέλεση του Προμηθευτή στο πλαίσιο οποιασδήποτε συμφωνίας μεταξύ του Προμηθευτή και της Logitech (η «Συμφωνία») και για κάθε προσπέλαση, συλλογή, χρήση, αποθήκευση, διαβίβαση, αποκάλυψη, καταστροφή ή διαγραφή και περιστατικά ασφάλειας που αφορούν Πληροφορίες της Logitech (όπως ορίζονται παρακάτω). Η παρούσα Πολιτική ασφάλειας δεν περιορίζει άλλες υποχρεώσεις του Προμηθευτή, συμπεριλαμβανομένων των υποχρεώσεών του στο πλαίσιο της Συμφωνίας ή όσον αφορά τυχόν νομοθεσία που ισχύει για τον Προμηθευτή, την εκτέλεση του Προμηθευτή στο πλαίσιο της Συμφωνίας, τις Πληροφορίες της Logitech ή τον Επιτρεπόμενο σκοπό (όπως ορίζονται παρακάτω). Στον βαθμό που η παρούσα Πολιτική ασφάλειας συγκρούεται με τη Συμφωνία, ο Προμηθευτής θα ειδοποιεί αμέσως τη Logitech σχετικά με τη σύγκρουση και θα συμμορφώνεται με την απαίτηση που είναι πιο περιοριστική και προβλέπει περισσότερη προστασία για τις Πληροφορίες της Logitech (η οποία μπορεί να καθορίζεται από τη Logitech).

1.2. Ορισμοί.

  1. Ως «Συνδεόμενη επιχείρηση» νοείται, όσον αφορά ένα συγκεκριμένο φυσικό πρόσωπο, οποιοδήποτε νομικό πρόσωπο ελέγχει άμεσα ή έμμεσα, ελέγχεται από ή βρίσκεται υπό κοινό έλεγχο με το εν λόγω φυσικό πρόσωπο.
  2. Ως «Συγκέντρωση» νοείται ο συνδυασμός ή η αποθήκευση Πληροφοριών της Logitech με δεδομένα ή πληροφορίες του Προμηθευτή ή οποιουδήποτε τρίτου μέρους.
  3. Ως «Ανωνυμοποίηση» νοείται η χρήση, η συλλογή, η αποθήκευση, η διαβίβαση ή ο μετασχηματισμός οποιονδήποτε δεδομένων ή πληροφοριών (συμπεριλαμβανομένων των Πληροφοριών της Logitech) με τρόπο ή μορφή που δεν ταυτοποιεί, δεν επιτρέπει την ταυτοποίηση και δεν είναι δυνατό να αποδοθεί σε οποιονδήποτε χρήστη, αναγνωριστικό συσκευής, πηγή, προϊόν, υπηρεσία, περιβάλλον, επωνυμία ή τη Logitech ή τις Συνδεόμενες με αυτήν επιχειρήσεις.
  4. Ως «Πληροφορίες της Logitech» νοούνται, μεμονωμένα και συλλογικά: (α) όλες οι Εμπιστευτικές πληροφορίες της Logitech (όπως ορίζονται στη Συμφωνία ή στη συμφωνία μη αποκάλυψης μεταξύ των συμβαλλομένων), (β) όλα τα άλλα δεδομένα, εγγραφές, αρχεία, περιεχόμενο ή πληροφορίες, σε οποιαδήποτε μορφή, που ο Προμηθευτής ή οι Συνδεόμενες με αυτόν επιχειρήσεις αποκτούν, προσπελάζουν, συλλέγουν, λαμβάνουν, αποθηκεύουν ή διατηρούν από ή εκ μέρους της Logitech ή των Συνδεόμενων με αυτήν επιχειρήσεων, ή με άλλον τρόπο σε σύνδεση με τη Συμφωνία, τις υπηρεσίες που παρέχονται στο πλαίσιο της Συμφωνίας ή την εκτέλεση ή την άσκηση δικαιωμάτων των συμβαλλομένων στο πλαίσιο της Συμφωνίας ή σε σύνδεση με αυτήν και (γ) τα παράγωγα των (α) ή (β), ακόμα και αν έχουν Ανωνυμοποιηθεί.

1.3. Επιτρεπόμενος σκοπός.
Εκτός εάν εξουσιοδοτείται ρητά στο πλαίσιο της Συμφωνίας, ο Προμηθευτής μπορεί να αποκτά πρόσβαση, να συλλέγει, να χρησιμοποιεί, να αποθηκεύει και να διαβιβάζει μόνο τις Πληροφορίες της Logitech για τις οποίες υφίσταται ρητή εξουσιοδότηση στο πλαίσιο της Συμφωνίας και μόνο για τον σκοπό της παροχής των υπηρεσιών στο πλαίσιο της Συμφωνίας, σε συμμόρφωση με τις άδειες (εφόσον υφίστανται) που εκχωρούνται στο πλαίσιο της Συμφωνίας (τον «Επιτρεπόμενο σκοπό»). Εκτός εάν εξουσιοδοτείται ρητά στο πλαίσιο της Συμφωνίας, ο Προμηθευτής δεν θα αποκτά πρόσβαση, συλλέγει, χρησιμοποιεί, αποθηκεύει ή διαβιβάζει Πληροφορίες της Logitech και δεν θα Συγκεντρώνει Πληροφορίες της Logitech, ακόμα και αν έχουν Ανωνυμοποιηθεί. Εκτός εάν προηγηθεί έγγραφη ρητή συγκατάθεση της Logitech, ο Προμηθευτής δεν θα (Α) μεταφέρει, ενοικιάζει, ανταλλάσσει, πωλεί, δανείζει, εκμισθώνει ή διανέμει ή καθιστά με άλλον τρόπο διαθέσιμες Πληροφορίες της Logitech σε οποιοδήποτε τρίτο μέρος ή (Β) Συγκεντρώνει Πληροφορίες της Logitech μαζί με οποιεσδήποτε άλλες πληροφορίες ή δεδομένα, ακόμα και αν έχουν Ανωνυμοποιηθεί.

2. ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ

2.1. Βασικές απαιτήσεις ασφάλειας. Ο Προμηθευτής, σε συμμόρφωση με τα τρέχοντα βέλτιστα πρότυπα του κλάδου και άλλες παρόμοιες απαιτήσεις που καθορίζονται από τη Logitech βάσει της ταξινόμησης και της ευαισθησίας των Πληροφοριών της Logitech, θα διατηρεί φυσικά, διοικητικά και τεχνικά μέτρα προστασίας και άλλα μέτρα ασφάλειας (Α) για να διατηρεί την ασφάλεια και την εμπιστευτικότητα των Πληροφοριών της Logitech τις οποίες ο Προμηθευτής προσπελάζει, συλλέγει, χρησιμοποιεί, αποθηκεύει ή διαβιβάζει και (Β) για να προστατεύει τις εν λόγω πληροφορίες από γνωστές ή ευλόγως προβλέψιμες απειλές ή κινδύνους για την ασφάλεια και την ακεραιότητά τους, ακούσια απώλεια, τροποποίηση, αποκάλυψη και κάθε άλλη παράνομη μορφή επεξεργασίας. Ενδεικτικά, ο Προμηθευτής θα συμμορφώνεται με τις ακόλουθες απαιτήσεις:

  1. Τείχος προστασίας. Ο Προμηθευτής θα εγκαταστήσει και θα διατηρεί ένα λειτουργικό τείχος προστασίας δικτύου για την προστασία των δεδομένων που είναι προσβάσιμα μέσω διαδικτύου και θα διατηρεί συνεχώς όλες τις Πληροφορίες της Logitech υπό την προστασία του τείχους προστασίας.
  2. Ενημερώσεις. Ο Προμηθευτής θα διατηρεί ενημερωμένα τα συστήματα και το λογισμικό του με τις πιο πρόσφατες αναβαθμίσεις, ενημερώσεις, διορθώσεις σφαλμάτων, νέες εκδόσεις και άλλες τροποποιήσεις που είναι απαραίτητες για τη διασφάλιση των Πληροφοριών της Logitech.
  3. Προστασία από κακόβουλα προγράμματα. Ο Προμηθευτής θα χρησιμοποιεί συνεχώς λογισμικό προστασίας από κακόβουλα προγράμματα και θα το διατηρεί ενημερωμένο. Ο Προμηθευτής θα περιορίζει τις απειλές από κάθε ιό, λογισμικό κατασκοπίας και άλλον κακόβουλο κώδικα που εντοπίζεται ή θα έπρεπε εύλογα να έχει εντοπιστεί
  4. Κρυπτογράφηση. Ο Προμηθευτής θα κρυπτογραφεί τα δεδομένα σε αδράνεια και τα δεδομένα που αποστέλλονται μέσω ανοιχτών δικτύων σύμφωνα με τις βέλτιστες πρακτικές του κλάδου.
  5. Δοκιμή. Ο Προμηθευτής θα δοκιμάζει τακτικά τα συστήματα και τις διαδικασίες ασφάλειας που χρησιμοποιεί, ώστε να εξασφαλίζει ότι πληρούν τις απαιτήσεις της παρούσας Πολιτικής ασφάλειας.
  6. Στοιχεία ελέγχου πρόσβασης. Ο Προμηθευτής θα διασφαλίζει τις Πληροφορίες της Logitech, μεταξύ άλλων μέσω της συμμόρφωσης με τις ακόλουθες απαιτήσεις:
    1. Ο Προμηθευτής θα εκχωρεί ένα μοναδικό αναγνωριστικό σε κάθε φυσικό πρόσωπο με πρόσβαση μέσω υπολογιστή στις Πληροφορίες της Logitech.
    2. Ο Προμηθευτής θα περιορίζει την πρόσβαση στις Πληροφορίες της Logitech μόνο στα φυσικά πρόσωπα που χρειάζεται να λαμβάνουν σχετική γνώση για έναν Επιτρεπόμενο σκοπό.
    3. Ο Προμηθευτής θα ελέγχει τακτικά τον κατάλογο ατόμων και υπηρεσιών με πρόσβαση σε Πληροφορίες της Logitech και θα καταργεί λογαριασμούς (ή θα ζητά από τη Logitech να καταργεί λογαριασμούς) οι οποίοι δεν απαιτούν πλέον πρόσβαση. Αυτός ο έλεγχος πρέπει να εκτελείται τουλάχιστον μία φορά κάθε 90 ημέρες.
    4. Ο Προμηθευτής δεν θα χρησιμοποιεί προεπιλογές παρεχόμενες από τον κατασκευαστή για κωδικούς πρόσβασης συστήματος και άλλες παραμέτρους ασφάλειας σε οποιαδήποτε λειτουργικά συστήματα, λογισμικό ή άλλα συστήματα. Ο Προμηθευτής θα απαιτεί και θα εξασφαλίζει τη χρήση «ισχυρών κωδικών πρόσβασης» επιβεβλημένων από το σύστημα σύμφωνα με τις βέλτιστες πρακτικές (που περιγράφονται παρακάτω) σε όλα τα συστήματα που φιλοξενούν, αποθηκεύουν, επεξεργάζονται ή έχουν έλεγχο ή πρόσβαση σε Πληροφορίες της Logitech και θα απαιτεί όλοι οι κωδικοί και τα διαπιστευτήρια πρόσβασης να τηρούνται εμπιστευτικά και να μην κοινοποιούνται μεταξύ του προσωπικού. Οι κωδικοί πρόσβασης πρέπει να πληρούν τα ακόλουθα κριτήρια: να περιέχουν τουλάχιστον 12 χαρακτήρες,να μην συμφωνούν με προηγούμενους κωδικούς πρόσβασης, με τα στοιχεία σύνδεσης ή το κοινό όνομα του χρήστη, να αλλάζουν σε κάθε περίπτωση εικασίας ή υποψίας παραβίασης λογαριασμού και να αντικαθίστανται τακτικά μετά από μέγιστο χρονικό διάστημα 90 ημερών.
    5. Ο Προμηθευτής θα διατηρεί και θα επιβάλλει «κλείδωμα λογαριασμού» απενεργοποιώντας τους λογαριασμούς με πρόσβαση σε Πληροφορίες της Logitech όταν ένας λογαριασμός υπερβαίνει τις 10 διαδοχικές απόπειρες με εσφαλμένο κωδικό πρόσβασης.
    6. Εκτός εάν εξουσιοδοτείται ρητά και εγγράφως από τη Logitech, ο Προμηθευτής θα απομονώνει τις Πληροφορίες της Logitech ανά πάσα στιγμή (συμπεριλαμβανομένων της αποθήκευσης, της επεξεργασίας ή της διαβίβασης) από τις πληροφορίες του Προμηθευτή και τυχόν τρίτων μερών.
    7. Εάν ζητηθούν εγγράφως από τη Logitech πρόσθετα στοιχεία ελέγχου φυσικής πρόσβασης, ο Προμηθευτής θα υλοποιήσει και θα χρησιμοποιεί τα εν λόγω μέτρα ελέγχου ασφαλούς φυσικής πρόσβασης.
    8. Ο Προμηθευτής θα παρέχει στη Logitech ετησίως ή συχνότερα κατόπιν αιτήματος της Logitech, (1) δεδομένα αρχείων καταγραφής σχετικά με κάθε χρήση (εξουσιοδοτημένη και μη) των λογαριασμών ή των διαπιστευτηρίων της Logitech που παρέχονται στον Προμηθευτή για χρήση εκ μέρους της Logitech (π.χ. διαπιστευτηρίων λογαριασμών μέσων κοινωνικής δικτύωσης) και (2) λεπτομερή δεδομένα αρχείων καταγραφής σχετικά με τυχόν πλαστοπροσωπία ή απόπειρα πλαστοπροσωπίας προσωπικού της Logitech ή προσωπικού του Προμηθευτή με πρόσβαση σε Πληροφορίες της Logitech.
    9. Ο Προμηθευτής θα ελέγχει τακτικά τα αρχεία καταγραφής πρόσβασης για ενδείξεις κακόβουλης συμπεριφοράς ή μη εξουσιοδοτημένης πρόσβασης.
  7. Πολιτική προμηθευτή. Ο Προμηθευτής θα τηρεί και θα επιβάλλει μια πολιτική ασφάλειας δικτύου και πληροφοριών για τους εργαζομένους, τους υπεργολάβους, τους συνεργάτες και τους Προμηθευτές η οποία πληροί τα πρότυπα που ορίζονται στην παρούσα πολιτική, συμπεριλαμβανομένων μεθόδων εντοπισμού και καταγραφής παραβάσεων πολιτικής. Κατόπιν αιτήματος της Logitech, ο Προμηθευτής θα παρέχει στη Logitech πληροφορίες σχετικά με τις παραβάσεις της πολιτικής ασφάλειας δικτύου και πληροφοριών του Προμηθευτή, ακόμα και εάν αυτές δεν συνιστούν Περιστατικό ασφάλειας.
  8. Υπεργολαβία. Ο Προμηθευτής δεν θα αναθέτει καμία από τις υποχρεώσεις του στο πλαίσιο της παρούσας Πολιτικής ασφάλειας σε εργολάβους χωρίς προηγούμενη έγγραφη συγκατάθεση της Logitech. Με την επιφύλαξη της ύπαρξης ή των όρων οποιασδήποτε σύμβαση υπεργολαβίας ή ανάθεσης, ο Προμηθευτής θα παραμένει υπεύθυνος για την πλήρη εκτέλεση των υποχρεώσεών του στο πλαίσιο της παρούσας Πολιτικής ασφάλειας. Οι όροι και οι προϋποθέσεις της παρούσας Πολιτικής ασφάλειας θα δεσμεύουν τους υπεργολάβους και το προσωπικό του Προμηθευτή. Ο Προμηθευτής (α) θα εξασφαλίζει τη συμμόρφωση των υπεργολάβων και του προσωπικού του με την παρούσα Πολιτική ασφάλειας και (β) θα είναι υπεύθυνος για όλες κάθε ενέργεια, παράλειψη, αμέλεια και παράπτωμα των υπεργολάβων και του προσωπικού του, συμπεριλαμβανομένης (κατά περίπτωση) της παράβασης τυχόν νομοθεσίας, κανόνα ή κανονισμού.
  9. Απομακρυσμένη πρόσβαση. Ο Προμηθευτής θα εξασφαλίζει ότι απαιτείται έλεγχος ταυτότητας πολλών παραγόντων (π.χ. απαιτούνται τουλάχιστον δύο παράγοντες για την ταυτοποίηση χρηστών) για οποιαδήποτε πρόσβαση από σημεία εκτός των προστατευόμενων περιβαλλόντων επιχείρησης ή παραγωγής στα συστήματα που φιλοξενούν Πληροφορίες της Logitech ή στα δίκτυα σταθμών εργασίας επιχείρησης ή ανάπτυξης του Προμηθευτή.
  10. Προσωπικό προμηθευτή. Η Logitech ενδέχεται να επιβάλει ως προϋπόθεση για την πρόσβαση του προσωπικού του Προμηθευτή σε Πληροφορίες της Logitech την εκτέλεση και προσκόμιση στη Logitech μεμονωμένων συμφωνιών μη αποκάλυψης, η μορφή των οποίων καθορίζεται από τη Logitech. Εάν απαιτηθεί από τη Logitech, η Logitech ζητά την εκτέλεση της μεμονωμένης συμφωνίας μη αποκάλυψης από το προσωπικό του Προμηθευτή. Ο Προμηθευτής θα λάβει και θα προσκομίσει στη Logitech υπογεγραμμένες μεμονωμένες συμφωνίες μη αποκάλυψης από το προσωπικό του Προμηθευτή το οποίο θα έχει πρόσβαση σε Πληροφορίες της Logitech (πριν από την εκχώρηση πρόσβασης ή την παροχή πληροφοριών στο προσωπικό του Προμηθευτή). Επίσης, ο Προμηθευτής (α) θα παρέχει τον κατάλογο προσωπικού του Προμηθευτή που έχει προσπελάσει ή λάβει τις Πληροφορίες της Logitech στη Logitech κατόπιν αιτήματος εντός συμφωνηθέντος χρονικού πλαισίου και (β) θα ειδοποιεί τη Logitech το αργότερο εντός 24 ωρών από τη στιγμή που οποιοδήποτε συγκεκριμένο προσωπικό του Προμηθευτή που έχει εξουσιοδότηση για πρόσβαση σε Πληροφορίες της Logitech σύμφωνα με την παρούσα Ενότητα: (i) δεν χρειάζεται πλέον πρόσβαση στις Πληροφορίες της Logitech ή (ii) δεν αποτελεί πλέον προσωπικό του Προμηθευτή (π.χ. λύεται η σχέση εργασίας του προσωπικού με τον Προμηθευτή).
     

2.2. Πρόσβαση στο Extranet και στις πύλες Προμηθευτών της Logitech. Η Logitech μπορεί να εκχωρεί στον Προμηθευτή πρόσβαση σε Πληροφορίες της Logitech μέσω πυλών ιστού ή άλλων μη δημόσιων ιστότοπων ή υπηρεσιών extranet στον ιστότοπο ή στο σύστημα της Logitech ή τρίτου μέρους (καθένα από τα οποία αναφέρεται εφεξής ως «Extranet») για τον Επιτρεπόμενο σκοπό. Εάν η Logitech επιτρέπει στον Προμηθευτή της πρόσβαση σε οποιεσδήποτε Πληροφορίες της Logitech με χρήση ενός Extranet, ο Προμηθευτής πρέπει να συμμορφώνεται με τις ακόλουθες απαιτήσεις:

  1. Επιτρεπόμενος σκοπός. Ο Προμηθευτής και το προσωπικό του θα αποκτούν πρόσβαση στο Extranet και θα προσπελάζουν, θα συλλέγουν, θα χρησιμοποιούν, θα προβάλλουν, θα ανακτούν, θα λαμβάνουν ή θα αποθηκεύουν τις Πληροφορίες της Logitech από το Extranet αποκλειστικά για τον Επιτρεπόμενο σκοπό.
  2. Λογαριασμοί. Ο Προμηθευτής θα εξασφαλίζει ότι το προσωπικό του Προμηθευτή χρησιμοποιεί μόνο τους λογαριασμούς Extranet που έχουν οριστεί για κάθε άτομο από τη Logitech και θα απαιτεί από το προσωπικό του Προμηθευτή να τηρεί εμπιστευτικά τα διαπιστευτήρια πρόσβασης.
  3. Συστήματα. Ο Προμηθευτής θα αποκτά πρόσβαση στο Extranet μόνο μέσω υπολογιστικών ή επεξεργαστικών συστημάτων ή εφαρμογών που εκτελούν λειτουργικά συστήματα υπό τη διαχείριση του Προμηθευτή και τα οποία περιλαμβάνουν: (i) τείχη προστασίας δικτύου συστήματος σύμφωνα με την Ενότητα 2.1(Α) (Τείχος προστασίας), (ii) κεντρική διαχείριση ενημέρωσης κώδικα σε συμμόρφωση με την Ενότητα 2.1(Β) (Ενημερώσεις), (iii) λογισμικό προστασίας από κακόβουλα προγράμματα κατάλληλο για το λειτουργικό σύστημα σύμφωνα με την Ενότητα 2.1(Γ) (Προστασία από κακόβουλα προγράμματα) και, (iv) για φορητές συσκευές, πλήρη κρυπτογράφηση δίσκου.
  4. Περιορισμοί. Εκτός εάν έχει εγκριθεί εκ των προτέρων και εγγράφως από τη Logitech, ο Προμηθευτής δεν θα πραγματοποιεί λήψη, κατοπτρισμό ή μόνιμη αποθήκευση Πληροφοριών της Logitech από οποιοδήποτε Extranet σε οποιοδήποτε μέσο, συμπεριλαμβανομένων οποιονδήποτε υπολογιστών, συσκευών ή διακομιστών.
  5. Τερματισμός λογαριασμού. Ο Προμηθευτής θα καταργεί τον λογαριασμό κάθε μέλους του προσωπικού του Προμηθευτή και θα ειδοποιεί τη Logitech το αργότερο έως 24 ώρες από τη στιγμή που οποιοδήποτε συγκεκριμένο μέλος του προσωπικού του Προμηθευτή που έχει εξουσιοδοτηθεί για πρόσβαση σε οποιοδήποτε Extranet (α) δεν χρειάζεται πλέον πρόσβαση στις Πληροφορίες της Logitech, (β) δεν αποτελεί πλέον μέλος του προσωπικού του Προμηθευτή (λύεται η σχέση εργασίας του μέλους του προσωπικού με τον Προμηθευτή) ή (γ) δεν αποκτά πλέον πρόσβαση σε πληροφορίες της Logitech για 30 ημέρες ή μεγαλύτερο χρονικό διάστημα.
  6. Συστήματα τρίτων.
    1. Ο Προμηθευτής θα παρέχει γνωστοποίηση εκ των προτέρων στη Logitech και θα εξασφαλίζει πρότερη έγγραφη έγκριση της Logitech, προτού χρησιμοποιήσει οποιοδήποτε σύστημα τρίτου μέρους που αποθηκεύει ή μπορεί να έχει με άλλον τρόπο πρόσβαση σε Πληροφορίες της Logitech, εκτός εάν (α) τα δεδομένα είναι κρυπτογραφημένα σύμφωνα με την παρούσα Πολιτική ασφαλείας και (β) το σύστημα τρίτου μέρους δεν θα έχει πρόσβαση στο κλειδί αποκρυπτογράφησης ή σε μη κρυπτογραφημένες εκδόσεις «απλού κειμένου» των δεδομένων. Η Logitech διατηρεί το δικαίωμα να απαιτεί έλεγχο ασφάλειας της Logitech (σύμφωνα με την κάτωθι Ενότητα 2.5) του συστήματος τρίτου μέρους, προτού παράσχει σχετική έγκριση.
    2. Εάν ο Προμηθευτής χρησιμοποιεί συστήματα τρίτου μέρους που αποθηκεύουν ή μπορεί να αποκτούν με άλλον τρόπο πρόσβαση σε μη κρυπτογραφημένες Πληροφορίες της Logitech, ο Προμηθευτής πρέπει να εκτελεί έλεγχο ασφάλειας των συστημάτων τρίτου μέρους και των στοιχείων ελέγχου ασφάλειάς τους και θα παρέχει στη Logitech περιοδική αναφορά σχετικά με τα στοιχεία ελέγχου ασφάλειας του συστήματος τρίτου μέρους με τη μορφή που ζητείται από τη Logitech (π.χ. αναφορά SAS 70, SSAE 16 ή διάδοχη αναφορά) ή άλλη αναγνωρισμένη πρότυπη αναφορά του κλάδου η οποία έχει εγκριθεί από τη Logitech.
       

2.3. Διατήρηση και καταστροφή δεδομένων.

  1. Διατήρηση. Ο Προμηθευτής θα διατηρεί Πληροφορίες της Logitech μόνο για τον Επιτρεπόμενο σκοπό και για όσο χρονικό διάστημα είναι απαραίτητο για αυτόν.
  2. Επιστροφή ή διαγραφή. Ο Προμηθευτής θα επιστρέφει στη Logitech και θα διαγράφει οριστικά και με ασφάλεια όλες τις Πληροφορίες της Logitech χωρίς καθυστέρηση (και εντός έως 10 ημερών κατόπιν αιτήματος της Logitech) μετά από και σύμφωνα με γνωστοποίηση της Logitech η οποία απαιτεί επιστροφή ή/και διαγραφή. Επιπλέον, ο Προμηθευτής θα διαγράφει οριστικά και με ασφάλεια όλες τις ενεργές (online ή προσβάσιμες μέσω δικτύου) παρουσίες των Πληροφοριών της Logitech εντός 90 ημερών μετά τη συντομότερη ολοκλήρωση του Επιτρεπόμενου σκοπού ή τη λύση ή λήξη της Συμφωνίας, εκτός εάν υφίσταται νομική απαίτηση διατήρησης. Εάν ζητηθεί από τη Logitech, ο Προμηθευτής θα πιστοποιεί εγγράφως ότι όλες οι Πληροφορίες της Logitech έχουν καταστραφεί.
  3. Αντίγραφα αρχείου. Εάν, σύμφωνα με τη νομοθεσία, απαιτείται από τον Προμηθευτή να διατηρεί αντίγραφα αρχείου των Πληροφοριών της Logitech για φορολογικούς ή παρόμοιους ρυθμιστικούς σκοπούς, οι εν λόγω αρχειοθετημένες Πληροφορίες της Logitech πρέπει να αποθηκεύονται με έναν από τους ακόλουθους τρόπους: ως ανενεργό ή εκτός σύνδεσης (δηλ. μη διαθέσιμο για άμεση ή διαδραστική χρήση) αντίγραφο ασφαλείας αποθηκευμένο σε φυσικά ασφαλή εγκατάσταση ή κρυπτογραφημένο, εφόσον το σύστημα όπου φιλοξενούνται ή αποθηκεύονται τα κρυπτογραφημένα αρχεία δεν έχει πρόσβαση σε αντίγραφο των κλειδιών που χρησιμοποιούνται για την κρυπτογράφηση.
  4. Ανάκτηση. Εάν ο Προμηθευτής εκτελεί «ανάκτηση» (δηλ, επαναφορά σε αντίγραφο ασφαλείας) για τον σκοπό της αποκατάστασης από καταστροφή, ο Προμηθευτής θα έχει και θα τηρεί μια διαδικασία που εξασφαλίζει ότι όλες οι Πληροφορίες της Logitech που απαιτείται να διαγράφονται σύμφωνα με τη Συμφωνία ή την παρούσα Πολιτική ασφάλειας θα διαγράφονται εκ νέου ή θα αντικαθίστανται από τα ανακτημένα δεδομένα σύμφωνα με την παρούσα Ενότητα 2.3 εντός 24 ωρών μετά την ανάκτηση. Εάν ο Προμηθευτής εκτελέσει ανάκτηση για οποιονδήποτε σκοπό, οι Πληροφορίες της Logitech δεν πρέπει να ανακτώνται σε οποιοδήποτε σύστημα ή δίκτυο τρίτου μέρους χωρίς προηγούμενη έγγραφη έγκριση της Logitech. Η Logitech διατηρεί το δικαίωμα να απαιτεί έλεγχο ασφάλειας της Logitech (σύμφωνα με την κάτωθι Ενότητα 2.5) του συστήματος ή του δικτύου τρίτου μέρους προτού επιτρέψει την ανάκτηση οποιωνδήποτε Πληροφοριών της Logitech σε οποιοδήποτε σύστημα ή δίκτυο τρίτου μέρους.
  5. Πρότυπα διαγραφής. Όλες οι Πληροφορίες της Logitech που διαγράφονται από τον Προμηθευτή θα διαγράφονται σύμφωνα με την έκδοση NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation της 18ης Δεκεμβρίου 2014 (που διατίθεται στη διεύθυνση http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.Logitech) ή άλλα παρόμοια πρότυπα που η Logitech μπορεί να απαιτεί βάσει της ταξινόμησης και της ευαισθησίας των Πληροφοριών της Logitech.
     

2.4. Πλήρης και μη αναστρέψιμη καταστροφή. Πριν από την καθ’ οιονδήποτε τρόπο απόρριψη εξοπλισμού, λογισμικού ή άλλων μέσω που περιέχουν ή περιείχαν οποιαδήποτε στιγμή Πληροφορίες της Logitech, ο Προμηθευτής θα εκτελεί πλήρη και μη αναστρέψιμη καταστροφή του εξοπλισμού, του λογισμικού ή άλλων μέσω, ώστε να μην είναι δυνατή η επαναφορά ή ανάκτηση οποιωνδήποτε Πληροφοριών της Logitech με οποιαδήποτε μορφή. Ο Προμηθευτής θα εκτελεί πλήρη και μη αναστρέψιμη καταστροφή σύμφωνα με τα πρότυπα που η Logitech μπορεί να απαιτεί βάσει της ταξινόμησης και της ευαισθησίας των Πληροφοριών της Logitech. Ο Προμηθευτής θα παρέχει πιστοποιητικό καταστροφής κατόπιν αιτήματος από τη Logitech.

  1. Ο Προμηθευτής δεν θα πωλεί, μεταπωλεί, δωρίζει, ανακατασκευάζει ή με άλλον τρόπο μεταβιβάζει (συμπεριλαμβανομένων πώλησης ή μεταβίβασης οποιουδήποτε παρόμοιου εξοπλισμού, λογισμικού ή άλλων μέσων, διάθεσης σε σύνδεση με τυχόν εκκαθάριση της επιχείρησης του Προμηθευτή ή οποιασδήποτε άλλης διάθεσης) εξοπλισμό, λογισμικό ή άλλα μέσα που περιέχουν Πληροφορίες της Logitech που δεν έχουν καταστραφεί πλήρως και με μη αναστρέψιμο τρόπο από τον Προμηθευτή.
     

2.5. Έλεγχος ασφάλειας.

  1. Ερωτηματολόγιο αξιολόγησης κινδύνου. Η Logitech απαιτεί όλοι οι προμηθευτές να υπόκεινται σε Αξιολόγηση κινδύνου προμηθευτή, η οποία εκκινείται με την παροχή ενημερωμένων απαντήσεων στο ερωτηματολόγιο αξιολόγησης κινδύνου της Logitech, κατ’ ελάχιστον σε ετήσια βάση, αλλά μπορεί να είναι πιο συχνή με βάση τον αξιολογούμενο κίνδυνο του προμηθευτή.
  2. Πιστοποίηση. Κατόπιν έγγραφου αιτήματος της Logitech, ο Προμηθευτής θα πιστοποιεί εγγράφως στη Logitech ότι συμμορφώνεται με την παρούσα Συμφωνία.
  3. Άλλοι έλεγχοι. Η Logitech διατηρεί το δικαίωμα περιοδικού ελέγχου των συστημάτων που χρησιμοποιεί ο Προμηθευτής για επεξεργασία Πληροφοριών της Logitech. Ο Προμηθευτής θα συνεργάζεται και θα παρέχει ευλόγως στη Logitech όλες τις απαιτούμενες πληροφορίες εντός εύλογου χρονικού πλαισίου, αλλά το αργότερο εντός 20 ημερολογιακών ημερών από την ημερομηνία του αιτήματος της Logitech.
  4. Αποκατάσταση. Εάν οποιοσδήποτε έλεγχος ασφάλειας εντοπίσει αξιόλογες ελλείψεις, ο Προμηθευτής θα προβαίνει, με αποκλειστική δική του επιβάρυνση, σε όλες τις απαραίτητες ενέργειες για τη διευθέτηση των εν λόγω ελλείψεων εντός συμφωνηθέντος χρονικού πλαισίου.
     

2.6. Παραβίαση ασφάλειας.

  1. Ο Προμηθευτής θα ενημερώνει τη Logitech μέσω της διεύθυνσης securityincident@logitech.com χωρίς αδικαιολόγητη καθυστέρηση (το αργότερο εντός 24 ωρών) για Παραβίαση ασφάλειας όπως ορίζεται από την ισχύουσα νομοθεσία και (i) η οποία περιέχει Πληροφορίες της Logitech ή (ii) τη οποία ο Προμηθευτής διαχειρίζεται με στοιχεία ελέγχου ουσιαστικά παρόμοια με αυτά που προστατεύουν τις Πληροφορίες της Logitech (καθεμία, «Παραβίαση ασφάλειας»). Ο Προμηθευτής θα αποκαθιστά χωρίς καθυστέρηση κάθε Παραβίαση ασφάλειας και θα παρέχει στη Logitech έγγραφες λεπτομέρειες σχετικά με την εσωτερική έρευνα του Προμηθευτή αναφορικά με κάθε Περιστατικό ασφάλειας. Ο Προμηθευτής συμφωνεί να μην ειδοποιεί καμία ρυθμιστική αρχή ή πελάτη εκ μέρους της Logitech, εκτός εάν η Logitech ζητήσει ρητά και εγγράφως από τον Προμηθευτή να το πράξει, και η Logitech διατηρεί το δικαίωμα να ελέγχει και να εγκρίνει τη μορφή και το περιεχόμενο τυχόν ειδοποίησης, προτού αυτή παρασχεθεί σε οποιοδήποτε μέρος. Ο Προμηθευτής θα συνεργάζεται ευλόγως με τη Logitech για τη διαμόρφωση και εκτέλεση σχεδίου για την αποκατάσταση όλων των επιβεβαιωμένων Περιστατικών ασφάλειας.
  2. Ο Προμηθευτής θα ενημερώνει τη Logitech χωρίς αδικαιολόγητη καθυστέρηση (το αργότερο εντός24 ωρών) όταν ζητούνται Πληροφορίες της Logitech ως απόκριση σε νομική διαδικασία ή από την ισχύουσα νομοθεσία.