Requisitos de seguridad de la Información del Proveedor

IR A CONTENIDO PRINCIPAL
Pangea temporary hotfixes here

Requisitos de seguridad de la información del Proveedor de Logitech

Logitech Europe SA. y todas sus afiliadas y subsidiarias (colectivamente, "Logitech") exigen a todos sus proveedores, proveedores de servicios y otros asociados comerciales ("Usted" o "Proveedor") que mantengan por escrito un programa completo de seguridad de la información ("Programa de seguridad de la información") que incluya medidas técnicas, físicas y organizativas para garantizar la confidencialidad, la seguridad, la integridad y la disponibilidad de la información proporcionada por Logitech, los afiliados de Logitech y sus empleados, representantes, contratistas, clientes y Proveedores (colectivamente, "Datos de Logitech") y para proteger los Datos de Logitech contra acceso, uso, divulgación, alteración o destrucción no autorizados. Este Programa de seguridad de la información se adjunta y se incorpora por referencia a los acuerdos de servicios ("Acuerdos") de la entidad Logitech a la que hace referencia el presente documento y entre dicha entidad y Usted. En particular, el Programa de seguridad de la información incluirá, entre otras, las siguientes medidas, cuando proceda o sea necesario, para garantizar la protección de los Datos de Logitech:

  • Controles de acceso – Políticas, procedimientos y controles físicos y técnicos:
    1. para limitar a las personas debidamente autorizadas el acceso físico a sus sistemas de información y las instalaciones en las que se encuentran;
    2. para garantizar que todos los miembros de su personal que requieran acceso a los datos de Logitech tengan el acceso controlado adecuadamente, y para evitar que obtengan acceso miembros de la personal y otras personas que no deberían tenerlo;
    3. para autenticar y permitir el acceso únicamente a personas autorizadas y para evitar que miembros de su personal proporcionen Datos de Logitech o información relacionada con ellos a personas no autorizadas; y
    4. para cifrar y descifrar datos de Logitech cuando sea necesario.
  • Concienciación y formación y sobre la seguridad – Un programa de formación y concienciación sobre la seguridad para todos los miembros de su personal (incluidos los directivos) de forma periódica, que incluya formación sobre cómo implementar y cumplir con su Programa de Seguridad de la Información.
  • Procedimientos relacionados con incidentes de seguridad – Políticas y procedimientos para detectar, reaccionar a y abordar incidentes de seguridad, incluidos procedimientos para supervisar sistemas y detectar intentos de ataques o intrusiones o ataques e intrusiones reales en sistemas de información o Datos de Logitech relacionados, y procedimientos para identificar y reaccionar a incidentes de seguridad sospechosos o constatados, mitigar los efectos perjudiciales de los incidentes de seguridad y documentar los incidentes de seguridad y sus resultados. Si Usted tiene conocimiento de cualquier circunstancia que pueda desencadenar las obligaciones de cualquiera de las Partes en virtud de las leyes de infracción de la seguridad, deberá notificarla inmediatamente por escrito a Logitech a través de securityincident@logitech.com y deberá cooperar plenamente con Logitech para permitir que Logitech cumpla con sus obligaciones en virtud de las leyes de infracción de la seguridad.
  • Planificación de contingencias – Políticas y procedimientos para reaccionar a una emergencia u otra situación (por ejemplo, incendio, vandalismo, fallo del sistema o desastre natural) que dañe Datos de Logitech o sistemas que contienen datos de Logitech, incluido un plan de copia de seguridad de datos y un plan de recuperación en caso de catástrofe, y proporcionar inmediatamente una notificación por escrito a Logitech a través de securityincident@logitech.com.
  • Controles de dispositivos y soportes – Políticas y procedimientos sobre hardware y soportes electrónicos que contienen datos de Logitech dentro y fuera de Sus instalaciones, y el movimiento de estos elementos dentro de Sus instalaciones, incluidas las políticas y procedimientos para abordar la eliminación final de datos de Logitech, y/o el hardware o los soportes electrónicos en los que se almacenan, y los procedimientos para eliminar los datos de Logitech de los soportes electrónicos antes de que los soportes estén disponibles para su reutilización. Usted deberá asegurarse de que no se descarguen o almacenen datos de Logitech en ordenadores portátiles u otros dispositivos portátiles, a menos que estén sujetos a todas las medidas de protección requeridas en este documento. Dichas medidas de protección incluirán, entre otras, que todos los dispositivos que accedan a los datos de Logitech estén cifrados y utilicen software de prevención de detección antimalware actualizado.
  • Controles de auditoría – Hardware, software, servicios, plataformas y/o mecanismos de procedimiento que registren y examinen la actividad en sistemas de información que contengan o usen información electrónica, incluidos registros e informes correspondientes a estos requisitos de seguridad y el cumplimiento de los mismos.
  • Políticas y procedimientos – Políticas y procedimientos para garantizar la confidencialidad, integridad y disponibilidad de los Datos de Logitech y protegerlos de la divulgación, el uso, la alteración o la destrucción accidentales, no autorizados o indebidos.
  • Seguridad de almacenamiento y transmisión – Medidas de seguridad técnicas para proteger contra el acceso no autorizado los Datos de Logitech que se transmitan a través de una red de comunicaciones electrónicas, incluido un mecanismo para cifrar los Datos de Logitech en formato electrónico mientras están en tránsito y almacenados en redes o sistemas a los que puedan tener acceso personas no autorizadas.
  • Responsabilidad de seguridad asignada – Usted deberá designar a un representante de seguridad responsable del desarrollo, la implementación y el mantenimiento de su Programa de seguridad de la información.
  • Soportes de almacenamiento físico – Políticas y procedimientos para garantizar que antes de que se designe, asigne o reasigne a otro usuario cualquier soporte de almacenamiento que contenga Datos de Logitech, o antes de que dicho soporte de almacenamiento se elimine permanentemente de una instalación, se eliminarán de forma segura de acuerdo con la Sección 2.3 (e.) esos Datos de Logitech tanto de forma física como lógica, de modo que el soporte no contenga datos residuales o, si es necesario, se destruya físicamente dicho soporte de almacenamiento. Usted deberá mantener un programa auditable que implemente los requisitos de eliminación y destrucción establecidos en esta Sección para todos los soportes de almacenamiento que contengan Datos de Logitech.
  • Pruebas – Deberá probar periódicamente los controles, sistemas y procedimientos clave de su Programa de seguridad de la información para asegurarse de que se implementan correctamente y son eficaces para abordar las amenazas y los riesgos identificados. Las pruebas deben ser realizadas o revisadas por terceros o personal independiente de quienes desarrollan o mantienen los programas de seguridad.
  • Mantener el Programa actualizado – Usted supervisará, evaluará y ajustará, según corresponda, el Programa de seguridad de la información a la luz de cualquier cambio relevante en la tecnología o los estándares de seguridad del sector, la confidencialidad de los Datos de Logitech, las amenazas internas o externas contra Usted o los Datos de Logitech, y Sus propios acuerdos comerciales cambiantes, como fusiones y adquisiciones, alianzas y empresas conjuntas, acuerdos de subcontratación y cambios en los sistemas de información.
     

Más específicamente, el Programa de seguridad de la información del Proveedor debe cumplir o superar los siguientes requisitos:

1. ÁMBITO; DEFINICIONES

1.1. Política de seguridad. El Proveedor cumplirá en todos los aspectos los requisitos de seguridad de la Información de Logitech establecidos en estos Requisitos de seguridad de la Información de Logitech para proveedores (la "Política de seguridad"). La Política de seguridad se aplica a la prestación del Proveedor en virtud de cualquier acuerdo entre el Proveedor y Logitech (el "Acuerdo") y a todo acceso, recopilación, uso, almacenamiento, transmisión, divulgación, destrucción o eliminación e incidentes de seguridad relacionados con la Información de Logitech (como se define a continuación). Esta Política de seguridad no limita otras obligaciones del Proveedor, incluso en virtud del Acuerdo o con respecto a cualquier ley que se aplique al Proveedor, la prestación del Proveedor en virtud del Acuerdo, la Información de Logitech o la Finalidad permitida (como se define a continuación). En caso de que esta Política de seguridad entre directamente en conflicto con el Acuerdo, el Proveedor notificará inmediatamente a Logitech sobre el conflicto y cumplirá con el requisito que sea más restrictivo y proteja más la Información de Logitech (que puede ser designado por Logitech).

1.2. Definiciones.

  1. "Afiliado" significa, con respecto a una persona en particular, cualquier entidad que directa o indirectamente controle, esté controlada por o esté bajo control común con dicha persona.
  2. "Agregar" significa combinar o almacenar Información de Logitech con cualquier dato o información del Proveedor o de un tercero.
  3. "Anonimizar" significa usar, recopilar, almacenar, transmitir o transformar cualquier dato o información (incluida la Información de Logitech) de una manera o forma que no identifique, ni permita la identificación ni sea atribuible a ningún usuario, identificador de dispositivo, fuente, producto, servicio, contexto, marca o Logitech o sus Afiliados.
  4. "Información de Logitech" significa, individual y colectivamente: (a) toda la Información confidencial de Logitech (según se define en el Acuerdo o en el acuerdo de confidencialidad entre las partes); (b) todos los demás datos, registros, archivos, contenido o información, en cualquier forma o formato, adquiridos, accedidos, recopilados, recibidos, almacenados o mantenidos por el Proveedor o sus Afiliados de o en nombre de Logitech o sus Afiliados, o de otro modo en conexión con el Acuerdo, los servicios prestados en virtud del Acuerdo o el cumplimiento o el ejercicio de los derechos por parte de las partes en virtud del Acuerdo o en relación con él; y (c) derivados de (a) o (b), aunque estén anonimizados.

1.3. Finalidad permitida.
Salvo que se autorice expresamente en el Acuerdo, el Proveedor puede acceder, recopilar, usar, almacenar y transmitir únicamente la Información de Logitech expresamente autorizada en virtud del Acuerdo y únicamente con el fin de proporcionar los servicios en virtud del Acuerdo, de conformidad con las licencias (si las hubiera) otorgados en virtud del Acuerdo (la "Finalidad permitida"). Salvo que se autorice expresamente en el Acuerdo, el Proveedor no accederá, recopilará, usará, almacenará ni transmitirá ninguna Información de Logitech y no agregará Información de Logitech, aunque estuviera anonimizada. Excepto con el previo consentimiento expreso por escrito de Logitech, el Proveedor no (A) transferirá, alquilará, permutará, venderá, alquilará, prestará, arrendará ni distribuirá ni pondrá a disposición de terceros ninguna Información de Logitech ni (B) Información de Logitech agregada con cualquier otra información o datos, aunque estuvieran anonimizados.

2. POLÍTICA DE SEGURIDAD

2.1. Requisitos de seguridad básicos. El Proveedor, de conformidad con los más altos estándares industriales actuales y otros requisitos especificados por Logitech según la clasificación y la confidencialidad de la Información de Logitech, mantendrá medidas de seguridad físicas, administrativas y técnicas y otras medidas de seguridad (A) para mantener la seguridad y la confidencialidad de la Información de Logitech que sea recopilada, utilizada, almacenada o transmitida por el Proveedor o a la que éste acceda, y (B) para proteger esa información de amenazas o peligros conocidos o razonablemente previstos para su seguridad e integridad, pérdida accidental, alteración, divulgación y todas las demás formas ilegales de procesamiento. Sin limitación, el Proveedor cumplirá los siguientes requisitos:

  1. Firewall. El Proveedor instalará y mantendrá en funcionamiento un firewall de red para proteger los datos accesibles a través de Internet y mantendrá toda la Información de Logitech protegida por el firewall en todo momento.
  2. Actualizaciones. El Proveedor mantendrá al día sus sistemas y software con las últimas actualizaciones, correcciones de errores, nuevas versiones y otras modificaciones necesarias para garantizar la seguridad de la Información de Logitech.
  3. Antimalware. El Proveedor utilizará en todo momento software antimalware y lo mantendrá actualizado. El Proveedor mitigará las amenazas de todos los virus, software espía y otros códigos malintencionados que se detecten o debieran haberse detectado razonablemente.
  4. Cifrado. El Proveedor cifrará los datos almacenados y los datos enviados a través de redes abiertas de acuerdo con las prácticas recomendadas del sector.
  5. Pruebas. El Proveedor someterá a pruebas periódicas sus sistemas y procesos de seguridad para asegurarse de que cumplen los requisitos de esta Política de seguridad.
  6. Controles de acceso. El Proveedor protegerá la Información de Logitech, incluido mediante el cumplimiento de los siguientes requisitos:
    1. El Proveedor asignará un ID exclusivo a cada persona con acceso informático a la Información de Logitech.
    2. El Proveedor restringirá el acceso a la Información de Logitech sólo a aquellas personas con una "necesidad de conocerla" para una Finalidad permitida.
    3. El Proveedor revisará periódicamente la lista de personas y servicios con acceso a la Información de Logitech y eliminará las cuentas (o aconsejará a Logitech que elimine las cuentas) que ya no requieran acceso. Esta revisión debe realizarse al menos una vez cada 90 días.
    4. El Proveedor no utilizará en ningún sistema operativo, software u otros sistemas los valores predeterminados proporcionados por el fabricante para las contraseñas del sistema y otros parámetros de seguridad. El Proveedor exigirá y garantizará el uso de "contraseñas seguras" impuestas por el sistema de acuerdo con las prácticas recomendadas (descritas a continuación) en todos los sistemas que alojen, almacenen, procesen o tengan o controlen el acceso a la Información de Logitech, y exigirá que se mantenga la confidencialidad de todas las contraseñas y las credenciales de acceso y que no se compartan entre el personal. Las contraseñas deben cumplir los siguientes criterios: contener al menos 12 caracteres; no coincidir con contraseñas anteriores ni con el inicio de sesión del usuario ni su nombre común; deberán cambiarse siempre que se sospeche o se suponga que la cuenta se ha comprometido; y se sustituirán periódicamente al cabo de 90 días como máximo.
    5. El Proveedor mantendrá y aplicará un "bloqueo de cuenta" desactivando las cuentas con acceso a información de Logitech cuando una cuenta sea objeto de más de 10 intentos de contraseña incorrectos consecutivos.
    6. Excepto donde Logitech lo autorice expresamente por escrito, el Proveedor aislará de información del Proveedor y de terceros la Información de Logitech en todo momento (incluido en el almacenamiento, el procesamiento o la transmisión).
    7. Si Logitech solicita controles de acceso físico adicionales por escrito, el Proveedor implementará y usará esas medidas seguras de control de acceso físico.
    8. El Proveedor proporcionará a Logitech anualmente o con mayor frecuencia a petición de Logitech, (1) datos de registro sobre todo el uso (autorizado y no autorizado) de las cuentas o credenciales de Logitech proporcionadas al Proveedor para su uso en nombre de Logitech (por ejemplo, credenciales de cuenta de redes sociales) y (2) datos de registro detallados sobre cualquier suplantación o intento de suplantación de personal de Logitech o personal del Proveedor con acceso a la Información de Logitech.
    9. El Proveedor revisará periódicamente los registros de acceso para detectar indicios de comportamiento malintencionado o acceso no autorizado.
  7. Política de proveedores. El Proveedor mantendrá y hará cumplir una política de seguridad de la información y la red para los empleados, subcontratistas, agentes y Proveedores que cumpla los estándares establecidos en esta política, incluidos los métodos para detectar y registrar infracciones de la política. A petición de Logitech, el Proveedor proporcionará a Logitech información sobre infracciones de la información del Proveedor y la política de seguridad de la red, aunque no constituya un Incidente de seguridad.
  8. Subcontrato. El Proveedor no subcontratará ni delegará ninguna de sus obligaciones en virtud de esta Política de seguridad a ningún subcontratista sin el consentimiento previo por escrito de Logitech. Sin perjuicio de la existencia o los términos de cualquier subcontrato o delegación, el Proveedor seguirá siendo responsable del pleno cumplimiento de sus obligaciones en virtud de esta Política de seguridad. Los términos y condiciones de esta Política de seguridad serán vinculantes para los subcontratistas y el personal del Proveedor. El Proveedor (a) se asegurará de que los subcontratistas y el personal del Proveedor cumplan con esta Política de seguridad, y (b) será responsable de todos los actos, omisiones, negligencia y mala conducta de sus subcontratistas y personal, incluida (según corresponda) la infracción de cualquier ley, regla o regulación.
  9. Acceso remoto. El Proveedor se asegurará de que cualquier acceso desde entornos externos corporativos o de producción protegidos a sistemas que contengan información de Logitech o redes de estaciones de trabajo corporativas o de desarrollo del Proveedor requiera autenticación multifactor (p. ej., al menos dos factores distintos para identificar a los usuarios).
  10. Personal de proveedores. Logitech puede condicionar el acceso a la Información de Logitech por parte del personal del Proveedor a la ejecución y entrega a Logitech de acuerdos de confidencialidad individuales, cuya forma especificará Logitech. Si Logitech lo requiere, Logitech solicitará al personal del Proveedor que ejecute el acuerdo de confidencialidad individual. El Proveedor obtendrá y entregará a Logitech acuerdos de no divulgación individuales firmados por el personal del Proveedor que tendrá acceso a la Información de Logitech (antes de otorgar acceso o proporcionar información al personal del Proveedor). El Proveedor también (a) proporcionará a Logitech previa solicitud dentro de un plazo acordado esa lista del personal del Proveedor que ha accedido o recibido la Información de Logitech, y (b) notificará a Logitech a más tardar 24 horas después de que cualquier personal del Proveedor específico con acceso autorizado a Información de Logitech de acuerdo con esta Sección: (y) ya no necesite acceso a la Información de Logitech o (z) ya no forme parte del personal del Proveedor (por ejemplo, personal que abandone la empresa del Proveedor).
     

2.2. Acceso a la extranet de Logitech y a Portales de Proveedor. Logitech puede otorgar al Proveedor acceso a la Información de Logitech a través de portales web u otros sitios web no públicos o servicios de extranet en un sitio web o sistema de Logitech o de un tercero (cada uno, una "Extranet") para la Finalidad permitida. Si Logitech permite que el Proveedor acceda a cualquier Información de Logitech a través de una Extranet, el Proveedor debe cumplir los siguientes requisitos:

  1. Finalidad permitida. El Proveedor y su personal accederán a la Extranet y accederán, recopilarán, usarán, verán, recuperarán, descargarán o almacenarán Información de Logitech de la Extranet únicamente para la Finalidad permitida.
  2. Cuentas. El Proveedor se asegurará de que el personal del Proveedor use sólo las cuentas de Extranet designadas por Logitech para cada individuo y requerirá que el personal del Proveedor mantenga la confidencialidad de sus credenciales de acceso.
  3. Sistemas. El Proveedor accederá a la Extranet únicamente a través de sistemas informáticos o de procesamiento o aplicaciones que ejecuten sistemas operativos administrados por el Proveedor y que incluyan: (i) firewalls de red del sistema de acuerdo con la Sección 2.1 (A) (Firewall); (ii) administración de parches centralizada de conformidad con la Sección 2.1 (B) (Actualizaciones); (iii) software antimalware apropiado para el sistema operativo de acuerdo con la Sección 2.1 (C) (Antimalware); y (iv) para dispositivos portátiles, cifrado de disco completo.
  4. Restricciones. Excepto si Logitech lo aprueba previamente por escrito, el Proveedor no descargará, reflejará ni almacenará permanentemente ninguna Información de Logitech de ninguna Extranet en ningún soporte, incluidos máquinas, dispositivos o servidores.
  5. Rescisión de cuenta. El Proveedor cancelará la cuenta de cada miembro del personal del Proveedor y notificará a Logitech a más tardar 24 horas después de que cualquier miembro del personal del Proveedor que hubiera tenido autorización para acceder a cualquier Extranet (a) ya no necesite acceso a la Información de Logitech, (b) ya no forme parte del personal del Proveedor (por ejemplo, personal que abandone la empresa del Proveedor) o (c) no acceda a la Información de Logitech durante 30 días o más.
  6. Sistemas de terceros.
    1. El Proveedor notificará previamente a Logitech y obtendrá la aprobación previa por escrito de Logitech antes de usar cualquier sistema de terceros que almacene o pueda tener acceso a Información de Logitech, a menos que (a) los datos estén cifrados de acuerdo con esta Política de seguridad, y (b) el sistema de terceros no tendrá acceso a la clave de descifrado ni a las versiones de "texto sin cifrar" de los datos. Logitech se reserva el derecho a solicitar una revisión de seguridad de Logitech (de acuerdo con la Sección 2.5 a continuación) del sistema de terceros antes de dar la aprobación.
    2. Si el Proveedor utiliza cualquier sistema de terceros que almacene o pueda acceder a Información de Logitech no cifrada, el Proveedor deberá realizar una revisión de seguridad de los sistemas de terceros y sus controles de seguridad y proporcionará a Logitech informes periódicos sobre los controles de seguridad del sistema de terceros en el formato solicitado por Logitech (p. ej., SAS 70, SSAE 16 o un informe sucesor) u otro informe estándar reconocido en el sector y aprobado por Logitech.
       

2.3. Retención y destrucción de datos.

  1. Retención. El Proveedor conservará la Información de Logitech únicamente para la Finalidad permitida y durante el tiempo que sea necesario.
  2. Devolución o eliminación. El Proveedor devolverá de inmediato (pero no más de 10 días después de la solicitud de Logitech) a Logitech y eliminará de forma permanente y segura toda la Información de Logitech cuando y de acuerdo con el aviso de Logitech requiriendo la devolución y/o eliminación. Además, el Proveedor eliminará de forma permanente y segura todas las instancias activas (en línea o accesibles en red) de la Información de Logitech dentro de los 90 días posteriores a la finalización de la Finalidad permitida o la extinción o el vencimiento del Acuerdo, a menos que se requiera legalmente su retención. Si Logitech lo solicita, el Proveedor certificará por escrito que se ha destruido toda la Información de Logitech.
  3. Copias de archivo. Si la ley exige que el Proveedor retenga copias de archivo de la Información de Logitech por motivos fiscales o normativos similares, esta Información de Logitech archivada deberá almacenarse de una de las siguientes formas: copia de seguridad almacenada (no disponible para uso inmediato o interactivo) en una instalación físicamente segura; o cifrada, sin que el sistema que aloja o almacena los archivos cifrados tenga acceso a una copia de las claves utilizadas para el cifrado.
  4. Recuperación. Si el Proveedor realiza una "recuperación" (es decir, retoma una copia de seguridad) con fines de recuperación en caso de catástrofe, el Proveedor tendrá y mantendrá un proceso que garantice que toda la Información de Logitech que se debe eliminar de conformidad con el Acuerdo o esta Política de seguridad se volverá a eliminar o se sobrescribirá con los datos recuperados de acuerdo con esta Sección 2.3 dentro de las 24 horas posteriores a la recuperación. Si el Proveedor realiza una recuperación con cualquier finalidad, no se podrá recuperar Información de Logitech en ningún sistema o red de terceros sin la aprobación previa por escrito de Logitech. Logitech se reserva el derecho de requerir una revisión de seguridad de Logitech (de acuerdo con la Sección 2.5 a continuación) del sistema o la red de terceros antes de permitir la recuperación de cualquier Información de Logitech en cualquier sistema o red de terceros.
  5. Estándares de eliminación. Toda la Información de Logitech eliminada por el Proveedor se eliminará de acuerdo con la publicación especial 800-88 Revisión 1 del NIST (Instituto Nacional de Estándares y Tecnología) sobre pautas para el saneamiento de los soportes del 18 de diciembre de 2014 (disponible en http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.Logitech), o cualquier otro estándar que Logitech pueda requerir según la clasificación y la confidencialidad de la Información de Logitech.
     

2.4. Destrucción conforme a los requisitos legales. Antes de deshacerse por cualquier método de cualquier hardware, software o cualquier otro soporte que contenga, o haya contenido en algún momento, Información de Logitech, el Proveedor llevará a cabo una destrucción completa y conforme a los requisitos legales del hardware, software u otros soportes para que ninguna Información de Logitech se pueda recuperar o restituir de cualquier forma. El Proveedor llevará a cabo la destrucción conforme a los requisitos legales de acuerdo con los estándares que Logitech pueda requerir según la clasificación y la confidencialidad de la Información de Logitech. El Proveedor proporcionará un certificado de destrucción a petición de Logitech.

  1. El Proveedor no venderá, revenderá, donará, reacondicionará ni transferirá (incluida la venta o transferencia de dicho hardware, software u otros soportes, cualquier forma de disponer de esos en relación con cualquier liquidación del negocio del Proveedor o cualquier otra forma de disponer de ellos) ningún hardware, software u otros soportes que contengan Información de Logitech no destruida de manera conforme a los requisitos legales por el Proveedor.
     

2.5. Revisión de seguridad.

  1. Cuestionario de evaluación de riesgos. Logitech requiere que todos los proveedores se sometan a una Evaluación de riesgos del Proveedor, que se activa al proporcionar respuestas actualizadas al cuestionario de evaluación de riesgos de Logitech, al menos una vez al año, pero puede ser más frecuente según el riesgo evaluado del Proveedor.
  2. Certificación. Previa solicitud por escrito de Logitech, el Proveedor certificará por escrito a Logitech que cumple con este Acuerdo.
  3. Otras revisiones. Logitech se reserva el derecho a revisar periódicamente la seguridad de los sistemas que utiliza el Proveedor para procesar la Información de Logitech. El Proveedor cooperará razonablemente y proporcionará a Logitech toda la información requerida dentro de un plazo razonable, pero no más de 20 días naturales a partir de la fecha de la solicitud de Logitech.
  4. Medidas correctivas. Si una revisión de seguridad identifica alguna deficiencia, el Proveedor, con coste exclusivamente a su cargo, tomará todas las medidas necesarias para abordar esas deficiencias dentro de un plazo acordado.
     

2.6. Infracción de seguridad.

  1. El Proveedor informará a Logitech a través de securityincident@logitech.com sin demoras indebidas (no más de 24 horas) de cualquier infracción de la seguridad según lo definido por las leyes aplicables (i) relativa a Información de Logitech, o (ii) administrada por el Proveedor con controles sustancialmente similares a los que protegen la Información de Logitech (cada caso, una "infracción de seguridad"). El Proveedor remediará cada Infracción de seguridad de manera oportuna y proporcionará a Logitech detalles por escrito sobre la investigación interna del Proveedor con respecto a cada Incidente de seguridad. El Proveedor se compromete a no notificar a ninguna autoridad reguladora, ni a ningún cliente, en nombre de Logitech, a menos que Logitech solicite específicamente por escrito que lo haga y Logitech se reserva el derecho de revisar y aprobar el formulario y el contenido de cualquier notificación antes de proporcionarla a cualquier parte. El Proveedor cooperará y trabajará diligentemente con Logitech para formular y ejecutar un plan para rectificar todos los Incidentes de seguridad confirmados.
  2. El Proveedor informará a Logitech sin demoras indebidas (no más de 24 horas) cuando se solicite Información de Logitech en respuesta a un proceso legal o por la legislación aplicable.