Requisiti di sicurezza delle informazioni del fornitore

PASSA AL CONTENUTO PRINCIPALE
Pangea temporary hotfixes here

Requisiti di sicurezza delle informazioni del fornitore di Logitech

Logitech Europe SA e tutte le sue sussidiarie e affiliate (collettivamente “Logitech”) richiedono a tutti i propri fornitori, fornitori di servizi e altri partner commerciali (“Utente” o “Fornitore”) di mantenere un Programma completo di sicurezza delle informazioni scritto (“Programma di sicurezza delle informazioni”) che include misure tecniche, fisiche e organizzative per garantire la riservatezza, la sicurezza, l’integrità e la disponibilità delle informazioni fornite da Logitech, dalle affiliate di Logitech e dai loro dipendenti, rappresentanti, appaltatori, clienti e fornitori (collettivamente, “Dati Logitech”) e per proteggere i Dati Logitech da accesso, uso, divulgazione, alterazione o distruzione non autorizzati. Il presente Programma di sicurezza delle informazioni è allegato e incorporato come riferimento negli accordi per i servizi ("Accordi") stipulati tra l'Utente e l'entità Logitech ivi menzionata. In particolare, il Programma di sicurezza delle informazioni include, a titolo esemplificativo ma non esaustivo, le seguenti misure, ove appropriato o necessario, per garantire la protezione dei Dati Logitech:

  • Controlli di accesso - Politiche, procedure e controlli fisici e tecnici:
    1. limitare l'accesso fisico ai sistemi informativi dell'Utente e alla struttura o alle strutture in cui sono ospitati alle persone adeguatamente autorizzate;
    2. garantire che tutti i membri del personale che richiedono l'accesso ai Dati Logitech abbiano un accesso adeguatamente controllato e impedire che quei membri e altri che non dovrebbero avere accesso ottengano l'accesso;
    3. autenticare e consentire l'accesso solo a persone autorizzate e impedire ai membri del personale di fornire Dati Logitech o informazioni relative a persone non autorizzate; e
    4. crittografare e decrittografare i Dati Logitech ove necessario.
  • Consapevolezza e formazione in materia di sicurezza - Un programma di sensibilizzazione e formazione sulla sicurezza per tutti i membri del personale (inclusi i dirigenti) su base regolare, che include formazione su come implementare e rispettare il Programma di sicurezza delle informazioni.
  • Procedure per gli incidenti di sicurezza - Politiche e procedure per rilevare, rispondere a o affrontare in altro modo incidenti di sicurezza, incluse procedure per monitorare i sistemi e rilevare attacchi o tentativi di intrusione nei Dati Logitech o nei relativi sistemi informativi, e procedure per identificare e rispondere a incidenti di sicurezza sospetti o noti, mitigare gli effetti dannosi degli incidenti di sicurezza e documentare gli incidenti di sicurezza e le relative conseguenze. Qualora l'Utente venisse a conoscenza di circostanze che potrebbero far scattare gli obblighi di una delle Parti ai sensi delle Leggi sulle violazioni della sicurezza, dovrà immediatamente informarne per iscritto Logitech all'indirizzo securityincident@logitech.com e dovrà collaborare pienamente con Logitech per consentire a Logitech di adempiere ai propri obblighi ai sensi delle Leggi sulle violazioni della sicurezza.
  • Pianificazione di emergenza - Politiche e procedure per rispondere a un'emergenza o a un altro evento (ad esempio, incendio, vandalismo, guasto del sistema e calamità naturale) che danneggia i Dati Logitech o i sistemi che contengono i Dati Logitech, inclusi un piano di backup dei dati e un piano di ripristino di emergenza e l’invio immediato di una notifica scritta a Logitech tramite securityincident@logitech.com.
  • Controlli di dispositivi e supporti - Politiche e procedure relative all'hardware e ai supporti elettronici che contengono Dati Logitech in entrata e in uscita dalle strutture dell'Utente, nonché alla circolazione di tali elementi all'interno delle strutture, incluse politiche e procedure volte allo smaltimento finale dei Dati Logitech, e/o l'hardware o il supporto elettronico su cui sono archiviati e le procedure per la rimozione dei Dati Logitech dai supporti elettronici prima che i supporti siano resi disponibili per il riutilizzo. L'Utente dovrà garantire che nessun Dato Logitech venga scaricato o altrimenti archiviato su laptop o altri dispositivi portatili a meno che non siano soggetti a tutte le protezioni richieste nel presente documento. Tali misure di protezione includono, a titolo esemplificativo ma non esaustivo: tutti i dispositivi che accedono ai Dati Logitech devono essere crittografati e utilizzare software di prevenzione del rilevamento anti-malware aggiornati.
  • Controlli di audit - Hardware, software, servizi, piattaforme e/o meccanismi procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o utilizzano informazioni elettroniche, inclusi registri e report appropriati relativi a questi requisiti di sicurezza e alla loro conformità.
  • Politiche e procedure - Politiche e procedure per garantire la riservatezza, l'integrità e la disponibilità dei Dati Logitech e proteggerli da divulgazione, uso, alterazione o distruzione accidentali, non autorizzati o impropri.
  • Sicurezza di archiviazione e trasmissione - Misure tecniche di sicurezza per prevenire l'accesso non autorizzato ai Dati Logitech trasmessi su una rete di comunicazione elettronica, incluso un meccanismo per crittografare i Dati Logitech in formato elettronico durante il transito e l'archiviazione su reti o sistemi a cui persone non autorizzate possono avere accesso.
  • Responsabilità in materia di sicurezza assegnata - L'Utente designa un funzionario responsabile della sicurezza per lo sviluppo, l'implementazione e la manutenzione del Programma di sicurezza delle informazioni.
  • Supporti di archiviazione fisici - Politiche e procedure per garantire che, prima che qualsiasi supporto di archiviazione contenente Dati Logitech venga assegnato o riassegnato a un altro utente, o prima che tale supporto di archiviazione venga rimosso in modo permanente da una struttura, l'Utente eliminerà in modo sicuro in conformità con la Sezione 2.3 (e.). tali Dati Logitech da un punto di vista sia fisico che logico, in modo tale che il supporto non contenga dati residui o, se necessario, distrugga fisicamente tali supporti di archiviazione. L'Utente adotterà un programma verificabile che attui i requisiti di smaltimento e distruzione indicati in questa Sezione per tutti i supporti di memorizzazione contenenti Dati Logitech.
  • Test - L'Utente dovrà testare regolarmente i controlli chiave, i sistemi e le procedure del Programma di sicurezza delle informazioni per assicurarsi che siano implementati correttamente e siano efficaci nell'affrontare le minacce e i rischi identificati. I test devono essere condotti o riesaminati da terze parti indipendenti o da personale indipendente da coloro che sviluppano o gestiscono i programmi di sicurezza.
  • Mantenere aggiornato il programma - L’Utente dovrà monitorare, valutare e adattare, a seconda dei casi, il Programma di sicurezza delle informazioni alla luce di eventuali cambiamenti rilevanti nella tecnologia o degli standard di sicurezza del settore, della sensibilità dei Dati Logitech, delle minacce interne o esterne a discapito dell’Utente o dei Dati Logitech e i propri accordi commerciali in continua evoluzione, come fusioni e acquisizioni, alleanze e joint venture, accordi di esternalizzazione e modifiche ai sistemi informativi.
     

Più specificamente, il Programma di sicurezza delle informazioni del fornitore deve soddisfare o superare i seguenti requisiti:

1. AMBITO; DEFINIZIONI

1.1. Politica di sicurezza. Il Fornitore rispetterà sotto tutti gli aspetti i requisiti di sicurezza delle informazioni di Logitech definiti nei presenti Requisiti di sicurezza delle informazioni per il fornitore di Logitech (la “Politica di sicurezza”). La Politica di sicurezza si applica alle prestazioni del Fornitore in base a qualsiasi accordo tra il Fornitore e Logitech ("Accordo") e tutti gli incidenti di accesso, raccolta, utilizzo, archiviazione, trasmissione, divulgazione, distruzione o eliminazione e sicurezza relativi alle Informazioni Logitech (come definiti di seguito). La presente Politica di sicurezza non limita altri obblighi del Fornitore, inclusi quelli derivanti dall'Accordo o da eventuali leggi applicabili al Fornitore, le prestazioni del Fornitore ai sensi dell'Accordo, le Informazioni Logitech o lo Scopo consentito (come definito di seguito). Nella misura in cui la presente Politica di sicurezza è in diretto conflitto con l'Accordo, il Fornitore informerà prontamente Logitech del conflitto e rispetterà il requisito che è più restrittivo e protettivo delle Informazioni Logitech (che può essere designato da Logitech).

1.2. Definizioni.

  1. Con "Affiliata" si intende, in relazione a una determinata persona, qualsiasi entità che direttamente o indirettamente controlla, è controllata da o è soggetta al controllo comune con tale persona.
  2. "Aggregare" significa combinare o archiviare le Informazioni Logitech con qualsiasi dato o informazione del Fornitore o di terze parti.
  3. "Anonimizzare" significa utilizzare, raccogliere, archiviare, trasmettere o trasformare qualsiasi dato o informazione (comprese le Informazioni Logitech) in un modo o in una forma che non consentono l'identificazione e non sono altrimenti attribuibili a qualsiasi utente, identificatore del dispositivo, fonte, prodotto, servizio, contesto, marchio o Logitech o sue Affiliate.
  4. Con "Informazioni Logitech" si intendono, individualmente e collettivamente: (a) tutte le Informazioni riservate Logitech (come definite nell'Accordo o nell'accordo di non divulgazione tra le parti); (b) tutti gli altri dati, registrazioni, file, contenuti o informazioni, in qualsiasi forma o formato, acquisiti, consultati, raccolti, ricevuti, archiviati o gestiti dal Fornitore o dalle sue Affiliate da o per conto di Logitech o delle sue Affiliate, o altrimenti in connessione con l'Accordo, i servizi forniti ai sensi dell'Accordo, o l'esecuzione o l'esercizio da parte delle parti dei diritti ai sensi o in relazione all'Accordo; e (c) derivati da (a) o (b), anche se anonimizzati.

1.3. Scopo consentito.
Salvo quanto espressamente autorizzato nell'Accordo, il Fornitore può accedere, raccogliere, utilizzare, archiviare e trasmettere solo le Informazioni Logitech espressamente autorizzate nell'Accordo ed esclusivamente allo scopo di fornire i servizi nell'ambito dell'Accordo, conformemente alle licenze (se presenti) concesse ai sensi del Contratto (lo “Scopo consentito”). Fatta eccezione per quanto espressamente autorizzato ai sensi dell'Accordo, il Fornitore non accederà, raccoglierà, utilizzerà, memorizzerà o trasmetterà alcuna informazione Logitech e non aggregherà le Informazioni Logitech, anche se anonimizzate. Fatta eccezione per il previo consenso scritto di Logitech, il Fornitore non (A) trasferisce, noleggia, baratta, scambia, vende, noleggia o altrimenti distribuisce o mette a disposizione di terze parti le Informazioni Logitech né (B) aggrega Informazioni Logitech con qualsiasi altra informazione o dato, anche se anonimizzati.

2. POLITICA DI SICUREZZA

2.1. Requisiti di sicurezza di base. Il Fornitore dovrà, in linea con i migliori standard del settore correnti e con altri requisiti specificati da Logitech in base alla classificazione e alla riservatezza delle Informazioni Logitech, adottare misure di salvaguardia fisiche, amministrative e tecniche e altre misure di sicurezza (A) per mantenere la sicurezza e la riservatezza delle Informazioni Logitech a cui si accede, che vengono raccolte, utilizzate, archiviate o trasmesse dal Fornitore e (B) per proteggere tali Informazioni da minacce o rischi noti o ragionevolmente previsti per la loro sicurezza e integrità, perdita accidentale, alterazione, divulgazione e tutte le altre forme illecite di trattamento. A titolo esemplificativo ma non esaustivo, il Fornitore rispetterà i seguenti requisiti:

  1. Firewall. Il Fornitore installerà e manterrà un firewall di rete funzionante per proteggere i dati accessibili tramite Internet e manterrà tutte le Informazioni Logitech protette dal firewall in ogni momento.
  2. Aggiornamenti. Il Fornitore manterrà i propri sistemi e software aggiornati con gli ultimi upgrade, aggiornamenti, correzioni di bug, nuove versioni e altre modifiche necessarie per garantire la sicurezza delle Informazioni Logitech.
  3. Anti-malware. Il Fornitore utilizzerà sempre software anti-malware e manterrà il software anti-malware aggiornato. Il Fornitore ridurrà le minacce provenienti da tutti i virus, spyware e altri codici dannosi che sono o avrebbero dovuto essere ragionevolmente rilevati.
  4. Crittografia. Il Fornitore crittografa i dati inattivi e i dati inviati su reti aperte in conformità con le best practice del settore.
  5. Test. Il Fornitore testerà regolarmente i propri sistemi e processi di sicurezza per assicurarsi che soddisfino i requisiti della presente Politica di sicurezza.
  6. Controlli di accesso. Il Fornitore proteggerà le Informazioni Logitech, anche nel rispetto dei seguenti requisiti:
    1. Il Fornitore assegnerà un ID univoco a ogni persona con accesso tramite computer alle Informazioni Logitech.
    2. Il Fornitore limiterà l'accesso alle informazioni Logitech solo alle persone che hanno “bisogno di sapere” per uno scopo consentito.
    3. Il Fornitore esaminerà regolarmente l'elenco di persone e servizi con accesso alle Informazioni Logitech e rimuoverà gli account (o consiglierà a Logitech di rimuovere gli account) che non richiedono più l'accesso. Questa revisione deve essere eseguita almeno una volta ogni 90 giorni.
    4. Il Fornitore non utilizzerà le impostazioni predefinite fornite dal produttore per le password di sistema e altri parametri di sicurezza su sistemi operativi, software o altri sistemi. Il Fornitore imporrà e garantirà l’uso di “password sicure” imposte dal sistema in conformità con le best practice (descritte di seguito) su tutti i sistemi che ospitano, archiviano, elaborano o hanno o controllano l’accesso alle Informazioni Logitech e richiederà che tutte le password e le credenziali di accesso siano mantenute riservate e non vengano condivise tra il personale. Le password devono soddisfare i seguenti criteri: contenere almeno 12 caratteri; non corrispondere alle password precedenti, ai dati di accesso dell'utente o al nome comune; devono essere modificate ogni volta che si sospetta o si presume una compromissione dell'account; e vengono regolarmente sostituite dopo non più di 90 giorni.
    5. Il Fornitore manterrà e applicherà il “blocco dell’account” disabilitando gli account con accesso alle Informazioni Logitech quando un account supera i 10 tentativi consecutivi di password errata.
    6. Eccetto dove espressamente autorizzato per iscritto da Logitech, il Fornitore isolerà sempre le Informazioni Logitech (anche durante l'archiviazione, l'elaborazione o la trasmissione) dalle informazioni del Fornitore e di qualsiasi terza parte.
    7. Se Logitech richiede ulteriori controlli degli accessi per iscritto, il Fornitore implementerà e adotterà tali misure di sicurezza per il controllo degli accessi fisici.
    8. Il Fornitore fornirà a Logitech con cadenza annuale o più frequentemente su richiesta di Logitech (1) i dati di registro relativi a tutti gli usi (sia autorizzati che non) degli account Logitech o delle credenziali fornite al Fornitore per l'uso per conto di Logitech (ad es. credenziali di account di social media) e (2) dati di registro dettagliati su qualsiasi tentativo di impersonare personale Logitech o personale del Fornitore con accesso alle Informazioni Logitech.
    9. Il Fornitore esaminerà regolarmente i registri di accesso alla ricerca di segnali di comportamento dannoso o accesso non autorizzato.
  7. Politica del Fornitore. Il Fornitore manterrà e applicherà una politica di sicurezza delle informazioni e della rete per dipendenti, subappaltatori, agenti e fornitori che soddisfa gli standard definiti in questa politica, compresi i metodi per rilevare e registrare le violazioni della politica. Su richiesta di Logitech, il Fornitore fornirà a Logitech informazioni sulle violazioni della politica di sicurezza delle informazioni e della rete del fornitore, anche se non costituiscono un incidente di sicurezza.
  8. Subappalto. Il Fornitore si impegna a non subappaltare o delegare alcuno dei propri obblighi ai sensi della presente Politica di sicurezza ad alcun subappaltatore senza previo consenso scritto di Logitech. Nonostante l'esistenza o i termini di qualsiasi subappalto o delega, il Fornitore resterà responsabile del pieno adempimento dei propri obblighi ai sensi della presente Politica di sicurezza. I termini e le condizioni della presente Politica di sicurezza saranno vincolanti per i subappaltatori e il personale del Fornitore. Il Fornitore (a) garantirà che i suoi subappaltatori e il personale si conformi alla presente Politica di sicurezza e (b) sarà responsabile di tutti gli atti, omissioni, negligenza e condotta impropria dei propri subappaltatori e personale, inclusa (se applicabile) la violazione di qualsiasi legge, regola o regolamento.
  9. Accesso remoto. Il Fornitore garantirà che qualsiasi accesso da ambienti aziendali o di produzione protetti dall'esterno ai sistemi che contengono le informazioni di Logitech o alle reti aziendali o di workstation di sviluppo richieda l'autenticazione a più fattori (ad esempio, richiede almeno due fattori separati per l'identificazione degli utenti).
  10. Personale del Fornitore. Logitech può condizionare l'accesso alle Informazioni Logitech da parte del personale del Fornitore all'esecuzione da parte del personale del Fornitore e alla consegna a Logitech di singoli accordi di non divulgazione, la cui forma è specificata da Logitech. Se richiesto da Logitech, Logitech richiede al personale del Fornitore di sottoscrivere l'accordo di non divulgazione individuale. Il Fornitore otterrà e fornirà a Logitech accordi di non divulgazione individuali firmati dal personale del Fornitore che avrà accesso alle Informazioni Logitech (prima di concedere l'accesso o fornire informazioni al personale del Fornitore). Il Fornitore inoltre (a) fornirà a Logitech l’elenco dei membri del personale che hanno avuto accesso o hanno ricevuto Informazioni Logitech su richiesta entro un periodo di tempo concordato e (b) informerà Logitech entro massimo 24 ore dal momento in cui un qualsiasi membro del personale del Fornitore autorizzato ad accedere alle Informazioni Logitech in conformità con questa Sezione: (y) non ha più bisogno dell'accesso alle Informazioni Logitech o (z) non si qualifica più come membro del personale del Fornitore (ad esempio, gli individui che interrompono il rapporto di lavoro con il Fornitore).
     

2.2. Accesso all'Extranet di Logitech e ai Portali dei Fornitori. Logitech può concedere al Fornitore l'accesso alle Informazioni Logitech tramite portali Web o altri siti Web non pubblici o servizi extranet sul sito Web o sistema Logitech o di terzi (ciascuno definito “Extranet”) per lo Scopo consentito. Se Logitech consente al Fornitore di accedere a qualsiasi Informazione Logitech tramite Extranet, il Fornitore deve soddisfare i seguenti requisiti:

  1. Scopo consentito. Il Fornitore e il suo personale accederanno all'Extranet e accederanno a, raccoglieranno, utilizzeranno, visualizzeranno, recupereranno, scaricheranno o memorizzeranno le Informazioni Logitech dall'Extranet esclusivamente per lo Scopo consentito.
  2. Account. Il Fornitore garantirà che il proprio personale utilizzi solo l'account o gli account Extranet designati per ciascun individuo da Logitech e richiederà al personale di mantenere riservate le proprie credenziali di accesso.
  3. Sistemi. Il Fornitore accederà all'Extranet solo tramite sistemi di elaborazione o applicazioni che eseguono sistemi operativi gestiti dal Fornitore e che includono: (i) firewall di rete di sistema in conformità con la Sezione 2.1(A) (Firewall); (ii) gestione centralizzata delle patch in conformità con la Sezione 2.1(B) (Aggiornamenti); (iii) software anti-malware appropriato al sistema operativo in conformità con la Sezione 2.1(C) (Anti-malware); e (iv) per i dispositivi portatili, la crittografia dell'intero disco.
  4. Restrizioni. Se non preventivamente approvato per iscritto da Logitech, il Fornitore non scaricherà, eseguirà il mirroring o memorizzerà in modo permanente le Informazioni Logitech da qualsiasi Extranet su qualsiasi supporto, inclusi macchine, dispositivi o server.
  5. Chiusura dell'account. Il Fornitore chiuderà l'account di ciascun membro del personale del Fornitore e informerà Logitech entro e non oltre 24 ore dal momento in cui uno specifico membro del personale del Fornitore che è stato autorizzato ad accedere a qualsiasi Extranet (a) non ha più bisogno di accedere alle Informazioni Logitech, (b) non si qualifica più come membro del personale del Fornitore (ad esempio, l’individuo non lavora più per il Fornitore) o (c) non accede alle Informazioni Logitech da 30 giorni o più.
  6. Sistemi di terze parti.
    1. Il Fornitore informerà Logitech e otterrà la previa approvazione scritta di Logitech prima di utilizzare qualsiasi sistema di terze parti che memorizza o può avere in altro modo accesso alle Informazioni Logitech, a meno che (a) i dati non siano crittografati in conformità con la presente Politica di sicurezza, e (b) il sistema di terze parti non abbia accesso alla chiave di decrittografia o alle versioni di “testo normale” non crittografate. Logitech si riserva il diritto di richiedere una verifica della sicurezza di Logitech (conformemente alla Sezione 2.5 di seguito) del sistema di terze parti prima di dare l'approvazione.
    2. Se il Fornitore utilizza sistemi di terze parti che archiviano o possono accedere a Informazioni Logitech non crittografate, è tenuto a eseguire un riesame di sicurezza dei sistemi di terze parti e dei relativi controlli di sicurezza e a fornire report periodici a Logitech sui controlli di sicurezza del sistema di terze parti nel formato richiesto da Logitech (ad esempio, SAS 70, SSAE 16 o un report successivo) o un altro report standard di settore riconosciuto approvato da Logitech.
       

2.3. Conservazione e distruzione dei dati.

  1. Conservazione. Il Fornitore conserverà le Informazioni Logitech solo per lo Scopo consentito e per il tempo necessario.
  2. Restituzione o eliminazione. Il Fornitore dovrà prontamente (ma entro non più di 10 giorni dalla richiesta di Logitech) restituire a Logitech ed eliminare in modo permanente e sicuro tutte le Informazioni Logitech a seguito di e in conformità con la notifica di Logitech che richiede la restituzione e/o l'eliminazione. Inoltre, il Fornitore eliminerà in modo permanente e sicuro tutte le istanze attive (online o accessibili in rete) delle Informazioni Logitech entro 90 giorni dal completamento dello Scopo consentito o dalla risoluzione o dalla scadenza del Contratto, a meno che non gli venga legalmente richiesto di conservare il tutto. Se richiesto da Logitech, il Fornitore certificherà per iscritto che tutte le Informazioni Logitech sono state distrutte.
  3. Copie d'archivio. Se il Fornitore è obbligato per legge a conservare copie di archivio delle Informazioni Logitech per scopi fiscali o regolamentari simili, queste Informazioni Logitech devono essere archiviate in uno dei seguenti modi: come backup "freddo" o offline (cioè non disponibile per uso immediato o interattivo) archiviato in una struttura fisicamente sicura; come file crittografati: in questo caso, il sistema che ospita o archivia i file crittografati non deve avere accesso a una copia della chiave utilizzata per la crittografia.
  4. Recupero. Se il Fornitore esegue un "recupero" (ovvero un ripristino ai dati di backup) a scopo di emergenza, dovrà disporre e mantenere un processo che garantisce che tutte le Informazioni Logitech che devono essere eliminate ai sensi dell'Accordo o della presente Politica di sicurezza dovranno essere nuovamente cancellate o sovrascritte dai dati recuperati in conformità con la presente Sezione 2.3 entro 24 ore dal recupero. Se il Fornitore esegue un ripristino per qualsiasi scopo, nessuna Informazione Logitech può essere ripristinata su qualsiasi sistema o rete di terze parti senza previa approvazione scritta di Logitech. Logitech si riserva il diritto di richiedere una verifica della sicurezza di Logitech (conformemente alla Sezione 2.5 di seguito) del sistema o della rete di terze parti prima di consentire il recupero delle Informazioni Logitech su qualsiasi sistema o rete di terze parti.
  5. Standard di cancellazione. Tutte le informazioni Logitech cancellate dal Fornitore verranno eliminate in conformità con la Pubblicazione speciale NIST 800-88 Revisione 1, le Linee guida per la sanificazione dei supporti multimediali, 18 dicembre 2014 (disponibili all'indirizzo http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.Logitech) o altri standard che Logitech potrebbe richiedere in base alla classificazione e alla riservatezza delle Informazioni Logitech.
     

2.4. Distruzione forense. Prima di smaltire in qualsiasi modo hardware, software o altri supporti che contengono o hanno contenuto Informazioni Logitech, il Fornitore eseguirà una distruzione forense completa dell’hardware, del software o di altri supporti in modo che nessuno dei Dati Logitech possa essere recuperato o ripristinato in qualsiasi forma. Il Fornitore eseguirà la distruzione forense in conformità con gli standard richiesti da Logitech in base alla classificazione e alla riservatezza delle Informazioni Logitech. Il Fornitore fornirà il certificato di distruzione su richiesta di Logitech.

  1. Il Fornitore si impegna a non vendere, rivendere, donare, ristrutturare o trasferire in altro modo (inclusa la vendita o il trasferimento di hardware, software o altri supporti, qualsiasi disposizione in relazione alla liquidazione dell'attività del venditore o qualsiasi altra disposizione) di qualsiasi hardware, software o altri supporti contenenti informazioni Logitech che non sono state sottoposte a distruzione forense dal Fornitore.
     

2.5. Revisione della sicurezza.

  1. Questionario di valutazione del rischio. Logitech richiede a tutti i fornitori di sottoporsi, almeno su base annuale, a una valutazione dei rischi, fornendo risposte aggiornate al questionario di valutazione del rischio di Logitech, ma la frequenza può variare in base al rischio fornitore valutato.
  2. Certificazione. Su richiesta scritta di Logitech, il Fornitore certificherà per iscritto a Logitech di rispettare il presente Accordo.
  3. Altre revisioni. Logitech si riserva il diritto di rivedere periodicamente la sicurezza dei sistemi utilizzati dal Fornitore per elaborare le Informazioni Logitech. Il Fornitore collaborerà ragionevolmente e fornirà a Logitech tutte le informazioni necessarie entro un lasso di tempo ragionevole, ma non oltre 20 giorni di calendario dalla data della richiesta di Logitech.
  4. Rimedio. Se un controllo di sicurezza rileva carenze, il Fornitore intraprenderà a proprie spese tutte le azioni necessarie per correggere tali carenze entro un lasso di tempo concordato.
     

2.6. Violazione della sicurezza.

  1. Il Fornitore informerà Logitech tramite securityincident@logitech.com senza indebito ritardo (non più di 24 ore) di un’eventuale violazione della sicurezza come definita dalla legge applicabile (i) contenente Informazioni Logitech o (ii) gestita dal Fornitore con controlli sostanzialmente simili a quelli che proteggono le Informazioni Logitech (entrambe “Violazioni della sicurezza”). Il Fornitore porrà rimedio a ciascuna violazione della sicurezza in modo tempestivo e fornirà a Logitech dettagli scritti in merito all'indagine interna del Fornitore su ciascun incidente di sicurezza. Il Fornitore si impegna a non inviare notifiche ad alcuna autorità di regolamentazione o ad alcun cliente per conto di Logitech, a meno che non sia Logitech stessa a richiedere espressamente una notifica per iscritto, e Logitech si riserva il diritto di rivedere e approvare la forma e il contenuto di qualsiasi notifica prima che questa venga fornita a qualsiasi parte. Il Fornitore collaborerà con Logitech in modo ragionevole per formulare ed eseguire un piano per rettificare tutti gli Incidenti di sicurezza confermati.
  2. Il Fornitore informerà Logitech senza indebito ritardo (non più di 24 ore) quando le Informazioni Logitech verranno richieste in risposta a procedimenti legali o ai sensi della legge applicabile.