Informatiebeveiligingsvereisten voor leveranciers

Logitech Europe SA. en al zijn dochterondernemingen en gelieerde ondernemingen (gezamenlijk 'Logitech') eisen dat al zijn leveranciers, serviceproviders en andere zakelijke partners ('U' of 'Leverancier') een uitgebreid schriftelijk informatiebeveiligingsprogramma onderhouden ('Informatiebeveiligingsprogramma'), dat technische, fysieke en organisatorische maatregelen bevat om de vertrouwelijkheid, veiligheid, integriteit en beschikbaarheid van informatie te waarborgen die door Logitech, de aan Logitech gelieerde ondernemingen en zijn en hun werknemers, vertegenwoordigers, aannemers, klanten en Leveranciers (gezamenlijk 'Logitech-gegevens') wordt verschaft en om te beschermen tegen onbevoegde toegang, gebruik, openbaarmaking, wijziging of vernietiging van Logitech-gegevens. Dit Informatiebeveiligingsprogramma is gekoppeld aan en door middel van verwijzing opgenomen in de overeenkomsten voor services ('Overeenkomsten') door en tussen de Logitech-entiteit die daarin wordt genoemd en U. Het Informatiebeveiligingsprogramma omvat met name, maar is niet beperkt tot, de volgende maatregelen, indien van toepassing of noodzakelijk om de bescherming van Logitech-gegevens te garanderen:

• Toegangscontrole – Beleid, procedures en fysieke en technische controles:
  
  1. om fysieke toegang tot uw informatiesystemen en de faciliteit of faciliteiten waarin deze zijn ondergebracht te beperken tot correct geautoriseerde personen;
  2. om ervoor te zorgen dat alle leden van uw personeelsbestand die toegang tot Logitech-gegevens nodig hebben, correct gecontroleerde toegang hebben, en om te voorkomen dat die personeelsleden en anderen die geen toegang hebben, toegang krijgen;
  3. om alleen geautoriseerde personen te verifiëren en toegang te verlenen en te voorkomen dat uw personeel Logitech-gegevens of informatie daarover aan onbevoegde personen verstrekt; en
  4. om Logitech-gegevens waar nodig te versleutelen en te ontsleutelen.
• Beveiligingsbewustzijn en -training – Een programma voor beveiligingsbewustzijn en regelmatige training hierin voor al uw medewerkers (inclusief het management), inclusief training over hoe u uw Informatiebeveiligingsprogramma kunt implementeren en naleven.
• Procedures voor beveiligingsincidenten – Beleid en procedures om beveiligingsincidenten te detecteren, erop te reageren en anderszins aan te pakken, inclusief procedures om systemen te monitoren en om (pogingen tot) aanvallen op of inbreuken op Logitech-gegevens of informatiesystemen die daarmee verband houden te detecteren, en procedures om vermoedelijke of bekende beveiligingsincidenten te identificeren en aan te pakken, de schadelijke effecten van beveiligingsincidenten te beperken en de uitkomsten ervan te documenteren. Als U zich bewust wordt van enige omstandigheid die de verplichtingen van een Partij onder de wetten betreffende inbreuken op de beveiliging in werking kan stellen, zult U Logitech hiervan onmiddellijk schriftelijk op de hoogte stellen via securityincident@logitech.com en zult U volledig samenwerken met Logitech om Logitech in staat te stellen zijn verplichtingen onder de wetten betreffende inbreuken op de beveiliging uit te voeren.
• Noodplanning – Beleid en procedures voor het reageren op noodgevallen of andere gebeurtenissen (bijvoorbeeld brand, vandalisme, systeemstoringen en natuurrampen) die schade toebrengen aan Logitech-gegevens of systemen die Logitech-gegevens bevatten, inclusief een plan voor gegevensback-up en een noodherstelplan en het onmiddellijk versturen van een schriftelijke kennisgeving aan Logitech via securityincident@logitech.com.
• Apparaat- en mediabediening – Beleid en procedures voor hardware en elektronische media die Logitech-gegevens bevatten en die van en naar uw faciliteiten en binnen uw faciliteiten worden verplaatst, inclusief beleid en procedures om de definitieve verwijdering van Logitech-gegevens aan te pakken, en/of de hardware of elektronische media waarop deze zijn opgeslagen, en procedures voor het verwijderen van Logitech-gegevens van elektronische media voordat de media beschikbaar worden gesteld voor hergebruik. U zult ervoor zorgen dat er geen Logitech-gegevens worden gedownload of anderszins worden opgeslagen op laptops of andere draagbare apparaten, tenzij deze zijn onderworpen aan alle hierin vereiste beveiligingen. Dergelijke beschermende maatregelen omvatten, maar zijn niet beperkt tot, alle apparaten die toegang hebben tot Logitech-gegevens, en worden versleuteld en maken gebruik van up-to-date anti-malwaredetectiesoftware.
• Auditcontroles – Hardware, software, services, platforms en/of procedurele mechanismen die activiteiten registreren en onderzoeken in informatiesystemen die elektronische informatie bevatten of gebruiken, inclusief passende logboeken en rapporten met betrekking tot deze beveiligingsvereisten en de naleving ervan..
• Beleid en procedures – Beleid en procedures om de vertrouwelijkheid, integriteit en beschikbaarheid van Logitech-gegevens te waarborgen en deze te beschermen tegen onbedoelde, onbevoegde of ongepaste openbaarmaking, gebruik, wijziging of vernietiging.
• Beveiliging van opslag en verzending – Technische beveiligingsmaatregelen ter bescherming tegen onbevoegde toegang tot Logitech-gegevens die via een elektronisch communicatienetwerk worden verzonden, inclusief een mechanisme om Logitech-gegevens in elektronische vorm te versleutelen tijdens verzending en in opslag op netwerken of systemen waartoe onbevoegde personen mogelijk toegang hebben.
• Toegewezen beveiligingsverantwoordelijkheid – U wijst een beveiligingsfunctionaris aan die verantwoordelijk is voor de ontwikkeling, de implementatie en het onderhoud van uw Informatiebeveiligingsprogramma.
• Fysieke opslagmedia – Beleid en procedures om ervoor te zorgen dat u, voordat opslagmedia met Logitech-gegevens worden toegewezen of opnieuw worden toegewezen aan een andere gebruiker, of voordat dergelijke opslagmedia permanent uit een faciliteit worden verwijderd, deze veilig verwijdert in overeenstemming met Sectie 2.3. (e) (dergelijke Logitech-gegevens bezien vanuit zowel fysiek als logisch oogpunt), zodat de media geen resterende gegevens bevatten, of dergelijke opslagmedia indien nodig fysiek vernietigt. U moet een controleerbaar programma bijhouden dat de verwijderings- en vernietigingsvereisten, zoals uiteengezet in deze Sectie, implementeert voor alle opslagmedia die Logitech-gegevens bevatten..
• Testen – U moet de belangrijkste beheersmaatregelen, systemen en procedures van Uw Informatiebeveiligingsprogramma regelmatig testen om ervoor te zorgen dat ze correct worden geïmplementeerd en effectief zijn bij het aanpakken van de geïdentificeerde bedreigingen en risico's. Tests moeten worden uitgevoerd of beoordeeld door onafhankelijke derden of personeel dat onafhankelijk is van degenen die de beveiligingsprogramma's ontwikkelen of onderhouden.
• Het programma up-to-date houden – U moet het informatiebeveiligingsprogramma controleren, evalueren en, waar nodig, aanpassen in het licht van alle relevante veranderingen in technologie of industriële beveiligingsnormen, de gevoeligheid van de Logitech-gegevens, interne of externe bedreigingen voor u of de Logitech-gegevens, en uw eigen veranderende zakelijke omstandigheden, zoals fusies en overnames, allianties en joint ventures, uitbestedingsregelingen en wijzigingen in informatiesystemen.
   

Meer specifiek moet het Informatiebeveiligingsprogramma van de leverancier minimaal aan de volgende vereisten voldoen:

1. TOEPASSINGSGEBIED; DEFINITIES

1.1. Beveiligingsbeleid. De Leverancier moet in alle opzichten voldoen aan de Logitech-vereisten voor informatiebeveiliging die uiteen zijn gezet in deze Logitech-informatiebeveiligingsvereisten voor leveranciers (het 'Beveiligingsbeleid'). Het Beveiligingsbeleid is van toepassing op de prestaties van de Leverancier onder elke overeenkomst tussen de Leverancier en Logitech (de 'Overeenkomst') en alle toegang, verzameling, gebruik, opslag, verzending, openbaarmaking, vernietiging of verwijdering van en beveiligingsincidenten met betrekking tot Logitech-gegevens (zoals hieronder gedefinieerd). Dit Beveiligingsbeleid vormt geen beperking voor andere verplichtingen van de Leverancier, ook niet op grond van de Overeenkomst of met betrekking tot wetten die van toepassing zijn op de Leverancier, de prestaties van de Leverancier onder de Overeenkomst, de Logitech-gegevens of het Toegestane doel (zoals hieronder gedefinieerd). Voor zover dit Beveiligingsbeleid rechtstreeks in strijd is met de Overeenkomst, zal de Leverancier Logitech onmiddellijk op de hoogte stellen van de strijdigheid en voldoen aan de vereiste die meer beperkend is en meer beschermend is voor Logitech-gegevens (die door Logitech kunnen worden aangewezen).

1.2. Definities.

1. 'Gelieerde onderneming' betekent, met betrekking tot een bepaalde persoon, elke entiteit die direct of indirect de controle heeft over, onder zeggenschap staat van of onder gemeenschappelijke controle staat met een dergelijke persoon.
2. 'Samenvoegen' betekent het combineren of opslaan van Logitech-informatie met gegevens of informatie van de Leverancier of een derde partij.
3. 'Anonimiseren' betekent het gebruiken, verzamelen, opslaan, verzenden of transformeren van gegevens of informatie (inclusief Logitech-informatie) op een manier of in een vorm die geen identificatie biedt of mogelijk maakt van en niet anderszins kan worden toegeschreven aan een gebruiker, apparaat-ID, bron, product, service, context, merk of Logitech of zijn gelieerde ondernemingen.
4. 'Logitech-informatie' betekent, individueel en collectief: (a) alle Vertrouwelijke informatie van Logitech (zoals gedefinieerd in de Overeenkomst of in de geheimhoudingsovereenkomst tussen de partijen); (b) alle andere gegevens, records, bestanden, inhoud of informatie, in welke vorm dan ook, verkregen, geopend, verzameld, ontvangen, opgeslagen of onderhouden door de Leverancier of zijn Gelieerde ondernemingen van of namens Logitech of zijn Gelieerde ondernemingen, of anderszins in verband met de Overeenkomst, de dienstverlening op grond van de Overeenkomst, of de uitvoering of uitoefening van rechten door partijen uit hoofde van of in verband met de Overeenkomst; en (c) afgeleid van (a) of (b), zelfs indien geanonimiseerd.
   
   

1.3. Toegestaan doel.
Behalve zoals uitdrukkelijk geautoriseerd ​​op grond van de Overeenkomst, mag de Leverancier alleen de Logitech-gegevens openen, verzamelen, gebruiken, opslaan en verzenden zoals uitdrukkelijk toegestaan ​​op grond van de Overeenkomst en uitsluitend voor het leveren van de services onder de Overeenkomst, in overeenstemming met de licenties (indien van toepassing) verleend onder de Overeenkomst (het 'Toegestane doel'). Behalve zoals uitdrukkelijk geautoriseerd op grond van de Overeenkomst, zal de Leverancier geen Logitech-gegevens openen, verzamelen, gebruiken, opslaan of verzenden, en Logitech-gegevens niet samenvoegen, zelfs niet als deze geanonimiseerd zijn. Behalve met de voorafgaande uitdrukkelijke schriftelijke toestemming van Logitech, zal de Leverancier (A) geen Logitech-informatie overdragen, verhuren, ruilen, verhandelen, verkopen, uitlenen, leasen of anderszins distribueren of beschikbaar stellen aan derden of (B) Logitech-informatie samenvoegen met alle andere informatie of gegevens, zelfs als deze geanonimiseerd zijn.

2. BEVEILIGINGSBELEID

2.1. Basisbeveiligingsvereisten. De Leverancier zal, in overeenstemming met de huidige beste branchenormen en andere vereisten die door Logitech zijn gespecificeerd op basis van de classificatie en gevoeligheid van Logitech-informatie, fysieke, administratieve en technische veiligheidsmaatregelen en andere veiligheidsmaatregelen treffen (A) om de veiligheid en vertrouwelijkheid van Logitech-informatie te handhaven, die wordt geopend, verzameld, gebruikt, opgeslagen of verzonden door de Leverancier, en (B) om die informatie te beschermen tegen bekende of redelijkerwijs te verwachten bedreigingen of gevaren voor de veiligheid en integriteit, onopzettelijk verlies, wijziging, openbaarmaking en alle andere onwettige vormen van verwerking. De Leverancier zal zonder enige beperking aan de volgende vereisten voldoen:

1. Firewall. De Leverancier installeert en onderhoudt een werkende netwerkfirewall om gegevens die toegankelijk zijn via internet te beschermen en zorgt dat alle Logitech-gegevens te allen tijde door de firewall worden beschermd.
2. Updates. De Leverancier houdt zijn systemen en software up-to-date met de nieuwste upgrades, updates, bugfixes, nieuwe versies en andere wijzigingen die nodig zijn om de beveiliging van de Logitech-gegevens te garanderen.
3. Anti-malware. De Leverancier zal te allen tijde anti-malwaresoftware gebruiken en de anti-malwaresoftware up-to-date houden. De Leverancier zal de bedreigingen van alle virussen, spyware en andere kwaadaardige code die zijn gedetecteerd of redelijkerwijs hadden moeten worden gedetecteerd, beperken.
4. Versleuteling. De Leverancier versleutelt ongebruikte gegevens en gegevens die via open netwerken worden verzonden in overeenstemming met best practices uit de branche.
5. Testen. De Leverancier test zijn beveiligingssystemen en -processen regelmatig om er zeker van te zijn dat deze voldoen aan de vereisten van dit Beveiligingsbeleid.
6. Toegangscontrole. De Leverancier zal Logitech-informatie beveiligen, onder meer door te voldoen aan de volgende vereisten:
   
   1. De Leverancier wijst een unieke ID toe aan elke persoon met computertoegang tot Logitech-informatie.
   2. De Leverancier zal de toegang tot Logitech-informatie beperken tot alleen die mensen met een 'need-to-know' voor een Toegestaan ​​doel.
   3. De Leverancier controleert regelmatig de lijst met personen en services met toegang tot Logitech-gegevens en verwijdert accounts (of adviseert Logitech om accounts te verwijderen) waarvoor geen toegang meer nodig is. Deze controle moet ten minste eenmaal per 90 dagen worden uitgevoerd.
   4. De Leverancier gebruikt geen standaardinstellingen van de fabrikant voor systeemwachtwoorden en andere beveiligingsparameters op besturingssystemen, software of andere systemen. De Leverancier verplicht en verzekert het gebruik van door het systeem afgedwongen 'sterke wachtwoorden' in overeenstemming met de best practices (hieronder beschreven) op alle systemen die Logitech-gegevens hosten, opslaan, verwerken of toegang hebben tot Logitech-gegevens, en vereist dat toegangsgegevens vertrouwelijk worden behandeld en niet worden gedeeld met het personeel. Wachtwoorden moeten aan de volgende criteria voldoen: minimaal 12 tekens bevatten; komen niet overeen met eerdere wachtwoorden, de login van de gebruiker of de algemene naam; moeten worden gewijzigd wanneer wordt vermoed of aangenomen dat een account gecompromitteerd is; en worden na maximaal 90 dagen regelmatig vervangen.
   5. De leverancier zal 'accountvergrendeling' handhaven en afdwingen door accounts met toegang tot Logitech-informatie uit te schakelen wanneer een account meer dan 10 opeenvolgende onjuiste wachtwoordpogingen doet.
   6. Behalve waar uitdrukkelijk schriftelijk geautoriseerd door Logitech, zal de Leverancier de Logitech-informatie te allen tijde isoleren (inclusief bij opslag, verwerking of verzending) van de informatie van de Leverancier en van derden.
   7. Als Logitech schriftelijk om aanvullende fysieke toegangscontrole verzoekt, zal de Leverancier deze veilige fysieke toegangscontrolemaatregelen implementeren en toepassen.
   8. De Leverancier verstrekt Logitech op jaarbasis of vaker op verzoek van Logitech (1) logboekgegevens over al het gebruik (zowel geautoriseerd als ongeautoriseerd) van Logitech-accounts of inloggegevens die aan de Leverancier zijn verstrekt voor gebruik namens Logitech (bijv. voor socialmedia-account) en (2) gedetailleerde logboekgegevens over elke impersonatie van of poging tot impersonatie van Logitech-personeel of personeel van Leverancier met toegang tot Logitech-informatie.
   9. De leverancier controleert regelmatig de toegangslogboeken op tekenen van kwaadaardig gedrag of ongeautoriseerde toegang.
7. Leveranciersbeleid. De Leverancier zal een informatie- en netwerkbeveiligingsbeleid handhaven en afdwingen voor werknemers, subcontractanten, vertegenwoordigers en Leveranciers dat voldoet aan de normen die in dit beleid uiteengezet zijn, inclusief methoden om beleidsschendingen op te sporen en te registreren. Op verzoek van Logitech zal de Leverancier aan Logitech informatie verstrekken over schendingen van het informatie- en netwerkbeveiligingsbeleid van de Leverancier, zelfs als dit geen Beveiligingsincident vormt.
8. Subcontract. De Leverancier zal zijn verplichtingen onder dit Beveiligingsbeleid niet uitbesteden of delegeren aan subcontractanten zonder de voorafgaande schriftelijke toestemming van Logitech. Niettegenstaande het bestaan of de voorwaarden van een subcontract of delegatie, blijft de Verkoper verantwoordelijk voor de volledige uitvoering van zijn verplichtingen onder dit Beveiligingsbeleid. De algemene voorwaarden van dit Beveiligingsbeleid zijn bindend voor de subcontractanten en het personeel van de Leverancier. Leverancier (a) zorgt ervoor dat de subcontractanten en het personeel van de Leverancier dit Beveiligingsbeleid naleven, en (b) is verantwoordelijk voor alle handelingen, nalatigheden en wangedrag van zijn subcontractanten en personeel, inclusief (indien van toepassing) overtreding van enige wet, regel of regelgeving.
9. Toegang op afstand. De Leverancier zorgt ervoor dat voor elke toegang vanaf externe beschermde bedrijfs- of productieomgevingen tot systemen met Logitech-informatie of de bedrijfs- of ontwikkelingswerkstationnetwerken van de Leverancier meervoudige authenticatie vereist is (vereist bijvoorbeeld ten minste twee afzonderlijke factoren voor het identificeren van gebruikers).
10. Personeel van de leverancier. Logitech kan de toegang tot Logitech-informatie door Leverancierspersoneel afhankelijk stellen van de uitvoering en levering aan Logitech van individuele geheimhoudingsovereenkomsten, waarvan de vorm door Logitech is gespecificeerd. Indien vereist door Logitech, verzoekt Logitech dat het personeel van de Leverancier de individuele geheimhoudingsovereenkomst ondertekent. De Leverancier verkrijgt en levert aan Logitech ondertekende individuele geheimhoudingsovereenkomsten van het personeel van de Leverancier dat toegang zal hebben tot de Logitech-informatie (voorafgaand aan het verlenen van toegang of het verstrekken van informatie aan het personeel van de Leverancier). De Leverancier zal ook (a) de lijst met Leverancierspersoneel dat toegang heeft gekregen tot de Logitech-informatie op verzoek binnen een overeengekomen tijdsbestek verstrekken, en (b) uiterlijk 24 uur nadat specifiek individueel Leverancierspersoneel geautoriseerd is om toegang te krijgen tot de Logitech-gegevens, Logitech hiervan op de hoogte stellen. Logitech-informatie in overeenstemming met deze Sectie: (y) heeft geen toegang meer tot Logitech-informatie nodig of (z) kwalificeert niet langer als leverancierspersoneel (het personeel verlaat bijvoorbeeld het dienstverband van de leverancier).
     

2.2. Toegang tot het Logitech-extranet en Leveranciersportals.. Logitech kan Leveranciers toegang verlenen tot Logitech-informatie via webportals of andere niet-openbare websites of extranetservices op de website of het systeem van Logitech of een derde partij (beide een 'Extranet') voor het Toegestane doeleinde. Als Logitech de Leverancier toegang geeft tot Logitech-gegevens via een Extranet, moet de Leverancier aan de volgende vereisten voldoen:

1. Toegestaan doel. De Leverancier en zijn personeel hebben toegang tot het Extranet en het verzamelen, gebruiken, bekijken, ophalen, downloaden of opslaan van Logitech-gegevens van het Extranet, uitsluitend voor het Toegestane doel.
2. Accounts. De Leverancier zorgt ervoor dat het personeel van de Leverancier alleen de Extranet-accounts gebruikt die door Logitech aan elke persoon zijn toegewezen en vereist dat het personeel van de Leverancier zijn/haar toegangsgegevens vertrouwelijk houdt.
3. Systemen. De Leverancier heeft alleen toegang tot het Extranet via computer- of verwerkingssystemen of applicaties met besturingssystemen die door de Leverancier worden beheerd en die het volgende omvatten: (i) systeemnetwerkfirewalls in overeenstemming met Sectie 2.1(A) (Firewall); (ii) gecentraliseerd patchbeheer in overeenstemming met Sectie 2.1(B) (Updates); (iii) geschikte anti-malwaresoftware voor het besturingssysteem in overeenstemming met Sectie 2.1(C) (Anti-malware); en (iv) voor draagbare apparaten, volledige schijfversleuteling.
4. Beperkingen. Behalve indien vooraf schriftelijk goedgekeurd door Logitech, zal de Leverancier geen Logitech-informatie van een extranet downloaden, spiegelen of permanent opslaan op welk medium dan ook, inclusief computers, apparaten of servers.
5. Accountbeëindiging. De Leverancier beëindigt het account van elk personeelslid van de Leverancier en stelt Logitech uiterlijk 24 uur op de hoogte nadat specifiek personeel van de Leverancier dat geautoriseerd is voor toegang tot extranet (a) geen toegang meer nodig heeft tot Logitech-gegevens, (b) niet langer in aanmerking komt als Leverancierspersoneel (bijv. het personeel verlaat het dienstverband van de Leverancier) of (c) gedurende 30 dagen of langer geen toegang meer heeft gehad tot Logitech-gegevens.
6. Systemen van derden.
   
   1. De Leverancier zal Logitech vooraf inlichten en de voorafgaande schriftelijke toestemming van Logitech verkrijgen alvorens gebruik te maken van een systeem van een derde partij dat Logitech-informatie opslaat of er op een andere manier toegang toe kan hebben, tenzij (a) de gegevens versleuteld zijn in overeenstemming met dit Beveiligingsbeleid, en (b) het externe systeem geen toegang heeft tot de decoderingssleutel of niet-versleutelde 'platte tekst'-versies van de gegevens. Logitech behoudt zich het recht voor om een Logitech-beveiligingsbeoordeling (in overeenstemming met Sectie 2.5 hieronder) van het systeem van een derde partij te eisen voordat goedkeuring wordt gegeven.
   2. Als de Leverancier systemen van derden gebruikt die niet-versleutelde Logitech-gegevens opslaan of er anderszins toegang toe hebben, moet de Leverancier een beveiligingsbeoordeling van de systemen van derden en hun beveiligingscontroles uitvoeren en aan Logitech periodieke rapportage verstrekken over de beveiligingscontroles van de systemen van derden in de indeling verzocht door Logitech (bijv. SAS 70, SSAE 16 of een vervolgrapport), of een ander erkend rapport dat voldoet aan de branchenorm, goedgekeurd door Logitech.
       

2.3. Bewaring en vernietiging van gegevens.

1. Bewaring. De Leverancier bewaart Logitech-gegevens alleen voor en zolang als nodig is voor het Toegestane doel.
2. Retourneren of verwijderen. De Leverancier zal onmiddellijk (maar binnen 10 dagen na het verzoek van Logitech) alle Logitech-gegevens aan Logitech retourneren en definitief en veilig verwijderen op basis van en in overeenstemming met de kennisgeving van Logitech dat retournering en/of verwijdering vereist is. De Leverancier zal ook definitief en veilig alle live (online of via het netwerk toegankelijke) exemplaren van de Logitech-gegevens verwijderen binnen 90 dagen na de voltooiing van het Toegestane doel of de beëindiging of het verstrijken van de Overeenkomst, tenzij wettelijk verplicht om deze te bewaren. Op verzoek van Logitech bevestigt de Leverancier schriftelijk dat alle Logitech-gegevens zijn vernietigd.
3. Archiefkopieën. Als de Leverancier wettelijk verplicht is archiefkopieën van Logitech-informatie te bewaren voor fiscale of soortgelijke regelgevende doeleinden, moet deze gearchiveerde Logitech-informatie op een van de volgende manieren worden opgeslagen: als een 'koude' of offline (d.w.z. niet beschikbaar voor onmiddellijk of interactief gebruik) back-up opgeslagen in een fysiek beveiligde faciliteit; of versleuteld, waarbij het systeem dat de versleutelde bestanden host of opslaat geen toegang heeft tot een kopie van de sleutel(s) die voor de versleuteling worden gebruikt.
4. Herstel. Als de Leverancier een 'herstel' uitvoert (d.w.z. terugkeren naar een back-up) met het oog op noodherstel, heeft en onderhoudt de Leverancier een proces dat ervoor zorgt dat alle Logitech-informatie die moet worden verwijderd op grond van de Overeenkomst of dit Beveiligingsbeleid, opnieuw wordt verwijderd of overschreven uit de herstelde gegevens in overeenstemming met deze Sectie 2.3 binnen 24 uur nadat het herstel heeft plaatsgevonden. Als de Leverancier voor welk doel dan ook herstelt, mogen Logitech-gegevens niet worden hersteld naar systemen of netwerken van derden zonder de voorafgaande schriftelijke toestemming van Logitech. Logitech behoudt zich het recht voor om een Logitech-beveiligingsbeoordeling te eisen (in overeenstemming met Sectie 2.5 hieronder) van het systeem of netwerk van derden voordat Logitech-gegevens worden hersteld naar een systeem of netwerk van derden.
5. Verwijderingsnormen. Alle Logitech-informatie die door de leverancier wordt verwijderd, wordt verwijderd in overeenstemming met de NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation, 18 december 2014 (beschikbaar op https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization) of andere standaarden die Logitech vereist op basis van de classificatie en gevoeligheid van de Logitech-informatie.
    

2.4. Forensische vernietiging. Alvorens zich op welke manier dan ook te ontdoen van hardware, software of andere media die Logitech-informatie bevat of ooit heeft bevat, zal de Leverancier een volledige forensische vernietiging van de hardware, software of andere media uitvoeren, zodat geen van de Logitech-informatie kan worden hersteld of teruggehaald in welke vorm dan ook. De Leverancier zal forensische vernietiging uitvoeren in overeenstemming met de normen die Logitech kan vereisen op basis van de classificatie en gevoeligheid van de Logitech-informatie. De Leverancier zal op verzoek van Logitech een certificaat van vernietiging verstrekken.

1. De Leverancier zal geen hardware, software of andere media die Logitech-informatie bevat(ten) die niet forensisch is of zijn vernietigd door Leverancier, verkopen, doorverkopen, schenken, opknappen of anderszins overdragen (met inbegrip van de verkoop of overdracht van dergelijke hardware, software of andere media, enige beschikking in verband met een liquidatie van het bedrijf van Leverancier, of enige andere beschikking).
    

2.5. Beveiligingsbeoordeling.

1. Vragenlijst voor risicobeoordeling. Logitech vereist dat alle leveranciers een leveranciersrisicobeoordeling ondergaan. Deze wordt geactiveerd door actuele antwoorden te geven op de vragen in de Logitech-vragenlijst voor risicobeoordeling, maar dit kan vaker gebeuren op basis van het ingeschatte risico van de leverancier.
2. Certificering. Op schriftelijk verzoek van Logitech zal de Leverancier aan Logitech schriftelijk bevestigen dat deze zich aan deze Overeenkomst houdt.
3. Andere beoordelingen. Logitech behoudt zich het recht voor om periodiek de beveiliging te controleren van systemen die de Leverancier gebruikt om Logitech-gegevens te verwerken. De Leverancier zal redelijkerwijs meewerken en Logitech alle vereiste informatie verstrekken binnen een redelijke termijn, maar niet meer dan 20 kalenderdagen vanaf de datum van het verzoek van Logitech.
4. Herstel. Als een beveiligingsonderzoek geconstateerde tekortkomingen aan het licht brengt, zal de Leverancier, op eigen kosten, alle acties ondernemen die nodig zijn om deze tekortkomingen binnen een overeengekomen tijdsbestek aan te pakken.
    

2.6. Beveiligingsinbreuk.

1. De Leverancier zal Logitech via securityincident@logitech.com zonder onnodige vertraging (niet langer dan 24 uur) op de hoogte stellen van een Beveiligingsinbreuk zoals gedefinieerd door de toepasselijke wetgeving (i) die Logitech-gegevens omvat, of (ii) die door de Leverancier worden beheerd met controles die in wezen vergelijkbaar zijn met controles die Logitech-gegevens beschermen (elk een 'Beveiligingsinbreuk'). De Leverancier zal elke Beveiligingsinbreuk tijdig verhelpen en Logitech schriftelijke details verstrekken over het interne onderzoek van de Leverancier met betrekking tot elk Beveiligingsincident. De leverancier stemt ermee in om namens Logitech geen enkele regelgevende instantie of klant op de hoogte te stellen, tenzij Logitech uitdrukkelijk schriftelijk verzoekt dat de leverancier dit doet en Logitech behoudt zich het recht voor om de vorm en inhoud van een kennisgeving te beoordelen en goed te keuren voordat deze aan een partij wordt verstrekt . De Leverancier zal redelijkerwijs samenwerken met Logitech om een plan te formuleren en uit te voeren om alle bevestigde Beveiligingsincidenten te corrigeren.
2. De Leverancier zal Logitech zonder onnodige vertraging (niet langer dan 24 uur) op de hoogte brengen wanneer Logitech-informatie wordt opgevraagd in antwoord op een gerechtelijke procedure of door de toepasselijke wetgeving.