Krav til leverandørinformasjonssikkerhet

GÅ TIL HOVEDINNHOLD
Pangea temporary hotfixes here

Krav til informasjonssikkerhet for Logitech-leverandører

Logitech Europe SA. og alle dets datterselskaper og tilknyttede selskaper (samlet «Logitech») krever at alle dets leverandører, tjenesteleverandører og andre forretningspartnere («du» eller «leverandør») overholder et omfattende skriftlig informasjonssikkerhetsprogram («informasjonssikkerhetsprogram») som inkluderer tekniske, fysiske og organisatoriske tiltak for å sikre konfidensialitet, sikkerhet, integritet og tilgjengelighet av informasjon levert av Logitech, Logitechs tilknyttede selskaper, og dets og deres ansatte, representanter, kontraktører, kunder og leverandører (samlet «Logitech-data»») og beskytte mot uautorisert tilgang, bruk, avsløring, endring eller destruering av Logitech-data. Dette informasjonssikkerhetsprogrammet er knyttet til, og innlemmet ved henvisning til, avtalene for tjenester («avtaler») av og mellom Logitech-enheten som er navngitt deri og deg. Spesielt skal informasjonssikkerhetsprogrammet inkludere, men ikke være begrenset til, følgende tiltak der det er hensiktsmessig eller nødvendig for å sikre beskyttelsen av Logitech-data:

  • Tilgangskontroller – retningslinjer, prosedyrer samt fysiske og tekniske kontroller:
    1. å begrense fysisk tilgang til informasjonssystemene og anlegget eller fasilitetene de er plassert i til korrekt autoriserte personer,
    2. å sikre at alle medlemmer av arbeidsstyrken som trenger tilgang til Logitech-data har egnet kontrollert tilgang og forhindre at de ansatte i arbeidsstyrken og andre som ikke skal ha tilgang, får tilgang,
    3. å godkjenne og tillate tilgang kun til autoriserte personer og forhindre at medlemmer av arbeidsstyrken oppgir Logitech-data eller relatert informasjon til uautoriserte personer og
    4. å kryptere og dekryptere Logitech-data ved behov.
  • Sikkerhetsbevissthet og opplæring – et sikkerhetsbevissthets- og opplæringsprogram for alle medlemmer av arbeidsstyrken (inkludert ledelsen) med jevne mellomrom, som inkluderer opplæring i hvordan man implementerer og overholder informasjonssikkerhetsprogrammet.
  • Prosedyrer for sikkerhetshendelser – retningslinjer og prosedyrer for å oppdage, reagere på og på annen måte håndtere sikkerhetshendelser, inkludert prosedyrer for å overvåke systemer og oppdage faktiske og forsøkte angrep på eller inntrenging i Logitech-data eller informasjonssystemer knyttet til disse, og prosedyrer for å identifisere og reagere på mistenkte eller kjente sikkerhetshendelser, redusere skadevirkninger av sikkerhetshendelser og dokumentere sikkerhetshendelser og deres utfall. Hvis du blir oppmerksom på omstendigheter som kan utløse en av partenes forpliktelser i henhold til lover om sikkerhetsbrudd, skal du umiddelbart gi skriftlig varsel til Logitech via securityincident@logitech.com og skal fullt ut samarbeide med Logitech for å gjøre det mulig for Logitech å utføre sine forpliktelser i henhold til lover om sikkerhetsbrudd.
  • Beredskapsplanlegging – retningslinjer og prosedyrer for å reagere på en nødsituasjon eller annen hendelse (for eksempel brann, hærverk, systemfeil og naturkatastrofer) som skader Logitech-data eller systemer som inneholder Logitech-data, inkludert en plan for sikkerhetskopiering av data og en katastrofegjenopprettingsplan og umiddelbart gi en skriftlig melding til Logitech via securityincident@logitech.com.
  • Enhets- og mediekontroller – retningslinjer og prosedyrer for maskinvare og elektroniske medier som inneholder Logitech-data inn og ut av anleggene dine, og flytting av disse elementene innenfor anleggene dine, inkludert retningslinjer og prosedyrer for å håndtere endelig avhending av Logitech-data, og/eller maskinvaren eller det elektroniske mediet som det er lagret på, og prosedyrer for fjerning av Logitech-data fra elektroniske medier før mediet gjøres tilgjengelig for gjenbruk. Du skal sørge for at ingen Logitech-data lastes ned eller på annen måte lagres på bærbare datamaskiner eller andre bærbare enheter med mindre de er underlagt all beskyttelsen som kreves heri. Slike beskyttelsestiltak skal inkludere, men ikke være begrenset til, at alle enheter som får tilgang til Logitech-data skal være kryptert og bruke oppdatert programvare for å hindre skadelig programvare.
  • Revisjonskontroller – maskinvare, programvare, tjenester, plattformer og/eller prosedyremekanismer som registrerer og undersøker aktivitet i informasjonssystemer som inneholder eller bruker elektronisk informasjon, inkludert relevante logger og rapporter angående disse sikkerhetskravene og overholdelse av disse.
  • Retningslinjer og prosedyrer – retningslinjer og prosedyrer for å sikre konfidensialitet, integritet og tilgjengelighet til Logitech-data og beskytte dem mot utilsiktet, uautorisert eller ukorrekt avsløring, bruk, endring eller destruering.
  • Lagrings- og overføringssikkerhet – tekniske sikkerhetstiltak for å beskytte mot uautorisert tilgang til Logitech-data som overføres over et elektronisk kommunikasjonsnettverk, inkludert en mekanisme for å kryptere Logitech-data i elektronisk form under overføring og lagring på nettverk eller systemer som uautoriserte personer kan ha tilgang til.
  • Tildelt sikkerhetsansvar – du skal utpeke en sikkerhetsansvarlig som er ansvarlig for utvikling, implementering og vedlikehold av informasjonssikkerhetsprogrammet ditt.
  • Fysiske lagringsmedier – retningslinjer og prosedyrer for å sikre at før tildeling av lagringsmedier som inneholder Logitech-data blir tildelt, overført eller videreført til en annen bruker, eller før slike lagringsmedier blir permanent fjernet fra et anlegg, må du slette slike Logitech-data på trygg måte i samsvar med avsnitt 2.3 (e.) fra både et fysisk og logisk perspektiv, slik at mediet ikke inneholder gjenværende data, eller eventuelt ødelegge slike lagringsmedier fysisk. Du skal opprettholde et kontrollerbart program som implementerer deponerings- og destruksjonskravene som er angitt i denne delen for alle lagringsmedier som inneholder Logitech-data.
  • Testing – du skal regelmessig teste de viktige kontrollene, systemene og prosedyrene til informasjonssikkerhetsprogrammet for å sikre at de er riktig implementert og i stand til å håndtere de identifiserte truslene og risikoene. Det bør utføres eller gjennomgås tester av uavhengige tredjeparter eller ansatte som er noen andre enn dem som utvikler eller vedlikeholder sikkerhetsprogrammene.
  • Hold programmet oppdatert – du skal overvåke, evaluere og justere, etter behov, informasjonssikkerhetsprogrammet i lys av relevante endringer i teknologi eller industrisikkerhetsstandarder, sensitiviteten til Logitech-dataene, interne eller eksterne trusler mot deg eller Logitech-dataene, og dine egne endrede forretningsordninger, som fusjoner og oppkjøp, allianser og joint ventures, outsourcing-ordninger og endringer i informasjonssystemer.
     

Mer spesifikt skal leverandørens informasjonssikkerhetsprogram oppfylle eller overgå følgende krav:

1. OMFANG, DEFINISJONER

1.1. Sikkerhetspolicy. Leverandøren skal i alle henseender overholde Logitechs informasjonssikkerhetskrav som er angitt i disse Logitechs informasjonssikkerhetskrav for leverandører («sikkerhetspolicyen»). Sikkerhetspolicyen gjelder for leverandørens ytelse under enhver avtale mellom leverandøren og Logitech («avtalen») og all tilgang, innsamling, bruk, lagring, overføring, avsløring, destruering eller sletting av samt sikkerhetshendelser angående Logitech-informasjon (som definert nedenfor) . Denne sikkerhetspolicyen begrenser ikke andre forpliktelser for leverandøren, inkludert under avtalen eller med hensyn til lover som gjelder leverandøren, leverandørens ytelse i henhold til avtalen, Logitech-informasjonen eller det tillatte formålet (som definert nedenfor). I den grad denne sikkerhetspolicyen er direkte i konflikt med avtalen, må leverandøren umiddelbart varsle Logitech om konflikten og overholde kravet som er mer restriktivt og mer beskyttende for Logitech-informasjon (som kan utpekes av Logitech).

1.2. Definisjoner.

  1. «Tilknyttet» betyr, med hensyn til en bestemt person, enhver enhet som direkte eller indirekte kontrollerer, kontrolleres av eller er under felles kontroll med en slik person.
  2. «Aggregere» betyr å kombinere eller lagre Logitech-informasjon med data eller informasjon fra leverandøren eller en tredjepart.
  3. «Anonymisere» betyr å bruke, samle inn, lagre, overføre eller transformere data eller informasjon (inkludert Logitech-informasjon) på en måte eller form som ikke identifiserer, tillater identifikasjon av eller på annen måte kan tilskrives noen bruker, enhetsidentifikator, kilde , produkt, tjeneste, kontekst, merkevare eller Logitech eller dets tilknyttede selskaper.
  4. «Logitech-informasjon» betyr, individuelt og samlet: (a) all Logitech-konfidensiell informasjon (som definert i avtalen eller i taushetserklæringen mellom partene), (b) alle andre data, dokumenter, filer, innhold eller informasjon, uansett form eller format, anskaffet, tilgang til, samlet inn, mottatt, lagret eller vedlikeholdt av leverandøren eller dets tilknyttede selskaper fra eller på vegne av Logitech eller dets tilknyttede selskaper, eller på annen måte i forbindelse med avtalen, tjenestene som tilbys under avtalen, eller partenes utøvelse av eller utøvelse av rettigheter under eller i forbindelse med avtalen og (c) avledet fra (a) eller (b), selv om det er anonymisert.

1.3. Tillatt formål.
Med unntak av det som er uttrykkelig autorisert i henhold til avtalen, kan leverandøren få tilgang til, samle inn, bruke, lagre og overføre kun Logitech-informasjonen som er uttrykkelig autorisert i henhold til avtalen og utelukkende med det formål å tilby tjenestene under avtalen, i samsvar med lisensene (hvis noen) gitt i henhold til avtalen («det tillatte formålet»). Med unntak av det som er uttrykkelig autorisert i henhold til avtalen, skal ikke leverandøren aksessere, samle inn, bruke, lagre eller overføre Logitech-informasjon og skal ikke samle Logitech-informasjon, selv om den er anonymisert. Med unntak av Logitechs skriftlige forhåndssamtykke, skal ikke leverandøren (A) overføre, leie ut, bytte, handle, selge, leie ut, låne ut, lease eller på annen måte distribuere eller gjøre tilgjengelig for noen tredjepart noen Logitech-informasjon eller (B) aggregert Logitech-informasjon med annen informasjon eller data, selv i anonymisert form.

2. SIKKERHETSPOLICY

2.1. Grunnleggende sikkerhetskrav. Leverandøren skal, i samsvar med gjeldende beste bransjestandarder og slike andre krav spesifisert av Logitech basert på klassifiseringen og sensitiviteten til Logitech-informasjon, opprettholde fysiske, administrative og tekniske sikkerhetstiltak (A) for å opprettholde sikkerheten og konfidensialiteten til Logitech-informasjonen sin er samlet inn, brukt, lagret eller overført av leverandøren og (B) for å beskytte denne informasjonen mot kjente eller rimelig antatte trusler eller farer for dens sikkerhet og integritet, utilsiktet tap, endring, avsløring og alle andre ulovlige former for behandling. Uten begrensning skal leverandøren overholde følgende krav:

  1. Brannmur. Leverandøren skal installere og vedlikeholde en fungerende nettverksbrannmur for å beskytte data tilgjengelig via Internett og skal til enhver tid holde all Logitech-informasjon beskyttet av brannmuren.
  2. Oppdateringer. Leverandøren skal holde sine systemer og programvare oppdatert med de siste oppgraderingene, oppdateringene, feilrettingene, nye versjoner og andre modifikasjoner som er nødvendige for å sikre sikkerheten til Logitech-informasjonen.
  3. Beskyttelse mot skadelig programvare. Leverandøren skal til enhver tid bruke programvare for beskyttelse mot skadelig programvare og holde beskyttelsen oppdatert. Leverandøren skal redusere trusler fra alle virus, spionprogrammer og annen skadelig kode som er eller med rimelighet burde vært oppdaget.
  4. Kryptering. Leverandøren skal kryptere inaktive data og data som sendes via åpne nettverk i samsvar med bransjens beste praksis.
  5. Testing. Leverandøren skal regelmessig teste sine sikkerhetssystemer og prosesser for å sikre at de oppfyller kravene i denne sikkerhetspolicyen.
  6. Tilgangskontroller. Leverandøren skal sikre Logitech-informasjon, blant annet ved å overholde følgende krav:
    1. Leverandøren skal tildele en unik ID for hver person med datamaskintilgang til Logitech-informasjon.
    2. Leverandøren skal begrense tilgangen til Logitech-informasjon til kun personer som «need-to-know» for et tillatt formål.
    3. Leverandøren skal jevnlig gjennomgå listen over personer og tjenester med tilgang til Logitech-informasjon og fjerne kontoer (eller råde Logitech til å fjerne kontoer) som ikke lenger krever tilgang. Denne gjennomgangen må utføres minst én gang hver 90. dag.
    4. Leverandøren skal ikke bruke produsentens standardinnstillinger for systempassord og andre sikkerhetsparametere på operativsystemer, programvare eller andre systemer. Leverandøren skal bemyndige og påse bruk av systempåtvungne «sterke passord» i samsvar med beste praksis (beskrevet nedenfor) på alle systemer som er vert for, lagrer, behandler eller som har eller kontrollerer tilgang til Logitech-informasjon, og skal kreve at alle passord og tilgangslegitimasjon holdes konfidensiell og ikke deles mellom personell. Passord må oppfylle følgende kriterier: inneholde minst 12 tegn, ikke samsvarer med tidligere passord, brukerens pålogging eller felles navn, må endres når det mistenkes eller antas en kompromittering av kontoen og skiftes ut regelmessig etter minst hver 90. dag.
    5. Leverandøren skal opprettholde og håndheve «kontosperring» ved å deaktivere kontoer med tilgang til Logitech-informasjon når en konto overskrider mer enn 10 påfølgende mislykkede passordforsøk.
    6. Med mindre det er uttrykkelig autorisert av Logitech skriftlig, skal leverandøren til enhver tid (inkludert ved lagring, behandling eller overføring) isolere Logitech-informasjon fra leverandørens og tredjeparters informasjon.
    7. Hvis ytterligere fysiske tilgangskontroller blir forespurt skriftlig av Logitech, skal leverandøren implementere og bruke disse sikre tiltakene for fysisk tilgangskontroll.
    8. Leverandøren skal årlig eller oftere på Logitechs forespørsel oppgi (1) loggdata om all bruk (både autorisert og uautorisert) av Logitechs kontoer eller legitimasjon gitt til leverandøren for bruk på vegne av Logitech (f.eks. sosiale medier-kontoer) legitimasjon) og (2) detaljerte loggdata om etterligning av, eller forsøk på å etterligne, Logitech-personell eller leverandørpersonell med tilgang til Logitech-informasjon.
    9. Leverandøren skal jevnlig gjennomgå tilgangslogger for tegn på ondsinnet oppførsel eller uautorisert tilgang.
  7. Leverandørpolicy. Leverandøren skal opprettholde og håndheve en informasjons- og nettverkssikkerhetspolicy for ansatte, underleverandører, agenter og leverandører som oppfyller standardene angitt i denne policyen, inkludert metoder for å oppdage og logge brudd på policyen. På forespørsel fra Logitech skal leverandøren gi Logitech informasjon om brudd på leverandørens retningslinjer for informasjon og nettverkssikkerhet, selv om det ikke utgjør en sikkerhetshendelse.
  8. Underleverandør. Leverandøren skal ikke subkontrahere eller delegere noen av sine forpliktelser under denne sikkerhetspolicyen til noen underleverandører uten Logitechs skriftlige forhåndssamtykke. Til tross for eksistensen eller vilkårene for eventuell underentreprise eller delegering, skal leverandøren fortsatt være ansvarlig for full oppfyllelse av sine forpliktelser i henhold til denne sikkerhetspolicyen. Vilkårene og betingelsene i denne sikkerhetspolicyen skal være bindende for leverandørens underleverandører og personell. Leverandøren (a) skal sikre at leverandørens underleverandører og personell overholder denne sikkerhetspolicyen og (b) være ansvarlig for alle handlinger, forsømmelser, uaktsomhet og overtredelser fra underleverandører og personell, inkludert (eventuelt) brudd på en lov, regel eller forskrift.
  9. Fjerntilgang. Leverandøren skal sikre at all tilgang fra eksterne beskyttede bedrifts- eller produksjonsmiljøer til systemer som inneholder Logitech-informasjon eller leverandørens bedrifts- eller utviklingsarbeidsstasjonsnettverk krever flerfaktorgodkjenning (krever f.eks. minst to separate faktorer for å identifisere brukere).
  10. Leverandørens personell. Logitech kan sette som betingelse for leverandørpersonellets tilgang til Logitech-informasjon at leverandørpersonellet fyller ut og overleverer Logitech et skjema for individuelle taushetserklæringer, utarbeidet av Logitech. Hvis Logitech krever det, vil Logitech be om at leverandørens personell fyller ut den individuelle taushetserklæringen. Leverandøren skal innhente og overlevere Logitech signerte individuelle taushetserklæringer fra leverandørpersonell som vil ha tilgang til Logitech-informasjonen (før tilgang eller informasjon gis til leverandørpersonell). Leverandøren skal også (a) gi denne listen over leverandørpersonell som har fått tilgang til eller mottatt Logitech-informasjonen til Logitech på forespørsel innen en avtalt tidsramme og (b) varsle Logitech senest 24 timer etter at spesifikt leverandørpersonell har fått tilgang til Logitech-informasjon i samsvar med denne delen: (y) trenger ikke lenger tilgang til Logitech-informasjon eller (z) kvalifiserer ikke lenger som leverandørpersonell (f.eks. personalet er ikke lenger ansatt av leverandøren).
     

2.2. Tilgang til Logitechs ekstranett og leverandørportaler. Logitech kan gi leverandører tilgang til Logitech-informasjon via nettportaler eller andre ikke-offentlige nettsteder eller ekstranetttjenester på Logitechs eller en tredjeparts nettsted eller system (som hver er et «ekstranett») for det tillatte formålet. Hvis Logitech gir leverandøren tilgang til Logitech-informasjon ved hjelp av et ekstranett, må leverandøren overholde følgende krav:

  1. Tillatt formål. Leverandøren og dens personell skal få tilgang til ekstranettet og aksessere, samle inn, bruke, se, hente, laste ned eller lagre Logitech-informasjon fra ekstranettet utelukkende for det tillatte formålet.
  2. Kontoer. Leverandøren skal sørge for at leverandørpersonell bare bruker ekstranettkontoen(e) som er utpekt for hver enkelt av Logitech og skal kreve at leverandørpersonell holder tilgangsinformasjonen sin konfidensiell.
  3. Systemer. Leverandøren skal kun få tilgang til ekstranettet gjennom databehandlings- eller prosesseringssystemer eller applikasjoner som kjører operativsystemer administrert av leverandøren og som inkluderer: (i) brannmurer for systemnettverk i samsvar med avsnitt 2.1(A) (Brannmur), (ii) sentralisert oppdateringsadministrasjon i samsvar med avsnitt 2.1(B) (Oppdateringer); (iii) passende beskyttelse mot skadelig programvare for operativsystemet i samsvar med avsnitt 2.1(C) (Beskyttelse mot skadelig programvare) og (iv) for bærbare enheter; full diskkryptering.
  4. Restriksjoner. Med mindre det er forhåndsgodkjent skriftlig av Logitech, skal ikke leverandøren laste ned, speile eller permanent lagre Logitech-informasjon fra noe ekstranett på noe medium, inkludert maskiner, enheter eller servere.
  5. Kontooppsigelse. Leverandøren skal avslutte kontoen til hver av leverandørens personell og varsle Logitech senest 24 timer etter at spesifikt leverandørpersonell som har fått tilgang til ekstranett (a) ikke lenger trenger tilgang til Logitech-informasjon, (b) ikke lenger kvalifiserer som leverandørpersonell (f.eks. slutter som ansatt hos leverandøren) eller (c) ikke lenger aksesserer Logitech-informasjon i 30 dager eller mer.
  6. Tredjepartssystemer.
    1. Leverandøren skal gi Logitech forhåndsvarsel og innhente Logitechs skriftlige forhåndsgodkjenning før de bruker et tredjepartssystem som lagrer eller på annen måte kan få tilgang til Logitech-informasjon, med mindre (a) dataene er kryptert i samsvar med denne sikkerhetspolicyen og (b) tredjepartssystemet ikke har tilgang til dekrypteringsnøkkelen eller ukrypterte «ren tekst»-versjoner av dataene. Logitech forbeholder seg retten til å kreve en Logitech-sikkerhetsgjennomgang (i samsvar med avsnitt 2.5 nedenfor) av tredjepartssystemet før det gis godkjenning.
    2. Hvis leverandøren bruker tredjepartssystemer som lagrer eller på annen måte kan få tilgang til ukryptert Logitech-informasjon, må leverandøren utføre en sikkerhetsgjennomgang av tredjepartssystemene og deres sikkerhetskontroller og skal gi Logitech periodisk rapportering om tredjepartssystemets sikkerhetskontroller i format fastsatt av Logitech (f.eks. SAS 70, SSAE 16 eller en etterfølgerrapport), eller annen anerkjent industristandardrapport godkjent av Logitech.
       

2.3. Oppbevaring og destruering av data.

  1. Oppbevaring. Leverandøren skal beholde Logitech-informasjon kun med henblikk på det tillatte formålet, og så lenge det er nødvendig for.
  2. Retur eller sletting. Leverandøren skal umiddelbart (og høyst 10 dager etter Logitechs forespørsel) returnere til Logitech og permanent og sikkert slette all Logitech-informasjon etter og i samsvar med Logitechs melding med krav om retur og/eller sletting. Leverandøren skal også permanent og sikkert slette alle direkteforekomster (online eller nettverkstilgjengelige) av Logitech-informasjonen innen 90 dager etter fullføring av det tillatte formålet eller oppsigelse eller utløp av avtalen, med mindre det er lovlig pålagt å beholde. Hvis Logitech ber om det, skal leverandøren bekrefte skriftlig at all Logitech-informasjon er destruert.
  3. Arkivkopier. Hvis leverandøren er lovpålagt å beholde arkivkopier av Logitech-informasjon for skattemessige eller lignende regulatoriske formål, må denne arkiverte Logitech-informasjonen lagres på en av følgende måter: som «kald» eller offline (dvs. ikke tilgjengelig for umiddelbar eller interaktiv bruk) sikkerhetskopi lagret i et fysisk sikkert anlegg, eller kryptert, der systemet som er vert for eller lagrer den/de krypterte filen(e) ikke har tilgang til en kopi av nøkkelen(e) som brukes til kryptering.
  4. Gjenoppretting. Hvis leverandøren utfører en «gjenoppretting» (dvs. går tilbake til en sikkerhetskopi) med formål om nødgjenoppretting, skal leverandøren ha på plass og vedlikeholde en prosess som sikrer at all Logitech-informasjon som kreves slettet i henhold til avtalen eller denne sikkerhetspolicyen, slettes på nytt eller overskrives fra de gjenopprettede dataene i samsvar med dette avsnitt 2.3 innen 24 timer etter gjenoppretting. Hvis leverandøren utfører en gjenoppretting for noe formål, kan ingen Logitech-informasjon gjenopprettes til noe tredjepartssystem eller nettverk uten Logitechs skriftlige forhåndsgodkjenning. Logitech forbeholder seg retten til å kreve en Logitech-sikkerhetsgjennomgang (i samsvar med avsnitt 2.5 nedenfor) av tredjepartssystemet eller nettverket før gjenoppretting av Logitech-informasjon til et tredjepartssystem eller nettverk tillates.
  5. Slettestandarder. All Logitech-informasjon slettet av leverandøren skal slettes i samsvar med NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation 18. desember 2014 (tilgjengelig på http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP .800-88r1.Logitech), eller slike andre standarder Logitech kan kreve basert på klassifiseringen og sensitiviteten til Logitech-informasjonen.
     

2.4. Rettsteknisk destruering. Før maskinvare, programvare eller andre medier som inneholder eller på noe tidspunkt har inneholdt Logitech-informasjon blir kassert på noen måte, skal leverandøren utføre en fullstendig rettsteknisk destruering av maskinvaren, programvaren eller andre medier slik at ingen av Logitech-informasjonen kan gjenopprettes eller hentes i noen som helst form. Leverandøren skal utføre rettsteknisk destruering i samsvar med standardene Logitech kan kreve basert på klassifiseringen og sensitiviteten til Logitech-informasjonen. Leverandøren skal fremlegge destruksjonsbevis på forespørsel fra Logitech.

  1. Leverandøren skal ikke selge, videreselge, donere, pusse opp eller på annen måte overføre (inkludert salg eller overføring av slik maskinvare, programvare eller andre medier, disposisjon i forbindelse med avvikling av leverandørens virksomhet eller annen disposisjon) maskinvare, programvare eller andre medier som inneholder Logitech-informasjon som ikke er rettsmedisinsk ødelagt av leverandøren.
     

2.5. Sikkerhetsevaluering.

  1. Spørreskjema om risikovurdering. Logitech krever at alle leverandører gjennomgår en leverandørrisikovurdering, som utløses ved å gi oppdaterte svar på Logitechs risikovurderingsspørreskjema, minst på årlig basis, men kan skje hyppigere basert på leverandørens vurderte risiko.
  2. Sertifisering. På Logitechs skriftlige forespørsel skal leverandøren bekrefte skriftlig overfor Logitech at den er i samsvar med denne avtalen.
  3. Andre evalueringer. Logitech forbeholder seg retten til med jevne mellomrom å gjennomgå sikkerheten til systemene som leverandøren bruker til å behandle Logitech-informasjon. Leverandøren skal med rimelighet samarbeide og gi Logitech all nødvendig informasjon innen en rimelig tidsramme, men ikke mer enn 20 kalenderdager fra datoen for Logitechs forespørsel.
  4. Utbedring. Hvis en sikkerhetsevaluering identifiserer vesentlige mangler, skal leverandøren, for egen utgift og kostnad, iverksette alle nødvendige tiltak for å utbedre disse manglene innen en avtalt tidsramme.
     

2.6. Sikkerhetsbrudd.

  1. Leverandøren skal informere Logitech via securityincident@logitech.com uten unødig forsinkelse (ikke mer enn 24 timer) om sikkerhetsbrudd som definert av gjeldende lov(er) (i) som omfatter Logitech-informasjon eller (ii) som administreres av leverandøren med kontroller som i det vesentlige ligner på de som beskytter Logitech-informasjon (som hver er et «sikkerhetsbrudd»). Leverandøren skal utbedre hvert sikkerhetsbrudd i tide og gi Logitech skriftlige detaljer om leverandørens interne undersøkelse angående hver sikkerhetshendelse. Leverandøren samtykker i å ikke varsle noen tilsynsmyndighet, eller noen kunde, på vegne av Logitech med mindre Logitech spesifikt ber leverandøren gjøre det, og Logitech forbeholder seg retten til å evaluere og godkjenne formen og innholdet for en varsling før den overleveres en part. . Leverandøren skal med rimelighet samarbeide med Logitech for å utarbeide og gjennomføre en plan for å utbedre alle bekreftede sikkerhetshendelser.
  2. Leverandøren skal informere Logitech uten unødig forsinkelse (ikke mer enn 24 timer) når Logitech-informasjon søkes som svar på rettslig prosess eller i henhold til gjeldende lov.