Wymagania dla dostawców w zakresie bezpieczeństwa informacji

PRZEJDŹ DO GŁÓWNEJ TREŚCI
Pangea temporary hotfixes here

Wymagania dla dostawców firmy Logitech w zakresie bezpieczeństwa informacji

Spółka Logitech Europe S.A. wraz ze wszystkimi podmiotami zależnymi oraz partnerami (dalej łącznie „Logitech”) wymaga od swoich dostawców, usługodawców oraz pozostałych partnerów biznesowych (dalej „Państwo” lub „Dostawca”) stosowania kompleksowego programu ochrony informacji pisemnych (dalej „Program ochrony informacji”), który obejmuje środki techniczne, materialne i organizacyjne mające na celu zagwarantować poufność, bezpieczeństwo, nienaruszalność i dostępność informacji podawanych przez firmę Logitech, jej partnerów, a także ich pracowników, przedstawicieli, wykonawców, klientów i Dostawców (dalej łącznie „Dane Logitech”) oraz do ochrony przed dostępem, wykorzystaniem, ujawnieniem, modyfikacją bądź zniszczeniem Danych Logitech w nieupoważniony sposób. Niniejszy Program ochrony informacji jest dołączony i włączony przez odniesienie do umów o świadczenie usług (dalej „Umowy”) pomiędzy podanymi w nich podmiotami Logitech oraz Państwem. Program ochrony informacji w szczególności musi uwzględniać, lecz nie być ograniczony do następujących środków odpowiednich lub koniecznych do zabezpieczenia Danych Logitech:

  • Środki kontroli dostępu – polityki, procedury oraz materialne i techniczne środki kontroli:
    1. w celu ograniczania fizycznego dostępu do Państwa systemów informacji i infrastruktury, w której są one przechowywane, do osób należycie upoważnionych;
    2. w celu zapewnienia, że wszystkie zatrudnione osoby wymagające dostępu do Danych Logitech mają ten dostęp odpowiednio kontrolowany, a osoby zatrudnione oraz pozostałe, które dostępu mieć nie powinny, nie będą miały do nich dostępu;
    3. w celu uwierzytelniania i udzielania dostępu wyłącznie osobom upoważnionym oraz zapobiegania udostępniania Danych Logitech bądź powiązanych informacji przez Państwa kadry osobom nieupoważnionym; oraz
    4. oraz do szyfrowania i odszyfrowywania Danych Logitech w stosownych przypadkach.
  • Świadomość w zakresie bezpieczeństwa i szkolenia – regularnie prowadzony program w zakresie podnoszenia świadomości na temat bezpieczeństwa i szkoleń dla wszystkich zatrudnionych osób (łącznie z kierownictwem), który obejmuje szkolenia w zakresie wdrażania i przestrzegania własnego Programu ochrony informacji.
  • Procedury na wypadek zdarzeń naruszających bezpieczeństwo – polityki i procedury wykrywania zdarzeń naruszających bezpieczeństwo, reagowania na nie oraz rozwiązywania ich w inny sposób, w tym procedury monitorowania systemów i wykrywania faktycznych ataków lub ich prób, albo włamań do Danych Logitech bądź powiązanych z nimi systemów informacyjnych; procedury identyfikacji podejrzanych i znanych zdarzeń naruszających bezpieczeństwo oraz reagowania na nie, a także łagodzenia szkodliwych skutków zdarzeń naruszających bezpieczeństwo oraz dokumentowania tych zdarzeń i ich rezultatów. Jeżeli uświadomią sobie Państwo jakiekolwiek okoliczności mogące pociągać za sobą wypełnienie zobowiązań podlegających pod Przepisy o naruszeniu bezpieczeństwa przez którąkolwiek ze Stron, muszą Państwo natychmiast pisemnie zawiadomić firmę Logitech na adres securityincident@logitech.com oraz zapewnić firmie Logitech pełną współpracę w zakresie wypełnienia przez nią swoich obowiązków wynikających z Przepisów o naruszeniu bezpieczeństwa.
  • Planowanie awaryjne – polityki i procedury reagowania na sytuacje awaryjne lub inne okoliczności (na przykład pożar, wandalizm, awaria systemu czy katastrofa naturalna), skutkujące zniszczeniem Danych Logitech lub systemów zawierających Dane Logitech, w tym plan tworzenia kopii zapasowych danych oraz plan przywracania gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, a także natychmiastowe zawiadamianie firmy Logitech na piśmie na adres securityincident@logitech.com.
  • Środki kontroli urządzeń i nośników danych – polityki i procedury w zakresie sprzętu i elektronicznych nośników zawierających Dane Logitech, opuszczających Państwa obiekty lub do niej wprowadzanych oraz ruchu tych artykułów wewnątrz Państwa obiektów, w tym polityki i procedury dotyczące ostatecznej utylizacji Danych Logitech i/lub sprzętu bądź elektronicznych nośników danych, na których są przechowywane, a także procedury usuwania Danych Logitech z nośników elektronicznych przed ponownym wprowadzeniem tych nośników do użytku. Muszą Państwo zapewnić, że żadne Dane Logitech nie będą pobierane lub przechowywane w inny sposób na laptopach bądź innych urządzeniach przenośnych, chyba że stosowane są na nich wszystkie omawiane tu środki ochrony. Środki te obejmują, lecz nie są ograniczone do szyfrowania danych oraz stosowania aktualnych programów do wykrywania złośliwego oprogramowania i zapobiegania mu na wszystkich urządzeniach mających dostęp do Danych Logitech.
  • Kontrole audytowe – sprzęt, oprogramowanie, usługi, platformy i/lub mechanizmy procedur, które rejestrują i badają czynności mające miejsce w systemach informacyjnych zawierających informacje elektroniczne lub je wykorzystujących, w tym odpowiednie dzienniki i raporty dotyczące tych wymagań w zakresie bezpieczeństwa oraz zgodności z nimi.
  • Polityki i procedury – polityki i procedury mające zapewnić poufność, nienaruszalność i dostępność Danych Logitech oraz chronić je przed ujawnieniem, wykorzystaniem, modyfikacją lub zniszczeniem w sposób przypadkowy, nieupoważniony lub niewłaściwy.
  • Przechowywanie i bezpieczeństwo transmisji – techniczne środki bezpieczeństwa chroniące przed uzyskaniem nieuprawnionego dostępu do Danych Logitech transmitowanych przez elektroniczną sieć komunikacyjną, w tym mechanizm szyfrowania Danych Logitech w postaci elektronicznej na czas przesyłu oraz przechowywania w sieciach bądź systemach, do których dostęp mogą mieć osoby nieupoważnione.
  • Powierzenie odpowiedzialności za bezpieczeństwo – muszą Państwo powołać urzędnika ds. bezpieczeństwa odpowiedzialnego za rozwój, wdrożenie i funkcjonowanie Państwa Programu ochrony informacji.
  • Materialne nośniki danych – polityki i procedury mające zapewnić, że przed przypisaniem, przydzieleniem lub przeniesieniem jakiegokolwiek nośnika zawierającego Dane Logitech jakimkolwiek użytkownikom lub przed trwałym usunięciem tych nośników danych z Państwa obiektu, wykasują Państwo te Dane Logitech zarówno pod względem materialnym, jak i logicznym, w sposób bezpieczny i zgodny z treścią Ustępu 2.3 (e) tak, żeby nośniki te nie zawierały pozostałości danych lub, w razie potrzeby, fizycznie zniszczą Państwo te nośniki. Muszą Państwo prowadzić podlegający pod audyt program wdrożenia wymagań w zakresie utylizacji i destrukcji, podanych w tym Ustępie, dotyczących każdego nośnika zawierającego Dane Logitech.
  • Testy – muszą Państwo regularnie prowadzić testy kluczowych środków kontroli, systemów i procedur zawartych w Państwa Programie ochrony informacji, aby zapewnić, że są one wdrażane prawidłowo i skutecznie radzą sobie z zagrożeniami oraz identyfikowaniem czynników ryzyka. Testy powinny przeprowadzać lub kontrolować niezależne podmioty trzecie lub kadry nie mające związku z tymi, które opracowują bądź prowadzą programy ochrony.
  • Aktualizacje programu – muszą Państwo monitorować, ewaluować i w stosownych przypadkach dostosowywać Program ochrony informacji na wypadek jakichkolwiek istotnych zmian dotyczących technologii lub branżowych standardów bezpieczeństwa, wrażliwości Danych Logitech, wewnętrznych lub zewnętrznych zagrożeń wobec Państwa lub Danych Logitech, a także własnych przedsięwzięć biznesowych, takich jak fuzje i przejęcia, sojusze, wspólne przedsięwzięcia czy uzgodnienia w dziedzinie outsourcingu oraz zmian w zakresie systemów informacyjnych.
     

Dokładniej, Program ochrony informacji Dostawcy musi spełniać lub wykraczać poza następujące wymagania:

1. ZAKRES; DEFINICJE

1.1. Polityka ochrony. Dostawca będzie pod każdym względem spełniał wymagania w zakresie ochrony informacji firmy Logitech podane w niniejszych Wymaganiach firmy Logitech dla Dostawców w zakresie ochrony informacji (dalej „Polityka ochrony”). Polityka ochrony ma zastosowanie do działalności Dostawcy w ramach każdej umowy pomiędzy Dostawcą a firmą Logitech (dalej „Umowy”) oraz dostępu, gromadzenia, wykorzystywania, przechowywania, transmitowania, ujawniania, niszczenia lub kasowania jakichkolwiek zdarzeń naruszających bezpieczeństwo, dotyczących Informacji Logitech (według definicji poniżej). Polityka ochrony nie ogranicza pozostałych zobowiązań Dostawcy, w tym tych wynikających z Umowy bądź dotyczących jakichkolwiek przepisów obowiązujących Dostawcę, działalności Dostawcy w ramach Umowy, Informacji Logitech lub Dozwolonego celu (według definicji poniżej). W zakresie, w którym niniejsza Polityka ochrony stoi w bezpośredniej sprzeczności z Umową, Dostawca niezwłocznie zawiadomi firmę Logitech o tej sprzeczności i będzie postępować zgodnie z bardziej restrykcyjnymi wymaganiami, lepiej chroniącymi Informacje Logitech (które może wyznaczać firma Logitech).

1.2. Definicje.

  1. Partner” oznacza, w odniesieniu do konkretnej osoby, każdy podmiot sprawujący bezpośrednią lub pośrednią kontrolę, podlegający kontroli przez ten podmiot bądź znajdujący się pod ogólną kontrolą takiej osoby.
  2. Agregacja” oznacza łączenie lub przechowywanie Informacji Logitech z jakimikolwiek danymi bądź informacjami Dostawcy, czy też jakiejkolwiek strony trzeciej.
  3. Anonimizacja” oznacza wykorzystanie, gromadzenie, przechowywanie, transmitowanie lub przekształcanie dowolnych danych bądź informacji (w tym Informacji Logitech) w taki sposób, czy też w takiej postaci, która nie identyfikuje, uniemożliwia identyfikację oraz przypisanie ich jakiemukolwiek użytkownikowi, identyfikatorowi urządzenia, źródłu, produktowi, usłudze, kontekstowi, marce lub firmie Logitech bądź jej Partnerom.
  4. Informacje Logitech” oznaczają, osobno lub zbiorczo: (a) wszelkie Poufne Informacje Logitech (zdefiniowane w Umowie lub w umowie o zachowaniu poufności zawartej pomiędzy stronami); (b) wszelkie inne dane, zapisy, pliki, treści lub informacje w dowolnej postaci, czy też dowolnym formacie, nabyte, pozyskane, zgromadzone, otrzymane, przechowywane lub utrzymywane przez Dostawcę bądź jego Partnerów ze strony firmy Logitech lub w imieniu jej bądź jej Partnerów, lub mające inny związek z Umową, usługami świadczonymi w ramach Umowy lub działalnością stron, czy też stosowaniem ich praw z tytułu Umowy lub w związku z nią; oraz (c) wynikające z (a) lub (b), nawet w przypadku Anonimizacji.

1.3. Dozwolony cel.
Z wyjątkiem wyraźnego upoważnienia na mocy Umowy, Dostawca może pozyskiwać, gromadzić, wykorzystywać, przechowywać lub transmitować tylko te Informacje Logitech, do których został wyraźnie upoważniony w Umowie, a także wyłącznie w celu świadczenia usług w ramach Umowy i zgodnie z licencjami (jeśli dotyczy) udzielonymi w ramach Umowy (dalej „Dozwolony cel”). Z wyjątkiem wyraźnego upoważnienia na mocy Umowy, Dostawca nie będzie pozyskiwać, gromadzić, wykorzystywać, przechowywać lub transmitować żadnych Informacji Logitech oraz nie będzie Agregować Informacji Logitech, nawet w przypadku ich Anonimizacji. Z wyjątkiem wcześniejszego uzyskania pisemnej zgody od firmy Logitech, Dostawca nie będzie (A) przenosił, użyczał, wymieniał, sprzedawał, wypożyczał, wynajmował lub dystrybuował, bądź udostępniał w inny sposób żadnych Informacji Logitech jakiejkolwiek stronie trzeciej, ani (B) Agregował Informacji Logitech z żadnymi innymi informacjami lub danymi, nawet w przypadku ich Anonimizacji.

2. POLITYKA OCHRONY

2.1. Podstawowe wymagania bezpieczeństwa. W zgodzie z obecnymi najlepszymi branżowymi standardami oraz wymaganiami określonymi przez firmę Logitech w oparciu o klasyfikację i wrażliwość Informacji Logitech, Dostawca będzie utrzymywał materialne, administracyjne i techniczne zabezpieczenia oraz inne środki ochrony mające na celu (A) utrzymanie bezpieczeństwa i poufności Informacji Logitech pozyskiwanych, gromadzonych, wykorzystywanych, przechowywanych lub transmitowanych przez Dostawcę, a także (B) ochronę tych informacji przed znanymi i przewidywalnymi zagrożeniami lub czynnikami ryzyka dotykającymi ich bezpieczeństwa i nienaruszalności, przypadkową utratą, modyfikacją oraz wszelkimi innymi bezprawnymi sposobami przetwarzania. Dostawca będzie bez ograniczeń spełniał następujące wymagania:

  1. Zapora sieciowa. Dostawca zainstaluje i będzie utrzymywał funkcjonalną zaporę sieciową w celu ochrony danych, do których dostęp można uzyskać przez Internet oraz będzie utrzymał ochronę wszelkich Informacji Logitech z użyciem zapory sieciowej przez cały czas.
  2. Aktualizacje. Dostawca będzie pilnował aktualności swoich systemów i oprogramowania za pośrednictwem ulepszeń, aktualizacji, poprawek błędów, najnowszych wersji oraz wszelkich innych modyfikacji koniecznych do zapewnienia ochrony Informacji Logitech.
  3. Zapobieganie złośliwemu oprogramowaniu. Dostawca będzie cały czas korzystał z programów chroniących przed złośliwym oprogramowaniem (malware) oraz będzie pilnował aktualności tych programów. Dostawca będzie zmniejszał zagrożenie ze strony wszelkich wirusów, oprogramowania szpiegującego (spyware) oraz innego złośliwego kodu źródłowego, które są lub mogą zostać w rozsądnych granicach wykryte.
  4. Szyfrowanie. Dostawca będzie szyfrował dane przechowywane oraz dane przesyłane za pośrednictwem otwartych sieci zgodnie z najlepszymi branżowymi praktykami.
  5. Testowanie. Dostawca będzie regularnie przeprowadzał testy swoich systemów bezpieczeństwa i procesów w celu zapewnienia, że spełniają one wymagania niniejszej Polityki ochrony.
  6. Środki kontroli dostępu. Dostawca zabezpieczy Informacje Logitech, m.in. spełniając następujące wymagania:
    1. Dostawca przypisze niepowtarzalny identyfikator każdej osobie posiadającej dostęp do Informacji Logitech za pośrednictwem komputera.
    2. Dostawca zastrzeże dostęp do Informacji Logitech tylko dla osób, które „muszą go mieć” w ramach Dozwolonego celu.
    3. Dostawca będzie regularnie kontrolował listę osób i serwisów posiadających dostęp do Informacji Logitech oraz usuwał konta (lub polecał firmie Logitech usunięcie kont), które dostępu już nie potrzebują. Kontrole te muszą być przeprowadzane przynajmniej raz na 90 dni.
    4. Dostawca nie będzie stosował dostarczonych przez producenta domyślnych haseł systemowych ani innych parametrów bezpieczeństwa w żadnym systemie operacyjnym, oprogramowaniu ani innych systemach. Dostawca upoważni i zapewni stosowanie „silnych haseł” na poziomie systemu, zgodnie z najlepszymi praktykami (opisanymi poniżej), w każdym systemie hostującym, przechowującym, przetwarzającym lub posiadającym bądź kontrolującym dostęp do Informacji Logitech, a także będzie wymagał, żeby wszystkie hasła i dane dostępowe były poufne, i nie były współdzielone przez pracowników. Hasła muszą spełniać następujące kryteria: składać się przynajmniej z 12 znaków; być inne od poprzednich haseł, nazw użytkownika lub nazwisk; być zmieniane za każdym razem, gdy podejrzewa się lub przyjmie włamanie na konto; oraz regularnie zamieniane po okresie nie dłuższym niż 90 dni.
    5. Dostawca będzie utrzymywał i wymagał stosowania „blokady kont” poprzez wyłączenie kont mających dostęp do Informacji Logitech w przypadku, gdy stwierdzi się przekroczenie liczby prób zalogowania się nieprawidłowym hasłem na to konto w ilości 10 kolejnych prób.
    6. Z wyjątkiem uzyskania wyraźnego pisemnego upoważnienia od firmy Logitech, Dostawca będzie przez cały czas izolował Informacje Logitech (w tym przechowywane, przetwarzane oraz transmitowane) od informacji Dostawcy lub wszelkich stron trzecich.
    7. Jeżeli firma Logitech pisemnie zawnioskuje o zastosowanie dodatkowych środków fizycznej kontroli dostępu, Dostawca wdroży i będzie stosował te bezpieczne fizyczne środki kontroli dostępu.
    8. Dostawca będzie regularnie, w odstępach rocznych lub częściej na żądanie, dostarczał firmie Logitech (1) dane dziennika dotyczące wszelkiego użytkowania (upoważnionego i nieupoważnionego) kont lub danych dostępowych dostarczanych Dostawcy przez firmę Logitech na użytek w jej imieniu (np. dane dostępowe do kont na platformach społecznościowych), oraz (2) szczegółowe dane dziennika dotyczące wszelkich prób podawania się za personel Logitech lub personel Dostawcy, mający dostęp do Informacji Logitech.
    9. Dostawca będzie regularnie kontrolował dzienniki dostępowe pod kątem złośliwych zachowań lub nieupoważnionego dostępu.
  7. Polityka Dostawcy. Dostawca będzie prowadził i wymagał stosowania się do polityki ochrony informacji i sieci przez pracowników, podwykonawców, agentów oraz Dostawców, którzy spełniają standardy podane w tej polityce, w tym metody wykrywania i rejestrowania naruszeń tej polityki. Na żądanie firmy Logitech Dostawca dostarczy informacje na temat naruszeń polityki ochrony informacji i sieci Dostawcy, nawet jeśli nie stanowią one Zdarzeń naruszających bezpieczeństwo.
  8. Podwykonawstwo. Dostawca nie będzie zlecał ani delegował jakichkolwiek swoich obowiązków w ramach niniejszej Polityki ochrony żadnym podwykonawcom, bez uprzedniego otrzymania pisemnej zgody od firmy Logitech. Pomimo istnienia lub warunków jakichkolwiek zleceń dla podwykonawców bądź delegacji obowiązków, Dostawca pozostanie odpowiedzialny za pełne wykonanie swoich obowiązków w ramach niniejszej Polityki ochrony. Warunki niniejszej Polityki ochrony nie będą wiążące dla podwykonawców Dostawcy ani ich personelu. Dostawca (a) zapewni, że podwykonawcy Dostawcy i ich personel będzie działał w zgodzie z niniejszą Polityką ochrony oraz (b) ponosi odpowiedzialność za wszelkie działania, zaniechania, zaniedbania i uchybienia swoich podwykonawców oraz ich personelu, w tym naruszenia jakichkolwiek praw, przepisów czy regulacji (stosownie).
  9. Dostęp zdalny. Dostawca zapewni, że dostęp spoza chronionych środowisk firmowych lub produkcyjnych do systemów, w których przechowywane są Informacje Logitech, lub firmowych bądź sieciowych programistycznych stanowisk roboczych, wymagać będzie uwierzytelniania wielopoziomowego (np. podania co najmniej dwóch różnych czynników identyfikujących użytkownika).
  10. Personel Dostawcy. Firma Logitech może warunkować dostęp personelu Dostawcy do Informacji Logitech lub wykonywanie i dostarczanie firmie Logitech indywidualnych umów o zachowaniu poufności przez personel Dostawcy, których postać określa firma Logitech. Jeżeli będzie to wymagane przez firmę Logitech, będzie ona żądała wykonywania indywidualnych umów o zachowaniu poufności przez personel Dostawcy. Dostawca uzyska i dostarczy firmie Logitech indywidualne umowy o zachowaniu poufności podpisane przez personel Dostawcy, który będzie miał dostęp do Informacji Logitech (przed udzieleniem dostępu lub dostarczeniem informacji personelowi Dostawcy). Ponadto Dostawca (a) na żądanie i w uzgodnionym czasie dostarczy firmie Logitech listę tych swoich pracowników, którzy uzyskali dostęp lub otrzymali Informacje Logitech oraz (b) nie później niż 24 godziny od wystąpienia zdarzenia zawiadomi firmę Logitech w każdym konkretnym przypadku pracownika, który ma dostęp do Informacji Logitech zgodnie z niniejszym Ustępem, o tym, że: (y) już nie potrzebuje dostępu do Informacji Logitech lub (z) już nie kwalifikuje się jako personel Dostawcy (np. zakończy stosunek pracy z Dostawcą).
     

2.2. Dostęp do ekstranetu Logitech i portali Dostawcy. Firma Logitech może udzielić Dostawcy dostępu do Informacji Logitech za pośrednictwem portali internetowych lub innych niepublicznych witryn internetowych bądź serwisów ekstranetowych na stronach internetowych firmy Logitech lub stron trzecich (w każdym przypadku dalej „Ekstranet”) w Dozwolonym celu. Jeżeli firma Logitech udzieli Dostawcy dostępu do jakichkolwiek Informacji Logitech z wykorzystaniem Ekstranetu, Dostawca będzie musiał spełniać następujące wymagania:

  1. Dozwolony cel. Dostawca i jego personel będzie miał dostęp do Ekstranetu w celach dostępowych, gromadzenia, wykorzystywania, przeglądania, odbierania, pobierania lub przechowywania Informacji Logitech znajdujących się w Ekstranecie wyłącznie w zgodzie z Dozwolonym celem.
  2. Konta. Dostawca zapewni, że jego personel będzie korzystał tylko z tych kont w Ekstranecie, które zostały przeznaczone przez firmę Logitech dla konkretnych osób oraz będzie wymagał od swojego personelu zachowania poufności swoich danych dostępowych.
  3. Systemy. Dostawca będzie wchodził do Ekstranetu wyłącznie poprzez systemy komputerowe lub systemy przetwarzania danych bądź aplikacje działające w systemach operacyjnych zarządzanych przez Dostawcę, które posiadają: (i) systemowe zapory sieciowe zgodne z Ustępem 2.1 (A) (Zapora sieciowa); (ii) scentralizowane zarządzanie łatkami zgodne z Ustępem 2.1 (B) (Aktualizacje); (iii) odpowiednie do systemów operacyjnych programy chroniące przed złośliwym oprogramowaniem zgodne z Ustępem 2.1 (C) (Zapobieganie złośliwemu oprogramowaniu); oraz (iv) w przypadku urządzeń przenośnych, pełne szyfrowanie dysku.
  4. Ograniczenia. Z wyjątkiem uprzedniego otrzymania pisemnego zezwolenia od firmy Logitech, Dostawca nie będzie pobierał, umieszczał na serwerach lustrzanych ani trwale przechowywał żadnych Informacji Logitech znajdujących się w jakimkolwiek Ekstranecie bądź każdym innym nośniku, w tym na dowolnych maszynach, urządzeniach lub serwerach.
  5. Usuwanie kont. Dostawca usunie konto każdego swojego pracownika i powiadomi o tym firmę Logitech nie później niż 24 godziny po tym, gdy każdy upoważniony pracownik Dostawcy, posiadający dostęp do jakiegokolwiek Ekstranetu, (a) przestanie potrzebować dostępu do Informacji Logitech, (b) przestanie kwalifikować się jako pracownik Dostawcy (np. rozwiąże stosunek pracy z Dostawcą) lub (c) przestanie sięgać po Informacje Logitech przez 30 dni lub dłużej.
  6. Systemy stron trzecich.
    1. Dostawca zawiadomi firmę Logitech z wyprzedzeniem oraz uzyska od niej pisemne zezwolenie zanim zacznie korzystać z jakichkolwiek systemów stron trzecich, które przechowują lub mogą w inny sposób mieć dostęp do Informacji Logitech, chyba że (a) dane będą szyfrowane zgodnie z niniejszą Polityką ochrony i (b) system strony trzeciej nie będzie miał dostępu do klucza deszyfrującego lub niezaszyfrowanej „zwykłej wersji tekstowej” danych. Firma Logitech zastrzega sobie prawo do zażądania kontroli bezpieczeństwa Logitech (zgodnie z Ustępem 2.5 poniżej) systemu strony trzeciej przed udzieleniem zezwolenia.
    2. Jeżeli Dostawca używa jakichkolwiek systemów stron trzecich, które przechowują lub w inny sposób uzyskują dostęp do niezaszyfrowanych Informacji Logitech, Dostawca musi przeprowadzić kontrolę bezpieczeństwa systemów strony trzeciej i ich środków kontroli bezpieczeństwa oraz dostarczyć firmie Logitech okresowe sprawozdania na temat środków kontroli bezpieczeństwa systemów stron trzecich w formacie żądanym przez firmę Logitech (np. raport SAS 70, SSAE 16 lub następczy) bądź inny uznany w branży standardowy raport zatwierdzony przez firmę Logitech.
       

2.3. Przechowywanie i niszczenie danych.

  1. Przechowywanie. Dostawca będzie przechowywał Informacje Logitech wyłącznie w celach zgodnych z Dozwolonym celem i tylko tak długo, jak to będzie konieczne.
  2. Zwrot lub wykasowanie. Dostawca niezwłocznie (nie później niż 10 dni od wniosku firmy Logitech) zwróci firmie Logitech oraz trwale i w bezpieczny sposób skasuje wszelkie Informacje Logitech po otrzymaniu zawiadomienia od firmy Logitech o konieczności ich zwrotu i/lub wykasowania oraz zgodnie z tym zawiadomieniem. Ponadto Dostawca trwale i w bezpieczny sposób skasuje wszystkie aktywne (online lub dostępne w sieci) instancje Informacji Logitech w ciągu 90 dni od wcześniejszej realizacji Dozwolonego celu bądź rozwiązaniu lub upłynięciu terminu Umowy, chyba że będzie prawnie zobowiązany do ich przechowywania. Na wniosek firmy Logitech Dostawca zaświadczy na piśmie, że wszystkie Informacje Logitech zostały zniszczone.
  3. Kopie archiwalne. Jeżeli Dostawcę obowiązuje prawo do zachowania archiwalnych kopii Informacji Logitech w celach podatkowych lub podobnych celach regulacyjnych, te zarchiwizowane Informacje Logitech muszą być przechowywane w jeden z następujących sposobów: jako tzw. „zimna” kopia zapasowa w trybie offline (tj. niedostępna do bezpośredniego użytku lub do interakcji), przechowywana materialnie w bezpiecznym obiekcie; lub w postaci zaszyfrowanej, gdzie w systemie hostującym lub przechowującym zaszyfrowane pliki nie ma dostępu do kopii kluczy wykorzystanych do zaszyfrowania.
  4. Przywracanie. Jeśli Dostawca dokona „przywrócenia” (tj. powrotu do kopii zapasowej) na potrzeby przywracania gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, Dostawca wdroży i przeprowadzi proces, który ma na celu zapewnienie, że wszelkie Informacje Logitech wymagające skasowania w myśl postanowień Umowy lub tej Polityki ochrony, zostaną ponownie skasowane lub nadpisane przez dane do przywracania, zgodnie z niniejszym Ustępem 2.3 w ciągu 24 godzin od przeprowadzenia przywracania. Jeżeli Dostawca dokona przywracania w dowolnym celu, żadne Informacje Logitech nie mogą zostać przywrócone na żaden system lub żadną sieć strony trzeciej bez wcześniejszego uzyskania pisemnego zezwolenia od firmy Logitech. Firma Logitech zastrzega sobie prawo do zażądania kontroli bezpieczeństwa Logitech (zgodnie z Ustępem 2.5 poniżej) systemu lub sieci strony trzeciej przed udzieleniem zezwolenia na przywrócenie jakichkolwiek Informacji Logitech na dowolny system lub dowolną sieć strony trzeciej.
  5. Standardy kasowania. Wszelkie Informacje Logitech usuwane przez Dostawcę zostaną wykasowane zgodnie z wytycznymi dotyczącymi sanityzacji nośników NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitization z 18 grudnia 2014 r. (dostępnymi pod adresem http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.Logitech) lub innymi podobnymi standardami, których firma Logitech może wymagać w oparciu o klasyfikację i wrażliwość Informacji Logitech.
     

2.4. Prawne zniszczenie danych. Przed utylizacją w dowolny sposób sprzętu, oprogramowania lub wszelkich innych nośników zawierających obecnie bądź w przeszłości Informacje Logitech, Dostawca wykona całkowite prawne zniszczenie sprzętu, oprogramowania lub innych nośników, aby żadne Informacje Logitech nie były możliwe do przywrócenia bądź odzyskania w jakiejkolwiek postaci. Dostawca przeprowadzi prawne zniszczenie danych zgodnie ze standardami wymaganymi przez firmę Logitech w oparciu o klasyfikację i wrażliwość Informacji Logitech. Dostawca na żądanie dostarczy firmie Logitech certyfikat zniszczenia danych.

  1. Dostawca nie będzie sprzedawał, odsprzedawał, przekazywał, odnawiał ani przesyłał w inny sposób (łącznie ze sprzedażą lub przesłaniem jakiegokolwiek sprzętu, oprogramowania lub innych nośników bądź rozporządzaniem nimi w jakimkolwiek celu związanym z likwidacją działalności Dostawcy, czy też rozporządzaniem w innych celach) żadnego sprzętu, oprogramowania lub innych nośników zawierających Informacje Logitech, które nie zostały prawnie zniszczone przez Dostawcę.
     

2.5. Kontrola bezpieczeństwa.

  1. Kwestionariusz oceny ryzyka. Firma Logitech wymaga, aby Dostawca był poddawany Ocenie ryzyka dostawcy, przeprowadzanej na podstawie dostarczanych aktualnych odpowiedzi w kwestionariuszu oceny ryzyka firmy Logitech, przynajmniej raz w roku, lecz w zależności od oceny ryzyka dostawcy mogą one być przeprowadzane częściej.
  2. Oświadczenia. Na pisemny wniosek firmy Logitech Dostawca zaświadczy na piśmie, że spełnia wymogi podane w niniejszej Umowie.
  3. Inne kontrole. Firma Logitech zastrzega sobie prawo do okresowego kontrolowania bezpieczeństwa systemów, których Dostawca używa do przetwarzania Informacji Logitech. Dostawca w uzasadnionym zakresie zapewni współpracę i dostarczenie firmie Logitech wszelkich wymaganych informacji w rozsądnym czasie, lecz nie później niż w ciągu 20 dni kalendarzowych od daty wniosku firmy Logitech.
  4. Naprawa szkód. Jeżeli w toku jakiejkolwiek kontroli bezpieczeństwa zidentyfikowane zostaną jakiekolwiek stwierdzone niedociągnięcia, Dostawca na własny koszt i wydatek podejmie wszelkie niezbędne działania w celu ich naprawy w uzgodnionym przedziale czasowym.
     

2.6. Naruszenia bezpieczeństwa.

  1. Dostawca poinformuje bez zbędnej zwłoki (nie później niż po upływie 24 godzin) firmę Logitech na adres securityincident@logitech.com o Naruszeniu bezpieczeństwa, według definicji obowiązujących ustaw, (i) dotyczącym Informacji Logitech lub (ii) zarządzanym przez Dostawcę z użyciem środków kontroli podobnych do tych, które chronią Informacje Logitech (w każdym przypadku dalej „Naruszenie bezpieczeństwa”). Dostawca każde Naruszenie bezpieczeństwa zażegna w odpowiednim czasie i dostarczy firmie Logitech na piśmie szczegółowe informacje dotyczące wewnętrznego dochodzenia Dostawcy w zakresie każdego Zdarzenia naruszającego bezpieczeństwo. Dostawca wyraża zgodę na zaniechanie zawiadamiania jakichkolwiek organów regulacyjnych bądź klientów w imieniu firmy Logitech, chyba że firma Logitech pisemnie zawnioskuje o taką czynność do Dostawcy, a ponadto firma Logitech zastrzega sobie prawo do kontroli oraz zatwierdzenia postaci i treści każdego zawiadomienia zanim zostanie ono dostarczone jakiejkolwiek stronie. Dostawca w uzasadnionym zakresie zapewni współpracę i pomoc firmie Logitech w sformułowaniu i realizacji planu naprawczego dotyczącego wszystkich potwierdzonych Zdarzeń naruszających bezpieczeństwo.
  2. Dostawca bez zbędnej zwłoki (nie później niż po upłynięciu 24 godzin) poinformuje firmę Logitech o zażądaniu Informacji Logitech w odpowiedzi na procesy sądowe lub w ramach obowiązującego prawa.