Требования к информационной безопасности для поставщиков

СРАЗУ ПЕРЕЙТИ К ОСНОВНОМУ СОДЕРЖАНИЮ
Pangea temporary hotfixes here

Требования к информационной безопасности для поставщиков Logitech

Компания Logitech Europe S. A. и все ее дочерние компании и аффилированные лица (далее совместно — «Logitech») требуют, чтобы все ее поставщики, поставщики услуг и другие деловые партнеры (далее — «Вы» или «Поставщик») поддерживали представленную в письменной форме комплексную программу информационной безопасности (далее — «Программа информационной безопасности»), которая включает технические, физические и организационные меры для обеспечения конфиденциальности, безопасности, целостности и доступности информации, предоставляемой Logitech, аффилированными лицами Logitech, а также сотрудниками, представителями, подрядчиками, клиентами и Поставщиками Logitech и аффилированных лиц Logitech (далее совместно — «Данные Logitech»), а также защищает Данные Logitech от несанкционированного доступа, использования, раскрытия, изменения или уничтожения. Настоящая Программа информационной безопасности прилагается к соглашениям об оказании услуг (далее — «Соглашения»), заключенным между указанной в соответствующем соглашении организацией Logitech и Вами, и включается в них посредством ссылки. В частности, Программа информационной безопасности должна включать, среди прочего, следующие меры, когда это уместно или необходимо для обеспечения защиты Данных Logitech:

  • Контроль доступа. Политики, процедуры, а также физические и технические средства контроля:
    1. для ограничения физического доступа к Вашим информационным системам и объекту (объектам), где они размещены, и предоставления его только уполномоченным лицам;
    2. для обеспечения наличия надлежащим образом контролируемого доступа у всех Ваших сотрудников, которым требуется доступ к Данным Logitech, а также для предотвращения получения доступа теми сотрудниками и другими лицами, которым доступ не должен быть предоставлен;
    3. для проверки подлинности и предоставления доступа только уполномоченным лицам и для предотвращения предоставления Вашими сотрудниками Данных Logitech или информации, относящейся к ним, неуполномоченным лицам;
    4. а также для шифрования и расшифровки Данных Logitech, где это необходимо.
  • Повышение осведомленности и обучение в области безопасности. Программа повышения осведомленности и обучения в области безопасности для всех Ваших сотрудников (включая руководителей) на регулярной основе, которая включает обучение внедрению и соблюдению Вашей Программы информационной безопасности.
  • Процедуры работы с инцидентами безопасности. Политики и процедуры для обнаружения инцидентов безопасности, реагирования на них и иных действий по их устранению, включая процедуры мониторинга систем и обнаружения фактических и предполагаемых атак на Данные Logitech или информационные системы, связанные с ними, или вторжений в указанные Данные или системы, а также процедуры выявления предполагаемых или известных инцидентов безопасности, реагирования на них, смягчения их негативных последствий и документирования их и их результатов. Если Вам станет известно о каком-либо обстоятельстве, которое может повлечь за собой возникновение у любой из Сторон обязательств в соответствии с Законодательством о нарушениях безопасности, Вы обязаны немедленно направить письменное уведомление Logitech по адресу securityincident@logitech.com и оказать всестороннее содействие Logitech, чтобы позволить ей выполнить свои обязательства в соответствии с Законодательством о нарушениях безопасности.
  • Планирование на случай непредвиденных обстоятельств. Политики и процедуры реагирования на чрезвычайную ситуацию или другое происшествие (например, пожар, вандализм, сбой системы или стихийное бедствие), которые приводят к повреждению Данных Logitech или систем, содержащих Данные Logitech, включая план резервного копирования данных и план аварийного восстановления, и немедленной отправки письменного уведомления Logitech по адресу securityincident@logitech.com.
  • Средства контроля за устройствами и носителями. Политики и процедуры в отношении аппаратных средств и электронных носителей, содержащих Данные Logitech, на Ваших объектах и за пределами таковых, а также перемещения указанных предметов в пределах Ваших объектов, включая политики и процедуры, касающиеся окончательного уничтожения Данных Logitech и (или) аппаратных средств или электронных носителей, на которых они хранятся, и процедуры удаления Данных Logitech с электронных носителей перед тем, как носитель станет доступным для повторного использования. Вы обязаны гарантировать, что никакие Данные Logitech не будут загружаться или иным образом сохраняться на ноутбуках или других переносных устройствах, если на указанные устройства не распространяются все защитные меры, требуемые настоящим документом. Такие защитные меры должны включать, среди прочего, шифрование всех устройств, имеющих доступ к Данным Logitech, и использование на них новейшего программного обеспечения для обнаружения вредоносных программ.
  • Аудиторские средства контроля. Аппаратные средства, программное обеспечение, услуги, платформы и (или) процедурные механизмы, которые регистрируют и проверяют активность в информационных системах, содержащих или использующих электронную информацию, включая соответствующие журналы и отчеты, касающиеся настоящих требований к безопасности и их соблюдения.
  • Политики и процедуры. Политики и процедуры для обеспечения конфиденциальности, целостности и доступности Данных Logitech и их защиты от случайного, несанкционированного или ненадлежащего раскрытия, использования, изменения или уничтожения.
  • Безопасность хранения и передачи. Технические меры безопасности для защиты от несанкционированного доступа к Данным Logitech, которые передаются по телекоммуникационной сети связи, включая механизм шифрования Данных Logitech в электронной форме во время передачи и хранения в сетях или системах, к которым могут иметь доступ неуполномоченные лица.
  • Назначение лица, ответственного за безопасность. Вы обязаны назначить сотрудника службы безопасности, ответственного за разработку, внедрение и обслуживание Вашей Программы информационной безопасности.
  • Физические носители данных. Политики и процедуры, обеспечивающие безопасное физическое и логическое удаление данных, содержащих Данные Logitech, в соответствии с разделом 2.3(e), с любых носителей, которые назначаются, выделяются или перераспределяются другому пользователю, или перед окончательным удалением таких носителей данных с объекта таким образом, чтобы носитель более не содержал остаточных данных, или, при необходимости, физическое уничтожение такого носителя. Вы обязаны поддерживать проверяемую программу, реализующую требования по утилизации и уничтожению, изложенные в настоящем разделе, для всех носителей данных, содержащих Данные Logitech.
  • Тестирование. Вы обязаны регулярно тестировать ключевые элементы управления, системы и процедуры Вашей Программы информационной безопасности, чтобы гарантировать их правильное применение и эффективность при устранении выявленных угроз и рисков. Тесты должны проводиться или проверяться третьими сторонами или сотрудниками, независимыми от лиц, которые разрабатывают или поддерживают программы безопасности.
  • Поддержка Программы в актуальном состоянии. Вы обязаны отслеживать, оценивать и при необходимости корректировать Программу информационной безопасности с учетом любых соответствующих изменений в технологиях или отраслевых стандартах безопасности, конфиденциальности Данных Logitech, внутренних или внешних угроз для Вас или Данных Logitech, а также изменений в Ваших деловых соглашениях, включая слияния и поглощения, альянсы и совместные предприятия, соглашения об аутсорсинге и изменения в информационных системах.
     

В частности, Программа информационной безопасности Поставщика должна соответствовать следующим требованиям или превосходить их:

1. СФЕРА ДЕЙСТВИЯ; ОПРЕДЕЛЕНИЯ

1.1. Политика безопасности. Поставщик обязуется во всех отношениях соблюдать требования Logitech к информационной безопасности, изложенные в настоящих Требованиях Logitech к информационной безопасности для поставщиков (далее — «Политика безопасности»). Политика безопасности применяется к действиям Поставщика в соответствии с любым соглашением между Поставщиком и Logitech (далее — «Соглашение»), а также ко всем случаям доступа, сбора, использования, хранения, передачи, раскрытия, уничтожения или удаления Информации Logitech (согласно определению ниже) и инцидентам безопасности, связанным с ней. Настоящая Политика безопасности не ограничивает другие обязательства Поставщика, в том числе: по Соглашению или в отношении любых законов, применимых к Поставщику; по действиям Поставщика по Соглашению; по Информации Logitech или Разрешенной цели (согласно определению ниже). Если настоящая Политика безопасности прямо противоречит Соглашению, Поставщик обязан незамедлительно уведомить Logitech о конфликте и соблюдать требование, которое является более строгим и обеспечивает более полную защиту Информации Logitech (выбор может быть сделан Logitech).

1.2. Определения.

  1. «Аффилированное лицо» — в отношении конкретного лица означает любое юридическое лицо, которое прямо или косвенно контролирует такое лицо, находится под его контролем или находится с ним под общим контролем.
  2. «Агрегировать» — объединять или хранить Информацию Logitech с любыми данными или информацией Поставщика или любой третьей стороны.
  3. «Анонимизировать» — использовать, собирать, хранить, передавать или преобразовывать любые данные или информацию (включая Информацию Logitech) таким образом или в такой форме, которые не идентифицируют и не позволяют идентифицировать какого-либо пользователя, идентификатор устройства, источник, продукт, услугу, контекст, бренд либо Logitech или ее Аффилированных лиц и не могут быть иным образом связаны с ними.
  4. «Информация Logitech» — по отдельности и в совокупности: (a) вся Конфиденциальная информация Logitech (согласно определению в Соглашении или в соглашении о неразглашении между сторонами); (b) все другие данные, записи, файлы, содержимое или информация в любой форме или формате, которые были приобретены, к которым был получен доступ, которые были собраны, получены или сохранены или поддерживались Поставщиком или его Аффилированными лицами от Logitech или ее Аффилированных лиц, от имени Logitech или ее Аффилированных лиц или иным образом в связи с Соглашением, услугами, предоставляемыми в соответствии с Соглашением, либо исполнением или осуществлением прав по Соглашению или в связи с ним; и (c) информация, производная от (a) или (b), даже если она была Анонимизирована.

1.3. Разрешенная цель.
За исключением случаев, прямо разрешенных Соглашением, Поставщик может иметь доступ только к той Информации Logitech, а также собирать, использовать, хранить и передавать только ту Информацию Logitech, для которой это прямо разрешено в соответствии с Соглашением, и исключительно в целях предоставления услуг в соответствии с Соглашением и в соответствии с лицензиями (если таковые имеются), предоставленными в соответствии с Соглашением (далее — «Разрешенная цель»). За исключением случаев, когда это прямо разрешено Соглашением, Поставщик не вправе получать доступ к любой Информации Logitech, собирать ее, использовать, хранить или передавать и не вправе Агрегировать Информацию Logitech, даже если она была Анонимизирована. За исключением случаев, когда получено предварительное письменное согласие Logitech, Поставщик не вправе (A) передавать, сдавать в аренду, обменивать, продавать, одалживать или иным образом распространять или предоставлять какой-либо третьей стороне какую-либо Информацию Logitech или (B) Агрегировать Информацию Logitech с любой другой информацией или любыми другими данными, даже если они были Анонимизированы.

2. ПОЛИТИКА БЕЗОПАСНОСТИ

2.1. Основные требования безопасности. Поставщик обязан, в соответствии с передовыми действующими отраслевыми стандартами и другими требованиями, установленными Logitech на основе категории секретности и конфиденциальности Информации Logitech, поддерживать физические, административные и технические меры безопасности и другие меры безопасности (A) для обеспечения безопасности и конфиденциальности Информации Logitech, к которой Поставщик имеет доступ или которую Поставщик собирает, использует, сохраняет или передает, и (B) для защиты указанной информации от известных или разумно ожидаемых угроз или опасностей, угрожающих ее безопасности и целостности, и рисков случайной потери, изменения, раскрытия и всех других незаконных форм обработки. Среди прочего, Поставщик обязуется соблюдать следующие требования:

  1. Брандмауэр. Поставщик обязан установить и поддерживать работающий брандмауэр для защиты данных, доступных через Интернет, и обеспечивать постоянную защиту всей Информации Logitech с помощью брандмауэра.
  2. Обновления. Поставщик обязан поддерживать свои системы и программное обеспечение в актуальном состоянии с помощью последних обновлений, исправлений ошибок, новых версий и других модификаций, необходимых для обеспечения безопасности Информации Logitech.
  3. Защита от вредоносных программ. Поставщик обязан всегда использовать программное обеспечение для защиты от вредоносных программ и поддерживать программное обеспечение для защиты от вредоносных программ в актуальном состоянии. Поставщик обязан смягчать последствия угроз, связанных со всеми вирусами, шпионскими программами и другим вредоносным кодом, которые были или должны были быть обнаружены на разумных основаниях.
  4. Шифрование. Поставщик обязан шифровать хранящиеся данные и данные, отправляемые по открытым сетям, в соответствии с передовыми отраслевыми практиками.
  5. Тестирование. Поставщик обязан регулярно тестировать свои системы и процессы безопасности, чтобы гарантировать их соответствие требованиям настоящей Политики безопасности.
  6. Контроль доступа. Поставщик обязан обеспечивать защиту Информации Logitech, в том числе путем соблюдения следующих требований:
    1. Поставщик обязан назначить уникальный идентификатор каждому лицу, имеющему компьютерный доступ к Информации Logitech.
    2. Поставщик обязан ограничить доступ к Информации Logitech и предоставлять его только тем лицам, которым указанный доступ необходим для Разрешенной цели.
    3. Поставщик обязан регулярно пересматривать перечень лиц и служб, имеющих доступ к Информации Logitech, и удалять учетные записи (или рекомендовать Logitech удалить учетные записи), которым больше не требуется доступ. Указанный пересмотр должен выполняться не реже раза в 90 дней.
    4. Поставщик обязан не использовать заводские значения по умолчанию для системных паролей и других параметров безопасности в каких-либо операционных системах, программном обеспечении или других системах. Поставщик обязан предписать и обеспечить использование обязательных «надежных паролей» в соответствии с рекомендациями (описанными ниже) во всех системах, в которых размещается, хранится или обрабатывается Информация Logitech или которые имеют или контролируют доступ к указанной информации, и требовать, чтобы все пароли и учетные данные для доступа хранились в тайне и не передавались сотрудниками друг другу. Пароли должны соответствовать следующим критериям: содержать не менее 12 символов; не совпадать с предыдущими паролями, логином или именем пользователя; изменяться всякий раз, когда подозревается или предполагается нарушение безопасности учетной записи; регулярно изменяться не реже чем раз в 90 дней.
    5. Поставщик обязан поддерживать и применять «блокировку учетной записи», отключая учетные записи с доступом к Информации Logitech после более чем 10 последовательных попыток ввода неправильного пароля для доступа к учетной записи.
    6. За исключением случаев, когда это прямо разрешено компанией Logitech в письменной форме, Поставщик обязан всегда изолировать Информацию Logitech (в том числе при хранении, обработке или передаче) от информации Поставщика и любых третьих лиц.
    7. Если Logitech в письменной форме запросит дополнительные средства контроля физического доступа, Поставщик обязан внедрить и применять эти безопасные меры контроля физического доступа.
    8. Поставщик обязан предоставлять Logitech ежегодно или чаще по запросу Logitech (1) данные журнала обо всех случаях использования (как санкционированного, так и несанкционированного) учетных записей Logitech или учетных данных, предоставленных Поставщику для использования от имени Logitech (например, учетных данных учетной записи в социальной сети) и (2) подробные данные журнала о любом случае выдачи или попытке выдать себя за сотрудников Logitech или сотрудников Поставщика, имеющих доступ к Информации Logitech.
    9. Поставщик обязан регулярно проверять журналы доступа на наличие признаков злонамеренного поведения или несанкционированного доступа.
  7. Политика Поставщика. Поставщик обязан поддерживать и применять политику информационной и сетевой безопасности для сотрудников, субподрядчиков, агентов и Поставщиков, которая соответствует стандартам, изложенным в настоящей политике, включая методы обнаружения и регистрации нарушений политики. По запросу Logitech Поставщик обязан предоставить Logitech информацию о нарушениях политики информационной и сетевой безопасности Поставщика, даже если указанные нарушения не являются Инцидентами безопасности.
  8. Субподряд. Поставщик не вправе заключать договор субподряда или делегировать какие-либо из своих обязательств в соответствии с настоящей Политикой безопасности каким-либо субподрядчикам без предварительного письменного согласия Logitech. Невзирая на наличие или условия какого-либо договора субподряда или делегирования полномочий, Поставщик несет ответственность за полное выполнение своих обязательств в соответствии с настоящей Политикой безопасности. Положения и условия настоящей Политики безопасности обязательны для субподрядчиков и сотрудников Поставщика. Поставщик (a) обязан обеспечить соблюдение субподрядчиками и сотрудниками настоящей Политики безопасности и (b) несет ответственность за все действия, бездействие, неосторожность и неправомерные действия своих субподрядчиков и сотрудников, включая (если применимо) нарушение любого закона, правила или регламента.
  9. Удаленный доступ. Поставщик обязан гарантировать использование многофакторной проверки подлинности (например, идентификацию пользователей с помощью не менее чем двух отдельных факторов) при любом доступе из-за пределов защищенных корпоративных или производственных сред к системам, содержащим Информацию Logitech, или к корпоративным сетям или сетям рабочих станций Поставщика.
  10. Сотрудники Поставщика. Logitech может поставить условием для предоставления сотрудникам Поставщика доступа к Информации Logitech подписание указанными сотрудниками и предоставление Logitech индивидуальных соглашений о неразглашении, форма которых определяется Logitech. Logitech вправе потребовать, чтобы сотрудники Поставщика подписали индивидуальные соглашения о неразглашении. Поставщик обязан получить индивидуальные соглашения о неразглашении, подписанные сотрудниками Поставщика, которые будут иметь доступ к Информации Logitech (до предоставления доступа или предоставления информации сотрудникам Поставщика), и передать их Logitech. Поставщик обязан также (а) предоставить Logitech по запросу в согласованные сроки список сотрудников Поставщика, которые получили доступ к Информации Logitech или получили указанную информацию, и (b) уведомить Logitech не позднее чем через 24 часа после того, как какой-либо конкретный сотрудник Поставщика, уполномоченный на получение доступа к Информации Logitech в соответствии с данным разделом: (y) перестанет нуждаться в доступе к Информации Logitech или (z) перестанет считаться сотрудником Поставщика (например, будет уволен с работы у Поставщика).
     

2.2. Доступ к Внешней сети Logitech и Порталу поставщиков. Logitech может предоставлять Поставщику доступ к Информации Logitech через интернет-порталы или другие закрытые сайты или службы внешней сети на сайте или в системе Logitech или третьих лиц (далее — «Внешняя сеть») для Разрешенной цели. Если Logitech предоставляет Поставщику доступ к какой-либо Информации Logitech через Внешнюю сеть, Поставщик должен соблюдать следующие требования:

  1. Разрешенная цель. Поставщик и его сотрудники имеют доступ к Внешней сети и имеют доступ к Информации Logitech из Внешней сети, а также собирают, используют, просматривают, извлекают, загружают или хранят указанную информацию исключительно для Разрешенной цели.
  2. Учетные записи. Поставщик обязан обеспечить использование его сотрудниками только тех учетных записей Внешней сети, которые назначены для каждого сотрудника компанией Logitech, и требовать от своих сотрудников сохранять конфиденциальность учетных данных для доступа.
  3. Системы. Поставщик обязан получать доступ к Внешней сети только через вычислительные или обрабатывающие системы или приложения, работающие под управлением операционных систем, управляемых Поставщиком и включающих: (i) системные брандмауэры в соответствии с разделом 2.1(A) (Брандмауэр); (ii) централизованное управление исправлениями в соответствии с разделом 2.1(B) (Обновления); (iii) соответствующее операционной системе программное обеспечение для защиты от вредоносных программ в соответствии с разделом 2.1(C) (Защита от вредоносных программ); и (iv) для портативных устройств — полное шифрование диска.
  4. Ограничения. За исключением случаев, когда это предварительно одобрено Logitech в письменной форме, Поставщик не вправе загружать какую-либо Информацию Logitech из любой Внешней сети на любой носитель, включая любые машины, устройства или серверы, создавать зеркало указанной информации или постоянно ее хранить.
  5. Прекращение действия учетной записи. Поставщик обязан аннулировать учетную запись каждого своего сотрудника и уведомить Logitech не позднее, чем через 24 часа после того, как какой-либо конкретный сотрудник Поставщика, уполномоченный иметь доступ к Информации Logitech, (a) перестанет нуждаться в доступе к Информации Logitech, (b) перестанет считаться сотрудником Поставщика (например, будет уволен с работы у Поставщика) или (с) не будет осуществлять доступ к Информации Logitech в течение 30 или более дней.
  6. Сторонние системы.
    1. Поставщик обязан направить Logitech предварительное уведомление и получить предварительное письменное разрешение Logitech, прежде чем использовать какую-либо стороннюю систему, которая хранит Информацию Logitech или иным образом может иметь доступ к Информации Logitech, за исключением случаев, когда (a) данные зашифрованы в соответствии с настоящей Политикой безопасности и (b) сторонняя система не имеет доступа к ключу дешифрования или незашифрованным «текстовым» версиям данных. Logitech оставляет за собой право потребовать провести проверку безопасности сторонней системы усилиями Logitech (в соответствии с разделом 2.5 ниже), прежде чем дать разрешение.
    2. Если Поставщик использует какие-либо сторонние системы, которые хранят незашифрованную Информацию Logitech или иным образом имеют к ней доступ, Поставщик обязан провести проверку безопасности сторонних систем и их средств безопасности и предоставлять Logitech периодические отчеты о средствах безопасности сторонних систем в формате, запрошенном Logitech (например, по стандарту SAS 70, SSAE 16 или по более поздней форме отчета), или в другом формате, признанном отраслевым стандартом и одобренном Logitech.
       

2.3. Удержание и уничтожение данных.

  1. Удержание. Поставщик обязан удерживать Информацию Logitech только для Разрешенной цели и только до тех пор, пока это необходимо.
  2. Возврат или удаление. Поставщик обязан незамедлительно (но в течение не более чем 10 дней после запроса Logitech) вернуть Logitech и безвозвратно и надежно удалить всю Информацию Logitech после уведомления Logitech с требованием возврата и (или) удаления и в соответствии с таким уведомлением. Кроме того, Поставщик обязан безвозвратно и надежно удалить все имеющиеся (доступные в Интернете или внутренней сети) экземпляры Информации Logitech в течение 90 дней после достижения Разрешенной цели либо расторжения или истечения срока действия настоящего Соглашения, в зависимости от того, что произойдет раньше, если удержание Информации Logitech не требуется по закону. По запросу Logitech Поставщик должен письменно подтвердить, что вся Информация Logitech была уничтожена.
  3. Архивные копии. Если Закон требует от Поставщика хранить архивные копии Информации Logitech для налоговых или аналогичных нормативных целей, то эта архивная Информация Logitech должна храниться одним из следующих способов: в «холодном» или автономном режиме (т. е. в состоянии, недоступном для непосредственного или интерактивного использования) в виде резервной копии, хранящейся на физически защищенном объекте; или в зашифрованном виде, причем система, в которой размещается или хранится зашифрованный файл (файлы), не должна иметь доступа к копии ключа (ключей), используемых для шифрования.
  4. Восстановление. Если Поставщик выполняет «восстановление» (т. е. возврат к резервной копии) с целью аварийного восстановления, Поставщик обязан внедрить и поддерживать процесс, обеспечивающий повторное удаление или перезапись из восстановленных данных всей Информации Logitech, которую необходимо удалить в соответствии с Соглашением или настоящей Политикой безопасности, в соответствии с настоящим разделом 2.3 в течение 24 часов после восстановления. Если Поставщик выполняет восстановление для какой-либо цели, никакая Информация Logitech не может быть восстановлена в какой-либо сторонней системе или сети без предварительного письменного разрешения Logitech. Logitech оставляет за собой право потребовать провести проверку безопасности сторонней системы или сети усилиями Logitech (в соответствии с разделом 2.5 ниже), прежде чем разрешить восстановление какой-либо Информации Logitech в любой сторонней системе или сети.
  5. Стандарты удаления. Вся Информация Logitech, удаленная Поставщиком, должна быть удалена в соответствии со Специальной публикацией Национального института стандартов и технологий США 800-88, редакция 1, «Руководство по очистке носителей информации», от 18 декабря 2014 г. (доступно по адресу: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.Logitech), или другими стандартами, применения которых Logitech может потребовать в зависимости от категории секретности и конфиденциальности Информации Logitech.
     

2.4. Гарантированное уничтожение. Прежде чем утилизировать каким-либо образом любые аппаратные средства, программное обеспечение или любые другие носители, которые содержат или когда-либо содержали Информацию Logitech, Поставщик обязан осуществить полное гарантированное уничтожение аппаратных средств, программного обеспечения или других носителей, чтобы никакая Информация Logitech не могла быть восстановлена или извлечена в любой форме. Поставщик обязан осуществить гарантированное уничтожение в соответствии со стандартами, применения которых потребует Logitech, исходя из категории секретности и конфиденциальности Информации Logitech. Поставщик обязан предоставить свидетельство об уничтожении по запросу Logitech.

  1. Поставщик не вправе продавать, перепродавать, дарить, переделывать или иным образом передавать (включая любую продажу или передачу любых таких аппаратных средств, программного обеспечения или других носителей, любую продажу в связи с ликвидацией бизнеса Поставщика или любую другую продажу) любое аппаратное оборудование, программное обеспечение или другие носители, содержащие Информацию Logitech, которая не была гарантированно уничтожена Поставщиком.
     

2.5. Проверка безопасности.

  1. Анкета оценки рисков. Logitech требует, чтобы все поставщики проходили Оценку рисков поставщика, которая инициируется предоставлением обновленных ответов на вопросник для оценки рисков Logitech, не реже одного раза в год или чаще, в зависимости от оцененного риска поставщика.
  2. Сертификация. По письменному запросу Logitech Поставщик обязан письменно подтвердить Logitech соблюдение им условий настоящего Соглашения.
  3. Другие проверки. Logitech оставляет за собой право периодически проверять безопасность систем, которые Поставщик использует для обработки Информации Logitech. Поставщик обязан оказывать разумное содействие и предоставлять Logitech всю необходимую информацию в разумные сроки, но в течение не более чем 20 календарных дней с даты запроса Logitech.
  4. Исправление. Если какая-либо проверка безопасности выявит какие-либо отмеченные недостатки, Поставщик обязан за свой счет предпринять все действия, необходимые для устранения этих недостатков в согласованные сроки.
     

2.6. Нарушение безопасности.

  1. Поставщик обязан сообщить Logitech по адресу securityincident@logitech.com без ненадлежащего промедления (в течение не более чем 24 часов) о нарушении безопасности, согласно определению в применимом законодательстве, (i) которое касается Информации Logitech или (ii) управление которым Поставщик осуществляет с использованием элементов управления, в значительной степени аналогичных тем, с помощью которых осуществляется защита Информации Logitech (каждый из указанных случаев далее — «Нарушение безопасности»). Поставщик обязан своевременно устранять каждое Нарушение безопасности и предоставлять Logitech в письменной форме сведения о внутреннем расследовании каждого Инцидента безопасности. Поставщик соглашается не уведомлять от имени Logitech регулирующие органы или клиентов, если Logitech специально не потребует от Поставщика сделать это в письменной форме, а Logitech оставляет за собой право проверять и утверждать форму и содержание любого уведомления до его предоставления какой-либо стороне. Поставщик обязан оказывать разумное содействие и сотрудничать с Logitech в разработке и выполнении плана по устранению всех подтвержденных Инцидентов безопасности.
  2. Поставщик обязан известить Logitech без ненадлежащего промедления (в течение не более чем 24 часов), если Информация Logitech будет запрошена в связи с судебным процессом или в соответствии с применимым законодательством.