Säkerhetskrav för Återförsäljarinformation

GÅ TILL HUVUDINNEHÅLL
Pangea temporary hotfixes here

Logitechs Säkerhetskrav för Återförsäljarinformation

Logitech Europe S.A. och alla dess dotterbolag och närstående företag (gemensamt ”Logitech”) kräver att alla dess återförsäljare, tjänsteleverantörer och andra affärspartners (”Du/Dig” eller ”Återförsäljare”) upprätthåller ett omfattande skriftligt informationssäkerhetsprogram (”Informationssäkerhetsprogram”) som inkluderar tekniska, fysiska och organisatoriska åtgärder för att säkerställa konfidentialitet, säkerhet, integritet och tillgänglighet för information som tillhandahålls av Logitech, Logitechs dotterbolag och dess anställda, representanter, entreprenörer, kunder och återförsäljare (gemensamt ”Logitech-data”) och för att skydda mot obehörig åtkomst, användning, avslöjande, ändring eller förstörelse av Logitech-data. Detta Informationssäkerhetsprogram är bifogat och införlivat genom hänvisning i avtalen för tjänster (”Avtal”) av och mellan Logitech-enheten som nämns däri och Dig. I synnerhet ska Informationssäkerhetsprogrammet inkludera, men inte begränsas till, följande åtgärder där det är lämpligt eller nödvändigt för att säkerställa skyddet av Logitech-data:

  • Åtkomstkontroller – Policyer, procedurer och fysiska och tekniska kontroller:
    1. för att begränsa fysisk åtkomst till dina informationssystem och anläggningen eller anläggningarna där de är inrymda till lämpligt auktoriserade personer;
    2. för att säkerställa att alla medlemmar i arbetsstyrkan som behöver åtkomst till Logitech-data har lämpligt kontrollerad åtkomst samt för att förhindra de medlemmar av arbetsstyrkan och andra som inte borde ha åtkomst från att få åtkomst;
    3. för att autentisera och tillåta åtkomst endast till auktoriserade personer samt för att förhindra medlemmar av arbetsstyrkan från att lämna ut Logitech-data eller relaterad information till obehöriga personer; och
    4. för att kryptera och dekryptera Logitech-data där det behövs.
  • Säkerhetsmedvetenhet och utbildning – Ett säkerhetsmedvetande- och utbildningsprogram för alla medlemmar i arbetsstyrkan (inklusive ledningen) på regelbunden basis, vilket inkluderar utbildning i hur man implementerar och efterlever Informationssäkerhetsprogrammet.
  • Procedurer för säkerhetsincidenter – Policyer och procedurer för att upptäcka, svara på och på annat sätt ta itu med säkerhetsincidenter, inklusive procedurer för att övervaka system och för att upptäcka faktiska angrepp och angreppsförsök eller intrång i Logitech-data eller informationssystem som är relaterade till dessa, och procedurer för att identifiera och svara på misstänkta eller kända säkerhetsincidenter, mildra skadliga effekter av säkerhetsincidenter och dokumentera säkerhetsincidenter och deras utfall. Om Du får kännedom om någon omständighet som kan utlösa någon av Parternas skyldigheter enligt lagar om säkerhetsbrott, ska Du omedelbart tillhandahålla ett skriftligt meddelande till Logitech via securityincident@logitech.com och ska fullt ut samarbeta med Logitech för att göra det möjligt för Logitech att fullgöra sina skyldigheter enligt lagar om säkerhetsbrott.
  • Beredskapsplanering – Policyer och rutiner för att reagera på en nödsituation eller annan händelse (till exempel brand, skadegörelse, systemfel och naturkatastrof) som skadar Logitech-data eller system som innehåller Logitech-data, inklusive en säkerhetskopieringsplan och en katastrofåterställningsplan och omedelbart lämna ett skriftligt meddelande till Logitech via securityincident@logitech.com.
  • Enhets- och mediekontroller – Policyer och procedurer för maskinvara och elektroniska medier som innehåller Logitech-data in i och ut ur anläggningar, och förflyttning av dessa föremål inom anläggningarna, inklusive policyer och procedurer för att ta itu med det slutliga bortskaffandet av Logitech-data, och/eller maskinvaran eller det elektroniska mediet som det lagras på, och procedurer för att ta bort Logitech-data från elektroniska medier innan mediet görs tillgängligt för återanvändning. Du ska se till att inga Logitech-data laddas ner eller på annat sätt lagras på bärbara datorer eller andra bärbara enheter såvida de inte omfattas av alla skydd som krävs häri. Sådana skyddsåtgärder ska inkludera, men inte begränsas till, att alla enheter som får åtkomst till Logitech-data ska vara krypterade och använda uppdaterad programvara för att förhindra skadlig programvara.
  • Granskningskontroller – Maskinvara, programvara, tjänster, plattformar och/eller procedurmekanismer som registrerar och undersöker aktivitet i informationssystem som innehåller eller använder elektronisk information, inklusive lämpliga loggar och rapporter om dessa säkerhetskrav och efterlevnad av dessa.
  • Policyer och procedurer – Policyer och procedurer för att säkerställa konfidentialitet, sekretess och tillgänglighet för Logitech-data och skydda dem från oavsiktligt, obehörigt eller felaktigt avslöjande, användning, ändring eller förstörelse.
  • Lagrings- och överföringssäkerhet – Tekniska säkerhetsåtgärder för att skydda mot obehörig åtkomst till Logitech-data som överförs via ett elektroniskt kommunikationsnätverk, inklusive en mekanism för att kryptera Logitech-data i elektronisk form under överföring och lagring i nätverk eller system till vilka obehöriga personer kan ha åtkomst.
  • Tilldelat säkerhetsansvar – Du ska utse en säkerhetstjänsteman som ansvarar för utveckling, implementering och underhåll av ditt Informationssäkerhetsprogram.
  • Fysiska lagringsmedier – Policyer och procedurer för att säkerställa att innan lagringsmedia som innehåller Logitech-data tilldelas, allokeras eller omfördelas till en annan användare, eller innan sådana lagringsmedier permanent tas bort från en anläggning, kommer du att på ett säkert sätt i enlighet med avsnitt 2.3 (e.) ta bort sådana Logitech-data ur både ett fysiskt och logiskt perspektiv, så att mediet inte innehåller några restdata, eller om nödvändigt fysiskt förstöra sådana lagringsmedier. Du ska upprätthålla ett program som går att granska som implementerar de kasserings- och förstörelsekrav som anges i detta avsnitt för all lagringsmedia som innehåller Logitech-data.
  • Testning – Du ska regelbundet testa nyckelkontrollerna, systemen och procedurerna i Informationssäkerhetsprogrammet för att säkerställa att de är korrekt implementerade och effektiva för att hantera de hot och risker som identifieras. Tester bör utföras eller granskas av oberoende tredje parter eller personal oberoende av dem som utvecklar eller underhåller säkerhetsprogrammen.
  • Håll programmet uppdaterat – Du ska övervaka, utvärdera och justera, på lämpligt sätt, Informationssäkerhetsprogrammet i ljuset av alla relevanta förändringar i teknik eller industrisäkerhetsstandarder, känsligheten hos Logitech-data, interna eller externa hot mot dig eller Logitech-data, och dina egna föränderliga affärsarrangemang, såsom fusioner och förvärv, allianser och joint ventures, outsourcingarrangemang och förändringar av informationssystem.
     

Mer specifikt ska Återförsäljarens Informationssäkerhetsprogram uppfylla eller överträffa följande krav:

1. OMFATTNING; DEFINITIONER

1.1. Säkerhetspolicy. Återförsäljaren kommer i alla avseenden att följa Logitechs informationssäkerhetskrav som anges i dessa Logitechs informationssäkerhetskrav för återförsäljare (”Säkerhetspolicyn”). Säkerhetspolicyn gäller för Återförsäljarens prestanda enligt alla avtal mellan Återförsäljaren och Logitech (”Avtalet”) och all åtkomst, insamling, användning, lagring, överföring, avslöjande, förstörelse eller borttagning av och säkerhetsincidenter avseende Logitech-information (enligt definitionen nedan) . Denna Säkerhetspolicy begränsar inte Återförsäljarens andra skyldigheter, inklusive enligt Avtalet eller med avseende på några lagar som gäller för Återförsäljaren, Återförsäljarens prestanda enligt Avtalet, Logitech-informationen eller Tillåtet syfte (enligt definitionen nedan). I den mån denna Säkerhetspolicy direkt strider mot Avtalet, ska Återförsäljaren omedelbart meddela Logitech om konflikten och måste efterfölja det krav som är mer restriktivt och mer skyddande för Logitech-information (som kan utses av Logitech).

1.2. Definitioner.

  1. Dotterbolag” betyder: med avseende på en viss person, varje enhet som direkt eller indirekt kontrollerar, kontrolleras av eller står under gemensam kontroll med sådan person.
  2. Aggregera” betyder att kombinera eller lagra Logitech-information med data eller information från Återförsäljaren eller tredje part.
  3. Anonymisera” betyder att använda, samla in, lagra, överföra eller omvandla alla data eller all information (inklusive Logitech-information) på ett sätt eller i en form som inte identifierar, tillåter identifiering av och inte på annat sätt kan tillskrivas någon användare, enhetsidentifierare, källa, produkt, tjänst, sammanhang, varumärke eller Logitech eller dess Dotterbolag.
  4. Logitech-information” betyder, individuellt och kollektivt: (a) all Logitechs konfidentiella information (enligt definitionen i Avtalet eller i sekretessavtalet mellan parterna); (b) alla andra data, register, filer, innehåll eller information, i någon form eller något format, som förvärvas, nås, samlas in, tas emot, lagras eller underhålls av Återförsäljaren eller dess Dotterbolag från eller på uppdrag av Logitech eller dess Dotterbolag, eller på annat sätt i samband med Avtalet, tjänsterna som tillhandahålls enligt Avtalet, eller parternas utförande av eller utövande av rättigheter enligt eller i samband med Avtalet; och (c) härleds från (a) eller (b), även om den är anonym.

1.3. Tillåtet syfte.
Förutom vad som uttryckligen godkänts enligt Avtalet, får Återförsäljaren komma åt, samla in, använda, lagra och överföra endast den Logitech-information som uttryckligen godkänts enligt Avtalet och endast i syfte att tillhandahålla tjänsterna enligt Avtalet, i enlighet med licenserna (om sådana finns) som beviljats enligt Avtalet (”Tillåtet syfte”). Förutom vad som uttryckligen godkänts enligt Avtalet, kommer Återförsäljaren inte att komma åt, samla in, använda, lagra eller överföra någon Logitech-information och kommer inte att Aggregera Logitech-information, även om den är anonym. Förutom med Logitechs uttryckliga skriftliga medgivande i förväg kommer Återförsäljaren inte (A) att överföra, hyra ut, utöva byteshandel, byta, sälja, hyra ut, låna ut, leasa eller på annat sätt distribuera eller göra tillgänglig för tredje part någon Logitech-information eller (B) att Aggregera Logitech-information med annan information eller andra data, även om de är anonyma.

2. SÄKERHETSPOLICY

2.1. Grundläggande säkerhetskrav. Återförsäljaren kommer, i överensstämmelse med nuvarande bästa branschstandarder och liknande andra krav som specificeras av Logitech baserat på klassificeringen och känsligheten för Logitech-information, att upprätthålla fysiska, administrativa och tekniska skyddsåtgärder och andra säkerhetsåtgärder (A) för att upprätthålla säkerheten och konfidentialiteten för Logitech-information som nås, samlas in, används, lagras eller överförs av Återförsäljaren, och (B) för att skydda denna information från kända eller rimligen förutsedda hot eller faror för dess säkerhet och sekretess, oavsiktlig förlust, ändring, avslöjande och alla andra olagliga former av behandling. Återförsäljaren ska, utan begränsning, uppfylla följande krav:

  1. Brandvägg. Återförsäljaren ska installera och upprätthålla en fungerande nätverksbrandvägg för att skydda data som är tillgängliga via internet och ska alltid hålla all Logitech-information skyddad av brandväggen.
  2. Uppdateringar. Återförsäljaren ska hålla systemen och programvaran uppdaterade med de senaste uppgraderingarna, uppdateringarna, felkorrigeringarna, nya versioner och andra modifieringar som är nödvändiga för att säkerställa säkerheten för Logitech-informationen.
  3. Skydd mot skadlig programvara. Återförsäljaren ska alltid använda skydd mot skadlig programvara och hålla den uppdaterad. Återförsäljaren ska minimera hot från alla virus, spionprogram och annan skadlig kod som är eller rimligen borde ha upptäckts.
  4. Kryptering. Återförsäljaren ska kryptera data i vila och data som skickas över öppna nätverk i enlighet med branschens bästa praxis.
  5. Testning. Återförsäljaren ska regelbundet testa säkerhetssystem och processer för att säkerställa att de uppfyller kraven i denna Säkerhetspolicy.
  6. Åtkomstkontroller. Återförsäljaren ska säkra Logitech-informationen, inklusive genom att följa följande krav:
    1. Återförsäljaren ska tilldela ett unikt ID till varje person med datoråtkomst till Logitech-information.
    2. Återförsäljaren ska begränsa åtkomsten till Logitech-information till endast de personer som ”måste veta” för ett Tillåtet syfte.
    3. Återförsäljaren ska regelbundet granska listan över personer och tjänster med åtkomst till Logitech-information och ta bort konton (eller råda Logitech att ta bort konton) som inte längre kräver åtkomst. Denna granskning måste utföras minst en gång var 90:e dag.
    4. Återförsäljaren ska inte använda tillverkarens standardinställningar för systemlösenord och andra säkerhetsparametrar på några operativsystem, programvaror eller andra system. Återförsäljaren ska föreskriva och säkerställa användningen av systempåtvingade ”starka lösenord” i enlighet med bästa praxis (beskrivs nedan) för alla system som är värd för, lagrar, bearbetar eller som har eller kontrollerar åtkomst till Logitech-information och ska kräva att alla lösenord och åtkomstuppgifter hålls konfidentiella och inte delas mellan personal. Lösenord måste uppfylla följande kriterier: innehålla minst 12 tecken; inte matcha tidigare lösenord, användarens inloggning eller vanligt namn; måste ändras närhelst kontointrång misstänks eller antas; och regelbundet bytas ut efter högst 90 dagar.
    5. Återförsäljaren ska upprätthålla och genomdriva ”kontolåsning” genom att inaktivera konton med åtkomst till Logitech-information när ett konto överskrider mer än 10 på varandra följande felaktiga lösenordsförsök.
    6. Bortsett från där det uttryckligen godkänts av Logitech i skrift ska Återförsäljaren alltid isolera Logitech-information (inklusive vid lagring, bearbetning eller överföring) från Återförsäljarens information och eventuell tredjepartsinformation.
    7. Om ytterligare fysisk åtkomstkontroll begärs skriftligen av Logitech ska Återförsäljaren implementera och använda dessa säkra fysiska åtkomstkontrollåtgärder.
    8. Återförsäljaren ska på årsbasis, eller oftare på Logitechs begäran, tillhandahålla Logitech (1) loggdata om all användning (både auktoriserad och obehörig) av Logitechs konton eller autentiseringsuppgifter som tillhandahålls Återförsäljaren för användning på uppdrag av Logitech (t.ex. autentiseringsuppgifter för sociala mediekonton), och (2) detaljerad logginformation om eventuell identitetsstöld av, eller försök att efterlikna, Logitech-personal eller Återförsäljarpersonal med tillgång till Logitech-information.
    9. Återförsäljaren ska regelbundet granska åtkomstloggar efter tecken på skadligt beteende eller obehörig åtkomst.
  7. Återförsäljarpolicy. Återförsäljaren ska upprätthålla och tillämpa en informations- och nätverkssäkerhetspolicy för anställda, underleverantörer, agenter och Återförsäljare som uppfyller de standarder som anges i denna policy, inklusive metoder för att upptäcka och logga policyöverträdelser. På begäran av Logitech ska Återförsäljaren förse Logitech med information om överträdelser av Återförsäljarens informations- och nätverkssäkerhetspolicy, även om de inte utgör en säkerhetsincident.
  8. Underleverantör. Återförsäljaren ska inte lägga ut eller delegera några av sina skyldigheter enligt denna Säkerhetspolicy till några underleverantörer utan Logitechs skriftliga medgivande i förväg. Oavsett förekomsten av eller villkoren för någon underleverantör eller delegering, ska Återförsäljaren förbli ansvarig för hela fullgörandet av sina skyldigheter enligt denna Säkerhetspolicy. Villkoren i denna Säkerhetspolicy kommer att vara bindande för Återförsäljarens underleverantörer och personal. Återförsäljaren (a) ska säkerställa att underleverantörer och personal följer denna Säkerhetspolicy, och (b) kommer att vara ansvarig för alla handlingar, underlåtenheter, försumlighet och tjänstefel från dess underleverantörer och personal, inklusive (i tillämpliga fall) brott mot någon lag, regel eller reglering.
  9. Fjärråtkomst. Återförsäljaren ska säkerställa att all åtkomst från externa skyddade företags- eller produktionsmiljöer till system som innehar Logitech-information eller Återförsäljarens nätverk för företags- eller utvecklingsarbetsstationer kräver multifaktorautentisering (t.ex. kräver minst två separata faktorer för att identifiera användare).
  10. Återförsäljarens personal. Logitech kan påverka åtkomsten till Logitech-information av Återförsäljarens personal vad gäller Återförsäljarens personals genomförande och leverans till Logitech av individuella sekretessavtal, vars form specificeras av Logitech. Om det krävs av Logitech, begär Logitech att Återförsäljarens personal utför det individuella sekretessavtalet. Återförsäljaren ska erhålla och till Logitech leverera undertecknade individuella sekretessavtal från Återförsäljarens personal som ska ha åtkomst till Logitech-informationen (före beviljande av åtkomst eller tillhandahållande av information till Återförsäljarens personal). Återförsäljaren ska också (a) tillhandahålla listan över Återförsäljarens personal som har fått åtkomst till eller tagit emot Logitech-informationen till Logitech på begäran inom en överenskommen tidsram och (b) meddela Logitech senast 24 timmar efter att någon specifik personal hos Återförsäljaren med behörighet att få åtkomst till Logitech-information i enlighet med detta avsnitt: (y) inte längre behöver åtkomst till Logitech-information eller (z) inte längre kvalificerar sig som Återförsäljarens personal (t.ex. personalen lämnar Återförsäljarens anställning).
     

2.2. Åtkomst till Logitechs Extranät och Återförsäljarportaler. Logitech kan ge Återförsäljaren åtkomst till Logitech-information via webbportaler eller andra webbplatser som inte är offentliga eller extranättjänster på Logitechs webbplats eller tredjepartswebbplats eller system (vart och ett, ett ”Extranät”) för Tillåtet syfte. Om Logitech tillåter att Återförsäljaren kommer åt Logitech-information med hjälp av ett Extranät, måste Återförsäljaren uppfylla följande krav:

  1. Tillåtet syfte. Återförsäljaren och dess personal ska få åtkomst till Extranätet och komma åt, samla in, använda, visa, hämta, ladda ner eller lagra Logitech-information från Extranätet enbart för Tillåtet syfte.
  2. Konton. Återförsäljaren ska säkerställa att Återförsäljarens personal endast använder de Extranätskonton som angivits för varje individ av Logitech, och det krävs att Återförsäljarens personal håller åtkomstuppgifterna konfidentiella.
  3. System. Återförsäljaren kommer endast åt Extranätet genom dator- eller bearbetningssystem eller applikationer som kör operativsystem som hanteras av Återförsäljaren och som inkluderar: (i) systemnätverksbrandväggar i enlighet med avsnitt 2.1(A) (Brandvägg); (ii) centraliserad korrigeringshantering i enlighet med avsnitt 2.1(B) (Uppdateringar); (iii) för operativsystemet lämpligt skydd mot skadlig programvara i enlighet med avsnitt 2.1(C) (Skydd mot skadlig programvara); och (iv) för bärbara enheter, fullständig diskkryptering.
  4. Begränsningar. Såvida det inte godkänts i förväg skriftligen av Logitech, ska Återförsäljaren inte ladda ner, spegla eller permanent lagra någon Logitech-information från något Extranät på något medium, inklusive datorer, enheter eller servrar.
  5. Kontouppsägning. Återförsäljaren ska avsluta kontot för var och en av Återförsäljarens personal och meddela Logitech senast 24 timmar efter att någon specifik personal hos Återförsäljaren som har auktoriserats att få åtkomst till något Extranät (a) inte längre behöver åtkomst till Logitech-information, (b) inte längre kvalificerar sig som personal hos Återförsäljaren (t.ex. personalen lämnar Återförsäljarens anställning), eller (c) inte längre har åtkomst till Logitech-information under 30 dagar eller mer.
  6. Tredjepartssystem.
    1. Återförsäljaren ska meddela Logitech i förväg och erhålla Logitechs skriftliga godkännande innan Återförsäljaren använder något tredjepartssystem som lagrar eller på annat sätt kan ha åtkomst till Logitech-information, såvida inte (a) uppgifterna är krypterade i enlighet med denna Säkerhetspolicy och (b) tredjepartssystem inte har åtkomst till dekrypteringsnyckeln eller okrypterade ”oformaterade” versioner av data. Logitech förbehåller sig rätten att kräva en Logitech-säkerhetsgranskning (i enlighet med avsnitt 2.5 nedan) av tredjepartssystemet innan godkännande ges.
    2. Om Återförsäljaren använder tredjepartssystem som lagrar eller på annat sätt kan komma åt okrypterad Logitech-information, måste Återförsäljaren utföra en säkerhetsgranskning av tredjepartssystemen och deras säkerhetskontroller och ska tillhandahålla Logitech periodisk rapportering om tredjepartssystemets säkerhetskontroller i det format som begärs av Logitech (t.ex. SAS 70, SSAE 16 eller en efterföljande rapport), eller annan erkänd industristandardrapport som godkänns av Logitech.
       

2.3. Datalagring och förstörelse.

  1. Bibehållande. Återförsäljaren ska endast behålla Logitech-informationen i syftet för, och så länge som är nödvändigt för, Tillåtet syfte.
  2. Återlämnande eller borttagning. Återförsäljaren ska omedelbart (och inom högst 10 dagar efter Logitechs begäran) återlämna till Logitech och permanent och säkert ta bort all Logitech-information vid och i enlighet med Logitechs meddelande gällande återlämnande och/eller borttagning. Återförsäljaren ska också permanent och säkert att ta bort alla liveinstanser (online eller nätverkstillgängliga) av Logitech-informationen inom 90 dagar efter det tidigare slutförandet av Tillåtet syfte eller uppsägning eller utgång av Avtalet, såvida det inte är juridiskt nödvändigt att behålla. På begäran av Logitech ska Återförsäljaren skriftligen intyga att all Logitech-information har förstörts.
  3. Arkivkopior. Om Återförsäljaren enligt lag är skyldig att behålla arkivkopior av Logitech-information för skatteändamål eller liknande regulatoriska ändamål, måste denna arkiverade Logitech-information lagras på något av följande sätt: som en ”kall” eller offlinesäkerhetskopia (dvs. inte tillgänglig för omedelbar eller interaktiv användning) som finns lagrad i en fysiskt säker anläggning; eller krypterad, där systemet som är värd för eller lagrar den/de krypterade filen/filerna inte har åtkomst till en kopia av nyckeln/nycklarna som används för kryptering.
  4. Återställning. Om Återförsäljaren utför en ”återställning” (dvs. återgår till en säkerhetskopia) i katastrofåterställningssyfte, ska Återförsäljaren ha och upprätthålla en process som säkerställer att all Logitech-information som måste tas bort enligt avtalet eller denna Säkerhetspolicy tas bort på nytt eller skrivs över från återställda data i enlighet med detta avsnitt 2.3 inom 24 timmar efter att återställningen inträffade. Om Återförsäljaren utför en återställning i något syfte, får ingen Logitech-information återställas till något tredjepartssystem eller nätverk utan Logitechs skriftliga godkännande. Logitech förbehåller sig rätten att kräva en Logitech-säkerhetsgranskning (i enlighet med avsnitt 2.5 nedan) av tredjepartssystemet eller nätverket innan man tillåter återställning av någon Logitech-information till något tredjepartssystem eller nätverk.
  5. Standarder för borttagning. All Logitech-information som tas bort av Återförsäljaren ska tas bort i enlighet med NIST Special Publication 800-88 Revision 1, Guidelines for Media Sanitation 18 december 2014 (tillgänglig på http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.Logitech), eller sådana andra standarder som Logitech kan kräva baserat på klassificeringen och känsligheten i Logitech-informationen.
     

2.4. Rättslig förstörelse. Innan du på något sätt kasserar någon maskinvara, programvara eller någon annat medium som innehåller eller vid något tillfälle har innehållit Logitech-information, ska Återförsäljaren utföra en fullständig rättslig förstörelse av maskinvaran, programvaran eller annat medium så att ingen Logitech-information kan återställas eller hämtas i vilken form som helst. Återförsäljaren ska utföra rättslig förstörelse i enlighet med de standarder som Logitech kan kräva baserat på klassificeringen och känsligheten i Logitech-informationen. Återförsäljaren ska tillhandahålla intyg om förstörelse på begäran från Logitech.

  1. Återförsäljaren ska inte sälja, sälja vidare, donera, göra om eller på annat sätt överföra (inklusive någon försäljning eller överföring av sådan maskinvara, programvara eller annat medium, något förfogande i samband med någon avveckling av Återförsäljarens verksamhet eller något annat förfogande) någon maskinvara, programvara eller annat medium som innehåller Logitech-information som inte har förstörts rättsligt av Återförsäljaren.
     

2.5. Säkerhetsgranskning.

  1. Frågeformulär för riskbedömning. Logitech kräver att alla Återförsäljare genomgår en Återförsäljarriskbedömning, som utförs genom att Återförsäljaren tillhandahåller uppdaterade svar på Logitechs riskbedömningsfrågeformulär åtminstone på årsbasis, men den kan ske mer frekvent baserat på Återförsäljarens bedömda risk.
  2. Certifiering. På Logitechs skriftliga begäran ska Återförsäljaren skriftligen intyga till Logitech att den efterlever detta Avtal.
  3. Övriga granskningar. Logitech förbehåller sig rätten att regelbundet granska säkerheten för system som Återförsäljaren använder för att behandla Logitech-information. Återförsäljaren ska inom rimliga gränser samarbeta med och förse Logitech med all nödvändig information inom en rimlig tidsram men inte mer än 20 kalenderdagar från datumet för Logitechs begäran.
  4. Korrigerande åtgärd. Om någon säkerhetsgranskning identifierar några noterade brister, ska Återförsäljaren, på egen bekostnad, vidta alla nödvändiga åtgärder för att åtgärda dessa brister inom en överenskommen tidsram.
     

2.6. Säkerhetsläcka.

  1. Återförsäljaren ska informera Logitech via securityincident@logitech.com utan onödigt dröjsmål (inte mer än 24 timmar) om Säkerhetsläckor enligt tillämplig lag (i) som innehåller Logitech-information eller (ii) hanteras av Återförsäljaren med kontroller som i huvudsak liknar de som skyddar Logitech-information (var och en, en ”Säkerhetsläcka”). Återförsäljaren ska utan dröjsmål åtgärda varje Säkerhetsläcka och tillhandahålla Logitech skriftliga detaljer angående Återförsäljarens interna utredning angående varje Säkerhetsincident. Återförsäljaren samtycker till att inte meddela någon tillsynsmyndighet, inte heller någon kund, på uppdrag av Logitech såvida inte Logitech uttryckligen i skrift begär att Återförsäljaren gör det, och Logitech förbehåller sig rätten att granska och godkänna formen och innehållet i ett meddelande innan det lämnas till någon part. Återförsäljaren ska inom rimliga gränser samarbeta och arbeta ihop med Logitech för att formulera och genomföra en plan för att åtgärda alla bekräftade Säkerhetsincidenter.
  2. Återförsäljaren ska utan onödigt dröjsmål informera Logitech (inte mer än 24 timmar) när Logitech-information söks som svar på juridisk process eller enligt tillämplig lag.