ข้อกำหนดในการรักษาความปลอดภัยข้อมูลของผู้ขาย

ข้ามไปยังเนื้อหาหลัก
Pangea temporary hotfixes here

ข้อกำหนดในการรักษาความปลอดภัยข้อมูลของผู้ขาย Logitech

Logitech Europe SA. และบริษัทย่อยและบริษัทในเครือทั้งหมด (รวมเรียกว่า “Logitech”) กำหนดให้ผู้ขาย, ผู้ให้บริการ และพันธมิตรทางธุรกิจอื่น ๆ ทั้งหมด (“คุณ” หรือ “ผู้ขาย”) ต้องดูแลรักษาโปรแกรมการรักษาความปลอดภัยข้อมูลที่ครอบคลุมเป็นลายลักษณ์อักษร (“โปรแกรมการรักษาความปลอดภัยข้อมูล”) อันประกอบด้วยมาตรการเชิงเทคนิค เชิงกายภาพ และเชิงองค์กร เพื่อรับรองการรักษาความลับ ความปลอดภัย ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลได้รับจาก Logitech, บริษัทในเครือของ Logitech รวมถึงพนักงาน ตัวแทน ผู้รับเหมา ลูกค้า และผู้ขาย (รวมเรียกว่า “ข้อมูลของ Logitech”) และเพื่อป้องกันการเข้าถึง ใช้งาน เปิดเผย ดัดแปลง หรือทำลายข้อมูลของ Logitech โดยไม่ได้รับอนุญาต โปรแกรมการรักษาความปลอดภัยข้อมูลฉบับนี้แนบมาและมีเอกสารอ้างอิงแนบมากับ ข้อตกลงในการบริการ (“ข้อตกลง”) โดยและระหว่างนิติบุคคล Logitech ที่ระบุชื่อในที่นี้และคุณ ที่สำคัญเป็นพิเศษ โปรแกรมการรักษาความปลอดภัยข้อมูลต้องประกอบด้วยมาตรการต่อไปนี้ เมื่อเหมาะสมหรือจำเป็นเพื่อรับรองการคุ้มครองข้อมูลของ Logitech ทั้งนี้ รายการที่แสดงยังไม่ครอบคลุมทั้งหมด:

  • การควบคุมการเข้าถึง – มีนโยบาย ขั้นตอนปฏิบัติ และการควบคุมทางกายภาพและทางเทคนิค:
    1. เพื่อจำกัดการเข้าถึงทางกายภาพไปยังระบบข้อมูลและสถานที่ที่จัดเก็บข้อมูลไว้เฉพาะบุคคลที่ได้รับอนุญาตอย่างถูกต้อง
    2. เพื่อรับรองว่าสมาชิกทุกรายของกลุ่มพนักงานของคุณที่ต้องเข้าถึงข้อมูลของ Logitech มีการเข้าถึงที่มีการควบคุมอย่างเหมาะสม และเพื่อป้องกันมิให้สมาชิกในกลุ่มพนักงานเหล่านั้นและบุคคลอื่นที่ไม่มีสิทธิ์เข้าถึงได้รับสิทธิ์เข้าถึงข้อมูล
    3. เพื่อพิสูจน์ตัวจริงและอนุญาตการเข้าถึงเฉพาะบุคคลที่ได้รับอนุญาต และเพื่อป้องกันมิให้สมาชิกของกลุ่มพนักงานของคุณมอบข้อมูลของ Logitech หรือข้อมูลที่เกี่ยวข้องแก่บุคคลที่ไมได้รับอนุญาต และ
    4. เพื่อเข้ารหัสและถอดรหัสข้อมูลของ Logitech เมื่อจำเป็น
  • ความตระหนักและการฝึกอบรมด้านการรักษาความปลอดภัย –สร้างความตระหนักและจัดการฝึกอบรมด้านการรักษาความปลอดภัยให้แก่สมาชิกทุกคนของกลุ่มพนักงานของคุณ (รวมถึงฝ่ายบริหาร) เป็นประจำ ซึ่งประกอบด้วยการฝึกอบรมเกี่ยวกับวิธีการปรับใช้และการปฏิบัติตามโปรแกรมการรักษาความปลอดภัยข้อมูลของคุณ
  • ขั้นตอนปฏิบัติเมื่อเกิดเหตุการณ์ด้านความปลอดภัย – มีนโยบายและขั้นตอนปฏิบัติในการตรวจจับ, ตอบสนอง และแก้ไขเหตุการณ์ด้านความปลอดภัย รวมทั้งขั้นตอนปฏิบัติตามในการตรวจติดตามระบบและเพื่อตรวจจับการโจมตีที่เกิดขึ้นจริง และความพยายามโจมตี หรือการบุกรุกเข้าถึงข้อมูลของ Logitech หรือระบบข้อมูลที่เกี่ยวข้อง และขั้นตอนปฏิบัติเพื่อระบุและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยที่สงสัยหรือที่ทราบ, บรรเทาผลกระทบที่เป็นอันตรายของเหตุการณ์ด้านความปลอดภัย และเหตุการณ์ด้านความปลอดภัยของเอกสาร และผลที่ตามมาอื่น ๆ จากเหตุการณ์เหล่านั้น หากคุณรับทราบถึงสถานการณ์ที่อาจทำให้คู่สัญญาฝ่ายใดฝ่ายหนึ่งต้องปฏิบัติตามภาระผูกพันภายใต้กฎหมายว่าด้วยการละเมิดการรักษาความปลอดภัย คุณต้องจัดทำหนังสือแจ้งเป็นลายลักษณ์อักษรส่งให้ Logitech ทันทีผ่าน securityincident@logitech.com และต้องให้ความร่วมมืออย่างเต็มที่แก่ Logitech เพื่อให้ Logitech ปฏิบัติตามภาระผูกพันภายใต้กฎหมายว่าด้วยการละเมิดการรักษาความปลอดภัยได้
  • การวางแผนสำรองฉุกเฉิน – มีนโยบายและขั้นตอนปฏิบัติสำหรับการตอบสนองต่อเหตุฉุกเฉินหรือเหตุการณ์อื่น ๆ (เช่น เพลิงไหม้ การทำลายทรัพย์สิน ระบบล้มเหลว และภัยพิบัติทางธรรมชาติ) ที่สร้างความเสียหายต่อข้อมูลของ Logitech หรือระบบที่เก็บข้อมูลของ Logitech รวมถึงแผนการสำรองข้อมูลและแผนการฟื้นฟูจากภัยพิบัติ และจัดทำหนังสือแจ้งเป็นลายลักษณ์อักษรส่งให้แก่ Logitech ทันทีผ่านทาง securityincident@logitech.com
  • การควบคุมอุปกรณ์และสื่อ – มีนโยบายและขั้นตอนปฏิบัติเกี่ยวกับฮาร์ดแวร์และสื่ออิเล็กทรอนิกส์ที่เก็บข้อมูลของ Logitech ไว้ภายในและออกจากสถานที่ของคุณ และเกี่ยวกับการเคลื่อนที่ของสิ่งของเหล่านี้ภายในสถานที่ของคุณ รวมถึงนโยบายและขั้นตอนปฏิบัติที่กำหนดการทิ้งข้อมูลของ Logitech ในขั้นสุดท้ายและ/หรือการทิ้งฮาร์ดแวร์หรือสื่ออิเล็กทรอนิกส์ที่ใช้จัดเก็บข้อมูลในขั้นสุดท้าย และมีขั้นตอนปฏิบัติในการลบข้อมูลของ Logitech ออกจากสื่ออิเล็กทรอนิกส์ก่อนที่จะนำสื่อดังกล่าวไปใช้งานใหม่ คุณต้องตรวจสอบให้แน่ใจว่า ไม่มีการดาวน์โหลดข้อมูลของ Logitech หรือจัดเก็บอยู่ในแล็ปท็อปหรืออุปกรณ์พกพาอื่น ๆ ยกเว้นได้รับการปกป้องทั้งหมดที่กำหนดไว้ในที่นี้ มาตรการป้องกันกังกล่าว พึงประกอบด้วยแต่ไม่จำกัดเพียง อุปกรณ์ทั้งหมดที่เข้าถึงข้อมูลของ Logitech ต้องเข้ารหัส และใช้ซอฟต์แวร์ตรวจจับและป้องกันมัลแวร์ที่ทันสมัย
  • การควบคุมการตรวจระบบ – มีฮาร์ดแวร์ ซอฟต์แวร์ บริการ แพลตฟอร์ม และ/หรือกลไกขั้นตอนปฏิบัติที่บันทึกและสอดส่องดูแลกิจกรรมในระบบข้อมูลที่เก็บหรือใช้งานข้อมูลอิเล็กทรอนิกส์ รวมถึงมีบันทึกและรายงานที่เหมาะสมเกี่ยวกับข้อกำหนดในการรักษาความปลอดภัยและการปฏิบัติตามระเบียบดังกล่าว
  • นโยบายและขั้นตอนปฏิบัติ – มีนโยบายและขั้นตอนปฏิบัติเพื่อรับรองการเก็บรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลของ Logitech และปกป้องข้อมูลดังกล่าวจากการเปิดเผย การใช้งาน การดัดแปลง หรือการทำลายโดยไม่ได้ตั้งใจ ไม่ได้รับอนุญาต หรือไม่เหมาะสม
  • การรักษาความปลอดภัยในการจัดเก็บและถ่ายโอนข้อมูล – มีมาตรการรักษาความปลอดภัยทางเทคนิค เพื่อป้องกันการเข้าถึงข้อมูลของ Logitech โดยไม่ได้รับอนุญาต อันเป็นข้อมูลที่ส่งผ่านเครือข่ายการสื่อสารอิเล็กทรอนิกส์ รวมถึงมีกลไกเข้ารหัสข้อมูลของ Logitech ในรูปแบบอิเล็กทรอนิกส์ ขณะที่ส่งผ่านและจัดเก็บข้อมูลไว้ในเครือข่ายหรือระบบ ซึ่งอาจมีผู้ที่ไม่ได้รับอนุญาตเข้าถึงได้
  • การมอบหมายความรับผิดชอบด้านความปลอดภัย – คุณต้องแต่งตั้งเจ้าหน้าที่ด้านความปลอดภัยที่รับผิดชอบในการพัฒนา ปรับใช้ และบำรุงรักษาโปรแกรมการรักษาความปลอดภัยข้อมูลของคุณ
  • สื่อจัดเก็บข้อมูลกายภาพ – มีนโยบายและขั้นตอนปฏิบัติที่รับรองว่า สื่อจัดเก็บข้อมูลใด ๆ ที่เก็บข้อมูลของ Logitech ที่มอบหมาย, จัดสรร หรือจัดสรรอีกครั้งให้แก่ผู้ใช้อื่น หรือก่อนที่จะนำสื่อจัดเก็บข้อมูลดังกล่าวออกจากสถานที่ถาวร คุณจะลบข้อมูลของ Logitech ออก เป็นไปตามข้อ 2.3 (e.) อย่างปลอดภัยจากทั้งมุมมองทางกายภาพและทางตรรกะ โดยที่ทำให้สื่อไม่มีข้อมูลหลงเหลือ หรือให้ทุบทำลายสื่อเก็บข้อมูลดังกล่าวทางกายภาพ ถ้าจำเป็น คุณต้องดูแลรักษาโปรแกรมที่พร้อมตรวจสอบได้ ซึ่งระบุข้อกำหนดการทิ้งและทำลายที่ระบุในข้อนี้ สำหรับสื่อสื่อจัดเก็บข้อมูลทั้งหมดที่เก็บข้อมูลของ Logitech
  • การทดสอบ – คุณต้องทดสอบการควบคุม ระบบ และขั้นตอนปฏิบัติที่สำคัญของโปรแกรมการรักษาความปลอดภัยข้อมูลของคุณเป็นประจำ เพื่อให้แน่ใจว่า มาตรการเหล่านั้นมีการปรับใช้อย่างเหมาะสมและได้ผลในการแก้ไขภัยคุกคามและความเสี่ยงที่ระบุพบ ควรมีการจัดการทดสอบหรือมีการทบทวนโดยหน่วยงานอิสระภายนอก หรือเจ้าหน้าที่ที่เป็นอิสระจากผู้ที่พัฒนาหรือบำรุงรักษาโปรแกรมการรักษาความปลอดภัย
  • อัปเดตโปรแกรมให้ทันสมัยอยู่เสมอ – คุณต้องคอยสอดส่องดูแล ประเมิน และปรับโปรแกรมการรักษาความปลอดภัยข้อมูลตามความเหมาะสม ในกรณีที่มีการเปลี่ยนแปลงที่เกี่ยวข้องในมาตรฐานการรักษาความปลอดภัยของเทคโนโลยีหรืออุตสาหกรรม, ความละเอียดอ่อนของข้อมูลของ Logitech, ภัยคุกคามภายในหรือภายนอกต่อคุณหรือข้อมูลของ Logitech และการเปลี่ยนแปลงในการจัดการทางธุรกิจของคุณเอง เช่น การควบรวมและการซื้อกิจการ, การรวมกลุ่มพันธมิตร และการร่วมลงทุน, การจัดการการจัดจ้างภายนอก และการเปลี่ยนแปลงระบบข้อมูล
     

โดยเฉพาะอย่างยิ่ง โปรแกรมการรักษาความปลอดภัยข้อมูลของผู้ขายต้องตรงตามหรือเกินข้อกำหนดต่อไปนี้:

1. ขอบเขต, คำจำกัดความ

1.1. นโยบายการรักษาความปลอดภัย ผู้ขายต้องปฏิบัติตามข้อกำหนดในการรักษาความปลอดภัยข้อมูลของ Logitech ทุกด้านที่กำหนดไว้ในข้อกำหนดในการรักษาความปลอดภัยข้อมูลสำหรับผู้ขายของ Logitech เหล่านี้ (“นโยบายการรักษาความปลอดภัย”) นโยบายการรักษาความปลอดภัยมีผลใช้กับผลการปฏิบัติงานของผู้ขาย ภายใต้ข้อตกลงระหว่างผู้ขายและ Logitech (“ข้อตกลง”) และการเข้าถึง, การรวบรวม, การใช้งาน, การจัดเก็บ, การส่งต่อ, การเปิดเผย, การทำลาย และการลบข้อมูล รวมถึงเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับข้อมูลของ Logitech (ตามคำจำกัดความด้านล่าง) นโยบายการรักษาความปลอดภัยฉบับนี้ไม่ได้จำกัดภาระผูกพันอื่น ๆ ของผู้ขาย รวมถึงภายใต้ข้อตกลงหรือที่เกี่ยวข้องกับกฎหมายใด ๆ ที่มีผลบังคับใช้กับผู้ขาย, ผลการปฏิบัติงานของผู้ขายตามข้อตกลง, ข้อมูลของ Logitech หรือวัตถุประสงค์ที่อนุญาต (ตามคำจำกัดความด้านล่าง) ในกรณีที่นโยบายการรักษาความปลอดภัยฉบับนีขัดแย้งกับข้อตกลงโดยตรง ผู้ขายจะแจ้ง Logitech ให้ทราบถึงข้อขัดแย้งทันที และจะปฏิบัติตามข้อกำหนดที่เข้มงวดกว่า และมีการปกป้องข้อมูลของ Logitech ได้ดีกว่า (ซึ่งอาจกำหนดโดย Logitech)

1.2. คำจำกัดความ

  1. บริษัทในเครือ” เมื่อพูดถึงบุคคลที่เจาะจง หมายถึง นิติบุคคลใด ๆ ที่ควบคุม หรือถูกควบคุมโดย หรืออยู่ภายใต้การควบคุมร่วมกันกับบุคคลดังกล่าว ทั้งทางตรงหรือทางอ้อม
  2. รวม” หมายถึง การรวมหรือจัดเก็บข้อมูลของ Logitech กับข้อมูลใด ๆ ของผู้ขายหรือบุคคลภายนอกใด ๆ
  3. ทำให้ระบุตัวตนไม่ได้” หมายถึง การใช้งาน รวบรวม จัดเก็บ ส่ง หรือแปลงข้อมูลใด ๆ (รวมถึงข้อมูลของ Logitech) ในลักษณะหรือเป็นรูปแบบที่ทำให้ไม่สามารถระบุตัวตน, ไม่อนุญาตให้ระบุตัวตน และไม่สามารถเชื่อมโยงกับผู้ใช้, ตัวระบุชี้อุปกรณ์, แหล่งที่มา, ผลิตภัณฑ์, บริการ, บริบท, แบรนด์ หรือ Logitech หรือบริษัทในเครือได้
  4. ข้อมูลของ Logitech” หมายถึง ข้อมูลต่าง ๆ ต่อไปนี้ทั้งที่แยกกันและรวมกัน: (ก) ข้อมูลลับของ Logitech ทั้งหมด (ตามคำจำกัดความในข้อตกลงหรือในข้อตกลงไม่เปิดเผยข้อมูลระหว่างคู่สัญญา), (ข) ข้อมูล บันทึก ไฟล์ เนื้อหา หรือข้อมูลอื่น ๆ ทั้งหมดในทุกรูปแบบหรือลักษณะ ที่ได้มา ประเมิน รวบรวม ได้รับ จัดเก็บ หรือดูแลรักษาโดยผู้ขายหรือบริษัทในเครือจากหรือในนามของ Logitech หรือบริษัทในเครือ หรือข้อมูลที่เกี่ยวข้องกับข้อตกลง, การให้บริการตามข้อตกลง หรือการดำเนินการหรือใช้สิทธิ์ภายใต้หรือตามข้อตกลงของคู่สัญญา และ (ค) ได้มาจาก (ก) หรือ (ข) แม้ว่าทำให้ระบุตัวตนไม่ได้แล้วก็ตาม

1.3. วัตถุประสงค์ที่อนุญาต
ยกเว้นมีการอนุญาตอย่างชัดแจ้งในข้อตกลง ผู้ขายอาจเข้าถึง รวบรวม ใช้งาน จัดเก็บ และส่งข้อมูลของ Logitech ตามที่ได้รับอนุญาตอย่างชัดเจนในข้อตกลงเท่านั้น และเป็นไปเพื่อวัตถุประสงค์ในการให้บริการตามข้อตกลงเพียงอย่างเดียว สอดคล้องกับสิทธิ์การใช้งาน (ถ้ามี) ที่ได้รับภายใต้ข้อตกลง (“วัตถุประสงค์ที่อนุญาต”) ยกเว้นมีการอนุญาตอย่างชัดแจ้งในข้อตกลง ผู้ขายจะไม่เข้าถึง รวบรวม ใช้งาน จัดเก็บ และส่งข้อมูลของ Logitech และจะไม่รวมข้อมูลของ Logitech แม้ว่าจะทำให้ระบุตัวตนไม่ได้ก็ตาม ยกเว้นมีความยินยอมอย่างชัดเจนจาก Logitech เป็นลายลักษณ์อักษร ผู้ขายจะไม่ (ก) โอน ให้เช่า ต่อรอง แลกเปลี่ยน ขาย ให้ยืม หรือแจกจ่าย หรือทำให้บุคคลภายนอกใด ๆ เข้าดูข้อมูลของ Logitech ได้ หรือ (ข) รวมข้อมูลของ Logitech กับข้อมูลอื่นใด แม้ว่าจะทำให้ระบุตัวตนไม่ได้ก็ตาม

2. นโยบายการรักษาความปลอดภัย

2.1. ข้อกำหนดในการรักษาความปลอดภัยพื้นฐาน ผู้ขายจะจัดเตรียมการป้องกันเชิงกายภาพ เชิงการบริหารจัดการ และเชิงเทคนิค และมาตรการรักษาความปลอดภัยอื่น ๆ โดยเป็นไปตามมาตรฐานอุตสาหกรรมที่ดีที่สุดในปัจจุบัน และข้อกำหนดอื่นดังกล่าวที่ Logitech กำหนดตามการแบ่งประเภทและความละเอียดอ่อนของข้อมูลของ Logitech (ก) เพื่อดูแลรักษาความปลอดภัยและการเก็บรักษาความลับของข้อมูลของ Logitech ที่ประเมิน รวบรวม ใช้งาน จัดเก็บ หรือส่งต่อโดยผู้ขาย และ (ข) เพื่อปกป้องข้อมูลนั้นจากภัยคุกคามหรืออันตรายที่ทราบหรือที่คาดการณ์ไว้ตามสมควร ที่มีต่อการรักษาความปลอดภัยและความสมบูรณ์ของข้อมูล ป้องกันการสูญเสีย การดัดแปลง การเปิดเผยข้อมูลโดยอุบัติเหตุ รวมถึงการประมวลผลข้อมูลที่มิชอบด้วยกฎหมายทุกรูปแบบ ผู้ขายต้องปฏิบัติตามข้อกำหนดต่อไปนี้โดยไม่มีข้อจำกัด:

  1. ไฟร์วอลล์ ผู้ขายจะต้องติดตั้งและดูแลรักษาไฟล์วอลล์ของเครือข่ายที่ทำงานเพื่อปกป้องการเข้าถึงข้อมูลผ่านทางอินเทอร์เน็ต และจะใช้ไฟล์วอลล์ปกป้องข้อมูลของ Logitech ทั้งหมดไว้ตลอดเวลา
  2. การอัปเดต ผู้ขายจะคอยอัปเดตระบบและซอฟต์แวร์ให้ทันสมัยด้วยการอัปเกรด การอัปเดต การแก้ไขข้อบกพร่อง เวอร์ชันใหม่ และการดัดแปลงอื่น ๆ ที่จำเป็นเพื่อรับรองการรักษาความปลอดภัยของข้อมูลของ Logitech
  3. แอนตี้มัลแวร์ ผู้ขายจะใช้ซอฟต์แวร์แอนตี้มัลแวร์ตลอดเวลา และจะคอยอัปเดตซอฟต์แวร์แอนตี้มัลแวร์ให้เป็นปัจจุบัน ผู้ขายจะลดภัยคุกคามจากไวรัส สปายแวร์ และรหัสมุ่งร้ายอื่น ๆ ที่มีการตรวจจับหรือควรตรวจจับได้อย่างสมเหตุสมผล
  4. การเข้ารหัส ผู้ขายจะเข้ารหัสข้อมูลที่พักไว้ และข้อมูลที่ส่งข้ามเครือข่ายเปิดสอดคล้องกับหลักปฏิบัติที่ดีที่สุดของอุตสาหกรรม
  5. การทดสอบ ผู้ขายจะทดสอบระบบการรักษาความปลอดภัยเป็นประจำ และดำเนินการเพื่อให้แน่ใจว่า ระบบตรงตามข้อกำหนดของนโยบายการรักษาความปลอดภัยนี้
  6. การควบคุมการเข้าถึง ผู้ขายจะดูแลความปลอดภัยของข้อมูลของ Logitech รวมถึงโดยการปฏิบัติตามข้อกำหนดต่อไปนี้:
    1. ผู้ขายจะกำหนด ID เฉพาะให้แก่แต่ละบุคคลที่มีคอมพิวเตอร์ที่เข้าถึงข้อมูลของ Logitech ได้
    2. ผู้ขายจะจำกัดการเข้าถึงข้อมูลของ Logitech ไว้เฉพาะผู้ที่ “จำเป็นต้องทราบ” เพื่อวัตถุประสงค์ที่อนุญาตเท่านั้น
    3. ผู้ขายจะตรวจสอบรายชื่อบุคคลและบริการที่มีสิทธิ์การเข้าถึงข้อมูลของ Logitech เป็นประจำ และลบบัญชี (หรือแนะนำให้ Logitech ลบบัญชี) ที่ไม่ต้องมีสิทธิ์การเข้าถึงอีกต่อไป การตรวจสอบนี้ต้องดำเนินการอย่างน้อยทุก 90 วัน
    4. ผู้ขายจะไม่ใช้ค่าเริ่มต้นที่ได้มาจากผู้ผลิตเป็นรหัสผ่านระบบ และพารามิเตอร์ความปลอดภัยอื่น ๆ ในระบบปฏิบัติการ ซอฟต์แวร์ หรือระบบอื่น ๆ ผู้ขายจะตั้งกฎเกณฑ์และตรวจสอบให้มีการใช้ “รหัสผ่านที่รัดกุม” ที่บังคับใช้โดยระบบ เป็นไปตามหลักปฏิบัติที่ดีที่สุด (ตามที่อธิบายด้านล่าง) ในทุกระบบที่โฮสต์ จัดเก็บ ประมวลผล หรือที่มีหรือควบคุมการเข้าถึงข้อมูลของ Logitech และจะกำหนดให้รหัสผ่านและข้อมูลประจำตัวต้องเก็บไว้เป็นความลับและไม่แบ่งปันในหมู่บุคลากร รหัสผ่านต้องตรงตามเกณฑ์ต่อไปนี้: ประกอบด้วยอย่างน้อย 12 ตัวอักษร, ไม่ตรงกับรหัสผ่าน ล็อกอินก่อนหน้าของผู้ใช้ หรือตรงกับชื่อที่พบได้บ่อย, ต้องเปลี่ยนทุกครั้งที่สงสัยหรือคาดเดาว่าบัญชีไม่รัดกุม และต้องเปลี่ยนเป็นประจำหลังจากไม่เกิน 90 วัน
    5. ผู้ขายต้องดูแลรักษาและบังคับใช้ “การปิดล็อกบัญชี” โดยการปิดใช้งานบัญชีที่เข้าถึงข้อมูลของ Logitech ได้เมื่อใส่รหัสผ่านไม่ถูกต้องติดต่อกัน 10 ครั้ง
    6. ยกเว้นว่า Logitech ให้การอนุญาตอย่างชัดแจ้งเป็นลายลักษณ์อักษร ผู้ขายต้องแยกข้อมูลของ Logitech (รวมถึงในที่เก็บข้อมูล การประมวลผล หรือการส่งข้อมูล) ออกจากข้อมูลของผู้ขายและของบุคคลภายนอกใด ๆ ตลอดเวลา
    7. หาก Logitech ร้องขอให้มีการจัดตั้งการควบคุมการเข้าถึงกายภาพเพิ่มเติมเป็นลายลักษณ์อักษร ผู้ขายจะปรับใช้และใช้มาตรการควบคุมการเข้าถึงทางกายภาพที่ปลอดภัยเหล่านั้น
    8. ผู้ขายจะจัดทำสิ่งต่าง ๆ ต่อไปนี้มอบให้แก่ Logitech เป็นรายปีหรือบ่อยกว่านั้นตามที่ Logitech ร้องขอ (1) ข้อมูลบันทึกเกี่ยวกับการใช้งาน (ทั้งที่ได้รับอนุญาตและไม่ได้รับอนุญาต) บัญชีหรือข้อมูลประจำตัวของ Logitech ทั้งหมดที่มอบให้แก่ผู้ขายไว้เพื่อใช้งานในนามของ Logitech (เช่น ข้อมูลประจำตัวของบัญชีโซเชียลมีเดีย) และ (2) บันทึกข้อมูลอย่างละเอียดเกี่ยวกับการสวมบทบาทเป็น หรือความพยายามสวมบทบาทเป็นบุคลากรของ Logitech หรือบุคลากรของผู้ขายที่มีสิทธิ์เข้าถึงข้อมูลของ Logitech
    9. ผู้ขายจะตรวจสอบบันทึกการเข้าถึงเป็นประจำ เพื่อหาร่องรอยพฤติกรรมที่มุ่งร้ายหรือการเข้าถึงที่ไม่ได้รับอนุญาต
  7. นโยบายของผู้ขาย ผู้ขายจะดูแลรักษาและบังคับใช้นโยบายด้านการรักษาความปลอดภัยข้อมูลและเครือข่ายสำหรับพนักงาน ผู้รับเหมาช่วง เจ้าหน้าที่ และผู้ขาย โดยเป็นนโยบายที่ตรงตามมาตรฐานที่กำหนดไว้ในนโยบายฉบับนี้ รวมถึงวิธีการในการตรวจจับและบันทึกการละเมิดนโยบาย เมื่อ Logitech ร้องขอ ผู้ขายมอบข้อมูลเกี่ยวกับการละเมิดนโยบายด้านการรักษาความปลอดภัยข้อมูลและเครือข่ายของผู้ขายให้แก่ Logitech แม้ว่าเหตุการณ์ดังกล่าวจะไม่ถือเป็นเหตุการณ์ด้านความปลอดภัยก็ตาม
  8. การรับเหมาช่วง ผู้ขายจะไม่ว่าจ้างผู้รับเหมาช่วง หรือมอบหมายภาระผูกพันของตนตามนโยบายการรักษาความปลอดภัยฉบับนี้ให้แก่ผู้รับเหมาช่วงใด ๆ โดยไม่มีความยินยอมเป็นลายลักษณ์อักษรจาก Logitech ล่วงหน้า ไม่ว่าจะมีหรือเกี่ยวข้องกับการรับเหมาช่วงหรือการมอบหมายหรือไม่ ผู้ขายยังคงเป็นผู้รับผิดชอบในการดำเนินการทั้งหมดตามภาระผูกพันภายใต้นโยบายการรักษาความปลอดภัยฉบับนี้ ข้อกำหนดและเงื่อนไขของนโยบายการรักษาความปลอดภัยนี้จะมีผลผูกพันต่อผู้รับเหมาช่วงและบุคลากรของผู้ขาย ผู้ขายจะ (ก) ตรวจสอบให้แน่ใจว่าผู้รับเหมาช่วงและบุคลากรของผู้ขายปฏิบัติตามนโยบายการรักษาความปลอดภัยฉบับนี้ และ (ข) เป็นผู้รับผิดชอบการกระทำ การละเลย ความประมาทเลินเล่อ และการกระทำผิดทั้งหมดของผู้รับเหมาช่วงและบุคลากร รวมถึงการละเมิดกฎหมาย กฎเกณฑ์ หรือกฎระเบียบ (ถ้ามี)
  9. การเข้าถึงจากระยะไกล ผู้ขายจะตรวจสอบให้แน่ใจว่าการเข้าถึงใด ๆ ที่มาจากนอกสภาพแวดล้อมของบริษัทและการผลิตที่มีการป้องกัน เพื่อเข้าถึงระบบที่ครอบครองข้อมูลของ Logitech หรือเครือข่ายบริษัทและสถานีงานเพื่อการพัฒนาของผู้ขายต้องมีระบบพิสูจน์ตัวจริงหลายปัจจัย (เช่น กำหนดให้มีอย่างน้อยสองปัจจัยที่แยกกันในการระบุตัวตนผู้ใช้)
  10. บุคลากรของผู้ขาย Logitech อาจกำหนดเงื่อนไขในการเข้าถึงข้อมูลของ Logitech ของบุคลากรของผู้ขาย โดยให้บุคลากรของผู้ขายต้องทำสัญญาข้อตกลงไม่เปิดเผยข้อมูลเฉพาะบุคคล และจัดส่งให้กับ Logitech โดยเป็นรูปแบบที่ Logitech กำหนด หาก Logitech ร้องขอ Logitech อาจขอให้บุคลากรของผู้ขายทำข้อตกลงไม่เปิดเผยข้อมูลเป็นรายบุคคล ผู้ขายจะรวบรวมและส่งข้อตกลงการไม่เปิดเผยข้อมูลเฉพาะบุคคลที่ลงนามแล้วจากบุคลากรของผู้ขายที่จะเข้าถึงข้อมูลของ Logitech ให้แก่ Logitech (ก่อนที่จะให้สิทธิ์การเข้าถึงหรือให้ข้อมูลแก่บุคลากรของผู้ขาย) ผู้ขายยังต้อง (ก) จัดทำรายชื่อบุคลากรของผู้ขายที่เข้าถึงหรือได้รับข้อมูลของ Logitech ให้แก่ Logitech ตามที่ร้องขอภายในระยะเวลาที่ตกลงกันไว้ (ข) แจ้ง Logitech ไม่ช้ากว่า 24 ชั่วโมง หลังจากที่บุคลากรของผู้ขายเฉพาะบุคคลใด ๆ ได้รับอนุญาตให้เข้าถึงข้อมูลของ Logitech เป็นไปตามข้อนี้: (ธ) ไม่ต้องเข้าถึงข้อมูลของ Logitech อีกต่อไป หรือ (บ) ไม่มีคุณสมบัติเป็นบุคลากรของผู้ขายอีกต่อไป (เช่น บุคลากรลาออกจากผู้ขาย)
     

2.2. การเข้าถึงเอกซ์ทราเน็ตของ Logitech และพอร์ทัลผู้ขาย Logitech อาจอนุญาตให้ผู้ขายเข้าถึงข้อมูลของ Logitech ผ่านทางเว็บพอร์ทัล หรือเว็บไซต์ที่ไม่เป็นสาธารณะอื่น ๆ หรือบริการเอกซ์ทราเน็ต หรือเว็บไซต์หรือระบบของ Logitech หรือภายนอก (แต่ละรายการเรียกว่า “เอกซ์ทราเน็ต”) เพื่อใช้งานตามวัตถุประสงค์ที่อนุญาต หาก Logitech อนุญาตให้ผู้ขายเข้าถึงข้อมูลของ Logitech โดยใช้เอกซ์ทราเน็ต ผู้ขายต้องปฏิบัติตามข้อกำหนดดังต่อไปนี้:

  1. วัตถุประสงค์ที่อนุญาต ผู้ขายและบุคลากรจะเข้าถึงเอกซ์ทราเน็ต และเข้าถึง รวบรวม ใช้งาน ดู เรียกดู ดาวน์โหลด หรือจัดเก็บข้อมูลของ Logitech จากเอกซ์ทราเน็ตเพื่อวัตถุประสงค์ที่อนุญาตเพียงอย่างเดียว
  2. บัญชี ผู้ขายจะตรวจสอบให้แน่ใจว่า บุคลากรของผู้ขายจะใช้บัญชีเอกซ์ทราเน็ตที่ Logitech มอบหมายให้แต่ละบุคคลเท่านั้น และบุคลากรของผู้ขายจำเป็นต้องเก็บข้อมูลประจำตัวสำหรับเข้าถึงของตนไว้เป็นความลับ
  3. ระบบ ผู้ขายจะเข้าถึงเอกซ์ทราเน็ตเฉพาะเมื่อผ่านระบบคอมพิวเตอร์หรือระบบประมวลผล หรือแอปพลิเคชันที่ทำงานด้วยระบบปฏิบัติการที่จัดการโดยผู้ขาย ซึ่งเป็นระบบที่ประกอบด้วย: (i) ไฟล์วอลล์เครือข่ายระบบเป็นไปตามข้อที่ 2.1(A) (ไฟร์วอลล์); (ii) การจัดการแพตช์จากส่วนกลางเป็นไปตามข้อ 2.1(B) (การอัปเดต); (iii) ระบบปฏิบัติการที่มีซอฟต์แวร์แอนตี้มัลแวร์เป็นไปตามข้อ 2.1(C) (แอนตี้มัลแวร์) และ (iv) สำหรับอุปกรณ์พกพา ต้องมีการเข้ารหัสดิสก์เต็มรูปแบบ
  4. ข้อจำกัด ยกเว้นมีการอนุมัติล่วงหน้าเป็นลายลักษณ์อักษรโดย Logitech ผู้ขายจะไม่ดาวน์โหลด คัดลอก หรือจัดเก็บข้อมูลของ Logitech จากเอกซ์ทราเน็ตไว้ในสื่อกลางใด ๆ อย่างถาวร รวมถึงในเครื่อง อุปกรณ์ หรือเซิร์ฟเวอร์
  5. การปิดบัญชี ผู้ขายจะปิดบัญชีของบุคลากรของผู้ขายแต่ละคน และแจ้งให้ Logitech ทราบไม่เกิน 24 ชั่วโมงหลังจากที่บุคลากรของผู้ขายคนใด ๆ ที่ได้รับอนุญาตให้เข้าถึงเอกซ์ทราเน็ตใด ๆ (ก) ไม่ต้องเข้าถึงข้อมูลของ Logitech อีกต่อไปนี้ (ข) ไม่ได้เป็นบุคลากรของผู้ขายอีกต่อไป (เช่น บุคลากรลาออกจากผู้ขาย) หรือ (ค) ไม่ได้เข้าถึงข้อมูลของ Logitech นาน 30 วันขึ้นไป
  6. ระบบภายนอก
    1. ผู้ขายจะแจ้ง Logitech ล่วงหน้าและขอการอนุมัติเป็นลายลักษณ์อักษรจาก Logitech ล่วงหน้าก่อนที่จะใช้ระบบภายนอกใด ๆ ที่จัดเก็บหรือเข้าถึงข้อมูลของ Logitech ยกเว้น (ก) ข้อมูลมีการเข้ารหัสตามนโยบายการรักษาความปลอดภัย และ (ข) ระบบภายนอกไม่มีสิทธิ์เข้าถึงคีย์ถอดรหัสหรือข้อมูลในเวอร์ชัน “ข้อความธรรมดา” Logitech ขอสงวนสิทธิ์ที่จะเรียกร้องการตรวจสอบความปลอดภัยของ Logitech (ตามข้อ 2.5 ด้านล่าง) ของระบบภายนอกก่อนที่จะอนุมัติ
    2. ถ้าผู้ขายใช้ระบบภายนอกใด ๆ ที่จัดเก็บหรืออาจเข้าถึงข้อมูลของ Logitech ที่ไม่ได้เข้ารหัส ผู้ขายต้องตรวจสอบความปลอดภัยและการควบคุมความปลอดภัยของระบบภายนอก และส่งรายการเป็นระยะให้แก่ Logitech เกี่ยวกับการควบคุมความปลอดภัยของระบบภายนอก ในรูปแบบที่ Logitech ร้องขอ (เช่น SAS 70, SSAE 16 หรือรายงานผู้รับช่วงต่อ) หรือรายงานมาตรฐานที่รู้จักกันในอุตสาหกรรมอื่น ๆ ที่ Logitech อนุมัติ
       

2.3. การเก็บรักษาและการทำลายข้อมูล

  1. การเก็บรักษา ผู้ขายจะเก็บรักษาข้อมูลของ Logitech เฉพาะเพื่อเป็นไปตามวัตถุประสงค์ที่อนุญาต และตราบเท่าที่จำเป็นตามวัตถุประสงค์ที่อนุญาตเท่านั้น
  2. การส่งคืนหรือการลบ ผู้ขายจะพร้อม (แต่ไม่ช้ากว่า 10 วันหลังจากที่ Logitech ร้องขอ) ส่งคืนข้อมูลของ Logitech ให้แก่ Logitech และลบข้อมูลของ Logitech ทั้งหมดอย่างปลอดภัยและถาวร และเป็นไปตามหนังสือแจ้งของ Logitech ที่กำหนดให้มีการส่งคืนและ/หรือลบข้อมูล นอกจากนี้ ผู้ขายจะลบไลฟ์อินสแตนซ์ (ออนไลน์หรือที่เข้าถึงได้ทางเครือข่าย) ของข้อมูลของ Logitech ทั้งหมดอย่างถาวรและปลอดภัยภายใน 90 วันหลังจากก่อนทำตามวัตถุประสงค์ที่อนุญาตเสร็จสิ้น หรือก่อนการบอกเลิกข้อตกลงหรือวันที่ข้อตกลงหมดอายุ ยกเว้นกฎหมายกำหนดให้จัดเก็บไว้ หาก Logitech ร้องขอ ผู้ขายจะรับรองเป็นลายลักษณ์อักษรว่าข้อมูลของ Logitech ถูกทำลายทั้งหมดแล้ว
  3. สำเนาเก็บถาวร หากกฎหมายกำหนดให้ผู้ขายเก็บรักษาสำเนาเก็บถาวรของข้อมูลของ Logitech เพื่อวัตถุประสงค์ทางภาษีหรือทางกฎหมายที่คล้ายกัน ข้อมูลของ Logitech ที่เก็บถาวรนี้ต้องจัดเก็บด้วยวิธีการใดวิธีการหนึ่งต่อไปนี้: เป็นข้อมูลสำรองแบบ “รอง” (cold) หรือออฟไลน์ (กล่าวคือ ไม่พร้อมใช้งานทันทีหรือแบบโต้ตอบ) ที่จัดเก็บในสถานที่ที่มีการรักษาความปลอดภัยทางกายภาพ หรือมีการเข้ารหัส ถ้าระบบที่โฮสต์หรือจัดเก็บไฟล์เข้ารหัส ไม่มีสิทธิ์เข้าถึงสำเนาของคีย์ที่ใช้ในการถอดรหัส
  4. การกู้คืน หากผู้ขาย “กู้คืน” (กล่าวถือ เปลี่ยนกลับไปเป็นข้อมูลสำรอง) เพื่อวัตถุประสงค์ในการฟื้นฟูจากภัยพิบัติ ผู้ขายจะมีและดูแลรักษากระบวนการที่รับรองว่าข้อมูลของ Logitech ที่จำเป็นต้องลบตามข้อตกลง หรือนโยบายการรักษาความปลอดภัยฉบับนี้จะได้รับการลบอีกครั้งหรือเขียนทับจากข้อมูลที่กู้คืน เป็นไปตามข้อ 2.3 ภายใน 24 ชั่วโมงหลังจากการกู้คืน หากผู้ขายกู้คืนข้อมูลไม่ว่าด้วยวัตถุประสงค์ใด จะต้องไม่กู้คืนข้อมูลของ Logitech ในระบบหรือเครือข่ายภายนอกโดยไม่มีการอนุมัติเป็นลายลักษณ์จาก Logitech ล่วงหน้า Logitech ขอสงวนสิทธิ์ในการขอตรวจสอบความปลอดภัย Logitech (ตามข้อที่ 2.5 ด้านล่าง) ของระบบหรือเครือข่ายภายนอก ก่อนที่จะอนุญาตให้กู้คืนข้อมูลของ Logitech ใด ๆ ในระบบหรือเครือข่ายภายนอก
  5. มาตรฐานการลบ ข้อมูลของ Logitech ทั้งหมดที่ผู้ขายลบจะลบตาม NIST Special Publication 800-88 ฉบับแก้ไขครั้งที่ 1 ซึ่งเป็นแนวทางความสะอาดของสื่อวันที่ 18 ธันวาคม 2014 (ดูได้ที่ https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization) หรือมาตรฐานอื่นที่ Logitech อาจกำหนดตามการแบ่งประเภทและความละเอียดอ่อนของข้อมูลของ Logitech
     

2.4. การทำลายข้อมูลตามหลักนิติเวชศาสตร์ ก่อนจะทิ้งฮาร์ดแวร์ ซอฟต์แวร์ หรือสื่ออื่นใด ที่เก็บหรือเคยเก็บข้อมูลของ Logitech ไม่ว่าในลักษณะใดก็ตาม ผู้ขายจะต้องทำลายฮาร์ดแวร์ ซอฟต์แวร์ หรือสื่ออื่นดังกล่าวให้สมบูรณ์ตามหลักนิติเวชศาสตร์ เพื่อให้ไม่สามารถกู้คืนหรือเรียกดูข้อมูลของ Logitech ได้ทุกรูปแบบ ผู้ขายจะทำลายข้อมูลตามหลักนิติเวชศาสตร์ โดยเป็นไปตามมาตรฐานที่ Logitech อาจกำหนดตามการแบ่งประเภทและความละเอียดอ่อนของข้อมูลของ Logitech ผู้ขายต้องให้ใบรับรองการทำลายเมื่อ Logitech ร้องขอ

  1. ผู้ขายจะไม่ขาย ขายต่อ บริจาค ตกแต่ง หรือโอน (รวมถึงการขายหรือโอนฮาร์ดแวร์ ซอฟต์แวร์ หรือสื่ออื่นดังกล่าว, การจำหน่ายจ่ายโอนทรัพย์ใด ๆ ที่เกี่ยวข้องกับการชำระบัญชีของธุรกิจของผู้ขาย หรือการจำหน่ายจ่ายโอนทรัพย์อื่นใด) ฮาร์ดแวร์ ซอฟต์แวร์ หรือสื่ออื่น ๆ ที่เก็บข้อมูลของ Logitech ที่ผู้ขายยังไม่ได้ทำลายตามหลักนิติเวชศาสตร์
     

2.5. การตรวจสอบความปลอดภัย

  1. แบบสอบถามการประเมินความเสี่ยง Logitech กำหนดให้ผู้ขายทุกรายต้องผ่านการประเมินความเสี่ยงของผู้ขาย ซึ่งเริ่มต้นโดยการส่งคำตอบที่อัปเดตแล้วของแบบสอบถามการประเมินความเสี่ยงของ Logitech อย่างน้อยเป็นรายปี แต่อาจบ่อยกว่านี้ตามความเสี่ยงที่ประเมินของผู้ขาย
  2. การรับรอง เมื่อ Logitech ร้องขอเป็นลายลักษณ์อักษร ผู้ขายจะให้ใบรับรองเป็นลายลักษณ์อักษรแก่ Logitech ว่าตนปฏิบัติตามข้อตกลงนี้
  3. การตรวจสอบอื่น ๆ Logitech ขอสงวนสิทธิ์ตรวจสอบการรักษาความปลอดภัยระบบที่ผู้ขายใช้ประมวลผลข้อมูลของ Logitech เป็นระยะ ผู้ขายจะให้ความร่วมมือที่สมเหตุสมผล และให้ข้อมูลที่เกี่ยวข้องทั้งหมดแก่ Logitech ภายในกรอบเวลาที่สมเหตุสมผล แต่ไม่เกิน 20 วันปฏิทินนับจากวันที่ Logitech ร้องขอ
  4. การเยียวยาแก้ไข หากการตรวจสอบความปลอดภัยใด ๆ ระบุพบความเบี่ยงเบน ผู้ขายจะดำเนินการที่จำเป็นทั้งหมดเพื่อแก้ไขความเบี่ยงเบนเหล่านั้นภายในระยะเวลาที่ตกลงกัน โดยผู้ขายเป็นผู้ออกค่าใช้จ่ายแต่เพียงผู้เดียว
     

2.6. การละเมิดการรักษาความปลอดภัย

  1. ผู้ขายจะแจ้ง Logitech ผ่านทาง securityincident@logitech.com โดยไม่ล้าช้า (ไม่เกิน 24 ชั่วโมง) ให้ทราบถึงการละเมิดการรักษาความปลอดภัยตามคำจำกัดความของกฎหมายที่บังคับใช้ (i) ที่มีข้อมูลของ Logitech หรือ (ii) ที่จัดการโดยผู้ขาย ซึ่งมีการควบคุมคล้ายกับที่ปกป้องข้อมูลของ Logitech อย่างมาก (แต่ละครั้งเรียกว่า “การละเมิดการรักษาความปลอดภัย”) ผู้ขายจะเยียวยาการละเมิดการรักษาความปลอดภัยแต่ละครั้งอย่างทันท่วงที และจัดทำรายละเอียดเป็นลายลักษณ์อักษรมอบให้แก่ Logitech เกี่ยวกับการสอบสวนภายในของผู้ขาย เกี่ยวกับเหตุการณ์ด้านความปลอดภัยแต่ละครั้ง ผู้ขายตกลงที่จะไม่แจ้งหน่วยงานกำกับดูแล หรือลูกค้าใด ๆ ในนามของ Logitech เว้นแต่ Logitech ร้องขอเป็นลายลักษณ์อักษรเป็นการพิเศษให้ผู้ขายดำเนินการดังกล่าว และ Logitech ขอสงวนสิทธิ์ที่จะตรวจสอบและอนุมัติรูปแบบและเนื้อหาของการแจ้งเตือนก่อนที่จะมอบให้แก่ฝ่ายใด ๆ ผู้ขายจะให้ความร่วมมือที่สมเหตุสมผล และทำงานร่วมกับ Logitech เพื่อคิดหาทางแก้ไข และดำเนินการตามแผนเพื่อแก้ไขเหตุการณ์ด้านความปลอดภัยที่ยืนยันแล้วทั้งหมด
  2. ผู้ขายจะแจ้ง Logitech โดยไม่ล่าช้า (ไม่เกิน 24 ชั่วโมง) เมื่อมีการขอข้อมูลของ Logitech ตามกระบวนการทางกฎหมายหรือโดยกฎหมายที่บังคับใช้