Các yêu cầu về Bảo mật Thông tin cho Nhà cung cấp của Logitech
Logitech Europe S.A. cùng tất cả các chi nhánh và công ty con (gọi chung là “Logitech”) yêu cầu tất cả các nhà cung cấp, nhà cung cấp dịch vụ và đối tác kinh doanh khác (“Bạn” hoặc “Nhà cung cấp”) duy trì một chương trình bảo mật thông tin toàn diện bằng văn bản (“Chương trình Bảo mật Thông tin”) bao gồm các biện pháp kỹ thuật, vật lý và tổ chức để đảm bảo tính bí mật, an toàn, nguyên vẹn và có sẵn của thông tin do Logitech, chi nhánh của Logitech cùng các nhân viên, đại diện, nhà thầu, khách hàng và Nhà cung cấp của Logitech (gọi chung là “Dữ liệu Logitech”) và bảo vệ Dữ liệu Logitech khỏi bị truy cập, sử dụng, tiết lộ, sửa đổi hoặc phá hủy trái phép. Chương trình Bảo mật Thông tin này được kèm theo và kết hợp làm tham chiếu cho thỏa thuận dịch vụ (“Thỏa thuận”) được ký kết giữa thực thể có tên Logitech và Bạn. Cụ thể, Chương trình Bảo mật Thông tin sẽ bao gồm, nhưng không giới hạn ở các biện pháp sau khi cần để đảm bảo khả năng bảo vệ Dữ liệu Logitech:
- Kiểm soát Quyền truy cập – Các chính sách, quy trình và biện pháp kiểm soát vật lý và kỹ thuật:
- để giới hạn quyền truy cập vật lý vào hệ thống thông tin của bạn và cơ sở hoặc các cơ sở nơi chúng được lưu trữ cho những người có thẩm quyền phù hợp;
- để đảm bảo rằng tất cả thành viên trong lực lượng lao động của bạn, những người yêu cầu quyền truy cập vào Dữ liệu Logitech có quyền truy cập được kiểm soát phù hợp, và để ngăn ngừa các thành viên của lực lượng lao động này cùng những người khác không có quyền truy cập không lấy được quyền truy cập;
- để xác thực và chỉ trao quyền truy cập cho những cá nhân có thẩm quyền, đồng thời ngăn các thành viên trong lực lượng lao động của bạn không cung cấp Dữ liệu Logitech hoặc thông tin liên quan cho những cá nhân không được phép; và
- để mã hóa và giải mã Dữ liệu Logitech khi cần.
- Nhận thức về tính Bảo mật và Đào tạo – Một chương trình nhận thức về tính bảo mật và đào tạo cho tất cả thành viên trong lực lượng lao động của bạn (bao gồm bộ phận quản lý) diễn ra thường xuyên, bao gồm đào tạo về cách triển khai và tuân thủ Chương trình Bảo mật Thông tin.
- Quy trình Giải quyết Sự cố Bảo mật – Các chính sách và quy trình nhằm phát hiện, ứng phó và giải quyết sự cố bảo mật, bao gồm các quy trình để giám sát hệ thống và phát hiện các vụ tấn công thực tế và bất thành hoặc xâm nhập vào Dữ liệu Logitech hoặc các hệ thống thông tin liên quan, cũng như các quy trình để phát hiện và ứng phó với các sự cố bảo mật nghi ngờ hoặc biết tới, giảm thiểu tác động có hại của các sự cố an ninh và ghi lại các sự cố bảo mật cùng hệ quả của chúng. Nếu Bạn biết về bất kỳ trường hợp nào có thể khiến một trong hai Bên phải thực hiện nghĩa vụ theo Luật Vi phạm Bảo mật, Bạn phải thông báo bằng văn bản ngay cho Logitech qua email securityincident@logitech.com và phải hợp tác hoàn toàn với Logitech để giúp Logitech thực hiện các nghĩa vụ của mình theo Luật Vi phạm Bảo mật.
- Lập kế hoạch Dự phòng – Các chính sách và quy trình nhằm ứng phó với một trường hợp khẩn cấp hoặc các sự cố khác (chẳng hạn: hỏa hoạn, phá hoại, lỗi hệ thống và thảm họa tự nhiên) làm phá hủy Dữ liệu Logitech hoặc các hệ thống chứa Dữ liệu Logitech, bao gồm kế hoạch sao lưu dữ liệu và kế hoạch phục hồi sau thảm họa và thông báo bằng văn bản ngay cho Logitech qua email securityincident@logitech.com.
- Kiểm soát Thiết bị và Phương tiện – Các chính sách và quy trình cho phần cứng và phương tiện điện tử chứa Dữ liệu Logitech đi đến và ra ngoài cơ sở của bạn, sự di chuyển của những thiết bị này trong phạm vi cơ sở của bạn, bao gồm các chính sách và quy trình nhằm giải quyết việc loại bỏ cuối cùng Dữ liệu Logitech, và/hoặc phần cứng hoặc phương tiện điện tử mà nó được lưu trữ, và quy trình xóa Dữ liệu Logitech ra khỏi phương tiện điện tử trước khi phương tiện đó được chuẩn bị để tái sử dụng. Bạn phải đảm bảo rằng không có Dữ liệu Logitech nào được tải xuống hoặc lưu trữ trên các máy tính xách tay hoặc thiết bị di động khác trừ khi chúng buộc phải tuân theo tất cả các biện pháp bảo vệ được quy định ở đây. Các biện pháp bảo vệ đó phải bao gồm, nhưng không giới hạn ở việc tất cả các thiết bị truy cập dữ liệu Logitech phải được mã hóa và sử dụng ứng dụng ngăn chặn phát hiện chống phần mềm độc hại cập nhật.
- Kiểm tra Kiểm soát – Phần cứng, phần mềm, dịch vụ, nền tảng và/hoặc các cơ chế thủ tục với nhiệm vụ ghi lại và kiểm tra hoạt động trong hệ thống thông tin có chứa hoặc sử dụng thông tin điện tử, bao gồm nhật ký và các báo cáo phù hợp liên quan tới các yêu cầu bảo mật tuân thủ theo đó.
- Chính sách và Quy trình – Các chính sách và quy trình để đảm bảo tính bí mật, nguyên vẹn và khả dụng của Dữ liệu Logitech đồng thời bảo vệ dữ liệu khỏi bị tiết lộ, sử dụng, sửa đổi hoặc phá hủy một cách ngẫu nhiên, trái phép hoặc không đúng cách.
- Bảo mật trong Lưu trữ và Chuyển giao – Các biện pháp bảo mật kỹ thuật để bảo vệ khỏi bị truy cập trái phép vào Dữ liệu Logitech đang được chuyển giao qua mạng truyền thông điện tử, bao gồm cơ chế mã hóa Dữ liệu Logitech ở dạng điện tử trong khi gửi đi và lưu trữ trên mạng hoặc hệ thống mà những cá nhân trái phép có thể nắm được quyền truy cập.
- Phân công Trách nhiệm Bảo mật – Bạn có thể chỉ định một cán bộ an ninh chịu trách nhiệm phát triển, thực thi và duy trì Chương trình Bảo mật Thông tin của mình.
- Phương tiện Lưu trữ Vật lý – Các chính sách và quy trình nhằm đảm bảo rằng trước khi chỉ định, cấp phát hoặc phân bổ bất kỳ phương tiện lưu trữ nào chứa Dữ liệu Logitech cho một người dùng khác, hoặc trước khi phương tiện lưu trữ đó được loại bỏ vĩnh viễn khỏi cơ sở, bạn phải xóa an toàn Dữ liệu Logitech theo Phần 2.3 (e.). cả trên phương diện vật lý và logic, sao cho phương tiện đó không chứa dữ liệu còn lại, hoặc nếu cần, phá hủy thực tế phương tiện lưu trữ đó. Bạn phải duy trì một chương trình có thể kiểm toán nhằm thực hiện các yêu cầu xóa bỏ và phá hủy được quy định trong Phần này đối với tất cả phương tiện lưu trữ có chứa Dữ liệu Logitech.
- Kiểm tra – Bạn phải thường xuyên kiểm tra các biện pháp kiểm soát, hệ thống và quy trình chủ chốt của Chương trình Bảo mật Thông tin để đảm bảo rằng chúng được triển khai đúng cách và có hiệu quả trong việc giải quyết các mối đe dọa và rủi ro đã xác định. Các bài kiểm tra phải được tiến hành hoặc xem xét bởi các bên thứ ba độc lập hoặc nhân viên độc lập với những người phát triển hoặc duy trì chương trình bảo mật.
- Luôn Cập nhật Chương trình – Bạn phải giám sát, đánh giá và điều chỉnh Chương trình Bảo mật Thông tin nếu cần trước bất kỳ thay đổi phù hợp nào về công nghệ hoặc tiêu chuẩn bảo mật ngành, tính nhạy cảm của Dữ liệu Logitech, các mối đe dọa nội bộ hoặc bên ngoài với bạn hoặc Dữ liệu Logitech, và các thỏa thuận kinh doanh thay đổi của riêng bạn, chẳng hạn như sáp nhập và mua lại, liên minh và liên doanh, các thỏa thuận thuê ngoài và thay đổi đối với hệ thống thông tin.
Cụ thể hơn, Chương trình Bảo mật Thông tin của Nhà cung cấp phải đáp ứng hoặc vượt qua các yêu cầu sau:
1. PHẠM VI; ĐỊNH NGHĨA
1.1. Chính sách Bảo mật. Nhà cung cấp phải tuân thủ hoàn toàn các yêu cầu bảo mật thông tin của Logitech đã được quy định trong Yêu cầu Bảo mật Thông tin Logitech dành cho Nhà cung cấp này (“Chính sách Bảo mật”). Chính sách Bảo mật áp dụng cho hoạt động của Nhà cung cấp theo bất kỳ thỏa thuận nào giữa Nhà cung cấp và Logitech (“Thỏa thuận”) và tất cả các hoạt động truy cập, thu thập, sử dụng, lưu trữ, chuyển giao, tiết lộ, phá hủy hoặc xóa, cũng như sự cố bảo mật liên quan đến Thông tin Logitech (như được xác định bên dưới). Chính sách Bảo mật này không giới hạn các nghĩa vụ khác của Nhà cung cấp, bao gồm theo Thỏa thuận hoặc liên quan đến bất kỳ luật lệ nào áp dụng cho Nhà cung cấp, hoạt động của Nhà cung cấp theo Thỏa thuận, Thông tin Logitech hoặc Mục đích được phép (như được xác định bên dưới). Trong trường hợp Chính sách Bảo mật này mâu thuẫn trực tiếp với Thỏa thuận, Nhà cung cấp phải thông báo ngay cho Logitech về mâu thuẫn đó và phải tuân thủ yêu cầu nghiêm ngặt hơn và mang tính bảo vệ Thông tin Logitech tốt hơn (có thể do Logitech chỉ định).
1.2. Định nghĩa.
- “Chi nhánh” có nghĩa là, đối với một người cụ thể, bất kỳ tổ chức nào kiểm soát, chịu sự kiểm soát trực tiếp hoặc gián tiếp, hoặc chịu sự kiểm soát chung của người đó.
- “Tổng hợp” có nghĩa là kết hợp hoặc lưu trữ Thông tin Logitech với bất kỳ dữ liệu hoặc thông tin của Nhà cung cấp hoặc bên thứ ba.
- “Ẩn danh” có nghĩa là sử dụng, thu thập, lưu trữ, chuyển giao hoặc biến đổi bất kỳ dữ liệu hoặc thông tin (bao gồm cả Thông tin Logitech) theo cách hoặc hình thức không cho phép xác định, nhận dạng và không quy cho bất kỳ người dùng, mã định danh thiết bị, nguồn, sản phẩm, dịch vụ, ngữ cảnh, thương hiệu nào, hoặc Logitech hay các Chi nhánh của nó.
- “Thông tin Logitech” nói riêng và chung có nghĩa là: (a) tất cả Thông tin Bí mật của Logitech (như được định nghĩa trong Thỏa thuận hoặc thỏa thuận không tiết lộ giữa các bên); (b) tất cả các dữ liệu, bản ghi, tệp, nội dung hoặc thông tin khác, dưới bất kỳ hình thức hoặc định dạng nào, được nắm giữ, truy cập, nhận, lưu trữ hoặc duy trì bởi Nhà cung cấp hoặc Chi nhánh của nó từ hoặc thay mặt cho Logitech hoặc các Chi nhánh của nó, hoặc liên quan đến Thỏa thuận, dịch vụ được cung cấp theo Thỏa thuận, hoặc hoạt động của các bên hoặc thực thi quyền theo hoặc liên quan đến Thỏa thuận; và (c) phát sinh từ (a) hoặc (b), ngay cả khi được Ẩn danh.
1.3. Mục đích được phép.
Trừ khi được ủy quyền rõ ràng theo Thỏa thuận, Nhà cung cấp chỉ có thể truy cập, thu thập, sử dụng, lưu trữ và truyền Thông tin Logitech được cho phép rõ ràng theo Thỏa thuận và chỉ cho mục đích cung cấp dịch vụ theo Thỏa thuận, phù hợp với giấy phép (nếu có) được cấp theo Thỏa thuận (“Mục đích được phép”). Trừ khi được ủy quyền rõ ràng theo Thỏa thuận, Nhà cung cấp không được phép truy cập, thu thập, sử dụng, lưu trữ hoặc truyền bất kỳ Thông tin Logitech nào và không được Tổng hợp Thông tin Logitech, ngay cả khi được Ẩn danh. Trừ khi có sự đồng ý trước bằng văn bản rõ ràng của Logitech, Nhà cung cấp sẽ không được (A) truyền, đổi hàng, mua bán, thuê, cho mượn, cho thuê hoặc phân phối hoặc cung cấp cho bên thứ ba bất kỳ Thông tin Logitech nào hoặc (B) Tổng hợp Thông tin Logitech với bất kỳ thông tin hoặc dữ liệu nào khác, ngay cả khi được Ẩn danh.
2. CHÍNH SÁCH BẢO MẬT
2.1. Các Yêu cầu Bảo mật Cơ bản. Phù hợp với các tiêu chuẩn ngành tốt nhất hiện tại và các yêu cầu khác do Logitech chỉ định dựa trên phân loại và tính nhạy cảm của Thông tin Logitech, Nhà cung cấp phải duy trì các biện pháp bảo vệ vật lý, hành chính và kỹ thuật cũng như các biện pháp bảo mật khác (A) nhằm duy trì tính bảo mật và bí mật của Thông tin Logitech được Nhà cung cấp truy cập, thu thập, sử dụng, lưu trữ hoặc truyền, và (B) để bảo vệ các thông tin đó khỏi các mối đe dọa hoặc nguy hiểm đã lường trước một cách hợp lý đối với tính bảo mật, nguyên vẹn, mất mát ngẫu nhiên, sửa đổi, tiết lộ và tất cả các hình thức xử lý bất hợp pháp khác. Nhà cung cấp phải tuân thủ không có giới hạn với các yêu cầu sau:
- Tường lửa. Nhà cung cấp phải cài đặt và duy trì một tường lửa cho mạng làm việc để bảo vệ dữ liệu có thể được truy cập thông qua mạng Internet và phải luôn bảo vệ tất cả Thông tin Logitech bởi tường lửa.
- Cập nhật. Nhà cung cấp phải cập nhật các hệ thống và phần mềm của mình bằng các bản nâng cấp, cập nhật, khắc phục lỗi mới nhất, phiên bản mới và các sửa đổi khác cần thiết để đảm bảo tính bảo mật của Thông tin Logitech.
- Chống phần mềm độc hại. Nhà cung cấp phải luôn sử dụng chương trình ngăn chặn phần mềm độc hại và phải cập nhật phần mềm đó. Nhà cung cấp phải giảm thiểu nguy cơ từ tất cả các loại virus, phần mềm gián điệp và các mã độc hại khác đã được phát hiện hoặc lẽ ra phải được phát hiện một cách hợp lý.
- Mã hóa. Nhà cung cấp phải mã hóa các dữ liệu ở trạng thái nghỉ và dữ liệu được gửi trong mạng mở theo các phương pháp tốt nhất trong ngành.
- Kiểm tra. Nhà cung cấp phải thường xuyên kiểm tra các hệ thống bảo mật và quy trình của mình để đảm bảo chúng đáp ứng các yêu cầu của Chính sách Bảo mật này.
- Kiểm soát quyền truy cập. Nhà cung cấp phải đảm bảo an toàn cho Thông tin Logitech, bao gồm bằng cách tuân thủ các yêu cầu sau:
- Nhà cung cấp phải chỉ định một ID duy nhất cho mỗi người có quyền truy cập bằng máy tính vào Thông tin Logitech.
- Nhà cung cấp phải giới hạn quyền truy cập vào Thông tin Logitech chỉ cho những người có “nhu cầu được biết” với Mục đích được cho phép.
- Nhà cung cấp phải thường xuyên xem xét danh sách những người và dịch vụ có quyền truy cập vào Thông tin Logitech, đồng thời xóa các tài khoản (hoặc tư vấn Logitech xóa các tài khoản) không còn cần quyền truy cập nữa. Việc xem xét này phải được tiến hành ít nhất 90 ngày một lần.
- Nhà cung cấp không được sử dụng thông tin mặc định của nhà sản xuất để làm mật khẩu hệ thống và các thông số bảo mật khác trên bất kỳ hệ điều hành, phần mềm nào hay các hệ thống khác. Nhà cung cấp phải ủy nhiệm và đảm bảo việc sử dụng của “mật khẩu mạnh” do hệ thống cưỡng chế theo các thực tiễn tốt nhất (được mô tả bên dưới) trên tất cả các hệ thống máy chủ, lưu trữ, xử lý, có hoặc kiểm soát quyền truy cập vào Thông tin Logitech và phải yêu cầu tất cả mật khẩu và thông tin truy cập phải được giữ bí mật cũng như không được chia sẻ giữa các nhân viên. Mật khẩu phải đáp ứng các tiêu chí sau: dài ít nhất 12 ký tự, không trùng khớp với các mật khẩu trước, là tên đăng nhập của người dùng hoặc tên phổ biến; phải được đổi bất cứ khi nào nghi ngờ hoặc cho rằng là tài khoản bị xâm nhập; và được thay thế thường xuyên không quá 90 ngày.
- Nhà cung cấp phải duy trì và cưỡng chế “khóa tài khoản” bằng cách hủy kích hoạt tài khoản có quyền truy cập vào Thông tin Logitech khi tài khoản vượt quá 10 lần thử nhập mật khẩu không chính xác liên tiếp.
- Trừ khi được Logitech cho phép rõ ràng bằng văn bản, Nhà cung cấp phải luôn tách biệt Thông tin Logitech (bao gồm trong quá trình lưu trữ, xử lý hoặc chuyển giao), với thông tin của Nhà cung cấp và bất kỳ bên thứ ba nào.
- Ngoài các biện pháp kiểm soát quyền truy cập vật lý được Logitech yêu cầu bằng văn bản, Nhà cung cấp phải triển khai và sử dụng các biện pháp kiểm soát vật lý an toàn này.
- Hàng năm hoặc thường xuyên hơn theo yêu cầu của Logitech, Nhà cung cấp phải cung cấp cho Logitech, (1) dữ liệu nhật ký về tất cả trường hợp sử dụng tài khoản hoặc thông tin đăng nhập của Logitech (cả được phép và trái phép) đã trao cho Nhà cung cấp để sử dụng thay mặt cho Logitech (chẳng hạn như thông tin đăng nhập tài khoản mạng xã hội), và (2) dữ liệu nhật ký chi tiết về bất kỳ hành vi mạo danh hoặc cố gắng mạo danh nhân viên Logitech hoặc nhân viên của Nhà cung cấp có quyền truy cập vào Thông tin Logitech.
- Nhà cung cấp phải thường xuyên xem xét nhật ký truy cập để tìm các dấu hiệu của hành vi gây hại hoặc truy cập trái phép.
- Chính sách của Nhà cung cấp. Nhà cung cấp phải duy trì và cưỡng chế một chính sách an ninh mạng và thông tin cho nhân viên, nhà thầu phụ, đại lý và Nhà cung cấp đáp ứng các tiêu chuẩn do chính sách này đề ra, bao gồm các phương pháp phát hiện và ghi nhật ký vi phạm chính sách. Theo yêu cầu của Logitech, Nhà cung cấp phải cung cấp cho Logitech thông tin về các vụ vi phạm chính sách an ninh mạng và thông tin của Nhà cung cấp, ngay cả khi điều đó không cấu thành một Sự cố Bảo mật.
- Nhà thầu phụ. Nhà cung cấp không được thầu phụ hay giao phó bất kỳ nghĩa vụ nào của mình theo Chính sách Bảo mật này cho bất kỳ nhà thầu phụ nào nếu không có sự đồng ý trước bằng văn bản của Logitech. Bất kể sự tồn tại hay các điều khoản của bất kỳ hợp đồng phụ hoặc ủy quyền nào, Nhà cung cấp phải chịu trách nhiệm về việc thực hiện đầy đủ các nghĩa vụ của mình theo Chính sách Bảo mật này. Các điều khoản và điều kiện của Chính sách Bảo mật này sẽ có hiệu lực ràng buộc lên các nhà thầu phụ và nhân viên của Nhà cung cấp. Nhà cung cấp (a) phải đảm bảo rằng các nhà thầu phụ và nhân viên của Nhà cung cấp tuân thủ Chính sách Bảo mật này, và (b) sẽ chịu trách nhiệm về tất cả các hành vi, thiếu sót, sơ suất và hành động sai trái của các nhà thầu phụ và nhân viên của mình, bao gồm vi phạm bất kỳ luật lệ, quy tắc hay quy định nào (nếu có).
- Truy cập Từ xa. Nhà cung cấp phải đảm bảo rằng mọi hoạt động truy cập từ các môi trường bên ngoài công ty hoặc sản xuất được bảo vệ tới các hệ thống chứa Thông tin Logitech hoặc mạng lưới trạm làm việc công ty hay phát triển của Nhà cung cấp đều yêu cầu xác thực đa yếu tố (ví dụ: yêu cầu ít nhất hai yếu tố riêng biệt để xác định người dùng).
- Nhân viên của Nhà cung cấp. Logitech có thể yêu cầu nhân viên của Nhà cung cấp truy cập Thông tin Logitech khi nhân viên của Nhà cung cấp thực hiện thỏa thuận không tiết lộ cá nhân với Logitech, theo hình thức do Logitech chỉ định. Nếu có yêu cầu từ Logitech, nhân viên của Nhà cung cấp phải thực hiện thỏa thuận không tiết lộ cá nhân. Nhà cung cấp phải lấy và giao cho Logitech thỏa thuận không tiết lộ cá nhân của Logitech đã ký bởi nhân viên của Nhà cung cấp, là những người sẽ có quyền truy cập vào Thông tin Logitech (trước khi cấp quyền truy cập hoặc cung cấp thông tin cho nhân viên của Nhà cung cấp). Nhà cung cấp cũng phải (a) cung cấp cho Logitech danh sách những nhân viên của mình có quyền truy cập hoặc nhận được Thông tin Logitech nếu có yêu cầu trong khoảng thời gian đã thỏa thuận, và (b) thông báo cho Logitech không chậm hơn 24 giờ sau khi bất kỳ nhân viên cụ thể nào của Nhà cung cấp được ủy quyền truy cập vào Thông tin Logitech theo Phần này: (y) không còn cần quyền truy cập vào Thông tin Logitech hoặc (z) không đủ điều kiện trở thành nhân viên của Nhà cung cấp (chẳng hạn: nhân sự đó đã rời khỏi Nhà cung cấp).
2.2. Truy cập vào Mạng bên ngoài (Extranet) của Logitech và Cổng thông tin của Nhà cung cấp. Logitech có thể cấp quyền truy cập vào Thông tin Logitech cho Nhà cung cấp thông qua các cổng thông tin web hoặc các trang web không công khai khác hay dịch vụ extranet trên trang web hoặc hệ thống của Logitech hoặc bên thứ ba (mỗi bên là một mạng “Extranet”) vì Mục đích được phép. Nếu Logitech cho phép Nhà cung cấp truy cập vào bất kỳ Thông tin Logitech nào bằng cách sử dụng Extranet, Nhà cung cấp phải tuân thủ các yêu cầu sau:
- Mục đích được phép. Nhà cung cấp và nhân viên của mình phải truy cập Extranet và truy cập, thu thập, sử dụng, xem, truy xuất, tải xuống hoặc lưu trữ Thông tin Logitech từ Extranet chỉ cho Mục đích được phép.
- Tài khoản. Nhà cung cấp phải bảo đảm rằng nhân viên của mình chỉ sử dụng (các) tài khoản Extranet được Logitech chỉ định cho mỗi cá nhân và sẽ yêu cầu nhân viên của Nhà cung cấp giữ bí mật thông tin đăng nhập của họ.
- Hệ thống. Nhà cung cấp chỉ được truy cập Extranet thông qua hệ thống máy tính hoặc xử lý hoặc các ứng dụng chạy hệ điều hành do Nhà cung cấp quản lý, bao gồm: (i) tường lửa mạng hệ thống theo Phần 2.1(A) (Tường lửa); (ii) hệ thống quản lý bản vá tập trung theo Phần 2.1(B) (Cập nhật: (iii) hệ điều hành có ứng dụng chống phần mềm độc hại theo Phần 2.1(C) (Chống phần mềm độc hại); và (iv) cho các thiết bị di động, mã hóa toàn ổ đĩa.
- Giới hạn. Trừ khi được Logitech chấp thuận trước bằng văn bản, Nhà cung cấp không được tải về, sao chép hoặc lưu trữ vĩnh viễn bất kỳ Thông tin Logitech nào từ bất cứ mạng Extranet nào trên bất kỳ phương tiện nào, bao gồm bất kỳ máy móc, thiết bị hoặc máy chủ nào.
- Chấm dứt Tài khoản. Nhà cung cấp phải chấm dứt tài khoản mỗi nhân viên của mình và thông báo cho Logitech không chậm hơn 24 giờ sau khi bất kỳ nhân viên cụ thể nào của Nhà cung cấp đã được ủy quyền truy cập vào bất kỳ Extranet (a) không còn cần quyền truy cập vào Thông tin Logitech, (b) không còn đủ điều kiện là nhân viên của Nhà cung cấp (chẳng hạn nhân viên đó rời khỏi Nhà cung cấp), hoặc (c) không còn truy cập vào Thông tin Logitech trong 30 ngày trở lên.
- Các hệ thống của Bên thứ ba.
- Nhà cung cấp phải thông báo trước cho Logitech và có được sự chấp thuận trước bằng văn bản từ Logitech nếu nó sử dụng bất kỳ hệ thống bên thứ ba nào để lưu trữ hoặc truy cập vào Thông tin Logitech, trừ khi (a) dữ liệu được mã hóa theo Chính sách Bảo mật này, và (b) hệ thống bên thứ ba sẽ không truy cập vào khóa giải mã hoặc các phiên bản “văn bản thuần túy” chưa được mã hóa của dữ liệu. Logitech có quyền yêu cầu xem xét tính bảo mật (theo Phần 2.5 bên dưới) của hệ thống bên thứ ba trước khi đưa ra sự chấp thuận.
- Nếu Nhà cung cấp sử dụng bất kỳ hệ thống bên thứ ba nào để lưu trữ hoặc truy cập vào Thông tin chưa được mã hóa của Logitech, Nhà cung cấp phải tiến hành đánh giá tính bảo mật của các hệ thống bên thứ ba và các biện pháp kiểm soát tính bảo mật và sẽ cung cấp báo cáo định kỳ cho Logitech về các biện pháp kiểm soát bảo mật của hệ thống bên thứ ba theo định dạng do Logitech yêu cầu (chẳng hạn SAS 70, SSAE 16 hoặc báo cáo kế nhiệm), hoặc báo cáo tiêu chuẩn ngành được công nhận do Logitech chấp thuận).
2.3. Lưu giữ và Tiêu hủy Dữ liệu.
- Lưu giữ. Nhà cung cấp chỉ được lưu trữ Thông tin Logitech cho Mục đích được phép, và miễn là cần thiết.
- Trả lại hoặc Xóa. Nhà cung cấp phải nhanh chóng (nhưng không quá 10 ngày sau khi có yêu cầu từ Logitech) trả lại cho Logitech cũng như xóa vĩnh viễn tất cả mọi Thông tin Logitech theo thông báo của Logitech trong đó yêu cầu trả lại và/hoặc xóa. Ngoài ra, Nhà cung cấp phải xóa vĩnh viễn tất cả mọi phiên bản trực tiếp (có thể truy cập trực tuyến hoặc qua mạng) của Thông tin Logitech trong vòng 90 ngày sau khi hoàn thành Mục đích được phép trước đó hoặc chấm dứt hay hết hạn Thỏa thuận, trừ khi có yêu cầu hợp pháp để giữ lại. Nếu có yêu cầu từ Logitech, Nhà cung cấp phải xác nhận bằng văn bản rằng tất cả các Thông tin Logitech đã bị tiêu hủy.
- Bản sao lưu trữ. Nếu Luật pháp yêu cầu Nhà cung cấp giữ lại bản sao lưu trữ của Thông tin Logitech cho mục đích thuế hoặc tương tự theo quy định, Thông tin Logitech lưu trữ này phải được lưu ở một trong các hình thức sau: sao lưu dưới dạng “lạnh” hoặc ngoại tuyến (tức là, không có sẵn để tương tác hoặc sử dụng tức thì) trong cơ sở vật chất an toàn; hoặc được mã hóa, trong đó hệ thống lưu trữ (các) tệp đã mã hóa không có quyền truy cập vào bản sao của (các) khóa được sử dụng để mã hóa.
- Khôi phục. Nếu Nhà cung cấp tiến hành “khôi phục” (tức là đưa trở lại bản sao lưu) cho mục đích phục hồi sau thảm họa, Nhà cung cấp phải có và duy trì một quy trình đảm bảo rằng tất cả Thông tin Logitech được yêu cầu xóa theo Thỏa thuận hoặc Chính sách Bảo mật này phải bị xóa lại hoặc ghi đè lên dữ liệu đã phục hồi theo Phần 2.3 trong vòng 24 giờ sau khi sự kiện khôi phục diễn ra. Nếu Nhà cung cấp tiến hành khôi phục vì bất kỳ mục đích nào, không có Thông tin Logitech nào có thể được khôi phục cho bất kỳ hệ thống hoặc mạng bên thứ ba nào mà không có sự chấp thuận trước bằng văn bản của Logitech. Logitech có quyền yêu cầu xem xét tính bảo mật (theo Phần 2.5 bên dưới) của hệ thống hoặc mạng của bên thứ ba trước khi cho phép khôi phục bất kỳ Thông tin Logitech nào cho bất kỳ hệ thống hay mạng bên thứ ba nào.
- Tiêu chuẩn xóa. Tất cả Thông tin Logitech bị Nhà cung cấp xóa sẽ bị xóa theo Ấn bản Đặc biệt của NIST 800-88 Bản sửa đổi 1, Hướng dẫn xóa trên Phương tiện ngày 18 tháng 12 năm 2014 (có sẵn tại https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization), hoặc các tiêu chuẩn khác mà Logitech có thể yêu cầu dựa trên loại và tính nhạy cảm của Thông tin Logitech.
2.4. Tiêu hủy theo Luật pháp. Trước khi loại bỏ bất kỳ phần cứng, phần mềm hoặc phương tiện khác theo bất kỳ cách nào, có chứa hoặc từng có bất kỳ thời gian nào chứa Thông tin Logitech, Nhà cung cấp phải tiến hành việc phá hủy hoàn toàn về mặt pháp lý đối với phần cứng, phần mềm hoặc phương tiện khác để không có Thông tin nào của Logitech có thể được phục hồi hoặc lấy lại dưới mọi hình thức. Nhà cung cấp phải tiến hành xóa theo pháp lý tương ứng với các tiêu chuẩn mà Logitech có thể yêu cầu dựa trên loại và tính nhạy cảm của Thông tin Logitech. Nhà cung cấp phải trình giấy chứng nhận tiêu hủy nếu có yêu cầu từ Logitech.
- Nhà cung cấp không được bán, bán lại, quyên tặng, tân trang hoặc chuyển giao (bao gồm bán hoặc chuyển bất kỳ phần cứng, phần mềm hoặc phương tiện khác, bất kỳ sự tiêu hủy nào liên quan đến việc thanh lý hoạt động kinh doanh của Nhà cung cấp, hoặc bất kỳ sự tiêu hủy nào khác) bất kỳ phần cứng, phần mềm hoặc phương tiện khác chứa Thông tin Logitech chưa bị nhà cung cấp tiêu hủy theo pháp lý.
2.5. Xem xét tính Bảo mật.
- Bảng câu hỏi Đánh giá Rủi ro. Logitech yêu cầu tất cả nhà cung cấp tiến hành Đánh giá Rủi ro của Nhà cung cấp, bằng cách cập nhật câu trả lời cho bảng câu hỏi đánh giá rủi ro của Logitech, ít nhất hàng năm, nhưng có thể thường xuyên hơn, tùy vào rủi ro đã đánh giá của nhà cung cấp.
- Chứng nhận. Theo yêu cầu bằng văn bản của Logitech, Nhà cung cấp phải xác nhận bằng văn bản với Logitech sự tuân thủ theo Thỏa thuận này.
- Các đánh giá khác. Logitech có quyền định kỳ đánh giá tính bảo mật của các hệ thống mà Nhà cung cấp sử dụng để xử lý Thông tin Logitech. Nhà cung cấp phải hợp tác và trao cho Logitech tất cả thông tin cần thiết trong khung thời gian hợp lý nhưng không quá 20 ngày kể từ khi có yêu cầu của Logitech.
- Sửa chữa. Nếu bất kỳ cuộc đánh giá tính bảo mật nào xác định bất cứ thiếu sót được ghi lại nào, bằng chi phí của riêng mình, Nhà cung cấp phải thực hiện tất cả các hành động cần thiết để giải quyết các thiếu sót này trong khung thời gian đã thỏa thuận.
2.6. Vi phạm Bảo mật.
- Nhà cung cấp phải thông báo cho Logitech qua địa chỉ securityincident@logitech.com mà không có sự chậm trễ quá mức (không quá 24 giờ) kể từ khi có Vi phạm Bảo mật như được định nghĩa bởi (các) luật lệ áp dụng (i) chứa Thông tin Logitech, hoặc (ii) được quản lý bởi Nhà cung cấp có các biện pháp kiểm soát về cơ bản tương tự như những biện pháp bảo vệ Thông tin Logitech (mỗi sự vụ là một “Vi phạm Bảo mật”). Nhà cung cấp phải kịp thời khắc phục từng Vi phạm Bảo mật và cung cấp cho Logitech thông tin chi tiết bằng văn bản về cuộc điều tra nội bộ của Nhà cung cấp liên quan đến từng Sự cố Bảo mật. Nhà cung cấp đồng ý không thay mặt cho Logitech thông báo tới bất kỳ cơ quan quản lý hay khách hàng nào, trừ khi Logitech đặc biệt yêu cầu bằng văn bản rằng Nhà cung cấp làm như vậy và Logitech có quyền xem xét và phê duyệt hình thức cũng như nội dung của thông báo trước khi đưa ra cho bất kỳ bên nào. Nhà cung cấp phải hợp tác và làm việc với Logitech để tạo và triển khai một kế hoạch khắc phục tất cả các Sự cố Bảo mật đã xác nhận.
- Nhà cung cấp phải thông báo cho Logitech mà không có sự chậm trễ (không quá 24 giờ) khi Thông tin Logitech bị tìm kiếm theo quy trình pháp lý hoặc theo luật hiện hành.