Skip to main content

Termos de Privacidade e Segurança

Estes Termos de Privacidade e Segurança estabelecem os direitos e obrigações da Kyndryl e do Fornecedor quanto à privacidade, segurança e assuntos relacionados ("Termos").  Os Termos são incorporados e integrados à Descrição do Trabalho, à Autorização do Trabalho ou a qualquer documento semelhante firmado entre as empresas que faça referência a eles (o "Documento de Transação").  Os Termos se aplicam à contratação específica representada no Documento de Transação.

Para fins de conveniência, esta página da web permite que o Fornecedor marque as caixas abaixo que caracterizam/se aplicam aos fatos do contrato e, fazendo isso, exibe os Termos selecionados.Dependendo dos fatos, mais de uma caixa pode ser relevante.  Para clareza, os fatos refletidos no Documento de Transação estabelecem apenas os Termos aplicáveis ao contrato e não aqueles exibidos nas caixas marcadas pelo Fornecedor abaixo.

OBSERVAÇÃO: os fornecedores que processam dados de funcionários da Kyndryl devem clicar na caixa 1 (acesso às Informações de Contato Comercial da Kyndryl) e na caixa 2 (acesso aos Dados Pessoais).

Em caso de qualquer conflito entre os Termos e o Documento de Transação ou entre qualquer contrato de base associado ou outro contrato firmado entre as partes incluindo qualquer contrato de processamento de dados, os Termos prevalecerão. Os avisos necessários para esses Termos serão feitos de acordo com as disposições de aviso do Documento de Transação.

Os significados das palavras com iniciais maiúsculas usados nesses Termos são determinados de acordo com a cláusula Definições abaixo.

Marcar as caixas que refletem os fatos dos Serviços para esse contrato específico:

  1. Se sim, as Seções I (Informações de Contato Comercial) e X (Cooperação, Verificação e Correção) se aplicam a esse acesso. 

    Exemplos: 

    • O Fornecedor usa nomes, endereços de e-mail e números de telefone de funcionários da Kyndryl ou do Cliente para suporte ou manutenção.

    • A Kyndryl usa nomes e endereços de e-mail de funcionários do Fornecedor para autenticação de acesso a um Sistema Corporativo. 

    Observação: 

    • caso o Fornecedor esteja fornecendo manutenção ou suporte, então, o Fornecedor poderá ter acesso a informações além do BCI (por exemplo, arquivos de log com ou sem Dados Pessoais) e, nesse caso, o Fornecedor também marcará a caixa sob o item 2 (se tiver acesso a Dados Pessoais) e sob o item 3 (se tiver acesso a Dados não Pessoais).

    • Se o Fornecedor estiver processando dados de funcionários da Kyndryl, o Fornecedor também deverá marcar a caixa sob o item 2 (se tiver acesso a Dados Pessoais).

    Seção I, Informações de Contato Comercial

    Este Artigo se aplica se o Fornecedor ou a Kyndryl processar BCI da outra parte.

    1.1 A Kyndryl e o Fornecedor podem processar BCI da outra parte sempre que fizerem negócios em conexão com o fornecimento de Serviços e Distribuíveis por parte do Fornecedor. 

    1.2 Cada parte:  

    (a) não fará uso ou divulgará o BCI da outra parte para qualquer outro propósito (para maior clareza, nenhuma das partes Venderá o BCI da outra parte ou utilizará ou divulgará com fins comerciais o BCI da outra parte sem o consentimento prévio e escrito desta e, onde necessário, o consentimento prévio e escrito dos Titulares de Dados afetados), e 

    (b) excluirá, modificará, corrigirá, retornará, fornecerá informações sobre o Processamento, restringirá o Processamento ou tomará qualquer outra ação razoavelmente solicitada em relação ao BCI da outra parte prontamente mediante solicitação por escrito da outra parte, sempre que qualquer uso não autorizado das informações pessoais ocorrer e a parte desejar interromper o processamento e executar remediação.

    1.3 Nenhuma das partes passa a agir como Controladora em um relacionamento conjunto a respeito do BCI da outra parte e o fornecimento de nenhum Documento de Transação será interpretado ou considerado uma indicação de intenção de estabelecimento de um relacionamento conjunto de Controlador.

    1.4 A Declaração de Privacidade da Kyndryl em https://www.kyndryl.com/us/en/privacy contém detalhes adicionais sobre o Processamento de BCI da Kyndryl.

    1.5 As partes implementaram e manterão medidas de segurança técnicas e organizacionais para proteger as BCIs da outra contra a perda, a destruição, a alteração, a divulgação acidental ou não autorizada, ao acesso acidental ou não autorizado e ao Processamento ilegal. 

    1.6 O Fornecedor prontamente (e em hipótese alguma, o fará depois de 48 horas) notificará a Kyndryl assim que tomar ciência de qualquer Violação de Segurança que envolva BCI da Kyndryl.  O Fornecedor fornecerá tal notificação para cyber.incidents@kyndryl.com. O Fornecedor apresentará à Kyndryl todas as informações solicitadas cabíveis sobre tal violação e sobre o status de quaisquer atividades de correção e restauração por ele executadas.  Como exemplo, tais informações cabíveis podem incluir, por exemplo, logs que demonstrem acesso privilegiado, administrativo ou de outra natureza aos Dispositivos, sistemas ou aplicativos, imagens judiciais de Dispositivos, sistemas ou aplicativos e outros itens semelhantes, considerados relevantes para as atividades de correção e restauração executadas pelo Fornecedor.

    1.7 Quando o Fornecedor estiver apenas processando BCI da Kyndryl e não tiver acesso a qualquer tipo de dado, material ou Sistema Corporativo da Kyndryl, este Artigo e o Artigo X (Cooperação, Verificação e Correção) serão os únicos Artigos aplicáveis a tal Processamento.

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

  2. Se sim, então as Seções II (Medidas Técnicas e Organizacionais, Segurança de Dados), III (Privacidade), VIII (Medidas Técnicas e Organizacionais, Segurança Geral) e X (Cooperação, Verificação e Correção) se aplicam a esse acesso.

    Exemplos: 

    • O Fornecedor acessa Dados Pessoais ao fornecer qualquer Serviço Hospedado para uso interno da Kyndryl, para uso de Clientes, ou para ambos.

    • O Fornecedor oferece Serviços médicos ou relacionados à saúde, Serviços de marketing, de recursos humanos ou Serviços relacionados a benefícios e, com isso, acessa Dados Pessoais.

    • O Fornecedor acessa arquivos de log contendo Dados Pessoais para fornecer os Serviços de suporte.

    Seção II, Medidas Técnicas e Organizacionais, Segurança de Dados

    Este Artigo se aplicará caso o Fornecedor Processe outros Dados da Kyndryl, além do BCI.  O Fornecedor deve cumprir os requisitos deste Artigo quanto ao fornecimento de todos os Distribuíveis e Serviços e, ao fazer isso, protegerá os Dados da Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada, ao acesso acidental ou não autorizado e às formas ilegais de Processamento.  Os requisitos deste Artigo se aplicam, sem limitações, a todos os aplicativos, plataformas e infraestruturas de TI por meio dos quais o Fornecedor opera ou gerencia o fornecimento de Distribuíveis e Serviços, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e de Centro de Dados.  

    1. Uso de Dados

    1.1 O Fornecedor não pode acrescentar ou incluir nos Dados da Kyndryl quaisquer outras informações ou dados, incluindo Dados Pessoais, sem o consentimento prévio e escrito da Kyndryl e o Fornecedor não pode usar os Dados da Kyndryl em qualquer formato, agregados ou não, para outros fins que não o fornecimento de Distribuíveis e Serviços (por exemplo, o Fornecedor não tem permissão para usar ou reutilizar os Dados da Kyndryl para avaliar a eficácia ou os meios de aprimorar as ofertas do Fornecedor, para fins de pesquisa e desenvolvimento, para a criação de novas ofertas ou para a geração de relatórios a respeito das ofertas do Fornecedor).  A menos que isso seja expressamente permitido no Documento de Transação, o Fornecedor é proibido de Vender os Dados da Kyndryl.

    1.2 O Fornecedor não integrará aos Distribuíveis ou aos Serviços nenhuma tecnologia de rastreio da web (tais tecnologias incluem HTML5, armazenamento local, tags ou tokens de terceiros e web beacons), a menos que isso seja expressamente permitido no Documento de Transação. 

    2. Solicitações e Confidencialidade de Terceiros

    2.1 O Fornecedor não divulgará Dados da Kyndryl para terceiros, a menos que a Kyndryl o autorize previamente e por escrito.  Caso alguma autoridade, incluindo agências regulatórias, reivindique acesso aos Dados da Kyndryl (por exemplo, se o governo dos Estados Unidos apresentar uma ordem de segurança nacional para o Fornecedor, exigindo acesso aos Dados da Kyndryl) ou caso a divulgação de quaisquer Dados da Kyndryl seja exigida por lei, o Fornecedor notificará a Kyndryl por escrito a respeito dessa demanda ou exigência e concederá à Kyndryl uma oportunidade cabível de contestar quaisquer ações de divulgação (quando a notificação for proibida por lei, o Fornecedor tomará as medidas que considerar cabíveis e corretas para contestar tal proibição e a divulgação de Dados da Kyndryl, utilizando, para isto, ações judiciais ou outros meios).

    2.2 O Fornecedor garante à Kyndryl: (a) que o acesso aos Dados da Kyndryl será concedido apenas aos funcionários que precisarem desse acesso para as ações de fornecimento de Distribuíveis e Serviços e, ainda assim, apenas na proporção considerada necessária para a execução de tais ações; e (b) que seus funcionários firmaram contratos de confidencialidade, que os obrigam a usar e divulgar os Dados da Kyndryl apenas nas condições permitidas por estes Termos.  

    3. Devolução ou Exclusão de Dados da Kyndryl

    3.1 O Fornecedor, de acordo com a opção da Kyndryl, excluirá ou devolverá os Dados da Kyndryl para a Kyndryl após a rescisão ou a expiração do Documento de Transação, ou antes disso, mediante solicitação da Kyndryl.  Caso a Kyndryl solicite uma exclusão, o Fornecedor, de acordo com as Melhores Práticas do Mercado, tornará os dados ilegíveis, impossibilitando sua remontagem ou reconstrução e confirmará a exclusão junto à Kyndryl.  Se a Kyndryl solicitar a devolução de seus Dados, o Fornecedor fará a devolução, seguindo a programação e as instruções por escrito apresentadas pela Kyndryl. 

    Seção III, Privacidade

    Este Artigo se aplicará se o Fornecedor Processar Dados Pessoais da Kyndryl.  

    1. Processamento

    1.1 A Kyndryl nomeia o Fornecedor como um Processador, permitindo o processamento de Dados Pessoais da Kyndryl com a finalidade única de fornecer Distribuíveis e Serviços de acordo com as instruções da Kyndryl, incluindo aquelas contidas nestes Termos, no Documento de Transação e no contrato base associado firmado entre as partes.  Caso o Fornecedor não siga uma instrução, a Kyndryl poderá rescindir a parte afetada dos Serviços por meio de um aviso por escrito.  Caso julgue que uma instrução viola uma lei de proteção de dados, o Fornecedor informará a Kyndryl imediatamente, dentro do período exigido por lei. Se o Fornecedor não cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar um uso não autorizado de Informações Pessoais ou, em geral, em qualquer caso de uso não autorizado de Informações Pessoais, a Kyndryl terá o direito de interromper o processamento e corrigir a falha e remediar os efeitos nocivos do uso não autorizado com desempenho e remediação de acordo com orientação e programação da Kyndryl.  

    1.2 O Fornecedor cumprirá todas as leis de proteção de dados aplicáveis aos Distribuíveis e Serviços.

    1.3 Um Apêndice do Documento de Transação, ou o próprio Documento de Transação, configura o seguinte em relação aos Dados da Kyndryl:

    (a) categorias de Titulares de Dados; 

    (b) tipos de Dados Pessoais da Kyndryl; 

    (c) ações de dados e atividades de Processamento;

    (d) duração e frequência de Processamento; e 

    (e) uma lista de Subprocessadores.

    2. Medidas Técnicas e Organizacionais

    2.1 O Fornecedor implementará e manterá as medidas técnicas e organizacionais estabelecidas no Artigo II (Medidas Técnicas e Organizacionais, Segurança de Dados) e no Artigo VIII (Medidas Técnicas e Organizacionais, Segurança Geral), garantindo um nível de segurança adequado para o risco representado por seus Distribuíveis e Serviços.  O Fornecedor autoriza e compreende as restrições contidas no Artigo II, neste Artigo III e no Artigo VIII e as cumprirá.   

    3. Direitos e Solicitações do Titular dos Dados

    3.1 O Fornecedor informará imediatamente a Kyndryl (em tempo hábil para que a Kyndryl ou Outros Controladores exerçam suas obrigações legais) quanto a qualquer solicitação feita por um Titular de Dados para o exercício de seus direitos (por exemplo, retificação, exclusão ou bloqueio de dados) em relação aos Dados Pessoais da Kyndryl.  O Fornecedor também poderá direcionar prontamente um Titular de Dados fazendo uma solicitação à Kyndryl.  O Fornecedor não responderá nenhuma solicitação dos Titulares dos Dados a menos que seja legalmente requerido ou instruído pela Kyndryl por escrito a fazê-lo.  

    3.2 Caso a Kyndryl seja obrigada a fornecer informações a respeito de seus Dados Pessoais para Outros Controladores ou para terceiros (por exemplo, Titular de Dados ou agências regulatórias), o Fornecedor deverá auxiliar a Kyndryl a fazê-lo, fornecendo informações e executando outras ações cabíveis solicitadas pela Kyndryl, de maneira que a Kyndryl disponha do tempo necessário para responder às demandas apresentadas por esses Outros Controladores ou por terceiros.

    4. Subprocessadores

    4.1 O Fornecedor apresentará um aviso prévio e por escrito para a Kyndryl antes de incluir um novo Subprocessador ou de estender o escopo de Processamento usando um Subprocessador existente e, nessa notificação, identificará o nome do Subprocessador, descrevendo o escopo de Processamento novo ou estendido.  A qualquer momento e sempre que houver motivos plausíveis, a Kyndryl poderá se opor ao uso de um novo Subprocessador ou escopo expandido e, nesse caso, as partes trabalharão juntas e em boa-fé, para chegar a uma solução para tal objeção.  Embora a Kyndryl tenha o direito irrestrito de apresentar essa contestação a qualquer momento, caso não o faça em até 30 (trinta) dias após o envio do aviso prévio pelo Fornecedor, o Fornecedor poderá designar o novo Subprocessador ou ampliar o escopo de Processamento de um Subprocessador existente.  

    4.2 Antes que um Subprocessador Processe quaisquer Dados da Kyndryl, o Fornecedor fará valer as obrigações de proteção de dados, segurança e certificação estabelecidas nestes Termos para cada Subprocessador aprovado.  O Fornecedor é inteiramente responsável perante a Kyndryl quanto à execução de tais obrigações por parte do Subprocessador. 

    5. Processamento de Dados Transfronteiriços

    Conforme estabelecido abaixo:

    País Adequado significa um país que fornece um nível adequado de proteção de dados com relação à transferência relevante, de acordo com as leis de proteção de dados aplicáveis ou em respeito à determinação de uma agência regulatória.

    Importador de Dados é um Processador ou Subprocessador não estabelecido em um País Adequado.

    Cláusulas Contratuais Padrão da UE ("CECs da UE") significa as Cláusulas Contratuais Padrão da UE (Decisão da Comissão 2021/914) com cláusulas opcionais aplicadas, exceto a opção 1 da Cláusula 9(a) e a opção 2 da Cláusula 17, conforme publicado oficialmente em https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en

    Cláusulas Contratuais Padrão Sérvias ("SCCs sérvias") refere-se às Cláusulas Contratuais Padrão da Sérvia, conforme adotadas pela "Comissão Sérvia para Informações de Importância Pública e Proteção de Dados Pessoais", publicadas em https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.

    Cláusulas Contratuais Padrão ("CCPs") são as cláusulas contratuais exigidas pelas leis de proteção de dados aplicáveis para a transferência de Dados Pessoais para Processadores não estabelecidos em Países Adequados.

    O Anexo de Transferência Internacional de Dados do Reino Unido às Cláusulas Contratuais Padrão da Comissão da UE ("Anexo do RU") significa o Anexo de Transferência Internacional de Dados do RU às Cláusulas Contratuais Padrão da Comissão da UE, conforme publicadas oficialmente em https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/.

    Adendo Suíço às Cláusulas Contratuais Padrão da Comissão da UE ("Adendo Suíço") significa as cláusulas contratuais para as Cláusulas Contratuais Padrão da Comissão da UE que se aplicam de acordo com a decisão da Swiss Data Protection Authority ("FDPIC") e em conformidade com a Swiss Federal Act on Data Protection ("FADP").

    5.1 O Fornecedor não transferirá ou divulgará (também por meio de acesso remoto) quaisquer Dados Pessoais da Kyndryl para além de fronteiras sem o consentimento prévio e por escrito da Kyndryl.  Caso a Kyndryl forneça esse consentimento, as partes cooperarão para assegurar a conformidade com as leis de proteção de dados aplicáveis.  Se essas leis exigirem as SCCs, o Fornecedor imediatamente as inserirá, de acordo com a solicitação da Kyndryl.

    5.2 Sobre as SCCs da UE:

    (a) Se o Fornecedor não estiver estabelecido em um País Adequado: por meio deste e por sua própria conta, o Fornecedor concordará com as SCCs da UE estabelecidas pela Kyndryl, tornando-se um Importador de Dados e firmará um contrato por escrito com cada Subprocessador aprovado, conforme estabelecido na Cláusula 9 das SCCs da UE e fornecerá à Kyndryl cópias desses contratos, mediante solicitação. 

    (i) O Módulo 1 das SCCs da UE não se aplica, a menos que acordado de outra forma pelas partes por escrito.

    (ii) O Módulo 2 das SCCs da UE se aplicará quando a Kyndryl for um Controlador e o Módulo 3 se aplicará quando a Kyndryl for um Processador. De acordo com a Cláusula 13 das SCCs da UE, quando o Módulo 2 ou 3 se aplicar, as partes concordarão que (1) as SCCs da UE serão regidas pela lei do estado-membro da UE onde a autoridade de controle competente está localizada e (2) quaisquer litígios oriundos das SCCs da UE ocorrerão nos tribunais do estado-membro da UE onde a autoridade de controle competente está localizada. Se tal lei em (1) não permitir os direitos de beneficiários terceiros, as SCCs da UE serão regidas pela lei dos Países Baixos e quaisquer litígios oriundos das SCCs da UE ao abrigo de (2) serão resolvidos pelo tribunal de Amsterdã nos Países Baixos.

    (b) Se ambas as partes, Fornecedor e Kyndryl, estiverem estabelecidas em um País Adequado, o Fornecedor atuará como o Exportador de Dados e se envolverá em SCCs da UE com cada Subprocessador aprovado em um País Não Adequado. O Fornecedor realizará a Avaliação de Impacto de Transferência (AIT) necessária e notificará a Kyndryl sem demora indevida sobre (1) qualquer necessidade de aplicar medidas complementares e (2) as medidas aplicadas. Mediante solicitação, o Fornecedor fornecerá os resultados da AIT e qualquer informação necessária para entender e avaliar os resultados para a Kyndryl. Caso a Kyndryl discorde dos resultados da AIT do Fornecedor ou das medidas complementares aplicadas, a Kyndryl e o Fornecedor trabalharão juntos para encontrar uma solução viável. A Kyndryl reserva-se o direito de suspender ou rescindir os serviços dos Fornecedores envolvidos sem compensação. Para evitar dúvidas, isso não isenta os Subprocessadores do Fornecedor da obrigação de se tornar parte das SCCs da UE com a Kyndryl ou seus Clientes, conforme descrito na seção 5.2 (d) abaixo.

    (c) Se o Fornecedor estiver estabelecido no Espaço Econômico Europeu e a Kyndryl for um Controlador não sujeito ao Regulamento Geral sobre a Proteção de Dados 2016/679, o Módulo 4 das SCCs da UE se aplicará e, pelo presente, o Fornecedor se submeterá às SCCs da UE como um exportador de dados da Kyndryl.  Se o Módulo 4 das SCCs da UE se aplicar, as partes concordarão que as SCCs da UE serão regidas pela lei dos Países Baixos e quaisquer litígios oriundos das SCCs da UE serão resolvidos pelo tribunal de Amsterdã nos Países Baixos.  

    (d) Se Outros Controladores, como Clientes ou afiliados, solicitarem se tornar parte das SCCs da UE em conformidade com a "cláusula vinculativa" na Cláusula 7, pelo presente, o Fornecedor concordará com qualquer solicitação.  

    (e) Medidas Técnicas e Organizacionais necessárias para preencher o Anexo II das SCCs da UE podem ser localizadas nestes Termos, no próprio Documento da Transação e no contrato base associado entre as partes.

    (f) No caso de conflitos entre as SCCs da UE e estes Termos, as SCCs da UE prevalecerão.

    5.3 Com relação ao(s) Anexo(s) do Reino Unido:

    a. Se o Fornecedor não estiver estabelecido em um País Adequado: (i) por meio deste, o Fornecedor firma o(s) Anexo(s) do Reino Unido com a Kyndryl como Importador para conectar-se às SCCs da UE definidas acima (como aplicável, dependendo das circunstâncias das atividades de processamento); e (ii) o Fornecedor firmará contratos escritos com cada subprocessador aprovado e fornecerá à Kyndryl cópias de tais contratos mediante solicitação.

    b. Se o Fornecedor estiver estabelecido em um País Adequado e a Kyndryl for uma Controladora não sujeita ao Regulamento Geral sobre a Proteção de Dados do Reino Unido (como incorporado na lei do Reino Unido sob a lei de 2018 (Retirada) da União Europeia), por meio deste, o Fornecedor firmará o(s) Anexo(s) do Reino Unido como Exportador com a Kyndryl para conectar-se às SCCs da UE definidas na Seção 5.2(b) acima. 

    c. Se Outros Controladores, como Clientes ou Afiliadas, solicitarem participar do(s) Anexo(s) do Reino Unido o Fornecedor, por meio deste, concordará com tal solicitação.

    d. As Informações do Apêndice (como definidas na Tabela 3) no(s) Anexo(s) do Reino Unido podem ser encontradas nas SCCs da UE aplicáveis, nesses Termos, no próprio Documento da Transação, e no acordo base associado entre as Partes. Nem a Kyndryl nem o Fornecedor poderão rescindir o(s) Anexo(s) do Reino Unido quando ocorrerem alterações no Anexo do Reino Unido.

    e. Em caso de qualquer conflito entre o(s) Anexo(s) do Reino Unido e esses Termos, o(s) Anexo(s) do Reino Unido prevalecerão.

    5.4 Sobre as SCCs sérvias:

    a. Se o Fornecedor não estiver estabelecido em um País Adequado: (i) o Fornecedor concordará com as SCCs sérvias com a Kyndryl em nome do próprio Fornecedor como um Processador; e (ii) o Fornecedor firmará acordos por escrito com cada Subprocessador aprovado, de acordo com o Artigo 8 das SCCs sérvias, e fornecerá à Kyndryl cópias desses acordos mediante solicitação.

    b. Caso esteja estabelecido em um País Adequado, o Fornecedor, por meio deste e por sua própria conta, concordará com as SCCs sérvias estabelecidas pela Kyndryl em nome da cada Subprocessador localizado em um País Não Adequado.  Se o Fornecedor não puder firmar tal contrato com algum Subprocessador, o Fornecedor apresentará à Kyndryl as SCCs sérvias assinadas por esse Subprocessador, para que sejam também assinadas pela Kyndryl e, assim, o Subprocessador tenha permissão para Processar Dados Pessoais da Kyndryl.

    c. As SCCs sérvias entre a Kyndryl e o Fornecedor servirão como SCCs sérvias entre um Controlador e um Processador ou como um acordo por escrito mútuo entre o 'processador' e o 'subprocessador', conforme aplicável.  No caso de conflitos entre as SCCs sérvias e estes Termos, as SCCs sérvias prevalecerão.

    d. As informações necessárias para preencher os Apêndices 1 a 8 das SCCs sérvias com o objetivo de regular a transferência de Dados Pessoais para um País Não Adequado podem ser encontradas nestes Termos e no Apêndice do Documento da Transação ou no próprio Documento da Transação.

    5.5. Sobre os Adendos Suíços: 

    1. Se e na medida em que uma transferência de Dados Pessoais da Kyndryl de acordo com a cláusula 5.1. está sujeita à Swiss Federal Act on Data Protection ("FADP") as SCCs da UE acordadas na Cláusula 5.2. destes Termos regerá a transferência, com as seguintes alterações para adotar o padrão GDPR para Dados Pessoais Suíços:

    • As referências ao Regulamento Geral de Proteção de Dados ("GDPR") devem ser entendidas também como referências às disposições equivalentes da FADP (Lei Federal Suíca de Proteção de Dados),

    • a Comissão Federal Suíça de Proteção de Dados é a autoridade supervisora competente de acordo com a Cláusula 13 e o Anexo I.C das SCCs da UE

    • A lei suíça como lei aplicável caso a transferência esteja exclusivamente sujeita à FADP e

    • O termo "estado membro" na Cláusula 18 das SCCs da UE deve ser estendido para incluir a Suíça com a finalidade de permitir que os titulares de dados suíços exerçam seus direitos em seu local de residência habitual.

    1. Para evitar dúvidas, nenhum dos itens acima visa diminuir o nível de proteção de dados fornecido pelas SCCs da UE de qualquer forma, mas apenas estender esse nível de proteção aos titulares de dados suíços. Se e na medida em que esse não for o caso, as SCCs da UE prevalecerão.

    6. Assistência e Registros

    6.1 Tendo em conta a natureza do Processamento, o Fornecedor ajudará a Kyndryl tendo medidas técnicas e organizacionais apropriadas para cumprir as obrigações associadas às solicitações e direitos do Titular de Dados.  O Fornecedor também ajudará a Kyndryl a assegurar a conformidade com as obrigações relacionadas à segurança do Processamento, à notificação e comunicação de uma Violação de segurança e à criação de avaliações de impacto de proteção de dados, incluindo consulta prévia com o regulador responsável, se necessário, levando em consideração as informações disponíveis para o Fornecedor.

    6.2 O Fornecedor manterá um registro atualizado do nome e dos detalhes de contato de cada Subprocessador, incluindo o representante e o encarregado da proteção de dados de cada Subprocessador.  Mediante solicitação, o Fornecedor oferecerá esse registro à Kyndryl em uma programação que permita à Kyndryl responder oportunamente a qualquer demanda de um Cliente ou de outro terceiro. 

    Artigo VIII, Medidas Técnicas e organizacionais, Segurança geral

    Este Artigo se aplicará se o Fornecedor oferecer quaisquer Serviços ou Distribuíveis à Kyndryl, a menos que o Fornecedor tenha apenas acesso às BCIs da Kyndryl no fornecimento desses Serviços e Distribuíveis (ou seja, o Fornecedor não Processará nenhum outro Dado da Kyndryl ou terá acesso a qualquer outro Material Kyndryl ou a qualquer Sistema Corporativo), o único Serviço ou Entrega do Fornecedor é fornecer Software no Local à Kyndryl ou se o Fornecedor oferecer todos os seus Serviços e Distribuíveis em um modelo de aumento de equipe, de acordo com o Artigo VII, incluindo a Cláusula 1.7.  

    O Fornecedor cumprirá os requisitos deste Artigo e, ao fazê-lo, protegerá: (a) os Materiais Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada e ao acesso acidental ou não autorizado, (b) os Dados Kyndryl de formas ilegais de Processamento e (c) a Tecnologia Kyndryl de formas ilegais de Manipulação. Os requisitos deste Artigo se estendem a todos os aplicativos, plataformas e infraestrutura de TI que o Fornecedor opera ou gerencia no fornecimento de Distribuíveis e Serviços e na Manipulação da Tecnologia Kyndryl, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e data center.  

    1. Políticas de Segurança

    1.1 O Fornecedor manterá e seguirá as políticas e práticas de segurança de TI que são integrais para os negócios do Fornecedor, obrigatórias para todo o Pessoal do Fornecedor e consistentes com as Melhores práticas do mercado.  

    1.2 O Fornecedor revisará as suas políticas e práticas de segurança de TI pelo menos anualmente e as corrigirá conforme o Fornecedor considerar necessário para proteger os Materiais Kyndryl.

    1.3 O Fornecedor manterá e seguirá os requisitos padrão obrigatórios de verificação de emprego para todas as novas contratações de funcionário e estenderá esses requisitos a todo o Pessoal do Fornecedor e às subsidiárias de propriedade integral do Fornecedor.  Esses requisitos incluirão verificações de antecedentes criminais até o limite permitido pelas leis locais, prova de validação de identidade e verificações adicionais que o Fornecedor considerar necessárias.  O Fornecedor repetirá e revalidará periodicamente esses requisitos, conforme considerar necessário. 

    1.4 O Fornecedor oferecerá anualmente educação sobre segurança e privacidade a seus funcionários e exigirá que todos os funcionários certifiquem a cada ano que cumprirão as políticas éticas de conduta comercial, confidencialidade e segurança do Fornecedor, conforme definido no código de conduta do Fornecedor ou em documentos similares.  O Fornecedor oferecerá treinamento adicional sobre política e processo para pessoas com acesso administrativo a qualquer componente dos Serviços, Distribuíveis ou Materiais Kyndryl, com tal treinamento específico para a sua função e suporte aos Serviços, Distribuíveis e Materiais Kyndryl e conforme necessário para manter a conformidade e certificações obrigatórias.

    1.5 O Fornecedor projetará medidas de segurança e privacidade para proteger e manter a disponibilidade de Materiais Kyndryl, inclusive através de sua implementação, manutenção e conformidade com políticas e procedimentos que requerem segurança e privacidade por design, engenharia e operações seguras, para todos os Serviços e Distribuíveis e para toda a Manipulação da Tecnologia Kyndryl.

    2. Incidentes de Segurança

    2.1 O Fornecedor manterá e seguirá as políticas documentadas de resposta a incidentes, consistentes com as Melhores práticas do mercado para manipulação de incidente de segurança de computador.

    2.2 O Fornecedor investigará o acesso não autorizado ou o uso não autorizado de Materiais Kyndryl e definirá e executará um plano de resposta apropriado.

    2.3 O Fornecedor prontamente (e em hipótese alguma, o fará depois de 48 horas) notificará a Kyndryl assim que tomar ciência de qualquer Violação de Segurança.  O Fornecedor fornecerá tal notificação para cyber.incidents@kyndryl.com. O Fornecedor apresentará à Kyndryl todas as informações solicitadas cabíveis sobre tal violação e sobre o status de quaisquer atividades de correção e restauração por ele executadas.  Como exemplo, tais informações cabíveis podem incluir, por exemplo, logs que demonstrem acesso privilegiado, administrativo ou de outra natureza aos Dispositivos, sistemas ou aplicativos, imagens judiciais de Dispositivos, sistemas ou aplicativos e outros itens semelhantes, considerados relevantes para as atividades de correção e restauração executadas pelo Fornecedor.

    2.4 O Fornecedor oferecerá à Kyndryl assistência razoável para satisfazer quaisquer obrigações legais (incluindo obrigações para notificar reguladores ou Titular de Dados) da Kyndryl, afiliadas e Clientes Kyndryl (e seus clientes e afiliados) em relação a uma Violação de segurança.

    2.5 O Fornecedor não informará nem notificará nenhum terceiro que uma Violação de segurança se relaciona direta ou indiretamente à Kyndryl ou aos Materiais Kyndryl, a menos que a Kyndryl aprove isso por escrito ou se exigido por lei. O Fornecedor notificará a Kyndryl por escrito antes de distribuir qualquer notificação legalmente obrigatória a qualquer terceiro, caso a notificação revele direta ou indiretamente a identidade da Kyndryl. 

    2.6 No caso de uma Violação de segurança decorrente da violação do Fornecedor de qualquer obrigação sob estes Termos:

    (a) O Fornecedor será responsável por quaisquer custos incorridos, bem como pelas despesas efetivas incorridas pela Kyndryl, ao fornecer notificação da Violação de segurança aos reguladores aplicáveis, outras agências de autorregulação do setor governamentais e relevantes, à mídia (se obrigatório pela lei aplicável), Titulares de Dados, Clientes e outros.

    (b) Se a Kyndryl solicitar, o Fornecedor estabelecerá e manterá, às próprias custas do Fornecedor, uma central de atendimento para responder a perguntas dos Titular de Dados sobre a Violação de segurança e as suas consequências, por um ano após a data na qual esses Titular de Dados foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.  A Kyndryl e o Fornecedor trabalharão juntos para criar os scripts e outros materiais a serem usados pela equipe da central de atendimento ao responder a consultas.  Como alternativa, mediante aviso por escrito ao Fornecedor, a Kyndryl pode estabelecer e manter a sua própria central de atendimento, em vez de fazer com que o Fornecedor estabeleça uma central de atendimento e o Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl ao estabelecer e manter essa central de atendimento e

     

    (c) O Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl no fornecimento de serviços de monitoramento e restauração de crédito por um ano após a data em que os indivíduos afetados pela violação que escolheram se registrar para esses serviços foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.

    3. Segurança física e controle de entrada (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl).

    3.1 O Fornecedor manterá controles físicos adequados de entrada, como barreiras, pontos de entrada controlados por cartão, câmeras de vigilância e mesas de recepção assistidas, para proteger contra a entrada não autorizada nas Instalações.  

    3.2 O Fornecedor requererá aprovação autorizada para acesso às Instalações e áreas controladas dentro das Instalações, incluindo qualquer acesso temporário e limitará o acesso por cargo e necessidade comercial.  Se o Fornecedor conceder acesso temporário, um funcionário autorizado do Cliente acompanhará qualquer visitante enquanto estiver na Instalação e em qualquer área controlada.

    3.3 O Fornecedor implementará controles de acesso físico, incluindo controles de acesso de múltiplos fatores que são consistentes com as Melhores práticas do mercado, para restringir adequadamente a entrada em áreas controladas dentro das Instalações, registrará todas as tentativas de entrada e manterá esses registros por pelo menos 1 ano. 

    3.4 O Fornecedor revogará o acesso às Instalações e áreas controladas dentro das Instalações quando houver (a) desligamento de um funcionário autorizado pelo Fornecedor ou (b) o funcionário autorizado do Fornecedor não ter mais necessidade comercial válida para o acesso.  O Fornecedor seguirá os procedimentos formais de desligamento documentados que incluem a remoção imediata das listas de controle de acesso e a devolução de crachás de acesso físico.

    3.5 O Fornecedor tomará precauções para proteger toda a infraestrutura física usada para suportar os Serviços e Distribuíveis e a Manipulação da Tecnologia Kyndryl com relação a ameaças ambientais, ambas, as que ocorrem naturalmente e as provocadas pelo homem, como temperatura ambiente excessiva, incêndio, inundação, umidade, roubo e vandalismo.

    4. Controle de Acesso, Intervenção, Transferência e Desligamento

    4.1 O Fornecedor manterá documentada a arquitetura de segurança das redes que gerenciar ao operar Serviços, fornecer Distribuíveis e Manipular Tecnologia Kyndryl.  O Fornecedor revisará separadamente essa arquitetura de rede e empregará medidas para evitar conexões de rede não autorizadas a sistemas, aplicativos e dispositivos de rede, para conformidade com os padrões detalhados de segmentação, isolamento e defesa seguros.  O Fornecedor não pode usar a tecnologia wireless em sua hospedagem e em operações de quaisquer Serviços hospedados. Caso contrário, o Fornecedor poderá usar a tecnologia de rede wireless em sua entrega de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl, mas o Fornecedor criptografará e exigirá a autenticação segura para essas redes wireless.

    4.2 O Fornecedor manterá medidas projetadas para separar logicamente os Materiais Kyndryl e evitar que eles sejam expostos ou acessados por pessoas não autorizadas.  Além disso, o Fornecedor manterá o isolamento apropriado de seus ambientes de produção, não produção e outros e, se os Materiais Kyndryl já estiverem presentes ou forem transferidos para um ambiente de não produção (por exemplo, para reproduzir um erro), então, o Fornecedor assegurará que as proteções de segurança e privacidade no ambiente de não produção sejam iguais àquelas no ambiente de produção.

    4.3 O Fornecedor criptografará os Materiais Kyndryl em trânsito e em repouso (a menos que o Fornecedor demonstre para a satisfação razoável da Kyndryl que a criptografia de Materiais Kyndryl em repouso é tecnicamente inviável).  O Fornecedor também criptografará todas as mídias físicas, se houver, tais como a mídia que contém arquivos de backup.  O Fornecedor manterá procedimentos documentados para geração, emissão, distribuição, armazenamento, rotação, revogação, recuperação, backup, destruição, acesso e uso de chave de segurança associados com a criptografia de dados.  O Fornecedor assegurará que os métodos criptográficos específicos usados para essa criptografia estejam alinhados com as Melhores práticas do mercado (como NIST SP 800-131a).

    4.4 Se o Fornecedor requerer acesso aos Materiais Kyndryl, o Fornecedor restringirá e limitará esse acesso ao nível mínimo necessário para fornecer e suportar os Serviços e Distribuíveis.  O Fornecedor exigirá que esse acesso, incluindo acesso administrativo a qualquer componente subjacente (ou seja, acesso privilegiado), seja individual, baseado em função e sujeito a aprovação e validação regular por funcionários autorizados do Fornecedor, seguindo os princípios de segregação de função.  O Fornecedor manterá medidas para identificar e remover contas redundantes e inativas. O Fornecedor também revogará contas com acesso privilegiado dentro de 24 (vinte e quatro) horas após o desligamento do proprietário da conta ou a solicitação pela Kyndryl ou por qualquer funcionário autorizado do Fornecedor, como o gerente do proprietário da conta. 

    4.5 Consistente com as Melhores práticas do mercado, o Fornecedor manterá medidas técnicas que reforçam o tempo limite de sessões inativas, o bloqueio de contas após múltiplas tentativas sequenciais de login com falha, a senha forte ou a autenticação de passphrase e as medidas que exijam transferência e armazenamento seguros de tais senhas e passphrases.  Além disso, o Fornecedor utilizará a autenticação de diversos fatores para todos os acessos privilegiados não baseados em console para quaisquer Materiais Kyndryl.

    4.6 O Fornecedor monitorará o uso do acesso privilegiado e manterá as informações de segurança e as medidas de gerenciamento de eventos projetadas para: (a) identificar o acesso e a atividade não autorizados, (b) facilitar uma resposta oportuna e apropriada a esse acesso e essa atividade e (c) permitir auditorias pelo Fornecedor, pela Kyndryl (de acordo com os seus direitos de verificação nestes Termos e direitos de auditoria no Documento de Transação ou na base associada ou em outro contrato relacionado entre as partes) e por outros de conformidade com a política do Fornecedor documentada. 

    4.7 O Fornecedor manterá registros nos quais ele registra, em conformidade com as Melhores práticas do mercado, todo o acesso ou a atividade administrativa, do usuário ou outro acesso ou atividade para ou com relação aos sistemas utilizados no fornecimento de Serviços ou Distribuíveis e na Manipulação de Tecnologia Kyndryl (e fornecerá esses logs à Kyndryl mediante solicitação).  O Fornecedor manterá medidas projetadas para proteção contra o acesso não autorizado, à modificação e à destruição acidental ou deliberada desses registros.

    4.8 O Fornecedor manterá proteções de computação para os sistemas que ele possui ou gerencia, incluindo sistemas de usuário final e que ele usa no fornecimento de Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl, com essas proteções, incluindo: firewalls de terminal, criptografia integral de disco, tecnologias de detecção e resposta de terminal baseada em assinatura e não assinatura para lidar com malware e ameaças persistentes avançadas, bloqueios de tela com base no tempo e soluções de gerenciamento de terminal que reforçam os requisitos de configuração de segurança e de correção temporária.  Além disso, o Fornecedor implementará controles técnicos e operacionais que assegurem que apenas sistemas de usuário final conhecidos e confiáveis tenham permissão para usar as redes do Fornecedor.

    4.9 Consistente com as Melhores práticas do mercado, o Fornecedor manterá proteções para ambientes de data center em que o Material Kyndryl esteja presente ou seja processado, com essas proteções, incluindo detecção e prevenção de intrusão e contramedidas e mitigação de ataque de negação de serviço. 

    5. Integridade de Serviço e Sistemas e Controle de Disponibilidade 

    5.1 O Fornecedor: (a) executará avaliações de risco de segurança e privacidade pelo menos anualmente, (b) executará teste de segurança e avaliará vulnerabilidades, incluindo varredura automatizada de segurança de sistema e aplicativo e hacking ético manual, antes da liberação de produção e anualmente depois disso, no que diz respeito a Serviços e Distribuíveis e anualmente com relação à sua Manipulação de Tecnologia Kyndryl, (c) mobilizará um terceiro independente e qualificado para executar teste de penetração consistente com as Melhores práticas do mercado, pelo menos anualmente, com esse teste incluindo teste automatizado e manual, (d) executará gerenciamento automatizado e verificação de rotina de conformidade com os requisitos de configuração de segurança para cada componente dos Serviços e Distribuíveis e com relação à sua Manipulação de Tecnologia Kyndryl e (e) corrigirá as vulnerabilidades identificadas ou a não conformidade com os seus requisitos de configuração de segurança com base no risco, na capacidade de exploração e no impacto associados.  O Fornecedor tomará medidas razoáveis para evitar a interrupção dos Serviços ao executar os seus testes, as avaliações, as varreduras e a execução de atividades de correção.  Mediante solicitação da Kyndryl, o Fornecedor oferecerá à Kyndryl um resumo por escrito das atividades de teste de penetração mais recentes do Fornecedor, cujo relatório incluirá no mínimo o nome das ofertas cobertas pelo teste, o número de sistemas ou aplicativos no escopo para o teste, as datas do teste, a metodologia usada no teste e um resumo detalhado das descobertas.

    5.2 O Fornecedor manterá políticas e procedimentos projetados para gerenciar riscos associados à aplicação de mudanças nos Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl.  Antes de implementar tal mudança, incluindo em sistemas, redes e componentes subjacentes afetados, o Fornecedor documentará em uma solicitação de mudança registrada: (a) uma descrição e o motivo da mudança, (b) detalhes e programação da implementação, (c) uma declaração de risco abordando o impacto nos Serviços e Distribuíveis, nos clientes dos Serviços ou nos Materiais Kyndryl, (d) resultado esperado, (e) plano de retrocesso e (f) aprovação por funcionários autorizados do Fornecedor.

    5.3 O Fornecedor manterá um inventário de todos os ativos de TI que ele usa na operação dos Serviços, no fornecimento de Distribuíveis e na Manipulação de Tecnologia Kyndryl.  O Fornecedor monitorará e gerenciará continuamente o funcionamento (incluindo a capacidade) e a disponibilidade desses ativos de TI, Serviços, Distribuíveis e Tecnologia Kyndryl, incluindo os componentes subjacentes de tais ativos, Serviços, Distribuíveis e Tecnologia Kyndryl. 

    5.4 O Fornecedor construirá todos os sistemas que ele usa no desenvolvimento ou na operação de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl por meio de imagens de segurança do sistema predefinidas ou linhas de base de segurança, que satisfaçam as Melhores práticas do mercado, como as benchmarks do Center for Internet Security (CIS).

    5.5 Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl sob o Documento de Transação ou no contrato base associado entre as partes com relação à continuidade dos negócios, o Fornecedor avaliará separadamente cada Serviço e Entrega e cada sistema de TI usado na Manipulação de Tecnologia Kyndryl para os requisitos de continuidade de negócios e de TI e de recuperação de desastre, de acordo com as diretrizes documentadas de gestão de risco.  O Fornecedor assegurará que cada um desses Serviços, Distribuíveis e TI tenha, até o limite garantido por essa avaliação de risco, negócios validados anualmente, separadamente definidos, documentados, mantidos e planos de continuidade de TI e de recuperação de desastre, consistentes com as Melhores práticas do mercado.  O Fornecedor assegurará que esses planos sejam projetados para fornecer os tempos de recuperação específicos que estão definidos na Cláusula 5.6 abaixo.

    5.6 Os objetivos específicos do ponto de recuperação ("RPO") e os objetivos de tempo de recuperação ("RTO") em relação a qualquer Serviço hospedado são: RPO de 24 horas e RTO de 24 horas. No entanto, o Fornecedor cumprirá qualquer RPO ou RTO com duração menor que a Kyndryl tiver confirmado com um Cliente, imediatamente após a Kyndryl notificar o Fornecedor por escrito desse RPO ou RTO de duração menor (um e-mail constitui uma comunicação por escrito).  No que diz respeito a todos os outros Serviços oferecidos pelo Fornecedor à Kyndryl, o Fornecedor assegurará que os seus planos de continuidade de negócios e de recuperação de desastre sejam projetados para fornecer RPO e RTO que permitam ao Fornecedor permanecer em conformidade com todas as suas obrigações para com a Kyndryl sob o Documento de Transação e o contrato base associado entre as partes e estes Termos, incluindo as suas obrigações de fornecer teste, suporte e manutenção em tempo hábil.

    5.7 O Fornecedor manterá medidas projetadas para avaliar, testar e aplicar correções temporárias de segurança aos Serviços e Distribuíveis e sistemas, redes, aplicativos e componentes subjacentes associados dentro do escopo desses Serviços e Distribuíveis, bem como os sistemas, as redes, os aplicativos e os componentes subjacentes usados para Manipular a Tecnologia Kyndryl.  Mediante a determinação de que uma correção temporária consultiva de segurança é aplicável e apropriada, o Fornecedor implementará a correção temporária de acordo com as diretrizes documentadas de avaliação de severidade e risco.  A implementação de correções temporárias de segurança consultivas do Fornecedor estará sujeita à política de gerenciamento de mudanças do Fornecedor.

    5.8 Se a Kyndryl tiver uma base razoável para acreditar que o hardware ou o software que o Fornecedor oferece à Kyndryl pode conter elementos intrusivos, como spyware, malware ou código malicioso, então, o Fornecedor cooperará oportunamente com a Kyndryl na investigação e correção dos interesses da Kyndryl.  

    6. Fornecimento de Serviço

    6.1 O Fornecedor suportará métodos comuns de autenticação federada do setor para qualquer conta do usuário ou do Cliente Kyndryl, com o Fornecedor seguindo as Melhores práticas do mercado na autenticação dessas contas do usuário ou do Cliente Kyndryl (como pela Conexão única de múltiplos fatores gerenciada centralizadamente pela Kyndryl, usando o OpenID Connect ou a Security Assertion Markup Language).

    7. Subcontratados.  Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl ao abrigo do Documento de Transação ou do contrato base associado entre as partes com relação à retenção de subcontratados, o Fornecedor assegurará que qualquer subcontratado que realize o trabalho para o Fornecedor tenha instituído controles de governança para cumprir com os requisitos e as obrigações aplicáveis ao Fornecedor sob estes Termos.  

    8. Mídia Física. O Fornecedor limpará com segurança a mídia física destinada para reutilização antes dessa reutilização e destruirá a mídia física não destinada para reutilização de acordo com as Melhores práticas do mercado para sanitização da mídia.

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

  3. Se sim, as Seções II (Medidas Técnicas e Organizacionais, Segurança de Dados), VIII (Medidas Técnicas e Organizacionais, Segurança Geral) e X (Cooperação, Verificação e Correção) se aplicam a esse acesso.  

    Exemplos:

    • O Fornecedor armazena, transmite, tem acesso ou Processa Dados não Pessoais fornecidos pela Kyndryl ou pelos Clientes ao Fornecedor.

    Seção II, Medidas Técnicas e Organizacionais, Segurança de Dados

    Este Artigo se aplicará caso o Fornecedor Processe outros Dados da Kyndryl, além do BCI.  O Fornecedor deve cumprir os requisitos deste Artigo quanto ao fornecimento de todos os Distribuíveis e Serviços e, ao fazer isso, protegerá os Dados da Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada, ao acesso acidental ou não autorizado e às formas ilegais de Processamento.  Os requisitos deste Artigo se aplicam, sem limitações, a todos os aplicativos, plataformas e infraestruturas de TI por meio dos quais o Fornecedor opera ou gerencia o fornecimento de Distribuíveis e Serviços, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e de Centro de Dados.  

    1. Uso de Dados

    1.1 O Fornecedor não pode acrescentar ou incluir nos Dados da Kyndryl quaisquer outras informações ou dados, incluindo Dados Pessoais, sem o consentimento prévio e escrito da Kyndryl e o Fornecedor não pode usar os Dados da Kyndryl em qualquer formato, agregados ou não, para outros fins que não o fornecimento de Distribuíveis e Serviços (por exemplo, o Fornecedor não tem permissão para usar ou reutilizar os Dados da Kyndryl para avaliar a eficácia ou os meios de aprimorar as ofertas do Fornecedor, para fins de pesquisa e desenvolvimento, para a criação de novas ofertas ou para a geração de relatórios a respeito das ofertas do Fornecedor).  A menos que isso seja expressamente permitido no Documento de Transação, o Fornecedor é proibido de Vender os Dados da Kyndryl.

    1.2 O Fornecedor não integrará aos Distribuíveis ou aos Serviços nenhuma tecnologia de rastreio da web (tais tecnologias incluem HTML5, armazenamento local, tags ou tokens de terceiros e web beacons), a menos que isso seja expressamente permitido no Documento de Transação. 

    2. Solicitações e Confidencialidade de Terceiros

    2.1 O Fornecedor não divulgará Dados da Kyndryl para terceiros, a menos que a Kyndryl o autorize previamente e por escrito.  Caso alguma autoridade, incluindo agências regulatórias, reivindique acesso aos Dados da Kyndryl (por exemplo, se o governo dos Estados Unidos apresentar uma ordem de segurança nacional para o Fornecedor, exigindo acesso aos Dados da Kyndryl) ou caso a divulgação de quaisquer Dados da Kyndryl seja exigida por lei, o Fornecedor notificará a Kyndryl por escrito a respeito dessa demanda ou exigência e concederá à Kyndryl uma oportunidade cabível de contestar quaisquer ações de divulgação (quando a notificação for proibida por lei, o Fornecedor tomará as medidas que considerar cabíveis e corretas para contestar tal proibição e a divulgação de Dados da Kyndryl, utilizando, para isto, ações judiciais ou outros meios).

    2.2 O Fornecedor garante à Kyndryl: (a) que o acesso aos Dados da Kyndryl será concedido apenas aos funcionários que precisarem desse acesso para as ações de fornecimento de Distribuíveis e Serviços e, ainda assim, apenas na proporção considerada necessária para a execução de tais ações; e (b) que seus funcionários firmaram contratos de confidencialidade, que os obrigam a usar e divulgar os Dados da Kyndryl apenas nas condições permitidas por estes Termos.  

    3. Devolução ou Exclusão de Dados da Kyndryl

    3.1 O Fornecedor, de acordo com a opção da Kyndryl, excluirá ou devolverá os Dados da Kyndryl para a Kyndryl após a rescisão ou a expiração do Documento de Transação, ou antes disso, mediante solicitação da Kyndryl.  Caso a Kyndryl solicite uma exclusão, o Fornecedor, de acordo com as Melhores Práticas do Mercado, tornará os dados ilegíveis, impossibilitando sua remontagem ou reconstrução e confirmará a exclusão junto à Kyndryl.  Se a Kyndryl solicitar a devolução de seus Dados, o Fornecedor fará a devolução, seguindo a programação e as instruções por escrito apresentadas pela Kyndryl. 

    Artigo VIII, Medidas Técnicas e organizacionais, Segurança geral

    Este Artigo se aplicará se o Fornecedor oferecer quaisquer Serviços ou Distribuíveis à Kyndryl, a menos que o Fornecedor tenha apenas acesso às BCIs da Kyndryl no fornecimento desses Serviços e Distribuíveis (ou seja, o Fornecedor não Processará nenhum outro Dado da Kyndryl ou terá acesso a qualquer outro Material Kyndryl ou a qualquer Sistema Corporativo), o único Serviço ou Entrega do Fornecedor é fornecer Software no Local à Kyndryl ou se o Fornecedor oferecer todos os seus Serviços e Distribuíveis em um modelo de aumento de equipe, de acordo com o Artigo VII, incluindo a Cláusula 1.7.  

    O Fornecedor cumprirá os requisitos deste Artigo e, ao fazê-lo, protegerá: (a) os Materiais Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada e ao acesso acidental ou não autorizado, (b) os Dados Kyndryl de formas ilegais de Processamento e (c) a Tecnologia Kyndryl de formas ilegais de Manipulação. Os requisitos deste Artigo se estendem a todos os aplicativos, plataformas e infraestrutura de TI que o Fornecedor opera ou gerencia no fornecimento de Distribuíveis e Serviços e na Manipulação da Tecnologia Kyndryl, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e data center.  

    1. Políticas de Segurança

    1.1 O Fornecedor manterá e seguirá as políticas e práticas de segurança de TI que são integrais para os negócios do Fornecedor, obrigatórias para todo o Pessoal do Fornecedor e consistentes com as Melhores práticas do mercado.  

    1.2 O Fornecedor revisará as suas políticas e práticas de segurança de TI pelo menos anualmente e as corrigirá conforme o Fornecedor considerar necessário para proteger os Materiais Kyndryl.

    1.3 O Fornecedor manterá e seguirá os requisitos padrão obrigatórios de verificação de emprego para todas as novas contratações de funcionário e estenderá esses requisitos a todo o Pessoal do Fornecedor e às subsidiárias de propriedade integral do Fornecedor.  Esses requisitos incluirão verificações de antecedentes criminais até o limite permitido pelas leis locais, prova de validação de identidade e verificações adicionais que o Fornecedor considerar necessárias.  O Fornecedor repetirá e revalidará periodicamente esses requisitos, conforme considerar necessário. 

    1.4 O Fornecedor oferecerá anualmente educação sobre segurança e privacidade a seus funcionários e exigirá que todos os funcionários certifiquem a cada ano que cumprirão as políticas éticas de conduta comercial, confidencialidade e segurança do Fornecedor, conforme definido no código de conduta do Fornecedor ou em documentos similares.  O Fornecedor oferecerá treinamento adicional sobre política e processo para pessoas com acesso administrativo a qualquer componente dos Serviços, Distribuíveis ou Materiais Kyndryl, com tal treinamento específico para a sua função e suporte aos Serviços, Distribuíveis e Materiais Kyndryl e conforme necessário para manter a conformidade e certificações obrigatórias.

    1.5 O Fornecedor projetará medidas de segurança e privacidade para proteger e manter a disponibilidade de Materiais Kyndryl, inclusive através de sua implementação, manutenção e conformidade com políticas e procedimentos que requerem segurança e privacidade por design, engenharia e operações seguras, para todos os Serviços e Distribuíveis e para toda a Manipulação da Tecnologia Kyndryl.

    2. Incidentes de Segurança

    2.1 O Fornecedor manterá e seguirá as políticas documentadas de resposta a incidentes, consistentes com as Melhores práticas do mercado para manipulação de incidente de segurança de computador.

    2.2 O Fornecedor investigará o acesso não autorizado ou o uso não autorizado de Materiais Kyndryl e definirá e executará um plano de resposta apropriado.

    2.3 O Fornecedor prontamente (e em hipótese alguma, o fará depois de 48 horas) notificará a Kyndryl assim que tomar ciência de qualquer Violação de Segurança.  O Fornecedor fornecerá tal notificação para cyber.incidents@kyndryl.com. O Fornecedor apresentará à Kyndryl todas as informações solicitadas cabíveis sobre tal violação e sobre o status de quaisquer atividades de correção e restauração por ele executadas.  Como exemplo, tais informações cabíveis podem incluir, por exemplo, logs que demonstrem acesso privilegiado, administrativo ou de outra natureza aos Dispositivos, sistemas ou aplicativos, imagens judiciais de Dispositivos, sistemas ou aplicativos e outros itens semelhantes, considerados relevantes para as atividades de correção e restauração executadas pelo Fornecedor.

    2.4 O Fornecedor oferecerá à Kyndryl assistência razoável para satisfazer quaisquer obrigações legais (incluindo obrigações para notificar reguladores ou Titular de Dados) da Kyndryl, afiliadas e Clientes Kyndryl (e seus clientes e afiliados) em relação a uma Violação de segurança.

    2.5 O Fornecedor não informará nem notificará nenhum terceiro que uma Violação de segurança se relaciona direta ou indiretamente à Kyndryl ou aos Materiais Kyndryl, a menos que a Kyndryl aprove isso por escrito ou se exigido por lei. O Fornecedor notificará a Kyndryl por escrito antes de distribuir qualquer notificação legalmente obrigatória a qualquer terceiro, caso a notificação revele direta ou indiretamente a identidade da Kyndryl. 

    2.6 No caso de uma Violação de segurança decorrente da violação do Fornecedor de qualquer obrigação sob estes Termos:

    (a) O Fornecedor será responsável por quaisquer custos incorridos, bem como pelas despesas efetivas incorridas pela Kyndryl, ao fornecer notificação da Violação de segurança aos reguladores aplicáveis, outras agências de autorregulação do setor governamentais e relevantes, à mídia (se obrigatório pela lei aplicável), Titulares de Dados, Clientes e outros.

    (b) Se a Kyndryl solicitar, o Fornecedor estabelecerá e manterá, às próprias custas do Fornecedor, uma central de atendimento para responder a perguntas dos Titular de Dados sobre a Violação de segurança e as suas consequências, por um ano após a data na qual esses Titular de Dados foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.  A Kyndryl e o Fornecedor trabalharão juntos para criar os scripts e outros materiais a serem usados pela equipe da central de atendimento ao responder a consultas.  Como alternativa, mediante aviso por escrito ao Fornecedor, a Kyndryl pode estabelecer e manter a sua própria central de atendimento, em vez de fazer com que o Fornecedor estabeleça uma central de atendimento e o Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl ao estabelecer e manter essa central de atendimento e

     

    (c) O Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl no fornecimento de serviços de monitoramento e restauração de crédito por um ano após a data em que os indivíduos afetados pela violação que escolheram se registrar para esses serviços foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.

    3. Segurança física e controle de entrada (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl).

    3.1 O Fornecedor manterá controles físicos adequados de entrada, como barreiras, pontos de entrada controlados por cartão, câmeras de vigilância e mesas de recepção assistidas, para proteger contra a entrada não autorizada nas Instalações.  

    3.2 O Fornecedor requererá aprovação autorizada para acesso às Instalações e áreas controladas dentro das Instalações, incluindo qualquer acesso temporário e limitará o acesso por cargo e necessidade comercial.  Se o Fornecedor conceder acesso temporário, um funcionário autorizado do Cliente acompanhará qualquer visitante enquanto estiver na Instalação e em qualquer área controlada.

    3.3 O Fornecedor implementará controles de acesso físico, incluindo controles de acesso de múltiplos fatores que são consistentes com as Melhores práticas do mercado, para restringir adequadamente a entrada em áreas controladas dentro das Instalações, registrará todas as tentativas de entrada e manterá esses registros por pelo menos 1 ano. 

    3.4 O Fornecedor revogará o acesso às Instalações e áreas controladas dentro das Instalações quando houver (a) desligamento de um funcionário autorizado pelo Fornecedor ou (b) o funcionário autorizado do Fornecedor não ter mais necessidade comercial válida para o acesso.  O Fornecedor seguirá os procedimentos formais de desligamento documentados que incluem a remoção imediata das listas de controle de acesso e a devolução de crachás de acesso físico.

    3.5 O Fornecedor tomará precauções para proteger toda a infraestrutura física usada para suportar os Serviços e Distribuíveis e a Manipulação da Tecnologia Kyndryl com relação a ameaças ambientais, ambas, as que ocorrem naturalmente e as provocadas pelo homem, como temperatura ambiente excessiva, incêndio, inundação, umidade, roubo e vandalismo.

    4. Controle de Acesso, Intervenção, Transferência e Desligamento

    4.1 O Fornecedor manterá documentada a arquitetura de segurança das redes que gerenciar ao operar Serviços, fornecer Distribuíveis e Manipular Tecnologia Kyndryl.  O Fornecedor revisará separadamente essa arquitetura de rede e empregará medidas para evitar conexões de rede não autorizadas a sistemas, aplicativos e dispositivos de rede, para conformidade com os padrões detalhados de segmentação, isolamento e defesa seguros.  O Fornecedor não pode usar a tecnologia wireless em sua hospedagem e em operações de quaisquer Serviços hospedados. Caso contrário, o Fornecedor poderá usar a tecnologia de rede wireless em sua entrega de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl, mas o Fornecedor criptografará e exigirá a autenticação segura para essas redes wireless.

    4.2 O Fornecedor manterá medidas projetadas para separar logicamente os Materiais Kyndryl e evitar que eles sejam expostos ou acessados por pessoas não autorizadas.  Além disso, o Fornecedor manterá o isolamento apropriado de seus ambientes de produção, não produção e outros e, se os Materiais Kyndryl já estiverem presentes ou forem transferidos para um ambiente de não produção (por exemplo, para reproduzir um erro), então, o Fornecedor assegurará que as proteções de segurança e privacidade no ambiente de não produção sejam iguais àquelas no ambiente de produção.

    4.3 O Fornecedor criptografará os Materiais Kyndryl em trânsito e em repouso (a menos que o Fornecedor demonstre para a satisfação razoável da Kyndryl que a criptografia de Materiais Kyndryl em repouso é tecnicamente inviável).  O Fornecedor também criptografará todas as mídias físicas, se houver, tais como a mídia que contém arquivos de backup.  O Fornecedor manterá procedimentos documentados para geração, emissão, distribuição, armazenamento, rotação, revogação, recuperação, backup, destruição, acesso e uso de chave de segurança associados com a criptografia de dados.  O Fornecedor assegurará que os métodos criptográficos específicos usados para essa criptografia estejam alinhados com as Melhores práticas do mercado (como NIST SP 800-131a).

    4.4 Se o Fornecedor requerer acesso aos Materiais Kyndryl, o Fornecedor restringirá e limitará esse acesso ao nível mínimo necessário para fornecer e suportar os Serviços e Distribuíveis.  O Fornecedor exigirá que esse acesso, incluindo acesso administrativo a qualquer componente subjacente (ou seja, acesso privilegiado), seja individual, baseado em função e sujeito a aprovação e validação regular por funcionários autorizados do Fornecedor, seguindo os princípios de segregação de função.  O Fornecedor manterá medidas para identificar e remover contas redundantes e inativas. O Fornecedor também revogará contas com acesso privilegiado dentro de 24 (vinte e quatro) horas após o desligamento do proprietário da conta ou a solicitação pela Kyndryl ou por qualquer funcionário autorizado do Fornecedor, como o gerente do proprietário da conta. 

    4.5 Consistente com as Melhores práticas do mercado, o Fornecedor manterá medidas técnicas que reforçam o tempo limite de sessões inativas, o bloqueio de contas após múltiplas tentativas sequenciais de login com falha, a senha forte ou a autenticação de passphrase e as medidas que exijam transferência e armazenamento seguros de tais senhas e passphrases.  Além disso, o Fornecedor utilizará a autenticação de diversos fatores para todos os acessos privilegiados não baseados em console para quaisquer Materiais Kyndryl.

    4.6 O Fornecedor monitorará o uso do acesso privilegiado e manterá as informações de segurança e as medidas de gerenciamento de eventos projetadas para: (a) identificar o acesso e a atividade não autorizados, (b) facilitar uma resposta oportuna e apropriada a esse acesso e essa atividade e (c) permitir auditorias pelo Fornecedor, pela Kyndryl (de acordo com os seus direitos de verificação nestes Termos e direitos de auditoria no Documento de Transação ou na base associada ou em outro contrato relacionado entre as partes) e por outros de conformidade com a política do Fornecedor documentada. 

    4.7 O Fornecedor manterá registros nos quais ele registra, em conformidade com as Melhores práticas do mercado, todo o acesso ou a atividade administrativa, do usuário ou outro acesso ou atividade para ou com relação aos sistemas utilizados no fornecimento de Serviços ou Distribuíveis e na Manipulação de Tecnologia Kyndryl (e fornecerá esses logs à Kyndryl mediante solicitação).  O Fornecedor manterá medidas projetadas para proteção contra o acesso não autorizado, à modificação e à destruição acidental ou deliberada desses registros.

    4.8 O Fornecedor manterá proteções de computação para os sistemas que ele possui ou gerencia, incluindo sistemas de usuário final e que ele usa no fornecimento de Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl, com essas proteções, incluindo: firewalls de terminal, criptografia integral de disco, tecnologias de detecção e resposta de terminal baseada em assinatura e não assinatura para lidar com malware e ameaças persistentes avançadas, bloqueios de tela com base no tempo e soluções de gerenciamento de terminal que reforçam os requisitos de configuração de segurança e de correção temporária.  Além disso, o Fornecedor implementará controles técnicos e operacionais que assegurem que apenas sistemas de usuário final conhecidos e confiáveis tenham permissão para usar as redes do Fornecedor.

    4.9 Consistente com as Melhores práticas do mercado, o Fornecedor manterá proteções para ambientes de data center em que o Material Kyndryl esteja presente ou seja processado, com essas proteções, incluindo detecção e prevenção de intrusão e contramedidas e mitigação de ataque de negação de serviço. 

    5. Integridade de Serviço e Sistemas e Controle de Disponibilidade 

    5.1 O Fornecedor: (a) executará avaliações de risco de segurança e privacidade pelo menos anualmente, (b) executará teste de segurança e avaliará vulnerabilidades, incluindo varredura automatizada de segurança de sistema e aplicativo e hacking ético manual, antes da liberação de produção e anualmente depois disso, no que diz respeito a Serviços e Distribuíveis e anualmente com relação à sua Manipulação de Tecnologia Kyndryl, (c) mobilizará um terceiro independente e qualificado para executar teste de penetração consistente com as Melhores práticas do mercado, pelo menos anualmente, com esse teste incluindo teste automatizado e manual, (d) executará gerenciamento automatizado e verificação de rotina de conformidade com os requisitos de configuração de segurança para cada componente dos Serviços e Distribuíveis e com relação à sua Manipulação de Tecnologia Kyndryl e (e) corrigirá as vulnerabilidades identificadas ou a não conformidade com os seus requisitos de configuração de segurança com base no risco, na capacidade de exploração e no impacto associados.  O Fornecedor tomará medidas razoáveis para evitar a interrupção dos Serviços ao executar os seus testes, as avaliações, as varreduras e a execução de atividades de correção.  Mediante solicitação da Kyndryl, o Fornecedor oferecerá à Kyndryl um resumo por escrito das atividades de teste de penetração mais recentes do Fornecedor, cujo relatório incluirá no mínimo o nome das ofertas cobertas pelo teste, o número de sistemas ou aplicativos no escopo para o teste, as datas do teste, a metodologia usada no teste e um resumo detalhado das descobertas.

    5.2 O Fornecedor manterá políticas e procedimentos projetados para gerenciar riscos associados à aplicação de mudanças nos Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl.  Antes de implementar tal mudança, incluindo em sistemas, redes e componentes subjacentes afetados, o Fornecedor documentará em uma solicitação de mudança registrada: (a) uma descrição e o motivo da mudança, (b) detalhes e programação da implementação, (c) uma declaração de risco abordando o impacto nos Serviços e Distribuíveis, nos clientes dos Serviços ou nos Materiais Kyndryl, (d) resultado esperado, (e) plano de retrocesso e (f) aprovação por funcionários autorizados do Fornecedor.

    5.3 O Fornecedor manterá um inventário de todos os ativos de TI que ele usa na operação dos Serviços, no fornecimento de Distribuíveis e na Manipulação de Tecnologia Kyndryl.  O Fornecedor monitorará e gerenciará continuamente o funcionamento (incluindo a capacidade) e a disponibilidade desses ativos de TI, Serviços, Distribuíveis e Tecnologia Kyndryl, incluindo os componentes subjacentes de tais ativos, Serviços, Distribuíveis e Tecnologia Kyndryl. 

    5.4 O Fornecedor construirá todos os sistemas que ele usa no desenvolvimento ou na operação de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl por meio de imagens de segurança do sistema predefinidas ou linhas de base de segurança, que satisfaçam as Melhores práticas do mercado, como as benchmarks do Center for Internet Security (CIS).

    5.5 Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl sob o Documento de Transação ou no contrato base associado entre as partes com relação à continuidade dos negócios, o Fornecedor avaliará separadamente cada Serviço e Entrega e cada sistema de TI usado na Manipulação de Tecnologia Kyndryl para os requisitos de continuidade de negócios e de TI e de recuperação de desastre, de acordo com as diretrizes documentadas de gestão de risco.  O Fornecedor assegurará que cada um desses Serviços, Distribuíveis e TI tenha, até o limite garantido por essa avaliação de risco, negócios validados anualmente, separadamente definidos, documentados, mantidos e planos de continuidade de TI e de recuperação de desastre, consistentes com as Melhores práticas do mercado.  O Fornecedor assegurará que esses planos sejam projetados para fornecer os tempos de recuperação específicos que estão definidos na Cláusula 5.6 abaixo.

    5.6 Os objetivos específicos do ponto de recuperação ("RPO") e os objetivos de tempo de recuperação ("RTO") em relação a qualquer Serviço hospedado são: RPO de 24 horas e RTO de 24 horas. No entanto, o Fornecedor cumprirá qualquer RPO ou RTO com duração menor que a Kyndryl tiver confirmado com um Cliente, imediatamente após a Kyndryl notificar o Fornecedor por escrito desse RPO ou RTO de duração menor (um e-mail constitui uma comunicação por escrito).  No que diz respeito a todos os outros Serviços oferecidos pelo Fornecedor à Kyndryl, o Fornecedor assegurará que os seus planos de continuidade de negócios e de recuperação de desastre sejam projetados para fornecer RPO e RTO que permitam ao Fornecedor permanecer em conformidade com todas as suas obrigações para com a Kyndryl sob o Documento de Transação e o contrato base associado entre as partes e estes Termos, incluindo as suas obrigações de fornecer teste, suporte e manutenção em tempo hábil.

    5.7 O Fornecedor manterá medidas projetadas para avaliar, testar e aplicar correções temporárias de segurança aos Serviços e Distribuíveis e sistemas, redes, aplicativos e componentes subjacentes associados dentro do escopo desses Serviços e Distribuíveis, bem como os sistemas, as redes, os aplicativos e os componentes subjacentes usados para Manipular a Tecnologia Kyndryl.  Mediante a determinação de que uma correção temporária consultiva de segurança é aplicável e apropriada, o Fornecedor implementará a correção temporária de acordo com as diretrizes documentadas de avaliação de severidade e risco.  A implementação de correções temporárias de segurança consultivas do Fornecedor estará sujeita à política de gerenciamento de mudanças do Fornecedor.

    5.8 Se a Kyndryl tiver uma base razoável para acreditar que o hardware ou o software que o Fornecedor oferece à Kyndryl pode conter elementos intrusivos, como spyware, malware ou código malicioso, então, o Fornecedor cooperará oportunamente com a Kyndryl na investigação e correção dos interesses da Kyndryl.  

    6. Fornecimento de Serviço

    6.1 O Fornecedor suportará métodos comuns de autenticação federada do setor para qualquer conta do usuário ou do Cliente Kyndryl, com o Fornecedor seguindo as Melhores práticas do mercado na autenticação dessas contas do usuário ou do Cliente Kyndryl (como pela Conexão única de múltiplos fatores gerenciada centralizadamente pela Kyndryl, usando o OpenID Connect ou a Security Assertion Markup Language).

    7. Subcontratados.  Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl ao abrigo do Documento de Transação ou do contrato base associado entre as partes com relação à retenção de subcontratados, o Fornecedor assegurará que qualquer subcontratado que realize o trabalho para o Fornecedor tenha instituído controles de governança para cumprir com os requisitos e as obrigações aplicáveis ao Fornecedor sob estes Termos.  

    8. Mídia Física. O Fornecedor limpará com segurança a mídia física destinada para reutilização antes dessa reutilização e destruirá a mídia física não destinada para reutilização de acordo com as Melhores práticas do mercado para sanitização da mídia.

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

  4. Se sim, as Seções IV (Medidas Técnicas e Organizacionais, Segurança de Código), V (Desenvolvimento Seguro), VIII (Medidas Técnicas e Organizacionais, Segurança Geral) e X (Cooperação, Verificação e Correção) se aplicarão a esse acesso.  

    Exemplos:

    • O Fornecedor assume atribuições de desenvolvimento para um produto Kyndryl e, para isso, a Kyndryl disponibiliza seu Código-Fonte para o Fornecedor para esse desenvolvimento.

    • O Fornecedor está desenvolvendo um Código-Fonte que pertencerá à Kyndryl.

    Artigo IV, Medidas Técnicas e organizacionais, Segurança de código

    Este Artigo se aplicará se o Fornecedor tiver acesso ao Código-Fonte da Kyndryl.  O Fornecedor cumprirá os requisitos deste Artigo e, ao fazê-lo, protegerá o Código-Fonte da Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada, ao acesso acidental ou não autorizado e às formas ilegais de Manipulação.  Os requisitos deste Artigo se estendem a todos os aplicativos, plataformas e infraestrutura de TI que o Fornecedor opera ou gerencia no fornecimento de Distribuíveis e Serviços e na Manipulação da Tecnologia Kyndryl, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e data center.  

    1. Requisitos de segurança 

    Conforme usado abaixo, 

    País Proibido significa qualquer país: (a) que o Governo dos EUA designou como adversário estrangeiro de acordo com a Ordem Executiva de 15 de maio de 2019 sobre a Proteção da cadeia de suprimentos de tecnologia e serviços da informação e de comunicações, (b) listado de acordo com a Cláusula 1654 do Ato de autorização de defesa nacional dos E.U.A. de 2019 ou (c) identificado como "País Proibido" no Documento de Transação.

    1.1 O Fornecedor não distribuirá ou colocará qualquer Código-Fonte da Kyndryl em caução para o benefício de qualquer terceiro. 

    1.2 O Fornecedor não permitirá que nenhum Código-Fonte da Kyndryl resida em servidores localizados em um País Proibido.O Fornecedor não permitirá que ninguém, incluindo a sua Equipe, localizado em um País Proibido ou que esteja visitando um País Proibido (para a extensão dessa visita), por qualquer motivo, acesse ou use qualquer Código-Fonte da Kyndryl, independentemente do local em que esse Código-Fonte da Kyndryl esteja localizado globalmente e o Fornecedor não permitirá que nenhum desenvolvimento, teste ou outro trabalho ocorra em um País Proibido que exigiria esse acesso ou uso.

    1.3 O Fornecedor não colocará ou distribuirá o Código-Fonte da Kyndryl em nenhuma jurisdição onde a lei ou a interpretação da lei exija a divulgação do Código-Fonte a qualquer terceiro.  Se houver uma mudança de lei ou interpretação de lei em uma jurisdição na qual o Código-Fonte da Kyndryl estiver localizado, que possa fazer com que o Fornecedor seja obrigado a divulgar esse Código-Fonte a um terceiro, o Fornecedor destruirá imediatamente ou removerá imediatamente esse Código-Fonte da Kyndryl de tal jurisdição e não colocará nenhum Código-Fonte da Kyndryl adicional nessa jurisdição, se essa lei ou interpretação da lei permanecer operacional.

    1.4 O Fornecedor não tomará, direta ou indiretamente, nenhuma ação, incluindo a celebração de qualquer contrato, que levaria o Fornecedor, a Kyndryl ou qualquer terceiro a incorrer em uma obrigação de divulgação sob as Cláusulas 1654 ou 1655 do Ato de autorização de defesa nacional dos E.U.A. de 2019.  Para maior clareza, exceto conforme expressamente permitido no Documento de Transação ou no contrato base associado entre as partes, o Fornecedor não tem permissão para divulgar o Código-Fonte Kyndryl a qualquer terceiro, sob nenhuma circunstância, sem o consentimento escrito prévio da Kyndryl.

    1.5 Se a Kyndryl notificar o Fornecedor ou um terceiro notificar qualquer parte que: (a) o Fornecedor permitiu que o Código-Fonte Kyndryl fosse trazido para um País Proibido ou para qualquer jurisdição sujeita à Cláusula 1.3 acima, (b) o Fornecedor, de outra forma, liberou, acessou ou utilizou o Código-Fonte Kyndryl de uma maneira não permitida pelo Documento de Transação ou pelo contrato base associado ou outro contrato firmado entre as partes ou (c) o Fornecedor violou a Cláusula 1.4 acima, então, sem limitar os direitos da Kyndryl de abordar essa não conformidade legal ou patrimonial ou sob o Documento de Transação ou a base associada ou outro contrato entre as partes: (i) se essa notificação for para o Fornecedor, então, o Fornecedor compartilhará imediatamente a notificação com a Kyndryl e (ii) o Fornecedor, sob a direção razoável da Kyndryl, investigará e corrigirá o assunto na programação que a Kyndryl razoavelmente determinar (após consulta ao Fornecedor).

    1.6 Se a Kyndryl acreditar razoavelmente que mudanças nas políticas, procedimentos, controles ou práticas do Fornecedor em relação ao acesso ao Código-Fonte podem ser necessárias para lidar com a segurança cibernética, o roubo de propriedade intelectual ou os riscos semelhantes ou relacionados (incluindo o risco de que, sem essas mudanças, a Kyndryl possa ser restringida de vender para determinados Clientes ou em determinados mercados ou, de outra maneira, não conseguir satisfazer os requisitos de segurança do Cliente ou da cadeia de suprimentos), então, a Kyndryl poderá entrar em contato com o Fornecedor para discutir as ações necessárias para lidar com esses riscos, incluindo mudanças nessas políticas, procedimentos, controles ou práticas.  Mediante solicitação da Kyndryl, o Fornecedor cooperará com a Kyndryl na avaliação da necessidade de tais mudanças e na implementação de mudanças apropriadas e mutuamente acordadas. 

    ---

    Artigo V, Desenvolvimento seguro

    Este Artigo se aplicará caso o Fornecedor forneça o Código-fonte ou Software no Local próprio ou de terceiro à Kyndryl ou quaisquer Distribuíveis ou Serviços do Fornecedor a um Cliente Kyndryl como parte de um produto ou serviço Kyndryl.

    1. Prontidão de segurança 

    1.1 O Fornecedor cooperará com os processos internos da Kyndryl que avaliam a prontidão de segurança dos produtos e serviços Kyndryl que são dependentes de quaisquer Distribuíveis do Fornecedor, incluindo a resposta oportuna e total às solicitações de informações, seja por meio de documentos, outros registros, entrevistas de Pessoal do Fornecedor relevante ou semelhante.

    2. Desenvolvimento seguro

    2.1 Este Artigo 2 se aplicará apenas quando o Fornecedor estiver fornecendo Software no Local à Kyndryl.

    2.2 O Fornecedor implementou e manterá durante toda a vigência do Documento de Transação, de acordo com as Melhores Práticas do Setor, a rede, a plataforma, o sistema, o aplicativo, o dispositivo, a infraestrutura física, a resposta a incidentes, as políticas de segurança, os procedimentos e os controles focados na Equipe que são necessários para proteger: (a) os sistemas e ambientes de desenvolvimento, construção, teste e operações que o Fornecedor ou qualquer terceiro contratado pelo Fornecedor opere, gerencie, use ou de outra forma dependa para ou com relação aos Distribuíveis e (b) todo código-fonte de Distribuíveis contra perda, formas ilegais de manipulação e acesso, divulgação ou alteração desautorizada.

    3. Certificação da ISO 20243

    3.1 Esta Seção 3 se aplicará apenas se qualquer um dos Distribuíveis ou Serviços do Fornecedor forem fornecidos a um Cliente Kyndryl como parte de um produto ou serviço Kyndryl.

    3.2 O Fornecedor obterá uma certificação de conformidade com a ISO 20243, Tecnologias da informação, Provedor de tecnologia aberta confiável, TM Standard (O-TTPS), Mitigação de produtos falsificados ou contaminados com códigos maliciosos (seja uma certificação de autoavaliação seja uma baseada na avaliação de um auditor independente respeitável).  Como alternativa, se o Fornecedor solicitar por escrito e a Kyndryl aprovar por escrito, o Fornecedor obterá uma certificação de conformidade com um padrão do setor substancialmente equivalente, abordando práticas seguras de desenvolvimento e da cadeia de suprimentos (seja uma certificação de autoavaliação seja uma baseada na avaliação de um auditor independente respeitável, se e como a Kyndryl aprovar).  

    3.3 O Fornecedor obterá a certificação de conformidade com a ISO 20243 ou um padrão de mercado substancialmente equivalente (se a Kyndryl aprovar por escrito) até 180 dias após a data de vigência do Documento da Transação

    e depois renovará a certificação a cada 12 meses (com cada renovação com relação à versão mais atual do padrão aplicável, ou seja, ISO 20243 ou, quando a Kyndryl tiver aprovado por escrito, um padrão de mercado substancialmente equivalente abordando o desenvolvimento seguro e as práticas da cadeia de suprimentos).  

    3.4 O Fornecedor, mediante solicitação, fornecerá imediatamente à Kyndryl uma cópia das certificações que o Fornecedor é obrigado a obter, de acordo com as Cláusulas 2.1 e 2.2 acima.  

    4. Vulnerabilidades de Segurança

    Conforme usado abaixo, 

    Correção de erro significa correções de bug e revisões que corrigem erros ou deficiências, incluindo Vulnerabilidades de segurança, em Distribuíveis

    Mitigação significa qualquer meio conhecido de diminuir ou evitar os riscos de uma Vulnerabilidade de segurança.

    Vulnerabilidade de Segurança significa um estado na fase de projeto, codificação, desenvolvimento, implementação, teste, operação, suporte manutenção ou gerenciamento de um Entrega que permita um ataque proveniente de qualquer origem e que possa resultar em acesso ou exploração não autorizados, incluindo: (a) acesso, controle ou interrupção da operação de um sistema, (b) acesso, exclusão, alteração ou extração de dados ou (c) mudanças de identidade, autorizações ou permissões de usuários ou administradores.  Uma Vulnerabilidade de Segurança pode existir independentemente de um ID de Vulnerabilidades e Exposições Comuns (CVE) ou da atribuição de qualquer pontuação ou classificação oficial.  

    4.1 O Fornecedor declara e garante que: (a) usará as Melhores Práticas do Mercado para identificar Vulnerabilidades de Segurança, aplicando também ações contínuas, estáticas e dinâmicas, de varreduras de segurança dos aplicativos de código-fonte, de varreduras de segurança de software livre e de varreduras de vulnerabilidades do sistema e (b) cumprirá com os requisitos destes Termos para ajudar a prevenir, detectar e corrigir Vulnerabilidades de Segurança encontradas em Distribuíveis e Serviços e em todos os aplicativos, plataformas e infraestruturas de TI nos quais e por meio dos quais o Fornecedor cria e fornece Distribuíveis e Serviços. 

    4.2 Ao observar uma Vulnerabilidade de Segurança em um Entrega ou em quaisquer aplicativos de TI, plataformas ou infraestruturas, o Fornecedor oferecerá à Kyndryl Correções e Mitigações de Erros para todas as versões e liberações do Serviço, de acordo com os Níveis de Severidade e os prazos definidos nas tabelas a seguir:

     

     

     

     

     

     

     

     

     

    Nível de Severidade*

     

     

     

     

     

     

     

     

    Vulnerabilidade de Segurança Emergencial – é uma Vulnerabilidade de Segurança que representa uma ameaça grave e potencialmente global.  A Kyndryl designa as Vulnerabilidades de Segurança Emergenciais de acordo com seus próprios critérios, independentemente da Pontuação de Base do CVSS.

     

     

     

     

     

     

     

     

    Crítico – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 9 a 10.0

     

     

     

     

     

     

     

     

    Alto – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 7.0 a 8.9

     

     

     

     

     

     

     

     

    Médio – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 4.0 a 6.9

     

     

     

     

     

     

     

     

    Baixo – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 0.0 a 3.9

     

     

     

     

     

     

     

     

     

     

     

     

    Períodos 

     

     

     

     

     

     

     

     

    Emergência

     

     

     

     

     

     

    Crítico

     

     

     

     

     

     

    Alta

     

     

     

     

     

     

    Médio

     

     

     

     

     

     

    Baixo

     

     

     

     

     

     

     

     

    4 Dias ou menos, conforme determinação do Diretor Executivo de Segurança da Informação da Kyndryl

     

     

     

     

     

     

    30 Dias

     

     

     

     

     

     

    30 Dias

     

     

     

     

     

     

    90 Dias

     

     

     

     

     

     

    De acordo com as Melhores Práticas do Mercado

     

     

     

    * Caso uma Pontuação de Base do CVSS não seja prontamente designada a uma Vulnerabilidade de Segurança, o Fornecedor aplicará um Nível de Severidade considerado adequado para a natureza e as circunstâncias dessa vulnerabilidade.    

    4.3 Para uma Vulnerabilidade de Segurança que foi divulgada publicamente e para a qual o Fornecedor ainda não forneceu nenhuma Correção ou Mitigação de Erro à Kyndryl, o Fornecedor implementará quaisquer controles de segurança adicionais tecnicamente viáveis que possam mitigar os riscos da vulnerabilidade.

    4.4 Se a Kyndryl estiver insatisfeita com a resposta do Fornecedor a qualquer Vulnerabilidade de Segurança observada em um Entrega ou em qualquer aplicativo, plataforma ou infraestrutura acima mencionados, sem prejuízo a quaisquer outros direitos da Kyndryl, o Fornecedor cuidará prontamente para que a Kyndryl aborde essas dúvidas diretamente com um Vice-Presidente do Fornecedor ou com um executivo equivalente e que seja responsável pela apresentação da Correção do Erro.  

    4.5 Os exemplos de Vulnerabilidades de Segurança incluem códigos de terceiros ou códigos de software livre de fim de serviço (EOS) que não recebem mais correções de segurança. 

    ---

    Artigo VIII, Medidas Técnicas e organizacionais, Segurança geral

    Este Artigo se aplicará se o Fornecedor oferecer quaisquer Serviços ou Distribuíveis à Kyndryl, a menos que o Fornecedor tenha apenas acesso às BCIs da Kyndryl no fornecimento desses Serviços e Distribuíveis (ou seja, o Fornecedor não Processará nenhum outro Dado da Kyndryl ou terá acesso a qualquer outro Material Kyndryl ou a qualquer Sistema Corporativo), o único Serviço ou Entrega do Fornecedor é fornecer Software no Local à Kyndryl ou se o Fornecedor oferecer todos os seus Serviços e Distribuíveis em um modelo de aumento de equipe, de acordo com o Artigo VII, incluindo a Cláusula 1.7.  

    O Fornecedor cumprirá os requisitos deste Artigo e, ao fazê-lo, protegerá: (a) os Materiais Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada e ao acesso acidental ou não autorizado, (b) os Dados Kyndryl de formas ilegais de Processamento e (c) a Tecnologia Kyndryl de formas ilegais de Manipulação. Os requisitos deste Artigo se estendem a todos os aplicativos, plataformas e infraestrutura de TI que o Fornecedor opera ou gerencia no fornecimento de Distribuíveis e Serviços e na Manipulação da Tecnologia Kyndryl, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e data center.  

    1. Políticas de Segurança

    1.1 O Fornecedor manterá e seguirá as políticas e práticas de segurança de TI que são integrais para os negócios do Fornecedor, obrigatórias para todo o Pessoal do Fornecedor e consistentes com as Melhores práticas do mercado.  

    1.2 O Fornecedor revisará as suas políticas e práticas de segurança de TI pelo menos anualmente e as corrigirá conforme o Fornecedor considerar necessário para proteger os Materiais Kyndryl.

    1.3 O Fornecedor manterá e seguirá os requisitos padrão obrigatórios de verificação de emprego para todas as novas contratações de funcionário e estenderá esses requisitos a todo o Pessoal do Fornecedor e às subsidiárias de propriedade integral do Fornecedor.  Esses requisitos incluirão verificações de antecedentes criminais até o limite permitido pelas leis locais, prova de validação de identidade e verificações adicionais que o Fornecedor considerar necessárias.  O Fornecedor repetirá e revalidará periodicamente esses requisitos, conforme considerar necessário. 

    1.4 O Fornecedor oferecerá anualmente educação sobre segurança e privacidade a seus funcionários e exigirá que todos os funcionários certifiquem a cada ano que cumprirão as políticas éticas de conduta comercial, confidencialidade e segurança do Fornecedor, conforme definido no código de conduta do Fornecedor ou em documentos similares.  O Fornecedor oferecerá treinamento adicional sobre política e processo para pessoas com acesso administrativo a qualquer componente dos Serviços, Distribuíveis ou Materiais Kyndryl, com tal treinamento específico para a sua função e suporte aos Serviços, Distribuíveis e Materiais Kyndryl e conforme necessário para manter a conformidade e certificações obrigatórias.

    1.5 O Fornecedor projetará medidas de segurança e privacidade para proteger e manter a disponibilidade de Materiais Kyndryl, inclusive através de sua implementação, manutenção e conformidade com políticas e procedimentos que requerem segurança e privacidade por design, engenharia e operações seguras, para todos os Serviços e Distribuíveis e para toda a Manipulação da Tecnologia Kyndryl.

    2. Incidentes de Segurança

    2.1 O Fornecedor manterá e seguirá as políticas documentadas de resposta a incidentes, consistentes com as Melhores práticas do mercado para manipulação de incidente de segurança de computador.

    2.2 O Fornecedor investigará o acesso não autorizado ou o uso não autorizado de Materiais Kyndryl e definirá e executará um plano de resposta apropriado.

    2.3 O Fornecedor prontamente (e em hipótese alguma, o fará depois de 48 horas) notificará a Kyndryl assim que tomar ciência de qualquer Violação de Segurança.  O Fornecedor fornecerá tal notificação para cyber.incidents@kyndryl.com. O Fornecedor apresentará à Kyndryl todas as informações solicitadas cabíveis sobre tal violação e sobre o status de quaisquer atividades de correção e restauração por ele executadas.  Como exemplo, tais informações cabíveis podem incluir, por exemplo, logs que demonstrem acesso privilegiado, administrativo ou de outra natureza aos Dispositivos, sistemas ou aplicativos, imagens judiciais de Dispositivos, sistemas ou aplicativos e outros itens semelhantes, considerados relevantes para as atividades de correção e restauração executadas pelo Fornecedor.

    2.4 O Fornecedor oferecerá à Kyndryl assistência razoável para satisfazer quaisquer obrigações legais (incluindo obrigações para notificar reguladores ou Titular de Dados) da Kyndryl, afiliadas e Clientes Kyndryl (e seus clientes e afiliados) em relação a uma Violação de segurança.

    2.5 O Fornecedor não informará nem notificará nenhum terceiro que uma Violação de segurança se relaciona direta ou indiretamente à Kyndryl ou aos Materiais Kyndryl, a menos que a Kyndryl aprove isso por escrito ou se exigido por lei. O Fornecedor notificará a Kyndryl por escrito antes de distribuir qualquer notificação legalmente obrigatória a qualquer terceiro, caso a notificação revele direta ou indiretamente a identidade da Kyndryl. 

    2.6 No caso de uma Violação de segurança decorrente da violação do Fornecedor de qualquer obrigação sob estes Termos:

    (a) O Fornecedor será responsável por quaisquer custos incorridos, bem como pelas despesas efetivas incorridas pela Kyndryl, ao fornecer notificação da Violação de segurança aos reguladores aplicáveis, outras agências de autorregulação do setor governamentais e relevantes, à mídia (se obrigatório pela lei aplicável), Titulares de Dados, Clientes e outros.

    (b) Se a Kyndryl solicitar, o Fornecedor estabelecerá e manterá, às próprias custas do Fornecedor, uma central de atendimento para responder a perguntas dos Titular de Dados sobre a Violação de segurança e as suas consequências, por um ano após a data na qual esses Titular de Dados foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.  A Kyndryl e o Fornecedor trabalharão juntos para criar os scripts e outros materiais a serem usados pela equipe da central de atendimento ao responder a consultas.  Como alternativa, mediante aviso por escrito ao Fornecedor, a Kyndryl pode estabelecer e manter a sua própria central de atendimento, em vez de fazer com que o Fornecedor estabeleça uma central de atendimento e o Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl ao estabelecer e manter essa central de atendimento e

     

    (c) O Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl no fornecimento de serviços de monitoramento e restauração de crédito por um ano após a data em que os indivíduos afetados pela violação que escolheram se registrar para esses serviços foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.

    3. Segurança física e controle de entrada (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl).

    3.1 O Fornecedor manterá controles físicos adequados de entrada, como barreiras, pontos de entrada controlados por cartão, câmeras de vigilância e mesas de recepção assistidas, para proteger contra a entrada não autorizada nas Instalações.  

    3.2 O Fornecedor requererá aprovação autorizada para acesso às Instalações e áreas controladas dentro das Instalações, incluindo qualquer acesso temporário e limitará o acesso por cargo e necessidade comercial.  Se o Fornecedor conceder acesso temporário, um funcionário autorizado do Cliente acompanhará qualquer visitante enquanto estiver na Instalação e em qualquer área controlada.

    3.3 O Fornecedor implementará controles de acesso físico, incluindo controles de acesso de múltiplos fatores que são consistentes com as Melhores práticas do mercado, para restringir adequadamente a entrada em áreas controladas dentro das Instalações, registrará todas as tentativas de entrada e manterá esses registros por pelo menos 1 ano. 

    3.4 O Fornecedor revogará o acesso às Instalações e áreas controladas dentro das Instalações quando houver (a) desligamento de um funcionário autorizado pelo Fornecedor ou (b) o funcionário autorizado do Fornecedor não ter mais necessidade comercial válida para o acesso.  O Fornecedor seguirá os procedimentos formais de desligamento documentados que incluem a remoção imediata das listas de controle de acesso e a devolução de crachás de acesso físico.

    3.5 O Fornecedor tomará precauções para proteger toda a infraestrutura física usada para suportar os Serviços e Distribuíveis e a Manipulação da Tecnologia Kyndryl com relação a ameaças ambientais, ambas, as que ocorrem naturalmente e as provocadas pelo homem, como temperatura ambiente excessiva, incêndio, inundação, umidade, roubo e vandalismo.

    4. Controle de Acesso, Intervenção, Transferência e Desligamento

    4.1 O Fornecedor manterá documentada a arquitetura de segurança das redes que gerenciar ao operar Serviços, fornecer Distribuíveis e Manipular Tecnologia Kyndryl.  O Fornecedor revisará separadamente essa arquitetura de rede e empregará medidas para evitar conexões de rede não autorizadas a sistemas, aplicativos e dispositivos de rede, para conformidade com os padrões detalhados de segmentação, isolamento e defesa seguros.  O Fornecedor não pode usar a tecnologia wireless em sua hospedagem e em operações de quaisquer Serviços hospedados. Caso contrário, o Fornecedor poderá usar a tecnologia de rede wireless em sua entrega de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl, mas o Fornecedor criptografará e exigirá a autenticação segura para essas redes wireless.

    4.2 O Fornecedor manterá medidas projetadas para separar logicamente os Materiais Kyndryl e evitar que eles sejam expostos ou acessados por pessoas não autorizadas.  Além disso, o Fornecedor manterá o isolamento apropriado de seus ambientes de produção, não produção e outros e, se os Materiais Kyndryl já estiverem presentes ou forem transferidos para um ambiente de não produção (por exemplo, para reproduzir um erro), então, o Fornecedor assegurará que as proteções de segurança e privacidade no ambiente de não produção sejam iguais àquelas no ambiente de produção.

    4.3 O Fornecedor criptografará os Materiais Kyndryl em trânsito e em repouso (a menos que o Fornecedor demonstre para a satisfação razoável da Kyndryl que a criptografia de Materiais Kyndryl em repouso é tecnicamente inviável).  O Fornecedor também criptografará todas as mídias físicas, se houver, tais como a mídia que contém arquivos de backup.  O Fornecedor manterá procedimentos documentados para geração, emissão, distribuição, armazenamento, rotação, revogação, recuperação, backup, destruição, acesso e uso de chave de segurança associados com a criptografia de dados.  O Fornecedor assegurará que os métodos criptográficos específicos usados para essa criptografia estejam alinhados com as Melhores práticas do mercado (como NIST SP 800-131a).

    4.4 Se o Fornecedor requerer acesso aos Materiais Kyndryl, o Fornecedor restringirá e limitará esse acesso ao nível mínimo necessário para fornecer e suportar os Serviços e Distribuíveis.  O Fornecedor exigirá que esse acesso, incluindo acesso administrativo a qualquer componente subjacente (ou seja, acesso privilegiado), seja individual, baseado em função e sujeito a aprovação e validação regular por funcionários autorizados do Fornecedor, seguindo os princípios de segregação de função.  O Fornecedor manterá medidas para identificar e remover contas redundantes e inativas. O Fornecedor também revogará contas com acesso privilegiado dentro de 24 (vinte e quatro) horas após o desligamento do proprietário da conta ou a solicitação pela Kyndryl ou por qualquer funcionário autorizado do Fornecedor, como o gerente do proprietário da conta. 

    4.5 Consistente com as Melhores práticas do mercado, o Fornecedor manterá medidas técnicas que reforçam o tempo limite de sessões inativas, o bloqueio de contas após múltiplas tentativas sequenciais de login com falha, a senha forte ou a autenticação de passphrase e as medidas que exijam transferência e armazenamento seguros de tais senhas e passphrases.  Além disso, o Fornecedor utilizará a autenticação de diversos fatores para todos os acessos privilegiados não baseados em console para quaisquer Materiais Kyndryl.

    4.6 O Fornecedor monitorará o uso do acesso privilegiado e manterá as informações de segurança e as medidas de gerenciamento de eventos projetadas para: (a) identificar o acesso e a atividade não autorizados, (b) facilitar uma resposta oportuna e apropriada a esse acesso e essa atividade e (c) permitir auditorias pelo Fornecedor, pela Kyndryl (de acordo com os seus direitos de verificação nestes Termos e direitos de auditoria no Documento de Transação ou na base associada ou em outro contrato relacionado entre as partes) e por outros de conformidade com a política do Fornecedor documentada. 

    4.7 O Fornecedor manterá registros nos quais ele registra, em conformidade com as Melhores práticas do mercado, todo o acesso ou a atividade administrativa, do usuário ou outro acesso ou atividade para ou com relação aos sistemas utilizados no fornecimento de Serviços ou Distribuíveis e na Manipulação de Tecnologia Kyndryl (e fornecerá esses logs à Kyndryl mediante solicitação).  O Fornecedor manterá medidas projetadas para proteção contra o acesso não autorizado, à modificação e à destruição acidental ou deliberada desses registros.

    4.8 O Fornecedor manterá proteções de computação para os sistemas que ele possui ou gerencia, incluindo sistemas de usuário final e que ele usa no fornecimento de Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl, com essas proteções, incluindo: firewalls de terminal, criptografia integral de disco, tecnologias de detecção e resposta de terminal baseada em assinatura e não assinatura para lidar com malware e ameaças persistentes avançadas, bloqueios de tela com base no tempo e soluções de gerenciamento de terminal que reforçam os requisitos de configuração de segurança e de correção temporária.  Além disso, o Fornecedor implementará controles técnicos e operacionais que assegurem que apenas sistemas de usuário final conhecidos e confiáveis tenham permissão para usar as redes do Fornecedor.

    4.9 Consistente com as Melhores práticas do mercado, o Fornecedor manterá proteções para ambientes de data center em que o Material Kyndryl esteja presente ou seja processado, com essas proteções, incluindo detecção e prevenção de intrusão e contramedidas e mitigação de ataque de negação de serviço. 

    5. Integridade de Serviço e Sistemas e Controle de Disponibilidade 

    5.1 O Fornecedor: (a) executará avaliações de risco de segurança e privacidade pelo menos anualmente, (b) executará teste de segurança e avaliará vulnerabilidades, incluindo varredura automatizada de segurança de sistema e aplicativo e hacking ético manual, antes da liberação de produção e anualmente depois disso, no que diz respeito a Serviços e Distribuíveis e anualmente com relação à sua Manipulação de Tecnologia Kyndryl, (c) mobilizará um terceiro independente e qualificado para executar teste de penetração consistente com as Melhores práticas do mercado, pelo menos anualmente, com esse teste incluindo teste automatizado e manual, (d) executará gerenciamento automatizado e verificação de rotina de conformidade com os requisitos de configuração de segurança para cada componente dos Serviços e Distribuíveis e com relação à sua Manipulação de Tecnologia Kyndryl e (e) corrigirá as vulnerabilidades identificadas ou a não conformidade com os seus requisitos de configuração de segurança com base no risco, na capacidade de exploração e no impacto associados.  O Fornecedor tomará medidas razoáveis para evitar a interrupção dos Serviços ao executar os seus testes, as avaliações, as varreduras e a execução de atividades de correção.  Mediante solicitação da Kyndryl, o Fornecedor oferecerá à Kyndryl um resumo por escrito das atividades de teste de penetração mais recentes do Fornecedor, cujo relatório incluirá no mínimo o nome das ofertas cobertas pelo teste, o número de sistemas ou aplicativos no escopo para o teste, as datas do teste, a metodologia usada no teste e um resumo detalhado das descobertas.

    5.2 O Fornecedor manterá políticas e procedimentos projetados para gerenciar riscos associados à aplicação de mudanças nos Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl.  Antes de implementar tal mudança, incluindo em sistemas, redes e componentes subjacentes afetados, o Fornecedor documentará em uma solicitação de mudança registrada: (a) uma descrição e o motivo da mudança, (b) detalhes e programação da implementação, (c) uma declaração de risco abordando o impacto nos Serviços e Distribuíveis, nos clientes dos Serviços ou nos Materiais Kyndryl, (d) resultado esperado, (e) plano de retrocesso e (f) aprovação por funcionários autorizados do Fornecedor.

    5.3 O Fornecedor manterá um inventário de todos os ativos de TI que ele usa na operação dos Serviços, no fornecimento de Distribuíveis e na Manipulação de Tecnologia Kyndryl.  O Fornecedor monitorará e gerenciará continuamente o funcionamento (incluindo a capacidade) e a disponibilidade desses ativos de TI, Serviços, Distribuíveis e Tecnologia Kyndryl, incluindo os componentes subjacentes de tais ativos, Serviços, Distribuíveis e Tecnologia Kyndryl. 

    5.4 O Fornecedor construirá todos os sistemas que ele usa no desenvolvimento ou na operação de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl por meio de imagens de segurança do sistema predefinidas ou linhas de base de segurança, que satisfaçam as Melhores práticas do mercado, como as benchmarks do Center for Internet Security (CIS).

    5.5 Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl sob o Documento de Transação ou no contrato base associado entre as partes com relação à continuidade dos negócios, o Fornecedor avaliará separadamente cada Serviço e Entrega e cada sistema de TI usado na Manipulação de Tecnologia Kyndryl para os requisitos de continuidade de negócios e de TI e de recuperação de desastre, de acordo com as diretrizes documentadas de gestão de risco.  O Fornecedor assegurará que cada um desses Serviços, Distribuíveis e TI tenha, até o limite garantido por essa avaliação de risco, negócios validados anualmente, separadamente definidos, documentados, mantidos e planos de continuidade de TI e de recuperação de desastre, consistentes com as Melhores práticas do mercado.  O Fornecedor assegurará que esses planos sejam projetados para fornecer os tempos de recuperação específicos que estão definidos na Cláusula 5.6 abaixo.

    5.6 Os objetivos específicos do ponto de recuperação ("RPO") e os objetivos de tempo de recuperação ("RTO") em relação a qualquer Serviço hospedado são: RPO de 24 horas e RTO de 24 horas. No entanto, o Fornecedor cumprirá qualquer RPO ou RTO com duração menor que a Kyndryl tiver confirmado com um Cliente, imediatamente após a Kyndryl notificar o Fornecedor por escrito desse RPO ou RTO de duração menor (um e-mail constitui uma comunicação por escrito).  No que diz respeito a todos os outros Serviços oferecidos pelo Fornecedor à Kyndryl, o Fornecedor assegurará que os seus planos de continuidade de negócios e de recuperação de desastre sejam projetados para fornecer RPO e RTO que permitam ao Fornecedor permanecer em conformidade com todas as suas obrigações para com a Kyndryl sob o Documento de Transação e o contrato base associado entre as partes e estes Termos, incluindo as suas obrigações de fornecer teste, suporte e manutenção em tempo hábil.

    5.7 O Fornecedor manterá medidas projetadas para avaliar, testar e aplicar correções temporárias de segurança aos Serviços e Distribuíveis e sistemas, redes, aplicativos e componentes subjacentes associados dentro do escopo desses Serviços e Distribuíveis, bem como os sistemas, as redes, os aplicativos e os componentes subjacentes usados para Manipular a Tecnologia Kyndryl.  Mediante a determinação de que uma correção temporária consultiva de segurança é aplicável e apropriada, o Fornecedor implementará a correção temporária de acordo com as diretrizes documentadas de avaliação de severidade e risco.  A implementação de correções temporárias de segurança consultivas do Fornecedor estará sujeita à política de gerenciamento de mudanças do Fornecedor.

    5.8 Se a Kyndryl tiver uma base razoável para acreditar que o hardware ou o software que o Fornecedor oferece à Kyndryl pode conter elementos intrusivos, como spyware, malware ou código malicioso, então, o Fornecedor cooperará oportunamente com a Kyndryl na investigação e correção dos interesses da Kyndryl.  

    6. Fornecimento de Serviço

    6.1 O Fornecedor suportará métodos comuns de autenticação federada do setor para qualquer conta do usuário ou do Cliente Kyndryl, com o Fornecedor seguindo as Melhores práticas do mercado na autenticação dessas contas do usuário ou do Cliente Kyndryl (como pela Conexão única de múltiplos fatores gerenciada centralizadamente pela Kyndryl, usando o OpenID Connect ou a Security Assertion Markup Language).

    7. Subcontratados.  Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl ao abrigo do Documento de Transação ou do contrato base associado entre as partes com relação à retenção de subcontratados, o Fornecedor assegurará que qualquer subcontratado que realize o trabalho para o Fornecedor tenha instituído controles de governança para cumprir com os requisitos e as obrigações aplicáveis ao Fornecedor sob estes Termos.  

    8. Mídia Física. O Fornecedor limpará com segurança a mídia física destinada para reutilização antes dessa reutilização e destruirá a mídia física não destinada para reutilização de acordo com as Melhores práticas do mercado para sanitização da mídia.

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

  5. Se sim, quando o Fornecedor estiver disponibilizando Código-Fonte próprio ou de terceiro à Kyndryl, ou se qualquer uma das Entregas ou Serviços do Fornecedor forem disponibilizados a um Cliente da Kyndryl como parte de um produto ou serviço Kyndryl, as Seções V (Desenvolvimento Seguro), VIII (Segurança Técnica e Medidas Organizacionais, Segurança Geral) e X (Cooperação, Verificação e Remediação) se aplicarão.  

    Quando o Fornecedor estiver disponibilizando somente Software no Local à Kyndryl, as Seções V (Desenvolvimento Seguro) e X (Cooperação, Verificação e Remediação) se aplicarão. 

    Exemplos:

    • O Fornecedor está desenvolvendo um Código-Fonte que pertencerá a ele mesmo, para um produto que será comercializado e vendido pela Kyndryl.

    • O Fornecedor está licenciando um programa de software à Kyndryl para uso da Kyndryl no local.

    • A Kyndryl remarca um Serviço Hospedado do Fornecedor que será hospedado e gerenciado pelo Fornecedor como um produto ou serviço Kyndryl.

    Nota: o Artigo VIII (Medidas Técnicas e Organizacionais, Segurança Geral) também será aplicado a um Fornecedor que disponibilize Software no Local à Kyndryl, se os outros fatos de um compromisso contratual causarem a aplicação do Artigo VIII (por exemplo, quando o Fornecedor tem acesso a informações além de BCI, como Dados Pessoais ou Dados Não Pessoais da Kyndryl).

    Artigo V, Desenvolvimento seguro

    Este Artigo se aplicará caso o Fornecedor forneça o Código-fonte ou Software no Local próprio ou de terceiro à Kyndryl ou quaisquer Distribuíveis ou Serviços do Fornecedor a um Cliente Kyndryl como parte de um produto ou serviço Kyndryl.

    1. Prontidão de segurança 

    1.1 O Fornecedor cooperará com os processos internos da Kyndryl que avaliam a prontidão de segurança dos produtos e serviços Kyndryl que são dependentes de quaisquer Distribuíveis do Fornecedor, incluindo a resposta oportuna e total às solicitações de informações, seja por meio de documentos, outros registros, entrevistas de Pessoal do Fornecedor relevante ou semelhante.

    2. Desenvolvimento seguro

    2.1 Este Artigo 2 se aplicará apenas quando o Fornecedor estiver fornecendo Software no Local à Kyndryl.

    2.2 O Fornecedor implementou e manterá durante toda a vigência do Documento de Transação, de acordo com as Melhores Práticas do Setor, a rede, a plataforma, o sistema, o aplicativo, o dispositivo, a infraestrutura física, a resposta a incidentes, as políticas de segurança, os procedimentos e os controles focados na Equipe que são necessários para proteger: (a) os sistemas e ambientes de desenvolvimento, construção, teste e operações que o Fornecedor ou qualquer terceiro contratado pelo Fornecedor opere, gerencie, use ou de outra forma dependa para ou com relação aos Distribuíveis e (b) todo código-fonte de Distribuíveis contra perda, formas ilegais de manipulação e acesso, divulgação ou alteração desautorizada.

    3. Certificação da ISO 20243

    3.1 Esta Seção 3 se aplicará apenas se qualquer um dos Distribuíveis ou Serviços do Fornecedor forem fornecidos a um Cliente Kyndryl como parte de um produto ou serviço Kyndryl.

    3.2 O Fornecedor obterá uma certificação de conformidade com a ISO 20243, Tecnologias da informação, Provedor de tecnologia aberta confiável, TM Standard (O-TTPS), Mitigação de produtos falsificados ou contaminados com códigos maliciosos (seja uma certificação de autoavaliação seja uma baseada na avaliação de um auditor independente respeitável).  Como alternativa, se o Fornecedor solicitar por escrito e a Kyndryl aprovar por escrito, o Fornecedor obterá uma certificação de conformidade com um padrão do setor substancialmente equivalente, abordando práticas seguras de desenvolvimento e da cadeia de suprimentos (seja uma certificação de autoavaliação seja uma baseada na avaliação de um auditor independente respeitável, se e como a Kyndryl aprovar).  

    3.3 O Fornecedor obterá a certificação de conformidade com a ISO 20243 ou um padrão de mercado substancialmente equivalente (se a Kyndryl aprovar por escrito) até 180 dias após a data de vigência do Documento da Transação

    e depois renovará a certificação a cada 12 meses (com cada renovação com relação à versão mais atual do padrão aplicável, ou seja, ISO 20243 ou, quando a Kyndryl tiver aprovado por escrito, um padrão de mercado substancialmente equivalente abordando o desenvolvimento seguro e as práticas da cadeia de suprimentos).  

    3.4 O Fornecedor, mediante solicitação, fornecerá imediatamente à Kyndryl uma cópia das certificações que o Fornecedor é obrigado a obter, de acordo com as Cláusulas 2.1 e 2.2 acima.  

    4. Vulnerabilidades de Segurança

    Conforme usado abaixo, 

    Correção de erro significa correções de bug e revisões que corrigem erros ou deficiências, incluindo Vulnerabilidades de segurança, em Distribuíveis

    Mitigação significa qualquer meio conhecido de diminuir ou evitar os riscos de uma Vulnerabilidade de segurança.

    Vulnerabilidade de Segurança significa um estado na fase de projeto, codificação, desenvolvimento, implementação, teste, operação, suporte manutenção ou gerenciamento de um Entrega que permita um ataque proveniente de qualquer origem e que possa resultar em acesso ou exploração não autorizados, incluindo: (a) acesso, controle ou interrupção da operação de um sistema, (b) acesso, exclusão, alteração ou extração de dados ou (c) mudanças de identidade, autorizações ou permissões de usuários ou administradores.  Uma Vulnerabilidade de Segurança pode existir independentemente de um ID de Vulnerabilidades e Exposições Comuns (CVE) ou da atribuição de qualquer pontuação ou classificação oficial.  

    4.1 O Fornecedor declara e garante que: (a) usará as Melhores Práticas do Mercado para identificar Vulnerabilidades de Segurança, aplicando também ações contínuas, estáticas e dinâmicas, de varreduras de segurança dos aplicativos de código-fonte, de varreduras de segurança de software livre e de varreduras de vulnerabilidades do sistema e (b) cumprirá com os requisitos destes Termos para ajudar a prevenir, detectar e corrigir Vulnerabilidades de Segurança encontradas em Distribuíveis e Serviços e em todos os aplicativos, plataformas e infraestruturas de TI nos quais e por meio dos quais o Fornecedor cria e fornece Distribuíveis e Serviços. 

    4.2 Ao observar uma Vulnerabilidade de Segurança em um Entrega ou em quaisquer aplicativos de TI, plataformas ou infraestruturas, o Fornecedor oferecerá à Kyndryl Correções e Mitigações de Erros para todas as versões e liberações do Serviço, de acordo com os Níveis de Severidade e os prazos definidos nas tabelas a seguir:

     

     

     

     

     

     

     

     

     

    Nível de Severidade*

     

     

     

     

     

     

     

     

    Vulnerabilidade de Segurança Emergencial – é uma Vulnerabilidade de Segurança que representa uma ameaça grave e potencialmente global.  A Kyndryl designa as Vulnerabilidades de Segurança Emergenciais de acordo com seus próprios critérios, independentemente da Pontuação de Base do CVSS.

     

     

     

     

     

     

     

     

    Crítico – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 9 a 10.0

     

     

     

     

     

     

     

     

    Alto – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 7.0 a 8.9

     

     

     

     

     

     

     

     

    Médio – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 4.0 a 6.9

     

     

     

     

     

     

     

     

    Baixo – é uma Vulnerabilidade de Segurança que tem uma Pontuação de Base do CVSS de 0.0 a 3.9

     

     

     

     

     

     

     

     

     

     

     

     

    Períodos 

     

     

     

     

     

     

     

     

    Emergência

     

     

     

     

     

     

    Crítico

     

     

     

     

     

     

    Alta

     

     

     

     

     

     

    Médio

     

     

     

     

     

     

    Baixo

     

     

     

     

     

     

     

     

    4 Dias ou menos, conforme determinação do Diretor Executivo de Segurança da Informação da Kyndryl

     

     

     

     

     

     

    30 Dias

     

     

     

     

     

     

    30 Dias

     

     

     

     

     

     

    90 Dias

     

     

     

     

     

     

    De acordo com as Melhores Práticas do Mercado

     

     

     

    * Caso uma Pontuação de Base do CVSS não seja prontamente designada a uma Vulnerabilidade de Segurança, o Fornecedor aplicará um Nível de Severidade considerado adequado para a natureza e as circunstâncias dessa vulnerabilidade.    

    4.3 Para uma Vulnerabilidade de Segurança que foi divulgada publicamente e para a qual o Fornecedor ainda não forneceu nenhuma Correção ou Mitigação de Erro à Kyndryl, o Fornecedor implementará quaisquer controles de segurança adicionais tecnicamente viáveis que possam mitigar os riscos da vulnerabilidade.

    4.4 Se a Kyndryl estiver insatisfeita com a resposta do Fornecedor a qualquer Vulnerabilidade de Segurança observada em um Entrega ou em qualquer aplicativo, plataforma ou infraestrutura acima mencionados, sem prejuízo a quaisquer outros direitos da Kyndryl, o Fornecedor cuidará prontamente para que a Kyndryl aborde essas dúvidas diretamente com um Vice-Presidente do Fornecedor ou com um executivo equivalente e que seja responsável pela apresentação da Correção do Erro.  

    4.5 Os exemplos de Vulnerabilidades de Segurança incluem códigos de terceiros ou códigos de software livre de fim de serviço (EOS) que não recebem mais correções de segurança. 

    ---

    Artigo VIII, Medidas Técnicas e organizacionais, Segurança geral

    Este Artigo se aplicará se o Fornecedor oferecer quaisquer Serviços ou Distribuíveis à Kyndryl, a menos que o Fornecedor tenha apenas acesso às BCIs da Kyndryl no fornecimento desses Serviços e Distribuíveis (ou seja, o Fornecedor não Processará nenhum outro Dado da Kyndryl ou terá acesso a qualquer outro Material Kyndryl ou a qualquer Sistema Corporativo), o único Serviço ou Entrega do Fornecedor é fornecer Software no Local à Kyndryl ou se o Fornecedor oferecer todos os seus Serviços e Distribuíveis em um modelo de aumento de equipe, de acordo com o Artigo VII, incluindo a Cláusula 1.7.  

    O Fornecedor cumprirá os requisitos deste Artigo e, ao fazê-lo, protegerá: (a) os Materiais Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada e ao acesso acidental ou não autorizado, (b) os Dados Kyndryl de formas ilegais de Processamento e (c) a Tecnologia Kyndryl de formas ilegais de Manipulação. Os requisitos deste Artigo se estendem a todos os aplicativos, plataformas e infraestrutura de TI que o Fornecedor opera ou gerencia no fornecimento de Distribuíveis e Serviços e na Manipulação da Tecnologia Kyndryl, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e data center.  

    1. Políticas de Segurança

    1.1 O Fornecedor manterá e seguirá as políticas e práticas de segurança de TI que são integrais para os negócios do Fornecedor, obrigatórias para todo o Pessoal do Fornecedor e consistentes com as Melhores práticas do mercado.  

    1.2 O Fornecedor revisará as suas políticas e práticas de segurança de TI pelo menos anualmente e as corrigirá conforme o Fornecedor considerar necessário para proteger os Materiais Kyndryl.

    1.3 O Fornecedor manterá e seguirá os requisitos padrão obrigatórios de verificação de emprego para todas as novas contratações de funcionário e estenderá esses requisitos a todo o Pessoal do Fornecedor e às subsidiárias de propriedade integral do Fornecedor.  Esses requisitos incluirão verificações de antecedentes criminais até o limite permitido pelas leis locais, prova de validação de identidade e verificações adicionais que o Fornecedor considerar necessárias.  O Fornecedor repetirá e revalidará periodicamente esses requisitos, conforme considerar necessário. 

    1.4 O Fornecedor oferecerá anualmente educação sobre segurança e privacidade a seus funcionários e exigirá que todos os funcionários certifiquem a cada ano que cumprirão as políticas éticas de conduta comercial, confidencialidade e segurança do Fornecedor, conforme definido no código de conduta do Fornecedor ou em documentos similares.  O Fornecedor oferecerá treinamento adicional sobre política e processo para pessoas com acesso administrativo a qualquer componente dos Serviços, Distribuíveis ou Materiais Kyndryl, com tal treinamento específico para a sua função e suporte aos Serviços, Distribuíveis e Materiais Kyndryl e conforme necessário para manter a conformidade e certificações obrigatórias.

    1.5 O Fornecedor projetará medidas de segurança e privacidade para proteger e manter a disponibilidade de Materiais Kyndryl, inclusive através de sua implementação, manutenção e conformidade com políticas e procedimentos que requerem segurança e privacidade por design, engenharia e operações seguras, para todos os Serviços e Distribuíveis e para toda a Manipulação da Tecnologia Kyndryl.

    2. Incidentes de Segurança

    2.1 O Fornecedor manterá e seguirá as políticas documentadas de resposta a incidentes, consistentes com as Melhores práticas do mercado para manipulação de incidente de segurança de computador.

    2.2 O Fornecedor investigará o acesso não autorizado ou o uso não autorizado de Materiais Kyndryl e definirá e executará um plano de resposta apropriado.

    2.3 O Fornecedor prontamente (e em hipótese alguma, o fará depois de 48 horas) notificará a Kyndryl assim que tomar ciência de qualquer Violação de Segurança.  O Fornecedor fornecerá tal notificação para cyber.incidents@kyndryl.com. O Fornecedor apresentará à Kyndryl todas as informações solicitadas cabíveis sobre tal violação e sobre o status de quaisquer atividades de correção e restauração por ele executadas.  Como exemplo, tais informações cabíveis podem incluir, por exemplo, logs que demonstrem acesso privilegiado, administrativo ou de outra natureza aos Dispositivos, sistemas ou aplicativos, imagens judiciais de Dispositivos, sistemas ou aplicativos e outros itens semelhantes, considerados relevantes para as atividades de correção e restauração executadas pelo Fornecedor.

    2.4 O Fornecedor oferecerá à Kyndryl assistência razoável para satisfazer quaisquer obrigações legais (incluindo obrigações para notificar reguladores ou Titular de Dados) da Kyndryl, afiliadas e Clientes Kyndryl (e seus clientes e afiliados) em relação a uma Violação de segurança.

    2.5 O Fornecedor não informará nem notificará nenhum terceiro que uma Violação de segurança se relaciona direta ou indiretamente à Kyndryl ou aos Materiais Kyndryl, a menos que a Kyndryl aprove isso por escrito ou se exigido por lei. O Fornecedor notificará a Kyndryl por escrito antes de distribuir qualquer notificação legalmente obrigatória a qualquer terceiro, caso a notificação revele direta ou indiretamente a identidade da Kyndryl. 

    2.6 No caso de uma Violação de segurança decorrente da violação do Fornecedor de qualquer obrigação sob estes Termos:

    (a) O Fornecedor será responsável por quaisquer custos incorridos, bem como pelas despesas efetivas incorridas pela Kyndryl, ao fornecer notificação da Violação de segurança aos reguladores aplicáveis, outras agências de autorregulação do setor governamentais e relevantes, à mídia (se obrigatório pela lei aplicável), Titulares de Dados, Clientes e outros.

    (b) Se a Kyndryl solicitar, o Fornecedor estabelecerá e manterá, às próprias custas do Fornecedor, uma central de atendimento para responder a perguntas dos Titular de Dados sobre a Violação de segurança e as suas consequências, por um ano após a data na qual esses Titular de Dados foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.  A Kyndryl e o Fornecedor trabalharão juntos para criar os scripts e outros materiais a serem usados pela equipe da central de atendimento ao responder a consultas.  Como alternativa, mediante aviso por escrito ao Fornecedor, a Kyndryl pode estabelecer e manter a sua própria central de atendimento, em vez de fazer com que o Fornecedor estabeleça uma central de atendimento e o Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl ao estabelecer e manter essa central de atendimento e

    (c) O Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl no fornecimento de serviços de monitoramento e restauração de crédito por um ano após a data em que os indivíduos afetados pela violação que escolheram se registrar para esses serviços foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.

    3. Segurança física e controle de entrada (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl).

    3.1 O Fornecedor manterá controles físicos adequados de entrada, como barreiras, pontos de entrada controlados por cartão, câmeras de vigilância e mesas de recepção assistidas, para proteger contra a entrada não autorizada nas Instalações.  

    3.2 O Fornecedor requererá aprovação autorizada para acesso às Instalações e áreas controladas dentro das Instalações, incluindo qualquer acesso temporário e limitará o acesso por cargo e necessidade comercial.  Se o Fornecedor conceder acesso temporário, um funcionário autorizado do Cliente acompanhará qualquer visitante enquanto estiver na Instalação e em qualquer área controlada.

    3.3 O Fornecedor implementará controles de acesso físico, incluindo controles de acesso de múltiplos fatores que são consistentes com as Melhores práticas do mercado, para restringir adequadamente a entrada em áreas controladas dentro das Instalações, registrará todas as tentativas de entrada e manterá esses registros por pelo menos 1 ano. 

    3.4 O Fornecedor revogará o acesso às Instalações e áreas controladas dentro das Instalações quando houver (a) desligamento de um funcionário autorizado pelo Fornecedor ou (b) o funcionário autorizado do Fornecedor não ter mais necessidade comercial válida para o acesso.  O Fornecedor seguirá os procedimentos formais de desligamento documentados que incluem a remoção imediata das listas de controle de acesso e a devolução de crachás de acesso físico.

    3.5 O Fornecedor tomará precauções para proteger toda a infraestrutura física usada para suportar os Serviços e Distribuíveis e a Manipulação da Tecnologia Kyndryl com relação a ameaças ambientais, ambas, as que ocorrem naturalmente e as provocadas pelo homem, como temperatura ambiente excessiva, incêndio, inundação, umidade, roubo e vandalismo.

    4. Controle de Acesso, Intervenção, Transferência e Desligamento

    4.1 O Fornecedor manterá documentada a arquitetura de segurança das redes que gerenciar ao operar Serviços, fornecer Distribuíveis e Manipular Tecnologia Kyndryl.  O Fornecedor revisará separadamente essa arquitetura de rede e empregará medidas para evitar conexões de rede não autorizadas a sistemas, aplicativos e dispositivos de rede, para conformidade com os padrões detalhados de segmentação, isolamento e defesa seguros.  O Fornecedor não pode usar a tecnologia wireless em sua hospedagem e em operações de quaisquer Serviços hospedados. Caso contrário, o Fornecedor poderá usar a tecnologia de rede wireless em sua entrega de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl, mas o Fornecedor criptografará e exigirá a autenticação segura para essas redes wireless.

    4.2 O Fornecedor manterá medidas projetadas para separar logicamente os Materiais Kyndryl e evitar que eles sejam expostos ou acessados por pessoas não autorizadas.  Além disso, o Fornecedor manterá o isolamento apropriado de seus ambientes de produção, não produção e outros e, se os Materiais Kyndryl já estiverem presentes ou forem transferidos para um ambiente de não produção (por exemplo, para reproduzir um erro), então, o Fornecedor assegurará que as proteções de segurança e privacidade no ambiente de não produção sejam iguais àquelas no ambiente de produção.

    4.3 O Fornecedor criptografará os Materiais Kyndryl em trânsito e em repouso (a menos que o Fornecedor demonstre para a satisfação razoável da Kyndryl que a criptografia de Materiais Kyndryl em repouso é tecnicamente inviável).  O Fornecedor também criptografará todas as mídias físicas, se houver, tais como a mídia que contém arquivos de backup.  O Fornecedor manterá procedimentos documentados para geração, emissão, distribuição, armazenamento, rotação, revogação, recuperação, backup, destruição, acesso e uso de chave de segurança associados com a criptografia de dados.  O Fornecedor assegurará que os métodos criptográficos específicos usados para essa criptografia estejam alinhados com as Melhores práticas do mercado (como NIST SP 800-131a).

    4.4 Se o Fornecedor requerer acesso aos Materiais Kyndryl, o Fornecedor restringirá e limitará esse acesso ao nível mínimo necessário para fornecer e suportar os Serviços e Distribuíveis.  O Fornecedor exigirá que esse acesso, incluindo acesso administrativo a qualquer componente subjacente (ou seja, acesso privilegiado), seja individual, baseado em função e sujeito a aprovação e validação regular por funcionários autorizados do Fornecedor, seguindo os princípios de segregação de função.  O Fornecedor manterá medidas para identificar e remover contas redundantes e inativas. O Fornecedor também revogará contas com acesso privilegiado dentro de 24 (vinte e quatro) horas após o desligamento do proprietário da conta ou a solicitação pela Kyndryl ou por qualquer funcionário autorizado do Fornecedor, como o gerente do proprietário da conta. 

    4.5 Consistente com as Melhores práticas do mercado, o Fornecedor manterá medidas técnicas que reforçam o tempo limite de sessões inativas, o bloqueio de contas após múltiplas tentativas sequenciais de login com falha, a senha forte ou a autenticação de passphrase e as medidas que exijam transferência e armazenamento seguros de tais senhas e passphrases.  Além disso, o Fornecedor utilizará a autenticação de diversos fatores para todos os acessos privilegiados não baseados em console para quaisquer Materiais Kyndryl.

    4.6 O Fornecedor monitorará o uso do acesso privilegiado e manterá as informações de segurança e as medidas de gerenciamento de eventos projetadas para: (a) identificar o acesso e a atividade não autorizados, (b) facilitar uma resposta oportuna e apropriada a esse acesso e essa atividade e (c) permitir auditorias pelo Fornecedor, pela Kyndryl (de acordo com os seus direitos de verificação nestes Termos e direitos de auditoria no Documento de Transação ou na base associada ou em outro contrato relacionado entre as partes) e por outros de conformidade com a política do Fornecedor documentada. 

    4.7 O Fornecedor manterá registros nos quais ele registra, em conformidade com as Melhores práticas do mercado, todo o acesso ou a atividade administrativa, do usuário ou outro acesso ou atividade para ou com relação aos sistemas utilizados no fornecimento de Serviços ou Distribuíveis e na Manipulação de Tecnologia Kyndryl (e fornecerá esses logs à Kyndryl mediante solicitação).  O Fornecedor manterá medidas projetadas para proteção contra o acesso não autorizado, à modificação e à destruição acidental ou deliberada desses registros.

    4.8 O Fornecedor manterá proteções de computação para os sistemas que ele possui ou gerencia, incluindo sistemas de usuário final e que ele usa no fornecimento de Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl, com essas proteções, incluindo: firewalls de terminal, criptografia integral de disco, tecnologias de detecção e resposta de terminal baseada em assinatura e não assinatura para lidar com malware e ameaças persistentes avançadas, bloqueios de tela com base no tempo e soluções de gerenciamento de terminal que reforçam os requisitos de configuração de segurança e de correção temporária.  Além disso, o Fornecedor implementará controles técnicos e operacionais que assegurem que apenas sistemas de usuário final conhecidos e confiáveis tenham permissão para usar as redes do Fornecedor.

    4.9 Consistente com as Melhores práticas do mercado, o Fornecedor manterá proteções para ambientes de data center em que o Material Kyndryl esteja presente ou seja processado, com essas proteções, incluindo detecção e prevenção de intrusão e contramedidas e mitigação de ataque de negação de serviço. 

    5. Integridade de Serviço e Sistemas e Controle de Disponibilidade 

    5.1 O Fornecedor: (a) executará avaliações de risco de segurança e privacidade pelo menos anualmente, (b) executará teste de segurança e avaliará vulnerabilidades, incluindo varredura automatizada de segurança de sistema e aplicativo e hacking ético manual, antes da liberação de produção e anualmente depois disso, no que diz respeito a Serviços e Distribuíveis e anualmente com relação à sua Manipulação de Tecnologia Kyndryl, (c) mobilizará um terceiro independente e qualificado para executar teste de penetração consistente com as Melhores práticas do mercado, pelo menos anualmente, com esse teste incluindo teste automatizado e manual, (d) executará gerenciamento automatizado e verificação de rotina de conformidade com os requisitos de configuração de segurança para cada componente dos Serviços e Distribuíveis e com relação à sua Manipulação de Tecnologia Kyndryl e (e) corrigirá as vulnerabilidades identificadas ou a não conformidade com os seus requisitos de configuração de segurança com base no risco, na capacidade de exploração e no impacto associados.  O Fornecedor tomará medidas razoáveis para evitar a interrupção dos Serviços ao executar os seus testes, as avaliações, as varreduras e a execução de atividades de correção.  Mediante solicitação da Kyndryl, o Fornecedor oferecerá à Kyndryl um resumo por escrito das atividades de teste de penetração mais recentes do Fornecedor, cujo relatório incluirá no mínimo o nome das ofertas cobertas pelo teste, o número de sistemas ou aplicativos no escopo para o teste, as datas do teste, a metodologia usada no teste e um resumo detalhado das descobertas.

    5.2 O Fornecedor manterá políticas e procedimentos projetados para gerenciar riscos associados à aplicação de mudanças nos Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl.  Antes de implementar tal mudança, incluindo em sistemas, redes e componentes subjacentes afetados, o Fornecedor documentará em uma solicitação de mudança registrada: (a) uma descrição e o motivo da mudança, (b) detalhes e programação da implementação, (c) uma declaração de risco abordando o impacto nos Serviços e Distribuíveis, nos clientes dos Serviços ou nos Materiais Kyndryl, (d) resultado esperado, (e) plano de retrocesso e (f) aprovação por funcionários autorizados do Fornecedor.

    5.3 O Fornecedor manterá um inventário de todos os ativos de TI que ele usa na operação dos Serviços, no fornecimento de Distribuíveis e na Manipulação de Tecnologia Kyndryl.  O Fornecedor monitorará e gerenciará continuamente o funcionamento (incluindo a capacidade) e a disponibilidade desses ativos de TI, Serviços, Distribuíveis e Tecnologia Kyndryl, incluindo os componentes subjacentes de tais ativos, Serviços, Distribuíveis e Tecnologia Kyndryl. 

    5.4 O Fornecedor construirá todos os sistemas que ele usa no desenvolvimento ou na operação de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl por meio de imagens de segurança do sistema predefinidas ou linhas de base de segurança, que satisfaçam as Melhores práticas do mercado, como as benchmarks do Center for Internet Security (CIS).

    5.5 Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl sob o Documento de Transação ou no contrato base associado entre as partes com relação à continuidade dos negócios, o Fornecedor avaliará separadamente cada Serviço e Entrega e cada sistema de TI usado na Manipulação de Tecnologia Kyndryl para os requisitos de continuidade de negócios e de TI e de recuperação de desastre, de acordo com as diretrizes documentadas de gestão de risco.  O Fornecedor assegurará que cada um desses Serviços, Distribuíveis e TI tenha, até o limite garantido por essa avaliação de risco, negócios validados anualmente, separadamente definidos, documentados, mantidos e planos de continuidade de TI e de recuperação de desastre, consistentes com as Melhores práticas do mercado.  O Fornecedor assegurará que esses planos sejam projetados para fornecer os tempos de recuperação específicos que estão definidos na Cláusula 5.6 abaixo.

    5.6 Os objetivos específicos do ponto de recuperação ("RPO") e os objetivos de tempo de recuperação ("RTO") em relação a qualquer Serviço hospedado são: RPO de 24 horas e RTO de 24 horas. No entanto, o Fornecedor cumprirá qualquer RPO ou RTO com duração menor que a Kyndryl tiver confirmado com um Cliente, imediatamente após a Kyndryl notificar o Fornecedor por escrito desse RPO ou RTO de duração menor (um e-mail constitui uma comunicação por escrito).  No que diz respeito a todos os outros Serviços oferecidos pelo Fornecedor à Kyndryl, o Fornecedor assegurará que os seus planos de continuidade de negócios e de recuperação de desastre sejam projetados para fornecer RPO e RTO que permitam ao Fornecedor permanecer em conformidade com todas as suas obrigações para com a Kyndryl sob o Documento de Transação e o contrato base associado entre as partes e estes Termos, incluindo as suas obrigações de fornecer teste, suporte e manutenção em tempo hábil.

    5.7 O Fornecedor manterá medidas projetadas para avaliar, testar e aplicar correções temporárias de segurança aos Serviços e Distribuíveis e sistemas, redes, aplicativos e componentes subjacentes associados dentro do escopo desses Serviços e Distribuíveis, bem como os sistemas, as redes, os aplicativos e os componentes subjacentes usados para Manipular a Tecnologia Kyndryl.  Mediante a determinação de que uma correção temporária consultiva de segurança é aplicável e apropriada, o Fornecedor implementará a correção temporária de acordo com as diretrizes documentadas de avaliação de severidade e risco.  A implementação de correções temporárias de segurança consultivas do Fornecedor estará sujeita à política de gerenciamento de mudanças do Fornecedor.

    5.8 Se a Kyndryl tiver uma base razoável para acreditar que o hardware ou o software que o Fornecedor oferece à Kyndryl pode conter elementos intrusivos, como spyware, malware ou código malicioso, então, o Fornecedor cooperará oportunamente com a Kyndryl na investigação e correção dos interesses da Kyndryl.  

    6. Fornecimento de Serviço

    6.1 O Fornecedor suportará métodos comuns de autenticação federada do setor para qualquer conta do usuário ou do Cliente Kyndryl, com o Fornecedor seguindo as Melhores práticas do mercado na autenticação dessas contas do usuário ou do Cliente Kyndryl (como pela Conexão única de múltiplos fatores gerenciada centralizadamente pela Kyndryl, usando o OpenID Connect ou a Security Assertion Markup Language).

    7. Subcontratados.  Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl ao abrigo do Documento de Transação ou do contrato base associado entre as partes com relação à retenção de subcontratados, o Fornecedor assegurará que qualquer subcontratado que realize o trabalho para o Fornecedor tenha instituído controles de governança para cumprir com os requisitos e as obrigações aplicáveis ao Fornecedor sob estes Termos.  

    8. Mídia Física. O Fornecedor limpará com segurança a mídia física destinada para reutilização antes dessa reutilização e destruirá a mídia física não destinada para reutilização de acordo com as Melhores práticas do mercado para sanitização da mídia.

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

  6. Se sim, as Seções VI (Acesso a Sistemas Corporativos), VIII (Medidas Técnicas e Organizacionais, Segurança Geral) e X (Cooperação, Verificação e Correção) se aplicarão a esse acesso.  

    Exemplos:

    • As atribuições de desenvolvimento do Fornecedor precisam de acesso aos repositórios de Código-Fonte da Kyndryl. 

    Nota: as Seções II (Medidas Técnicas e Organizacionais, Segurança de Dados), III (Privacidade), IV (Medidas Técnicas e Organizacionais, Segurança de Código) e V (Desenvolvimento Seguro) também podem ser aplicáveis, caso o Fornecedor de Materiais da Kyndryl tenha permissão de acesso interno aos Sistemas Corporativos.  

    Artigo VI, Acesso do Sistema Corporativo

    Este Artigo se aplica caso os funcionários do Fornecedor tenham acesso a algum Sistema Corporativo.  

    1. Termos Gerais

    1.1 A Kyndryl determinará se os funcionários do Fornecedor terão autorização para acessar Sistemas Corporativos.  Caso essa autorização seja concedida, o Fornecedor cumprirá e fará com que os funcionários que têm esse acesso também cumpram os requisitos deste Artigo.  

    1.2 A Kyndryl identificará os meios pelos quais os funcionários do Fornecedor podem acessar Sistemas Corporativos, informando se esses funcionários acessarão os Sistemas Corporativos por meio de Dispositivos fornecidos pela Kyndryl ou pelo Fornecedor.  

    1.3 Para o fornecimento de Serviços, os funcionários do Fornecedor podem acessar apenas os Sistemas Corporativos e usar somente os Dispositivos autorizados pela Kyndryl.  Os funcionários do Fornecedor não podem usar tais Dispositivos autorizados pela Kyndryl para fornecer os Serviços para qualquer outra pessoa ou entidade ou para acessar itens de terceiros, como sistemas de TI, redes, aplicativos, websites, ferramentas de e-mail, ferramentas de colaboração ou produtos semelhantes para ou em conexão com os Serviços.

    1.4 Esclarecendo, os funcionários do Fornecedor não podem usar os Dispositivos autorizados pela Kyndryl para acessar Sistemas Corporativos por motivos pessoais (por exemplo, os funcionários do Fornecedor não podem armazenar em tais Dispositivos arquivos pessoais, como músicas, vídeos, fotos ou itens semelhantes e não podem usar a Internet por motivos pessoais a partir desses Dispositivos).

    1.5 Os funcionários do Fornecedor não copiarão Materiais Kyndryl que podem ser acessados por meio de um Sistema Corporativo sem aprovação prévia e por escrito da Kyndryl (e nunca copiarão quaisquer Materiais Kyndryl para um dispositivo de armazenamento móvel, como um USB, um disco rígido externo ou itens semelhantes).

    1.6 Mediante solicitação, o Fornecedor confirmará, pelo nome do funcionário, os Sistemas Corporativos específicos que os seus funcionários estão autorizados a acessar, e que acessaram, durante qualquer período de tempo que a Kyndryl identificar.

    1.7 O Fornecedor notificará a Kyndryl dentro de 24 (vinte e quatro) horas após qualquer funcionário do Fornecedor com acesso a qualquer Sistema corporativo: (a) deixar de ser empregado pelo Fornecedor ou (b) deixar de trabalhar em atividades que requeiram esse acesso.  O Fornecedor trabalhará com a Kyndryl para assegurar que o acesso para esses funcionários antigos ou atuais seja imediatamente revogado.

    1.8 O Fornecedor relatará imediatamente quaisquer incidentes de segurança reais ou suspeitos (como perda de um Dispositivo da Kyndryl ou do Fornecedor ou acesso não autorizado a um Dispositivo ou dados, materiais ou outras informações de qualquer tipo) à Kyndryl e cooperará com a Kyndryl na investigação de tais incidentes.

    1.9 O Fornecedor não permitirá que algum agente, subcontratado ou funcionário de um subcontratante acesse qualquer Sistema Corporativo sem o consentimento prévio e escrito da Kyndryl; caso a Kyndryl forneça essa autorização, o Fornecedor firmará um contrato, comprometendo-se a fazer com que esses indivíduos e seus empregadores cumpram os requisitos deste Artigo, como se fossem seus próprios funcionários e se responsabilizará, perante a Kyndryl, por todas as ações e omissões por eles executadas quanto ao acesso a tais Sistemas Corporativos. 

    2. Software do Dispositivo 

    2.1 O Fornecedor orientará os seus funcionários a instalarem oportunamente todos os softwares de Dispositivo que a Kyndryl requer para facilitar o acesso aos Sistemas Corporativos de maneira segura.  Nem o Fornecedor e nem os seus funcionários interferirão com as operações desse software ou os recursos de segurança que o software ativa.

    2.2 O Fornecedor e os seus funcionários aderirão às Regras de configuração do dispositivo que a Kyndryl definir e, de outra forma, trabalharão com a Kyndryl para ajudar a assegurar que o software funcione conforme a intenção da Kyndryl.  Por exemplo, o Fornecedor não substituirá o bloqueio de website do software ou os recursos de correção temporária automatizada.

    2.3 Os funcionários do Fornecedor não podem compartilhar os Dispositivos que eles usam para acessar os Sistemas Corporativos ou os seus Nomes do usuário, senhas do Dispositivo ou similares, com qualquer outra pessoa.

    2.4 Se a Kyndryl autorizar os funcionários do Fornecedor a acessarem os Sistemas Corporativos usando Dispositivos do fornecedor, então o Fornecedor instalará e executará um sistema operacional nesses Dispositivos que a Kyndryl aprovar e fará uma atualização para uma nova versão desse sistema operacional ou de um novo sistema operacional dentro de um tempo razoável depois que a Kyndryl assim instruir.  

    3. Supervisão e cooperação

    3.1 A Kyndryl tem os direitos não qualificados de monitorar e corrigir a potencial intrusão e outras ameaças à segurança cibernética de qualquer maneira, de qualquer local e usando quaisquer meios que a Kyndryl julgar necessários ou apropriados, sem aviso prévio ao Fornecedor ou a qualquer funcionário do Fornecedor ou outros.  Como exemplos desses direitos, a Kyndryl pode, a qualquer momento, (a) executar um teste de segurança em qualquer Dispositivo, (b) monitorar, recuperar por meios técnicos ou outros e revisar as comunicações (incluindo e-mails de qualquer conta de e-mail), registros, arquivos e outros itens armazenados em qualquer Dispositivo ou transmitidos por qualquer Sistema corporativo e (c) adquirir uma imagem forense integral de qualquer Dispositivo.  Se a Kyndryl precisar da cooperação do Fornecedor para exercer os seus direitos, o Fornecedor satisfará completa e oportunamente às solicitações da Kyndryl para essa cooperação (incluindo, por exemplo, solicitações para configurar com segurança qualquer Dispositivo, instalar monitoramento ou outro software em qualquer Dispositivo, compartilhar detalhes da conexão de nível do sistema, envolver em medidas de resposta a incidentes em qualquer Dispositivo e fornecer acesso físico a qualquer Dispositivo para a Kyndryl obter uma imagem forense completa ou de outra maneira e solicitações semelhantes e relacionadas).  

    3.2 A Kyndryl poderá revogar o acesso aos Sistemas Corporativos a qualquer momento, para qualquer funcionário do Fornecedor ou para todos os funcionários do Fornecedor, sem aviso prévio ao Fornecedor ou a qualquer funcionário do Fornecedor ou a outros, se a Kyndryl julgar isso necessário para protegê-la.

    3.3 Os direitos da Kyndryl não são bloqueados, diminuídos ou restringidos de qualquer forma por qualquer disposição do Documento de Transação, pelo contrato base associado entre as partes ou por qualquer outro acordo entre as partes, incluindo qualquer disposição que possa requerer dados, materiais ou outras informações de qualquer tipo para residir apenas em um ou local ou em locais selecionados ou que possa requerer que apenas pessoas de um local ou de locais selecionados acessem tais dados, materiais ou outras informações.

    4. Dispositivos Kyndryl

    4.1 A Kyndryl manterá o título de todos os Dispositivos Kyndryl, com o Fornecedor assumindo o risco de perda dos Dispositivos, inclusive devido a roubo, vandalismo ou negligência.  O Fornecedor não fará ou permitirá nenhuma alteração nos Dispositivos Kyndryl sem o consentimento escrito prévio da Kyndryl, com uma alteração sendo qualquer mudança em um Dispositivo, incluindo qualquer mudança no software do Dispositivo, em aplicativos, no design de segurança, na configuração de segurança ou no design físico, mecânico ou elétrico.

    4.2 O Fornecedor retornará todos os Dispositivos Kyndryl dentro de cinco dias úteis após o término da necessidade de fornecimento de Serviços desses Dispositivos e, se a Kyndryl solicitar, destruirá todos os dados, materiais e outras informações de qualquer tipo nesses Dispositivos ao mesmo tempo, sem reter nenhuma cópia, seguindo as Melhores práticas do mercado para apagar permanentemente todos esses dados, materiais e outras informações.  O Fornecedor empacotará e retornará os Dispositivos Kyndryl na mesma condição que foram entregues ao Fornecedor, exceto desgaste razoável, às próprias custas, ao local que a Kyndryl identificar.  A falha do Fornecedor em cumprir qualquer obrigação desta Cláusula 4.2 constitui uma violação material do Documento de Transação e do contrato base associado e qualquer contrato relacionado entre as partes, com o entendimento de que um contrato estará "relacionado" se o acesso a qualquer Sistema corporativo facilitar as tarefas do Fornecedor ou outras atividades sob esse contrato.

    4.3 A Kyndryl fornecerá suporte para os Dispositivos Kyndryl (incluindo inspeção e manutenção preventiva e reparatória do Dispositivo).  O Fornecedor informará imediatamente à Kyndryl sobre a necessidade de serviço reparatório. 

    4.4. Para programas de software que a Kyndryl possui ou tem o direito de licenciar, a Kyndryl concede ao Fornecedor um direito temporário para usar, armazenar e fazer cópias suficientes para suportar o seu uso autorizado de Dispositivos Kyndryl.  O Fornecedor não pode transferir programas para ninguém, fazer cópias de informações de licença de software, desmontar, descompilar, fazer engenharia reversa ou, de outra maneira, traduzir qualquer programa, a menos que expressamente permitido pela lei aplicável, sem a possibilidade de renúncia contratual.  

    5. Atualizações

    5.1 Não obstante qualquer coisa em contrário no Documento de Transação ou no contrato base associado entre as partes, mediante aviso por escrito ao Fornecedor e sem a necessidade de obter o consentimento do Fornecedor, a Kyndryl pode atualizar, complementar ou, de outra maneira, aditar este Artigo para abordar qualquer requisito sob a lei aplicável ou Obrigação do cliente, para refletir qualquer desenvolvimento em melhores práticas de segurança ou, de outra forma, conforme a Kyndryl julgar necessário para proteger os Sistemas Corporativos ou a Kyndryl. 

    Artigo VIII, Medidas Técnicas e organizacionais, Segurança geral

    Este Artigo se aplicará se o Fornecedor oferecer quaisquer Serviços ou Distribuíveis à Kyndryl, a menos que o Fornecedor tenha apenas acesso às BCIs da Kyndryl no fornecimento desses Serviços e Distribuíveis (ou seja, o Fornecedor não Processará nenhum outro Dado da Kyndryl ou terá acesso a qualquer outro Material Kyndryl ou a qualquer Sistema Corporativo), o único Serviço ou Entrega do Fornecedor é fornecer Software no Local à Kyndryl ou se o Fornecedor oferecer todos os seus Serviços e Distribuíveis em um modelo de aumento de equipe, de acordo com o Artigo VII, incluindo a Cláusula 1.7.  

    O Fornecedor cumprirá os requisitos deste Artigo e, ao fazê-lo, protegerá: (a) os Materiais Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada e ao acesso acidental ou não autorizado, (b) os Dados Kyndryl de formas ilegais de Processamento e (c) a Tecnologia Kyndryl de formas ilegais de Manipulação. Os requisitos deste Artigo se estendem a todos os aplicativos, plataformas e infraestrutura de TI que o Fornecedor opera ou gerencia no fornecimento de Distribuíveis e Serviços e na Manipulação da Tecnologia Kyndryl, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e data center.  

    1. Políticas de Segurança

    1.1 O Fornecedor manterá e seguirá as políticas e práticas de segurança de TI que são integrais para os negócios do Fornecedor, obrigatórias para todo o Pessoal do Fornecedor e consistentes com as Melhores práticas do mercado.  

    1.2 O Fornecedor revisará as suas políticas e práticas de segurança de TI pelo menos anualmente e as corrigirá conforme o Fornecedor considerar necessário para proteger os Materiais Kyndryl.

    1.3 O Fornecedor manterá e seguirá os requisitos padrão obrigatórios de verificação de emprego para todas as novas contratações de funcionário e estenderá esses requisitos a todo o Pessoal do Fornecedor e às subsidiárias de propriedade integral do Fornecedor.  Esses requisitos incluirão verificações de antecedentes criminais até o limite permitido pelas leis locais, prova de validação de identidade e verificações adicionais que o Fornecedor considerar necessárias.  O Fornecedor repetirá e revalidará periodicamente esses requisitos, conforme considerar necessário. 

    1.4 O Fornecedor oferecerá anualmente educação sobre segurança e privacidade a seus funcionários e exigirá que todos os funcionários certifiquem a cada ano que cumprirão as políticas éticas de conduta comercial, confidencialidade e segurança do Fornecedor, conforme definido no código de conduta do Fornecedor ou em documentos similares.  O Fornecedor oferecerá treinamento adicional sobre política e processo para pessoas com acesso administrativo a qualquer componente dos Serviços, Distribuíveis ou Materiais Kyndryl, com tal treinamento específico para a sua função e suporte aos Serviços, Distribuíveis e Materiais Kyndryl e conforme necessário para manter a conformidade e certificações obrigatórias.

    1.5 O Fornecedor projetará medidas de segurança e privacidade para proteger e manter a disponibilidade de Materiais Kyndryl, inclusive através de sua implementação, manutenção e conformidade com políticas e procedimentos que requerem segurança e privacidade por design, engenharia e operações seguras, para todos os Serviços e Distribuíveis e para toda a Manipulação da Tecnologia Kyndryl.

    2. Incidentes de Segurança

    2.1 O Fornecedor manterá e seguirá as políticas documentadas de resposta a incidentes, consistentes com as Melhores práticas do mercado para manipulação de incidente de segurança de computador.

    2.2 O Fornecedor investigará o acesso não autorizado ou o uso não autorizado de Materiais Kyndryl e definirá e executará um plano de resposta apropriado.

    2.3 O Fornecedor prontamente (e em hipótese alguma, o fará depois de 48 horas) notificará a Kyndryl assim que tomar ciência de qualquer Violação de Segurança.  O Fornecedor fornecerá tal notificação para cyber.incidents@kyndryl.com. O Fornecedor apresentará à Kyndryl todas as informações solicitadas cabíveis sobre tal violação e sobre o status de quaisquer atividades de correção e restauração por ele executadas.  Como exemplo, tais informações cabíveis podem incluir, por exemplo, logs que demonstrem acesso privilegiado, administrativo ou de outra natureza aos Dispositivos, sistemas ou aplicativos, imagens judiciais de Dispositivos, sistemas ou aplicativos e outros itens semelhantes, considerados relevantes para as atividades de correção e restauração executadas pelo Fornecedor.

    2.4 O Fornecedor oferecerá à Kyndryl assistência razoável para satisfazer quaisquer obrigações legais (incluindo obrigações para notificar reguladores ou Titular de Dados) da Kyndryl, afiliadas e Clientes Kyndryl (e seus clientes e afiliados) em relação a uma Violação de segurança.

    2.5 O Fornecedor não informará nem notificará nenhum terceiro que uma Violação de segurança se relaciona direta ou indiretamente à Kyndryl ou aos Materiais Kyndryl, a menos que a Kyndryl aprove isso por escrito ou se exigido por lei. O Fornecedor notificará a Kyndryl por escrito antes de distribuir qualquer notificação legalmente obrigatória a qualquer terceiro, caso a notificação revele direta ou indiretamente a identidade da Kyndryl. 

    2.6 No caso de uma Violação de segurança decorrente da violação do Fornecedor de qualquer obrigação sob estes Termos:

    (a) O Fornecedor será responsável por quaisquer custos incorridos, bem como pelas despesas efetivas incorridas pela Kyndryl, ao fornecer notificação da Violação de segurança aos reguladores aplicáveis, outras agências de autorregulação do setor governamentais e relevantes, à mídia (se obrigatório pela lei aplicável), Titulares de Dados, Clientes e outros.

    (b) Se a Kyndryl solicitar, o Fornecedor estabelecerá e manterá, às próprias custas do Fornecedor, uma central de atendimento para responder a perguntas dos Titular de Dados sobre a Violação de segurança e as suas consequências, por um ano após a data na qual esses Titular de Dados foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.  A Kyndryl e o Fornecedor trabalharão juntos para criar os scripts e outros materiais a serem usados pela equipe da central de atendimento ao responder a consultas.  Como alternativa, mediante aviso por escrito ao Fornecedor, a Kyndryl pode estabelecer e manter a sua própria central de atendimento, em vez de fazer com que o Fornecedor estabeleça uma central de atendimento e o Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl ao estabelecer e manter essa central de atendimento e

    (c) O Fornecedor reembolsará à Kyndryl as despesas efetivas incorridas pela Kyndryl no fornecimento de serviços de monitoramento e restauração de crédito por um ano após a data em que os indivíduos afetados pela violação que escolheram se registrar para esses serviços foram notificados da Violação de segurança ou conforme obrigatório por qualquer lei de proteção de dados aplicável, o que oferecer maior proteção.

    3. Segurança física e controle de entrada (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl).

    3.1 O Fornecedor manterá controles físicos adequados de entrada, como barreiras, pontos de entrada controlados por cartão, câmeras de vigilância e mesas de recepção assistidas, para proteger contra a entrada não autorizada nas Instalações.  

    3.2 O Fornecedor requererá aprovação autorizada para acesso às Instalações e áreas controladas dentro das Instalações, incluindo qualquer acesso temporário e limitará o acesso por cargo e necessidade comercial.  Se o Fornecedor conceder acesso temporário, um funcionário autorizado do Cliente acompanhará qualquer visitante enquanto estiver na Instalação e em qualquer área controlada.

    3.3 O Fornecedor implementará controles de acesso físico, incluindo controles de acesso de múltiplos fatores que são consistentes com as Melhores práticas do mercado, para restringir adequadamente a entrada em áreas controladas dentro das Instalações, registrará todas as tentativas de entrada e manterá esses registros por pelo menos 1 ano. 

    3.4 O Fornecedor revogará o acesso às Instalações e áreas controladas dentro das Instalações quando houver (a) desligamento de um funcionário autorizado pelo Fornecedor ou (b) o funcionário autorizado do Fornecedor não ter mais necessidade comercial válida para o acesso.  O Fornecedor seguirá os procedimentos formais de desligamento documentados que incluem a remoção imediata das listas de controle de acesso e a devolução de crachás de acesso físico.

    3.5 O Fornecedor tomará precauções para proteger toda a infraestrutura física usada para suportar os Serviços e Distribuíveis e a Manipulação da Tecnologia Kyndryl com relação a ameaças ambientais, ambas, as que ocorrem naturalmente e as provocadas pelo homem, como temperatura ambiente excessiva, incêndio, inundação, umidade, roubo e vandalismo.

    4. Controle de Acesso, Intervenção, Transferência e Desligamento

    4.1 O Fornecedor manterá documentada a arquitetura de segurança das redes que gerenciar ao operar Serviços, fornecer Distribuíveis e Manipular Tecnologia Kyndryl.  O Fornecedor revisará separadamente essa arquitetura de rede e empregará medidas para evitar conexões de rede não autorizadas a sistemas, aplicativos e dispositivos de rede, para conformidade com os padrões detalhados de segmentação, isolamento e defesa seguros.  O Fornecedor não pode usar a tecnologia wireless em sua hospedagem e em operações de quaisquer Serviços hospedados. Caso contrário, o Fornecedor poderá usar a tecnologia de rede wireless em sua entrega de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl, mas o Fornecedor criptografará e exigirá a autenticação segura para essas redes wireless.

    4.2 O Fornecedor manterá medidas projetadas para separar logicamente os Materiais Kyndryl e evitar que eles sejam expostos ou acessados por pessoas não autorizadas.  Além disso, o Fornecedor manterá o isolamento apropriado de seus ambientes de produção, não produção e outros e, se os Materiais Kyndryl já estiverem presentes ou forem transferidos para um ambiente de não produção (por exemplo, para reproduzir um erro), então, o Fornecedor assegurará que as proteções de segurança e privacidade no ambiente de não produção sejam iguais àquelas no ambiente de produção.

    4.3 O Fornecedor criptografará os Materiais Kyndryl em trânsito e em repouso (a menos que o Fornecedor demonstre para a satisfação razoável da Kyndryl que a criptografia de Materiais Kyndryl em repouso é tecnicamente inviável).  O Fornecedor também criptografará todas as mídias físicas, se houver, tais como a mídia que contém arquivos de backup.  O Fornecedor manterá procedimentos documentados para geração, emissão, distribuição, armazenamento, rotação, revogação, recuperação, backup, destruição, acesso e uso de chave de segurança associados com a criptografia de dados.  O Fornecedor assegurará que os métodos criptográficos específicos usados para essa criptografia estejam alinhados com as Melhores práticas do mercado (como NIST SP 800-131a).

    4.4 Se o Fornecedor requerer acesso aos Materiais Kyndryl, o Fornecedor restringirá e limitará esse acesso ao nível mínimo necessário para fornecer e suportar os Serviços e Distribuíveis.  O Fornecedor exigirá que esse acesso, incluindo acesso administrativo a qualquer componente subjacente (ou seja, acesso privilegiado), seja individual, baseado em função e sujeito a aprovação e validação regular por funcionários autorizados do Fornecedor, seguindo os princípios de segregação de função.  O Fornecedor manterá medidas para identificar e remover contas redundantes e inativas. O Fornecedor também revogará contas com acesso privilegiado dentro de 24 (vinte e quatro) horas após o desligamento do proprietário da conta ou a solicitação pela Kyndryl ou por qualquer funcionário autorizado do Fornecedor, como o gerente do proprietário da conta. 

    4.5 Consistente com as Melhores práticas do mercado, o Fornecedor manterá medidas técnicas que reforçam o tempo limite de sessões inativas, o bloqueio de contas após múltiplas tentativas sequenciais de login com falha, a senha forte ou a autenticação de passphrase e as medidas que exijam transferência e armazenamento seguros de tais senhas e passphrases.  Além disso, o Fornecedor utilizará a autenticação de diversos fatores para todos os acessos privilegiados não baseados em console para quaisquer Materiais Kyndryl.

    4.6 O Fornecedor monitorará o uso do acesso privilegiado e manterá as informações de segurança e as medidas de gerenciamento de eventos projetadas para: (a) identificar o acesso e a atividade não autorizados, (b) facilitar uma resposta oportuna e apropriada a esse acesso e essa atividade e (c) permitir auditorias pelo Fornecedor, pela Kyndryl (de acordo com os seus direitos de verificação nestes Termos e direitos de auditoria no Documento de Transação ou na base associada ou em outro contrato relacionado entre as partes) e por outros de conformidade com a política do Fornecedor documentada. 

    4.7 O Fornecedor manterá registros nos quais ele registra, em conformidade com as Melhores práticas do mercado, todo o acesso ou a atividade administrativa, do usuário ou outro acesso ou atividade para ou com relação aos sistemas utilizados no fornecimento de Serviços ou Distribuíveis e na Manipulação de Tecnologia Kyndryl (e fornecerá esses logs à Kyndryl mediante solicitação).  O Fornecedor manterá medidas projetadas para proteção contra o acesso não autorizado, à modificação e à destruição acidental ou deliberada desses registros.

    4.8 O Fornecedor manterá proteções de computação para os sistemas que ele possui ou gerencia, incluindo sistemas de usuário final e que ele usa no fornecimento de Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl, com essas proteções, incluindo: firewalls de terminal, criptografia integral de disco, tecnologias de detecção e resposta de terminal baseada em assinatura e não assinatura para lidar com malware e ameaças persistentes avançadas, bloqueios de tela com base no tempo e soluções de gerenciamento de terminal que reforçam os requisitos de configuração de segurança e de correção temporária.  Além disso, o Fornecedor implementará controles técnicos e operacionais que assegurem que apenas sistemas de usuário final conhecidos e confiáveis tenham permissão para usar as redes do Fornecedor.

    4.9 Consistente com as Melhores práticas do mercado, o Fornecedor manterá proteções para ambientes de data center em que o Material Kyndryl esteja presente ou seja processado, com essas proteções, incluindo detecção e prevenção de intrusão e contramedidas e mitigação de ataque de negação de serviço. 

    5. Integridade de Serviço e Sistemas e Controle de Disponibilidade 

    5.1 O Fornecedor: (a) executará avaliações de risco de segurança e privacidade pelo menos anualmente, (b) executará teste de segurança e avaliará vulnerabilidades, incluindo varredura automatizada de segurança de sistema e aplicativo e hacking ético manual, antes da liberação de produção e anualmente depois disso, no que diz respeito a Serviços e Distribuíveis e anualmente com relação à sua Manipulação de Tecnologia Kyndryl, (c) mobilizará um terceiro independente e qualificado para executar teste de penetração consistente com as Melhores práticas do mercado, pelo menos anualmente, com esse teste incluindo teste automatizado e manual, (d) executará gerenciamento automatizado e verificação de rotina de conformidade com os requisitos de configuração de segurança para cada componente dos Serviços e Distribuíveis e com relação à sua Manipulação de Tecnologia Kyndryl e (e) corrigirá as vulnerabilidades identificadas ou a não conformidade com os seus requisitos de configuração de segurança com base no risco, na capacidade de exploração e no impacto associados.  O Fornecedor tomará medidas razoáveis para evitar a interrupção dos Serviços ao executar os seus testes, as avaliações, as varreduras e a execução de atividades de correção.  Mediante solicitação da Kyndryl, o Fornecedor oferecerá à Kyndryl um resumo por escrito das atividades de teste de penetração mais recentes do Fornecedor, cujo relatório incluirá no mínimo o nome das ofertas cobertas pelo teste, o número de sistemas ou aplicativos no escopo para o teste, as datas do teste, a metodologia usada no teste e um resumo detalhado das descobertas.

    5.2 O Fornecedor manterá políticas e procedimentos projetados para gerenciar riscos associados à aplicação de mudanças nos Serviços ou Distribuíveis ou na Manipulação de Tecnologia Kyndryl.  Antes de implementar tal mudança, incluindo em sistemas, redes e componentes subjacentes afetados, o Fornecedor documentará em uma solicitação de mudança registrada: (a) uma descrição e o motivo da mudança, (b) detalhes e programação da implementação, (c) uma declaração de risco abordando o impacto nos Serviços e Distribuíveis, nos clientes dos Serviços ou nos Materiais Kyndryl, (d) resultado esperado, (e) plano de retrocesso e (f) aprovação por funcionários autorizados do Fornecedor.

    5.3 O Fornecedor manterá um inventário de todos os ativos de TI que ele usa na operação dos Serviços, no fornecimento de Distribuíveis e na Manipulação de Tecnologia Kyndryl.  O Fornecedor monitorará e gerenciará continuamente o funcionamento (incluindo a capacidade) e a disponibilidade desses ativos de TI, Serviços, Distribuíveis e Tecnologia Kyndryl, incluindo os componentes subjacentes de tais ativos, Serviços, Distribuíveis e Tecnologia Kyndryl. 

    5.4 O Fornecedor construirá todos os sistemas que ele usa no desenvolvimento ou na operação de Serviços e Distribuíveis e em sua Manipulação de Tecnologia Kyndryl por meio de imagens de segurança do sistema predefinidas ou linhas de base de segurança, que satisfaçam as Melhores práticas do mercado, como as benchmarks do Center for Internet Security (CIS).

    5.5 Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl sob o Documento de Transação ou no contrato base associado entre as partes com relação à continuidade dos negócios, o Fornecedor avaliará separadamente cada Serviço e Entrega e cada sistema de TI usado na Manipulação de Tecnologia Kyndryl para os requisitos de continuidade de negócios e de TI e de recuperação de desastre, de acordo com as diretrizes documentadas de gestão de risco.  O Fornecedor assegurará que cada um desses Serviços, Distribuíveis e TI tenha, até o limite garantido por essa avaliação de risco, negócios validados anualmente, separadamente definidos, documentados, mantidos e planos de continuidade de TI e de recuperação de desastre, consistentes com as Melhores práticas do mercado.  O Fornecedor assegurará que esses planos sejam projetados para fornecer os tempos de recuperação específicos que estão definidos na Cláusula 5.6 abaixo.

    5.6 Os objetivos específicos do ponto de recuperação ("RPO") e os objetivos de tempo de recuperação ("RTO") em relação a qualquer Serviço hospedado são: RPO de 24 horas e RTO de 24 horas. No entanto, o Fornecedor cumprirá qualquer RPO ou RTO com duração menor que a Kyndryl tiver confirmado com um Cliente, imediatamente após a Kyndryl notificar o Fornecedor por escrito desse RPO ou RTO de duração menor (um e-mail constitui uma comunicação por escrito).  No que diz respeito a todos os outros Serviços oferecidos pelo Fornecedor à Kyndryl, o Fornecedor assegurará que os seus planos de continuidade de negócios e de recuperação de desastre sejam projetados para fornecer RPO e RTO que permitam ao Fornecedor permanecer em conformidade com todas as suas obrigações para com a Kyndryl sob o Documento de Transação e o contrato base associado entre as partes e estes Termos, incluindo as suas obrigações de fornecer teste, suporte e manutenção em tempo hábil.

    5.7 O Fornecedor manterá medidas projetadas para avaliar, testar e aplicar correções temporárias de segurança aos Serviços e Distribuíveis e sistemas, redes, aplicativos e componentes subjacentes associados dentro do escopo desses Serviços e Distribuíveis, bem como os sistemas, as redes, os aplicativos e os componentes subjacentes usados para Manipular a Tecnologia Kyndryl.  Mediante a determinação de que uma correção temporária consultiva de segurança é aplicável e apropriada, o Fornecedor implementará a correção temporária de acordo com as diretrizes documentadas de avaliação de severidade e risco.  A implementação de correções temporárias de segurança consultivas do Fornecedor estará sujeita à política de gerenciamento de mudanças do Fornecedor.

    5.8 Se a Kyndryl tiver uma base razoável para acreditar que o hardware ou o software que o Fornecedor oferece à Kyndryl pode conter elementos intrusivos, como spyware, malware ou código malicioso, então, o Fornecedor cooperará oportunamente com a Kyndryl na investigação e correção dos interesses da Kyndryl.  

    6. Fornecimento de Serviço

    6.1 O Fornecedor suportará métodos comuns de autenticação federada do setor para qualquer conta do usuário ou do Cliente Kyndryl, com o Fornecedor seguindo as Melhores práticas do mercado na autenticação dessas contas do usuário ou do Cliente Kyndryl (como pela Conexão única de múltiplos fatores gerenciada centralizadamente pela Kyndryl, usando o OpenID Connect ou a Security Assertion Markup Language).

    7. Subcontratados.  Sem limitar as obrigações do Fornecedor ou os direitos da Kyndryl ao abrigo do Documento de Transação ou do contrato base associado entre as partes com relação à retenção de subcontratados, o Fornecedor assegurará que qualquer subcontratado que realize o trabalho para o Fornecedor tenha instituído controles de governança para cumprir com os requisitos e as obrigações aplicáveis ao Fornecedor sob estes Termos.  

    8. Mídia Física. O Fornecedor limpará com segurança a mídia física destinada para reutilização antes dessa reutilização e destruirá a mídia física não destinada para reutilização de acordo com as Melhores práticas do mercado para sanitização da mídia.

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

  7. Se sim, as Seções VI (Acesso ao Sistema Corporativo), VII (Aumento da Equipe) e X (Cooperação, Verificação e Correção) se aplicam.

    Nota: as Seções II (Medidas Técnicas e Organizacionais, Segurança de Dados), III (Privacidade), IV (Medidas Técnicas e Organizacionais, Segurança de Código) e V (Desenvolvimento Seguro) também podem ser aplicáveis, caso o Fornecedor de Materiais da Kyndryl tenha permissão de acesso interno aos Sistemas Corporativos.  

    Artigo VI, Acesso do Sistema Corporativo

    Este Artigo se aplica caso os funcionários do Fornecedor tenham acesso a algum Sistema Corporativo.  

    1. Termos Gerais

    1.1 A Kyndryl determinará se os funcionários do Fornecedor terão autorização para acessar Sistemas Corporativos.  Caso essa autorização seja concedida, o Fornecedor cumprirá e fará com que os funcionários que têm esse acesso também cumpram os requisitos deste Artigo.  

    1.2 A Kyndryl identificará os meios pelos quais os funcionários do Fornecedor podem acessar Sistemas Corporativos, informando se esses funcionários acessarão os Sistemas Corporativos por meio de Dispositivos fornecidos pela Kyndryl ou pelo Fornecedor.  

    1.3 Para o fornecimento de Serviços, os funcionários do Fornecedor podem acessar apenas os Sistemas Corporativos e usar somente os Dispositivos autorizados pela Kyndryl.  Os funcionários do Fornecedor não podem usar tais Dispositivos autorizados pela Kyndryl para fornecer os Serviços para qualquer outra pessoa ou entidade ou para acessar itens de terceiros, como sistemas de TI, redes, aplicativos, websites, ferramentas de e-mail, ferramentas de colaboração ou produtos semelhantes para ou em conexão com os Serviços.

    1.4 Esclarecendo, os funcionários do Fornecedor não podem usar os Dispositivos autorizados pela Kyndryl para acessar Sistemas Corporativos por motivos pessoais (por exemplo, os funcionários do Fornecedor não podem armazenar em tais Dispositivos arquivos pessoais, como músicas, vídeos, fotos ou itens semelhantes e não podem usar a Internet por motivos pessoais a partir desses Dispositivos).

    1.5 Os funcionários do Fornecedor não copiarão Materiais Kyndryl que podem ser acessados por meio de um Sistema Corporativo sem aprovação prévia e por escrito da Kyndryl (e nunca copiarão quaisquer Materiais Kyndryl para um dispositivo de armazenamento móvel, como um USB, um disco rígido externo ou itens semelhantes).

    1.6 Mediante solicitação, o Fornecedor confirmará, pelo nome do funcionário, os Sistemas Corporativos específicos que os seus funcionários estão autorizados a acessar, e que acessaram, durante qualquer período de tempo que a Kyndryl identificar.

    1.7 O Fornecedor notificará a Kyndryl dentro de 24 (vinte e quatro) horas após qualquer funcionário do Fornecedor com acesso a qualquer Sistema corporativo: (a) deixar de ser empregado pelo Fornecedor ou (b) deixar de trabalhar em atividades que requeiram esse acesso.  O Fornecedor trabalhará com a Kyndryl para assegurar que o acesso para esses funcionários antigos ou atuais seja imediatamente revogado.

    1.8 O Fornecedor relatará imediatamente quaisquer incidentes de segurança reais ou suspeitos (como perda de um Dispositivo da Kyndryl ou do Fornecedor ou acesso não autorizado a um Dispositivo ou dados, materiais ou outras informações de qualquer tipo) à Kyndryl e cooperará com a Kyndryl na investigação de tais incidentes.

    1.9 O Fornecedor não permitirá que algum agente, subcontratado ou funcionário de um subcontratante acesse qualquer Sistema Corporativo sem o consentimento prévio e escrito da Kyndryl; caso a Kyndryl forneça essa autorização, o Fornecedor firmará um contrato, comprometendo-se a fazer com que esses indivíduos e seus empregadores cumpram os requisitos deste Artigo, como se fossem seus próprios funcionários e se responsabilizará, perante a Kyndryl, por todas as ações e omissões por eles executadas quanto ao acesso a tais Sistemas Corporativos. 

    2. Software do Dispositivo 

    2.1 O Fornecedor orientará os seus funcionários a instalarem oportunamente todos os softwares de Dispositivo que a Kyndryl requer para facilitar o acesso aos Sistemas Corporativos de maneira segura.  Nem o Fornecedor e nem os seus funcionários interferirão com as operações desse software ou os recursos de segurança que o software ativa.

    2.2 O Fornecedor e os seus funcionários aderirão às Regras de configuração do dispositivo que a Kyndryl definir e, de outra forma, trabalharão com a Kyndryl para ajudar a assegurar que o software funcione conforme a intenção da Kyndryl.  Por exemplo, o Fornecedor não substituirá o bloqueio de website do software ou os recursos de correção temporária automatizada.

    2.3 Os funcionários do Fornecedor não podem compartilhar os Dispositivos que eles usam para acessar os Sistemas Corporativos ou os seus Nomes do usuário, senhas do Dispositivo ou similares, com qualquer outra pessoa.

    2.4 Se a Kyndryl autorizar os funcionários do Fornecedor a acessarem os Sistemas Corporativos usando Dispositivos do fornecedor, então o Fornecedor instalará e executará um sistema operacional nesses Dispositivos que a Kyndryl aprovar e fará uma atualização para uma nova versão desse sistema operacional ou de um novo sistema operacional dentro de um tempo razoável depois que a Kyndryl assim instruir.  

    3. Supervisão e cooperação

    3.1 A Kyndryl tem os direitos não qualificados de monitorar e corrigir a potencial intrusão e outras ameaças à segurança cibernética de qualquer maneira, de qualquer local e usando quaisquer meios que a Kyndryl julgar necessários ou apropriados, sem aviso prévio ao Fornecedor ou a qualquer funcionário do Fornecedor ou outros.  Como exemplos desses direitos, a Kyndryl pode, a qualquer momento, (a) executar um teste de segurança em qualquer Dispositivo, (b) monitorar, recuperar por meios técnicos ou outros e revisar as comunicações (incluindo e-mails de qualquer conta de e-mail), registros, arquivos e outros itens armazenados em qualquer Dispositivo ou transmitidos por qualquer Sistema corporativo e (c) adquirir uma imagem forense integral de qualquer Dispositivo.  Se a Kyndryl precisar da cooperação do Fornecedor para exercer os seus direitos, o Fornecedor satisfará completa e oportunamente às solicitações da Kyndryl para essa cooperação (incluindo, por exemplo, solicitações para configurar com segurança qualquer Dispositivo, instalar monitoramento ou outro software em qualquer Dispositivo, compartilhar detalhes da conexão de nível do sistema, envolver em medidas de resposta a incidentes em qualquer Dispositivo e fornecer acesso físico a qualquer Dispositivo para a Kyndryl obter uma imagem forense completa ou de outra maneira e solicitações semelhantes e relacionadas).  

    3.2 A Kyndryl poderá revogar o acesso aos Sistemas Corporativos a qualquer momento, para qualquer funcionário do Fornecedor ou para todos os funcionários do Fornecedor, sem aviso prévio ao Fornecedor ou a qualquer funcionário do Fornecedor ou a outros, se a Kyndryl julgar isso necessário para protegê-la.

    3.3 Os direitos da Kyndryl não são bloqueados, diminuídos ou restringidos de qualquer forma por qualquer disposição do Documento de Transação, pelo contrato base associado entre as partes ou por qualquer outro acordo entre as partes, incluindo qualquer disposição que possa requerer dados, materiais ou outras informações de qualquer tipo para residir apenas em um ou local ou em locais selecionados ou que possa requerer que apenas pessoas de um local ou de locais selecionados acessem tais dados, materiais ou outras informações.

    4. Dispositivos Kyndryl

    4.1 A Kyndryl manterá o título de todos os Dispositivos Kyndryl, com o Fornecedor assumindo o risco de perda dos Dispositivos, inclusive devido a roubo, vandalismo ou negligência.  O Fornecedor não fará ou permitirá nenhuma alteração nos Dispositivos Kyndryl sem o consentimento escrito prévio da Kyndryl, com uma alteração sendo qualquer mudança em um Dispositivo, incluindo qualquer mudança no software do Dispositivo, em aplicativos, no design de segurança, na configuração de segurança ou no design físico, mecânico ou elétrico.

    4.2 O Fornecedor retornará todos os Dispositivos Kyndryl dentro de cinco dias úteis após o término da necessidade de fornecimento de Serviços desses Dispositivos e, se a Kyndryl solicitar, destruirá todos os dados, materiais e outras informações de qualquer tipo nesses Dispositivos ao mesmo tempo, sem reter nenhuma cópia, seguindo as Melhores práticas do mercado para apagar permanentemente todos esses dados, materiais e outras informações.  O Fornecedor empacotará e retornará os Dispositivos Kyndryl na mesma condição que foram entregues ao Fornecedor, exceto desgaste razoável, às próprias custas, ao local que a Kyndryl identificar.  A falha do Fornecedor em cumprir qualquer obrigação desta Cláusula 4.2 constitui uma violação material do Documento de Transação e do contrato base associado e qualquer contrato relacionado entre as partes, com o entendimento de que um contrato estará "relacionado" se o acesso a qualquer Sistema corporativo facilitar as tarefas do Fornecedor ou outras atividades sob esse contrato.

    4.3 A Kyndryl fornecerá suporte para os Dispositivos Kyndryl (incluindo inspeção e manutenção preventiva e reparatória do Dispositivo).  O Fornecedor informará imediatamente à Kyndryl sobre a necessidade de serviço reparatório. 

    4.4. Para programas de software que a Kyndryl possui ou tem o direito de licenciar, a Kyndryl concede ao Fornecedor um direito temporário para usar, armazenar e fazer cópias suficientes para suportar o seu uso autorizado de Dispositivos Kyndryl.  O Fornecedor não pode transferir programas para ninguém, fazer cópias de informações de licença de software, desmontar, descompilar, fazer engenharia reversa ou, de outra maneira, traduzir qualquer programa, a menos que expressamente permitido pela lei aplicável, sem a possibilidade de renúncia contratual.  

    5. Atualizações

    5.1 Não obstante qualquer coisa em contrário no Documento de Transação ou no contrato base associado entre as partes, mediante aviso por escrito ao Fornecedor e sem a necessidade de obter o consentimento do Fornecedor, a Kyndryl pode atualizar, complementar ou, de outra maneira, aditar este Artigo para abordar qualquer requisito sob a lei aplicável ou Obrigação do cliente, para refletir qualquer desenvolvimento em melhores práticas de segurança ou, de outra forma, conforme a Kyndryl julgar necessário para proteger os Sistemas Corporativos ou a Kyndryl. 

    Artigo VII, Aumento da equipe

    Este Artigo se aplica no local em que os funcionários do Fornecedor dedicarão todo o seu tempo de trabalho para fornecer os Serviços para a Kyndryl, executarão todos esses Serviços nas instalações da Kyndryl, nas instalações do Cliente ou a partir de suas casas e só fornecerão Serviços usando Dispositivos Kyndryl para acessar Sistemas Corporativos.

    1. Acesso a Sistemas Corporativos; Ambientes da Kyndryl

    1.1 O Fornecedor só pode executar Serviços acessando Sistemas Corporativos usando Dispositivos que a Kyndryl fornece. 

    1.2 O Fornecedor cumprirá os termos definidos no Artigo VI (Acesso aos Sistemas Corporativos), para todo o acesso aos Sistemas Corporativos.

    1.3 Os Dispositivos fornecidos pela Kyndryl são os únicos Dispositivos que o Fornecedor e os seus funcionários podem usar para fornecer os Serviços e podem ser usados apenas pelo Fornecedor e os seus funcionários para fornecer os Serviços.  Para maior clareza, em nenhum caso o Fornecedor ou os seus funcionários podem usar quaisquer outros dispositivos para fornecer os Serviços ou usar os Dispositivos Kyndryl para qualquer outro cliente do Fornecedor ou para qualquer outro propósito diferente de fornecer os Serviços à Kyndryl.

    1.4 Os funcionários do Fornecedor que usam os Dispositivos Kyndryl podem compartilhar os Materiais Kyndryl entre si e armazenar esses materiais nos Dispositivos Kyndryl, mas apenas na escala limitada em que esse compartilhamento e armazenamento forem necessários para executarem com sucesso os Serviços.

    1.5 Exceto em relação a esse armazenamento dentro dos Dispositivos Kyndryl, em caso algum o Fornecedor ou os seus funcionários poderão remover quaisquer Materiais Kyndryl dos repositórios, ambientes, ferramentas ou infraestrutura Kyndryl nos quais eles são mantidos pela Kyndryl.

    1.6 Para maior clareza, o Fornecedor e os seus funcionários não estão autorizados a transferir quaisquer Materiais Kyndryl para quaisquer repositórios, ambientes, ferramentas ou infraestrutura do Fornecedor ou quaisquer outros sistemas, plataformas, redes ou similares do Fornecedor, sem o consentimento prévio por escrito da Kyndryl.

    1.7 O Artigo VIII (Medidas Técnicas e organizacionais, Segurança geral) não se aplica aos Serviços do Fornecedor nos quais os funcionários do Fornecedor dedicarão todo o seu tempo de trabalho a fornecer os Serviços para a Kyndryl, executarão todos esses Serviços nas instalações da Kyndryl, nas instalações do Cliente ou a partir de suas casas e fornecerão apenas Serviços usando Dispositivos Kyndryl para acessar Sistemas Corporativos.  Caso contrário, o Artigo VIII se aplicará aos Serviços do Fornecedor.

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

  8. Se sim, as Seções II (Medidas Técnicas e Organizacionais, Segurança de Dados), VIII (Medidas Técnicas e Organizacionais, Segurança Geral), IX (Certificações e Relatórios de Serviços Hospedados) e X (Cooperação, Verificação e Correção) se aplicarão.  O Artigo III (Privacidade) também se aplicará caso o Fornecedor tenha acesso a Dados Pessoais da Kyndryl ao fornecer um Serviço de Hospedagem.

    Exemplos:

    • O Fornecedor oferece qualquer oferta "como um serviço" para a Kyndryl, tais como ofertas de software, plataforma ou infraestrutura "como um serviço". 

    Seção II, Medidas Técnicas e Organizacionais, Segurança de Dados

    Este Artigo se aplicará caso o Fornecedor Processe outros Dados da Kyndryl, além do BCI.  O Fornecedor deve cumprir os requisitos deste Artigo quanto ao fornecimento de todos os Distribuíveis e Serviços e, ao fazer isso, protegerá os Dados da Kyndryl com relação à perda, destruição, alteração, divulgação acidental ou não autorizada, ao acesso acidental ou não autorizado e às formas ilegais de Processamento.  Os requisitos deste Artigo se aplicam, sem limitações, a todos os aplicativos, plataformas e infraestruturas de TI por meio dos quais o Fornecedor opera ou gerencia o fornecimento de Distribuíveis e Serviços, incluindo todos os ambientes de desenvolvimento, teste, hospedagem, suporte, operações e de Centro de Dados.  

    1. Uso de Dados

    1.1 O Fornecedor não pode acrescentar ou incluir nos Dados da Kyndryl quaisquer outras informações ou dados, incluindo Dados Pessoais, sem o consentimento prévio e escrito da Kyndryl e o Fornecedor não pode usar os Dados da Kyndryl em qualquer formato, agregados ou não, para outros fins que não o fornecimento de Distribuíveis e Serviços (por exemplo, o Fornecedor não tem permissão para usar ou reutilizar os Dados da Kyndryl para avaliar a eficácia ou os meios de aprimorar as ofertas do Fornecedor, para fins de pesquisa e desenvolvimento, para a criação de novas ofertas ou para a geração de relatórios a respeito das ofertas do Fornecedor).  A menos que isso seja expressamente permitido no Documento de Transação, o Fornecedor é proibido de Vender os Dados da Kyndryl.

    1.2 O Fornecedor não integrará aos Distribuíveis ou aos Serviços nenhuma tecnologia de rastreio da web (tais tecnologias incluem HTML5, armazenamento local, tags ou tokens de terceiros e web beacons), a menos que isso seja expressamente permitido no Documento de Transação. 

    2. Solicitações e Confidencialidade de Terceiros

    2.1 O Fornecedor não divulgará Dados da Kyndryl para terceiros, a menos que a Kyndryl o autorize previamente e por escrito.  Caso alguma autoridade, incluindo agências regulatórias, reivindique acesso aos Dados da Kyndryl (por exemplo, se o governo dos Estados Unidos apresentar uma ordem de segurança nacional para o Fornecedor, exigindo acesso aos Dados da Kyndryl) ou caso a divulgação de quaisquer Dados da Kyndryl seja exigida por lei, o Fornecedor notificará a Kyndryl por escrito a respeito dessa demanda ou exigência e concederá à Kyndryl uma oportunidade cabível de contestar quaisquer ações de divulgação (quando a notificação for proibida por lei, o Fornecedor tomará as medidas que considerar cabíveis e corretas para contestar tal proibição e a divulgação de Dados da Kyndryl, utilizando, para isto, ações judiciais ou outros meios).

    2.2 O Fornecedor garante à Kyndryl: (a) que o acesso aos Dados da Kyndryl será concedido apenas aos funcionários que precisarem desse acesso para as ações de fornecimento de Distribuíveis e Serviços e, ainda assim, apenas na proporção considerada necessária para a execução de tais ações; e (b) que seus funcionários firmaram contratos de confidencialidade, que os obrigam a usar e divulgar os Dados da Kyndryl apenas nas condições permitidas por estes Termos.  

    3. Devolução ou Exclusão de Dados da Kyndryl

    3.1 O Fornecedor, de acordo com a opção da Kyndryl, excluirá ou devolverá os Dados da Kyndryl para a Kyndryl após a rescisão ou a expiração do Documento de Transação, ou antes disso, mediante solicitação da Kyndryl.  Caso a Kyndryl solicite uma exclusão, o Fornecedor, de acordo com as Melhores Práticas do Mercado, tornará os dados ilegíveis, impossibilitando sua remontagem ou reconstrução e confirmará a exclusão junto à Kyndryl.  Se a Kyndryl solicitar a devolução de seus Dados, o Fornecedor fará a devolução, seguindo a programação e as instruções por escrito apresentadas pela Kyndryl. 

    Seção III, Privacidade

    Este Artigo se aplicará se o Fornecedor Processar Dados Pessoais da Kyndryl.  

    1. Processamento

    1.1 A Kyndryl nomeia o Fornecedor como um Processador, permitindo o processamento de Dados Pessoais da Kyndryl com a finalidade única de fornecer Distribuíveis e Serviços de acordo com as instruções da Kyndryl, incluindo aquelas contidas nestes Termos, no Documento de Transação e no contrato base associado firmado entre as partes.  Caso o Fornecedor não siga uma instrução, a Kyndryl poderá rescindir a parte afetada dos Serviços por meio de um aviso por escrito.  Caso julgue que uma instrução viola uma lei de proteção de dados, o Fornecedor informará a Kyndryl imediatamente, dentro do período exigido por lei. Se o Fornecedor não cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar um uso não autorizado de Informações Pessoais ou, em geral, em qualquer caso de uso não autorizado de Informações Pessoais, a Kyndryl terá o direito de interromper o processamento e corrigir a falha e remediar os efeitos nocivos do uso não autorizado com desempenho e remediação de acordo com orientação e programação da Kyndryl.  

    1.2 O Fornecedor cumprirá todas as leis de proteção de dados aplicáveis aos Distribuíveis e Serviços.

    1.3 Um Apêndice do Documento de Transação, ou o próprio Documento de Transação, configura o seguinte em relação aos Dados da Kyndryl:

    (a) categorias de Titulares de Dados; 

    (b) tipos de Dados Pessoais da Kyndryl; 

    (c) ações de dados e atividades de Processamento;

    (d) duração e frequência de Processamento; e 

    (e) uma lista de Subprocessadores.

    2. Medidas Técnicas e Organizacionais

    2.1 O Fornecedor implementará e manterá as medidas técnicas e organizacionais estabelecidas no Artigo II (Medidas Técnicas e Organizacionais, Segurança de Dados) e no Artigo VIII (Medidas Técnicas e Organizacionais, Segurança Geral), garantindo um nível de segurança adequado para o risco representado por seus Distribuíveis e Serviços.  O Fornecedor autoriza e compreende as restrições contidas no Artigo II, neste Artigo III e no Artigo VIII e as cumprirá.   

    3. Direitos e Solicitações do Titular dos Dados

    3.1 O Fornecedor informará imediatamente a Kyndryl (em tempo hábil para que a Kyndryl ou Outros Controladores exerçam suas obrigações legais) quanto a qualquer solicitação feita por um Titular de Dados para o exercício de seus direitos (por exemplo, retificação, exclusão ou bloqueio de dados) em relação aos Dados Pessoais da Kyndryl.  O Fornecedor também poderá direcionar prontamente um Titular de Dados fazendo uma solicitação à Kyndryl.  O Fornecedor não responderá nenhuma solicitação dos Titulares dos Dados a menos que seja legalmente requerido ou instruído pela Kyndryl por escrito a fazê-lo.  

    3.2 Caso a Kyndryl seja obrigada a fornecer informações a respeito de seus Dados Pessoais para Outros Controladores ou para terceiros (por exemplo, Titular de Dados ou agências regulatórias), o Fornecedor deverá auxiliar a Kyndryl a fazê-lo, fornecendo informações e executando outras ações cabíveis solicitadas pela Kyndryl, de maneira que a Kyndryl disponha do tempo necessário para responder às demandas apresentadas por esses Outros Controladores ou por terceiros.

    4. Subprocessadores

    4.1 O Fornecedor apresentará um aviso prévio e por escrito para a Kyndryl antes de incluir um novo Subprocessador ou de estender o escopo de Processamento usando um Subprocessador existente e, nessa notificação, identificará o nome do Subprocessador, descrevendo o escopo de Processamento novo ou estendido.  A qualquer momento e sempre que houver motivos plausíveis, a Kyndryl poderá se opor ao uso de um novo Subprocessador ou escopo expandido e, nesse caso, as partes trabalharão juntas e em boa-fé, para chegar a uma solução para tal objeção.  Embora a Kyndryl tenha o direito irrestrito de apresentar essa contestação a qualquer momento, caso não o faça em até 30 (trinta) dias após o envio do aviso prévio pelo Fornecedor, o Fornecedor poderá designar o novo Subprocessador ou ampliar o escopo de Processamento de um Subprocessador existente.  

    4.2 Antes que um Subprocessador Processe quaisquer Dados da Kyndryl, o Fornecedor fará valer as obrigações de proteção de dados, segurança e certificação estabelecidas nestes Termos para cada Subprocessador aprovado.  O Fornecedor é inteiramente responsável perante a Kyndryl quanto à execução de tais obrigações por parte do Subprocessador. 

    5. Processamento de Dados Transfronteiriços

    Conforme estabelecido abaixo:

    País Adequado significa um país que fornece um nível adequado de proteção de dados com relação à transferência relevante, de acordo com as leis de proteção de dados aplicáveis ou em respeito à determinação de uma agência regulatória.

    Importador de Dados é um Processador ou Subprocessador não estabelecido em um País Adequado.

    Cláusulas Contratuais Padrão da UE ("CECs da UE") significa as Cláusulas Contratuais Padrão da UE (Decisão da Comissão 2021/914) com cláusulas opcionais aplicadas, exceto a opção 1 da Cláusula 9(a) e a opção 2 da Cláusula 17, conforme publicado oficialmente em https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en

    Cláusulas Contratuais Padrão Sérvias ("SCCs sérvias") refere-se às Cláusulas Contratuais Padrão da Sérvia, conforme adotadas pela "Comissão Sérvia para Informações de Importância Pública e Proteção de Dados Pessoais", publicadas em https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.

    Cláusulas Contratuais Padrão ("CCPs") são as cláusulas contratuais exigidas pelas leis de proteção de dados aplicáveis para a transferência de Dados Pessoais para Processadores não estabelecidos em Países Adequados.

    O Anexo de Transferência Internacional de Dados do Reino Unido às Cláusulas Contratuais Padrão da Comissão da UE ("Anexo do RU") significa o Anexo de Transferência Internacional de Dados do RU às Cláusulas Contratuais Padrão da Comissão da UE, conforme publicadas oficialmente em https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/.

    Adendo Suíço às Cláusulas Contratuais Padrão da Comissão da UE ("Adendo Suíço") significa as cláusulas contratuais para as Cláusulas Contratuais Padrão da Comissão da UE que se aplicam de acordo com a decisão da Swiss Data Protection Authority ("FDPIC") e em conformidade com a Swiss Federal Act on Data Protection ("FADP").

    5.1 O Fornecedor não transferirá ou divulgará (também por meio de acesso remoto) quaisquer Dados Pessoais da Kyndryl para além de fronteiras sem o consentimento prévio e por escrito da Kyndryl.  Caso a Kyndryl forneça esse consentimento, as partes cooperarão para assegurar a conformidade com as leis de proteção de dados aplicáveis.  Se essas leis exigirem as SCCs, o Fornecedor imediatamente as inserirá, de acordo com a solicitação da Kyndryl.

    5.2 Sobre as SCCs da UE:

    (a) Se o Fornecedor não estiver estabelecido em um País Adequado: por meio deste e por sua própria conta, o Fornecedor concordará com as SCCs da UE estabelecidas pela Kyndryl, tornando-se um Importador de Dados e firmará um contrato por escrito com cada Subprocessador aprovado, conforme estabelecido na Cláusula 9 das SCCs da UE e fornecerá à Kyndryl cópias desses contratos, mediante solicitação. 

    (i) O Módulo 1 das SCCs da UE não se aplica, a menos que acordado de outra forma pelas partes por escrito.

    (ii) O Módulo 2 das SCCs da UE se aplicará quando a Kyndryl for um Controlador e o Módulo 3 se aplicará quando a Kyndryl for um Processador. De acordo com a Cláusula 13 das SCCs da UE, quando o Módulo 2 ou 3 se aplicar, as partes concordarão que (1) as SCCs da UE serão regidas pela lei do estado-membro da UE onde a autoridade de controle competente está localizada e (2) quaisquer litígios oriundos das SCCs da UE ocorrerão nos tribunais do estado-membro da UE onde a autoridade de controle competente está localizada. Se tal lei em (1) não permitir os direitos de beneficiários terceiros, as SCCs da UE serão regidas pela lei dos Países Baixos e quaisquer litígios oriundos das SCCs da UE ao abrigo de (2) serão resolvidos pelo tribunal de Amsterdã nos Países Baixos.

    (b) Se ambas as partes, Fornecedor e Kyndryl, estiverem estabelecidas em um País Adequado, o Fornecedor atuará como o Exportador de Dados e se envolverá em SCCs da UE com cada Subprocessador aprovado em um País Não Adequado. O Fornecedor realizará a Avaliação de Impacto de Transferência (AIT) necessária e notificará a Kyndryl sem demora indevida sobre (1) qualquer necessidade de aplicar medidas complementares e (2) as medidas aplicadas. Mediante solicitação, o Fornecedor fornecerá os resultados da AIT e qualquer informação necessária para entender e avaliar os resultados para a Kyndryl. Caso a Kyndryl discorde dos resultados da AIT do Fornecedor ou das medidas complementares aplicadas, a Kyndryl e o Fornecedor trabalharão juntos para encontrar uma solução viável. A Kyndryl reserva-se o direito de suspender ou rescindir os serviços dos Fornecedores envolvidos sem compensação. Para evitar dúvidas, isso não isenta os Subprocessadores do Fornecedor da obrigação de se tornar parte das SCCs da UE com a Kyndryl ou seus Clientes, conforme descrito na seção 5.2 (d) abaixo.

    (c) Se o Fornecedor estiver estabelecido no Espaço Econômico Europeu e a Kyndryl for um Controlador não sujeito ao Regulamento Geral sobre a Proteção de Dados 2016/679, o Módulo 4 das SCCs da UE se aplicará e, pelo presente, o Fornecedor se submeterá às SCCs da UE como um exportador de dados da Kyndryl.  Se o Módulo 4 das SCCs da UE se aplicar, as partes concordarão que as SCCs da UE serão regidas pela lei dos Países Baixos e quaisquer litígios oriundos das SCCs da UE serão resolvidos pelo tribunal de Amsterdã nos Países Baixos.  

    (d) Se Outros Controladores, como Clientes ou afiliados, solicitarem se tornar parte das SCCs da UE em conformidade com a "cláusula vinculativa" na Cláusula 7, pelo presente, o Fornecedor concordará com qualquer solicitação.  

    (e) Medidas Técnicas e Organizacionais necessárias para preencher o Anexo II das SCCs da UE podem ser localizadas nestes Termos, no próprio Documento da Transação e no contrato base associado entre as partes.

    (f) No caso de conflitos entre as SCCs da UE e estes Termos, as SCCs da UE prevalecerão.

    5.3 Com relação ao(s) Anexo(s) do Reino Unido:

    a. Se o Fornecedor não estiver estabelecido em um País Adequado: (i) por meio deste, o Fornecedor firma o(s) Anexo(s) do Reino Unido com a Kyndryl como Importador para conectar-se às SCCs da UE definidas acima (como aplicável, dependendo das circunstâncias das atividades de processamento); e (ii) o Fornecedor firmará contratos escritos com cada subprocessador aprovado e fornecerá à Kyndryl cópias de tais contratos mediante solicitação.

    b. Se o Fornecedor estiver estabelecido em um País Adequado e a Kyndryl for uma Controladora não sujeita ao Regulamento Geral sobre a Proteção de Dados do Reino Unido (como incorporado na lei do Reino Unido sob a lei de 2018 (Retirada) da União Europeia), por meio deste, o Fornecedor firmará o(s) Anexo(s) do Reino Unido como Exportador com a Kyndryl para conectar-se às SCCs da UE definidas na Seção 5.2(b) acima. 

    c. Se Outros Controladores, como Clientes ou Afiliadas, solicitarem participar do(s) Anexo(s) do Reino Unido o Fornecedor, por meio deste, concordará com tal solicitação.

    d. As Informações do Apêndice (como definidas na Tabela 3) no(s) Anexo(s) do Reino Unido podem ser encontradas nas SCCs da UE aplicáveis, nesses Termos, no próprio Documento da Transação, e no acordo base associado entre as Partes. Nem a Kyndryl nem o Fornecedor poderão rescindir o(s) Anexo(s) do Reino Unido quando ocorrerem alterações no Anexo do Reino Unido.

    e. Em caso de qualquer conflito entre o(s) Anexo(s) do Reino Unido e esses Termos, o(s) Anexo(s) do Reino Unido prevalecerão.

    5.4 Sobre as SCCs sérvias:

    a. Se o Fornecedor não estiver estabelecido em um País Adequado: (i) o Fornecedor concordará com as SCCs sérvias com a Kyndryl em nome do próprio Fornecedor como um Processador; e (ii) o Fornecedor firmará acordos por escrito com cada Subprocessador aprovado, de acordo com o Artigo 8 das SCCs sérvias, e fornecerá à Kyndryl cópias desses acordos mediante solicitação.

    b. Caso esteja estabelecido em um País Adequado, o Fornecedor, por meio deste e por sua própria conta, concordará com as SCCs sérvias estabelecidas pela Kyndryl em nome da cada Subprocessador localizado em um País Não Adequado.  Se o Fornecedor não puder firmar tal contrato com algum Subprocessador, o Fornecedor apresentará à Kyndryl as SCCs sérvias assinadas por esse Subprocessador, para que sejam também assinadas pela Kyndryl e, assim, o Subprocessador tenha permissão para Processar Dados Pessoais da Kyndryl.

    c. As SCCs sérvias entre a Kyndryl e o Fornecedor servirão como SCCs sérvias entre um Controlador e um Processador ou como um acordo por escrito mútuo entre o 'processador' e o 'subprocessador', conforme aplicável.  No caso de conflitos entre as SCCs sérvias e estes Termos, as SCCs sérvias prevalecerão.

    d. As informações necessárias para preencher os Apêndices 1 a 8 das SCCs sérvias com o objetivo de regular a transferência de Dados Pessoais para um País Não Adequado podem ser encontradas nestes Termos e no Apêndice do Documento da Transação ou no próprio Documento da Transação.

    5.5. Sobre os Adendos Suíços: 

    1. Se e na medida em que uma transferência de Dados Pessoais da Kyndryl de acordo com a cláusula 5.1. está sujeita à Swiss Federal Act on Data Protection ("FADP") as SCCs da UE acordadas na Cláusula 5.2. destes Termos regerá a transferência, com as seguintes alterações para adotar o padrão GDPR para Dados Pessoais Suíços:

    • As referências ao Regulamento Geral de Proteção de Dados ("GDPR") devem ser entendidas também como referências às disposições equivalentes da FADP (Lei Federal Suíca de Proteção de Dados),

    • a Comissão Federal Suíça de Proteção de Dados é a autoridade supervisora competente de acordo com a Cláusula 13 e o Anexo I.C das SCCs da UE

    • A lei suíça como lei aplicável caso a transferência esteja exclusivamente sujeita à FADP e

    • O termo "estado membro" na Cláusula 18 das SCCs da UE deve ser estendido para incluir a Suíça com a finalidade de permitir que os titulares de dados suíços exerçam seus direitos em seu local de residência habitual.

    1. Para evitar dúvidas, nenhum dos itens acima visa diminuir o nível de proteção de dados fornecido pelas SCCs da UE de qualquer forma, mas apenas estender esse nível de proteção aos titulares de dados suíços. Se e na medida em que esse não for o caso, as SCCs da UE prevalecerão.

    6. Assistência e Registros

    6.1 Tendo em conta a natureza do Processamento, o Fornecedor ajudará a Kyndryl tendo medidas técnicas e organizacionais apropriadas para cumprir as obrigações associadas às solicitações e direitos do Titular de Dados.  O Fornecedor também ajudará a Kyndryl a assegurar a conformidade com as obrigações relacionadas à segurança do Processamento, à notificação e comunicação de uma Violação de segurança e à criação de avaliações de impacto de proteção de dados, incluindo consulta prévia com o regulador responsável, se necessário, levando em consideração as informações disponíveis para o Fornecedor.

    6.2 O Fornecedor manterá um registro atualizado do nome e dos detalhes de contato de cada Subprocessador, incluindo o representante e o encarregado da proteção de dados de cada Subprocessador.  Mediante solicitação, o Fornecedor oferecerá esse registro à Kyndryl em uma programação que permita à Kyndryl responder oportunamente a qualquer demanda de um Cliente ou de outro terceiro. 

    ---

    Artigo IX, Certificações e relatórios dos serviços hospedados

    Este Artigo se aplicará se o Fornecedor oferecer um Serviço hospedado à Kyndryl.  

    1.1 O Fornecedor obterá as certificações ou os relatórios a seguir dentro dos prazos definidos abaixo: 

     

     

     

     

     

     

     

     

     

    Certificações/Relatórios

     

     

     

     

     

     

     

     

    Prazo 

     

     

     

     

     

     

     

     

    Com respeito aos Serviços hospedados do Fornecedor:

     

     

     

     

     

    Certificação de conformidade com a ISO 27001, Tecnologias da informação, Técnicas de segurança, Sistemas do gerenciamento de segurança da informação, com essa certificação baseada na avaliação de um auditor independente respeitado 

     

     

     

     

     

    Ou

     

     

     

     

     

    SOC 2 Tipo 2: um relatório feito por um auditor independente respeitado, demonstrando a sua revisão dos sistemas, controles e operações do Fornecedor de acordo com um SOC 2 Tipo 2 (incluindo, no mínimo, segurança, confidencialidade e disponibilidade).

     

     

     

     

     

     

     

     

     

    O Fornecedor obterá a certificação da ISO 27001 até 120 dias após a data de vigência do Documento de Transação* ou da Data de suposição** e, então, renovará a certificação com base na avaliação de um auditor independente respeitado a cada 12 meses depois disso (com cada renovação com relação à versão mais atual da norma).

     

     

     

     

     

    O Fornecedor obterá o relatório SOC 2 Tipo 2 até 240 dias após a data de vigência do Documento de Transação* ou da Data de Suposição** e, em seguida, obterá um novo relatório feito por um auditor independente respeitado demonstrando a sua revisão de sistemas, controles e operações do Fornecedor, de acordo com um SOC 2 Tipo 2 (incluindo, no mínimo, segurança, confidencialidade e disponibilidade) a cada 12 meses a partir de então. 

     

     

     

     

     

    * Se, a partir dessa data de vigência, o Fornecedor fornecer um Serviço hospedado 

     

     

     

     

     

    ** A data em que o Fornecedor assumirá a obrigação de fornecer um Serviço hospedado 

     

     

    1.2 Se o Fornecedor solicitar por escrito e a Kyndryl aprovar por escrito, o Fornecedor poderá obter uma certificação ou um relatório substancialmente equivalente àqueles mencionados acima, com o entendimento de que os prazos definidos na tabela acima se aplicariam inalterados com relação à certificação ou ao relatório substancialmente equivalente.  

    1.3 O Fornecedor irá: (a) mediante solicitação, fornecer imediatamente à Kyndryl uma cópia de cada certificação e relatório que o Fornecedor é obrigado a obter e (b) resolver imediatamente quaisquer deficiências de controle interno observadas durante o SOC 2 ou as revisões substancialmente equivalentes (se a Kyndryl assim aprovar).  

    Artigo X, Cooperação, Verificação e Correção

    Este Artigo se aplicará se o Fornecedor oferecer qualquer Serviço ou Entrega à Kyndryl.  

    1. Cooperação do Fornecedor 

    1.1 Se a Kyndryl tiver motivo para questionar se quaisquer Serviços ou Distribuíveis podem ter contribuído, estão contribuindo ou contribuirão para qualquer preocupação de segurança cibernética, o Fornecedor cooperará de forma razoável com qualquer consulta da Kyndryl relativa a essa preocupação, inclusive respondendo em tempo hábil e integralmente as solicitações de informações, seja por meio de documentos, outros registros, entrevistas da Equipe do Fornecedor relevante ou similar.

    1.2 As partes concordam em: (a) fornecer, mediante solicitação uma à outra, essas informações adicionais, (b) executar e entregar uma à outra esses outros documentos e (c) executar tais outros atos e coisas, tudo o que a outra parte possa razoavelmente solicitar com o propósito de realizar a intenção destes Termos e os documentos mencionados nesses Termos.  Por exemplo, se a Kyndryl solicitar, o Fornecedor oferecerá em tempo hábil os termos focados na privacidade e segurança de seus contratos escritos com Subprocessadores e Subcontratados, incluindo o local em que o Fornecedor tiver o direito de fazê-lo, concedendo acesso aos próprios contratos. 

    1.3 Se a Kyndryl solicitar, o Fornecedor oferecerá oportunamente informações sobre os países nos quais os seus Distribuíveis e os componentes desses Distribuíveis foram fabricados, desenvolvidos ou de outra forma originados.

    2. Verificação (conforme usado abaixo, "Instalação" significa um local físico no qual o Fornecedor hospeda, processa ou, de outra forma, acessa os Materiais Kyndryl)

    2.1 O Fornecedor manterá um registro auditável demonstrando conformidade com estes Termos.

    2.2 A Kyndryl, sozinha ou com um auditor externo, pode, mediante aviso escrito ao Fornecedor com antecedência de 30 dias, verificar a conformidade do Fornecedor com estes Termos, inclusive acessando qualquer Instalação ou Instalações para tais propósitos, porém a Kyndryl não acessará nenhum data center no qual o Fornecedor processe os Dados da Kyndryl, a menos que haja um motivo de boa-fé para acreditar que fazer isso fornecerá informações relevantes. O Fornecedor cooperará com a verificação da Kyndryl, inclusive respondendo em tempo hábil e totalmente às solicitações de informações, seja por meio de documentos, outros registros, entrevistas com o Pessoal do Fornecedor relevante ou similar.O Fornecedor poderá oferecer prova de aderência a um código de conduta ou uma certificação do setor aprovada ou, de outra forma, fornecer informações para demonstrar conformidade com estes Termos, para consideração da Kyndryl.  

    2.3 Uma verificação não ocorrerá mais de uma vez em um período de 12 meses, a menos que: (a) a Kyndryl esteja validando a correção do Fornecedor de preocupações resultantes de uma verificação anterior durante o período de 12 meses ou (b) uma Violação de segurança tenha surgido e a Kyndryl deseje verificar a conformidade com obrigações relevantes à violação.  Em qualquer um dos casos, a Kyndryl fornecerá o mesmo aviso por escrito com 30 dias de antecedência, conforme especificado na Cláusula 2.2 acima, mas a urgência de solucionar uma Violação de segurança pode exigir que a Kyndryl realize uma verificação antes dos 30 dias de antecedência do aviso por escrito.

    2.4. Um regulador ou outro Controlador pode exercer os mesmos direitos que a Kyndryl nas Cláusulas 2.2 e 2.3, com o entendimento de que um regulador pode exercer quaisquer direitos adicionais que tenha sob a lei.

    2.5 Se a Kyndryl tiver uma base razoável para concluir que o Fornecedor não está em conformidade com qualquer um destes Termos (se essa base decorrer de uma verificação sob estes Termos ou de outra forma), então, o Fornecedor corrigirá prontamente essa não conformidade. 

    3. Programa antifalsificação

    3.1 Se os Distribuíveis do Fornecedor incluírem componentes eletrônicos (por exemplo, unidades de disco rígido, unidades de estado sólido, memória, unidades de processamento central, dispositivos lógicos ou cabos), o Fornecedor manterá e seguirá um programa documentado de prevenção de falsificação para, em primeiro lugar, impedir que o Fornecedor forneça componentes falsificados à Kyndryl e, em segundo lugar, detectar e corrigir prontamente qualquer caso em que o Fornecedor, por engano, forneça componentes falsificados à Kyndryl.  O Fornecedor imporá a mesma obrigação para manter e seguir um programa documentado de prevenção de falsificação a todos os seus fornecedores que forneçam componentes eletrônicos que estão incluídos nos Distribuíveis do Fornecedor à Kyndryl.  

    4. Correção

    4.1 Se o Fornecedor falhar ao cumprir qualquer uma de suas obrigações sob estes Termos e essa falha causar uma Violação de segurança, o Fornecedor corrigirá a falha em seu desempenho e corrigirá os efeitos nocivos da Violação de segurança, com tal desempenho e correção sob a orientação e a programação razoável da Kyndryl.  Se, no entanto, a Violação de segurança for oriunda da provisão do Fornecedor de um Serviço Hospedado com vários locatários e, consequentemente, impactar vários clientes do Fornecedor, inclusive a Kyndryl, o Fornecedor irá, dada a natureza da Violação de Segurança, corrigir em tempo hábil e apropriadamente a falha em seu desempenho e corrigir os efeitos nocivos da Violação de Segurança, dando a devida consideração a qualquer contribuição da Kyndryl com relação às correções. Sem prejuízo do acima exposto, o Fornecedor deverá notificar a Kyndryl, sem demora injustificada, caso não possa mais cumprir as obrigações estabelecidas pela lei de proteção de dados aplicável. 

    4.2 A Kyndryl terá o direito de participar da correção de qualquer Violação de Segurança referenciada na Seção 4.1 que ela considerar apropriada ou necessária e o Fornecedor será responsável pelos custos e despesas na correção de seu desempenho e pelos custos e despesas de correção incorridos pelas partes com relação a qualquer Violação de Segurança.

    4.3 A título de exemplo, os custos e despesas de correção associados a uma Violação de segurança poderiam incluir aqueles para detecção e investigação de uma Violação de segurança, determinando responsabilidades sob as leis e regulamentos aplicáveis, fornecendo notificações de violação, estabelecendo e mantendo centrais de atendimento, fornecendo serviços de monitoramento e restauração de crédito, recarregando dados, corrigindo defeitos do produto (inclusive através do Código-Fonte ou outro desenvolvimento), contratando terceiros para ajudar com as atividades anteriores ou outras atividades relevantes e outros custos e despesas necessários para corrigir os efeitos nocivos da Violação de segurança.  Para maior clareza, os custos e despesas de correção não incluiriam a perda de lucros, negócios, valor, receita, renome comercial ou economia antecipada da Kyndryl.

View All Terms

Definições
Os significados das palavras com iniciais maiúsculas são determinados conforme mostrado abaixo, nesses Termos, no Documento de Transação ou no contrato base associado firmado entre as partes. Os termos "Serviços" e "Entregas" provavelmente são definidos no Documento de Transação ou no contrato base associado firmado entre as partes; mas, caso não o sejam, o termo "Serviços" refere-se a qualquer Serviço Hospedado, consulta, instalação, customização, manutenção, suporte, aumento de equipe, processo comercial, técnico ou outros tipos de trabalho que o Fornecedor executa para a Kyndryl, conforme especificado no Documento de Transação e "Entregas" refere-se a qualquer programa de software, plataforma, aplicativo ou outros produtos ou itens, juntamente com seus materiais relacionados, oferecidos pelo Fornecedor para a Kyndryl, conforme especificado no Documento de Transação.  

Informações do Contato Comercial ("BCI") refere-se aos Dados Pessoais usados para entrar em contato, identificar ou autenticar um indivíduo em âmbito profissional ou comercial.  Geralmente, o BCI inclui o nome de uma pessoa física, o endereço de e-mail comercial, o endereço físico, o número de telefone ou atributos semelhantes.

Serviço em Nuvem refere-se a qualquer oferta "como um serviço" hospedada ou gerenciada pelo Fornecedor, incluindo ofertas de "software como um serviço", "plataforma como um serviço" e "infraestrutura como um serviço".

Controlador refere-se à pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto com outros, determina os propósitos e os meios para o Processamento de Dados Pessoais.

Sistema Corporativo refere-se a um sistema de TI, uma plataforma, um aplicativo, uma rede ou algo semelhante do qual a Kyndryl depende para seus negócios, incluindo aqueles localizados ou acessados por meio da intranet Kyndryl, da Internet ou de outras formas.

Cliente refere-se a um cliente da Kyndryl.

Titular de Dados refere-se a uma pessoa física que pode ser identificada, direta ou indiretamente, usando como referência um nome, um número de identificação, dados de localização, um identificador on-line ou um ou mais fatores específicos relacionados à identidade física, psicológica, genética, mental, econômica, cultural ou social dessa pessoa física.

Dia ou Dias refere-se aos dias corridos do calendário, a menos que sejam designados dias "úteis".

Dispositivo refere-se a uma estação de trabalho, laptop, tablet, smartphone ou assistente digital pessoal fornecido pela Kyndryl ou pelo Fornecedor.

Manipular, Manipula ou Manipulação inclui todo o acesso, uso e armazenamento, além de outras interações, com a Tecnologia Kyndryl.

Serviço Hospedado refere-se a qualquer serviço de data center, serviço de aplicativo, serviço de TI ou Serviço em Nuvem hospedado ou gerenciado pelo Fornecedor.

Dados da Kyndryl referem-se a todo e qualquer tipo de arquivo eletrônico, material, texto, áudio, vídeo, imagens e outros dados, incluindo Dados Pessoais e Dados não Pessoais da Kyndryl, que a Kyndryl, a Equipe Kyndryl, um Cliente, um funcionário de um Cliente ou qualquer outra pessoa ou entidade, juntamente com o Documento de Transação, oferece ao Fornecedor, faz upload ou armazena em um Serviço Hospedado ou ao qual o Fornecedor tenha acesso e/ou esteja Processando em nome da Kyndryl. 

Materiais Kyndryl refere-se a todos e quaisquer Dados e Tecnologia Kyndryl.  

Dados Pessoais da Kyndryl referem-se aos Dados Pessoais que o Fornecedor está processando em nome da Kyndryl.  Os Dados Pessoais da Kyndryl incluem Dados Pessoais controlados pela Kyndryl e Dados Pessoais processados pela Kyndryl em nome de Outros Controladores. 

Código-fonte da Kyndryl refere-se ao Código-fonte que a Kyndryl possui ou licencia.

Tecnologia Kyndryl refere-se ao Código-Fonte da Kyndryl, outros códigos, idiomas de descrição, firmware, software, ferramentas, designs, diagramas esquemáticos, representações gráficas, chaves integradas, certificados, além de outras informações, materiais, ativos, documentos e tecnologias direta ou indiretamente licenciados ou disponibilizados pela Kyndryl para o Fornecedor em conexão com o Documento de Transação ou com um contrato relacionado entre a Kyndryl e o Fornecedor.  

Inclui e Incluindo, em letras maiúsculas ou minúsculas, não devem ser interpretados como termos limitantes.

Melhores Práticas do Mercado referem-se às práticas consistentes com as recomendadas ou exigidas por órgãos como o National Institute of Standards and Technology ou a International Standards Organization, ou qualquer outra instituição ou organização de reputação e prestígio semelhantes.

TI significa tecnologia da informação.

Outro Controlador refere-se a qualquer entidade, além da Kyndryl, que seja um Controlador de Dados da Kyndryl, como uma afiliada Kyndryl, um Cliente ou uma afiliada de um Cliente. 

Software no Local significa software que a Kyndryl ou uma subcontratada executa, instala ou opera nos servidores ou sistemas da Kyndryl ou da subcontratada.  Para maior clareza, Software no Local é um Entrega do Fornecedor.

Dados Pessoais significa quaisquer informações relacionadas a um Titular de Dados e quaisquer outras informações que se qualifiquem como "dados pessoais" ou algo semelhante de acordo com qualquer lei de proteção de dados. 

Equipe refere-se aos indivíduos que são funcionários da Kyndryl ou do Fornecedor, agentes da Kyndryl ou do Fornecedor, subcontratados empregados pela Kyndryl ou pelo Fornecedor ou enviados a uma parte por um subcontratado.

Processo ou Processamento significa qualquer operação ou conjunto de operações executado em Dados da Kyndryl, incluindo armazenamento, uso, acesso e leitura.

Processador refere-se a uma pessoa física ou jurídica que processa Dados Pessoais em nome do Controlador.

Violação de Segurança refere-se a uma falha de segurança que causa: (a) perda, destruição, alteração ou divulgação acidental ou não autorizada de Materiais Kyndryl, (b) acesso acidental ou não autorizado a Materiais Kyndryl, (c) Processamento ilegal de Dados da Kyndryl ou (d) Manipulação ilegal de Tecnologia Kyndryl.

Venda (ou Vender) refere-se à venda, aluguel, liberação, divulgação, disseminação, disponibilização, transferência ou qualquer forma de comunicação oral, escrita, eletrônica ou por outros meios, de dados para transações monetárias ou outras operações que envolvam valores.

Código-Fonte refere-se ao código de programação legível utilizado por desenvolvedores para a criação e manutenção de um produto, mas que não é entregue aos usuários finais no curso normal do processo de distribuição ou uso comercial do produto.  

Subprocessador refere-se a qualquer subcontratado, incluindo uma afiliada do Fornecedor, que Processa Dados da Kyndryl.