Podmienky týkajúce sa ochrany osobných údajov a zabezpečenia
Tieto Podmienky týkajúce sa ochrany osobných údajov a zabezpečenia stanovujú práva a povinnosti spoločnosti Kyndryl a Dodávateľa vo vzťahu k ochrane osobných údajov, zabezpečenia a súvisiacich záležitostí (ďalej len „Podmienky“). Tieto Podmienky sa stávajú súčasťou Súpisu prác, Pracovných poverení a podobných dokumentov, ktoré zmluvné strany medzi sebou uzavreli a ktoré na ne odkazujú (ďalej aj „Transakčný dokument“). Tieto Podmienky sa vzťahujú na konkrétnu transakciu špecifikovanú v Transakčnom dokumente.
V záujme zjednodušenia môže Dodávateľ na tejto webovej stránke začiarknuť políčka, ktoré charakterizujú transakciu, a zobraziť tým Podmienky. V závislosti od situácie sa môže na transakciu vzťahovať viacero políčok. Na objasnenie: Skutočnosti uvedené v Transakčnom dokumente len stanovujú Podmienky pre transakciu, nie Podmienky, ktoré sa zobrazia, keď Dodávateľ začiarkne tieto políčka.
POZNÁMKA: Dodávatelia, ktorí spracúvajú údaje zamestnancov spoločnosti Kyndryl, by mali kliknúť na políčko 1 (Prístup k Obchodným kontaktným údajom spoločnosti Kyndryl) a políčko 2 (Prístup k Osobným údajom).
V prípade rozporu medzi Podmienkami a Transakčným dokumentom alebo súvisiacou rámcovou alebo inou zmluvou uzavretou medzi zmluvnými stranami vrátane zmluvy o spracúvaní údajov sa budú uplatňovať ustanovenia týchto Podmienok. Vyhlásenia, ktoré sa vyžadujú na základe týchto Podmienok, sa budú realizovať v súlade s ustanoveniami o vyhláseniach v Transakčnom dokumente.
Pojmy uvedené veľkými začiatočnými písmenami v týchto Podmienkach sa budú interpretovať v súlade s časťou Definície nižšie.
Začiarknite políčka, ktoré sa vzťahujú na Služby poskytované v rámci tejto konkrétnej transakcie: |
-
Ak áno, takýto prístup bude podliehať Článku I (Obchodné kontaktné údaje) a Článku X (Spolupráca, overovanie a riešenie problémov).
Príklady:
Dodávateľ používa mená, e-mailové adresy a telefónne čísla zamestnancov spoločnosti Kyndryl alebo Zákazníka v súvislosti s podporou alebo údržbou.
Spoločnosť Kyndryl používa mená a e-mailové adresy zamestnancov Dodávateľa na ich overenie pri prístupe k Podnikovému systému.
Poznámka:
Ak Dodávateľ poskytuje služby údržby alebo podpory, môže mať prístup aj k inými údajom ako Obchodným kontaktným údajom (napríklad protokolovým súborom obsahujúcim alebo neobsahujúcim Osobné údaje). V tomto prípade by mal Dodávateľ začiarknuť aj políčko pri položke 2 (ak bude mať prístup k Osobným údajom) a položke 3 (ak bude mať prístup k údajom, ktoré nie sú Osobné údaje).
Ak Dodávateľ spracúva údaje zamestnancov spoločnosti Kyndryl, začiarkne aj políčko v bode 2 (ak bude mať prístup k Osobným údajom).
Článok I, Obchodné kontaktné informácie
Tento Článok sa uplatňuje vtedy, ak Dodávateľ alebo spoločnosť Kyndryl Spracúvajú Obchodné kontaktné údaje druhej zmluvnej strany.
1.1 Spoločnosť Kyndryl a Dodávateľ môžu spracúvať Obchodné kontaktné údaje druhej zmluvnej strany v súvislosti so svojimi obchodnými operáciami v rámci poskytovania Služieb a Dodávaných produktov Dodávateľom.
1.2 Zmluvné strany:
(a) nebudú používať ani poskytovať Obchodné kontaktné údaje druhej zmluvnej strany na žiadne iné účely (na objasnenie: žiadna zo zmluvný strán nebude Predávať Obchodné kontaktné údaje druhej zmluvnej strany na marketingové účely bez predchádzajúceho písomného súhlasu dotknutej zmluvnej strany a, ak to bude nevyhnutné, predchádzajúceho písomného súhlasu Dotknutých osôb);
(b) bezodkladne odstránia, upravia, opravia a vrátia Obchodné kontaktné údaje, poskytnú informácie o ich Spracúvaní, obmedzia ich Spracúvanie alebo vykonajú iné primerané činnosti, o ktoré druhá zmluvná strana písomne požiada, keď dôjde k neoprávnenému použitiu osobných údajov a zmluvná strana chce zastaviť ich spracúvanie a vykonať nápravu.
1.3 Zmluvné strany neuzatvárajú vzťah spoločného Prevádzkovateľa údajov v súvislosti s Obchodnými kontaktnými údajmi druhej zmluvnej strany a žiadne ustanovenie Transakčného dokumentu sa nebude interpretovať ani chápať tak, ako keby jeho cieľom bolo uzatvoriť vzťah spoločného Prevádzkovateľa údajov.
1.4 Ďalšie informácie o Spracúvaní Obchodných kontaktných údajov zo strany Kyndryl sú uvedené vo Vyhlásení o ochrane osobných údajov spoločnosti Kyndryl, ktoré je k dispozícii na adrese https://www.kyndryl.com/us/en/privacy.
1.5 Zmluvné strany zaviedli a budú udržiavať technické a organizačné bezpečnostné opatrenia s cieľom chrániť Obchodné kontaktné údaje druhej Zmluvnej strany pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním.
1.6 Dodávateľ bezodkladne (vždy však do 48 hodín) upozorní spoločnosť Kyndryl na Narušenie zabezpečenia týkajúce sa Obchodných kontaktných údajov spoločnosti Kyndryl. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
1.7 Ak Dodávateľ Spracúva iba Obchodné kontaktné údaje spoločnosti Kyndryl bez prístupu k iným údajom alebo materiálom akéhokoľvek druhu alebo akémukoľvek Podnikovému systému spoločnosti Kyndryl, takéto Spracúvanie bude podliehať iba tomuto Článku a Článku X (Spolupráca, overovanie a riešenie problémov).
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov), Článku III (Ochrana osobných údajov), Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a Článku X (Spolupráca, overovanie a riešenie problémov).
Príklady:
Dodávateľ získa prístup k Osobným údajom v rámci poskytovania Hosťovanej služby na interné použitie spoločnosťou Kyndryl alebo Zákazníkmi.
Dodávateľ poskytuje Služby súvisiace so zdravotnou starostlivosťou, marketingové Služby alebo Služby súvisiace so správou ľudských zdrojov alebo benefitov, v rámci čoho má prístup k Osobným údajom.
Dodávateľ má prístup k protokolovým súborom obsahujúcim Osobné údaje v súvislosti s poskytovaním Služieb podpory.
Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné údaje spoločnosti Kyndryl ako Obchodné kontaktné údaje spoločnosti Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť údaje spoločnosti Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky a prostredí dátových centier.
1. Používanie údajov
1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl pridať do Údajov spoločnosti Kyndryl alebo zahrnúť do Údajov spoločnosti Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať údaje spoločnosti Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné účely ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť údaje spoločnosti Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať údaje spoločnosti Kyndryl.
1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.
2. Požiadavky zo strany tretích strán a mlčanlivosť
2.1 Dodávateľ neposkytne údaje spoločnosti Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany spoločnosti Kyndryl. Ak o prístup k Údajom spoločnosti Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov spoločnosti Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť údaje spoločnosti Kyndryl, Dodávateľ písomne informuje spoločnosť Kyndryl o takejto požiadavke alebo povinnosti a poskytne spoločnosti Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie spoločnosti Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov spoločnosti Kyndryl formou súdneho nariadenia alebo iným spôsobom).
2.2 Dodávateľ zaručuje spoločnosti Kyndryl, že: (a) prístup k Údajom spoločnosti Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať údaje spoločnosti Kyndryl iba v súlade s týmito Podmienkami.
3. Vrátenie alebo odstránenie Údajov spoločnosti Kyndryl
3.1 Dodávateľ v prípade ukončenia alebo uplynutia platnosti Transakčného dokumentu na základe rozhodnutia spoločnosti Kyndryl buď odstráni alebo vráti Údaje spoločnosti Kyndryl, prípadne tak urobí kedykoľvek skôr, ak o to spoločnosť Kyndryl požiada. Ak spoločnosť Kyndryl požiada o odstránenie Údajov, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie spoločnosti Kyndryl. Ak spoločnosť Kyndryl požiada o vrátenie Údajov spoločnosti Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu spoločnosti Kyndryl a podľa primeraných písomných pokynov spoločnosti Kyndryl.
Článok III, Súkromie
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva Osobné údaje spoločnosti Kyndryl.
1. Spracúvanie
1.1 Spoločnosť Kyndryl poveruje Dodávateľa ako Sprostredkovateľa na Spracúvanie Osobných údajov spoločnosti Kyndryl výhradne na účely poskytovania Dodávaných produktov a Služieb v súlade s pokynmi spoločnosti Kyndryl vrátane pokynov uvedených v týchto Podmienkach, Transakčnom dokumente a súvisiacej rámcovej zmluve uzavretej medzi zmluvnými stranami. Ak Dodávateľ nesplní nejaký pokyn, spoločnosť Kyndryl môže vypovedať dotknutú časť Služieb na základe písomnej výpovede. Ak sa Dodávateľ domnieva, že niektorý pokyn je v rozpore s právnym predpisom o ochrane údajov, Dodávateľ bezodkladne informuje spoločnosť Kyndryl o tejto skutočnosti v rámci lehoty ustanovenej takýmto právnym predpisom. Ak Dodávateľ nedodrží niektorú zo svojich povinností podľa týchto Podmienok a toto nedodržanie spôsobí neoprávnené použitie Osobných údajov alebo vo všeobecnosti v prípade akéhokoľvek neoprávneného použitia Osobných údajov, spoločnosť Kyndryl bude mať právo zastaviť spracúvanie a vyžadovať odstránenie nedostatkov a nápravu škodlivých následkov neoprávneného použitia, pričom plnenie a náprava sa uskutoční podľa primeraných pokynov a harmonogramu stanovených spoločnosťou Kyndryl.
1.2 Dodávateľ bude dodržiavať všetky právne predpisy upravujúce ochranu údajov, ktoré sa vzťahujú na Služby a Dodávané produkty.
1.3 Dodatok k Transakčnému dokumentu alebo samotný Transakčný dokument stanovuje nasledujúce informácie vo vzťahu k Údajom spoločnosti Kyndryl:
(a) kategórie Dotknutých osôb,
(b) typy Osobných údajov spoločnosti Kyndryl,
(c) akcie s údajmi a Spracovateľské činnosti,
(d) trvanie a frekvencia Spracúvania,
(e) zoznam Ďalších sprostredkovateľov.
2. Technické a organizačné opatrenia
2.1 Dodávateľ zavedie a bude dodržiavať technické a organizačné opatrenia uvedené v Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov) a Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), a tým zabezpečí vhodnú úroveň zabezpečenia vzhľadom na riziká súvisiace s jeho Službami a Dodávanými produktmi. Dodávateľ potvrdzuje súhlas s obmedzeniami stanovenými v Článku II, Článku III a Článku VIII a zaväzuje sa ich dodržiavať.
3. Práva a požiadavky Dotknutých osôb
3.1 Dodávateľ bezodkladne informuje spoločnosť Kyndryl (v dostatočnom časovom horizonte, aby spoločnosť Kyndryl a Iní Prevádzkovatelia údajov mohli splniť svoje zákonné povinnosti) o všetkých požiadavkách zo strany Dotknutých osôb uplatňujúcich si svoje zákonné práva (napríklad žiadosti o opravu, vymazanie alebo zablokovanie údajov) vo vzťahu k Osobným údajom spoločnosti Kyndryl. Dodávateľ môže tiež bezodkladne odkázať Dotknuté osoby, ktoré vzniesli takéto požiadavky, na spoločnosť Kyndryl. Dodávateľ nebude reagovať na žiadne požiadavky zo strany Dotknutých osôb, pokiaľ nie je k tomu zaviazaný na základe platných právnych predpisov alebo mu na to spoločnosť Kyndryl nedá písomný pokyn.
3.2 V prípade, že bude spoločnosť Kyndryl povinná poskytnúť informácie týkajúce sa Osobných údajov spoločnosti Kyndryl Iným Prevádzkovateľom údajov alebo iným tretím stranám (ako sú Dotknuté osoby alebo regulačné orgány), Dodávateľ bezodkladne poskytne spoločnosti Kyndryl primeranú súčinnosť, a to tak, že jej poskytne všetky požadované informácie a vykoná všetky primerané kroky požadované spoločnosťou Kyndryl v dostatočnom predstihu, aby spoločnosť Kyndryl mohla včas reagovať na požiadavky takýchto Iných Prevádzkovateľov údajov alebo tretích strán.
4. Ďalší sprostredkovatelia
4.1 Dodávateľ bude vopred písomne informovať spoločnosť Kyndryl pred pridaním nového Ďalšieho sprostredkovateľa alebo rozšírením rozsahu Spracúvania zo strany existujúceho Ďalšieho sprostredkovateľa, pričom v takomto písomnom oznámení uvedie meno Ďalšieho sprostredkovateľa a opíše nový alebo rozšírený rozsah Spracúvania. Spoločnosť Kyndryl môže v opodstatnených prípadoch kedykoľvek namietať proti pridaniu nového Ďalšieho sprostredkovateľa alebo rozšíreniu rozsahu Spracúvania. V takejto situácii sa zmluvné strany v dobrej viere pokúsia spoločne vyriešiť námietky spoločnosti Kyndryl. S ohľadom na právo spoločnosti Kyndryl kedykoľvek vzniesť námietku môže Dodávateľ poveriť nového Ďalšieho sprostredkovateľa alebo rozšíriť rozsah Spracúvania existujúcim Ďalším sprostredkovateľom, ak spoločnosť Kyndryl nevzniesla námietku do 30 dní odo dňa, kedy ju o tom Dodávateľ písomne informoval.
4.2 Dodávateľ zaviaže každého schváleného Ďalšieho sprostredkovateľa k plneniu rovnakých povinností týkajúcich sa ochrany údajov, zabezpečenia a certifikácie, aké vyplývajú z týchto Podmienok, a to ešte pred začatím Spracúvania Údajov spoločnosti Kyndryl Ďalším sprostredkovateľom. Dodávateľ bude niesť plnú zodpovednosť voči spoločnosti Kyndryl za plnenie týchto povinností Ďalším sprostredkovateľom.
5. Cezhraničné Spracúvanie údajov
Na účely ďalej uvedených podmienok:
Krajina s primeranou úrovňou ochrany je krajina, ktorá zaručuje primeranú úroveň ochrany údajov v súvislosti s ich príslušným prenosom na základe právneho predpisu upravujúceho ochranu údajov alebo rozhodnutia regulačného orgánu.
Dovozca údajov je Sprostredkovateľ alebo Ďalší sprostredkovateľ, ktorý nesídli v Krajine s primeranou úrovňou ochrany.
Štandardné zmluvné doložky EÚ (ďalej aj ako „ŠZD EÚ“) znamená Štandardné zmluvné doložky EÚ (podľa Rozhodnutia Komisie 2021/914) s nepovinnými ustanoveniami okrem možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17, v oficiálnom znení zverejnenom na stránke https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en
Srbské Štandardné zmluvné doložky (ďalej aj ako „Srbské ŠZD“) znamená Srbské Štandardné zmluvné doložky, v znení prijatom „Srbským komisárom pre ochranu informácií verejného záujmu a osobných údajov“, ktoré sú zverejnené na stránke https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.
Štandardné zmluvné doložky (ďalej aj ako „ŠZD“) sú zmluvné ustanovenia vyžadované na základe platných právnych predpisov upravujúcich ochranu údajov týkajúce sa prenosu Osobných údajov k Sprostredkovateľom, ktorí nesídlia v Krajinách s primeranou úrovňou ochrany.
Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ (ďalej len „Dodatok Spojeného kráľovstva“) znamená Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ v oficiálnom znení zverejnenom na stránke https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.
Dodatok pre Švajčiarsko k Štandardným zmluvným doložkám (ŠZD) Komisie EÚ (ďalej len „Dodatok pre Švajčiarsko”) znamená zmluvné doložky k Štandardným zmluvným doložkám Komisie EÚ, ktoré sa uplatňujú v súlade s rozhodnutím Švajčiarskeho úradu na ochranu údajov („FDPIC”) a v súlade so švajčiarskym federálnym zákonom o ochrane údajov („FADP”).
5.1 Dodávateľ nebude prenášať žiadne Osobné údaje spoločnosti Kyndryl do zahraničia ani ich nevyzradí do zahraničia (vrátane formou vzdialeného prístupu) bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl. Ak Kyndryl vyjadrí takýto súhlas, zmluvné strany spoločne zabezpečia súlad s platnými právnymi predpismi upravujúcimi ochranu údajov. Ak takéto právne predpisy vyžadujú Štandardné zmluvné doložky, Dodávateľ bezodkladne podpíše tieto Štandardné zmluvné doložky na žiadosť spoločnosti Kyndryl.
5.2 V súvislosti so Štandardnými zmluvnými doložkami EÚ:
(a) Ak Dodávateľ nesídli v Krajine s primeranou úrovňou ochrany, Dodávateľ týmto uzatvára Štandardné zmluvné doložky EÚ so spoločnosťou Kyndryl ako Dovozca údajov a Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Ďalšími sprostredkovateľmi v súlade s Doložkou 9 Štandardných zmluvných doložiek EÚ a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.
(i) Modul 1 ŠZD EÚ sa neuplatňuje, pokiaľ sa zmluvné strany písomne nedohodnú inak.
(ii) Modul 2 ŠZD EÚ sa uplatňuje, keď je spoločnosť Kyndryl Prevádzkovateľom údajov, a Modul 3 sa uplatňuje, keď je spoločnosť Kyndryl Sprostredkovateľom údajov. V súlade s Doložkou 13 ŠZD EÚ, keď sa uplatňujú Moduly 2 alebo 3, zmluvné strany súhlasia s tým, že (1) ŠZD EÚ budú podliehať právnym predpisom členského štátu EÚ, v ktorom sídli príslušný dozorný orgán, a (2) akékoľvek spory vyplývajúce zo ŠZD EÚ budú riešiť súdy členského štátu EÚ, v ktorom sídli takýto príslušný dozorný orgán. Ak dané právne predpisy vyplývajúce z bodu (1) nepočítajú s právami užívateľov výhod, ktorí sú tretími stranami, v tomto prípade budú ŠZD EÚ podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ podľa bodu (2) bude riešiť súdny dvor v Amsterdame, Holandsko.
(b) Ak obe strany, Dodávateľ aj Kyndryl, majú sídlo v Krajine s primeranou úrovňou ochrany, Dodávateľ bude vystupovať ako Vývozca údajov a s každým schváleným Ďalším sprostredkovateľom, ktorý sídli v Krajine bez primeranej úrovne ochrany, uzavrie zmluvu o ŠZD EÚ. Dodávateľ vykoná požadované posúdenie vplyvu prenosu (ďalej aj ako „TIA“) a bez zbytočného odkladu oznámi spoločnosti Kyndryl (1) akúkoľvek potrebu uplatnenia dodatočných opatrení a (2) uplatnené opatrenia. Dodávateľ poskytne spoločnosti Kyndryl na požiadanie výsledky TIA a všetky informácie potrebné na pochopenie a vyhodnotenie výsledkov. V prípade, že spoločnosť Kyndryl nesúhlasí s výsledkami TIA Dodávateľa alebo s použitými dodatočnými opatreniami, spoločnosť Kyndryl a Dodávateľ budú spoločne hľadať prijateľné riešenie. Spoločnosť Kyndryl si ponecháva právo pozastaviť alebo ukončiť služby príslušných Dodávateľov bez náhrady. Aby sa predišlo pochybnostiam, toto nezbavuje Ďalších sprostredkovateľov Dodávateľa povinnosti stať sa zmluvnou stranou ŠZD EÚ so spoločnosťou Kyndryl alebo jej Zákazníkmi, v súlade so znením Odseku 5.2 (d) nižšie.
(c) Ak Dodávateľ sídli v Európskom hospodárskom priestore a spoločnosť Kyndryl je Prevádzkovateľ údajov, ktorý nepodlieha Všeobecnému nariadeniu o ochrane údajov 2016/679, bude sa uplatňovať Modul 4 ŠZD EÚ a Dodávateľ týmto uzatvára ŠZD EÚ so spoločnosťou Kyndryl ako vývozca údajov. Ak sa uplatňuje Modul 4 ŠZD EÚ, zmluvné strany súhlasia s tým, že ŠZD EÚ budú podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ bude riešiť súdny dvor v Amsterdame, Holandsko.
(d) Ak Iní Prevádzkovatelia údajov, ako sú napríklad Zákazníci alebo pridružené spoločnosti, požiadajú o to, aby sa stali zmluvnými stranami vo vzťahu k ŠZD EÚ podľa doložky o pripojení sa v Doložke 7, Dodávateľ týmto súhlasí so všetkými takýmito žiadosťami.
(e) Technické a organizačné opatrenia nevyhnutné na splnenie Prílohy II ŠZD EÚ sú uvedené v týchto Podmienkach, v samotnom Transakčnom dokumente a súvisiacej rámcovej zmluve, ktorú zmluvné strany medzi sebou uzatvorili.
(f) V prípade rozporu medzi ŠZD EÚ a týmito podmienkami sa budú uplatňovať Štandardné zmluvné doložky EÚ.
5.3 Pokiaľ ide o dodatky Spojeného kráľovstva:
a. Ak Dodávateľ nie je usadený v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl ako Dovozcom údajov, pričom tieto Dodatky doplnia Štandardné zmluvné doložky Komisie EÚ uvedené hore (podľa toho, aké typy činností spracovania vykonáva); a (ii) Dodávateľ uzatvorí písomnú dohodu s každým schváleným Subdodávateľom a na požiadanie predloží kópie týchto zmlúv spoločnosti Kyndryl.
b. Ak je Dodávateľ usadený v Krajine s primeranou úrovňou ochrany a spoločnosť Kyndryl je Prevádzkovateľom, na ktorého sa nevzťahuje Všeobecné nariadenie o ochrane údajov Spojeného kráľovstva (ktoré bolo transponované do britského právneho poriadku zákonom o vystúpení z EÚ z roku 2018), Dodávateľ ako Vývozca údajov týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl, pričom tieto Dodatky dopĺňajú Štandardné zmluvné doložky Komisie EÚ uvedené hore v časti 5.2(b).
c. Ak iní Prevádzkovatelia, ako napr. zákazníci alebo partnerské spoločnosti, požiadajú o pristúpenie k Dodatkom Spojeného kráľovstva, Dodávateľ týmto súhlasí, že vyhovie každej takejto požiadavke.
d. Informačná Príloha (ako je uvedené v Tabuľke 3) k Dodatkom Spojeného kráľovstva sa nachádza v príslušných Štandardných zmluvných doložkách Komisie EÚ, týchto podmienkach, samotných Transakčných dokumentoch a súvisiacich základných zmluvách medzi všetkými stranami. Ani spoločnosť Kyndryl ani Dodávateľ nie sú oprávnení ukončiť Dodatky Spojeného kráľovstva v prípade ich zmien.
e. V prípade akéhokoľvek rozporu medzi Dodatkom Spojeného kráľovstva a týmito podmienkami platia Dodatky Spojeného kráľovstva.
5.4 Pokiaľ ide o ŠZD Srbska:
a. Ak Dodávateľ nesídli v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl vo svojom vlastnom mene ako Sprostredkovateľ a (ii) Dodávateľ uzatvorí písomné zmluvy so všetkými schválenými Ďalšími sprostredkovateľmi v súlade s Odsekom 8 Štandardných zmluvných doložiek Srbska a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.
b. Ak Dodávateľ sídli v Krajine s primeranou úrovňou ochrany, Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl v mene všetkých Ďalších sprostredkovateľov, ktorí sídlia v Krajine bez primeranej úrovne ochrany. Ak ich Dodávateľ nemôže uzatvoriť v mene niektorého Ďalšieho sprostredkovateľa, pred tým, ako tomuto Ďalšiemu sprostredkovateľovi povolí Spracúvanie akýchkoľvek Osobných údajov spoločnosti Kyndryl, poskytne spoločnosti Kyndryl Štandardné zmluvné doložky Srbska podpísané príslušným Ďalším sprostredkovateľom na podpísanie spoločnosťou Kyndryl.
c. Štandardné zmluvné doložky Srbska uzavreté medzi spoločnosťou Kyndryl a Dodávateľom budú slúžiť ako Štandardné zmluvné doložky Srbska uzavreté medzi Prevádzkovateľom údajov a Sprostredkovateľom údajov alebo ako delegovaná písomná zmluva medzi „sprostredkovateľom“ a „Ďalším sprostredkovateľom“ v závislosti od príslušných okolností. V prípade rozporu medzi Štandardnými zmluvnými doložkami Srbska a týmito Podmienkami sa budú uplatňovať ŠZD Srbska.
d. Informácie nevyhnutné na splnenie podmienok Príloh 1 až 8 ŠZD Srbska na účely prenosu Osobných údajov do Krajín bez primeranej ochrany sú uvedené v týchto Podmienkach a Prílohe k Transakčnému dokumentu, prípadne v samotnom Transakčnom dokumente.
5.5. Ohľadom Dodatku/ov pre Švajčiarsko:
Ak prenos osobných údajov spoločnosti Kyndryl podľa časti 5.1. podlieha švajčiarskemu federálnemu zákonu o ochrane údajov („FADP"), ŠZD EÚ dohodnuté v časti 5.2. týchto Podmienok budú riadiť prenos s nasledujúcimi zmenami na prijatie normy GDPR pre švajčiarske osobné údaje:
odkazy na všeobecné nariadenie o ochrane údajov („GDPR") sa rozumejú aj ako odkazy na ekvivalentné ustanovenia zákona FADP,
Švajčiarska federálna komisia pre ochranu údajov je príslušným dozorným orgánom podľa článku 13 a prílohy I.C ŠZD EÚ,
švajčiarsky zákon ako rozhodujúci zákon v prípade, že prenos podlieha výlučne zákonu FADP a
pojem „členský štát" v doložke 18 ŠZD EÚ sa rozšíri tak, aby zahŕňal Švajčiarsko s cieľom umožniť dotknutým osobám vo Švajčiarsku uplatňovať svoje práva v mieste ich obvyklého pobytu.
Aby sa predišlo pochybnostiam, cieľom žiadneho z vyššie uvedených opatrení nie je akýmkoľvek spôsobom znížiť úroveň ochrany údajov poskytovanej ŠZD EÚ, ale len rozšíriť túto úroveň ochrany na dotknuté osoby vo Švajčiarsku. Ak to tak nie je, má prednosť ŠZD EÚ.
6. Pomoc a záznamy
6.1 Zohľadňujúc charakter Spracúvania, zavedením primeraných technických a organizačných opatrení Dodávateľ poskytne spoločnosti Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností zo strany spoločnosti Kyndryl súvisiacich s požiadavkami Dotknutých osôb a ochranou ich práv. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností súvisiacich so zabezpečením Spracúvania, upozornením na Narušenie zabezpečenia a hodnotením dopadu ochrany údajov vrátane predchádzajúcej konzultácie so zodpovedným regulačným orgánom, vzhľadom na informácie, ktoré má Dodávateľ k dispozícii.
6.2 Dodávateľ bude udržiavať aktuálne záznamy o menách a kontaktných údajoch jednotlivých Ďalších sprostredkovateľov vrátane zástupcu Ďalšieho sprostredkovateľa a zodpovednej osoby. Dodávateľ na žiadosť spoločnosti Kyndryl poskytne tieto záznamy spoločnosti Kyndryl v dostatočnom predstihu na to, aby spoločnosť Kyndryl dokázala včas reagovať na požiadavky Zákazníka alebo inej tretej strany.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným údajom spoločnosti Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje spoločnosti Kyndryl ani mať prístup k iným Materiálom spoločnosti Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) údaje spoločnosti Kyndryl pred neoprávneným Spracúvaním a (c) Technológie spoločnosti Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude prinajmenšom každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov spoločnosti Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom spoločnosti Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov spoločnosti Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov spoločnosti Kyndryl, a to vrátane zavedenia, správy a dodržiavania zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami spoločnosti Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom spoločnosti Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) spoločnosti Kyndryl, jej pridružených spoločností a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi spoločnosti Kyndryl, pokiaľ spoločnosť Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Dodávateľ písomne upozorní spoločnosť Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú spoločnosti Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným; a
(b) ak o to spoločnosť Kyndryl požiada, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkami, počas obdobia jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Spoločnosť Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na základe písomného oznámenia Dodávateľovi spoločnosť Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum namiesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra; a
(c) Zákazník nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály spoločnosti Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu na svoje Pracoviská a do kontrolovaných oblastí v rámci nich vrátane dočasného prístupu a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov spoločnosti Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály spoločnosti Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály spoločnosti Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti spoločnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov spoločnosti Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom spoločnosti Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bol individuálny, odvíjal sa od jednotlivých rolí a podliehal schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie nadbytočných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od spoločnosti Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom spoločnosti Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, spoločnosti Kyndryl (v súlade s jej právami na overovanie vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl (a na požiadanie poskytne spoločnosti Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hekovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami spoločnosti Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami spoločnosti Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť spoločnosti Kyndryl Dodávateľ poskytne spoločnosti Kyndryl písomné zhrnutie posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami spoločnosti Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály spoločnosti Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl vrátane podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail sa bude považovať za písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje spoločnosti Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní plniť všetky svoje záväzky voči spoločnosti Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať spoločnosť Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje spoločnosti Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci so spoločnosťou Kyndryl prešetrí a vyrieši takéto problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá spoločnosti Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont spoločnosti Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená funkcia viacfaktorového jediného prihlásenia v správe spoločnosti Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language).
7. Zmluvní subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví s ohľadom na čistenie médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov), Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a Článku X (Spolupráca, overovanie a riešenie problémov).
Príklady:
Dodávateľ uchováva alebo prenáša iné ako Osobné údaje, ktoré spoločnosť Kyndryl alebo Zákazníci poskytnú Dodávateľovi, má k nim prístup alebo ich iným spôsobom Spracúva.
Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné údaje spoločnosti Kyndryl ako Obchodné kontaktné údaje spoločnosti Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť údaje spoločnosti Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky a prostredí dátových centier.
1. Používanie údajov
1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl pridať do Údajov spoločnosti Kyndryl alebo zahrnúť do Údajov spoločnosti Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať údaje spoločnosti Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné účely ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť údaje spoločnosti Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať údaje spoločnosti Kyndryl.
1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.
2. Požiadavky zo strany tretích strán a mlčanlivosť
2.1 Dodávateľ neposkytne údaje spoločnosti Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany spoločnosti Kyndryl. Ak o prístup k Údajom spoločnosti Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov spoločnosti Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť údaje spoločnosti Kyndryl, Dodávateľ písomne informuje spoločnosť Kyndryl o takejto požiadavke alebo povinnosti a poskytne spoločnosti Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie spoločnosti Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov spoločnosti Kyndryl formou súdneho nariadenia alebo iným spôsobom).
2.2 Dodávateľ zaručuje spoločnosti Kyndryl, že: (a) prístup k Údajom spoločnosti Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať údaje spoločnosti Kyndryl iba v súlade s týmito Podmienkami.
3. Vrátenie alebo odstránenie Údajov spoločnosti Kyndryl
3.1 Dodávateľ v prípade ukončenia alebo uplynutia platnosti Transakčného dokumentu na základe rozhodnutia spoločnosti Kyndryl buď odstráni alebo vráti Údaje spoločnosti Kyndryl, prípadne tak urobí kedykoľvek skôr, ak o to spoločnosť Kyndryl požiada. Ak spoločnosť Kyndryl požiada o odstránenie Údajov, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie spoločnosti Kyndryl. Ak spoločnosť Kyndryl požiada o vrátenie Údajov spoločnosti Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu spoločnosti Kyndryl a podľa primeraných písomných pokynov spoločnosti Kyndryl.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným údajom spoločnosti Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje spoločnosti Kyndryl ani mať prístup k iným Materiálom spoločnosti Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) údaje spoločnosti Kyndryl pred neoprávneným Spracúvaním a (c) Technológie spoločnosti Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude prinajmenšom každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov spoločnosti Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom spoločnosti Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov spoločnosti Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov spoločnosti Kyndryl, a to vrátane zavedenia, správy a dodržiavania zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami spoločnosti Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom spoločnosti Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) spoločnosti Kyndryl, jej pridružených spoločností a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi spoločnosti Kyndryl, pokiaľ spoločnosť Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Dodávateľ písomne upozorní spoločnosť Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú spoločnosti Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným; a
(b) ak o to spoločnosť Kyndryl požiada, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkami, počas obdobia jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Spoločnosť Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na základe písomného oznámenia Dodávateľovi spoločnosť Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum namiesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra; a
(c) Zákazník nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály spoločnosti Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu na svoje Pracoviská a do kontrolovaných oblastí v rámci nich vrátane dočasného prístupu a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov spoločnosti Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály spoločnosti Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály spoločnosti Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti spoločnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov spoločnosti Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom spoločnosti Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bol individuálny, odvíjal sa od jednotlivých rolí a podliehal schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie nadbytočných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od spoločnosti Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom spoločnosti Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, spoločnosti Kyndryl (v súlade s jej právami na overovanie vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl (a na požiadanie poskytne spoločnosti Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hekovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami spoločnosti Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami spoločnosti Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť spoločnosti Kyndryl Dodávateľ poskytne spoločnosti Kyndryl písomné zhrnutie posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami spoločnosti Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály spoločnosti Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl vrátane podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail sa bude považovať za písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje spoločnosti Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní plniť všetky svoje záväzky voči spoločnosti Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať spoločnosť Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje spoločnosti Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci so spoločnosťou Kyndryl prešetrí a vyrieši takéto problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá spoločnosti Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont spoločnosti Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená funkcia viacfaktorového jediného prihlásenia v správe spoločnosti Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language).
7. Zmluvní subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví s ohľadom na čistenie médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článku IV (Technické a organizačné opatrenia, Zabezpečenie kódu), Článku V (Bezpečný vývoj), Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a Článku X (Spolupráca, overovanie a riešenie problémov).
Príklady:
Dodávateľ prevezme povinnosti súvisiace s vývojom kódu pre produkt spoločnosti Kyndryl a spoločnosť Kyndryl sprístupní svoj Zdrojový kód Dodávateľovi v súvislosti s takýmto vývojom.
Dodávateľ vyvíja Zdrojový kód, ktorého vlastníkom bude spoločnosť Kyndryl.
Článok IV, Technické a organizačné opatrenia, Zabezpečenie kódu
Tento Článok sa uplatňuje, ak má Dodávateľ prístup k Zdrojovému kódu spoločnosti Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť Zdrojový kód spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné požiadavky
Na účely ďalej uvedených podmienok:
Zakázaná krajina je ľubovoľná krajina, (a) ktorú vláda USA označila ako zahraničného nepriateľa podľa vládneho nariadenia z 15. mája 2019 o zabezpečení dodávateľského reťazca informačných a komunikačných technológií a služieb (Securing the Information and Communications Technology and Services Supply Chain), (b) ktorá je uvedená v Odseku 1654 Zákona o schválení národnej bezpečnosti USA (U.S. National Defense Authorization Act) z roku 2019 alebo (c) ktorá je označená ako „Zakázaná krajina“ v Transakčnom dokumente.
1.1 Dodávateľ nebude distribuovať Zdrojový kód spoločnosti Kyndryl ani ho neuloží do úschovy v prospech tretej strany.
1.2 Dodávateľ nepovolí uchovávanie Zdrojového kódu spoločnosti Kyndryl na serveroch, ktoré sa nachádzajú v Zakázanej krajine. Dodávateľ nepovolí žiadnej osobe (vrátane svojho Personálu), ktorá sa nachádza v Zakázanej krajine alebo navštevuje Zakázanú krajinu (počas trvania takejto návštevy), z akéhokoľvek dôvodu získať prístup k Zdrojovému kódu spoločnosti Kyndryl alebo ho použiť, a to bez ohľadu na to, kde sa tento Zdrojový kód spoločnosti Kyndryl geograficky nachádza, a Dodávateľ nepovolí vykonávanie činností vývoja či testovania ani iné činnosti v Zakázanej krajine, ktoré by vyžadovali takýto prístup alebo použitie.
1.3 Dodávateľ nebude uchovávať ani distribuovať Zdrojový kód spoločnosti Kyndryl v žiadnej jurisdikcii, v ktorej nejaký právny predpis alebo jeho interpretácia vyžaduje vyzradenie Zdrojového kódu ľubovoľnej tretej strane. Ak v jurisdikcii, v ktorej sa uchováva Zdrojový kód spoločnosti Kyndryl, dôjde k zmene právneho predpisu alebo interpretácii právneho predpisu, na základe ktorej bude Dodávateľ povinný poskytnúť takýto Zdrojový kód tretej strane, Dodávateľ okamžite zničí takýto Zdrojový kód spoločnosti Kyndryl alebo ho okamžite presunie z tejto jurisdikcie a už nebude uchovávať žiadny Zdrojový kód spoločnosti Kyndryl v takejto jurisdikcii po dobu účinnosti takéhoto právneho predpisu alebo jeho interpretácie.
1.4 Dodávateľ priamo ani nepriamo nevykoná žiadne kroky (vrátane uzatvorenia zmluvy), v dôsledku ktorých by Dodávateľovi, spoločnosti Kyndryl alebo akejkoľvek tretej strane vznikla povinnosť zverejnenia podľa Odsekov 1654 alebo 1655 Zákona o schválení národnej bezpečnosti USA z roku 2019. Na objasnenie: Pokiaľ to výslovne nepovoľuje Transakčný dokument alebo príslušná rámcová zmluva uzavretá medzi zmluvnými stranami, Dodávateľ nesmie za žiadnych okolností vyzradiť Zdrojový kód spoločnosti Kyndryl žiadnej tretej strane bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl.
1.5 Ak spoločnosť Kyndryl upozorní Dodávateľa alebo ak nejaká tretia strana upozorní niektorú zmluvnú stranu na to, že: (a) Dodávateľ povolil vývoz Zdrojového kódu spoločnosti Kyndryl do Zakázanej krajiny alebo akejkoľvek jurisdikcie podliehajúcej Odseku 1.3 vyššie, (b) Dodávateľ iným spôsobom uvoľnil alebo použil Zdrojový kód spoločnosti Kyndryl alebo k nemu získal prístup spôsobom, ktorý nepovoľuje Transakčný dokument alebo súvisiaca rámcová či iná zmluva uzatvorená medzi zmluvnými stranami, alebo (c) Dodávateľ porušil ustanovenia Odseku 1.4 vyššie, bez obmedzenia práv spoločnosti Kyndryl riešiť takéto porušenie právnou cestou či na základe princípov práva ekvity, Transakčného dokumentu alebo inej súvisiacej rámcovej či inej zmluvy uzatvorenej medzi zmluvnými stranami: (i) ak bol upozornený Dodávateľ, Dodávateľ bezodkladne poskytne takéto upozornenie spoločnosti Kyndryl, a (ii) Dodávateľ na základe primeraného pokynu spoločnosti Kyndryl prešetrí alebo vyrieši porušenie podľa primeraného harmonogramu, ktorý určí spoločnosť Kyndryl (po konzultácii s Dodávateľom).
1.6 Ak sa spoločnosť Kyndryl bude dôvodne domnievať, že sú nevyhnutné zmeny v zásadách, postupoch, kontrolných mechanizmoch alebo procesoch Dodávateľa v súvislosti s prístupom k Zdrojovému kódu na eliminovanie rizík súvisiacich s kybernetickou bezpečnosťou, krádežou duševného vlastníctva alebo podobných alebo súvisiacich rizík (vrátane rizika, že bez takýchto zmien by spoločnosť Kyndryl nemohla predávať svoje produkty niektorým Zákazníkom alebo na niektorých trhoch, prípadne by nebola schopná splniť požiadavky týkajúce sa bezpečnosti Zákazníkov alebo dodávateľského reťazca), spoločnosť Kyndryl sa môže obrátiť na Dodávateľa s cieľom prediskutovať kroky, ktoré je nevyhnutné vykonať s cieľom eliminovať takéto riziká vrátane zmien v zásadách, postupoch, kontrolných mechanizmoch alebo procesoch. Dodávateľ na žiadosť spoločnosti Kyndryl v spolupráci so spoločnosťou Kyndryl určí, či sú takéto zmeny nevyhnutné a v prípade potreby zavedie dohodnuté zmeny.
---
Článok V, Bezpečný vývoj
Tento Článok sa uplatňuje, ak bude Dodávateľ poskytovať spoločnosti Kyndryl svoj vlastný Zdrojový kód, Zdrojový kód tretej strany alebo Lokálny softvér, prípadne ak sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkom spoločnosti Kyndryl v rámci produktov a služieb spoločnosti Kyndryl.
1. Pripravenosť z hľadiska zabezpečenia
1.1 Dodávateľ bude využívať interné procesy spoločnosti Kyndryl, ktoré slúžia na hodnotenie pripravenosti produktov a služieb spoločnosti Kyndryl, ktoré sú závislé na Dodávaných produktoch Dodávateľa, z hľadiska zabezpečenia, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
2. Bezpečný vývoj
2.1 Tento Odsek 2 sa uplatňuje iba vtedy, ak Dodávateľ poskytuje spoločnosti Kyndryl Lokálny softvér.
2.2 Dodávateľ zaviedol a počas trvania Transakčného dokumentu bude v súlade s odporúčanými postupmi v odvetví udržiavať bezpečnostné predpisy, postupy a kontrolné mechanizmy týkajúce sa sietí, platforiem, systémov, aplikácií, zariadení, fyzickej infraštruktúry, reakcie na incidenty a personálu, ktoré sú nevyhnutné v záujme ochrany: (a) vývojových, zostavovacích, testovacích a prevádzkových systémov a prostredí, ktoré Dodávateľ alebo tretia strana, ktorej služby Dodávateľ využíva, prevádzkuje, spravuje, používa alebo inak využíva v súvislosti s Dodávanými produktmi, a (b) zdrojového kódu, ktorý je Dodávaným produktom, pred stratou, nezákonným zaobchádzaním a neoprávneným prístupom k nemu, vyzradeniu alebo pozmeneniu.
3. Certifikácia ISO 20243
3.1 Tento Odsek 3 sa uplatňuje iba vtedy, keď sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkovi spoločnosti Kyndryl v rámci produktu alebo služby spoločnosti Kyndryl.
3.2 Dodávateľ získa certifikáciu súladu s normou ISO 20243, Informačné technológie, poskytovateľ otvorených dôveryhodných technológií, TM Standard (O-TTPS), minimalizácia dopadu škodlivých nakazených a falšovaných produktov (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom). Prípadne, ak o to Dodávateľ písomne požiada a spoločnosť Kyndryl to písomne schváli, Dodávateľ môže získať certifikáciu súladu s v podstate ekvivalentnou priemyselnou normou, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom, podľa schválenia spoločnosťou Kyndryl).
3.3 Dodávateľ získa certifikáciu súladu s normou ISO 20243 alebo v podstate ekvivalentnou priemyselnou normou (ak to spoločnosť Kyndryl písomne schváli) do 180 dní od dátumu platnosti Transakčného dokumentu
a bude si ju následne obnovovať každých 12 mesiacov (každé obnovenie sa bude týkať najnovšej verzie normy ISO 20243 alebo, ak to spoločnosť Kyndryl písomne schváli, v podstate ekvivalentnej priemyselnej normy, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca).
3.4 Dodávateľ na požiadanie bezodkladne poskytne spoločnosti Kyndryl kópiu všetkých certifikácií, ktoré je Dodávateľ povinný získať podľa Odsekov 2.1 a 2.2 vyššie.
4. Chyby zabezpečenia
Na účely ďalej uvedených podmienok:
Oprava chýb znamená opravy nedostatkov a revízie, ktoré opravujú chyby alebo nedostatky vrátane Chýb zabezpečenia v Dodávaných produktoch.
Riešenie na minimalizáciu dopadu znamená akýkoľvek známy spôsob minimalizácie alebo eliminácie rizík súvisiacich s Chybou zabezpečenia.
Chyba zabezpečenia znamená stav v návrhu, kóde, vývoji, implementácii, testovaní, prevádzke, podpore, údržbe alebo riadení Dodávaného produktu, v dôsledku ktorého je možný útok zo strany ľubovoľnej osoby, pričom takýto útok môže mať za následok neoprávnený prístup alebo zneužitie vrátane: (a) prístupu do systému, ovládnutia systému alebo prerušenia jeho prevádzky, (b) prístupu k údajom, ich odstránenia, pozmenenia alebo extrakcie alebo (c) zmien v identite, oprávneniach alebo povoleniach používateľov alebo správcov. Chyba zabezpečenia môže existovať bez ohľadu na to, či jej bol pridelený identifikátor CVE (Common Vulnerabilities and Exposures) ID alebo hodnotenie alebo oficiálna klasifikácia.
4.1 Dodávateľ vyhlasuje a zaručuje, že bude: (a) využívať Odporúčané postupy v odvetví na identifikáciu Chýb zabezpečenia vrátane nepretržitej a dôkladnej statickej a dynamickej kontroly zabezpečenia aplikácií na úrovni zdrojového kódu, zabezpečenia otvoreného zdrojového kódu a systémových zraniteľností a (b) bude dodržiavať požiadavky vyplývajúce z týchto Podmienok s cieľom eliminovať, zistiť a napraviť Chyby zabezpečenia v Dodávaných produktoch a vo všetkých IT aplikáciách, platformách a infraštruktúrach, v ktorých a prostredníctvom ktorých Dodávateľ vytvára a poskytuje Služby a Dodávané produkty.
4.2 Ak Dodávateľ získa vedomosť o Chybe zabezpečenia v Dodávanom produkte alebo ľubovoľnej IT aplikácii, platforme alebo infraštruktúre, poskytne spoločnosti Kyndryl Opravu chýb a Riešenia na minimalizáciu dopadu pre všetky verzie a vydania Dodávaných produktov podľa Úrovní závažnosti a časových intervalov definovaných v tabuľke nižšie:
Úroveň závažnosti*
Naliehavá Chyba zabezpečenia je Chyba zabezpečenia, ktorá predstavuje kritickú a potenciálne globálnu hrozbu. Spoločnosť Kyndryl označuje Chyby zabezpečenia ako Naliehavé Chyby zabezpečenia na základe svojho vlastného uváženia bez ohľadu na východiskové skóre podľa CVSS.
Kritická – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 9 do 10,0
Vysoká – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 7,0 do 8,9
Stredná – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 4,0 do 6,9
Nízka – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 0,0 do 3,9
Časové intervaly
Naliehavá
Kritická
Vysoká
Stredná
Nízka
4 Dni alebo menej, podľa uváženia riaditeľa pre bezpečnosť informácií v spoločnosti Kyndryl
30 Dní
30 Dní
90 Dní
Podľa Odporúčaných postupov v odvetví
* V prípade, že k Chybe zabezpečenia ešte nebolo priznané východiskové skóre CVSS, Dodávateľ priradí vhodnú Úroveň závažnosti podľa charakteru a okolností danej zraniteľnosti.
4.3 Ak ide o Chybu zabezpečenia, ktorá bola verejne publikovaná, ale Dodávateľ ešte neposkytol spoločnosti Kyndryl súvisiacu Opravu chýb ani Riešenie na minimalizáciu dopadu, Dodávateľ zavedie ďalšie technicky realizovateľné bezpečnostné kontrolné opatrenia, ktoré môžu dopomôcť k minimalizácii rizík súvisiacich s chybou zabezpečenia.
4.4 Ak spoločnosť Kyndryl nebude spokojná s reakciou Dodávateľa na Chybu zabezpečenia v Dodávanom produkte alebo vyššie uvedenej aplikácii, platforme alebo infraštruktúre, Dodávateľ bezodkladne zabezpečí pre spoločnosť Kyndryl možnosť prediskutovať svoje obavy priamo s viceprezidentom spoločnosti Dodávateľa alebo ekvivalentným vyšším manažérom, ktorý je zodpovedný za dodanie Opravy chyby, a to bez obmedzenia ďalších práv spoločnosti Kyndryl.
4.5 Medzi príklady Chýb zabezpečenia patrí aj kód tretej strany alebo otvorený zdrojový kód s ukončenou podporou (EOS), pre ktorý sa už neposkytujú bezpečnostné opravy.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným údajom spoločnosti Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje spoločnosti Kyndryl ani mať prístup k iným Materiálom spoločnosti Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) údaje spoločnosti Kyndryl pred neoprávneným Spracúvaním a (c) Technológie spoločnosti Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude prinajmenšom každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov spoločnosti Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom spoločnosti Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov spoločnosti Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov spoločnosti Kyndryl, a to vrátane zavedenia, správy a dodržiavania zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami spoločnosti Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom spoločnosti Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) spoločnosti Kyndryl, jej pridružených spoločností a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi spoločnosti Kyndryl, pokiaľ spoločnosť Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Dodávateľ písomne upozorní spoločnosť Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú spoločnosti Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným; a
(b) ak o to spoločnosť Kyndryl požiada, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkami, počas obdobia jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Spoločnosť Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na základe písomného oznámenia Dodávateľovi spoločnosť Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum namiesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra; a
(c) Zákazník nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály spoločnosti Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu na svoje Pracoviská a do kontrolovaných oblastí v rámci nich vrátane dočasného prístupu a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov spoločnosti Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály spoločnosti Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály spoločnosti Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti spoločnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov spoločnosti Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom spoločnosti Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bol individuálny, odvíjal sa od jednotlivých rolí a podliehal schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie nadbytočných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od spoločnosti Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom spoločnosti Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, spoločnosti Kyndryl (v súlade s jej právami na overovanie vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl (a na požiadanie poskytne spoločnosti Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hekovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami spoločnosti Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami spoločnosti Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť spoločnosti Kyndryl Dodávateľ poskytne spoločnosti Kyndryl písomné zhrnutie posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami spoločnosti Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály spoločnosti Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl vrátane podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail sa bude považovať za písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje spoločnosti Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní plniť všetky svoje záväzky voči spoločnosti Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať spoločnosť Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje spoločnosti Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci so spoločnosťou Kyndryl prešetrí a vyrieši takéto problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá spoločnosti Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont spoločnosti Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená funkcia viacfaktorového jediného prihlásenia v správe spoločnosti Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language).
7. Zmluvní subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví s ohľadom na čistenie médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
-
Ak áno, čiže Dodávateľ bude poskytovať svoj Zdrojový kód alebo Zdrojový kód tretej strany spoločnosti Kyndryl alebo niektoré Dodávané produkty alebo Služby Dodávateľa budú ponúkané Zákazníkom spoločnosti Kyndryl v rámci produktov a služieb spoločnosti Kyndryl, bude sa uplatňovať Článok V (Bezpečný vývoj), Článok VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a Článok X (Spolupráca, overovanie a riešenie problémov).
Ak Dodávateľ poskytuje spoločnosti Kyndryl iba Lokálny softvér, bude sa uplatňovať Článok V (Bezpečný vývoj) a Článok X (Spolupráca, overovanie a riešenie problémov).
Príklady:
Dodávateľ vyvíja Zdrojový kód, ktorého vlastníkom bude Dodávateľ, pre produkt, ktorý bude ponúkať a predávať spoločnosť Kyndryl.
Dodávateľ poskytuje na základe licencie spoločnosti Kyndryl softvérový program na lokálne použitie v spoločnosti Kyndryl.
Spoločnosť Kyndryl bude ponúkať Hosťovanú službu Dodávateľa, ktorú bude hosťovať a spravovať Dodávateľ, ako produkt alebo službu spoločnosti Kyndryl.
Poznámka: Článok VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) sa bude vzťahovať aj na poskytovanie Lokálneho softvéru spoločnosti Kyndryl Dodávateľom, ak v dôsledku iných okolností sa bude uplatňovať Článok VIII (napríklad ak má Dodávateľ prístup aj k iným než Obchodným kontaktným údajom, ako sú Osobné alebo iné údaje spoločnosti Kyndryl).
Článok V, Bezpečný vývoj
Tento Článok sa uplatňuje, ak bude Dodávateľ poskytovať spoločnosti Kyndryl svoj vlastný Zdrojový kód, Zdrojový kód tretej strany alebo Lokálny softvér, prípadne ak sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkom spoločnosti Kyndryl v rámci produktov a služieb spoločnosti Kyndryl.
1. Pripravenosť z hľadiska zabezpečenia
1.1 Dodávateľ bude využívať interné procesy spoločnosti Kyndryl, ktoré slúžia na hodnotenie pripravenosti produktov a služieb spoločnosti Kyndryl, ktoré sú závislé na Dodávaných produktoch Dodávateľa, z hľadiska zabezpečenia, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
2. Bezpečný vývoj
2.1 Tento Odsek 2 sa uplatňuje iba vtedy, ak Dodávateľ poskytuje spoločnosti Kyndryl Lokálny softvér.
2.2 Dodávateľ zaviedol a počas trvania Transakčného dokumentu bude v súlade s odporúčanými postupmi v odvetví udržiavať bezpečnostné predpisy, postupy a kontrolné mechanizmy týkajúce sa sietí, platforiem, systémov, aplikácií, zariadení, fyzickej infraštruktúry, reakcie na incidenty a personálu, ktoré sú nevyhnutné v záujme ochrany: (a) vývojových, zostavovacích, testovacích a prevádzkových systémov a prostredí, ktoré Dodávateľ alebo tretia strana, ktorej služby Dodávateľ využíva, prevádzkuje, spravuje, používa alebo inak využíva v súvislosti s Dodávanými produktmi, a (b) zdrojového kódu, ktorý je Dodávaným produktom, pred stratou, nezákonným zaobchádzaním a neoprávneným prístupom k nemu, vyzradeniu alebo pozmeneniu.
3. Certifikácia ISO 20243
3.1 Tento Odsek 3 sa uplatňuje iba vtedy, keď sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkovi spoločnosti Kyndryl v rámci produktu alebo služby spoločnosti Kyndryl.
3.2 Dodávateľ získa certifikáciu súladu s normou ISO 20243, Informačné technológie, poskytovateľ otvorených dôveryhodných technológií, TM Standard (O-TTPS), minimalizácia dopadu škodlivých nakazených a falšovaných produktov (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom). Prípadne, ak o to Dodávateľ písomne požiada a spoločnosť Kyndryl to písomne schváli, Dodávateľ môže získať certifikáciu súladu s v podstate ekvivalentnou priemyselnou normou, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom, podľa schválenia spoločnosťou Kyndryl).
3.3 Dodávateľ získa certifikáciu súladu s normou ISO 20243 alebo v podstate ekvivalentnou priemyselnou normou (ak to spoločnosť Kyndryl písomne schváli) do 180 dní od dátumu platnosti Transakčného dokumentu
a bude si ju následne obnovovať každých 12 mesiacov (každé obnovenie sa bude týkať najnovšej verzie normy ISO 20243 alebo, ak to spoločnosť Kyndryl písomne schváli, v podstate ekvivalentnej priemyselnej normy, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca).
3.4 Dodávateľ na požiadanie bezodkladne poskytne spoločnosti Kyndryl kópiu všetkých certifikácií, ktoré je Dodávateľ povinný získať podľa Odsekov 2.1 a 2.2 vyššie.
4. Chyby zabezpečenia
Na účely ďalej uvedených podmienok:
Oprava chýb znamená opravy nedostatkov a revízie, ktoré opravujú chyby alebo nedostatky vrátane Chýb zabezpečenia v Dodávaných produktoch.
Riešenie na minimalizáciu dopadu znamená akýkoľvek známy spôsob minimalizácie alebo eliminácie rizík súvisiacich s Chybou zabezpečenia.
Chyba zabezpečenia znamená stav v návrhu, kóde, vývoji, implementácii, testovaní, prevádzke, podpore, údržbe alebo riadení Dodávaného produktu, v dôsledku ktorého je možný útok zo strany ľubovoľnej osoby, pričom takýto útok môže mať za následok neoprávnený prístup alebo zneužitie vrátane: (a) prístupu do systému, ovládnutia systému alebo prerušenia jeho prevádzky, (b) prístupu k údajom, ich odstránenia, pozmenenia alebo extrakcie alebo (c) zmien v identite, oprávneniach alebo povoleniach používateľov alebo správcov. Chyba zabezpečenia môže existovať bez ohľadu na to, či jej bol pridelený identifikátor CVE (Common Vulnerabilities and Exposures) ID alebo hodnotenie alebo oficiálna klasifikácia.
4.1 Dodávateľ vyhlasuje a zaručuje, že bude: (a) využívať Odporúčané postupy v odvetví na identifikáciu Chýb zabezpečenia vrátane nepretržitej a dôkladnej statickej a dynamickej kontroly zabezpečenia aplikácií na úrovni zdrojového kódu, zabezpečenia otvoreného zdrojového kódu a systémových zraniteľností a (b) bude dodržiavať požiadavky vyplývajúce z týchto Podmienok s cieľom eliminovať, zistiť a napraviť Chyby zabezpečenia v Dodávaných produktoch a vo všetkých IT aplikáciách, platformách a infraštruktúrach, v ktorých a prostredníctvom ktorých Dodávateľ vytvára a poskytuje Služby a Dodávané produkty.
4.2 Ak Dodávateľ získa vedomosť o Chybe zabezpečenia v Dodávanom produkte alebo ľubovoľnej IT aplikácii, platforme alebo infraštruktúre, poskytne spoločnosti Kyndryl Opravu chýb a Riešenia na minimalizáciu dopadu pre všetky verzie a vydania Dodávaných produktov podľa Úrovní závažnosti a časových intervalov definovaných v tabuľke nižšie:
Úroveň závažnosti*
Naliehavá Chyba zabezpečenia je Chyba zabezpečenia, ktorá predstavuje kritickú a potenciálne globálnu hrozbu. Spoločnosť Kyndryl označuje Chyby zabezpečenia ako Naliehavé Chyby zabezpečenia na základe svojho vlastného uváženia bez ohľadu na východiskové skóre podľa CVSS.
Kritická – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 9 do 10,0
Vysoká – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 7,0 do 8,9
Stredná – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 4,0 do 6,9
Nízka – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 0,0 do 3,9
Časové intervaly
Naliehavá
Kritická
Vysoká
Stredná
Nízka
4 Dni alebo menej, podľa uváženia riaditeľa pre bezpečnosť informácií v spoločnosti Kyndryl
30 Dní
30 Dní
90 Dní
Podľa Odporúčaných postupov v odvetví
* V prípade, že k Chybe zabezpečenia ešte nebolo priznané východiskové skóre CVSS, Dodávateľ priradí vhodnú Úroveň závažnosti podľa charakteru a okolností danej zraniteľnosti.
4.3 Ak ide o Chybu zabezpečenia, ktorá bola verejne publikovaná, ale Dodávateľ ešte neposkytol spoločnosti Kyndryl súvisiacu Opravu chýb ani Riešenie na minimalizáciu dopadu, Dodávateľ zavedie ďalšie technicky realizovateľné bezpečnostné kontrolné opatrenia, ktoré môžu dopomôcť k minimalizácii rizík súvisiacich s chybou zabezpečenia.
4.4 Ak spoločnosť Kyndryl nebude spokojná s reakciou Dodávateľa na Chybu zabezpečenia v Dodávanom produkte alebo vyššie uvedenej aplikácii, platforme alebo infraštruktúre, Dodávateľ bezodkladne zabezpečí pre spoločnosť Kyndryl možnosť prediskutovať svoje obavy priamo s viceprezidentom spoločnosti Dodávateľa alebo ekvivalentným vyšším manažérom, ktorý je zodpovedný za dodanie Opravy chyby, a to bez obmedzenia ďalších práv spoločnosti Kyndryl.
4.5 Medzi príklady Chýb zabezpečenia patrí aj kód tretej strany alebo otvorený zdrojový kód s ukončenou podporou (EOS), pre ktorý sa už neposkytujú bezpečnostné opravy.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným údajom spoločnosti Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje spoločnosti Kyndryl ani mať prístup k iným Materiálom spoločnosti Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) údaje spoločnosti Kyndryl pred neoprávneným Spracúvaním a (c) Technológie spoločnosti Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude prinajmenšom každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov spoločnosti Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom spoločnosti Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov spoločnosti Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov spoločnosti Kyndryl, a to vrátane zavedenia, správy a dodržiavania zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami spoločnosti Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom spoločnosti Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) spoločnosti Kyndryl, jej pridružených spoločností a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi spoločnosti Kyndryl, pokiaľ spoločnosť Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Dodávateľ písomne upozorní spoločnosť Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú spoločnosti Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným; a
(b) ak o to spoločnosť Kyndryl požiada, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkami, počas obdobia jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Spoločnosť Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na základe písomného oznámenia Dodávateľovi spoločnosť Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum namiesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra; a
(c) Zákazník nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály spoločnosti Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu na svoje Pracoviská a do kontrolovaných oblastí v rámci nich vrátane dočasného prístupu a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov spoločnosti Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály spoločnosti Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály spoločnosti Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti spoločnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov spoločnosti Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom spoločnosti Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bol individuálny, odvíjal sa od jednotlivých rolí a podliehal schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie nadbytočných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od spoločnosti Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom spoločnosti Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, spoločnosti Kyndryl (v súlade s jej právami na overovanie vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl (a na požiadanie poskytne spoločnosti Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hekovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami spoločnosti Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami spoločnosti Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť spoločnosti Kyndryl Dodávateľ poskytne spoločnosti Kyndryl písomné zhrnutie posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami spoločnosti Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály spoločnosti Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl vrátane podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail sa bude považovať za písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje spoločnosti Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní plniť všetky svoje záväzky voči spoločnosti Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať spoločnosť Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje spoločnosti Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci so spoločnosťou Kyndryl prešetrí a vyrieši takéto problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá spoločnosti Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont spoločnosti Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená funkcia viacfaktorového jediného prihlásenia v správe spoločnosti Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language).
7. Zmluvní subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví s ohľadom na čistenie médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článku VI (Prístup k Podnikovým systémom), Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a Článku X (Spolupráca, overovanie a riešenie problémov).
Príklady:
Dodávateľ v dôsledku svojich povinností súvisiacich s vývojom kódu nevyhnutne potrebuje prístup k depozitárom Zdrojového kódu spoločnosti Kyndryl.
Poznámka: Môže sa uplatňovať aj Článok II (Technické a organizačné opatrenia, Zabezpečenie údajov), Článok III (Ochrana osobných údajov), Článok IV (Technické a organizačné opatrenia, Zabezpečenie kódu) a Článok V (Bezpečný vývoj) podľa toho, ku ktorým Materiálom spoločnosti Kyndryl bude mať Dodávateľ prístup v rámci Podnikových systémov.
Článok VI, Prístup k Podnikovým systémom
Tento Článok sa uplatňuje, ak budú mať zamestnanci Dodávateľa prístup k Podnikovému systému.
1. Všeobecné podmienky
1.1 To, či zamestnanci Dodávateľa budú mať povolený prístup k Podnikovým systémom, určí spoločnosť Kyndryl. Ak spoločnosť Kyndryl umožní takýto prístup, Dodávateľ sa zaväzuje dodržiavať požiadavky uvedené v tomto Článku a zaviazať svojich zamestnancov s prístupom k Podnikovým systémom k ich dodržiavaniu.
1.2 Spoločnosť Kyndryl určí spôsoby, ako môžu zamestnanci Dodávateľa získať prístup k Podnikovým systémom, a to vrátane toho, či budú mať takýto zamestnanci prístup k Podnikovým systémom zo zariadení poskytnutých spoločnosťou Kyndryl alebo zariadení poskytnutých Dodávateľom.
1.3 Zamestnanci Dodávateľa môžu k Podnikovým systémom pristupovať výhradne v súvislosti s poskytovaním Služieb a na takýto prístup môžu používať iba Zariadenia schválené spoločnosťou Kyndryl. Zamestnanci Dodávateľa nesmú používať Zariadenia, ktoré spoločnosť Kyndryl schváli, na poskytovanie služieb žiadnym iným osobám ani subjektom a ani na prístup k IT systémom, sieťam, aplikáciám, webovým lokalitám, e-mailovým nástrojom, nástrojom na spoluprácu alebo podobným prostriedkom Dodávateľa alebo tretej strany v súvislosti so Službami.
1.4 Na objasnenie: Zamestnanci Dodávateľa nesmú Zariadenia, ktoré spoločnosť Kyndryl schváli na prístup k Podnikovým systémom, používať na osobné použitie (zamestnanci Dodávateľa nesmú napríklad ukladať osobné súbory, ako sú hudba, videá, obrázky a podobné položky do takýchto Zariadení a nemôžu sa z takýchto Zariadení pripojiť na internet z osobných dôvodov).
1.5 Zamestnanci Dodávateľa nesmú kopírovať Materiály spoločnosti Kyndryl, ktoré sú prístupné cez Podnikový systém, bez predchádzajúceho písomného schválenia spoločnosťou Kyndryl (a nikdy nesmú kopírovať žiadne Materiály spoločnosti Kyndryl na prenosné úložné zariadenia, ako sú USB kľúče, externé jednotky pevných diskov a podobné zariadenia).
1.6 Dodávateľ na požiadanie poskytne informácie o tom, ku ktorému konkrétnemu Podnikovému systému, ku ktorému majú jeho zamestnanci prístup, získali jeho zamestnanci prístup počas ľubovoľného časového úseku určeného spoločnosťou Kyndryl, a to podľa mena zamestnanca.
1.7 Dodávateľ bude do dvadsiatich štyroch (24) hodín informovať spoločnosť Kyndryl, ak zamestnanec Dodávateľa, ktorý má prístup k nejakému Podnikovému systému, prestane: (a) byť zamestnancom Dodávateľa alebo (b) pracovať na činnostiach, pri ktorých je nevyhnutný prístup k takýmto systémom. Dodávateľ v spolupráci so spoločnosťou Kyndryl zabezpečí okamžité zrušenie prístupu takýchto svojich bývalých alebo aktuálnych zamestnancov.
1.8 Dodávateľ okamžite nahlási spoločnosti Kyndryl skutočné alebo predpokladané bezpečnostné incidenty (napríklad strata Zariadenia spoločnosti Kyndryl alebo Dodávateľa alebo neoprávnený prístup k Zariadeniu alebo údajom, materiálom alebo iným informáciám akéhokoľvek druhu) a v spolupráci so spoločnosťou Kyndryl prešetrí takéto incidenty.
1.9 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl povoliť žiadnemu zástupcovi, nezávislému zmluvnému dodávateľovi ani zamestnancovi zmluvného subdodávateľa prístup k žiadnym Podnikovým systémom. Ak spoločnosť Kyndryl udelí súhlas s takýmto prístupom, Dodávateľ zmluvne zaviaže príslušné osoby a ich zamestnancov k dodržiavaniu požiadaviek tohto Článku rovnako, ako keby boli zamestnancami Dodávateľa, a bude niesť voči spoločnosti Kyndryl zodpovednosť za všetky činnosti a zanedbania povinností zo strany takýchto osôb alebo ich zamestnávateľa vo vzťahu k takémuto prístupu k Podnikovým systémom.
2. Softvér Zariadenia
2.1 Dodávateľ nariadi svojim zamestnancom, aby si do Zariadení včas nainštalovali všetok softvér, ktorý spoločnosť Kyndryl vyžaduje na zaručenie bezpečného prístupu k Podnikovým systémom. Dodávateľ ani jeho zamestnanci nebudú zasahovať do fungovania takéhoto softvéru ani funkcií zabezpečenia, ktoré tento softvér poskytuje.
2.2 Dodávateľ a jeho zamestnanci budú dodržiavať pravidlá konfigurácie Zariadení, ktoré spoločnosť Kyndryl stanoví, a inými spôsobmi zabezpečí, že softvér bude fungovať tak, ako to spoločnosť Kyndryl zamýšľa. Dodávateľ napríklad nebude manipulovať s funkciami blokovania webových stránok alebo automatickej inštalácie opráv takéhoto softvéru.
2.3 Zamestnanci Dodávateľa nesmú zdieľať Zariadenia, ktoré používajú na prístup k Podnikovým systémom, ani mená používateľov, heslá a podobné informácie s inými osobami.
2.4 Ak spoločnosť Kyndryl povolí zamestnancom Dodávateľa prístup k Podnikovým systémom zo Zariadení Dodávateľa, Dodávateľ do týchto Zariadení nainštaluje operačný systém schválený spoločnosťou Kyndryl a v prípade, že mu to spoločnosť Kyndryl nariadi, inovuje tento operačný systém na novú verziu alebo nainštaluje nový operačný systém v primeranom časovom horizonte.
3. Dohľad a spolupráca
3.1 Spoločnosť Kyndryl má bezvýhradné právo monitorovať a riešiť potenciálne neoprávnené vniknutia a iné kybernetické hrozby akýmikoľvek spôsobmi, z akýchkoľvek umiestnení a pomocou akýchkoľvek prostriedkov, ktoré bude spoločnosť Kyndryl považovať za nevyhnutné alebo vhodné, a to bez predchádzajúceho upozornenia Dodávateľa, akéhokoľvek zamestnanca Dodávateľa alebo iných osôb. Medzi tieto práva spoločnosti Kyndryl patrí napríklad právo spoločnosti Kyndryl kedykoľvek (a) vykonať testovanie zabezpečenia ľubovoľného Zariadenia, (b) monitorovať, technickým alebo iným spôsobom obnoviť a kontrolovať komunikácie (vrátane e-mailov z ľubovoľných e-mailových kont), záznamy, súbory a iné položky uložené v ľubovoľnom Zariadení alebo prenášané cez ľubovoľný Podnikový systém a (c) získať úplný forenzný obraz ľubovoľného Zariadenia. Ak bude spoločnosť Kyndryl potrebovať súčinnosť Dodávateľa pri uplatňovaní svojich práv, Dodávateľ v plnej miere a včas splní požiadavky spoločnosti Kyndryl súvisiace s takouto súčinnosťou (napríklad vrátane požiadaviek na bezpečnú konfiguráciu Zariadenia, inštaláciu monitorovacieho a iného softvéru do Zariadenia, poskytnutie informácií o pripojení na úrovni systému, spoluúčasť na opatreniach súvisiacich s reagovaním na incidenty v súvislosti so Zariadením a poskytnutie fyzického prístupu k ľubovoľnému Zariadeniu, aby napríklad spoločnosť Kyndryl mohla získať úplný forenzný obraz, a iných podobných požiadaviek).
3.2 Spoločnosť Kyndryl môže kedykoľvek zrušiť prístup ktoréhokoľvek zamestnanca Dodávateľa alebo všetkých zamestnancov Dodávateľa k Podnikovým systémom, a to bez predchádzajúceho upozornenia Dodávateľa, zamestnanca Dodávateľa alebo iných osôb, ak sa spoločnosť Kyndryl domnieva, že je to nevyhnutné v záujme ochrany spoločnosti Kyndryl.
3.3 Žiadne ustanovenia Transakčného dokumentu, súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami ani žiadnej inej zmluvy medzi stranami vrátane ustanovení, ktoré určujú, že údaje, materiály alebo ľubovoľné iné informácie sa môžu uchovávať iba v určených umiestneniach, alebo ktoré stanovujú, že k takýmto údajom, materiálom alebo iným informáciám môžu pristupovať iba osoby z vybraných umiestnení, nijak neanulujú ani neobmedzujú práva spoločnosti Kyndryl.
4. Zariadenia spoločnosti Kyndryl
4.1 Spoločnosť Kyndryl si zachováva vlastnícke práva na všetky Zariadenia spoločnosti Kyndryl, pričom Dodávateľ bude znášať riziko straty týchto Zariadení vrátane ich krádeže, vandalizmu alebo zanedbania povinností pri ich držbe. Dodávateľ nevykoná ani nepovolí vykonať žiadne úpravy Zariadení spoločnosti Kyndryl bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl, pričom za úpravu sa bude považovať každá zmena v Zariadení vrátane zmien v softvéri, aplikáciách, návrhu zabezpečenia, konfigurácii zabezpečenia alebo fyzickej, mechanickej alebo elektronickej konštrukcii Zariadenia.
4.2 Dodávateľ vráti všetky Zariadenia spoločnosti Kyndryl do 5 pracovných dní odo dňa, kedy zanikne potreba používať tieto Zariadenia v súvislosti s poskytovaním Služieb, a zároveň na žiadosť spoločnosti Kyndryl zničí všetky údaje, materiály a iné ľubovoľné informácie v týchto Zariadeniach bez uchovania ich kópie, a to trvalým vymazaním všetkých takýchto údajov, materiálov a iných informácií podľa Odporúčaných postupov v odvetví. Dodávateľ zabalí Zariadenia spoločnosti Kyndryl a na vlastné náklady ich vráti na miesto, ktoré určí spoločnosť Kyndryl, v rovnakom stave, v akom mu boli poskytnuté, s prihliadnutím na primerané opotrebenie. Ak Dodávateľ nedodrží niektorú povinnosť, ktorá mu vyplýva z tohto Odseku 4.2, bude sa to považovať za závažné porušenie Transakčného dokumentu a súvisiacej rámcovej zmluvy alebo inej súvisiacej zmluvy uzavretej medzi zmluvnými stranami, pričom zmluva sa bude považovať za „súvisiacu“, ak prístup k Podnikovým systémom umožňuje Dodávateľovi vykonávať úlohy alebo iné činnosti na základe tejto zmluvy.
4.3 Spoločnosť Kyndryl bude poskytovať podporu pre Zariadenia spoločnosti Kyndryl (vrátane kontroly Zariadení a preventívnej a nápravnej údržby). Dodávateľ bezodkladne informuje spoločnosť Kyndryl o potrebe opravného servisu.
4.4. Spoločnosť Kyndryl udeľuje Dodávateľovi dočasné právo na používanie, ukladanie a vytváranie dostatočného počtu kópií, ktoré sú nevyhnutné na podporu oprávneného použitia Zariadení spoločnosti Kyndryl, softvérových programov, ktoré spoločnosť Kyndryl vlastní alebo pre ktoré má právo na udelenie licencií. Dodávateľ nesmie previesť programy na iné osoby, vytvárať kópie licenčných informácií pre softvér ani analyzovať, dekompilovať, vykonávať postupy reverzného inžinierstva ani inak prekladať žiadne programy, pokiaľ to výslovne nepovoľujú platné právne predpisy bez možnosti zmluvného obmedzenia tohto práva.
5. Aktualizácie
5.1 Bez ohľadu na akékoľvek protichodné ustanovenia v Transakčnom dokumente alebo súvisiacej rámcovej zmluve uzatvorenej medzi zmluvnými stranami, môže spoločnosť Kyndryl po predchádzajúcom písomnom upozornení Dodávateľa, avšak bez potreby súhlasu zo strany Dodávateľa, aktualizovať, doplniť alebo inak pozmeniť tento Článok s cieľom splniť požiadavky vyplývajúce z platných právnych požiadaviek alebo záväzkov voči Zákazníkovi či začleniť nové odporúčané postupy v oblasti zabezpečenia alebo z iných dôvodov, ak to bude spoločnosť Kyndryl považovať za nevyhnutné na ochranu Podnikových systémov alebo spoločnosti Kyndryl.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným údajom spoločnosti Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje spoločnosti Kyndryl ani mať prístup k iným Materiálom spoločnosti Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) údaje spoločnosti Kyndryl pred neoprávneným Spracúvaním a (c) Technológie spoločnosti Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude prinajmenšom každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov spoločnosti Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom spoločnosti Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov spoločnosti Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov spoločnosti Kyndryl, a to vrátane zavedenia, správy a dodržiavania zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami spoločnosti Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom spoločnosti Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) spoločnosti Kyndryl, jej pridružených spoločností a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi spoločnosti Kyndryl, pokiaľ spoločnosť Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Dodávateľ písomne upozorní spoločnosť Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú spoločnosti Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným; a
(b) ak o to spoločnosť Kyndryl požiada, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkami, počas obdobia jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Spoločnosť Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na základe písomného oznámenia Dodávateľovi spoločnosť Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum namiesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra; a
(c) Zákazník nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály spoločnosti Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu na svoje Pracoviská a do kontrolovaných oblastí v rámci nich vrátane dočasného prístupu a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov spoločnosti Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály spoločnosti Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály spoločnosti Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti spoločnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov spoločnosti Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom spoločnosti Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bol individuálny, odvíjal sa od jednotlivých rolí a podliehal schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie nadbytočných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od spoločnosti Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom spoločnosti Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, spoločnosti Kyndryl (v súlade s jej právami na overovanie vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl (a na požiadanie poskytne spoločnosti Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hekovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami spoločnosti Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami spoločnosti Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť spoločnosti Kyndryl Dodávateľ poskytne spoločnosti Kyndryl písomné zhrnutie posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami spoločnosti Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály spoločnosti Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl vrátane podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail sa bude považovať za písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje spoločnosti Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní plniť všetky svoje záväzky voči spoločnosti Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať spoločnosť Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje spoločnosti Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci so spoločnosťou Kyndryl prešetrí a vyrieši takéto problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá spoločnosti Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont spoločnosti Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená funkcia viacfaktorového jediného prihlásenia v správe spoločnosti Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language).
7. Zmluvní subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví s ohľadom na čistenie médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
-
Ak áno, bude sa uplatňovať Článok VI (Prístup k Podnikovým systémom), Článok VII (Rozšírenie personálu) a Článok X (Spolupráca, overovanie a riešenie problémov).
Poznámka: Môže sa uplatňovať aj Článok II (Technické a organizačné opatrenia, Zabezpečenie údajov), Článok III (Ochrana osobných údajov), Článok IV (Technické a organizačné opatrenia, Zabezpečenie kódu) a Článok V (Bezpečný vývoj) podľa toho, ku ktorým Materiálom spoločnosti Kyndryl bude mať Dodávateľ prístup v rámci Podnikových systémov.
Článok VI, Prístup k Podnikovým systémom
Tento Článok sa uplatňuje, ak budú mať zamestnanci Dodávateľa prístup k Podnikovému systému.
1. Všeobecné podmienky
1.1 To, či zamestnanci Dodávateľa budú mať povolený prístup k Podnikovým systémom, určí spoločnosť Kyndryl. Ak spoločnosť Kyndryl umožní takýto prístup, Dodávateľ sa zaväzuje dodržiavať požiadavky uvedené v tomto Článku a zaviazať svojich zamestnancov s prístupom k Podnikovým systémom k ich dodržiavaniu.
1.2 Spoločnosť Kyndryl určí spôsoby, ako môžu zamestnanci Dodávateľa získať prístup k Podnikovým systémom, a to vrátane toho, či budú mať takýto zamestnanci prístup k Podnikovým systémom zo zariadení poskytnutých spoločnosťou Kyndryl alebo zariadení poskytnutých Dodávateľom.
1.3 Zamestnanci Dodávateľa môžu k Podnikovým systémom pristupovať výhradne v súvislosti s poskytovaním Služieb a na takýto prístup môžu používať iba Zariadenia schválené spoločnosťou Kyndryl. Zamestnanci Dodávateľa nesmú používať Zariadenia, ktoré spoločnosť Kyndryl schváli, na poskytovanie služieb žiadnym iným osobám ani subjektom a ani na prístup k IT systémom, sieťam, aplikáciám, webovým lokalitám, e-mailovým nástrojom, nástrojom na spoluprácu alebo podobným prostriedkom Dodávateľa alebo tretej strany v súvislosti so Službami.
1.4 Na objasnenie: Zamestnanci Dodávateľa nesmú Zariadenia, ktoré spoločnosť Kyndryl schváli na prístup k Podnikovým systémom, používať na osobné použitie (zamestnanci Dodávateľa nesmú napríklad ukladať osobné súbory, ako sú hudba, videá, obrázky a podobné položky do takýchto Zariadení a nemôžu sa z takýchto Zariadení pripojiť na internet z osobných dôvodov).
1.5 Zamestnanci Dodávateľa nesmú kopírovať Materiály spoločnosti Kyndryl, ktoré sú prístupné cez Podnikový systém, bez predchádzajúceho písomného schválenia spoločnosťou Kyndryl (a nikdy nesmú kopírovať žiadne Materiály spoločnosti Kyndryl na prenosné úložné zariadenia, ako sú USB kľúče, externé jednotky pevných diskov a podobné zariadenia).
1.6 Dodávateľ na požiadanie poskytne informácie o tom, ku ktorému konkrétnemu Podnikovému systému, ku ktorému majú jeho zamestnanci prístup, získali jeho zamestnanci prístup počas ľubovoľného časového úseku určeného spoločnosťou Kyndryl, a to podľa mena zamestnanca.
1.7 Dodávateľ bude do dvadsiatich štyroch (24) hodín informovať spoločnosť Kyndryl, ak zamestnanec Dodávateľa, ktorý má prístup k nejakému Podnikovému systému, prestane: (a) byť zamestnancom Dodávateľa alebo (b) pracovať na činnostiach, pri ktorých je nevyhnutný prístup k takýmto systémom. Dodávateľ v spolupráci so spoločnosťou Kyndryl zabezpečí okamžité zrušenie prístupu takýchto svojich bývalých alebo aktuálnych zamestnancov.
1.8 Dodávateľ okamžite nahlási spoločnosti Kyndryl skutočné alebo predpokladané bezpečnostné incidenty (napríklad strata Zariadenia spoločnosti Kyndryl alebo Dodávateľa alebo neoprávnený prístup k Zariadeniu alebo údajom, materiálom alebo iným informáciám akéhokoľvek druhu) a v spolupráci so spoločnosťou Kyndryl prešetrí takéto incidenty.
1.9 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl povoliť žiadnemu zástupcovi, nezávislému zmluvnému dodávateľovi ani zamestnancovi zmluvného subdodávateľa prístup k žiadnym Podnikovým systémom. Ak spoločnosť Kyndryl udelí súhlas s takýmto prístupom, Dodávateľ zmluvne zaviaže príslušné osoby a ich zamestnancov k dodržiavaniu požiadaviek tohto Článku rovnako, ako keby boli zamestnancami Dodávateľa, a bude niesť voči spoločnosti Kyndryl zodpovednosť za všetky činnosti a zanedbania povinností zo strany takýchto osôb alebo ich zamestnávateľa vo vzťahu k takémuto prístupu k Podnikovým systémom.
2. Softvér Zariadenia
2.1 Dodávateľ nariadi svojim zamestnancom, aby si do Zariadení včas nainštalovali všetok softvér, ktorý spoločnosť Kyndryl vyžaduje na zaručenie bezpečného prístupu k Podnikovým systémom. Dodávateľ ani jeho zamestnanci nebudú zasahovať do fungovania takéhoto softvéru ani funkcií zabezpečenia, ktoré tento softvér poskytuje.
2.2 Dodávateľ a jeho zamestnanci budú dodržiavať pravidlá konfigurácie Zariadení, ktoré spoločnosť Kyndryl stanoví, a inými spôsobmi zabezpečí, že softvér bude fungovať tak, ako to spoločnosť Kyndryl zamýšľa. Dodávateľ napríklad nebude manipulovať s funkciami blokovania webových stránok alebo automatickej inštalácie opráv takéhoto softvéru.
2.3 Zamestnanci Dodávateľa nesmú zdieľať Zariadenia, ktoré používajú na prístup k Podnikovým systémom, ani mená používateľov, heslá a podobné informácie s inými osobami.
2.4 Ak spoločnosť Kyndryl povolí zamestnancom Dodávateľa prístup k Podnikovým systémom zo Zariadení Dodávateľa, Dodávateľ do týchto Zariadení nainštaluje operačný systém schválený spoločnosťou Kyndryl a v prípade, že mu to spoločnosť Kyndryl nariadi, inovuje tento operačný systém na novú verziu alebo nainštaluje nový operačný systém v primeranom časovom horizonte.
3. Dohľad a spolupráca
3.1 Spoločnosť Kyndryl má bezvýhradné právo monitorovať a riešiť potenciálne neoprávnené vniknutia a iné kybernetické hrozby akýmikoľvek spôsobmi, z akýchkoľvek umiestnení a pomocou akýchkoľvek prostriedkov, ktoré bude spoločnosť Kyndryl považovať za nevyhnutné alebo vhodné, a to bez predchádzajúceho upozornenia Dodávateľa, akéhokoľvek zamestnanca Dodávateľa alebo iných osôb. Medzi tieto práva spoločnosti Kyndryl patrí napríklad právo spoločnosti Kyndryl kedykoľvek (a) vykonať testovanie zabezpečenia ľubovoľného Zariadenia, (b) monitorovať, technickým alebo iným spôsobom obnoviť a kontrolovať komunikácie (vrátane e-mailov z ľubovoľných e-mailových kont), záznamy, súbory a iné položky uložené v ľubovoľnom Zariadení alebo prenášané cez ľubovoľný Podnikový systém a (c) získať úplný forenzný obraz ľubovoľného Zariadenia. Ak bude spoločnosť Kyndryl potrebovať súčinnosť Dodávateľa pri uplatňovaní svojich práv, Dodávateľ v plnej miere a včas splní požiadavky spoločnosti Kyndryl súvisiace s takouto súčinnosťou (napríklad vrátane požiadaviek na bezpečnú konfiguráciu Zariadenia, inštaláciu monitorovacieho a iného softvéru do Zariadenia, poskytnutie informácií o pripojení na úrovni systému, spoluúčasť na opatreniach súvisiacich s reagovaním na incidenty v súvislosti so Zariadením a poskytnutie fyzického prístupu k ľubovoľnému Zariadeniu, aby napríklad spoločnosť Kyndryl mohla získať úplný forenzný obraz, a iných podobných požiadaviek).
3.2 Spoločnosť Kyndryl môže kedykoľvek zrušiť prístup ktoréhokoľvek zamestnanca Dodávateľa alebo všetkých zamestnancov Dodávateľa k Podnikovým systémom, a to bez predchádzajúceho upozornenia Dodávateľa, zamestnanca Dodávateľa alebo iných osôb, ak sa spoločnosť Kyndryl domnieva, že je to nevyhnutné v záujme ochrany spoločnosti Kyndryl.
3.3 Žiadne ustanovenia Transakčného dokumentu, súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami ani žiadnej inej zmluvy medzi stranami vrátane ustanovení, ktoré určujú, že údaje, materiály alebo ľubovoľné iné informácie sa môžu uchovávať iba v určených umiestneniach, alebo ktoré stanovujú, že k takýmto údajom, materiálom alebo iným informáciám môžu pristupovať iba osoby z vybraných umiestnení, nijak neanulujú ani neobmedzujú práva spoločnosti Kyndryl.
4. Zariadenia spoločnosti Kyndryl
4.1 Spoločnosť Kyndryl si zachováva vlastnícke práva na všetky Zariadenia spoločnosti Kyndryl, pričom Dodávateľ bude znášať riziko straty týchto Zariadení vrátane ich krádeže, vandalizmu alebo zanedbania povinností pri ich držbe. Dodávateľ nevykoná ani nepovolí vykonať žiadne úpravy Zariadení spoločnosti Kyndryl bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl, pričom za úpravu sa bude považovať každá zmena v Zariadení vrátane zmien v softvéri, aplikáciách, návrhu zabezpečenia, konfigurácii zabezpečenia alebo fyzickej, mechanickej alebo elektronickej konštrukcii Zariadenia.
4.2 Dodávateľ vráti všetky Zariadenia spoločnosti Kyndryl do 5 pracovných dní odo dňa, kedy zanikne potreba používať tieto Zariadenia v súvislosti s poskytovaním Služieb, a zároveň na žiadosť spoločnosti Kyndryl zničí všetky údaje, materiály a iné ľubovoľné informácie v týchto Zariadeniach bez uchovania ich kópie, a to trvalým vymazaním všetkých takýchto údajov, materiálov a iných informácií podľa Odporúčaných postupov v odvetví. Dodávateľ zabalí Zariadenia spoločnosti Kyndryl a na vlastné náklady ich vráti na miesto, ktoré určí spoločnosť Kyndryl, v rovnakom stave, v akom mu boli poskytnuté, s prihliadnutím na primerané opotrebenie. Ak Dodávateľ nedodrží niektorú povinnosť, ktorá mu vyplýva z tohto Odseku 4.2, bude sa to považovať za závažné porušenie Transakčného dokumentu a súvisiacej rámcovej zmluvy alebo inej súvisiacej zmluvy uzavretej medzi zmluvnými stranami, pričom zmluva sa bude považovať za „súvisiacu“, ak prístup k Podnikovým systémom umožňuje Dodávateľovi vykonávať úlohy alebo iné činnosti na základe tejto zmluvy.
4.3 Spoločnosť Kyndryl bude poskytovať podporu pre Zariadenia spoločnosti Kyndryl (vrátane kontroly Zariadení a preventívnej a nápravnej údržby). Dodávateľ bezodkladne informuje spoločnosť Kyndryl o potrebe opravného servisu.
4.4. Spoločnosť Kyndryl udeľuje Dodávateľovi dočasné právo na používanie, ukladanie a vytváranie dostatočného počtu kópií, ktoré sú nevyhnutné na podporu oprávneného použitia Zariadení spoločnosti Kyndryl, softvérových programov, ktoré spoločnosť Kyndryl vlastní alebo pre ktoré má právo na udelenie licencií. Dodávateľ nesmie previesť programy na iné osoby, vytvárať kópie licenčných informácií pre softvér ani analyzovať, dekompilovať, vykonávať postupy reverzného inžinierstva ani inak prekladať žiadne programy, pokiaľ to výslovne nepovoľujú platné právne predpisy bez možnosti zmluvného obmedzenia tohto práva.
5. Aktualizácie
5.1 Bez ohľadu na akékoľvek protichodné ustanovenia v Transakčnom dokumente alebo súvisiacej rámcovej zmluve uzatvorenej medzi zmluvnými stranami, môže spoločnosť Kyndryl po predchádzajúcom písomnom upozornení Dodávateľa, avšak bez potreby súhlasu zo strany Dodávateľa, aktualizovať, doplniť alebo inak pozmeniť tento Článok s cieľom splniť požiadavky vyplývajúce z platných právnych požiadaviek alebo záväzkov voči Zákazníkovi či začleniť nové odporúčané postupy v oblasti zabezpečenia alebo z iných dôvodov, ak to bude spoločnosť Kyndryl považovať za nevyhnutné na ochranu Podnikových systémov alebo spoločnosti Kyndryl.
Článok VII, Rozšírenie personálu
Tento Článok sa uplatňuje, ak zamestnanci Dodávateľa budú celý svoj pracovný čas venovať poskytovaniu Služieb pre spoločnosť Kyndryl, budú vykonávať všetky tieto Služby v priestoroch spoločnosti Kyndryl, priestoroch Zákazníka alebo z domu a budú v rámci vykonávania Služieb pristupovať k Podnikovým systémom iba zo Zariadení spoločnosti Kyndryl.
1. Prístup k Podnikovým systémom, Prostredia spoločnosti Kyndryl
1.1 Dodávateľ môže Služby vykonávať iba prístupom k Podnikovým systémom zo Zariadení, ktoré mu poskytne spoločnosť Kyndryl.
1.2 Dodávateľ bude dodržiavať ustanovenia Článku VI (Prístup k Podnikovým systémom) pri každom prístupe k Podnikovým systémom.
1.3 Dodávateľ a jeho zamestnanci môžu na poskytovanie Služieb používať iba Zariadenia poskytnuté spoločnosťou Kyndryl, pričom tieto zariadenia môžu Dodávateľ a jeho zamestnanci používať iba v súvislosti s poskytovaním Služieb. Na objasnenie: Dodávateľ ani jeho zamestnanci za žiadnych okolností nesmú pri poskytovaní Služieb používať žiadne iné zariadenia ani používať Zariadenia spoločnosti Kyndryl na poskytovanie služieb inému zákazníkovi Dodávateľa ani na iný účel ako poskytovanie Služieb spoločnosti Kyndryl.
1.4 Zamestnanci Dodávateľa, ktorí používajú Zariadenia spoločnosti Kyndryl, môžu medzi sebou zdieľať Materiály spoločnosti Kyndryl a ukladať takéto materiály do Zariadení spoločnosti Kyndryl, ale len v obmedzenom rozsahu, v akom je takéto zdieľanie a ukladanie materiálov nevyhnutné na úspešné vykonávanie Služieb.
1.5 Pokiaľ sa to netýka takéhoto ukladania materiálov do Zariadení spoločnosti Kyndryl, Dodávateľ ani jeho zamestnanci nesmú za žiadnych okolností odstrániť Materiály spoločnosti Kyndryl z depozitárov, prostredí, nástrojov alebo infraštruktúry spoločnosti Kyndryl, v ktorých ich spoločnosť Kyndryl uchováva.
1.6 Na objasnenie: Bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl nesmú Dodávateľ a jeho zamestnanci prenášať žiadne Materiály spoločnosti Kyndryl do akýchkoľvek depozitárov, prostredí, nástrojov alebo infraštruktúr Dodávateľa a ani do iných systémov, platforiem, sietí a iných prostredí.
1.7 Článok VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) sa neuplatňuje, ak zamestnanci Dodávateľa budú celý svoj pracovný čas venovať poskytovaniu Služieb pre spoločnosť Kyndryl, budú vykonávať všetky tieto Služby v priestoroch spoločnosti Kyndryl, priestoroch Zákazníka alebo z domu a budú v rámci vykonávania Služieb pristupovať k Podnikovým systémom iba zo Zariadení spoločnosti Kyndryl. V opačnom prípade sa na Služby poskytované Dodávateľom bude vzťahovať Článok VIII.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
-
Ak áno, bude sa uplatňovať Článok II (Technické a organizačné opatrenia, Zabezpečenie údajov), Článok VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), Článok IX (Certifikácie a zostavy Hosťovaných služieb) a Článok X (Spolupráca, overovanie a riešenie problémov). Ak má v rámci poskytovania Hosťovanej služby Dodávateľ prístup k Osobným údajom spoločnosti Kyndryl, bude sa uplatňovať aj Článok III (Ochrana osobných údajov).
Príklady:
Dodávateľ poskytuje spoločnosti Kyndryl ľubovoľnú ponuku „čokoľvek ako služba“, ako sú ponuky softvér, platforma alebo infraštruktúra „ako služba“.
Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné údaje spoločnosti Kyndryl ako Obchodné kontaktné údaje spoločnosti Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť údaje spoločnosti Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky a prostredí dátových centier.
1. Používanie údajov
1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl pridať do Údajov spoločnosti Kyndryl alebo zahrnúť do Údajov spoločnosti Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať údaje spoločnosti Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné účely ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť údaje spoločnosti Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať údaje spoločnosti Kyndryl.
1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.
2. Požiadavky zo strany tretích strán a mlčanlivosť
2.1 Dodávateľ neposkytne údaje spoločnosti Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany spoločnosti Kyndryl. Ak o prístup k Údajom spoločnosti Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov spoločnosti Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť údaje spoločnosti Kyndryl, Dodávateľ písomne informuje spoločnosť Kyndryl o takejto požiadavke alebo povinnosti a poskytne spoločnosti Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie spoločnosti Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov spoločnosti Kyndryl formou súdneho nariadenia alebo iným spôsobom).
2.2 Dodávateľ zaručuje spoločnosti Kyndryl, že: (a) prístup k Údajom spoločnosti Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať údaje spoločnosti Kyndryl iba v súlade s týmito Podmienkami.
3. Vrátenie alebo odstránenie Údajov spoločnosti Kyndryl
3.1 Dodávateľ v prípade ukončenia alebo uplynutia platnosti Transakčného dokumentu na základe rozhodnutia spoločnosti Kyndryl buď odstráni alebo vráti Údaje spoločnosti Kyndryl, prípadne tak urobí kedykoľvek skôr, ak o to spoločnosť Kyndryl požiada. Ak spoločnosť Kyndryl požiada o odstránenie Údajov, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie spoločnosti Kyndryl. Ak spoločnosť Kyndryl požiada o vrátenie Údajov spoločnosti Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu spoločnosti Kyndryl a podľa primeraných písomných pokynov spoločnosti Kyndryl.
Článok III, Súkromie
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva Osobné údaje spoločnosti Kyndryl.
1. Spracúvanie
1.1 Spoločnosť Kyndryl poveruje Dodávateľa ako Sprostredkovateľa na Spracúvanie Osobných údajov spoločnosti Kyndryl výhradne na účely poskytovania Dodávaných produktov a Služieb v súlade s pokynmi spoločnosti Kyndryl vrátane pokynov uvedených v týchto Podmienkach, Transakčnom dokumente a súvisiacej rámcovej zmluve uzavretej medzi zmluvnými stranami. Ak Dodávateľ nesplní nejaký pokyn, spoločnosť Kyndryl môže vypovedať dotknutú časť Služieb na základe písomnej výpovede. Ak sa Dodávateľ domnieva, že niektorý pokyn je v rozpore s právnym predpisom o ochrane údajov, Dodávateľ bezodkladne informuje spoločnosť Kyndryl o tejto skutočnosti v rámci lehoty ustanovenej takýmto právnym predpisom. Ak Dodávateľ nedodrží niektorú zo svojich povinností podľa týchto Podmienok a toto nedodržanie spôsobí neoprávnené použitie Osobných údajov alebo vo všeobecnosti v prípade akéhokoľvek neoprávneného použitia Osobných údajov, spoločnosť Kyndryl bude mať právo zastaviť spracúvanie a vyžadovať odstránenie nedostatkov a nápravu škodlivých následkov neoprávneného použitia, pričom plnenie a náprava sa uskutoční podľa primeraných pokynov a harmonogramu stanovených spoločnosťou Kyndryl.
1.2 Dodávateľ bude dodržiavať všetky právne predpisy upravujúce ochranu údajov, ktoré sa vzťahujú na Služby a Dodávané produkty.
1.3 Dodatok k Transakčnému dokumentu alebo samotný Transakčný dokument stanovuje nasledujúce informácie vo vzťahu k Údajom spoločnosti Kyndryl:
(a) kategórie Dotknutých osôb,
(b) typy Osobných údajov spoločnosti Kyndryl,
(c) akcie s údajmi a Spracovateľské činnosti,
(d) trvanie a frekvencia Spracúvania,
(e) zoznam Ďalších sprostredkovateľov.
2. Technické a organizačné opatrenia
2.1 Dodávateľ zavedie a bude dodržiavať technické a organizačné opatrenia uvedené v Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov) a Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), a tým zabezpečí vhodnú úroveň zabezpečenia vzhľadom na riziká súvisiace s jeho Službami a Dodávanými produktmi. Dodávateľ potvrdzuje súhlas s obmedzeniami stanovenými v Článku II, Článku III a Článku VIII a zaväzuje sa ich dodržiavať.
3. Práva a požiadavky Dotknutých osôb
3.1 Dodávateľ bezodkladne informuje spoločnosť Kyndryl (v dostatočnom časovom horizonte, aby spoločnosť Kyndryl a Iní Prevádzkovatelia údajov mohli splniť svoje zákonné povinnosti) o všetkých požiadavkách zo strany Dotknutých osôb uplatňujúcich si svoje zákonné práva (napríklad žiadosti o opravu, vymazanie alebo zablokovanie údajov) vo vzťahu k Osobným údajom spoločnosti Kyndryl. Dodávateľ môže tiež bezodkladne odkázať Dotknuté osoby, ktoré vzniesli takéto požiadavky, na spoločnosť Kyndryl. Dodávateľ nebude reagovať na žiadne požiadavky zo strany Dotknutých osôb, pokiaľ nie je k tomu zaviazaný na základe platných právnych predpisov alebo mu na to spoločnosť Kyndryl nedá písomný pokyn.
3.2 V prípade, že bude spoločnosť Kyndryl povinná poskytnúť informácie týkajúce sa Osobných údajov spoločnosti Kyndryl Iným Prevádzkovateľom údajov alebo iným tretím stranám (ako sú Dotknuté osoby alebo regulačné orgány), Dodávateľ bezodkladne poskytne spoločnosti Kyndryl primeranú súčinnosť, a to tak, že jej poskytne všetky požadované informácie a vykoná všetky primerané kroky požadované spoločnosťou Kyndryl v dostatočnom predstihu, aby spoločnosť Kyndryl mohla včas reagovať na požiadavky takýchto Iných Prevádzkovateľov údajov alebo tretích strán.
4. Ďalší sprostredkovatelia
4.1 Dodávateľ bude vopred písomne informovať spoločnosť Kyndryl pred pridaním nového Ďalšieho sprostredkovateľa alebo rozšírením rozsahu Spracúvania zo strany existujúceho Ďalšieho sprostredkovateľa, pričom v takomto písomnom oznámení uvedie meno Ďalšieho sprostredkovateľa a opíše nový alebo rozšírený rozsah Spracúvania. Spoločnosť Kyndryl môže v opodstatnených prípadoch kedykoľvek namietať proti pridaniu nového Ďalšieho sprostredkovateľa alebo rozšíreniu rozsahu Spracúvania. V takejto situácii sa zmluvné strany v dobrej viere pokúsia spoločne vyriešiť námietky spoločnosti Kyndryl. S ohľadom na právo spoločnosti Kyndryl kedykoľvek vzniesť námietku môže Dodávateľ poveriť nového Ďalšieho sprostredkovateľa alebo rozšíriť rozsah Spracúvania existujúcim Ďalším sprostredkovateľom, ak spoločnosť Kyndryl nevzniesla námietku do 30 dní odo dňa, kedy ju o tom Dodávateľ písomne informoval.
4.2 Dodávateľ zaviaže každého schváleného Ďalšieho sprostredkovateľa k plneniu rovnakých povinností týkajúcich sa ochrany údajov, zabezpečenia a certifikácie, aké vyplývajú z týchto Podmienok, a to ešte pred začatím Spracúvania Údajov spoločnosti Kyndryl Ďalším sprostredkovateľom. Dodávateľ bude niesť plnú zodpovednosť voči spoločnosti Kyndryl za plnenie týchto povinností Ďalším sprostredkovateľom.
5. Cezhraničné Spracúvanie údajov
Na účely ďalej uvedených podmienok:
Krajina s primeranou úrovňou ochrany je krajina, ktorá zaručuje primeranú úroveň ochrany údajov v súvislosti s ich príslušným prenosom na základe právneho predpisu upravujúceho ochranu údajov alebo rozhodnutia regulačného orgánu.
Dovozca údajov je Sprostredkovateľ alebo Ďalší sprostredkovateľ, ktorý nesídli v Krajine s primeranou úrovňou ochrany.
Štandardné zmluvné doložky EÚ (ďalej aj ako „ŠZD EÚ“) znamená Štandardné zmluvné doložky EÚ (podľa Rozhodnutia Komisie 2021/914) s nepovinnými ustanoveniami okrem možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17, v oficiálnom znení zverejnenom na stránke https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en
Srbské Štandardné zmluvné doložky (ďalej aj ako „Srbské ŠZD“) znamená Srbské Štandardné zmluvné doložky, v znení prijatom „Srbským komisárom pre ochranu informácií verejného záujmu a osobných údajov“, ktoré sú zverejnené na stránke https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.
Štandardné zmluvné doložky (ďalej aj ako „ŠZD“) sú zmluvné ustanovenia vyžadované na základe platných právnych predpisov upravujúcich ochranu údajov týkajúce sa prenosu Osobných údajov k Sprostredkovateľom, ktorí nesídlia v Krajinách s primeranou úrovňou ochrany.
Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ (ďalej len „Dodatok Spojeného kráľovstva“) znamená Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ v oficiálnom znení zverejnenom na stránke https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.
Dodatok pre Švajčiarsko k Štandardným zmluvným doložkám (ŠZD) Komisie EÚ (ďalej len „Dodatok pre Švajčiarsko”) znamená zmluvné doložky k Štandardným zmluvným doložkám Komisie EÚ, ktoré sa uplatňujú v súlade s rozhodnutím Švajčiarskeho úradu na ochranu údajov („FDPIC”) a v súlade so švajčiarskym federálnym zákonom o ochrane údajov („FADP”).
5.1 Dodávateľ nebude prenášať žiadne Osobné údaje spoločnosti Kyndryl do zahraničia ani ich nevyzradí do zahraničia (vrátane formou vzdialeného prístupu) bez predchádzajúceho písomného súhlasu spoločnosti Kyndryl. Ak Kyndryl vyjadrí takýto súhlas, zmluvné strany spoločne zabezpečia súlad s platnými právnymi predpismi upravujúcimi ochranu údajov. Ak takéto právne predpisy vyžadujú Štandardné zmluvné doložky, Dodávateľ bezodkladne podpíše tieto Štandardné zmluvné doložky na žiadosť spoločnosti Kyndryl.
5.2 V súvislosti so Štandardnými zmluvnými doložkami EÚ:
(a) Ak Dodávateľ nesídli v Krajine s primeranou úrovňou ochrany, Dodávateľ týmto uzatvára Štandardné zmluvné doložky EÚ so spoločnosťou Kyndryl ako Dovozca údajov a Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Ďalšími sprostredkovateľmi v súlade s Doložkou 9 Štandardných zmluvných doložiek EÚ a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.
(i) Modul 1 ŠZD EÚ sa neuplatňuje, pokiaľ sa zmluvné strany písomne nedohodnú inak.
(ii) Modul 2 ŠZD EÚ sa uplatňuje, keď je spoločnosť Kyndryl Prevádzkovateľom údajov, a Modul 3 sa uplatňuje, keď je spoločnosť Kyndryl Sprostredkovateľom údajov. V súlade s Doložkou 13 ŠZD EÚ, keď sa uplatňujú Moduly 2 alebo 3, zmluvné strany súhlasia s tým, že (1) ŠZD EÚ budú podliehať právnym predpisom členského štátu EÚ, v ktorom sídli príslušný dozorný orgán, a (2) akékoľvek spory vyplývajúce zo ŠZD EÚ budú riešiť súdy členského štátu EÚ, v ktorom sídli takýto príslušný dozorný orgán. Ak dané právne predpisy vyplývajúce z bodu (1) nepočítajú s právami užívateľov výhod, ktorí sú tretími stranami, v tomto prípade budú ŠZD EÚ podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ podľa bodu (2) bude riešiť súdny dvor v Amsterdame, Holandsko.
(b) Ak obe strany, Dodávateľ aj Kyndryl, majú sídlo v Krajine s primeranou úrovňou ochrany, Dodávateľ bude vystupovať ako Vývozca údajov a s každým schváleným Ďalším sprostredkovateľom, ktorý sídli v Krajine bez primeranej úrovne ochrany, uzavrie zmluvu o ŠZD EÚ. Dodávateľ vykoná požadované posúdenie vplyvu prenosu (ďalej aj ako „TIA“) a bez zbytočného odkladu oznámi spoločnosti Kyndryl (1) akúkoľvek potrebu uplatnenia dodatočných opatrení a (2) uplatnené opatrenia. Dodávateľ poskytne spoločnosti Kyndryl na požiadanie výsledky TIA a všetky informácie potrebné na pochopenie a vyhodnotenie výsledkov. V prípade, že spoločnosť Kyndryl nesúhlasí s výsledkami TIA Dodávateľa alebo s použitými dodatočnými opatreniami, spoločnosť Kyndryl a Dodávateľ budú spoločne hľadať prijateľné riešenie. Spoločnosť Kyndryl si ponecháva právo pozastaviť alebo ukončiť služby príslušných Dodávateľov bez náhrady. Aby sa predišlo pochybnostiam, toto nezbavuje Ďalších sprostredkovateľov Dodávateľa povinnosti stať sa zmluvnou stranou ŠZD EÚ so spoločnosťou Kyndryl alebo jej Zákazníkmi, v súlade so znením Odseku 5.2 (d) nižšie.
(c) Ak Dodávateľ sídli v Európskom hospodárskom priestore a spoločnosť Kyndryl je Prevádzkovateľ údajov, ktorý nepodlieha Všeobecnému nariadeniu o ochrane údajov 2016/679, bude sa uplatňovať Modul 4 ŠZD EÚ a Dodávateľ týmto uzatvára ŠZD EÚ so spoločnosťou Kyndryl ako vývozca údajov. Ak sa uplatňuje Modul 4 ŠZD EÚ, zmluvné strany súhlasia s tým, že ŠZD EÚ budú podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ bude riešiť súdny dvor v Amsterdame, Holandsko.
(d) Ak Iní Prevádzkovatelia údajov, ako sú napríklad Zákazníci alebo pridružené spoločnosti, požiadajú o to, aby sa stali zmluvnými stranami vo vzťahu k ŠZD EÚ podľa doložky o pripojení sa v Doložke 7, Dodávateľ týmto súhlasí so všetkými takýmito žiadosťami.
(e) Technické a organizačné opatrenia nevyhnutné na splnenie Prílohy II ŠZD EÚ sú uvedené v týchto Podmienkach, v samotnom Transakčnom dokumente a súvisiacej rámcovej zmluve, ktorú zmluvné strany medzi sebou uzatvorili.
(f) V prípade rozporu medzi ŠZD EÚ a týmito podmienkami sa budú uplatňovať Štandardné zmluvné doložky EÚ.
5.3 Pokiaľ ide o dodatky Spojeného kráľovstva:
a. Ak Dodávateľ nie je usadený v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl ako Dovozcom údajov, pričom tieto Dodatky doplnia Štandardné zmluvné doložky Komisie EÚ uvedené hore (podľa toho, aké typy činností spracovania vykonáva); a (ii) Dodávateľ uzatvorí písomnú dohodu s každým schváleným Subdodávateľom a na požiadanie predloží kópie týchto zmlúv spoločnosti Kyndryl.
b. Ak je Dodávateľ usadený v Krajine s primeranou úrovňou ochrany a spoločnosť Kyndryl je Prevádzkovateľom, na ktorého sa nevzťahuje Všeobecné nariadenie o ochrane údajov Spojeného kráľovstva (ktoré bolo transponované do britského právneho poriadku zákonom o vystúpení z EÚ z roku 2018), Dodávateľ ako Vývozca údajov týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl, pričom tieto Dodatky dopĺňajú Štandardné zmluvné doložky Komisie EÚ uvedené hore v časti 5.2(b).
c. Ak iní Prevádzkovatelia, ako napr. zákazníci alebo partnerské spoločnosti, požiadajú o pristúpenie k Dodatkom Spojeného kráľovstva, Dodávateľ týmto súhlasí, že vyhovie každej takejto požiadavke.
d. Informačná Príloha (ako je uvedené v Tabuľke 3) k Dodatkom Spojeného kráľovstva sa nachádza v príslušných Štandardných zmluvných doložkách Komisie EÚ, týchto podmienkach, samotných Transakčných dokumentoch a súvisiacich základných zmluvách medzi všetkými stranami. Ani spoločnosť Kyndryl ani Dodávateľ nie sú oprávnení ukončiť Dodatky Spojeného kráľovstva v prípade ich zmien.
e. V prípade akéhokoľvek rozporu medzi Dodatkom Spojeného kráľovstva a týmito podmienkami platia Dodatky Spojeného kráľovstva.
5.4 Pokiaľ ide o ŠZD Srbska:
a. Ak Dodávateľ nesídli v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl vo svojom vlastnom mene ako Sprostredkovateľ a (ii) Dodávateľ uzatvorí písomné zmluvy so všetkými schválenými Ďalšími sprostredkovateľmi v súlade s Odsekom 8 Štandardných zmluvných doložiek Srbska a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.
b. Ak Dodávateľ sídli v Krajine s primeranou úrovňou ochrany, Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl v mene všetkých Ďalších sprostredkovateľov, ktorí sídlia v Krajine bez primeranej úrovne ochrany. Ak ich Dodávateľ nemôže uzatvoriť v mene niektorého Ďalšieho sprostredkovateľa, pred tým, ako tomuto Ďalšiemu sprostredkovateľovi povolí Spracúvanie akýchkoľvek Osobných údajov spoločnosti Kyndryl, poskytne spoločnosti Kyndryl Štandardné zmluvné doložky Srbska podpísané príslušným Ďalším sprostredkovateľom na podpísanie spoločnosťou Kyndryl.
c. Štandardné zmluvné doložky Srbska uzavreté medzi spoločnosťou Kyndryl a Dodávateľom budú slúžiť ako Štandardné zmluvné doložky Srbska uzavreté medzi Prevádzkovateľom údajov a Sprostredkovateľom údajov alebo ako delegovaná písomná zmluva medzi „sprostredkovateľom“ a „Ďalším sprostredkovateľom“ v závislosti od príslušných okolností. V prípade rozporu medzi Štandardnými zmluvnými doložkami Srbska a týmito Podmienkami sa budú uplatňovať ŠZD Srbska.
d. Informácie nevyhnutné na splnenie podmienok Príloh 1 až 8 ŠZD Srbska na účely prenosu Osobných údajov do Krajín bez primeranej ochrany sú uvedené v týchto Podmienkach a Prílohe k Transakčnému dokumentu, prípadne v samotnom Transakčnom dokumente.
5.5. Ohľadom Dodatku/ov pre Švajčiarsko:
Ak prenos osobných údajov spoločnosti Kyndryl podľa časti 5.1. podlieha švajčiarskemu federálnemu zákonu o ochrane údajov („FADP"), ŠZD EÚ dohodnuté v časti 5.2. týchto Podmienok budú riadiť prenos s nasledujúcimi zmenami na prijatie normy GDPR pre švajčiarske osobné údaje:
odkazy na všeobecné nariadenie o ochrane údajov („GDPR") sa rozumejú aj ako odkazy na ekvivalentné ustanovenia zákona FADP,
Švajčiarska federálna komisia pre ochranu údajov je príslušným dozorným orgánom podľa článku 13 a prílohy I.C ŠZD EÚ,
švajčiarsky zákon ako rozhodujúci zákon v prípade, že prenos podlieha výlučne zákonu FADP a
pojem „členský štát" v doložke 18 ŠZD EÚ sa rozšíri tak, aby zahŕňal Švajčiarsko s cieľom umožniť dotknutým osobám vo Švajčiarsku uplatňovať svoje práva v mieste ich obvyklého pobytu.
Aby sa predišlo pochybnostiam, cieľom žiadneho z vyššie uvedených opatrení nie je akýmkoľvek spôsobom znížiť úroveň ochrany údajov poskytovanej ŠZD EÚ, ale len rozšíriť túto úroveň ochrany na dotknuté osoby vo Švajčiarsku. Ak to tak nie je, má prednosť ŠZD EÚ.
6. Pomoc a záznamy
6.1 Zohľadňujúc charakter Spracúvania, zavedením primeraných technických a organizačných opatrení Dodávateľ poskytne spoločnosti Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností zo strany spoločnosti Kyndryl súvisiacich s požiadavkami Dotknutých osôb a ochranou ich práv. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností súvisiacich so zabezpečením Spracúvania, upozornením na Narušenie zabezpečenia a hodnotením dopadu ochrany údajov vrátane predchádzajúcej konzultácie so zodpovedným regulačným orgánom, vzhľadom na informácie, ktoré má Dodávateľ k dispozícii.
6.2 Dodávateľ bude udržiavať aktuálne záznamy o menách a kontaktných údajoch jednotlivých Ďalších sprostredkovateľov vrátane zástupcu Ďalšieho sprostredkovateľa a zodpovednej osoby. Dodávateľ na žiadosť spoločnosti Kyndryl poskytne tieto záznamy spoločnosti Kyndryl v dostatočnom predstihu na to, aby spoločnosť Kyndryl dokázala včas reagovať na požiadavky Zákazníka alebo inej tretej strany.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným údajom spoločnosti Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje spoločnosti Kyndryl ani mať prístup k iným Materiálom spoločnosti Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály spoločnosti Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) údaje spoločnosti Kyndryl pred neoprávneným Spracúvaním a (c) Technológie spoločnosti Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami spoločnosti Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude prinajmenšom každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov spoločnosti Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom spoločnosti Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov spoločnosti Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov spoločnosti Kyndryl, a to vrátane zavedenia, správy a dodržiavania zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami spoločnosti Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom spoločnosti Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com. Dodávateľ poskytne spoločnosti Kyndryl primerane požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činnosti zamerané na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) spoločnosti Kyndryl, jej pridružených spoločností a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi spoločnosti Kyndryl, pokiaľ spoločnosť Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Dodávateľ písomne upozorní spoločnosť Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú spoločnosti Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným; a
(b) ak o to spoločnosť Kyndryl požiada, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkami, počas obdobia jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Spoločnosť Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na základe písomného oznámenia Dodávateľovi spoločnosť Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum namiesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra; a
(c) Zákazník nahradí spoločnosti Kyndryl skutočné náklady, ktoré spoločnosti Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis upravujúci ochranu údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály spoločnosti Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu na svoje Pracoviská a do kontrolovaných oblastí v rámci nich vrátane dočasného prístupu a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov spoločnosti Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály spoločnosti Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály spoločnosti Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti spoločnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov spoločnosti Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom spoločnosti Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bol individuálny, odvíjal sa od jednotlivých rolí a podliehal schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie nadbytočných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od spoločnosti Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom spoločnosti Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, spoločnosti Kyndryl (v súlade s jej právami na overovanie vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami spoločnosti Kyndryl (a na požiadanie poskytne spoločnosti Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade s Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály spoločnosti Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hekovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami spoločnosti Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami spoločnosti Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť spoločnosti Kyndryl Dodávateľ poskytne spoločnosti Kyndryl písomné zhrnutie posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami spoločnosti Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály spoločnosti Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl vrátane podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií spoločnosti Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami spoločnosti Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail sa bude považovať za písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje spoločnosti Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní plniť všetky svoje záväzky voči spoločnosti Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami spoločnosti Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať spoločnosť Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje spoločnosti Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci so spoločnosťou Kyndryl prešetrí a vyrieši takéto problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá spoločnosti Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont spoločnosti Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená funkcia viacfaktorového jediného prihlásenia v správe spoločnosti Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language).
7. Zmluvní subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv spoločnosti Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví s ohľadom na čistenie médií.
---
Článok IX, Certifikácie a správy pre Hosťované služby
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje spoločnosti Kyndryl Hosťovanú službu.
1.1 Dodávateľ získa nasledujúce certifikácie alebo správy v nižšie uvedenom časovom horizonte:
Certifikácie a správy
Časový interval
Vo vzťahu k Hosťovaným službám Dodávateľa:
Certifikácia o súlade s normou ISO 27001, Informačné technológie, techniky zabezpečenia, systémy riadenia zabezpečenia informácií, pričom takáto certifikácia bude založená na hodnotení renomovaným nezávislým audítorom;
alebo
SOC 2, typ 2: Správa renomovaného nezávislého audítora preukazujúca preverenie systémov, kontrolných mechanizmov a postupov Dodávateľa v súlade s normou SOC 2, typ 2 (vrátane, prinajmenšom, zabezpečenia, dôvernosti a dostupnosti).
Dodávateľ získa certifikáciu ISO 27001 do 120 Dní od dátumu platnosti Transakčného dokumentu* alebo dátumu prevzatia záväzku** a bude si ju následne každých 12 mesiacov obnovovať na základe hodnotenia renomovaného nezávislého audítora (každé obnovenie sa bude týkať najnovšej verzie tejto normy).
Dodávateľ získa správu o certifikácii SOC 2, typ 2, do 240 Dní od dátumu platnosti Transakčného dokumentu* alebo dátumu prevzatia záväzku** a následne získa novú správu renomovaného nezávislého audítora preukazujúcu preverenie systémov, kontrolných mechanizmov a postupov Dodávateľa v súlade s normou SOC 2, typ 2 (vrátane, prinajmenšom, zabezpečenia, dôvernosti a dostupnosti) každých 12 mesiacov.
* Ak Dodávateľ poskytuje Hosťovanú službu, od dátumu platnosti tohto dokumentu
** Dátum, kedy sa Dodávateľ zaviaže poskytovať Hosťovanú službu
1.2 Ak o to Dodávateľ písomne požiada a spoločnosť Kyndryl to písomne schváli, Dodávateľ môže získať v podstate ekvivalentnú certifikáciu alebo správu k vyššie uvedeným certifikáciám a správam, avšak časové intervaly uvedené v tabuľke vyššie zostávajú nezmenené vo vzťahu k takýmto v podstate ekvivalentným certifikáciám alebo správam.
1.3 Dodávateľ: (a) na požiadanie bezodkladne poskytne spoločnosti Kyndryl kópiu všetkých certifikácií a správ, ktoré je Dodávateľ povinný získať, a (b) bezodkladne vyrieši všetky interné kontrolné nedostatky, ktoré sa zistia v rámci preverovania podľa SOC 2 alebo v podstate ekvivalentného preverovania (ak ich spoločnosť Kyndryl schváli).
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty spoločnosti Kyndryl.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať spoločnosť Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne spoločnosti Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami spoločnosti Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strany ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to spoločnosť Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách s Ďalšími Sprostredkovateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to spoločnosť Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Spoločnosť Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje spoločnosti Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne spoločnosti Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže spoločnosti Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) spoločnosť Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a spoločnosť Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade spoločnosť Kyndryl oznámi Dodávateľovi takéto overovanie 30 Dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, aby spoločnosť Kyndryl vykonala overenie skôr, ako uplynie toto 30-dňové obdobie.
2.4. Regulačný orgán alebo Iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako spoločnosť Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ spoločnosť Kyndryl opodstatnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne spoločnosti Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva spoločnosti Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zariadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany spoločnosti Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zariadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam. Bez ohľadu na vyššie uvedené, Dodávateľ musí bez zbytočného odkladu oznámiť spoločnosti Kyndryl skutočnosť, ak Dodávateľ už nemôže plniť povinnosti stanovené platnými právnymi predpismi upravujúcimi ochranu údajov.
4.2 Spoločnosť Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu zahŕňať napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania dôveryhodnosti a obnovenia dôveryhodnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: Náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena spoločnosti Kyndryl.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Definície (vymedzenie pojmov)
Pojmy uvedené veľkým začiatočným písmenom sa budú interpretovať podľa nižšie uvedených definícií. Pojmy môžu byť definované aj v Transakčnom dokumente alebo príslušnej rámcovej zmluve uzavretej medzi zmluvnými stranami. Pojmy „Služby“ a „Dodávané produkty“ sú pravdepodobne definované v Transakčnom dokumente alebo príslušnej rámcovej zmluve uzavretej medzi zmluvnými stranami. V opačnom prípade bude pojem „Služby“ znamenať ľubovoľnú Hosťovanú službu, poradenskú činnosť, činnosť inštalácie, prispôsobenia, údržby, podpory alebo rozšírenia personálu či obchodnú, technickú alebo inú činnosť, ktorú Dodávateľ vykonáva pre spoločnosť Kyndryl na základe Transakčného dokumentu, a pojem „Dodávané produkty“ bude znamenať ľubovoľné softvérové programy, platformy, aplikácie alebo iné produkty alebo položky a ich príslušné súvisiace materiály, ktoré Dodávateľ poskytne spoločnosti Kyndryl na základe Transakčného dokumentu.
Obchodné kontaktné údaje (ďalej aj ako „BCI“) sú Osobné údaje, ktoré sa používajú na kontaktovanie, identifikáciu alebo overenie jednotlivca v súvislosti s profesijnou alebo obchodnou činnosťou. Obchodné kontaktné údaje zvyčajne zahŕňajú meno, pracovnú e-mailovú adresu, fyzickú adresu, telefónne číslo a ďalšie podobné charakteristiky fyzickej osoby.
Cloudová služba je ľubovoľná ponuka „čokoľvek ako služba“, ktorú Dodávateľ hosťuje alebo spravuje, ako sú ponuky „softvér ako služba“, „platforma ako služba“ a „infraštruktúra ako služba“.
Prevádzkovateľ údajov je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky Spracúvania Osobných údajov.
Podnikový systém je IT systém, platforma, aplikácia, sieť alebo podobný prostriedok, na ktorý sa spoločnosť Kyndryl spolieha v rámci svojich obchodných činností, a to vrátane prostriedkov, ktoré sa nachádzajú na intranete spoločnosti Kyndryl, internete či v inej sieti alebo sú prístupné prostredníctvom takejto siete.
Zákazník znamená zákazník spoločnosti Kyndryl.
Dotknutá osoba je fyzická osoba, ktorú možno priamo či nepriamo identifikovať na základe mena, identifikačného čísla, údajov o polohe, online identifikátora alebo jednej alebo viacerých charakteristík, ktoré sa viažu na fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo spoločenskú identitu fyzickej osoby.
Deň alebo Dni znamená kalendárne dni, pokiaľ nie sú výslovne uvedené „pracovné“ dni.
Zariadenie je pracovná stanica, prenosný počítač, tablet, smartfón alebo osobný digitálny asistent (PDA) poskytnutý spoločnosťou Kyndryl alebo Dodávateľom.
Zaobchádzať, Zaobchádza alebo Zaobchádzanie a odvodené gramatické tvary zahrňujú všetky formy prístupu, používania a uchovávania Technológií spoločnosti Kyndryl a všetky ďalšie spôsoby zaobchádzania s nimi.
Hosťovaná služba je služba dátového centra, aplikačná služba, IT služba alebo Cloudová služba, ktorú Dodávateľ hosťuje alebo spravuje.
Údaje spoločnosti Kyndryl znamenajú všetky elektronické súbory a materiály, textové, zvukové, obrazové a iné údaje vrátane Osobných údajov spoločnosti Kyndryl a iných údajov, ktoré spoločnosť Kyndryl, Personál spoločnosti Kyndryl, Zákazník, zamestnanec Zákazníka alebo akýkoľvek iný subjekt poskytne Dodávateľovi, nahrá do Hosťovanej služby alebo uloží do nej alebo ku ktorým Dodávateľ inak získa prístup a ktoré Dodávateľ Spracúva v mene spoločnosti Kyndryl v súvislosti s Transakčným dokumentom.
Materiály spoločnosti Kyndryl znamená všetky Údaje spoločnosti Kyndryl a Technológie spoločnosti Kyndryl.
Osobné údaje spoločnosti Kyndryl znamená Osobné údaje, ktoré Dodávateľ Spracúva v mene spoločnosti Kyndryl. Osobné údaje spoločnosti Kyndryl zahrňujú aj Osobné údaje, ktoré prevádzkuje spoločnosť Kyndryl, a Osobné údaje, ktoré spoločnosť Kyndryl Spracúva v mene Iných Prevádzkovateľov údajov.
Zdrojový kód spoločnosti Kyndryl je Zdrojový kód, ktorý spoločnosť Kyndryl vlastní alebo má v držbe na základe licencie.
Technológie spoločnosti Kyndryl znamená Zdrojový kód spoločnosti Kyndryl, iný kód, popisy, firmvér, softvér, nástroje, návrhy, schémy, grafické znázornenia, vložené kľúče, certifikáty a iné informácie, materiály, prostriedky, dokumenty a technológie, ktoré spoločnosť Kyndryl priamo alebo nepriamo poskytne Dodávateľovi na základe licencie alebo inak sprístupní v súvislosti s Transakčným dokumentom alebo súvisiacou zmluvou uzavretou medzi spoločnosťou Kyndryl a Dodávateľom.
Zahŕňa a Vrátane, bez ohľadu na to, či sú tieto pojmy uvedené veľkým začiatočným písmenom, nebudú mať obmedzujúci či vymedzujúci význam.
Odporúčané postupy v odvetví znamená postupy, ktoré sú v súlade s postupmi odporúčanými alebo vyžadovanými organizáciami NIST (National Institute of Standards and Technology) alebo ISO (International Standards Organization) či akýmkoľvek iným orgánom alebo organizáciou s podobnou reputáciou a odbornosťou.
IT znamená informačné technológie.
Iný Prevádzkovateľ údajov znamená subjekt iný ako spoločnosť Kyndryl, ktorý je Prevádzkovateľom Údajov spoločnosti Kyndryl, ako sú pridružená spoločnosť spoločnosti Kyndryl, Zákazník alebo pridružená spoločnosť Zákazníka.
Lokálny softvér znamená softvér, ktorý spoločnosť Kyndryl alebo subdodávateľ spúšťa, inštaluje alebo prevádzkuje na serveroch alebo systémoch spoločnosti Kyndryl alebo zmluvného subdodávateľa. Na objasnenie: Lokálny softvér je Dodávaný produkt Dodávateľa.
Osobné údaje znamená ľubovoľné informácie týkajúce sa Dotknutej osoby a akékoľvek iné informácie, ktoré sa posudzujú ako „osobné údaje“ alebo podobne v ľubovoľných platných právnych predpisoch o ochrane údajov.
Personál sú jednotlivci, ktorí sú zamestnanci spoločnosti Kyndryl alebo Dodávateľa, zástupcovia spoločnosti Kyndryl alebo Dodávateľa, nezávislí zmluvní dodávatelia, ktorých služby využíva spoločnosť Kyndryl alebo Dodávateľ alebo ktorých poskytne zmluvnej strane zmluvný subdodávateľ.
Spracúvať alebo Spracúvanie a odvodené gramatické tvary znamená ľubovoľnú operáciu alebo súbor operácií vykonaných s Údajmi spoločnosti Kyndryl vrátane ich uchovávania, používania a čítania a prístupu k nim.
Sprostredkovateľ je fyzická alebo právnická osoba, ktorá Spracúva Osobné údaje v mene Prevádzkovateľa údajov.
Narušenie zabezpečenia znamená narušenie bezpečnosti, ktoré vedie k (a) strate, zničeniu, pozmeneniu alebo náhodnému alebo neoprávnenému vyzradeniu Materiálov spoločnosti Kyndryl, (b) náhodnému alebo neoprávnenému prístupu k Materiálom spoločnosti Kyndryl, (c) nezákonnému Spracúvaniu Údajov spoločnosti Kyndryl alebo (d) nezákonnému Zaobchádzaniu s Technológiami spoločnosti Kyndryl.
Predať (alebo Predaj a odvodené gramatické tvary) znamená predaj, prenájom, vydanie, zverejnenie, distribúciu, sprístupnenie, prenos alebo iné ústne, písomné, elektronické či iné sprostredkovanie údajov za peňažnú alebo inú odmenu.
Zdrojový kód znamená pre človeka čitateľný programovací kód, ktorý vývojári používajú na vývoj alebo údržbu produktu, ktorý sa však neposkytuje koncovým používateľom v rámci štandardnej komerčnej distribúcie alebo použitia produktu.
Ďalší sprostredkovateľ je ľubovoľný zmluvný subdodávateľ Dodávateľa, ktorý Spracúva údaje spoločnosti Kyndryl, vrátane pridruženej spoločnosti Dodávateľa.