Privacy and Security Terms

Rendelkezik-e a Szállító vagy a Kyndryl hozzáféréssel a másik fél üzletikapcsolat-adataihoz?

Ha igen, akkor az I. szakasz (Üzletikapcsolat-adatok) és a X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó az ilyen hozzáférés kapcsán.

Példák:

Szállító támogatáshoz vagy karbantartáshoz használja a Kyndryl vagy a Vevő alkalmazottainak nevét, e-mail-címét és telefonszámait.
A Kyndryl a Szállító alkalmazottainak nevét és e-mail-címét használja hitelesítés céljából, hogy a vállalati rendszerhez hozzáféréshessenek.

Megjegyzés:

Ha a Szállító karbantartást vagy támogatás nyújt, hozzáféréssel rendelkezhet a üzletikapcsolat-adatokon túlmutató adatokhoz (pl. naplófájlok személyes adatokkal vagy anélkül), amely esetben Szállító a 2. pont (ha Személyes Adatokhoz lesz hozzáférése) és 3. pont alatti négyzetet is be kell jelölnie (ha nem Személyes Adatokhoz lesz hozzáférése).
Ha a Szállító a Kyndryl dolgozóinak adatait dolgozza fel, akkor a 2. pont alatti négyzetet is be kell jelölnie (ha Személyes Adatokhoz lesz hozzáférése).

I. szakasz, Üzletikapcsolat-adatok

Ez a szakasz akkor alkalmazandó, ha a Szállító vagy a Kyndryl feldolgozza a másik fél BCI-jét.

1.1 Előfordulhat, hogy a Kyndryl és a Szállító Feldolgozza a másik fél BCI-jét bárhol, ahol üzleti tevékenységet folytatnak a Szállító által nyújtott Szolgáltatásokkal és Termékekkel kapcsolatban.

1.2 A fél:

(a) nem használja fel és nem közli a másik fél BCI-it semmilyen más célra (az egyértelműség kedvéért: egyik fél sem értékesíti a másik fél BCI-it, illetve nem használja fel és nem közli a másik fél BCI-it semmilyen piackutatási és -szervezési célra a másik fél előzetes írásbeli hozzájárulása és szükség esetén az Érintettek előzetes hozzájárulása nélkül); és

b) a másik fél írásbeli kérésére haladéktalanul törli, módosítja, kijavítja, visszatéríti, a másik fél BCI-jét és tájékoztatást nyújt azok Feldolgozásáról, korlátozza azok Feldolgozását, valamint megtesz minden egyéb ésszerűen kért tevékenységet azokkal kapcsolatban, ha a személyes adatok jogosulatlan felhasználására kerül sor, és a fél le kívánja állítani a feldolgozást és orvosolni kívánja azt.

1.3 A felek nem lépnek közös Adatkezelői jogviszonyba egymás BCI-je tekintetében, és a Tranzakciós Dokumentum egyetlen rendelkezése sem értelmezhető vagy értelmezhető úgy, hogy az közös Adatkezelői jogviszony létrehozására irányuló szándékot jelezne.

1.4 A Kyndryl Adatvédelmi Nyilatkozata a https://www.kyndryl.com/us/en/privacy címen további részleteket tartalmaz a BCI Kyndryl általi feldolgozásáról.

1.5 A felek műszaki és szervezeti biztonsági intézkedéseket vezettek be és tartanak fenn, hogy megvédjék a másik fél BCI-it az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, véletlen vagy jogosulatlan hozzáférés és jogellenes Feldolgozás ellen.

1.6 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután a biztonsági előírások megsértése bármilyen, a Kyndryl BCI-t érintő biztonsági előírások megsértéséről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.

1.7 Ahol Szállító csak a Kyndryl BCI-jét dolgozza fel, és nincs hozzáférése semmilyen más adathoz, anyaghoz, vagy a Kyndryl Vállalati Rendszeréhez, akkor a jelen szakasz, és a X. szakasz (Együttműködés, igazolás és helyreállítás) az egyetlen, amely az ilyen Feldolgozásra alkalmazandó.

---

X. szakasz: Együttműködés, igazolás és helyreállítás

Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.

1. Szállítói együttműködés

1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.

1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.

1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.

2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)

2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.

2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.

2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.

2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.

2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..

3. Hamisítás elleni program

3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.

4. Helyreállítás

4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.

4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.

4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.

Fog hozzáféréssel rendelkezni a Szállító Személyes Adatokhoz?

Ha igen, akkor a II. szakasz (Műszaki és szervezeti intézkedések, Adatbiztonság), a III. szakasz (Adatvédelem), a VIII. szakasz (Műszaki és szervezeti intézkedések, Általános biztonság) és a X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó az ilyen hozzáférés kapcsán.

Példák:

A Szállító hozzáfér a Személyes Adatokhoz bármely Kihelyezett Szolgáltatás nyújtása során a Kyndryl belső használatára vagy a Vevő általi használatra, vagy mindkettőre.
A Szállító orvosi vagy egészségügyi Szolgáltatásokkal, piackutatási és -szervezési Szolgáltatásokkal, illetve emberi erőforrással vagy juttatásokkal kapcsolatos Szolgáltatásokat nyújt, és ennek során hozzáfér a Személyes Adatokhoz.
A Szállító a támogatási Szolgáltatások nyújtása érdekében hozzáfér a Személyes Adatokat tartalmazó naplófájlokhoz.

II. szakasz, Műszaki és szervezési intézkedések, Adatbiztonság

Ez a szakasz akkor alkalmazandó, ha Szállító a Kyndryl BCI-től eltérő Kyndryl-adatokat dolgoz fel. A Szállító valamennyi Szolgáltatás és Leszállítandó Termék nyújtása során betartja a jelen szakasz követelményeit, és ezáltal védi a Kyndryl-adatokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, véletlen vagy jogosulatlan hozzáférés és bármely jogellenes Adatkezelés ellen. A követelmények Szakasz kiterjed minden olyan IT-alkalmazásra, platformra és infrastruktúrára, amelyet Szállító üzemeltet, vagy kezel a Leszállítandó Termékek és Szolgáltatások nyújtása során, beleértve az összes fejlesztési, vizsgálati, kihelyezési, támogatási, üzemeltetési és adatközpont-környezetet.

1. Adathasználat

1.1 A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem egészítheti ki a Kyndryl-adatokat, illetve nem foglalhat bele a Kyndryl-adatokba semmilyen más információt vagy adatot, beleértve a Személyes Adatokat, és a Szállító nem használhatja a Kyndryl-adatokat semmilyen formában, összesítve vagy más módon, a Szolgáltatások és a Leszállítandók rendelkezésre bocsátásán kívüli más célra (például nem használhatja fel újra a Kyndryl-adatokat a Szállító ajánlatainak hatékonyságának vagy javítási módjainak értékelésére, új ajánlatok létrehozására irányuló kutatás és fejlesztés céljából, vagy a Szállító ajánlataira vonatkozó jelentések készítésére). Hacsak a Tranzakciós Dokumentum kifejezetten nem engedélyezi, a Szállító számára tilos a Kyndryl-adatok Értékesítése.

1.2 A Szállító nem ágyazhat be semmilyen webes nyomkövetési technológiát a Leszállítandó Termékekbe vagy a Szolgáltatások részeként (az ilyen technológiák magukban foglalják a HTML5-t, a helyi tárolást, a harmadik fél címkéit vagy a kulcsszavakat és webjelzőket), kivéve, ha a Tranzakciós Dokumentum ezt kifejezetten engedélyezi.

2. Harmadik felek kérései és titoktartás

2.1 A Szállító nem közli a Kyndryl-adatokat harmadik fél részére, kivéve, ha a Kyndryl erre előzetesen írásban feljogosította. Ha egy kormányzat, beleértve bármely szabályozó hatóságot is, hozzáférést kér a Kyndryl-adatokhoz (például ha az Egyesült Államok kormánya nemzetbiztonsági utasítást ad ki a Szállítónak a Kyndryl-adatok megszerzésére), vagy ha a Kyndryl-adatok közlését egyébként törvény írja elő, a Szállító írásban értesíti a Kyndrylt az ilyen követelésről vagy követelményről, és méltányos lehetőséget biztosít a Kyndrylnek a közlés megtámadására (amennyiben a törvény tiltja az értesítést, a Szállító megteszi azokat a lépéseket, amelyeket ésszerűen megfelelőnek tart a tiltás és a Kyndryl-adatok közlésének bírósági úton vagy más módon történő megtámadására).

2.2 A Szállító biztosítja a Kyndrylt arról, hogy: (a) csak azok az alkalmazottak rendelkeznek ilyen hozzáféréssel, akik esetében szükséges a Szolgáltatások vagy a Leszállítandó termékek rendelkezésre bocsátása érdekében, és kizárólag az adott Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátásához szükséges mértékig; és (b) a Szállító munkavállalóit olyan titoktartási kötelezettség terheli, amelyek kikötik, hogy kizárólag a jelen a Feltételekben engedélyezett mértékig használhatják és közölhetik a Kyndryl-adatokat.

3. A Kyndryl adatok visszatérítése vagy törlése

3.1 A Szállító a Kyndryl választása szerint törli vagy visszatéríti a Kyndryl-adatokat a Kyndryl részére a Tranzakciós Dokumentum megszűnésekor vagy lejártakor, vagy a Kyndryl kérésére ezeknél korábban. Ha Kyndryl törlést igényel, a Szállító az Ipari Legjobb Gyakorlatok szerint olvashatatlanná, összeállíthatatlanná vagy rekonstruálhatatlanná teszi, és tanúsítja a törlés tényét a Kyndryl felé. Ha Kyndryl a Kyndryl-adatok visszatérítését igényli, a Szállító ezt a Kyndryl ésszerű ütemezése és írásos utasítása szerint teszi meg.

---

III. szakasz, Adatvédelem

Ez a Szakasz akkor alkalmazandó, ha Szállító Feldolgozza a Kyndryl Személyes Adatait.

1. Adatfeldolgozás

1.1 a Kyndryl a Szállítót jelöli ki Adatfeldolgozóként a Kyndryl Személyes Adatok Feldolgozására abból a célból, hogy a Leszállítandó Termékeket és Szolgáltatásokat a Kyndryl utasításai szerint, ideértve a jelen Feltételekben, a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban foglaltakat is. Ha a Szállító nem tesz eleget egy utasításnak, a Kyndryl írásos értesítésben megszüntetheti a Szolgáltatások érintett részét. Ha a Szállító úgy véli, hogy egy utasítás adatvédelmi törvényt sért, erről haladéktalanul és a jogszabály által előírt időkereten belül értesíti a Kyndrylt. Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Személyes Adatok jogosulatlan felhasználását okozza, vagy általában a Személyes Adatok jogosulatlan felhasználása esetén a Kyndrylnek jogában áll leállítani a feldolgozást, kijavítani a hibát és orvosolni a jogosulatlan felhasználás káros hatásait, a Kyndryl ésszerű irányítása és ütemezése szerint.

1.2 A Szállító köteles a Szolgáltatásokra és a Leszállítandó Termékekre vonatkozó összes adatvédelmi törvényt betartani.

1.3 A Tranzakciós Dokumentum Melléklete vagy maga a Tranzakciós Dokumentum a Kyndryl-adatok tekintetében a következőket határozza meg:

(a) Érintettek kategóriái;

b) Kyndryl Személyes Adatok típusai;

c) adatkezelési és Adatfeldolgozási tevékenységek;

d) Adatfeldolgozási időtartam és gyakoriság; és

(e) Alárendelt Adatfeldolgozók listája.

2. Műszaki és szervezési intézkedések

2.1 A Szállító végrehajtja és fenntartja a II. szakaszban (Műszaki és szervezeti intézkedések, Adatbiztonság) és a VIII. szakaszban (Műszaki és szervezeti intézkedések, Általános biztonság) meghatározott műszaki és szervezeti intézkedéseket, és ezáltal biztosítja a Szolgáltatásai és a Leszállítandó Termékek által jelentett kockázatnak megfelelő biztonsági szintet. A Szállító igazolja és teljes mértékben megérti a II., III. és VIII. szakaszban foglalt korlátozásokat, valamint teljesíti azokat.

3. Az érintett jogai és kérései

3.1 A Szállító haladéktalanul tájékoztatja a Kyndrylt (olyan ütemezésben, amely lehetővé teszi a Kyndryl és bármely más Adatkezelő számára, hogy eleget tegyen jogi kötelezettségeinek) az Érintett bármely, a Kyndryl Személyes Adatokkal kapcsolatos, az Érintett jogainak gyakorlására (pl. az adatok helyesbítésére, törlésére vagy zárolására) vonatkozó kéréséről. A Szállító az ilyen kérelmet benyújtó Érintettet haladéktalanul a Kyndrylhez irányíthatja. A Szállító nem válaszol az Érintettek kérésére, kivéve, ha erre jogszabály kötelezi, vagy ha a Kyndryl írásban arra utasítja.

3.2 Ha a Kyndryl köteles a Kyndryl Személyes Adatokkal kapcsolatos információkat nyújtani más Adatkezelőknek vagy más harmadik feleknek (pl. az Érintetteknek vagy a szabályozó hatóságoknak), Szállító támogatja a Kyndrylt az információk nyújtásával és a Kyndryl által kért egyéb ésszerű intézkedések megtételével, olyan ütemezésben, amely lehetővé teszi a Kyndryl számára, hogy időben válaszoljon az ilyen más Adatkezelőknek vagy harmadik feleknek.

4. Alárendelt adatfeldolgozók

4.1 A Szállító új Alárendelt Adatfeldolgozó felvétele vagy a meglévő Alárendelt Adatfeldolgozó által végzett Adatfeldolgozás körének kiterjesztése előtt a Kyndrylnek előzetes írásbeli értesítést küld, amelyben megadja az Alárendlt Adatfeldolgozó nevét és leírja az új vagy kiterjesztett Adatfeldolgozási kört. A Kyndryl ésszerű indokok alapján bármikor kifogást emelhet bármely ilyen új Alárendelt Adatfeldolgozó vagy kibővített hatály ellen, és ha ezt megteszi, a felek jóhiszeműen együttműködnek a Kyndryl kifogásának kezelése érdekében. Jogfenntartással a Kyndryl mindenkori tiltakozási jogára a Szállító megbízhatja az új Alárendelt Adatfeldolgozót vagy kibővítheti a meglévő az Alárendelt Adatfeldolgozó Adatfeldolgozási körét, ha a Kyndryl a Szállító írásbeli értesítésének dátumától számított 30 napon belül nem emelt kifogást ez ellen.

4.2 A Szállító a jelen Feltételekben meghatározott adatvédelmi, biztonsági és tanúsítási kötelezettségeket állít fel minden jóváhagyott Alárendelt Adatfeldolgozóra, mielőtt azok bármilyen Kyndryl-adatot Feldolgoznának. A Szállítót a Kyndryl felé teljes mértékben felelősség terheli az egyes Alárendelt Adatfeldolgozók kötelezettségeinek teljesítéséért.

5. Határon átnyúló adatfeldolgozás

Az alábbiak szerint:

A Megfelelő Ország olyan országot jelent, amely a hatályos adatvédelmi törvények vagy a szabályozó hatóságok határozatai alapján megfelelő adatvédelmi szintet biztosít az adott átvitelhez.

Az Adatfogadó olyan Adatfeldolgozót vagy Alárendelt Adatfeldolgozót jelent, amely egy nem Megfelelő Országban tartózkodik.

Az uniós Általános Szerződési Feltételek ("Uniós Általános Szerződési Feltételek", "EU ÁSZF"): az Uniós Általános Szerződési Feltételek (2021/914 Bizottsági Határozat), a 9. a) záradék 1. pontja és a 17. záradék 2. pontja kivételével, a https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en honlapon hivatalosan közzétett opcionális záradékokkal együtt.

A Szerb Általános Szerződési Feltételek ("szerb szabványos szerződési feltételek", "szerb ÁSZF") a "Szerbiai közérdekű információk és személyes adatok védelméért felelős biztos" által elfogadott szerb általános szerződési feltételeket jelentik, amelyeket a https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx oldalon tettek közzé.

Az Általános Szerződési Feltételek ("ÁSZF") az alkalmazandó adatvédelmi jogszabályok által megkövetelt szerződési feltételeket jelenti a Személyes Adatok nem megfelelő országokban tartózkodó Adatfeldolgozók részére történő átvitelére vonatkozóan.

Az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez („UK Kiegészítés"): az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez, amely hivatalosan a következő címen került közzétételre: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/.

Svájci kiegészítés az EU Bizottság általános szerződési kikötéseihez („svájci kiegészítés") az EU Bizottság Általános Szerződési Kikötéseihez tartozó szerződéses kikötéseket jelenti, amelyek a svájci adatvédelmi hatóság („FDPIC") döntésének megfelelően a svájci szövetségi adatvédelmi törvény („FADP") betartásával érvényesek.

5.1 Határokon átnyúlóan a Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem továbbítja és nem közli (beleértve a távoli hozzáférést is) a Kyndryl Személyes Adatait. Ha Kyndryl ilyen hozzájárulást ad, a felek együttműködnek a hatályos adatvédelmi törvényeknek való megfelelés biztosítása érdekében. Ha az említett jogszabályok ÁSZF-et írnak elő, a Szállító a Kyndryl kérésére haladéktalanul szerződéses kötelezettséget vállal az ÁSZF tekintetében.

5.2 Az EU ÁSZF-fel kapcsolatban:

(a) Ha a Szállító nem Megfelelő Országban rendelkezik székhellyel: a Szállító ezennel Adatfogadóként lép vállal szerződéses kötelezettséget a Kyndryl felé az ÁSZF tekintetében, és az EU ÁSZF 9. szakaszának megfelelően minden jóváhagyott Alárendelt Adatfeldolgozóval írásos megállapodást köt és gondoskodik arról, hogy kérésre a Kyndryl rendelkezésére bocsátja a megállapodások másolatait.

(i) Az EU ÁSZF 1. modulja nem alkalmazandó, kivéve, ha a felek írásban másként állapodnak meg.

(ii) Az EU ÁSZF 2. modulja alkalmazandó, ha a Kyndryl az Adatkezelő, és a 3. modul, ha a Kyndryl az Adatfeldolgozó. Az EU ÁSZF 13. záradékával összhangban, amennyiben a 2. vagy 3. modul alkalmazandó, a felek megállapodnak abban, hogy (1) az EU ÁSZF-re annak az uniós tagállamnak a joga az irányadó, ahol az illetékes felügyeleti hatóság található, és (2) az EU ÁSZF-ből eredő bármely jogvitát annak az uniós tagállamnak a bíróságai előtt kell elbírálni, ahol az illetékes felügyeleti hatóság található. Ha az 1. pontban említett jog nem teszi lehetővé a harmadik fél kedvezményezetti jogait, akkor az EU ÁSZF-re a hollandiai jog az irányadó, és az EU ÁSZF-ből eredő, a 2. pont szerinti jogvitákat a hollandiai amszterdami bíróság rendezi.

b) Ha mindkét fél, a Szállító és a Kyndryl egy Megfelelő Országban rendelkezik székhellyel, a Szállító Adatküldőként jár el, és minden egyes, Nem Megfelelő Országban jóváhagyott Alárendelt Adatfeldolgozóval EU ÁSZF-re vállal szerződéses kötelezettséget. A Szállító elvégzi a szükséges Átviteli Hatásvizsgálatot (TIA) és indokolatlan késedelem nélkül értesíti Kyndrylt (1) a kiegészítő intézkedések szükségességéről és (2) az alkalmazott intézkedésekről. Kérésre a Szállító a TIA eredményeit és az eredmények megértéséhez és kiértékeléséhez szükséges adatokat a Kyndryl rendelkezésére bocsátja. Amennyiben Kyndryl nem ért egyet a szállítói TIA eredményeivel vagy az alkalmazott kiegészítő intézkedésekkel, a Kyndryl és a Szállító együttműködik a megvalósítható megoldás megtalálásában. A Kyndryl fenntartja a jogot, hogy kártérítés nélkül felfüggessze vagy megszüntesse az érintett Szállítók szolgáltatásait. A félreértések elkerülése végett, ez nem mentesíti a Szállító Alárendelt Adatfeldolgozóit azon kötelezettségük alól, hogy az alábbi 5.2 (d) szakaszban leírtak szerint a Kyndryllel vagy ügyfeleivel kötött EU ÁSZF-k tekintetében szerződéses kötelezettséget vállaljanak.

(c) Ha a Szállító az Európai Gazdasági Térségben rendelkezik székhellyel, és a Kyndryl olyan Adatkezelő, amely nem tartozik a 2016/679 általános adatvédelmi rendelet hatálya alá, akkor az EU ÁSZF 4. modulja alkalmazandó, és a Szállító ezennel adatexportőrként vállal szerződéses kötelezettséget a Kyndryl felé az EU ÁSZF tekintetében. Ha az EU ÁSZF 4. modulja alkalmazandó, a felek megállapodnak hogy az EU ÁSZF-re a hollandiai jog az irányadó, és az EU ÁSZF-ből eredő jogvitákat a hollandiai Amszterdam bírósága rendezi.

d) Ha Más Adatkezelők, például Vevők vagy leányvállalatok a 7. pontban szereplő "fogadói záradék" értelmében az EU ÁSZF szerződéses felévé kívánnak válni, a Szállító ezennel beleegyezik minden ilyen kérésbe.

(e) Az EU ÁSZF II. mellékletének teljesítéséhez szükséges műszaki és szervezési intézkedések a jelen Feltételekben, magában a Tranzakciós Dokumentumban és a felek közötti kapcsolódó alapmegállapodásban találhatók.

f) Az EU ÁSZF és a jelen Feltételek közötti ütközés esetén az EU ÁSZF az irányadó.

5.3 Az Egyesült Királyság kiegészítéseit (UK Addendum) illetően:

a. Ha a Szállító székhelye nem megfelelő adatvédelmi szintet nyújtó országban van: (i) A Szállító mint adatátvevő a Kyndryllel való viszonylatban az Egyesült Királyság kiegészítéseit alkalmazza a fent meghatározott EU ÁSZF kiegészítéseként (adott esetben, a feldolgozási tevékenységek körülményeitől függően); és (ii) a Szállító írásos megállapodást köt minden jóváhagyott további adatkezelővel, és e megállapodások másolatait kérésre átadja a Kyndrylnek.

b. Ha a Szállító székhelye megfelelő adatvédelmi szintet nyújtó országban van, és a Kyndryl olyan adatkezelő, amelyre nem vonatkozik az Egyesült Királyság Általános Adatvédelmi Rendelete (amely az Egyesült Királyságnak az EU-ból való kilépésről rendelkező 2018. évi törvénye (European Union (Withdrawal) Act 2018) révén került az Egyesült Királyság jogába), akkor a Szállító adatátadóként a Kyndryl viszonylatában csatlakozik az Egyesült Királyság kiegészítéseihez a fenti 5.2(b) szakaszban meghatározott EU ÁSZF-re vonatkozóan.

c. Ha más adatkezelők, például vevők vagy társvállalatok csatlakozni kívánnak az Egyesült Királyság kiegészítéseihez, a Szállító beleegyezik minden ilyen kérésbe.

d. Az Egyesült Királyság kiegészítéseinek Függelékre vonatkozó információi (a 3. táblázatban foglaltak szerint) megtalálhatók a vonatkozó EU ÁSZF feltételekben, a jelen Feltételekben, magában a Tranzakciós dokumentumban és a kapcsolódó, felek közötti alapszerződésben. Az Egyesült Királyság kiegészítéseinek változása esetén sem a Kyndryl, sem a Szállító nem szüntetheti meg az Egyesült Királyság kiegészítéseit.

e. Az Egyesült Királyság kiegészítése(i) és jelen Feltételek közötti bármilyen ütközés esetén az Egyesült Királyság kiegészítése(i) az irányadó(k).

5.4 A szerb ÁSZF-fel kapcsolatban:

a. Ha Szállító nem egy Megfelelő Országban rendelkezik székhellyel: (i) a Szállító ezennel a Kyndryllel a saját nevében, mint Adatfeldolgozó szerbiai ÁSZF-re vállal szerződéses kötelezettséget; és (ii) a Szállító a szerbiai ÁSZF 8. cikkével összhangban írásbeli megállapodásokat köt minden egyes jóváhagyott Alárendelt Adatfeldolgozóval, és kérésre a Kyndryl rendelkezésére bocsátja az ilyen megállapodások másolatát.

b. Ha a Szállító egy Megfelelő Országban rendelkezik székhellyel, a Szállító ezennel a nem Megfelelő Országban székhellyel rendelkező alfeldolgozók nevében a szerbiai ÁSZF-re vállal szerződéses kötelezettséget a Kyndryl felé. Ha a Szállító nem tudja ezt megtenni bármelyik ilyen Alárendelt Adatfeldolgozó esetében, akkor a Szállító a Kyndryl rendelkezésére bocsátja az adott Alárendelt Adatfeldolgozó által aláírt szerb ÁSZF-t a Kyndryl ellenjegyzése végett, mielőtt engedélyezné az Alárendelt Adatfeldolgozónak a Kyndryl Személyes Adatainak Feldolgozását.

c. A Kyndryl és a Beszállító közötti szerb ÁSZF vagy az Adatkezelő és a Adatfeldolgozó közötti szerb ÁSZF-ként, vagy az "adatkezelő" és az "alárendelt adatfeldolgozó" közötti írásbeli megállapodásként szolgálnak, ahogyan azt a tények megkövetelik. A szerb ÁSZF és jelen Feltételek közötti ütközés esetén a szerb ÁSZF az irányadó.

d. A Személyes Adatok nem Megfelelő Országba történő átvitelének szabályozása céljából a szerbiai ÁSZF 1–8. függelékeinek kitöltéséhez szükséges információk a jelen Feltételekben és a Tranzakciós Dokumentum mellékletében, vagy magában a Tranzakciós Dokumentumban találhatók.

5.5. A svájci kiegészítés(eke)t illetően:

Ha, és amennyiben a Kyndryl személyes adatainak átvitelére az 5.1. szakasz értelmében a svájci szövetségi adatvédelmi törvény („FADP") vonatkozik, akkor a jelen Feltételek 5.2. szakaszában elfogadott EU SCC-k vonatkoznak az átvitelre, a GDPR szabvány svájci személyes adatokra kapcsolódó alkalmazására vonatkozóan a következő módosításokkal:

A hivatkozások az Általános Adatvédelmi Rendeletre („GDPR") az FADP egyenértékű rendelkezéseire való hivatkozásként is értelmezendők,
a Svájci Szövetségi Adatvédelmi Információs Bizottság az illetékes felügyeleti hatóság a 13. pontnak és az I.C. mellékletnek megfelelően,melyek az EU SCC-kben találhatók

A svájci jog, mint irányadó jog, amennyiben az átvitelre kizárólag az FADP vonatkozik
Az EU SCC 18. cikkében szereplő „tagállam" kifejezés kiterjesztett jelentése Svájcot is tartalmazza abból a célból, hogy a svájci érintettek szokásos lakóhelyükön gyakorolhassák jogaikat.

A félreértések elkerülése végett: a fentiekben szereplőkben semminek sem az a célja, hogy bármilyen módon csökkentse az EU SCC által biztosított adatvédelem szintjét, hanem kizárólag az, hogy ezt a védelmi szintet kiterjessze a svájci érintettekre. Ha és amennyiben nem ez a helyzet, az EU SCC az irányadó.

6. Segítségnyújtás és nyilvántartások

6.1 Figyelembe véve az Adatkezelés jellegét, a Szállító megfelelő műszaki és szervezési intézkedésekkel segíti Kyndrylt az Érintettek kéréseivel és jogaival kapcsolatos kötelezettségek teljesítésében. A Szállító továbbá segíti a Kyndrylt az Adatkezelés biztonságával, a Biztonsági Előírások Megsértésével kapcsolatos értesítésekkel és kommunikációval, valamint az adatvédelmi hatásvizsgálatok elkészítésével kapcsolatos kötelezettségek teljesítésének biztosításában, beleértve a felelős szabályozó hatósággal való előzetes konzultációt, ha szükséges, figyelembe véve a Szállító rendelkezésére álló információkat.

6.2 A Szállító naprakész nyilvántartást köteles vezetni az egyes Alárendelt Adatfeldolgozók név- és kapcsolattartó adatairól, beleértve az egyes Alárendelt Adatfeldolgozók képviselőjének és adatvédelmi tisztviselőjének nevét. Kérésre a Szállító ezt a nyilvántartást olyan ütemezésben bocsátja a Kyndryl rendelkezésére, amely lehetővé teszi a Kyndryl számára, hogy időben válaszoljon az Ügyfél vagy más harmadik fél bármely kérésére.

---

VIII. szakasz, Műszaki és szervezési intézkedések, Általános biztonság

Ez a szakasz akkor alkalmazandó, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó terméket nyújt a Kyndrylnek, kivéve, ha a Szállító csak a Kyndryl BCI-hez fér hozzá az ilyen Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátása során (azaz a Szállító nem dolgoz fel semmilyen más Kyndryl-adatot, és nem fér hozzá semmilyen más Kyndryl-anyaghoz vagy Vállalati Rendszerhez), a Szállító egyetlen Szolgáltatása és Leszállítandó Terméke a Kyndryl számára Helyszíni Szoftver biztosítása, vagy a Szállító a VII. szakasszal összhangban, beleértve annak 1.7. szakaszát is, az összes Szolgáltatást és Leszállítandó Terméket személyzetnövelési modellben nyújtja.

A Szállító köteles betartani a jelen cikk követelményeit, és ezáltal védeni: (a) a Kyndryl-anyagokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, valamint véletlen vagy jogosulatlan hozzáférés ellen, (b) a Kyndryl-adatokat a jogellenes Adatfeldolgozási formáktól és (c) a Kyndryl-technológiát a jogellenes Kezelési formáktól. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.

1. Biztonsági szabályzatok

1.1 A Szállító köteles fenntartani és követni az informatikai biztonsági irányelveket és gyakorlatokat, amelyek szerves részét képezik a Szállító üzleti tevékenységének, kötelezőek a Szállító Személyzete számára, és összhangban kell lenniük az Iparági Legjobb Gyakorlatokkal.

1.2 A Szállító legalább évente felülvizsgálja az IT biztonsági irányelveket és gyakorlatát, és a Kyndryl-anyagok védelmében a Szállító által szükségesnek ítélt módon módosítja.

1.3 A Szállító fenntartja és betartja a standard, kötelező foglalkoztatási ellenőrzési követelményeket minden új alkalmazott felvétele esetén, és kiterjeszti ezeket a követelményeket a Szállító összes alkalmazottjára és a Szállító teljes tulajdonú leányvállalataira is. Ezek a követelmények magukban foglalják a helyi törvények által megengedett mértékben a büntetőjogi háttér ellenőrzését, a személyazonosság igazolását, valamint a Szállító által szükségesnek ítélt további ellenőrzéseket. Szükség esetén a Szállító időszakonként ismétli és újraérvényesíti ezeket a követelményeket.

1.4 A Szállító évente biztonsági és adatvédelmi oktatást nyújt alkalmazottainak, és minden ilyen alkalmazottjától megköveteli, hogy minden évben igazolja, hogy betartja a Szállító etikus üzleti magatartási, titoktartási és biztonsági szabályzatát, amint azt a Szállító magatartási szabályzata vagy hasonló dokumentumai tartalmazzák. Szállító további képzéseket képzést biztosít a szabályzatról és a folyamatokról a Szolgáltatások, a Leszállítandó Termékek vagy a Kyndryl-anyagok bármely összetevőjéhez adminisztratív hozzáféréssel rendelkező személyek számára, a szerepükre és a Szolgáltatások, a Leszállítandó Termékek és a Kyndryl-anyagok támogatására vonatkozó képzéssel, valamint az előírt megfelelés és tanúsítványok fenntartásához szükséges módon.

1.5 A Szállító biztonsági és adatvédelmi intézkedéseket tervez a Kyndryl-anyagok védelme és rendelkezésre állásának fenntartása érdekében, többek között olyan irányelvek és eljárások végrehajtása, karbantartása és betartása révén, amelyek a biztonságot és az adatvédelmet a tervezés, a biztonságos tervezés és a biztonságos üzemeltetés révén írják elő valamennyi Szolgáltatás és Leszállítandó Termék, valamint az összes Kyndryl-technológia Kezelése esetében.

2. Biztonsági váratlanesemények

2.1 Szállító köteles a számítógépes biztonsági váratlanesemény-válasz kezelésére vonatkozó, az Iparági Legjobb Gyakorlatokkal összhangban lévő, dokumentált váratlanesemény-kezelési irányelveket fenntartani és betartani.

2.2 A Szállító kivizsgálja a Kyndryl-anyagokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan felhasználását, és megfelelő választervet határoz meg és hajt végre.

2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.

2.4 A Szállító a Kyndryl számára ésszerű támogatást biztosít a Kyndryl, leányvállalatai és Vevői (vevői és kapcsolt vállalkozásai) jogi kötelezettségeinek (beleértve a szabályozó hatóságok vagy az Érintettek értesítésére vonatkozó kötelezettségeket is) teljesítése érdekében a Biztonsági Előírások Megsértése esetén.

2.5 A Szállító nem tájékoztatja és nem értesíti a harmadik felet arról, hogy a Biztonsági Előírások Megsértése közvetlenül vagy közvetve a Kyndrylhez vagy a Kyndryl-anyagokhoz kapcsolódik, kivéve, ha a Kyndryl ezt írásban jóváhagyja, vagy ha azt törvény írja elő. Szállító írásban értesíti a Kyndrylt, mielőtt bármilyen, jogszabályban előírt értesítést továbbítana bármely harmadik félnek, amennyiben az értesítés közvetlenül vagy közvetve felfedné a Kyndryl személyazonosságát.

2.6 A biztonsági előírások megsértése esetén, amely abból ered, hogy a Szállító megszegi a jelen Feltételek szerinti bármely kötelezettségét:

(a) A Szállító felelős a nála felmerülő költségekért, valamint a Kyndrylnél ténylegesen felmerülő költségekért, amely az illetékes szabályozó hatóságok, más kormányzati és releváns iparági önszabályozó ügynökségek, a média (ha a vonatkozó jogszabályok előírják), az Érintettek, az Ügyfelek és mások Biztonsági Előírások Megsértéséről történő értesítése során merül fel,

b) amennyiben a Kyndryl kéri, a Szállító saját költségén létrehoz és fenntart egy telefonos ügyfélszolgálatot, amely a Érintetteknek a Biztonsági Előírások Megsértésével és annak következményeivel kapcsolatos kérdéseire válaszol, a Biztonsági Előírások Megsértésről való értesítés időpontjától számított 1 évig, vagy az alkalmazandó adatvédelmi jogszabályok által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet. A Kyndryl és a Szállító együttműködik a szövegkönyvek és egyéb anyagok elkészítésében, amelyeket a telefonos ügyfélszolgálat munkatársai a megkeresések megválaszolásakor használnak. Alternatív megoldásként, a Szállítónak küldött írásbeli értesítés alapján a Kyndryl létrehozhatja és fenntarthatja saját hívásközpontját, ahelyett, hogy a Szállító hozna létre egy hívásközpontot, és a Szállító megtéríti a Kyndrylnek az ilyen hívásközpont létrehozásával és fenntartásával kapcsolatban felmerülő tényleges költségeket, és

c) A Szállító megtéríti a Kyndrylnek a tényleges költségeket, amelyek a Kyndrylnél a hitelfelügyeleti és hitelvisszaállítási szolgáltatások nyújtása során felmerülnek, 1 évvel azt követően, hogy a megsértés által érintett, az ilyen szolgáltatásokra regisztrálni kívánó személyeket értesítették a Biztonsági Előírások Megsértéséről, vagy az alkalmazandó adatvédelmi törvények által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet.

3. Fizikai biztonság és beléptetés-ellenőrzés (az alábbiakban használt "létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér).

3.1 A Szállító köteles megfelelő fizikai beléptetési ellenőrzéseket fenntartani, például sorompókat, kártyával vezérelt belépési pontokat, felügyeleti kamerákat és személyzeti recepciós pultokat, hogy megelőzze az illetéktelen belépést a létesítményekbe.

3.2 A Szállító a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáféréshez - beleértve az ideiglenes hozzáférést is - felhatalmazott engedélyt igényel, és a hozzáférést munkakör és üzleti szükséglet szerint korlátozza. Ha a Szállító ideiglenes hozzáfréést biztosít, a Szállító jogosult alkalmazottja minden látogatót kísérni fog, amíg a Létesítményben és az ellenőrzött területeken tartózkodik.

3.3 A Szállító fizikai beléptetési ellenőrzéseket valósít meg, beleértve az Iparági Legjobb Gyakorlatokkal összhangban lévő többtényezős beléptetési ellenőrzéseket, hogy megfelelően korlátozza a Létesítményen belüli ellenőrzött területekre való belépést, naplózza az összes belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzi.

3.4 A Szállító visszavonja a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáférést, ha (a) a jogosult munkavállaló felmondott, vagy (b) a jogosult szállítói munkavállalónak már nincs érvényes üzleti igénye a hozzáféréshez. A Szállító követi a hivatalos, dokumentált szétválasztási eljárásokat, amelyek magukban foglalják a hozzáférés-felügyeleti listákról való azonnali törlést és a fizikai hozzáférésre feljogosító igazolványok leadását.

3.5 A Szállító óvintézkedéseket tesz a Szolgáltatások és a Leszállítandó termékek támogatására és a Kyndryl-technológia Kezelésére használt fizikai infrastruktúra védelme érdekében a természetben előforduló és az ember által okozott környezeti veszélyekkel szemben, mint például a túlzott környezeti hőmérséklet, tűz, árvíz, páratartalom, lopás és vandalizmus.

4. Hozzáférés, beavatkozás, átvitel és szétválasztásszabályozás

4.1 A Szállító dokumentált biztonsági hálózatfelépítést tart fenn, amely a Szolgáltatások általa történő üzemeltetését, a Leszállítandó Termékek rendelkezésre bocsátását és a hozzá tartozó Kyndryl-technológiát kezeli. A Szállító külön felülvizsgálja az ilyen hálózatfelépítéseket, és intézkedéseket foganatosít a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz való jogosulatlan hálózati kapcsolatok megakadályozására, a biztonságos felosztás, az elkülönítés és a többszintű védelem szabványainak való megfelelés érdekében. A Szállító nem használhat vezeték nélküli technológiát a kihelyezett Szolgáltatások kihelyezése és üzemeltetése során; egyébként a Szállító használhat vezeték nélküli hálózati technológiát a Szolgáltatások és az Leszállítandó termékek kézbesítése és a Kyndryl-technológia Kezelése során, de a Szállító titkosítja és biztonságos hitelesítést ír elő az ilyen vezeték nélküli hálózatokhoz.

4.2 A Szállító olyan intézkedéseket tart fenn, amelyeket arra terveztek, hogy logikailag elkülönítsék és megakadályozzák, hogy a Kyndryl-anyagok illetéktelen személyek számára elérhetővé váljanak. Továbbá a Szállító fenntartja az éles, nem üzemi és egyéb környezetek megfelelő elkülönítését, és ha a Kyndryl-anyagok már jelen vannak egy nem üzemi környezetben, vagy átvitték azokat egy nem üzemi környezetbe (például egy hiba sokszorosítása érdekében), akkor a Szállító biztosítja, hogy a nem üzemi környezetben a biztonsági és adatvédelmi védelem megegyezik az éles környezetével védelmével.

4.3 Szállító titkosítja a Kyndryl-anyagokat szállítás közben és nyugalmi állapotban (kivéve, ha a Szállító a Kyndryl ésszerű megelégedésére bizonyítja, hogy a Kyndryl-anyagok nyugalmi állapotban történő titkosítása műszakilag kivitelezhetetlen). A Szállító továbbá titkosít minden fizikai adathordozót, ha van ilyen, például a biztonsági másolat fájljait tartalmazó adathordozót. A Szállító dokumentált eljárásokat tart fenn az adatok titkosításához kapcsolódó biztonságos kulcs előállítására, kiadására, terjesztésére, tárolására, forgatására, visszavonására, helyreállítására, biztonsági mentésére, megsemmisítésére, hozzáférésére és használatára vonatkozóan. A Szállító biztosítja, hogy az ilyen titkosításhoz használt sajátos rejtjelezett módszerek összhangban legyenek az Iparági Legjobb Gyakorlatokkal (például a NIST SP 800-131a).

4.4 Ha a Szállítónak hozzáférésre van szüksége a Kyndryl-anyagokhoz, a Szállító az ilyen hozzáférést a Szolgáltatások és a Leszállítandó Termékek nyújtásához és támogatásához szükséges legalacsonyabb szintre korlátozza. A Szállító megköveteli, hogy az ilyen hozzáférés, beleértve a mögöttes összetevőkhöz való adminisztratív hozzáférést (azaz a kiváltságos hozzáférést), egyéni, szerepkör alapú legyen, és a Szállító jogosult alkalmazottai által a kötelezettségelkülönítés elveit követve jóváhagyásra és rendszeres érvényesítésre szoruljon. A Szállító intézkedéseket tesz a felesleges és inaktív fiókok azonosítására és eltávolítására. A Szállító továbbá a kiváltságos hozzáféréssel rendelkező fiókokat visszavonja huszonnégy (24) órával a fiók tulajdonosa munkaviszonyának megszűnését vagy a Kyndryl vagy a Szállító bármely felhatalmazott alkalmazottjának, például a fiók tulajdonosának vezetőjének kérését követően.

4.5 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító műszaki intézkedéseket tart fenn az inaktív munkamenetek időtúllépésének kikényszerítésére, a fiókok többszöri egymást követő sikertelen bejelentkezési kísérlet utáni kizárására, erős jelszóval vagy jelmondattal történő hitelesítésre, valamint az ilyen jelszavak és jelmondatok biztonságos átvitelét és tárolását megkövetelő intézkedésekre. Ezenkívül a Szállító többtényezős hitelesítést alkalmaz az összes nem konzolalapú, bármely Kyndryl-anyaghoz való kiváltságos hozzáféréshez.

4.6 A Szállító figyelemmel kíséri a kiváltságos hozzáférések használatát, és olyan biztonsági információkat és eseménykezelési intézkedéseket tart fenn, amelyek célja: (a) a jogosulatlan hozzáférés és tevékenység azonosítása, b) az ilyen hozzáférésre és tevékenységre adott időben történő és megfelelő válaszadás megkönnyítése, és c) a Szállító, a Kyndryl (a jelen Feltételekben foglalt igazolási jogai és a Tranzakciós Dokumentumban vagy a kapcsolódó alapmegállapodásban vagy a felek közötti egyéb kapcsolódó megállapodásban foglalt ellenőrzési jogok alapján) és mások által végzett ellenőrzések lehetővé tétele a dokumentált Szállítói irányelveknek való megfelelés tekintetében.

4.7 A Szállító megőrzi azokat a naplókat, amelyekben az Iparági Legjobb Gyakorlatoknak megfelelően rögzít minden olyan adminisztrációs, felhasználói vagy egyéb hozzáférést vagy tevékenységet, amelyet a Szolgáltatások vagy a Leszállítandó Termékek rendelkezésre bocsátása és a Kyndryl-technológia Kezelése során használt rendszerekhez vagy azokkal kapcsolatban végez (és ezeket a naplókat kérésre a Kyndryl rendelkezésére bocsátja). A Szállító olyan intézkedéseket foganatosít, amelyek célja az ilyen naplókhoz való jogosulatlan hozzáférés, vagy azok módosítása, valamint véletlen vagy szándékos megsemmisítése elleni védelem.

4.8 A Szállító számítástechnikai védelmet tart fenn a tulajdonában lévő vagy általa kezelt rendszerek számára, beleértve a végfelhasználói rendszereket is, és amelyeket a Szolgáltatások vagy a Leszállítandó Termékek nyújtása vagy a Kyndryl-technológia kezelése során használ, az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljeslemez-titkosítás, aláírás és nem aláírás alapú végponti észlelési és válaszadási technológiák a rosszindulatú programok és a fejlett, tartós fenyegetések kezelésére, időalapú képernyőzár, valamint végpontkezelési megoldások, amelyek érvényesítik a biztonsági konfigurációs és javítási követelményeket. Ezen túlmenően a Szállító olyan műszaki és működési ellenőrzéseket hajt végre, amelyek biztosítják, hogy csak ismert és megbízható végfelhasználói rendszerek használhassák a Szállító hálózatait.

4.9 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító védelmet tart fenn az olyan adatközponti környezetek számára, ahol Kyndryl-anyagok vannak jelen vagy kerülnek feldolgozásra, beleértve a behatolásészlelést és -megelőzést, valamint a szolgáltatásmegtagadási támadások ellenintézkedéseit és mérséklését.

5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás

5.1 A Szállító: (a) legalább évente biztonsági és adatvédelmi kockázatértékelést végez, (b) biztonsági vizsgálatot hajt végre és kiértékeli a sebezhetőségeket, beleértve az automatizált rendszer- és alkalmazásbiztonsági vizsgálatot és a kézi, erkölcsös számítástechnikai betörést, a termelés megkezdése előtt és azt követően évente a Szolgáltatások és a Leszállítandó Termékek tekintetében, valamint évente a Kyndryl-technológia kezelése tekintetében, (c) legalább évente egy független, minősített harmadik felet von be az Iparági Legjobb Gyakorlatoknak megfelelő behatolásvizsgálat elvégzésére, az ilyen vizsgálat magában foglalja mind az automatizált, mind a kézi vizsgálatot, d) a biztonsági konfigurációs követelményeknek való megfelelés automatizált kezelését és rutinszerű ellenőrzését a Szolgáltatások és a Leszállítandó Termékek minden egyes összetevője, valamint a Kyndryl-technológia Kezelése tekintetében, és e) a biztonsági konfigurációs követelményeknek való megfeleléssel kapcsolatos kockázat, kihasználhatóság és hatás alapján orvosolja az azonosított sebezhetőségeket vagy a biztonsági konfigurációs követelményeknek való meg nem felelést. A Szállító ésszerű lépéseket tesz annak érdekében, hogy elkerülje a Szolgáltatások fennakadását a vizsgálatok, kiértékelések, átvizsgálások és a helyreállítási tevékenységek végrehajtása során. A Kyndryl kérésére a Szállító a Kyndryl rendelkezésére bocsátja a Szállító legutóbbi behatolásvizsgálati tevékenységének írásos összefoglalóját, amely jelentés legalább a vizsgálat által érintett ajánlatok nevét, a vizsgálat hatálya alá tartozó rendszerek vagy alkalmazások számát, a vizsgálat időpontját, a vizsgálat során alkalmazott módszertant és a megállapítások részletes összefoglalóját tartalmazza.

5.2 A Szállító olyan irányelveket és eljárásokat tart fenn, amelyek célja a Szolgáltatásokban vagy a Leszállítandó Termékekben, illetve a Kyndryl-technológia kezelésében bekövetkező változásokkal kapcsolatos kockázatok Kezelése. Az ilyen változtatás végrehajtása előtt, beleértve az érintett rendszereket, hálózatokat és a mögöttes összetevőket is, a Szállító egy regisztrált módosításkérelemben dokumentálja: (a) a változtatás leírását és okát, (b) a végrehajtás részleteit és ütemezését, (c) egy kockázati nyilatkozatot a Szolgáltatásokra és a Leszállítandó Termékekre, a Szolgáltatások vevőire vagy a Kyndryl-anyagokra gyakorolt hatásról, (d) a várható eredményt, (e) a visszaléptetési tervet, és (f) a Szállító jogosult alkalmazottai általi jóváhagyást.

5.3 A Szállító köteles leltárt vezetni a Szolgáltatások üzemeltetéséhez, a Leszállítandó Termékek rendelkezésre bocsátásához és a Kyndryl-technológia Kezeléséhez használt összes IT eszközről. A Szállító folyamatosan figyelemmel kíséri és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia állapotát (beleértve a kapacitást is) és rendelkezésre állását, beleértve az ilyen eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia mögöttes összetevőit is.

5.4 A Szállító minden olyan rendszert, amelyet a Szolgáltatások és a Leszállítandó Termékek fejlesztése vagy üzemeltetése során, valamint a Kyndryl-technológia Kezelése során használ, előre megadott rendszerbiztonsági képek vagy biztonsági alapvonalak alapján állít össze, amelyek megfelelnek az Iparági Legjobb Gyakorlatoknak, például a "Center for Internet Security" (CIS) viszonyítási alapnak.

5.5 A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós Dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az üzletmenet-folytonosság tekintetében a Szállító minden egyes Szolgáltatást és Leszállítandó terméket, valamint a Kyndryl-technológia Kezelésében használt minden egyes IT rendszert külön értékel az üzletmenet és az IT-folytonosság, valamint a katasztrófa utáni helyreállítás követelményei szempontjából a dokumentált kockázatkezelési irányelvek szerint. A Szállító biztosítja, hogy minden ilyen szolgáltatás, Leszállítandó Termék és IT rendszer - a kockázatfelmérés által indokolt mértékben - külön meghatározott, dokumentált, karbantartott és évente érvényesített üzleti és informatikai folytonossági és katasztrófa utáni helyreállítási tervekkel rendelkezik, amelyek összhangban vannak az Iparági Legjobb Gyakorlatokkal. A Szállító biztosítja, hogy ezeket a terveket úgy tervezik meg, hogy az alábbi 5.6. szakaszban meghatározott kokrét helyreállítási idők teljesüljenek.

5.6 A konkrét helyreállításipont-célkitűzések ("RPO") és helyreállítási időcélok ("RTO") bármely Kihelyezett Szolgáltatás tekintetében a következők: 24 óra RPO és 24 óra RTO, mindazonáltal a Szállító köteles betartani minden olyan rövidebb időtartamú RPO-t vagy RTO-t, amelyet a Kyndryl a Vevőn felé vállalt, valamint haladéktalanul, miután a Kyndryl írásban értesítette a Szállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (egy e-mail is írásos értesítésnek minősül). A Szállító által a Kyndryl számára nyújtott minden egyéb Szolgáltatás tekintetében a Szállító biztosítja, hogy az üzletmenet-folytonossági és a katasztrófa utáni helyreállítási terveit úgy alakítsák ki, hogy azok olyan RPO és RTO értékeket biztosítsanak, amelyek lehetővé teszik a Szállító számára, hogy továbbra is megfeleljen a Kyndryl felé a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban, valamint a jelen Feltételekben foglalt valamennyi kötelezettségének, beleértve a vizsgálat, a támogatás és a karbantartás időben történő biztosítására vonatkozó kötelezettségeit.

5.7 A Szállító olyan intézkedéseket tart fenn, amelyek célja a biztonsági tanácsadói javítások értékelése, tesztelése és alkalmazása a Szolgáltatások és az Átadandó termékek, valamint a kapcsolódó rendszerek, hálózatok, alkalmazások és a mögöttes összetevők, valamint a Kyndryl technológia kezeléséhez használt rendszerek, hálózatok, alkalmazások és mögöttes komponensek értékelésére, tesztelésére és alkalmazására az említett Szolgáltatások és Átadandó termékek hatókörén belül. Annak megállapításakor, hogy egy biztonsági tanácsadói javítás alkalmazható és megfelelő, a Szállító a dokumentált súlyossági és kockázatfelmérési irányelvek szerint megvalósítja a javítást. A biztonsági tanácsadói javítások Szállító általi bevezetésére a Szállító változáskezelési irányelve vonatkozik.

5.8 Ha a Kyndrylnek ésszerű oka van feltételezni, hogy a Szállító által a Kyndryl számára biztosított hardver vagy szoftver betolakodó elemeket, például kémprogramot, rosszindulatú programot vagy rosszindulatú kódot tartalmazhat, akkor a Szállító időben együttműködik a Kyndryllel a Kyndryl aggályainak kivizsgálásában és orvoslásában.

6. Szolgáltatáslétesítés

6.1 A Szállító támogatja a Kyndryl-felhasználói vagy vevőfiókok egyesített hitelesítésének iparágban elterjedt módszereit, és a Szállító követi az Iparági Legjobb Gyakorlatokat az ilyen Kyndryl-felhasználói vagy vevőfiókok hitelesítése során (például a Kyndryl által központilag kezelt többtényezős egypontos bejelentkezéssel, OpenID Connect vagy biztonságellenőrzési jelölőnyelv használatával).

7. Alvállalkozók. A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az alvállalkozók megőrzése tekintetében a Szállító biztosítja, hogy a Szállító számára munkát végző alvállalkozó olyan irányítási ellenőrzéseket vezessen be, amelyek megfelelnek a jelen Feltételek által a Szállítóra rótt követelményeknek és kötelezettségeknek.

8. Fizikai adathordozók. A Szállító az újrafelhasználásra szánt fizikai adathordozókat az újrafelhasználás előtt biztonságosan normalizálja, és az újrafelhasználásra nem szánt fizikai adathordozókat az adathordozók normalizálására vonatkozó Iparági Legjobb Gyakorlatoknak megfelelően megsemmisíti.