Adatvédelmi és biztonsági feltételek
Jelen Adatvédelmi és biztonsági feltételek (a „Feltételek”) írják le az Kyndryl és a Beszállító jogait és kötelezettségeit az adatvédelmi, a biztonsági és az ezekkel kapcsolatos ügyekben. A Feltételek bele vannakfoglalva a Munkaleírásba, a Munkavégzési Felhatalmazásba és a hozzájuk hasonló, a Feltételekre hivatkozó vállalati dokumentumokba („Tranzakciós dokumentumok”). A Feltételek a Tranzakciós dokumentumban tükrözött konkrét kötelezettségekre vonatkoznak.
Kényelmi okokból ez a weboldal lehetővé teszi a Beszállító számára a kötelezettséget jellemző alábbi jelölőnégyzetek bejelölését, hogy az azoknak megfelelő Feltételek jelenjenek meg. E tényektől függően több jelölőnégyzet is bejelölhető. Az egyértelműség kedvéért, a Tranzakciós Dokumentumban feltüntetett tények, kötelezettségek állapítják meg kizárólagosan a megbízásra vonatkozó Feltételeket, és nem azok, amelyeket a Beszállító az alábbi jelölőnégyzetekben bejelölt.
Abban az esetben, ha ellentmondás merül fel a jelen Feltételek és a Tranzakciós dokumentum vagy a felek között létrejött bármely kapcsolódó alap- vagy egyéb megállapodás között, beleértve az adatfeldolgozási megállapodásokat is, a jelen Feltételek rendelkezései az irányadóak. A jelen Feltételekben meghatározott értesítéseket a Tranzakciós dokumentum értesítési rendelkezéseivel összhangban kell megtenni.
A jelen Feltételekben használt, nagybetűvel írt kifejezéseket az alább található Meghatározások szakasznak megfelelően kell értelmezni.
Jelölje be azokat a jelölőnégyzeteket, amelyek a jelen együttműködés Szolgáltatásaira vonatkoznak: |
-
Ha igen, akkor erre a hozzáférésre az I. (Üzleti kapcsolattartási információk) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkelyek vonatkozik.
Példák:
- A Beszállító az Kyndryl vagy az Ügyfél alkalmazottainak neveit, e-mail-címeit és telefonszámait támogatáshoz és karbantartáshoz használja.
- Az Kyndryl a Beszállító alkalmazottainak neveit és e-mail-címeit a Vállalati rendszerekhez való hozzáférés hitelesítéshez használja.
Megjegyzés:
Ha a Beszállító karbantartást vagy támogatást nyújt, akkor előfordulhat, hogy az Üzleti kapcsolattartási információkon (BCI-n) túlmutató információkhoz is hozzáfér (például naplófájlokhoz, amelyekben Személyes adatok is lehetnek). Ebben az esetben a Beszállítónak a 2. tétel (ha Személyes adatokhoz fog hozzáférni) és a 3. tétel (ha nem Személyes adatokhoz fog hozzáférni) jelölőnégyzetét is be kellene jelölnie.
I. cikkely, Üzleti kapcsolattartási információk
Ez a cikkely abban az esetben érvényes, ha a Beszállító vagy az Kyndryl Feldogozza a másik fél BCI-jét.
1.1 Az Kyndryl és a Beszállító a másik fél BCI-jét a Beszállító Szolgáltatásainak biztosításával és Leszállítandó Anyagainak átadásával kapcsolatos célból dolgozhatja fel.
1.2 A felek:
(a) nem használják fel vagy hozzák nyilvánosságra a másik fél BCI-jét semmilyen más célra (az érthetőség kedvéért: egyik fél sem fogja Eladni a másik BCI-jét, illetve nem használja vagy hozza nyilvánosságra a másik fél BCI-jét marketingcélokra a másik fél előzetes írásbeli hozzájárulása, vagy ahol szükséges, az Érintettek előzetes írásbeli hozzájárulása nélkül), és
(b) a másik fél írásbeli kérésére haladéktalanul törlik, módosítják, javítják vagy visszaküldik a másik fél BCI-jét, információkat szolgáltatnak azok Feldolgozásával kapcsolatban, korlátozzák azok Feldolgozását, vagy bármilyen más észszerűen kért intézkedést megtesznek a másik fél BCI-jére vonatkozóan.
1.3 A felek nem lépnek közös Adatkezelői kapcsolatba egymás BCI-jével kapcsolatban, és a Tranzakciós dokumentum egyik rendelkezését sem értelmezik vagy fogják fel úgy, hogy az közös Adatkezelői kapcsolat létesítésének szándékát jelzi.
1.4 Az Kyndryl https://www.kyndryl.com/privacy címen elérhető adatvédelmi nyilatkozata további részleteket tartalmaz az Kyndryl BCI-k kezelésére vonatkozó eljárásáról.
1.5 A felek implementálták és fenntartják a technikai és szervezési biztonsági intézkedéseket egymás BCI-jének védelme érdekében azok elvesztése, megsemmisítése, megváltoztatása, véletlen vagy jogosulatlan közlése, az azokhoz való véletlen vagy jogosulatlan hozzáférés és azok jogszerűtlen Feldolgozása ellen.
1.6 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen, a Kyndryl BCI-t érintő biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.
1.7 Ha a Beszállító csak az Kyndryl BCI-jét dolgozza fel, és nem fér hozzá semmilyen más adathoz, anyaghoz, vagy bármely Kyndryl Vállalati rendszerhez, akkor a Feldolgozásra csak ez és a X. cikkely (Együttműködés, ellenőrzés és helyreállítás) vonatkozik.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
-
Ha igen, akkor erre a hozzáférésre a II. (Technikai és szervezési intézkedések, adatbiztonság), a III. (Adatvédelem), a VIII. (Technikai és szervezési intézkedések, általános biztonság) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.
Példák:
- A Beszállító Személyes adatokhoz fér hozzá az Kyndryl belső használatára, vagy az Ügyfelek általi használatra vagy mindkettőre szánt Üzemeltetett szolgáltatások teljesítésekor.
- A Beszállító orvosi vagy egészségügyi, marketinges vagy emberi erőforrásokkal vagy juttatásokkal kapcsolatos Szolgáltatásokat nyújt, így Személyes adatokhoz fér hozzá.
- A Beszállító Személyes adatokat tartalmazó naplófájlokhoz fér hozzá, támogatási Szolgáltatások nyújtásához.
II. cikkely, Technikai és szervezési intézkedések, adatbiztonság
Ez a cikkely abban az esetben érvényes, ha a Beszállító az Kyndryl BCI-jétől eltérő Kyndryl-adatokat dolgoz fel. A Beszállító vállalja, hogy megfelel a jelen cikkely követelményeinek a Szolgáltatások és Leszállítandó Anyagok biztosítása során, és ezzel megvédi az Kyndryl-adatokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlenszerű vagy jogosulatlan közléssel, véletlenszerű vagy jogosulatlan hozzáféréssel, valamint a Feldolgozás törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel az Leszállítandó Anyagok és a Szolgáltatások biztosítása érdekében, ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Adathasználat
1.1 A Beszállító az Kyndryl előzetes írásbeli hozzájárulása nélkül az Kyndryl-adatokhoz semmilyen egyéb információt vagy adatot nem ad hozzá és nem mellékel, Személyes adatokat sem, és a Beszállító az Kyndryl-adatokat a Szolgáltatások és Leszállítandó anyagok nyújtásán ás átadásán kívül semmilyen más célra, semmilyen formában, összesített vagy egyéb módon nem használja fel (például a Beszállító nem jogosult az Kyndryl-adatokat a Beszállítói ajánlatok hatékonyságának kiértékelésére vagy fejlesztési módjainak javítására, új ajánlatok létrehozására irányuló kutatási és fejlesztési tevékenységekre, vagy a Beszállító ajánlatairól szóló jelentések készítésére felhasználni vagy újrafelhasználni). Ha a Tranzakciós dokumentumban kifejezetten nincs engedélyezve, a Beszállító számára tilos az Kyndryl-adatok Eladása.
1.2 A Beszállító semmilyen webes nyomkövető technológiát (például HTML5-öt, helyi tárolót, harmadik felek címkéit vagy tokenjeit, webjelzőket) nem ágyaz be az Leszállítandó Anyagokba vagy a Szolgáltatások részeként, kivéve, ha a Tranzakciós dokumentum ezt kifejezetten lehetővé teszi.
2. Harmadik felek kérelmei és titoktartás
2.1 A Beszállító nem osztja meg az Kyndryl-adatokat semmilyen harmadik féllel, kivéve, ha erre az Kyndryl előzetesen írásban felhatalmazta. Ha egy kormányzat vagy szabályozó hatóság megköveteli az Kyndryl-adatokhoz való hozzáférést (például az Amerikai Egyesült Államok kormányzata egy nemzetbiztonsági rendelkezésre hivatkozva igényel Kyndryl-adatokat a Beszállítótól), vagy ha az Kyndryl-adatok közlését a törvény egyéb módon előírja, a Beszállító az ilyen igényről vagy követelésről írásban értesíti az Kyndryl-et, és észszerű lehetőséget biztosít az Kyndryl számára az adatközlési igény megtámadására (amennyiben a törvény tiltja az értesítést, a Beszállító megteszi azokat az intézkedéseket, amelyeket észszerűen megfelelőnek tart a tiltás és az Kyndryl-adatok közlésének bírósági eljárás útján vagy más módon történő megtámadása érdekében).
2.2 A Beszállító biztosítja az Kyndryl-et arról, hogy: (a) csak azoknak az alkalmazottaknak ad hozzáférést az Kyndryl-adatokhoz, akiknek a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához szükségük van a hozzáférésre, és akkor is csak a az ehhez szükséges mértékben; és (b) alkalmazottait olyan titoktartási kötelezettség elfogadására kötelezi, amely előírja, hogy csak a jelen Feltételekben engedélyezettek szerint használják és tárják fel az Kyndryl-adatokat.
3. Kyndryl-adatok visszaszolgáltatása vagy törlése
3.1 A Beszállító az Kyndryl döntésének megfelelően törli vagy visszaküldi az Kyndryl-adatokat az Kyndryl-nek a Tranzakciós dokumentum megszűnésekor vagy lejáratakor, illetve ennél korábban is, ha az Kyndryl kéri. Ha az Kyndryl törlést igényel, akkor a Beszállító az Ajánlott iparági eljárásokkal összhangban olvashatatlanná teszi az adatokat, azok újbóli összeállítását vagy helyreállítását lehetetlenné teszi, és megerősíti a törlést az Kyndryl felé. Ha az Kyndryl az Kyndryl-adatok visszaküldését kéri, akkor a Beszállító ezt az Kyndryl észszerű ütemezése és írásbeli utasításai alapján hajtja végre.
III. cikkely, Adatvédelem
Ez a cikkely abban az esetben érvényes, ha a Beszállító Feldolgozza az Kyndryl Személyes adatokat.
1. Feldolgozás
1.1 Az Kyndryl kinevezi a Beszállítót Adatfeldolgozóként, hogy végezze el az Kyndryl Személyes adatok feldolgozását kizárólag az Leszállítandó Anyagok és Szolgáltatások nyújtása, átadása céljából az Kyndryl utasításainak megfelelően, beleértve a jelen Feltételekben, a Tranzakciós dokumentumban és a felek közötti kapcsolódó alapmegállapodásban foglalt utasításokat. Ha a Beszállító nem tart be valamilyen utasítást, az Kyndryl írásbeli értesítés mellett felmondhatja a Szolgáltatás érintett részét. Ha a Beszállító véleménye szerint egy utasítás megsérti az adatvédelmi jogszabályokat, arról haladéktalanul és a jogszabály által előírt időtartamon belül értesítenie kell az Kyndryl-et.
1.2 A Beszállító vállalja, hogy a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozó valamennyi adatvédelmi jogszabályt betartja.
1.3 A Tranzakciós dokumentum Melléklete vagy maga a Tranzakciós dokumentum meghatározza az alábbiakat az Kyndryl-adatokra vonatkozóan:
(a) az Érintettek kategóriáit;
(b) az Kyndryl Személyes adatok típusait;
(c) adatkezelési műveleteket és Feldolgozási tevékenységeket;
(d) a Feldolgozás időtartamát és gyakoriságát; valamint
(e) az Al-adatfeldolgozók listáját.
2. Technikai és Szervezési Intézkedések
2.1 A Beszállító implementálja és elvégzi a II. (Technikai és szervezési intézkedések, adatbiztonság) és a VIII. (Technikai és szervezési intézkedések, általános biztonság) cikkelyben meghatározott technikai és szervezési intézkedéseket, és ezzel gondoskodik a Szolgáltatások és az Leszállítandó Anyagok jelentette kockázatnak megfelelő biztonsági szint kialakításáról. A Beszállító elismeri és megértette a II. cikkelyben, a jelen III. cikkelyben, valamint a VIII. cikkelyben foglalt korlátozásokat, és betartja azokat.
3. Az Érintettek jogai és kérelmei
3.1 A Beszállító haladéktalanul értesíti az Kyndryl-et (egy olyan ütemezés szerint, amely lehetővé teszi az Kyndryl-nek és a További Aadatkezelőknek, hogy teljesíthessék jogi kötelezettségeiket) az Érintettek minden olyan kéréséről, amelyek az Érintettek Személyes adatokkal kapcsolatos jogaik gyakorlására vonatkozik (például az adatok helyesbítésére, törlésére vagy blokkolására, zárolására). A Beszállító az ilyen kérést benyújtó Érintettet haladéktalanul az Kyndryl-hez irányíthatja. A Beszállító az Érintett kérésére kizárólag akkor válaszol, ha a válaszadást számára jogszabály írja elő, vagy az Kyndryl írásban erre utasítja.
3.2 Ha az Kyndryl köteles az Kyndryl Személyes adatokkal kapcsolatban információkat biztosítani További adatkezelők vagy más külső felek (például az Érintettek vagy a szabályalkotók) felé, akkor ebben a Beszállító az információk biztosításával és az Kyndryl kérésének megfelelő észszerű további intézkedések meghozatalával segítséget nyújt az Kyndryl-nek, olyan ütemben, amely lehetővé teszi az Kyndryl számára, hogy időben válaszoljon ezen További Adatkezelőknek vagy harmadik feleknek.
4. Al-adatfeldolgozók
4.1 A Beszállító előzetes írásbeli értesítést küld az Kyndryl-nek egy új Al-adatfeldolgozó hozzáadása vagy egy meglévő Al- adatfeldolgozó adateldolgozási terjedelmének(hatókörének) kiterjesztése előtt. Az ilyen írásbeli értesítés azonosítja az Al-adatfeldolgozó nevét, és leírja a Feldolgozás új vagy kibővített hatókörét. Az Kyndryl bármikor észszerű okokból kifogást emelhet az új Al-adatfeldolgozók vagy a kibővített hatókörök ellen, és ha így tesz, a felek jóhiszeműen együttműködnek az Kyndryl kifogásának rendezése érdekében. Az Kyndryl bármikor élhet tiltakozáshoz való jogával, de a Beszállító megbízhatja az új Al- adatfeldolgozót vagy kiterjesztheti a meglévő Al- adatfeldolgozó Feldolgozási hatókörét, ha az Kyndryl a Beszállító írásbeli értesítésétől számított 30 napon belül nem emel kifogást.
4.2 A Beszállító a jelen Feltételekben meghatározott adatvédelmi, biztonsági és tanúsítási kötelezettségeket minden jóváhagyott Al-adatfeldolgozóra is kiterjeszti, mielőtt az Al-adatfeldolgozó bármilyen Kyndryl-adatot Feldolgozna. A Beszállító teljes felelősséggel tartozik az Kyndryl felé az Al-adatfeldolgozók kötelezettségeinek teljesítéséért.
5. Határokon átívelő adatfeldolgozás
Az alábbiak szerint:
Megfelelő adatvédelmi szintet nyújtó ország – a vonatkozó adatátadás tekintetében az irányadó adatvédelmi jogszabályoknak, illetve a szabályozóhatóságok határozatainak megfelelő szintű adatvédelmet biztosító ország.
Adatátvevő – olyan Adatfeldolgozó vagy Al-adatfeldolgozó, amely nem egy Megfelelő adatvédelmi szintet nyújtó országban tevékenységi hellyel rendelkező vállalat.
EU-s általános szerződési feltételek („EU ÁSZF”) – az EU-s általános szerződési feltételek (a Bizottság (EU) 2021/914 Végrehajtási Határozata) az opcionális feltételek alkalmazásával, kivéve a 9. feltétel 1. lehetőségét és a 17. feltétel 2. lehetőségét, a https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en oldalon hivatalosan közzétetteknek megfelelően.
A Szerbiai Általános Szerződési Feltételek („szerb ÁSZF”) a Szerbiai Általános Szerződési Feltételeket jelenti, olyan formában, ahogyan azt a Közérdekű Információk és Személyes Adatvédelem Szerb Biztosa elfogadta. A dokumentum itt tekinthető meg: https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .
Az Általános szerződési feltételek („ÁSZF”) olyan szerződési feltételeket jelent, amelyeket az alkalmazandó adatvédelmi törvények a Személyes adatok nem Megfelelő adatvédelmi szintet nyújtó országban letelepedett Adatfeldolgozóknak történő továbbításkor előírnak.
Az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez („UK Kiegészítés”): az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez, amely hivatalosan a következő címen került közzétételre: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .
5.1 A Beszállító semmilyen Kyndryl Személyes adatot az Kyndryl előzetes írásbeli hozzájárulása nélkül nem továbbít vagy közöl külföldre (beleértve a távoli hozzáférést is). Az Kyndryl hozzájárulása esetén a felek kötelesek együttműködni az alkalmazandó adatvédelmi jogszabályoknak való megfelelés biztosítása érdekében. Ha ezek a jogszabályok előírják az ÁSZF használatát, a Beszállító az Kyndryl kérésére haladéktalanul megköti az ÁSZF-et.
5.2 Az EU ÁSZF-fel kapcsolatban:
(a)Ha a Beszállítónak nem Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye: a Beszállító, mint Adatátvevő egy EU ÁSZF-et ír alá az Kyndryl-mel, és a Beszállító az EU ÁSZF 9. cikkelyének megfelelően írásbeli megállapodásokat köt minden olyan jóváhagyott Al-adatfeldolgozóval, és kérésre megküldi az Kyndryl-nek a megállapodások másolatait.
(i) az EU ÁSZF 1. modulja nem alkalmazandó, kivéve, ha a felek ettől eltérően állapodtak meg írásban.
(ii) Az EU ÁSZF 2. modulja akkor alkalmazandó, ha az Kyndryl Adatkezelőként jár el, a 3. modul pedig akkor, ha az Kyndryl Adatfeldolgozóként jár el. Az EU ÁSZF 13. záradékával összhangban, amennyiben a 2. vagy 3. modul alkalmazandó, a felek megállapodnak abban, hogy (1) az EU ÁSZF-re annak az uniós tagállamnak a joga az irányadó, ahol az illetékes felügyeleti hatóság található, és (2) az EU ÁSZF-ből eredő bármely jogvitát annak az uniós tagállamnak a bíróságai előtt kell elbírálni, ahol az illetékes felügyeleti hatóság található. Ha az (1) pont szerinti jog nem teszi lehetővé a harmadik fél kedvezményezetti jogait, akkor az EU ÁSZF-re a holland jog az irányadó, és az EU ÁSZF-ből eredő, a (2) pont szerinti jogvitákat az amszterdami bíróság (Hollandia) rendezi.
(b) Ha a Beszállító székhelye az Európai Gazdasági Térségben található, és az Kyndryl az Általános Adatvédelmi Rendelet ((EU) 2016/679 Rendelet) hatálya alá nem tartozó Adatkezelő, akkor az EU ÁSZF 4. modulja alkalmazandó, és a Beszállító ezennel adatátadóként köti meg az EU ÁSZF-t az Kyndryl-mel. Amennyiben az EU ÁSZF 4. modulja alkalmazandó, a felek megállapodnak abban, hogy az EU ÁSZF-re a holland jog az irányadó, és az EU ÁSZF-ből eredő bármely jogvitát az amszterdami bíróság (Hollandia) rendezi.
(c) Ha Más Adatkezelők, például Ügyfelek vagy kapcsolt vállalkozások, a 7. feltételben foglalt „dokkolási feltétel” alapján kérik, hogy az EU ÁSZF részesévé váljanak, a Beszállító ezennel beleegyezik bármely ilyen kérésbe.
(d) Az EU ÁSZF II. mellékletének teljesítéséhez szükséges Technikai és Szervezési Intézkedések a jelen Feltételekben, magában a Tranzakciós Dokumentumban és a felek közötti kapcsolódó alapmegállapodásban találhatók meg.
(e) Az EU ÁSZF és a jelen Feltételek közötti bármely ellentmondás esetén az EU ÁSZF az irányadó.
5.3 Az Egyesült Királyság kiegészítéseit (UK Addendum) illetően:
(a) Ha a Szállító székhelye nem megfelelő adatvédelmi szintet nyújtó országban van: (i) A Szállító mint adatátvevő a Kyndryllel való viszonylatban az Egyesült Királyság kiegészítéseit alkalmazza a fent meghatározott EU ÁSZF kiegészítéseként (adott esetben, a feldolgozási tevékenységek körülményeitől függően); és (ii) a Szállító írásos megállapodást köt minden jóváhagyott további adatkezelővel, és e megállapodások másolatait kérésre átadja a Kyndrylnek.
(b) Ha a Szállító székhelye megfelelő adatvédelmi szintet nyújtó országban van, és a Kyndryl olyan adatkezelő, amelyre nem vonatkozik az Egyesült Királyság Általános Adatvédelmi Rendelete (amely az Egyesült Királyságnak az EU-ból való kilépésről rendelkező 2018. évi törvénye (European Union (Withdrawal) Act 2018) révén került az Egyesült Királyság jogába), akkor a Szállító adatátadóként a Kyndryl viszonylatában csatlakozik az Egyesült Királyság kiegészítéseihez a fenti 5.2(b) szakaszban meghatározott EU ÁSZF-re vonatkozóan.
(c) Ha más adatkezelők, például vevők vagy társvállalatok csatlakozni kívánnak az Egyesült Királyság kiegészítéseihez, a Szállító beleegyezik minden ilyen kérésbe.
(d) Az Egyesült Királyság kiegészítéseinek Függelékre vonatkozó információi (a 3. táblázatban foglaltak szerint) megtalálhatók a vonatkozó EU ÁSZF feltételekben, a jelen Feltételekben, magában a Tranzakciós dokumentumban és a kapcsolódó, felek közötti alapszerződésben. Az Egyesült Királyság kiegészítéseinek változása esetén sem a Kyndryl, sem a Szállító nem szüntetheti meg az Egyesült Királyság kiegészítéseit.
(e) Az Egyesült Királyság kiegészítése(i) és jelen Feltételek közötti bármilyen ütközés esetén az Egyesült Királyság kiegészítése(i) az irányadó(k).
5.4 A Szerb ÁSZF-fel kapcsolatban:
(a) Ha a Beszállítónak nem Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye: (i) a Beszállító – saját nevében, mint Adatfeldolgozó – Szerb ÁSZF-et ír alá az Kyndryl-mel; és (ii) a Beszállító a Szerb ÁSZF 8. cikkelyének megfelelően írásbeli megállapodásokat köt minden jóváhagyott Al-adatfeldolgozóval, és kérésre megküldi az Kyndryl-nek a megállapodások másolatait.
(b) Ha a Beszállítónak Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye, akkor a Beszállító – valamennyi nem megfelelő adatvédelmi szintet nyújtó országban található Al-adatfeldolgozó nevében – Szerb ÁSZF-et ír alá az Kyndryl-mel. Ha a Beszállító valamelyik Al-adatfeldolgozónál ezt nem tudja megtenni, akkor eljuttatja az Kyndryl-nek az érintett Al-adatfeldolgozó által aláírt Szerb ÁSZF-et az Kyndryl által történő ellenjegyzésre, mielőtt lehetővé tenné az Al-adatfeldolgozó számára az Kyndryl Személyes adatok Feldolgozását.
(c) Az Kyndryl és a Beszállító között megköttetett Szerb ÁSZF – ahogy azt a körülmények megkövetelik – lehet egy Adatkezelő és egy Adatfeldolgozó közötti Szerb ÁSZF, vagy pedig az „adatfeldolgozó” és az „al-adatfeldolgozó” közötti megfelelően tükröztetett írásos megállapodás. A Szerb ÁSZF és a jelen Feltételek közötti bármely ellentmondás esetén a Szerb ÁSZF az irányadó.
(d) szükséges információk megtalálhatók a jelen Feltételekben és a Tranzakciós Dokumentum mellékletében, vagy magában a Tranzakciós Dokumentumban.
6. Támogatás és nyilvántartások
6.1 A Beszállító a Feldolgozás jellegét figyelembe véve az Kyndryl-et megfelelő technikai és szervezési intézkedésekkel támogatja annak érdekében, hogy az Kyndryl eleget tehessen az Érintettek kéréseinek és jogainak betartására vonatkozó kötelezettségeinek. A Beszállító vállalja, hogy segítséget nyújt az Kyndryl-nek abban, hogy eleget tehessen a Feldolgozás biztonságára, a biztonsági incidensek jelentésére és kommunikálására, illetve az adatvédelmi hatásvizsgálatra vonatkozó kötelezettségeinek, beleértve a felelős szabályozóval folytatott előzetes konzultációt, amennyiben szükséges, figyelembe véve a Beszállító számára elérhető információkat.
6.2 A Beszállító naprakész nyilvántartást vezet minden Al-adatfeldolgozójának nevéről és kapcsolattartási adatairól, beleértve az Al-adatfeldolgozók képviselőjét és adatvédelmi felelősét. A Beszállító kérésre az Kyndryl rendelkezésére bocsátja a nyilvántartást, olyan ütemben, amely lehetővé teszi az Kyndryl számára, hogy időben reagáljon az Ügyfél vagy más harmadik felek igényeire.
VIII. cikkely – Technikai és Szervezési Intézkedések, Általános biztonság
A jelen Cikkely arra az esetre vonatkozik, ha a Beszállító valamilyen Szolgáltatást vagy Szállítandót biztosít az Kyndryl számára, kivéve, ha a Beszállító csak az Kyndryl BCI-hez fér hozzá az adott Szolgáltatások és Szállítandók nyújtásához (vagyis a Beszállító nem dolgoz fel semmilyen más Kyndryl-adatot, illetve nem rendelkezik hozzáféréssel bármilyen más Kyndryl Anyaghoz vagy Vállalati Rendszerhez), ha a Beszállító Szolgáltatásai és Leszállítandó Anyagai kizárólag a Helyszíni Szoftver Kyndryl részére történő rendelkezésre bocsátását tartalmazzák, illetve ha a Beszállító a Szolgáltatásainak és Leszállítandóinak mindegyikét a VII. cikkelynek, valamint a cikkely 1.7-es szakaszának megfelelő munkaerő-kiegészítési modell keretében biztosítja.
A Beszállító vállalja, hogy megfelel a jelen Cikkely követelményeinek, és ezzel megvédi (a) az Kyndryl Anyagokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlen vagy jogosulatlan közléssel, véletlen vagy jogosulatlan hozzáféréssel, (b) az Kyndryl-adatokat a Feldolgozás törvénytelen formáival, valamint (c) az Kyndryl-technológiát a Kezelés törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Biztonsági irányelvek
1.1 A Beszállító vállalja, hogy a Beszállító üzleti tevékenységének szerves részét képező, és a Beszállító minden Munkavállalójára kötelező érvényű informatikai biztonsági szabályzatokat és gyakorlatokat alkalmaz és követ az Ajánlott iparági eljárásokkal összhangban.
1.2 A Beszállító vállalja, hogy legalább évente egyszer felülvizsgálja az informatikai biztonsági szabályzatait és gyakorlatait, és szükség esetén saját megítélése szerint módosítja őket az Kyndryl Anyagok védelme érdekében.
1.3 A Beszállító vállalja, hogy szabványos és kötelező munkavállaló-ellenőrzési követelményeket alkalmaz és követ minden új munkavállaló-felvétel esetén, és a követelményeket kiterjeszti a Beszállító minden Munkavállalójára és teljes tulajdonában álló leányvállalatára. Ezek a követelmények magukban foglalják a helyi jogszabályok által megengedett mértékig terjedő bűnügyi háttérellenőrzést, a személyazonosságot igazoló okmányok ellenőrzését és minden további olyan ellenőrzést, amelyet a Beszállító szükségesnek ítél. A Beszállító vállalja, hogy időszakosan megismétli és újraértékeli ezeket a követelményeket, amikor azt szükségesnek ítéli.
1.4 A Beszállító vállalja, hogy évente biztonsági és adatvédelmi oktatásban részesíti a munkavállalóit, és minden ilyen munkavállalótól megköveteli, hogy évente tanúsítsák a Beszállító etikus üzleti magatartása, bizalmas kezelési és biztonsági szabályzatainak való megfelelést a Beszállító magatartási kódexében vagy hasonló dokumentumaiban meghatározott módon. A Beszállító vállalja, hogy további, a szabályzatokkal és folyamatokkal kapcsolatos képzéseket nyújt azon személyek számára, akik adminisztratív hozzáféréssel rendelkeznek a Szolgáltatások, a Leszállítandó Anyagok vagy az Kyndryl Anyagok valamelyik összetevőjéhez, mely képzés a személyek szerepköréhez és a Szolgáltatások, Leszállítandó Anyagok és Kyndryl Anyagok támogatásához kapcsolódik, illetve a kötelező megfelelés és tanúsítások fenntartásához szükséges.
1.5 A Beszállító vállalja, hogy biztonsági és adatvédelmi intézkedéseket alakít ki az Kyndryl Anyagok elérhetőségének védelméhez és megőrzéséhez, többek között a Szolgáltatásokkal és Leszállítandókkal, illetve az Kyndryl-technológia minden Kezelésével összefüggésben a beépített biztonságot és adatvédelmet, biztonságos fejlesztést, valamint a biztonságos működést megkövetelő szabályzatok és eljárások megvalósításával, fenntartásával és a nekik való megfeleléssel.
2. Biztonsági incidensek
2.1 A Beszállító vállalja, hogy az Ajánlott iparági eljárásoknak megfelelő, a dokumentált incidens kezelési szabályzatokat alkalmaz és követ.
2.2 A Beszállító vállalja, hogy kivizsgálja az Kyndryl Anyagokhoz való jogosulatlan hozzáféréseket és az Kyndryl Anyagok jogosulatlan használatát, valamint megfelelő válaszadási tervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.
2.4 A Beszállító vállalja, hogy észszerű segítséget nyújt az Kyndryl számára az Kyndryl vállalat, az Kyndryl leányvállalatai és az Ügyfelek (valamint ügyfeleik és leányvállalataik) a Biztonsági incidenssel összefüggésben fennálló jogi kötelezettségeinek (beleértve a szabályozó hatóságok és Érintettek értesítésére vonatkozó kötelezettségeket) teljesítésében.
2.5 A Beszállító vállalja, hogy nem tájékoztat vagy értesít harmadik felet arról, ha egy Biztonság Incidens közvetlenül vagy közvetve az Kyndryl-hez vagy Kyndryl Anyagokhoz kapcsolódik, kivéve, ha az Kyndryl ezt írásban jóváhagyta, vagy ha azt jogszabály írja elő. A Beszállító vállalja, hogy a harmadik feleknek szóló, jogszabályban előírt értesítés elküldését megelőzően írásban értesíti az Kyndryl vállalatot, amennyiben az adott értesítés közvetve vagy közvetlenül felfedné az Kyndryl kilétét.
2.6 A jelen Feltételekben foglalt kötelezettségeknek a Beszállító általi megsértéséből fakadó Biztonsági incidens esetén:
(a) Beszállító felel minden saját költségért, illetve az Kyndryl-nél felmerülő tényleges költségért, amely a Biztonsági incidensről szóló értesítés a vonatkozó szabályozó hatóságok, egyéb kormányzati vagy érintett iparági önszabályozó testületek, a média (ha az alkalmazandó jog ezt előírja), az Érintettek, az Ügyfelek és más személyek értesítésével kapcsolatos,
(b) az Kyndryl kérésére a Beszállító saját költségén felállít és az Adatvédelmi Incidensről szóló értesítés kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) fenntart egy telefonos ügyfélszolgálatot, hogy megválaszolja az érintett személyek kérdéseit az Adatvédelmi Incidensről és annak következményeiről. Az Kyndryl és a Beszállító együtt dolgozza ki az ügyfélszolgálati munkatársak által a kérdések megválaszolása során alkalmazandó szövegeket és egyéb anyagokat. Alternatív megoldásként, a Beszállítónak küldött írásbeli értesítéssel a Beszállító által létrehozott telefonos ügyfélszolgálat helyett az Kyndryl is létrehozhatja és fenntarthatja saját telefonos ügyfélszolgálatát, amely esetben a telefonos ügyfélszolgálat létrehozása és működtetése során keletkező, az Kyndryl-et terhelő költségeket a Beszállító az Kyndryl számára megtéríti, továbbá
(c) a Beszállító az Biztonsági Incidensről szóló értesítés az incidens által érintett személyeknek (akik a hitelesség követési és helyreállítási szolgáltatásra (credit monitoring and credit restoration)történő regisztráció mellett döntöttek) történő kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) megtéríti az Kyndryl számára az Kyndryl által fenntartott credit monitoring and credit restoration szolgáltatások tényleges költségeit.
3. Fizikai biztonság és Belépés-ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
3.1 A Beszállító vállalja, hogy megfelelő fizikai belépés-ellenőrzési intézkedéseket (például korlátok, kártyás beléptető pontok, biztonsági kamerák és recepciós pultok) alkalmaz annak érdekében, hogy megvédje a Létesítményeket a jogosulatlan belépéssel szemben.
3.2 A Beszállító vállalja, hogy a Létesítményeibe és azok ellenőrzött területeire való belépéshez, az ideiglenes belépést is beleértve, jóváhagyást követel meg, és a belépést munkaszerep és üzleti ok szerint korlátozza. Ha a Beszállító ideiglenes belépést biztosít, egy felhatalmazott munkavállalója kíséri az ideiglenes belépésre jogosult látogatót a Létesítményben és az ellenőrzött területeken való tartózkodása során.
3.3 A Beszállító vállalja, hogy olyan fizikai belépés-ellenőrzési eszközöket valósít meg, beleértve a többtényezős belépés-ellenőrzést is, amelyek összhangban állnak az Ajánlott iparági eljárásokkal, megfelelő módon korlátozzák a belépést az ellenőrzött területekre a Létesítményekbe, naplóznak minden belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzik.
3.4 A Beszállító vállalja, hogy visszavonja a Létesítményekhez és a Létesítményekben található ellenőrzött területekhez való hozzáférést, amennyiben (a) a Beszállító hozzáférésre jogosult munkavállalója távozik a vállalattól, vagy (b) a Beszállító jogosult munkavállalójának már nincs szüksége üzleti okokból a hozzáférésre. A Beszállító a munkavállalók távozásakor hivatalos, dokumentált folyamat szerint jár el, amely magában foglalja a hozzáférés-ellenőrzési listáról való azonnali eltávolítást és a fizikai hozzáférési jelvények leadását.
3.5 A Beszállító vállalja, hogy óvintézkedéseket tesz a Szolgáltatások és Leszállítandó Anyagok támogatásához, valamint az Kyndryl-technológia kezeléséhez használt fizikai infrastruktúra környezeti fenyegetésekkel szemben való védelme érdekében. Ide tartoznak a természetes és ember okozta veszélyek is, például a szélsőséges környezeti hőmérséklet, a tűzeset, az áradás, a magas páratartalom, a lopás és a rongálás is.
4. Hozzáférés, beavatkozás, továbbítás és szétválasztás szabályozás
4.1 A Beszállító a Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során a Szolgáltatások működtetése során kezelt hálózatokra dokumentált biztonsági architektúrát alkalmazza. A Beszállító vállalja, hogy miden ilyen hálózati architektúrát külön vizsgálatnak vet alá, és intézkedések foganatosításával gátolja meg a rendszerekkel, alkalmazásokkal és hálózati eszközökkel létesíteni kívánt jogosulatlan hálózati kapcsolatokat, a biztonságos szegmentálási, elkülönítési és a mélységi védelmi szabványoknak való megfelelés érdekében. A Beszállító nem használhat vezeték nélküli technológiát bármilyen Üzemeltetett Szolgáltatás biztosítása vagy üzemeltetése során. A Beszállító használhat vezeték nélküli technológiát a Szolgáltatások teljesítésekor, a Leszállítandók leszállításakor és az Kyndryl-technológia kezelése során, azonban vállalja, hogy minden vezeték nélküli hálózatot titkosít, és biztonságos hitelesítést követel meg velük kapcsolatban.
4.2 A Beszállító olyan intézkedéseket alkalmaz, amelyek célja az Kyndryl Anyagok logikai módon történő elkülönítése, valamint annak megakadályozása, hogy az adatok jogosulatlan személyek tudomására jussanak, illetve hogy az adatokhoz jogosulatlan személyek férjenek hozzá. A Beszállító továbbá vállalja, hogy megfelelő módon elkülöníti a produktív, nem produktív és egyéb környezeteit, és ha bármilyen Kyndryl Anyagot nem produktív környezetbe továbbítottak, vagy már eleve ott volt (például egy hiba ismételt előidézése érdekében), a Beszállító vállalja, hogy a produktív környezetben használt biztonsági és adatvédelmi eszközökkel egyenértékű biztonságról és adatvédelemről gondoskodik a nem produktív környezetben is.
4.3 A Beszállító vállalja, hogy az átvitel vagy tárolás során az Kyndryl Anyagokat titkosítja (kivéve, ha a Beszállító az Kyndryl számára észszerűen kielégítő módon bizonyítja, hogy az Kyndryl Anyagok tárolás közbeni titkosítása műszakilag nem valósítható meg). A Beszállító vállalja, hogy minden fizikai adathordozót is titkosít, ha van, ilyenek például a biztonsági másolatok fájljait tartalmazó adathordozók. A Beszállító vállalja, hogy dokumentált eljárásokat alkalmaz a kulcsok adattitkosításhoz kapcsolódó biztonságos létrehozására, kiadására, elosztására, tárolására, rotálására, visszavonására, visszaállítására, biztonsági mentésére, megsemmisítésére, elérésére és használatára vonatkozóan. A Beszállító vállalja, hogy a titkosításhoz használt titkosítási módszerek összhangban vannak az Legjobb Iparági Gyakorlattal, amilyen például az NIST SP 800-131a.
4.4 Ha a Beszállító Kyndryl Anyagokhoz kér hozzáférést, a Beszállító vállalja, hogy az ilyen hozzáférést a Szolgáltatások és Leszállítandó Anyagok biztosításához és támogatásához szükséges lehető legalacsonyabb szintű hozzáférésre fogja korlátozni. A Beszállító vállalja, hogy az ilyen hozzáférés, beleértve a bármely alapvető összetevőhöz való rendszergazdai hozzáférést (emelt szintű (privilegizált) hozzáférés), egyéni és szerepköralapú módon, továbbá a felelősség-szétválasztási alapelveknek megfelelően, a Beszállító felhatalmazott munkavállalóinak a jóváhagyása és rendszeres ellenőrzése mellett történik. A Beszállító fenntartja a redundáns és nem használt fiókok azonosítását és eltávolítását célzó intézkedéseket. A Beszállító vállalja, hogy az emelt szintű (privilegizált) hozzáféréssel rendelkező fiókokat legfeljebb huszonnégy (24) órával azután visszavonja, hogy a fiók tulajdonosa távozik a vállalattól, vagy ha azt az Kyndryl vagy a Beszállító jogosult munkavállalói, például a fiók tulajdonosának a vezetője kérelmezi.
4.5 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy műszaki intézkedéseket alkalmaz az inaktív munkamenetek megszüntetésének, a többszöri egymást követő sikertelen bejelentkezési kísérletet követően a fiókok zárolásának, továbbá az erős jelszón vagy jelmondaton alapuló hitelesítésnek a kikényszerítésére, valamint intézkedéseket foganatosít a jelszavak és jelmondatok biztonságos továbbításának és tárolásának megkövetelésére. A Beszállító emellett vállalja, hogy többtényezős hitelesítést használ az Kyndryl Anyagokhoz történő nem konzolalapú, emelt szintű hozzáférés esetén.
4.6 A Beszállító vállalja, hogy figyeli az emelt szintű (privilegizált) hozzáférés használatát, továbbá biztonsági célú, információ- és eseménykezelési intézkedéseket alkalmaz a (a) jogosulatlan hozzáférés és tevékenység azonosítása, (b) az ilyen hozzáférésre és tevékenységre időben és megfelelő módon adott válasz elősegítése, valamint (c) a dokumentált Beszállítói szabályzatnak megfelelő auditoknak a Beszállító, az Kyndryl (a jelen Feltételekben foglalt ellenőrzési jogai, illetve a Tranzakciós Dokumentumban vagy a felek között kötött vonatkozó alap- vagy bármilyen egyéb kapcsolódó megállapodásban foglalt auditálási jogai alapján) és mások általi elvégzésének lehetővé tétele érdekében.
4.7 A Beszállító vállalja, hogy megőrzi azokat a naplókat, amelyekben rögzíti – a rekordmegőrzési szabályzatának megfelelően – a Szolgáltatások vagy Leszállítandók nyújtásához, átadásához vagy az Kyndryl-technológia kezeléséhez használt rendszerekhez való vagy azokkal összefüggésben álló rendszergazdai, felhasználói és egyéb hozzáférések vagy tevékenységek mindegyikét. (és kérésre átadja ezeket a naplókat az Kyndryl-nek). A Beszállító vállalja, hogy védelmi intézkedéseket alkalmaz az ilyen naplókhoz való jogosulatlan hozzáféréssel, valamint a naplók módosításával és véletlenszerű vagy szándékos megsemmisítésével szemben.
4.8 A Beszállító vállalja, hogy számítástechnikai védelmet alkalmaz a tulajdonában lévő vagy általa üzemeltetett rendszerekre, beleértve a végfelhasználói rendszereket és a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához, illetve az Kyndryl-technológia kezeléséhez használt rendszereket, és az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljes lemeztitkosítás, aláírás-alapú és nem aláírás-alapú végpontészlelés, válaszlépésekre szolgáló technológiák a kártevők és a fejlett, állandó fenyegetések kezelésére, időalapú képernyőzárolások, valamint a biztonsági konfigurációs és javítási követelményeket kikényszerítő végponti felügyeleti megoldások. A Beszállító emellett vállalja, hogy olyan műszaki és üzemeltetési ellenőrző eszközöket alkalmaz, amelyek biztosítják, hogy kizárólag az ismert és megbízható végfelhasználói rendszerek legyenek jogosultak a Beszállító hálózatainak a használatára.
4.9 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy védelmi eszközöket alkalmaz azon adatközponti környezetek esetén, amelyekben Kyndryl Anyagok találhatók, vagy amelyekben Kyndryl Anyagok feldolgozása történik, és az ilyen védelem a következőket foglalja magában: behatolás észlelése és megakadályozása, szolgáltatásmegtagadási támadásokkal szembeni ellenintézkedések és a támadások súlyosságának enyhítése.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Beszállító vállalja, hogy (a) legalább évente felméri a biztonsági és adatvédelmi kockázatokat; (b) biztonsági vizsgálatot végez és felméri a biztonsági réseket, beleértve egy automatikus rendszer- és alkalmazásbiztonsági vizsgálatot és egy manuális, etikus számítástechnikai betörést a produktív célra történő rendelkezésre bocsátást megelőzően, és ezt követően évente a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozóan, valamint évente az Kyndryl-technológia kezelésére vonatkozóan; (c) megbíz egy képzett, független külső felet, hogy végezzen az Ajánlott iparági eljárásoknak megfelelő behatolásvizsgálatot legalább évente, az automatikus és manuális tesztelést is beleértve; (d) automatikusan felügyeli a Szolgáltatások és Leszállítandó Anyagok egyes összetevőit, és rutinszerűen ellenőrzi a Szolgáltatások és Leszállítandó Anyagok minden összetevőjének, valamint az Kyndryl-technológia kezelésének biztonsági konfigurációs követelményeknek való megfelelését; valamint (e) a kapcsolódó kockázatok, sebezhetőség és a rendszerre gyakorolt hatás alapján javítja az azonosított biztonsági réseket és a biztonsági konfigurációs követelményeknek való meg nem felelést. A Beszállító vállalja, hogy észszerű lépéseket tesz annak érdekében, hogy a Szolgáltatások a tesztek, felmérések, vizsgálatok és javítási tevékenységek során se szüneteljenek. A Beszállító vállalja, hogy az Kyndryl kérésére írásos összefoglalót biztosít a legutóbbi behatolásvizsgálati tevékenységeiről, mely jelentés legalább a következőket tartalmazza: azon ajánlatok neve, amelyekre a vizsgálat kiterjedt, a vizsgálat hatókörébe eső rendszerek vagy alkalmazások száma, a vizsgálat dátuma, a vizsgálatban használt módszertan, valamint az eredmények általános összegzése.
5.2 A Beszállító fenntartja a Szolgáltatás vagy Leszállítandó Anyagok, illetve az Kyndryl-technológia kezelésének módosításával kapcsolatos veszélyek elhárítását célzó szabályokat és eljárásokat. Az érintett rendszerek, hálózatok és alapvető összetevők bármilyen módosítása előtt a Beszállító vállalja, hogy regisztrált módosítási kérésben dokumentálja a következőket: (a) a módosítás leírását és okát, (b) a megvalósítás részleteit és ütemezését, (c) egy kockázati nyilatkozatot, amely ismerteti a módosításnak a Szolgáltatásra, az Leszállítandó Anyagokra, a Szolgáltatás ügyfeleire vagy az Kyndryl Anyagokra gyakorolt hatását, (d) a várt végeredményt, (e) egy visszaállítási tervet és (f) a Beszállító egy erre jogosult munkavállalójának a jóváhagyását.
5.3 A Beszállító vállalja, hogy nyilvántartást vezet a Szolgáltatások üzemeltetése, az Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során használt IT-eszközök mindegyikéről. A Beszállító vállalja, hogy folyamatosan megfigyeli és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Anyagok, Kyndryl-technológiák és ezek alapvető összetevőinek állapotát és rendelkezésre állását.
5.4 A Beszállító vállalja, hogy a Szolgáltatások és Leszállítandó Anyagok fejlesztése vagy üzemeltetése, valamint az Kyndryl-technológia kezelése során használt rendszerek mindegyikét olyan, előre meghatározott rendszerbiztonsági lemezképekből vagy biztonsági alapokból hozza létre, amelyek megfelelnek az Ajánlott iparági eljárásoknak, például a Center for Internet Security (CIS) viszonyítási alapjainak.
5.5 A jelen Tranzakciós Dokumentum és az üzleti folytonosságra vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a dokumentált kockázatkezelési irányelvekben foglaltnak megfelelően külön értékeli az egyes Szolgáltatásokat, Leszállítandó Anyagokat és az Kyndryl-technológia kezeléséhez használt IT-rendszereket az üzleti és IT-folytonosságra és vészhelyreállításra vonatkozó követelmények tekintetében. A Beszállító vállalja, hogy minden Szolgáltatáshoz, Leszállítandó Anyaghoz és IT-rendszerhez, a kockázatértékelés által indokolt mértékben, külön meghatározott, dokumentált, alkalmazott és évente ellenőrzött, az Ajánlott iparági eljárásokkal összhangban álló üzleti és IT-folytonossági, illetve vészhelyreállítási terveket biztosít. A Beszállító vállalja, hogy az ilyen tervek kialakítása úgy történjen, hogy a tervek megfeleljenek az alábbi 5.6-os szakaszban meghatározott helyreállítási célidőtartamoknak.
5.6 Az Üzemeltetett Szolgáltatás vonatkozásában a helyreállításipont-célkitűzés („RPO”) és a helyreállítási célidőtartam („RTO”) a következők: 24 óra RPO és 24 óra RTO. A Beszállító ennek ellenére vállalja, hogy megfelel minden rövidebb időtartamú olyan RPO-nak vagy RTO-nak, amelyet az Kyndryl vállalt egy Ügyfél felé, amint az Kyndryl írásban értesíti a Beszállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (az e-mail írásos értesítésnek minősül). Mivel ez a Beszállító által az Kyndryl számára nyújtott egyéb Szolgáltatások mindegyikét érinti, a Beszállító vállalja, hogy olyan üzleti folytonossági és vészhelyreállítási terveket alakít ki az RPO és az RTO teljesítésére, amelyek lehetővé teszik a Beszállító számára, hogy teljes mértékben eleget tegyen az Kyndryl vállalattal szemben fennálló, a Tranzakciós Dokumentumban és a felek között kötött vonatkozó alapmegállapodásban, valamint ezen feltételekben ismertetett kötelezettségeinek, beleértve a tesztelés, támogatás és karbantartás időben történő biztosítására vonatkozó kötelezettségét is.
5.7 A Beszállító vállalja, hogy a Szolgáltatások, Leszállítandó Anyagok és a kapcsolódó rendszerek, hálózatok, alkalmazások és a Szolgáltatások és Leszállítandó Anyagok körébe tartozó alapvető összetevők, valamint az Kyndryl-technológia kezeléséhez használt hálózatok, alkalmazások, valamint az alapvető összetevők számára létrehozott biztonsági tanácsadási javítócsomagok értékelésére, tesztelésére és alkalmazására kialakított intézkedéseket fog alkalmazni. Amennyiben egy biztonsági tanácsadási javítócsomag alkalmazható és megfelelő, a Beszállító a dokumentált súlyossági és kockázati értékelésnek megfelelően fogja alkalmaznia azt. A biztonsági tanácsadási javítócsomagok Beszállító általi megvalósítására a Beszállító módosításkezelési szabályzata vonatkozik.
5.8 Ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító által az Kyndryl számára biztosított hardver vagy szoftver kártékony elemeket, például kémprogramokat, kártevőket vagy rosszindulatú kódot tartalmaz, akkor a Beszállító vállalja, hogy időben együttműködik az Kyndryl-mel az Kyndryl aggályainak kivizsgálása és orvoslása érdekében.
6. Szolgáltatásnyújtás
6.1 A Beszállító vállalja, hogy támogatja az iparágban általános módszernek számító összevont hitelesítést bármilyen Kyndryl felhasználói vagy Ügyfélfiók vonatkozásában, betartva az Ajánlott iparági eljárásokat az Kyndryl felhasználói vagy Ügyfélfiókok hitelesítése során (például az Kyndryl központilag felügyelt, többtényezős egyszeri bejelentkezése, az OpenID Connect vagy a Security Assertion Markup Language használatával). Alvállalkozók. A jelen Tranzakciós dokumentum és az alvállalkozók bevonására vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a Beszállító számára munkát teljesítő bármilyen alvállalkozó irányítási ellenőrzéseket vezet be a Beszállítóra vonatkozó jelen Feltételekben meghatározott követelményeknek és kötelezettségeknek való megfelelés érdekében.
7. Fizikai adathordozók. A Beszállító vállalja, hogy biztonságosan eltávolít mindent a fizikai adathordozókról azok újbóli felhasználása előtt, és az ismételten felhasználni nem kívánt fizikai adathordozókat megsemmisíti az adathordozók megtisztítására (sanitization) vonatkozó Ajánlott iparági eljárásoknak megfelelően.
8.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
-
Ha igen, akkor erre a hozzáférésre a II. (Technikai és szervezeési intézkedések, adatbiztonság), a VIII. (Technikai és szervezési intézkedések, általános biztonság) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.
Példák:
- A Beszállító tárol, továbbít, elér vagy egyéb módon feldolgoz nem Személyes adatokat, amelyeket az Kyndryl vagy az Ügyfelek bocsátanak a Beszállító rendelkezésére.
II. cikkely, Technikai és szervezési intézkedések, adatbiztonság
Ez a cikkely abban az esetben érvényes, ha a Beszállító az Kyndryl BCI-jétől eltérő Kyndryl-adatokat dolgoz fel. A Beszállító vállalja, hogy megfelel a jelen cikkely követelményeinek a Szolgáltatások és Leszállítandó Anyagok biztosítása során, és ezzel megvédi az Kyndryl-adatokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlenszerű vagy jogosulatlan közléssel, véletlenszerű vagy jogosulatlan hozzáféréssel, valamint a Feldolgozás törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel az Leszállítandó Anyagok és a Szolgáltatások biztosítása érdekében, ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Adathasználat
1.1 A Beszállító az Kyndryl előzetes írásbeli hozzájárulása nélkül az Kyndryl-adatokhoz semmilyen egyéb információt vagy adatot nem ad hozzá és nem mellékel, Személyes adatokat sem, és a Beszállító az Kyndryl-adatokat a Szolgáltatások és Leszállítandó anyagok nyújtásán ás átadásán kívül semmilyen más célra, semmilyen formában, összesített vagy egyéb módon nem használja fel (például a Beszállító nem jogosult az Kyndryl-adatokat a Beszállítói ajánlatok hatékonyságának kiértékelésére vagy fejlesztési módjainak javítására, új ajánlatok létrehozására irányuló kutatási és fejlesztési tevékenységekre, vagy a Beszállító ajánlatairól szóló jelentések készítésére felhasználni vagy újrafelhasználni). Ha a Tranzakciós dokumentumban kifejezetten nincs engedélyezve, a Beszállító számára tilos az Kyndryl-adatok Eladása.
1.2 A Beszállító semmilyen webes nyomkövető technológiát (például HTML5-öt, helyi tárolót, harmadik felek címkéit vagy tokenjeit, webjelzőket) nem ágyaz be az Leszállítandó Anyagokba vagy a Szolgáltatások részeként, kivéve, ha a Tranzakciós dokumentum ezt kifejezetten lehetővé teszi.
2. Harmadik felek kérelmei és titoktartás
2.1 A Beszállító nem osztja meg az Kyndryl-adatokat semmilyen harmadik féllel, kivéve, ha erre az Kyndryl előzetesen írásban felhatalmazta. Ha egy kormányzat vagy szabályozó hatóság megköveteli az Kyndryl-adatokhoz való hozzáférést (például az Amerikai Egyesült Államok kormányzata egy nemzetbiztonsági rendelkezésre hivatkozva igényel Kyndryl-adatokat a Beszállítótól), vagy ha az Kyndryl-adatok közlését a törvény egyéb módon előírja, a Beszállító az ilyen igényről vagy követelésről írásban értesíti az Kyndryl-et, és észszerű lehetőséget biztosít az Kyndryl számára az adatközlési igény megtámadására (amennyiben a törvény tiltja az értesítést, a Beszállító megteszi azokat az intézkedéseket, amelyeket észszerűen megfelelőnek tart a tiltás és az Kyndryl-adatok közlésének bírósági eljárás útján vagy más módon történő megtámadása érdekében).
2.2 A Beszállító biztosítja az Kyndryl-et arról, hogy: (a) csak azoknak az alkalmazottaknak ad hozzáférést az Kyndryl-adatokhoz, akiknek a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához szükségük van a hozzáférésre, és akkor is csak a az ehhez szükséges mértékben; és (b) alkalmazottait olyan titoktartási kötelezettség elfogadására kötelezi, amely előírja, hogy csak a jelen Feltételekben engedélyezettek szerint használják és tárják fel az Kyndryl-adatokat.
3. Kyndryl-adatok visszaszolgáltatása vagy törlése
3.1 A Beszállító az Kyndryl döntésének megfelelően törli vagy visszaküldi az Kyndryl-adatokat az Kyndryl-nek a Tranzakciós dokumentum megszűnésekor vagy lejáratakor, illetve ennél korábban is, ha az Kyndryl kéri. Ha az Kyndryl törlést igényel, akkor a Beszállító az Ajánlott iparági eljárásokkal összhangban olvashatatlanná teszi az adatokat, azok újbóli összeállítását vagy helyreállítását lehetetlenné teszi, és megerősíti a törlést az Kyndryl felé. Ha az Kyndryl az Kyndryl-adatok visszaküldését kéri, akkor a Beszállító ezt az Kyndryl észszerű ütemezése és írásbeli utasításai alapján hajtja végre.
VIII. cikkely – Technikai és Szervezési Intézkedések, Általános biztonság
A jelen Cikkely arra az esetre vonatkozik, ha a Beszállító valamilyen Szolgáltatást vagy Szállítandót biztosít az Kyndryl számára, kivéve, ha a Beszállító csak az Kyndryl BCI-hez fér hozzá az adott Szolgáltatások és Szállítandók nyújtásához (vagyis a Beszállító nem dolgoz fel semmilyen más Kyndryl-adatot, illetve nem rendelkezik hozzáféréssel bármilyen más Kyndryl Anyaghoz vagy Vállalati Rendszerhez), ha a Beszállító Szolgáltatásai és Leszállítandó Anyagai kizárólag a Helyszíni Szoftver Kyndryl részére történő rendelkezésre bocsátását tartalmazzák, illetve ha a Beszállító a Szolgáltatásainak és Leszállítandóinak mindegyikét a VII. cikkelynek, valamint a cikkely 1.7-es szakaszának megfelelő munkaerő-kiegészítési modell keretében biztosítja.
A Beszállító vállalja, hogy megfelel a jelen Cikkely követelményeinek, és ezzel megvédi (a) az Kyndryl Anyagokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlen vagy jogosulatlan közléssel, véletlen vagy jogosulatlan hozzáféréssel, (b) az Kyndryl-adatokat a Feldolgozás törvénytelen formáival, valamint (c) az Kyndryl-technológiát a Kezelés törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Biztonsági irányelvek
1.1 A Beszállító vállalja, hogy a Beszállító üzleti tevékenységének szerves részét képező, és a Beszállító minden Munkavállalójára kötelező érvényű informatikai biztonsági szabályzatokat és gyakorlatokat alkalmaz és követ az Ajánlott iparági eljárásokkal összhangban.
1.2 A Beszállító vállalja, hogy legalább évente egyszer felülvizsgálja az informatikai biztonsági szabályzatait és gyakorlatait, és szükség esetén saját megítélése szerint módosítja őket az Kyndryl Anyagok védelme érdekében.
1.3 A Beszállító vállalja, hogy szabványos és kötelező munkavállaló-ellenőrzési követelményeket alkalmaz és követ minden új munkavállaló-felvétel esetén, és a követelményeket kiterjeszti a Beszállító minden Munkavállalójára és teljes tulajdonában álló leányvállalatára. Ezek a követelmények magukban foglalják a helyi jogszabályok által megengedett mértékig terjedő bűnügyi háttérellenőrzést, a személyazonosságot igazoló okmányok ellenőrzését és minden további olyan ellenőrzést, amelyet a Beszállító szükségesnek ítél. A Beszállító vállalja, hogy időszakosan megismétli és újraértékeli ezeket a követelményeket, amikor azt szükségesnek ítéli.
1.4 A Beszállító vállalja, hogy évente biztonsági és adatvédelmi oktatásban részesíti a munkavállalóit, és minden ilyen munkavállalótól megköveteli, hogy évente tanúsítsák a Beszállító etikus üzleti magatartása, bizalmas kezelési és biztonsági szabályzatainak való megfelelést a Beszállító magatartási kódexében vagy hasonló dokumentumaiban meghatározott módon. A Beszállító vállalja, hogy további, a szabályzatokkal és folyamatokkal kapcsolatos képzéseket nyújt azon személyek számára, akik adminisztratív hozzáféréssel rendelkeznek a Szolgáltatások, a Leszállítandó Anyagok vagy az Kyndryl Anyagok valamelyik összetevőjéhez, mely képzés a személyek szerepköréhez és a Szolgáltatások, Leszállítandó Anyagok és Kyndryl Anyagok támogatásához kapcsolódik, illetve a kötelező megfelelés és tanúsítások fenntartásához szükséges.
1.5 A Beszállító vállalja, hogy biztonsági és adatvédelmi intézkedéseket alakít ki az Kyndryl Anyagok elérhetőségének védelméhez és megőrzéséhez, többek között a Szolgáltatásokkal és Leszállítandókkal, illetve az Kyndryl-technológia minden Kezelésével összefüggésben a beépített biztonságot és adatvédelmet, biztonságos fejlesztést, valamint a biztonságos működést megkövetelő szabályzatok és eljárások megvalósításával, fenntartásával és a nekik való megfeleléssel.
2. Biztonsági incidensek
2.1 A Beszállító vállalja, hogy az Ajánlott iparági eljárásoknak megfelelő, a dokumentált incidens kezelési szabályzatokat alkalmaz és követ.
2.2 A Beszállító vállalja, hogy kivizsgálja az Kyndryl Anyagokhoz való jogosulatlan hozzáféréseket és az Kyndryl Anyagok jogosulatlan használatát, valamint megfelelő válaszadási tervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.
2.4 A Beszállító vállalja, hogy észszerű segítséget nyújt az Kyndryl számára az Kyndryl vállalat, az Kyndryl leányvállalatai és az Ügyfelek (valamint ügyfeleik és leányvállalataik) a Biztonsági incidenssel összefüggésben fennálló jogi kötelezettségeinek (beleértve a szabályozó hatóságok és Érintettek értesítésére vonatkozó kötelezettségeket) teljesítésében.
2.5 A Beszállító vállalja, hogy nem tájékoztat vagy értesít harmadik felet arról, ha egy Biztonság Incidens közvetlenül vagy közvetve az Kyndryl-hez vagy Kyndryl Anyagokhoz kapcsolódik, kivéve, ha az Kyndryl ezt írásban jóváhagyta, vagy ha azt jogszabály írja elő. A Beszállító vállalja, hogy a harmadik feleknek szóló, jogszabályban előírt értesítés elküldését megelőzően írásban értesíti az Kyndryl vállalatot, amennyiben az adott értesítés közvetve vagy közvetlenül felfedné az Kyndryl kilétét.
2.6 A jelen Feltételekben foglalt kötelezettségeknek a Beszállító általi megsértéséből fakadó Biztonsági incidens esetén:
(a) Beszállító felel minden saját költségért, illetve az Kyndryl-nél felmerülő tényleges költségért, amely a Biztonsági incidensről szóló értesítés a vonatkozó szabályozó hatóságok, egyéb kormányzati vagy érintett iparági önszabályozó testületek, a média (ha az alkalmazandó jog ezt előírja), az Érintettek, az Ügyfelek és más személyek értesítésével kapcsolatos,
(b) az Kyndryl kérésére a Beszállító saját költségén felállít és az Adatvédelmi Incidensről szóló értesítés kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) fenntart egy telefonos ügyfélszolgálatot, hogy megválaszolja az érintett személyek kérdéseit az Adatvédelmi Incidensről és annak következményeiről. Az Kyndryl és a Beszállító együtt dolgozza ki az ügyfélszolgálati munkatársak által a kérdések megválaszolása során alkalmazandó szövegeket és egyéb anyagokat. Alternatív megoldásként, a Beszállítónak küldött írásbeli értesítéssel a Beszállító által létrehozott telefonos ügyfélszolgálat helyett az Kyndryl is létrehozhatja és fenntarthatja saját telefonos ügyfélszolgálatát, amely esetben a telefonos ügyfélszolgálat létrehozása és működtetése során keletkező, az Kyndryl-et terhelő költségeket a Beszállító az Kyndryl számára megtéríti, továbbá
(c) a Beszállító az Biztonsági Incidensről szóló értesítés az incidens által érintett személyeknek (akik a hitelesség követési és helyreállítási szolgáltatásra (credit monitoring and credit restoration)történő regisztráció mellett döntöttek) történő kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) megtéríti az Kyndryl számára az Kyndryl által fenntartott credit monitoring and credit restoration szolgáltatások tényleges költségeit.
3. Fizikai biztonság és Belépés-ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
3.1 A Beszállító vállalja, hogy megfelelő fizikai belépés-ellenőrzési intézkedéseket (például korlátok, kártyás beléptető pontok, biztonsági kamerák és recepciós pultok) alkalmaz annak érdekében, hogy megvédje a Létesítményeket a jogosulatlan belépéssel szemben.
3.2 A Beszállító vállalja, hogy a Létesítményeibe és azok ellenőrzött területeire való belépéshez, az ideiglenes belépést is beleértve, jóváhagyást követel meg, és a belépést munkaszerep és üzleti ok szerint korlátozza. Ha a Beszállító ideiglenes belépést biztosít, egy felhatalmazott munkavállalója kíséri az ideiglenes belépésre jogosult látogatót a Létesítményben és az ellenőrzött területeken való tartózkodása során.
3.3 A Beszállító vállalja, hogy olyan fizikai belépés-ellenőrzési eszközöket valósít meg, beleértve a többtényezős belépés-ellenőrzést is, amelyek összhangban állnak az Ajánlott iparági eljárásokkal, megfelelő módon korlátozzák a belépést az ellenőrzött területekre a Létesítményekbe, naplóznak minden belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzik.
3.4 A Beszállító vállalja, hogy visszavonja a Létesítményekhez és a Létesítményekben található ellenőrzött területekhez való hozzáférést, amennyiben (a) a Beszállító hozzáférésre jogosult munkavállalója távozik a vállalattól, vagy (b) a Beszállító jogosult munkavállalójának már nincs szüksége üzleti okokból a hozzáférésre. A Beszállító a munkavállalók távozásakor hivatalos, dokumentált folyamat szerint jár el, amely magában foglalja a hozzáférés-ellenőrzési listáról való azonnali eltávolítást és a fizikai hozzáférési jelvények leadását.
3.5 A Beszállító vállalja, hogy óvintézkedéseket tesz a Szolgáltatások és Leszállítandó Anyagok támogatásához, valamint az Kyndryl-technológia kezeléséhez használt fizikai infrastruktúra környezeti fenyegetésekkel szemben való védelme érdekében. Ide tartoznak a természetes és ember okozta veszélyek is, például a szélsőséges környezeti hőmérséklet, a tűzeset, az áradás, a magas páratartalom, a lopás és a rongálás is.
4. Hozzáférés, beavatkozás, továbbítás és szétválasztás szabályozás
4.1 A Beszállító a Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során a Szolgáltatások működtetése során kezelt hálózatokra dokumentált biztonsági architektúrát alkalmazza. A Beszállító vállalja, hogy miden ilyen hálózati architektúrát külön vizsgálatnak vet alá, és intézkedések foganatosításával gátolja meg a rendszerekkel, alkalmazásokkal és hálózati eszközökkel létesíteni kívánt jogosulatlan hálózati kapcsolatokat, a biztonságos szegmentálási, elkülönítési és a mélységi védelmi szabványoknak való megfelelés érdekében. A Beszállító nem használhat vezeték nélküli technológiát bármilyen Üzemeltetett Szolgáltatás biztosítása vagy üzemeltetése során. A Beszállító használhat vezeték nélküli technológiát a Szolgáltatások teljesítésekor, a Leszállítandók leszállításakor és az Kyndryl-technológia kezelése során, azonban vállalja, hogy minden vezeték nélküli hálózatot titkosít, és biztonságos hitelesítést követel meg velük kapcsolatban.
4.2 A Beszállító olyan intézkedéseket alkalmaz, amelyek célja az Kyndryl Anyagok logikai módon történő elkülönítése, valamint annak megakadályozása, hogy az adatok jogosulatlan személyek tudomására jussanak, illetve hogy az adatokhoz jogosulatlan személyek férjenek hozzá. A Beszállító továbbá vállalja, hogy megfelelő módon elkülöníti a produktív, nem produktív és egyéb környezeteit, és ha bármilyen Kyndryl Anyagot nem produktív környezetbe továbbítottak, vagy már eleve ott volt (például egy hiba ismételt előidézése érdekében), a Beszállító vállalja, hogy a produktív környezetben használt biztonsági és adatvédelmi eszközökkel egyenértékű biztonságról és adatvédelemről gondoskodik a nem produktív környezetben is.
4.3 A Beszállító vállalja, hogy az átvitel vagy tárolás során az Kyndryl Anyagokat titkosítja (kivéve, ha a Beszállító az Kyndryl számára észszerűen kielégítő módon bizonyítja, hogy az Kyndryl Anyagok tárolás közbeni titkosítása műszakilag nem valósítható meg). A Beszállító vállalja, hogy minden fizikai adathordozót is titkosít, ha van, ilyenek például a biztonsági másolatok fájljait tartalmazó adathordozók. A Beszállító vállalja, hogy dokumentált eljárásokat alkalmaz a kulcsok adattitkosításhoz kapcsolódó biztonságos létrehozására, kiadására, elosztására, tárolására, rotálására, visszavonására, visszaállítására, biztonsági mentésére, megsemmisítésére, elérésére és használatára vonatkozóan. A Beszállító vállalja, hogy a titkosításhoz használt titkosítási módszerek összhangban vannak az Legjobb Iparági Gyakorlattal, amilyen például az NIST SP 800-131a.
4.4 Ha a Beszállító Kyndryl Anyagokhoz kér hozzáférést, a Beszállító vállalja, hogy az ilyen hozzáférést a Szolgáltatások és Leszállítandó Anyagok biztosításához és támogatásához szükséges lehető legalacsonyabb szintű hozzáférésre fogja korlátozni. A Beszállító vállalja, hogy az ilyen hozzáférés, beleértve a bármely alapvető összetevőhöz való rendszergazdai hozzáférést (emelt szintű (privilegizált) hozzáférés), egyéni és szerepköralapú módon, továbbá a felelősség-szétválasztási alapelveknek megfelelően, a Beszállító felhatalmazott munkavállalóinak a jóváhagyása és rendszeres ellenőrzése mellett történik. A Beszállító fenntartja a redundáns és nem használt fiókok azonosítását és eltávolítását célzó intézkedéseket. A Beszállító vállalja, hogy az emelt szintű (privilegizált) hozzáféréssel rendelkező fiókokat legfeljebb huszonnégy (24) órával azután visszavonja, hogy a fiók tulajdonosa távozik a vállalattól, vagy ha azt az Kyndryl vagy a Beszállító jogosult munkavállalói, például a fiók tulajdonosának a vezetője kérelmezi.
4.5 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy műszaki intézkedéseket alkalmaz az inaktív munkamenetek megszüntetésének, a többszöri egymást követő sikertelen bejelentkezési kísérletet követően a fiókok zárolásának, továbbá az erős jelszón vagy jelmondaton alapuló hitelesítésnek a kikényszerítésére, valamint intézkedéseket foganatosít a jelszavak és jelmondatok biztonságos továbbításának és tárolásának megkövetelésére. A Beszállító emellett vállalja, hogy többtényezős hitelesítést használ az Kyndryl Anyagokhoz történő nem konzolalapú, emelt szintű hozzáférés esetén.
4.6 A Beszállító vállalja, hogy figyeli az emelt szintű (privilegizált) hozzáférés használatát, továbbá biztonsági célú, információ- és eseménykezelési intézkedéseket alkalmaz a (a) jogosulatlan hozzáférés és tevékenység azonosítása, (b) az ilyen hozzáférésre és tevékenységre időben és megfelelő módon adott válasz elősegítése, valamint (c) a dokumentált Beszállítói szabályzatnak megfelelő auditoknak a Beszállító, az Kyndryl (a jelen Feltételekben foglalt ellenőrzési jogai, illetve a Tranzakciós Dokumentumban vagy a felek között kötött vonatkozó alap- vagy bármilyen egyéb kapcsolódó megállapodásban foglalt auditálási jogai alapján) és mások általi elvégzésének lehetővé tétele érdekében.
4.7 A Beszállító vállalja, hogy megőrzi azokat a naplókat, amelyekben rögzíti – a rekordmegőrzési szabályzatának megfelelően – a Szolgáltatások vagy Leszállítandók nyújtásához, átadásához vagy az Kyndryl-technológia kezeléséhez használt rendszerekhez való vagy azokkal összefüggésben álló rendszergazdai, felhasználói és egyéb hozzáférések vagy tevékenységek mindegyikét. (és kérésre átadja ezeket a naplókat az Kyndryl-nek). A Beszállító vállalja, hogy védelmi intézkedéseket alkalmaz az ilyen naplókhoz való jogosulatlan hozzáféréssel, valamint a naplók módosításával és véletlenszerű vagy szándékos megsemmisítésével szemben.
4.8 A Beszállító vállalja, hogy számítástechnikai védelmet alkalmaz a tulajdonában lévő vagy általa üzemeltetett rendszerekre, beleértve a végfelhasználói rendszereket és a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához, illetve az Kyndryl-technológia kezeléséhez használt rendszereket, és az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljes lemeztitkosítás, aláírás-alapú és nem aláírás-alapú végpontészlelés, válaszlépésekre szolgáló technológiák a kártevők és a fejlett, állandó fenyegetések kezelésére, időalapú képernyőzárolások, valamint a biztonsági konfigurációs és javítási követelményeket kikényszerítő végponti felügyeleti megoldások. A Beszállító emellett vállalja, hogy olyan műszaki és üzemeltetési ellenőrző eszközöket alkalmaz, amelyek biztosítják, hogy kizárólag az ismert és megbízható végfelhasználói rendszerek legyenek jogosultak a Beszállító hálózatainak a használatára.
4.9 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy védelmi eszközöket alkalmaz azon adatközponti környezetek esetén, amelyekben Kyndryl Anyagok találhatók, vagy amelyekben Kyndryl Anyagok feldolgozása történik, és az ilyen védelem a következőket foglalja magában: behatolás észlelése és megakadályozása, szolgáltatásmegtagadási támadásokkal szembeni ellenintézkedések és a támadások súlyosságának enyhítése.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Beszállító vállalja, hogy (a) legalább évente felméri a biztonsági és adatvédelmi kockázatokat; (b) biztonsági vizsgálatot végez és felméri a biztonsági réseket, beleértve egy automatikus rendszer- és alkalmazásbiztonsági vizsgálatot és egy manuális, etikus számítástechnikai betörést a produktív célra történő rendelkezésre bocsátást megelőzően, és ezt követően évente a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozóan, valamint évente az Kyndryl-technológia kezelésére vonatkozóan; (c) megbíz egy képzett, független külső felet, hogy végezzen az Ajánlott iparági eljárásoknak megfelelő behatolásvizsgálatot legalább évente, az automatikus és manuális tesztelést is beleértve; (d) automatikusan felügyeli a Szolgáltatások és Leszállítandó Anyagok egyes összetevőit, és rutinszerűen ellenőrzi a Szolgáltatások és Leszállítandó Anyagok minden összetevőjének, valamint az Kyndryl-technológia kezelésének biztonsági konfigurációs követelményeknek való megfelelését; valamint (e) a kapcsolódó kockázatok, sebezhetőség és a rendszerre gyakorolt hatás alapján javítja az azonosított biztonsági réseket és a biztonsági konfigurációs követelményeknek való meg nem felelést. A Beszállító vállalja, hogy észszerű lépéseket tesz annak érdekében, hogy a Szolgáltatások a tesztek, felmérések, vizsgálatok és javítási tevékenységek során se szüneteljenek. A Beszállító vállalja, hogy az Kyndryl kérésére írásos összefoglalót biztosít a legutóbbi behatolásvizsgálati tevékenységeiről, mely jelentés legalább a következőket tartalmazza: azon ajánlatok neve, amelyekre a vizsgálat kiterjedt, a vizsgálat hatókörébe eső rendszerek vagy alkalmazások száma, a vizsgálat dátuma, a vizsgálatban használt módszertan, valamint az eredmények általános összegzése.
5.2 A Beszállító fenntartja a Szolgáltatás vagy Leszállítandó Anyagok, illetve az Kyndryl-technológia kezelésének módosításával kapcsolatos veszélyek elhárítását célzó szabályokat és eljárásokat. Az érintett rendszerek, hálózatok és alapvető összetevők bármilyen módosítása előtt a Beszállító vállalja, hogy regisztrált módosítási kérésben dokumentálja a következőket: (a) a módosítás leírását és okát, (b) a megvalósítás részleteit és ütemezését, (c) egy kockázati nyilatkozatot, amely ismerteti a módosításnak a Szolgáltatásra, az Leszállítandó Anyagokra, a Szolgáltatás ügyfeleire vagy az Kyndryl Anyagokra gyakorolt hatását, (d) a várt végeredményt, (e) egy visszaállítási tervet és (f) a Beszállító egy erre jogosult munkavállalójának a jóváhagyását.
5.3 A Beszállító vállalja, hogy nyilvántartást vezet a Szolgáltatások üzemeltetése, az Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során használt IT-eszközök mindegyikéről. A Beszállító vállalja, hogy folyamatosan megfigyeli és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Anyagok, Kyndryl-technológiák és ezek alapvető összetevőinek állapotát és rendelkezésre állását.
5.4 A Beszállító vállalja, hogy a Szolgáltatások és Leszállítandó Anyagok fejlesztése vagy üzemeltetése, valamint az Kyndryl-technológia kezelése során használt rendszerek mindegyikét olyan, előre meghatározott rendszerbiztonsági lemezképekből vagy biztonsági alapokból hozza létre, amelyek megfelelnek az Ajánlott iparági eljárásoknak, például a Center for Internet Security (CIS) viszonyítási alapjainak.
5.5 A jelen Tranzakciós Dokumentum és az üzleti folytonosságra vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a dokumentált kockázatkezelési irányelvekben foglaltnak megfelelően külön értékeli az egyes Szolgáltatásokat, Leszállítandó Anyagokat és az Kyndryl-technológia kezeléséhez használt IT-rendszereket az üzleti és IT-folytonosságra és vészhelyreállításra vonatkozó követelmények tekintetében. A Beszállító vállalja, hogy minden Szolgáltatáshoz, Leszállítandó Anyaghoz és IT-rendszerhez, a kockázatértékelés által indokolt mértékben, külön meghatározott, dokumentált, alkalmazott és évente ellenőrzött, az Ajánlott iparági eljárásokkal összhangban álló üzleti és IT-folytonossági, illetve vészhelyreállítási terveket biztosít. A Beszállító vállalja, hogy az ilyen tervek kialakítása úgy történjen, hogy a tervek megfeleljenek az alábbi 5.6-os szakaszban meghatározott helyreállítási célidőtartamoknak.
5.6 Az Üzemeltetett Szolgáltatás vonatkozásában a helyreállításipont-célkitűzés („RPO”) és a helyreállítási célidőtartam („RTO”) a következők: 24 óra RPO és 24 óra RTO. A Beszállító ennek ellenére vállalja, hogy megfelel minden rövidebb időtartamú olyan RPO-nak vagy RTO-nak, amelyet az Kyndryl vállalt egy Ügyfél felé, amint az Kyndryl írásban értesíti a Beszállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (az e-mail írásos értesítésnek minősül). Mivel ez a Beszállító által az Kyndryl számára nyújtott egyéb Szolgáltatások mindegyikét érinti, a Beszállító vállalja, hogy olyan üzleti folytonossági és vészhelyreállítási terveket alakít ki az RPO és az RTO teljesítésére, amelyek lehetővé teszik a Beszállító számára, hogy teljes mértékben eleget tegyen az Kyndryl vállalattal szemben fennálló, a Tranzakciós Dokumentumban és a felek között kötött vonatkozó alapmegállapodásban, valamint ezen feltételekben ismertetett kötelezettségeinek, beleértve a tesztelés, támogatás és karbantartás időben történő biztosítására vonatkozó kötelezettségét is.
5.7 A Beszállító vállalja, hogy a Szolgáltatások, Leszállítandó Anyagok és a kapcsolódó rendszerek, hálózatok, alkalmazások és a Szolgáltatások és Leszállítandó Anyagok körébe tartozó alapvető összetevők, valamint az Kyndryl-technológia kezeléséhez használt hálózatok, alkalmazások, valamint az alapvető összetevők számára létrehozott biztonsági tanácsadási javítócsomagok értékelésére, tesztelésére és alkalmazására kialakított intézkedéseket fog alkalmazni. Amennyiben egy biztonsági tanácsadási javítócsomag alkalmazható és megfelelő, a Beszállító a dokumentált súlyossági és kockázati értékelésnek megfelelően fogja alkalmaznia azt. A biztonsági tanácsadási javítócsomagok Beszállító általi megvalósítására a Beszállító módosításkezelési szabályzata vonatkozik.
5.8 Ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító által az Kyndryl számára biztosított hardver vagy szoftver kártékony elemeket, például kémprogramokat, kártevőket vagy rosszindulatú kódot tartalmaz, akkor a Beszállító vállalja, hogy időben együttműködik az Kyndryl-mel az Kyndryl aggályainak kivizsgálása és orvoslása érdekében.
6. Szolgáltatásnyújtás
6.1 A Beszállító vállalja, hogy támogatja az iparágban általános módszernek számító összevont hitelesítést bármilyen Kyndryl felhasználói vagy Ügyfélfiók vonatkozásában, betartva az Ajánlott iparági eljárásokat az Kyndryl felhasználói vagy Ügyfélfiókok hitelesítése során (például az Kyndryl központilag felügyelt, többtényezős egyszeri bejelentkezése, az OpenID Connect vagy a Security Assertion Markup Language használatával). Alvállalkozók. A jelen Tranzakciós dokumentum és az alvállalkozók bevonására vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a Beszállító számára munkát teljesítő bármilyen alvállalkozó irányítási ellenőrzéseket vezet be a Beszállítóra vonatkozó jelen Feltételekben meghatározott követelményeknek és kötelezettségeknek való megfelelés érdekében.
7. Fizikai adathordozók. A Beszállító vállalja, hogy biztonságosan eltávolít mindent a fizikai adathordozókról azok újbóli felhasználása előtt, és az ismételten felhasználni nem kívánt fizikai adathordozókat megsemmisíti az adathordozók megtisztítására (sanitization) vonatkozó Ajánlott iparági eljárásoknak megfelelően.
8.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
-
Ha igen, akkor erre a hozzáférésre a IV. (Technikai és szervezési intézkedések, kódbiztonság), az V. (Biztonságos fejlesztés), a VIII. (Technikai és szervezési intézkedések, általános biztonság) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.
Példák:
- A Beszállító vállalja az Kyndryl-termékek fejlesztésének feladatát, az Kyndryl pedig a fejlesztés céljából hozzáférést biztosít a Forráskódjához a Beszállító számára.
- A Beszállító olyan Forráskódot fejleszt, amely az Kyndryl tulajdonát fogja képezni.
IV. cikkely, Technikai és szervezési intézkedések, kódbiztonság
Ez a cikkely abban az esetben érvényes, ha a Beszállító hozzáféréssel rendelkezik az Kyndryl Forráskódjához. A Beszállító vállalja, hogy megfelel a jelen cikkely követelményeinek, és megvédi az Kyndryl Forráskódját az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlenszerű vagy jogosulatlan közléssel, véletlenszerű vagy jogosulatlan hozzáféréssel, valamint a Kezelés jogszerűtlen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Biztonsági követelmények
Az alábbiak szerint:
A Tiltott ország olyan országokat jelent, amelyeket (a) az Egyesült Államok kormánya a 2019. május 15-én aláírt, a telekommunikációs információk és hálózatok , szolgáltatási ellátási lánc védelméről szóló rendeletben külföldi ellenfélként jelölt meg, (b) az Egyesült Államok 2019-es nemzeti védelmi felhatalmazási törvényének 1654-es szakasza felsorol, vagy (c) a Tranzakciós Dokumentum „Tiltott országként” jelöl meg.
1.1 A Beszállító vállalja, hogy nem terjeszt vagy helyez letétbe semmilyen Kyndryl Forráskódot harmadik felek előnyhöz juttatása céljából.
1.2 A Beszállító vállalja, hogy nem engedélyezi Kyndryl Forráskódjainak tárolását Tiltott országban található szervereken. A Beszállító vállalja, hogy semmilyen indokkal nem engedélyezi a Tiltott Országban tartózkodó vagy az odalátogató személyek, többek között a saját Személyzete számára az Kyndryl Forráskódjához való hozzáférést vagy annak használatát (az ott-tartózkodás teljes időtartamára vonatkozóan), bármely okból, az Kyndryl Forráskódja globális helyétől függetlenül, tovább a Beszállító nem engedélyezi, hogy bármilyen fejlesztést, tesztelést vagy egyéb munkát, amely ilyen hozzáférést vagy használatot igényelne, Tiltott országban végezzenek.
1.3 A Beszállító vállalja, hogy nem helyezi el vagy terjeszti az Kyndryl Forráskódját olyan joghatóságban, ahol a törvény vagy a jogértelmezés a Forráskód harmadik felekkel való közlésére kötelezi. Ha a törvény vagy a jogértelmezés változik a joghatóságban, ahol az Kyndryl Forráskódja található, és a változás kötelezheti a Beszállítót a Forráskód harmadik féllel való közlésére, a Beszállító köteles azonnal megsemmisíteni vagy eltávolítani az Kyndryl Forráskódját a joghatóság hatóköréből, és vállalja, hogy nem helyezi el az Kyndryl további Forráskódjait ilyen joghatóság hatókörébe, amíg a jogszabály vagy jogértelmezés hatályban marad.
1.4 A Beszállító vállalja, hogy sem közvetve, sem közvetlenül nem tesz olyan intézkedéseket, többek között nem köt olyan megállapodást, amely miatt a Beszállítónak, az Kyndryl vállalatnak vagy bármely harmadik félnek közlési kötelezettsége merülhet fel az Egyesült Államok 2019-es nemzeti védelmi felhatalmazási törvényének 1654-es vagy 1655-ös szakasza alapján. Az egyértelműség kedvéért, ha a Tranzakciós Dokumentum vagy a felek között kötött kapcsolódó alapmegállapodás kifejezetten nem engedélyezi, az Kyndryl előzetes írásbeli hozzájárulása nélkül a Beszállító semmilyen körülmények között nem jogosult az Kyndryl Forráskódjának közlésére semmilyen harmadik féllel.
1.5 Ha az Kyndryl arról értesíti a Beszállítót, vagy egy harmadik fél arról értesíti bármelyik felet hogy: (a) a Beszállító lehetővé tette, hogy az Kyndryl Forráskódja Tiltott országba vagy a fenti 1.3-as szakasz hatálya alá tartozó joghatóságba kerüljön, (b) a Beszállító bármilyen egyéb, a Tranzakciós Dokumentumban vagy a felek között kötött kapcsolódó alap- vagy egyéb megállapodásban nem engedélyezett módon kiadott, elért vagy felhasznált Kyndryl Forráskódot, vagy (c) a Beszállító megsértette a fenti 1.4-es szakaszban foglaltakat, akkor az Kyndryl a nemmegfelelőség kezelésére vonatkozó, jogszabály és méltányosság alapján fennálló jogainak sérelme nélkül, illetve a Tranzakciós Dokumentum vagy a felek között kötött kapcsolódó alap- vagy egyéb megállapodás keretében: (i) ha az értesítést a Beszállító kapja, haladéktalanul köteles megosztani azt az Kyndryl-mel, és (ii) a Beszállító az Kyndryl észszerű utasításai szerint köteles kivizsgálni és orvosolni a problémát az Kyndryl által (a Beszállítóval való egyeztetés alapján) észszerűen meghatározott ütemezés szerint.
1.6 Ha az Kyndryl indokoltan úgy véli, hogy a Beszállító Forráskód-hozzáféréssel kapcsolatos szabályzatainak, eljárásainak, szabályozásainak vagy gyakorlatainak módosítására lehet szükség a számítógépes biztonság biztosítása, illetve a szellemi tulajdon eltulajdonítása vagy a hasonló és kapcsolódó kockázatok elkerülésének érdekében (többek között annak a kockázata, hogy a változtatások nélkül bizonyos Ügyfelek vagy piacok esetében az Kyndryl esetlegesen korlátozásokba ütközhetne az értékesítés tekintetében, vagy bármi egyéb módon nem tudná teljesíteni az Ügyfelek biztonsági vagy ellátási láncra vonatkozó követelményeit), akkor az Kyndryl felveheti a kapcsolatot a Beszállítóval, hogy megvitassák a kockázatok kezelésére irányuló szükséges lépéseket, többek között a szabályzatok, eljárások, szabályozások vagy gyakorlatok módosítását. A Beszállító vállalja, hogy az Kyndryl kérésére az Kyndryl-mel együttműködve megvizsgálja ezen módosítások szükségességét, és megvalósítja a megfelelő, kölcsönös megállapodáson alapuló módosításokat.
V. cikkely, Biztonságos fejlesztés
Jelen cikkely abban az esetben alkalmazandó, ha a Beszállító a saját vagy egy harmadik fél Forráskódját vagy Helyszíni Szoftverét az Kyndryl rendelkezésére fogja bocsátani, illetve ha a Beszállító bármely Leszállítandó Anyaga vagy Szolgáltatása átadásra kerül egy Kyndryl Ügyfél részére valamely Kyndryl termék vagy szolgáltatás részeként.
1. Biztonsági felkészültség
1.1 A Beszállító vállalja, hogy az Kyndryl belső folyamataival együttműködve értékeli az olyan Kyndryl-termékek és -szolgáltatások biztonsági felkészültségét, amelyek a Beszállító Leszállítandó Anyagaitól függnek, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
2. Biztonságos Fejlesztés
2.1 Ez a 2. szakasz csak akkor alkalmazandó, ha a Beszállító Helyszíni Szoftvert biztosít az Kyndryl számára.
2.2 A Beszállító a legjobb iparági gyakorlattal összhangban bevezette és a Tranzakciós Dokumentum teljes időtartama alatt fenntartja a hálózatra, platformra, rendszerre, alkalmazásra, eszközre, fizikai infrastruktúrára, incidensekre való reagálásra és a Személyzetre összpontosító biztonsági szabályzatokat, eljárásokat és ellenőrzéseket, amelyek szükségesek az alábbiak védelméhez: (a) a fejlesztési, felépítési, tesztelési és operációs rendszerek és környezetek, amelyeket a Beszállító vagy a Beszállító által megbízott bármely harmadik fél üzemeltet, kezel, használ, illetve amelyre más módon támaszkodik a Leszállítandó Anyagok tekintetében vagy azokkal kapcsolatban, és (b) a Leszállítandó Anyagok valamennyi forráskódjának védelme az elvesztés, a jogellenes kezelési formák, valamint a jogosulatlan hozzáférés, nyilvánosságra hozatal vagy módosítás ellen.
3. Biztonsági Rések
3.1 Jelen 3. cikkely kizárólag abban az esetben alkalmazandó, ha a Beszállító bármely Leszállítandó Anyaga vagy Szolgáltatása átadásra kerül egy Kyndryl Ügyfél részére valamely Kyndryl termék vagy szolgáltatás részeként.
3.2 A Beszállító vállalja, hogy beszerzi a következő tanúsítványokat: ISO 20243 – Információtechnológia – Open Trusted Technology Provider, TM szabvány (O-TTPS) – Kártevővel szándékosan fertőzött vagy hamisított termékek hatásának csökkentése (önértékelésen alapuló vagy jó hírnevű, független ellenőrtől szerzett tanúsítvány). Alternatív esetben, ha a Beszállító írásban kérvényezi és az Kyndryl írásban engedélyezi, a Beszállító vállalja, hogy beszerez egy a lényegét tekintve egyenértékű, a biztonságos fejlesztési és ellátásilánc-eljárásokat érintő szabványt (önértékelésen alapuló vagy jó hírnevű, független ellenőrtől szerzett tanúsítvány, az Kyndryl engedélyétől függően).
3.3 A Beszállító vállalja, hogy az ISO 20243 vagy a lényegét tekintve egyenértékű szabványnak (az Kyndryl írásbeli engedélye alapján) megfelelő tanúsítást a jelen Tranzakciós Dokumentum hatályba lépésének dátumát követő 180 napon belül megszerzi, majd a tanúsítást ezután 12 havonta megújítja (és az egyes megújítások a vonatkozó szabvány, például az ISO 20243 vagy – az Kyndryl írásbeli engedélyétől függően – a lényegét tekintve egyenértékű, a biztonságos fejlesztési és ellátásilánc-eljárásokat érintő szabvány éppen aktuális verziója szerint zajlanak).
3.4 A Beszállító vállalja, hogy kérésre haladéktalanul biztosít egy másolatot az Kyndryl számára azokról a tanúsításokról, amelyeket a fenti 2.1-e és 2.2-es szakaszoknak megfelelően köteles megszerezni.
4. Biztonsági Rések
Az alábbiak szerint:
A Hibajavítások olyan hibajavításokat és módosításokat jelentenek, amelyek hibákat vagy hiányosságokat, a Biztonsági sérülékenységet (Biztonsági Rések) is beleértve, javítanak ki a Leszállítandó Anyagokban.
Kockázatcsökkentés olyan ismert eszközöket jelent, amelyekkel csökkenthetők vagy elkerülhetők egy Biztonsági réssel járó kockázatok.
A Biztonsági Rés olyan állapotot jelent egy Leszállítandó Anyag kialakításában, kódolásában, fejlesztésében, megvalósításában, tesztelésében, működésében, támogatásában, karbantartásában vagy felügyeletében, amely olyan, bárki által véghezvitt támadást tesz lehetővé, amely jogosulatlan hozzáféréssel vagy visszaéléssel járhat, beleértve (a) egy rendszer elérését, vezérlését vagy a működésének megzavarását, (b) adatok elérését, törlését, módosítását vagy kinyerését, (c) felhasználók vagy rendszergazdák azonosságának, jogosultságainak vagy engedélyeinek a módosítását. Biztonsági rés akkor is fennállhat, ha nincs Common Vulnerabilities and Exposures- (CVE-) azonosító vagy más pontozás vagy hivatalos besorolás hozzárendelve.
4.1 A Beszállító kijelenti és szavatolja, hogy: (a) az iparág ajánlott eljárásait alkalmazza a Biztonsági Rések azonosítására, beleértve a következők folyamatos végzését: statikus és dinamikus, forráskódon alapuló alkalmazásbiztonsági vizsgálat, nyílt forrású biztonsági vizsgálat és a rendszer biztonsági réseinek vizsgálata, valamint (b) megfelel a jelen Feltételekben foglalt követelményeknek az Leszállítandó Anyagokban és minden olyan IT-alkalmazásban, platformban és infrastruktúrában található Biztonsági Rések megelőzése, észlelése és javítása céljából, amelyeken vagy amelyekkel a Beszállító Szolgáltatásokat vagy Leszállítandó Anyagokat hoz létre ésnyújt.
4.2 Ha a Beszállító tudomására jut az Leszállítandó Anyagokban vagy a fent nevezett IT-alkalmazásban, -platformban vagy -infrastruktúrában található Biztonsági Rés, a Beszállító vállalja, hogy biztosítja az Kyndryl számára a Hibajavítást és Kockázatcsökkentést az Leszállítandó Anyagok minden változatához és kiadásához kapcsolódóan, az alábbi táblázatokban meghatározott Súlyossági Szinteknek és határidőknek megfelelően:
Súlyossági szint*
Vészhelyzeti Biztonsági Rés – Olyan Biztonsági Rés, amely súlyos és potenciálisan globális fenyegetést jelent. Az Kyndryl saját kizárólagos belátása alapján, a CVSS-alappontszámtól függetlenül határozza meg a Vészhelyzeti Biztonsági Réseket.
Kritikus – 9–10,0 CVSS-alappontszámmal rendelkező Biztonsági Rések
Magas – 7,0–8,9 CVSS-alappontszámmal rendelkező Biztonsági Rések
Közepes – 4,0–6,9 CVSS-alappontszámmal rendelkező Biztonsági Rések
Alacsony – 0,0–3,9 CVSS-alappontszámmal rendelkező Biztonsági Rések
Határidők
Vészhelyzet
Kritikus
Magas
Közepes
Alacsony
4 nap vagy kevesebb,
amelyet az Kyndryl
információbiztonsági igazgatósága határoz meg30 nap
30 nap
90 nap
Iparági bevált gyakorlatok szerint
* Abban az esetben, ha egy Biztonsági Rés nem rendelkezik már hozzárendelt CVSS-alappontszámmal, a Beszállító vállalja, hogy a biztonsági rés jellegének és körülményeinek megfelelő Súlyossági Szintet alkalmaz.
4.3 Az olyan Biztonsági Rések esetén, amelyek már nyilvánosságra jutottak, és amelyekhez a Beszállító még nem biztosított Hibajavítást vagy Kockázatcsökkentést az Kyndryl számára, a Beszállító vállalja, hogy minden olyan további, műszakilag megvalósítható biztonsági ellenőrző eszközt megvalósít, amely csökkentheti a biztonsági réssel járó kockázatokat.
4.4 Ha az Kyndryl nem elégedett a Beszállítónak egy Leszállítandó Anyagban vagy a fent hivatkozott alkalmazásban, platformban vagy infrastruktúrában található Biztonsági Résre adott válaszával, az Kyndryl vállalat bármilyen egyéb jogának sérelme nélkül a Beszállító vállalja, hogy haladéktalanul megszervezi az Kyndryl számára, hogy aggályait közvetlen a Beszállítónak a Hibajavítás biztosításáért felelős Alelnökével vagy egyenértékű beosztású felső vezetőjével vitathassa meg.
4.5 Példák Biztonsági Résekre: a harmadik féltől származó kód vagy kivezetett, nyílt forrású kód, amely már nem kap biztonsági javításokat.
VIII. cikkely – Technikai és Szervezési Intézkedések, Általános biztonság
A jelen Cikkely arra az esetre vonatkozik, ha a Beszállító valamilyen Szolgáltatást vagy Szállítandót biztosít az Kyndryl számára, kivéve, ha a Beszállító csak az Kyndryl BCI-hez fér hozzá az adott Szolgáltatások és Szállítandók nyújtásához (vagyis a Beszállító nem dolgoz fel semmilyen más Kyndryl-adatot, illetve nem rendelkezik hozzáféréssel bármilyen más Kyndryl Anyaghoz vagy Vállalati Rendszerhez), ha a Beszállító Szolgáltatásai és Leszállítandó Anyagai kizárólag a Helyszíni Szoftver Kyndryl részére történő rendelkezésre bocsátását tartalmazzák, illetve ha a Beszállító a Szolgáltatásainak és Leszállítandóinak mindegyikét a VII. cikkelynek, valamint a cikkely 1.7-es szakaszának megfelelő munkaerő-kiegészítési modell keretében biztosítja.
A Beszállító vállalja, hogy megfelel a jelen Cikkely követelményeinek, és ezzel megvédi (a) az Kyndryl Anyagokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlen vagy jogosulatlan közléssel, véletlen vagy jogosulatlan hozzáféréssel, (b) az Kyndryl-adatokat a Feldolgozás törvénytelen formáival, valamint (c) az Kyndryl-technológiát a Kezelés törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Biztonsági irányelvek
1.1 A Beszállító vállalja, hogy a Beszállító üzleti tevékenységének szerves részét képező, és a Beszállító minden Munkavállalójára kötelező érvényű informatikai biztonsági szabályzatokat és gyakorlatokat alkalmaz és követ az Ajánlott iparági eljárásokkal összhangban.
1.2 A Beszállító vállalja, hogy legalább évente egyszer felülvizsgálja az informatikai biztonsági szabályzatait és gyakorlatait, és szükség esetén saját megítélése szerint módosítja őket az Kyndryl Anyagok védelme érdekében.
1.3 A Beszállító vállalja, hogy szabványos és kötelező munkavállaló-ellenőrzési követelményeket alkalmaz és követ minden új munkavállaló-felvétel esetén, és a követelményeket kiterjeszti a Beszállító minden Munkavállalójára és teljes tulajdonában álló leányvállalatára. Ezek a követelmények magukban foglalják a helyi jogszabályok által megengedett mértékig terjedő bűnügyi háttérellenőrzést, a személyazonosságot igazoló okmányok ellenőrzését és minden további olyan ellenőrzést, amelyet a Beszállító szükségesnek ítél. A Beszállító vállalja, hogy időszakosan megismétli és újraértékeli ezeket a követelményeket, amikor azt szükségesnek ítéli.
1.4 A Beszállító vállalja, hogy évente biztonsági és adatvédelmi oktatásban részesíti a munkavállalóit, és minden ilyen munkavállalótól megköveteli, hogy évente tanúsítsák a Beszállító etikus üzleti magatartása, bizalmas kezelési és biztonsági szabályzatainak való megfelelést a Beszállító magatartási kódexében vagy hasonló dokumentumaiban meghatározott módon. A Beszállító vállalja, hogy további, a szabályzatokkal és folyamatokkal kapcsolatos képzéseket nyújt azon személyek számára, akik adminisztratív hozzáféréssel rendelkeznek a Szolgáltatások, a Leszállítandó Anyagok vagy az Kyndryl Anyagok valamelyik összetevőjéhez, mely képzés a személyek szerepköréhez és a Szolgáltatások, Leszállítandó Anyagok és Kyndryl Anyagok támogatásához kapcsolódik, illetve a kötelező megfelelés és tanúsítások fenntartásához szükséges.
1.5 A Beszállító vállalja, hogy biztonsági és adatvédelmi intézkedéseket alakít ki az Kyndryl Anyagok elérhetőségének védelméhez és megőrzéséhez, többek között a Szolgáltatásokkal és Leszállítandókkal, illetve az Kyndryl-technológia minden Kezelésével összefüggésben a beépített biztonságot és adatvédelmet, biztonságos fejlesztést, valamint a biztonságos működést megkövetelő szabályzatok és eljárások megvalósításával, fenntartásával és a nekik való megfeleléssel.
2. Biztonsági incidensek
2.1 A Beszállító vállalja, hogy az Ajánlott iparági eljárásoknak megfelelő, a dokumentált incidens kezelési szabályzatokat alkalmaz és követ.
2.2 A Beszállító vállalja, hogy kivizsgálja az Kyndryl Anyagokhoz való jogosulatlan hozzáféréseket és az Kyndryl Anyagok jogosulatlan használatát, valamint megfelelő válaszadási tervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.
2.4 A Beszállító vállalja, hogy észszerű segítséget nyújt az Kyndryl számára az Kyndryl vállalat, az Kyndryl leányvállalatai és az Ügyfelek (valamint ügyfeleik és leányvállalataik) a Biztonsági incidenssel összefüggésben fennálló jogi kötelezettségeinek (beleértve a szabályozó hatóságok és Érintettek értesítésére vonatkozó kötelezettségeket) teljesítésében.
2.5 A Beszállító vállalja, hogy nem tájékoztat vagy értesít harmadik felet arról, ha egy Biztonság Incidens közvetlenül vagy közvetve az Kyndryl-hez vagy Kyndryl Anyagokhoz kapcsolódik, kivéve, ha az Kyndryl ezt írásban jóváhagyta, vagy ha azt jogszabály írja elő. A Beszállító vállalja, hogy a harmadik feleknek szóló, jogszabályban előírt értesítés elküldését megelőzően írásban értesíti az Kyndryl vállalatot, amennyiben az adott értesítés közvetve vagy közvetlenül felfedné az Kyndryl kilétét.
2.6 A jelen Feltételekben foglalt kötelezettségeknek a Beszállító általi megsértéséből fakadó Biztonsági incidens esetén:
(a) Beszállító felel minden saját költségért, illetve az Kyndryl-nél felmerülő tényleges költségért, amely a Biztonsági incidensről szóló értesítés a vonatkozó szabályozó hatóságok, egyéb kormányzati vagy érintett iparági önszabályozó testületek, a média (ha az alkalmazandó jog ezt előírja), az Érintettek, az Ügyfelek és más személyek értesítésével kapcsolatos,
(b) az Kyndryl kérésére a Beszállító saját költségén felállít és az Adatvédelmi Incidensről szóló értesítés kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) fenntart egy telefonos ügyfélszolgálatot, hogy megválaszolja az érintett személyek kérdéseit az Adatvédelmi Incidensről és annak következményeiről. Az Kyndryl és a Beszállító együtt dolgozza ki az ügyfélszolgálati munkatársak által a kérdések megválaszolása során alkalmazandó szövegeket és egyéb anyagokat. Alternatív megoldásként, a Beszállítónak küldött írásbeli értesítéssel a Beszállító által létrehozott telefonos ügyfélszolgálat helyett az Kyndryl is létrehozhatja és fenntarthatja saját telefonos ügyfélszolgálatát, amely esetben a telefonos ügyfélszolgálat létrehozása és működtetése során keletkező, az Kyndryl-et terhelő költségeket a Beszállító az Kyndryl számára megtéríti, továbbá
(c) a Beszállító az Biztonsági Incidensről szóló értesítés az incidens által érintett személyeknek (akik a hitelesség követési és helyreállítási szolgáltatásra (credit monitoring and credit restoration)történő regisztráció mellett döntöttek) történő kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) megtéríti az Kyndryl számára az Kyndryl által fenntartott credit monitoring and credit restoration szolgáltatások tényleges költségeit.
3. Fizikai biztonság és Belépés-ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
3.1 A Beszállító vállalja, hogy megfelelő fizikai belépés-ellenőrzési intézkedéseket (például korlátok, kártyás beléptető pontok, biztonsági kamerák és recepciós pultok) alkalmaz annak érdekében, hogy megvédje a Létesítményeket a jogosulatlan belépéssel szemben.
3.2 A Beszállító vállalja, hogy a Létesítményeibe és azok ellenőrzött területeire való belépéshez, az ideiglenes belépést is beleértve, jóváhagyást követel meg, és a belépést munkaszerep és üzleti ok szerint korlátozza. Ha a Beszállító ideiglenes belépést biztosít, egy felhatalmazott munkavállalója kíséri az ideiglenes belépésre jogosult látogatót a Létesítményben és az ellenőrzött területeken való tartózkodása során.
3.3 A Beszállító vállalja, hogy olyan fizikai belépés-ellenőrzési eszközöket valósít meg, beleértve a többtényezős belépés-ellenőrzést is, amelyek összhangban állnak az Ajánlott iparági eljárásokkal, megfelelő módon korlátozzák a belépést az ellenőrzött területekre a Létesítményekbe, naplóznak minden belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzik.
3.4 A Beszállító vállalja, hogy visszavonja a Létesítményekhez és a Létesítményekben található ellenőrzött területekhez való hozzáférést, amennyiben (a) a Beszállító hozzáférésre jogosult munkavállalója távozik a vállalattól, vagy (b) a Beszállító jogosult munkavállalójának már nincs szüksége üzleti okokból a hozzáférésre. A Beszállító a munkavállalók távozásakor hivatalos, dokumentált folyamat szerint jár el, amely magában foglalja a hozzáférés-ellenőrzési listáról való azonnali eltávolítást és a fizikai hozzáférési jelvények leadását.
3.5 A Beszállító vállalja, hogy óvintézkedéseket tesz a Szolgáltatások és Leszállítandó Anyagok támogatásához, valamint az Kyndryl-technológia kezeléséhez használt fizikai infrastruktúra környezeti fenyegetésekkel szemben való védelme érdekében. Ide tartoznak a természetes és ember okozta veszélyek is, például a szélsőséges környezeti hőmérséklet, a tűzeset, az áradás, a magas páratartalom, a lopás és a rongálás is.
4. Hozzáférés, beavatkozás, továbbítás és szétválasztás szabályozás
4.1 A Beszállító a Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során a Szolgáltatások működtetése során kezelt hálózatokra dokumentált biztonsági architektúrát alkalmazza. A Beszállító vállalja, hogy miden ilyen hálózati architektúrát külön vizsgálatnak vet alá, és intézkedések foganatosításával gátolja meg a rendszerekkel, alkalmazásokkal és hálózati eszközökkel létesíteni kívánt jogosulatlan hálózati kapcsolatokat, a biztonságos szegmentálási, elkülönítési és a mélységi védelmi szabványoknak való megfelelés érdekében. A Beszállító nem használhat vezeték nélküli technológiát bármilyen Üzemeltetett Szolgáltatás biztosítása vagy üzemeltetése során. A Beszállító használhat vezeték nélküli technológiát a Szolgáltatások teljesítésekor, a Leszállítandók leszállításakor és az Kyndryl-technológia kezelése során, azonban vállalja, hogy minden vezeték nélküli hálózatot titkosít, és biztonságos hitelesítést követel meg velük kapcsolatban.
4.2 A Beszállító olyan intézkedéseket alkalmaz, amelyek célja az Kyndryl Anyagok logikai módon történő elkülönítése, valamint annak megakadályozása, hogy az adatok jogosulatlan személyek tudomására jussanak, illetve hogy az adatokhoz jogosulatlan személyek férjenek hozzá. A Beszállító továbbá vállalja, hogy megfelelő módon elkülöníti a produktív, nem produktív és egyéb környezeteit, és ha bármilyen Kyndryl Anyagot nem produktív környezetbe továbbítottak, vagy már eleve ott volt (például egy hiba ismételt előidézése érdekében), a Beszállító vállalja, hogy a produktív környezetben használt biztonsági és adatvédelmi eszközökkel egyenértékű biztonságról és adatvédelemről gondoskodik a nem produktív környezetben is.
4.3 A Beszállító vállalja, hogy az átvitel vagy tárolás során az Kyndryl Anyagokat titkosítja (kivéve, ha a Beszállító az Kyndryl számára észszerűen kielégítő módon bizonyítja, hogy az Kyndryl Anyagok tárolás közbeni titkosítása műszakilag nem valósítható meg). A Beszállító vállalja, hogy minden fizikai adathordozót is titkosít, ha van, ilyenek például a biztonsági másolatok fájljait tartalmazó adathordozók. A Beszállító vállalja, hogy dokumentált eljárásokat alkalmaz a kulcsok adattitkosításhoz kapcsolódó biztonságos létrehozására, kiadására, elosztására, tárolására, rotálására, visszavonására, visszaállítására, biztonsági mentésére, megsemmisítésére, elérésére és használatára vonatkozóan. A Beszállító vállalja, hogy a titkosításhoz használt titkosítási módszerek összhangban vannak az Legjobb Iparági Gyakorlattal, amilyen például az NIST SP 800-131a.
4.4 Ha a Beszállító Kyndryl Anyagokhoz kér hozzáférést, a Beszállító vállalja, hogy az ilyen hozzáférést a Szolgáltatások és Leszállítandó Anyagok biztosításához és támogatásához szükséges lehető legalacsonyabb szintű hozzáférésre fogja korlátozni. A Beszállító vállalja, hogy az ilyen hozzáférés, beleértve a bármely alapvető összetevőhöz való rendszergazdai hozzáférést (emelt szintű (privilegizált) hozzáférés), egyéni és szerepköralapú módon, továbbá a felelősség-szétválasztási alapelveknek megfelelően, a Beszállító felhatalmazott munkavállalóinak a jóváhagyása és rendszeres ellenőrzése mellett történik. A Beszállító fenntartja a redundáns és nem használt fiókok azonosítását és eltávolítását célzó intézkedéseket. A Beszállító vállalja, hogy az emelt szintű (privilegizált) hozzáféréssel rendelkező fiókokat legfeljebb huszonnégy (24) órával azután visszavonja, hogy a fiók tulajdonosa távozik a vállalattól, vagy ha azt az Kyndryl vagy a Beszállító jogosult munkavállalói, például a fiók tulajdonosának a vezetője kérelmezi.
4.5 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy műszaki intézkedéseket alkalmaz az inaktív munkamenetek megszüntetésének, a többszöri egymást követő sikertelen bejelentkezési kísérletet követően a fiókok zárolásának, továbbá az erős jelszón vagy jelmondaton alapuló hitelesítésnek a kikényszerítésére, valamint intézkedéseket foganatosít a jelszavak és jelmondatok biztonságos továbbításának és tárolásának megkövetelésére. A Beszállító emellett vállalja, hogy többtényezős hitelesítést használ az Kyndryl Anyagokhoz történő nem konzolalapú, emelt szintű hozzáférés esetén.
4.6 A Beszállító vállalja, hogy figyeli az emelt szintű (privilegizált) hozzáférés használatát, továbbá biztonsági célú, információ- és eseménykezelési intézkedéseket alkalmaz a (a) jogosulatlan hozzáférés és tevékenység azonosítása, (b) az ilyen hozzáférésre és tevékenységre időben és megfelelő módon adott válasz elősegítése, valamint (c) a dokumentált Beszállítói szabályzatnak megfelelő auditoknak a Beszállító, az Kyndryl (a jelen Feltételekben foglalt ellenőrzési jogai, illetve a Tranzakciós Dokumentumban vagy a felek között kötött vonatkozó alap- vagy bármilyen egyéb kapcsolódó megállapodásban foglalt auditálási jogai alapján) és mások általi elvégzésének lehetővé tétele érdekében.
4.7 A Beszállító vállalja, hogy megőrzi azokat a naplókat, amelyekben rögzíti – a rekordmegőrzési szabályzatának megfelelően – a Szolgáltatások vagy Leszállítandók nyújtásához, átadásához vagy az Kyndryl-technológia kezeléséhez használt rendszerekhez való vagy azokkal összefüggésben álló rendszergazdai, felhasználói és egyéb hozzáférések vagy tevékenységek mindegyikét. (és kérésre átadja ezeket a naplókat az Kyndryl-nek). A Beszállító vállalja, hogy védelmi intézkedéseket alkalmaz az ilyen naplókhoz való jogosulatlan hozzáféréssel, valamint a naplók módosításával és véletlenszerű vagy szándékos megsemmisítésével szemben.
4.8 A Beszállító vállalja, hogy számítástechnikai védelmet alkalmaz a tulajdonában lévő vagy általa üzemeltetett rendszerekre, beleértve a végfelhasználói rendszereket és a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához, illetve az Kyndryl-technológia kezeléséhez használt rendszereket, és az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljes lemeztitkosítás, aláírás-alapú és nem aláírás-alapú végpontészlelés, válaszlépésekre szolgáló technológiák a kártevők és a fejlett, állandó fenyegetések kezelésére, időalapú képernyőzárolások, valamint a biztonsági konfigurációs és javítási követelményeket kikényszerítő végponti felügyeleti megoldások. A Beszállító emellett vállalja, hogy olyan műszaki és üzemeltetési ellenőrző eszközöket alkalmaz, amelyek biztosítják, hogy kizárólag az ismert és megbízható végfelhasználói rendszerek legyenek jogosultak a Beszállító hálózatainak a használatára.
4.9 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy védelmi eszközöket alkalmaz azon adatközponti környezetek esetén, amelyekben Kyndryl Anyagok találhatók, vagy amelyekben Kyndryl Anyagok feldolgozása történik, és az ilyen védelem a következőket foglalja magában: behatolás észlelése és megakadályozása, szolgáltatásmegtagadási támadásokkal szembeni ellenintézkedések és a támadások súlyosságának enyhítése.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Beszállító vállalja, hogy (a) legalább évente felméri a biztonsági és adatvédelmi kockázatokat; (b) biztonsági vizsgálatot végez és felméri a biztonsági réseket, beleértve egy automatikus rendszer- és alkalmazásbiztonsági vizsgálatot és egy manuális, etikus számítástechnikai betörést a produktív célra történő rendelkezésre bocsátást megelőzően, és ezt követően évente a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozóan, valamint évente az Kyndryl-technológia kezelésére vonatkozóan; (c) megbíz egy képzett, független külső felet, hogy végezzen az Ajánlott iparági eljárásoknak megfelelő behatolásvizsgálatot legalább évente, az automatikus és manuális tesztelést is beleértve; (d) automatikusan felügyeli a Szolgáltatások és Leszállítandó Anyagok egyes összetevőit, és rutinszerűen ellenőrzi a Szolgáltatások és Leszállítandó Anyagok minden összetevőjének, valamint az Kyndryl-technológia kezelésének biztonsági konfigurációs követelményeknek való megfelelését; valamint (e) a kapcsolódó kockázatok, sebezhetőség és a rendszerre gyakorolt hatás alapján javítja az azonosított biztonsági réseket és a biztonsági konfigurációs követelményeknek való meg nem felelést. A Beszállító vállalja, hogy észszerű lépéseket tesz annak érdekében, hogy a Szolgáltatások a tesztek, felmérések, vizsgálatok és javítási tevékenységek során se szüneteljenek. A Beszállító vállalja, hogy az Kyndryl kérésére írásos összefoglalót biztosít a legutóbbi behatolásvizsgálati tevékenységeiről, mely jelentés legalább a következőket tartalmazza: azon ajánlatok neve, amelyekre a vizsgálat kiterjedt, a vizsgálat hatókörébe eső rendszerek vagy alkalmazások száma, a vizsgálat dátuma, a vizsgálatban használt módszertan, valamint az eredmények általános összegzése.
5.2 A Beszállító fenntartja a Szolgáltatás vagy Leszállítandó Anyagok, illetve az Kyndryl-technológia kezelésének módosításával kapcsolatos veszélyek elhárítását célzó szabályokat és eljárásokat. Az érintett rendszerek, hálózatok és alapvető összetevők bármilyen módosítása előtt a Beszállító vállalja, hogy regisztrált módosítási kérésben dokumentálja a következőket: (a) a módosítás leírását és okát, (b) a megvalósítás részleteit és ütemezését, (c) egy kockázati nyilatkozatot, amely ismerteti a módosításnak a Szolgáltatásra, az Leszállítandó Anyagokra, a Szolgáltatás ügyfeleire vagy az Kyndryl Anyagokra gyakorolt hatását, (d) a várt végeredményt, (e) egy visszaállítási tervet és (f) a Beszállító egy erre jogosult munkavállalójának a jóváhagyását.
5.3 A Beszállító vállalja, hogy nyilvántartást vezet a Szolgáltatások üzemeltetése, az Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során használt IT-eszközök mindegyikéről. A Beszállító vállalja, hogy folyamatosan megfigyeli és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Anyagok, Kyndryl-technológiák és ezek alapvető összetevőinek állapotát és rendelkezésre állását.
5.4 A Beszállító vállalja, hogy a Szolgáltatások és Leszállítandó Anyagok fejlesztése vagy üzemeltetése, valamint az Kyndryl-technológia kezelése során használt rendszerek mindegyikét olyan, előre meghatározott rendszerbiztonsági lemezképekből vagy biztonsági alapokból hozza létre, amelyek megfelelnek az Ajánlott iparági eljárásoknak, például a Center for Internet Security (CIS) viszonyítási alapjainak.
5.5 A jelen Tranzakciós Dokumentum és az üzleti folytonosságra vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a dokumentált kockázatkezelési irányelvekben foglaltnak megfelelően külön értékeli az egyes Szolgáltatásokat, Leszállítandó Anyagokat és az Kyndryl-technológia kezeléséhez használt IT-rendszereket az üzleti és IT-folytonosságra és vészhelyreállításra vonatkozó követelmények tekintetében. A Beszállító vállalja, hogy minden Szolgáltatáshoz, Leszállítandó Anyaghoz és IT-rendszerhez, a kockázatértékelés által indokolt mértékben, külön meghatározott, dokumentált, alkalmazott és évente ellenőrzött, az Ajánlott iparági eljárásokkal összhangban álló üzleti és IT-folytonossági, illetve vészhelyreállítási terveket biztosít. A Beszállító vállalja, hogy az ilyen tervek kialakítása úgy történjen, hogy a tervek megfeleljenek az alábbi 5.6-os szakaszban meghatározott helyreállítási célidőtartamoknak.
5.6 Az Üzemeltetett Szolgáltatás vonatkozásában a helyreállításipont-célkitűzés („RPO”) és a helyreállítási célidőtartam („RTO”) a következők: 24 óra RPO és 24 óra RTO. A Beszállító ennek ellenére vállalja, hogy megfelel minden rövidebb időtartamú olyan RPO-nak vagy RTO-nak, amelyet az Kyndryl vállalt egy Ügyfél felé, amint az Kyndryl írásban értesíti a Beszállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (az e-mail írásos értesítésnek minősül). Mivel ez a Beszállító által az Kyndryl számára nyújtott egyéb Szolgáltatások mindegyikét érinti, a Beszállító vállalja, hogy olyan üzleti folytonossági és vészhelyreállítási terveket alakít ki az RPO és az RTO teljesítésére, amelyek lehetővé teszik a Beszállító számára, hogy teljes mértékben eleget tegyen az Kyndryl vállalattal szemben fennálló, a Tranzakciós Dokumentumban és a felek között kötött vonatkozó alapmegállapodásban, valamint ezen feltételekben ismertetett kötelezettségeinek, beleértve a tesztelés, támogatás és karbantartás időben történő biztosítására vonatkozó kötelezettségét is.
5.7 A Beszállító vállalja, hogy a Szolgáltatások, Leszállítandó Anyagok és a kapcsolódó rendszerek, hálózatok, alkalmazások és a Szolgáltatások és Leszállítandó Anyagok körébe tartozó alapvető összetevők, valamint az Kyndryl-technológia kezeléséhez használt hálózatok, alkalmazások, valamint az alapvető összetevők számára létrehozott biztonsági tanácsadási javítócsomagok értékelésére, tesztelésére és alkalmazására kialakított intézkedéseket fog alkalmazni. Amennyiben egy biztonsági tanácsadási javítócsomag alkalmazható és megfelelő, a Beszállító a dokumentált súlyossági és kockázati értékelésnek megfelelően fogja alkalmaznia azt. A biztonsági tanácsadási javítócsomagok Beszállító általi megvalósítására a Beszállító módosításkezelési szabályzata vonatkozik.
5.8 Ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító által az Kyndryl számára biztosított hardver vagy szoftver kártékony elemeket, például kémprogramokat, kártevőket vagy rosszindulatú kódot tartalmaz, akkor a Beszállító vállalja, hogy időben együttműködik az Kyndryl-mel az Kyndryl aggályainak kivizsgálása és orvoslása érdekében.
6. Szolgáltatásnyújtás
6.1 A Beszállító vállalja, hogy támogatja az iparágban általános módszernek számító összevont hitelesítést bármilyen Kyndryl felhasználói vagy Ügyfélfiók vonatkozásában, betartva az Ajánlott iparági eljárásokat az Kyndryl felhasználói vagy Ügyfélfiókok hitelesítése során (például az Kyndryl központilag felügyelt, többtényezős egyszeri bejelentkezése, az OpenID Connect vagy a Security Assertion Markup Language használatával). Alvállalkozók. A jelen Tranzakciós dokumentum és az alvállalkozók bevonására vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a Beszállító számára munkát teljesítő bármilyen alvállalkozó irányítási ellenőrzéseket vezet be a Beszállítóra vonatkozó jelen Feltételekben meghatározott követelményeknek és kötelezettségeknek való megfelelés érdekében.
7. Fizikai adathordozók. A Beszállító vállalja, hogy biztonságosan eltávolít mindent a fizikai adathordozókról azok újbóli felhasználása előtt, és az ismételten felhasználni nem kívánt fizikai adathordozókat megsemmisíti az adathordozók megtisztítására (sanitization) vonatkozó Ajánlott iparági eljárásoknak megfelelően.
8.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
-
Ha igen, amikor a Beszállító a saját vagy egy harmadik fél Forráskódját vagy Helyszíni Szoftverét az Kyndryl rendelkezésére bocsátja, vagy a Beszállító bármely Leszállítandó Anyaga vagy Szolgáltatása egy Kyndryl Ügyfél részére átadásra kerül valamely Kyndryl termék vagy szolgáltatás részeként, arra az esetre az V. (Biztonságos fejlesztés), a VIII. (Technikai és szervezési intézkedések, általános biztonság) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.
Amennyiben a Beszállító kizárólag Helyszíni Szoftvert nyújt az Kyndryl részére, arra az esetre az V. (Biztonságos fejlesztés) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.
Példák:
- A Beszállító saját tulajdonában lévő Forráskódot fejleszt egy olyan termékhez, amelyet az Kyndryl fog terjeszteni és értékesíteni.
- A Beszállító egy szoftvert ad licencbe az Kyndryl részére az Kyndryl helyszíni használatára.
- Az Kyndryl saját márkássá tesz egy, a Beszállító által üzemeltetett szolgáltatást, amelyet a Beszállító Kyndryl-termékként vagy -szolgáltatásként fog üzemeltetni és menedzselni.
Megjegyzés: a VIII. (Technikai és szervezési intézkedések, általános biztonság) cikkely alkalmazandó az olyan Beszállító esetében is, aki Helyszíni Szoftvert nyújt az Kyndryl részére, amennyiben a megbízás egyéb körülményei a VIII. cikkely alkalmazását teszik szükségessé (például, amikor a Beszállító az Üzleti Kapcsolattartási Adatokon (BCI) kívüli egyéb információkhoz is hozzáfér, például Kyndryl személyes adatokhoz vagy nem személyes adatokhoz).
V. cikkely, Biztonságos fejlesztés
Jelen cikkely abban az esetben alkalmazandó, ha a Beszállító a saját vagy egy harmadik fél Forráskódját vagy Helyszíni Szoftverét az Kyndryl rendelkezésére fogja bocsátani, illetve ha a Beszállító bármely Leszállítandó Anyaga vagy Szolgáltatása átadásra kerül egy Kyndryl Ügyfél részére valamely Kyndryl termék vagy szolgáltatás részeként.
1. Biztonsági felkészültség
1.1 A Beszállító vállalja, hogy az Kyndryl belső folyamataival együttműködve értékeli az olyan Kyndryl-termékek és -szolgáltatások biztonsági felkészültségét, amelyek a Beszállító Leszállítandó Anyagaitól függnek, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
2. Biztonságos Fejlesztés
2.1 Ez a 2. szakasz csak akkor alkalmazandó, ha a Beszállító Helyszíni Szoftvert biztosít az Kyndryl számára.
2.2 A Beszállító a legjobb iparági gyakorlattal összhangban bevezette és a Tranzakciós Dokumentum teljes időtartama alatt fenntartja a hálózatra, platformra, rendszerre, alkalmazásra, eszközre, fizikai infrastruktúrára, incidensekre való reagálásra és a Személyzetre összpontosító biztonsági szabályzatokat, eljárásokat és ellenőrzéseket, amelyek szükségesek az alábbiak védelméhez: (a) a fejlesztési, felépítési, tesztelési és operációs rendszerek és környezetek, amelyeket a Beszállító vagy a Beszállító által megbízott bármely harmadik fél üzemeltet, kezel, használ, illetve amelyre más módon támaszkodik a Leszállítandó Anyagok tekintetében vagy azokkal kapcsolatban, és (b) a Leszállítandó Anyagok valamennyi forráskódjának védelme az elvesztés, a jogellenes kezelési formák, valamint a jogosulatlan hozzáférés, nyilvánosságra hozatal vagy módosítás ellen.
3. Biztonsági Rések
3.1 Jelen 3. cikkely kizárólag abban az esetben alkalmazandó, ha a Beszállító bármely Leszállítandó Anyaga vagy Szolgáltatása átadásra kerül egy Kyndryl Ügyfél részére valamely Kyndryl termék vagy szolgáltatás részeként.
3.2 A Beszállító vállalja, hogy beszerzi a következő tanúsítványokat: ISO 20243 – Információtechnológia – Open Trusted Technology Provider, TM szabvány (O-TTPS) – Kártevővel szándékosan fertőzött vagy hamisított termékek hatásának csökkentése (önértékelésen alapuló vagy jó hírnevű, független ellenőrtől szerzett tanúsítvány). Alternatív esetben, ha a Beszállító írásban kérvényezi és az Kyndryl írásban engedélyezi, a Beszállító vállalja, hogy beszerez egy a lényegét tekintve egyenértékű, a biztonságos fejlesztési és ellátásilánc-eljárásokat érintő szabványt (önértékelésen alapuló vagy jó hírnevű, független ellenőrtől szerzett tanúsítvány, az Kyndryl engedélyétől függően).
3.3 A Beszállító vállalja, hogy az ISO 20243 vagy a lényegét tekintve egyenértékű szabványnak (az Kyndryl írásbeli engedélye alapján) megfelelő tanúsítást a jelen Tranzakciós Dokumentum hatályba lépésének dátumát követő 180 napon belül megszerzi, majd a tanúsítást ezután 12 havonta megújítja (és az egyes megújítások a vonatkozó szabvány, például az ISO 20243 vagy – az Kyndryl írásbeli engedélyétől függően – a lényegét tekintve egyenértékű, a biztonságos fejlesztési és ellátásilánc-eljárásokat érintő szabvány éppen aktuális verziója szerint zajlanak).
3.4 A Beszállító vállalja, hogy kérésre haladéktalanul biztosít egy másolatot az Kyndryl számára azokról a tanúsításokról, amelyeket a fenti 2.1-e és 2.2-es szakaszoknak megfelelően köteles megszerezni.
4. Biztonsági Rések
Az alábbiak szerint:
A Hibajavítások olyan hibajavításokat és módosításokat jelentenek, amelyek hibákat vagy hiányosságokat, a Biztonsági sérülékenységet (Biztonsági Rések) is beleértve, javítanak ki a Leszállítandó Anyagokban.
Kockázatcsökkentés olyan ismert eszközöket jelent, amelyekkel csökkenthetők vagy elkerülhetők egy Biztonsági réssel járó kockázatok.
A Biztonsági Rés olyan állapotot jelent egy Leszállítandó Anyag kialakításában, kódolásában, fejlesztésében, megvalósításában, tesztelésében, működésében, támogatásában, karbantartásában vagy felügyeletében, amely olyan, bárki által véghezvitt támadást tesz lehetővé, amely jogosulatlan hozzáféréssel vagy visszaéléssel járhat, beleértve (a) egy rendszer elérését, vezérlését vagy a működésének megzavarását, (b) adatok elérését, törlését, módosítását vagy kinyerését, (c) felhasználók vagy rendszergazdák azonosságának, jogosultságainak vagy engedélyeinek a módosítását. Biztonsági rés akkor is fennállhat, ha nincs Common Vulnerabilities and Exposures- (CVE-) azonosító vagy más pontozás vagy hivatalos besorolás hozzárendelve.
4.1 A Beszállító kijelenti és szavatolja, hogy: (a) az iparág ajánlott eljárásait alkalmazza a Biztonsági Rések azonosítására, beleértve a következők folyamatos végzését: statikus és dinamikus, forráskódon alapuló alkalmazásbiztonsági vizsgálat, nyílt forrású biztonsági vizsgálat és a rendszer biztonsági réseinek vizsgálata, valamint (b) megfelel a jelen Feltételekben foglalt követelményeknek az Leszállítandó Anyagokban és minden olyan IT-alkalmazásban, platformban és infrastruktúrában található Biztonsági Rések megelőzése, észlelése és javítása céljából, amelyeken vagy amelyekkel a Beszállító Szolgáltatásokat vagy Leszállítandó Anyagokat hoz létre ésnyújt.
4.2 Ha a Beszállító tudomására jut az Leszállítandó Anyagokban vagy a fent nevezett IT-alkalmazásban, -platformban vagy -infrastruktúrában található Biztonsági Rés, a Beszállító vállalja, hogy biztosítja az Kyndryl számára a Hibajavítást és Kockázatcsökkentést az Leszállítandó Anyagok minden változatához és kiadásához kapcsolódóan, az alábbi táblázatokban meghatározott Súlyossági Szinteknek és határidőknek megfelelően:
Súlyossági szint*
Vészhelyzeti Biztonsági Rés – Olyan Biztonsági Rés, amely súlyos és potenciálisan globális fenyegetést jelent. Az Kyndryl saját kizárólagos belátása alapján, a CVSS-alappontszámtól függetlenül határozza meg a Vészhelyzeti Biztonsági Réseket.
Kritikus – 9–10,0 CVSS-alappontszámmal rendelkező Biztonsági Rések
Magas – 7,0–8,9 CVSS-alappontszámmal rendelkező Biztonsági Rések
Közepes – 4,0–6,9 CVSS-alappontszámmal rendelkező Biztonsági Rések
Alacsony – 0,0–3,9 CVSS-alappontszámmal rendelkező Biztonsági Rések
Határidők
Vészhelyzet
Kritikus
Magas
Közepes
Alacsony
4 nap vagy kevesebb,
amelyet az Kyndryl
információbiztonsági igazgatósága határoz meg30 nap
30 nap
90 nap
Iparági bevált gyakorlatok szerint
* Abban az esetben, ha egy Biztonsági Rés nem rendelkezik már hozzárendelt CVSS-alappontszámmal, a Beszállító vállalja, hogy a biztonsági rés jellegének és körülményeinek megfelelő Súlyossági Szintet alkalmaz.
4.3 Az olyan Biztonsági Rések esetén, amelyek már nyilvánosságra jutottak, és amelyekhez a Beszállító még nem biztosított Hibajavítást vagy Kockázatcsökkentést az Kyndryl számára, a Beszállító vállalja, hogy minden olyan további, műszakilag megvalósítható biztonsági ellenőrző eszközt megvalósít, amely csökkentheti a biztonsági réssel járó kockázatokat.
4.4 Ha az Kyndryl nem elégedett a Beszállítónak egy Leszállítandó Anyagban vagy a fent hivatkozott alkalmazásban, platformban vagy infrastruktúrában található Biztonsági Résre adott válaszával, az Kyndryl vállalat bármilyen egyéb jogának sérelme nélkül a Beszállító vállalja, hogy haladéktalanul megszervezi az Kyndryl számára, hogy aggályait közvetlen a Beszállítónak a Hibajavítás biztosításáért felelős Alelnökével vagy egyenértékű beosztású felső vezetőjével vitathassa meg.
4.5 Példák Biztonsági Résekre: a harmadik féltől származó kód vagy kivezetett, nyílt forrású kód, amely már nem kap biztonsági javításokat.
VIII. cikkely – Technikai és Szervezési Intézkedések, Általános biztonság
A jelen Cikkely arra az esetre vonatkozik, ha a Beszállító valamilyen Szolgáltatást vagy Szállítandót biztosít az Kyndryl számára, kivéve, ha a Beszállító csak az Kyndryl BCI-hez fér hozzá az adott Szolgáltatások és Szállítandók nyújtásához (vagyis a Beszállító nem dolgoz fel semmilyen más Kyndryl-adatot, illetve nem rendelkezik hozzáféréssel bármilyen más Kyndryl Anyaghoz vagy Vállalati Rendszerhez), ha a Beszállító Szolgáltatásai és Leszállítandó Anyagai kizárólag a Helyszíni Szoftver Kyndryl részére történő rendelkezésre bocsátását tartalmazzák, illetve ha a Beszállító a Szolgáltatásainak és Leszállítandóinak mindegyikét a VII. cikkelynek, valamint a cikkely 1.7-es szakaszának megfelelő munkaerő-kiegészítési modell keretében biztosítja.
A Beszállító vállalja, hogy megfelel a jelen Cikkely követelményeinek, és ezzel megvédi (a) az Kyndryl Anyagokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlen vagy jogosulatlan közléssel, véletlen vagy jogosulatlan hozzáféréssel, (b) az Kyndryl-adatokat a Feldolgozás törvénytelen formáival, valamint (c) az Kyndryl-technológiát a Kezelés törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Biztonsági irányelvek
1.1 A Beszállító vállalja, hogy a Beszállító üzleti tevékenységének szerves részét képező, és a Beszállító minden Munkavállalójára kötelező érvényű informatikai biztonsági szabályzatokat és gyakorlatokat alkalmaz és követ az Ajánlott iparági eljárásokkal összhangban.
1.2 A Beszállító vállalja, hogy legalább évente egyszer felülvizsgálja az informatikai biztonsági szabályzatait és gyakorlatait, és szükség esetén saját megítélése szerint módosítja őket az Kyndryl Anyagok védelme érdekében.
1.3 A Beszállító vállalja, hogy szabványos és kötelező munkavállaló-ellenőrzési követelményeket alkalmaz és követ minden új munkavállaló-felvétel esetén, és a követelményeket kiterjeszti a Beszállító minden Munkavállalójára és teljes tulajdonában álló leányvállalatára. Ezek a követelmények magukban foglalják a helyi jogszabályok által megengedett mértékig terjedő bűnügyi háttérellenőrzést, a személyazonosságot igazoló okmányok ellenőrzését és minden további olyan ellenőrzést, amelyet a Beszállító szükségesnek ítél. A Beszállító vállalja, hogy időszakosan megismétli és újraértékeli ezeket a követelményeket, amikor azt szükségesnek ítéli.
1.4 A Beszállító vállalja, hogy évente biztonsági és adatvédelmi oktatásban részesíti a munkavállalóit, és minden ilyen munkavállalótól megköveteli, hogy évente tanúsítsák a Beszállító etikus üzleti magatartása, bizalmas kezelési és biztonsági szabályzatainak való megfelelést a Beszállító magatartási kódexében vagy hasonló dokumentumaiban meghatározott módon. A Beszállító vállalja, hogy további, a szabályzatokkal és folyamatokkal kapcsolatos képzéseket nyújt azon személyek számára, akik adminisztratív hozzáféréssel rendelkeznek a Szolgáltatások, a Leszállítandó Anyagok vagy az Kyndryl Anyagok valamelyik összetevőjéhez, mely képzés a személyek szerepköréhez és a Szolgáltatások, Leszállítandó Anyagok és Kyndryl Anyagok támogatásához kapcsolódik, illetve a kötelező megfelelés és tanúsítások fenntartásához szükséges.
1.5 A Beszállító vállalja, hogy biztonsági és adatvédelmi intézkedéseket alakít ki az Kyndryl Anyagok elérhetőségének védelméhez és megőrzéséhez, többek között a Szolgáltatásokkal és Leszállítandókkal, illetve az Kyndryl-technológia minden Kezelésével összefüggésben a beépített biztonságot és adatvédelmet, biztonságos fejlesztést, valamint a biztonságos működést megkövetelő szabályzatok és eljárások megvalósításával, fenntartásával és a nekik való megfeleléssel.
2. Biztonsági incidensek
2.1 A Beszállító vállalja, hogy az Ajánlott iparági eljárásoknak megfelelő, a dokumentált incidens kezelési szabályzatokat alkalmaz és követ.
2.2 A Beszállító vállalja, hogy kivizsgálja az Kyndryl Anyagokhoz való jogosulatlan hozzáféréseket és az Kyndryl Anyagok jogosulatlan használatát, valamint megfelelő válaszadási tervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.
2.4 A Beszállító vállalja, hogy észszerű segítséget nyújt az Kyndryl számára az Kyndryl vállalat, az Kyndryl leányvállalatai és az Ügyfelek (valamint ügyfeleik és leányvállalataik) a Biztonsági incidenssel összefüggésben fennálló jogi kötelezettségeinek (beleértve a szabályozó hatóságok és Érintettek értesítésére vonatkozó kötelezettségeket) teljesítésében.
2.5 A Beszállító vállalja, hogy nem tájékoztat vagy értesít harmadik felet arról, ha egy Biztonság Incidens közvetlenül vagy közvetve az Kyndryl-hez vagy Kyndryl Anyagokhoz kapcsolódik, kivéve, ha az Kyndryl ezt írásban jóváhagyta, vagy ha azt jogszabály írja elő. A Beszállító vállalja, hogy a harmadik feleknek szóló, jogszabályban előírt értesítés elküldését megelőzően írásban értesíti az Kyndryl vállalatot, amennyiben az adott értesítés közvetve vagy közvetlenül felfedné az Kyndryl kilétét.
2.6 A jelen Feltételekben foglalt kötelezettségeknek a Beszállító általi megsértéséből fakadó Biztonsági incidens esetén:
(a) Beszállító felel minden saját költségért, illetve az Kyndryl-nél felmerülő tényleges költségért, amely a Biztonsági incidensről szóló értesítés a vonatkozó szabályozó hatóságok, egyéb kormányzati vagy érintett iparági önszabályozó testületek, a média (ha az alkalmazandó jog ezt előírja), az Érintettek, az Ügyfelek és más személyek értesítésével kapcsolatos,
(b) az Kyndryl kérésére a Beszállító saját költségén felállít és az Adatvédelmi Incidensről szóló értesítés kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) fenntart egy telefonos ügyfélszolgálatot, hogy megválaszolja az érintett személyek kérdéseit az Adatvédelmi Incidensről és annak következményeiről. Az Kyndryl és a Beszállító együtt dolgozza ki az ügyfélszolgálati munkatársak által a kérdések megválaszolása során alkalmazandó szövegeket és egyéb anyagokat. Alternatív megoldásként, a Beszállítónak küldött írásbeli értesítéssel a Beszállító által létrehozott telefonos ügyfélszolgálat helyett az Kyndryl is létrehozhatja és fenntarthatja saját telefonos ügyfélszolgálatát, amely esetben a telefonos ügyfélszolgálat létrehozása és működtetése során keletkező, az Kyndryl-et terhelő költségeket a Beszállító az Kyndryl számára megtéríti, továbbá
(c) a Beszállító az Biztonsági Incidensről szóló értesítés az incidens által érintett személyeknek (akik a hitelesség követési és helyreállítási szolgáltatásra (credit monitoring and credit restoration)történő regisztráció mellett döntöttek) történő kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) megtéríti az Kyndryl számára az Kyndryl által fenntartott credit monitoring and credit restoration szolgáltatások tényleges költségeit.
3. Fizikai biztonság és Belépés-ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
3.1 A Beszállító vállalja, hogy megfelelő fizikai belépés-ellenőrzési intézkedéseket (például korlátok, kártyás beléptető pontok, biztonsági kamerák és recepciós pultok) alkalmaz annak érdekében, hogy megvédje a Létesítményeket a jogosulatlan belépéssel szemben.
3.2 A Beszállító vállalja, hogy a Létesítményeibe és azok ellenőrzött területeire való belépéshez, az ideiglenes belépést is beleértve, jóváhagyást követel meg, és a belépést munkaszerep és üzleti ok szerint korlátozza. Ha a Beszállító ideiglenes belépést biztosít, egy felhatalmazott munkavállalója kíséri az ideiglenes belépésre jogosult látogatót a Létesítményben és az ellenőrzött területeken való tartózkodása során.
3.3 A Beszállító vállalja, hogy olyan fizikai belépés-ellenőrzési eszközöket valósít meg, beleértve a többtényezős belépés-ellenőrzést is, amelyek összhangban állnak az Ajánlott iparági eljárásokkal, megfelelő módon korlátozzák a belépést az ellenőrzött területekre a Létesítményekbe, naplóznak minden belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzik.
3.4 A Beszállító vállalja, hogy visszavonja a Létesítményekhez és a Létesítményekben található ellenőrzött területekhez való hozzáférést, amennyiben (a) a Beszállító hozzáférésre jogosult munkavállalója távozik a vállalattól, vagy (b) a Beszállító jogosult munkavállalójának már nincs szüksége üzleti okokból a hozzáférésre. A Beszállító a munkavállalók távozásakor hivatalos, dokumentált folyamat szerint jár el, amely magában foglalja a hozzáférés-ellenőrzési listáról való azonnali eltávolítást és a fizikai hozzáférési jelvények leadását.
3.5 A Beszállító vállalja, hogy óvintézkedéseket tesz a Szolgáltatások és Leszállítandó Anyagok támogatásához, valamint az Kyndryl-technológia kezeléséhez használt fizikai infrastruktúra környezeti fenyegetésekkel szemben való védelme érdekében. Ide tartoznak a természetes és ember okozta veszélyek is, például a szélsőséges környezeti hőmérséklet, a tűzeset, az áradás, a magas páratartalom, a lopás és a rongálás is.
4. Hozzáférés, beavatkozás, továbbítás és szétválasztás szabályozás
4.1 A Beszállító a Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során a Szolgáltatások működtetése során kezelt hálózatokra dokumentált biztonsági architektúrát alkalmazza. A Beszállító vállalja, hogy miden ilyen hálózati architektúrát külön vizsgálatnak vet alá, és intézkedések foganatosításával gátolja meg a rendszerekkel, alkalmazásokkal és hálózati eszközökkel létesíteni kívánt jogosulatlan hálózati kapcsolatokat, a biztonságos szegmentálási, elkülönítési és a mélységi védelmi szabványoknak való megfelelés érdekében. A Beszállító nem használhat vezeték nélküli technológiát bármilyen Üzemeltetett Szolgáltatás biztosítása vagy üzemeltetése során. A Beszállító használhat vezeték nélküli technológiát a Szolgáltatások teljesítésekor, a Leszállítandók leszállításakor és az Kyndryl-technológia kezelése során, azonban vállalja, hogy minden vezeték nélküli hálózatot titkosít, és biztonságos hitelesítést követel meg velük kapcsolatban.
4.2 A Beszállító olyan intézkedéseket alkalmaz, amelyek célja az Kyndryl Anyagok logikai módon történő elkülönítése, valamint annak megakadályozása, hogy az adatok jogosulatlan személyek tudomására jussanak, illetve hogy az adatokhoz jogosulatlan személyek férjenek hozzá. A Beszállító továbbá vállalja, hogy megfelelő módon elkülöníti a produktív, nem produktív és egyéb környezeteit, és ha bármilyen Kyndryl Anyagot nem produktív környezetbe továbbítottak, vagy már eleve ott volt (például egy hiba ismételt előidézése érdekében), a Beszállító vállalja, hogy a produktív környezetben használt biztonsági és adatvédelmi eszközökkel egyenértékű biztonságról és adatvédelemről gondoskodik a nem produktív környezetben is.
4.3 A Beszállító vállalja, hogy az átvitel vagy tárolás során az Kyndryl Anyagokat titkosítja (kivéve, ha a Beszállító az Kyndryl számára észszerűen kielégítő módon bizonyítja, hogy az Kyndryl Anyagok tárolás közbeni titkosítása műszakilag nem valósítható meg). A Beszállító vállalja, hogy minden fizikai adathordozót is titkosít, ha van, ilyenek például a biztonsági másolatok fájljait tartalmazó adathordozók. A Beszállító vállalja, hogy dokumentált eljárásokat alkalmaz a kulcsok adattitkosításhoz kapcsolódó biztonságos létrehozására, kiadására, elosztására, tárolására, rotálására, visszavonására, visszaállítására, biztonsági mentésére, megsemmisítésére, elérésére és használatára vonatkozóan. A Beszállító vállalja, hogy a titkosításhoz használt titkosítási módszerek összhangban vannak az Legjobb Iparági Gyakorlattal, amilyen például az NIST SP 800-131a.
4.4 Ha a Beszállító Kyndryl Anyagokhoz kér hozzáférést, a Beszállító vállalja, hogy az ilyen hozzáférést a Szolgáltatások és Leszállítandó Anyagok biztosításához és támogatásához szükséges lehető legalacsonyabb szintű hozzáférésre fogja korlátozni. A Beszállító vállalja, hogy az ilyen hozzáférés, beleértve a bármely alapvető összetevőhöz való rendszergazdai hozzáférést (emelt szintű (privilegizált) hozzáférés), egyéni és szerepköralapú módon, továbbá a felelősség-szétválasztási alapelveknek megfelelően, a Beszállító felhatalmazott munkavállalóinak a jóváhagyása és rendszeres ellenőrzése mellett történik. A Beszállító fenntartja a redundáns és nem használt fiókok azonosítását és eltávolítását célzó intézkedéseket. A Beszállító vállalja, hogy az emelt szintű (privilegizált) hozzáféréssel rendelkező fiókokat legfeljebb huszonnégy (24) órával azután visszavonja, hogy a fiók tulajdonosa távozik a vállalattól, vagy ha azt az Kyndryl vagy a Beszállító jogosult munkavállalói, például a fiók tulajdonosának a vezetője kérelmezi.
4.5 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy műszaki intézkedéseket alkalmaz az inaktív munkamenetek megszüntetésének, a többszöri egymást követő sikertelen bejelentkezési kísérletet követően a fiókok zárolásának, továbbá az erős jelszón vagy jelmondaton alapuló hitelesítésnek a kikényszerítésére, valamint intézkedéseket foganatosít a jelszavak és jelmondatok biztonságos továbbításának és tárolásának megkövetelésére. A Beszállító emellett vállalja, hogy többtényezős hitelesítést használ az Kyndryl Anyagokhoz történő nem konzolalapú, emelt szintű hozzáférés esetén.
4.6 A Beszállító vállalja, hogy figyeli az emelt szintű (privilegizált) hozzáférés használatát, továbbá biztonsági célú, információ- és eseménykezelési intézkedéseket alkalmaz a (a) jogosulatlan hozzáférés és tevékenység azonosítása, (b) az ilyen hozzáférésre és tevékenységre időben és megfelelő módon adott válasz elősegítése, valamint (c) a dokumentált Beszállítói szabályzatnak megfelelő auditoknak a Beszállító, az Kyndryl (a jelen Feltételekben foglalt ellenőrzési jogai, illetve a Tranzakciós Dokumentumban vagy a felek között kötött vonatkozó alap- vagy bármilyen egyéb kapcsolódó megállapodásban foglalt auditálási jogai alapján) és mások általi elvégzésének lehetővé tétele érdekében.
4.7 A Beszállító vállalja, hogy megőrzi azokat a naplókat, amelyekben rögzíti – a rekordmegőrzési szabályzatának megfelelően – a Szolgáltatások vagy Leszállítandók nyújtásához, átadásához vagy az Kyndryl-technológia kezeléséhez használt rendszerekhez való vagy azokkal összefüggésben álló rendszergazdai, felhasználói és egyéb hozzáférések vagy tevékenységek mindegyikét. (és kérésre átadja ezeket a naplókat az Kyndryl-nek). A Beszállító vállalja, hogy védelmi intézkedéseket alkalmaz az ilyen naplókhoz való jogosulatlan hozzáféréssel, valamint a naplók módosításával és véletlenszerű vagy szándékos megsemmisítésével szemben.
4.8 A Beszállító vállalja, hogy számítástechnikai védelmet alkalmaz a tulajdonában lévő vagy általa üzemeltetett rendszerekre, beleértve a végfelhasználói rendszereket és a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához, illetve az Kyndryl-technológia kezeléséhez használt rendszereket, és az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljes lemeztitkosítás, aláírás-alapú és nem aláírás-alapú végpontészlelés, válaszlépésekre szolgáló technológiák a kártevők és a fejlett, állandó fenyegetések kezelésére, időalapú képernyőzárolások, valamint a biztonsági konfigurációs és javítási követelményeket kikényszerítő végponti felügyeleti megoldások. A Beszállító emellett vállalja, hogy olyan műszaki és üzemeltetési ellenőrző eszközöket alkalmaz, amelyek biztosítják, hogy kizárólag az ismert és megbízható végfelhasználói rendszerek legyenek jogosultak a Beszállító hálózatainak a használatára.
4.9 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy védelmi eszközöket alkalmaz azon adatközponti környezetek esetén, amelyekben Kyndryl Anyagok találhatók, vagy amelyekben Kyndryl Anyagok feldolgozása történik, és az ilyen védelem a következőket foglalja magában: behatolás észlelése és megakadályozása, szolgáltatásmegtagadási támadásokkal szembeni ellenintézkedések és a támadások súlyosságának enyhítése.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Beszállító vállalja, hogy (a) legalább évente felméri a biztonsági és adatvédelmi kockázatokat; (b) biztonsági vizsgálatot végez és felméri a biztonsági réseket, beleértve egy automatikus rendszer- és alkalmazásbiztonsági vizsgálatot és egy manuális, etikus számítástechnikai betörést a produktív célra történő rendelkezésre bocsátást megelőzően, és ezt követően évente a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozóan, valamint évente az Kyndryl-technológia kezelésére vonatkozóan; (c) megbíz egy képzett, független külső felet, hogy végezzen az Ajánlott iparági eljárásoknak megfelelő behatolásvizsgálatot legalább évente, az automatikus és manuális tesztelést is beleértve; (d) automatikusan felügyeli a Szolgáltatások és Leszállítandó Anyagok egyes összetevőit, és rutinszerűen ellenőrzi a Szolgáltatások és Leszállítandó Anyagok minden összetevőjének, valamint az Kyndryl-technológia kezelésének biztonsági konfigurációs követelményeknek való megfelelését; valamint (e) a kapcsolódó kockázatok, sebezhetőség és a rendszerre gyakorolt hatás alapján javítja az azonosított biztonsági réseket és a biztonsági konfigurációs követelményeknek való meg nem felelést. A Beszállító vállalja, hogy észszerű lépéseket tesz annak érdekében, hogy a Szolgáltatások a tesztek, felmérések, vizsgálatok és javítási tevékenységek során se szüneteljenek. A Beszállító vállalja, hogy az Kyndryl kérésére írásos összefoglalót biztosít a legutóbbi behatolásvizsgálati tevékenységeiről, mely jelentés legalább a következőket tartalmazza: azon ajánlatok neve, amelyekre a vizsgálat kiterjedt, a vizsgálat hatókörébe eső rendszerek vagy alkalmazások száma, a vizsgálat dátuma, a vizsgálatban használt módszertan, valamint az eredmények általános összegzése.
5.2 A Beszállító fenntartja a Szolgáltatás vagy Leszállítandó Anyagok, illetve az Kyndryl-technológia kezelésének módosításával kapcsolatos veszélyek elhárítását célzó szabályokat és eljárásokat. Az érintett rendszerek, hálózatok és alapvető összetevők bármilyen módosítása előtt a Beszállító vállalja, hogy regisztrált módosítási kérésben dokumentálja a következőket: (a) a módosítás leírását és okát, (b) a megvalósítás részleteit és ütemezését, (c) egy kockázati nyilatkozatot, amely ismerteti a módosításnak a Szolgáltatásra, az Leszállítandó Anyagokra, a Szolgáltatás ügyfeleire vagy az Kyndryl Anyagokra gyakorolt hatását, (d) a várt végeredményt, (e) egy visszaállítási tervet és (f) a Beszállító egy erre jogosult munkavállalójának a jóváhagyását.
5.3 A Beszállító vállalja, hogy nyilvántartást vezet a Szolgáltatások üzemeltetése, az Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során használt IT-eszközök mindegyikéről. A Beszállító vállalja, hogy folyamatosan megfigyeli és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Anyagok, Kyndryl-technológiák és ezek alapvető összetevőinek állapotát és rendelkezésre állását.
5.4 A Beszállító vállalja, hogy a Szolgáltatások és Leszállítandó Anyagok fejlesztése vagy üzemeltetése, valamint az Kyndryl-technológia kezelése során használt rendszerek mindegyikét olyan, előre meghatározott rendszerbiztonsági lemezképekből vagy biztonsági alapokból hozza létre, amelyek megfelelnek az Ajánlott iparági eljárásoknak, például a Center for Internet Security (CIS) viszonyítási alapjainak.
5.5 A jelen Tranzakciós Dokumentum és az üzleti folytonosságra vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a dokumentált kockázatkezelési irányelvekben foglaltnak megfelelően külön értékeli az egyes Szolgáltatásokat, Leszállítandó Anyagokat és az Kyndryl-technológia kezeléséhez használt IT-rendszereket az üzleti és IT-folytonosságra és vészhelyreállításra vonatkozó követelmények tekintetében. A Beszállító vállalja, hogy minden Szolgáltatáshoz, Leszállítandó Anyaghoz és IT-rendszerhez, a kockázatértékelés által indokolt mértékben, külön meghatározott, dokumentált, alkalmazott és évente ellenőrzött, az Ajánlott iparági eljárásokkal összhangban álló üzleti és IT-folytonossági, illetve vészhelyreállítási terveket biztosít. A Beszállító vállalja, hogy az ilyen tervek kialakítása úgy történjen, hogy a tervek megfeleljenek az alábbi 5.6-os szakaszban meghatározott helyreállítási célidőtartamoknak.
5.6 Az Üzemeltetett Szolgáltatás vonatkozásában a helyreállításipont-célkitűzés („RPO”) és a helyreállítási célidőtartam („RTO”) a következők: 24 óra RPO és 24 óra RTO. A Beszállító ennek ellenére vállalja, hogy megfelel minden rövidebb időtartamú olyan RPO-nak vagy RTO-nak, amelyet az Kyndryl vállalt egy Ügyfél felé, amint az Kyndryl írásban értesíti a Beszállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (az e-mail írásos értesítésnek minősül). Mivel ez a Beszállító által az Kyndryl számára nyújtott egyéb Szolgáltatások mindegyikét érinti, a Beszállító vállalja, hogy olyan üzleti folytonossági és vészhelyreállítási terveket alakít ki az RPO és az RTO teljesítésére, amelyek lehetővé teszik a Beszállító számára, hogy teljes mértékben eleget tegyen az Kyndryl vállalattal szemben fennálló, a Tranzakciós Dokumentumban és a felek között kötött vonatkozó alapmegállapodásban, valamint ezen feltételekben ismertetett kötelezettségeinek, beleértve a tesztelés, támogatás és karbantartás időben történő biztosítására vonatkozó kötelezettségét is.
5.7 A Beszállító vállalja, hogy a Szolgáltatások, Leszállítandó Anyagok és a kapcsolódó rendszerek, hálózatok, alkalmazások és a Szolgáltatások és Leszállítandó Anyagok körébe tartozó alapvető összetevők, valamint az Kyndryl-technológia kezeléséhez használt hálózatok, alkalmazások, valamint az alapvető összetevők számára létrehozott biztonsági tanácsadási javítócsomagok értékelésére, tesztelésére és alkalmazására kialakított intézkedéseket fog alkalmazni. Amennyiben egy biztonsági tanácsadási javítócsomag alkalmazható és megfelelő, a Beszállító a dokumentált súlyossági és kockázati értékelésnek megfelelően fogja alkalmaznia azt. A biztonsági tanácsadási javítócsomagok Beszállító általi megvalósítására a Beszállító módosításkezelési szabályzata vonatkozik.
5.8 Ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító által az Kyndryl számára biztosított hardver vagy szoftver kártékony elemeket, például kémprogramokat, kártevőket vagy rosszindulatú kódot tartalmaz, akkor a Beszállító vállalja, hogy időben együttműködik az Kyndryl-mel az Kyndryl aggályainak kivizsgálása és orvoslása érdekében.
6. Szolgáltatásnyújtás
6.1 A Beszállító vállalja, hogy támogatja az iparágban általános módszernek számító összevont hitelesítést bármilyen Kyndryl felhasználói vagy Ügyfélfiók vonatkozásában, betartva az Ajánlott iparági eljárásokat az Kyndryl felhasználói vagy Ügyfélfiókok hitelesítése során (például az Kyndryl központilag felügyelt, többtényezős egyszeri bejelentkezése, az OpenID Connect vagy a Security Assertion Markup Language használatával). Alvállalkozók. A jelen Tranzakciós dokumentum és az alvállalkozók bevonására vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a Beszállító számára munkát teljesítő bármilyen alvállalkozó irányítási ellenőrzéseket vezet be a Beszállítóra vonatkozó jelen Feltételekben meghatározott követelményeknek és kötelezettségeknek való megfelelés érdekében.
7. Fizikai adathordozók. A Beszállító vállalja, hogy biztonságosan eltávolít mindent a fizikai adathordozókról azok újbóli felhasználása előtt, és az ismételten felhasználni nem kívánt fizikai adathordozókat megsemmisíti az adathordozók megtisztítására (sanitization) vonatkozó Ajánlott iparági eljárásoknak megfelelően.
8.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
-
Ha igen, akkor erre a hozzáférésre a VI. (Vállalati rendszerek hozzáférése), a VIII. (Technikai és szervezési intézkedések, általános biztonság) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.
Példák:
- A Beszállító fejlesztési feladatai szükségessé teszik, hogy hozzáférjen az Kyndryl Forráskódtáraihoz.
Megjegyzés:
Erre az esetre a II. (Technikai és szervezési intézkedések, adatbiztonság), a III. (Adatvédelem), a IV. (Technikai és szervezési intézkedések, kódbiztonság) és az V. (Biztonságos fejlesztés) cikkely is vonatkozhat, attól függően, hogy a Beszállító a Vállalati rendszereken belül mely Kyndryl Anyagokhoz rendelkezik hozzáférési engedéllyel.
VI. cikkely, Vállalati rendszerek elérése
Ez a cikkely abban az esetben érvényes, ha a Beszállító munkavállalói hozzáférést fognak kapni bármilyen Vállalati Rendszerhez.
1. Általános rendelkezések
1.1 Az Kyndryl meghatározza, hogy engedélyezi-e a Vállalati Rendszerekhez való hozzáférést a Beszállító munkavállalói számára. Ha az Kyndryl engedélyezi a hozzáférést, a Beszállító vállalja, hogy betartja a jelen cikkelyben foglaltakat, és a munkavállalóit is kötelezi ezek betartására.
1.2 Az Kyndryl megállapítja a Beszállító munkavállalói számára a Vállalati Rendszerekhez való hozzáférés módját, többek között azt, hogy a munkavállaló az Kyndryl vagy a Beszállító által biztosított Eszközökön keresztül férhet hozzá a Vállalati Rendszerekhez.
1.3 A Beszállító munkavállalói csak a Szolgáltatások biztosítása céljából férhetnek hozzá a Vállalati Rendszerekhez, és csak olyan Eszközök a használatával, amelyet az Kyndryl a hozzáféréshez engedélyez. A Beszállító munkavállalói nem használhatják az Kyndryl által ily módon engedélyezett Eszközöket más személy vagy entitás számára történő szolgáltatásnyújtáshoz, illetve bármilyen, a Beszállítóhoz vagy harmadik félhez tartozó IT-rendszerhez, hálózathoz, alkalmazáshoz, webhelyhez, levelezési eszközhöz, együttműködési eszközhöz vagy hasonlókhoz való hozzáférésre a Szolgáltatásokkal kapcsolatban.
1.4 Az egyértelműség kedvéért, a Beszállító munkavállalói nem használhatják az Kyndryl által a Vállalati Rendszerek eléréséhez jóváhagyott Eszközöket semmilyen személyes célra (azaz ezeken az Eszközökön a Beszállító alkalmazottai nem tárolhatnak személyes fájlokat, például zenét, videókat, képeket vagy egyéb hasonló elemeket, illetve nem használhatják rajtuk az Internetet személyes célokra).
1.5 A Beszállító munkavállalói vállalják, hogy az Kyndryl előzetes írásos engedélye nélkül nem másolnak a Vállalati Rendszereken elérhető Kyndryl Anyagokat (és soha nem másolhatnak Kyndryl Anyagokat hordozható tárolóeszközre, például USB-meghajtóra, külső merevlemezre vagy más hasonló eszközökre).
1.6 Kérésre, a Beszállító munkavállalói név szerinti megnevezésével igazolja az Kyndryl részére, hogy a munkavállalója melyik Vállalati Rendszerekhez férhet hozzá, illetve fért hozzá az Kyndryl által meghatározott időszakban.
1.7 A Beszállító vállalja, hogy huszonnégy (24) órán belül értesíti az Kyndryl-et, ha bármely, Vállalati Rendszerekhez való hozzáféréssel rendelkező munkavállalója már (a) nem a Beszállító alkalmazottja vagy (b) nem végez olyan tevékenységet, amelyhez ilyen hozzáférés szükséges. A Beszállító vállalja, hogy az Kyndryl-mel együttműködve biztosítja, hogy az ilyen korábbi vagy jelenlegi alkalmazottak hozzáférését azonnal visszavonják.
1.8 A Beszállító vállalja, hogy azonnal jelent minden tényleges vagy feltételezett biztonsági incidenst (mint például az Kyndryl vagy a Beszállító valamely Eszközének elvesztése, vagy jogosulatlan hozzáférés egy Eszközhöz, adatokhoz, anyagokhoz vagy egyéb információhoz) az Kyndryl felé, és az Kyndryl-mel együttműködve kivizsgálja ezeket az incidenseket.
1.9 A Beszállító az Kyndryl előzetes írásbeli hozzájárulása nélkül semmilyen képviselő, független szerződő fél vagy alvállalkozó munkavállalója számára nem engedélyezheti a hozzáférést a Vállalati Rendszerekhez; ha az Kyndryl biztosítja a hozzájárulást, a Beszállító köteles szerződésben kötelezni ezeket a személyeket és munkavállalóikat a jelen Cikkelyben foglaltak betartására, ugyanúgy, mintha a Beszállító saját alkalmazottai lennének, és felelősséget vállal az Kyndryl felé ezen személyek vagy munkáltatók a Vállalati Rendszerekhez való hozzáféréssel kapcsolatos tevékenységéért és mulasztásaiért.
2. Eszközök szoftverei
2.1 A Beszállító vállalja, hogy utasítja a munkavállalóit, hogy időben telepítsék az Kyndryl által előírt szoftvereket az Eszközökre, elősegítve a Vállalati Rendszerekhez való biztonságos hozzáférést. Sem a Beszállító, sem munkavállalói nem zavarhatják meg a szoftverek, illetve a szoftverek által biztosított biztonsági funkciók működését.
2.2 A Beszállító és munkavállalói vállalják, hogy betartják az Kyndryl által meghatározott eszközkonfigurációs szabályokat, és mindenben együttműködnek az Kyndryl vállalattal annak érdekében, hogy a szoftverek az Kyndryl szándéka szerint működjenek. A Beszállító vállalja például, hogy nem bírálja felül a szoftverek webhelyblokkolási és automatikus javítási funkcióit.
2.3 A Beszállító munkavállalói nem oszthatják meg semmilyen más személlyel a Vállalati Rendszerek elérésére használt eszközöket, illetve az Eszközük felhasználónevét, jelszavát vagy hasonló adatát.
2.4 Ha az Kyndryl engedélyezi a Beszállító munkavállalói számára a Vállalati Rendszerekhez való hozzáférést a Beszállító Eszközeit használva, a Beszállító vállalja, hogy az Eszközökön olyan operációs rendszert telepít és futtat, amelyet az Kyndryl jóváhagyott, valamint hogy az Kyndryl utasítását követően észszerű időn belül az adott operációs rendszer új változatára vagy új operációs rendszerre frissít.
3.Felügyelet és együttműködés
3.1 Az Kyndryl korlátlan jogokkal rendelkezik a lehetséges behatolások és más számítógépes biztonsági fenyegetések bármilyen módon, bármilyen helyről és bármilyen, az Kyndryl által szükségesnek vagy megfelelőnek tartott eszközökkel történő figyelésére és elhárítására, a Beszállító vagy a Beszállító bármelyik munkavállalójának vagy más személynek az előzetes értesítése nélkül. Az ilyen jogok alapján az Kyndryl például bármikor (a) biztonsági tesztet végezhet bármilyen Eszközön, (b) megfigyelheti, műszaki vagy más eszközökkel helyreállíthatja, illetve ellenőrizheti az Eszközökön tárolt vagy a Vállalati Rendszereken keresztül továbbított kommunikációs elemeket (beleértve a bármilyen e-mail-fiókból küldött e-maileket), rekordokat, fájlokat és egyéb elemeket, valamint (c) teljes, hiteles (forensic) másolatot készíthet bármelyik Eszközről. Ha az Kyndryl vállalatnak a Beszállító együttműködésére van szüksége a jogainak gyakorlásához, a Beszállító vállalja, hogy teljes mértékben és időben teljesíti az Kyndryl ilyen együttműködési kéréseit (beleértve például az Eszközök biztonságos konfigurálására, a megfigyelő vagy más szoftvereknek bármely Eszközön történő telepítésére, a rendszerszintű kapcsolatok adatainak megosztására, az esetleges incidensek ellen az Eszközökön tett intézkedésekben való részvételre, valamint a teljes, forensic másolat elkészítése érdekében az Eszközökhöz az Kyndryl számára szükséges fizikai hozzáférés biztosítására vonatkozó kéréseket, illetve a hasonló és kapcsolódó kéréseket).
3.2 Az Kyndryl bármikor visszavonhatja a Beszállító bármelyik vagy mindegyik munkavállalójának a Vállalati Rendszerekhez való hozzáférését a Beszállító vagy a Beszállító bármelyik munkavállalójának vagy más személynek az előzetes értesítése nélkül, ha az Kyndryl úgy véli, hogy ezt szükséges megtennie az Kyndryl védelme érdekében.
3.3 Az Kyndryl jogait semmilyen módon nem akadályozza, csökkenti vagy korlátozza a Tranzakciós Dokumentum, a felek között kötött kapcsolódó alap- vagy bármilyen más megállapodás egyik rendelkezése sem, beleértve azokat a rendelkezéseket is, amelyek megkövetelhetik az adatok, anyagok vagy bármilyen jellegű egyéb információk kizárólag egy adott helyen vagy helyeken történő tárolását, illetve amelyek előírhatják, hogy az adatokhoz, anyagokhoz vagy egyéb információkhoz kizárólag az adott helyen vagy helyeken tartózkodó személyek férhetnek hozzá.
4.Kyndryl-eszközök
4.1 Az Kyndryl megtartja az Kyndryl-eszközök mindegyikének tulajdonjogát, ugyanakkor a Beszállító viseli az Eszközök elvesztésének kockázatát, beleértve a lopást, rongálást vagy gondatlanságot. A Beszállító vállalja, hogy az Kyndryl előzetes írásbeli hozzájárulása nélkül nem alakítja át az Kyndryl-eszközöket, illetve nem engedélyezi azok átalakítását. Az átalakítás az Eszközök bármilyen jellegű módosítását jelenti, beleértve az Eszközök szoftvereinek, alkalmazásainak, biztonsági kialakításának, biztonsági konfigurációjának vagy fizikai, mechanikai vagy elektromos kialakításnak a módosítását is.
4.2 A Beszállító vállalja, hogy az Kyndryl-eszközök mindegyikét 5 munkanapon belül visszajuttatja azt követően, hogy az Eszközöknek a Szolgáltatások biztosításához való szükségessége megszűnik, és ha az Kyndryl kéri, az Eszközökön található összes adatot, anyagot és egyéb információt egyszerre megsemmisít, másolat megőrzése nélkül, amihez az Ajánlott iparági eljárásokat követi az összes ilyen adat, anyag és egyéb információ végleges törlése érdekében. A Beszállító vállalja, hogy becsomagolja és a saját költségén az Kyndryl által megnevezett helyre juttatja vissza az Kyndryl-eszközöket ugyanabban az állapotban, amilyen állapotban a Beszállító átvette őket, eltekintve a rendeltetésszerű használat során bekövetkező, észszerű mértékű elhasználódástól. A jelen 4.2-es szakaszban foglalt kötelezettségek teljesítésének elmulasztása a Tranzakciós Dokumentum, illetve a felek között kötött vonatkozó alap-, illetve más, kapcsolódó megállapodás súlyos megszegésének minősül. Egy megállapodás akkor tekinthető „kapcsolódó” megállapodásnak, ha a Vállalati Rendszerekhez való hozzáférés elősegíti a Beszállítónak az adott megállapodás értelmében fennálló feladatainak vagy egyéb tevékenységeinek a végrehajtását.
4.3 Az Kyndryl vállalja, hogy támogatást biztosít az Kyndryl-eszközökhöz (beleértve az Eszközök vizsgálatát, illetve megelőző és javító jellegű karbantartását is). A Beszállító vállalja, hogy azonnal értesíti az Kyndryl vállalatot a javító szolgáltatás szükségességéről.
4.4 Azon szoftverprogramok tekintetében, amelyek az Kyndryl tulajdonában állnak, vagy amelyek licencelésére az Kyndryl jogosult, az Kyndryl ideiglenes jogot biztosít a Beszállítónak elegendő másolat használatára, tárolására és készítésére az Kyndryl-eszközök engedélyezett használatának a támogatásához. A Beszállító nem továbbíthatja a programokat senki másnak, nem készíthet másolatot a szoftverlicenc adatairól, illetve nem bonthatja szét, nem fejtheti vissza és nem fordíthatja le más módon a programokat, kivéve, ha azt az alkalmazandó jog kifejezetten megengedi a szerződéses joglemondás lehetősége nélkül.
5. Frissítések
5.1 Tekintet nélkül a Tranzakciós Dokumentumban vagy a felek között kötött kapcsolódó alapmegállapodásban foglaltakra, a Beszállítót írásban értesítve, és a hozzájárulásának megszerzése nélkül az Kyndryl frissítheti, kiegészítheti vagy más módon módosíthatja a jelen Cikkelyt az alkalmazandó jogban vagy az Ügyfél kötelezettségeiben foglalt követelményeknek megfelelően, a biztonsággal kapcsolatos ajánlott eljárások alkalmazása céljából, vagy az Kyndryl által szükségesnek vélt más módon a Vállalati Rendszerek vagy az Kyndryl védelme érdekében.
VIII. cikkely – Technikai és Szervezési Intézkedések, Általános biztonság
A jelen Cikkely arra az esetre vonatkozik, ha a Beszállító valamilyen Szolgáltatást vagy Szállítandót biztosít az Kyndryl számára, kivéve, ha a Beszállító csak az Kyndryl BCI-hez fér hozzá az adott Szolgáltatások és Szállítandók nyújtásához (vagyis a Beszállító nem dolgoz fel semmilyen más Kyndryl-adatot, illetve nem rendelkezik hozzáféréssel bármilyen más Kyndryl Anyaghoz vagy Vállalati Rendszerhez), ha a Beszállító Szolgáltatásai és Leszállítandó Anyagai kizárólag a Helyszíni Szoftver Kyndryl részére történő rendelkezésre bocsátását tartalmazzák, illetve ha a Beszállító a Szolgáltatásainak és Leszállítandóinak mindegyikét a VII. cikkelynek, valamint a cikkely 1.7-es szakaszának megfelelő munkaerő-kiegészítési modell keretében biztosítja.
A Beszállító vállalja, hogy megfelel a jelen Cikkely követelményeinek, és ezzel megvédi (a) az Kyndryl Anyagokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlen vagy jogosulatlan közléssel, véletlen vagy jogosulatlan hozzáféréssel, (b) az Kyndryl-adatokat a Feldolgozás törvénytelen formáival, valamint (c) az Kyndryl-technológiát a Kezelés törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Biztonsági irányelvek
1.1 A Beszállító vállalja, hogy a Beszállító üzleti tevékenységének szerves részét képező, és a Beszállító minden Munkavállalójára kötelező érvényű informatikai biztonsági szabályzatokat és gyakorlatokat alkalmaz és követ az Ajánlott iparági eljárásokkal összhangban.
1.2 A Beszállító vállalja, hogy legalább évente egyszer felülvizsgálja az informatikai biztonsági szabályzatait és gyakorlatait, és szükség esetén saját megítélése szerint módosítja őket az Kyndryl Anyagok védelme érdekében.
1.3 A Beszállító vállalja, hogy szabványos és kötelező munkavállaló-ellenőrzési követelményeket alkalmaz és követ minden új munkavállaló-felvétel esetén, és a követelményeket kiterjeszti a Beszállító minden Munkavállalójára és teljes tulajdonában álló leányvállalatára. Ezek a követelmények magukban foglalják a helyi jogszabályok által megengedett mértékig terjedő bűnügyi háttérellenőrzést, a személyazonosságot igazoló okmányok ellenőrzését és minden további olyan ellenőrzést, amelyet a Beszállító szükségesnek ítél. A Beszállító vállalja, hogy időszakosan megismétli és újraértékeli ezeket a követelményeket, amikor azt szükségesnek ítéli.
1.4 A Beszállító vállalja, hogy évente biztonsági és adatvédelmi oktatásban részesíti a munkavállalóit, és minden ilyen munkavállalótól megköveteli, hogy évente tanúsítsák a Beszállító etikus üzleti magatartása, bizalmas kezelési és biztonsági szabályzatainak való megfelelést a Beszállító magatartási kódexében vagy hasonló dokumentumaiban meghatározott módon. A Beszállító vállalja, hogy további, a szabályzatokkal és folyamatokkal kapcsolatos képzéseket nyújt azon személyek számára, akik adminisztratív hozzáféréssel rendelkeznek a Szolgáltatások, a Leszállítandó Anyagok vagy az Kyndryl Anyagok valamelyik összetevőjéhez, mely képzés a személyek szerepköréhez és a Szolgáltatások, Leszállítandó Anyagok és Kyndryl Anyagok támogatásához kapcsolódik, illetve a kötelező megfelelés és tanúsítások fenntartásához szükséges.
1.5 A Beszállító vállalja, hogy biztonsági és adatvédelmi intézkedéseket alakít ki az Kyndryl Anyagok elérhetőségének védelméhez és megőrzéséhez, többek között a Szolgáltatásokkal és Leszállítandókkal, illetve az Kyndryl-technológia minden Kezelésével összefüggésben a beépített biztonságot és adatvédelmet, biztonságos fejlesztést, valamint a biztonságos működést megkövetelő szabályzatok és eljárások megvalósításával, fenntartásával és a nekik való megfeleléssel.
2. Biztonsági incidensek
2.1 A Beszállító vállalja, hogy az Ajánlott iparági eljárásoknak megfelelő, a dokumentált incidens kezelési szabályzatokat alkalmaz és követ.
2.2 A Beszállító vállalja, hogy kivizsgálja az Kyndryl Anyagokhoz való jogosulatlan hozzáféréseket és az Kyndryl Anyagok jogosulatlan használatát, valamint megfelelő válaszadási tervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.
2.4 A Beszállító vállalja, hogy észszerű segítséget nyújt az Kyndryl számára az Kyndryl vállalat, az Kyndryl leányvállalatai és az Ügyfelek (valamint ügyfeleik és leányvállalataik) a Biztonsági incidenssel összefüggésben fennálló jogi kötelezettségeinek (beleértve a szabályozó hatóságok és Érintettek értesítésére vonatkozó kötelezettségeket) teljesítésében.
2.5 A Beszállító vállalja, hogy nem tájékoztat vagy értesít harmadik felet arról, ha egy Biztonság Incidens közvetlenül vagy közvetve az Kyndryl-hez vagy Kyndryl Anyagokhoz kapcsolódik, kivéve, ha az Kyndryl ezt írásban jóváhagyta, vagy ha azt jogszabály írja elő. A Beszállító vállalja, hogy a harmadik feleknek szóló, jogszabályban előírt értesítés elküldését megelőzően írásban értesíti az Kyndryl vállalatot, amennyiben az adott értesítés közvetve vagy közvetlenül felfedné az Kyndryl kilétét.
2.6 A jelen Feltételekben foglalt kötelezettségeknek a Beszállító általi megsértéséből fakadó Biztonsági incidens esetén:
(a) Beszállító felel minden saját költségért, illetve az Kyndryl-nél felmerülő tényleges költségért, amely a Biztonsági incidensről szóló értesítés a vonatkozó szabályozó hatóságok, egyéb kormányzati vagy érintett iparági önszabályozó testületek, a média (ha az alkalmazandó jog ezt előírja), az Érintettek, az Ügyfelek és más személyek értesítésével kapcsolatos,
(b) az Kyndryl kérésére a Beszállító saját költségén felállít és az Adatvédelmi Incidensről szóló értesítés kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) fenntart egy telefonos ügyfélszolgálatot, hogy megválaszolja az érintett személyek kérdéseit az Adatvédelmi Incidensről és annak következményeiről. Az Kyndryl és a Beszállító együtt dolgozza ki az ügyfélszolgálati munkatársak által a kérdések megválaszolása során alkalmazandó szövegeket és egyéb anyagokat. Alternatív megoldásként, a Beszállítónak küldött írásbeli értesítéssel a Beszállító által létrehozott telefonos ügyfélszolgálat helyett az Kyndryl is létrehozhatja és fenntarthatja saját telefonos ügyfélszolgálatát, amely esetben a telefonos ügyfélszolgálat létrehozása és működtetése során keletkező, az Kyndryl-et terhelő költségeket a Beszállító az Kyndryl számára megtéríti, továbbá
(c) a Beszállító az Biztonsági Incidensről szóló értesítés az incidens által érintett személyeknek (akik a hitelesség követési és helyreállítási szolgáltatásra (credit monitoring and credit restoration)történő regisztráció mellett döntöttek) történő kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) megtéríti az Kyndryl számára az Kyndryl által fenntartott credit monitoring and credit restoration szolgáltatások tényleges költségeit.
3. Fizikai biztonság és Belépés-ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
3.1 A Beszállító vállalja, hogy megfelelő fizikai belépés-ellenőrzési intézkedéseket (például korlátok, kártyás beléptető pontok, biztonsági kamerák és recepciós pultok) alkalmaz annak érdekében, hogy megvédje a Létesítményeket a jogosulatlan belépéssel szemben.
3.2 A Beszállító vállalja, hogy a Létesítményeibe és azok ellenőrzött területeire való belépéshez, az ideiglenes belépést is beleértve, jóváhagyást követel meg, és a belépést munkaszerep és üzleti ok szerint korlátozza. Ha a Beszállító ideiglenes belépést biztosít, egy felhatalmazott munkavállalója kíséri az ideiglenes belépésre jogosult látogatót a Létesítményben és az ellenőrzött területeken való tartózkodása során.
3.3 A Beszállító vállalja, hogy olyan fizikai belépés-ellenőrzési eszközöket valósít meg, beleértve a többtényezős belépés-ellenőrzést is, amelyek összhangban állnak az Ajánlott iparági eljárásokkal, megfelelő módon korlátozzák a belépést az ellenőrzött területekre a Létesítményekbe, naplóznak minden belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzik.
3.4 A Beszállító vállalja, hogy visszavonja a Létesítményekhez és a Létesítményekben található ellenőrzött területekhez való hozzáférést, amennyiben (a) a Beszállító hozzáférésre jogosult munkavállalója távozik a vállalattól, vagy (b) a Beszállító jogosult munkavállalójának már nincs szüksége üzleti okokból a hozzáférésre. A Beszállító a munkavállalók távozásakor hivatalos, dokumentált folyamat szerint jár el, amely magában foglalja a hozzáférés-ellenőrzési listáról való azonnali eltávolítást és a fizikai hozzáférési jelvények leadását.
3.5 A Beszállító vállalja, hogy óvintézkedéseket tesz a Szolgáltatások és Leszállítandó Anyagok támogatásához, valamint az Kyndryl-technológia kezeléséhez használt fizikai infrastruktúra környezeti fenyegetésekkel szemben való védelme érdekében. Ide tartoznak a természetes és ember okozta veszélyek is, például a szélsőséges környezeti hőmérséklet, a tűzeset, az áradás, a magas páratartalom, a lopás és a rongálás is.
4. Hozzáférés, beavatkozás, továbbítás és szétválasztás szabályozás
4.1 A Beszállító a Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során a Szolgáltatások működtetése során kezelt hálózatokra dokumentált biztonsági architektúrát alkalmazza. A Beszállító vállalja, hogy miden ilyen hálózati architektúrát külön vizsgálatnak vet alá, és intézkedések foganatosításával gátolja meg a rendszerekkel, alkalmazásokkal és hálózati eszközökkel létesíteni kívánt jogosulatlan hálózati kapcsolatokat, a biztonságos szegmentálási, elkülönítési és a mélységi védelmi szabványoknak való megfelelés érdekében. A Beszállító nem használhat vezeték nélküli technológiát bármilyen Üzemeltetett Szolgáltatás biztosítása vagy üzemeltetése során. A Beszállító használhat vezeték nélküli technológiát a Szolgáltatások teljesítésekor, a Leszállítandók leszállításakor és az Kyndryl-technológia kezelése során, azonban vállalja, hogy minden vezeték nélküli hálózatot titkosít, és biztonságos hitelesítést követel meg velük kapcsolatban.
4.2 A Beszállító olyan intézkedéseket alkalmaz, amelyek célja az Kyndryl Anyagok logikai módon történő elkülönítése, valamint annak megakadályozása, hogy az adatok jogosulatlan személyek tudomására jussanak, illetve hogy az adatokhoz jogosulatlan személyek férjenek hozzá. A Beszállító továbbá vállalja, hogy megfelelő módon elkülöníti a produktív, nem produktív és egyéb környezeteit, és ha bármilyen Kyndryl Anyagot nem produktív környezetbe továbbítottak, vagy már eleve ott volt (például egy hiba ismételt előidézése érdekében), a Beszállító vállalja, hogy a produktív környezetben használt biztonsági és adatvédelmi eszközökkel egyenértékű biztonságról és adatvédelemről gondoskodik a nem produktív környezetben is.
4.3 A Beszállító vállalja, hogy az átvitel vagy tárolás során az Kyndryl Anyagokat titkosítja (kivéve, ha a Beszállító az Kyndryl számára észszerűen kielégítő módon bizonyítja, hogy az Kyndryl Anyagok tárolás közbeni titkosítása műszakilag nem valósítható meg). A Beszállító vállalja, hogy minden fizikai adathordozót is titkosít, ha van, ilyenek például a biztonsági másolatok fájljait tartalmazó adathordozók. A Beszállító vállalja, hogy dokumentált eljárásokat alkalmaz a kulcsok adattitkosításhoz kapcsolódó biztonságos létrehozására, kiadására, elosztására, tárolására, rotálására, visszavonására, visszaállítására, biztonsági mentésére, megsemmisítésére, elérésére és használatára vonatkozóan. A Beszállító vállalja, hogy a titkosításhoz használt titkosítási módszerek összhangban vannak az Legjobb Iparági Gyakorlattal, amilyen például az NIST SP 800-131a.
4.4 Ha a Beszállító Kyndryl Anyagokhoz kér hozzáférést, a Beszállító vállalja, hogy az ilyen hozzáférést a Szolgáltatások és Leszállítandó Anyagok biztosításához és támogatásához szükséges lehető legalacsonyabb szintű hozzáférésre fogja korlátozni. A Beszállító vállalja, hogy az ilyen hozzáférés, beleértve a bármely alapvető összetevőhöz való rendszergazdai hozzáférést (emelt szintű (privilegizált) hozzáférés), egyéni és szerepköralapú módon, továbbá a felelősség-szétválasztási alapelveknek megfelelően, a Beszállító felhatalmazott munkavállalóinak a jóváhagyása és rendszeres ellenőrzése mellett történik. A Beszállító fenntartja a redundáns és nem használt fiókok azonosítását és eltávolítását célzó intézkedéseket. A Beszállító vállalja, hogy az emelt szintű (privilegizált) hozzáféréssel rendelkező fiókokat legfeljebb huszonnégy (24) órával azután visszavonja, hogy a fiók tulajdonosa távozik a vállalattól, vagy ha azt az Kyndryl vagy a Beszállító jogosult munkavállalói, például a fiók tulajdonosának a vezetője kérelmezi.
4.5 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy műszaki intézkedéseket alkalmaz az inaktív munkamenetek megszüntetésének, a többszöri egymást követő sikertelen bejelentkezési kísérletet követően a fiókok zárolásának, továbbá az erős jelszón vagy jelmondaton alapuló hitelesítésnek a kikényszerítésére, valamint intézkedéseket foganatosít a jelszavak és jelmondatok biztonságos továbbításának és tárolásának megkövetelésére. A Beszállító emellett vállalja, hogy többtényezős hitelesítést használ az Kyndryl Anyagokhoz történő nem konzolalapú, emelt szintű hozzáférés esetén.
4.6 A Beszállító vállalja, hogy figyeli az emelt szintű (privilegizált) hozzáférés használatát, továbbá biztonsági célú, információ- és eseménykezelési intézkedéseket alkalmaz a (a) jogosulatlan hozzáférés és tevékenység azonosítása, (b) az ilyen hozzáférésre és tevékenységre időben és megfelelő módon adott válasz elősegítése, valamint (c) a dokumentált Beszállítói szabályzatnak megfelelő auditoknak a Beszállító, az Kyndryl (a jelen Feltételekben foglalt ellenőrzési jogai, illetve a Tranzakciós Dokumentumban vagy a felek között kötött vonatkozó alap- vagy bármilyen egyéb kapcsolódó megállapodásban foglalt auditálási jogai alapján) és mások általi elvégzésének lehetővé tétele érdekében.
4.7 A Beszállító vállalja, hogy megőrzi azokat a naplókat, amelyekben rögzíti – a rekordmegőrzési szabályzatának megfelelően – a Szolgáltatások vagy Leszállítandók nyújtásához, átadásához vagy az Kyndryl-technológia kezeléséhez használt rendszerekhez való vagy azokkal összefüggésben álló rendszergazdai, felhasználói és egyéb hozzáférések vagy tevékenységek mindegyikét. (és kérésre átadja ezeket a naplókat az Kyndryl-nek). A Beszállító vállalja, hogy védelmi intézkedéseket alkalmaz az ilyen naplókhoz való jogosulatlan hozzáféréssel, valamint a naplók módosításával és véletlenszerű vagy szándékos megsemmisítésével szemben.
4.8 A Beszállító vállalja, hogy számítástechnikai védelmet alkalmaz a tulajdonában lévő vagy általa üzemeltetett rendszerekre, beleértve a végfelhasználói rendszereket és a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához, illetve az Kyndryl-technológia kezeléséhez használt rendszereket, és az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljes lemeztitkosítás, aláírás-alapú és nem aláírás-alapú végpontészlelés, válaszlépésekre szolgáló technológiák a kártevők és a fejlett, állandó fenyegetések kezelésére, időalapú képernyőzárolások, valamint a biztonsági konfigurációs és javítási követelményeket kikényszerítő végponti felügyeleti megoldások. A Beszállító emellett vállalja, hogy olyan műszaki és üzemeltetési ellenőrző eszközöket alkalmaz, amelyek biztosítják, hogy kizárólag az ismert és megbízható végfelhasználói rendszerek legyenek jogosultak a Beszállító hálózatainak a használatára.
4.9 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy védelmi eszközöket alkalmaz azon adatközponti környezetek esetén, amelyekben Kyndryl Anyagok találhatók, vagy amelyekben Kyndryl Anyagok feldolgozása történik, és az ilyen védelem a következőket foglalja magában: behatolás észlelése és megakadályozása, szolgáltatásmegtagadási támadásokkal szembeni ellenintézkedések és a támadások súlyosságának enyhítése.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Beszállító vállalja, hogy (a) legalább évente felméri a biztonsági és adatvédelmi kockázatokat; (b) biztonsági vizsgálatot végez és felméri a biztonsági réseket, beleértve egy automatikus rendszer- és alkalmazásbiztonsági vizsgálatot és egy manuális, etikus számítástechnikai betörést a produktív célra történő rendelkezésre bocsátást megelőzően, és ezt követően évente a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozóan, valamint évente az Kyndryl-technológia kezelésére vonatkozóan; (c) megbíz egy képzett, független külső felet, hogy végezzen az Ajánlott iparági eljárásoknak megfelelő behatolásvizsgálatot legalább évente, az automatikus és manuális tesztelést is beleértve; (d) automatikusan felügyeli a Szolgáltatások és Leszállítandó Anyagok egyes összetevőit, és rutinszerűen ellenőrzi a Szolgáltatások és Leszállítandó Anyagok minden összetevőjének, valamint az Kyndryl-technológia kezelésének biztonsági konfigurációs követelményeknek való megfelelését; valamint (e) a kapcsolódó kockázatok, sebezhetőség és a rendszerre gyakorolt hatás alapján javítja az azonosított biztonsági réseket és a biztonsági konfigurációs követelményeknek való meg nem felelést. A Beszállító vállalja, hogy észszerű lépéseket tesz annak érdekében, hogy a Szolgáltatások a tesztek, felmérések, vizsgálatok és javítási tevékenységek során se szüneteljenek. A Beszállító vállalja, hogy az Kyndryl kérésére írásos összefoglalót biztosít a legutóbbi behatolásvizsgálati tevékenységeiről, mely jelentés legalább a következőket tartalmazza: azon ajánlatok neve, amelyekre a vizsgálat kiterjedt, a vizsgálat hatókörébe eső rendszerek vagy alkalmazások száma, a vizsgálat dátuma, a vizsgálatban használt módszertan, valamint az eredmények általános összegzése.
5.2 A Beszállító fenntartja a Szolgáltatás vagy Leszállítandó Anyagok, illetve az Kyndryl-technológia kezelésének módosításával kapcsolatos veszélyek elhárítását célzó szabályokat és eljárásokat. Az érintett rendszerek, hálózatok és alapvető összetevők bármilyen módosítása előtt a Beszállító vállalja, hogy regisztrált módosítási kérésben dokumentálja a következőket: (a) a módosítás leírását és okát, (b) a megvalósítás részleteit és ütemezését, (c) egy kockázati nyilatkozatot, amely ismerteti a módosításnak a Szolgáltatásra, az Leszállítandó Anyagokra, a Szolgáltatás ügyfeleire vagy az Kyndryl Anyagokra gyakorolt hatását, (d) a várt végeredményt, (e) egy visszaállítási tervet és (f) a Beszállító egy erre jogosult munkavállalójának a jóváhagyását.
5.3 A Beszállító vállalja, hogy nyilvántartást vezet a Szolgáltatások üzemeltetése, az Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során használt IT-eszközök mindegyikéről. A Beszállító vállalja, hogy folyamatosan megfigyeli és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Anyagok, Kyndryl-technológiák és ezek alapvető összetevőinek állapotát és rendelkezésre állását.
5.4 A Beszállító vállalja, hogy a Szolgáltatások és Leszállítandó Anyagok fejlesztése vagy üzemeltetése, valamint az Kyndryl-technológia kezelése során használt rendszerek mindegyikét olyan, előre meghatározott rendszerbiztonsági lemezképekből vagy biztonsági alapokból hozza létre, amelyek megfelelnek az Ajánlott iparági eljárásoknak, például a Center for Internet Security (CIS) viszonyítási alapjainak.
5.5 A jelen Tranzakciós Dokumentum és az üzleti folytonosságra vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a dokumentált kockázatkezelési irányelvekben foglaltnak megfelelően külön értékeli az egyes Szolgáltatásokat, Leszállítandó Anyagokat és az Kyndryl-technológia kezeléséhez használt IT-rendszereket az üzleti és IT-folytonosságra és vészhelyreállításra vonatkozó követelmények tekintetében. A Beszállító vállalja, hogy minden Szolgáltatáshoz, Leszállítandó Anyaghoz és IT-rendszerhez, a kockázatértékelés által indokolt mértékben, külön meghatározott, dokumentált, alkalmazott és évente ellenőrzött, az Ajánlott iparági eljárásokkal összhangban álló üzleti és IT-folytonossági, illetve vészhelyreállítási terveket biztosít. A Beszállító vállalja, hogy az ilyen tervek kialakítása úgy történjen, hogy a tervek megfeleljenek az alábbi 5.6-os szakaszban meghatározott helyreállítási célidőtartamoknak.
5.6 Az Üzemeltetett Szolgáltatás vonatkozásában a helyreállításipont-célkitűzés („RPO”) és a helyreállítási célidőtartam („RTO”) a következők: 24 óra RPO és 24 óra RTO. A Beszállító ennek ellenére vállalja, hogy megfelel minden rövidebb időtartamú olyan RPO-nak vagy RTO-nak, amelyet az Kyndryl vállalt egy Ügyfél felé, amint az Kyndryl írásban értesíti a Beszállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (az e-mail írásos értesítésnek minősül). Mivel ez a Beszállító által az Kyndryl számára nyújtott egyéb Szolgáltatások mindegyikét érinti, a Beszállító vállalja, hogy olyan üzleti folytonossági és vészhelyreállítási terveket alakít ki az RPO és az RTO teljesítésére, amelyek lehetővé teszik a Beszállító számára, hogy teljes mértékben eleget tegyen az Kyndryl vállalattal szemben fennálló, a Tranzakciós Dokumentumban és a felek között kötött vonatkozó alapmegállapodásban, valamint ezen feltételekben ismertetett kötelezettségeinek, beleértve a tesztelés, támogatás és karbantartás időben történő biztosítására vonatkozó kötelezettségét is.
5.7 A Beszállító vállalja, hogy a Szolgáltatások, Leszállítandó Anyagok és a kapcsolódó rendszerek, hálózatok, alkalmazások és a Szolgáltatások és Leszállítandó Anyagok körébe tartozó alapvető összetevők, valamint az Kyndryl-technológia kezeléséhez használt hálózatok, alkalmazások, valamint az alapvető összetevők számára létrehozott biztonsági tanácsadási javítócsomagok értékelésére, tesztelésére és alkalmazására kialakított intézkedéseket fog alkalmazni. Amennyiben egy biztonsági tanácsadási javítócsomag alkalmazható és megfelelő, a Beszállító a dokumentált súlyossági és kockázati értékelésnek megfelelően fogja alkalmaznia azt. A biztonsági tanácsadási javítócsomagok Beszállító általi megvalósítására a Beszállító módosításkezelési szabályzata vonatkozik.
5.8 Ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító által az Kyndryl számára biztosított hardver vagy szoftver kártékony elemeket, például kémprogramokat, kártevőket vagy rosszindulatú kódot tartalmaz, akkor a Beszállító vállalja, hogy időben együttműködik az Kyndryl-mel az Kyndryl aggályainak kivizsgálása és orvoslása érdekében.
6. Szolgáltatásnyújtás
6.1 A Beszállító vállalja, hogy támogatja az iparágban általános módszernek számító összevont hitelesítést bármilyen Kyndryl felhasználói vagy Ügyfélfiók vonatkozásában, betartva az Ajánlott iparági eljárásokat az Kyndryl felhasználói vagy Ügyfélfiókok hitelesítése során (például az Kyndryl központilag felügyelt, többtényezős egyszeri bejelentkezése, az OpenID Connect vagy a Security Assertion Markup Language használatával). Alvállalkozók. A jelen Tranzakciós dokumentum és az alvállalkozók bevonására vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a Beszállító számára munkát teljesítő bármilyen alvállalkozó irányítási ellenőrzéseket vezet be a Beszállítóra vonatkozó jelen Feltételekben meghatározott követelményeknek és kötelezettségeknek való megfelelés érdekében.
7. Fizikai adathordozók. A Beszállító vállalja, hogy biztonságosan eltávolít mindent a fizikai adathordozókról azok újbóli felhasználása előtt, és az ismételten felhasználni nem kívánt fizikai adathordozókat megsemmisíti az adathordozók megtisztítására (sanitization) vonatkozó Ajánlott iparági eljárásoknak megfelelően.
8.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
-
Ha igen, akkor erre az esetre a VI. (Vállalati rendszerek hozzáférés), a VII. (Munkaerő-kiegészítés) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.
Megjegyzés:
Erre az esetre a II. (Technikai és szervezési intézkedések, adatbiztonság), a III. (Adatvédelem), a IV. (Technikai és szervezési intézkedések, kódbiztonság) és az V. (Biztonságos fejlesztés) cikkely is vonatkozhat, attól függően, hogy a Beszállító a Vállalati rendszereken belül mely Kyndryl Anyagokhoz rendelkezik hozzáférési engedéllyel.
VI. cikkely, Vállalati rendszerek elérése
Ez a cikkely abban az esetben érvényes, ha a Beszállító munkavállalói hozzáférést fognak kapni bármilyen Vállalati Rendszerhez.
1. Általános rendelkezések
1.1 Az Kyndryl meghatározza, hogy engedélyezi-e a Vállalati Rendszerekhez való hozzáférést a Beszállító munkavállalói számára. Ha az Kyndryl engedélyezi a hozzáférést, a Beszállító vállalja, hogy betartja a jelen cikkelyben foglaltakat, és a munkavállalóit is kötelezi ezek betartására.
1.2 Az Kyndryl megállapítja a Beszállító munkavállalói számára a Vállalati Rendszerekhez való hozzáférés módját, többek között azt, hogy a munkavállaló az Kyndryl vagy a Beszállító által biztosított Eszközökön keresztül férhet hozzá a Vállalati Rendszerekhez.
1.3 A Beszállító munkavállalói csak a Szolgáltatások biztosítása céljából férhetnek hozzá a Vállalati Rendszerekhez, és csak olyan Eszközök a használatával, amelyet az Kyndryl a hozzáféréshez engedélyez. A Beszállító munkavállalói nem használhatják az Kyndryl által ily módon engedélyezett Eszközöket más személy vagy entitás számára történő szolgáltatásnyújtáshoz, illetve bármilyen, a Beszállítóhoz vagy harmadik félhez tartozó IT-rendszerhez, hálózathoz, alkalmazáshoz, webhelyhez, levelezési eszközhöz, együttműködési eszközhöz vagy hasonlókhoz való hozzáférésre a Szolgáltatásokkal kapcsolatban.
1.4 Az egyértelműség kedvéért, a Beszállító munkavállalói nem használhatják az Kyndryl által a Vállalati Rendszerek eléréséhez jóváhagyott Eszközöket semmilyen személyes célra (azaz ezeken az Eszközökön a Beszállító alkalmazottai nem tárolhatnak személyes fájlokat, például zenét, videókat, képeket vagy egyéb hasonló elemeket, illetve nem használhatják rajtuk az Internetet személyes célokra).
1.5 A Beszállító munkavállalói vállalják, hogy az Kyndryl előzetes írásos engedélye nélkül nem másolnak a Vállalati Rendszereken elérhető Kyndryl Anyagokat (és soha nem másolhatnak Kyndryl Anyagokat hordozható tárolóeszközre, például USB-meghajtóra, külső merevlemezre vagy más hasonló eszközökre).
1.6 Kérésre, a Beszállító munkavállalói név szerinti megnevezésével igazolja az Kyndryl részére, hogy a munkavállalója melyik Vállalati Rendszerekhez férhet hozzá, illetve fért hozzá az Kyndryl által meghatározott időszakban.
1.7 A Beszállító vállalja, hogy huszonnégy (24) órán belül értesíti az Kyndryl-et, ha bármely, Vállalati Rendszerekhez való hozzáféréssel rendelkező munkavállalója már (a) nem a Beszállító alkalmazottja vagy (b) nem végez olyan tevékenységet, amelyhez ilyen hozzáférés szükséges. A Beszállító vállalja, hogy az Kyndryl-mel együttműködve biztosítja, hogy az ilyen korábbi vagy jelenlegi alkalmazottak hozzáférését azonnal visszavonják.
1.8 A Beszállító vállalja, hogy azonnal jelent minden tényleges vagy feltételezett biztonsági incidenst (mint például az Kyndryl vagy a Beszállító valamely Eszközének elvesztése, vagy jogosulatlan hozzáférés egy Eszközhöz, adatokhoz, anyagokhoz vagy egyéb információhoz) az Kyndryl felé, és az Kyndryl-mel együttműködve kivizsgálja ezeket az incidenseket.
1.9 A Beszállító az Kyndryl előzetes írásbeli hozzájárulása nélkül semmilyen képviselő, független szerződő fél vagy alvállalkozó munkavállalója számára nem engedélyezheti a hozzáférést a Vállalati Rendszerekhez; ha az Kyndryl biztosítja a hozzájárulást, a Beszállító köteles szerződésben kötelezni ezeket a személyeket és munkavállalóikat a jelen Cikkelyben foglaltak betartására, ugyanúgy, mintha a Beszállító saját alkalmazottai lennének, és felelősséget vállal az Kyndryl felé ezen személyek vagy munkáltatók a Vállalati Rendszerekhez való hozzáféréssel kapcsolatos tevékenységéért és mulasztásaiért.
2. Eszközök szoftverei
2.1 A Beszállító vállalja, hogy utasítja a munkavállalóit, hogy időben telepítsék az Kyndryl által előírt szoftvereket az Eszközökre, elősegítve a Vállalati Rendszerekhez való biztonságos hozzáférést. Sem a Beszállító, sem munkavállalói nem zavarhatják meg a szoftverek, illetve a szoftverek által biztosított biztonsági funkciók működését.
2.2 A Beszállító és munkavállalói vállalják, hogy betartják az Kyndryl által meghatározott eszközkonfigurációs szabályokat, és mindenben együttműködnek az Kyndryl vállalattal annak érdekében, hogy a szoftverek az Kyndryl szándéka szerint működjenek. A Beszállító vállalja például, hogy nem bírálja felül a szoftverek webhelyblokkolási és automatikus javítási funkcióit.
2.3 A Beszállító munkavállalói nem oszthatják meg semmilyen más személlyel a Vállalati Rendszerek elérésére használt eszközöket, illetve az Eszközük felhasználónevét, jelszavát vagy hasonló adatát.
2.4 Ha az Kyndryl engedélyezi a Beszállító munkavállalói számára a Vállalati Rendszerekhez való hozzáférést a Beszállító Eszközeit használva, a Beszállító vállalja, hogy az Eszközökön olyan operációs rendszert telepít és futtat, amelyet az Kyndryl jóváhagyott, valamint hogy az Kyndryl utasítását követően észszerű időn belül az adott operációs rendszer új változatára vagy új operációs rendszerre frissít.
3.Felügyelet és együttműködés
3.1 Az Kyndryl korlátlan jogokkal rendelkezik a lehetséges behatolások és más számítógépes biztonsági fenyegetések bármilyen módon, bármilyen helyről és bármilyen, az Kyndryl által szükségesnek vagy megfelelőnek tartott eszközökkel történő figyelésére és elhárítására, a Beszállító vagy a Beszállító bármelyik munkavállalójának vagy más személynek az előzetes értesítése nélkül. Az ilyen jogok alapján az Kyndryl például bármikor (a) biztonsági tesztet végezhet bármilyen Eszközön, (b) megfigyelheti, műszaki vagy más eszközökkel helyreállíthatja, illetve ellenőrizheti az Eszközökön tárolt vagy a Vállalati Rendszereken keresztül továbbított kommunikációs elemeket (beleértve a bármilyen e-mail-fiókból küldött e-maileket), rekordokat, fájlokat és egyéb elemeket, valamint (c) teljes, hiteles (forensic) másolatot készíthet bármelyik Eszközről. Ha az Kyndryl vállalatnak a Beszállító együttműködésére van szüksége a jogainak gyakorlásához, a Beszállító vállalja, hogy teljes mértékben és időben teljesíti az Kyndryl ilyen együttműködési kéréseit (beleértve például az Eszközök biztonságos konfigurálására, a megfigyelő vagy más szoftvereknek bármely Eszközön történő telepítésére, a rendszerszintű kapcsolatok adatainak megosztására, az esetleges incidensek ellen az Eszközökön tett intézkedésekben való részvételre, valamint a teljes, forensic másolat elkészítése érdekében az Eszközökhöz az Kyndryl számára szükséges fizikai hozzáférés biztosítására vonatkozó kéréseket, illetve a hasonló és kapcsolódó kéréseket).
3.2 Az Kyndryl bármikor visszavonhatja a Beszállító bármelyik vagy mindegyik munkavállalójának a Vállalati Rendszerekhez való hozzáférését a Beszállító vagy a Beszállító bármelyik munkavállalójának vagy más személynek az előzetes értesítése nélkül, ha az Kyndryl úgy véli, hogy ezt szükséges megtennie az Kyndryl védelme érdekében.
3.3 Az Kyndryl jogait semmilyen módon nem akadályozza, csökkenti vagy korlátozza a Tranzakciós Dokumentum, a felek között kötött kapcsolódó alap- vagy bármilyen más megállapodás egyik rendelkezése sem, beleértve azokat a rendelkezéseket is, amelyek megkövetelhetik az adatok, anyagok vagy bármilyen jellegű egyéb információk kizárólag egy adott helyen vagy helyeken történő tárolását, illetve amelyek előírhatják, hogy az adatokhoz, anyagokhoz vagy egyéb információkhoz kizárólag az adott helyen vagy helyeken tartózkodó személyek férhetnek hozzá.
4.Kyndryl-eszközök
4.1 Az Kyndryl megtartja az Kyndryl-eszközök mindegyikének tulajdonjogát, ugyanakkor a Beszállító viseli az Eszközök elvesztésének kockázatát, beleértve a lopást, rongálást vagy gondatlanságot. A Beszállító vállalja, hogy az Kyndryl előzetes írásbeli hozzájárulása nélkül nem alakítja át az Kyndryl-eszközöket, illetve nem engedélyezi azok átalakítását. Az átalakítás az Eszközök bármilyen jellegű módosítását jelenti, beleértve az Eszközök szoftvereinek, alkalmazásainak, biztonsági kialakításának, biztonsági konfigurációjának vagy fizikai, mechanikai vagy elektromos kialakításnak a módosítását is.
4.2 A Beszállító vállalja, hogy az Kyndryl-eszközök mindegyikét 5 munkanapon belül visszajuttatja azt követően, hogy az Eszközöknek a Szolgáltatások biztosításához való szükségessége megszűnik, és ha az Kyndryl kéri, az Eszközökön található összes adatot, anyagot és egyéb információt egyszerre megsemmisít, másolat megőrzése nélkül, amihez az Ajánlott iparági eljárásokat követi az összes ilyen adat, anyag és egyéb információ végleges törlése érdekében. A Beszállító vállalja, hogy becsomagolja és a saját költségén az Kyndryl által megnevezett helyre juttatja vissza az Kyndryl-eszközöket ugyanabban az állapotban, amilyen állapotban a Beszállító átvette őket, eltekintve a rendeltetésszerű használat során bekövetkező, észszerű mértékű elhasználódástól. A jelen 4.2-es szakaszban foglalt kötelezettségek teljesítésének elmulasztása a Tranzakciós Dokumentum, illetve a felek között kötött vonatkozó alap-, illetve más, kapcsolódó megállapodás súlyos megszegésének minősül. Egy megállapodás akkor tekinthető „kapcsolódó” megállapodásnak, ha a Vállalati Rendszerekhez való hozzáférés elősegíti a Beszállítónak az adott megállapodás értelmében fennálló feladatainak vagy egyéb tevékenységeinek a végrehajtását.
4.3 Az Kyndryl vállalja, hogy támogatást biztosít az Kyndryl-eszközökhöz (beleértve az Eszközök vizsgálatát, illetve megelőző és javító jellegű karbantartását is). A Beszállító vállalja, hogy azonnal értesíti az Kyndryl vállalatot a javító szolgáltatás szükségességéről.
4.4 Azon szoftverprogramok tekintetében, amelyek az Kyndryl tulajdonában állnak, vagy amelyek licencelésére az Kyndryl jogosult, az Kyndryl ideiglenes jogot biztosít a Beszállítónak elegendő másolat használatára, tárolására és készítésére az Kyndryl-eszközök engedélyezett használatának a támogatásához. A Beszállító nem továbbíthatja a programokat senki másnak, nem készíthet másolatot a szoftverlicenc adatairól, illetve nem bonthatja szét, nem fejtheti vissza és nem fordíthatja le más módon a programokat, kivéve, ha azt az alkalmazandó jog kifejezetten megengedi a szerződéses joglemondás lehetősége nélkül.
5. Frissítések
5.1 Tekintet nélkül a Tranzakciós Dokumentumban vagy a felek között kötött kapcsolódó alapmegállapodásban foglaltakra, a Beszállítót írásban értesítve, és a hozzájárulásának megszerzése nélkül az Kyndryl frissítheti, kiegészítheti vagy más módon módosíthatja a jelen Cikkelyt az alkalmazandó jogban vagy az Ügyfél kötelezettségeiben foglalt követelményeknek megfelelően, a biztonsággal kapcsolatos ajánlott eljárások alkalmazása céljából, vagy az Kyndryl által szükségesnek vélt más módon a Vállalati Rendszerek vagy az Kyndryl védelme érdekében.
VII. cikkely – Munkaerő-kiegészítés
Ez a Cikkely arra az esetre vonatkozik, ha a Beszállító munkavállalói teljes munkaidőben az Kyndryl számára nyújtott Szolgáltatásokkal foglalkoznak, ezeket a Szolgáltatásokat az Kyndryl telephelyein, az Ügyfél telephelyein vagy otthonaikban végzett munkával biztosítják, és a Szolgáltatásokat csak a Vállalati Rendszerek elérésére használt Kyndryl-eszközökkel biztosítják.
1. Vállalati Rendszerek elérése; az Kyndryl környezetei
1.1 A Beszállító kizárólag az Kyndryl által biztosított Eszközökkel elért Vállalati Rendszerekkel teljesítheti a Szolgáltatásokat.
1.2 A Beszállító vállalja, hogy megfelel a VI. cikkelyben (Vállalati Rendszerek elérése) foglalt feltételeknek a Vállalati Rendszerek minden elérése esetén.
1.3 A Beszállító és munkavállalói kizárólag az Kyndryl által biztosított Eszközöket használva nyújthatják a Szolgáltatásokat, és ezen Eszközöket kizárólag a Beszállító és munkavállalói használhatják a Szolgáltatások biztosításához. Az egyértelműség kedvéért, a Beszállító vagy munkavállalói semmilyen esetben sem használhatnak más eszközt a Szolgáltatások nyújtásához, nem használhatják az Kyndryl-eszközöket a Beszállító más ügyfeleihez kapcsolódóan, illetve a Szolgáltatásoknak az Kyndryl számára történő nyújtásától eltérő célból.
1.4 A Beszállító Kyndryl-eszközöket használó munkavállalói megoszthatnak egymással Kyndryl Anyagokat, valamint tárolhatják ezeket az anyagokat az Kyndryl-eszközökön, de csak addig a korlátozott mértékig, ameddig az ilyen megosztás és tárolás a Szolgáltatások sikeres teljesítéséhez szükséges.
1.5 Az Kyndryl-eszközökön történő tárolást kivéve, a Beszállító vagy munkavállalói semmilyen esetben sem távolíthatnak el Kyndryl Anyagokat az Kyndryl olyan adattáraiból, környezeteiből, eszközeiről vagy infrastruktúráiból, amelyekben az Kyndryl az anyagokat őrzi.
1.6 Az egyértelműség kedvéért, a Beszállító és munkavállalói számára nem engedélyezett semmilyen Kyndryl Anyag átvitele a Beszállító semmilyen adattárába, környezetébe, eszközébe vagy infrastruktúrájába, illetve a Beszállító semmilyen más rendszerébe, platformjára, hálózatába vagy hasonló rendszerébe az Kyndryl előzetes írásos hozzájárulása nélkül.
1.7 A VIII. cikkely (Technikai és Szervezési Intézkedések, Általános biztonság) nem vonatkozik a Beszállító azon Szolgáltatásaira, amelyek esetén a Beszállító munkavállalói teljes munkaidőben az Kyndryl számára nyújtott Szolgáltatásokkal foglalkoznak, ezeket a Szolgáltatásokat az Kyndryl telephelyein, az Ügyfél telephelyein vagy otthonaikban végzett munkával biztosítják, és a Szolgáltatásokat csak a Vállalati Rendszerek elérésére használt Kyndryl-eszközökkel biztosítják. Más esetben a VIII. cikkely vonatkozik a Beszállító Szolgáltatásaira.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
-
Ha igen, akkor erre az esetre a II. (Technikai és szervezési intézkedések, adatbiztonság), a VIII. (Technikai és szervezési intézkedések, általános biztonság), a IX. (Üzemeltetett szolgáltatások tanúsítványai és jelentései) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik. A III. cikkely (Adatvédelem) is vonatkozni fog az esetre, ha a Beszállítónak az Üzemeltetett szolgáltatás biztosítása során hozzáférése van Kyndryl Személyes adatokhoz.
Példák:
- A Beszállító valamilyen „szolgáltatásként kínált” ajánlatot biztosít az Kyndryl-nek, például „szolgáltatásként kínált” szoftvert, platformot vagy infrastruktúrát.
II. cikkely, Technikai és szervezési intézkedések, adatbiztonság
Ez a cikkely abban az esetben érvényes, ha a Beszállító az Kyndryl BCI-jétől eltérő Kyndryl-adatokat dolgoz fel. A Beszállító vállalja, hogy megfelel a jelen cikkely követelményeinek a Szolgáltatások és Leszállítandó Anyagok biztosítása során, és ezzel megvédi az Kyndryl-adatokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlenszerű vagy jogosulatlan közléssel, véletlenszerű vagy jogosulatlan hozzáféréssel, valamint a Feldolgozás törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel az Leszállítandó Anyagok és a Szolgáltatások biztosítása érdekében, ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Adathasználat
1.1 A Beszállító az Kyndryl előzetes írásbeli hozzájárulása nélkül az Kyndryl-adatokhoz semmilyen egyéb információt vagy adatot nem ad hozzá és nem mellékel, Személyes adatokat sem, és a Beszállító az Kyndryl-adatokat a Szolgáltatások és Leszállítandó anyagok nyújtásán ás átadásán kívül semmilyen más célra, semmilyen formában, összesített vagy egyéb módon nem használja fel (például a Beszállító nem jogosult az Kyndryl-adatokat a Beszállítói ajánlatok hatékonyságának kiértékelésére vagy fejlesztési módjainak javítására, új ajánlatok létrehozására irányuló kutatási és fejlesztési tevékenységekre, vagy a Beszállító ajánlatairól szóló jelentések készítésére felhasználni vagy újrafelhasználni). Ha a Tranzakciós dokumentumban kifejezetten nincs engedélyezve, a Beszállító számára tilos az Kyndryl-adatok Eladása.
1.2 A Beszállító semmilyen webes nyomkövető technológiát (például HTML5-öt, helyi tárolót, harmadik felek címkéit vagy tokenjeit, webjelzőket) nem ágyaz be az Leszállítandó Anyagokba vagy a Szolgáltatások részeként, kivéve, ha a Tranzakciós dokumentum ezt kifejezetten lehetővé teszi.
2. Harmadik felek kérelmei és titoktartás
2.1 A Beszállító nem osztja meg az Kyndryl-adatokat semmilyen harmadik féllel, kivéve, ha erre az Kyndryl előzetesen írásban felhatalmazta. Ha egy kormányzat vagy szabályozó hatóság megköveteli az Kyndryl-adatokhoz való hozzáférést (például az Amerikai Egyesült Államok kormányzata egy nemzetbiztonsági rendelkezésre hivatkozva igényel Kyndryl-adatokat a Beszállítótól), vagy ha az Kyndryl-adatok közlését a törvény egyéb módon előírja, a Beszállító az ilyen igényről vagy követelésről írásban értesíti az Kyndryl-et, és észszerű lehetőséget biztosít az Kyndryl számára az adatközlési igény megtámadására (amennyiben a törvény tiltja az értesítést, a Beszállító megteszi azokat az intézkedéseket, amelyeket észszerűen megfelelőnek tart a tiltás és az Kyndryl-adatok közlésének bírósági eljárás útján vagy más módon történő megtámadása érdekében).
2.2 A Beszállító biztosítja az Kyndryl-et arról, hogy: (a) csak azoknak az alkalmazottaknak ad hozzáférést az Kyndryl-adatokhoz, akiknek a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához szükségük van a hozzáférésre, és akkor is csak a az ehhez szükséges mértékben; és (b) alkalmazottait olyan titoktartási kötelezettség elfogadására kötelezi, amely előírja, hogy csak a jelen Feltételekben engedélyezettek szerint használják és tárják fel az Kyndryl-adatokat.
3. Kyndryl-adatok visszaszolgáltatása vagy törlése
3.1 A Beszállító az Kyndryl döntésének megfelelően törli vagy visszaküldi az Kyndryl-adatokat az Kyndryl-nek a Tranzakciós dokumentum megszűnésekor vagy lejáratakor, illetve ennél korábban is, ha az Kyndryl kéri. Ha az Kyndryl törlést igényel, akkor a Beszállító az Ajánlott iparági eljárásokkal összhangban olvashatatlanná teszi az adatokat, azok újbóli összeállítását vagy helyreállítását lehetetlenné teszi, és megerősíti a törlést az Kyndryl felé. Ha az Kyndryl az Kyndryl-adatok visszaküldését kéri, akkor a Beszállító ezt az Kyndryl észszerű ütemezése és írásbeli utasításai alapján hajtja végre.
III. cikkely, Adatvédelem
Ez a cikkely abban az esetben érvényes, ha a Beszállító Feldolgozza az Kyndryl Személyes adatokat.
1. Feldolgozás
1.1 Az Kyndryl kinevezi a Beszállítót Adatfeldolgozóként, hogy végezze el az Kyndryl Személyes adatok feldolgozását kizárólag az Leszállítandó Anyagok és Szolgáltatások nyújtása, átadása céljából az Kyndryl utasításainak megfelelően, beleértve a jelen Feltételekben, a Tranzakciós dokumentumban és a felek közötti kapcsolódó alapmegállapodásban foglalt utasításokat. Ha a Beszállító nem tart be valamilyen utasítást, az Kyndryl írásbeli értesítés mellett felmondhatja a Szolgáltatás érintett részét. Ha a Beszállító véleménye szerint egy utasítás megsérti az adatvédelmi jogszabályokat, arról haladéktalanul és a jogszabály által előírt időtartamon belül értesítenie kell az Kyndryl-et.
1.2 A Beszállító vállalja, hogy a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozó valamennyi adatvédelmi jogszabályt betartja.
1.3 A Tranzakciós dokumentum Melléklete vagy maga a Tranzakciós dokumentum meghatározza az alábbiakat az Kyndryl-adatokra vonatkozóan:
(a) az Érintettek kategóriáit;
(b) az Kyndryl Személyes adatok típusait;
(c) adatkezelési műveleteket és Feldolgozási tevékenységeket;
(d) a Feldolgozás időtartamát és gyakoriságát; valamint
(e) az Al-adatfeldolgozók listáját.
2. Technikai és Szervezési Intézkedések
2.1 A Beszállító implementálja és elvégzi a II. (Technikai és szervezési intézkedések, adatbiztonság) és a VIII. (Technikai és szervezési intézkedések, általános biztonság) cikkelyben meghatározott technikai és szervezési intézkedéseket, és ezzel gondoskodik a Szolgáltatások és az Leszállítandó Anyagok jelentette kockázatnak megfelelő biztonsági szint kialakításáról. A Beszállító elismeri és megértette a II. cikkelyben, a jelen III. cikkelyben, valamint a VIII. cikkelyben foglalt korlátozásokat, és betartja azokat.
3. Az Érintettek jogai és kérelmei
3.1 A Beszállító haladéktalanul értesíti az Kyndryl-et (egy olyan ütemezés szerint, amely lehetővé teszi az Kyndryl-nek és a További Aadatkezelőknek, hogy teljesíthessék jogi kötelezettségeiket) az Érintettek minden olyan kéréséről, amelyek az Érintettek Személyes adatokkal kapcsolatos jogaik gyakorlására vonatkozik (például az adatok helyesbítésére, törlésére vagy blokkolására, zárolására). A Beszállító az ilyen kérést benyújtó Érintettet haladéktalanul az Kyndryl-hez irányíthatja. A Beszállító az Érintett kérésére kizárólag akkor válaszol, ha a válaszadást számára jogszabály írja elő, vagy az Kyndryl írásban erre utasítja.
3.2 Ha az Kyndryl köteles az Kyndryl Személyes adatokkal kapcsolatban információkat biztosítani További adatkezelők vagy más külső felek (például az Érintettek vagy a szabályalkotók) felé, akkor ebben a Beszállító az információk biztosításával és az Kyndryl kérésének megfelelő észszerű további intézkedések meghozatalával segítséget nyújt az Kyndryl-nek, olyan ütemben, amely lehetővé teszi az Kyndryl számára, hogy időben válaszoljon ezen További Adatkezelőknek vagy harmadik feleknek.
4. Al-adatfeldolgozók
4.1 A Beszállító előzetes írásbeli értesítést küld az Kyndryl-nek egy új Al-adatfeldolgozó hozzáadása vagy egy meglévő Al- adatfeldolgozó adateldolgozási terjedelmének(hatókörének) kiterjesztése előtt. Az ilyen írásbeli értesítés azonosítja az Al-adatfeldolgozó nevét, és leírja a Feldolgozás új vagy kibővített hatókörét. Az Kyndryl bármikor észszerű okokból kifogást emelhet az új Al-adatfeldolgozók vagy a kibővített hatókörök ellen, és ha így tesz, a felek jóhiszeműen együttműködnek az Kyndryl kifogásának rendezése érdekében. Az Kyndryl bármikor élhet tiltakozáshoz való jogával, de a Beszállító megbízhatja az új Al- adatfeldolgozót vagy kiterjesztheti a meglévő Al- adatfeldolgozó Feldolgozási hatókörét, ha az Kyndryl a Beszállító írásbeli értesítésétől számított 30 napon belül nem emel kifogást.
4.2 A Beszállító a jelen Feltételekben meghatározott adatvédelmi, biztonsági és tanúsítási kötelezettségeket minden jóváhagyott Al-adatfeldolgozóra is kiterjeszti, mielőtt az Al-adatfeldolgozó bármilyen Kyndryl-adatot Feldolgozna. A Beszállító teljes felelősséggel tartozik az Kyndryl felé az Al-adatfeldolgozók kötelezettségeinek teljesítéséért.
5. Határokon átívelő adatfeldolgozás
Az alábbiak szerint:
Megfelelő adatvédelmi szintet nyújtó ország – a vonatkozó adatátadás tekintetében az irányadó adatvédelmi jogszabályoknak, illetve a szabályozóhatóságok határozatainak megfelelő szintű adatvédelmet biztosító ország.
Adatátvevő – olyan Adatfeldolgozó vagy Al-adatfeldolgozó, amely nem egy Megfelelő adatvédelmi szintet nyújtó országban tevékenységi hellyel rendelkező vállalat.
EU-s általános szerződési feltételek („EU ÁSZF”) – az EU-s általános szerződési feltételek (a Bizottság (EU) 2021/914 Végrehajtási Határozata) az opcionális feltételek alkalmazásával, kivéve a 9. feltétel 1. lehetőségét és a 17. feltétel 2. lehetőségét, a https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en oldalon hivatalosan közzétetteknek megfelelően.
A Szerbiai Általános Szerződési Feltételek („szerb ÁSZF”) a Szerbiai Általános Szerződési Feltételeket jelenti, olyan formában, ahogyan azt a Közérdekű Információk és Személyes Adatvédelem Szerb Biztosa elfogadta. A dokumentum itt tekinthető meg: https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .
Az Általános szerződési feltételek („ÁSZF”) olyan szerződési feltételeket jelent, amelyeket az alkalmazandó adatvédelmi törvények a Személyes adatok nem Megfelelő adatvédelmi szintet nyújtó országban letelepedett Adatfeldolgozóknak történő továbbításkor előírnak.
Az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez („UK Kiegészítés”): az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez, amely hivatalosan a következő címen került közzétételre: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .
5.1 A Beszállító semmilyen Kyndryl Személyes adatot az Kyndryl előzetes írásbeli hozzájárulása nélkül nem továbbít vagy közöl külföldre (beleértve a távoli hozzáférést is). Az Kyndryl hozzájárulása esetén a felek kötelesek együttműködni az alkalmazandó adatvédelmi jogszabályoknak való megfelelés biztosítása érdekében. Ha ezek a jogszabályok előírják az ÁSZF használatát, a Beszállító az Kyndryl kérésére haladéktalanul megköti az ÁSZF-et.
5.2 Az EU ÁSZF-fel kapcsolatban:
(a)Ha a Beszállítónak nem Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye: a Beszállító, mint Adatátvevő egy EU ÁSZF-et ír alá az Kyndryl-mel, és a Beszállító az EU ÁSZF 9. cikkelyének megfelelően írásbeli megállapodásokat köt minden olyan jóváhagyott Al-adatfeldolgozóval, és kérésre megküldi az Kyndryl-nek a megállapodások másolatait.
(i) az EU ÁSZF 1. modulja nem alkalmazandó, kivéve, ha a felek ettől eltérően állapodtak meg írásban.
(ii) Az EU ÁSZF 2. modulja akkor alkalmazandó, ha az Kyndryl Adatkezelőként jár el, a 3. modul pedig akkor, ha az Kyndryl Adatfeldolgozóként jár el. Az EU ÁSZF 13. záradékával összhangban, amennyiben a 2. vagy 3. modul alkalmazandó, a felek megállapodnak abban, hogy (1) az EU ÁSZF-re annak az uniós tagállamnak a joga az irányadó, ahol az illetékes felügyeleti hatóság található, és (2) az EU ÁSZF-ből eredő bármely jogvitát annak az uniós tagállamnak a bíróságai előtt kell elbírálni, ahol az illetékes felügyeleti hatóság található. Ha az (1) pont szerinti jog nem teszi lehetővé a harmadik fél kedvezményezetti jogait, akkor az EU ÁSZF-re a holland jog az irányadó, és az EU ÁSZF-ből eredő, a (2) pont szerinti jogvitákat az amszterdami bíróság (Hollandia) rendezi.
(b) Ha a Beszállító székhelye az Európai Gazdasági Térségben található, és az Kyndryl az Általános Adatvédelmi Rendelet ((EU) 2016/679 Rendelet) hatálya alá nem tartozó Adatkezelő, akkor az EU ÁSZF 4. modulja alkalmazandó, és a Beszállító ezennel adatátadóként köti meg az EU ÁSZF-t az Kyndryl-mel. Amennyiben az EU ÁSZF 4. modulja alkalmazandó, a felek megállapodnak abban, hogy az EU ÁSZF-re a holland jog az irányadó, és az EU ÁSZF-ből eredő bármely jogvitát az amszterdami bíróság (Hollandia) rendezi.
(c) Ha Más Adatkezelők, például Ügyfelek vagy kapcsolt vállalkozások, a 7. feltételben foglalt „dokkolási feltétel” alapján kérik, hogy az EU ÁSZF részesévé váljanak, a Beszállító ezennel beleegyezik bármely ilyen kérésbe.
(d) Az EU ÁSZF II. mellékletének teljesítéséhez szükséges Technikai és Szervezési Intézkedések a jelen Feltételekben, magában a Tranzakciós Dokumentumban és a felek közötti kapcsolódó alapmegállapodásban találhatók meg.
(e) Az EU ÁSZF és a jelen Feltételek közötti bármely ellentmondás esetén az EU ÁSZF az irányadó.
5.3 Az Egyesült Királyság kiegészítéseit (UK Addendum) illetően:
(a) Ha a Szállító székhelye nem megfelelő adatvédelmi szintet nyújtó országban van: (i) A Szállító mint adatátvevő a Kyndryllel való viszonylatban az Egyesült Királyság kiegészítéseit alkalmazza a fent meghatározott EU ÁSZF kiegészítéseként (adott esetben, a feldolgozási tevékenységek körülményeitől függően); és (ii) a Szállító írásos megállapodást köt minden jóváhagyott további adatkezelővel, és e megállapodások másolatait kérésre átadja a Kyndrylnek.
(b) Ha a Szállító székhelye megfelelő adatvédelmi szintet nyújtó országban van, és a Kyndryl olyan adatkezelő, amelyre nem vonatkozik az Egyesült Királyság Általános Adatvédelmi Rendelete (amely az Egyesült Királyságnak az EU-ból való kilépésről rendelkező 2018. évi törvénye (European Union (Withdrawal) Act 2018) révén került az Egyesült Királyság jogába), akkor a Szállító adatátadóként a Kyndryl viszonylatában csatlakozik az Egyesült Királyság kiegészítéseihez a fenti 5.2(b) szakaszban meghatározott EU ÁSZF-re vonatkozóan.
(c) Ha más adatkezelők, például vevők vagy társvállalatok csatlakozni kívánnak az Egyesült Királyság kiegészítéseihez, a Szállító beleegyezik minden ilyen kérésbe.
(d) Az Egyesült Királyság kiegészítéseinek Függelékre vonatkozó információi (a 3. táblázatban foglaltak szerint) megtalálhatók a vonatkozó EU ÁSZF feltételekben, a jelen Feltételekben, magában a Tranzakciós dokumentumban és a kapcsolódó, felek közötti alapszerződésben. Az Egyesült Királyság kiegészítéseinek változása esetén sem a Kyndryl, sem a Szállító nem szüntetheti meg az Egyesült Királyság kiegészítéseit.
(e) Az Egyesült Királyság kiegészítése(i) és jelen Feltételek közötti bármilyen ütközés esetén az Egyesült Királyság kiegészítése(i) az irányadó(k).
5.4 A Szerb ÁSZF-fel kapcsolatban:
(a) Ha a Beszállítónak nem Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye: (i) a Beszállító – saját nevében, mint Adatfeldolgozó – Szerb ÁSZF-et ír alá az Kyndryl-mel; és (ii) a Beszállító a Szerb ÁSZF 8. cikkelyének megfelelően írásbeli megállapodásokat köt minden jóváhagyott Al-adatfeldolgozóval, és kérésre megküldi az Kyndryl-nek a megállapodások másolatait.
(b) Ha a Beszállítónak Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye, akkor a Beszállító – valamennyi nem megfelelő adatvédelmi szintet nyújtó országban található Al-adatfeldolgozó nevében – Szerb ÁSZF-et ír alá az Kyndryl-mel. Ha a Beszállító valamelyik Al-adatfeldolgozónál ezt nem tudja megtenni, akkor eljuttatja az Kyndryl-nek az érintett Al-adatfeldolgozó által aláírt Szerb ÁSZF-et az Kyndryl által történő ellenjegyzésre, mielőtt lehetővé tenné az Al-adatfeldolgozó számára az Kyndryl Személyes adatok Feldolgozását.
(c) Az Kyndryl és a Beszállító között megköttetett Szerb ÁSZF – ahogy azt a körülmények megkövetelik – lehet egy Adatkezelő és egy Adatfeldolgozó közötti Szerb ÁSZF, vagy pedig az „adatfeldolgozó” és az „al-adatfeldolgozó” közötti megfelelően tükröztetett írásos megállapodás. A Szerb ÁSZF és a jelen Feltételek közötti bármely ellentmondás esetén a Szerb ÁSZF az irányadó.
(d) szükséges információk megtalálhatók a jelen Feltételekben és a Tranzakciós Dokumentum mellékletében, vagy magában a Tranzakciós Dokumentumban.
6. Támogatás és nyilvántartások
6.1 A Beszállító a Feldolgozás jellegét figyelembe véve az Kyndryl-et megfelelő technikai és szervezési intézkedésekkel támogatja annak érdekében, hogy az Kyndryl eleget tehessen az Érintettek kéréseinek és jogainak betartására vonatkozó kötelezettségeinek. A Beszállító vállalja, hogy segítséget nyújt az Kyndryl-nek abban, hogy eleget tehessen a Feldolgozás biztonságára, a biztonsági incidensek jelentésére és kommunikálására, illetve az adatvédelmi hatásvizsgálatra vonatkozó kötelezettségeinek, beleértve a felelős szabályozóval folytatott előzetes konzultációt, amennyiben szükséges, figyelembe véve a Beszállító számára elérhető információkat.
6.2 A Beszállító naprakész nyilvántartást vezet minden Al-adatfeldolgozójának nevéről és kapcsolattartási adatairól, beleértve az Al-adatfeldolgozók képviselőjét és adatvédelmi felelősét. A Beszállító kérésre az Kyndryl rendelkezésére bocsátja a nyilvántartást, olyan ütemben, amely lehetővé teszi az Kyndryl számára, hogy időben reagáljon az Ügyfél vagy más harmadik felek igényeire.
VIII. cikkely – Technikai és Szervezési Intézkedések, Általános biztonság
A jelen Cikkely arra az esetre vonatkozik, ha a Beszállító valamilyen Szolgáltatást vagy Szállítandót biztosít az Kyndryl számára, kivéve, ha a Beszállító csak az Kyndryl BCI-hez fér hozzá az adott Szolgáltatások és Szállítandók nyújtásához (vagyis a Beszállító nem dolgoz fel semmilyen más Kyndryl-adatot, illetve nem rendelkezik hozzáféréssel bármilyen más Kyndryl Anyaghoz vagy Vállalati Rendszerhez), ha a Beszállító Szolgáltatásai és Leszállítandó Anyagai kizárólag a Helyszíni Szoftver Kyndryl részére történő rendelkezésre bocsátását tartalmazzák, illetve ha a Beszállító a Szolgáltatásainak és Leszállítandóinak mindegyikét a VII. cikkelynek, valamint a cikkely 1.7-es szakaszának megfelelő munkaerő-kiegészítési modell keretében biztosítja.
A Beszállító vállalja, hogy megfelel a jelen Cikkely követelményeinek, és ezzel megvédi (a) az Kyndryl Anyagokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlen vagy jogosulatlan közléssel, véletlen vagy jogosulatlan hozzáféréssel, (b) az Kyndryl-adatokat a Feldolgozás törvénytelen formáival, valamint (c) az Kyndryl-technológiát a Kezelés törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.
1. Biztonsági irányelvek
1.1 A Beszállító vállalja, hogy a Beszállító üzleti tevékenységének szerves részét képező, és a Beszállító minden Munkavállalójára kötelező érvényű informatikai biztonsági szabályzatokat és gyakorlatokat alkalmaz és követ az Ajánlott iparági eljárásokkal összhangban.
1.2 A Beszállító vállalja, hogy legalább évente egyszer felülvizsgálja az informatikai biztonsági szabályzatait és gyakorlatait, és szükség esetén saját megítélése szerint módosítja őket az Kyndryl Anyagok védelme érdekében.
1.3 A Beszállító vállalja, hogy szabványos és kötelező munkavállaló-ellenőrzési követelményeket alkalmaz és követ minden új munkavállaló-felvétel esetén, és a követelményeket kiterjeszti a Beszállító minden Munkavállalójára és teljes tulajdonában álló leányvállalatára. Ezek a követelmények magukban foglalják a helyi jogszabályok által megengedett mértékig terjedő bűnügyi háttérellenőrzést, a személyazonosságot igazoló okmányok ellenőrzését és minden további olyan ellenőrzést, amelyet a Beszállító szükségesnek ítél. A Beszállító vállalja, hogy időszakosan megismétli és újraértékeli ezeket a követelményeket, amikor azt szükségesnek ítéli.
1.4 A Beszállító vállalja, hogy évente biztonsági és adatvédelmi oktatásban részesíti a munkavállalóit, és minden ilyen munkavállalótól megköveteli, hogy évente tanúsítsák a Beszállító etikus üzleti magatartása, bizalmas kezelési és biztonsági szabályzatainak való megfelelést a Beszállító magatartási kódexében vagy hasonló dokumentumaiban meghatározott módon. A Beszállító vállalja, hogy további, a szabályzatokkal és folyamatokkal kapcsolatos képzéseket nyújt azon személyek számára, akik adminisztratív hozzáféréssel rendelkeznek a Szolgáltatások, a Leszállítandó Anyagok vagy az Kyndryl Anyagok valamelyik összetevőjéhez, mely képzés a személyek szerepköréhez és a Szolgáltatások, Leszállítandó Anyagok és Kyndryl Anyagok támogatásához kapcsolódik, illetve a kötelező megfelelés és tanúsítások fenntartásához szükséges.
1.5 A Beszállító vállalja, hogy biztonsági és adatvédelmi intézkedéseket alakít ki az Kyndryl Anyagok elérhetőségének védelméhez és megőrzéséhez, többek között a Szolgáltatásokkal és Leszállítandókkal, illetve az Kyndryl-technológia minden Kezelésével összefüggésben a beépített biztonságot és adatvédelmet, biztonságos fejlesztést, valamint a biztonságos működést megkövetelő szabályzatok és eljárások megvalósításával, fenntartásával és a nekik való megfeleléssel.
2. Biztonsági incidensek
2.1 A Beszállító vállalja, hogy az Ajánlott iparági eljárásoknak megfelelő, a dokumentált incidens kezelési szabályzatokat alkalmaz és követ.
2.2 A Beszállító vállalja, hogy kivizsgálja az Kyndryl Anyagokhoz való jogosulatlan hozzáféréseket és az Kyndryl Anyagok jogosulatlan használatát, valamint megfelelő válaszadási tervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.
2.4 A Beszállító vállalja, hogy észszerű segítséget nyújt az Kyndryl számára az Kyndryl vállalat, az Kyndryl leányvállalatai és az Ügyfelek (valamint ügyfeleik és leányvállalataik) a Biztonsági incidenssel összefüggésben fennálló jogi kötelezettségeinek (beleértve a szabályozó hatóságok és Érintettek értesítésére vonatkozó kötelezettségeket) teljesítésében.
2.5 A Beszállító vállalja, hogy nem tájékoztat vagy értesít harmadik felet arról, ha egy Biztonság Incidens közvetlenül vagy közvetve az Kyndryl-hez vagy Kyndryl Anyagokhoz kapcsolódik, kivéve, ha az Kyndryl ezt írásban jóváhagyta, vagy ha azt jogszabály írja elő. A Beszállító vállalja, hogy a harmadik feleknek szóló, jogszabályban előírt értesítés elküldését megelőzően írásban értesíti az Kyndryl vállalatot, amennyiben az adott értesítés közvetve vagy közvetlenül felfedné az Kyndryl kilétét.
2.6 A jelen Feltételekben foglalt kötelezettségeknek a Beszállító általi megsértéséből fakadó Biztonsági incidens esetén:
(a) Beszállító felel minden saját költségért, illetve az Kyndryl-nél felmerülő tényleges költségért, amely a Biztonsági incidensről szóló értesítés a vonatkozó szabályozó hatóságok, egyéb kormányzati vagy érintett iparági önszabályozó testületek, a média (ha az alkalmazandó jog ezt előírja), az Érintettek, az Ügyfelek és más személyek értesítésével kapcsolatos,
(b) az Kyndryl kérésére a Beszállító saját költségén felállít és az Adatvédelmi Incidensről szóló értesítés kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) fenntart egy telefonos ügyfélszolgálatot, hogy megválaszolja az érintett személyek kérdéseit az Adatvédelmi Incidensről és annak következményeiről. Az Kyndryl és a Beszállító együtt dolgozza ki az ügyfélszolgálati munkatársak által a kérdések megválaszolása során alkalmazandó szövegeket és egyéb anyagokat. Alternatív megoldásként, a Beszállítónak küldött írásbeli értesítéssel a Beszállító által létrehozott telefonos ügyfélszolgálat helyett az Kyndryl is létrehozhatja és fenntarthatja saját telefonos ügyfélszolgálatát, amely esetben a telefonos ügyfélszolgálat létrehozása és működtetése során keletkező, az Kyndryl-et terhelő költségeket a Beszállító az Kyndryl számára megtéríti, továbbá
(c) a Beszállító az Biztonsági Incidensről szóló értesítés az incidens által érintett személyeknek (akik a hitelesség követési és helyreállítási szolgáltatásra (credit monitoring and credit restoration)történő regisztráció mellett döntöttek) történő kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) megtéríti az Kyndryl számára az Kyndryl által fenntartott credit monitoring and credit restoration szolgáltatások tényleges költségeit.
3. Fizikai biztonság és Belépés-ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
3.1 A Beszállító vállalja, hogy megfelelő fizikai belépés-ellenőrzési intézkedéseket (például korlátok, kártyás beléptető pontok, biztonsági kamerák és recepciós pultok) alkalmaz annak érdekében, hogy megvédje a Létesítményeket a jogosulatlan belépéssel szemben.
3.2 A Beszállító vállalja, hogy a Létesítményeibe és azok ellenőrzött területeire való belépéshez, az ideiglenes belépést is beleértve, jóváhagyást követel meg, és a belépést munkaszerep és üzleti ok szerint korlátozza. Ha a Beszállító ideiglenes belépést biztosít, egy felhatalmazott munkavállalója kíséri az ideiglenes belépésre jogosult látogatót a Létesítményben és az ellenőrzött területeken való tartózkodása során.
3.3 A Beszállító vállalja, hogy olyan fizikai belépés-ellenőrzési eszközöket valósít meg, beleértve a többtényezős belépés-ellenőrzést is, amelyek összhangban állnak az Ajánlott iparági eljárásokkal, megfelelő módon korlátozzák a belépést az ellenőrzött területekre a Létesítményekbe, naplóznak minden belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzik.
3.4 A Beszállító vállalja, hogy visszavonja a Létesítményekhez és a Létesítményekben található ellenőrzött területekhez való hozzáférést, amennyiben (a) a Beszállító hozzáférésre jogosult munkavállalója távozik a vállalattól, vagy (b) a Beszállító jogosult munkavállalójának már nincs szüksége üzleti okokból a hozzáférésre. A Beszállító a munkavállalók távozásakor hivatalos, dokumentált folyamat szerint jár el, amely magában foglalja a hozzáférés-ellenőrzési listáról való azonnali eltávolítást és a fizikai hozzáférési jelvények leadását.
3.5 A Beszállító vállalja, hogy óvintézkedéseket tesz a Szolgáltatások és Leszállítandó Anyagok támogatásához, valamint az Kyndryl-technológia kezeléséhez használt fizikai infrastruktúra környezeti fenyegetésekkel szemben való védelme érdekében. Ide tartoznak a természetes és ember okozta veszélyek is, például a szélsőséges környezeti hőmérséklet, a tűzeset, az áradás, a magas páratartalom, a lopás és a rongálás is.
4. Hozzáférés, beavatkozás, továbbítás és szétválasztás szabályozás
4.1 A Beszállító a Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során a Szolgáltatások működtetése során kezelt hálózatokra dokumentált biztonsági architektúrát alkalmazza. A Beszállító vállalja, hogy miden ilyen hálózati architektúrát külön vizsgálatnak vet alá, és intézkedések foganatosításával gátolja meg a rendszerekkel, alkalmazásokkal és hálózati eszközökkel létesíteni kívánt jogosulatlan hálózati kapcsolatokat, a biztonságos szegmentálási, elkülönítési és a mélységi védelmi szabványoknak való megfelelés érdekében. A Beszállító nem használhat vezeték nélküli technológiát bármilyen Üzemeltetett Szolgáltatás biztosítása vagy üzemeltetése során. A Beszállító használhat vezeték nélküli technológiát a Szolgáltatások teljesítésekor, a Leszállítandók leszállításakor és az Kyndryl-technológia kezelése során, azonban vállalja, hogy minden vezeték nélküli hálózatot titkosít, és biztonságos hitelesítést követel meg velük kapcsolatban.
4.2 A Beszállító olyan intézkedéseket alkalmaz, amelyek célja az Kyndryl Anyagok logikai módon történő elkülönítése, valamint annak megakadályozása, hogy az adatok jogosulatlan személyek tudomására jussanak, illetve hogy az adatokhoz jogosulatlan személyek férjenek hozzá. A Beszállító továbbá vállalja, hogy megfelelő módon elkülöníti a produktív, nem produktív és egyéb környezeteit, és ha bármilyen Kyndryl Anyagot nem produktív környezetbe továbbítottak, vagy már eleve ott volt (például egy hiba ismételt előidézése érdekében), a Beszállító vállalja, hogy a produktív környezetben használt biztonsági és adatvédelmi eszközökkel egyenértékű biztonságról és adatvédelemről gondoskodik a nem produktív környezetben is.
4.3 A Beszállító vállalja, hogy az átvitel vagy tárolás során az Kyndryl Anyagokat titkosítja (kivéve, ha a Beszállító az Kyndryl számára észszerűen kielégítő módon bizonyítja, hogy az Kyndryl Anyagok tárolás közbeni titkosítása műszakilag nem valósítható meg). A Beszállító vállalja, hogy minden fizikai adathordozót is titkosít, ha van, ilyenek például a biztonsági másolatok fájljait tartalmazó adathordozók. A Beszállító vállalja, hogy dokumentált eljárásokat alkalmaz a kulcsok adattitkosításhoz kapcsolódó biztonságos létrehozására, kiadására, elosztására, tárolására, rotálására, visszavonására, visszaállítására, biztonsági mentésére, megsemmisítésére, elérésére és használatára vonatkozóan. A Beszállító vállalja, hogy a titkosításhoz használt titkosítási módszerek összhangban vannak az Legjobb Iparági Gyakorlattal, amilyen például az NIST SP 800-131a.
4.4 Ha a Beszállító Kyndryl Anyagokhoz kér hozzáférést, a Beszállító vállalja, hogy az ilyen hozzáférést a Szolgáltatások és Leszállítandó Anyagok biztosításához és támogatásához szükséges lehető legalacsonyabb szintű hozzáférésre fogja korlátozni. A Beszállító vállalja, hogy az ilyen hozzáférés, beleértve a bármely alapvető összetevőhöz való rendszergazdai hozzáférést (emelt szintű (privilegizált) hozzáférés), egyéni és szerepköralapú módon, továbbá a felelősség-szétválasztási alapelveknek megfelelően, a Beszállító felhatalmazott munkavállalóinak a jóváhagyása és rendszeres ellenőrzése mellett történik. A Beszállító fenntartja a redundáns és nem használt fiókok azonosítását és eltávolítását célzó intézkedéseket. A Beszállító vállalja, hogy az emelt szintű (privilegizált) hozzáféréssel rendelkező fiókokat legfeljebb huszonnégy (24) órával azután visszavonja, hogy a fiók tulajdonosa távozik a vállalattól, vagy ha azt az Kyndryl vagy a Beszállító jogosult munkavállalói, például a fiók tulajdonosának a vezetője kérelmezi.
4.5 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy műszaki intézkedéseket alkalmaz az inaktív munkamenetek megszüntetésének, a többszöri egymást követő sikertelen bejelentkezési kísérletet követően a fiókok zárolásának, továbbá az erős jelszón vagy jelmondaton alapuló hitelesítésnek a kikényszerítésére, valamint intézkedéseket foganatosít a jelszavak és jelmondatok biztonságos továbbításának és tárolásának megkövetelésére. A Beszállító emellett vállalja, hogy többtényezős hitelesítést használ az Kyndryl Anyagokhoz történő nem konzolalapú, emelt szintű hozzáférés esetén.
4.6 A Beszállító vállalja, hogy figyeli az emelt szintű (privilegizált) hozzáférés használatát, továbbá biztonsági célú, információ- és eseménykezelési intézkedéseket alkalmaz a (a) jogosulatlan hozzáférés és tevékenység azonosítása, (b) az ilyen hozzáférésre és tevékenységre időben és megfelelő módon adott válasz elősegítése, valamint (c) a dokumentált Beszállítói szabályzatnak megfelelő auditoknak a Beszállító, az Kyndryl (a jelen Feltételekben foglalt ellenőrzési jogai, illetve a Tranzakciós Dokumentumban vagy a felek között kötött vonatkozó alap- vagy bármilyen egyéb kapcsolódó megállapodásban foglalt auditálási jogai alapján) és mások általi elvégzésének lehetővé tétele érdekében.
4.7 A Beszállító vállalja, hogy megőrzi azokat a naplókat, amelyekben rögzíti – a rekordmegőrzési szabályzatának megfelelően – a Szolgáltatások vagy Leszállítandók nyújtásához, átadásához vagy az Kyndryl-technológia kezeléséhez használt rendszerekhez való vagy azokkal összefüggésben álló rendszergazdai, felhasználói és egyéb hozzáférések vagy tevékenységek mindegyikét. (és kérésre átadja ezeket a naplókat az Kyndryl-nek). A Beszállító vállalja, hogy védelmi intézkedéseket alkalmaz az ilyen naplókhoz való jogosulatlan hozzáféréssel, valamint a naplók módosításával és véletlenszerű vagy szándékos megsemmisítésével szemben.
4.8 A Beszállító vállalja, hogy számítástechnikai védelmet alkalmaz a tulajdonában lévő vagy általa üzemeltetett rendszerekre, beleértve a végfelhasználói rendszereket és a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához, illetve az Kyndryl-technológia kezeléséhez használt rendszereket, és az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljes lemeztitkosítás, aláírás-alapú és nem aláírás-alapú végpontészlelés, válaszlépésekre szolgáló technológiák a kártevők és a fejlett, állandó fenyegetések kezelésére, időalapú képernyőzárolások, valamint a biztonsági konfigurációs és javítási követelményeket kikényszerítő végponti felügyeleti megoldások. A Beszállító emellett vállalja, hogy olyan műszaki és üzemeltetési ellenőrző eszközöket alkalmaz, amelyek biztosítják, hogy kizárólag az ismert és megbízható végfelhasználói rendszerek legyenek jogosultak a Beszállító hálózatainak a használatára.
4.9 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy védelmi eszközöket alkalmaz azon adatközponti környezetek esetén, amelyekben Kyndryl Anyagok találhatók, vagy amelyekben Kyndryl Anyagok feldolgozása történik, és az ilyen védelem a következőket foglalja magában: behatolás észlelése és megakadályozása, szolgáltatásmegtagadási támadásokkal szembeni ellenintézkedések és a támadások súlyosságának enyhítése.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Beszállító vállalja, hogy (a) legalább évente felméri a biztonsági és adatvédelmi kockázatokat; (b) biztonsági vizsgálatot végez és felméri a biztonsági réseket, beleértve egy automatikus rendszer- és alkalmazásbiztonsági vizsgálatot és egy manuális, etikus számítástechnikai betörést a produktív célra történő rendelkezésre bocsátást megelőzően, és ezt követően évente a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozóan, valamint évente az Kyndryl-technológia kezelésére vonatkozóan; (c) megbíz egy képzett, független külső felet, hogy végezzen az Ajánlott iparági eljárásoknak megfelelő behatolásvizsgálatot legalább évente, az automatikus és manuális tesztelést is beleértve; (d) automatikusan felügyeli a Szolgáltatások és Leszállítandó Anyagok egyes összetevőit, és rutinszerűen ellenőrzi a Szolgáltatások és Leszállítandó Anyagok minden összetevőjének, valamint az Kyndryl-technológia kezelésének biztonsági konfigurációs követelményeknek való megfelelését; valamint (e) a kapcsolódó kockázatok, sebezhetőség és a rendszerre gyakorolt hatás alapján javítja az azonosított biztonsági réseket és a biztonsági konfigurációs követelményeknek való meg nem felelést. A Beszállító vállalja, hogy észszerű lépéseket tesz annak érdekében, hogy a Szolgáltatások a tesztek, felmérések, vizsgálatok és javítási tevékenységek során se szüneteljenek. A Beszállító vállalja, hogy az Kyndryl kérésére írásos összefoglalót biztosít a legutóbbi behatolásvizsgálati tevékenységeiről, mely jelentés legalább a következőket tartalmazza: azon ajánlatok neve, amelyekre a vizsgálat kiterjedt, a vizsgálat hatókörébe eső rendszerek vagy alkalmazások száma, a vizsgálat dátuma, a vizsgálatban használt módszertan, valamint az eredmények általános összegzése.
5.2 A Beszállító fenntartja a Szolgáltatás vagy Leszállítandó Anyagok, illetve az Kyndryl-technológia kezelésének módosításával kapcsolatos veszélyek elhárítását célzó szabályokat és eljárásokat. Az érintett rendszerek, hálózatok és alapvető összetevők bármilyen módosítása előtt a Beszállító vállalja, hogy regisztrált módosítási kérésben dokumentálja a következőket: (a) a módosítás leírását és okát, (b) a megvalósítás részleteit és ütemezését, (c) egy kockázati nyilatkozatot, amely ismerteti a módosításnak a Szolgáltatásra, az Leszállítandó Anyagokra, a Szolgáltatás ügyfeleire vagy az Kyndryl Anyagokra gyakorolt hatását, (d) a várt végeredményt, (e) egy visszaállítási tervet és (f) a Beszállító egy erre jogosult munkavállalójának a jóváhagyását.
5.3 A Beszállító vállalja, hogy nyilvántartást vezet a Szolgáltatások üzemeltetése, az Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során használt IT-eszközök mindegyikéről. A Beszállító vállalja, hogy folyamatosan megfigyeli és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Anyagok, Kyndryl-technológiák és ezek alapvető összetevőinek állapotát és rendelkezésre állását.
5.4 A Beszállító vállalja, hogy a Szolgáltatások és Leszállítandó Anyagok fejlesztése vagy üzemeltetése, valamint az Kyndryl-technológia kezelése során használt rendszerek mindegyikét olyan, előre meghatározott rendszerbiztonsági lemezképekből vagy biztonsági alapokból hozza létre, amelyek megfelelnek az Ajánlott iparági eljárásoknak, például a Center for Internet Security (CIS) viszonyítási alapjainak.
5.5 A jelen Tranzakciós Dokumentum és az üzleti folytonosságra vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a dokumentált kockázatkezelési irányelvekben foglaltnak megfelelően külön értékeli az egyes Szolgáltatásokat, Leszállítandó Anyagokat és az Kyndryl-technológia kezeléséhez használt IT-rendszereket az üzleti és IT-folytonosságra és vészhelyreállításra vonatkozó követelmények tekintetében. A Beszállító vállalja, hogy minden Szolgáltatáshoz, Leszállítandó Anyaghoz és IT-rendszerhez, a kockázatértékelés által indokolt mértékben, külön meghatározott, dokumentált, alkalmazott és évente ellenőrzött, az Ajánlott iparági eljárásokkal összhangban álló üzleti és IT-folytonossági, illetve vészhelyreállítási terveket biztosít. A Beszállító vállalja, hogy az ilyen tervek kialakítása úgy történjen, hogy a tervek megfeleljenek az alábbi 5.6-os szakaszban meghatározott helyreállítási célidőtartamoknak.
5.6 Az Üzemeltetett Szolgáltatás vonatkozásában a helyreállításipont-célkitűzés („RPO”) és a helyreállítási célidőtartam („RTO”) a következők: 24 óra RPO és 24 óra RTO. A Beszállító ennek ellenére vállalja, hogy megfelel minden rövidebb időtartamú olyan RPO-nak vagy RTO-nak, amelyet az Kyndryl vállalt egy Ügyfél felé, amint az Kyndryl írásban értesíti a Beszállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (az e-mail írásos értesítésnek minősül). Mivel ez a Beszállító által az Kyndryl számára nyújtott egyéb Szolgáltatások mindegyikét érinti, a Beszállító vállalja, hogy olyan üzleti folytonossági és vészhelyreállítási terveket alakít ki az RPO és az RTO teljesítésére, amelyek lehetővé teszik a Beszállító számára, hogy teljes mértékben eleget tegyen az Kyndryl vállalattal szemben fennálló, a Tranzakciós Dokumentumban és a felek között kötött vonatkozó alapmegállapodásban, valamint ezen feltételekben ismertetett kötelezettségeinek, beleértve a tesztelés, támogatás és karbantartás időben történő biztosítására vonatkozó kötelezettségét is.
5.7 A Beszállító vállalja, hogy a Szolgáltatások, Leszállítandó Anyagok és a kapcsolódó rendszerek, hálózatok, alkalmazások és a Szolgáltatások és Leszállítandó Anyagok körébe tartozó alapvető összetevők, valamint az Kyndryl-technológia kezeléséhez használt hálózatok, alkalmazások, valamint az alapvető összetevők számára létrehozott biztonsági tanácsadási javítócsomagok értékelésére, tesztelésére és alkalmazására kialakított intézkedéseket fog alkalmazni. Amennyiben egy biztonsági tanácsadási javítócsomag alkalmazható és megfelelő, a Beszállító a dokumentált súlyossági és kockázati értékelésnek megfelelően fogja alkalmaznia azt. A biztonsági tanácsadási javítócsomagok Beszállító általi megvalósítására a Beszállító módosításkezelési szabályzata vonatkozik.
5.8 Ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító által az Kyndryl számára biztosított hardver vagy szoftver kártékony elemeket, például kémprogramokat, kártevőket vagy rosszindulatú kódot tartalmaz, akkor a Beszállító vállalja, hogy időben együttműködik az Kyndryl-mel az Kyndryl aggályainak kivizsgálása és orvoslása érdekében.
6. Szolgáltatásnyújtás
6.1 A Beszállító vállalja, hogy támogatja az iparágban általános módszernek számító összevont hitelesítést bármilyen Kyndryl felhasználói vagy Ügyfélfiók vonatkozásában, betartva az Ajánlott iparági eljárásokat az Kyndryl felhasználói vagy Ügyfélfiókok hitelesítése során (például az Kyndryl központilag felügyelt, többtényezős egyszeri bejelentkezése, az OpenID Connect vagy a Security Assertion Markup Language használatával). Alvállalkozók. A jelen Tranzakciós dokumentum és az alvállalkozók bevonására vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a Beszállító számára munkát teljesítő bármilyen alvállalkozó irányítási ellenőrzéseket vezet be a Beszállítóra vonatkozó jelen Feltételekben meghatározott követelményeknek és kötelezettségeknek való megfelelés érdekében.
7. Fizikai adathordozók. A Beszállító vállalja, hogy biztonságosan eltávolít mindent a fizikai adathordozókról azok újbóli felhasználása előtt, és az ismételten felhasználni nem kívánt fizikai adathordozókat megsemmisíti az adathordozók megtisztítására (sanitization) vonatkozó Ajánlott iparági eljárásoknak megfelelően.
8.
IX. cikkely, Üzemeltetett szolgáltatások tanúsításai és jelentései
Ez a cikkely abban az esetben érvényes, ha a Beszállító Üzemeltetett szolgáltatást biztosít az Kyndryl számára.
1.1 A Beszállító vállalja, hogy az alábbi tanúsítások vagy jelentések mindegyikét megszerzi az alábbi meghatározott határidőn belül:
Tanúsítványok/jelentések
Határidő
A Beszállító Üzemeltetett szolgáltatásaival összefüggésben:
Az ISO 27001 – Információtechnológia – Biztonsági technikák – Információbiztonsági irányítási rendszerek című szabványnak való megfelelésről szóló, jó hírnevű, független ellenőr értékelése alapján kiállított tanúsítás.
Vagy
SOC 2 2. típus: Jó hírnevű, független ellenőr által összeállított jelentés, amely igazolja, hogy az ellenőr az SOC 2 2. típus alapján ellenőrizte a Beszállító rendszereit, ellenőrző eszközeit és működését (beleértve legalább a biztonságot, bizalmas kezelést és rendelkezésre állást).
A Beszállító vállalja, hogy az ISO 27001-tanúsítást a jelen Tranzakciós Dokumentum hatályba lépésének dátumát* vagy a kötelezettségvállalási dátumot** követő 120 napon belül megszerzi, majd a tanúsítást ezután 12 havonta egy jó hírnevű, független ellenőr értékelése alapján megújítja (és az egyes megújítások a szabvány éppen aktuális verziója szerint zajlanak).
A Beszállító vállalja, hogy az SOC 2 2. típusú jelentést a jelen Tranzakciós Dokumentum hatályba lépésének dátumát* vagy a kötelezettségvállalási dátumot** követő 240 napon belül megszerzi, majd ezt követően 12 havonta új jelentést szerez be egy jó hírnevű, független ellenőrtől, mely jelentés igazolja, hogy az ellenőr a SOC 2 2. típus alapján ellenőrizte a Beszállító rendszereit, ellenőrző eszközeit és működését (beleértve legalább a biztonságot, bizalmas kezelést és rendelkezésre állást).
*Ha a hatálybalépés dátumán a Beszállító Üzemeltetett Szolgáltatást biztosít.
**Az a dátum, amelyen a Beszállító kötelezettséget vállal Üzemeltetett Szolgáltatás biztosítására.
1.2 Ha a Beszállító írásban kérvényezi és az Kyndryl írásban engedélyezi, a Beszállító beszerezhet egy, a lényegét tekintve a fentiekben megjelöltekkel egyenértékű tanúsítást vagy jelentést annak tudatában, hogy a fenti táblázatban meghatározott határidők a lényegét tekintve egyenértékű tanúsítás vagy jelentés esetében is változatlanul alkalmazandók.
1.3 A Beszállító vállalja, hogy: (a) kérésre haladéktalanul biztosít egy másolatot az Kyndryl számára azokról a tanúsításokról és jelentésekről, amelyeket a Beszállító köteles megszerezni, (b) haladéktalanul orvosolja az SOC 2- vagy (amennyiben az Kyndryl engedélyezi) a lényegét tekintve egyenértékű ellenőrzés során kimutatott esetleges belső ellenőrzési hiányosságokat.
X. cikkely, Együttműködés, ellenőrzés és helyreállítás
Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.
1. Beszállítói együttműködés
1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.
1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.
1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).
2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.
2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.
2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.
2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.
2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.
3. Hamisítás elleni program
3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.
4. Helyreállítás
4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.
4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.
4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Meghatározások
A nagybetűkkel írt szavakat az alábbi definícióknak megfelelően kell értelmezni, ezek hiányában pedig a jelen Feltételek, a Tranzakciós dokumentum vagy a felek között kötött kapcsolódó alapmegállapodás alapján. A „Szolgáltatások” és a „Leszállítandó Anyagok” valószínűleg meg vannak határozva a Tranzakciós dokumentumban vagy a felek közötti kapcsolódó alapmegállapodásban; ha mégsem, akkor a „Szolgáltatások” minden olyan Üzemeltetett szolgáltatást, tanácsadást, telepítést, testreszabást, karbantartást, támogatást, munkaerő-kiegészítést, illetve üzleti, technikai vagy egyéb munkát jelentenek, amelyet a Beszállító a Tranzakciós dokumentumban meghatározottak szerint az Kyndryl számára elvégez, az „Leszállítandó Anyagok” pedig bármilyen szoftverprogramot, platformot, alkalmazást vagy más termékeket, tételeket és a hozzájuk kapcsolódó anyagokat jelentik, amelyeket a Beszállító biztosít az Kyndryl számára a Tranzakciós dokumentumban meghatározottak szerint.
Az Üzleti kapcsolattartási információk („BCI”) azok a Személyes adatok, amelyek egy egyén üzleti minőségben történő eléréséhez, azonosításához és hitelesítéséhez használtak. A BCI-k jellemzően az érintett nevét, vállalati e-mail-címét, fizikai címét, telefonszámát és hasonló információkat foglalják magukban.
A Felhőszolgáltatás bármely „szolgáltatásként kínált”, a Beszállító által üzemeltetett vagy kezelt ajánlat, a „szolgáltatásként kínált szoftvert”, a „szolgáltatásként kínált platformot” és a „szolgáltatásként kínált infrastruktúrát” is ideértve.
Az Adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb testület, amely egyedül vagy másokkal közösen meghatározza a Személyes adatok kezelésének a céljait és módjait.
A Vállalati rendszer minden olyan informatikai rendszert, platformot, alkalmazást, hálózatot vagy hasonlót jelent, amelyekre az Kyndryl az üzleti tevékenysége során támaszkodik, ideértve azokat is, amelyek az Kyndryl intranetjén vagy az interneten találhatók, vagy azokon vagy más módon keresztül férhetők hozzá.
Az Ügyfél az Kyndryl ügyfelét jelenti.
Az Érintett az a természetes személy, aki közvetlen vagy közvetett módon, valamely név, azonosítószám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
A Nap vagy Napok a naptári napokat jelentik, kivéve, ha „munkanapként” vannak megjelölve.
Az Eszköz az Kyndryl vagy a Beszállító által biztosított munkaállomás, laptop, táblagép, okostelefon vagy digitális személyi asszisztens.
A Kezelni, Kezeli vagy Kezelés jelenti az Kyndryl-technológia minden hozzáférését, használatát, tárolását és egyéb jellegű kezeléseit.
Az Üzemeltetett szolgáltatások a Beszállító által üzemeltetett vagy kezelt adatközpont-, alkalmazás-, információtechnológiai vagy Felhőszolgáltatások.
Az Kyndryl-adatok részét képezi minden elektronikus fájl, anyag, szöveg, hanganyag, videó, kép és egyéb és adat, beleértve az Kyndryl Személyes adatokat és nem Személyes adatokat, amelyet az Kyndryl, az Kyndryl Személyzete, egy Ügyfél, egy Ügyfél alkalmazottja vagy bármely más személy illetve jogi személy a Tranzakciós dokumentumban meghatározottak szerint a Beszállítónak átad, illetve feltölt vagy tárol egy Üzemeltetett szolgáltatásban, vagy amelyhez a Beszállító más módon fér hozzá, és amelyet az Kyndryl nevében kezel (feldolgoz).
Az Kyndryl Anyagok az összes Kyndryl-adatot és Kyndryl-technológiát jelentik.
Az Kyndryl Személyes adatok azok a Személyes adatok, amelyeket a Beszállító az Kyndryl nevében feldolgoz. Az Kyndryl Személyes adatok közé tartoznak az Kyndryl által kezelt és az Kyndryl által a További adatkezelők nevében Feldolgozott Személyes adatok.
Az Kyndryl Forráskódja az Kyndryl tulajdonú vagy licencelt Forráskódot jelenti.
Az Kyndryl-technológia olyan Kyndryl Forráskódot, más kódot, leíró nyelveket, firmware-t, szoftvert, eszközöket, terveket, sematikus ábrákat, grafikus ábrákat, beágyazott kulcsokat, tanúsítványokat és egyéb információkat, anyagokat, eszközöket, dokumentumokat és technológiákat jelent, amelyeket az Kyndryl közvetlenül vagy közvetetten licencelt, vagy más módon bocsátott a Beszállító rendelkezésére a Tranzakciós dokumentumban vagy egy kapcsolódó, az Kyndryl és a Beszállító között létrejött megállapodásban meghatározottak szerint.
A „Magában foglalja” és a „Beleértve” szavak sem nagybetűvel, sem kisbetűvel írott alakjai nem értelmezhetők korlátozó feltételként.
Az Ajánlott iparági eljárás a National Institute of Standards and Technology vagy a Nemzetközi Szabványügyi Szervezet, vagy bármely más, hasonló hírnevű és jelentőségű szervezet javaslataival vagy elvárásaival összhangban lévő eljárásokat jelenti.
Az IT információtechnológiát jelent.
A További adatkezelő bármely olyan entitás az Kyndryl-en kívül, amely Kyndryl-adatok Adatkezelője, például az Kyndryl leányvállalata (társvállalata), egy Ügyfél, vagy egy Ügyfél társvállalata.
A Helyszíni Szoftver olyan szoftvert jelent, amelyet az Kyndryl vagy egy alvállalkozó futtat, telepít vagy működtet az Kyndryl vagy az alvállalkozó szerverein vagy rendszerein.Félreértések elkerülése végett, a Helyszíni Szoftver a Beszállító Leszállítandó Anyagának minősül.
A Személyes adat egy Érintettre vonatkozó bármely információ.
A Személyzet azokat jelenti, akik az Kyndryl vagy a Beszállító alkalmazottai, az Kyndryl vagy a Beszállító ügynökei, az Kyndryl vagy a Beszállító által megbízott független vállalkozók, vagy olyanok, akiket egy alvállalkozó bocsátott valamelyik fél rendelkezésére.
A Feldolgoz vagy Feldolgozás az Kyndryl-adatokon végzett művelet vagy műveletek összessége, beleértve a tárolást, a használatot, a hozzáférést és az olvasást.
Az Adatfeldolgozó az a természetes vagy jogi személy, amely Személyes adatokat kezel (feldolgoz) az Adatkezelő nevében.
A Biztonsági incidens a biztonság olyan megsértése, amely (a) Kyndryl Anyagok elvesztéséhez, megsemmisüléséhez, megváltoztatásához vagy jogosulatlan közléséhez, (b) Kyndryl Anyagokhoz véletlenszerű vagy jogosulatlan hozzáférés, (c) Kyndryl-adatok jogszerűtlen Feldolgozása, vagy (d) Kyndryl-technológia jogszerűtlen Kezelése.
Az Eladni (vagy Eladás) az adatok eladását, bérbeadását, kiadását, közlését, terjesztését, rendelkezésre bocsátását, továbbítását vagy egyéb módon, szóban, írásban, elektronikus formában vagy más módon történő közlését jelenti pénzbeli vagy egyéb ellenérték fejében.
A Forráskód egy ember által olvasható programkód, amelyet a fejlesztők egy termék fejlesztésére vagy karbantartására használnak, de amelyet rendszerint nem adnak át a végfelhasználóknak a termék kereskedelmi forgalmazása vagy felhasználása során.
Az Al-adatfeldolgozó a Beszállító bármely alvállalkozója, a Beszállító társvállalatait is ideértve, amely Kyndryl-adatok Feldolgozásával foglalkozik.