Privacy and Security Terms

Hozzáférhet-e a Beszállító vagy az Kyndryl a másik fél Üzleti kapcsolattartási információihoz?

Ha igen, akkor erre a hozzáférésre az I. (Üzleti kapcsolattartási információk) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkelyek vonatkozik.

Példák:

A Beszállító az Kyndryl vagy az Ügyfél alkalmazottainak neveit, e-mail-címeit és telefonszámait támogatáshoz és karbantartáshoz használja.
Az Kyndryl a Beszállító alkalmazottainak neveit és e-mail-címeit a Vállalati rendszerekhez való hozzáférés hitelesítéshez használja.

Megjegyzés:

Ha a Beszállító karbantartást vagy támogatást nyújt, akkor előfordulhat, hogy az Üzleti kapcsolattartási információkon (BCI-n) túlmutató információkhoz is hozzáfér (például naplófájlokhoz, amelyekben Személyes adatok is lehetnek). Ebben az esetben a Beszállítónak a 2. tétel (ha Személyes adatokhoz fog hozzáférni) és a 3. tétel (ha nem Személyes adatokhoz fog hozzáférni) jelölőnégyzetét is be kellene jelölnie.

I. cikkely, Üzleti kapcsolattartási információk

Ez a cikkely abban az esetben érvényes, ha a Beszállító vagy az Kyndryl Feldogozza a másik fél BCI-jét.

1.1 Az Kyndryl és a Beszállító a másik fél BCI-jét a Beszállító Szolgáltatásainak biztosításával és Leszállítandó Anyagainak átadásával kapcsolatos célból dolgozhatja fel.

1.2 A felek:

(a) nem használják fel vagy hozzák nyilvánosságra a másik fél BCI-jét semmilyen más célra (az érthetőség kedvéért: egyik fél sem fogja Eladni a másik BCI-jét, illetve nem használja vagy hozza nyilvánosságra a másik fél BCI-jét marketingcélokra a másik fél előzetes írásbeli hozzájárulása, vagy ahol szükséges, az Érintettek előzetes írásbeli hozzájárulása nélkül), és

(b) a másik fél írásbeli kérésére haladéktalanul törlik, módosítják, javítják vagy visszaküldik a másik fél BCI-jét, információkat szolgáltatnak azok Feldolgozásával kapcsolatban, korlátozzák azok Feldolgozását, vagy bármilyen más észszerűen kért intézkedést megtesznek a másik fél BCI-jére vonatkozóan.

1.3 A felek nem lépnek közös Adatkezelői kapcsolatba egymás BCI-jével kapcsolatban, és a Tranzakciós dokumentum egyik rendelkezését sem értelmezik vagy fogják fel úgy, hogy az közös Adatkezelői kapcsolat létesítésének szándékát jelzi.

1.4 Az Kyndryl https://www.kyndryl.com/privacy címen elérhető adatvédelmi nyilatkozata további részleteket tartalmaz az Kyndryl BCI-k kezelésére vonatkozó eljárásáról.

1.5 A felek implementálták és fenntartják a technikai és szervezési biztonsági intézkedéseket egymás BCI-jének védelme érdekében azok elvesztése, megsemmisítése, megváltoztatása, véletlen vagy jogosulatlan közlése, az azokhoz való véletlen vagy jogosulatlan hozzáférés és azok jogszerűtlen Feldolgozása ellen.

1.6 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen, a Kyndryl BCI-t érintő biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.

1.7 Ha a Beszállító csak az Kyndryl BCI-jét dolgozza fel, és nem fér hozzá semmilyen más adathoz, anyaghoz, vagy bármely Kyndryl Vállalati rendszerhez, akkor a Feldolgozásra csak ez és a X. cikkely (Együttműködés, ellenőrzés és helyreállítás) vonatkozik.

X. cikkely, Együttműködés, ellenőrzés és helyreállítás

Ez a cikkely abban az esetben érvényes, ha a Beszállító Szolgáltatást vagy Leszállítandó Anyagokat nyújt, ad át az Kyndryl számára.

1. Beszállítói együttműködés

1.1 A Beszállító vállalja, hogy ha az Kyndryl-nek oka van feltételezni, hogy bármilyen Szolgáltatás vagy Leszállítandó Anyagok hozzájárulhattak, hozzájárulnak vagy hozzá fognak járulni valamilyen számítógépes biztonsági problémához, akkor a Beszállító az Kyndryl aggályaival kapcsolatos kéréseknek megfelelően észszerűen együttműködik, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén.

1.2 A felek megegyeznek, hogy (a) kérésre eljuttatják egymásnak a további információkat, (b) előállítják és eljuttatják egymásnak a további dokumentumokat és (c) megtesznek minden, a másik fél által kért észszerű dolgot a jelen Feltételek és a Feltételekben megjelölt dokumentumok szándékainak teljesítése céljából. Például a Beszállító vállalja, hogy az Kyndryl kérésére időben biztosítja az Al-adatfeldolgozókkal és alvállalkozókkal kötött szerződésben foglalt adatvédelmi és biztonsági vonatkozású feltételeket, beleértve a szerződésekhez való hozzáférés biztosítását, amennyiben erre a Beszállító jogosult.

1.3 A Beszállító vállalja, hogy az Kyndryl kérésére időben biztosít információt azokról az országokról, ahol a Leszállítandó Anyagokat vagy azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.

2. Ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).

2.1 A Beszállító vállalja, hogy a jelen Feltételeknek való megfelelést igazoló ellenőrizhető nyilvántartást vezet.

2.2 Az Kyndryl, miután erről a Beszállítót 30 nappal korábban írásban értesíti, önállóan vagy egy külső ellenőrrel együtt ellenőrizheti, hogy a Beszállító megfelel-e a jelen Feltételeknek. Ebből a célból hozzáférhet bármilyen Létesítményhez vagy Létesítményekhez, ugyanakkor az Kyndryl nem fog hozzáférni olyan adatközponthoz, ahol a Beszállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszemű okból feltételezi, hogy ez releváns információkat szolgáltatna. A Beszállító vállalja, hogy együttműködést tanúsít az Kyndryl ellenőrzése során, többek között időben és teljes mértékben válaszol az adatkérésekre dokumentumok, egyéb nyilvántartások, a Beszállító felelős Személyzetének interjúi vagy hasonlók révén A Beszállító benyújthatja egy jóváhagyott etikai kódex betartásának bizonyítékát vagy egy iparági tanúsítást, illetve egyéb információkat biztosíthat az Kyndryl számára, amelyek igazolják, hogy a Beszállító betartja a jelen Feltételeket.

2.3 Az ellenőrzésre egy 12 hónapos időszakban egynél többször nem kerülhet sor, kivéve ha: (a) az Kyndryl az előző ellenőrzés során felmerült aggályok Beszállító általi orvoslását ellenőrzi a 12 hónapos időszak alatt vagy (b) Biztonsági incidens történt, és az Kyndryl szeretne megbizonyosodni az incidenssel kapcsolatos kötelezettségeknek való megfelelésről. Az Kyndryl a 2.2-es szakaszban foglaltakhoz hasonlóan mindkét esetben írásos értesítést küld az ellenőrzés előtt 30 nappal, ugyanakkor a Biztonsági incidens elhárításának sürgőssége megkövetelheti, hogy az Kyndryl kevesebb mint 30 nappal az értesítés után végezzen ellenőrzést.

2.4 Előfordulhat, hogy egy szabályozó vagy További Adatkezelő ugyanazokat a jogokat gyakorolja, mint az Kyndryl a 2.2-es és 2.3-as szakaszban leírtak szerint. Egy szabályozó továbbá gyakorolhat minden, a jogszabályban részére biztosított további jogot.

2.5 A Beszállító vállalja, hogy ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító nem felel meg a jelen Feltételek bármelyikének (függetlenül attól, hogy ezen feltételezés alapja a jelen Feltételek alapján végzett ellenőrzés, vagy sem), akkor a Beszállító azonnal orvosolja a nemmegfelelőséget.

3. Hamisítás elleni program

3.1 A Beszállító vállalja, hogy ha a Beszállító Leszállítandó Anyagai elektronikus összetevőket (pl. merevlemez-meghajtókat, SSD-meghajtókat, memóriát, processzort, logikai eszközöket vagy kábeleket) tartalmaz, akkor a Beszállító köteles dokumentált hamisításmegelőző programot fenntartani és követni, elsősorban annak megelőzése céljából, hogy a Beszállító hamisított alkatrészeket biztosítson az Kyndryl számára, másodsorban azon esetek felismerése és orvoslása céljából, amelyek során a Beszállító véletlenül hamisított alkatrészt biztosított az Kyndryl számára. A Beszállító vállalja, hogy valamennyi olyan elektronikai alkatrészeket biztosító beszállítójától is megköveteli a dokumentált hamisításmegelőző program fenntartását és követését, amelyek a Beszállító által az Kyndryl részére nyújtott Leszállítandó Anyagokhoz biztosítanak elektronikus összetevőket.

4. Helyreállítás

4.1 Ha a Beszállító nem teljesíti a jelen Feltételekben meghatározott bármelyik kötelezettséget, és ez Biztonsági incidenst eredményez, akkor a Beszállító köteles orvosolni a teljesítésre vonatkozó hibát, és helyreállítani a Biztonsági incidens káros hatásait az Kyndryl észszerű iránymutatása és ütemezése szerint meghatározott módon. Ha azonban a Biztonsági Incidens a Beszállító által nyújtott multi-tenant Üzemeltetett Szolgáltatásból ered, és következésképpen a Beszállító számos ügyfelét érinti, beleértve az Kyndryl-et is, akkor a Beszállító a Biztonsági Incidens jellegére tekintettel időben és megfelelően kijavítja a hibás teljesítést, és orvosolja a Biztonsági Incidens káros hatásait, kellően figyelembe véve az Kyndryl által az ilyen kijavítással és orvoslással kapcsolatosan adott instrukciókat is.

4.2 Az Kyndryl jogosult részt venni a fenti 4.1. pontban hivatkozott bármely Biztonsági Incidens helyreállításában, ha helyénvalónak vagy szükségesnek látja, továbbá A Beszállító felelős a kiadásokért és költségekért, amelyek a teljesítés korrigálása, valamint az ilyen Biztonsági Incidens helyreállítása során a feleknél felmerültek.

4.3 Például a biztonsági incidenssel kapcsolatos helyreállítási költségek a következők költségét foglalhatják magukba: a Biztonsági incidens felderítése és kivizsgálása, az alkalmazandó jogszabályok és rendelkezések szerinti felelősségek meghatározása, a biztonsági incidensről szóló értesítések kiküldése, a telefonos ügyfélszolgálatok létrehozása és fenntartása, a hitelesség követési és helyreállítási (credit monitoring and credit restoration )szolgáltatások, az adatok újratöltése, a termékhibák kijavítása (többek között a Forráskódon vagy más fejlesztésen keresztül), a harmadik felek bevonása az szóban forgó vagy más kapcsolódó tevékenységek támogatása érdekében, valamint a Biztonsági incidens káros hatásainak helyreállításához szükséges egyéb költségek. Az egyértelműség kedvéért, az Kyndryl elmaradt haszna, elmaradt üzlete, értékcsökkenése, elmaradt bevétele, az elveszett jó hírneve és a remélt megtakarítás elvesztése nem tartoznak a helyreállítási költségek közé.

Hozzá fog férni a beszállító Személyes adatokhoz?

Ha igen, akkor erre a hozzáférésre a II. (Technikai és szervezési intézkedések, adatbiztonság), a III. (Adatvédelem), a VIII. (Technikai és szervezési intézkedések, általános biztonság) és a X. (Együttműködés, ellenőrzés és helyreállítás) cikkely vonatkozik.

Példák:

A Beszállító Személyes adatokhoz fér hozzá az Kyndryl belső használatára, vagy az Ügyfelek általi használatra vagy mindkettőre szánt Üzemeltetett szolgáltatások teljesítésekor.
A Beszállító orvosi vagy egészségügyi, marketinges vagy emberi erőforrásokkal vagy juttatásokkal kapcsolatos Szolgáltatásokat nyújt, így Személyes adatokhoz fér hozzá.
A Beszállító Személyes adatokat tartalmazó naplófájlokhoz fér hozzá, támogatási Szolgáltatások nyújtásához.

II. cikkely, Technikai és szervezési intézkedések, adatbiztonság

Ez a cikkely abban az esetben érvényes, ha a Beszállító az Kyndryl BCI-jétől eltérő Kyndryl-adatokat dolgoz fel. A Beszállító vállalja, hogy megfelel a jelen cikkely követelményeinek a Szolgáltatások és Leszállítandó Anyagok biztosítása során, és ezzel megvédi az Kyndryl-adatokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlenszerű vagy jogosulatlan közléssel, véletlenszerű vagy jogosulatlan hozzáféréssel, valamint a Feldolgozás törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel az Leszállítandó Anyagok és a Szolgáltatások biztosítása érdekében, ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.

1. Adathasználat

1.1 A Beszállító az Kyndryl előzetes írásbeli hozzájárulása nélkül az Kyndryl-adatokhoz semmilyen egyéb információt vagy adatot nem ad hozzá és nem mellékel, Személyes adatokat sem, és a Beszállító az Kyndryl-adatokat a Szolgáltatások és Leszállítandó anyagok nyújtásán ás átadásán kívül semmilyen más célra, semmilyen formában, összesített vagy egyéb módon nem használja fel (például a Beszállító nem jogosult az Kyndryl-adatokat a Beszállítói ajánlatok hatékonyságának kiértékelésére vagy fejlesztési módjainak javítására, új ajánlatok létrehozására irányuló kutatási és fejlesztési tevékenységekre, vagy a Beszállító ajánlatairól szóló jelentések készítésére felhasználni vagy újrafelhasználni). Ha a Tranzakciós dokumentumban kifejezetten nincs engedélyezve, a Beszállító számára tilos az Kyndryl-adatok Eladása.

1.2 A Beszállító semmilyen webes nyomkövető technológiát (például HTML5-öt, helyi tárolót, harmadik felek címkéit vagy tokenjeit, webjelzőket) nem ágyaz be az Leszállítandó Anyagokba vagy a Szolgáltatások részeként, kivéve, ha a Tranzakciós dokumentum ezt kifejezetten lehetővé teszi.

2. Harmadik felek kérelmei és titoktartás

2.1 A Beszállító nem osztja meg az Kyndryl-adatokat semmilyen harmadik féllel, kivéve, ha erre az Kyndryl előzetesen írásban felhatalmazta. Ha egy kormányzat vagy szabályozó hatóság megköveteli az Kyndryl-adatokhoz való hozzáférést (például az Amerikai Egyesült Államok kormányzata egy nemzetbiztonsági rendelkezésre hivatkozva igényel Kyndryl-adatokat a Beszállítótól), vagy ha az Kyndryl-adatok közlését a törvény egyéb módon előírja, a Beszállító az ilyen igényről vagy követelésről írásban értesíti az Kyndryl-et, és észszerű lehetőséget biztosít az Kyndryl számára az adatközlési igény megtámadására (amennyiben a törvény tiltja az értesítést, a Beszállító megteszi azokat az intézkedéseket, amelyeket észszerűen megfelelőnek tart a tiltás és az Kyndryl-adatok közlésének bírósági eljárás útján vagy más módon történő megtámadása érdekében).

2.2 A Beszállító biztosítja az Kyndryl-et arról, hogy: (a) csak azoknak az alkalmazottaknak ad hozzáférést az Kyndryl-adatokhoz, akiknek a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához szükségük van a hozzáférésre, és akkor is csak a az ehhez szükséges mértékben; és (b) alkalmazottait olyan titoktartási kötelezettség elfogadására kötelezi, amely előírja, hogy csak a jelen Feltételekben engedélyezettek szerint használják és tárják fel az Kyndryl-adatokat.

3. Kyndryl-adatok visszaszolgáltatása vagy törlése

3.1 A Beszállító az Kyndryl döntésének megfelelően törli vagy visszaküldi az Kyndryl-adatokat az Kyndryl-nek a Tranzakciós dokumentum megszűnésekor vagy lejáratakor, illetve ennél korábban is, ha az Kyndryl kéri. Ha az Kyndryl törlést igényel, akkor a Beszállító az Ajánlott iparági eljárásokkal összhangban olvashatatlanná teszi az adatokat, azok újbóli összeállítását vagy helyreállítását lehetetlenné teszi, és megerősíti a törlést az Kyndryl felé. Ha az Kyndryl az Kyndryl-adatok visszaküldését kéri, akkor a Beszállító ezt az Kyndryl észszerű ütemezése és írásbeli utasításai alapján hajtja végre.

III. cikkely, Adatvédelem

Ez a cikkely abban az esetben érvényes, ha a Beszállító Feldolgozza az Kyndryl Személyes adatokat.

1. Feldolgozás

1.1 Az Kyndryl kinevezi a Beszállítót Adatfeldolgozóként, hogy végezze el az Kyndryl Személyes adatok feldolgozását kizárólag az Leszállítandó Anyagok és Szolgáltatások nyújtása, átadása céljából az Kyndryl utasításainak megfelelően, beleértve a jelen Feltételekben, a Tranzakciós dokumentumban és a felek közötti kapcsolódó alapmegállapodásban foglalt utasításokat. Ha a Beszállító nem tart be valamilyen utasítást, az Kyndryl írásbeli értesítés mellett felmondhatja a Szolgáltatás érintett részét. Ha a Beszállító véleménye szerint egy utasítás megsérti az adatvédelmi jogszabályokat, arról haladéktalanul és a jogszabály által előírt időtartamon belül értesítenie kell az Kyndryl-et.

1.2 A Beszállító vállalja, hogy a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozó valamennyi adatvédelmi jogszabályt betartja.

1.3 A Tranzakciós dokumentum Melléklete vagy maga a Tranzakciós dokumentum meghatározza az alábbiakat az Kyndryl-adatokra vonatkozóan:

(a) az Érintettek kategóriáit;

(b) az Kyndryl Személyes adatok típusait;

(c) adatkezelési műveleteket és Feldolgozási tevékenységeket;

(d) a Feldolgozás időtartamát és gyakoriságát; valamint

(e) az Al-adatfeldolgozók listáját.

2. Technikai és Szervezési Intézkedések

2.1 A Beszállító implementálja és elvégzi a II. (Technikai és szervezési intézkedések, adatbiztonság) és a VIII. (Technikai és szervezési intézkedések, általános biztonság) cikkelyben meghatározott technikai és szervezési intézkedéseket, és ezzel gondoskodik a Szolgáltatások és az Leszállítandó Anyagok jelentette kockázatnak megfelelő biztonsági szint kialakításáról. A Beszállító elismeri és megértette a II. cikkelyben, a jelen III. cikkelyben, valamint a VIII. cikkelyben foglalt korlátozásokat, és betartja azokat.

3. Az Érintettek jogai és kérelmei

3.1 A Beszállító haladéktalanul értesíti az Kyndryl-et (egy olyan ütemezés szerint, amely lehetővé teszi az Kyndryl-nek és a További Aadatkezelőknek, hogy teljesíthessék jogi kötelezettségeiket) az Érintettek minden olyan kéréséről, amelyek az Érintettek Személyes adatokkal kapcsolatos jogaik gyakorlására vonatkozik (például az adatok helyesbítésére, törlésére vagy blokkolására, zárolására). A Beszállító az ilyen kérést benyújtó Érintettet haladéktalanul az Kyndryl-hez irányíthatja. A Beszállító az Érintett kérésére kizárólag akkor válaszol, ha a válaszadást számára jogszabály írja elő, vagy az Kyndryl írásban erre utasítja.

3.2 Ha az Kyndryl köteles az Kyndryl Személyes adatokkal kapcsolatban információkat biztosítani További adatkezelők vagy más külső felek (például az Érintettek vagy a szabályalkotók) felé, akkor ebben a Beszállító az információk biztosításával és az Kyndryl kérésének megfelelő észszerű további intézkedések meghozatalával segítséget nyújt az Kyndryl-nek, olyan ütemben, amely lehetővé teszi az Kyndryl számára, hogy időben válaszoljon ezen További Adatkezelőknek vagy harmadik feleknek.

4. Al-adatfeldolgozók

4.1 A Beszállító előzetes írásbeli értesítést küld az Kyndryl-nek egy új Al-adatfeldolgozó hozzáadása vagy egy meglévő Al- adatfeldolgozó adateldolgozási terjedelmének(hatókörének) kiterjesztése előtt. Az ilyen írásbeli értesítés azonosítja az Al-adatfeldolgozó nevét, és leírja a Feldolgozás új vagy kibővített hatókörét. Az Kyndryl bármikor észszerű okokból kifogást emelhet az új Al-adatfeldolgozók vagy a kibővített hatókörök ellen, és ha így tesz, a felek jóhiszeműen együttműködnek az Kyndryl kifogásának rendezése érdekében. Az Kyndryl bármikor élhet tiltakozáshoz való jogával, de a Beszállító megbízhatja az új Al- adatfeldolgozót vagy kiterjesztheti a meglévő Al- adatfeldolgozó Feldolgozási hatókörét, ha az Kyndryl a Beszállító írásbeli értesítésétől számított 30 napon belül nem emel kifogást.

4.2 A Beszállító a jelen Feltételekben meghatározott adatvédelmi, biztonsági és tanúsítási kötelezettségeket minden jóváhagyott Al-adatfeldolgozóra is kiterjeszti, mielőtt az Al-adatfeldolgozó bármilyen Kyndryl-adatot Feldolgozna. A Beszállító teljes felelősséggel tartozik az Kyndryl felé az Al-adatfeldolgozók kötelezettségeinek teljesítéséért.

5. Határokon átívelő adatfeldolgozás

Az alábbiak szerint:

Megfelelő adatvédelmi szintet nyújtó ország – a vonatkozó adatátadás tekintetében az irányadó adatvédelmi jogszabályoknak, illetve a szabályozóhatóságok határozatainak megfelelő szintű adatvédelmet biztosító ország.

Adatátvevő – olyan Adatfeldolgozó vagy Al-adatfeldolgozó, amely nem egy Megfelelő adatvédelmi szintet nyújtó országban tevékenységi hellyel rendelkező vállalat.

EU-s általános szerződési feltételek („EU ÁSZF”) – az EU-s általános szerződési feltételek (a Bizottság (EU) 2021/914 Végrehajtási Határozata) az opcionális feltételek alkalmazásával, kivéve a 9. feltétel 1. lehetőségét és a 17. feltétel 2. lehetőségét, a https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en oldalon hivatalosan közzétetteknek megfelelően.

A Szerbiai Általános Szerződési Feltételek („szerb ÁSZF”) a Szerbiai Általános Szerződési Feltételeket jelenti, olyan formában, ahogyan azt a Közérdekű Információk és Személyes Adatvédelem Szerb Biztosa elfogadta. A dokumentum itt tekinthető meg: https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

Az Általános szerződési feltételek („ÁSZF”) olyan szerződési feltételeket jelent, amelyeket az alkalmazandó adatvédelmi törvények a Személyes adatok nem Megfelelő adatvédelmi szintet nyújtó országban letelepedett Adatfeldolgozóknak történő továbbításkor előírnak.

Az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez („UK Kiegészítés”): az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez, amely hivatalosan a következő címen került közzétételre: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .

5.1 A Beszállító semmilyen Kyndryl Személyes adatot az Kyndryl előzetes írásbeli hozzájárulása nélkül nem továbbít vagy közöl külföldre (beleértve a távoli hozzáférést is). Az Kyndryl hozzájárulása esetén a felek kötelesek együttműködni az alkalmazandó adatvédelmi jogszabályoknak való megfelelés biztosítása érdekében. Ha ezek a jogszabályok előírják az ÁSZF használatát, a Beszállító az Kyndryl kérésére haladéktalanul megköti az ÁSZF-et.

5.2 Az EU ÁSZF-fel kapcsolatban:

(a)Ha a Beszállítónak nem Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye: a Beszállító, mint Adatátvevő egy EU ÁSZF-et ír alá az Kyndryl-mel, és a Beszállító az EU ÁSZF 9. cikkelyének megfelelően írásbeli megállapodásokat köt minden olyan jóváhagyott Al-adatfeldolgozóval, és kérésre megküldi az Kyndryl-nek a megállapodások másolatait.

(i) az EU ÁSZF 1. modulja nem alkalmazandó, kivéve, ha a felek ettől eltérően állapodtak meg írásban.

(ii) Az EU ÁSZF 2. modulja akkor alkalmazandó, ha az Kyndryl Adatkezelőként jár el, a 3. modul pedig akkor, ha az Kyndryl Adatfeldolgozóként jár el. Az EU ÁSZF 13. záradékával összhangban, amennyiben a 2. vagy 3. modul alkalmazandó, a felek megállapodnak abban, hogy (1) az EU ÁSZF-re annak az uniós tagállamnak a joga az irányadó, ahol az illetékes felügyeleti hatóság található, és (2) az EU ÁSZF-ből eredő bármely jogvitát annak az uniós tagállamnak a bíróságai előtt kell elbírálni, ahol az illetékes felügyeleti hatóság található. Ha az (1) pont szerinti jog nem teszi lehetővé a harmadik fél kedvezményezetti jogait, akkor az EU ÁSZF-re a holland jog az irányadó, és az EU ÁSZF-ből eredő, a (2) pont szerinti jogvitákat az amszterdami bíróság (Hollandia) rendezi.

(b) Ha a Beszállító székhelye az Európai Gazdasági Térségben található, és az Kyndryl az Általános Adatvédelmi Rendelet ((EU) 2016/679 Rendelet) hatálya alá nem tartozó Adatkezelő, akkor az EU ÁSZF 4. modulja alkalmazandó, és a Beszállító ezennel adatátadóként köti meg az EU ÁSZF-t az Kyndryl-mel. Amennyiben az EU ÁSZF 4. modulja alkalmazandó, a felek megállapodnak abban, hogy az EU ÁSZF-re a holland jog az irányadó, és az EU ÁSZF-ből eredő bármely jogvitát az amszterdami bíróság (Hollandia) rendezi.

(c) Ha Más Adatkezelők, például Ügyfelek vagy kapcsolt vállalkozások, a 7. feltételben foglalt „dokkolási feltétel” alapján kérik, hogy az EU ÁSZF részesévé váljanak, a Beszállító ezennel beleegyezik bármely ilyen kérésbe.

(d) Az EU ÁSZF II. mellékletének teljesítéséhez szükséges Technikai és Szervezési Intézkedések a jelen Feltételekben, magában a Tranzakciós Dokumentumban és a felek közötti kapcsolódó alapmegállapodásban találhatók meg.

(e) Az EU ÁSZF és a jelen Feltételek közötti bármely ellentmondás esetén az EU ÁSZF az irányadó.

5.3 Az Egyesült Királyság kiegészítéseit (UK Addendum) illetően:

(a) Ha a Szállító székhelye nem megfelelő adatvédelmi szintet nyújtó országban van: (i) A Szállító mint adatátvevő a Kyndryllel való viszonylatban az Egyesült Királyság kiegészítéseit alkalmazza a fent meghatározott EU ÁSZF kiegészítéseként (adott esetben, a feldolgozási tevékenységek körülményeitől függően); és (ii) a Szállító írásos megállapodást köt minden jóváhagyott további adatkezelővel, és e megállapodások másolatait kérésre átadja a Kyndrylnek.

(b) Ha a Szállító székhelye megfelelő adatvédelmi szintet nyújtó országban van, és a Kyndryl olyan adatkezelő, amelyre nem vonatkozik az Egyesült Királyság Általános Adatvédelmi Rendelete (amely az Egyesült Királyságnak az EU-ból való kilépésről rendelkező 2018. évi törvénye (European Union (Withdrawal) Act 2018) révén került az Egyesült Királyság jogába), akkor a Szállító adatátadóként a Kyndryl viszonylatában csatlakozik az Egyesült Királyság kiegészítéseihez a fenti 5.2(b) szakaszban meghatározott EU ÁSZF-re vonatkozóan.

(c) Ha más adatkezelők, például vevők vagy társvállalatok csatlakozni kívánnak az Egyesült Királyság kiegészítéseihez, a Szállító beleegyezik minden ilyen kérésbe.

(d) Az Egyesült Királyság kiegészítéseinek Függelékre vonatkozó információi (a 3. táblázatban foglaltak szerint) megtalálhatók a vonatkozó EU ÁSZF feltételekben, a jelen Feltételekben, magában a Tranzakciós dokumentumban és a kapcsolódó, felek közötti alapszerződésben. Az Egyesült Királyság kiegészítéseinek változása esetén sem a Kyndryl, sem a Szállító nem szüntetheti meg az Egyesült Királyság kiegészítéseit.

(e) Az Egyesült Királyság kiegészítése(i) és jelen Feltételek közötti bármilyen ütközés esetén az Egyesült Királyság kiegészítése(i) az irányadó(k).

5.4 A Szerb ÁSZF-fel kapcsolatban:

(a) Ha a Beszállítónak nem Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye: (i) a Beszállító – saját nevében, mint Adatfeldolgozó – Szerb ÁSZF-et ír alá az Kyndryl-mel; és (ii) a Beszállító a Szerb ÁSZF 8. cikkelyének megfelelően írásbeli megállapodásokat köt minden jóváhagyott Al-adatfeldolgozóval, és kérésre megküldi az Kyndryl-nek a megállapodások másolatait.

(b) Ha a Beszállítónak Megfelelő adatvédelmi szintet nyújtó országban van a tevékenységi helye, akkor a Beszállító – valamennyi nem megfelelő adatvédelmi szintet nyújtó országban található Al-adatfeldolgozó nevében – Szerb ÁSZF-et ír alá az Kyndryl-mel. Ha a Beszállító valamelyik Al-adatfeldolgozónál ezt nem tudja megtenni, akkor eljuttatja az Kyndryl-nek az érintett Al-adatfeldolgozó által aláírt Szerb ÁSZF-et az Kyndryl által történő ellenjegyzésre, mielőtt lehetővé tenné az Al-adatfeldolgozó számára az Kyndryl Személyes adatok Feldolgozását.

(c) Az Kyndryl és a Beszállító között megköttetett Szerb ÁSZF – ahogy azt a körülmények megkövetelik – lehet egy Adatkezelő és egy Adatfeldolgozó közötti Szerb ÁSZF, vagy pedig az „adatfeldolgozó” és az „al-adatfeldolgozó” közötti megfelelően tükröztetett írásos megállapodás. A Szerb ÁSZF és a jelen Feltételek közötti bármely ellentmondás esetén a Szerb ÁSZF az irányadó.

(d) szükséges információk megtalálhatók a jelen Feltételekben és a Tranzakciós Dokumentum mellékletében, vagy magában a Tranzakciós Dokumentumban.

6. Támogatás és nyilvántartások

6.1 A Beszállító a Feldolgozás jellegét figyelembe véve az Kyndryl-et megfelelő technikai és szervezési intézkedésekkel támogatja annak érdekében, hogy az Kyndryl eleget tehessen az Érintettek kéréseinek és jogainak betartására vonatkozó kötelezettségeinek. A Beszállító vállalja, hogy segítséget nyújt az Kyndryl-nek abban, hogy eleget tehessen a Feldolgozás biztonságára, a biztonsági incidensek jelentésére és kommunikálására, illetve az adatvédelmi hatásvizsgálatra vonatkozó kötelezettségeinek, beleértve a felelős szabályozóval folytatott előzetes konzultációt, amennyiben szükséges, figyelembe véve a Beszállító számára elérhető információkat.

6.2 A Beszállító naprakész nyilvántartást vezet minden Al-adatfeldolgozójának nevéről és kapcsolattartási adatairól, beleértve az Al-adatfeldolgozók képviselőjét és adatvédelmi felelősét. A Beszállító kérésre az Kyndryl rendelkezésére bocsátja a nyilvántartást, olyan ütemben, amely lehetővé teszi az Kyndryl számára, hogy időben reagáljon az Ügyfél vagy más harmadik felek igényeire.

VIII. cikkely – Technikai és Szervezési Intézkedések, Általános biztonság

A jelen Cikkely arra az esetre vonatkozik, ha a Beszállító valamilyen Szolgáltatást vagy Szállítandót biztosít az Kyndryl számára, kivéve, ha a Beszállító csak az Kyndryl BCI-hez fér hozzá az adott Szolgáltatások és Szállítandók nyújtásához (vagyis a Beszállító nem dolgoz fel semmilyen más Kyndryl-adatot, illetve nem rendelkezik hozzáféréssel bármilyen más Kyndryl Anyaghoz vagy Vállalati Rendszerhez), ha a Beszállító Szolgáltatásai és Leszállítandó Anyagai kizárólag a Helyszíni Szoftver Kyndryl részére történő rendelkezésre bocsátását tartalmazzák, illetve ha a Beszállító a Szolgáltatásainak és Leszállítandóinak mindegyikét a VII. cikkelynek, valamint a cikkely 1.7-es szakaszának megfelelő munkaerő-kiegészítési modell keretében biztosítja.

A Beszállító vállalja, hogy megfelel a jelen Cikkely követelményeinek, és ezzel megvédi (a) az Kyndryl Anyagokat az elvesztéssel, megsemmisüléssel, megváltoztatással, véletlen vagy jogosulatlan közléssel, véletlen vagy jogosulatlan hozzáféréssel, (b) az Kyndryl-adatokat a Feldolgozás törvénytelen formáival, valamint (c) az Kyndryl-technológiát a Kezelés törvénytelen formáival szemben. A jelen cikkely követelményei kiterjednek minden IT-alkalmazásra, -platformra és -infrastruktúrára, amelyeket a Beszállító üzemeltet vagy kezel a Leszállítandó Anyagok és a Szolgáltatások átadása, nyújtása, valamint az Kyndryl-technológia kezelése során , ideértve minden fejlesztési, tesztelési, üzemeltetési, támogatási és adatközpont-környezetet.

1. Biztonsági irányelvek

1.1 A Beszállító vállalja, hogy a Beszállító üzleti tevékenységének szerves részét képező, és a Beszállító minden Munkavállalójára kötelező érvényű informatikai biztonsági szabályzatokat és gyakorlatokat alkalmaz és követ az Ajánlott iparági eljárásokkal összhangban.

1.2 A Beszállító vállalja, hogy legalább évente egyszer felülvizsgálja az informatikai biztonsági szabályzatait és gyakorlatait, és szükség esetén saját megítélése szerint módosítja őket az Kyndryl Anyagok védelme érdekében.

1.3 A Beszállító vállalja, hogy szabványos és kötelező munkavállaló-ellenőrzési követelményeket alkalmaz és követ minden új munkavállaló-felvétel esetén, és a követelményeket kiterjeszti a Beszállító minden Munkavállalójára és teljes tulajdonában álló leányvállalatára. Ezek a követelmények magukban foglalják a helyi jogszabályok által megengedett mértékig terjedő bűnügyi háttérellenőrzést, a személyazonosságot igazoló okmányok ellenőrzését és minden további olyan ellenőrzést, amelyet a Beszállító szükségesnek ítél. A Beszállító vállalja, hogy időszakosan megismétli és újraértékeli ezeket a követelményeket, amikor azt szükségesnek ítéli.

1.4 A Beszállító vállalja, hogy évente biztonsági és adatvédelmi oktatásban részesíti a munkavállalóit, és minden ilyen munkavállalótól megköveteli, hogy évente tanúsítsák a Beszállító etikus üzleti magatartása, bizalmas kezelési és biztonsági szabályzatainak való megfelelést a Beszállító magatartási kódexében vagy hasonló dokumentumaiban meghatározott módon. A Beszállító vállalja, hogy további, a szabályzatokkal és folyamatokkal kapcsolatos képzéseket nyújt azon személyek számára, akik adminisztratív hozzáféréssel rendelkeznek a Szolgáltatások, a Leszállítandó Anyagok vagy az Kyndryl Anyagok valamelyik összetevőjéhez, mely képzés a személyek szerepköréhez és a Szolgáltatások, Leszállítandó Anyagok és Kyndryl Anyagok támogatásához kapcsolódik, illetve a kötelező megfelelés és tanúsítások fenntartásához szükséges.

1.5 A Beszállító vállalja, hogy biztonsági és adatvédelmi intézkedéseket alakít ki az Kyndryl Anyagok elérhetőségének védelméhez és megőrzéséhez, többek között a Szolgáltatásokkal és Leszállítandókkal, illetve az Kyndryl-technológia minden Kezelésével összefüggésben a beépített biztonságot és adatvédelmet, biztonságos fejlesztést, valamint a biztonságos működést megkövetelő szabályzatok és eljárások megvalósításával, fenntartásával és a nekik való megfeleléssel.

2. Biztonsági incidensek

2.1 A Beszállító vállalja, hogy az Ajánlott iparági eljárásoknak megfelelő, a dokumentált incidens kezelési szabályzatokat alkalmaz és követ.

2.2 A Beszállító vállalja, hogy kivizsgálja az Kyndryl Anyagokhoz való jogosulatlan hozzáféréseket és az Kyndryl Anyagok jogosulatlan használatát, valamint megfelelő válaszadási tervet határoz meg és hajt végre.

2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A szállító a következő értesítést küldi a cyber.incidents@kyndryl.com címre. A Beszállító köteles információt biztosítani az Kyndryl észszerű igényei szerint az érintett biztonsági incidensekről és a Beszállító által foganatosított javítási és helyreállítási intézkedésekről. Az észszerűen igényelt információk magukban foglalhatják például az Eszközökhöz, rendszerekhez vagy alkalmazásokhoz való emelt szintű (privilegizált), adminisztratív és egyéb jellegű hozzáférést bizonyító naplókat, Eszközök, rendszerek vagy alkalmazások felderítési célú (forensic) képeit és más hasonló tételeket, a jogsértés vagy a Beszállító kármentesítési és helyreállítási tevékenységeinek szempontjából releváns mértékben.

2.4 A Beszállító vállalja, hogy észszerű segítséget nyújt az Kyndryl számára az Kyndryl vállalat, az Kyndryl leányvállalatai és az Ügyfelek (valamint ügyfeleik és leányvállalataik) a Biztonsági incidenssel összefüggésben fennálló jogi kötelezettségeinek (beleértve a szabályozó hatóságok és Érintettek értesítésére vonatkozó kötelezettségeket) teljesítésében.

2.5 A Beszállító vállalja, hogy nem tájékoztat vagy értesít harmadik felet arról, ha egy Biztonság Incidens közvetlenül vagy közvetve az Kyndryl-hez vagy Kyndryl Anyagokhoz kapcsolódik, kivéve, ha az Kyndryl ezt írásban jóváhagyta, vagy ha azt jogszabály írja elő. A Beszállító vállalja, hogy a harmadik feleknek szóló, jogszabályban előírt értesítés elküldését megelőzően írásban értesíti az Kyndryl vállalatot, amennyiben az adott értesítés közvetve vagy közvetlenül felfedné az Kyndryl kilétét.

2.6 A jelen Feltételekben foglalt kötelezettségeknek a Beszállító általi megsértéséből fakadó Biztonsági incidens esetén:

(a) Beszállító felel minden saját költségért, illetve az Kyndryl-nél felmerülő tényleges költségért, amely a Biztonsági incidensről szóló értesítés a vonatkozó szabályozó hatóságok, egyéb kormányzati vagy érintett iparági önszabályozó testületek, a média (ha az alkalmazandó jog ezt előírja), az Érintettek, az Ügyfelek és más személyek értesítésével kapcsolatos,

(b) az Kyndryl kérésére a Beszállító saját költségén felállít és az Adatvédelmi Incidensről szóló értesítés kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) fenntart egy telefonos ügyfélszolgálatot, hogy megválaszolja az érintett személyek kérdéseit az Adatvédelmi Incidensről és annak következményeiről. Az Kyndryl és a Beszállító együtt dolgozza ki az ügyfélszolgálati munkatársak által a kérdések megválaszolása során alkalmazandó szövegeket és egyéb anyagokat. Alternatív megoldásként, a Beszállítónak küldött írásbeli értesítéssel a Beszállító által létrehozott telefonos ügyfélszolgálat helyett az Kyndryl is létrehozhatja és fenntarthatja saját telefonos ügyfélszolgálatát, amely esetben a telefonos ügyfélszolgálat létrehozása és működtetése során keletkező, az Kyndryl-et terhelő költségeket a Beszállító az Kyndryl számára megtéríti, továbbá

(c) a Beszállító az Biztonsági Incidensről szóló értesítés az incidens által érintett személyeknek (akik a hitelesség követési és helyreállítási szolgáltatásra (credit monitoring and credit restoration)történő regisztráció mellett döntöttek) történő kiküldésétől számított 1 éven keresztül vagy az alkalmazandó adatvédelmi jog követelményei szerint (amelyik nagyobb védelmet biztosít) megtéríti az Kyndryl számára az Kyndryl által fenntartott credit monitoring and credit restoration szolgáltatások tényleges költségeit.

3. Fizikai biztonság és Belépés-ellenőrzés (az alább használt „Létesítmény” szó egy olyan fizikai helyet jelöl, ahol a Beszállító üzemelteti vagy feldolgozza az Kyndryl Anyagokat, illetve azokhoz más módon hozzáfér).

3.1 A Beszállító vállalja, hogy megfelelő fizikai belépés-ellenőrzési intézkedéseket (például korlátok, kártyás beléptető pontok, biztonsági kamerák és recepciós pultok) alkalmaz annak érdekében, hogy megvédje a Létesítményeket a jogosulatlan belépéssel szemben.

3.2 A Beszállító vállalja, hogy a Létesítményeibe és azok ellenőrzött területeire való belépéshez, az ideiglenes belépést is beleértve, jóváhagyást követel meg, és a belépést munkaszerep és üzleti ok szerint korlátozza. Ha a Beszállító ideiglenes belépést biztosít, egy felhatalmazott munkavállalója kíséri az ideiglenes belépésre jogosult látogatót a Létesítményben és az ellenőrzött területeken való tartózkodása során.

3.3 A Beszállító vállalja, hogy olyan fizikai belépés-ellenőrzési eszközöket valósít meg, beleértve a többtényezős belépés-ellenőrzést is, amelyek összhangban állnak az Ajánlott iparági eljárásokkal, megfelelő módon korlátozzák a belépést az ellenőrzött területekre a Létesítményekbe, naplóznak minden belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzik.

3.4 A Beszállító vállalja, hogy visszavonja a Létesítményekhez és a Létesítményekben található ellenőrzött területekhez való hozzáférést, amennyiben (a) a Beszállító hozzáférésre jogosult munkavállalója távozik a vállalattól, vagy (b) a Beszállító jogosult munkavállalójának már nincs szüksége üzleti okokból a hozzáférésre. A Beszállító a munkavállalók távozásakor hivatalos, dokumentált folyamat szerint jár el, amely magában foglalja a hozzáférés-ellenőrzési listáról való azonnali eltávolítást és a fizikai hozzáférési jelvények leadását.

3.5 A Beszállító vállalja, hogy óvintézkedéseket tesz a Szolgáltatások és Leszállítandó Anyagok támogatásához, valamint az Kyndryl-technológia kezeléséhez használt fizikai infrastruktúra környezeti fenyegetésekkel szemben való védelme érdekében. Ide tartoznak a természetes és ember okozta veszélyek is, például a szélsőséges környezeti hőmérséklet, a tűzeset, az áradás, a magas páratartalom, a lopás és a rongálás is.

4. Hozzáférés, beavatkozás, továbbítás és szétválasztás szabályozás

4.1 A Beszállító a Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során a Szolgáltatások működtetése során kezelt hálózatokra dokumentált biztonsági architektúrát alkalmazza. A Beszállító vállalja, hogy miden ilyen hálózati architektúrát külön vizsgálatnak vet alá, és intézkedések foganatosításával gátolja meg a rendszerekkel, alkalmazásokkal és hálózati eszközökkel létesíteni kívánt jogosulatlan hálózati kapcsolatokat, a biztonságos szegmentálási, elkülönítési és a mélységi védelmi szabványoknak való megfelelés érdekében. A Beszállító nem használhat vezeték nélküli technológiát bármilyen Üzemeltetett Szolgáltatás biztosítása vagy üzemeltetése során. A Beszállító használhat vezeték nélküli technológiát a Szolgáltatások teljesítésekor, a Leszállítandók leszállításakor és az Kyndryl-technológia kezelése során, azonban vállalja, hogy minden vezeték nélküli hálózatot titkosít, és biztonságos hitelesítést követel meg velük kapcsolatban.

4.2 A Beszállító olyan intézkedéseket alkalmaz, amelyek célja az Kyndryl Anyagok logikai módon történő elkülönítése, valamint annak megakadályozása, hogy az adatok jogosulatlan személyek tudomására jussanak, illetve hogy az adatokhoz jogosulatlan személyek férjenek hozzá. A Beszállító továbbá vállalja, hogy megfelelő módon elkülöníti a produktív, nem produktív és egyéb környezeteit, és ha bármilyen Kyndryl Anyagot nem produktív környezetbe továbbítottak, vagy már eleve ott volt (például egy hiba ismételt előidézése érdekében), a Beszállító vállalja, hogy a produktív környezetben használt biztonsági és adatvédelmi eszközökkel egyenértékű biztonságról és adatvédelemről gondoskodik a nem produktív környezetben is.

4.3 A Beszállító vállalja, hogy az átvitel vagy tárolás során az Kyndryl Anyagokat titkosítja (kivéve, ha a Beszállító az Kyndryl számára észszerűen kielégítő módon bizonyítja, hogy az Kyndryl Anyagok tárolás közbeni titkosítása műszakilag nem valósítható meg). A Beszállító vállalja, hogy minden fizikai adathordozót is titkosít, ha van, ilyenek például a biztonsági másolatok fájljait tartalmazó adathordozók. A Beszállító vállalja, hogy dokumentált eljárásokat alkalmaz a kulcsok adattitkosításhoz kapcsolódó biztonságos létrehozására, kiadására, elosztására, tárolására, rotálására, visszavonására, visszaállítására, biztonsági mentésére, megsemmisítésére, elérésére és használatára vonatkozóan. A Beszállító vállalja, hogy a titkosításhoz használt titkosítási módszerek összhangban vannak az Legjobb Iparági Gyakorlattal, amilyen például az NIST SP 800-131a.

4.4 Ha a Beszállító Kyndryl Anyagokhoz kér hozzáférést, a Beszállító vállalja, hogy az ilyen hozzáférést a Szolgáltatások és Leszállítandó Anyagok biztosításához és támogatásához szükséges lehető legalacsonyabb szintű hozzáférésre fogja korlátozni. A Beszállító vállalja, hogy az ilyen hozzáférés, beleértve a bármely alapvető összetevőhöz való rendszergazdai hozzáférést (emelt szintű (privilegizált) hozzáférés), egyéni és szerepköralapú módon, továbbá a felelősség-szétválasztási alapelveknek megfelelően, a Beszállító felhatalmazott munkavállalóinak a jóváhagyása és rendszeres ellenőrzése mellett történik. A Beszállító fenntartja a redundáns és nem használt fiókok azonosítását és eltávolítását célzó intézkedéseket. A Beszállító vállalja, hogy az emelt szintű (privilegizált) hozzáféréssel rendelkező fiókokat legfeljebb huszonnégy (24) órával azután visszavonja, hogy a fiók tulajdonosa távozik a vállalattól, vagy ha azt az Kyndryl vagy a Beszállító jogosult munkavállalói, például a fiók tulajdonosának a vezetője kérelmezi.

4.5 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy műszaki intézkedéseket alkalmaz az inaktív munkamenetek megszüntetésének, a többszöri egymást követő sikertelen bejelentkezési kísérletet követően a fiókok zárolásának, továbbá az erős jelszón vagy jelmondaton alapuló hitelesítésnek a kikényszerítésére, valamint intézkedéseket foganatosít a jelszavak és jelmondatok biztonságos továbbításának és tárolásának megkövetelésére. A Beszállító emellett vállalja, hogy többtényezős hitelesítést használ az Kyndryl Anyagokhoz történő nem konzolalapú, emelt szintű hozzáférés esetén.

4.6 A Beszállító vállalja, hogy figyeli az emelt szintű (privilegizált) hozzáférés használatát, továbbá biztonsági célú, információ- és eseménykezelési intézkedéseket alkalmaz a (a) jogosulatlan hozzáférés és tevékenység azonosítása, (b) az ilyen hozzáférésre és tevékenységre időben és megfelelő módon adott válasz elősegítése, valamint (c) a dokumentált Beszállítói szabályzatnak megfelelő auditoknak a Beszállító, az Kyndryl (a jelen Feltételekben foglalt ellenőrzési jogai, illetve a Tranzakciós Dokumentumban vagy a felek között kötött vonatkozó alap- vagy bármilyen egyéb kapcsolódó megállapodásban foglalt auditálási jogai alapján) és mások általi elvégzésének lehetővé tétele érdekében.

4.7 A Beszállító vállalja, hogy megőrzi azokat a naplókat, amelyekben rögzíti – a rekordmegőrzési szabályzatának megfelelően – a Szolgáltatások vagy Leszállítandók nyújtásához, átadásához vagy az Kyndryl-technológia kezeléséhez használt rendszerekhez való vagy azokkal összefüggésben álló rendszergazdai, felhasználói és egyéb hozzáférések vagy tevékenységek mindegyikét. (és kérésre átadja ezeket a naplókat az Kyndryl-nek). A Beszállító vállalja, hogy védelmi intézkedéseket alkalmaz az ilyen naplókhoz való jogosulatlan hozzáféréssel, valamint a naplók módosításával és véletlenszerű vagy szándékos megsemmisítésével szemben.

4.8 A Beszállító vállalja, hogy számítástechnikai védelmet alkalmaz a tulajdonában lévő vagy általa üzemeltetett rendszerekre, beleértve a végfelhasználói rendszereket és a Szolgáltatások vagy Leszállítandó Anyagok nyújtásához, átadásához, illetve az Kyndryl-technológia kezeléséhez használt rendszereket, és az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljes lemeztitkosítás, aláírás-alapú és nem aláírás-alapú végpontészlelés, válaszlépésekre szolgáló technológiák a kártevők és a fejlett, állandó fenyegetések kezelésére, időalapú képernyőzárolások, valamint a biztonsági konfigurációs és javítási követelményeket kikényszerítő végponti felügyeleti megoldások. A Beszállító emellett vállalja, hogy olyan műszaki és üzemeltetési ellenőrző eszközöket alkalmaz, amelyek biztosítják, hogy kizárólag az ismert és megbízható végfelhasználói rendszerek legyenek jogosultak a Beszállító hálózatainak a használatára.

4.9 Az Ajánlott iparági eljárásokkal összhangban a Beszállító vállalja, hogy védelmi eszközöket alkalmaz azon adatközponti környezetek esetén, amelyekben Kyndryl Anyagok találhatók, vagy amelyekben Kyndryl Anyagok feldolgozása történik, és az ilyen védelem a következőket foglalja magában: behatolás észlelése és megakadályozása, szolgáltatásmegtagadási támadásokkal szembeni ellenintézkedések és a támadások súlyosságának enyhítése.

5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás

5.1 A Beszállító vállalja, hogy (a) legalább évente felméri a biztonsági és adatvédelmi kockázatokat; (b) biztonsági vizsgálatot végez és felméri a biztonsági réseket, beleértve egy automatikus rendszer- és alkalmazásbiztonsági vizsgálatot és egy manuális, etikus számítástechnikai betörést a produktív célra történő rendelkezésre bocsátást megelőzően, és ezt követően évente a Szolgáltatásokra és Leszállítandó Anyagokra vonatkozóan, valamint évente az Kyndryl-technológia kezelésére vonatkozóan; (c) megbíz egy képzett, független külső felet, hogy végezzen az Ajánlott iparági eljárásoknak megfelelő behatolásvizsgálatot legalább évente, az automatikus és manuális tesztelést is beleértve; (d) automatikusan felügyeli a Szolgáltatások és Leszállítandó Anyagok egyes összetevőit, és rutinszerűen ellenőrzi a Szolgáltatások és Leszállítandó Anyagok minden összetevőjének, valamint az Kyndryl-technológia kezelésének biztonsági konfigurációs követelményeknek való megfelelését; valamint (e) a kapcsolódó kockázatok, sebezhetőség és a rendszerre gyakorolt hatás alapján javítja az azonosított biztonsági réseket és a biztonsági konfigurációs követelményeknek való meg nem felelést. A Beszállító vállalja, hogy észszerű lépéseket tesz annak érdekében, hogy a Szolgáltatások a tesztek, felmérések, vizsgálatok és javítási tevékenységek során se szüneteljenek. A Beszállító vállalja, hogy az Kyndryl kérésére írásos összefoglalót biztosít a legutóbbi behatolásvizsgálati tevékenységeiről, mely jelentés legalább a következőket tartalmazza: azon ajánlatok neve, amelyekre a vizsgálat kiterjedt, a vizsgálat hatókörébe eső rendszerek vagy alkalmazások száma, a vizsgálat dátuma, a vizsgálatban használt módszertan, valamint az eredmények általános összegzése.

5.2 A Beszállító fenntartja a Szolgáltatás vagy Leszállítandó Anyagok, illetve az Kyndryl-technológia kezelésének módosításával kapcsolatos veszélyek elhárítását célzó szabályokat és eljárásokat. Az érintett rendszerek, hálózatok és alapvető összetevők bármilyen módosítása előtt a Beszállító vállalja, hogy regisztrált módosítási kérésben dokumentálja a következőket: (a) a módosítás leírását és okát, (b) a megvalósítás részleteit és ütemezését, (c) egy kockázati nyilatkozatot, amely ismerteti a módosításnak a Szolgáltatásra, az Leszállítandó Anyagokra, a Szolgáltatás ügyfeleire vagy az Kyndryl Anyagokra gyakorolt hatását, (d) a várt végeredményt, (e) egy visszaállítási tervet és (f) a Beszállító egy erre jogosult munkavállalójának a jóváhagyását.

5.3 A Beszállító vállalja, hogy nyilvántartást vezet a Szolgáltatások üzemeltetése, az Leszállítandó Anyagok biztosítása és az Kyndryl-technológia kezelése során használt IT-eszközök mindegyikéről. A Beszállító vállalja, hogy folyamatosan megfigyeli és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Anyagok, Kyndryl-technológiák és ezek alapvető összetevőinek állapotát és rendelkezésre állását.

5.4 A Beszállító vállalja, hogy a Szolgáltatások és Leszállítandó Anyagok fejlesztése vagy üzemeltetése, valamint az Kyndryl-technológia kezelése során használt rendszerek mindegyikét olyan, előre meghatározott rendszerbiztonsági lemezképekből vagy biztonsági alapokból hozza létre, amelyek megfelelnek az Ajánlott iparági eljárásoknak, például a Center for Internet Security (CIS) viszonyítási alapjainak.

5.5 A jelen Tranzakciós Dokumentum és az üzleti folytonosságra vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a dokumentált kockázatkezelési irányelvekben foglaltnak megfelelően külön értékeli az egyes Szolgáltatásokat, Leszállítandó Anyagokat és az Kyndryl-technológia kezeléséhez használt IT-rendszereket az üzleti és IT-folytonosságra és vészhelyreállításra vonatkozó követelmények tekintetében. A Beszállító vállalja, hogy minden Szolgáltatáshoz, Leszállítandó Anyaghoz és IT-rendszerhez, a kockázatértékelés által indokolt mértékben, külön meghatározott, dokumentált, alkalmazott és évente ellenőrzött, az Ajánlott iparági eljárásokkal összhangban álló üzleti és IT-folytonossági, illetve vészhelyreállítási terveket biztosít. A Beszállító vállalja, hogy az ilyen tervek kialakítása úgy történjen, hogy a tervek megfeleljenek az alábbi 5.6-os szakaszban meghatározott helyreállítási célidőtartamoknak.

5.6 Az Üzemeltetett Szolgáltatás vonatkozásában a helyreállításipont-célkitűzés („RPO”) és a helyreállítási célidőtartam („RTO”) a következők: 24 óra RPO és 24 óra RTO. A Beszállító ennek ellenére vállalja, hogy megfelel minden rövidebb időtartamú olyan RPO-nak vagy RTO-nak, amelyet az Kyndryl vállalt egy Ügyfél felé, amint az Kyndryl írásban értesíti a Beszállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (az e-mail írásos értesítésnek minősül). Mivel ez a Beszállító által az Kyndryl számára nyújtott egyéb Szolgáltatások mindegyikét érinti, a Beszállító vállalja, hogy olyan üzleti folytonossági és vészhelyreállítási terveket alakít ki az RPO és az RTO teljesítésére, amelyek lehetővé teszik a Beszállító számára, hogy teljes mértékben eleget tegyen az Kyndryl vállalattal szemben fennálló, a Tranzakciós Dokumentumban és a felek között kötött vonatkozó alapmegállapodásban, valamint ezen feltételekben ismertetett kötelezettségeinek, beleértve a tesztelés, támogatás és karbantartás időben történő biztosítására vonatkozó kötelezettségét is.

5.7 A Beszállító vállalja, hogy a Szolgáltatások, Leszállítandó Anyagok és a kapcsolódó rendszerek, hálózatok, alkalmazások és a Szolgáltatások és Leszállítandó Anyagok körébe tartozó alapvető összetevők, valamint az Kyndryl-technológia kezeléséhez használt hálózatok, alkalmazások, valamint az alapvető összetevők számára létrehozott biztonsági tanácsadási javítócsomagok értékelésére, tesztelésére és alkalmazására kialakított intézkedéseket fog alkalmazni. Amennyiben egy biztonsági tanácsadási javítócsomag alkalmazható és megfelelő, a Beszállító a dokumentált súlyossági és kockázati értékelésnek megfelelően fogja alkalmaznia azt. A biztonsági tanácsadási javítócsomagok Beszállító általi megvalósítására a Beszállító módosításkezelési szabályzata vonatkozik.

5.8 Ha az Kyndryl megalapozottan feltételezi, hogy a Beszállító által az Kyndryl számára biztosított hardver vagy szoftver kártékony elemeket, például kémprogramokat, kártevőket vagy rosszindulatú kódot tartalmaz, akkor a Beszállító vállalja, hogy időben együttműködik az Kyndryl-mel az Kyndryl aggályainak kivizsgálása és orvoslása érdekében.

6. Szolgáltatásnyújtás

6.1 A Beszállító vállalja, hogy támogatja az iparágban általános módszernek számító összevont hitelesítést bármilyen Kyndryl felhasználói vagy Ügyfélfiók vonatkozásában, betartva az Ajánlott iparági eljárásokat az Kyndryl felhasználói vagy Ügyfélfiókok hitelesítése során (például az Kyndryl központilag felügyelt, többtényezős egyszeri bejelentkezése, az OpenID Connect vagy a Security Assertion Markup Language használatával). Alvállalkozók. A jelen Tranzakciós dokumentum és az alvállalkozók bevonására vonatkozó bármilyen, a felek között kötött kapcsolódó alapmegállapodás értelmében fennálló Beszállítói kötelezettségek vagy Kyndryl-jogok korlátozása nélkül a Beszállító vállalja, hogy a Beszállító számára munkát teljesítő bármilyen alvállalkozó irányítási ellenőrzéseket vezet be a Beszállítóra vonatkozó jelen Feltételekben meghatározott követelményeknek és kötelezettségeknek való megfelelés érdekében.

7. Fizikai adathordozók. A Beszállító vállalja, hogy biztonságosan eltávolít mindent a fizikai adathordozókról azok újbóli felhasználása előtt, és az ismételten felhasználni nem kívánt fizikai adathordozókat megsemmisíti az adathordozók megtisztítására (sanitization) vonatkozó Ajánlott iparági eljárásoknak megfelelően.

8.