Privacy and Security Terms

Поставщик или Kyndryl будут иметь доступ к Деловой контактной информации другой стороны?

Если да, то к такому доступу применяются Статьи I (Деловая контактная информация) и X (Сотрудничество, Проверка и Исправление).

Примеры:

Поставщик использует имена, адреса электронной почты и номера телефонов сотрудников Kyndryl или Заказчика для поддержки или технического обслуживания.
Kyndryl использует имена и адреса электронной почты сотрудников Поставщика для идентификации, чтобы получить доступ к Корпоративной системе.

Примечание.

Если Поставщик предоставляет техническое обслуживание или поддержку, то он может получить доступ к информации, выходящей за рамки ДКИ (например файлы журналов с Персональными данными или без них); в этом случае Поставщик также должен поставить отметку напротив пункта 2 (если у него будет доступ к Персональным данным) и пункта 3 (если у него будет доступ к Неперсональным данным).
Если Поставщик обрабатывает данные сотрудников Kyndryl, то он также должен поставить отметку напротив пункта 2 (если у него будет доступ к Персональным данным).

Статья I, Деловая Контактная Информация

Эта Статья применяется в том случае, если Поставщик или Kyndryl обрабатывает ДКИ другой стороны.

1.1 Kyndryl и Поставщик могут обрабатывать ДКИ другой стороны везде, где они ведут бизнес, в связи с предоставлением Поставщиком Услуг и Конечных продуктов.

1.2 Сторона:

(а) не будет использовать или раскрывать ДКИ другой стороны в любых других целях (для ясности, ни одна из сторон не будет продавать ДКИ другой стороны, использовать или раскрывать ДКИ другой стороны в любых маркетинговых целях без предварительного письменного согласия другой стороны и, если требуется, предварительного письменного согласия затронутых Субъектов персональных данных), а также

(b) будет удалять, изменять, исправлять, возвращать, предоставлять информацию об Обработке, ограничивать Обработку или предпринимать любые другие разумно запрашиваемые действия в отношении ДКИ другой стороны незамедлительно по письменному требованию другой стороны, когда происходит любое несанкционированное использование личной информации и сторона хочет прекратить обработку и осуществить исправление.

1.3 Стороны не вступают в совместную связь с Оператором персональных данных в отношении ДКИ друг друга, и никакие положения Документа о транзакции не должны интерпретироваться или толковаться как указывающие на намерение установить совместную связь с Оператором персональных данных.

1.4 Заявление о конфиденциальности Kyndryl, размещенное на https://www.kyndryl.com/us/en/privacy, содержит дополнительные сведения об Обработке ДКИ компанией Kyndryl.

1.5 Стороны внедрили и будут поддерживать технические и организационные меры безопасности для защиты ДКИ другой стороны от потери, уничтожения, изменения, случайного или несанкционированного раскрытия, случайного или несанкционированного доступа и незаконной Обработки.

1.6 Поставщик обязуется безотлагательно (и при любых обстоятельствах в пределах 48 часов) уведомлять Kyndryl о любых ставших ему известными случаях Нарушений безопасности в отношении ДКИ Kyndryl. Поставщик направляет такое уведомление по адресу cyber.incidents@kyndryl.com. Поставщик обязуется предоставлять Kyndryl по разумному запросу информацию о таких нарушениях безопасности и статусе любых действий Поставщика по устранению последствий и восстановлению работоспособности. Примером разумно запрошенной информации могут служить журналы привилегированного, административного и иного доступа к Устройствам, системам или приложениям, изображения Устройств, систем и приложений, сделанные в целях безопасности, и другие аналогичные материалы в объеме, в котором они имеют отношение к нарушению или к действиям Поставщика по устранению последствий и восстановлению работоспособности.

1.7 Если Поставщик обрабатывает только ДКИ Kyndryl и не имеет доступа к любым другим данным или материалам любого рода или к любой Корпоративной системе Kyndryl, данная Статья и Статья X (Сотрудничество, Проверка и Исправление) являются единственными Статьями, которые применяются к такой Обработке.

Статья X, Содействие, Проверка и Устранение последствий

Настоящая Статья применяется в том случае, если Поставщик предоставляет Kyndryl Услуги или Конечные продукты.

1. Сотрудничество с Поставщиком

1.1 Если у Kyndryl есть основания сомневаться в том, что какие-либо Услуги или Конечные продукты могли способствовать, способствуют или будут способствовать возникновению какой-либо проблемы кибербезопасности, то Поставщик должен разумно сотрудничать в рамках любого запроса Kyndryl относительно такой проблемы, включая своевременный и полный ответ на запросы о предоставлении информации, будь то документы, другие записи, интервью с соответствующим Персоналом Поставщика или тому подобное.

1.2 Стороны соглашаются: (a) предоставлять по запросу друг друга такую дополнительную информацию, (b) оформлять и передавать друг другу такие другие документы и (c) совершать такие другие действия и поступки, которые другая сторона может обоснованно потребовать в целях реализации намерений настоящих Условий и документов, упомянутых в настоящих Условиях. Например, по запросу Kyndryl Поставщик своевременно предоставляет условия в области конфиденциальности и безопасности из своих письменных договоров с Подрядчиками Обработчика и субподрядчиками, включая (если Поставщик имеет на это право) предоставление доступа к самим договорам.

1.3 По запросу Kyndryl Поставщик своевременно предоставляет информацию о странах, в которых его Конечные продукты и компоненты этих Конечных продуктов были произведены, разработаны или иным образом получены.

2. Проверка (далее в тексте «Объект» – это физическое место, в котором Поставщик размещает, обрабатывает или иным образом получает доступ к Материалам Kyndryl)

2.1 Поставщик должен вести подлежащий аудиту учетный документ, подтверждающий соответствие требованиям настоящих Условий.

2.2 Kyndryl самостоятельно или с помощью внешнего аудитора может (после предварительного письменного уведомления Поставщика за 30 Дней) проверить соблюдение Поставщиком настоящих Условий, в том числе путем доступа к любому Объекту или Объектам для таких целей, хотя Kyndryl не будет получать доступ к любому центру обработки данных, где Поставщик обрабатывает Данные Kyndryl, если у него нет уважительных оснований полагать, что это позволит получить соответствующую информацию. Поставщик должен сотрудничать с Kyndryl при проведении проверки, в том числе своевременно и в полном объеме отвечать на запросы о предоставлении информации, будь то документы, другие записи, интервью с соответствующим персоналом Поставщика и тому подобное.Поставщик может предложить на рассмотрение Kyndryl доказательства соблюдения утвержденных норм поведения или отраслевого сертификата или иным образом предоставить информацию, подтверждающую соблюдение требований настоящих Условий.

2.3 Проверка должна проводиться не более одного раза за любой 12-месячный период, за исключением следующих случаев: (a) Kyndryl проверяет устранение Поставщиком проблем, возникших в результате предыдущей проверки в течение 12-месячного периода, или (b) произошло Нарушение безопасности, и Kyndryl желает проверить соблюдение обязательств, связанных с нарушением. В любом случае Kyndryl предоставляет письменное уведомление за 30 Дней, как указано в Разделе 2.2 выше, но срочность устранения Нарушения безопасности может потребовать от Kyndryl проведения проверки менее чем за 30 Дней до письменного уведомления.

2.4. Регулятор или другой Оператор персональных данных может осуществлять те же права, что и Kyndryl в Разделах 2.2 и 2.3, при том понимании, что регулятор может осуществлять любые дополнительные права, которыми он обладает в рамках закона.

2.5 Если Kyndryl имеет разумные основания полагать, что Поставщик не соблюдает какие-либо из настоящих Условий (независимо от того, возникает ли такое основание в результате проверки в рамках настоящих Условий или иным образом), Поставщик незамедлительно устраняет такое несоответствие.

3. Программа по борьбе с контрафактной продукцией

3.1 Если Конечные продукты Поставщика включают электронные компоненты (например жесткие диски, твердотельные диски, память, центральные процессоры, логические устройства или кабели), Поставщик должен поддерживать и соблюдать документированную программу по предотвращению контрафакта, чтобы, во-первых, предотвратить предоставление Поставщиком Kyndryl контрафактных компонентов и, во-вторых, быстро обнаружить и устранить любой случай, когда Поставщик по ошибке предоставляет Kyndryl контрафактные компоненты. Поставщик возлагает такое же обязательство по поддержанию и соблюдению документированной программы предотвращения контрафакта на всех своих поставщиков, которые предоставляют электронные компоненты, включенные в Конечные продукты Поставщика для Kyndryl.

4. Исправление

4.1 Если Поставщик не выполняет какое-либо из своих обязательств по настоящим Условиям и это невыполнение приводит к Нарушению безопасности, то Поставщик обязуется исправить невыполнение своих обязательств и устранить вредные последствия Нарушения безопасности, причем такое выполнение и устранение последствий будет осуществляться по разумному указанию компании Kyndryl и в указанные ею разумные сроки. Если, однако, Нарушение безопасности возникает в результате предоставления Поставщиком многопользовательской Хост-службы и, следовательно, затрагивает многих заказчиков Поставщика, включая Kyndryl, Поставщик, учитывая характер Нарушения безопасности, своевременно и надлежащим образом исправляет невыполнение и устраняет вредные последствия Нарушения безопасности, уделяя при этом должное внимание любым входным данным Kyndryl в таких исправлениях и устранениях последствий. Без ущерба для вышеизложенного, Поставщик должен без неоправданной задержки уведомить Kyndryl, если Поставщик больше не может соблюдать обязательства, установленные применимым законом о защите данных.

4.2 Kyndryl имеет право участвовать в устранении любого Нарушения безопасности, упомянутого в Разделе 4.1, если сочтет это уместным или необходимым, а Поставщик несет ответственность за свои расходы и затраты на исправление выполненного и за расходы и затраты на устранение последствий, которые стороны понесут в связи с любым таким Нарушением безопасности.

4.3 В качестве примера, затраты и расходы на устранение последствий, связанные с Нарушением безопасности, могут включать затраты и расходы на обнаружение и расследование Нарушения безопасности, определение ответственности в соответствии с применимыми законами и нормативными актами, предоставление уведомлений о нарушении, создание и обслуживание колл-центров, предоставление услуг кредитного мониторинга и восстановления кредитоспособности, перезагрузку данных, исправление дефектов продукта (в том числе посредством Исходного кода или других разработок), привлечение третьих сторон для оказания помощи в вышеуказанной или другой соответствующей деятельности, а также другие затраты и расходы, необходимые для устранения вредных последствий Нарушения безопасности. Для ясности, затраты и расходы на устранение последствий не включают потерю Kyndryl прибыли, бизнеса, стоимости, дохода, нематериальных активов или ожидаемой экономии.

У Поставщика будет доступ к Персональным данным?

Если да, то к такому доступу применяются Статьи II (Технические и организационные меры, Защита данных), III (Конфиденциальность), VIII (Технические и организационные меры, Общая безопасность) и X (Сотрудничество, Проверка и Исправление).

Примеры:

Поставщик получает доступ к Персональным данным при предоставлении Хост-службы для внутреннего использования компанией Kyndryl или использования Заказчиками или в обоих случаях.
Поставщик предоставляет медицинские или связанные со здравоохранением Услуги, маркетинговые Услуги или Услуги, связанные с персоналом или льготами, и при этом получает доступ к Персональным данным.
Поставщик получает доступ к файлам журналов, содержащим Персональные данные, для оказания Услуг поддержки.

Статья II, Технические и организационные меры, Безопасность данных

Данная Статья применяется в том случае, если Поставщик обрабатывает Данные Kyndryl, кроме ДКИ Kyndryl. Поставщик обязуется отвечать требованиям настоящей Статьи при предоставлении всех Услуг и Конечных продуктов и таким образом защищать Данные Kyndryl от потери, уничтожения, изменения, случайного или несанкционированного раскрытия, случайного или несанкционированного доступа и незаконных форм Обработки. Требования настоящей Статьи распространяются на все ИТ-приложения, платформы и инфраструктуру, эксплуатируемые или управляемые Поставщиком при предоставлении Конечных продуктов и Услуг, включая все среды разработки, тестирования, хостинга, поддержки, эксплуатации и центров обработки данных.

1. Использование данных

1.1 Поставщик не имеет права добавлять к Данным Kyndryl или включать в Данные Kyndryl любую другую информацию или данные, включая любые Персональные данные, без предварительного письменного согласия Kyndryl, и не имеет права использовать Данные Kyndryl в любой форме, агрегированной или иной, для любых целей, кроме предоставления Услуг и Конечных продуктов (например, Поставщику не разрешается использовать или повторно использовать Данные Kyndryl для оценки эффективности средств улучшения предложений Поставщика, для исследований и разработок с целью создания новых предложений или для создания отчетов относительно предложений Поставщика). Если это прямо не разрешено в Документе о транзакции, Поставщику запрещается продавать Данные Kyndryl.

1.2 Поставщик не встраивает технологии веб-отслеживания в Конечные продукты или как часть Услуг (такие технологии включают HTML5, локальную память, сторонние теги и веб-маяки), если это прямо не разрешено в Документе о транзакции.

2. Запросы третьих лиц и конфиденциальность

2.1 Поставщик не раскрывает Данные Kyndryl третьим лицам, если только Kyndryl не даст на это предварительное письменное разрешение. Если госсектор, включая любой регулятор, потребует доступ к Данным Kyndryl (например, если правительство США направит Поставщику приказ по национальной безопасности о получении Данных Kyndryl) или если раскрытие Данных Kyndryl иным образом требуется по закону, Поставщик письменно уведомляет Kyndryl о таком запросе или требовании и предоставляет Kyndryl приемлемую возможность оспорить любое раскрытие (если закон запрещает уведомление, Поставщик предпримет шаги, которые он обоснованно считает необходимыми для оспаривания запрета и раскрытия Данных Kyndryl в судебном порядке или иным способом).

2.2 Поставщик заверяет Kyndryl, что: (a) только те его сотрудники, которым необходим доступ к Данным Kyndryl для предоставления Услуг или Конечных продуктов, имеют такой доступ, и только в объеме, необходимом для предоставления этих Услуг и Конечных продуктов; и (b) он связал своих сотрудников обязательствами по соблюдению конфиденциальности, которые требуют от этих сотрудников использовать и раскрывать Данные Kyndryl только в соответствии с настоящими Условиями.

3. Возврат или Удаление Данных Kyndryl

3.1 Поставщик по выбору Kyndryl либо удаляет, либо возвращает Kyndryl Данные Kyndryl после завершения или истечения срока действия Документа о транзакции или раньше по запросу Kyndryl. Если Kyndryl требует удаления, то Поставщик в соответствии с Передовой отраслевой практикой сделает данные нечитаемыми и не подлежащими повторной сборке или восстановлению и подтвердит удаление для Kyndryl. Если Kyndryl требует возврата Данных Kyndryl, то Поставщик сделает это по разумному графику Kyndryl и в соответствии с разумными письменными инструкциями Kyndryl.

Статья III, Конфиденциальность

Эта Статья применяется в том случае, если Поставщик обрабатывает Персональные данные Kyndryl.

1. Обработка

1.1 Kyndryl назначает Поставщика Обработчиком Персональных данных Kyndryl исключительно в целях предоставления Конечных продуктов и Услуг в соответствии с инструкциями Kyndryl, в том числе содержащимися в настоящих Условиях, Документе о транзакции и связанном базовом соглашении между сторонами. Если Поставщик не выполняет инструкцию, Kyndryl может завершить затронутую часть Услуг по письменному уведомлению. Если Поставщик полагает, что инструкция нарушает закон о защите данных, Поставщик незамедлительно информирует об этом Kyndryl в сроки, предусмотренные законом. Если Поставщик не выполняет какое-либо из своих обязательств по настоящим Условиям и это невыполнение приводит к несанкционированному использованию Личной информации, или, в целом, в любом случае несанкционированного использования Личной информации Kyndryl имеет право остановить обработку, исправить невыполнение и устранить вредные последствия несанкционированного использования, при этом такое выполнение и устранение будут осуществляться по разумному указанию компании Kyndryl и в указанные ею разумные сроки.

1.2 Поставщик должен соблюдать все законы о защите данных, применимые к Услугам и Конечным продуктам.

1.3 Дополнение к Документу о транзакции или сам Документ о Транзакции устанавливает следующее в отношении Данных Kyndryl:

(а) категории Субъектов персональных данных;

(b) типы Персональных данных Kyndryl;

(с) действия с данными и меры по Обработке;

(d) продолжительность и частоту Обработки; и

(e) список Подрядчиков Обработчика.

2. Технические и организационные меры

2.1 Поставщик реализует и поддерживает технические и организационные меры, изложенные в Статье II (Технические и организационные меры, Защита данных) и Статье VIII (Технические и организационные меры, Общая безопасность), и тем самым обеспечивает уровень безопасности, соответствующий риску, который представляют его Услуги и Конечные продукты. Поставщик подтверждает и понимает ограничения, изложенные в Статье II, настоящей Статье III и Статье VIII, и обязуется их соблюдать.

3. Права и Запросы Субъекта персональных данных

3.1 Поставщик немедленно информирует Kyndryl (в сроки, позволяющие Kyndryl и любым Другим Операторам персональных данных исполнять свои юридические обязательства) о любом запросе Субъекта персональных данных на осуществление любых прав Субъекта персональных данных (например исправление, удаление или блокирование данных) в отношении Персональных данных Kyndryl. Поставщик также может незамедлительно направить Субъекта персональных данных, делающего такой запрос, в Kyndryl. Поставщик не обязан давать ответ на запросы Субъектов персональных данных, если это не требуется по закону или если Kyndryl не даст письменное указание сделать это.

3.2 Если Kyndryl обязуется предоставить информацию относительно Персональных данных Kyndryl Другим Операторам персональных данных или другим третьим лицам (например Субъектам персональных данных или регуляторам), Поставщик должен помогать Kyndryl, предоставляя информацию и предпринимая другие разумные действия по требованию Kyndryl, в сроки, позволяющие Kyndryl своевременно ответить таким Другим Операторам персональных данных или третьим лицам.

4. Подрядчики Обработчика

4.1 Поставщик заблаговременно направляет Kyndryl письменное уведомление перед добавлением нового Подрядчика Обработчика или расширением объема Обработки существующим Подрядчиком Обработчика, причем в таком письменном уведомлении будет указано имя Подрядчика Обработчика и описан новый или расширенный объем Обработки. Kyndryl может в любое время возразить против любого такого нового Подрядчика Обработчика или расширения объема на разумных основаниях, и если это произойдет, стороны совместно работают, основываясь на принципе добросовестности, над разрешением возражения Kyndryl. С учетом права Kyndryl на такое возражение в любое время, Поставщик может назначить нового Подрядчика Обработчика или расширить объем Обработки существующего Подрядчика Обработчика, если Kyndryl не высказала возражение в течение 30 Дней с даты направления письменного уведомления Поставщиком.

4.2 Поставщик обязуется накладывать обязательства по защите данных, их безопасности и сертификации, изложенные в настоящих Условиях, на каждого согласованного Подрядчика Обработчика до Обработки Подрядчиком Обработчика любых Данных Kyndryl. Поставщик несет полную ответственность перед Kyndryl за исполнение обязательств каждым Подрядчиком Обработчика.

5. Трансграничная Обработка Данных

Как указано ниже:

Страна, обеспечивающая адекватный уровень защиты, – страна, обеспечивающая адекватный уровень защиты данных в отношении соответствующей передачи в соответствии с применимым законом о защите данных или решениями регуляторов.

Импортер данных – либо Обработчик, либо Подрядчик Обработчика, который не зарегистрирован в Стране, обеспечивающей адекватный уровень защиты.

Стандартные договорные условия ЕС («СДУ ЕС») – Стандартные договорные условия ЕС (Решение Комиссии 2021/914) с применением необязательных условий, за исключением пункта 1 Условия 9(a) и пункта 2 Условия 17, официально опубликованных по адресу https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.

Стандартные договорные условия Сербии («СДУ Сербии») – Стандартные договорные условия Сербии, принятые «Уполномоченным Сербии по информации, имеющей общественное значение, и защите персональных данных», опубликованные по адресу https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.

Стандартные договорные условия («СДУ») – договорные условия, требуемые применимыми законами о защите данных для передачи Персональных данных Обработчикам, которые не имеют представительства в Странах, обеспечивающих адекватный уровень защиты.

Дополнение Соединенного Королевства по передаче данных за границу к Стандартным договорным условиям ЕС («Дополнение СК») – Дополнение Соединенного Королевства по передаче данных за границу к Стандартным договорным условиям ЕС, официально опубликованное по адресу https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/.

Дополнение Швейцарии к Стандартным договорным условиям ЕС («Швейцарское дополнение») означает договорные условия ЕС, применяемые в соответствии с решением Швейцарского органа по надзору за соблюдением законов о защите персональных данных (FDPIC) и в соответствии с Федеральным законом Швейцарии о защите данных (FADP).

5.1 Поставщик не должен передавать или раскрывать (в том числе посредством удаленного доступа) любые Персональные данные Kyndryl в разные страны, не получив предварительное письменное согласие Kyndryl. Если Kyndryl предоставляет такое согласие, стороны совместно работают над обеспечением соответствия требованиям применимых законов о защите данных. Если в соответствии с этими законами требуются СДУ, Поставщик незамедлительно заключает СДУ по запросу Kyndryl.

5.2 Относительно СДУ ЕС:

(а) Если у Поставщика нет представительства в Стране, обеспечивающей адекватный уровень защиты: Поставщик заключает СДУ ЕС в качестве Импортера данных с Kyndryl, причем Поставщик обязуется заключить письменные соглашения со всеми одобренными Подрядчиками Обработчика в соответствии с Условием 9 СДУ ЕС и предоставить Kyndryl копии таких соглашений по запросу.

(i) Модуль 1 СДУ ЕС не применяется, если иное не согласовано сторонами в письменной форме.

(ii) Модуль 2 СДУ ЕС применяется, если Kyndryl является Оператором персональных данных, и Модуль 3 применяется, если Kyndryl является Обработчиком данных. В соответствии с Условием 13 СДУ ЕС, когда применяются Модули 2 или 3, стороны соглашаются, что (1) СДУ ЕС регулируются законом государства-участника ЕС, в котором располагается компетентный надзорный орган, и (2) любые споры, вытекающие из СДУ ЕС, подлежат рассмотрению в судах государства-участника ЕС, в котором располагается компетентный надзорный орган. Если такой закон в пункте (1) не разрешает прав стороннего бенефициара, то СДУ ЕС должны регулироваться законом Нидерландов, а любые споры, вытекающие из СДУ ЕС в соответствии с пунктом (2), разрешаются судом Амстердама в Нидерландах.

(b) Если у обеих сторон, Поставщика и Kyndryl, есть представительство в Стране, обеспечивающей адекватный уровень защиты, Поставщик действует в качестве Экспортера данных и заключает СДУ ЕС со всеми одобренными Подрядчиками Обработчика в Стране, не обеспечивающей адекватный уровень защиты. Поставщик проводит требуемую Оценку воздействия передачи (ОВП) и без неоправданной задержки уведомляет Kyndryl о (1) необходимости применения дополнительных мер и (2) применяемых мерах. По запросу Поставщик предоставит Kyndryl результаты ОВП и любую информацию, необходимую для понимания и оценки результатов. В случае, если Kyndryl не согласна с результатами ОВП Поставщиков или примененными дополнительными мерами, Kyndryl и Поставщик вместе работают над поиском осуществимого решения. Kyndryl оставляет за собой право приостановить или завершить соответствующие услуги Поставщиков без компенсации. Во избежание сомнений, это не освобождает Подрядчиков Обработчика Поставщика от обязанности стать стороной СДУ ЕС с Kyndryl или ее Заказчиками, как указано в разделе 5.2 (d) ниже.

(с) Если Поставщик зарегистрирован в Европейской экономической зоне, а Kyndryl является Оператором персональных данных, на которого не распространяется действие Общеевропейского регламента о защите персональных данных (GDPR) 2016/679, то применяется Модуль 4 СДУ ЕС и Поставщик настоящим заключает с Kyndryl СДУ ЕС в качестве экспортера данных. Если применяется Модуль 4 СДУ ЕС, стороны соглашаются, что СДУ ЕС должны регулироваться законом Нидерландов, а любые споры, вытекающие из СДУ ЕС, подлежат разрешению судом Амстердама в Нидерландах.

(d) Если Другие Операторы персональных данных, такие как Заказчики или филиалы, просят стать стороной СДУ ЕС в соответствии со «стыковочной оговоркой» в Условии 7, Поставщик настоящим соглашается на любой такой запрос.

(е) Технические и организационные меры, необходимые для выполнения Приложения II к СДУ ЕС, приведены в настоящих Условиях, самом Документе о транзакции и связанном базовом соглашении между сторонами.

(f) В случае противоречий между СДУ ЕС и настоящими Условиями преимущественной силой обладают СДУ ЕС.

5.3 В отношении Дополнения(-й) СК:

a. Если у Поставщика нет представительства в Стране, обеспечивающей адекватный уровень защиты: (i) Поставщик заключает Дополнение(-я) СК с Kyndryl в качестве Импортёра данных в дополнение к СДУ ЕС, изложенным выше (если применимо, в зависимости от обстоятельств обработки); (ii) Поставщик обязуется заключить письменные соглашения со всеми одобренными Подрядчиками обработчика и предоставить Kyndryl копии таких соглашений по запросу.

b. Если у Поставщика есть представительство в Стране, обеспечивающей адекватный уровень защиты, и Kyndryl является Оператором Персональных Данных, на которого не распространяется Общий регламент СК о защите персональных данных (вошедший в законодательство СК согласно Закону о выходе из Евросоюза от 2018 года), Поставщик заключает Дополнение(-я) СК с Kyndryl в качестве Экспортера данных в дополнение к СДУ ЕС, изложенным в разделе 5.2(b) выше.

c. Если другие Операторы персональных данных, например Заказчики или аффилированные компании, потребуют заключения Дополнения(-й) СК, Поставщик обязуется удовлетворить такое требование.

d. Информация, необходимая для заполнения Приложений (согласно Таблице 3) к Дополнению(-ям) СК, приводится в применимых СДУ ЕС, данных Положениях, в самом Документе по Транзакции и в соответствующем базовом соглашении между сторонами. Ни Kyndryl, ни Поставщик не могут расторгнуть Дополнение(-я) СК в случае внесения в него (них) каких-либо изменений.

e. В случае противоречий между Дополнением(-ями) СК и данными Условиями преимущественную силу имеет(-ют) Дополнение(-я) СК.

5.4 В отношении СДУ Сербии:

a. Если у Поставщика нет представительства в Стране, обеспечивающей адекватный уровень защиты: (i) Поставщик заключает СДУ Сербии с Kyndryl от имени Поставщика в качестве Обработчика данных; (ii) Поставщик обязуется заключить письменные соглашения со всеми одобренными Подрядчиками Обработчика в соответствии с СДУ Сербии и предоставить Kyndryl копии таких соглашений по запросу.

b. Если у Поставщика есть представительство в Стране, обеспечивающей адекватный уровень защиты, Поставщик заключает СДУ Сербии с Kyndryl от имени всех Подрядчиков Обработчика, расположенных в Стране, не обеспечивающей адекватный уровень защиты. Если у Поставщика нет возможности сделать это для какого-либо такого Подрядчика Обработчика, Поставщик предоставляет Kyndryl СДУ Сербии, подписанные этим Подрядчиком Обработчика для скрепляющей подписи Kyndryl, прежде чем разрешить Подрядчику Обработчика обрабатывать любые Персональные данные Kyndryl.

c. СДУ Сербии между Kyndryl и Поставщиком должны служить либо в качестве СДУ Сербии между Оператором персональных данных и Обработчиком данных, либо в качестве компенсанционного соглашения в письменной форме между «Обработчиком данных» и «Подрядчиком Обработчика», как того требуют обстоятельства. В случае противоречий между СДУ Сербии и настоящими Условиями преимущественную силу имеют СДУ Сербии.

d. Информация, необходимая для выполнения Приложений 1–8 к СДУ Сербии с целью регулирования переноса Персональных данных в Страну, не обеспечивающую адекватный уровень защиты, содержится в настоящих Условиях и в Дополнении к Документу о транзакции или в самом Документе о транзакции.

5.5. В отношении Дополнения(-й) Швейцарии:

Если, и в той мере, в которой передача Kyndryl персональных данных в соответствии с разделом 5.1. регулируется Федеральным законом Швейцарии о защите данных (FADP), СДУ ЕС, согласованные в Разделе 5.2. настоящих Условий, будут регулировать эту передачу, с учетом следующих поправок в стандартных условиях GDPR для швейцарских персональных данных:

Ссылки на Общеевропейский регламент о защите персональных данных (GDPR) следует понимать также как ссылки на эквивалентные положения FADP,

Швейцарская федеральная комиссия по защите данных является компетентным надзорным органом согласно Статье 13 и Приложению I.C СДУ ЕС
Швейцарское законодательство как регулирующее законодательство, если передача данных подлежит исключительно регулированию FADP, и
Термин «государство-участник» в статье 18 СДУ ЕС должен также включать Швейцарию, чтобы позволить швейцарским субъектам данных осуществлять свои права по месту своего проживания.

Во избежание сомнений, никакие из вышеперечисленных положений не должны снижать уровень защиты данных, предоставляемый СДУ ЕС, а только распространить этот уровень защиты на швейцарских субъектов данных. Если и в той мере, в какой это не имеет места, СДУ ЕС имеют преимущественную силу.

6. Помощь и Записи

6.1 Принимая во внимание характер Обработки, Поставщик помогает Kyndryl, принимая соответствующие технические и организационные меры по выполнению обязательств, относящихся к запросам и правам Субъекта персональных данных. Поставщик также помогает Kyndryl в обеспечении соблюдения обязательств, связанных с безопасностью Обработки, уведомлением и сообщением о Нарушении безопасности и разработкой оценок воздействия на защиту данных, включая предварительные консультации с ответственным регулятором, если потребуется, с учетом информации, доступной Поставщику.

6.2 Поставщик поддерживает актуальную запись имени и контактных данных каждого Подрядчика Обработчика, включая представителя каждого Подрядчика Обработчика и ответственного за защиту данных. Поставщик предоставляет Kyndryl эту запись в сроки, которые позволят Kyndryl своевременно отреагировать на любое требование Заказчика или другой третьей стороны.

Статья VIII, Технические и организационные меры, Общая безопасность

Данная Статья применяется в том случае, если Поставщик предоставляет Kyndryl Услуги или Конечные продукты, за исключением случаев, когда у Поставщика есть доступ только к ДКИ Kyndryl при предоставлении этих Услуг и Конечных продуктов (т. е. Поставщик не должен обрабатывать другие Данные Kyndryl или иметь доступ к другим Материалам Kyndryl или к Корпоративной системе), при этом единственными Услугами и Конечными продуктами Поставщика является предоставление Kyndryl Локального программного обеспечения, или Поставщик предоставляет все свои Услуги и Конечные продукты в модели набора персонала в соответствии со Статьей VII, включая Раздел 1.7 указанной Статьи.

Поставщик обязуется соблюдать требования настоящей Статьи и тем самым защищать: (a) Материалы Kyndryl от потери, уничтожения, изменения, случайного или несанкционированного раскрытия, случайного или несанкционированного доступа, (b) Данные Kyndryl – от незаконных форм Обработки и (c) Технологии Kyndryl – от незаконных форм Взаимодействия. Требования настоящей Статьи распространяются на все ИТ-приложения, платформы и инфраструктуру, эксплуатируемые или управляемые Поставщиком при предоставлении Конечных продуктов и Услуг и Взаимодействии с Технологией Kyndryl, включая все среды разработки, тестирования, хостинга, поддержки, эксплуатации и центров обработки данных.

1. Политика в области безопасности

1.1 Поставщик обязуется поддерживать и соблюдать политики и практики в области ИТ-безопасности, которые являются неотъемлемой частью бизнеса Поставщика, обязательны для всего Персонала Поставщика и соответствуют Передовой отраслевой практике.

1.2 Поставщик должен пересматривать свои политики и практики в области ИТ-безопасности не реже одного раза в год и вносить в них изменения, которые Поставщик сочтет необходимыми для защиты Материалов Kyndryl.

1.3 Поставщик обязуется поддерживать и соблюдать стандартные, обязательные требования по проверке при трудоустройстве всех новых сотрудников и распространять такие требования на весь Персонал Поставщика и дочерние компании Поставщика, находящиеся в полной собственности. Эти требования должны включать проверку на наличие правонарушений в той степени, в которой это разрешено местным законодательством, проверку удостоверения личности и дополнительные проверки, которые Поставщик сочтет необходимыми. Поставщик периодически проверяет и перепроверяет эти требования, если сочтет необходимым.

1.4 Поставщик ежегодно проводит обучение своих сотрудников по вопросам безопасности и конфиденциальности и требует от всех таких сотрудников ежегодного подтверждения того, что они будут соблюдать этические нормы ведения бизнеса, политики в области конфиденциальности и безопасности Поставщика, изложенные в кодексе поведения Поставщика или в аналогичных документах. Поставщик обеспечивает дополнительное обучение политике и процессам для лиц, имеющих административный доступ к любым компонентам Услуг, Конечным продуктам или Материалам Kyndryl, причем такое обучение зависит от их роли и поддержки Услуг, Конечных продуктов и Материалов Kyndryl и необходимо для поддержания требуемого соответствия и сертификации.

1.5 Поставщик разрабатывает меры безопасности и конфиденциальности для защиты и поддержания доступности Материалов Kyndryl, в том числе путем реализации, поддержания и соблюдения политик и процедур, требующих обеспечения безопасности и конфиденциальности путем проектирования, безопасного инжиниринга и безопасной эксплуатации, для всех Услуг и Конечных продуктов и для всех Взаимодействий с Технологией Kyndryl.

2. Инциденты, связанные с нарушением безопасности

2.1 Поставщик поддерживает и соблюдает задокументированную политику реагирования на инциденты, связанные с нарушением безопасности, соответствующую Передовой отраслевой практике по разрешению инцидентов, связанных с нарушением компьютерной безопасности.

2.2 Поставщик расследует случаи несанкционированного доступа или несанкционированного использования Материалов Kyndryl, определяет и выполняет соответствующий план реагирования.

2.3 Поставщик обязуется безотлагательно (и при любых обстоятельствах в пределах 48 часов) уведомлять Kyndryl о любых ставших ему известными случаях Нарушений безопасности. Поставщик направляет такое уведомление по адресу cyber.incidents@kyndryl.com. Поставщик обязуется предоставлять Kyndryl по разумному запросу информацию о таких нарушениях безопасности и статусе любых действий Поставщика по устранению последствий и восстановлению работоспособности. Примером разумно запрошенной информации могут служить журналы привилегированного, административного и иного доступа к Устройствам, системам или приложениям, изображения Устройств, систем и приложений, сделанные в целях безопасности, и другие аналогичные материалы в объеме, в котором они имеют отношение к нарушению или к действиям Поставщика по устранению последствий и восстановлению работоспособности.

2.4 Поставщик предоставляет Kyndryl разумную помощь для выполнения любых юридических обязательств (включая обязательства по уведомлению регуляторов или Субъектов персональных данных) Kyndryl, филиалов Kyndryl и Заказчиков (и их заказчиков и филиалов) в связи с Нарушением безопасности.

2.5 Поставщик не должен информировать или уведомлять любую третью сторону о том, что Нарушение безопасности прямо или косвенно связано с Kyndryl или Материалами Kyndryl, если Kyndryl не одобрит это в письменной форме или если это не требуется по закону. Поставщик уведомляет Kyndryl в письменной форме до направления любого законного уведомления третьей стороне, если такое уведомление прямо или косвенно раскрывает идентичность Kyndryl.

2.6 В случае Нарушения безопасности, возникшего в результате нарушения Поставщиком любого обязательства по настоящим Условиям:

(а) Поставщик должен нести ответственность за любые расходы, которые он понесет, а также фактические расходы, которые понесет Kyndryl, при направлении уведомления о Нарушении безопасности применимым регуляторам, другим государственным и соответствующим отраслевым саморегулируемым агентствам, средствам массовой информации (если это требуется применимым законодательством), Субъектам персональных данных, Заказчикам и другим лицам;

(b) по требованию Kyndryl Поставщик обязуется создать и содержать за свой счет колл-центр для ответов на вопросы Субъектов персональных данных о Нарушении безопасности и его последствиях в течение 1 года после даты уведомления таких Субъектов персональных данных о Нарушении безопасности или в соответствии с требованиями любого применимого закона о защите данных, в зависимости от того, что обеспечивает большую защиту. Kyndryl и Поставщик вместе работают над созданием сценариев и других материалов, которые будут использоваться сотрудниками колл-центра при ответе на запросы. В качестве альтернативы, по письменному уведомлению Поставщика, Kyndryl может создать и поддерживать свой собственный колл-центр вместо того, чтобы Поставщик создавал колл-центр, и Поставщик возместит Kyndryl фактические расходы, которые Kyndryl понесет при создании и поддержании такого колл-центра, и

(с) Поставщик должен возместить Kyndryl фактические расходы, которые Kyndryl понесет при предоставлении услуг кредитного мониторинга и восстановления кредитоспособности в течение 1 года после даты предоставления уведомления о Нарушении безопасности лицам, пострадавшим от нарушения, решившим зарегистрироваться для получения таких услуг, или в соответствии с требованиями любого применимого закона о защите данных, в зависимости от того, что обеспечивает большую защиту.

3. Физическая безопасность и Контроль входа (как указано ниже, «Объект» – это физическое место, в котором Поставщик размещает, обрабатывает или иным образом получает доступ к Материалам Kyndryl).

3.1 Поставщик обязуется поддерживать соответствующие физические средства контроля входа, такие как барьеры, пункты входа, управляемые карточками, камеры наблюдения и стойки приема посетителей, для защиты от несанкционированного входа на Объекты.

3.2 Поставщик должен требовать авторизованного разрешения на доступ к Объектам и контролируемым зонам в пределах Объектов, включая любой временный доступ, и ограничивать доступ по роли задания и потребности бизнеса. Если Поставщик предоставляет временный доступ, его уполномоченный сотрудник будет сопровождать любого посетителя во время нахождения на территории Объекта и в любых контролируемых зонах.

3.3 Поставщик применяет средства контроля физического доступа, включая многофакторные средства контроля доступа, соответствующие Передовой отраслевой практике, для надлежащего ограничения доступа в контролируемые зоны Объектов, регистрирует все попытки входа и хранит такие журналы в течение не менее одного года.

3.4 Поставщик аннулирует доступ к Объектам и контролируемым зонам в пределах Объектов (a) после увольнения уполномоченного сотрудника Поставщика или (b) если уполномоченный сотрудник Поставщика больше не имеет действительной бизнес-потребности в доступе. Поставщик соблюдает формальные задокументированные процедуры увольнения, которые включают оперативное удаление из списков контроля доступа и сдачу пропусков физического доступа.

3.5 Поставщик принимает меры предосторожности для защиты всей физической инфраструктуры, используемой для поддержки Услуг и Конечных продуктов и Взаимодействия с Технологией Kyndryl, от угроз окружающей среды, как естественных, так и антропогенных, таких как повышенная температура окружающей среды, пожар, наводнение, влажность, кража и вандализм.

4. Доступ, Вмешательство, Передача и Управление разделением

4.1 Поставщик поддерживает задокументированную архитектуру безопасности сетей, которыми он управляет при оказании Услуг, предоставлении Конечных продуктов и Взаимодействии с Технологией Kyndryl. Поставщик отдельно проверяет такую архитектуру сети и применяет меры по предотвращению несанкционированных сетевых подключений к системам, приложениям и сетевым устройствам на предмет соответствия стандартам безопасного сегментирования, изоляции и углубленной защиты. Поставщик не имеет права использовать беспроводные технологии при размещении и эксплуатации любых Хост-служб; в остальном Поставщик может использовать беспроводные сетевые технологии при предоставлении Услуг и Конечных продуктов и при обработке Технологии Kyndryl, но Поставщик должен выполнять шифрование и требовать безопасной аутентификации для любых таких беспроводных сетей.

4.2 Поставщик должен поддерживать меры, направленные на логическое разделение и предотвращение демонстрации Материалов Kyndryl неавторизованным лицам или предоставления таким лицам доступа к ним. Кроме того, Поставщик должен поддерживать соответствующую изоляцию своих производственных, непроизводственных и других сред и — если Материалы Kyndryl уже присутствуют в непроизводственной среде или передаются в непроизводственную среду (например, для воспроизведения ошибки) — обеспечить защиту безопасности и конфиденциальности в непроизводственной среде, равную защите в производственной среде.

4.3 Поставщик должен шифровать Материалы Kyndryl при транспортировке и хранении (если только Поставщик не продемонстрирует Kyndryl в разумных пределах, что шифрование Материалов Kyndryl при хранении технически неосуществимо). Поставщик также должен шифровать все физические носители, если таковые имеются, например носители, содержащие файлы резервного копирования. Поставщик поддерживает документированные процедуры безопасного генерирования, выдачи, распространения, хранения, ротации, отзыва, восстановления, резервного копирования, уничтожения, доступа и использования ключей, связанных с шифрованием данных. Поставщик гарантирует, что конкретные криптографические методы, используемые для такого шифрования, соответствуют Передовой отраслевой практике (например NIST SP 800-131a).

4.4 Если Поставщику требуется доступ к Материалам Kyndryl, Поставщик ограничит и снизит такой доступ до минимального уровня, необходимого для предоставления и поддержки Услуг и Конечных продуктов. Поставщик должен требовать, чтобы такой доступ, включая административный доступ к любым базовым компонентам (т. е. привилегированный доступ), был индивидуальным, основанным на ролях и подлежал утверждению и регулярной проверке уполномоченными сотрудниками Поставщика в соответствии с принципами разделения обязанностей. Поставщик должен поддерживать меры по выявлению и удалению избыточных и неактивных учетных записей. Поставщик также аннулирует учетные записи с привилегированным доступом в течение 24 (двадцати четырех) часов после увольнения владельца учетной записи или по требованию Kyndryl или любого уполномоченного сотрудника Поставщика, например руководителя владельца учетной записи.

4.5 В соответствии с Передовой отраслевой практикой Поставщик поддерживает технические меры, обеспечивающие тайм-аут неактивных сессий, блокировку учетных записей после нескольких последовательных неудачных попыток входа, надежную аутентификацию пароля или парольной фразы, а также меры, требующие безопасной передачи и хранения таких паролей и парольных фраз. Кроме того, Поставщик должен использовать многофакторную аутентификацию для всех неконсольных привилегированных доступов к любым Материалам Kyndryl.

4.6 Поставщик должен отслеживать использование привилегированного доступа и поддерживать меры по управлению информацией и событиями безопасности, направленные на: (a) выявление несанкционированного доступа и деятельности, (b) содействие своевременному и надлежащему реагированию на такой доступ и деятельность, и (c) обеспечение возможности проведения аудитов Поставщиком, Kyndryl (в соответствии с ее правами проверки в настоящих Условиях и правами аудита в Документе о транзакции или связанном базовом или другом связанном соглашении между сторонами) и другими лицами в рамках соблюдения документированной политики Поставщика.

4.7 Поставщик хранит журналы, в которых он регистрирует в соответствии с Передовой отраслевой практикой весь административный, пользовательский или иной доступ к системам или деятельность в отношении систем, используемых при предоставлении Услуг или Конечных продуктов и при Взаимодействии с Технологией Kyndryl (и предоставляет эти журналы Kyndryl по запросу). Поставщик принимает меры, направленные на защиту от несанкционированного доступа, модификации, а также случайного или преднамеренного уничтожения таких журналов.

4.8 Поставщик поддерживает компьютерную защиту систем, которыми он владеет или управляет, включая системы конечных пользователей, и которые он использует при предоставлении Услуг или Конечных продуктов или при Взаимодействии с Технологией Kyndryl, причем такая защита включает: брандмауэры конечных точек, полное шифрование диска, технологии обнаружения и реагирования на конечные точки на основе подписи и без подписи для борьбы с вредоносными программами и современными постоянными угрозами, блокировки экрана на основе времени и решения по управлению конечными точками, которые обеспечивают соблюдение конфигурации защиты и требований к исправлениям. Кроме того, Поставщик реализует технические и операционные средства контроля, гарантирующие, что только известным и доверенным системам конечных пользователей разрешено использовать сети Поставщика.

4.9 В соответствии с Передовой отраслевой практикой Поставщик обеспечивает защиту сред центров обработки данных, в которых находятся или обрабатываются материалы Kyndryl, причем такая защита включает в себя обнаружение и предотвращение вторжений, а также меры противодействия атакам типа «отказ в обслуживании» и функции защиты от сбоя.

5. Контроль целостности и доступности Услуг и Систем

5.1 Поставщик обязуется: (a) проводить оценку рисков безопасности и конфиденциальности не реже одного раза в год, (b) проводить тестирование защиты и оценивать уязвимости, включая автоматизированное сканирование безопасности систем и приложений и ручной этический взлом, до выпуска продукции и ежегодно после этого в отношении Услуг и Конечных продуктов, а также ежегодно в отношении Взаимодействия с Технологией Kyndryl, (c) привлекать квалифицированную независимую третью сторону для проведения тестирования на проникновение в соответствии с Передовой отраслевой практикой не реже одного раза в год, причем такое тестирование включает как автоматизированное, так и ручное тестирование, (d) осуществлять автоматизированное управление и обычную проверку соответствия требованиям конфигурации защиты для каждого компонента Услуг и Конечных продуктов, а также в отношении Взаимодействия с Технологией Kyndryl, и (e) устранять выявленные уязвимости или несоответствия требованиям конфигурации защиты на основе соответствующего риска, возможности использования и воздействия. Поставщик предпринимает разумные шаги, чтобы избежать сбоя Услуг при проведении тестов, оценок, сканирования и при выполнении мероприятий по исправлению. По запросу Kyndryl Поставщик предоставляет Kyndryl письменную сводку последних мероприятий Поставщика по тестированию на проникновение, отчет по которому, как минимум, включает в себя название предложений, охваченных тестированием, количество систем или приложений в области тестирования, даты тестирования, методологию, использованную при тестировании, и детальную сводку результатов.

5.2 Поставщик должен поддерживать политику и процедуры, разработанные для управления рисками, связанными с внесением изменений в Услуги или Конечные продукты или в порядок Взаимодействия с Технологией Kyndryl. Перед внедрением такого изменения, в том числе в затронутые системы, сети и базовые компоненты, Поставщик документирует в зарегистрированном запросе на изменение: (a) описание и причину изменения, (b) детали и график реализации, (c) заявление о рисках, касающееся воздействия на Услуги и Конечные Продукты, заказчиков Услуг или Материалы Kyndryl, (d) ожидаемый результат, (e) план отката и (f) утверждение уполномоченными сотрудниками Поставщика.

5.3 Поставщик ведет инвентарный учет всех ИТ-активов, которые он использует при оказании Услуг, предоставлении Конечных продуктов и Взаимодействии с Технологией Kyndryl. Поставщик постоянно контролирует и управляет состоянием (и в том числе емкостью) и доступностью таких ИТ-активов, Услуг, Конечных продуктов и Технологий Kyndryl, включая базовые компоненты таких активов, Услуг, Конечных продуктов и Технологий Kyndryl.

5.4 Поставщик компонует все системы, которые он использует при разработке или эксплуатации Услуг и Конечных продуктов и при Взаимодействии с Технологией Kyndryl, на основе заранее определенных образов безопасности системы или базовых показателей безопасности, которые соответствуют Передовой отраслевой практике, например контрольным показателям Центра интернет-безопасности (CIS).

5.5 Не ограничивая обязательств Поставщика и прав Kyndryl по Документу о транзакции или связанному базовому соглашению между сторонами в отношении непрерывности бизнеса, Поставщик должен по отдельности оценивать каждую Услугу и Конечный продукт и каждую ИТ-систему, используемую при Взаимодействии с Технологией Kyndryl, на предмет соответствия требованиям непрерывности бизнеса и ИТ и аварийного восстановления в соответствии с документированным руководством по управлению рисками. Поставщик гарантирует, что каждая такая Услуга, Конечный продукт и ИТ-система имеет — в той степени, в которой это оправдано такой оценкой риска, — отдельно определенные, документированные, поддерживаемые и ежегодно проверяемые планы обеспечения непрерывности бизнеса и ИТ и аварийного восстановления в соответствии с Передовой отраслевой практикой. Поставщик гарантирует разработку таких планов для обеспечения конкретных сроков восстановления, которые указаны в Разделе 5.6 ниже.

5.6 Конкретные цели точки восстановления («ЦТВ») и цели времени восстановления («ЦВВ») в отношении любой Хост-службы составляют: 24 часа ЦТВ и 24 часа ЦВВ; тем не менее, Поставщик должен соблюдать любой более короткий срок ЦТВ или ЦВВ, который Kyndryl установил для Заказчика, сразу же после предоставления Kyndryl уведомления Поставщику в письменной форме о таком более коротком сроке ЦТВ или ЦВВ (электронное сообщение представляет собой сообщение в письменной форме). Что касается всех других Услуг, предоставляемых Поставщиком Kyndryl, Поставщик гарантирует, что его планы обеспечения непрерывности бизнеса и аварийного восстановления разработаны для обеспечения ЦТВ или ЦВВ, которые позволяют Поставщику соблюдать все его обязательства перед Kyndryl по Документу о транзакции и связанному базовому соглашению между сторонами, а также настоящим Условиям, включая его обязательства по своевременному предоставлению тестирования, поддержки и технического обслуживания.

5.7 Поставщик поддерживает меры, направленные на оценку, тестирование и внесение исправлений, содержащих рекомендации по защите, в Услуги и Конечные Продукты и в связанные системы, сети, приложения и базовые компоненты в рамках таких Услуг и Конечных продуктов, а также в системы, сети, приложения и базовые компоненты, используемые для Взаимодействия с Технологией Kyndryl. После определения того, что исправление, содержащее рекомендации по защите, применимо и уместно, Поставщик вносит исправление в соответствии с документированными рекомендациями по оценке серьезности и риска. Внедрение Поставщиком исправлений, содержащих рекомендации по защите, осуществляется в соответствии с политикой управления изменениями.

5.8 Если Kyndryl имеет разумные основания полагать, что аппаратное или программное обеспечение, которое Поставщик предоставляет Kyndryl, может содержать элементы вторжения, такие как программы-шпионы, вредоносные программы или вредоносный код, то Поставщик должен своевременно работать совместно с Kyndryl над проведением расследования и устранением проблем Kyndryl.

6. Предоставление Услуг

6.1 Поставщик поддерживает общепринятые в отрасли методы федеративной аутентификации для любых учетных записей пользователей или Заказчиков Kyndryl, при этом Поставщик должен следовать Передовой отраслевой практике в области аутентификации таких учетных записей пользователей или Заказчиков Kyndryl (например, с помощью централизованно управляемого Kyndryl многофакторного единого входа в систему, используя OpenID Connect или SAML).

7. Субподрядчики. Не ограничивая обязательств Поставщика или прав Kyndryl в соответствии с Документом о транзакции или связанным базовым соглашением между сторонами в отношении удержания субподрядчиков, Поставщик гарантирует, что любой субподрядчик, выполняющий работу для Поставщика, внедрил средства контроля управления для соблюдения требований и обязательств, которые возложены на Поставщика в рамках настоящих Условий.

8. Физические носители. Поставщик надежно обезвреживает физические носители, предназначенные для вторичного использования, до такого вторичного использования и уничтожает физические носители, не предназначенные для вторичного использования, в соответствии с Передовой отраслевой практикой по обезвреживанию носителей.