Skip to main content

Določila o zasebnosti in varnosti

Te določbe glede zasebnosti in varnosti opredeljujejo Kyndryl-ove in dobaviteljeve pravice in obveznosti glede zasebnosti, varnosti in povezanih zadev ("določbe"). Določbe so vključene v in so del dogovora o obsegu del, odobritve dela ali podobnega dokumenta, sklenjenega med podjetjema, ki se sklicuje nanje ("transakcijski dokument"). Določbe veljajo za specifičen dogovor iz transakcijskega dokumenta.

Zaradi praktičnosti ta spletna stran dobavitelju omogoča, da spodaj označi polja, ki karakterizirajo dejstva dogovora, s tem pa se prikažejo izbrane določbe. Glede na ta dejstva je lahko relevantno več kot eno polje. V pojasnilo – veljavne določbe za dogovor opredeljujejo izključno dejstva, izražena v transakcijskem dokumentu, in ne tista, ki se prikažejo v poljih, ki jih spodaj potrdi dobavitelj.

V primeru kakršnega koli navzkrižja med določbami in transakcijskim dokumentom ali katero koli povezano osnovno ali drugo pogodbo med pogodbenima strankama, vključno s kakršno koli pogodbo o obdelavi podatkov, prevladajo določbe. Obvestila, ki jih zahtevajo te določbe, se bodo pošiljala v skladu z določili glede obvestil v transakcijskem dokumentu.

Izrazi v teh določbah imajo pomene, ki so opredeljeni v spodnjem razdelku z definicijami.

 Potrdite polja, ki odražajo dejstva o storitvah za ta specifičen dogovor:

  1. V tem primeru za ta dostop veljata člena I (Poslovne kontaktne informacije) in X (Sodelovanje, preverjanje in sanacija).

    Primeri:

    • Dobavitelj uporablja imena, e-poštne naslove in telefonske številke zaposlenih Kyndryl-a ali naročnika za podporo ali vzdrževanje.
    • Kyndryl uporablja imena in e-poštne naslove zaposlenih dobavitelja za preverjanje pristnosti za dostop do poslovnega sistema.

    Opomba:

    če dobavitelj zagotavlja vzdrževanje ali podporo, potem ima dobavitelj morda dostop do več kot samo poslovnih kontaktnih informacij (npr. dnevniških datotek z osebnimi podatki ali brez njih) in v tem primeru dobavitelj potrdi tudi polje pod elementom 2 (če bo imel dostop do osebnih podatkov) in elementom 3 (če bo imel dostop do neosebnih podatkov).

    Člen I, Poslovne kontaktne informacije

    Ta člena velja, če dobavitelj ali Kyndryl obdeluje poslovne kontaktne informacije drugega.

    1.1 Kyndryl in dobavitelj lahko obdelujeta poslovne kontaktne informacije drugega povsod, kjer poslujeta v zvezi z dobaviteljevo dostavo storitev in elementov za dostavo.

    1.2 Pogodbena stranka:

    (a) ne bo uporabljala ali razkrivala poslovnih kontaktnih informacij druge pogodbene stranke za noben drug namen (v pojasnilo – nobena pogodbena stranka ne bo prodajala poslovnih kontaktnih informacij druge stranke oziroma jih uporabljala ali razkrivala za kakršen koli trženjski namen brez predhodnega pisnega soglasja druge pogodbene stranke in, kjer je to zahtevano, brez predhodnega pisnega soglasja zadevnih oseb, na katere se nanašajo podatki), in

    (b) bo na pisno zahtevo druge pogodbene stranke takoj izbrisala, spremenila, popravila, vrnila, navedla informacije o obdelavi, omejila obdelavo ali drugače razumno ukrepala v zvezi s poslovnimi kontaktnimi informacijami druge pogodbene stranke.

    1.3 Pogodbeni stranki ne vstopata v razmerje skupnega upravljavca glede poslovnih kontaktnih informacij druga druge in nobena določba transakcijskega dokumenta se ne razume ali interpretira kot znak kakršnega koli namena vzpostavitve razmerja skupnega upravljavca.

    1.4 Kyndryl-ova izjava o zasebnosti na naslovu https://www.kyndryl.com/privacy vsebuje dodatne podrobnosti o Kyndryl-ovi obdelavi poslovnih kontaktnih informacij.

    1.5 Pogodbeni stranki sta uvedli in bosta vzdrževali tehnične in organizacijske varnostne ukrepe za zaščito poslovnih kontaktnih informacij druga druge pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem, nenamernim ali nepooblaščenim dostopom in nezakonito obdelavo.

    1.6 Dobavitelj bo nemudoma (najpozneje v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti, ki vključuje Kyndrylov BCI. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

    1.7 Če dobavitelj zgolj obdeluje Kyndryl-ove poslovne kontaktne informacije in nima dostopa do nobenih drugih podatkov ali materialov kakršne koli vrste ali do nobenega Kyndryl-ovega poslovnega sistema, sta ta člen in člen X (Sodelovanje, preverjanje in sanacija) edina člena, ki veljata za takšno obdelavo.

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

  2. V tem primeru za ta dostop veljajo členi II (Tehnični in organizacijski ukrepi, varnost podatkov), III (Zasebnost), VIII (Tehnični in organizacijski ukrepi, splošna varnost) in X (Sodelovanje, preverjanje in sanacija).

    Primeri:

    • Dobavitelj dostopa do osebnih podatkov pri dostavi katere koli gostovane storitve za Kyndryl-ovo notranjo uporabo ali uporabo naročnikov ali oboje.
    • Dobavitelj zagotavlja zdravstvene ali z zdravstvom povezane storitve, trženjske storitve ali storitve, povezane s kadri ali prejemki, in pri tem dostopa do osebnih podatkov.
    • Dobavitelj za zagotavljanje storitev podpore dostopa do dnevniških datotek, ki vsebujejo osebne podatke.

    Člen II, Tehnični in organizacijski ukrepi, varnost podatkov

    Ta člen velja, če dobavitelj obdeluje Kyndryl-ove podatke, ki niso Kyndryl-ove poslovne kontaktne informacije. Dobavitelj bo pri zagotavljanju vseh storitev in elementov za dostavo ravnal skladno z zahtevami tega člena in s tem zaščitil Kyndryl-ove podatke pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem, nenamernim ali nepooblaščenim dostopom in nezakonitimi oblikami obdelave. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Uporaba podatkov

    1.1 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja Kyndryl-ovim podatkom ne sme dodajati ali prilagati nobenih drugih informacij ali podatkov, vključno z osebnimi podatki, in dobavitelj Kyndryl-ovih podatkov v nobeni obliki (bodisi združeni bodisi drugačni) ne sme uporabljati za noben namen razen za zagotavljanje storitev in elementov za dostavo (dobavitelj na primer ne sme uporabljati ali ponovno uporabljati Kyndryl-ovih podatkov za ocenjevanje ali povečevanje uspešnosti svojih ponudb, za raziskovanje in razvoj pri ustvarjanju novih ponudb ali za ustvarjanje poročil glede svojih ponudb). Dobavitelju je prepovedano prodajanje Kyndryl-ovih podatkov, razen če je to izrecno dovoljeno v transakcijskem dokumentu.

    1.2 Dobavitelj v elemente za dostavo ali kot del storitev ne bo vdeloval nobenih tehnologij za spletno spremljanje (takšne tehnologije vključujejo HTML5, lokalno shranjevanje, oznake ali žetone tretjih oseb in spletne signale), razen če je to izrecno dovoljeno v transakcijskem dokumentu.

    2. Zahteve tretjih oseb in zaupnost

    2.1 Dobavitelj Kyndryl-ovih podatkov ne bo razkrival nobeni tretji osebi, razen če Kyndryl to vnaprej pisno odobri. Če vladni organ, vključno s kakršnim koli regulatorjem, zahteva dostop do Kyndryl-ovih podatkov (če na primer ameriški vladni organ dobavitelju vroči odredbo o nacionalni varnosti za pridobitev Kyndryl-ovih podatkov) ali če razkritje Kyndryl-ovih podatkov zahteva zakonodaja, bo dobavitelj Kyndryl pisno obvestil o takšni zahtevi in dal Kyndryl-u razumno priložnost, da izpodbija kakršno koli razkritje (kjer zakonodaja prepoveduje obveščanje, bo dobavitelj sprejel ukrepe, za katere razumno meni, da so ustrezni za izpodbijanje prepovedi in razkritja Kyndryl-ovih podatkov prek sodnega postopka ali na drug način).

    2.2 Dobavitelj zagotavlja, da: (a) bodo imeli dostop do Kyndryl-ovih podatkov samo tisti njegovi zaposleni, ki tak dostop potrebujejo za zagotavljanje storitev ali elementov za dostavo, in še to samo v meri, ki je potrebna za zagotavljanje teh storitev in elementov za dostavo; in (b) je zavezal svoje zaposlene z obveznostmi zaupnosti, ki od teh zaposlenih zahtevajo, da Kyndryl-ove podatke uporabljajo in razkrivajo samo tako, kot to dovoljujejo te določbe.

    3. Vračilo ali izbris Kyndryl-ovih podatkov

    3.1 Dobavitelj bo glede na Kyndryl-ovo izbiro bodisi izbrisal bodisi vrnil Kyndryl-ove podatke Kyndryl-u ob prenehanju ali poteku transakcijskega dokumenta oziroma prej na Kyndryl-ovo zahtevo. Če bo Kyndryl zahteval izbris, bo dobavitelj v skladu z najboljšimi praksami v panogi podatke spremenil tako, da jih ne bo mogoče prebrati, ponovno sestaviti ali rekonstruirati, izbris pa bo potrdil Kyndryl-u. Če bo Kyndryl zahteval vračilo Kyndryl-ovih podatkov, bo dobavitelj to naredil v skladu z Kyndryl-ovim razumnim časovnim razporedom in po Kyndryl-ovih razumnih pisnih navodilih.

    Člen III, Zasebnost

    Ta člen velja, če dobavitelj obdeluje Kyndryl-ove osebne podatke.

    1. Obdelava podatkov

    1.1 Kyndryl imenuje dobavitelja za obdelovalca, ki Kyndryl-ove osebne podatke obdeluje izključno za namen zagotavljanja elementov za dostavo in storitev v skladu z Kyndryl-ovimi navodili, vključno s tistimi, ki jih vsebujejo te določbe, transakcijski dokument in povezana osnovna pogodba med pogodbenima strankama. Če dobavitelj ne upošteva katerega od navodil, lahko Kyndryl s pisnim obvestilom odpove del storitev, na katere to vpliva. Če dobavitelj meni, da katero od navodil krši zakon o varstvu podatkov, bo Kyndryl o tem obvestil takoj in znotraj časovnega okvira, ki ga zakon zahteva.

    1.2 Dobavitelj bo ravnal skladno z vsemi zakoni o varstvu podatkov, ki veljajo za storitve in elemente za dostavo.

    1.3 Dodatek k transakcijskemu dokumentu ali sam transakcijski dokument v zvezi z Kyndryl-ovimi podatki izpostavlja naslednje:

    (a) kategorije oseb, na katere se nanašajo podatki;

    (b) vrste Kyndryl-ovih osebnih podatkov;

    (c) podatkovna dejanja in dejavnosti obdelave;

    (d) trajanje in pogostost obdelovanja; ter

    (e) seznam podobdelovalcev.

    2. Tehnični in organizacijski ukrepi

    2.1 Dobavitelj bo uvedel in vzdrževal tehnične in organizacijske ukrepe, ki so opredeljeni v členu II (Tehnični in organizacijski ukrepi, varnost podatkov) in členu VIII (Tehnični in organizacijski ukrepi, splošna varnost), s čimer bo zagotovil raven varnosti, ki je primerna za tveganje, ki ga predstavljajo njegove storitve in elementi za dostavo. Dobavitelj potrjuje in razume omejitve v členu II, tem členu III in členu VIII ter bo ravnal skladno z njimi.

    3. Pravice in zahteve osebe, na katero se nanašajo podatki

    3.1 Dobavitelj bo takoj obvestil Kyndryl (v skladu s časovnim razporedom, ki Kyndryl-u in morebitnim drugim upravljavcem omogoča izpolnitev njihovih pravnih obveznosti) o kakršni koli zahtevi osebe, na katero se nanašajo podatki, glede uveljavljanja njenih pravic (npr. popravek, izbris ali blokiranje podatkov) glede Kyndryl-ovih osebnih podatkov. Dobavitelj lahko tudi pravočasno k Kyndryl-u usmeri osebo, na katero se nanašajo podatki in ki to zahteva. Dobavitelj ne bo odgovarjal na nobene zahteve oseb, na katere se nanašajo podatki, razen če to zahteva zakon ali Kyndryl to pisno naroči.

    3.2 Če bo moral Kyndryl zagotoviti informacije glede Kyndryl-ovih osebnih podatkov drugim upravljavcem ali drugim tretjim osebam (npr. osebam, na katere se nanašajo podatki, ali regulatorjem), bo dobavitelj Kyndryl-u pomagal tako, da bo zagotovil informacije in sprejel druge razumne ukrepe, ki jih bo zahteval Kyndryl, in sicer po časovnem razporedu, ki Kyndryl-u omogoča, da se pravočasno odzove takšnim drugim upravljavcem ali tretjim osebam.

    4. Podobdelovalci

    4.1 Dobavitelj bo Kyndryl-u poslal vnaprejšnje pisno obvestilo, preden bo dodal novega podobdelovalca ali razširil obseg obdelave z obstoječim podobdelovalcem, v tem pisnem obvestilu pa bo navedeno ime podobdelovalca in opisan bo nov ali razširjeni obseg obdelave. Kyndryl lahko na podlagi utemeljenih razlogov kadar koli nasprotuje vsakemu takšnemu novemu podobdelovalcu ali razširjenemu obsegu, in če to naredi, bosta pogodbeni stranki v dobri veri sodelovali pri obravnavi Kyndryl-ovega nasprotovanja. V skladu z Kyndryl-ovo pravico do takšnega nasprotovanja lahko dobavitelj imenuje novega podobdelovalca ali razširi obseg obdelave obstoječega podobdelovalca, če Kyndryl v 30 dneh od prejema dobaviteljevega pisnega obvestila temu ne nasprotuje.

    4.2 Dobavitelj bo obveznosti glede zaščite podatkov, varnosti in certifikatov, opredeljene v teh določbah, naložil vsakemu odobrenemu podobdelovalcu, preden bo ta obdelal kakršne koli Kyndryl-ove podatke. Dobavitelj v celoti odgovarja Kyndryl-u za izvajanje obveznosti vsakega podobdelovalca.

    5. Čezmejna obdelava podatkov

    Kot se uporablja spodaj:

    Ustrezna država pomeni državo, ki zagotavlja ustrezno raven varstva podatkov v zvezi z zadevnim prenosom v skladu z veljavnimi zakoni o varstvu podatkov ali odločitvami regulatorjev.

    Uvoznik podatkov pomeni bodisi obdelovalca bodisi podobdelovalca, ki nima sedeža podjetja v ustrezni državi.

    Standardne pogodbene klavzule EU ("standardne pogodbene klavzule EU") pomenijo standardne pogodbene klavzule EU (Sklep komisije 2021/914) z uveljavljenimi izbirnimi klavzulami, razen možnosti 1 klavzule 9(a) in možnosti 2 klavzule 17, kot je uradno objavljeno na naslovu https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

    Srbske standardne pogodbene klavzule ("srbske standardne pogodbene klavzule") pomenijo srbske standardne pogodbene klavzule, kot jih je sprejel "srbski komisar za informacije javnega pomena in varstvo osebnih podatkov", in so objavljene na naslovu https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

    Standardne pogodbene klavzule ("standardne pogodbene klavzule") pomenijo pogodbene klavzule, ki jih zahtevajo veljavni zakoni o varstvu podatkov za prenos osebnih podatkov obdelovalcem, ki nimajo sedeža podjetja v ustreznih državah.

    Dopolnilo Združenega kraljestva o notranjem prenosu podatkov k standardnim pogodbenim klavzulam Evropske komisije ("Dopolnilo ZK") pomeni Dopolnilo Združenega kraljestva o notranjem prenosu podatkov k standardnim pogodbenim klavzulam Evropske komisije, kot so uradno objavljene na naslovu https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .

    5.1 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja ne bo čezmejno prenašal ali razkrival (vključno z oddaljenim dostopom) kakršnih koli Kyndryl-ovih osebnih podatkov. Če Kyndryl zagotovi takšno soglasje, bosta pogodbeni stranki v sodelovanju zagotovili skladnost z veljavnimi zakoni o varstvu podatkov. Če ti zakoni zahtevajo standardne pogodbene klavzule, jih bo dobavitelj na Kyndryl-ovo zahtevo takoj sklenil.

    5.2 V zvezi s standardnimi pogodbenimi klavzulami EU:

    (a)Če dobavitelj nima sedeža podjetja v ustrezni državi: dobavitelj s tem dokumentom z Kyndryl-om sklepa standardne pogodbene klavzule EU kot uvoznik podatkov v skladu s členom 9 standardnih pogodbenih klavzul, Kyndryl-u pa bo na zahtevo zagotovil izvode teh pogodb.

    (i) Modul 1 standardnih pogodbenih klavzul EU ne velja, razen če se pogodbeni stranki v pisni obliki dogovorita drugače.

    (ii) Modul 2 standardnih pogodbenih klavzul EU velja tam, kjer je Kyndryl upravljavec, modul 3 pa tam, kjer je Kyndryl obdelovalec. Če v skladu s klavzulo 13 standardnih pogodbenih klavzul EU velja modul 2 ali 3, se pogodbeni stranki strinjata, (1) da bo standardne pogodbene klavzule EU urejala zakonodaja države članice EU, kjer se nahaja pristojni nadzorni organ, in (2) da se bodo morebitni spori, ki izhajajo iz standardnih pogodbenih klavzul EU, reševali na sodiščih države članice EU, kjer se nahaja pristojni nadzorni organ. Če takšna zakonodaja pod točko (1) ne dovoljuje pravic zunanjega upravičenca, potem standardne pogodbene klavzule EU ureja zakonodaja Nizozemske, vsi spori, ki izhajajo iz standardnih pogodbenih klavzul EU pod točko (2) pa se bodo reševali na sodišču v Amsterdamu na Nizozemskem.

    (b) Če ima dobavitelj sedež podjetja v Evropskem gospodarskem prostoru in je Kyndryl upravljavec, za katerega ne velja Splošna uredba o varstvu podatkov 2016/679, potem velja modul 4 standardnih pogodbenih klavzul EU, dobavitelj pa s tem dokumentom z Kyndryl-om sklepa standardne pogodbene klavzule EU kot izvoznik podatkov. Če velja modul 4 standardnih pogodbenih klavzul EU, se pogodbeni stranki strinjata, da bo standardne pogodbene klavzule EU urejala zakonodaja Nizozemske, vsi spori, ki izhajajo iz standardnih pogodbenih klavzul EU, pa se bodo reševali na sodišču v Amsterdamu na Nizozemskem.

    (c) Če drugi upravljavci, kot so stranke ali povezane družbe, zahtevajo, da postanejo pogodbena stranka pri standardnih pogodbenih klavzulah EU v skladu s "klavzulo o umeščanju" v klavzuli 7, se dobavitelj s tem dokumentom strinja s takšno zahtevo.

    (d) Tehnične in organizacijske ukrepe, ki so zahtevani za izpolnitev aneksa II standardnih pogodbenih klavzul EU, lahko najdete v teh pogojih, samem transakcijskem dokumentu in povezani osnovni pogodbi med pogodbenima strankama.

    (e) V primeru kakršnega koli spora med standardnimi pogodbenimi klavzulami EU in temi pogoji prevladajo standardne pogodbene klavzule EU.

    5.3 V zvezi z Dopolnilom/-i ZK:

    (a) Če dobavitelj nima sedeža podjetja v ustrezni državi: (i) dobavitelj s tem dokumentom sklepa s Kyndrylom Dopolnilo/-a ZK kot uvoznik, s čimer se dopolnijo standardne pogodbene klavzule EU, kot so določene zgoraj (če je ustrezno, odvisno od okoliščin dejavnosti obdelave), in (ii) dobavitelj bo sklenil pisne pogodbe z vsakim odobrenim podobdelovalcem, Kyndrylu pa bo na zahtevo zagotovil izvode teh pogodb.

    (b) Če ima dobavitelj sedež podjetja v ustrezni državi in je Kyndryl upravljavec, za katerega ne velja Splošna uredba o varstvu podatkov ZK (kot je vključena v pravo ZK v skladu z zakonom o izstopu ZK iz Evropske unije iz leta 2018 (European Union (Withdrawal) Act 2018)), potem dobavitelj s tem dokumentom sklepa s Kyndrylom Dopolnilo/-a ZK kot izvoznik, s čimer se dopolnijo standardne pogodbene klavzule EU, kot so navedene v zgornjem razdelku 5.2(b).

    (c) Če drugi upravljavci, kot so naročniki ali povezana podjetja, zahtevajo, da postanejo pogodbena stranka pri Dopolnilu/-ih ZK, se dobavitelj s tem dokumentom strinja s takšno zahtevo.

    (d) Informacije dodatka (kot so navedene v 3. razpredelnici) v Dopolnilu/-ih ZK je mogoče najti v veljavnih standardnih pogodbenih klavzulah EU, teh določilih, samem transakcijskem dokumentu in v povezanih osnovnih pogodbah med pogodbenimi strankami. Niti Kyndryl niti dobavitelj ne more prekiniti Dopolnil/-a ZK, ko se Dopolnilo ZK spremeni.

    (e) V primeru kakršnega koli spora med Dopolnilom/-i ZK in temi določili, prevlada/-jo Dodatek/-tki ZK.

    5.4 V zvezi s srbskimi standardnimi pogodbenimi klavzulami:

    (a) Če dobavitelj nima sedeža podjetja v ustrezni državi: (i) dobavitelj s tem dokumentom z Kyndryl-om sklepa srbske standardne pogodbene klavzule v svojem imenu kot obdelovalec; ter (ii) dobavitelj bo v skladu s členom 8 srbskih standardnih pogodbenih klavzul sklenil pisne pogodbe z vsakim odobrenim podobdelovalcem, Kyndryl-u pa bo na zahtevo zagotovil izvode teh pogodb.

    (b) Če ima dobavitelj sedež podjetja v ustrezni državi, potem dobavitelj s tem dokumentom z Kyndryl-om sklepa srbske standardne pogodbene klavzule v imenu vsakega podobdelovalca, ki se nahaja v državi, kjer ni ustreznega varstva. Če dobavitelj za katerega koli takšnega podobdelovalca tega ne more narediti, bo Kyndryl-u v podpis zagotovil srbske standardne pogodbene klavzule, ki jih podpiše ta podobdelovalec, in sicer preden podobdelovalcu dovoli obdelavo kakršnih koli Kyndryl-ovih osebnih podatkov.

    (c) Srbske standardne pogodbene klavzule med Kyndryl-om in dobaviteljem bodo služile bodisi kot srbske standardne pogodbene klavzule med upravljavcem in obdelovalcem bodisi kot obojestransko podpisana pogodba med "obdelovalcem" in "podobdelovalcem", kot bodo narekovala dejstva. V primeru kakršnega koli spora med srbskimi standardnimi pogodbenimi klavzulami in temi določbami prevladajo srbske standardne pogodbene klavzule.

    (d) Informacije, potrebne za izpolnitev dodatkov od 1 do 8 srbskih standardnih pogodbenih klavzul za namene upravljanja prenosa osebnih podatkov v državo, kjer ni ustreznega varstva, lahko najdete v teh pogojih in v dodatku k transakcijskemu dokumentu oziroma v samem transakcijskem dokumentu.

    6. Pomoč in evidence

    6.1 Ob upoštevanju narave obdelave bo dobavitelj pomagal Kyndryl-u tako, da bo imel vzpostavljene ustrezne tehnične in organizacijske ukrepe, s katerimi bo izpolnil obveznosti, povezane z zahtevami in pravicami oseb, na katere se nanašajo podatki. Dobavitelj bo Kyndryl-u pomagal tudi pri zagotavljanju skladnosti z obveznostmi, povezanimi z varnostjo obdelave, obveščanjem o in sporočanjem kršitve varnosti ter ustvarjanjem ocen vpliva na varstvo podatkov, vključno s predhodnim posvetovanjem z odgovornim regulatorjem, če bo zahtevano, pri čemer bo upošteval informacije, ki so mu na voljo.

    6.2 Dobavitelj bo vzdrževal aktualno evidenco imen in kontaktnih podatkov vsakega od podobdelovalcev, vključno s predstavnikom in uradno osebo za varstvo podatkov podobdelovalca. Dobavitelj bo na zahtevo to evidenco zagotovil Kyndryl-u v skladu s časovnim razporedom, ki bo Kyndryl-u omogočal, da se bo pravočasno odzval na kakršno koli zahtevo naročnika ali druge tretje osebe.

    Člen VIII, Tehnični in organizacijski ukrepi, splošna varnost

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršne koli storitve ali elemente za dostavo, razen če bo imel dobavitelj pri zagotavljanju teh storitev in elementov za dostavo dostop samo do Kyndryl-ovih poslovnih kontaktnih informacij (tj. dobavitelj ne bo obdeloval nobenih drugih Kyndryl-ovih podatkov ali imel dostopa do katerih koli drugih Kyndryl-ovih materialov ali katerega koli poslovnega sistema), če je dobaviteljeva edina storitev in element za dostavo to, da Kyndryl-u zagotavlja programsko opremo na mestu uporabe, oziroma če dobavitelj zagotavlja vse svoje storitve in elemente za dostavo po modelu povečanja osebja v skladu s členom VII, vključno z odsekom 1.7 tega člena.

    Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil: (a) Kyndryl-ove materiale pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem in nenamernim ali nepooblaščenim dostopom, (b) Kyndryl-ove podatke pred nezakonitimi oblikami obdelave ter (c) Kyndryl-ovo tehnologijo pred nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Varnostni pravilniki

    1.1 Dobavitelj bo vzdrževal in upošteval informacijskotehnološke varnostne pravilnike in prakse, ki so sestavni del dobaviteljevega poslovanja, obvezni za vse dobaviteljevo osebje in skladni z najboljšimi praksami v panogi.

    1.2 Dobavitelj bo svoje informacijskotehnološke varnostne pravilnike in prakse pregledal vsaj enkrat letno in jih dopolnil tako, kot meni, da je potrebno za zaščito Kyndryl-ovih materialov.

    1.3 Dobavitelj bo vzdrževal in upošteval standardne in obvezne zahteve glede preverjanja zaposlitve za vse novo zaposlene in razširil takšne zahteve na vse svoje osebje in hčerinske družbe v njegovi 100-odstotni lasti. Te zahteve bodo vključevale preverjanje nekaznovanosti v obsegu, ki ga dovoljujejo lokalni zakoni, preverjanje veljavnosti dokazila o identiteti in dodatna preverjanja, za katera dobavitelj meni, da so potrebna. Dobavitelj bo po potrebi redno ponavljal in ponovno preverjal te zahteve.

    1.4 Dobavitelj bo enkrat letno svojim zaposlenim zagotovil izobraževanje glede varnosti in zasebnosti ter od vseh teh zaposlenih zahteval, da vsako leto potrdijo, da bodo ravnali skladno z dobaviteljevim kodeksom etičnega poslovanja, zaupnostjo in varnostnimi pravilniki, opredeljenimi v dobaviteljevem kodeksu ravnanja ali podobnih dokumentih. Dobavitelj bo osebam s skrbniškim dostopom do kakršnih koli komponent storitev, elementov za dostavo ali Kyndryl-ovih materialov zagotovil dodatno usposabljanje glede pravilnikov in obdelave, pri čemer bo takšno usposabljanje značilno za njihovo vlogo in podporo pri storitvah, elementih za dostavo in Kyndryl-ovih materialih, in kot je potrebno za vzdrževanje zahtevane skladnosti in certifikatov.

    1.5 Dobavitelj bo načrtoval ukrepe glede varnosti in zasebnosti, s katerimi bo zaščitil in vzdrževal razpoložljivost Kyndryl-ovih materialov, vključno s svojo uvedbo, vzdrževanjem in ravnanjem skladno s pravilniki in postopki, ki sami po sebi zahtevajo varnost in zasebnost, varno inženirstvo in varno delovanje, in sicer za vse storitve in elemente za dostavo ter za vse obravnavanje Kyndryl-ove tehnologije.

    2. Varnostni incidenti

    2.1 Dobavitelj bo vzdrževal in upošteval pravilnike o odzivanju na dokumentirane incidente, ki so skladni z najboljšimi praksami v panogi za obravnavanje računalniških varnostnih incidentov.

    2.2 Dobavitelj bo preiskal nepooblaščen dostop ali nepooblaščeno uporabo Kyndryl-ovih materialov ter definiral in izvršil ustrezen plan odziva.

    2.3 Dobavitelj bo nemudoma (najpozneje pa v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

    2.4 Dobavitelj bo Kyndryl-u zagotovil razumno pomoč pri izpolnjevanju kakršnih koli pravnih obveznosti (vključno z obveznostmi obveščanja regulatorjev ali oseb, na katere se nanašajo podatki) Kyndryl-a, Kyndryl-ovih povezanih podjetij in naročnikov (in njihovih naročnikov ali povezanih podjetij) v zvezi s kršitvijo varnosti.

    2.5 Dobavitelj ne bo informiral ali obvestil nobene tretje osebe o tem, da je kršitev varnosti neposredno ali posredno povezana z Kyndryl-om ali Kyndryl-ovimi materiali, razen če Kyndryl to pisno odobri ali to zahteva zakonodaja. Dobavitelj bo Kyndryl pisno obvestil, preden bo distribuiral kakršno koli zakonsko zahtevano obvestilo kateri koli tretji osebi, če takšno obvestilo neposredno ali posredno razkriva Kyndryl-ovo identiteto.

    2.6 V primeru kršitve varnosti, ki izhaja iz dobaviteljeve kršitve katere koli obveznosti v okviru teh določb:

    (a) bo dobavitelj odgovoren za vse stroške, ki jih utrpi sam, pa tudi za dejanske stroške, ki jih utrpi Kyndryl, pri zagotavljanju obvestila o kršitvi varnosti zadevnim regulatorjem, drugim vladnim ali ustreznim panožnim samoregulativnim agencijam, medijem (če to zahteva veljavna zakonodaja), osebam, na katere se nanašajo podatki, naročnikom in drugim,

    (b) bo dobavitelj, če bo Kyndryl to zahteval, na svoje stroške vzpostavil in vzdrževal klicni center za odgovarjanje na vprašanja oseb, na katere se nanašajo podatki, glede kršitve varnosti in njenih posledic, in sicer 1 leto po datumu, na katerega so bile takšne osebe, na katere se nanašajo podatki, obveščene o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito. Kyndryl in dobavitelj bosta v sodelovanju ustvarila skripte in druge materiale, ki jih bo osebje klicnega centra uporabljalo pri odzivanju na poizvedovanja. Alternativno lahko Kyndryl po poslanem pisnem obvestilu dobavitelju sam vzpostavi in vzdržuje svoj klicni center, namesto da to naredi dobavitelj, dobavitelj pa bo Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi zaradi vzpostavitve in vzdrževanja takšnega klicnega centra, in

    (c) bo dobavitelj Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi pri zagotavljanju storitev za spremljanje in obnavljanje kredita v 1 letu po datumu, ko so bili posamezniki, na katere je vplivala kršitev in ki so se odločili registrirati za takšne storitve, obveščeni o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito.

    3. Fizično varovanje in nadzor vstopa (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov).

    3.1 Dobavitelj bo vzdrževal ustrezne oblike nadzora fizičnega vstopa, kot so ovire, s karticami nadzorovane vstopne točke, nadzorne kamere in recepcije z osebjem, s katerimi bo preprečil nepooblaščen vstop v objekte.

    3.2 Dobavitelj bo za dostop, vključno s kakršnim koli začasnim dostopom, do objektov in nadzorovanih območij znotraj objektov zahteval pooblaščeno odobritev, dostop pa bo omejil glede na vlogo na delovnem mestu in poslovno potrebo. Če bo dobavitelj odobril začasen dostop, bo njegov pooblaščeni zaposleni spremljal vsakega obiskovalca, ko bo ta v objektu in na katerih koli nadzorovanih območjih.

    3.3 Dobavitelj bo uvedel oblike nadzora fizičnega dostopa, vključno z večfaktorskimi oblikami nadzora dostopa, ki so skladne z najboljšimi praksami v panogi, s katerimi bo ustrezno omejil vstop na nadzorovana območja znotraj objektov, v dnevnik bo beležil vse poskuse vstopa, takšne dnevnike pa bo hranil vsaj eno leto.

    3.4 Dobavitelj bo preklical dostop do objektov in nadzorovanih območij znotraj objektov (a) ob prenehanju delovnega razmerja s pooblaščenim dobaviteljevim zaposlenim ali (b) ko pooblaščeni dobaviteljev zaposleni ne bo več imel veljavne poslovne potrebe za dostop. Dobavitelj bo upošteval uradne postopke o dokumentiranem prenehanju delovnega razmerja, ki vključujejo takojšnjo odstranitev z seznamov za nadzor dostopa in predajo izkaznic za dostop.

    3.5 Dobavitelj bo z varnostnimi ukrepi zaščitil vso fizično infrastrukturo, ki se uporablja za podpiranje storitev in elementov za dostavo ter obravnavanje Kyndryl-ove tehnologije, pred okoljskimi grožnjami, ki nastanejo naravno ali jih povzroči človek, kot so previsoka temperatura okolja, požar, poplava, vlažnost, kraja in vandalizem.

    4. Nadzor dostopa, posegov, prenosa in ločevanja

    4.1 Dobavitelj bo vzdrževal dokumentirano varnostno arhitekturo omrežij, ki jih uporablja pri svojem izvajanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo ločeno pregledoval takšno arhitekturo omrežij in vpeljal ukrepe za preprečevanje nepooblaščenih omrežnih povezav do sistemov, aplikacij in omrežnih naprav za zagotavljanje skladnosti s poglobljenimi standardi glede varne segmentacije, izolacije in obrambe. Dobavitelj pri gostovanju in izvajanju gostovanih storitev ne sme uporabljati brezžične tehnologije, lahko pa jo uporablja pri dostavi storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, vendar mora dobavitelj šifrirati in zahtevati varno preverjanje pristnosti za vsa takšna brezžična omrežja.

    4.2 Dobavitelj bo vzdrževal ukrepe, ki so načrtovani za logično ločevanje Kyndryl-ovih materialov in preprečevanje njihove izpostavljenosti ali dostopnosti nepooblaščenim osebam. Dobavitelj bo tudi vzdrževal ustrezno izolacijo svojih produkcijskih, neprodukcijskih in drugih okolij ter, če so Kyndryl-ovi materiali že prisotni v neprodukcijskem okolju ali preneseni vanj (na primer za reproduciranje napake), bo dobavitelj zagotovil, da je zaščita glede varnosti in zasebnosti v neprodukcijskem okolju enaka tisti v produkcijskem okolju.

    4.3 Dobavitelj bo šifriral Kyndryl-ove materiale v tranzitu in v mirovanju (razen če dobavitelj Kyndryl-u razumno in zadovoljivo prikaže, da je šifriranje Kyndryl-ovih materialov v mirovanju tehnično neizvedljivo). Dobavitelj bo šifriral tudi vse fizične medije, če obstajajo, na primer medije, ki vsebujejo datoteke varnostne kopije. Dobavitelj bo dokumentiral postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo, povezano s šifriranjem podatkov. Dobavitelj bo zagotovil, da bodo specifične kriptografske metode, uporabljene za takšno šifriranje, v skladu z najboljšimi praksami v panogi (kot je NIST SP 800-131a).

    4.4 Če dobavitelj potrebuje dostop do Kyndryl-ovih materialov, bo tak dostop omejil na najnižjo raven, potrebno za zagotavljanje in podpiranje storitev in elementov za dostavo. Dobavitelj bo zahteval, da bo takšen dostop, vključno s skrbniškim dostopom do kakršnih koli temeljnih komponent (tj. privilegiran dostop), individualen, da bo temeljil na vlogah in da bo predmet odobritve in rednega preverjanja veljavnosti s strani pooblaščenih dobaviteljevih zaposlenih, ki bodo upoštevali načela ločitve dolžnosti. Dobavitelj bo vzdrževal ukrepe za identificiranje in odstranjevanje odvečnih in mirujočih računov. Dobavitelj bo prav tako preklical račune s privilegiranim dostopom v roku štiriindvajsetih (24) ur po prenehanju delovnega razmerja z lastnikom računa ali na zahtevo Kyndryl-a ali katerega koli pooblaščenega dobaviteljevega zaposlenega, npr. managerja lastnika računa.

    4.5 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal tehnične ukrepe, ki bodo uveljavljali časovno omejitev neaktivnih sej, zaklepanje računov po večkratnih zaporednih neuspešnih poskusih prijave in preverjanje pristnosti z močnim geslom, ter ukrepe, ki bodo zahtevali varen prenos in shranjevanje takšnih gesel. Poleg tega bo dobavitelj uporabljal večkratno preverjanje pristnosti za vsak privilegiran dostop do katerih koli Kyndryl-ovih materialov, ki ne temelji na konzoli.

    4.6 Dobavitelj bo nadzoroval uporabo privilegiranega dostopa in vzdrževal varnostne informacije in ukrepe za upravljanje dogodkov, načrtovane za: (a) identificiranje nepooblaščenega dostopa in dejavnosti, (b) omogočanje pravočasnega in ustreznega odziva na takšen dostop in dejavnost ter (c) omogočanje revizij s strani dobavitelja, Kyndryl-a (v skladu z njegovimi pravicami do preverjanja v teh določbah in pravicami do revizije v transakcijskem dokumentu ali povezani osnovni ali drugi sorodni pogodbi med pogodbenima strankama) in drugih glede skladnosti z dokumentiranim dobaviteljevim pravilnikom.

    4.7 Dobavitelj bo hranil dnevnike, v katerih bo v skladu z najboljšimi praksami v panogi beležil vse skrbniške, uporabniške in druge dostope ali dejavnosti v zvezi s sistemi, ki se uporabljajo pri zagotavljanju storitev ali elementov za dostavo in obravnavanju Kyndryl-ove tehnologije (in bo te dnevnike na zahtevo zagotovil Kyndryl-u). Dobavitelj bo vzdrževal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in nenamernim ali namernim uničenjem takšnih dnevnikov.

    4.8 Dobavitelj bo vzdrževal računalniške zaščite za sisteme, ki jih ima v lasti ali jih upravlja, vključno s sistemi končnih uporabnikov, in ki jih uporablja pri zagotavljanju storitev ali elementov za dostavo oziroma pri obravnavanju Kyndryl-ove tehnologije, pri čemer bodo takšne zaščite vključevale: požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje končne točke s podpisom in brez podpisa ter odzivne tehnologije za obravnavanje zlonamerne programske opreme in naprednih vztrajnih groženj, zaklepanje zaslona na osnovi časa ter rešitve za upravljanje končnih točk, ki uveljavljajo zahteve glede konfiguracije zaščite in nameščanja popravkov. Poleg tega bo dobavitelj uvedel tehnične in operativne nadzore, ki bodo zagotavljali, da lahko dobaviteljeva omrežja uporabljajo samo znani in zaupanja vredni sistemi končnih uporabnikov.

    4.9 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal zaščite za okolja podatkovnih centrov, v katerih so prisotni ali obdelani Kyndryl-ovi materiali, pri čemer bodo takšne zaščite vključevale zaznavanje in preprečevanje vdorov ter protiukrepe in ublažitev za napade na omrežje, ki povzročijo odpoved njegovega delovanja.

    5. Nadzor integritete storitev in sistemov ter razpoložljivosti

    5.1 Dobavitelj bo: (a) vsaj enkrat letno opravil oceno tveganja glede varnosti in zasebnosti, (b) izvedel preizkušanje varnosti in ocenil ranljivosti, vključno z avtomatiziranim pregledom varnosti sistemov in aplikacij ter ročnim etičnim hekanjem, in sicer pred produkcijsko izdajo in nato enkrat letno v zvezi s storitvami in elementi za dostavo ter enkrat letno v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, (c) najel usposobljeno neodvisno tretjo osebo, ki bo vsaj enkrat letno izvedla penetracijsko preizkušanje v skladu z najboljšimi praksami v panogi, pri čemer bo takšno preizkušanje vključevalo tako avtomatizirano kot tudi ročno preizkušanje, (d) izvedel avtomatizirano upravljanje in rutinsko preverjanje skladnosti z zahtevami konfiguracije zaščite za vsako komponento storitev in elementov za dostavo in v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, ter (e) saniral identificirane ranljivosti ali neskladnosti z zahtevami konfiguracije zaščite na osnovi povezanega tveganja, možnosti zlorabe in vpliva. Dobavitelj bo izvedel razumne ukrepe, s katerimi se bo izognil prekinitvi delovanja storitev med izvajanjem preizkusov, ocen, pregledov ter sanacijskih dejavnosti. Dobavitelj bo Kyndryl-u na njegovo zahtevo zagotovil pisni povzetek dobaviteljevih takrat najnovejših dejavnosti penetracijskega preizkušanja, poročilo pa bo vključevalo najmanj imena ponudb, ki jih je obsegalo preizkušanje, število sistemov ali aplikacij v obsegu preizkušanja, datume preizkušanja, metodologijo, uporabljeno pri preizkušanju, ter splošni povzetek ugotovitev.

    5.2 Dobavitelj bo vzdrževal pravilnike in postopke, načrtovane za upravljanje tveganj, povezanih z uvajanjem sprememb v storitve ali elemente za dostavo oziroma obravnavanje Kyndryl-ove tehnologije. Dobavitelj bo pred uvedbo takšne spremembe, vključno s spremembo sistemov, omrežij in temeljnih komponent, na katere takšna sprememba vpliva, v registrirani zahtevi za spremembo dokumentiral naslednje: (a) opis spremembe in razlog zanjo, (b) podrobnosti in časovni razpored uvedbe, (c) izjavo o tveganju, ki obravnava vpliv na storitve in elemente za dostavo, naročnike storitev ali Kyndryl-ove materiale, (d) pričakovani rezultat, (e) načrt za razveljavitev in (f) odobritev pooblaščenih dobaviteljevih zaposlenih.

    5.3 Dobavitelj bo vzdrževal seznam vseh informacijskotehnoloških sredstev, ki jih uporablja pri delovanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo redno nadziral in upravljal stanje (vključno z zmogljivostjo) in razpoložljivost takšnih informacijskotehnoloških sredstev, storitev, elementov za dostavo in Kyndryl-ove tehnologije.

    5.4 Dobavitelj bo vse sisteme, ki jih bo uporabljal pri razvoju ali delovanju storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, zgradil iz preddefiniranih slik sistemske varnosti ali varnostnih osnovnic, ki ustrezajo najboljšim praksam v panogi, kot so primerjalni preskusi CIS (Center for Internet Security).

    5.5 Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi s poslovno kontinuiteto ločeno ocenil vsako storitev in element za dostavo in vsak informacijsko tehnološki sistem, ki se uporablja pri obravnavanju Kyndryl-ove tehnologije, glede poslovne in informacijsko tehnološke kontinuitete in zahtev za obnovitev po katastrofi v skladu z dokumentiranimi smernicami za upravljanje tveganj. Dobavitelj bo zagotovil, da bo imela vsaka takšna storitev, element za dostavo in informacijsko tehnološki sistem v obsegu, ki ga jamči takšna ocena tveganja, ločeno definirane, dokumentirane, vzdrževane in letno preverjene načrte za poslovno in informacijsko tehnološko kontinuiteto ter obnovitev po katastrofi, ki bodo skladni z najboljšimi praksami v panogi. Dobavitelj bo zagotovil, da so takšni načrti zasnovani za zagotavljanje specifičnih časov obnovitve, ki so opredeljeni v spodnjem razdelku 5.6.

    5.6 Specifični cilji glede točke obnovitve ("RPO") in cilji glede časa obnovitve ("RTO") v zvezi s katero koli gostovano storitvijo so: 24 ur za RPO in 24 ur za RTO; kljub temu bo dobavitelj ravnal skladno z vsakim krajšim trajanjem RPO ali RTO, za katerega se bo Kyndryl zavezal naročniku, in sicer takoj po tem, ko Kyndryl dobavitelja pisno obvesti o takšnem krajšem trajanju RPO ali RTO (e-pošta šteje za pisno obvestilo). V zvezi z vsemi drugimi storitvami, ki jih dobavitelj zagotavlja Kyndryl-u, bo dobavitelj zagotovil, da bodo njegovi načrti za poslovni kontinuiteto in obnovitev po katastrofi zasnovani za zagotavljanje RPO in RTO, ki dobavitelju omogočata ohranjanje skladnosti z vsemi njegovimi obveznostmi do Kyndryl-a v okviru transakcijskega dokumenta in povezane osnovne pogodbe med pogodbenima strankama ter teh določb, vključno z njegovimi obveznostmi glede pravočasnega preizkušanja, podpiranja in vzdrževanja.

    5.7 Dobavitelj bo vzdrževal ukrepe, zasnovane za ocenjevanje, preizkušanje in uveljavljanje varnostnih svetovalnih popravkov v storitvah in elementih za dostavo ter povezanih sistemih, omrežjih, aplikacijah in temeljnih komponentah v obsegu teh storitev in elementov za dostavo, pa tudi v sistemih, omrežjih, aplikacijah in temeljnih komponentah, ki se uporabljajo za obravnavanje Kyndryl-ove tehnologije. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo dobavitelj uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Dobaviteljeva uvedba varnostnih svetovalnih popravkov bo izvedena skladno z njegovim pravilnikom o upravljanju sprememb.

    5.8 Če ima Kyndryl razumno podlago za mnenje, da lahko strojna ali programska oprema, ki jo dobavitelj zagotavlja Kyndryl-u, vsebuje elemente za vdiranje, kot so vohunska programska oprema, zlonamerna programska oprema ali zlonamerna koda, potem bo dobavitelj pravočasno v sodelovanju z Kyndryl-om preiskal in saniral Kyndryl-ove pomisleke.

    6. Zagotavljanje storitev

    6.1 Dobavitelj bo podpiral v panogi običajne metode za federativno preverjanje pristnosti za vse Kyndryl-ove uporabnike ali naročnikove račune, pri čemer bo dobavitelj upošteval najboljše prakse v panogi za preverjanje pristnosti takšnih Kyndryl-ovih uporabnikov ali naročnikovih računov (kot je Kyndryl-ova centralno upravljana večfaktorska enotna prijava, ki uporablja OpenID Connect ali jezik SAML (Security Assertion Markup Language)).

    7. Podizvajalci. Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi z obdržanjem podizvajalcev zagotovil, da bo vsak podizvajalec, ki bo opravljal delo za dobavitelja, uvedel nadzore upravljanja za skladnost z zahtevami in obveznostmi, ki jih te določbe nalagajo dobavitelju.

    8. Fizični mediji. Dobavitelj bo v skladu z najboljšimi praksami v panogi za čiščenje medijev pred ponovno uporabo varno očistil fizične medije, ki so namenjeni ponovni uporabi, in uničil fizične medije, ki niso namenjeni ponovni uporabi.

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

  3. V tem primeru za ta dostop veljajo členi II (Tehnični in organizacijski ukrepi, varnost podatkov), VIII (Tehnični in organizacijski ukrepi, splošna varnost) in X (Sodelovanje, preverjanje in sanacija).

    Primeri:

    1. Dobavitelj hrani, prenaša, ima dostop do ali drugače obdeluje neosebne podatke, ki mu jih zagotovijo Kyndryl ali naročniki.

    Člen II, Tehnični in organizacijski ukrepi, varnost podatkov

    Ta člen velja, če dobavitelj obdeluje Kyndryl-ove podatke, ki niso Kyndryl-ove poslovne kontaktne informacije. Dobavitelj bo pri zagotavljanju vseh storitev in elementov za dostavo ravnal skladno z zahtevami tega člena in s tem zaščitil Kyndryl-ove podatke pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem, nenamernim ali nepooblaščenim dostopom in nezakonitimi oblikami obdelave. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Uporaba podatkov

    1.1 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja Kyndryl-ovim podatkom ne sme dodajati ali prilagati nobenih drugih informacij ali podatkov, vključno z osebnimi podatki, in dobavitelj Kyndryl-ovih podatkov v nobeni obliki (bodisi združeni bodisi drugačni) ne sme uporabljati za noben namen razen za zagotavljanje storitev in elementov za dostavo (dobavitelj na primer ne sme uporabljati ali ponovno uporabljati Kyndryl-ovih podatkov za ocenjevanje ali povečevanje uspešnosti svojih ponudb, za raziskovanje in razvoj pri ustvarjanju novih ponudb ali za ustvarjanje poročil glede svojih ponudb). Dobavitelju je prepovedano prodajanje Kyndryl-ovih podatkov, razen če je to izrecno dovoljeno v transakcijskem dokumentu.

    1.2 Dobavitelj v elemente za dostavo ali kot del storitev ne bo vdeloval nobenih tehnologij za spletno spremljanje (takšne tehnologije vključujejo HTML5, lokalno shranjevanje, oznake ali žetone tretjih oseb in spletne signale), razen če je to izrecno dovoljeno v transakcijskem dokumentu.

    2. Zahteve tretjih oseb in zaupnost

    2.1 Dobavitelj Kyndryl-ovih podatkov ne bo razkrival nobeni tretji osebi, razen če Kyndryl to vnaprej pisno odobri. Če vladni organ, vključno s kakršnim koli regulatorjem, zahteva dostop do Kyndryl-ovih podatkov (če na primer ameriški vladni organ dobavitelju vroči odredbo o nacionalni varnosti za pridobitev Kyndryl-ovih podatkov) ali če razkritje Kyndryl-ovih podatkov zahteva zakonodaja, bo dobavitelj Kyndryl pisno obvestil o takšni zahtevi in dal Kyndryl-u razumno priložnost, da izpodbija kakršno koli razkritje (kjer zakonodaja prepoveduje obveščanje, bo dobavitelj sprejel ukrepe, za katere razumno meni, da so ustrezni za izpodbijanje prepovedi in razkritja Kyndryl-ovih podatkov prek sodnega postopka ali na drug način).

    2.2 Dobavitelj zagotavlja, da: (a) bodo imeli dostop do Kyndryl-ovih podatkov samo tisti njegovi zaposleni, ki tak dostop potrebujejo za zagotavljanje storitev ali elementov za dostavo, in še to samo v meri, ki je potrebna za zagotavljanje teh storitev in elementov za dostavo; in (b) je zavezal svoje zaposlene z obveznostmi zaupnosti, ki od teh zaposlenih zahtevajo, da Kyndryl-ove podatke uporabljajo in razkrivajo samo tako, kot to dovoljujejo te določbe.

    3. Vračilo ali izbris Kyndryl-ovih podatkov

    3.1 Dobavitelj bo glede na Kyndryl-ovo izbiro bodisi izbrisal bodisi vrnil Kyndryl-ove podatke Kyndryl-u ob prenehanju ali poteku transakcijskega dokumenta oziroma prej na Kyndryl-ovo zahtevo. Če bo Kyndryl zahteval izbris, bo dobavitelj v skladu z najboljšimi praksami v panogi podatke spremenil tako, da jih ne bo mogoče prebrati, ponovno sestaviti ali rekonstruirati, izbris pa bo potrdil Kyndryl-u. Če bo Kyndryl zahteval vračilo Kyndryl-ovih podatkov, bo dobavitelj to naredil v skladu z Kyndryl-ovim razumnim časovnim razporedom in po Kyndryl-ovih razumnih pisnih navodilih.

    Člen VIII, Tehnični in organizacijski ukrepi, splošna varnost

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršne koli storitve ali elemente za dostavo, razen če bo imel dobavitelj pri zagotavljanju teh storitev in elementov za dostavo dostop samo do Kyndryl-ovih poslovnih kontaktnih informacij (tj. dobavitelj ne bo obdeloval nobenih drugih Kyndryl-ovih podatkov ali imel dostopa do katerih koli drugih Kyndryl-ovih materialov ali katerega koli poslovnega sistema), če je dobaviteljeva edina storitev in element za dostavo to, da Kyndryl-u zagotavlja programsko opremo na mestu uporabe, oziroma če dobavitelj zagotavlja vse svoje storitve in elemente za dostavo po modelu povečanja osebja v skladu s členom VII, vključno z odsekom 1.7 tega člena.

    Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil: (a) Kyndryl-ove materiale pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem in nenamernim ali nepooblaščenim dostopom, (b) Kyndryl-ove podatke pred nezakonitimi oblikami obdelave ter (c) Kyndryl-ovo tehnologijo pred nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Varnostni pravilniki

    1.1 Dobavitelj bo vzdrževal in upošteval informacijskotehnološke varnostne pravilnike in prakse, ki so sestavni del dobaviteljevega poslovanja, obvezni za vse dobaviteljevo osebje in skladni z najboljšimi praksami v panogi.

    1.2 Dobavitelj bo svoje informacijskotehnološke varnostne pravilnike in prakse pregledal vsaj enkrat letno in jih dopolnil tako, kot meni, da je potrebno za zaščito Kyndryl-ovih materialov.

    1.3 Dobavitelj bo vzdrževal in upošteval standardne in obvezne zahteve glede preverjanja zaposlitve za vse novo zaposlene in razširil takšne zahteve na vse svoje osebje in hčerinske družbe v njegovi 100-odstotni lasti. Te zahteve bodo vključevale preverjanje nekaznovanosti v obsegu, ki ga dovoljujejo lokalni zakoni, preverjanje veljavnosti dokazila o identiteti in dodatna preverjanja, za katera dobavitelj meni, da so potrebna. Dobavitelj bo po potrebi redno ponavljal in ponovno preverjal te zahteve.

    1.4 Dobavitelj bo enkrat letno svojim zaposlenim zagotovil izobraževanje glede varnosti in zasebnosti ter od vseh teh zaposlenih zahteval, da vsako leto potrdijo, da bodo ravnali skladno z dobaviteljevim kodeksom etičnega poslovanja, zaupnostjo in varnostnimi pravilniki, opredeljenimi v dobaviteljevem kodeksu ravnanja ali podobnih dokumentih. Dobavitelj bo osebam s skrbniškim dostopom do kakršnih koli komponent storitev, elementov za dostavo ali Kyndryl-ovih materialov zagotovil dodatno usposabljanje glede pravilnikov in obdelave, pri čemer bo takšno usposabljanje značilno za njihovo vlogo in podporo pri storitvah, elementih za dostavo in Kyndryl-ovih materialih, in kot je potrebno za vzdrževanje zahtevane skladnosti in certifikatov.

    1.5 Dobavitelj bo načrtoval ukrepe glede varnosti in zasebnosti, s katerimi bo zaščitil in vzdrževal razpoložljivost Kyndryl-ovih materialov, vključno s svojo uvedbo, vzdrževanjem in ravnanjem skladno s pravilniki in postopki, ki sami po sebi zahtevajo varnost in zasebnost, varno inženirstvo in varno delovanje, in sicer za vse storitve in elemente za dostavo ter za vse obravnavanje Kyndryl-ove tehnologije.

    2. Varnostni incidenti

    2.1 Dobavitelj bo vzdrževal in upošteval pravilnike o odzivanju na dokumentirane incidente, ki so skladni z najboljšimi praksami v panogi za obravnavanje računalniških varnostnih incidentov.

    2.2 Dobavitelj bo preiskal nepooblaščen dostop ali nepooblaščeno uporabo Kyndryl-ovih materialov ter definiral in izvršil ustrezen plan odziva.

    2.3 Dobavitelj bo nemudoma (najpozneje pa v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

    2.4 Dobavitelj bo Kyndryl-u zagotovil razumno pomoč pri izpolnjevanju kakršnih koli pravnih obveznosti (vključno z obveznostmi obveščanja regulatorjev ali oseb, na katere se nanašajo podatki) Kyndryl-a, Kyndryl-ovih povezanih podjetij in naročnikov (in njihovih naročnikov ali povezanih podjetij) v zvezi s kršitvijo varnosti.

    2.5 Dobavitelj ne bo informiral ali obvestil nobene tretje osebe o tem, da je kršitev varnosti neposredno ali posredno povezana z Kyndryl-om ali Kyndryl-ovimi materiali, razen če Kyndryl to pisno odobri ali to zahteva zakonodaja. Dobavitelj bo Kyndryl pisno obvestil, preden bo distribuiral kakršno koli zakonsko zahtevano obvestilo kateri koli tretji osebi, če takšno obvestilo neposredno ali posredno razkriva Kyndryl-ovo identiteto.

    2.6 V primeru kršitve varnosti, ki izhaja iz dobaviteljeve kršitve katere koli obveznosti v okviru teh določb:

    (a) bo dobavitelj odgovoren za vse stroške, ki jih utrpi sam, pa tudi za dejanske stroške, ki jih utrpi Kyndryl, pri zagotavljanju obvestila o kršitvi varnosti zadevnim regulatorjem, drugim vladnim ali ustreznim panožnim samoregulativnim agencijam, medijem (če to zahteva veljavna zakonodaja), osebam, na katere se nanašajo podatki, naročnikom in drugim,

    (b) bo dobavitelj, če bo Kyndryl to zahteval, na svoje stroške vzpostavil in vzdrževal klicni center za odgovarjanje na vprašanja oseb, na katere se nanašajo podatki, glede kršitve varnosti in njenih posledic, in sicer 1 leto po datumu, na katerega so bile takšne osebe, na katere se nanašajo podatki, obveščene o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito. Kyndryl in dobavitelj bosta v sodelovanju ustvarila skripte in druge materiale, ki jih bo osebje klicnega centra uporabljalo pri odzivanju na poizvedovanja. Alternativno lahko Kyndryl po poslanem pisnem obvestilu dobavitelju sam vzpostavi in vzdržuje svoj klicni center, namesto da to naredi dobavitelj, dobavitelj pa bo Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi zaradi vzpostavitve in vzdrževanja takšnega klicnega centra, in

    (c) bo dobavitelj Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi pri zagotavljanju storitev za spremljanje in obnavljanje kredita v 1 letu po datumu, ko so bili posamezniki, na katere je vplivala kršitev in ki so se odločili registrirati za takšne storitve, obveščeni o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito.

    3. Fizično varovanje in nadzor vstopa (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov).

    3.1 Dobavitelj bo vzdrževal ustrezne oblike nadzora fizičnega vstopa, kot so ovire, s karticami nadzorovane vstopne točke, nadzorne kamere in recepcije z osebjem, s katerimi bo preprečil nepooblaščen vstop v objekte.

    3.2 Dobavitelj bo za dostop, vključno s kakršnim koli začasnim dostopom, do objektov in nadzorovanih območij znotraj objektov zahteval pooblaščeno odobritev, dostop pa bo omejil glede na vlogo na delovnem mestu in poslovno potrebo. Če bo dobavitelj odobril začasen dostop, bo njegov pooblaščeni zaposleni spremljal vsakega obiskovalca, ko bo ta v objektu in na katerih koli nadzorovanih območjih.

    3.3 Dobavitelj bo uvedel oblike nadzora fizičnega dostopa, vključno z večfaktorskimi oblikami nadzora dostopa, ki so skladne z najboljšimi praksami v panogi, s katerimi bo ustrezno omejil vstop na nadzorovana območja znotraj objektov, v dnevnik bo beležil vse poskuse vstopa, takšne dnevnike pa bo hranil vsaj eno leto.

    3.4 Dobavitelj bo preklical dostop do objektov in nadzorovanih območij znotraj objektov (a) ob prenehanju delovnega razmerja s pooblaščenim dobaviteljevim zaposlenim ali (b) ko pooblaščeni dobaviteljev zaposleni ne bo več imel veljavne poslovne potrebe za dostop. Dobavitelj bo upošteval uradne postopke o dokumentiranem prenehanju delovnega razmerja, ki vključujejo takojšnjo odstranitev z seznamov za nadzor dostopa in predajo izkaznic za dostop.

    3.5 Dobavitelj bo z varnostnimi ukrepi zaščitil vso fizično infrastrukturo, ki se uporablja za podpiranje storitev in elementov za dostavo ter obravnavanje Kyndryl-ove tehnologije, pred okoljskimi grožnjami, ki nastanejo naravno ali jih povzroči človek, kot so previsoka temperatura okolja, požar, poplava, vlažnost, kraja in vandalizem.

    4. Nadzor dostopa, posegov, prenosa in ločevanja

    4.1 Dobavitelj bo vzdrževal dokumentirano varnostno arhitekturo omrežij, ki jih uporablja pri svojem izvajanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo ločeno pregledoval takšno arhitekturo omrežij in vpeljal ukrepe za preprečevanje nepooblaščenih omrežnih povezav do sistemov, aplikacij in omrežnih naprav za zagotavljanje skladnosti s poglobljenimi standardi glede varne segmentacije, izolacije in obrambe. Dobavitelj pri gostovanju in izvajanju gostovanih storitev ne sme uporabljati brezžične tehnologije, lahko pa jo uporablja pri dostavi storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, vendar mora dobavitelj šifrirati in zahtevati varno preverjanje pristnosti za vsa takšna brezžična omrežja.

    4.2 Dobavitelj bo vzdrževal ukrepe, ki so načrtovani za logično ločevanje Kyndryl-ovih materialov in preprečevanje njihove izpostavljenosti ali dostopnosti nepooblaščenim osebam. Dobavitelj bo tudi vzdrževal ustrezno izolacijo svojih produkcijskih, neprodukcijskih in drugih okolij ter, če so Kyndryl-ovi materiali že prisotni v neprodukcijskem okolju ali preneseni vanj (na primer za reproduciranje napake), bo dobavitelj zagotovil, da je zaščita glede varnosti in zasebnosti v neprodukcijskem okolju enaka tisti v produkcijskem okolju.

    4.3 Dobavitelj bo šifriral Kyndryl-ove materiale v tranzitu in v mirovanju (razen če dobavitelj Kyndryl-u razumno in zadovoljivo prikaže, da je šifriranje Kyndryl-ovih materialov v mirovanju tehnično neizvedljivo). Dobavitelj bo šifriral tudi vse fizične medije, če obstajajo, na primer medije, ki vsebujejo datoteke varnostne kopije. Dobavitelj bo dokumentiral postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo, povezano s šifriranjem podatkov. Dobavitelj bo zagotovil, da bodo specifične kriptografske metode, uporabljene za takšno šifriranje, v skladu z najboljšimi praksami v panogi (kot je NIST SP 800-131a).

    4.4 Če dobavitelj potrebuje dostop do Kyndryl-ovih materialov, bo tak dostop omejil na najnižjo raven, potrebno za zagotavljanje in podpiranje storitev in elementov za dostavo. Dobavitelj bo zahteval, da bo takšen dostop, vključno s skrbniškim dostopom do kakršnih koli temeljnih komponent (tj. privilegiran dostop), individualen, da bo temeljil na vlogah in da bo predmet odobritve in rednega preverjanja veljavnosti s strani pooblaščenih dobaviteljevih zaposlenih, ki bodo upoštevali načela ločitve dolžnosti. Dobavitelj bo vzdrževal ukrepe za identificiranje in odstranjevanje odvečnih in mirujočih računov. Dobavitelj bo prav tako preklical račune s privilegiranim dostopom v roku štiriindvajsetih (24) ur po prenehanju delovnega razmerja z lastnikom računa ali na zahtevo Kyndryl-a ali katerega koli pooblaščenega dobaviteljevega zaposlenega, npr. managerja lastnika računa.

    4.5 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal tehnične ukrepe, ki bodo uveljavljali časovno omejitev neaktivnih sej, zaklepanje računov po večkratnih zaporednih neuspešnih poskusih prijave in preverjanje pristnosti z močnim geslom, ter ukrepe, ki bodo zahtevali varen prenos in shranjevanje takšnih gesel. Poleg tega bo dobavitelj uporabljal večkratno preverjanje pristnosti za vsak privilegiran dostop do katerih koli Kyndryl-ovih materialov, ki ne temelji na konzoli.

    4.6 Dobavitelj bo nadzoroval uporabo privilegiranega dostopa in vzdrževal varnostne informacije in ukrepe za upravljanje dogodkov, načrtovane za: (a) identificiranje nepooblaščenega dostopa in dejavnosti, (b) omogočanje pravočasnega in ustreznega odziva na takšen dostop in dejavnost ter (c) omogočanje revizij s strani dobavitelja, Kyndryl-a (v skladu z njegovimi pravicami do preverjanja v teh določbah in pravicami do revizije v transakcijskem dokumentu ali povezani osnovni ali drugi sorodni pogodbi med pogodbenima strankama) in drugih glede skladnosti z dokumentiranim dobaviteljevim pravilnikom.

    4.7 Dobavitelj bo hranil dnevnike, v katerih bo v skladu z najboljšimi praksami v panogi beležil vse skrbniške, uporabniške in druge dostope ali dejavnosti v zvezi s sistemi, ki se uporabljajo pri zagotavljanju storitev ali elementov za dostavo in obravnavanju Kyndryl-ove tehnologije (in bo te dnevnike na zahtevo zagotovil Kyndryl-u). Dobavitelj bo vzdrževal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in nenamernim ali namernim uničenjem takšnih dnevnikov.

    4.8 Dobavitelj bo vzdrževal računalniške zaščite za sisteme, ki jih ima v lasti ali jih upravlja, vključno s sistemi končnih uporabnikov, in ki jih uporablja pri zagotavljanju storitev ali elementov za dostavo oziroma pri obravnavanju Kyndryl-ove tehnologije, pri čemer bodo takšne zaščite vključevale: požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje končne točke s podpisom in brez podpisa ter odzivne tehnologije za obravnavanje zlonamerne programske opreme in naprednih vztrajnih groženj, zaklepanje zaslona na osnovi časa ter rešitve za upravljanje končnih točk, ki uveljavljajo zahteve glede konfiguracije zaščite in nameščanja popravkov. Poleg tega bo dobavitelj uvedel tehnične in operativne nadzore, ki bodo zagotavljali, da lahko dobaviteljeva omrežja uporabljajo samo znani in zaupanja vredni sistemi končnih uporabnikov.

    4.9 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal zaščite za okolja podatkovnih centrov, v katerih so prisotni ali obdelani Kyndryl-ovi materiali, pri čemer bodo takšne zaščite vključevale zaznavanje in preprečevanje vdorov ter protiukrepe in ublažitev za napade na omrežje, ki povzročijo odpoved njegovega delovanja.

    5. Nadzor integritete storitev in sistemov ter razpoložljivosti

    5.1 Dobavitelj bo: (a) vsaj enkrat letno opravil oceno tveganja glede varnosti in zasebnosti, (b) izvedel preizkušanje varnosti in ocenil ranljivosti, vključno z avtomatiziranim pregledom varnosti sistemov in aplikacij ter ročnim etičnim hekanjem, in sicer pred produkcijsko izdajo in nato enkrat letno v zvezi s storitvami in elementi za dostavo ter enkrat letno v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, (c) najel usposobljeno neodvisno tretjo osebo, ki bo vsaj enkrat letno izvedla penetracijsko preizkušanje v skladu z najboljšimi praksami v panogi, pri čemer bo takšno preizkušanje vključevalo tako avtomatizirano kot tudi ročno preizkušanje, (d) izvedel avtomatizirano upravljanje in rutinsko preverjanje skladnosti z zahtevami konfiguracije zaščite za vsako komponento storitev in elementov za dostavo in v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, ter (e) saniral identificirane ranljivosti ali neskladnosti z zahtevami konfiguracije zaščite na osnovi povezanega tveganja, možnosti zlorabe in vpliva. Dobavitelj bo izvedel razumne ukrepe, s katerimi se bo izognil prekinitvi delovanja storitev med izvajanjem preizkusov, ocen, pregledov ter sanacijskih dejavnosti. Dobavitelj bo Kyndryl-u na njegovo zahtevo zagotovil pisni povzetek dobaviteljevih takrat najnovejših dejavnosti penetracijskega preizkušanja, poročilo pa bo vključevalo najmanj imena ponudb, ki jih je obsegalo preizkušanje, število sistemov ali aplikacij v obsegu preizkušanja, datume preizkušanja, metodologijo, uporabljeno pri preizkušanju, ter splošni povzetek ugotovitev.

    5.2 Dobavitelj bo vzdrževal pravilnike in postopke, načrtovane za upravljanje tveganj, povezanih z uvajanjem sprememb v storitve ali elemente za dostavo oziroma obravnavanje Kyndryl-ove tehnologije. Dobavitelj bo pred uvedbo takšne spremembe, vključno s spremembo sistemov, omrežij in temeljnih komponent, na katere takšna sprememba vpliva, v registrirani zahtevi za spremembo dokumentiral naslednje: (a) opis spremembe in razlog zanjo, (b) podrobnosti in časovni razpored uvedbe, (c) izjavo o tveganju, ki obravnava vpliv na storitve in elemente za dostavo, naročnike storitev ali Kyndryl-ove materiale, (d) pričakovani rezultat, (e) načrt za razveljavitev in (f) odobritev pooblaščenih dobaviteljevih zaposlenih.

    5.3 Dobavitelj bo vzdrževal seznam vseh informacijskotehnoloških sredstev, ki jih uporablja pri delovanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo redno nadziral in upravljal stanje (vključno z zmogljivostjo) in razpoložljivost takšnih informacijskotehnoloških sredstev, storitev, elementov za dostavo in Kyndryl-ove tehnologije.

    5.4 Dobavitelj bo vse sisteme, ki jih bo uporabljal pri razvoju ali delovanju storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, zgradil iz preddefiniranih slik sistemske varnosti ali varnostnih osnovnic, ki ustrezajo najboljšim praksam v panogi, kot so primerjalni preskusi CIS (Center for Internet Security).

    5.5 Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi s poslovno kontinuiteto ločeno ocenil vsako storitev in element za dostavo in vsak informacijsko tehnološki sistem, ki se uporablja pri obravnavanju Kyndryl-ove tehnologije, glede poslovne in informacijsko tehnološke kontinuitete in zahtev za obnovitev po katastrofi v skladu z dokumentiranimi smernicami za upravljanje tveganj. Dobavitelj bo zagotovil, da bo imela vsaka takšna storitev, element za dostavo in informacijsko tehnološki sistem v obsegu, ki ga jamči takšna ocena tveganja, ločeno definirane, dokumentirane, vzdrževane in letno preverjene načrte za poslovno in informacijsko tehnološko kontinuiteto ter obnovitev po katastrofi, ki bodo skladni z najboljšimi praksami v panogi. Dobavitelj bo zagotovil, da so takšni načrti zasnovani za zagotavljanje specifičnih časov obnovitve, ki so opredeljeni v spodnjem razdelku 5.6.

    5.6 Specifični cilji glede točke obnovitve ("RPO") in cilji glede časa obnovitve ("RTO") v zvezi s katero koli gostovano storitvijo so: 24 ur za RPO in 24 ur za RTO; kljub temu bo dobavitelj ravnal skladno z vsakim krajšim trajanjem RPO ali RTO, za katerega se bo Kyndryl zavezal naročniku, in sicer takoj po tem, ko Kyndryl dobavitelja pisno obvesti o takšnem krajšem trajanju RPO ali RTO (e-pošta šteje za pisno obvestilo). V zvezi z vsemi drugimi storitvami, ki jih dobavitelj zagotavlja Kyndryl-u, bo dobavitelj zagotovil, da bodo njegovi načrti za poslovni kontinuiteto in obnovitev po katastrofi zasnovani za zagotavljanje RPO in RTO, ki dobavitelju omogočata ohranjanje skladnosti z vsemi njegovimi obveznostmi do Kyndryl-a v okviru transakcijskega dokumenta in povezane osnovne pogodbe med pogodbenima strankama ter teh določb, vključno z njegovimi obveznostmi glede pravočasnega preizkušanja, podpiranja in vzdrževanja.

    5.7 Dobavitelj bo vzdrževal ukrepe, zasnovane za ocenjevanje, preizkušanje in uveljavljanje varnostnih svetovalnih popravkov v storitvah in elementih za dostavo ter povezanih sistemih, omrežjih, aplikacijah in temeljnih komponentah v obsegu teh storitev in elementov za dostavo, pa tudi v sistemih, omrežjih, aplikacijah in temeljnih komponentah, ki se uporabljajo za obravnavanje Kyndryl-ove tehnologije. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo dobavitelj uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Dobaviteljeva uvedba varnostnih svetovalnih popravkov bo izvedena skladno z njegovim pravilnikom o upravljanju sprememb.

    5.8 Če ima Kyndryl razumno podlago za mnenje, da lahko strojna ali programska oprema, ki jo dobavitelj zagotavlja Kyndryl-u, vsebuje elemente za vdiranje, kot so vohunska programska oprema, zlonamerna programska oprema ali zlonamerna koda, potem bo dobavitelj pravočasno v sodelovanju z Kyndryl-om preiskal in saniral Kyndryl-ove pomisleke.

    6. Zagotavljanje storitev

    6.1 Dobavitelj bo podpiral v panogi običajne metode za federativno preverjanje pristnosti za vse Kyndryl-ove uporabnike ali naročnikove račune, pri čemer bo dobavitelj upošteval najboljše prakse v panogi za preverjanje pristnosti takšnih Kyndryl-ovih uporabnikov ali naročnikovih računov (kot je Kyndryl-ova centralno upravljana večfaktorska enotna prijava, ki uporablja OpenID Connect ali jezik SAML (Security Assertion Markup Language)).

    7. Podizvajalci. Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi z obdržanjem podizvajalcev zagotovil, da bo vsak podizvajalec, ki bo opravljal delo za dobavitelja, uvedel nadzore upravljanja za skladnost z zahtevami in obveznostmi, ki jih te določbe nalagajo dobavitelju.

    8. Fizični mediji. Dobavitelj bo v skladu z najboljšimi praksami v panogi za čiščenje medijev pred ponovno uporabo varno očistil fizične medije, ki so namenjeni ponovni uporabi, in uničil fizične medije, ki niso namenjeni ponovni uporabi.

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

  4. V tem primeru za ta dostop veljajo členi IV (Tehnični in organizacijski ukrepi, varnost kode), V (Varen razvoj), VIII (Tehnični in organizacijski ukrepi, splošna varnost) in X (Sodelovanje, preverjanje in sanacija).

    Primeri:

    • Dobavitelj prevzame odgovornost za razvoj Kyndryl-ovega izdelka in Kyndryl dobavitelju omogoči dostop do svoje izvorne kode za ta razvoj.
    • Dobavitelj razvija izvorno kodo, ki bo Kyndryl-ova last.

    Člen IV, Tehnični in organizacijski ukrepi, varnost kode

    Ta člen velja, če ima dobavitelj dostop do Kyndryl-ove izvorne kode. Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil Kyndryl-ovo izvorno kodo pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem, nenamernim ali nepooblaščenim dostopom in nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Zahteve glede varnosti

    Kot se uporablja spodaj,

    prepovedana država pomeni katero koli državo: (a) ki jo je ameriška vlada določila kot tujega sovražnika v okviru izvršne uredbe s 15. maja 2019 o varovanju informacijske in komunikacijske tehnologije in dobavne verige storitev, (b) ki je navedena na seznamu v skladu z razdelkom 1654 ameriškega zakona o nacionalni obrambi iz leta 2019, ali (c) ki je v transakcijskem dokumentu identificirana kot "prepovedana država".

    1.1 Dobavitelj ne bo distribuiral ali deponiral nobene Kyndryl-ove izvorne kode v korist katere koli tretje osebe.

    1.2 Dobavitelj ne bo dovolil, da bi se kakršna koli Kyndryl-ova izvorna koda nahajala v strežnikih, ki se nahajajo v prepovedani državi. Dobavitelj ne bo dovolil nikomur, vključno svojemu osebju, ki se nahaja v prepovedani državi ali je na obisku v prepovedani državi (v času trajanja takšnega obiska), da bi iz kakršnega koli razloga dostopal do katere koli Kyndryl-ove izvorne kode ali jo uporabljal, ne glede na to, kje na svetu se ta Kyndryl-ova izvorna koda nahaja, in ne bo dovolil nobenega razvoja, preizkušanja ali drugega dela v prepovedani državi, ki bi takšen dostop ali uporabo potrebovalo.

    1.3 Dobavitelj ne bo prestavljal ali distribuiral Kyndryl-ove izvorne kode v nobeno pristojnost, kjer zakonodaja ali interpretacija zakonodaje zahteva razkritje izvorne kode kateri koli tretji osebi. Če pride v pristojnosti, kjer se nahaja Kyndryl-ove izvorna koda, do spremembe zakonodaje ali interpretacije zakonodaje, ki bi od dobavitelja lahko zahtevala razkritje takšne izvorne kode tretji osebi, bo dobavitelj nemudoma uničil ali nemudoma odstranil takšno Kyndryl-ovo izvorno kodo iz takšne pristojnosti, prav tako nobene dodatne Kyndryl-ove izvorne kode ne bo prestavljal v takšno pristojnost, če bo takšna zakonodaja ali interpretacija zakonodaje ostala v veljavi.

    1.4 Dobavitelj ne bo neposredno ali posredno sprejel nobenega ukrepa, vključno s sklenitvijo kakršne koli pogodbe, ki bi povzročil, da bi moral dobavitelj, Kyndryl ali katera koli tretja oseba sprejeti obveznost o razkritju informacij v okviru razdelka 1654 ali 1655 ameriškega zakona o nacionalni obrambi iz leta 2019. V pojasnilo – dobavitelju brez Kyndryl-ovega predhodnega pisnega soglasja ni dovoljeno razkriti Kyndryl-ove izvorne kode nobeni tretji osebi v nobenih okoliščinah, razen če je to izrecno dovoljeno v transakcijskem dokumentu ali povezani osnovni pogodbi med pogodbenima strankama.

    1.5 Če Kyndryl obvesti dobavitelja ali če tretja oseba obvesti katero koli od pogodbenih strank, da: (a) je dobavitelj dovolil prenos Kyndryl-ove izvorne kode v prepovedano državo ali katero koli pristojnost, ki je predmet zgornjega razdelka 1.3; (b) je dobavitelj na drugačen način izdal, dostopal do ali uporabljal Kyndryl-ovo izvorno kodo na način, ki ga transakcijski dokument ali povezana osnovna ali druga pogodba med pogodbenima strankama ne dovoljuje; (c) je dobavitelj kršil zgornji odsek 1.4, potem brez omejevanja Kyndryl-ovih pravic do obravnave takšne neskladnosti po pravni poti ali po načelih pravičnosti ali v okviru transakcijskega dokumenta ali povezane osnovne ali druge pogodbe med pogodbenima strankama velja naslednje: (i) če je takšno obvestilo poslano dobavitelju, ga bo dobavitelj takoj delil z Kyndryl-om; in (ii) dobavitelj bo po Kyndryl-ovem razumnem navodilu preiskal in saniral zadevo v skladu s časovnim razporedom, ki ga Kyndryl razumno določi (po posvetu z dobaviteljem).

    1.6 Če Kyndryl razumno verjame, da so morda potrebne spremembe dobaviteljevih pravilnikov, postopkov, nadzorov ali praks v zvezi z dostopom do izvorne kode zaradi obravnavanja kibernetske varnosti, kraje intelektualne lastnine oziroma podobnih ali povezanih tveganj (vključno s tveganjem, da bo brez takšnih sprememb Kyndryl-u prepovedana prodaja določenim naročnikom ali na določene trge oziroma drugače ne bo mogel izpolniti naročnikovih zahtev glede varnosti ali dobavne verige), potem lahko Kyndryl stopi v stik z dobaviteljem zaradi pogovora o potrebnih ukrepih za obravnavanje takšnih tveganj, vključno s spremembami takšnih pravilnikov, postopkov, nadzorov ali praks. Dobavitelj bo na Kyndryl-ovo zahtevo sodeloval z njim pri ocenjevanju potrebe po takšnih spremembah in pri uvajanju ustreznih in medsebojno dogovorjenih sprememb.

    Člen V, Varen razvoj

    Ta člen velja, če bo dobavitelj zagotovil svojo izvorno kodo ali izvorno kodo tretje osebe oziroma programsko opremo na mestu uporabe Kyndryl-u oziroma bodo kakršni koli dobaviteljevi elementi za dostavo ali storitve zagotovljeni Kyndryl-ovi stranki kot del Kyndryl-ovega izdelka ali storitve.

    1. Varnostna pripravljenost

    1.1 Dobavitelj bo sodeloval pri Kyndryl-ovih notranjih postopkih za ocenjevanje varnostne pripravljenosti Kyndryl-ovih izdelkov in storitev, ki so odvisni od katerih koli dobaviteljevih elementov za dostavo, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    2. Varen razvoj

    2.1 Ta odsek 2 velja samo v primeru, ko dobavitelj IMB-u zagotavlja programsko opremo na mestu uporabe.

    2.2 Dobavitelj je uvedel in bo skozi celotno obdobje trajanja transakcijskega dokumenta v skladu z najboljšimi praksami v panogi vzdrževal varnostne pravilnike, postopke in kontrole za omrežja, platforme, sisteme, aplikacije, naprave, fizično infrastrukturo, odzivanje na incidente ter osebje, ki so potrebni za zaščito: (a) razvoja, gradnje, preizkušanja, operacijskih sistemov in okolij, ki jih dobavitelj ali katera koli tretja oseba, ki jo dobavitelj najame, uporablja, upravlja, ali se drugače zanaša nanje v zvezi z elementi za dostavo, ter (b) vse izvorne kode elementov za dostavo pred izgubo, nezakonitimi oblikami rokovanja ter nepooblaščenim dostopom, razkritjem ali spreminjanjem.

    3. Varnostne ranljivosti

    3.1 Ta odsek 3 velja samo v primeru, če bodo kateri koli dobaviteljevi elementi za dostavo ali storitve zagotovljeni Kyndryl-ovi stranki kot del Kyndryl-ovega izdelka ali storitve.

    3.2 Dobavitelj bo pridobil certifikat o skladnosti s standardom ISO 20243, Information technology, Open Trusted Technology Provider, TM Standard (O-TTPS)(Mitigating maliciously tainted and counterfeit products) (bodisi certifikat na osnovi samoocene bodisi certifikat na osnovi ocene uglednega neodvisnega revizorja). Če dobavitelj alternativno pisno zaprosi Kyndryl, ta pa to pisno odobri, bo dobavitelj pridobil certifikat o skladnosti, ki je v bistvenih značilnostih enakovreden panožnim standardom, in obravnava varen razvoj in prakse glede dobavne verige (bodisi certifikat na osnovi samoocene bodisi certifikat na osnovi ocene uglednega neodvisnega revizorja, če in kot to odobri Kyndryl).

    3.3 Dobavitelj bo pridobil certifikat o skladnosti s standardom ISO 20243 ali v bistvenih značilnostih enakovrednim panožnim standardom (če Kyndryl to pisno odobri) v 180 dneh po datumu veljavnosti transakcijskega dokumenta, nato pa bo vsakih 12 mesecev po tem podaljševal veljavnost certifikata (vsako podaljšanje pa bo v skladu s takrat najnovejšo različico zadevnega standarda, tj. standarda ISO 20243 ali, če Kyndryl to pisno odobri, v osnovi enakovrednega panožnega standarda, ki obravnava varen razvoj in prakse glede dobavne verige).

    3.4 Dobavitelj bo na zahtevo Kyndryl-u takoj zagotovil kopijo certifikatov, ki jih mora pridobiti v skladu z zgornjima razdelkoma 2.1 in 2.2.

    4. Varnostne ranljivosti

    Kot se uporablja spodaj,

    Popravek napake pomeni popravke hroščev in revizije, ki popravljajo napake ali pomanjkljivosti, vključno z varnostnimi ranljivostmi in elementi za dostavo.

    Ublažitev pomeni kakršen koli način za zmanjšanje ali izogibanje tveganjem varnostne ranljivosti.

    Varnostna ranljivost pomeni stanje pri načrtovanju, kodiranju, razvijanju, uvajanju, preizkušanju, delovanju, podpiranju, vzdrževanju ali upravljanju elementa za dostavo, ki komur koli omogoča napad, ki lahko povzroči nepooblaščeno dostopanje ali izkoriščanje, vključno z naslednjim: (a) dostopanje do, nadziranje ali prekinjanje delovanja sistema, (b) dostopanje do, brisanje, spreminjanje ali izvlečenje podatkov oziroma (c) spreminjanje identitete, pooblastil ali dovoljenj uporabnikov ali skrbnikov. Varnostna ranljivost lahko obstaja ne glede na to, ali ji je dodeljen ID CVE (splošne ranljivosti in izpostavljenosti) ali kakršna koli ocena ali uradna klasifikacija.

    4.1 Dobavitelj izjavlja in jamči, da bo: (a) uporabljal najboljše prakse v panogi za identificiranje varnostnih ranljivosti, vključno z neprekinjenim statičnim in dinamičnim pregledovanjem aplikacijske varnosti izvorne kode, pregledovanjem varnosti odprte kode in pregledovanjem sistemske ranljivosti, ter (b) ravnal skladno z zahtevami teh določb, da bo pomagal preprečevati, zaznavati in popravljati varnostne ranljivosti v elementih za dostavo in v vseh informacijskotehnoloških aplikacijah, platformah in infrastrukturi, v katerih in prek katerih dobavitelj ustvarja in zagotavlja storitve in elemente za dostavo.

    4.2 Če bo dobavitelj izvedel za varnostno ranljivost v elementu za dostavo ali kateri koli takšni informacijskotehnološki aplikaciji, platformi ali infrastrukturi, bo Kyndryl-u zagotovil popravek napake in ublažitve za vse različice in izdaje elementov za dostavo v skladu z ravnmi resnosti in časovnimi okviri, definiranimi v spodnjih tabelah:

    Raven resnosti*

    Urgentna varnostna ranljivost - je varnostna ranljivost, ki predstavlja resno in potencialno globalno grožnjo. Kyndryl določa urgentne varnostne ranljivosti izključno po svoji presoji, ne glede na osnovno oceno CVSS.

    Kritična - je varnostna ranljivost, ki ima osnovno oceno CVSS od 9,0 do 10,0

    Zelo resna - je varnostna ranljivost, ki ima osnovno oceno CVSS od 7,0 do 8,9

    Srednje resna - je varnostna ranljivost, ki ima osnovno oceno CVSS od 4,0 do 6,9

    Manj resna - je varnostna ranljivost, ki ima osnovno oceno CVSS od 0,0 do 3,9

    Časovni okviri

    Urgentna

    Kritična

    Visoka

    Srednje veliko

    Nizko

    4 dni ali manj, kot določijo
    v Kyndryl-ovi glavni pisarni za
    informacijsko varnost

    30 dni

    30 dni

    90 dni

    V skladu z najboljšimi praksami v panogi

    V vsakem primeru, ko varnostna ranljivost nima že vnaprej dodeljene osnovne ocene CVSS, bo dobavitelj dodelil raven resnosti, ki je primerna za naravo in okoliščine takšne ranljivosti.

    4.3 Dobavitelj bo za varnostno ranljivost, ki je bila javno razkrita in za katero dobavitelj Kyndryl-u še ni zagotovil popravka napak ali ublažitve, uvedel vse tehnično izvedljive dodatne varnostne nadzore, ki lahko ublažijo tveganja ranljivosti.

    4.4 Če Kyndryl ne bo zadovoljen z dobaviteljevim odzivom na kakršno koli varnostno ranljivost v elementu za dostavo ali kateri koli aplikaciji, platformi ali infrastrukturi, omenjeni zgoraj, bo dobavitelj brez poseganja v kakršne koli druge Kyndryl-ove pravice takoj uredil pogovor Kyndryl-a neposredno z dobaviteljevim podpredsednikom ali enakovrednim izvršnim članom, ki je odgovoren za dostavo popravka napake.

    4.5 Primeri varnostnih ranljivosti vključujejo kodo tretjih oseb ali odprto kodo s koncem storitve, kjer ti vrsti kode ne prejemata več varnostnih popravkov.

    Člen VIII, Tehnični in organizacijski ukrepi, splošna varnost

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršne koli storitve ali elemente za dostavo, razen če bo imel dobavitelj pri zagotavljanju teh storitev in elementov za dostavo dostop samo do Kyndryl-ovih poslovnih kontaktnih informacij (tj. dobavitelj ne bo obdeloval nobenih drugih Kyndryl-ovih podatkov ali imel dostopa do katerih koli drugih Kyndryl-ovih materialov ali katerega koli poslovnega sistema), če je dobaviteljeva edina storitev in element za dostavo to, da Kyndryl-u zagotavlja programsko opremo na mestu uporabe, oziroma če dobavitelj zagotavlja vse svoje storitve in elemente za dostavo po modelu povečanja osebja v skladu s členom VII, vključno z odsekom 1.7 tega člena.

    Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil: (a) Kyndryl-ove materiale pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem in nenamernim ali nepooblaščenim dostopom, (b) Kyndryl-ove podatke pred nezakonitimi oblikami obdelave ter (c) Kyndryl-ovo tehnologijo pred nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Varnostni pravilniki

    1.1 Dobavitelj bo vzdrževal in upošteval informacijskotehnološke varnostne pravilnike in prakse, ki so sestavni del dobaviteljevega poslovanja, obvezni za vse dobaviteljevo osebje in skladni z najboljšimi praksami v panogi.

    1.2 Dobavitelj bo svoje informacijskotehnološke varnostne pravilnike in prakse pregledal vsaj enkrat letno in jih dopolnil tako, kot meni, da je potrebno za zaščito Kyndryl-ovih materialov.

    1.3 Dobavitelj bo vzdrževal in upošteval standardne in obvezne zahteve glede preverjanja zaposlitve za vse novo zaposlene in razširil takšne zahteve na vse svoje osebje in hčerinske družbe v njegovi 100-odstotni lasti. Te zahteve bodo vključevale preverjanje nekaznovanosti v obsegu, ki ga dovoljujejo lokalni zakoni, preverjanje veljavnosti dokazila o identiteti in dodatna preverjanja, za katera dobavitelj meni, da so potrebna. Dobavitelj bo po potrebi redno ponavljal in ponovno preverjal te zahteve.

    1.4 Dobavitelj bo enkrat letno svojim zaposlenim zagotovil izobraževanje glede varnosti in zasebnosti ter od vseh teh zaposlenih zahteval, da vsako leto potrdijo, da bodo ravnali skladno z dobaviteljevim kodeksom etičnega poslovanja, zaupnostjo in varnostnimi pravilniki, opredeljenimi v dobaviteljevem kodeksu ravnanja ali podobnih dokumentih. Dobavitelj bo osebam s skrbniškim dostopom do kakršnih koli komponent storitev, elementov za dostavo ali Kyndryl-ovih materialov zagotovil dodatno usposabljanje glede pravilnikov in obdelave, pri čemer bo takšno usposabljanje značilno za njihovo vlogo in podporo pri storitvah, elementih za dostavo in Kyndryl-ovih materialih, in kot je potrebno za vzdrževanje zahtevane skladnosti in certifikatov.

    1.5 Dobavitelj bo načrtoval ukrepe glede varnosti in zasebnosti, s katerimi bo zaščitil in vzdrževal razpoložljivost Kyndryl-ovih materialov, vključno s svojo uvedbo, vzdrževanjem in ravnanjem skladno s pravilniki in postopki, ki sami po sebi zahtevajo varnost in zasebnost, varno inženirstvo in varno delovanje, in sicer za vse storitve in elemente za dostavo ter za vse obravnavanje Kyndryl-ove tehnologije.

    2. Varnostni incidenti

    2.1 Dobavitelj bo vzdrževal in upošteval pravilnike o odzivanju na dokumentirane incidente, ki so skladni z najboljšimi praksami v panogi za obravnavanje računalniških varnostnih incidentov.

    2.2 Dobavitelj bo preiskal nepooblaščen dostop ali nepooblaščeno uporabo Kyndryl-ovih materialov ter definiral in izvršil ustrezen plan odziva.

    2.3 Dobavitelj bo nemudoma (najpozneje pa v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

    2.4 Dobavitelj bo Kyndryl-u zagotovil razumno pomoč pri izpolnjevanju kakršnih koli pravnih obveznosti (vključno z obveznostmi obveščanja regulatorjev ali oseb, na katere se nanašajo podatki) Kyndryl-a, Kyndryl-ovih povezanih podjetij in naročnikov (in njihovih naročnikov ali povezanih podjetij) v zvezi s kršitvijo varnosti.

    2.5 Dobavitelj ne bo informiral ali obvestil nobene tretje osebe o tem, da je kršitev varnosti neposredno ali posredno povezana z Kyndryl-om ali Kyndryl-ovimi materiali, razen če Kyndryl to pisno odobri ali to zahteva zakonodaja. Dobavitelj bo Kyndryl pisno obvestil, preden bo distribuiral kakršno koli zakonsko zahtevano obvestilo kateri koli tretji osebi, če takšno obvestilo neposredno ali posredno razkriva Kyndryl-ovo identiteto.

    2.6 V primeru kršitve varnosti, ki izhaja iz dobaviteljeve kršitve katere koli obveznosti v okviru teh določb:

    (a) bo dobavitelj odgovoren za vse stroške, ki jih utrpi sam, pa tudi za dejanske stroške, ki jih utrpi Kyndryl, pri zagotavljanju obvestila o kršitvi varnosti zadevnim regulatorjem, drugim vladnim ali ustreznim panožnim samoregulativnim agencijam, medijem (če to zahteva veljavna zakonodaja), osebam, na katere se nanašajo podatki, naročnikom in drugim,

    (b) bo dobavitelj, če bo Kyndryl to zahteval, na svoje stroške vzpostavil in vzdrževal klicni center za odgovarjanje na vprašanja oseb, na katere se nanašajo podatki, glede kršitve varnosti in njenih posledic, in sicer 1 leto po datumu, na katerega so bile takšne osebe, na katere se nanašajo podatki, obveščene o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito. Kyndryl in dobavitelj bosta v sodelovanju ustvarila skripte in druge materiale, ki jih bo osebje klicnega centra uporabljalo pri odzivanju na poizvedovanja. Alternativno lahko Kyndryl po poslanem pisnem obvestilu dobavitelju sam vzpostavi in vzdržuje svoj klicni center, namesto da to naredi dobavitelj, dobavitelj pa bo Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi zaradi vzpostavitve in vzdrževanja takšnega klicnega centra, in

    (c) bo dobavitelj Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi pri zagotavljanju storitev za spremljanje in obnavljanje kredita v 1 letu po datumu, ko so bili posamezniki, na katere je vplivala kršitev in ki so se odločili registrirati za takšne storitve, obveščeni o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito.

    3. Fizično varovanje in nadzor vstopa (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov).

    3.1 Dobavitelj bo vzdrževal ustrezne oblike nadzora fizičnega vstopa, kot so ovire, s karticami nadzorovane vstopne točke, nadzorne kamere in recepcije z osebjem, s katerimi bo preprečil nepooblaščen vstop v objekte.

    3.2 Dobavitelj bo za dostop, vključno s kakršnim koli začasnim dostopom, do objektov in nadzorovanih območij znotraj objektov zahteval pooblaščeno odobritev, dostop pa bo omejil glede na vlogo na delovnem mestu in poslovno potrebo. Če bo dobavitelj odobril začasen dostop, bo njegov pooblaščeni zaposleni spremljal vsakega obiskovalca, ko bo ta v objektu in na katerih koli nadzorovanih območjih.

    3.3 Dobavitelj bo uvedel oblike nadzora fizičnega dostopa, vključno z večfaktorskimi oblikami nadzora dostopa, ki so skladne z najboljšimi praksami v panogi, s katerimi bo ustrezno omejil vstop na nadzorovana območja znotraj objektov, v dnevnik bo beležil vse poskuse vstopa, takšne dnevnike pa bo hranil vsaj eno leto.

    3.4 Dobavitelj bo preklical dostop do objektov in nadzorovanih območij znotraj objektov (a) ob prenehanju delovnega razmerja s pooblaščenim dobaviteljevim zaposlenim ali (b) ko pooblaščeni dobaviteljev zaposleni ne bo več imel veljavne poslovne potrebe za dostop. Dobavitelj bo upošteval uradne postopke o dokumentiranem prenehanju delovnega razmerja, ki vključujejo takojšnjo odstranitev z seznamov za nadzor dostopa in predajo izkaznic za dostop.

    3.5 Dobavitelj bo z varnostnimi ukrepi zaščitil vso fizično infrastrukturo, ki se uporablja za podpiranje storitev in elementov za dostavo ter obravnavanje Kyndryl-ove tehnologije, pred okoljskimi grožnjami, ki nastanejo naravno ali jih povzroči človek, kot so previsoka temperatura okolja, požar, poplava, vlažnost, kraja in vandalizem.

    4. Nadzor dostopa, posegov, prenosa in ločevanja

    4.1 Dobavitelj bo vzdrževal dokumentirano varnostno arhitekturo omrežij, ki jih uporablja pri svojem izvajanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo ločeno pregledoval takšno arhitekturo omrežij in vpeljal ukrepe za preprečevanje nepooblaščenih omrežnih povezav do sistemov, aplikacij in omrežnih naprav za zagotavljanje skladnosti s poglobljenimi standardi glede varne segmentacije, izolacije in obrambe. Dobavitelj pri gostovanju in izvajanju gostovanih storitev ne sme uporabljati brezžične tehnologije, lahko pa jo uporablja pri dostavi storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, vendar mora dobavitelj šifrirati in zahtevati varno preverjanje pristnosti za vsa takšna brezžična omrežja.

    4.2 Dobavitelj bo vzdrževal ukrepe, ki so načrtovani za logično ločevanje Kyndryl-ovih materialov in preprečevanje njihove izpostavljenosti ali dostopnosti nepooblaščenim osebam. Dobavitelj bo tudi vzdrževal ustrezno izolacijo svojih produkcijskih, neprodukcijskih in drugih okolij ter, če so Kyndryl-ovi materiali že prisotni v neprodukcijskem okolju ali preneseni vanj (na primer za reproduciranje napake), bo dobavitelj zagotovil, da je zaščita glede varnosti in zasebnosti v neprodukcijskem okolju enaka tisti v produkcijskem okolju.

    4.3 Dobavitelj bo šifriral Kyndryl-ove materiale v tranzitu in v mirovanju (razen če dobavitelj Kyndryl-u razumno in zadovoljivo prikaže, da je šifriranje Kyndryl-ovih materialov v mirovanju tehnično neizvedljivo). Dobavitelj bo šifriral tudi vse fizične medije, če obstajajo, na primer medije, ki vsebujejo datoteke varnostne kopije. Dobavitelj bo dokumentiral postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo, povezano s šifriranjem podatkov. Dobavitelj bo zagotovil, da bodo specifične kriptografske metode, uporabljene za takšno šifriranje, v skladu z najboljšimi praksami v panogi (kot je NIST SP 800-131a).

    4.4 Če dobavitelj potrebuje dostop do Kyndryl-ovih materialov, bo tak dostop omejil na najnižjo raven, potrebno za zagotavljanje in podpiranje storitev in elementov za dostavo. Dobavitelj bo zahteval, da bo takšen dostop, vključno s skrbniškim dostopom do kakršnih koli temeljnih komponent (tj. privilegiran dostop), individualen, da bo temeljil na vlogah in da bo predmet odobritve in rednega preverjanja veljavnosti s strani pooblaščenih dobaviteljevih zaposlenih, ki bodo upoštevali načela ločitve dolžnosti. Dobavitelj bo vzdrževal ukrepe za identificiranje in odstranjevanje odvečnih in mirujočih računov. Dobavitelj bo prav tako preklical račune s privilegiranim dostopom v roku štiriindvajsetih (24) ur po prenehanju delovnega razmerja z lastnikom računa ali na zahtevo Kyndryl-a ali katerega koli pooblaščenega dobaviteljevega zaposlenega, npr. managerja lastnika računa.

    4.5 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal tehnične ukrepe, ki bodo uveljavljali časovno omejitev neaktivnih sej, zaklepanje računov po večkratnih zaporednih neuspešnih poskusih prijave in preverjanje pristnosti z močnim geslom, ter ukrepe, ki bodo zahtevali varen prenos in shranjevanje takšnih gesel. Poleg tega bo dobavitelj uporabljal večkratno preverjanje pristnosti za vsak privilegiran dostop do katerih koli Kyndryl-ovih materialov, ki ne temelji na konzoli.

    4.6 Dobavitelj bo nadzoroval uporabo privilegiranega dostopa in vzdrževal varnostne informacije in ukrepe za upravljanje dogodkov, načrtovane za: (a) identificiranje nepooblaščenega dostopa in dejavnosti, (b) omogočanje pravočasnega in ustreznega odziva na takšen dostop in dejavnost ter (c) omogočanje revizij s strani dobavitelja, Kyndryl-a (v skladu z njegovimi pravicami do preverjanja v teh določbah in pravicami do revizije v transakcijskem dokumentu ali povezani osnovni ali drugi sorodni pogodbi med pogodbenima strankama) in drugih glede skladnosti z dokumentiranim dobaviteljevim pravilnikom.

    4.7 Dobavitelj bo hranil dnevnike, v katerih bo v skladu z najboljšimi praksami v panogi beležil vse skrbniške, uporabniške in druge dostope ali dejavnosti v zvezi s sistemi, ki se uporabljajo pri zagotavljanju storitev ali elementov za dostavo in obravnavanju Kyndryl-ove tehnologije (in bo te dnevnike na zahtevo zagotovil Kyndryl-u). Dobavitelj bo vzdrževal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in nenamernim ali namernim uničenjem takšnih dnevnikov.

    4.8 Dobavitelj bo vzdrževal računalniške zaščite za sisteme, ki jih ima v lasti ali jih upravlja, vključno s sistemi končnih uporabnikov, in ki jih uporablja pri zagotavljanju storitev ali elementov za dostavo oziroma pri obravnavanju Kyndryl-ove tehnologije, pri čemer bodo takšne zaščite vključevale: požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje končne točke s podpisom in brez podpisa ter odzivne tehnologije za obravnavanje zlonamerne programske opreme in naprednih vztrajnih groženj, zaklepanje zaslona na osnovi časa ter rešitve za upravljanje končnih točk, ki uveljavljajo zahteve glede konfiguracije zaščite in nameščanja popravkov. Poleg tega bo dobavitelj uvedel tehnične in operativne nadzore, ki bodo zagotavljali, da lahko dobaviteljeva omrežja uporabljajo samo znani in zaupanja vredni sistemi končnih uporabnikov.

    4.9 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal zaščite za okolja podatkovnih centrov, v katerih so prisotni ali obdelani Kyndryl-ovi materiali, pri čemer bodo takšne zaščite vključevale zaznavanje in preprečevanje vdorov ter protiukrepe in ublažitev za napade na omrežje, ki povzročijo odpoved njegovega delovanja.

    5. Nadzor integritete storitev in sistemov ter razpoložljivosti

    5.1 Dobavitelj bo: (a) vsaj enkrat letno opravil oceno tveganja glede varnosti in zasebnosti, (b) izvedel preizkušanje varnosti in ocenil ranljivosti, vključno z avtomatiziranim pregledom varnosti sistemov in aplikacij ter ročnim etičnim hekanjem, in sicer pred produkcijsko izdajo in nato enkrat letno v zvezi s storitvami in elementi za dostavo ter enkrat letno v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, (c) najel usposobljeno neodvisno tretjo osebo, ki bo vsaj enkrat letno izvedla penetracijsko preizkušanje v skladu z najboljšimi praksami v panogi, pri čemer bo takšno preizkušanje vključevalo tako avtomatizirano kot tudi ročno preizkušanje, (d) izvedel avtomatizirano upravljanje in rutinsko preverjanje skladnosti z zahtevami konfiguracije zaščite za vsako komponento storitev in elementov za dostavo in v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, ter (e) saniral identificirane ranljivosti ali neskladnosti z zahtevami konfiguracije zaščite na osnovi povezanega tveganja, možnosti zlorabe in vpliva. Dobavitelj bo izvedel razumne ukrepe, s katerimi se bo izognil prekinitvi delovanja storitev med izvajanjem preizkusov, ocen, pregledov ter sanacijskih dejavnosti. Dobavitelj bo Kyndryl-u na njegovo zahtevo zagotovil pisni povzetek dobaviteljevih takrat najnovejših dejavnosti penetracijskega preizkušanja, poročilo pa bo vključevalo najmanj imena ponudb, ki jih je obsegalo preizkušanje, število sistemov ali aplikacij v obsegu preizkušanja, datume preizkušanja, metodologijo, uporabljeno pri preizkušanju, ter splošni povzetek ugotovitev.

    5.2 Dobavitelj bo vzdrževal pravilnike in postopke, načrtovane za upravljanje tveganj, povezanih z uvajanjem sprememb v storitve ali elemente za dostavo oziroma obravnavanje Kyndryl-ove tehnologije. Dobavitelj bo pred uvedbo takšne spremembe, vključno s spremembo sistemov, omrežij in temeljnih komponent, na katere takšna sprememba vpliva, v registrirani zahtevi za spremembo dokumentiral naslednje: (a) opis spremembe in razlog zanjo, (b) podrobnosti in časovni razpored uvedbe, (c) izjavo o tveganju, ki obravnava vpliv na storitve in elemente za dostavo, naročnike storitev ali Kyndryl-ove materiale, (d) pričakovani rezultat, (e) načrt za razveljavitev in (f) odobritev pooblaščenih dobaviteljevih zaposlenih.

    5.3 Dobavitelj bo vzdrževal seznam vseh informacijskotehnoloških sredstev, ki jih uporablja pri delovanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo redno nadziral in upravljal stanje (vključno z zmogljivostjo) in razpoložljivost takšnih informacijskotehnoloških sredstev, storitev, elementov za dostavo in Kyndryl-ove tehnologije.

    5.4 Dobavitelj bo vse sisteme, ki jih bo uporabljal pri razvoju ali delovanju storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, zgradil iz preddefiniranih slik sistemske varnosti ali varnostnih osnovnic, ki ustrezajo najboljšim praksam v panogi, kot so primerjalni preskusi CIS (Center for Internet Security).

    5.5 Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi s poslovno kontinuiteto ločeno ocenil vsako storitev in element za dostavo in vsak informacijsko tehnološki sistem, ki se uporablja pri obravnavanju Kyndryl-ove tehnologije, glede poslovne in informacijsko tehnološke kontinuitete in zahtev za obnovitev po katastrofi v skladu z dokumentiranimi smernicami za upravljanje tveganj. Dobavitelj bo zagotovil, da bo imela vsaka takšna storitev, element za dostavo in informacijsko tehnološki sistem v obsegu, ki ga jamči takšna ocena tveganja, ločeno definirane, dokumentirane, vzdrževane in letno preverjene načrte za poslovno in informacijsko tehnološko kontinuiteto ter obnovitev po katastrofi, ki bodo skladni z najboljšimi praksami v panogi. Dobavitelj bo zagotovil, da so takšni načrti zasnovani za zagotavljanje specifičnih časov obnovitve, ki so opredeljeni v spodnjem razdelku 5.6.

    5.6 Specifični cilji glede točke obnovitve ("RPO") in cilji glede časa obnovitve ("RTO") v zvezi s katero koli gostovano storitvijo so: 24 ur za RPO in 24 ur za RTO; kljub temu bo dobavitelj ravnal skladno z vsakim krajšim trajanjem RPO ali RTO, za katerega se bo Kyndryl zavezal naročniku, in sicer takoj po tem, ko Kyndryl dobavitelja pisno obvesti o takšnem krajšem trajanju RPO ali RTO (e-pošta šteje za pisno obvestilo). V zvezi z vsemi drugimi storitvami, ki jih dobavitelj zagotavlja Kyndryl-u, bo dobavitelj zagotovil, da bodo njegovi načrti za poslovni kontinuiteto in obnovitev po katastrofi zasnovani za zagotavljanje RPO in RTO, ki dobavitelju omogočata ohranjanje skladnosti z vsemi njegovimi obveznostmi do Kyndryl-a v okviru transakcijskega dokumenta in povezane osnovne pogodbe med pogodbenima strankama ter teh določb, vključno z njegovimi obveznostmi glede pravočasnega preizkušanja, podpiranja in vzdrževanja.

    5.7 Dobavitelj bo vzdrževal ukrepe, zasnovane za ocenjevanje, preizkušanje in uveljavljanje varnostnih svetovalnih popravkov v storitvah in elementih za dostavo ter povezanih sistemih, omrežjih, aplikacijah in temeljnih komponentah v obsegu teh storitev in elementov za dostavo, pa tudi v sistemih, omrežjih, aplikacijah in temeljnih komponentah, ki se uporabljajo za obravnavanje Kyndryl-ove tehnologije. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo dobavitelj uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Dobaviteljeva uvedba varnostnih svetovalnih popravkov bo izvedena skladno z njegovim pravilnikom o upravljanju sprememb.

    5.8 Če ima Kyndryl razumno podlago za mnenje, da lahko strojna ali programska oprema, ki jo dobavitelj zagotavlja Kyndryl-u, vsebuje elemente za vdiranje, kot so vohunska programska oprema, zlonamerna programska oprema ali zlonamerna koda, potem bo dobavitelj pravočasno v sodelovanju z Kyndryl-om preiskal in saniral Kyndryl-ove pomisleke.

    6. Zagotavljanje storitev

    6.1 Dobavitelj bo podpiral v panogi običajne metode za federativno preverjanje pristnosti za vse Kyndryl-ove uporabnike ali naročnikove račune, pri čemer bo dobavitelj upošteval najboljše prakse v panogi za preverjanje pristnosti takšnih Kyndryl-ovih uporabnikov ali naročnikovih računov (kot je Kyndryl-ova centralno upravljana večfaktorska enotna prijava, ki uporablja OpenID Connect ali jezik SAML (Security Assertion Markup Language)).

    7. Podizvajalci. Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi z obdržanjem podizvajalcev zagotovil, da bo vsak podizvajalec, ki bo opravljal delo za dobavitelja, uvedel nadzore upravljanja za skladnost z zahtevami in obveznostmi, ki jih te določbe nalagajo dobavitelju.

    8. Fizični mediji. Dobavitelj bo v skladu z najboljšimi praksami v panogi za čiščenje medijev pred ponovno uporabo varno očistil fizične medije, ki so namenjeni ponovni uporabi, in uničil fizične medije, ki niso namenjeni ponovni uporabi.

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

  5. Če je tako in dobavitelj zagotovi svojo izvorno kodo ali izvorno kodo tretje osebe Kyndryl-u oziroma bodo kakršni koli dobaviteljevi elementi za dostavo ali storitve zagotovljeni Kyndryl-ovi stranki kot del Kyndryl-ovega izdelka ali storitve, potem veljajo členi V (Varen razvoj), VIII (Tehnični in organizacijski ukrepi, splošna varnost) in X (Sodelovanje, preverjanje in sanacija).

     

    Če dobavitelj Kyndryl-u zagotavlja samo programsko opremo na mestu uporabe, potem veljata člena V (Varen razvoj) in X (Sodelovanje, preverjanje in sanacija).

    Primeri:

    • Dobavitelj razvija izvorno kodo, ki bo Kyndryl-ova last, in sicer za izdelek, ki ga bo Kyndryl tržil in prodajal.
    • Dobavitelj licencira program programske opreme Kyndryl-u za Kyndryl-ovo uporabo na mestu uporabe.
    • Kyndryl preimenuje dobaviteljevo gostovano storitev, ki jo bo gostil in upravljal dobavitelj, in sicer kot Kyndryl-ov izdelek ali storitev.

    Opomba :

    člen VIII (Tehnični in organizacijski ukrepi, splošna varnost) velja tudi za dobavitelja, ki Kyndryl-u zagotavlja programsko opremo na mestu uporabe, če druga dejstva dogovora povzročijo, da velja člen VIII (npr. če ima dobavitelj dostop do več kot samo poslovnih kontaktnih informacij, kot so Kyndryl-ovi osebni podatki ali neosebni podatki).

    Člen V, Varen razvoj

    Ta člen velja, če bo dobavitelj zagotovil svojo izvorno kodo ali izvorno kodo tretje osebe oziroma programsko opremo na mestu uporabe Kyndryl-u oziroma bodo kakršni koli dobaviteljevi elementi za dostavo ali storitve zagotovljeni Kyndryl-ovi stranki kot del Kyndryl-ovega izdelka ali storitve.

    1. Varnostna pripravljenost

    1.1 Dobavitelj bo sodeloval pri Kyndryl-ovih notranjih postopkih za ocenjevanje varnostne pripravljenosti Kyndryl-ovih izdelkov in storitev, ki so odvisni od katerih koli dobaviteljevih elementov za dostavo, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    2. Varen razvoj

    2.1 Ta odsek 2 velja samo v primeru, ko dobavitelj IMB-u zagotavlja programsko opremo na mestu uporabe.

    2.2 Dobavitelj je uvedel in bo skozi celotno obdobje trajanja transakcijskega dokumenta v skladu z najboljšimi praksami v panogi vzdrževal varnostne pravilnike, postopke in kontrole za omrežja, platforme, sisteme, aplikacije, naprave, fizično infrastrukturo, odzivanje na incidente ter osebje, ki so potrebni za zaščito: (a) razvoja, gradnje, preizkušanja, operacijskih sistemov in okolij, ki jih dobavitelj ali katera koli tretja oseba, ki jo dobavitelj najame, uporablja, upravlja, ali se drugače zanaša nanje v zvezi z elementi za dostavo, ter (b) vse izvorne kode elementov za dostavo pred izgubo, nezakonitimi oblikami rokovanja ter nepooblaščenim dostopom, razkritjem ali spreminjanjem.

    3. Varnostne ranljivosti

    3.1 Ta odsek 3 velja samo v primeru, če bodo kateri koli dobaviteljevi elementi za dostavo ali storitve zagotovljeni Kyndryl-ovi stranki kot del Kyndryl-ovega izdelka ali storitve.

    3.2 Dobavitelj bo pridobil certifikat o skladnosti s standardom ISO 20243, Information technology, Open Trusted Technology Provider, TM Standard (O-TTPS)(Mitigating maliciously tainted and counterfeit products) (bodisi certifikat na osnovi samoocene bodisi certifikat na osnovi ocene uglednega neodvisnega revizorja). Če dobavitelj alternativno pisno zaprosi Kyndryl, ta pa to pisno odobri, bo dobavitelj pridobil certifikat o skladnosti, ki je v bistvenih značilnostih enakovreden panožnim standardom, in obravnava varen razvoj in prakse glede dobavne verige (bodisi certifikat na osnovi samoocene bodisi certifikat na osnovi ocene uglednega neodvisnega revizorja, če in kot to odobri Kyndryl).

    3.3 Dobavitelj bo pridobil certifikat o skladnosti s standardom ISO 20243 ali v bistvenih značilnostih enakovrednim panožnim standardom (če Kyndryl to pisno odobri) v 180 dneh po datumu veljavnosti transakcijskega dokumenta, nato pa bo vsakih 12 mesecev po tem podaljševal veljavnost certifikata (vsako podaljšanje pa bo v skladu s takrat najnovejšo različico zadevnega standarda, tj. standarda ISO 20243 ali, če Kyndryl to pisno odobri, v osnovi enakovrednega panožnega standarda, ki obravnava varen razvoj in prakse glede dobavne verige).

    3.4 Dobavitelj bo na zahtevo Kyndryl-u takoj zagotovil kopijo certifikatov, ki jih mora pridobiti v skladu z zgornjima razdelkoma 2.1 in 2.2.

    4. Varnostne ranljivosti

    Kot se uporablja spodaj,

    Popravek napake pomeni popravke hroščev in revizije, ki popravljajo napake ali pomanjkljivosti, vključno z varnostnimi ranljivostmi in elementi za dostavo.

    Ublažitev pomeni kakršen koli način za zmanjšanje ali izogibanje tveganjem varnostne ranljivosti.

    Varnostna ranljivost pomeni stanje pri načrtovanju, kodiranju, razvijanju, uvajanju, preizkušanju, delovanju, podpiranju, vzdrževanju ali upravljanju elementa za dostavo, ki komur koli omogoča napad, ki lahko povzroči nepooblaščeno dostopanje ali izkoriščanje, vključno z naslednjim: (a) dostopanje do, nadziranje ali prekinjanje delovanja sistema, (b) dostopanje do, brisanje, spreminjanje ali izvlečenje podatkov oziroma (c) spreminjanje identitete, pooblastil ali dovoljenj uporabnikov ali skrbnikov. Varnostna ranljivost lahko obstaja ne glede na to, ali ji je dodeljen ID CVE (splošne ranljivosti in izpostavljenosti) ali kakršna koli ocena ali uradna klasifikacija.

    4.1 Dobavitelj izjavlja in jamči, da bo: (a) uporabljal najboljše prakse v panogi za identificiranje varnostnih ranljivosti, vključno z neprekinjenim statičnim in dinamičnim pregledovanjem aplikacijske varnosti izvorne kode, pregledovanjem varnosti odprte kode in pregledovanjem sistemske ranljivosti, ter (b) ravnal skladno z zahtevami teh določb, da bo pomagal preprečevati, zaznavati in popravljati varnostne ranljivosti v elementih za dostavo in v vseh informacijskotehnoloških aplikacijah, platformah in infrastrukturi, v katerih in prek katerih dobavitelj ustvarja in zagotavlja storitve in elemente za dostavo.

    4.2 Če bo dobavitelj izvedel za varnostno ranljivost v elementu za dostavo ali kateri koli takšni informacijskotehnološki aplikaciji, platformi ali infrastrukturi, bo Kyndryl-u zagotovil popravek napake in ublažitve za vse različice in izdaje elementov za dostavo v skladu z ravnmi resnosti in časovnimi okviri, definiranimi v spodnjih tabelah:

    Raven resnosti*

    Urgentna varnostna ranljivost - je varnostna ranljivost, ki predstavlja resno in potencialno globalno grožnjo. Kyndryl določa urgentne varnostne ranljivosti izključno po svoji presoji, ne glede na osnovno oceno CVSS.

    Kritična - je varnostna ranljivost, ki ima osnovno oceno CVSS od 9,0 do 10,0

    Zelo resna - je varnostna ranljivost, ki ima osnovno oceno CVSS od 7,0 do 8,9

    Srednje resna - je varnostna ranljivost, ki ima osnovno oceno CVSS od 4,0 do 6,9

    Manj resna - je varnostna ranljivost, ki ima osnovno oceno CVSS od 0,0 do 3,9

    Časovni okviri

    Urgentna

    Kritična

    Visoka

    Srednje veliko

    Nizko

    4 dni ali manj, kot določijo
    v Kyndryl-ovi glavni pisarni za
    informacijsko varnost

    30 dni

    30 dni

    90 dni

    V skladu z najboljšimi praksami v panogi

    V vsakem primeru, ko varnostna ranljivost nima že vnaprej dodeljene osnovne ocene CVSS, bo dobavitelj dodelil raven resnosti, ki je primerna za naravo in okoliščine takšne ranljivosti.

    4.3 Dobavitelj bo za varnostno ranljivost, ki je bila javno razkrita in za katero dobavitelj Kyndryl-u še ni zagotovil popravka napak ali ublažitve, uvedel vse tehnično izvedljive dodatne varnostne nadzore, ki lahko ublažijo tveganja ranljivosti.

    4.4 Če Kyndryl ne bo zadovoljen z dobaviteljevim odzivom na kakršno koli varnostno ranljivost v elementu za dostavo ali kateri koli aplikaciji, platformi ali infrastrukturi, omenjeni zgoraj, bo dobavitelj brez poseganja v kakršne koli druge Kyndryl-ove pravice takoj uredil pogovor Kyndryl-a neposredno z dobaviteljevim podpredsednikom ali enakovrednim izvršnim članom, ki je odgovoren za dostavo popravka napake.

    4.5 Primeri varnostnih ranljivosti vključujejo kodo tretjih oseb ali odprto kodo s koncem storitve, kjer ti vrsti kode ne prejemata več varnostnih popravkov.

    Člen VIII, Tehnični in organizacijski ukrepi, splošna varnost

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršne koli storitve ali elemente za dostavo, razen če bo imel dobavitelj pri zagotavljanju teh storitev in elementov za dostavo dostop samo do Kyndryl-ovih poslovnih kontaktnih informacij (tj. dobavitelj ne bo obdeloval nobenih drugih Kyndryl-ovih podatkov ali imel dostopa do katerih koli drugih Kyndryl-ovih materialov ali katerega koli poslovnega sistema), če je dobaviteljeva edina storitev in element za dostavo to, da Kyndryl-u zagotavlja programsko opremo na mestu uporabe, oziroma če dobavitelj zagotavlja vse svoje storitve in elemente za dostavo po modelu povečanja osebja v skladu s členom VII, vključno z odsekom 1.7 tega člena.

    Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil: (a) Kyndryl-ove materiale pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem in nenamernim ali nepooblaščenim dostopom, (b) Kyndryl-ove podatke pred nezakonitimi oblikami obdelave ter (c) Kyndryl-ovo tehnologijo pred nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Varnostni pravilniki

    1.1 Dobavitelj bo vzdrževal in upošteval informacijskotehnološke varnostne pravilnike in prakse, ki so sestavni del dobaviteljevega poslovanja, obvezni za vse dobaviteljevo osebje in skladni z najboljšimi praksami v panogi.

    1.2 Dobavitelj bo svoje informacijskotehnološke varnostne pravilnike in prakse pregledal vsaj enkrat letno in jih dopolnil tako, kot meni, da je potrebno za zaščito Kyndryl-ovih materialov.

    1.3 Dobavitelj bo vzdrževal in upošteval standardne in obvezne zahteve glede preverjanja zaposlitve za vse novo zaposlene in razširil takšne zahteve na vse svoje osebje in hčerinske družbe v njegovi 100-odstotni lasti. Te zahteve bodo vključevale preverjanje nekaznovanosti v obsegu, ki ga dovoljujejo lokalni zakoni, preverjanje veljavnosti dokazila o identiteti in dodatna preverjanja, za katera dobavitelj meni, da so potrebna. Dobavitelj bo po potrebi redno ponavljal in ponovno preverjal te zahteve.

    1.4 Dobavitelj bo enkrat letno svojim zaposlenim zagotovil izobraževanje glede varnosti in zasebnosti ter od vseh teh zaposlenih zahteval, da vsako leto potrdijo, da bodo ravnali skladno z dobaviteljevim kodeksom etičnega poslovanja, zaupnostjo in varnostnimi pravilniki, opredeljenimi v dobaviteljevem kodeksu ravnanja ali podobnih dokumentih. Dobavitelj bo osebam s skrbniškim dostopom do kakršnih koli komponent storitev, elementov za dostavo ali Kyndryl-ovih materialov zagotovil dodatno usposabljanje glede pravilnikov in obdelave, pri čemer bo takšno usposabljanje značilno za njihovo vlogo in podporo pri storitvah, elementih za dostavo in Kyndryl-ovih materialih, in kot je potrebno za vzdrževanje zahtevane skladnosti in certifikatov.

    1.5 Dobavitelj bo načrtoval ukrepe glede varnosti in zasebnosti, s katerimi bo zaščitil in vzdrževal razpoložljivost Kyndryl-ovih materialov, vključno s svojo uvedbo, vzdrževanjem in ravnanjem skladno s pravilniki in postopki, ki sami po sebi zahtevajo varnost in zasebnost, varno inženirstvo in varno delovanje, in sicer za vse storitve in elemente za dostavo ter za vse obravnavanje Kyndryl-ove tehnologije.

    2. Varnostni incidenti

    2.1 Dobavitelj bo vzdrževal in upošteval pravilnike o odzivanju na dokumentirane incidente, ki so skladni z najboljšimi praksami v panogi za obravnavanje računalniških varnostnih incidentov.

    2.2 Dobavitelj bo preiskal nepooblaščen dostop ali nepooblaščeno uporabo Kyndryl-ovih materialov ter definiral in izvršil ustrezen plan odziva.

    2.3 Dobavitelj bo nemudoma (najpozneje pa v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

    2.4 Dobavitelj bo Kyndryl-u zagotovil razumno pomoč pri izpolnjevanju kakršnih koli pravnih obveznosti (vključno z obveznostmi obveščanja regulatorjev ali oseb, na katere se nanašajo podatki) Kyndryl-a, Kyndryl-ovih povezanih podjetij in naročnikov (in njihovih naročnikov ali povezanih podjetij) v zvezi s kršitvijo varnosti.

    2.5 Dobavitelj ne bo informiral ali obvestil nobene tretje osebe o tem, da je kršitev varnosti neposredno ali posredno povezana z Kyndryl-om ali Kyndryl-ovimi materiali, razen če Kyndryl to pisno odobri ali to zahteva zakonodaja. Dobavitelj bo Kyndryl pisno obvestil, preden bo distribuiral kakršno koli zakonsko zahtevano obvestilo kateri koli tretji osebi, če takšno obvestilo neposredno ali posredno razkriva Kyndryl-ovo identiteto.

    2.6 V primeru kršitve varnosti, ki izhaja iz dobaviteljeve kršitve katere koli obveznosti v okviru teh določb:

    (a) bo dobavitelj odgovoren za vse stroške, ki jih utrpi sam, pa tudi za dejanske stroške, ki jih utrpi Kyndryl, pri zagotavljanju obvestila o kršitvi varnosti zadevnim regulatorjem, drugim vladnim ali ustreznim panožnim samoregulativnim agencijam, medijem (če to zahteva veljavna zakonodaja), osebam, na katere se nanašajo podatki, naročnikom in drugim,

    (b) bo dobavitelj, če bo Kyndryl to zahteval, na svoje stroške vzpostavil in vzdrževal klicni center za odgovarjanje na vprašanja oseb, na katere se nanašajo podatki, glede kršitve varnosti in njenih posledic, in sicer 1 leto po datumu, na katerega so bile takšne osebe, na katere se nanašajo podatki, obveščene o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito. Kyndryl in dobavitelj bosta v sodelovanju ustvarila skripte in druge materiale, ki jih bo osebje klicnega centra uporabljalo pri odzivanju na poizvedovanja. Alternativno lahko Kyndryl po poslanem pisnem obvestilu dobavitelju sam vzpostavi in vzdržuje svoj klicni center, namesto da to naredi dobavitelj, dobavitelj pa bo Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi zaradi vzpostavitve in vzdrževanja takšnega klicnega centra, in

    (c) bo dobavitelj Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi pri zagotavljanju storitev za spremljanje in obnavljanje kredita v 1 letu po datumu, ko so bili posamezniki, na katere je vplivala kršitev in ki so se odločili registrirati za takšne storitve, obveščeni o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito.

    3. Fizično varovanje in nadzor vstopa (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov).

    3.1 Dobavitelj bo vzdrževal ustrezne oblike nadzora fizičnega vstopa, kot so ovire, s karticami nadzorovane vstopne točke, nadzorne kamere in recepcije z osebjem, s katerimi bo preprečil nepooblaščen vstop v objekte.

    3.2 Dobavitelj bo za dostop, vključno s kakršnim koli začasnim dostopom, do objektov in nadzorovanih območij znotraj objektov zahteval pooblaščeno odobritev, dostop pa bo omejil glede na vlogo na delovnem mestu in poslovno potrebo. Če bo dobavitelj odobril začasen dostop, bo njegov pooblaščeni zaposleni spremljal vsakega obiskovalca, ko bo ta v objektu in na katerih koli nadzorovanih območjih.

    3.3 Dobavitelj bo uvedel oblike nadzora fizičnega dostopa, vključno z večfaktorskimi oblikami nadzora dostopa, ki so skladne z najboljšimi praksami v panogi, s katerimi bo ustrezno omejil vstop na nadzorovana območja znotraj objektov, v dnevnik bo beležil vse poskuse vstopa, takšne dnevnike pa bo hranil vsaj eno leto.

    3.4 Dobavitelj bo preklical dostop do objektov in nadzorovanih območij znotraj objektov (a) ob prenehanju delovnega razmerja s pooblaščenim dobaviteljevim zaposlenim ali (b) ko pooblaščeni dobaviteljev zaposleni ne bo več imel veljavne poslovne potrebe za dostop. Dobavitelj bo upošteval uradne postopke o dokumentiranem prenehanju delovnega razmerja, ki vključujejo takojšnjo odstranitev z seznamov za nadzor dostopa in predajo izkaznic za dostop.

    3.5 Dobavitelj bo z varnostnimi ukrepi zaščitil vso fizično infrastrukturo, ki se uporablja za podpiranje storitev in elementov za dostavo ter obravnavanje Kyndryl-ove tehnologije, pred okoljskimi grožnjami, ki nastanejo naravno ali jih povzroči človek, kot so previsoka temperatura okolja, požar, poplava, vlažnost, kraja in vandalizem.

    4. Nadzor dostopa, posegov, prenosa in ločevanja

    4.1 Dobavitelj bo vzdrževal dokumentirano varnostno arhitekturo omrežij, ki jih uporablja pri svojem izvajanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo ločeno pregledoval takšno arhitekturo omrežij in vpeljal ukrepe za preprečevanje nepooblaščenih omrežnih povezav do sistemov, aplikacij in omrežnih naprav za zagotavljanje skladnosti s poglobljenimi standardi glede varne segmentacije, izolacije in obrambe. Dobavitelj pri gostovanju in izvajanju gostovanih storitev ne sme uporabljati brezžične tehnologije, lahko pa jo uporablja pri dostavi storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, vendar mora dobavitelj šifrirati in zahtevati varno preverjanje pristnosti za vsa takšna brezžična omrežja.

    4.2 Dobavitelj bo vzdrževal ukrepe, ki so načrtovani za logično ločevanje Kyndryl-ovih materialov in preprečevanje njihove izpostavljenosti ali dostopnosti nepooblaščenim osebam. Dobavitelj bo tudi vzdrževal ustrezno izolacijo svojih produkcijskih, neprodukcijskih in drugih okolij ter, če so Kyndryl-ovi materiali že prisotni v neprodukcijskem okolju ali preneseni vanj (na primer za reproduciranje napake), bo dobavitelj zagotovil, da je zaščita glede varnosti in zasebnosti v neprodukcijskem okolju enaka tisti v produkcijskem okolju.

    4.3 Dobavitelj bo šifriral Kyndryl-ove materiale v tranzitu in v mirovanju (razen če dobavitelj Kyndryl-u razumno in zadovoljivo prikaže, da je šifriranje Kyndryl-ovih materialov v mirovanju tehnično neizvedljivo). Dobavitelj bo šifriral tudi vse fizične medije, če obstajajo, na primer medije, ki vsebujejo datoteke varnostne kopije. Dobavitelj bo dokumentiral postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo, povezano s šifriranjem podatkov. Dobavitelj bo zagotovil, da bodo specifične kriptografske metode, uporabljene za takšno šifriranje, v skladu z najboljšimi praksami v panogi (kot je NIST SP 800-131a).

    4.4 Če dobavitelj potrebuje dostop do Kyndryl-ovih materialov, bo tak dostop omejil na najnižjo raven, potrebno za zagotavljanje in podpiranje storitev in elementov za dostavo. Dobavitelj bo zahteval, da bo takšen dostop, vključno s skrbniškim dostopom do kakršnih koli temeljnih komponent (tj. privilegiran dostop), individualen, da bo temeljil na vlogah in da bo predmet odobritve in rednega preverjanja veljavnosti s strani pooblaščenih dobaviteljevih zaposlenih, ki bodo upoštevali načela ločitve dolžnosti. Dobavitelj bo vzdrževal ukrepe za identificiranje in odstranjevanje odvečnih in mirujočih računov. Dobavitelj bo prav tako preklical račune s privilegiranim dostopom v roku štiriindvajsetih (24) ur po prenehanju delovnega razmerja z lastnikom računa ali na zahtevo Kyndryl-a ali katerega koli pooblaščenega dobaviteljevega zaposlenega, npr. managerja lastnika računa.

    4.5 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal tehnične ukrepe, ki bodo uveljavljali časovno omejitev neaktivnih sej, zaklepanje računov po večkratnih zaporednih neuspešnih poskusih prijave in preverjanje pristnosti z močnim geslom, ter ukrepe, ki bodo zahtevali varen prenos in shranjevanje takšnih gesel. Poleg tega bo dobavitelj uporabljal večkratno preverjanje pristnosti za vsak privilegiran dostop do katerih koli Kyndryl-ovih materialov, ki ne temelji na konzoli.

    4.6 Dobavitelj bo nadzoroval uporabo privilegiranega dostopa in vzdrževal varnostne informacije in ukrepe za upravljanje dogodkov, načrtovane za: (a) identificiranje nepooblaščenega dostopa in dejavnosti, (b) omogočanje pravočasnega in ustreznega odziva na takšen dostop in dejavnost ter (c) omogočanje revizij s strani dobavitelja, Kyndryl-a (v skladu z njegovimi pravicami do preverjanja v teh določbah in pravicami do revizije v transakcijskem dokumentu ali povezani osnovni ali drugi sorodni pogodbi med pogodbenima strankama) in drugih glede skladnosti z dokumentiranim dobaviteljevim pravilnikom.

    4.7 Dobavitelj bo hranil dnevnike, v katerih bo v skladu z najboljšimi praksami v panogi beležil vse skrbniške, uporabniške in druge dostope ali dejavnosti v zvezi s sistemi, ki se uporabljajo pri zagotavljanju storitev ali elementov za dostavo in obravnavanju Kyndryl-ove tehnologije (in bo te dnevnike na zahtevo zagotovil Kyndryl-u). Dobavitelj bo vzdrževal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in nenamernim ali namernim uničenjem takšnih dnevnikov.

    4.8 Dobavitelj bo vzdrževal računalniške zaščite za sisteme, ki jih ima v lasti ali jih upravlja, vključno s sistemi končnih uporabnikov, in ki jih uporablja pri zagotavljanju storitev ali elementov za dostavo oziroma pri obravnavanju Kyndryl-ove tehnologije, pri čemer bodo takšne zaščite vključevale: požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje končne točke s podpisom in brez podpisa ter odzivne tehnologije za obravnavanje zlonamerne programske opreme in naprednih vztrajnih groženj, zaklepanje zaslona na osnovi časa ter rešitve za upravljanje končnih točk, ki uveljavljajo zahteve glede konfiguracije zaščite in nameščanja popravkov. Poleg tega bo dobavitelj uvedel tehnične in operativne nadzore, ki bodo zagotavljali, da lahko dobaviteljeva omrežja uporabljajo samo znani in zaupanja vredni sistemi končnih uporabnikov.

    4.9 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal zaščite za okolja podatkovnih centrov, v katerih so prisotni ali obdelani Kyndryl-ovi materiali, pri čemer bodo takšne zaščite vključevale zaznavanje in preprečevanje vdorov ter protiukrepe in ublažitev za napade na omrežje, ki povzročijo odpoved njegovega delovanja.

    5. Nadzor integritete storitev in sistemov ter razpoložljivosti

    5.1 Dobavitelj bo: (a) vsaj enkrat letno opravil oceno tveganja glede varnosti in zasebnosti, (b) izvedel preizkušanje varnosti in ocenil ranljivosti, vključno z avtomatiziranim pregledom varnosti sistemov in aplikacij ter ročnim etičnim hekanjem, in sicer pred produkcijsko izdajo in nato enkrat letno v zvezi s storitvami in elementi za dostavo ter enkrat letno v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, (c) najel usposobljeno neodvisno tretjo osebo, ki bo vsaj enkrat letno izvedla penetracijsko preizkušanje v skladu z najboljšimi praksami v panogi, pri čemer bo takšno preizkušanje vključevalo tako avtomatizirano kot tudi ročno preizkušanje, (d) izvedel avtomatizirano upravljanje in rutinsko preverjanje skladnosti z zahtevami konfiguracije zaščite za vsako komponento storitev in elementov za dostavo in v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, ter (e) saniral identificirane ranljivosti ali neskladnosti z zahtevami konfiguracije zaščite na osnovi povezanega tveganja, možnosti zlorabe in vpliva. Dobavitelj bo izvedel razumne ukrepe, s katerimi se bo izognil prekinitvi delovanja storitev med izvajanjem preizkusov, ocen, pregledov ter sanacijskih dejavnosti. Dobavitelj bo Kyndryl-u na njegovo zahtevo zagotovil pisni povzetek dobaviteljevih takrat najnovejših dejavnosti penetracijskega preizkušanja, poročilo pa bo vključevalo najmanj imena ponudb, ki jih je obsegalo preizkušanje, število sistemov ali aplikacij v obsegu preizkušanja, datume preizkušanja, metodologijo, uporabljeno pri preizkušanju, ter splošni povzetek ugotovitev.

    5.2 Dobavitelj bo vzdrževal pravilnike in postopke, načrtovane za upravljanje tveganj, povezanih z uvajanjem sprememb v storitve ali elemente za dostavo oziroma obravnavanje Kyndryl-ove tehnologije. Dobavitelj bo pred uvedbo takšne spremembe, vključno s spremembo sistemov, omrežij in temeljnih komponent, na katere takšna sprememba vpliva, v registrirani zahtevi za spremembo dokumentiral naslednje: (a) opis spremembe in razlog zanjo, (b) podrobnosti in časovni razpored uvedbe, (c) izjavo o tveganju, ki obravnava vpliv na storitve in elemente za dostavo, naročnike storitev ali Kyndryl-ove materiale, (d) pričakovani rezultat, (e) načrt za razveljavitev in (f) odobritev pooblaščenih dobaviteljevih zaposlenih.

    5.3 Dobavitelj bo vzdrževal seznam vseh informacijskotehnoloških sredstev, ki jih uporablja pri delovanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo redno nadziral in upravljal stanje (vključno z zmogljivostjo) in razpoložljivost takšnih informacijskotehnoloških sredstev, storitev, elementov za dostavo in Kyndryl-ove tehnologije.

    5.4 Dobavitelj bo vse sisteme, ki jih bo uporabljal pri razvoju ali delovanju storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, zgradil iz preddefiniranih slik sistemske varnosti ali varnostnih osnovnic, ki ustrezajo najboljšim praksam v panogi, kot so primerjalni preskusi CIS (Center for Internet Security).

    5.5 Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi s poslovno kontinuiteto ločeno ocenil vsako storitev in element za dostavo in vsak informacijsko tehnološki sistem, ki se uporablja pri obravnavanju Kyndryl-ove tehnologije, glede poslovne in informacijsko tehnološke kontinuitete in zahtev za obnovitev po katastrofi v skladu z dokumentiranimi smernicami za upravljanje tveganj. Dobavitelj bo zagotovil, da bo imela vsaka takšna storitev, element za dostavo in informacijsko tehnološki sistem v obsegu, ki ga jamči takšna ocena tveganja, ločeno definirane, dokumentirane, vzdrževane in letno preverjene načrte za poslovno in informacijsko tehnološko kontinuiteto ter obnovitev po katastrofi, ki bodo skladni z najboljšimi praksami v panogi. Dobavitelj bo zagotovil, da so takšni načrti zasnovani za zagotavljanje specifičnih časov obnovitve, ki so opredeljeni v spodnjem razdelku 5.6.

    5.6 Specifični cilji glede točke obnovitve ("RPO") in cilji glede časa obnovitve ("RTO") v zvezi s katero koli gostovano storitvijo so: 24 ur za RPO in 24 ur za RTO; kljub temu bo dobavitelj ravnal skladno z vsakim krajšim trajanjem RPO ali RTO, za katerega se bo Kyndryl zavezal naročniku, in sicer takoj po tem, ko Kyndryl dobavitelja pisno obvesti o takšnem krajšem trajanju RPO ali RTO (e-pošta šteje za pisno obvestilo). V zvezi z vsemi drugimi storitvami, ki jih dobavitelj zagotavlja Kyndryl-u, bo dobavitelj zagotovil, da bodo njegovi načrti za poslovni kontinuiteto in obnovitev po katastrofi zasnovani za zagotavljanje RPO in RTO, ki dobavitelju omogočata ohranjanje skladnosti z vsemi njegovimi obveznostmi do Kyndryl-a v okviru transakcijskega dokumenta in povezane osnovne pogodbe med pogodbenima strankama ter teh določb, vključno z njegovimi obveznostmi glede pravočasnega preizkušanja, podpiranja in vzdrževanja.

    5.7 Dobavitelj bo vzdrževal ukrepe, zasnovane za ocenjevanje, preizkušanje in uveljavljanje varnostnih svetovalnih popravkov v storitvah in elementih za dostavo ter povezanih sistemih, omrežjih, aplikacijah in temeljnih komponentah v obsegu teh storitev in elementov za dostavo, pa tudi v sistemih, omrežjih, aplikacijah in temeljnih komponentah, ki se uporabljajo za obravnavanje Kyndryl-ove tehnologije. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo dobavitelj uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Dobaviteljeva uvedba varnostnih svetovalnih popravkov bo izvedena skladno z njegovim pravilnikom o upravljanju sprememb.

    5.8 Če ima Kyndryl razumno podlago za mnenje, da lahko strojna ali programska oprema, ki jo dobavitelj zagotavlja Kyndryl-u, vsebuje elemente za vdiranje, kot so vohunska programska oprema, zlonamerna programska oprema ali zlonamerna koda, potem bo dobavitelj pravočasno v sodelovanju z Kyndryl-om preiskal in saniral Kyndryl-ove pomisleke.

    6. Zagotavljanje storitev

    6.1 Dobavitelj bo podpiral v panogi običajne metode za federativno preverjanje pristnosti za vse Kyndryl-ove uporabnike ali naročnikove račune, pri čemer bo dobavitelj upošteval najboljše prakse v panogi za preverjanje pristnosti takšnih Kyndryl-ovih uporabnikov ali naročnikovih računov (kot je Kyndryl-ova centralno upravljana večfaktorska enotna prijava, ki uporablja OpenID Connect ali jezik SAML (Security Assertion Markup Language)).

    7. Podizvajalci. Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi z obdržanjem podizvajalcev zagotovil, da bo vsak podizvajalec, ki bo opravljal delo za dobavitelja, uvedel nadzore upravljanja za skladnost z zahtevami in obveznostmi, ki jih te določbe nalagajo dobavitelju.

    8. Fizični mediji. Dobavitelj bo v skladu z najboljšimi praksami v panogi za čiščenje medijev pred ponovno uporabo varno očistil fizične medije, ki so namenjeni ponovni uporabi, in uničil fizične medije, ki niso namenjeni ponovni uporabi.

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

  6. V tem primeru za ta dostop veljajo členi VI (Dostop do poslovnih sistemov), VIII (Tehnični in organizacijski ukrepi, splošna varnost) in X (Sodelovanje, preverjanje in sanacija).

    Primeri:

    • Dobaviteljeva odgovornost za razvoj zahteva dostop do repozitorijev Kyndryl-ove izvorne kode.

    Opomba:

    členi II (Tehnični in organizacijski ukrepi, varnost podatkov), III (Zasebnost), IV (Tehnični in organizacijski ukrepi, varnost kode) in V (Varen razvoj) morda veljajo tudi glede na to, ali je Kyndryl-ovemu dobavitelju materialov dovoljen dostop znotraj poslovnih sistemov.

    Člen VI, Dostop do poslovnih sistemov

    Ta člen velja, če bodo imeli dobaviteljevi zaposleni dostop do katerega koli poslovnega sistema.

    1. Splošne določbe

    1.1 Kyndryl bo določil, ali bo dobaviteljevim zaposlenim odobril dostop do poslovnih sistemov. Če Kyndryl dostop odobri, bo dobavitelj ravnal skladno z zahtevami tega člena in k takšnemu ravnanju zavezal tudi svoje zaposlene s takšnim dostopom.

    1.2 Kyndryl bo identificiral načine, na katere bodo lahko dobaviteljevi zaposleni dostopali do poslovnih sistemov, vključno s tem, ali bodo ti zaposleni dostopali do poslovnih sistemov prek naprav, ki jih bo zagotovil Kyndryl, ali naprav, ki jih bo zagotovil dobavitelj.

    1.3 Dobaviteljevi zaposleni lahko dostopajo do poslovnih sistemov in uporabljajo naprave, ki jih Kyndryl odobri za tak dostop, samo za zagotavljanje storitev. Dobaviteljevi zaposleni naprav, ki jih za to odobri Kyndryl, ne smejo uporabljati za zagotavljanje storitev kateri koli drugi osebi ali entiteti oziroma za dostopanje do informacijskotehnoloških sistemov, omrežij, aplikacij, spletnih mest, e-poštnih orodij, orodij za sodelovanje ali podobnega dobavitelja ali tretje osebe v povezavi s storitvami.

    1.4 V pojasnilo – dobaviteljevi zaposleni naprav, ki jih Kyndryl odobri za dostop do poslovnih sistemov, ne smejo uporabljati iz nobenih osebnih razlogov (dobaviteljevi zaposleni na primer v te naprave ne smejo shranjevati osebnih datotek, kot so glasba, videoposnetki, slike ali drugi podobni elementi, in v teh napravah interneta ne smejo uporabljati iz osebnih razlogov).

    1.5 Dobaviteljevi zaposleni ne bodo kopirali Kyndryl-ovih materialov, ki so dostopni prek poslovnega sistema, brez Kyndryl-ove predhodne pisne odobritve (in ne bodo nikoli kopirali kakršnih koli Kyndryl-ovih materialov na prenosno napravo za shranjevanje, na primer na USB ključek, zunanji trdi disk ali drugo podobno napravo).

    1.6 Dobavitelj bo na zahtevo poimensko po zaposlenih potrdil specifične poslovne sisteme, do katerih imajo njegovi zaposleni odobren dostop in do katerih so dostopali v kakršnem koli časovnem obdobju, ki ga določi Kyndryl.

    1.7 Dobavitelj bo obvestil Kyndryl v roku štiriindvajsetih (24) ur po tem, ko kateri koli dobaviteljev zaposleni z dostopom do katerega koli poslovnega sistema ne bo več: (a) zaposlen pri dobavitelju ali (b) sodeloval pri dejavnostih, ki zahtevajo takšen dostop. Dobavitelj bo v sodelovanju z Kyndryl-om zagotovil, da bo dostop za takšnega bivšega ali trenutnega zaposlenega nemudoma preklican.

    1.8 Dobavitelj bo Kyndryl-u nemudoma poročal o kakršnih koli dejanskih ali domnevnih varnostnih incidentih (kot so izguba Kyndryl-ove ali dobaviteljeve naprave oziroma nepooblaščen dostop do naprave ali podatkov, materialov ali drugih informacij katere koli vrste) in sodeloval z Kyndryl-om pri preiskavi takšnih incidentov.

    1.9 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja nobenemu agentu, neodvisnemu pogodbeniku ali podizvajalčevemu zaposlenemu ne sme dovoliti dostopa do katerega koli poslovnega sistema; če bo Kyndryl takšno soglasje podal, bo dobavitelj pogodbeno zavezal te osebe in njihove delodajalce k skladnosti z zahtevami tega člena, kot da bi bili dobaviteljevi zaposleni, in bo Kyndryl-u odgovarjal za vsa dejanja in opustitve dejanj katere koli takšne osebe ali delodajalca v zvezi s takšnim dostopom do poslovnega sistema.

    2. Programska oprema naprav

    2.1 Dobavitelj bo naročil svojim zaposlenim, da bodo pravočasno namestili vso programsko opremo naprave, ki jo Kyndryl zahteva za omogočanje dostopa do poslovnih sistemov na varen način. Niti dobavitelj niti njegovi zaposleni ne bodo motili delovanja te programske opreme ali varnostnih funkcij, ki jih programska oprema omogoča.

    2.2 Dobavitelj in njegovi zaposleni bodo upoštevali konfiguracijska pravila naprave, ki jih nastavi Kyndryl, in tudi drugače v sodelovanju z Kyndryl-om pomagali zagotoviti, da programska oprema deluje, kot želi Kyndryl. Dobavitelj na primer ne bo preglasil funkcij za blokiranje spletnih mest s programsko opremo ali samodejno nameščanje popravkov.

    2.3 Dobaviteljevi zaposleni naprav, s katerimi dostopajo do poslovnih sistemov, ali svojih uporabniških imen, gesel in podobnega za napravo ne smejo deliti z nobeno drugo osebo.

    2.4 Če Kyndryl dobaviteljevim zaposlenim odobri dostop do poslovnih sistemov z dobaviteljevimi napravami, potem bo dobavitelj v teh napravah namestil in izvajal operacijski sistem, ki ga odobri Kyndryl, in bo opravil nadgradnjo na novo različico tega operacijskega sistema ali na nov operacijski sistem v razumnem času po tem, ko mu Kyndryl to naroči.

    3.Nadzor in sodelovanje

    3.1 Kyndryl ima brezpogojne pravice do nadziranja in saniranja potencialnih vdorov in drugih kibernetskih varnostnih groženj na kakršen koli način, s katerih koli lokacij in z uporabo kakršnih koli ukrepov, za katere Kyndryl meni, da so potrebni ali primerni, in sicer brez predhodnega obvestila dobavitelju, kateremu koli dobaviteljevemu zaposlenemu ali drugim. Kyndryl lahko na primer kadarkoli (a) izvede preizkus varnosti v kateri koli napravi, (b) nadzira, pridobi na tehnološki ali drug način in pregleda komunikacijo (vključno z e-poštnimi sporočili iz katerega koli e-poštnega računa), zapise, datoteke in druge elemente, shranjene v kateri koli napravi ali prenesene prek katerega koli poslovnega sistema, ter (c) pridobi celotno forenzično sliko katere koli naprave. Če Kyndryl za uveljavljanje svojih pravic potrebuje dobaviteljevo sodelovanje, bo dobavitelj v celoti in pravočasno izpolnil Kyndryl-ove zahteve za takšno sodelovanje (vključno z na primer zahtevami za varno konfiguriranje katere koli naprave, nameščanje nadzorne ali druge programske opreme v katero koli napravo, skupno rabo podrobnosti povezave na ravni sistema, vključevanje v ukrepe za odzivanje na incidente v kateri koli napravi ter zagotavljanje fizičnega dostopa do katere koli naprave, da lahko Kyndryl pridobi celotno forenzično sliko ali druge informacije, ter podobne in povezane zahteve).

    3.2 Če Kyndryl meni, da je to potrebno za njegovo zaščito, lahko kadar koli prekliče dostop do poslovnih sistemov za katerega koli dobaviteljevega zaposlenega ali vse dobaviteljeve zaposlene, in sicer brez predhodnega obvestila dobavitelju ali kateremu koli dobaviteljevemu zaposlenemu ali drugim.

    3.3 Kyndryl-ovih pravic na noben način ne blokira, zmanjšuje ali omejuje nobena določba transakcijskega dokumenta, povezane osnovne pogodbe med pogodbenima strankama ali katere koli druge pogodbe med pogodbenima strankama, vključno s kakršno koli določbo, ki lahko zahteva, da se podatki, materiali ali druge informacije katere koli vrste nahajajo samo na izbrani lokaciji ali lokacijah, ali ki lahko zahteva, da samo osebe z izbrane lokacije ali lokacij dostopajo do takšnih podatkov, materialov ali drugih informacij.

    4.Kyndryl-ove naprave

    4.1 Kyndryl obdrži lastninsko pravico do vseh Kyndryl-ovih naprav, dobavitelj pa prevzame tveganje za izgubo naprav, kar vključuje krajo, vandalizem ali malomarnost. Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja ne bo izvedel ali dovolil kakršnih koli sprememb Kyndryl-ovih naprav, pri čemer sprememba pomeni kakršno koli spremembo naprave, vključno s spremembo programske opreme, aplikacij, varnostne zasnove oziroma fizične, mehanične ali električne zasnove naprave.

    4.2 Dobavitelj bo vse Kyndryl-ove naprave vrnil v roku 5 delovnih dni po tem, ko preneha potreba po teh napravah za zagotavljanje storitev, in če bo Kyndryl to zahteval, bo sočasno uničil vse podatke, materiale in druge informacije katere koli vrste v teh napravah, ne da bi obdržal kakršno koli kopijo, in sicer z upoštevanjem najboljših praks v panogi za trajen izbris vseh takšnih podatkov, materialov in drugih informacij. Dobavitelj bo Kyndryl-ove naprave na svoje stroške zapakiral in vrnil na lokacijo, ki jo določi Kyndryl, v istem stanju, kot so bile dostavljene dobavitelju, z izjemo razumne obrabe. Če dobavitelj ne ravna skladno s katero koli obveznostjo v tem razdelku 4.2, to predstavlja hujšo kršitev transakcijskega dokumenta in povezane osnovne pogodbe in katere koli povezane pogodbe med pogodbenima strankama, pri čemer se razume, da je pogodba "povezana", če dostop do katerega koli poslovnega sistema dobavitelju pomaga pri njegovih nalogah ali drugih aktivnostih v okviru te pogodbe.

    4.3 Kyndryl bo zagotavljal podporo za Kyndryl-ove naprave (vključno s pregledovanjem naprav ter preventivnim in sanacijskim vzdrževanjem). Dobavitelj bo Kyndryl takoj obvestil o potrebi po sanacijski storitvi.

    4.4 Za programsko opremo, ki je v Kyndryl-ovi lasti ali ima Kyndryl pravico za njeno licenciranje, Kyndryl dobavitelju podeljuje začasno pravico do uporabe, shranjevanja in izdelave zadostnega števila kopij, da podpre svojo odobreno uporabo Kyndryl-ovih naprav. Dobavitelj ne sme prenesti programov nikomur, izdelovati kopij informacij o licenci za programsko opremo oziroma razstavljati, povratno prevajati, izvajati povratnega inženirstva ali drugače prevajati katerega koli programa, razen če je to izrecno dovoljeno z veljavno zakonodajo in ni možnosti za pogodbeno odpoved pravici.

    5. Posodobitve

    5.1 Ne glede na kakršne koli nasprotne določbe v transakcijskem dokumentu ali povezani osnovni pogodbi med pogodbenima strankama lahko Kyndryl pisnim obvestilom in ne da bi potrebovale dobaviteljevo soglasje posodobi, dopolni ali drugače izboljša ta člen, da obravnava kakršno koli zahtevo v okviru veljavne zakonodaje ali obveznosti do naročnika, tako da odraža vse najboljše prakse glede razvoja in varnosti, ali drugače, kot Kyndryl meni, da je potrebno za zaščito poslovnih sistemov ali Kyndryl-a.

    Člen VIII, Tehnični in organizacijski ukrepi, splošna varnost

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršne koli storitve ali elemente za dostavo, razen če bo imel dobavitelj pri zagotavljanju teh storitev in elementov za dostavo dostop samo do Kyndryl-ovih poslovnih kontaktnih informacij (tj. dobavitelj ne bo obdeloval nobenih drugih Kyndryl-ovih podatkov ali imel dostopa do katerih koli drugih Kyndryl-ovih materialov ali katerega koli poslovnega sistema), če je dobaviteljeva edina storitev in element za dostavo to, da Kyndryl-u zagotavlja programsko opremo na mestu uporabe, oziroma če dobavitelj zagotavlja vse svoje storitve in elemente za dostavo po modelu povečanja osebja v skladu s členom VII, vključno z odsekom 1.7 tega člena.

    Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil: (a) Kyndryl-ove materiale pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem in nenamernim ali nepooblaščenim dostopom, (b) Kyndryl-ove podatke pred nezakonitimi oblikami obdelave ter (c) Kyndryl-ovo tehnologijo pred nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Varnostni pravilniki

    1.1 Dobavitelj bo vzdrževal in upošteval informacijskotehnološke varnostne pravilnike in prakse, ki so sestavni del dobaviteljevega poslovanja, obvezni za vse dobaviteljevo osebje in skladni z najboljšimi praksami v panogi.

    1.2 Dobavitelj bo svoje informacijskotehnološke varnostne pravilnike in prakse pregledal vsaj enkrat letno in jih dopolnil tako, kot meni, da je potrebno za zaščito Kyndryl-ovih materialov.

    1.3 Dobavitelj bo vzdrževal in upošteval standardne in obvezne zahteve glede preverjanja zaposlitve za vse novo zaposlene in razširil takšne zahteve na vse svoje osebje in hčerinske družbe v njegovi 100-odstotni lasti. Te zahteve bodo vključevale preverjanje nekaznovanosti v obsegu, ki ga dovoljujejo lokalni zakoni, preverjanje veljavnosti dokazila o identiteti in dodatna preverjanja, za katera dobavitelj meni, da so potrebna. Dobavitelj bo po potrebi redno ponavljal in ponovno preverjal te zahteve.

    1.4 Dobavitelj bo enkrat letno svojim zaposlenim zagotovil izobraževanje glede varnosti in zasebnosti ter od vseh teh zaposlenih zahteval, da vsako leto potrdijo, da bodo ravnali skladno z dobaviteljevim kodeksom etičnega poslovanja, zaupnostjo in varnostnimi pravilniki, opredeljenimi v dobaviteljevem kodeksu ravnanja ali podobnih dokumentih. Dobavitelj bo osebam s skrbniškim dostopom do kakršnih koli komponent storitev, elementov za dostavo ali Kyndryl-ovih materialov zagotovil dodatno usposabljanje glede pravilnikov in obdelave, pri čemer bo takšno usposabljanje značilno za njihovo vlogo in podporo pri storitvah, elementih za dostavo in Kyndryl-ovih materialih, in kot je potrebno za vzdrževanje zahtevane skladnosti in certifikatov.

    1.5 Dobavitelj bo načrtoval ukrepe glede varnosti in zasebnosti, s katerimi bo zaščitil in vzdrževal razpoložljivost Kyndryl-ovih materialov, vključno s svojo uvedbo, vzdrževanjem in ravnanjem skladno s pravilniki in postopki, ki sami po sebi zahtevajo varnost in zasebnost, varno inženirstvo in varno delovanje, in sicer za vse storitve in elemente za dostavo ter za vse obravnavanje Kyndryl-ove tehnologije.

    2. Varnostni incidenti

    2.1 Dobavitelj bo vzdrževal in upošteval pravilnike o odzivanju na dokumentirane incidente, ki so skladni z najboljšimi praksami v panogi za obravnavanje računalniških varnostnih incidentov.

    2.2 Dobavitelj bo preiskal nepooblaščen dostop ali nepooblaščeno uporabo Kyndryl-ovih materialov ter definiral in izvršil ustrezen plan odziva.

    2.3 Dobavitelj bo nemudoma (najpozneje pa v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

    2.4 Dobavitelj bo Kyndryl-u zagotovil razumno pomoč pri izpolnjevanju kakršnih koli pravnih obveznosti (vključno z obveznostmi obveščanja regulatorjev ali oseb, na katere se nanašajo podatki) Kyndryl-a, Kyndryl-ovih povezanih podjetij in naročnikov (in njihovih naročnikov ali povezanih podjetij) v zvezi s kršitvijo varnosti.

    2.5 Dobavitelj ne bo informiral ali obvestil nobene tretje osebe o tem, da je kršitev varnosti neposredno ali posredno povezana z Kyndryl-om ali Kyndryl-ovimi materiali, razen če Kyndryl to pisno odobri ali to zahteva zakonodaja. Dobavitelj bo Kyndryl pisno obvestil, preden bo distribuiral kakršno koli zakonsko zahtevano obvestilo kateri koli tretji osebi, če takšno obvestilo neposredno ali posredno razkriva Kyndryl-ovo identiteto.

    2.6 V primeru kršitve varnosti, ki izhaja iz dobaviteljeve kršitve katere koli obveznosti v okviru teh določb:

    (a) bo dobavitelj odgovoren za vse stroške, ki jih utrpi sam, pa tudi za dejanske stroške, ki jih utrpi Kyndryl, pri zagotavljanju obvestila o kršitvi varnosti zadevnim regulatorjem, drugim vladnim ali ustreznim panožnim samoregulativnim agencijam, medijem (če to zahteva veljavna zakonodaja), osebam, na katere se nanašajo podatki, naročnikom in drugim,

    (b) bo dobavitelj, če bo Kyndryl to zahteval, na svoje stroške vzpostavil in vzdrževal klicni center za odgovarjanje na vprašanja oseb, na katere se nanašajo podatki, glede kršitve varnosti in njenih posledic, in sicer 1 leto po datumu, na katerega so bile takšne osebe, na katere se nanašajo podatki, obveščene o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito. Kyndryl in dobavitelj bosta v sodelovanju ustvarila skripte in druge materiale, ki jih bo osebje klicnega centra uporabljalo pri odzivanju na poizvedovanja. Alternativno lahko Kyndryl po poslanem pisnem obvestilu dobavitelju sam vzpostavi in vzdržuje svoj klicni center, namesto da to naredi dobavitelj, dobavitelj pa bo Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi zaradi vzpostavitve in vzdrževanja takšnega klicnega centra, in

    (c) bo dobavitelj Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi pri zagotavljanju storitev za spremljanje in obnavljanje kredita v 1 letu po datumu, ko so bili posamezniki, na katere je vplivala kršitev in ki so se odločili registrirati za takšne storitve, obveščeni o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito.

    3. Fizično varovanje in nadzor vstopa (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov).

    3.1 Dobavitelj bo vzdrževal ustrezne oblike nadzora fizičnega vstopa, kot so ovire, s karticami nadzorovane vstopne točke, nadzorne kamere in recepcije z osebjem, s katerimi bo preprečil nepooblaščen vstop v objekte.

    3.2 Dobavitelj bo za dostop, vključno s kakršnim koli začasnim dostopom, do objektov in nadzorovanih območij znotraj objektov zahteval pooblaščeno odobritev, dostop pa bo omejil glede na vlogo na delovnem mestu in poslovno potrebo. Če bo dobavitelj odobril začasen dostop, bo njegov pooblaščeni zaposleni spremljal vsakega obiskovalca, ko bo ta v objektu in na katerih koli nadzorovanih območjih.

    3.3 Dobavitelj bo uvedel oblike nadzora fizičnega dostopa, vključno z večfaktorskimi oblikami nadzora dostopa, ki so skladne z najboljšimi praksami v panogi, s katerimi bo ustrezno omejil vstop na nadzorovana območja znotraj objektov, v dnevnik bo beležil vse poskuse vstopa, takšne dnevnike pa bo hranil vsaj eno leto.

    3.4 Dobavitelj bo preklical dostop do objektov in nadzorovanih območij znotraj objektov (a) ob prenehanju delovnega razmerja s pooblaščenim dobaviteljevim zaposlenim ali (b) ko pooblaščeni dobaviteljev zaposleni ne bo več imel veljavne poslovne potrebe za dostop. Dobavitelj bo upošteval uradne postopke o dokumentiranem prenehanju delovnega razmerja, ki vključujejo takojšnjo odstranitev z seznamov za nadzor dostopa in predajo izkaznic za dostop.

    3.5 Dobavitelj bo z varnostnimi ukrepi zaščitil vso fizično infrastrukturo, ki se uporablja za podpiranje storitev in elementov za dostavo ter obravnavanje Kyndryl-ove tehnologije, pred okoljskimi grožnjami, ki nastanejo naravno ali jih povzroči človek, kot so previsoka temperatura okolja, požar, poplava, vlažnost, kraja in vandalizem.

    4. Nadzor dostopa, posegov, prenosa in ločevanja

    4.1 Dobavitelj bo vzdrževal dokumentirano varnostno arhitekturo omrežij, ki jih uporablja pri svojem izvajanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo ločeno pregledoval takšno arhitekturo omrežij in vpeljal ukrepe za preprečevanje nepooblaščenih omrežnih povezav do sistemov, aplikacij in omrežnih naprav za zagotavljanje skladnosti s poglobljenimi standardi glede varne segmentacije, izolacije in obrambe. Dobavitelj pri gostovanju in izvajanju gostovanih storitev ne sme uporabljati brezžične tehnologije, lahko pa jo uporablja pri dostavi storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, vendar mora dobavitelj šifrirati in zahtevati varno preverjanje pristnosti za vsa takšna brezžična omrežja.

    4.2 Dobavitelj bo vzdrževal ukrepe, ki so načrtovani za logično ločevanje Kyndryl-ovih materialov in preprečevanje njihove izpostavljenosti ali dostopnosti nepooblaščenim osebam. Dobavitelj bo tudi vzdrževal ustrezno izolacijo svojih produkcijskih, neprodukcijskih in drugih okolij ter, če so Kyndryl-ovi materiali že prisotni v neprodukcijskem okolju ali preneseni vanj (na primer za reproduciranje napake), bo dobavitelj zagotovil, da je zaščita glede varnosti in zasebnosti v neprodukcijskem okolju enaka tisti v produkcijskem okolju.

    4.3 Dobavitelj bo šifriral Kyndryl-ove materiale v tranzitu in v mirovanju (razen če dobavitelj Kyndryl-u razumno in zadovoljivo prikaže, da je šifriranje Kyndryl-ovih materialov v mirovanju tehnično neizvedljivo). Dobavitelj bo šifriral tudi vse fizične medije, če obstajajo, na primer medije, ki vsebujejo datoteke varnostne kopije. Dobavitelj bo dokumentiral postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo, povezano s šifriranjem podatkov. Dobavitelj bo zagotovil, da bodo specifične kriptografske metode, uporabljene za takšno šifriranje, v skladu z najboljšimi praksami v panogi (kot je NIST SP 800-131a).

    4.4 Če dobavitelj potrebuje dostop do Kyndryl-ovih materialov, bo tak dostop omejil na najnižjo raven, potrebno za zagotavljanje in podpiranje storitev in elementov za dostavo. Dobavitelj bo zahteval, da bo takšen dostop, vključno s skrbniškim dostopom do kakršnih koli temeljnih komponent (tj. privilegiran dostop), individualen, da bo temeljil na vlogah in da bo predmet odobritve in rednega preverjanja veljavnosti s strani pooblaščenih dobaviteljevih zaposlenih, ki bodo upoštevali načela ločitve dolžnosti. Dobavitelj bo vzdrževal ukrepe za identificiranje in odstranjevanje odvečnih in mirujočih računov. Dobavitelj bo prav tako preklical račune s privilegiranim dostopom v roku štiriindvajsetih (24) ur po prenehanju delovnega razmerja z lastnikom računa ali na zahtevo Kyndryl-a ali katerega koli pooblaščenega dobaviteljevega zaposlenega, npr. managerja lastnika računa.

    4.5 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal tehnične ukrepe, ki bodo uveljavljali časovno omejitev neaktivnih sej, zaklepanje računov po večkratnih zaporednih neuspešnih poskusih prijave in preverjanje pristnosti z močnim geslom, ter ukrepe, ki bodo zahtevali varen prenos in shranjevanje takšnih gesel. Poleg tega bo dobavitelj uporabljal večkratno preverjanje pristnosti za vsak privilegiran dostop do katerih koli Kyndryl-ovih materialov, ki ne temelji na konzoli.

    4.6 Dobavitelj bo nadzoroval uporabo privilegiranega dostopa in vzdrževal varnostne informacije in ukrepe za upravljanje dogodkov, načrtovane za: (a) identificiranje nepooblaščenega dostopa in dejavnosti, (b) omogočanje pravočasnega in ustreznega odziva na takšen dostop in dejavnost ter (c) omogočanje revizij s strani dobavitelja, Kyndryl-a (v skladu z njegovimi pravicami do preverjanja v teh določbah in pravicami do revizije v transakcijskem dokumentu ali povezani osnovni ali drugi sorodni pogodbi med pogodbenima strankama) in drugih glede skladnosti z dokumentiranim dobaviteljevim pravilnikom.

    4.7 Dobavitelj bo hranil dnevnike, v katerih bo v skladu z najboljšimi praksami v panogi beležil vse skrbniške, uporabniške in druge dostope ali dejavnosti v zvezi s sistemi, ki se uporabljajo pri zagotavljanju storitev ali elementov za dostavo in obravnavanju Kyndryl-ove tehnologije (in bo te dnevnike na zahtevo zagotovil Kyndryl-u). Dobavitelj bo vzdrževal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in nenamernim ali namernim uničenjem takšnih dnevnikov.

    4.8 Dobavitelj bo vzdrževal računalniške zaščite za sisteme, ki jih ima v lasti ali jih upravlja, vključno s sistemi končnih uporabnikov, in ki jih uporablja pri zagotavljanju storitev ali elementov za dostavo oziroma pri obravnavanju Kyndryl-ove tehnologije, pri čemer bodo takšne zaščite vključevale: požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje končne točke s podpisom in brez podpisa ter odzivne tehnologije za obravnavanje zlonamerne programske opreme in naprednih vztrajnih groženj, zaklepanje zaslona na osnovi časa ter rešitve za upravljanje končnih točk, ki uveljavljajo zahteve glede konfiguracije zaščite in nameščanja popravkov. Poleg tega bo dobavitelj uvedel tehnične in operativne nadzore, ki bodo zagotavljali, da lahko dobaviteljeva omrežja uporabljajo samo znani in zaupanja vredni sistemi končnih uporabnikov.

    4.9 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal zaščite za okolja podatkovnih centrov, v katerih so prisotni ali obdelani Kyndryl-ovi materiali, pri čemer bodo takšne zaščite vključevale zaznavanje in preprečevanje vdorov ter protiukrepe in ublažitev za napade na omrežje, ki povzročijo odpoved njegovega delovanja.

    5. Nadzor integritete storitev in sistemov ter razpoložljivosti

    5.1 Dobavitelj bo: (a) vsaj enkrat letno opravil oceno tveganja glede varnosti in zasebnosti, (b) izvedel preizkušanje varnosti in ocenil ranljivosti, vključno z avtomatiziranim pregledom varnosti sistemov in aplikacij ter ročnim etičnim hekanjem, in sicer pred produkcijsko izdajo in nato enkrat letno v zvezi s storitvami in elementi za dostavo ter enkrat letno v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, (c) najel usposobljeno neodvisno tretjo osebo, ki bo vsaj enkrat letno izvedla penetracijsko preizkušanje v skladu z najboljšimi praksami v panogi, pri čemer bo takšno preizkušanje vključevalo tako avtomatizirano kot tudi ročno preizkušanje, (d) izvedel avtomatizirano upravljanje in rutinsko preverjanje skladnosti z zahtevami konfiguracije zaščite za vsako komponento storitev in elementov za dostavo in v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, ter (e) saniral identificirane ranljivosti ali neskladnosti z zahtevami konfiguracije zaščite na osnovi povezanega tveganja, možnosti zlorabe in vpliva. Dobavitelj bo izvedel razumne ukrepe, s katerimi se bo izognil prekinitvi delovanja storitev med izvajanjem preizkusov, ocen, pregledov ter sanacijskih dejavnosti. Dobavitelj bo Kyndryl-u na njegovo zahtevo zagotovil pisni povzetek dobaviteljevih takrat najnovejših dejavnosti penetracijskega preizkušanja, poročilo pa bo vključevalo najmanj imena ponudb, ki jih je obsegalo preizkušanje, število sistemov ali aplikacij v obsegu preizkušanja, datume preizkušanja, metodologijo, uporabljeno pri preizkušanju, ter splošni povzetek ugotovitev.

    5.2 Dobavitelj bo vzdrževal pravilnike in postopke, načrtovane za upravljanje tveganj, povezanih z uvajanjem sprememb v storitve ali elemente za dostavo oziroma obravnavanje Kyndryl-ove tehnologije. Dobavitelj bo pred uvedbo takšne spremembe, vključno s spremembo sistemov, omrežij in temeljnih komponent, na katere takšna sprememba vpliva, v registrirani zahtevi za spremembo dokumentiral naslednje: (a) opis spremembe in razlog zanjo, (b) podrobnosti in časovni razpored uvedbe, (c) izjavo o tveganju, ki obravnava vpliv na storitve in elemente za dostavo, naročnike storitev ali Kyndryl-ove materiale, (d) pričakovani rezultat, (e) načrt za razveljavitev in (f) odobritev pooblaščenih dobaviteljevih zaposlenih.

    5.3 Dobavitelj bo vzdrževal seznam vseh informacijskotehnoloških sredstev, ki jih uporablja pri delovanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo redno nadziral in upravljal stanje (vključno z zmogljivostjo) in razpoložljivost takšnih informacijskotehnoloških sredstev, storitev, elementov za dostavo in Kyndryl-ove tehnologije.

    5.4 Dobavitelj bo vse sisteme, ki jih bo uporabljal pri razvoju ali delovanju storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, zgradil iz preddefiniranih slik sistemske varnosti ali varnostnih osnovnic, ki ustrezajo najboljšim praksam v panogi, kot so primerjalni preskusi CIS (Center for Internet Security).

    5.5 Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi s poslovno kontinuiteto ločeno ocenil vsako storitev in element za dostavo in vsak informacijsko tehnološki sistem, ki se uporablja pri obravnavanju Kyndryl-ove tehnologije, glede poslovne in informacijsko tehnološke kontinuitete in zahtev za obnovitev po katastrofi v skladu z dokumentiranimi smernicami za upravljanje tveganj. Dobavitelj bo zagotovil, da bo imela vsaka takšna storitev, element za dostavo in informacijsko tehnološki sistem v obsegu, ki ga jamči takšna ocena tveganja, ločeno definirane, dokumentirane, vzdrževane in letno preverjene načrte za poslovno in informacijsko tehnološko kontinuiteto ter obnovitev po katastrofi, ki bodo skladni z najboljšimi praksami v panogi. Dobavitelj bo zagotovil, da so takšni načrti zasnovani za zagotavljanje specifičnih časov obnovitve, ki so opredeljeni v spodnjem razdelku 5.6.

    5.6 Specifični cilji glede točke obnovitve ("RPO") in cilji glede časa obnovitve ("RTO") v zvezi s katero koli gostovano storitvijo so: 24 ur za RPO in 24 ur za RTO; kljub temu bo dobavitelj ravnal skladno z vsakim krajšim trajanjem RPO ali RTO, za katerega se bo Kyndryl zavezal naročniku, in sicer takoj po tem, ko Kyndryl dobavitelja pisno obvesti o takšnem krajšem trajanju RPO ali RTO (e-pošta šteje za pisno obvestilo). V zvezi z vsemi drugimi storitvami, ki jih dobavitelj zagotavlja Kyndryl-u, bo dobavitelj zagotovil, da bodo njegovi načrti za poslovni kontinuiteto in obnovitev po katastrofi zasnovani za zagotavljanje RPO in RTO, ki dobavitelju omogočata ohranjanje skladnosti z vsemi njegovimi obveznostmi do Kyndryl-a v okviru transakcijskega dokumenta in povezane osnovne pogodbe med pogodbenima strankama ter teh določb, vključno z njegovimi obveznostmi glede pravočasnega preizkušanja, podpiranja in vzdrževanja.

    5.7 Dobavitelj bo vzdrževal ukrepe, zasnovane za ocenjevanje, preizkušanje in uveljavljanje varnostnih svetovalnih popravkov v storitvah in elementih za dostavo ter povezanih sistemih, omrežjih, aplikacijah in temeljnih komponentah v obsegu teh storitev in elementov za dostavo, pa tudi v sistemih, omrežjih, aplikacijah in temeljnih komponentah, ki se uporabljajo za obravnavanje Kyndryl-ove tehnologije. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo dobavitelj uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Dobaviteljeva uvedba varnostnih svetovalnih popravkov bo izvedena skladno z njegovim pravilnikom o upravljanju sprememb.

    5.8 Če ima Kyndryl razumno podlago za mnenje, da lahko strojna ali programska oprema, ki jo dobavitelj zagotavlja Kyndryl-u, vsebuje elemente za vdiranje, kot so vohunska programska oprema, zlonamerna programska oprema ali zlonamerna koda, potem bo dobavitelj pravočasno v sodelovanju z Kyndryl-om preiskal in saniral Kyndryl-ove pomisleke.

    6. Zagotavljanje storitev

    6.1 Dobavitelj bo podpiral v panogi običajne metode za federativno preverjanje pristnosti za vse Kyndryl-ove uporabnike ali naročnikove račune, pri čemer bo dobavitelj upošteval najboljše prakse v panogi za preverjanje pristnosti takšnih Kyndryl-ovih uporabnikov ali naročnikovih računov (kot je Kyndryl-ova centralno upravljana večfaktorska enotna prijava, ki uporablja OpenID Connect ali jezik SAML (Security Assertion Markup Language)).

    7. Podizvajalci. Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi z obdržanjem podizvajalcev zagotovil, da bo vsak podizvajalec, ki bo opravljal delo za dobavitelja, uvedel nadzore upravljanja za skladnost z zahtevami in obveznostmi, ki jih te določbe nalagajo dobavitelju.

    8. Fizični mediji. Dobavitelj bo v skladu z najboljšimi praksami v panogi za čiščenje medijev pred ponovno uporabo varno očistil fizične medije, ki so namenjeni ponovni uporabi, in uničil fizične medije, ki niso namenjeni ponovni uporabi.

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

  7. V tem primeru veljajo členi VI (Dostop do poslovnih sistemov), VII (Povečanje osebja) in X (Sodelovanje, preverjanje in sanacija).

    Opomba:

    členi II (Tehnični in organizacijski ukrepi, varnost podatkov), III (Zasebnost), IV (Tehnični in organizacijski ukrepi, varnost kode) in V (Varen razvoj) morda veljajo tudi glede na to, ali je Kyndryl-ovemu dobavitelju materialov dovoljen dostop znotraj poslovnih sistemov.

    Člen VI, Dostop do poslovnih sistemov

    Ta člen velja, če bodo imeli dobaviteljevi zaposleni dostop do katerega koli poslovnega sistema.

    1. Splošne določbe

    1.1 Kyndryl bo določil, ali bo dobaviteljevim zaposlenim odobril dostop do poslovnih sistemov. Če Kyndryl dostop odobri, bo dobavitelj ravnal skladno z zahtevami tega člena in k takšnemu ravnanju zavezal tudi svoje zaposlene s takšnim dostopom.

    1.2 Kyndryl bo identificiral načine, na katere bodo lahko dobaviteljevi zaposleni dostopali do poslovnih sistemov, vključno s tem, ali bodo ti zaposleni dostopali do poslovnih sistemov prek naprav, ki jih bo zagotovil Kyndryl, ali naprav, ki jih bo zagotovil dobavitelj.

    1.3 Dobaviteljevi zaposleni lahko dostopajo do poslovnih sistemov in uporabljajo naprave, ki jih Kyndryl odobri za tak dostop, samo za zagotavljanje storitev. Dobaviteljevi zaposleni naprav, ki jih za to odobri Kyndryl, ne smejo uporabljati za zagotavljanje storitev kateri koli drugi osebi ali entiteti oziroma za dostopanje do informacijskotehnoloških sistemov, omrežij, aplikacij, spletnih mest, e-poštnih orodij, orodij za sodelovanje ali podobnega dobavitelja ali tretje osebe v povezavi s storitvami.

    1.4 V pojasnilo – dobaviteljevi zaposleni naprav, ki jih Kyndryl odobri za dostop do poslovnih sistemov, ne smejo uporabljati iz nobenih osebnih razlogov (dobaviteljevi zaposleni na primer v te naprave ne smejo shranjevati osebnih datotek, kot so glasba, videoposnetki, slike ali drugi podobni elementi, in v teh napravah interneta ne smejo uporabljati iz osebnih razlogov).

    1.5 Dobaviteljevi zaposleni ne bodo kopirali Kyndryl-ovih materialov, ki so dostopni prek poslovnega sistema, brez Kyndryl-ove predhodne pisne odobritve (in ne bodo nikoli kopirali kakršnih koli Kyndryl-ovih materialov na prenosno napravo za shranjevanje, na primer na USB ključek, zunanji trdi disk ali drugo podobno napravo).

    1.6 Dobavitelj bo na zahtevo poimensko po zaposlenih potrdil specifične poslovne sisteme, do katerih imajo njegovi zaposleni odobren dostop in do katerih so dostopali v kakršnem koli časovnem obdobju, ki ga določi Kyndryl.

    1.7 Dobavitelj bo obvestil Kyndryl v roku štiriindvajsetih (24) ur po tem, ko kateri koli dobaviteljev zaposleni z dostopom do katerega koli poslovnega sistema ne bo več: (a) zaposlen pri dobavitelju ali (b) sodeloval pri dejavnostih, ki zahtevajo takšen dostop. Dobavitelj bo v sodelovanju z Kyndryl-om zagotovil, da bo dostop za takšnega bivšega ali trenutnega zaposlenega nemudoma preklican.

    1.8 Dobavitelj bo Kyndryl-u nemudoma poročal o kakršnih koli dejanskih ali domnevnih varnostnih incidentih (kot so izguba Kyndryl-ove ali dobaviteljeve naprave oziroma nepooblaščen dostop do naprave ali podatkov, materialov ali drugih informacij katere koli vrste) in sodeloval z Kyndryl-om pri preiskavi takšnih incidentov.

    1.9 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja nobenemu agentu, neodvisnemu pogodbeniku ali podizvajalčevemu zaposlenemu ne sme dovoliti dostopa do katerega koli poslovnega sistema; če bo Kyndryl takšno soglasje podal, bo dobavitelj pogodbeno zavezal te osebe in njihove delodajalce k skladnosti z zahtevami tega člena, kot da bi bili dobaviteljevi zaposleni, in bo Kyndryl-u odgovarjal za vsa dejanja in opustitve dejanj katere koli takšne osebe ali delodajalca v zvezi s takšnim dostopom do poslovnega sistema.

    2. Programska oprema naprav

    2.1 Dobavitelj bo naročil svojim zaposlenim, da bodo pravočasno namestili vso programsko opremo naprave, ki jo Kyndryl zahteva za omogočanje dostopa do poslovnih sistemov na varen način. Niti dobavitelj niti njegovi zaposleni ne bodo motili delovanja te programske opreme ali varnostnih funkcij, ki jih programska oprema omogoča.

    2.2 Dobavitelj in njegovi zaposleni bodo upoštevali konfiguracijska pravila naprave, ki jih nastavi Kyndryl, in tudi drugače v sodelovanju z Kyndryl-om pomagali zagotoviti, da programska oprema deluje, kot želi Kyndryl. Dobavitelj na primer ne bo preglasil funkcij za blokiranje spletnih mest s programsko opremo ali samodejno nameščanje popravkov.

    2.3 Dobaviteljevi zaposleni naprav, s katerimi dostopajo do poslovnih sistemov, ali svojih uporabniških imen, gesel in podobnega za napravo ne smejo deliti z nobeno drugo osebo.

    2.4 Če Kyndryl dobaviteljevim zaposlenim odobri dostop do poslovnih sistemov z dobaviteljevimi napravami, potem bo dobavitelj v teh napravah namestil in izvajal operacijski sistem, ki ga odobri Kyndryl, in bo opravil nadgradnjo na novo različico tega operacijskega sistema ali na nov operacijski sistem v razumnem času po tem, ko mu Kyndryl to naroči.

    3.Nadzor in sodelovanje

    3.1 Kyndryl ima brezpogojne pravice do nadziranja in saniranja potencialnih vdorov in drugih kibernetskih varnostnih groženj na kakršen koli način, s katerih koli lokacij in z uporabo kakršnih koli ukrepov, za katere Kyndryl meni, da so potrebni ali primerni, in sicer brez predhodnega obvestila dobavitelju, kateremu koli dobaviteljevemu zaposlenemu ali drugim. Kyndryl lahko na primer kadarkoli (a) izvede preizkus varnosti v kateri koli napravi, (b) nadzira, pridobi na tehnološki ali drug način in pregleda komunikacijo (vključno z e-poštnimi sporočili iz katerega koli e-poštnega računa), zapise, datoteke in druge elemente, shranjene v kateri koli napravi ali prenesene prek katerega koli poslovnega sistema, ter (c) pridobi celotno forenzično sliko katere koli naprave. Če Kyndryl za uveljavljanje svojih pravic potrebuje dobaviteljevo sodelovanje, bo dobavitelj v celoti in pravočasno izpolnil Kyndryl-ove zahteve za takšno sodelovanje (vključno z na primer zahtevami za varno konfiguriranje katere koli naprave, nameščanje nadzorne ali druge programske opreme v katero koli napravo, skupno rabo podrobnosti povezave na ravni sistema, vključevanje v ukrepe za odzivanje na incidente v kateri koli napravi ter zagotavljanje fizičnega dostopa do katere koli naprave, da lahko Kyndryl pridobi celotno forenzično sliko ali druge informacije, ter podobne in povezane zahteve).

    3.2 Če Kyndryl meni, da je to potrebno za njegovo zaščito, lahko kadar koli prekliče dostop do poslovnih sistemov za katerega koli dobaviteljevega zaposlenega ali vse dobaviteljeve zaposlene, in sicer brez predhodnega obvestila dobavitelju ali kateremu koli dobaviteljevemu zaposlenemu ali drugim.

    3.3 Kyndryl-ovih pravic na noben način ne blokira, zmanjšuje ali omejuje nobena določba transakcijskega dokumenta, povezane osnovne pogodbe med pogodbenima strankama ali katere koli druge pogodbe med pogodbenima strankama, vključno s kakršno koli določbo, ki lahko zahteva, da se podatki, materiali ali druge informacije katere koli vrste nahajajo samo na izbrani lokaciji ali lokacijah, ali ki lahko zahteva, da samo osebe z izbrane lokacije ali lokacij dostopajo do takšnih podatkov, materialov ali drugih informacij.

    4.Kyndryl-ove naprave

    4.1 Kyndryl obdrži lastninsko pravico do vseh Kyndryl-ovih naprav, dobavitelj pa prevzame tveganje za izgubo naprav, kar vključuje krajo, vandalizem ali malomarnost. Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja ne bo izvedel ali dovolil kakršnih koli sprememb Kyndryl-ovih naprav, pri čemer sprememba pomeni kakršno koli spremembo naprave, vključno s spremembo programske opreme, aplikacij, varnostne zasnove oziroma fizične, mehanične ali električne zasnove naprave.

    4.2 Dobavitelj bo vse Kyndryl-ove naprave vrnil v roku 5 delovnih dni po tem, ko preneha potreba po teh napravah za zagotavljanje storitev, in če bo Kyndryl to zahteval, bo sočasno uničil vse podatke, materiale in druge informacije katere koli vrste v teh napravah, ne da bi obdržal kakršno koli kopijo, in sicer z upoštevanjem najboljših praks v panogi za trajen izbris vseh takšnih podatkov, materialov in drugih informacij. Dobavitelj bo Kyndryl-ove naprave na svoje stroške zapakiral in vrnil na lokacijo, ki jo določi Kyndryl, v istem stanju, kot so bile dostavljene dobavitelju, z izjemo razumne obrabe. Če dobavitelj ne ravna skladno s katero koli obveznostjo v tem razdelku 4.2, to predstavlja hujšo kršitev transakcijskega dokumenta in povezane osnovne pogodbe in katere koli povezane pogodbe med pogodbenima strankama, pri čemer se razume, da je pogodba "povezana", če dostop do katerega koli poslovnega sistema dobavitelju pomaga pri njegovih nalogah ali drugih aktivnostih v okviru te pogodbe.

    4.3 Kyndryl bo zagotavljal podporo za Kyndryl-ove naprave (vključno s pregledovanjem naprav ter preventivnim in sanacijskim vzdrževanjem). Dobavitelj bo Kyndryl takoj obvestil o potrebi po sanacijski storitvi.

    4.4 Za programsko opremo, ki je v Kyndryl-ovi lasti ali ima Kyndryl pravico za njeno licenciranje, Kyndryl dobavitelju podeljuje začasno pravico do uporabe, shranjevanja in izdelave zadostnega števila kopij, da podpre svojo odobreno uporabo Kyndryl-ovih naprav. Dobavitelj ne sme prenesti programov nikomur, izdelovati kopij informacij o licenci za programsko opremo oziroma razstavljati, povratno prevajati, izvajati povratnega inženirstva ali drugače prevajati katerega koli programa, razen če je to izrecno dovoljeno z veljavno zakonodajo in ni možnosti za pogodbeno odpoved pravici.

    5. Posodobitve

    5.1 Ne glede na kakršne koli nasprotne določbe v transakcijskem dokumentu ali povezani osnovni pogodbi med pogodbenima strankama lahko Kyndryl pisnim obvestilom in ne da bi potrebovale dobaviteljevo soglasje posodobi, dopolni ali drugače izboljša ta člen, da obravnava kakršno koli zahtevo v okviru veljavne zakonodaje ali obveznosti do naročnika, tako da odraža vse najboljše prakse glede razvoja in varnosti, ali drugače, kot Kyndryl meni, da je potrebno za zaščito poslovnih sistemov ali Kyndryl-a.

    Člen VII, Povečanje osebja

    Ta člen velja, če bodo dobaviteljevi zaposleni posvetili ves svoj delovni čas zagotavljanju storitev za Kyndryl, izvajali vse te storitve na Kyndryl-ovi lokaciji, naročnikovi lokaciji ali od doma ter storitve zagotavljali samo z uporabo Kyndryl-ovih naprav za dostop do poslovnih sistemov.

    1. Dostop do poslovnih sistemov; Kyndryl-ova okolja

    1.1 Dobavitelj lahko storitve izvaja samo tako, da dostopa do poslovnih sistemov z napravami, ki jih zagotovi Kyndryl.

    1.2 Dobavitelj bo pri vsakem dostopu do poslovnih sistemov ravnal skladno z določbami, opredeljenimi v členu VI (Dostop do poslovnih sistemov).

    1.3 Naprave, ki jih zagotovi Kyndryl, so edine naprave, ki jih lahko dobavitelj in njegovi zaposleni uporabljajo za zagotavljanje storitev, dobavitelj in njegovi zaposleni pa jih lahko uporabljajo samo za zagotavljanje storitev. V pojasnilo – dobavitelj ali njegovi zaposleni za zagotavljanje storitev v nobenem primeru ne smejo uporabljati nobenih drugih naprav ali uporabljati Kyndryl-ovih naprav za katerega koli drugega dobaviteljevega naročnika ali za kakršen koli drug namen, ki ni zagotavljanje storitev Kyndryl-u.

    1.4 Dobaviteljevi zaposleni, ki uporabljajo Kyndryl-ove naprave, lahko Kyndryl-ove materiale delijo drug z drugim in jih shranjujejo v Kyndryl-ove naprave, vendar le v omejenem obsegu, v katerem je takšno deljenje in shranjevanje potrebno za uspešno izvajanje storitev.

    1.5 Dobavitelj ali njegovi zaposleni v nobenem primeru ne smejo odstranjevati nobenih Kyndryl-ovih materialov iz Kyndryl-ovih repozitorijev, okolij, orodij ali infrastrukture, kjer jih hrani Kyndryl, razen v zvezi s takšnim shranjevanjem znotraj Kyndryl-ovih naprav.

    1.6 V pojasnilo – dobavitelj in njegovi zaposleni brez Kyndryl-ovega predhodnega pisnega soglasja niso pooblaščeni za prenos nobenih Kyndryl-ovih materialov v nobene dobaviteljeve repozitorije, okolja, orodja ali infrastrukturo oziroma nobene druge dobaviteljeve sisteme, platforme, omrežja ali podobno.

    1.7 Člen VIII (Tehnični in organizacijski ukrepi, splošna varnost) ne velja za dobaviteljeve storitve, če bodo dobaviteljevi zaposleni posvetili ves svoj delovni čas zagotavljanju storitev za Kyndryl, izvajali vse te storitve na Kyndryl-ovi lokaciji, naročnikovi lokaciji ali od doma ter storitve zagotavljali samo z uporabo Kyndryl-ovih naprav za dostop do poslovnih sistemov. V nasprotnem primer za dobaviteljeve storitve člen VIII velja.

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

  8. V tem primeru veljajo členi II (Tehnični in organizacijski ukrepi, varnost podatkov), VIII (Tehnični in organizacijski ukrepi, splošna varnost), IX (Certifikati in poročila gostovanih storitev) in X (Sodelovanje, preverjanje in sanacija). Če ima dobavitelj pri gostovanju storitve dostop do Kyndryl-ovih osebnih podatkov, velja tudi člen III (Zasebnost).

    Primeri:

    • Dobavitelj Kyndryl-u zagotavlja kakršno koli ponudbo "kot storitev", kot so ponudbe programske opreme, platforme ali infrastrukture "kot storitve".

    Člen II, Tehnični in organizacijski ukrepi, varnost podatkov

    Ta člen velja, če dobavitelj obdeluje Kyndryl-ove podatke, ki niso Kyndryl-ove poslovne kontaktne informacije. Dobavitelj bo pri zagotavljanju vseh storitev in elementov za dostavo ravnal skladno z zahtevami tega člena in s tem zaščitil Kyndryl-ove podatke pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem, nenamernim ali nepooblaščenim dostopom in nezakonitimi oblikami obdelave. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Uporaba podatkov

    1.1 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja Kyndryl-ovim podatkom ne sme dodajati ali prilagati nobenih drugih informacij ali podatkov, vključno z osebnimi podatki, in dobavitelj Kyndryl-ovih podatkov v nobeni obliki (bodisi združeni bodisi drugačni) ne sme uporabljati za noben namen razen za zagotavljanje storitev in elementov za dostavo (dobavitelj na primer ne sme uporabljati ali ponovno uporabljati Kyndryl-ovih podatkov za ocenjevanje ali povečevanje uspešnosti svojih ponudb, za raziskovanje in razvoj pri ustvarjanju novih ponudb ali za ustvarjanje poročil glede svojih ponudb). Dobavitelju je prepovedano prodajanje Kyndryl-ovih podatkov, razen če je to izrecno dovoljeno v transakcijskem dokumentu.

    1.2 Dobavitelj v elemente za dostavo ali kot del storitev ne bo vdeloval nobenih tehnologij za spletno spremljanje (takšne tehnologije vključujejo HTML5, lokalno shranjevanje, oznake ali žetone tretjih oseb in spletne signale), razen če je to izrecno dovoljeno v transakcijskem dokumentu.

    2. Zahteve tretjih oseb in zaupnost

    2.1 Dobavitelj Kyndryl-ovih podatkov ne bo razkrival nobeni tretji osebi, razen če Kyndryl to vnaprej pisno odobri. Če vladni organ, vključno s kakršnim koli regulatorjem, zahteva dostop do Kyndryl-ovih podatkov (če na primer ameriški vladni organ dobavitelju vroči odredbo o nacionalni varnosti za pridobitev Kyndryl-ovih podatkov) ali če razkritje Kyndryl-ovih podatkov zahteva zakonodaja, bo dobavitelj Kyndryl pisno obvestil o takšni zahtevi in dal Kyndryl-u razumno priložnost, da izpodbija kakršno koli razkritje (kjer zakonodaja prepoveduje obveščanje, bo dobavitelj sprejel ukrepe, za katere razumno meni, da so ustrezni za izpodbijanje prepovedi in razkritja Kyndryl-ovih podatkov prek sodnega postopka ali na drug način).

    2.2 Dobavitelj zagotavlja, da: (a) bodo imeli dostop do Kyndryl-ovih podatkov samo tisti njegovi zaposleni, ki tak dostop potrebujejo za zagotavljanje storitev ali elementov za dostavo, in še to samo v meri, ki je potrebna za zagotavljanje teh storitev in elementov za dostavo; in (b) je zavezal svoje zaposlene z obveznostmi zaupnosti, ki od teh zaposlenih zahtevajo, da Kyndryl-ove podatke uporabljajo in razkrivajo samo tako, kot to dovoljujejo te določbe.

    3. Vračilo ali izbris Kyndryl-ovih podatkov

    3.1 Dobavitelj bo glede na Kyndryl-ovo izbiro bodisi izbrisal bodisi vrnil Kyndryl-ove podatke Kyndryl-u ob prenehanju ali poteku transakcijskega dokumenta oziroma prej na Kyndryl-ovo zahtevo. Če bo Kyndryl zahteval izbris, bo dobavitelj v skladu z najboljšimi praksami v panogi podatke spremenil tako, da jih ne bo mogoče prebrati, ponovno sestaviti ali rekonstruirati, izbris pa bo potrdil Kyndryl-u. Če bo Kyndryl zahteval vračilo Kyndryl-ovih podatkov, bo dobavitelj to naredil v skladu z Kyndryl-ovim razumnim časovnim razporedom in po Kyndryl-ovih razumnih pisnih navodilih.

    Člen III, Zasebnost

    Ta člen velja, če dobavitelj obdeluje Kyndryl-ove osebne podatke.

    1. Obdelava podatkov

    1.1 Kyndryl imenuje dobavitelja za obdelovalca, ki Kyndryl-ove osebne podatke obdeluje izključno za namen zagotavljanja elementov za dostavo in storitev v skladu z Kyndryl-ovimi navodili, vključno s tistimi, ki jih vsebujejo te določbe, transakcijski dokument in povezana osnovna pogodba med pogodbenima strankama. Če dobavitelj ne upošteva katerega od navodil, lahko Kyndryl s pisnim obvestilom odpove del storitev, na katere to vpliva. Če dobavitelj meni, da katero od navodil krši zakon o varstvu podatkov, bo Kyndryl o tem obvestil takoj in znotraj časovnega okvira, ki ga zakon zahteva.

    1.2 Dobavitelj bo ravnal skladno z vsemi zakoni o varstvu podatkov, ki veljajo za storitve in elemente za dostavo.

    1.3 Dodatek k transakcijskemu dokumentu ali sam transakcijski dokument v zvezi z Kyndryl-ovimi podatki izpostavlja naslednje:

    (a) kategorije oseb, na katere se nanašajo podatki;

    (b) vrste Kyndryl-ovih osebnih podatkov;

    (c) podatkovna dejanja in dejavnosti obdelave;

    (d) trajanje in pogostost obdelovanja; ter

    (e) seznam podobdelovalcev.

    2. Tehnični in organizacijski ukrepi

    2.1 Dobavitelj bo uvedel in vzdrževal tehnične in organizacijske ukrepe, ki so opredeljeni v členu II (Tehnični in organizacijski ukrepi, varnost podatkov) in členu VIII (Tehnični in organizacijski ukrepi, splošna varnost), s čimer bo zagotovil raven varnosti, ki je primerna za tveganje, ki ga predstavljajo njegove storitve in elementi za dostavo. Dobavitelj potrjuje in razume omejitve v členu II, tem členu III in členu VIII ter bo ravnal skladno z njimi.

    3. Pravice in zahteve osebe, na katero se nanašajo podatki

    3.1 Dobavitelj bo takoj obvestil Kyndryl (v skladu s časovnim razporedom, ki Kyndryl-u in morebitnim drugim upravljavcem omogoča izpolnitev njihovih pravnih obveznosti) o kakršni koli zahtevi osebe, na katero se nanašajo podatki, glede uveljavljanja njenih pravic (npr. popravek, izbris ali blokiranje podatkov) glede Kyndryl-ovih osebnih podatkov. Dobavitelj lahko tudi pravočasno k Kyndryl-u usmeri osebo, na katero se nanašajo podatki in ki to zahteva. Dobavitelj ne bo odgovarjal na nobene zahteve oseb, na katere se nanašajo podatki, razen če to zahteva zakon ali Kyndryl to pisno naroči.

    3.2 Če bo moral Kyndryl zagotoviti informacije glede Kyndryl-ovih osebnih podatkov drugim upravljavcem ali drugim tretjim osebam (npr. osebam, na katere se nanašajo podatki, ali regulatorjem), bo dobavitelj Kyndryl-u pomagal tako, da bo zagotovil informacije in sprejel druge razumne ukrepe, ki jih bo zahteval Kyndryl, in sicer po časovnem razporedu, ki Kyndryl-u omogoča, da se pravočasno odzove takšnim drugim upravljavcem ali tretjim osebam.

    4. Podobdelovalci

    4.1 Dobavitelj bo Kyndryl-u poslal vnaprejšnje pisno obvestilo, preden bo dodal novega podobdelovalca ali razširil obseg obdelave z obstoječim podobdelovalcem, v tem pisnem obvestilu pa bo navedeno ime podobdelovalca in opisan bo nov ali razširjeni obseg obdelave. Kyndryl lahko na podlagi utemeljenih razlogov kadar koli nasprotuje vsakemu takšnemu novemu podobdelovalcu ali razširjenemu obsegu, in če to naredi, bosta pogodbeni stranki v dobri veri sodelovali pri obravnavi Kyndryl-ovega nasprotovanja. V skladu z Kyndryl-ovo pravico do takšnega nasprotovanja lahko dobavitelj imenuje novega podobdelovalca ali razširi obseg obdelave obstoječega podobdelovalca, če Kyndryl v 30 dneh od prejema dobaviteljevega pisnega obvestila temu ne nasprotuje.

    4.2 Dobavitelj bo obveznosti glede zaščite podatkov, varnosti in certifikatov, opredeljene v teh določbah, naložil vsakemu odobrenemu podobdelovalcu, preden bo ta obdelal kakršne koli Kyndryl-ove podatke. Dobavitelj v celoti odgovarja Kyndryl-u za izvajanje obveznosti vsakega podobdelovalca.

    5. Čezmejna obdelava podatkov

    Kot se uporablja spodaj:

    Ustrezna država pomeni državo, ki zagotavlja ustrezno raven varstva podatkov v zvezi z zadevnim prenosom v skladu z veljavnimi zakoni o varstvu podatkov ali odločitvami regulatorjev.

    Uvoznik podatkov pomeni bodisi obdelovalca bodisi podobdelovalca, ki nima sedeža podjetja v ustrezni državi.

    Standardne pogodbene klavzule EU ("standardne pogodbene klavzule EU") pomenijo standardne pogodbene klavzule EU (Sklep komisije 2021/914) z uveljavljenimi izbirnimi klavzulami, razen možnosti 1 klavzule 9(a) in možnosti 2 klavzule 17, kot je uradno objavljeno na naslovu https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

    Srbske standardne pogodbene klavzule ("srbske standardne pogodbene klavzule") pomenijo srbske standardne pogodbene klavzule, kot jih je sprejel "srbski komisar za informacije javnega pomena in varstvo osebnih podatkov", in so objavljene na naslovu https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

    Standardne pogodbene klavzule ("standardne pogodbene klavzule") pomenijo pogodbene klavzule, ki jih zahtevajo veljavni zakoni o varstvu podatkov za prenos osebnih podatkov obdelovalcem, ki nimajo sedeža podjetja v ustreznih državah.

    Dopolnilo Združenega kraljestva o notranjem prenosu podatkov k standardnim pogodbenim klavzulam Evropske komisije ("Dopolnilo ZK") pomeni Dopolnilo Združenega kraljestva o notranjem prenosu podatkov k standardnim pogodbenim klavzulam Evropske komisije, kot so uradno objavljene na naslovu https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .

    5.1 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja ne bo čezmejno prenašal ali razkrival (vključno z oddaljenim dostopom) kakršnih koli Kyndryl-ovih osebnih podatkov. Če Kyndryl zagotovi takšno soglasje, bosta pogodbeni stranki v sodelovanju zagotovili skladnost z veljavnimi zakoni o varstvu podatkov. Če ti zakoni zahtevajo standardne pogodbene klavzule, jih bo dobavitelj na Kyndryl-ovo zahtevo takoj sklenil.

    5.2 V zvezi s standardnimi pogodbenimi klavzulami EU:

    (a)Če dobavitelj nima sedeža podjetja v ustrezni državi: dobavitelj s tem dokumentom z Kyndryl-om sklepa standardne pogodbene klavzule EU kot uvoznik podatkov v skladu s členom 9 standardnih pogodbenih klavzul, Kyndryl-u pa bo na zahtevo zagotovil izvode teh pogodb.

    (i) Modul 1 standardnih pogodbenih klavzul EU ne velja, razen če se pogodbeni stranki v pisni obliki dogovorita drugače.

    (ii) Modul 2 standardnih pogodbenih klavzul EU velja tam, kjer je Kyndryl upravljavec, modul 3 pa tam, kjer je Kyndryl obdelovalec. Če v skladu s klavzulo 13 standardnih pogodbenih klavzul EU velja modul 2 ali 3, se pogodbeni stranki strinjata, (1) da bo standardne pogodbene klavzule EU urejala zakonodaja države članice EU, kjer se nahaja pristojni nadzorni organ, in (2) da se bodo morebitni spori, ki izhajajo iz standardnih pogodbenih klavzul EU, reševali na sodiščih države članice EU, kjer se nahaja pristojni nadzorni organ. Če takšna zakonodaja pod točko (1) ne dovoljuje pravic zunanjega upravičenca, potem standardne pogodbene klavzule EU ureja zakonodaja Nizozemske, vsi spori, ki izhajajo iz standardnih pogodbenih klavzul EU pod točko (2) pa se bodo reševali na sodišču v Amsterdamu na Nizozemskem.

    (b) Če ima dobavitelj sedež podjetja v Evropskem gospodarskem prostoru in je Kyndryl upravljavec, za katerega ne velja Splošna uredba o varstvu podatkov 2016/679, potem velja modul 4 standardnih pogodbenih klavzul EU, dobavitelj pa s tem dokumentom z Kyndryl-om sklepa standardne pogodbene klavzule EU kot izvoznik podatkov. Če velja modul 4 standardnih pogodbenih klavzul EU, se pogodbeni stranki strinjata, da bo standardne pogodbene klavzule EU urejala zakonodaja Nizozemske, vsi spori, ki izhajajo iz standardnih pogodbenih klavzul EU, pa se bodo reševali na sodišču v Amsterdamu na Nizozemskem.

    (c) Če drugi upravljavci, kot so stranke ali povezane družbe, zahtevajo, da postanejo pogodbena stranka pri standardnih pogodbenih klavzulah EU v skladu s "klavzulo o umeščanju" v klavzuli 7, se dobavitelj s tem dokumentom strinja s takšno zahtevo.

    (d) Tehnične in organizacijske ukrepe, ki so zahtevani za izpolnitev aneksa II standardnih pogodbenih klavzul EU, lahko najdete v teh pogojih, samem transakcijskem dokumentu in povezani osnovni pogodbi med pogodbenima strankama.

    (e) V primeru kakršnega koli spora med standardnimi pogodbenimi klavzulami EU in temi pogoji prevladajo standardne pogodbene klavzule EU.

    5.3 V zvezi z Dopolnilom/-i ZK:

    (a) Če dobavitelj nima sedeža podjetja v ustrezni državi: (i) dobavitelj s tem dokumentom sklepa s Kyndrylom Dopolnilo/-a ZK kot uvoznik, s čimer se dopolnijo standardne pogodbene klavzule EU, kot so določene zgoraj (če je ustrezno, odvisno od okoliščin dejavnosti obdelave), in (ii) dobavitelj bo sklenil pisne pogodbe z vsakim odobrenim podobdelovalcem, Kyndrylu pa bo na zahtevo zagotovil izvode teh pogodb.

    (b) Če ima dobavitelj sedež podjetja v ustrezni državi in je Kyndryl upravljavec, za katerega ne velja Splošna uredba o varstvu podatkov ZK (kot je vključena v pravo ZK v skladu z zakonom o izstopu ZK iz Evropske unije iz leta 2018 (European Union (Withdrawal) Act 2018)), potem dobavitelj s tem dokumentom sklepa s Kyndrylom Dopolnilo/-a ZK kot izvoznik, s čimer se dopolnijo standardne pogodbene klavzule EU, kot so navedene v zgornjem razdelku 5.2(b).

    (c) Če drugi upravljavci, kot so naročniki ali povezana podjetja, zahtevajo, da postanejo pogodbena stranka pri Dopolnilu/-ih ZK, se dobavitelj s tem dokumentom strinja s takšno zahtevo.

    (d) Informacije dodatka (kot so navedene v 3. razpredelnici) v Dopolnilu/-ih ZK je mogoče najti v veljavnih standardnih pogodbenih klavzulah EU, teh določilih, samem transakcijskem dokumentu in v povezanih osnovnih pogodbah med pogodbenimi strankami. Niti Kyndryl niti dobavitelj ne more prekiniti Dopolnil/-a ZK, ko se Dopolnilo ZK spremeni.

    (e) V primeru kakršnega koli spora med Dopolnilom/-i ZK in temi določili, prevlada/-jo Dodatek/-tki ZK.

    5.4 V zvezi s srbskimi standardnimi pogodbenimi klavzulami:

    (a) Če dobavitelj nima sedeža podjetja v ustrezni državi: (i) dobavitelj s tem dokumentom z Kyndryl-om sklepa srbske standardne pogodbene klavzule v svojem imenu kot obdelovalec; ter (ii) dobavitelj bo v skladu s členom 8 srbskih standardnih pogodbenih klavzul sklenil pisne pogodbe z vsakim odobrenim podobdelovalcem, Kyndryl-u pa bo na zahtevo zagotovil izvode teh pogodb.

    (b) Če ima dobavitelj sedež podjetja v ustrezni državi, potem dobavitelj s tem dokumentom z Kyndryl-om sklepa srbske standardne pogodbene klavzule v imenu vsakega podobdelovalca, ki se nahaja v državi, kjer ni ustreznega varstva. Če dobavitelj za katerega koli takšnega podobdelovalca tega ne more narediti, bo Kyndryl-u v podpis zagotovil srbske standardne pogodbene klavzule, ki jih podpiše ta podobdelovalec, in sicer preden podobdelovalcu dovoli obdelavo kakršnih koli Kyndryl-ovih osebnih podatkov.

    (c) Srbske standardne pogodbene klavzule med Kyndryl-om in dobaviteljem bodo služile bodisi kot srbske standardne pogodbene klavzule med upravljavcem in obdelovalcem bodisi kot obojestransko podpisana pogodba med "obdelovalcem" in "podobdelovalcem", kot bodo narekovala dejstva. V primeru kakršnega koli spora med srbskimi standardnimi pogodbenimi klavzulami in temi določbami prevladajo srbske standardne pogodbene klavzule.

    (d) Informacije, potrebne za izpolnitev dodatkov od 1 do 8 srbskih standardnih pogodbenih klavzul za namene upravljanja prenosa osebnih podatkov v državo, kjer ni ustreznega varstva, lahko najdete v teh pogojih in v dodatku k transakcijskemu dokumentu oziroma v samem transakcijskem dokumentu.

    6. Pomoč in evidence

    6.1 Ob upoštevanju narave obdelave bo dobavitelj pomagal Kyndryl-u tako, da bo imel vzpostavljene ustrezne tehnične in organizacijske ukrepe, s katerimi bo izpolnil obveznosti, povezane z zahtevami in pravicami oseb, na katere se nanašajo podatki. Dobavitelj bo Kyndryl-u pomagal tudi pri zagotavljanju skladnosti z obveznostmi, povezanimi z varnostjo obdelave, obveščanjem o in sporočanjem kršitve varnosti ter ustvarjanjem ocen vpliva na varstvo podatkov, vključno s predhodnim posvetovanjem z odgovornim regulatorjem, če bo zahtevano, pri čemer bo upošteval informacije, ki so mu na voljo.

    6.2 Dobavitelj bo vzdrževal aktualno evidenco imen in kontaktnih podatkov vsakega od podobdelovalcev, vključno s predstavnikom in uradno osebo za varstvo podatkov podobdelovalca. Dobavitelj bo na zahtevo to evidenco zagotovil Kyndryl-u v skladu s časovnim razporedom, ki bo Kyndryl-u omogočal, da se bo pravočasno odzval na kakršno koli zahtevo naročnika ali druge tretje osebe.

    Člen VIII, Tehnični in organizacijski ukrepi, splošna varnost

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršne koli storitve ali elemente za dostavo, razen če bo imel dobavitelj pri zagotavljanju teh storitev in elementov za dostavo dostop samo do Kyndryl-ovih poslovnih kontaktnih informacij (tj. dobavitelj ne bo obdeloval nobenih drugih Kyndryl-ovih podatkov ali imel dostopa do katerih koli drugih Kyndryl-ovih materialov ali katerega koli poslovnega sistema), če je dobaviteljeva edina storitev in element za dostavo to, da Kyndryl-u zagotavlja programsko opremo na mestu uporabe, oziroma če dobavitelj zagotavlja vse svoje storitve in elemente za dostavo po modelu povečanja osebja v skladu s členom VII, vključno z odsekom 1.7 tega člena.

    Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil: (a) Kyndryl-ove materiale pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem in nenamernim ali nepooblaščenim dostopom, (b) Kyndryl-ove podatke pred nezakonitimi oblikami obdelave ter (c) Kyndryl-ovo tehnologijo pred nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

    1. Varnostni pravilniki

    1.1 Dobavitelj bo vzdrževal in upošteval informacijskotehnološke varnostne pravilnike in prakse, ki so sestavni del dobaviteljevega poslovanja, obvezni za vse dobaviteljevo osebje in skladni z najboljšimi praksami v panogi.

    1.2 Dobavitelj bo svoje informacijskotehnološke varnostne pravilnike in prakse pregledal vsaj enkrat letno in jih dopolnil tako, kot meni, da je potrebno za zaščito Kyndryl-ovih materialov.

    1.3 Dobavitelj bo vzdrževal in upošteval standardne in obvezne zahteve glede preverjanja zaposlitve za vse novo zaposlene in razširil takšne zahteve na vse svoje osebje in hčerinske družbe v njegovi 100-odstotni lasti. Te zahteve bodo vključevale preverjanje nekaznovanosti v obsegu, ki ga dovoljujejo lokalni zakoni, preverjanje veljavnosti dokazila o identiteti in dodatna preverjanja, za katera dobavitelj meni, da so potrebna. Dobavitelj bo po potrebi redno ponavljal in ponovno preverjal te zahteve.

    1.4 Dobavitelj bo enkrat letno svojim zaposlenim zagotovil izobraževanje glede varnosti in zasebnosti ter od vseh teh zaposlenih zahteval, da vsako leto potrdijo, da bodo ravnali skladno z dobaviteljevim kodeksom etičnega poslovanja, zaupnostjo in varnostnimi pravilniki, opredeljenimi v dobaviteljevem kodeksu ravnanja ali podobnih dokumentih. Dobavitelj bo osebam s skrbniškim dostopom do kakršnih koli komponent storitev, elementov za dostavo ali Kyndryl-ovih materialov zagotovil dodatno usposabljanje glede pravilnikov in obdelave, pri čemer bo takšno usposabljanje značilno za njihovo vlogo in podporo pri storitvah, elementih za dostavo in Kyndryl-ovih materialih, in kot je potrebno za vzdrževanje zahtevane skladnosti in certifikatov.

    1.5 Dobavitelj bo načrtoval ukrepe glede varnosti in zasebnosti, s katerimi bo zaščitil in vzdrževal razpoložljivost Kyndryl-ovih materialov, vključno s svojo uvedbo, vzdrževanjem in ravnanjem skladno s pravilniki in postopki, ki sami po sebi zahtevajo varnost in zasebnost, varno inženirstvo in varno delovanje, in sicer za vse storitve in elemente za dostavo ter za vse obravnavanje Kyndryl-ove tehnologije.

    2. Varnostni incidenti

    2.1 Dobavitelj bo vzdrževal in upošteval pravilnike o odzivanju na dokumentirane incidente, ki so skladni z najboljšimi praksami v panogi za obravnavanje računalniških varnostnih incidentov.

    2.2 Dobavitelj bo preiskal nepooblaščen dostop ali nepooblaščeno uporabo Kyndryl-ovih materialov ter definiral in izvršil ustrezen plan odziva.

    2.3 Dobavitelj bo nemudoma (najpozneje pa v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

    2.4 Dobavitelj bo Kyndryl-u zagotovil razumno pomoč pri izpolnjevanju kakršnih koli pravnih obveznosti (vključno z obveznostmi obveščanja regulatorjev ali oseb, na katere se nanašajo podatki) Kyndryl-a, Kyndryl-ovih povezanih podjetij in naročnikov (in njihovih naročnikov ali povezanih podjetij) v zvezi s kršitvijo varnosti.

    2.5 Dobavitelj ne bo informiral ali obvestil nobene tretje osebe o tem, da je kršitev varnosti neposredno ali posredno povezana z Kyndryl-om ali Kyndryl-ovimi materiali, razen če Kyndryl to pisno odobri ali to zahteva zakonodaja. Dobavitelj bo Kyndryl pisno obvestil, preden bo distribuiral kakršno koli zakonsko zahtevano obvestilo kateri koli tretji osebi, če takšno obvestilo neposredno ali posredno razkriva Kyndryl-ovo identiteto.

    2.6 V primeru kršitve varnosti, ki izhaja iz dobaviteljeve kršitve katere koli obveznosti v okviru teh določb:

    (a) bo dobavitelj odgovoren za vse stroške, ki jih utrpi sam, pa tudi za dejanske stroške, ki jih utrpi Kyndryl, pri zagotavljanju obvestila o kršitvi varnosti zadevnim regulatorjem, drugim vladnim ali ustreznim panožnim samoregulativnim agencijam, medijem (če to zahteva veljavna zakonodaja), osebam, na katere se nanašajo podatki, naročnikom in drugim,

    (b) bo dobavitelj, če bo Kyndryl to zahteval, na svoje stroške vzpostavil in vzdrževal klicni center za odgovarjanje na vprašanja oseb, na katere se nanašajo podatki, glede kršitve varnosti in njenih posledic, in sicer 1 leto po datumu, na katerega so bile takšne osebe, na katere se nanašajo podatki, obveščene o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito. Kyndryl in dobavitelj bosta v sodelovanju ustvarila skripte in druge materiale, ki jih bo osebje klicnega centra uporabljalo pri odzivanju na poizvedovanja. Alternativno lahko Kyndryl po poslanem pisnem obvestilu dobavitelju sam vzpostavi in vzdržuje svoj klicni center, namesto da to naredi dobavitelj, dobavitelj pa bo Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi zaradi vzpostavitve in vzdrževanja takšnega klicnega centra, in

    (c) bo dobavitelj Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi pri zagotavljanju storitev za spremljanje in obnavljanje kredita v 1 letu po datumu, ko so bili posamezniki, na katere je vplivala kršitev in ki so se odločili registrirati za takšne storitve, obveščeni o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito.

    3. Fizično varovanje in nadzor vstopa (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov).

    3.1 Dobavitelj bo vzdrževal ustrezne oblike nadzora fizičnega vstopa, kot so ovire, s karticami nadzorovane vstopne točke, nadzorne kamere in recepcije z osebjem, s katerimi bo preprečil nepooblaščen vstop v objekte.

    3.2 Dobavitelj bo za dostop, vključno s kakršnim koli začasnim dostopom, do objektov in nadzorovanih območij znotraj objektov zahteval pooblaščeno odobritev, dostop pa bo omejil glede na vlogo na delovnem mestu in poslovno potrebo. Če bo dobavitelj odobril začasen dostop, bo njegov pooblaščeni zaposleni spremljal vsakega obiskovalca, ko bo ta v objektu in na katerih koli nadzorovanih območjih.

    3.3 Dobavitelj bo uvedel oblike nadzora fizičnega dostopa, vključno z večfaktorskimi oblikami nadzora dostopa, ki so skladne z najboljšimi praksami v panogi, s katerimi bo ustrezno omejil vstop na nadzorovana območja znotraj objektov, v dnevnik bo beležil vse poskuse vstopa, takšne dnevnike pa bo hranil vsaj eno leto.

    3.4 Dobavitelj bo preklical dostop do objektov in nadzorovanih območij znotraj objektov (a) ob prenehanju delovnega razmerja s pooblaščenim dobaviteljevim zaposlenim ali (b) ko pooblaščeni dobaviteljev zaposleni ne bo več imel veljavne poslovne potrebe za dostop. Dobavitelj bo upošteval uradne postopke o dokumentiranem prenehanju delovnega razmerja, ki vključujejo takojšnjo odstranitev z seznamov za nadzor dostopa in predajo izkaznic za dostop.

    3.5 Dobavitelj bo z varnostnimi ukrepi zaščitil vso fizično infrastrukturo, ki se uporablja za podpiranje storitev in elementov za dostavo ter obravnavanje Kyndryl-ove tehnologije, pred okoljskimi grožnjami, ki nastanejo naravno ali jih povzroči človek, kot so previsoka temperatura okolja, požar, poplava, vlažnost, kraja in vandalizem.

    4. Nadzor dostopa, posegov, prenosa in ločevanja

    4.1 Dobavitelj bo vzdrževal dokumentirano varnostno arhitekturo omrežij, ki jih uporablja pri svojem izvajanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo ločeno pregledoval takšno arhitekturo omrežij in vpeljal ukrepe za preprečevanje nepooblaščenih omrežnih povezav do sistemov, aplikacij in omrežnih naprav za zagotavljanje skladnosti s poglobljenimi standardi glede varne segmentacije, izolacije in obrambe. Dobavitelj pri gostovanju in izvajanju gostovanih storitev ne sme uporabljati brezžične tehnologije, lahko pa jo uporablja pri dostavi storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, vendar mora dobavitelj šifrirati in zahtevati varno preverjanje pristnosti za vsa takšna brezžična omrežja.

    4.2 Dobavitelj bo vzdrževal ukrepe, ki so načrtovani za logično ločevanje Kyndryl-ovih materialov in preprečevanje njihove izpostavljenosti ali dostopnosti nepooblaščenim osebam. Dobavitelj bo tudi vzdrževal ustrezno izolacijo svojih produkcijskih, neprodukcijskih in drugih okolij ter, če so Kyndryl-ovi materiali že prisotni v neprodukcijskem okolju ali preneseni vanj (na primer za reproduciranje napake), bo dobavitelj zagotovil, da je zaščita glede varnosti in zasebnosti v neprodukcijskem okolju enaka tisti v produkcijskem okolju.

    4.3 Dobavitelj bo šifriral Kyndryl-ove materiale v tranzitu in v mirovanju (razen če dobavitelj Kyndryl-u razumno in zadovoljivo prikaže, da je šifriranje Kyndryl-ovih materialov v mirovanju tehnično neizvedljivo). Dobavitelj bo šifriral tudi vse fizične medije, če obstajajo, na primer medije, ki vsebujejo datoteke varnostne kopije. Dobavitelj bo dokumentiral postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo, povezano s šifriranjem podatkov. Dobavitelj bo zagotovil, da bodo specifične kriptografske metode, uporabljene za takšno šifriranje, v skladu z najboljšimi praksami v panogi (kot je NIST SP 800-131a).

    4.4 Če dobavitelj potrebuje dostop do Kyndryl-ovih materialov, bo tak dostop omejil na najnižjo raven, potrebno za zagotavljanje in podpiranje storitev in elementov za dostavo. Dobavitelj bo zahteval, da bo takšen dostop, vključno s skrbniškim dostopom do kakršnih koli temeljnih komponent (tj. privilegiran dostop), individualen, da bo temeljil na vlogah in da bo predmet odobritve in rednega preverjanja veljavnosti s strani pooblaščenih dobaviteljevih zaposlenih, ki bodo upoštevali načela ločitve dolžnosti. Dobavitelj bo vzdrževal ukrepe za identificiranje in odstranjevanje odvečnih in mirujočih računov. Dobavitelj bo prav tako preklical račune s privilegiranim dostopom v roku štiriindvajsetih (24) ur po prenehanju delovnega razmerja z lastnikom računa ali na zahtevo Kyndryl-a ali katerega koli pooblaščenega dobaviteljevega zaposlenega, npr. managerja lastnika računa.

    4.5 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal tehnične ukrepe, ki bodo uveljavljali časovno omejitev neaktivnih sej, zaklepanje računov po večkratnih zaporednih neuspešnih poskusih prijave in preverjanje pristnosti z močnim geslom, ter ukrepe, ki bodo zahtevali varen prenos in shranjevanje takšnih gesel. Poleg tega bo dobavitelj uporabljal večkratno preverjanje pristnosti za vsak privilegiran dostop do katerih koli Kyndryl-ovih materialov, ki ne temelji na konzoli.

    4.6 Dobavitelj bo nadzoroval uporabo privilegiranega dostopa in vzdrževal varnostne informacije in ukrepe za upravljanje dogodkov, načrtovane za: (a) identificiranje nepooblaščenega dostopa in dejavnosti, (b) omogočanje pravočasnega in ustreznega odziva na takšen dostop in dejavnost ter (c) omogočanje revizij s strani dobavitelja, Kyndryl-a (v skladu z njegovimi pravicami do preverjanja v teh določbah in pravicami do revizije v transakcijskem dokumentu ali povezani osnovni ali drugi sorodni pogodbi med pogodbenima strankama) in drugih glede skladnosti z dokumentiranim dobaviteljevim pravilnikom.

    4.7 Dobavitelj bo hranil dnevnike, v katerih bo v skladu z najboljšimi praksami v panogi beležil vse skrbniške, uporabniške in druge dostope ali dejavnosti v zvezi s sistemi, ki se uporabljajo pri zagotavljanju storitev ali elementov za dostavo in obravnavanju Kyndryl-ove tehnologije (in bo te dnevnike na zahtevo zagotovil Kyndryl-u). Dobavitelj bo vzdrževal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in nenamernim ali namernim uničenjem takšnih dnevnikov.

    4.8 Dobavitelj bo vzdrževal računalniške zaščite za sisteme, ki jih ima v lasti ali jih upravlja, vključno s sistemi končnih uporabnikov, in ki jih uporablja pri zagotavljanju storitev ali elementov za dostavo oziroma pri obravnavanju Kyndryl-ove tehnologije, pri čemer bodo takšne zaščite vključevale: požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje končne točke s podpisom in brez podpisa ter odzivne tehnologije za obravnavanje zlonamerne programske opreme in naprednih vztrajnih groženj, zaklepanje zaslona na osnovi časa ter rešitve za upravljanje končnih točk, ki uveljavljajo zahteve glede konfiguracije zaščite in nameščanja popravkov. Poleg tega bo dobavitelj uvedel tehnične in operativne nadzore, ki bodo zagotavljali, da lahko dobaviteljeva omrežja uporabljajo samo znani in zaupanja vredni sistemi končnih uporabnikov.

    4.9 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal zaščite za okolja podatkovnih centrov, v katerih so prisotni ali obdelani Kyndryl-ovi materiali, pri čemer bodo takšne zaščite vključevale zaznavanje in preprečevanje vdorov ter protiukrepe in ublažitev za napade na omrežje, ki povzročijo odpoved njegovega delovanja.

    5. Nadzor integritete storitev in sistemov ter razpoložljivosti

    5.1 Dobavitelj bo: (a) vsaj enkrat letno opravil oceno tveganja glede varnosti in zasebnosti, (b) izvedel preizkušanje varnosti in ocenil ranljivosti, vključno z avtomatiziranim pregledom varnosti sistemov in aplikacij ter ročnim etičnim hekanjem, in sicer pred produkcijsko izdajo in nato enkrat letno v zvezi s storitvami in elementi za dostavo ter enkrat letno v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, (c) najel usposobljeno neodvisno tretjo osebo, ki bo vsaj enkrat letno izvedla penetracijsko preizkušanje v skladu z najboljšimi praksami v panogi, pri čemer bo takšno preizkušanje vključevalo tako avtomatizirano kot tudi ročno preizkušanje, (d) izvedel avtomatizirano upravljanje in rutinsko preverjanje skladnosti z zahtevami konfiguracije zaščite za vsako komponento storitev in elementov za dostavo in v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, ter (e) saniral identificirane ranljivosti ali neskladnosti z zahtevami konfiguracije zaščite na osnovi povezanega tveganja, možnosti zlorabe in vpliva. Dobavitelj bo izvedel razumne ukrepe, s katerimi se bo izognil prekinitvi delovanja storitev med izvajanjem preizkusov, ocen, pregledov ter sanacijskih dejavnosti. Dobavitelj bo Kyndryl-u na njegovo zahtevo zagotovil pisni povzetek dobaviteljevih takrat najnovejših dejavnosti penetracijskega preizkušanja, poročilo pa bo vključevalo najmanj imena ponudb, ki jih je obsegalo preizkušanje, število sistemov ali aplikacij v obsegu preizkušanja, datume preizkušanja, metodologijo, uporabljeno pri preizkušanju, ter splošni povzetek ugotovitev.

    5.2 Dobavitelj bo vzdrževal pravilnike in postopke, načrtovane za upravljanje tveganj, povezanih z uvajanjem sprememb v storitve ali elemente za dostavo oziroma obravnavanje Kyndryl-ove tehnologije. Dobavitelj bo pred uvedbo takšne spremembe, vključno s spremembo sistemov, omrežij in temeljnih komponent, na katere takšna sprememba vpliva, v registrirani zahtevi za spremembo dokumentiral naslednje: (a) opis spremembe in razlog zanjo, (b) podrobnosti in časovni razpored uvedbe, (c) izjavo o tveganju, ki obravnava vpliv na storitve in elemente za dostavo, naročnike storitev ali Kyndryl-ove materiale, (d) pričakovani rezultat, (e) načrt za razveljavitev in (f) odobritev pooblaščenih dobaviteljevih zaposlenih.

    5.3 Dobavitelj bo vzdrževal seznam vseh informacijskotehnoloških sredstev, ki jih uporablja pri delovanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo redno nadziral in upravljal stanje (vključno z zmogljivostjo) in razpoložljivost takšnih informacijskotehnoloških sredstev, storitev, elementov za dostavo in Kyndryl-ove tehnologije.

    5.4 Dobavitelj bo vse sisteme, ki jih bo uporabljal pri razvoju ali delovanju storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, zgradil iz preddefiniranih slik sistemske varnosti ali varnostnih osnovnic, ki ustrezajo najboljšim praksam v panogi, kot so primerjalni preskusi CIS (Center for Internet Security).

    5.5 Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi s poslovno kontinuiteto ločeno ocenil vsako storitev in element za dostavo in vsak informacijsko tehnološki sistem, ki se uporablja pri obravnavanju Kyndryl-ove tehnologije, glede poslovne in informacijsko tehnološke kontinuitete in zahtev za obnovitev po katastrofi v skladu z dokumentiranimi smernicami za upravljanje tveganj. Dobavitelj bo zagotovil, da bo imela vsaka takšna storitev, element za dostavo in informacijsko tehnološki sistem v obsegu, ki ga jamči takšna ocena tveganja, ločeno definirane, dokumentirane, vzdrževane in letno preverjene načrte za poslovno in informacijsko tehnološko kontinuiteto ter obnovitev po katastrofi, ki bodo skladni z najboljšimi praksami v panogi. Dobavitelj bo zagotovil, da so takšni načrti zasnovani za zagotavljanje specifičnih časov obnovitve, ki so opredeljeni v spodnjem razdelku 5.6.

    5.6 Specifični cilji glede točke obnovitve ("RPO") in cilji glede časa obnovitve ("RTO") v zvezi s katero koli gostovano storitvijo so: 24 ur za RPO in 24 ur za RTO; kljub temu bo dobavitelj ravnal skladno z vsakim krajšim trajanjem RPO ali RTO, za katerega se bo Kyndryl zavezal naročniku, in sicer takoj po tem, ko Kyndryl dobavitelja pisno obvesti o takšnem krajšem trajanju RPO ali RTO (e-pošta šteje za pisno obvestilo). V zvezi z vsemi drugimi storitvami, ki jih dobavitelj zagotavlja Kyndryl-u, bo dobavitelj zagotovil, da bodo njegovi načrti za poslovni kontinuiteto in obnovitev po katastrofi zasnovani za zagotavljanje RPO in RTO, ki dobavitelju omogočata ohranjanje skladnosti z vsemi njegovimi obveznostmi do Kyndryl-a v okviru transakcijskega dokumenta in povezane osnovne pogodbe med pogodbenima strankama ter teh določb, vključno z njegovimi obveznostmi glede pravočasnega preizkušanja, podpiranja in vzdrževanja.

    5.7 Dobavitelj bo vzdrževal ukrepe, zasnovane za ocenjevanje, preizkušanje in uveljavljanje varnostnih svetovalnih popravkov v storitvah in elementih za dostavo ter povezanih sistemih, omrežjih, aplikacijah in temeljnih komponentah v obsegu teh storitev in elementov za dostavo, pa tudi v sistemih, omrežjih, aplikacijah in temeljnih komponentah, ki se uporabljajo za obravnavanje Kyndryl-ove tehnologije. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo dobavitelj uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Dobaviteljeva uvedba varnostnih svetovalnih popravkov bo izvedena skladno z njegovim pravilnikom o upravljanju sprememb.

    5.8 Če ima Kyndryl razumno podlago za mnenje, da lahko strojna ali programska oprema, ki jo dobavitelj zagotavlja Kyndryl-u, vsebuje elemente za vdiranje, kot so vohunska programska oprema, zlonamerna programska oprema ali zlonamerna koda, potem bo dobavitelj pravočasno v sodelovanju z Kyndryl-om preiskal in saniral Kyndryl-ove pomisleke.

    6. Zagotavljanje storitev

    6.1 Dobavitelj bo podpiral v panogi običajne metode za federativno preverjanje pristnosti za vse Kyndryl-ove uporabnike ali naročnikove račune, pri čemer bo dobavitelj upošteval najboljše prakse v panogi za preverjanje pristnosti takšnih Kyndryl-ovih uporabnikov ali naročnikovih računov (kot je Kyndryl-ova centralno upravljana večfaktorska enotna prijava, ki uporablja OpenID Connect ali jezik SAML (Security Assertion Markup Language)).

    7. Podizvajalci. Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi z obdržanjem podizvajalcev zagotovil, da bo vsak podizvajalec, ki bo opravljal delo za dobavitelja, uvedel nadzore upravljanja za skladnost z zahtevami in obveznostmi, ki jih te določbe nalagajo dobavitelju.

    8. Fizični mediji. Dobavitelj bo v skladu z najboljšimi praksami v panogi za čiščenje medijev pred ponovno uporabo varno očistil fizične medije, ki so namenjeni ponovni uporabi, in uničil fizične medije, ki niso namenjeni ponovni uporabi.

    Člen IX, Certifikati in poročila gostovanih storitev

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja gostovano storitev.

    1.1 Dobavitelj bo pridobil naslednje certifikate ali poročila v časovnih okvirjih, opredeljenih spodaj:

    Certifikati/poročila

    Časovni okvir

    V zvezi z dobaviteljevimi gostovanimi storitvami:

    Certifikat o skladnosti s standardom ISO 27001, Information technology, Security techniques, Information security management systems, pri čemer bo to certifikat na osnovi ocene uglednega neodvisnega revizorja

    Ali

    SOC 2 tipa 2: Poročilo uglednega neodvisnega revizorja, ki izkazuje njegov pregled dobaviteljevih sistemov, nadzorov in delovanja v skladu s poročilom SOC 2 tipa 2 (ki vključuje vsaj varnost, zaupnost in razpoložljivost)

    Dobavitelj bo pridobil certifikat o skladnosti s standardom ISO 27001 v 120 dneh po datumu veljavnosti transakcijskega dokumenta* ali datumu prevzema**, nato pa bo vsakih 12 mesecev po tem podaljševal veljavnost certifikata na osnovi ocene uglednega neodvisnega revizorja (vsako podaljšanje pa bo v skladu s takrat najnovejšo različico standarda)

    Dobavitelj bo pridobil poročilo SOC 2 tipa 2 v 240 dneh po datumu veljavnosti transakcijskega dokumenta* ali datumu prevzema**, nato pa bo vsakih 12 mesecev po tem pridobil novo poročilo uglednega neodvisnega revizorja, ki bo izkazovalo njegov pregled dobaviteljevih sistemov, nadzorov in delovanja v skladu s poročilom SOC 2 tipa 2 (ki vključuje vsak varnost, zaupnost in razpoložljivost).

    * Če dobavitelj zagotavlja gostovano storitev od takšnega datuma veljavnosti

    ** Datum, s katerim dobavitelj prevzame obveznost zagotavljanja gostovane storitve

    1.2 Če dobavitelj to pisno zahteva in Kyndryl to pisno odobri, lahko dobavitelj pridobi certifikat ali poročilo, ki je v bistvenih značilnostih enakovreden tistim, navedenim zgoraj, pri čemer se razume, da časovni okvirji, opredeljeni v zgornji tabeli, veljajo v nespremenjeni obliki za tak enakovreden certifikat ali poročilo.

    1.3 Dobavitelj bo: (a) na zahtevo Kyndryl-u takoj zagotovil kopijo vsakega certifikata in poročila, ki ga dobavitelj mora pridobiti, in (b) takoj odpravil kakršne koli notranje nadzorne pomanjkljivosti, opažene med pregledom SOC 2 ali v bistvenih značilnostih enakovrednim pregledom (če ga Kyndryl odobri).

    Člen X, Sodelovanje, preverjanje in sanacija

    Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

    1. Sodelovanje dobavitelja

    1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

    1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

    1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

    2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

    2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

    2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

    2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

    2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

    2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

    3. Program za preprečevanje ponarejanja

    3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

    4. Sanacija

    4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

    4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

    4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

View All Terms

Opredelitev pojmov
Izrazi imajo pomene, podane spodaj, drugje v teh določbah oziroma v transakcijskem dokumentu ali povezani osnovni pogodbi med pogodbenima strankama. Izraza "storitve" in "elementi za dostavo" sta najverjetneje opredeljena v transakcijskem dokumentu ali povezani osnovni pogodbi med pogodbenima strankama, če pa nista, potem "storitve" pomenijo kakršno koli gostovano storitev, svetovanje, nameščanje, prilagajanje, vzdrževanje, podpiranje, povečanje osebja, poslovanje in tehnično ali drugo delo, ki ga dobavitelj izvaja za Kyndryl, kot je opredeljeno v transakcijskem dokumentu, "elementi za dostavo" pa pomenijo kakršno koli programsko opremo, platforme, aplikacije ali druge izdelke ali elemente v njihovih povezanih materialih, ki jih dobavitelj zagotavlja Kyndryl-u, kot je opredeljeno v transakcijskem dokumentu.

Poslovne kontaktne informacije ("PKI") pomenijo osebne podatke, ki se uporabljajo za vzpostavljanje stika, identificiranje ali preverjanje pristnosti posameznika na strokovnem ali poslovnem položaju. Poslovne kontaktne informacije običajno vključujejo posameznikovo ime, službeni e-poštni naslov, fizični naslov, telefonsko številko ali podobne atribute.

Storitev v oblaku pomeni kakršno koli ponudbo "kot storitev", ki jo gosti in upravlja dobavitelj, vključno s ponudbami "programske opreme kot storitve", "platforme kot storitve" in "infrastrukture kot storitve".

Upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki sam ali skupaj z drugimi določi namene in načine obdelave osebnih podatkov.

Poslovni sistem pomeni informacijskotehnološki sistem, platformo, aplikacijo, omrežje ali podoben element, na katerega se Kyndryl zanaša za svoje poslovanje, vključno s tistimi, ki so v ali so dostopni prek Kyndryl-ovega intraneta, interneta ali drugače.

Naročnik pomeni Kyndryl-ovega naročnika.

Oseba, na katero se nanašajo podatki, pomeni fizično osebo, ki jo je mogoče neposredno ali posredno identificirati s sklicem na ime, identifikacijsko številko, podatke o lokaciji, spletni identifikator ali enega ali več dejavnikov, značilnih za fizično, psihološko, genetsko, mentalno, ekonomsko, kulturno ali socialno identiteto te fizične osebe.

Dan ali dnevi pomenijo koledarske dni, razen če so določeni "delovni" dnevi.

Naprava pomeni delovno postajo, prenosni računalnik, tablico, pametni telefon ali osebnega digitalnega pomočnika, ki ga zagotovi Kyndryl ali dobavitelj.

Obravnavati, obravnava ali obravnavanje vključuje vsakršen dostop do, uporabo in shranjevanje ter vsako drugo obravnavanje Kyndryl-ove tehnologije.

Gostovana storitev pomeni kakršno koli storitev podatkovnega centra, aplikacijsko storitev, informacijskotehnološko storitev ali storitev v oblaku, ki jo gosti ali upravlja dobavitelj.

Kyndryl-ovi podatki pomenijo kakršne koli in vse elektronske datoteke, materiale, besedilo, avdio, video, slike in druge podatke, vključno z Kyndryl-ovimi osebnimi podatki in neosebnimi podatki, ki jih Kyndryl, Kyndryl-ovo osebje, naročnik, naročnikov zaposleni ali katera koli druga oseba ali entiteta v povezavi s transakcijskim dokumentom zagotovi dobavitelju, naloži ali hrani v gostovani storitvi oziroma ima do njih dobavitelj dostop, in ki jih dobavitelj obdeluje v imenu Kyndryl-a.

Kyndryl-ovi materiali pomenijo kakršne koli in vse Kyndryl-ove podatke in Kyndryl-ove tehnologije.

Kyndryl-ovi osebni podatki pomenijo osebne podatke, ki jih dobavitelj obdeluje v imenu Kyndryl-a. Kyndryl-ovi osebni podatki vključujejo osebne podatke, ki jih upravlja Kyndryl, in osebne podatke, ki jih Kyndryl obdeluje v imenu drugih upravljavcev.

Kyndryl-ova izvorna koda pomeni izvorno kodo, ki jo ima Kyndryl v lasti ali jo licencira.

Kyndryl-ova tehnologija pomeni Kyndryl-ovo izvorno kodo, drugo kodo, opisne jezike, strojno-programsko opremo, programsko opremo, orodja, načrte, sheme, grafične upodobitve, vdelane ključe, potrdila in druge informacije, materiale, sredstva, dokumente in tehnologije, ki jih je Kyndryl neposredno ali posredno licenciral ali drugače dal na voljo dobavitelju v zvezi s transakcijskim dokumentom ali povezano pogodbo med Kyndryl-om in dobaviteljem.

Vključuje in vključno s/z se ne interpretira kot določilo o omejitvi.

Najboljše prakse v panogi pomenijo prakse, ki so skladne s tistimi, ki jih priporoča ali zahteva Nacionalni institut za standarde in tehnologijo ali Mednarodna organizacija za standardizacijo oziroma drug organ ali organizacija s podobnim ugledom in razvitostjo.

IT: pomeni informacijsko tehnologijo.

Drug upravljavec pomeni katero koli entiteto, ki ni Kyndryl in je upravljavec Kyndryl-ovih podatkov, kot je Kyndryl-ovo povezano podjetje, naročnik ali naročnikovo povezano podjetje.

Programska oprema na mestu uporabe pomeni programsko opremo, ki jo Kyndryl ali podizvajalec izvaja, namesti ali uporablja v Kyndryl-ovih ali podizvajalčevih strežnikih ali sistemih. V pojasnilo: programska oprema na mestu uporabe je dobaviteljev element za dostavo.

Osebni podatki pomenijo kakršne koli informacije, povezane z osebo, na katero se nanašajo podatki.

Osebje pomeni posameznike, ki so Kyndryl-ovi ali dobaviteljevi zaposleni, Kyndryl-ovi ali dobaviteljevi agenti oziroma neodvisni pogodbeniki, ki jih vključi Kyndryl ali dobavitelj ali jih pogodbeni stranki zagotovi podizvajalec.

Obdelati ali obdelava pomeni kakršno koli operacijo ali nabor operacij, ki se izvedejo na Kyndryl-ovih podatkih, vključno s shranjevanjem, uporabo, branjem in dostopanjem do podatkov.

Obdelovalec pomeni fizično ali pravno osebo, ki v imenu upravljavca obdeluje osebne podatke.

Kršitev varnosti pomeni kršitev varnosti, ki vodi do: (a) izgube, uničenja, spremembe oziroma nenamernega ali nepooblaščenega razkritja Kyndryl-ovih materialov, (b) nenamernega ali nepooblaščenega dostopa do Kyndryl-ovih materialov, (c) nezakonite obdelave Kyndryl-ovih podatkov ali (d) nezakonitega obravnavanja Kyndryl-ove tehnologije.

Prodajati (ali prodajanje) pomeni prodajanje, oddajanje, izdajanje, razkrivanje, razširjanje, dajanje na razpolago, prenašanje ali drugačno predajanje (ustno, pisno ali na elektronski ali drug način) podatkov za denarno ali drugače vredno plačilo.

Izvorna koda pomeni človeku berljivo programsko kodo, s katero razvijalci razvijajo ali vzdržujejo izdelek, ki pa se ne dostavi končnim uporabnikom v običajnem poteku komercialne distribucije ali uporabe izdelka.

Podobdelovalec pomeni katerega koli dobaviteljevega podizvajalca, vključno z dobaviteljevim povezanim podjetjem, ki obdeluje Kyndryl-ove podatke.