Privacy and Security Terms

Ali bosta imela dobavitelj ali Kyndryl dostop do poslovnih kontaktnih informacij drug drugega?

V tem primeru za ta dostop veljata člena I (Poslovne kontaktne informacije) in X (Sodelovanje, preverjanje in sanacija).

Primeri:

Dobavitelj uporablja imena, e-poštne naslove in telefonske številke zaposlenih Kyndryl-a ali naročnika za podporo ali vzdrževanje.
Kyndryl uporablja imena in e-poštne naslove zaposlenih dobavitelja za preverjanje pristnosti za dostop do poslovnega sistema.

Opomba:

če dobavitelj zagotavlja vzdrževanje ali podporo, potem ima dobavitelj morda dostop do več kot samo poslovnih kontaktnih informacij (npr. dnevniških datotek z osebnimi podatki ali brez njih) in v tem primeru dobavitelj potrdi tudi polje pod elementom 2 (če bo imel dostop do osebnih podatkov) in elementom 3 (če bo imel dostop do neosebnih podatkov).

Člen I, Poslovne kontaktne informacije

Ta člena velja, če dobavitelj ali Kyndryl obdeluje poslovne kontaktne informacije drugega.

1.1 Kyndryl in dobavitelj lahko obdelujeta poslovne kontaktne informacije drugega povsod, kjer poslujeta v zvezi z dobaviteljevo dostavo storitev in elementov za dostavo.

1.2 Pogodbena stranka:

(a) ne bo uporabljala ali razkrivala poslovnih kontaktnih informacij druge pogodbene stranke za noben drug namen (v pojasnilo – nobena pogodbena stranka ne bo prodajala poslovnih kontaktnih informacij druge stranke oziroma jih uporabljala ali razkrivala za kakršen koli trženjski namen brez predhodnega pisnega soglasja druge pogodbene stranke in, kjer je to zahtevano, brez predhodnega pisnega soglasja zadevnih oseb, na katere se nanašajo podatki), in

(b) bo na pisno zahtevo druge pogodbene stranke takoj izbrisala, spremenila, popravila, vrnila, navedla informacije o obdelavi, omejila obdelavo ali drugače razumno ukrepala v zvezi s poslovnimi kontaktnimi informacijami druge pogodbene stranke.

1.3 Pogodbeni stranki ne vstopata v razmerje skupnega upravljavca glede poslovnih kontaktnih informacij druga druge in nobena določba transakcijskega dokumenta se ne razume ali interpretira kot znak kakršnega koli namena vzpostavitve razmerja skupnega upravljavca.

1.4 Kyndryl-ova izjava o zasebnosti na naslovu https://www.kyndryl.com/privacy vsebuje dodatne podrobnosti o Kyndryl-ovi obdelavi poslovnih kontaktnih informacij.

1.5 Pogodbeni stranki sta uvedli in bosta vzdrževali tehnične in organizacijske varnostne ukrepe za zaščito poslovnih kontaktnih informacij druga druge pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem, nenamernim ali nepooblaščenim dostopom in nezakonito obdelavo.

1.6 Dobavitelj bo nemudoma (najpozneje v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti, ki vključuje Kyndrylov BCI. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

1.7 Če dobavitelj zgolj obdeluje Kyndryl-ove poslovne kontaktne informacije in nima dostopa do nobenih drugih podatkov ali materialov kakršne koli vrste ali do nobenega Kyndryl-ovega poslovnega sistema, sta ta člen in člen X (Sodelovanje, preverjanje in sanacija) edina člena, ki veljata za takšno obdelavo.

Člen X, Sodelovanje, preverjanje in sanacija

Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršno koli storitev ali element za dostavo.

1. Sodelovanje dobavitelja

1.1 Če se Kyndryl upravičeno sprašuje, ali so katere koli storitve ali elementi za dostavo morda prispevali, prispevajo ali bodo prispevali h kakršnemu koli pomisleku glede kibernetske varnosti, potem bo dobavitelj razumno sodeloval pri kakršnem koli Kyndryl-ovem poizvedovanju o takšnem pomisleku, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije prek dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega.

1.2 Pogodbeni stranki se strinjata, da: (a) bosta na zahtevo oskrbeli druga drugo s takšnimi nadaljnjimi informacijami, (b) boste potrdili in dostavili druga drugi takšne druge dokumente in (c) opravili takšna druga dejanja ali opravila, ki jih druga pogodbena stranka lahko razumno zahteva za namen izvršitve namena teh določb in dokumentov, na katere se te določbe sklicujejo. Če na primer Kyndryl to zahteva, bo dobavitelj pravočasno zagotovil določbe glede zasebnosti in varnosti iz svojih pisnih pogodb s podobdelovalci in podizvajalci, vključno z odobritvijo dostopa do samih pogodbenikov, če ima dobavitelj do tega pravico.

1.3 Če bo Kyndryl to zahteval, bo dobavitelj pravočasno zagotovil informacije o državah, v katerih so bili elementi za dostavo in komponente teh elementov za dostavo proizvedeni, razviti ali drugače pridobljeni.

2. Preverjanje (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov)

2.1 Dobavitelj bo vzdrževal evidenco, ki omogoča revizijo in izkazuje skladnost s temi določbami.

2.2 Kyndryl lahko sam ali z zunanjim revizorjem v skladu s pisnim obvestilom, ki ga 30 dni prej pošlje dobavitelju, preveri dobaviteljevo skladnost s temi določbami, vključno z dostopom do katerega koli objekta ali objektov za takšne namene, vendar Kyndryl ne bo dostopal do nobenega podatkovnega centra, v katerem dobavitelj obdeluje Kyndryl-ove podatke, razen če v dobri veri verjame, da bi to zagotovilo potrebne informacije. Dobavitelj bo sodeloval pri Kyndryl-ovem preverjanju, vključno s pravočasnim in celovitim odzivanjem na zahteve za informacije v obliki dokumentov, drugih zapisov, pogovorov z ustreznim dobaviteljevim osebjem in podobnega. Dobavitelj lahko Kyndryl-u v obravnavo ponudi dokazilo o upoštevanju odobrenega kodeksa ravnanja ali panožnega certifikata oziroma drugače zagotovi informacije, ki izkazujejo skladnost s temi določbami.

2.3 Preverjanje se ne bo izvajalo pogosteje kot enkrat v katerem koli 12-mesečnem obdobju, razen če: (a) Kyndryl preverja dobaviteljevo sanacijo pomislekov, do katerih je prišlo med prejšnjim preverjanjem v 12-mesečnem obdobju, ali (b) je prišlo do kršitve varnosti in želi Kyndryl preveriti skladnost z obveznostmi, ki zadevajo kršitev. V obeh primerih bo Kyndryl 30 dni pred tem zagotovil enako pisno obvestilo, kot je opredeljeno v zgornjem razdelku 2.2, vendar lahko nujnost obravnavanja kršitve varnosti zahteva, da Kyndryl opravi preverjanje prej kot v 30 dneh po pošiljanju pisnega obvestila.

2.4 Regulator ali drug upravljavec lahko uveljavlja enake pravice kot Kyndryl iz razdelkov 2.2 in 2.3, pri čemer se razume, da lahko regulator uveljavlja kakršne koli dodatne pravice, ki jih ima v okviru zakonodaje.

2.5 Če ima Kyndryl razumno podlago za sklepanje, da dobavitelj ne ravna skladno s katero koli od teh določb (ne glede na to, ali takšna podlaga izvira iz preverjanja v okviru teh določb ali od drugod), potem bo dobavitelj takoj saniral takšno neskladnost.

3. Program za preprečevanje ponarejanja

3.1 Če dobaviteljevi elementi za dostavo vključujejo elektronske komponente (npr. trde diske, polprevodniške pogone, pomnilnik, centralne procesne enote, logične naprave ali kable), bo dobavitelj vzdrževal in upošteval program za preprečevanje ponarejanja, ki bo predvsem preprečeval dobavitelju, da bi Kyndryl-u zagotovil ponarejene komponente, dodatno pa takoj zaznal in saniral vsak primer, v katerem bi dobavitelj Kyndryl-u pomotoma zagotovil ponarejene komponente. Dobavitelj bo k tej isti obveznosti za vzdrževanje in upoštevanje dokumentiranega programa za preprečevanje ponarejanja zavezal vse svoje dobavitelje, ki zagotavljajo elektronske komponente, vključene v dobaviteljeve elemente za dostavo za Kyndryl.

4. Sanacija

4.1 Če dobavitelj ne bo ravnal skladno s katero koli svojo obveznostjo v okviru teh določb in bo to neskladno ravnanje povzročilo kršitev varnosti, potem bo dobavitelj popravil neskladno ravnanje pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri čemer bo takšno izvajanje in saniranje potekalo v skladu z Kyndryl-ovimi razumnimi navodili in urnikom. Če pa kršitev varnosti izhaja iz dobaviteljeve preskrbe večnajemniške gostovane storitve in posledično vpliva na mnogo dobaviteljevih strank, vključno z Kyndryl-om, bo dobavitelj glede na naravo kršitve varnosti pravočasno in ustrezno popravil napako pri svojem izvajanju ter saniral škodljive učinke kršitve varnosti, pri tem pa ustrezno upošteval kakršne koli Kyndryl-ove informacije glede takšnih popravkov in sanacije.

4.2 Kyndryl bo imel pravico do sodelovanja pri sanaciji kakršne koli kršitve varnosti, omenjene v odseku 4.1, kot se mu bo zdelo ustrezno ali potrebno, dobavitelj pa bo odgovarjal za svoje stroške pri popravljanju svojega izvajanja ter za stroške sanacije, ki jih bosta pogodbeni stranki utrpeli v zvezi s kakršno koli takšno kršitvijo varnosti.

4.3 Stroški in izdatki sanacije, povezani s kršitvijo varnosti, lahko na primer vključujejo stroške zaznavanja in preiskovanja kršitve varnosti, določanja odgovornosti v okviru veljavnih zakonov in predpisov, zagotavljanja obvestil o kršitvi, vzpostavljanja in vzdrževanja klicnih centrov, zagotavljanja storitev za spremljanje in obnavljanje kreditne sposobnosti, ponovnega nalaganja podatkov, popravljanja okvar izdelkov (vključno prek izvorne kode ali drugega razvoja), najemanja tretjih oseb za pomoč pri prej omenjenih in drugih ustreznih dejavnostih ter druge stroške, ki so potrebni za sanacijo škodljivih učinkov kršitve varnosti. V pojasnilo – stroški sanacije ne vključujejo Kyndryl-ove izgube dobička, poslovanja, vrednosti, prihodkov dobrega imena ali pričakovanih prihrankov.

Ali bo imel dobavitelj dostop do osebnih podatkov?

V tem primeru za ta dostop veljajo členi II (Tehnični in organizacijski ukrepi, varnost podatkov), III (Zasebnost), VIII (Tehnični in organizacijski ukrepi, splošna varnost) in X (Sodelovanje, preverjanje in sanacija).

Primeri:

Dobavitelj dostopa do osebnih podatkov pri dostavi katere koli gostovane storitve za Kyndryl-ovo notranjo uporabo ali uporabo naročnikov ali oboje.
Dobavitelj zagotavlja zdravstvene ali z zdravstvom povezane storitve, trženjske storitve ali storitve, povezane s kadri ali prejemki, in pri tem dostopa do osebnih podatkov.
Dobavitelj za zagotavljanje storitev podpore dostopa do dnevniških datotek, ki vsebujejo osebne podatke.

Člen II, Tehnični in organizacijski ukrepi, varnost podatkov

Ta člen velja, če dobavitelj obdeluje Kyndryl-ove podatke, ki niso Kyndryl-ove poslovne kontaktne informacije. Dobavitelj bo pri zagotavljanju vseh storitev in elementov za dostavo ravnal skladno z zahtevami tega člena in s tem zaščitil Kyndryl-ove podatke pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem, nenamernim ali nepooblaščenim dostopom in nezakonitimi oblikami obdelave. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

1. Uporaba podatkov

1.1 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja Kyndryl-ovim podatkom ne sme dodajati ali prilagati nobenih drugih informacij ali podatkov, vključno z osebnimi podatki, in dobavitelj Kyndryl-ovih podatkov v nobeni obliki (bodisi združeni bodisi drugačni) ne sme uporabljati za noben namen razen za zagotavljanje storitev in elementov za dostavo (dobavitelj na primer ne sme uporabljati ali ponovno uporabljati Kyndryl-ovih podatkov za ocenjevanje ali povečevanje uspešnosti svojih ponudb, za raziskovanje in razvoj pri ustvarjanju novih ponudb ali za ustvarjanje poročil glede svojih ponudb). Dobavitelju je prepovedano prodajanje Kyndryl-ovih podatkov, razen če je to izrecno dovoljeno v transakcijskem dokumentu.

1.2 Dobavitelj v elemente za dostavo ali kot del storitev ne bo vdeloval nobenih tehnologij za spletno spremljanje (takšne tehnologije vključujejo HTML5, lokalno shranjevanje, oznake ali žetone tretjih oseb in spletne signale), razen če je to izrecno dovoljeno v transakcijskem dokumentu.

2. Zahteve tretjih oseb in zaupnost

2.1 Dobavitelj Kyndryl-ovih podatkov ne bo razkrival nobeni tretji osebi, razen če Kyndryl to vnaprej pisno odobri. Če vladni organ, vključno s kakršnim koli regulatorjem, zahteva dostop do Kyndryl-ovih podatkov (če na primer ameriški vladni organ dobavitelju vroči odredbo o nacionalni varnosti za pridobitev Kyndryl-ovih podatkov) ali če razkritje Kyndryl-ovih podatkov zahteva zakonodaja, bo dobavitelj Kyndryl pisno obvestil o takšni zahtevi in dal Kyndryl-u razumno priložnost, da izpodbija kakršno koli razkritje (kjer zakonodaja prepoveduje obveščanje, bo dobavitelj sprejel ukrepe, za katere razumno meni, da so ustrezni za izpodbijanje prepovedi in razkritja Kyndryl-ovih podatkov prek sodnega postopka ali na drug način).

2.2 Dobavitelj zagotavlja, da: (a) bodo imeli dostop do Kyndryl-ovih podatkov samo tisti njegovi zaposleni, ki tak dostop potrebujejo za zagotavljanje storitev ali elementov za dostavo, in še to samo v meri, ki je potrebna za zagotavljanje teh storitev in elementov za dostavo; in (b) je zavezal svoje zaposlene z obveznostmi zaupnosti, ki od teh zaposlenih zahtevajo, da Kyndryl-ove podatke uporabljajo in razkrivajo samo tako, kot to dovoljujejo te določbe.

3. Vračilo ali izbris Kyndryl-ovih podatkov

3.1 Dobavitelj bo glede na Kyndryl-ovo izbiro bodisi izbrisal bodisi vrnil Kyndryl-ove podatke Kyndryl-u ob prenehanju ali poteku transakcijskega dokumenta oziroma prej na Kyndryl-ovo zahtevo. Če bo Kyndryl zahteval izbris, bo dobavitelj v skladu z najboljšimi praksami v panogi podatke spremenil tako, da jih ne bo mogoče prebrati, ponovno sestaviti ali rekonstruirati, izbris pa bo potrdil Kyndryl-u. Če bo Kyndryl zahteval vračilo Kyndryl-ovih podatkov, bo dobavitelj to naredil v skladu z Kyndryl-ovim razumnim časovnim razporedom in po Kyndryl-ovih razumnih pisnih navodilih.

Člen III, Zasebnost

Ta člen velja, če dobavitelj obdeluje Kyndryl-ove osebne podatke.

1. Obdelava podatkov

1.1 Kyndryl imenuje dobavitelja za obdelovalca, ki Kyndryl-ove osebne podatke obdeluje izključno za namen zagotavljanja elementov za dostavo in storitev v skladu z Kyndryl-ovimi navodili, vključno s tistimi, ki jih vsebujejo te določbe, transakcijski dokument in povezana osnovna pogodba med pogodbenima strankama. Če dobavitelj ne upošteva katerega od navodil, lahko Kyndryl s pisnim obvestilom odpove del storitev, na katere to vpliva. Če dobavitelj meni, da katero od navodil krši zakon o varstvu podatkov, bo Kyndryl o tem obvestil takoj in znotraj časovnega okvira, ki ga zakon zahteva.

1.2 Dobavitelj bo ravnal skladno z vsemi zakoni o varstvu podatkov, ki veljajo za storitve in elemente za dostavo.

1.3 Dodatek k transakcijskemu dokumentu ali sam transakcijski dokument v zvezi z Kyndryl-ovimi podatki izpostavlja naslednje:

(a) kategorije oseb, na katere se nanašajo podatki;

(b) vrste Kyndryl-ovih osebnih podatkov;

(c) podatkovna dejanja in dejavnosti obdelave;

(d) trajanje in pogostost obdelovanja; ter

(e) seznam podobdelovalcev.

2. Tehnični in organizacijski ukrepi

2.1 Dobavitelj bo uvedel in vzdrževal tehnične in organizacijske ukrepe, ki so opredeljeni v členu II (Tehnični in organizacijski ukrepi, varnost podatkov) in členu VIII (Tehnični in organizacijski ukrepi, splošna varnost), s čimer bo zagotovil raven varnosti, ki je primerna za tveganje, ki ga predstavljajo njegove storitve in elementi za dostavo. Dobavitelj potrjuje in razume omejitve v členu II, tem členu III in členu VIII ter bo ravnal skladno z njimi.

3. Pravice in zahteve osebe, na katero se nanašajo podatki

3.1 Dobavitelj bo takoj obvestil Kyndryl (v skladu s časovnim razporedom, ki Kyndryl-u in morebitnim drugim upravljavcem omogoča izpolnitev njihovih pravnih obveznosti) o kakršni koli zahtevi osebe, na katero se nanašajo podatki, glede uveljavljanja njenih pravic (npr. popravek, izbris ali blokiranje podatkov) glede Kyndryl-ovih osebnih podatkov. Dobavitelj lahko tudi pravočasno k Kyndryl-u usmeri osebo, na katero se nanašajo podatki in ki to zahteva. Dobavitelj ne bo odgovarjal na nobene zahteve oseb, na katere se nanašajo podatki, razen če to zahteva zakon ali Kyndryl to pisno naroči.

3.2 Če bo moral Kyndryl zagotoviti informacije glede Kyndryl-ovih osebnih podatkov drugim upravljavcem ali drugim tretjim osebam (npr. osebam, na katere se nanašajo podatki, ali regulatorjem), bo dobavitelj Kyndryl-u pomagal tako, da bo zagotovil informacije in sprejel druge razumne ukrepe, ki jih bo zahteval Kyndryl, in sicer po časovnem razporedu, ki Kyndryl-u omogoča, da se pravočasno odzove takšnim drugim upravljavcem ali tretjim osebam.

4. Podobdelovalci

4.1 Dobavitelj bo Kyndryl-u poslal vnaprejšnje pisno obvestilo, preden bo dodal novega podobdelovalca ali razširil obseg obdelave z obstoječim podobdelovalcem, v tem pisnem obvestilu pa bo navedeno ime podobdelovalca in opisan bo nov ali razširjeni obseg obdelave. Kyndryl lahko na podlagi utemeljenih razlogov kadar koli nasprotuje vsakemu takšnemu novemu podobdelovalcu ali razširjenemu obsegu, in če to naredi, bosta pogodbeni stranki v dobri veri sodelovali pri obravnavi Kyndryl-ovega nasprotovanja. V skladu z Kyndryl-ovo pravico do takšnega nasprotovanja lahko dobavitelj imenuje novega podobdelovalca ali razširi obseg obdelave obstoječega podobdelovalca, če Kyndryl v 30 dneh od prejema dobaviteljevega pisnega obvestila temu ne nasprotuje.

4.2 Dobavitelj bo obveznosti glede zaščite podatkov, varnosti in certifikatov, opredeljene v teh določbah, naložil vsakemu odobrenemu podobdelovalcu, preden bo ta obdelal kakršne koli Kyndryl-ove podatke. Dobavitelj v celoti odgovarja Kyndryl-u za izvajanje obveznosti vsakega podobdelovalca.

5. Čezmejna obdelava podatkov

Kot se uporablja spodaj:

Ustrezna država pomeni državo, ki zagotavlja ustrezno raven varstva podatkov v zvezi z zadevnim prenosom v skladu z veljavnimi zakoni o varstvu podatkov ali odločitvami regulatorjev.

Uvoznik podatkov pomeni bodisi obdelovalca bodisi podobdelovalca, ki nima sedeža podjetja v ustrezni državi.

Standardne pogodbene klavzule EU ("standardne pogodbene klavzule EU") pomenijo standardne pogodbene klavzule EU (Sklep komisije 2021/914) z uveljavljenimi izbirnimi klavzulami, razen možnosti 1 klavzule 9(a) in možnosti 2 klavzule 17, kot je uradno objavljeno na naslovu https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

Srbske standardne pogodbene klavzule ("srbske standardne pogodbene klavzule") pomenijo srbske standardne pogodbene klavzule, kot jih je sprejel "srbski komisar za informacije javnega pomena in varstvo osebnih podatkov", in so objavljene na naslovu https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

Standardne pogodbene klavzule ("standardne pogodbene klavzule") pomenijo pogodbene klavzule, ki jih zahtevajo veljavni zakoni o varstvu podatkov za prenos osebnih podatkov obdelovalcem, ki nimajo sedeža podjetja v ustreznih državah.

Dopolnilo Združenega kraljestva o notranjem prenosu podatkov k standardnim pogodbenim klavzulam Evropske komisije ("Dopolnilo ZK") pomeni Dopolnilo Združenega kraljestva o notranjem prenosu podatkov k standardnim pogodbenim klavzulam Evropske komisije, kot so uradno objavljene na naslovu https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .

5.1 Dobavitelj brez Kyndryl-ovega predhodnega pisnega soglasja ne bo čezmejno prenašal ali razkrival (vključno z oddaljenim dostopom) kakršnih koli Kyndryl-ovih osebnih podatkov. Če Kyndryl zagotovi takšno soglasje, bosta pogodbeni stranki v sodelovanju zagotovili skladnost z veljavnimi zakoni o varstvu podatkov. Če ti zakoni zahtevajo standardne pogodbene klavzule, jih bo dobavitelj na Kyndryl-ovo zahtevo takoj sklenil.

5.2 V zvezi s standardnimi pogodbenimi klavzulami EU:

(a)Če dobavitelj nima sedeža podjetja v ustrezni državi: dobavitelj s tem dokumentom z Kyndryl-om sklepa standardne pogodbene klavzule EU kot uvoznik podatkov v skladu s členom 9 standardnih pogodbenih klavzul, Kyndryl-u pa bo na zahtevo zagotovil izvode teh pogodb.

(i) Modul 1 standardnih pogodbenih klavzul EU ne velja, razen če se pogodbeni stranki v pisni obliki dogovorita drugače.

(ii) Modul 2 standardnih pogodbenih klavzul EU velja tam, kjer je Kyndryl upravljavec, modul 3 pa tam, kjer je Kyndryl obdelovalec. Če v skladu s klavzulo 13 standardnih pogodbenih klavzul EU velja modul 2 ali 3, se pogodbeni stranki strinjata, (1) da bo standardne pogodbene klavzule EU urejala zakonodaja države članice EU, kjer se nahaja pristojni nadzorni organ, in (2) da se bodo morebitni spori, ki izhajajo iz standardnih pogodbenih klavzul EU, reševali na sodiščih države članice EU, kjer se nahaja pristojni nadzorni organ. Če takšna zakonodaja pod točko (1) ne dovoljuje pravic zunanjega upravičenca, potem standardne pogodbene klavzule EU ureja zakonodaja Nizozemske, vsi spori, ki izhajajo iz standardnih pogodbenih klavzul EU pod točko (2) pa se bodo reševali na sodišču v Amsterdamu na Nizozemskem.

(b) Če ima dobavitelj sedež podjetja v Evropskem gospodarskem prostoru in je Kyndryl upravljavec, za katerega ne velja Splošna uredba o varstvu podatkov 2016/679, potem velja modul 4 standardnih pogodbenih klavzul EU, dobavitelj pa s tem dokumentom z Kyndryl-om sklepa standardne pogodbene klavzule EU kot izvoznik podatkov. Če velja modul 4 standardnih pogodbenih klavzul EU, se pogodbeni stranki strinjata, da bo standardne pogodbene klavzule EU urejala zakonodaja Nizozemske, vsi spori, ki izhajajo iz standardnih pogodbenih klavzul EU, pa se bodo reševali na sodišču v Amsterdamu na Nizozemskem.

(c) Če drugi upravljavci, kot so stranke ali povezane družbe, zahtevajo, da postanejo pogodbena stranka pri standardnih pogodbenih klavzulah EU v skladu s "klavzulo o umeščanju" v klavzuli 7, se dobavitelj s tem dokumentom strinja s takšno zahtevo.

(d) Tehnične in organizacijske ukrepe, ki so zahtevani za izpolnitev aneksa II standardnih pogodbenih klavzul EU, lahko najdete v teh pogojih, samem transakcijskem dokumentu in povezani osnovni pogodbi med pogodbenima strankama.

(e) V primeru kakršnega koli spora med standardnimi pogodbenimi klavzulami EU in temi pogoji prevladajo standardne pogodbene klavzule EU.

5.3 V zvezi z Dopolnilom/-i ZK:

(a) Če dobavitelj nima sedeža podjetja v ustrezni državi: (i) dobavitelj s tem dokumentom sklepa s Kyndrylom Dopolnilo/-a ZK kot uvoznik, s čimer se dopolnijo standardne pogodbene klavzule EU, kot so določene zgoraj (če je ustrezno, odvisno od okoliščin dejavnosti obdelave), in (ii) dobavitelj bo sklenil pisne pogodbe z vsakim odobrenim podobdelovalcem, Kyndrylu pa bo na zahtevo zagotovil izvode teh pogodb.

(b) Če ima dobavitelj sedež podjetja v ustrezni državi in je Kyndryl upravljavec, za katerega ne velja Splošna uredba o varstvu podatkov ZK (kot je vključena v pravo ZK v skladu z zakonom o izstopu ZK iz Evropske unije iz leta 2018 (European Union (Withdrawal) Act 2018)), potem dobavitelj s tem dokumentom sklepa s Kyndrylom Dopolnilo/-a ZK kot izvoznik, s čimer se dopolnijo standardne pogodbene klavzule EU, kot so navedene v zgornjem razdelku 5.2(b).

(c) Če drugi upravljavci, kot so naročniki ali povezana podjetja, zahtevajo, da postanejo pogodbena stranka pri Dopolnilu/-ih ZK, se dobavitelj s tem dokumentom strinja s takšno zahtevo.

(d) Informacije dodatka (kot so navedene v 3. razpredelnici) v Dopolnilu/-ih ZK je mogoče najti v veljavnih standardnih pogodbenih klavzulah EU, teh določilih, samem transakcijskem dokumentu in v povezanih osnovnih pogodbah med pogodbenimi strankami. Niti Kyndryl niti dobavitelj ne more prekiniti Dopolnil/-a ZK, ko se Dopolnilo ZK spremeni.

(e) V primeru kakršnega koli spora med Dopolnilom/-i ZK in temi določili, prevlada/-jo Dodatek/-tki ZK.

5.4 V zvezi s srbskimi standardnimi pogodbenimi klavzulami:

(a) Če dobavitelj nima sedeža podjetja v ustrezni državi: (i) dobavitelj s tem dokumentom z Kyndryl-om sklepa srbske standardne pogodbene klavzule v svojem imenu kot obdelovalec; ter (ii) dobavitelj bo v skladu s členom 8 srbskih standardnih pogodbenih klavzul sklenil pisne pogodbe z vsakim odobrenim podobdelovalcem, Kyndryl-u pa bo na zahtevo zagotovil izvode teh pogodb.

(b) Če ima dobavitelj sedež podjetja v ustrezni državi, potem dobavitelj s tem dokumentom z Kyndryl-om sklepa srbske standardne pogodbene klavzule v imenu vsakega podobdelovalca, ki se nahaja v državi, kjer ni ustreznega varstva. Če dobavitelj za katerega koli takšnega podobdelovalca tega ne more narediti, bo Kyndryl-u v podpis zagotovil srbske standardne pogodbene klavzule, ki jih podpiše ta podobdelovalec, in sicer preden podobdelovalcu dovoli obdelavo kakršnih koli Kyndryl-ovih osebnih podatkov.

(c) Srbske standardne pogodbene klavzule med Kyndryl-om in dobaviteljem bodo služile bodisi kot srbske standardne pogodbene klavzule med upravljavcem in obdelovalcem bodisi kot obojestransko podpisana pogodba med "obdelovalcem" in "podobdelovalcem", kot bodo narekovala dejstva. V primeru kakršnega koli spora med srbskimi standardnimi pogodbenimi klavzulami in temi določbami prevladajo srbske standardne pogodbene klavzule.

(d) Informacije, potrebne za izpolnitev dodatkov od 1 do 8 srbskih standardnih pogodbenih klavzul za namene upravljanja prenosa osebnih podatkov v državo, kjer ni ustreznega varstva, lahko najdete v teh pogojih in v dodatku k transakcijskemu dokumentu oziroma v samem transakcijskem dokumentu.

6. Pomoč in evidence

6.1 Ob upoštevanju narave obdelave bo dobavitelj pomagal Kyndryl-u tako, da bo imel vzpostavljene ustrezne tehnične in organizacijske ukrepe, s katerimi bo izpolnil obveznosti, povezane z zahtevami in pravicami oseb, na katere se nanašajo podatki. Dobavitelj bo Kyndryl-u pomagal tudi pri zagotavljanju skladnosti z obveznostmi, povezanimi z varnostjo obdelave, obveščanjem o in sporočanjem kršitve varnosti ter ustvarjanjem ocen vpliva na varstvo podatkov, vključno s predhodnim posvetovanjem z odgovornim regulatorjem, če bo zahtevano, pri čemer bo upošteval informacije, ki so mu na voljo.

6.2 Dobavitelj bo vzdrževal aktualno evidenco imen in kontaktnih podatkov vsakega od podobdelovalcev, vključno s predstavnikom in uradno osebo za varstvo podatkov podobdelovalca. Dobavitelj bo na zahtevo to evidenco zagotovil Kyndryl-u v skladu s časovnim razporedom, ki bo Kyndryl-u omogočal, da se bo pravočasno odzval na kakršno koli zahtevo naročnika ali druge tretje osebe.

Člen VIII, Tehnični in organizacijski ukrepi, splošna varnost

Ta člen velja, če dobavitelj Kyndryl-u zagotavlja kakršne koli storitve ali elemente za dostavo, razen če bo imel dobavitelj pri zagotavljanju teh storitev in elementov za dostavo dostop samo do Kyndryl-ovih poslovnih kontaktnih informacij (tj. dobavitelj ne bo obdeloval nobenih drugih Kyndryl-ovih podatkov ali imel dostopa do katerih koli drugih Kyndryl-ovih materialov ali katerega koli poslovnega sistema), če je dobaviteljeva edina storitev in element za dostavo to, da Kyndryl-u zagotavlja programsko opremo na mestu uporabe, oziroma če dobavitelj zagotavlja vse svoje storitve in elemente za dostavo po modelu povečanja osebja v skladu s členom VII, vključno z odsekom 1.7 tega člena.

Dobavitelj bo ravnal skladno z zahtevami tega člena in s tem zaščitil: (a) Kyndryl-ove materiale pred izgubo, uničenjem, spreminjanjem, nenamernim ali nepooblaščenim razkritjem in nenamernim ali nepooblaščenim dostopom, (b) Kyndryl-ove podatke pred nezakonitimi oblikami obdelave ter (c) Kyndryl-ovo tehnologijo pred nezakonitimi oblikami obravnavanja. Zahteve tega člena veljajo za vse informacijskotehnološke aplikacije, platforme in infrastrukturo, ki jih dobavitelj uporablja ali upravlja pri zagotavljanju elementov za dostavo in storitev ter pri obravnavanju Kyndryl-ove tehnologije, vključno z vsemi okolji za razvoj, preizkušanje, gostovanje, podporo, delovanje in podatkovne centre.

1. Varnostni pravilniki

1.1 Dobavitelj bo vzdrževal in upošteval informacijskotehnološke varnostne pravilnike in prakse, ki so sestavni del dobaviteljevega poslovanja, obvezni za vse dobaviteljevo osebje in skladni z najboljšimi praksami v panogi.

1.2 Dobavitelj bo svoje informacijskotehnološke varnostne pravilnike in prakse pregledal vsaj enkrat letno in jih dopolnil tako, kot meni, da je potrebno za zaščito Kyndryl-ovih materialov.

1.3 Dobavitelj bo vzdrževal in upošteval standardne in obvezne zahteve glede preverjanja zaposlitve za vse novo zaposlene in razširil takšne zahteve na vse svoje osebje in hčerinske družbe v njegovi 100-odstotni lasti. Te zahteve bodo vključevale preverjanje nekaznovanosti v obsegu, ki ga dovoljujejo lokalni zakoni, preverjanje veljavnosti dokazila o identiteti in dodatna preverjanja, za katera dobavitelj meni, da so potrebna. Dobavitelj bo po potrebi redno ponavljal in ponovno preverjal te zahteve.

1.4 Dobavitelj bo enkrat letno svojim zaposlenim zagotovil izobraževanje glede varnosti in zasebnosti ter od vseh teh zaposlenih zahteval, da vsako leto potrdijo, da bodo ravnali skladno z dobaviteljevim kodeksom etičnega poslovanja, zaupnostjo in varnostnimi pravilniki, opredeljenimi v dobaviteljevem kodeksu ravnanja ali podobnih dokumentih. Dobavitelj bo osebam s skrbniškim dostopom do kakršnih koli komponent storitev, elementov za dostavo ali Kyndryl-ovih materialov zagotovil dodatno usposabljanje glede pravilnikov in obdelave, pri čemer bo takšno usposabljanje značilno za njihovo vlogo in podporo pri storitvah, elementih za dostavo in Kyndryl-ovih materialih, in kot je potrebno za vzdrževanje zahtevane skladnosti in certifikatov.

1.5 Dobavitelj bo načrtoval ukrepe glede varnosti in zasebnosti, s katerimi bo zaščitil in vzdrževal razpoložljivost Kyndryl-ovih materialov, vključno s svojo uvedbo, vzdrževanjem in ravnanjem skladno s pravilniki in postopki, ki sami po sebi zahtevajo varnost in zasebnost, varno inženirstvo in varno delovanje, in sicer za vse storitve in elemente za dostavo ter za vse obravnavanje Kyndryl-ove tehnologije.

2. Varnostni incidenti

2.1 Dobavitelj bo vzdrževal in upošteval pravilnike o odzivanju na dokumentirane incidente, ki so skladni z najboljšimi praksami v panogi za obravnavanje računalniških varnostnih incidentov.

2.2 Dobavitelj bo preiskal nepooblaščen dostop ali nepooblaščeno uporabo Kyndryl-ovih materialov ter definiral in izvršil ustrezen plan odziva.

2.3 Dobavitelj bo nemudoma (najpozneje pa v 48 urah) obvestil podjetje Kyndryl, ko bo izvedel za kakršno koli kršitev varnosti. Dobavitelj bo zagotovil takšno obvestilo na naslov cyber.incidents@kyndryl.com . Dobavitelj bo Kyndryl-u zagotovil razumno zahtevane informacije o takšni kršitvi in statusu kakršnih koli dobaviteljevih dejavnosti za sanacijo in obnovitev. Razumno zahtevane informacije lahko na primer vključujejo dnevnike, ki prikazujejo privilegiran, skrbniški in drug dostop do naprav, sistemov ali aplikacij, forenzične slike naprav, sistemov ali aplikacij in druge podobne elemente, in sicer do mere, ki je primerna kršitvi ali dobaviteljevim dejavnostim za sanacijo in obnovitev.

2.4 Dobavitelj bo Kyndryl-u zagotovil razumno pomoč pri izpolnjevanju kakršnih koli pravnih obveznosti (vključno z obveznostmi obveščanja regulatorjev ali oseb, na katere se nanašajo podatki) Kyndryl-a, Kyndryl-ovih povezanih podjetij in naročnikov (in njihovih naročnikov ali povezanih podjetij) v zvezi s kršitvijo varnosti.

2.5 Dobavitelj ne bo informiral ali obvestil nobene tretje osebe o tem, da je kršitev varnosti neposredno ali posredno povezana z Kyndryl-om ali Kyndryl-ovimi materiali, razen če Kyndryl to pisno odobri ali to zahteva zakonodaja. Dobavitelj bo Kyndryl pisno obvestil, preden bo distribuiral kakršno koli zakonsko zahtevano obvestilo kateri koli tretji osebi, če takšno obvestilo neposredno ali posredno razkriva Kyndryl-ovo identiteto.

2.6 V primeru kršitve varnosti, ki izhaja iz dobaviteljeve kršitve katere koli obveznosti v okviru teh določb:

(a) bo dobavitelj odgovoren za vse stroške, ki jih utrpi sam, pa tudi za dejanske stroške, ki jih utrpi Kyndryl, pri zagotavljanju obvestila o kršitvi varnosti zadevnim regulatorjem, drugim vladnim ali ustreznim panožnim samoregulativnim agencijam, medijem (če to zahteva veljavna zakonodaja), osebam, na katere se nanašajo podatki, naročnikom in drugim,

(b) bo dobavitelj, če bo Kyndryl to zahteval, na svoje stroške vzpostavil in vzdrževal klicni center za odgovarjanje na vprašanja oseb, na katere se nanašajo podatki, glede kršitve varnosti in njenih posledic, in sicer 1 leto po datumu, na katerega so bile takšne osebe, na katere se nanašajo podatki, obveščene o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito. Kyndryl in dobavitelj bosta v sodelovanju ustvarila skripte in druge materiale, ki jih bo osebje klicnega centra uporabljalo pri odzivanju na poizvedovanja. Alternativno lahko Kyndryl po poslanem pisnem obvestilu dobavitelju sam vzpostavi in vzdržuje svoj klicni center, namesto da to naredi dobavitelj, dobavitelj pa bo Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi zaradi vzpostavitve in vzdrževanja takšnega klicnega centra, in

(c) bo dobavitelj Kyndryl-u povrnil dejanske stroške, ki jih Kyndryl utrpi pri zagotavljanju storitev za spremljanje in obnavljanje kredita v 1 letu po datumu, ko so bili posamezniki, na katere je vplivala kršitev in ki so se odločili registrirati za takšne storitve, obveščeni o kršitvi varnosti, ali kot to zahteva kateri koli zakon o varstvu podatkov, kar koli od tega zagotavlja večjo zaščito.

3. Fizično varovanje in nadzor vstopa (kot se uporablja spodaj, "objekt" pomeni fizično lokacijo, na kateri dobavitelj gosti, obdeluje ali drugače dostopa do Kyndryl-ovih materialov).

3.1 Dobavitelj bo vzdrževal ustrezne oblike nadzora fizičnega vstopa, kot so ovire, s karticami nadzorovane vstopne točke, nadzorne kamere in recepcije z osebjem, s katerimi bo preprečil nepooblaščen vstop v objekte.

3.2 Dobavitelj bo za dostop, vključno s kakršnim koli začasnim dostopom, do objektov in nadzorovanih območij znotraj objektov zahteval pooblaščeno odobritev, dostop pa bo omejil glede na vlogo na delovnem mestu in poslovno potrebo. Če bo dobavitelj odobril začasen dostop, bo njegov pooblaščeni zaposleni spremljal vsakega obiskovalca, ko bo ta v objektu in na katerih koli nadzorovanih območjih.

3.3 Dobavitelj bo uvedel oblike nadzora fizičnega dostopa, vključno z večfaktorskimi oblikami nadzora dostopa, ki so skladne z najboljšimi praksami v panogi, s katerimi bo ustrezno omejil vstop na nadzorovana območja znotraj objektov, v dnevnik bo beležil vse poskuse vstopa, takšne dnevnike pa bo hranil vsaj eno leto.

3.4 Dobavitelj bo preklical dostop do objektov in nadzorovanih območij znotraj objektov (a) ob prenehanju delovnega razmerja s pooblaščenim dobaviteljevim zaposlenim ali (b) ko pooblaščeni dobaviteljev zaposleni ne bo več imel veljavne poslovne potrebe za dostop. Dobavitelj bo upošteval uradne postopke o dokumentiranem prenehanju delovnega razmerja, ki vključujejo takojšnjo odstranitev z seznamov za nadzor dostopa in predajo izkaznic za dostop.

3.5 Dobavitelj bo z varnostnimi ukrepi zaščitil vso fizično infrastrukturo, ki se uporablja za podpiranje storitev in elementov za dostavo ter obravnavanje Kyndryl-ove tehnologije, pred okoljskimi grožnjami, ki nastanejo naravno ali jih povzroči človek, kot so previsoka temperatura okolja, požar, poplava, vlažnost, kraja in vandalizem.

4. Nadzor dostopa, posegov, prenosa in ločevanja

4.1 Dobavitelj bo vzdrževal dokumentirano varnostno arhitekturo omrežij, ki jih uporablja pri svojem izvajanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo ločeno pregledoval takšno arhitekturo omrežij in vpeljal ukrepe za preprečevanje nepooblaščenih omrežnih povezav do sistemov, aplikacij in omrežnih naprav za zagotavljanje skladnosti s poglobljenimi standardi glede varne segmentacije, izolacije in obrambe. Dobavitelj pri gostovanju in izvajanju gostovanih storitev ne sme uporabljati brezžične tehnologije, lahko pa jo uporablja pri dostavi storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, vendar mora dobavitelj šifrirati in zahtevati varno preverjanje pristnosti za vsa takšna brezžična omrežja.

4.2 Dobavitelj bo vzdrževal ukrepe, ki so načrtovani za logično ločevanje Kyndryl-ovih materialov in preprečevanje njihove izpostavljenosti ali dostopnosti nepooblaščenim osebam. Dobavitelj bo tudi vzdrževal ustrezno izolacijo svojih produkcijskih, neprodukcijskih in drugih okolij ter, če so Kyndryl-ovi materiali že prisotni v neprodukcijskem okolju ali preneseni vanj (na primer za reproduciranje napake), bo dobavitelj zagotovil, da je zaščita glede varnosti in zasebnosti v neprodukcijskem okolju enaka tisti v produkcijskem okolju.

4.3 Dobavitelj bo šifriral Kyndryl-ove materiale v tranzitu in v mirovanju (razen če dobavitelj Kyndryl-u razumno in zadovoljivo prikaže, da je šifriranje Kyndryl-ovih materialov v mirovanju tehnično neizvedljivo). Dobavitelj bo šifriral tudi vse fizične medije, če obstajajo, na primer medije, ki vsebujejo datoteke varnostne kopije. Dobavitelj bo dokumentiral postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo, povezano s šifriranjem podatkov. Dobavitelj bo zagotovil, da bodo specifične kriptografske metode, uporabljene za takšno šifriranje, v skladu z najboljšimi praksami v panogi (kot je NIST SP 800-131a).

4.4 Če dobavitelj potrebuje dostop do Kyndryl-ovih materialov, bo tak dostop omejil na najnižjo raven, potrebno za zagotavljanje in podpiranje storitev in elementov za dostavo. Dobavitelj bo zahteval, da bo takšen dostop, vključno s skrbniškim dostopom do kakršnih koli temeljnih komponent (tj. privilegiran dostop), individualen, da bo temeljil na vlogah in da bo predmet odobritve in rednega preverjanja veljavnosti s strani pooblaščenih dobaviteljevih zaposlenih, ki bodo upoštevali načela ločitve dolžnosti. Dobavitelj bo vzdrževal ukrepe za identificiranje in odstranjevanje odvečnih in mirujočih računov. Dobavitelj bo prav tako preklical račune s privilegiranim dostopom v roku štiriindvajsetih (24) ur po prenehanju delovnega razmerja z lastnikom računa ali na zahtevo Kyndryl-a ali katerega koli pooblaščenega dobaviteljevega zaposlenega, npr. managerja lastnika računa.

4.5 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal tehnične ukrepe, ki bodo uveljavljali časovno omejitev neaktivnih sej, zaklepanje računov po večkratnih zaporednih neuspešnih poskusih prijave in preverjanje pristnosti z močnim geslom, ter ukrepe, ki bodo zahtevali varen prenos in shranjevanje takšnih gesel. Poleg tega bo dobavitelj uporabljal večkratno preverjanje pristnosti za vsak privilegiran dostop do katerih koli Kyndryl-ovih materialov, ki ne temelji na konzoli.

4.6 Dobavitelj bo nadzoroval uporabo privilegiranega dostopa in vzdrževal varnostne informacije in ukrepe za upravljanje dogodkov, načrtovane za: (a) identificiranje nepooblaščenega dostopa in dejavnosti, (b) omogočanje pravočasnega in ustreznega odziva na takšen dostop in dejavnost ter (c) omogočanje revizij s strani dobavitelja, Kyndryl-a (v skladu z njegovimi pravicami do preverjanja v teh določbah in pravicami do revizije v transakcijskem dokumentu ali povezani osnovni ali drugi sorodni pogodbi med pogodbenima strankama) in drugih glede skladnosti z dokumentiranim dobaviteljevim pravilnikom.

4.7 Dobavitelj bo hranil dnevnike, v katerih bo v skladu z najboljšimi praksami v panogi beležil vse skrbniške, uporabniške in druge dostope ali dejavnosti v zvezi s sistemi, ki se uporabljajo pri zagotavljanju storitev ali elementov za dostavo in obravnavanju Kyndryl-ove tehnologije (in bo te dnevnike na zahtevo zagotovil Kyndryl-u). Dobavitelj bo vzdrževal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in nenamernim ali namernim uničenjem takšnih dnevnikov.

4.8 Dobavitelj bo vzdrževal računalniške zaščite za sisteme, ki jih ima v lasti ali jih upravlja, vključno s sistemi končnih uporabnikov, in ki jih uporablja pri zagotavljanju storitev ali elementov za dostavo oziroma pri obravnavanju Kyndryl-ove tehnologije, pri čemer bodo takšne zaščite vključevale: požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje končne točke s podpisom in brez podpisa ter odzivne tehnologije za obravnavanje zlonamerne programske opreme in naprednih vztrajnih groženj, zaklepanje zaslona na osnovi časa ter rešitve za upravljanje končnih točk, ki uveljavljajo zahteve glede konfiguracije zaščite in nameščanja popravkov. Poleg tega bo dobavitelj uvedel tehnične in operativne nadzore, ki bodo zagotavljali, da lahko dobaviteljeva omrežja uporabljajo samo znani in zaupanja vredni sistemi končnih uporabnikov.

4.9 Dobavitelj bo v skladu z najboljšimi praksami v panogi vzdrževal zaščite za okolja podatkovnih centrov, v katerih so prisotni ali obdelani Kyndryl-ovi materiali, pri čemer bodo takšne zaščite vključevale zaznavanje in preprečevanje vdorov ter protiukrepe in ublažitev za napade na omrežje, ki povzročijo odpoved njegovega delovanja.

5. Nadzor integritete storitev in sistemov ter razpoložljivosti

5.1 Dobavitelj bo: (a) vsaj enkrat letno opravil oceno tveganja glede varnosti in zasebnosti, (b) izvedel preizkušanje varnosti in ocenil ranljivosti, vključno z avtomatiziranim pregledom varnosti sistemov in aplikacij ter ročnim etičnim hekanjem, in sicer pred produkcijsko izdajo in nato enkrat letno v zvezi s storitvami in elementi za dostavo ter enkrat letno v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, (c) najel usposobljeno neodvisno tretjo osebo, ki bo vsaj enkrat letno izvedla penetracijsko preizkušanje v skladu z najboljšimi praksami v panogi, pri čemer bo takšno preizkušanje vključevalo tako avtomatizirano kot tudi ročno preizkušanje, (d) izvedel avtomatizirano upravljanje in rutinsko preverjanje skladnosti z zahtevami konfiguracije zaščite za vsako komponento storitev in elementov za dostavo in v zvezi s svojim obravnavanjem Kyndryl-ove tehnologije, ter (e) saniral identificirane ranljivosti ali neskladnosti z zahtevami konfiguracije zaščite na osnovi povezanega tveganja, možnosti zlorabe in vpliva. Dobavitelj bo izvedel razumne ukrepe, s katerimi se bo izognil prekinitvi delovanja storitev med izvajanjem preizkusov, ocen, pregledov ter sanacijskih dejavnosti. Dobavitelj bo Kyndryl-u na njegovo zahtevo zagotovil pisni povzetek dobaviteljevih takrat najnovejših dejavnosti penetracijskega preizkušanja, poročilo pa bo vključevalo najmanj imena ponudb, ki jih je obsegalo preizkušanje, število sistemov ali aplikacij v obsegu preizkušanja, datume preizkušanja, metodologijo, uporabljeno pri preizkušanju, ter splošni povzetek ugotovitev.

5.2 Dobavitelj bo vzdrževal pravilnike in postopke, načrtovane za upravljanje tveganj, povezanih z uvajanjem sprememb v storitve ali elemente za dostavo oziroma obravnavanje Kyndryl-ove tehnologije. Dobavitelj bo pred uvedbo takšne spremembe, vključno s spremembo sistemov, omrežij in temeljnih komponent, na katere takšna sprememba vpliva, v registrirani zahtevi za spremembo dokumentiral naslednje: (a) opis spremembe in razlog zanjo, (b) podrobnosti in časovni razpored uvedbe, (c) izjavo o tveganju, ki obravnava vpliv na storitve in elemente za dostavo, naročnike storitev ali Kyndryl-ove materiale, (d) pričakovani rezultat, (e) načrt za razveljavitev in (f) odobritev pooblaščenih dobaviteljevih zaposlenih.

5.3 Dobavitelj bo vzdrževal seznam vseh informacijskotehnoloških sredstev, ki jih uporablja pri delovanju storitev, zagotavljanju elementov za dostavo in obravnavanju Kyndryl-ove tehnologije. Dobavitelj bo redno nadziral in upravljal stanje (vključno z zmogljivostjo) in razpoložljivost takšnih informacijskotehnoloških sredstev, storitev, elementov za dostavo in Kyndryl-ove tehnologije.

5.4 Dobavitelj bo vse sisteme, ki jih bo uporabljal pri razvoju ali delovanju storitev in elementov za dostavo ter pri obravnavanju Kyndryl-ove tehnologije, zgradil iz preddefiniranih slik sistemske varnosti ali varnostnih osnovnic, ki ustrezajo najboljšim praksam v panogi, kot so primerjalni preskusi CIS (Center for Internet Security).

5.5 Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi s poslovno kontinuiteto ločeno ocenil vsako storitev in element za dostavo in vsak informacijsko tehnološki sistem, ki se uporablja pri obravnavanju Kyndryl-ove tehnologije, glede poslovne in informacijsko tehnološke kontinuitete in zahtev za obnovitev po katastrofi v skladu z dokumentiranimi smernicami za upravljanje tveganj. Dobavitelj bo zagotovil, da bo imela vsaka takšna storitev, element za dostavo in informacijsko tehnološki sistem v obsegu, ki ga jamči takšna ocena tveganja, ločeno definirane, dokumentirane, vzdrževane in letno preverjene načrte za poslovno in informacijsko tehnološko kontinuiteto ter obnovitev po katastrofi, ki bodo skladni z najboljšimi praksami v panogi. Dobavitelj bo zagotovil, da so takšni načrti zasnovani za zagotavljanje specifičnih časov obnovitve, ki so opredeljeni v spodnjem razdelku 5.6.

5.6 Specifični cilji glede točke obnovitve ("RPO") in cilji glede časa obnovitve ("RTO") v zvezi s katero koli gostovano storitvijo so: 24 ur za RPO in 24 ur za RTO; kljub temu bo dobavitelj ravnal skladno z vsakim krajšim trajanjem RPO ali RTO, za katerega se bo Kyndryl zavezal naročniku, in sicer takoj po tem, ko Kyndryl dobavitelja pisno obvesti o takšnem krajšem trajanju RPO ali RTO (e-pošta šteje za pisno obvestilo). V zvezi z vsemi drugimi storitvami, ki jih dobavitelj zagotavlja Kyndryl-u, bo dobavitelj zagotovil, da bodo njegovi načrti za poslovni kontinuiteto in obnovitev po katastrofi zasnovani za zagotavljanje RPO in RTO, ki dobavitelju omogočata ohranjanje skladnosti z vsemi njegovimi obveznostmi do Kyndryl-a v okviru transakcijskega dokumenta in povezane osnovne pogodbe med pogodbenima strankama ter teh določb, vključno z njegovimi obveznostmi glede pravočasnega preizkušanja, podpiranja in vzdrževanja.

5.7 Dobavitelj bo vzdrževal ukrepe, zasnovane za ocenjevanje, preizkušanje in uveljavljanje varnostnih svetovalnih popravkov v storitvah in elementih za dostavo ter povezanih sistemih, omrežjih, aplikacijah in temeljnih komponentah v obsegu teh storitev in elementov za dostavo, pa tudi v sistemih, omrežjih, aplikacijah in temeljnih komponentah, ki se uporabljajo za obravnavanje Kyndryl-ove tehnologije. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo dobavitelj uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Dobaviteljeva uvedba varnostnih svetovalnih popravkov bo izvedena skladno z njegovim pravilnikom o upravljanju sprememb.

5.8 Če ima Kyndryl razumno podlago za mnenje, da lahko strojna ali programska oprema, ki jo dobavitelj zagotavlja Kyndryl-u, vsebuje elemente za vdiranje, kot so vohunska programska oprema, zlonamerna programska oprema ali zlonamerna koda, potem bo dobavitelj pravočasno v sodelovanju z Kyndryl-om preiskal in saniral Kyndryl-ove pomisleke.

6. Zagotavljanje storitev

6.1 Dobavitelj bo podpiral v panogi običajne metode za federativno preverjanje pristnosti za vse Kyndryl-ove uporabnike ali naročnikove račune, pri čemer bo dobavitelj upošteval najboljše prakse v panogi za preverjanje pristnosti takšnih Kyndryl-ovih uporabnikov ali naročnikovih računov (kot je Kyndryl-ova centralno upravljana večfaktorska enotna prijava, ki uporablja OpenID Connect ali jezik SAML (Security Assertion Markup Language)).

7. Podizvajalci. Dobavitelj bo brez omejevanja svojih obveznosti ali Kyndryl-ovih pravic v okviru transakcijskega dokumenta ali povezane osnovne pogodbe med pogodbenima strankama v zvezi z obdržanjem podizvajalcev zagotovil, da bo vsak podizvajalec, ki bo opravljal delo za dobavitelja, uvedel nadzore upravljanja za skladnost z zahtevami in obveznostmi, ki jih te določbe nalagajo dobavitelju.

8. Fizični mediji. Dobavitelj bo v skladu z najboljšimi praksami v panogi za čiščenje medijev pred ponovno uporabo varno očistil fizične medije, ki so namenjeni ponovni uporabi, in uničil fizične medije, ki niso namenjeni ponovni uporabi.