Skip to main content

Gizlilik ve Güvenlik Koşulları

Bu Gizlilik ve Güvenlik Koşulları, Kyndryl ile Tedarikçinin gizliliğe, güvenliğe ve bunlarla ilgili konulara ilişkin haklarını ve yükümlülüklerini belirler (“Koşullar”). Koşullar, şirketlerimiz arasındaki Hizmet Bildirimi, Satın Alma Emri ya da bunlara atıfta bulunan benzeri belgelere dahil edilmiş ve bu belgelerin parçası haline getirilmiştir (“İşlem Belgesi”). Koşullar, İşlem Belgesinde belirtilen belirli iş ilişkisi için geçerlidir.

Kullanım kolaylığı sağlaması amacıyla bu web sayfası, Tedarikçinin iş ilişkisine ilişkin esasları temsil eden aşağıdaki kutuları işaretlemesine olanak sağlar ve bunu yaptığında seçilen Koşullar görüntülenir. Bu bilgilere bağlı olarak, birden fazla kutu ilgili olabilir. Herhangi bir şüpheye mahal vermemek için, İşlem Belgesinde belirtilen bilgiler, yalnızca iş ilişkisi için geçerli olan Koşulları belirtir, Tedarikçi tarafından aşağıda işaretlenmiş olan kutularda yer alanları belirtmez.

Koşullar ve İşlem Belgesi veya herhangi bir veri işleme sözleşmesi dahil olmak üzere taraflar arasında yürürlükte olan diğer herhangi bir çerçeve veya diğer sözleşme arasında çelişki olması halinde, Koşullar öncelikli olarak uygulanacaktır. Bu Koşulların gerektirdiği bildirimler, İşlem Belgesinin bildirim hükümlerine uygun olarak yapılacaktır.

Bu Koşullarda kullanılan ve büyük harfle başlayan sözcükler, aşağıdaki Tanımlar maddesinde belirtilen anlamları taşıyacaktır.

 Bu belirli iş ilişkisi için Hizmetlerin bilgilerini yansıtan kutuları işaretleyin:

 1. Erişecekse, anılan erişim için Madde I (İş İletişim Bilgileri) ve Madde X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Örnekler:

  • Tedarikçi, destek veya bakım için Kyndryl veya Müşteri çalışanlarının adlarını, e-posta adreslerini ve telefon numaralarını kullanır.
  • Kyndryl, Kurumsal Sisteme erişim için kimlik doğrulaması amacıyla Tedarikçi çalışanlarının adlarını ve e-posta adreslerini kullanır.

  Not:

  Tedarikçinin bakım ya da destek sağlaması durumunda, İş İletişim Bilgilerinin ötesindeki bilgilere (örneğin, Kişisel Veri içeren veya içermeyen log dosyaları) erişimi olabilir. Bu durumda Tedarikçi aynı zamanda, öğe 2 (Kişisel Verilere erişecekse) ve öğe 3 (Kişisel Veriler olmayan verilere erişecekse) altındaki kutuları da işaretlemelidir.

  Madde I, İş İletişim Bilgileri

  Bu Madde, Tedarikçinin veya Kyndryl'in, diğer tarafın İş İletişim Bilgilerini İşlemesi durumunda geçerlidir.

  1.1 Kyndryl ile Tedarikçi, Tedarikçinin Hizmetleri ve Teslim Edilecek Malzemeleri sağlaması ile bağlantılı olarak iş yaptıkları her yerde diğer tarafın İş İletişim Bilgilerini İşleyebilir.

  1.2 Taraflardan her biri:

  (a) Diğer tarafın İş İletişim Bilgilerini başka herhangi bir amaçla kullanmayacak ya da açıklamayacaktır (herhangi bir şüpheye mahal vermemek için, taraflardan hiçbiri, diğer tarafın İş İletişim Bilgilerini Satmayacak ya da diğer tarafın İş İletişim Bilgilerini diğer tarafın önceden verilmiş yazılı izni ve gerekli olduğu durumlarda, etkilenen İlgili Kişilerin önceden verilmiş yazılı izni olmaksızın herhangi bir pazarlama amacıyla kullanmayacak ya da açıklamayacaktır), ve

  (b) Diğer tarafın yazılı talebi üzerine en kısa süre içinde, diğer tarafın İş İletişim Bilgilerini silecek, değiştirecek, düzeltecek, iade edilecek, bunların İşlenmesine ilişkin bilgi sağlayacak, İşlenmesini kısıtlayacak veya makul ölçüler dahilinde talep edilen diğer herhangi bir eylemi yerine getirecektir.

  1.3 Taraflar, her bir tarafın İş İletişim Bilgilerine ilişkin ortak bir Veri Sorumlusu ilişkisine girmemektedir ve İşlem Belgesinin hiçbir hükmü, bir ortak Veri Sorumlusu ilişkisi kurulmasına yönelik herhangi bir amacı ifade edeceği şekilde yorumlanmayacaktır.

  1.4 https://www.kyndryl.com/privacy adresinde yer alan Kyndryl Gizlilik Bildirimi, Kyndryl'in İş İletişim Bilgilerini İşlemesine ilişkin ek ayrıntılar içermektedir.

  1.5 Taraflar, diğer tarafın İş İletişim Bilgilerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya, yanlışlıkla veya yetkisiz olarak erişime ve kanuna aykırı biçimde İşlenmeye karşı korumak amacıyla teknik ve idari güvenlik tedbirleri uygulamıştır ve bunları sürdürecektir.

  1.6 Tedarikçi, Kyndryl'in İş İletişim Bilgilerini içeren herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir. Tedarikçi bu tür bildirimi şu adrese sağlayacaktır: cyber.incidents@kyndryl.com . Tedarikçi, anılan ihlale ve herhangi bir Tedarikçi düzeltme ve geri yükleme faaliyetinin durumuna ilişkin olarak makul ölçüler dahilinde talep edilmiş olan bilgileri Kyndryl'e sağlayacaktır. Örnek olarak, makul ölçüler dahilinde talep edilen bilgilere Aygıtlar, sistemler veya uygulamalar için ayrıcalıklı, sistem yöneticisi ve diğer erişimi gösteren log dosyaları, ihlale veya Tedarikçinin düzeltme ve geri yükleme etkinliklerine ilişkin olduğu ölçüde Aygıtların, sistemlerin veya uygulamaların ve diğer benzer öğelerin adli görüntüleri dahil olabilir.

  1.7 Tedarikçinin yalnızca Kyndryl'in İş İletişim Bilgilerini İşlediği ve diğer herhangi bir tür veriye veya malzemeye ya da herhangi bir Kyndryl Kurumsal Sistemine erişiminin olmadığı durumlarda, anılan İşleme için yalnızca bu Madde ile Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

 2. Erişecekse, anılan erişim için Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), Madde III (Gizlilik), Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Örnekler:

  • Tedarikçi, Kyndryl'in dahili kullanımına veya Müşteriler tarafından kullanıma ya da her ikisine yönelik herhangi bir Barındırılan Hizmetin sağlanması sırasında Kişisel Verilere erişir.
  • Tedarikçi, tıbbi veya sağlık hizmetleriyle bağlantılı Hizmetler, pazarlama Hizmetleri veya insan kaynakları ya da sosyal yardımlarla ilgili Hizmetler sağlar ve bunu yaparken Kişisel Verilere erişir.
  • Tedarikçi, destek Hizmetlerini sağlamak için Kişisel Veriler içeren log dosyalarına erişir.

  Madde II, Teknik ve İdari Tedbirler, Veri Güvenliği

  Bu Madde, Tedarikçinin Kyndryl İş İletişim Bilgileri dışındaki Kyndryl Verilerini İşlemesi durumunda geçerlidir. Tedarikçi, tüm Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanmasında bu Maddenin gereksinimlerine uyacaktır ve bunu yaparken Kyndryl Verilerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya, yanlışlıkla veya yetkisiz olarak erişime ve kanuna aykırı İşleme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Veri Kullanımı

  1.1 Tedarikçi, Kyndryl'in önceden yazılı izni alınmaksızın, herhangi bir Kişisel Veri dahil olmak üzere diğer herhangi bir bilgi veya veriyi Kyndryl Verilerine ekleyemez ya da Kyndryl Verileri ile birlikte dahil edemez. Tedarikçi, Kyndryl Verilerini Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması dışındaki herhangi bir amaçla, birleştirilmiş olarak ya da diğer herhangi bir biçimde kullanamaz (örneğin, Tedarikçinin olanaklarının etkinliğini veya iyileştirilmesini sağlayacak yöntemleri değerlendirmek, yeni olanaklar yaratmak için araştırma ve geliştirme gerçekleştirmek veya Tedarikçinin olanaklarına ilişkin raporlar oluşturmak amacıyla Kyndryl Verilerini kullanmasına ya da yeniden kullanmasına izin verilmez). İşlem Belgesinde aksine açıkça izin verilmedikçe, Tedarikçinin Kyndryl Verilerini Satması yasaklanmıştır.

  1.2 Tedarikçi, İşlem Belgesinde açıkça izin verilmedikçe, Teslim Edilecek Malzemelere veya Hizmetlere herhangi bir web takip teknolojisini eklemeyecektir (anılan teknolojiler arasında HTML 5, yerel depolama, üçüncü kişi etiketleri veya belirteçleri (token) ve web işaretleri yer alır).

  2. Üçüncü Kişi Talepleri ve Gizlilik

  2.1 Tedarikçi, Kyndryl tarafından önceden yazılı olarak yetki verilmediği sürece, Kyndryl Verilerini herhangi bir üçüncü kişiye açıklamayacaktır. Tedarikçi, herhangi bir düzenleyici kurum dahil olmak üzere bir kamu kuruluşunun Kyndryl Verilerine erişim talep etmesi (örneğin, ABD devletinin Kyndryl Verilerini elde etmek için Tedarikçiye bir ulusal güvenlik emri tebliğ etmesi) ya da kanunların diğer herhangi bir şekilde Kyndryl Verilerinin açıklanmasını gerektirmesi durumunda, anılan talebi veya gereksinimi yazılı olarak Kyndryl'e bildirecektir ve herhangi bir açıklamaya itiraz için Kyndryl'e makul bir fırsat sağlayacaktır (kanunun bildirimi yasaklaması durumunda Tedarikçi, hukuki işlem veya diğer herhangi bir yöntem aracılığıyla, yasaklamaya ve Kyndryl Verilerinin açıklanmasına itiraz etmek üzere makul ölçüler dahilinde uygun gördüğü adımları atacaktır).

  2.2 Tedarikçi, sayılanları Kyndryl'e taahhüt eder: (a) yalnızca Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak için Kyndryl Verilerine erişmesi gereken çalışanları bu erişim yetkisine sahip olacaktır ve anılan yetki yalnızca anılan Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması için gerekli olan ölçülerle sınırlı olacaktır; (b) çalışanları, Kyndryl Verilerini yalnızca Koşulların izin verdiği şekilde kullanmalarını ve açıklamalarını gerektiren gizlilik yükümlülüklerine tabidir.

  3. Kyndryl Verilerinin İade Edilmesi veya Silinmesi

  3.1 Tedarikçi, Kyndryl'in tercihine bağlı olarak, İşlem Belgesinin sona erdirilmesi ya da süresinin sona ermesi durumunda veya Kyndryl tarafından talep edilmesi halinde daha önceki bir zamanda Kyndryl Verilerini silecek ya da Kyndryl'e iade edecektir. Tedarikçi, Kyndryl'in verilerin silinmesini gerektirmesi durumunda, Sektördeki En İyi Uygulamalar doğrultusunda verileri okunamaz ve yeniden birleştirilemez ya da yeniden oluşturulamaz hale getirecek ve verilerin silindiğini Kyndryl'e teyit edecektir. Kyndryl'in Kyndryl Verilerinin iade edilmesini gerektirmesi durumunda, Tedarikçi bunu Kyndryl'in makul zaman çizelgesine ve makul yazılı yönergelerine uygun olarak yerine getirecektir.

  Madde III, Gizlilik

  Bu Madde, Tedarikçinin Kyndryl Kişisel Verilerini İşlediği durumlarda geçerlidir.

  1. İşleme

  1.1 Kyndryl, yalnızca Teslim Edilecek Malzemeleri ve Hizmetleri bu Koşullarda, İşlem Belgesinde ve taraflar arasındaki ilgili çerçeve sözleşmede yer alanlar dahil olmak üzere Kyndryl'in yönergeleri uyarınca sağlaması amacıyla, Tedarikçiyi Kyndryl Kişisel Verilerini İşlemesi için bir Veri İşleyen olarak görevlendirir. Kyndryl, Tedarikçinin bir yönergeyi yerine getirmemesi halinde, yazılı bildirimde bulunarak Hizmetlerin etkilenen kısmını sona erdirebilir. Tedarikçi, bir yönergenin veri koruma kanununa aykırı olduğuna inanması durumunda, zaman kaybetmeden ve kanunun gerektirdiği herhangi bir zaman aralığı içinde bunu Kyndryl'e bildirecektir.

  1.2 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler için geçerli olan tüm veri koruma kanunlarına uyacaktır.

  1.3 İşlem Belgesinin bir Eki ya da İşlem Belgesinin kendisi, Kyndryl Verilerine ilişkin olarak aşağıda belirtilenleri belirler:

  (a) İlgili Kişi kategorileri;

  (b) Kyndryl Kişisel Veri türleri;

  (c) Veri eylemleri ve Veri İşleme faaliyetleri;

  (d) Veri İşlemenin süresi ve sıklığı; ve

  (e) Alt Veri İşleyenlerin bir listesi.

  2. Teknik ve İdari Tedbirler

  2.1 Tedarikçi, Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği) ile Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) içinde belirtilen teknik ve idari tedbirleri uygulayacak ve sürdürecek olup, bunu yaparak Hizmetlerinin ve Teslim Edilecek Malzemelerinin taşıdığı riske uygun bir güvenlik düzeyi sağlayacaktır. Tedarikçi, Madde II'de, bu Madde III'te ve Madde VIII'de yer alan kısıtlamaları tasdik edip anlar ve bunlara uyacaktır.

  3. İlgili Kişilerin Hakları ve Talepleri

  3.1 Tedarikçi, bir İlgili Kişinin Kyndryl Kişisel Verilerine ilişkin herhangi bir İlgili Kişi hakkını (örneğin, verilerin değiştirilmesi, silinmesi veya engellenmesi) kullanmak istediğine ilişkin herhangi bir talebi en kısa süre içinde (Kyndryl'in ve diğer herhangi bir Veri Sorumlusunun yasal yükümlülüklerini yerine getirmelerine olanak sağlayacak bir süre içinde) Kyndryl'e bildirecektir. Tedarikçi, bir İlgili Kişiden söz konusu talebi Kyndryl'e yapması için onu derhal yönlendirebilir. Tedarikçi, yasal olarak zorunlu olmadığı veya Kyndryl tarafından yazılı talimat verilmediği sürece İlgili Kişilerin herhangi bir talebini yanıtlamayacaktır.

  3.2 Tedarikçi, Kyndryl'in Kyndryl Kişisel Verilerine ilişkin olarak Diğer Veri Sorumlularına ya da diğer üçüncü kişilere (örneğin, İlgili Kişiler veya düzenleyici kurumlar) bilgi sağlamakla yükümlü olması durumunda, bilgi sağlayarak ve Kyndryl tarafından talep edilen diğer makul eylemleri yerine getirerek, Kyndryl'in Diğer Veri Sorumlularına ya da üçüncü kişilere zamanında yanıt vermesine olanak sağlayacak bir zaman çizelgesi içinde Kyndryl'e destek sağlayacaktır.

  4. Alt Veri İşleyenler

  4.1 Tedarikçi, yeni bir Alt Veri İşleyen eklemeden ya da mevcut olan bir Alt Veri İşleyenin İşleme kapsamını genişletmeden önce Kyndryl'e yazılı bildirimde bulunacak ve anılan yazılı bildirimde Alt Veri İşleyenin adını belirtecek ve yeni ya da genişletilmiş İşleme kapsamını açıklayacaktır. Kyndryl, bu tür herhangi bir yeni Alt Veri İşleyene ya da genişletilmiş kapsama makul ölçüler dahilinde herhangi bir zamanda itiraz edebilir ve itiraz etmesi durumunda, taraflar Kyndryl'in itirazının göz önüne alınması için iyi niyet ölçüleri dahilinde birlikte çalışacaktır. Tedarikçi, Kyndryl'in herhangi bir zamanda itirazda bulunma hakkına tabi olmak üzere, Tedarikçinin yazılı bildirimini takip eden 30 Gün içinde Kyndryl tarafından herhangi bir itirazda bulunulmaması durumunda, yeni Alt Veri İşleyenden yararlanmaya başlayabilir ya da mevcut Alt Veri İşleyenin İşleme kapsamını genişletebilir.

  4.2 Tedarikçi, bir Alt Veri İşleyenin herhangi bir Kyndryl Verisini İşlemeye başlamasından önce, bu Koşullarda belirtilen veri koruma, güvenlik ve sertifikasyon yükümlülüklerini her onaylanan Alt Veri İşleyen için zorunlu hale getirecektir. Alt Veri İşleyenin yükümlülüklerini yerine getirmesi konusunda Kyndryl'e karşı tüm sorumluluk Tedarikçiye aittir.

  5. Verilerin Yurt Dışında İşlenmesi

  Aşağıda kullanıldığı şekilde:

  Yeterli Koruma Sağlayan Ülke, geçerli veri koruma kanunları ya da düzenleyici kurumların kararları uyarınca ilgili aktarıma ilişkin olarak yeterli düzeyde veri koruması sağlayan bir ülkeyi ifade eder.

  Yurt Dışından Veri Aktaran, bir Yeterli Koruma Sağlayan Ülkede kurulmamış olan bir Veri İşleyeni ya da Alt Veri İşleyeni ifade eder.

  AB Standart Sözleşme Maddeleri https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en adresinde resmi olarak yayınlandığı şekilde, Madde 9(a)'daki Seçenek 1 ve Madde 17'deki Seçenek 2 hariç olmak üzere isteğe bağlı maddeleri uygulanmış olarak AB Standart Sözleşme Maddelerini (2021/914 sayılı Komisyon Kararı) ifade eder.

  Sırbistan Standart Sözleşme Maddeleri https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx adresinde yayınlanan "Serbian Commissioner for Information of Public Importance and Personal Data Protection" (Sırbistan Kamu için Önemli Bilgiler ve Kişisel Verilerin Korunması Yetkilisi) tarafından kabul edildiği şekilde Sırbistan Standart Sözleşme Maddelerini ifade eder.

  Standart Sözleşme Maddeleri, Kişisel Verilerin Yeterli Koruma Sağlayan Ülkelerde kurulmamış olan Veri İşleyenlere aktarımını düzenleyen geçerli veri koruma kanunlarının zorunlu kıldığı sözleşme maddelerini ifade eder.

  AB Komisyonu Komisyonu Standart Sözleşme Maddelerine İlişkin Birleşik Krallık Uluslararası Veri Aktarımı Eki ("Birleşik Krallık Ek Sözleşmesi"), resmi olarak https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ adresinde yayınlanan AB Komisyonu Standart Sözleşme Maddelerine İlişkin Birleşik Krallık Uluslararası Veri Aktarımı Eki anlamına gelir.

  5.1 Tedarikçi, Kyndryl'den önceden yazılı onay alınmaksızın herhangi bir Kyndryl Kişisel Verisini yurt dışına aktaramaz veya açıklayamaz (uzaktan erişim dahil). Kyndryl'in anılan onayı vermesi durumunda, taraflar geçerli veri koruma kanunlarına uygunluğu sağlamak için iş birliği yapacaktır. Tedarikçi, bu kanunların Standart Sözleşme Maddelerini zorunlu kılması durumunda, Kyndryl'in talebi üzerine en kısa süre içinde Standart Sözleşme Maddelerini imzalayacaktır.

  5.2 AB Standart Sözleşme Maddelerine ilişkin olarak:

  (a)Tedarikçi Yeterli Koruma Sağlayan bir Ülkede kurulmadıysa: Tedarikçi, işbu belgeyle Yurt Dışından Veri Aktaran olarak AB Standart Sözleşme Maddelerini Kyndryl ile imzalamaktadır ve Tedarikçi, AB Standart Sözleşme Maddeleri Madde 9 uyarınca her onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak olup, anılan sözleşmelerin kopyalarını talep edilmesi üzerine Kyndryl'e sağlayacaktır.

  (i) Taraflarca yazılı olarak aksi kararlaştırılmadığı sürece AB Standart Sözleşme Maddeleri Modül 1 geçerli değildir.

  (ii) Kyndryl'in Veri Sorumlusu olduğu hallerde AB Standart Sözleşme Maddeleri Modül 2, Kyndryl'in Veri İşleyen olduğu hallerde Modül 3 geçerlidir. AB Standart Sözleşme Maddeleri Madde 13 uyarınca, Modül 2 veya Modül 3'ün geçerli olduğu hallerde, taraflar (1) AB Standart Sözleşme Maddelerinin, yetkili denetleyici kurumun bulunduğu AB üyesi ülkenin kanunlarına tabi olacağını ve (2) AB Standart Sözleşme Maddelerinden doğan herhangi bir uyuşmazlığın, yetkili denetleyici kurumun bulunduğu AB üyesi ülkenin mahkemelerinde çözüme kavuşturulacağını kabul ederler. (1) numaralı bentte yer alan söz konusu kanunun üçüncü kişi yararlanıcı haklarına izin vermediği hallerde AB Standart Sözleşme Maddeleri Hollanda kanunlarına tabi olacak ve (2) numaralı bent kapsamındaki AB Standart Sözleşme Maddelerinden doğan uyuşmazlıklar, Hollanda'nın Amsterdam şehri mahkemelerinde çözüme kavuşturulacaktır.

  (b) Tedarikçinin Avrupa Ekonomik Alanı'nda kurulmuş olduğu ve Kyndryl'in 2016/679 sayılı Genel Veri Koruma Yönetmeliği'ne tabi olmayan bir Veri Sorumlusu olduğu hallerde, AB Standart Sözleşme Maddeleri Modül 4 geçerli olur ve Tedarikçi işbu belgeyle yurtdışına veri aktaran olarak Kyndryl ile AB Standart Sözleşme Maddelerini imzalar. AB Standart Sözleşme Maddeleri Modül 4'ün geçerli olması halinde, taraflar AB Standart Sözleşme Maddelerinin Hollanda kanunlarına tabi olacağını ve AB Standart Sözleşme Maddelerinden doğan uyuşmazlıkların, Hollanda'nın Amsterdam şehri mahkemelerinde çözüme kavuşturulacağını kabul ederler.

  (c) Müşteriler veya iştirakler gibi diğer Veri Sorumlularının Madde 7'deki ‘docking clause’ uyarınca AB Standart Sözleşme Maddelerine taraf olmayı talep etmesi halinde, Tedarikçi işbu belgeyle böyle bir talebi kabul eder.

  (d) AB Standart Sözleşme Maddeleri Ek II'yi tamamlamak için gereken Teknik ve İdari Tedbirlere, bu Koşullardan, İşlem Belgesinden ve taraflar arasındaki ilişkili çerçeve sözleşmeden ulaşılabilir.

  (e) AB Standart Sözleşme Maddeleri ile bu Koşullar arasında çelişki olması halinde AB Standart Sözleşme Maddeleri öncelikli olarak uygulanacaktır.

  5.3 Birleşik Krallık Ek Sözleşmesine/Sözleşmelerine göre:

  (a) Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulmadıysa: (i) Tedarikçi işbu belgeyle yukarıda belirtilen AB Standart Sözleşme Maddelerine eklenmek üzere, Yurtdışından Veri Aktaran olarak Kyndryl ile (veri işleme faaliyetlerinin koşullarına bağlı olarak geçerli olduğu şekilde) Birleşik Krallık Ek Sözleşmesini imzalamaktadır ve (ii) Tedarikçi, onaylanmış her Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep üzerine Kyndryl'e bu sözleşmelerin kopyalarını sağlayacaktır.

  (b) Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulduysa ve Kyndryl, Birleşik Krallık Genel Veri Koruma Yönetmeliği'ne (2018 Avrupa Birliği (Feragat) Yasası kapsamında Birleşik Krallık yasalarına dahil edildiği şekliyle) tabi olmayan bir Veri Sorumlusu ise, Tedarikçi işbu belgeyle yukarıda Madde 5.2(b)'de belirtilen AB Standart Sözleşmelerine eklenmek üzere Kyndryl ile Yurtdışına Veri Aktaran olarak Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini imzalamaktadır.

  (c) Müşteri veya bağlı kuruluşlar gibi diğer Veri Sorumlularının Birleşik Krallık Ek Sözleşmesine/Sözleşmelerine taraf olmayı talep etmeleri halinde, Tedarikçi işbu belgeyle bu tür herhangi bir talebi kabul eder.

  (d) Birleşik Krallık Ek Sözleşmesinde/Sözleşmelerinde yer alan Ek Bilgilerine (Tablo 3'te belirtilir), geçerli AB Standart Sözleşme Maddelerinden, bu Koşullardan, İşlem Belgesinin kendisinden ve taraflar arasındaki ilgili çerçeve sözleşmesinden ulaşılabilir. Birleşik Krallık Ek Sözleşmesinde değişiklik olması halinde Kyndryl veya Tedarikçi, Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini sona erdiremez.

  (e) Birleşik Krallık Ek Sözleşmesi/Sözleşmelerinin ile bu Koşullar arasında herhangi bir çelişki olması halinde Birleşik Krallık Ek Sözleşmesi/Sözleşmeleri geçerli olacaktır.

  5.4 Sırbistan Standart Sözleşme Maddelerine ilişkin olarak:

  (a) Tedarikçi Yeterli Koruma Sağlayan bir Ülkede kurulmadıysa: (i) Tedarikçi, işbu belge ile Veri İşleyen olarak kendi adına Sırbistan Standart Sözleşme Maddelerini Kyndryl ile imzalamaktadır ve (ii) Tedarikçi, Sırbistan Standart Sözleşme Maddeleri, Madde 8 uyarınca her onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak olup, anılan sözleşmelerin kopyalarını talep edilmesi üzerine Kyndryl'e sağlayacaktır.

  (b) Tedarikçi, Yeterli Koruma Sağlayan bir Ülkede kurulduysa, işbu belge ile her Alt Veri İşleyen adına Sırbistan Standart Sözleşme Maddelerini Kyndryl ile imzalamaktadır. Tedarikçi, bu tür herhangi bir Alt Veri İşleyen için bunu yapamaması halinde, Alt Veri İşleyenin herhangi bir Kyndryl Kişisel Verisini İşlemesine izin vermeden önce anılan Alt Veri İşleyen tarafından imzalanan Sırbistan Standart Sözleşme Maddelerini Kyndryl tarafından imzalanmak üzere Kyndryl'e sağlayacaktır.

  (c) Kyndryl ile Tedarikçi arasında imzalanan Sırbistan Standart Sözleşme Maddeleri, durumun gerektirdiği şekilde Veri Sorumlusu ile Veri İşleyen arasında geçerli Sırbistan Standart Sözleşme Maddeleri veya 'veri işleyen' ile 'alt veri işleyen' arasında geçerli karşılıklı yazılı sözleşme niteliğinde olacaktır. Sırbistan Standart Sözleşme Maddeleri ile bu Koşullar arasında herhangi bir çelişki bulunması durumunda, Sırbistan Standart Sözleşme Maddeleri öncelikli olarak uygulanacaktır.

  (d) Kişisel Verilerin Yeterli Koruma Sağlamayan bir Ülkeye aktarılmasını düzenlemek amacıyla Sırbistan Standart Sözleşme Maddeleri'nin 1-8 numaralı Eklerini tamamlamak için gereken bilgilere bu Koşullardan ve İşlem Belgesinin Eki'nden veya İşlem Belgesinden ulaşılabilir.

  6. Destek ve Kayıtlar

  6.1 Tedarikçi, İşlemenin niteliğini göz önüne alarak, İlgili Kişilerin talepleri ve hakları ile bağlantılı yükümlülüklerini yerine getirmek üzere uygun teknik ve idari tedbirleri uygulayarak Kyndryl'e destek sağlayacaktır. Tedarikçi ayrıca, İşlemenin güvenliğine, bir Güvenlik İhlalinin bildirilmesine ve duyurulmasına ve Tedarikçinin kullanımına açık olan bilgiler göz önüne alınarak, gerekli ise, önceden sorumlu düzenleyici kuruma danışılması dahil olmak üzere, veri koruma etki değerlendirmeleri oluşturulmasına ilişkin yükümlülüklere uygunluğun sağlanmasında Kyndryl'e destek sağlayacaktır.

  6.2 Tedarikçi, her Alt Veri İşleyenin temsilcisi ve veri koruma yetkilisi dahil olmak üzere her Alt Veri İşleyenin adının ve iletişim bilgilerinin güncel kaydını tutacaktır. Tedarikçi, talep edilmesi üzerine, bu kaydı Kyndryl'in bir Müşterinin ya da diğer üçüncü kişinin herhangi bir talebine zamanında yanıt vermesine olanak sağlayan bir zaman çizelgesi uyarınca Kyndryl'e sağlayacaktır.

  Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

  Bu Madde, Tedarikçinin anılan Hizmetleri veya Teslim Edilecek Malzemeleri sağlarken yalnızca Kyndryl İş İletişim Bilgilerine erişeceği durumlar (bir başka deyişle, Tedarikçi tarafından diğer herhangi bir Kyndryl Verisi İşlenmeyecektir ya da diğer herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişilmeyecektir) hariç olmak üzere, Tedarikçinin Kyndryl'e herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması ya da Tedarikçinin tüm Hizmetleri ve Teslim Edilecek Malzemeleri alt madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modeli içinde sağlaması durumunda geçerli olacaktır.

  Tedarikçi, bu Maddenin gereksinimlerine uyacak ve bunu yaparken (a) Kyndryl Malzemelerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya ve yanlışlıkla veya yetkisiz olarak erişime (b) Kyndryl Verilerini kanuna aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini kanuna aykırı İdare Etme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyon ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Güvenlik İlkeleri

  1.1 Tedarikçi, işinin ayrılmaz bir parçası olan BT güvenliği ilkelerini ve uygulamalarını sürdürecek ve bunlara uyacak olup,bunları tüm Tedarikçi Personeli için zorunlu ve Sektördeki En İyi Uygulamalara uygun durumda tutacaktır.

  1.2 Tedarikçi, BT güvenliği ilkelerini ve uygulamalarını en az yılda bir defa inceleyecek ve Kyndryl Malzemelerinin korunması için gerekli gördüğü şekilde değiştirecektir.

  1.3 Tedarikçi, yeni işe alınan tüm çalışanlar için standart, zorunlu işe alma doğrulaması gerekliliklerini sürdürecek ve bunları uygulayacak olup, anılan gereklilikleri, tüm Tedarikçi Personeli ile tamamı kendisine ait olan Tedarikçi yan kuruluşları için de geçerli hale getirecektir. Bu gereklilikler, yerel kanunların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulamasını ve Tedarikçi tarafından gerekli görülen tüm ek kontrolleri kapsayacaktır. Tedarikçi, bu gereklilikleri, gerekli gördüğü şekilde düzenli olarak yineleyecek ve yeniden doğrulayacaktır.

  1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi sağlayacak olup, tüm anılan çalışanların, çalışma kurallarında veya benzer belgelerde belirtildiği şekilde etik iş adabı, gizlilik ve güvenlik ilkelerine uyacaklarını her yıl tasdik etmelerini zorunlu kılacaktır. Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetici erişimi yetkisine sahip olan kişilere, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Malzemelerinin desteklenmesine ve rollerine özgü bir biçimde ve gerekli uyumluluğun ve sertifikasyonların sürdürülmesi için gerekli olduğu şekilde ek ilke ve süreç eğitimi sağlayacaktır.

  1.5 Tedarikçi, Kyndryl Malzemelerinin korunması ve kullanılabilirliğinin sürdürülmesi amacıyla, tüm Hizmetler ve Teslim Edilecek Malzemeler ile Kyndryl Teknolojisinin tüm İdaresine ilişkin olarak tasarımı gereği güvenlik ve gizlilik, güvenli mühendislik ve güvenli işletim gerektiren ilkelerin ve prosedürlerin uygulanması, sürdürülmesi ve bunlara uyumluluk dahil olmak üzere, güvenlik ve gizlilik önlemleri tasarlayacaktır.

  2. Güvenlik Olayları

  2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınmasına ilişkin Sektördeki En İyi Uygulamalara uygun olarak belgelenmiş olay müdahale ilkelerini sürdürecek ve bunlara uyacaktır.

  2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi ya da bunların yetkisiz kullanımını soruşturacak ve uygun bir müdahale planı tanımlayacak ve uygulayacaktır.

  2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir. Tedarikçi bu tür bildirimi şu adrese sağlayacaktır: cyber.incidents@kyndryl.com . Tedarikçi, anılan ihlale ve herhangi bir Tedarikçi düzeltme ve geri yükleme faaliyetinin durumuna ilişkin olarak makul ölçüler dahilinde talep edilmiş olan bilgileri Kyndryl'e sağlayacaktır. Örnek olarak, makul ölçüler dahilinde talep edilen bilgilere Aygıtlar, sistemler veya uygulamalar için ayrıcalıklı, sistem yöneticisi ve diğer erişimi gösteren log dosyaları, ihlale veya Tedarikçinin düzeltme ve geri yükleme etkinliklerine ilişkin olduğu ölçüde Aygıtların, sistemlerin veya uygulamaların ve diğer benzer öğelerin adli görüntüleri dahil olabilir.

  2.4 Tedarikçi, Kyndryl'in, Kyndryl bağlı kuruluşlarının ve Müşterilerinin (ve bunların müşterilerinin ve bağlı kuruluşlarının) bir Güvenlik İhlali ile bağlantılı herhangi bir yasal yükümlülüğünün (düzenleyici kuruluşlara veya İlgili Kişilere bildirimde bulunulması dahil) yerine getirilmesi için Kyndryl'e makul ölçüler dahilinde destek sağlayacaktır.

  2.5 Tedarikçi, Kyndryl tarafından yazılı onay verilmediği ya da kanunlarca zorunlu kılınmadığı sürece, bir Güvenlik İhlalinin Kyndryl veya Kyndryl Malzemeleri ile doğrudan veya dolaylı olarak ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek ya da bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'in kimliğini doğrudan veya dolaylı olarak ortaya çıkaracak olduğu hallerde kanunlarca zorunlu kılınan herhangi bir bildirimi herhangi bir üçüncü kişiye sağlamadan önce Kyndryl'e yazılı olarak bilgi verecektir.

  2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlalinin söz konusu olması durumunda:

  (a) Tedarikçi, Güvenlik İhlalinin ilgili düzenleyici kurumlara, diğer devlet ve ilgili sektör özdenetim kurumlarına, basına (geçerli kanunun zorunlu kılması halinde), İlgili Kişilere, Müşterilere ve diğer taraflara bildirimde bulunulmasıyla bağlantılı olarak karşı karşıya kaldığı herhangi bir maliyetten ve aynı zamanda Kyndryl'in karşı karşıya kaldığı gerçekleşen maliyetlerden sorumlu olacaktır,

  (b) Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, maliyetini kendisi karşılamak üzere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin İlgili Kişilere bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde İlgili Kişilerin Güvenlik İhlaline ve bunun sonuçlarına ilişkin sorularına yanıt verecek bir çağrı merkezi kuracak ve sürdürecektir. Kyndryl ile Tedarikçi, çağrı merkezi personelinin sorgulara yanıt verirken kullanacağı konuşma metinlerini ve diğer malzemeleri oluşturmak için birlikte çalışacaktır. Alternatif olarak Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçi tarafından bir çağrı merkezi kurulması yerine kendi çağrı merkezini kurabilir ve çalıştırabilir. Kyndryl'in bu tür bir çağrı merkezini kurması ve çalıştırması sırasında karşı karşıya kaldığı gerçekleşen maliyetler Tedarikçi tarafından tazmin edilecektir.

  (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi düzeltme hizmetlerine kaydolmayı seçen kişilere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde Kyndryl'in anılan hizmetleri sağlamak için karşı karşıya kaldığı gerçekleşen maliyetleri tazmin edecektir.

  3. Fiziksel Güvenlik ve Giriş Kontrolü ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder).

  3.1 Tedarikçi, Tesislere yetkisiz girişin önlenmesi için bariyerler, kartla kontrol edilen giriş noktaları, güvenlik kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrolleri uygulayacaktır.

  3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay alınmasını zorunlu kılacak ve erişimi iş rolüne ve iş gereksinimine göre sınırlandıracaktır. Tedarikçinin geçici erişim vermesi halinde, Tedarikçinin yetkili çalışanı, Tesis içinde ve herhangi bir kontrollü alanda bulunan herhangi bir ziyaretçiye eşlik edecektir.

  3.3 Tedarikçi, Tesislerdeki kontrollü alanlara girişi uygun şekilde kısıtlamak amacıyla, Sektördeki En İyi Uygulamalarla tutarlı, çok faktörlü erişim kontrolleri dahil olmak üzere, fiziksel erişim kontrollerini uygulayacak, tüm giriş denemelerini loga kaydedecek ve söz konusu logları en az bir yıl saklayacaktır.

  3.4 Tedarikçi, (a) bir yetkili Tedarikçi çalışanının işten ayrılması ya da (b) yetkili Tedarikçi çalışanının erişim için geçerli iş gereksiniminin ortadan kalkması üzerine Tesislere ve Tesisler içindeki kontrollü alanlara erişim yetkisini iptal edecektir. Tedarikçi, kişinin en kısa süre içinde erişim kontrol listelerinden çıkarılması ve fiziksel giriş kartlarını teslim etmesi de dahil olmak üzere belgelenmiş resmi ayrılma prosedürlerini uygulayacaktır.

  3.5 Tedarikçi, Hizmetleri, Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin İdaresini desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, su baskını, nem, hırsızlık ve yağmacılık gibi hem doğal hem de insanların neden olduğu çevresel tehditlere karşı korumak için önlemler alacaktır.

  4. Erişim, Müdahale, Aktarım ve Ayrılma Kontrolü

  4.1 Tedarikçi, Hizmetlerin verilmesi, Teslim Edilecek Malzemelerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi kapsamında, Hizmetlerin gerçekleştirilmesinde Tedarikçi tarafından yönetilen ağların belgelenmiş güvenlik mimarisini sürdürecektir. Tedarikçi, güvenli segmentasyon, ayrıştırma ve kapsamlı savunma standartlarına uyumluluk için anılan ağ mimarisini ayrı olarak inceleyecek, sistemlerle, uygulamalarla ve ağ aygıtlarıyla yetkisiz ağ bağlantıları kurulmasını önleyecek önlemlerden yararlanacaktır. Tedarikçi, herhangi bir Barındırılan Hizmete ilişkin operasyonlarda ve barındırma işleminde kablosuz teknolojiyi kullanamaz; diğer taraftan Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken ve Kyndryl Teknolojisini İdare Ederken kablosuz ağ teknolojisini kullanabilir. Ancak, bu tür herhangi bir kablosuz ağı şifreleyecek ve güvenli kimlik doğrulaması yapılmasını zorunlu kılacaktır.

  4.2 Tedarikçi, Kyndryl Malzemelerinin mantıksal olarak ayrı tutulmasını ve açığa çıkmasının ya da yetkisiz kişiler tarafından Kyndryl Malzemelerine erişilmesinin önlenmesini sağlamak üzere tasarlanmış önlemleri uygulayacaktır. Tedarikçi ayrıca, üretim ortamını, üretim dışı ortamı ve diğer ortamları uygun biçimde ayrıştıracak ve Kyndryl Malzemelerinin bir üretim dışı ortamda halihazırda mevcut olması ya da bu tür bir ortama aktarılmış olması halinde (örneğin, bir hatanın yeniden oluşturulması amacıyla), üretim dışı ortamda uygulanacak olan güvenlik ve gizlilik ile ilgili koruma tedbirlerinin üretim ortamında uygulananlara eşit olmasını sağlayacaktır.

  4.3 Tedarikçi, hareket halinde ve atıl durumda olan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin, atıl durumda olan Kyndryl Malzemelerinin şifrelenmesinin teknik olarak mümkün olmadığını Kyndryl'i makul biçimde ikna edecek şekilde kanıtladığı durumlar hariç). Ayrıca Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir. Tedarikçi, verilerin şifrelenmesiyle ilgili olarak, güvenli anahtarların oluşturulması, atanması, dağıtılması, depolanması, rotasyonu, iptali, kurtarılması, yedeklenmesi, imhası, bu anahtarlara erişim ve anahtarların kullanımı için belgelenmiş prosedürler sağlayacaktır. Tedarikçi, söz konusu şifreleme için kullanılan belirli kriptografik yöntemlerin (NIST SP 800-131a gibi) Sektördeki En İyi Uygulamalarla uyumlu olmasını sağlayacaktır.

  4.4 Tedarikçi, Kyndryl Malzemelerine erişmesinin gerekli olması halinde, bu erişimi Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması ve desteklenmesi için gerekli olan en düşük seviye ile kısıtlayacak ve sınırlayacaktır. Tedarikçi, anılan erişimin, herhangi bir temel bileşene sistem yöneticisi erişimi (örneğin, ayrıcalıklı erişim) dahil olmak üzere bireysel ve role dayalı olmasını ve görevler ayrılığı ilkeleri uyarınca yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını zorunlu tutacaktır. Tedarikçi, yedekteki ve atıl durumdaki hesapların belirlenmesi ve kaldırılması için önlemler uygulayacaktır. Tedarikçi ayrıca, hesap sahibinin işten ayrılmasını ya da Kyndryl'in veya anılan hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebini takip eden yirmi dört (24) saat içinde ayrıcalıklı erişim yetkisine sahip hesapları iptal edecektir.

  4.5 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olarak, aktif olmayan oturumların zaman aşımına uğramasını, arka arkaya çok sayıda başarısız oturum açma girişimi sonrasında hesapların kilitlenmesini, güçlü parola ya da şifre ile kimlik doğrulamasını sağlayacak teknik tedbirler ile anılan parolaların ve şifrelerin güvenli bir biçimde aktarılmasını ve depolanmasını gerektiren önlemler uygulayacaktır. Buna ek olarak Tedarikçi, herhangi bir Kyndryl Malzemesine konsol tabanlı olmayan ayrıcalıklı erişim için çok faktörlü kimlik doğrulamayı kullanacaktır.

  4.6 Tedarikçi, ayrıcalıklı erişim yetkisinin kullanımını izleyecektir ve (a) yetkisiz erişimin ve etkinliğin belirlenmesi, (b) söz konusu erişime ve etkinliğe zamanında ve uygun müdahaleye olanak sağlanması ve (c) belgelenmiş Tedarikçi ilkesine uygunluğun Tedarikçi, Kyndryl (bu Koşullarda belirtilen doğrulama hakları ile İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşme veya diğer ilgili sözleşmede yer alan doğrulama hakları uyarınca) ve diğerleri tarafından denetlenmesine olanak sağlanması amacıyla tasarlanmış güvenlik bilgisi ve olay yönetimi önlemleri uygulayacaktır.

  4.7 Tedarikçi, Hizmetlerin ya da Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı sistemlere ilişkin tüm sistem yöneticisi, kullanıcı ya da diğer erişimi veya etkinlikleri kaydettiği tüm logları, Sektördeki En İyi Uygulamalara uygun şekilde saklayacaktır (ve talep üzerine bu logları Kyndryl'e sağlayacaktır). Tedarikçi, anılan logları yetkisiz erişime, değişikliklere ve hata sonucu ya da kasıtlı olarak imha edilmeye karşı korumak üzere tasarlanmış tedbirler uygulayacaktır.

  4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere kendisine ait veya yönettiği sistemler ile Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak ya da Kyndryl Teknolojisini İdare Etmek amacıyla kullandığı sistemler için aşağıda belirtilen koruma önemleri dahil olmak üzere bilgi işlem koruma önlemleri uygulayacaktır: uç noktası güvenlik duvarları, tam disk şifrelemesi, kötü amaçlı yazılımları ve gelişmiş sürekli tehditleri ele alacak imza tabanlı ve imza tabanlı olmayan uç noktası tespit ve müdahale teknolojileri, süre tabanlı ekran kilitleri ve güvenlik yapılandırması ile yama uygulama gereksinimlerinin yerine getirilmesini sağlayan uç noktası yönetimi çözümleri. Buna ek olarak Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin, Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve idari kontrolleri uygulayacaktır.

  4.9 Tedarikçi, Sektördeki En İyi Uygulamalarla tutarlı bir şekilde, Kyndryl Malzemelerinin mevcut olduğu veya işlendiği veri merkezi ortamları için koruma önlemleri uygulayacaktır. Bu önlemlere aşağıda belirtilenler dahildir: izinsiz giriş saptama ve önleme ve hizmetin engellenmesi saldırılarına karşı önlemler ve risk azaltma.

  5. Hizmet ve Sistemlerin Bütünlüğü ve Kullanılabilirlik Kontrolü

  5.1 Tedarikçi, (a) en az yılda bir defa güvenlik ve gizlilik riski değerlendirmelerini gerçekleştirecektir, (b) Kyndryl Teknolojisini İdare Etmesine ilişkin olarak, üretim sürümünün kullanıma sunulmasından önce ve bunun ardından yılda bir defa olmak üzere otomatikleştirilmiş sistem ve uygulama güvenliği taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testleri ve güvenlik açığı değerlendirmeleri gerçekleştirecektir, (c) en az yılda bir defa olmak üzere Sektördeki En İyi Uygulamalar ile tutarlı biçimde sızma testleri gerçekleştirmesi için nitelikli bir bağımsız üçüncü kişiyi görevlendirecektir ve anılan testlere hem otomatik hem de manuel testler dahil olacaktır, (d) Hizmetlerin ve Teslim Edilecek Malzemelerin her bileşeni için ve Kyndryl Teknolojisini İdare Etmesine ilişkin olarak güvenlik yapılandırması gereksinimlerine uygunluğunu otomatik olarak yönetecek ve düzenli olarak doğrulayacaktır ve (e) belirlenen güvenlik açıklarını ya da kendi güvenlik yapılandırması gereksinimlerine uygunluğu sağlamadığı durumları bağlantılı risk, istismar edilebilirlik ve etki doğrultusunda düzeltecektir. Tedarikçi, testlerin, değerlendirmelerin, taramaların ve düzeltme etkinliklerinin yürütülmesi sırasında Hizmetlerde kesinti olmasını önlemek için makul çabayı gösterecektir. Tedarikçi, Kyndryl'in talebi üzerine, ilgili tarihteki en güncel sızma testi etkinliklerine ilişkin yazılı bir özet sağlayacaktır. Bu rapor, asgari olarak testler kapsamındaki olanakların adını, testler için kapsam dahilindeki sistem veya uygulama sayısını, test tarihlerini, testlerde kullanılan metodolojiyi ve bulgulara ilişkin üst düzey bir özeti içerecektir.

  5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde ya da Kyndryl Teknolojisinin İdare Edilmesinde yapılan değişikliklerle bağlantılı risklerin yönetilmesi için tasarlanmış ilkeler ve prosedürler uygulayacaktır. Tedarikçi, etkilenen sistemler, ağlar ve temel bileşenler dahil olmak üzere anılan türde bir değişikliği uygulamadan önce, aşağıdakileri kayıtlı bir değişiklik isteğinde belgeleyecektir: (a) değişikliğin bir açıklaması ve gerekçesi, (b) uygulama ayrıntıları ve zaman çizelgesi, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiye ilişkin bir risk beyanı, (d) beklenen sonuç, (e) geri alma planı ve (f) yetkili Tedarikçi çalışanlarının onayı.

  5.3 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullanılan tüm BT varlıklarının bir envanterini tutacaktır. Tedarikçi, anılan varlıkların, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin altında yatan bileşenler dahil olmak üzere, anılan BT varlıklarını, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir.

  5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalarıkarşılayan önceden tanımlanmış sistem güvenlik görüntülerinden veya güvenlik referans değerlerinden oluşturulacaktır.

  5.5 Tedarikçi, iş sürekliliğine ilişkin kendi yükümlülüklerini ya da Kyndryl'in İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen haklarını sınırlamaksızın, belgelenmiş risk yönetimi yönergeleri uyarınca iş ve BT sürekliliği ile olağanüstü durum kurtarma gereksinimleri için her Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin İdare Edilmesine kullanılan her BT sistemini ayrı olarak değerlendirecektir. Tedarikçi, Sektördeki En İyi Uygulamalar uyarınca, bu tür her Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, anılan risk değerlendirmesinin gerektirdiği ölçüler dahilinde, ayrı olarak tanımlanmış, belgelenmiş, güncel tutulan ve yıllık olarak doğrulanan iş ve BT sürekliliği ile olağanüstü durum kurtarma planlarına sahip olmasını sağlayacaktır. Tedarikçi, anılan planların aşağıdaki Madde 5.6'da belirtilen belirli kurtarma sürelerini sağlayacak şekilde tasarlanmasını sağlayacaktır.

  5.6 Herhangi bir Barındırılan Hizmete ilişkin belirli kurtarma noktası hedefleri ("RPO") ile kurtarma süresi hedefleri ("RTO") şunlardır: 24 saat kurtarma noktası hedefi ve 24 saat kurtarma süresi hedefi; ancak Tedarikçi, daha kısa süreli bir kurtarma noktası ya da süresi hedefinin Kyndryl tarafından yazılı olarak Tedarikçiye bildirilmesinin (bir e-posta, yazılı bildirim olarak kabul edilir) ardından en kısa süre içinde Kyndryl tarafından bir Müşteriye taahhüt edilmiş olan herhangi bir daha kısa kurtarma noktası ya da süresi hedefine uyacaktır. Tedarikçi, Kyndryl'e sağladığı diğer tüm Hizmetlerle ilgili olduğundan, iş sürekliliğinin ve olağanüstü durum kurtarma planlarının, Kurtarma Noktası Hedefine ve Kurtarma Süresi Hedefine ulaşmak üzere tasarlanmasını sağlayacaktır. Bu planlar; test, destek ve bakımın zamanında sağlanmasına ilişkin yükümlülükleri dahil olmak üzere, Tedarikçinin İşlem Belgesi ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile bu Koşullar kapsamında Kyndryl'e karşı tüm yükümlülüklerine tam olarak uymaya devam etmesini sağlayacaktır.

  5.7 Tedarikçi, önerilen güvenlik yamalarını değerlendirmek, test etmek ve bunları Hizmetlere ve Teslim Edilecek Malzemelere ve anılan Hizmetlerin ve Teslim Edilecek Malzemelerin kapsamında bulunan ilgili sistemlere, ağlara, uygulamalara ve altta yatan bileşenlere ve aynı zamanda Kyndryl Teknolojisinin İdare Edilmesi için kullanılan sistemlere, ağlara, uygulamalara ve temel bileşenlere uygulamak üzere tasarlanmış önlemler uygulayacaktır. Tedarikçi, önerilen güvenlik yamasının uygulanabilir ve uygun olduğunun belirlenmesinin ardından, belgelenmiş önem derecesi ve risk değerlendirme yönergeleri doğrultusunda yamayı uygulayacaktır. Tedarikçinin önerilen güvenlik yamalarını uygulaması, Tedarikçinin değişiklik yönetimi ilkesine tabi olacaktır.

  5.8 Kyndryl, Tedarikçi tarafından kendisine sağlanan donanım veya yazılımların casus yazılım, kötü amaçlı yazılım ya da kötü amaçlı kod gibi izinsiz giriş yapan öğeler içerdiğine inanmak için makul gerekçeleri bulunması durumunda, Kyndryl'in endişelerinin araştırılması ve giderilmesi için en kısa süre içinde Kyndryl ile iş birliği yapacaktır.

  6. Hizmet Sağlama

  6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için sektörde yaygın olarak kullanılan birleşik kimlik doğrulaması yöntemlerini destekleyecek ve anılan Kyndryl kullanıcısı veya Müşteri hesaplarına kimlik doğrulaması uygulanması için Sektördeki En İyi Uygulamalara uyacaktır (örneğin, Kyndryl tarafından OpenID Connect veya Security Assertion Markup Language kullanılarak merkezi olarak yönetilen çok faktörlü Tek Oturum Açma). Tedarikçi, alt yüklenicilerden yararlanılmasına ilişkin olarak İşlem Belgesinde ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen yükümlülüklerini ya da Kyndryl'in haklarını sınırlamaksızın, Tedarikçi için iş yapan herhangi bir alt yüklenicinin bu Koşulların Tedarikçiye getirdiği gereksinimlere ve yükümlülüklere uymak için yönetişim kontrollerini devreye almış olmasını sağlayacaktır.

  7. Fiziksel Ortam. Tedarikçi, ortamın temizlenmesine ilişkin Sektördeki Ek İyi Uygulamalara uygun olarak, yeniden kullanılması amaçlanan fiziksel ortamları söz konusu yeniden kullanımdan önce güvenli bir biçimde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamı imha edecektir.

  8.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

 3. Erişecekse, anılan erişim için Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Örnekler:

  • Tedarikçi, Kyndryl ya da Müşteriler tarafından Tedarikçiye sağlanan Kişisel Veriler olmayan verileri depolar, aktarır, bunlara erişir veya diğer herhangi bir şekilde bunları İşler.

  Madde II, Teknik ve İdari Tedbirler, Veri Güvenliği

  Bu Madde, Tedarikçinin Kyndryl İş İletişim Bilgileri dışındaki Kyndryl Verilerini İşlemesi durumunda geçerlidir. Tedarikçi, tüm Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanmasında bu Maddenin gereksinimlerine uyacaktır ve bunu yaparken Kyndryl Verilerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya, yanlışlıkla veya yetkisiz olarak erişime ve kanuna aykırı İşleme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Veri Kullanımı

  1.1 Tedarikçi, Kyndryl'in önceden yazılı izni alınmaksızın, herhangi bir Kişisel Veri dahil olmak üzere diğer herhangi bir bilgi veya veriyi Kyndryl Verilerine ekleyemez ya da Kyndryl Verileri ile birlikte dahil edemez. Tedarikçi, Kyndryl Verilerini Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması dışındaki herhangi bir amaçla, birleştirilmiş olarak ya da diğer herhangi bir biçimde kullanamaz (örneğin, Tedarikçinin olanaklarının etkinliğini veya iyileştirilmesini sağlayacak yöntemleri değerlendirmek, yeni olanaklar yaratmak için araştırma ve geliştirme gerçekleştirmek veya Tedarikçinin olanaklarına ilişkin raporlar oluşturmak amacıyla Kyndryl Verilerini kullanmasına ya da yeniden kullanmasına izin verilmez). İşlem Belgesinde aksine açıkça izin verilmedikçe, Tedarikçinin Kyndryl Verilerini Satması yasaklanmıştır.

  1.2 Tedarikçi, İşlem Belgesinde açıkça izin verilmedikçe, Teslim Edilecek Malzemelere veya Hizmetlere herhangi bir web takip teknolojisini eklemeyecektir (anılan teknolojiler arasında HTML 5, yerel depolama, üçüncü kişi etiketleri veya belirteçleri (token) ve web işaretleri yer alır).

  2. Üçüncü Kişi Talepleri ve Gizlilik

  2.1 Tedarikçi, Kyndryl tarafından önceden yazılı olarak yetki verilmediği sürece, Kyndryl Verilerini herhangi bir üçüncü kişiye açıklamayacaktır. Tedarikçi, herhangi bir düzenleyici kurum dahil olmak üzere bir kamu kuruluşunun Kyndryl Verilerine erişim talep etmesi (örneğin, ABD devletinin Kyndryl Verilerini elde etmek için Tedarikçiye bir ulusal güvenlik emri tebliğ etmesi) ya da kanunların diğer herhangi bir şekilde Kyndryl Verilerinin açıklanmasını gerektirmesi durumunda, anılan talebi veya gereksinimi yazılı olarak Kyndryl'e bildirecektir ve herhangi bir açıklamaya itiraz için Kyndryl'e makul bir fırsat sağlayacaktır (kanunun bildirimi yasaklaması durumunda Tedarikçi, hukuki işlem veya diğer herhangi bir yöntem aracılığıyla, yasaklamaya ve Kyndryl Verilerinin açıklanmasına itiraz etmek üzere makul ölçüler dahilinde uygun gördüğü adımları atacaktır).

  2.2 Tedarikçi, sayılanları Kyndryl'e taahhüt eder: (a) yalnızca Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak için Kyndryl Verilerine erişmesi gereken çalışanları bu erişim yetkisine sahip olacaktır ve anılan yetki yalnızca anılan Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması için gerekli olan ölçülerle sınırlı olacaktır; (b) çalışanları, Kyndryl Verilerini yalnızca Koşulların izin verdiği şekilde kullanmalarını ve açıklamalarını gerektiren gizlilik yükümlülüklerine tabidir.

  3. Kyndryl Verilerinin İade Edilmesi veya Silinmesi

  3.1 Tedarikçi, Kyndryl'in tercihine bağlı olarak, İşlem Belgesinin sona erdirilmesi ya da süresinin sona ermesi durumunda veya Kyndryl tarafından talep edilmesi halinde daha önceki bir zamanda Kyndryl Verilerini silecek ya da Kyndryl'e iade edecektir. Tedarikçi, Kyndryl'in verilerin silinmesini gerektirmesi durumunda, Sektördeki En İyi Uygulamalar doğrultusunda verileri okunamaz ve yeniden birleştirilemez ya da yeniden oluşturulamaz hale getirecek ve verilerin silindiğini Kyndryl'e teyit edecektir. Kyndryl'in Kyndryl Verilerinin iade edilmesini gerektirmesi durumunda, Tedarikçi bunu Kyndryl'in makul zaman çizelgesine ve makul yazılı yönergelerine uygun olarak yerine getirecektir.

  Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

  Bu Madde, Tedarikçinin anılan Hizmetleri veya Teslim Edilecek Malzemeleri sağlarken yalnızca Kyndryl İş İletişim Bilgilerine erişeceği durumlar (bir başka deyişle, Tedarikçi tarafından diğer herhangi bir Kyndryl Verisi İşlenmeyecektir ya da diğer herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişilmeyecektir) hariç olmak üzere, Tedarikçinin Kyndryl'e herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması ya da Tedarikçinin tüm Hizmetleri ve Teslim Edilecek Malzemeleri alt madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modeli içinde sağlaması durumunda geçerli olacaktır.

  Tedarikçi, bu Maddenin gereksinimlerine uyacak ve bunu yaparken (a) Kyndryl Malzemelerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya ve yanlışlıkla veya yetkisiz olarak erişime (b) Kyndryl Verilerini kanuna aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini kanuna aykırı İdare Etme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyon ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Güvenlik İlkeleri

  1.1 Tedarikçi, işinin ayrılmaz bir parçası olan BT güvenliği ilkelerini ve uygulamalarını sürdürecek ve bunlara uyacak olup,bunları tüm Tedarikçi Personeli için zorunlu ve Sektördeki En İyi Uygulamalara uygun durumda tutacaktır.

  1.2 Tedarikçi, BT güvenliği ilkelerini ve uygulamalarını en az yılda bir defa inceleyecek ve Kyndryl Malzemelerinin korunması için gerekli gördüğü şekilde değiştirecektir.

  1.3 Tedarikçi, yeni işe alınan tüm çalışanlar için standart, zorunlu işe alma doğrulaması gerekliliklerini sürdürecek ve bunları uygulayacak olup, anılan gereklilikleri, tüm Tedarikçi Personeli ile tamamı kendisine ait olan Tedarikçi yan kuruluşları için de geçerli hale getirecektir. Bu gereklilikler, yerel kanunların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulamasını ve Tedarikçi tarafından gerekli görülen tüm ek kontrolleri kapsayacaktır. Tedarikçi, bu gereklilikleri, gerekli gördüğü şekilde düzenli olarak yineleyecek ve yeniden doğrulayacaktır.

  1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi sağlayacak olup, tüm anılan çalışanların, çalışma kurallarında veya benzer belgelerde belirtildiği şekilde etik iş adabı, gizlilik ve güvenlik ilkelerine uyacaklarını her yıl tasdik etmelerini zorunlu kılacaktır. Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetici erişimi yetkisine sahip olan kişilere, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Malzemelerinin desteklenmesine ve rollerine özgü bir biçimde ve gerekli uyumluluğun ve sertifikasyonların sürdürülmesi için gerekli olduğu şekilde ek ilke ve süreç eğitimi sağlayacaktır.

  1.5 Tedarikçi, Kyndryl Malzemelerinin korunması ve kullanılabilirliğinin sürdürülmesi amacıyla, tüm Hizmetler ve Teslim Edilecek Malzemeler ile Kyndryl Teknolojisinin tüm İdaresine ilişkin olarak tasarımı gereği güvenlik ve gizlilik, güvenli mühendislik ve güvenli işletim gerektiren ilkelerin ve prosedürlerin uygulanması, sürdürülmesi ve bunlara uyumluluk dahil olmak üzere, güvenlik ve gizlilik önlemleri tasarlayacaktır.

  2. Güvenlik Olayları

  2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınmasına ilişkin Sektördeki En İyi Uygulamalara uygun olarak belgelenmiş olay müdahale ilkelerini sürdürecek ve bunlara uyacaktır.

  2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi ya da bunların yetkisiz kullanımını soruşturacak ve uygun bir müdahale planı tanımlayacak ve uygulayacaktır.

  2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir. Tedarikçi bu tür bildirimi şu adrese sağlayacaktır: cyber.incidents@kyndryl.com . Tedarikçi, anılan ihlale ve herhangi bir Tedarikçi düzeltme ve geri yükleme faaliyetinin durumuna ilişkin olarak makul ölçüler dahilinde talep edilmiş olan bilgileri Kyndryl'e sağlayacaktır. Örnek olarak, makul ölçüler dahilinde talep edilen bilgilere Aygıtlar, sistemler veya uygulamalar için ayrıcalıklı, sistem yöneticisi ve diğer erişimi gösteren log dosyaları, ihlale veya Tedarikçinin düzeltme ve geri yükleme etkinliklerine ilişkin olduğu ölçüde Aygıtların, sistemlerin veya uygulamaların ve diğer benzer öğelerin adli görüntüleri dahil olabilir.

  2.4 Tedarikçi, Kyndryl'in, Kyndryl bağlı kuruluşlarının ve Müşterilerinin (ve bunların müşterilerinin ve bağlı kuruluşlarının) bir Güvenlik İhlali ile bağlantılı herhangi bir yasal yükümlülüğünün (düzenleyici kuruluşlara veya İlgili Kişilere bildirimde bulunulması dahil) yerine getirilmesi için Kyndryl'e makul ölçüler dahilinde destek sağlayacaktır.

  2.5 Tedarikçi, Kyndryl tarafından yazılı onay verilmediği ya da kanunlarca zorunlu kılınmadığı sürece, bir Güvenlik İhlalinin Kyndryl veya Kyndryl Malzemeleri ile doğrudan veya dolaylı olarak ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek ya da bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'in kimliğini doğrudan veya dolaylı olarak ortaya çıkaracak olduğu hallerde kanunlarca zorunlu kılınan herhangi bir bildirimi herhangi bir üçüncü kişiye sağlamadan önce Kyndryl'e yazılı olarak bilgi verecektir.

  2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlalinin söz konusu olması durumunda:

  (a) Tedarikçi, Güvenlik İhlalinin ilgili düzenleyici kurumlara, diğer devlet ve ilgili sektör özdenetim kurumlarına, basına (geçerli kanunun zorunlu kılması halinde), İlgili Kişilere, Müşterilere ve diğer taraflara bildirimde bulunulmasıyla bağlantılı olarak karşı karşıya kaldığı herhangi bir maliyetten ve aynı zamanda Kyndryl'in karşı karşıya kaldığı gerçekleşen maliyetlerden sorumlu olacaktır,

  (b) Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, maliyetini kendisi karşılamak üzere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin İlgili Kişilere bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde İlgili Kişilerin Güvenlik İhlaline ve bunun sonuçlarına ilişkin sorularına yanıt verecek bir çağrı merkezi kuracak ve sürdürecektir. Kyndryl ile Tedarikçi, çağrı merkezi personelinin sorgulara yanıt verirken kullanacağı konuşma metinlerini ve diğer malzemeleri oluşturmak için birlikte çalışacaktır. Alternatif olarak Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçi tarafından bir çağrı merkezi kurulması yerine kendi çağrı merkezini kurabilir ve çalıştırabilir. Kyndryl'in bu tür bir çağrı merkezini kurması ve çalıştırması sırasında karşı karşıya kaldığı gerçekleşen maliyetler Tedarikçi tarafından tazmin edilecektir.

  (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi düzeltme hizmetlerine kaydolmayı seçen kişilere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde Kyndryl'in anılan hizmetleri sağlamak için karşı karşıya kaldığı gerçekleşen maliyetleri tazmin edecektir.

  3. Fiziksel Güvenlik ve Giriş Kontrolü ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder).

  3.1 Tedarikçi, Tesislere yetkisiz girişin önlenmesi için bariyerler, kartla kontrol edilen giriş noktaları, güvenlik kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrolleri uygulayacaktır.

  3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay alınmasını zorunlu kılacak ve erişimi iş rolüne ve iş gereksinimine göre sınırlandıracaktır. Tedarikçinin geçici erişim vermesi halinde, Tedarikçinin yetkili çalışanı, Tesis içinde ve herhangi bir kontrollü alanda bulunan herhangi bir ziyaretçiye eşlik edecektir.

  3.3 Tedarikçi, Tesislerdeki kontrollü alanlara girişi uygun şekilde kısıtlamak amacıyla, Sektördeki En İyi Uygulamalarla tutarlı, çok faktörlü erişim kontrolleri dahil olmak üzere, fiziksel erişim kontrollerini uygulayacak, tüm giriş denemelerini loga kaydedecek ve söz konusu logları en az bir yıl saklayacaktır.

  3.4 Tedarikçi, (a) bir yetkili Tedarikçi çalışanının işten ayrılması ya da (b) yetkili Tedarikçi çalışanının erişim için geçerli iş gereksiniminin ortadan kalkması üzerine Tesislere ve Tesisler içindeki kontrollü alanlara erişim yetkisini iptal edecektir. Tedarikçi, kişinin en kısa süre içinde erişim kontrol listelerinden çıkarılması ve fiziksel giriş kartlarını teslim etmesi de dahil olmak üzere belgelenmiş resmi ayrılma prosedürlerini uygulayacaktır.

  3.5 Tedarikçi, Hizmetleri, Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin İdaresini desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, su baskını, nem, hırsızlık ve yağmacılık gibi hem doğal hem de insanların neden olduğu çevresel tehditlere karşı korumak için önlemler alacaktır.

  4. Erişim, Müdahale, Aktarım ve Ayrılma Kontrolü

  4.1 Tedarikçi, Hizmetlerin verilmesi, Teslim Edilecek Malzemelerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi kapsamında, Hizmetlerin gerçekleştirilmesinde Tedarikçi tarafından yönetilen ağların belgelenmiş güvenlik mimarisini sürdürecektir. Tedarikçi, güvenli segmentasyon, ayrıştırma ve kapsamlı savunma standartlarına uyumluluk için anılan ağ mimarisini ayrı olarak inceleyecek, sistemlerle, uygulamalarla ve ağ aygıtlarıyla yetkisiz ağ bağlantıları kurulmasını önleyecek önlemlerden yararlanacaktır. Tedarikçi, herhangi bir Barındırılan Hizmete ilişkin operasyonlarda ve barındırma işleminde kablosuz teknolojiyi kullanamaz; diğer taraftan Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken ve Kyndryl Teknolojisini İdare Ederken kablosuz ağ teknolojisini kullanabilir. Ancak, bu tür herhangi bir kablosuz ağı şifreleyecek ve güvenli kimlik doğrulaması yapılmasını zorunlu kılacaktır.

  4.2 Tedarikçi, Kyndryl Malzemelerinin mantıksal olarak ayrı tutulmasını ve açığa çıkmasının ya da yetkisiz kişiler tarafından Kyndryl Malzemelerine erişilmesinin önlenmesini sağlamak üzere tasarlanmış önlemleri uygulayacaktır. Tedarikçi ayrıca, üretim ortamını, üretim dışı ortamı ve diğer ortamları uygun biçimde ayrıştıracak ve Kyndryl Malzemelerinin bir üretim dışı ortamda halihazırda mevcut olması ya da bu tür bir ortama aktarılmış olması halinde (örneğin, bir hatanın yeniden oluşturulması amacıyla), üretim dışı ortamda uygulanacak olan güvenlik ve gizlilik ile ilgili koruma tedbirlerinin üretim ortamında uygulananlara eşit olmasını sağlayacaktır.

  4.3 Tedarikçi, hareket halinde ve atıl durumda olan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin, atıl durumda olan Kyndryl Malzemelerinin şifrelenmesinin teknik olarak mümkün olmadığını Kyndryl'i makul biçimde ikna edecek şekilde kanıtladığı durumlar hariç). Ayrıca Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir. Tedarikçi, verilerin şifrelenmesiyle ilgili olarak, güvenli anahtarların oluşturulması, atanması, dağıtılması, depolanması, rotasyonu, iptali, kurtarılması, yedeklenmesi, imhası, bu anahtarlara erişim ve anahtarların kullanımı için belgelenmiş prosedürler sağlayacaktır. Tedarikçi, söz konusu şifreleme için kullanılan belirli kriptografik yöntemlerin (NIST SP 800-131a gibi) Sektördeki En İyi Uygulamalarla uyumlu olmasını sağlayacaktır.

  4.4 Tedarikçi, Kyndryl Malzemelerine erişmesinin gerekli olması halinde, bu erişimi Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması ve desteklenmesi için gerekli olan en düşük seviye ile kısıtlayacak ve sınırlayacaktır. Tedarikçi, anılan erişimin, herhangi bir temel bileşene sistem yöneticisi erişimi (örneğin, ayrıcalıklı erişim) dahil olmak üzere bireysel ve role dayalı olmasını ve görevler ayrılığı ilkeleri uyarınca yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını zorunlu tutacaktır. Tedarikçi, yedekteki ve atıl durumdaki hesapların belirlenmesi ve kaldırılması için önlemler uygulayacaktır. Tedarikçi ayrıca, hesap sahibinin işten ayrılmasını ya da Kyndryl'in veya anılan hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebini takip eden yirmi dört (24) saat içinde ayrıcalıklı erişim yetkisine sahip hesapları iptal edecektir.

  4.5 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olarak, aktif olmayan oturumların zaman aşımına uğramasını, arka arkaya çok sayıda başarısız oturum açma girişimi sonrasında hesapların kilitlenmesini, güçlü parola ya da şifre ile kimlik doğrulamasını sağlayacak teknik tedbirler ile anılan parolaların ve şifrelerin güvenli bir biçimde aktarılmasını ve depolanmasını gerektiren önlemler uygulayacaktır. Buna ek olarak Tedarikçi, herhangi bir Kyndryl Malzemesine konsol tabanlı olmayan ayrıcalıklı erişim için çok faktörlü kimlik doğrulamayı kullanacaktır.

  4.6 Tedarikçi, ayrıcalıklı erişim yetkisinin kullanımını izleyecektir ve (a) yetkisiz erişimin ve etkinliğin belirlenmesi, (b) söz konusu erişime ve etkinliğe zamanında ve uygun müdahaleye olanak sağlanması ve (c) belgelenmiş Tedarikçi ilkesine uygunluğun Tedarikçi, Kyndryl (bu Koşullarda belirtilen doğrulama hakları ile İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşme veya diğer ilgili sözleşmede yer alan doğrulama hakları uyarınca) ve diğerleri tarafından denetlenmesine olanak sağlanması amacıyla tasarlanmış güvenlik bilgisi ve olay yönetimi önlemleri uygulayacaktır.

  4.7 Tedarikçi, Hizmetlerin ya da Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı sistemlere ilişkin tüm sistem yöneticisi, kullanıcı ya da diğer erişimi veya etkinlikleri kaydettiği tüm logları, Sektördeki En İyi Uygulamalara uygun şekilde saklayacaktır (ve talep üzerine bu logları Kyndryl'e sağlayacaktır). Tedarikçi, anılan logları yetkisiz erişime, değişikliklere ve hata sonucu ya da kasıtlı olarak imha edilmeye karşı korumak üzere tasarlanmış tedbirler uygulayacaktır.

  4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere kendisine ait veya yönettiği sistemler ile Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak ya da Kyndryl Teknolojisini İdare Etmek amacıyla kullandığı sistemler için aşağıda belirtilen koruma önemleri dahil olmak üzere bilgi işlem koruma önlemleri uygulayacaktır: uç noktası güvenlik duvarları, tam disk şifrelemesi, kötü amaçlı yazılımları ve gelişmiş sürekli tehditleri ele alacak imza tabanlı ve imza tabanlı olmayan uç noktası tespit ve müdahale teknolojileri, süre tabanlı ekran kilitleri ve güvenlik yapılandırması ile yama uygulama gereksinimlerinin yerine getirilmesini sağlayan uç noktası yönetimi çözümleri. Buna ek olarak Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin, Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve idari kontrolleri uygulayacaktır.

  4.9 Tedarikçi, Sektördeki En İyi Uygulamalarla tutarlı bir şekilde, Kyndryl Malzemelerinin mevcut olduğu veya işlendiği veri merkezi ortamları için koruma önlemleri uygulayacaktır. Bu önlemlere aşağıda belirtilenler dahildir: izinsiz giriş saptama ve önleme ve hizmetin engellenmesi saldırılarına karşı önlemler ve risk azaltma.

  5. Hizmet ve Sistemlerin Bütünlüğü ve Kullanılabilirlik Kontrolü

  5.1 Tedarikçi, (a) en az yılda bir defa güvenlik ve gizlilik riski değerlendirmelerini gerçekleştirecektir, (b) Kyndryl Teknolojisini İdare Etmesine ilişkin olarak, üretim sürümünün kullanıma sunulmasından önce ve bunun ardından yılda bir defa olmak üzere otomatikleştirilmiş sistem ve uygulama güvenliği taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testleri ve güvenlik açığı değerlendirmeleri gerçekleştirecektir, (c) en az yılda bir defa olmak üzere Sektördeki En İyi Uygulamalar ile tutarlı biçimde sızma testleri gerçekleştirmesi için nitelikli bir bağımsız üçüncü kişiyi görevlendirecektir ve anılan testlere hem otomatik hem de manuel testler dahil olacaktır, (d) Hizmetlerin ve Teslim Edilecek Malzemelerin her bileşeni için ve Kyndryl Teknolojisini İdare Etmesine ilişkin olarak güvenlik yapılandırması gereksinimlerine uygunluğunu otomatik olarak yönetecek ve düzenli olarak doğrulayacaktır ve (e) belirlenen güvenlik açıklarını ya da kendi güvenlik yapılandırması gereksinimlerine uygunluğu sağlamadığı durumları bağlantılı risk, istismar edilebilirlik ve etki doğrultusunda düzeltecektir. Tedarikçi, testlerin, değerlendirmelerin, taramaların ve düzeltme etkinliklerinin yürütülmesi sırasında Hizmetlerde kesinti olmasını önlemek için makul çabayı gösterecektir. Tedarikçi, Kyndryl'in talebi üzerine, ilgili tarihteki en güncel sızma testi etkinliklerine ilişkin yazılı bir özet sağlayacaktır. Bu rapor, asgari olarak testler kapsamındaki olanakların adını, testler için kapsam dahilindeki sistem veya uygulama sayısını, test tarihlerini, testlerde kullanılan metodolojiyi ve bulgulara ilişkin üst düzey bir özeti içerecektir.

  5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde ya da Kyndryl Teknolojisinin İdare Edilmesinde yapılan değişikliklerle bağlantılı risklerin yönetilmesi için tasarlanmış ilkeler ve prosedürler uygulayacaktır. Tedarikçi, etkilenen sistemler, ağlar ve temel bileşenler dahil olmak üzere anılan türde bir değişikliği uygulamadan önce, aşağıdakileri kayıtlı bir değişiklik isteğinde belgeleyecektir: (a) değişikliğin bir açıklaması ve gerekçesi, (b) uygulama ayrıntıları ve zaman çizelgesi, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiye ilişkin bir risk beyanı, (d) beklenen sonuç, (e) geri alma planı ve (f) yetkili Tedarikçi çalışanlarının onayı.

  5.3 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullanılan tüm BT varlıklarının bir envanterini tutacaktır. Tedarikçi, anılan varlıkların, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin altında yatan bileşenler dahil olmak üzere, anılan BT varlıklarını, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir.

  5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalarıkarşılayan önceden tanımlanmış sistem güvenlik görüntülerinden veya güvenlik referans değerlerinden oluşturulacaktır.

  5.5 Tedarikçi, iş sürekliliğine ilişkin kendi yükümlülüklerini ya da Kyndryl'in İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen haklarını sınırlamaksızın, belgelenmiş risk yönetimi yönergeleri uyarınca iş ve BT sürekliliği ile olağanüstü durum kurtarma gereksinimleri için her Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin İdare Edilmesine kullanılan her BT sistemini ayrı olarak değerlendirecektir. Tedarikçi, Sektördeki En İyi Uygulamalar uyarınca, bu tür her Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, anılan risk değerlendirmesinin gerektirdiği ölçüler dahilinde, ayrı olarak tanımlanmış, belgelenmiş, güncel tutulan ve yıllık olarak doğrulanan iş ve BT sürekliliği ile olağanüstü durum kurtarma planlarına sahip olmasını sağlayacaktır. Tedarikçi, anılan planların aşağıdaki Madde 5.6'da belirtilen belirli kurtarma sürelerini sağlayacak şekilde tasarlanmasını sağlayacaktır.

  5.6 Herhangi bir Barındırılan Hizmete ilişkin belirli kurtarma noktası hedefleri ("RPO") ile kurtarma süresi hedefleri ("RTO") şunlardır: 24 saat kurtarma noktası hedefi ve 24 saat kurtarma süresi hedefi; ancak Tedarikçi, daha kısa süreli bir kurtarma noktası ya da süresi hedefinin Kyndryl tarafından yazılı olarak Tedarikçiye bildirilmesinin (bir e-posta, yazılı bildirim olarak kabul edilir) ardından en kısa süre içinde Kyndryl tarafından bir Müşteriye taahhüt edilmiş olan herhangi bir daha kısa kurtarma noktası ya da süresi hedefine uyacaktır. Tedarikçi, Kyndryl'e sağladığı diğer tüm Hizmetlerle ilgili olduğundan, iş sürekliliğinin ve olağanüstü durum kurtarma planlarının, Kurtarma Noktası Hedefine ve Kurtarma Süresi Hedefine ulaşmak üzere tasarlanmasını sağlayacaktır. Bu planlar; test, destek ve bakımın zamanında sağlanmasına ilişkin yükümlülükleri dahil olmak üzere, Tedarikçinin İşlem Belgesi ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile bu Koşullar kapsamında Kyndryl'e karşı tüm yükümlülüklerine tam olarak uymaya devam etmesini sağlayacaktır.

  5.7 Tedarikçi, önerilen güvenlik yamalarını değerlendirmek, test etmek ve bunları Hizmetlere ve Teslim Edilecek Malzemelere ve anılan Hizmetlerin ve Teslim Edilecek Malzemelerin kapsamında bulunan ilgili sistemlere, ağlara, uygulamalara ve altta yatan bileşenlere ve aynı zamanda Kyndryl Teknolojisinin İdare Edilmesi için kullanılan sistemlere, ağlara, uygulamalara ve temel bileşenlere uygulamak üzere tasarlanmış önlemler uygulayacaktır. Tedarikçi, önerilen güvenlik yamasının uygulanabilir ve uygun olduğunun belirlenmesinin ardından, belgelenmiş önem derecesi ve risk değerlendirme yönergeleri doğrultusunda yamayı uygulayacaktır. Tedarikçinin önerilen güvenlik yamalarını uygulaması, Tedarikçinin değişiklik yönetimi ilkesine tabi olacaktır.

  5.8 Kyndryl, Tedarikçi tarafından kendisine sağlanan donanım veya yazılımların casus yazılım, kötü amaçlı yazılım ya da kötü amaçlı kod gibi izinsiz giriş yapan öğeler içerdiğine inanmak için makul gerekçeleri bulunması durumunda, Kyndryl'in endişelerinin araştırılması ve giderilmesi için en kısa süre içinde Kyndryl ile iş birliği yapacaktır.

  6. Hizmet Sağlama

  6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için sektörde yaygın olarak kullanılan birleşik kimlik doğrulaması yöntemlerini destekleyecek ve anılan Kyndryl kullanıcısı veya Müşteri hesaplarına kimlik doğrulaması uygulanması için Sektördeki En İyi Uygulamalara uyacaktır (örneğin, Kyndryl tarafından OpenID Connect veya Security Assertion Markup Language kullanılarak merkezi olarak yönetilen çok faktörlü Tek Oturum Açma). Tedarikçi, alt yüklenicilerden yararlanılmasına ilişkin olarak İşlem Belgesinde ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen yükümlülüklerini ya da Kyndryl'in haklarını sınırlamaksızın, Tedarikçi için iş yapan herhangi bir alt yüklenicinin bu Koşulların Tedarikçiye getirdiği gereksinimlere ve yükümlülüklere uymak için yönetişim kontrollerini devreye almış olmasını sağlayacaktır.

  7. Fiziksel Ortam. Tedarikçi, ortamın temizlenmesine ilişkin Sektördeki Ek İyi Uygulamalara uygun olarak, yeniden kullanılması amaçlanan fiziksel ortamları söz konusu yeniden kullanımdan önce güvenli bir biçimde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamı imha edecektir.

  8.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

 4. Erişecekse, anılan erişim için Madde IV (Teknik ve İdari Tedbirler, Kod Güvenliği), Madde V (Güvenli Geliştirme), VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Örnekler:

  • Tedarikçi, bir Kyndryl ürünü için geliştirme sorumluluklarını üstlenir ve Kyndryl, anılan geliştirme için Kaynak Kodunu Tedarikçinin erişimine açar.
  • Tedarikçi, mülkiyeti Kyndryl'e ait olacak Kaynak Kodunu geliştirir.

  Madde IV, Teknik ve İdari Tedbirler, Kod Güvenliği

  Bu Madde, Tedarikçinin Kyndryl Kaynak Koduna erişim yetkisine sahip olması durumunda geçerlidir. Tedarikçi, bu Maddenin gereksinimlerine uyacak olup, bunu yaparken Kyndryl Kaynak Kodunu kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya, yanlışlıkla veya yetkisiz olarak erişime ve kanuna aykırı İdare Etme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyon ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Güvenlik Gereksinimleri

  Aşağıda kullanıldığı şekilde,

  Yasaklı Ülke, (a) Bilgi ve İletişim Teknolojisi ve Hizmetleri Tedarik Zincirinin Korunmasına ilişkin 15 Mayıs 2019 tarihli Başkanlık Emri uyarınca ABD Devleti tarafından hasım ülke olarak tanımlanmış, (b) 2019 tarihli ABD Ulusal Savunma Yetkilendirme Kanunu'nun 1654 numaralı Maddesi uyarınca listelenmiş ya da (c) İşlem Belgesinde "Yasaklı Ülke" olarak tanımlanmış olan herhangi bir ülkeyi ifade eder.

  1.1 Tedarikçi, herhangi bir Kyndryl Kaynak Kodunu herhangi bir üçüncü kişi yararına dağıtmayacak ya da emanete vermeyecektir.

  1.2 Tedarikçi, herhangi bir Kyndryl Kaynak Kodunun bir Yasaklı Ülkede yer alan sunucularda bulundurulmasına izin vermeyecektir. Tedarikçi, kendi Personeli dahil olmak üzere, herhangi bir nedenle bir Yasaklı Ülkede konuşlandırılmış ya da bir Yasaklı Ülkeyi ziyaret eden (anılan ziyaretin süresi boyunca) herhangi bir kişinin, Kyndryl Kaynak Kodunun dünya üzerinde konumlandırıldığı yer fark etmeksizin, herhangi bir Kyndryl Kaynak Koduna erişmesine ya da Kyndryl Kaynak Kodunu kullanmasına izin vermeyecek ve bir Yasaklı Ülkede bu tür erişimi ya da kullanımı gerektirecek herhangi bir geliştirmenin, testin veya diğer çalışmanın yapılmasına izin vermeyecektir.

  1.3 Tedarikçi, Kyndryl Kaynak Kodunu kanunun ya da kanuna ilişkin yorumun Kaynak Kodunun herhangi bir üçüncü kişiye açıklanmasını gerektirdiği herhangi bir yargı yetkisi alanında bulundurmayacak ya da dağıtmayacaktır. Tedarikçi, Kyndryl Kaynak Kodunun konumlandırıldığı bir yargı yetkisi alanında geçerli olan kanunda ya da kanuna ilişkin yorumda Tedarikçinin anılan Kaynak Kodunu bir üçüncü kişiye açıklamasını gerektirecek bir değişiklik yapılması durumunda, anılan Kyndryl Kaynak Kodunu derhal imha edecek ya da derhal anılan yargı yetkisi alanının dışına taşıyacak ve anılan kanunun ya da kanuna ilişkin yorumun yürürlükte kaldığı süre boyunca başka herhangi bir Kyndryl Kaynak Kodunu anılan yargı yetkisi alanına konumlandırmayacaktır.

  1.4 Tedarikçi, herhangi bir sözleşmenin imzalanması dahil olmak üzere doğrudan veya dolaylı olarak kendisinin, Kyndryl'in ya da herhangi bir üçüncü kişinin 2019 tarihli ABD Ulusal Savunma Yetkilendirme Kanununun 1654 ya da 1655 numaralı maddeleri kapsamında bir açıklama yükümlülüğüne tabi olmasına neden olacak herhangi bir eylemde bulunmayacaktır. Herhangi bir şüpheye mahal vermemek için, Tedarikçinin, İşlem Belgesinde ya da taraflar arasında yürürlükte olan çerçeve sözleşmede açıkça izin verilmediği sürece, hiçbir koşulda, Kyndryl'in önceden yazılı onayı alınmaksızın, Kyndryl Kaynak Kodunu herhangi bir üçüncü kişiye açıklamasına izin verilmemektedir.

  1.5 (a) Tedarikçinin, Kyndryl Kaynak Kodunun bir Yasaklı Ülkeye ya da yukarıdaki Madde 1.3 kapsamındaki herhangi bir yargı yetkisi alanına götürülmesine izin verdiğinin, (b) Tedarikçinin Kyndryl Kaynak Kodunu İşlem Belgesinde ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede veya diğer herhangi bir sözleşmede izin verilenin dışındaki bir biçimde açıkladığının, kullandığının ya da bunlara eriştiğinin veya (c) Tedarikçinin, yukarıdaki Madde 1.4'ü ihlal etmiş olduğunun Kyndryl tarafından Tedarikçiye ya da herhangi bir üçüncü kişi tarafından Taraflardan birine bildirilmesi durumunda, Kyndryl'in bu tür bir uyumsuzluğu kanun ya da hakkaniyet kapsamında ya da İşlem Belgesi veya taraflar arasında yürürlükte olan çerçeve sözleşme ya da diğer herhangi bir sözleşme kapsamında ele alma haklarını sınırlamaksızın, (i) anılan bildirimin Tedarikçiye yapılmış olması durumunda, Tedarikçi bildirimi en kısa süre içinde Kyndryl ile paylaşacaktır ve (ii) Tedarikçi, Kyndryl'in makul yönergeleri uyarınca, Kyndryl'in makul ölçüler dahilinde belirleyeceği (Tedarikçi ile görüştükten sonra) zaman çizelgesine uygun olarak araştıracak ve düzeltecektir.

  1.6 Kyndryl, Tedarikçinin Kaynak Koduna erişime ilişkin ilkelerinde, prosedürlerinde, kontrollerinde veya uygulamalarında yapılacak değişikliklerin siber güvenliği, fikri mülkiyet hırsızlığını veya benzer ya da ilgili riskleri (anılan değişikliklerin yapılmaması durumunda Kyndryl'in belirli Müşterilere ya da belirli pazarlara satış yapmasının kısıtlanması ya da Müşteri güvenliği veya tedarik zinciri gereksinimlerini karşılayamaması riski dahil) göz önüne almasının gerekli olduğuna makul ölçüler dahilinde inanması durumunda, anılan ilkelerde, prosedürlerde, kontrollerde ya da uygulamalarda yapılacak değişiklikler de dahil olmak üzere anılan risklerin ele alınması için gerekli olan eylemleri görüşmek üzere Tedarikçi ile iletişim kurabilir. Tedarikçi, Kyndryl'in talebi üzerine, anılan değişikliklerin gerekli olup olmadığının değerlendirilmesinde ve uygun, karşılıklı olarak kabul edilmiş değişikliklerin uygulanmasında Kyndryl ile iş birliği yapacaktır.

  Madde V, Güvenli Geliştirme

  Bu Madde, Tedarikçinin, kendisine veya üçüncü kişiye ait Kaynak Kodunu veya Şirket İçi Yazılımını Kyndryl'e sağlayacağı veya Tedarikçinin Teslim Edilecek Malzemelerinden veya Hizmetlerinden herhangi birinin Kyndryl Müşterisine bir Kyndryl ürünü veya hizmetinin bir parçası olarak sağlanacağı hallerde geçerlidir.

  1. Güvenlik Açısından Hazır Olma Durumu

  1.1 Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzer bilgi taleplerine zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Tedarikçinin Teslim Edilecek malzemelerine bağımlı olan Kyndryl ürünlerinin ve hizmetlerinin güvenlik açısından hazır olup olmadığını değerlendiren Kyndryl dahili süreçleriyle iş birliği yapacaktır.

  2. Güvenli Geliştirme

  2.1 Bu Madde 2 yalnızca Tedarikçinin Şirket İçi Yazılımı Kyndryl'e sağladığı durumlarda geçerlidir.

  2.2 Tedarikçi İşlem Belgesi süresince Sektördeki En İyi Uygulamalar uyarınca aşağıda belirtilenleri korumak için gereken ağ, platform, sistem, uygulama, cihaz, fiziksel altyapı, olaylara müdahale ve Personel odaklı güvenlik politikaları, prosedürleri ve kontrollerini uygulamıştır ve sürdürecektir: (a) Tedarikçinin veya Tedarikçi tarafından görevlendirilen herhangi bir üçüncü kişinin işlettiği, yönettiği, kullandığı veya başka şekilde güvendiği veya Teslim Edileceklerle ilgili geliştirme, oluşturma, test ve operasyon sistemleri ve ortamları ve (b) kayba, kanuna aykırı işleme biçimlerine ve yetkisiz erişime, ifşaya veya değiştirmeye karşı tüm Teslim Edilecek kaynak kodu.

  3. Güvenlik Zafiyetleri

  3.1 Bu Madde 3 yalnızca Tedarikçinin Teslim Edilecek Malzemelerini veya Hizmetlerini Kyndryl Müşterisine bir Kyndryl ürününün veya hizmetinin parçası olarak sağlayacağı hallerde geçerlidir.

  3.2 Tedarikçi, ISO 20243, Bilgi teknolojisi, Açık Güvenilir Teknoloji Sağlayıcısı, TM Standardı (O-TTPS), Kötü amaçla kusurlu hale getirilmiş ya da taklit ürünlerin azaltılması standartlarına uyumluluğuna ilişkin bir sertifikasyon edinecektir (kendi kendine değerlendirme yoluyla ya da saygın bağımsız denetçinin değerlendirmesi yoluyla edinilmiş sertifikasyon). Tedarikçi alternatif olarak, Tedarikçinin yazılı olarak talep etmesi ve Kyndryl tarafından yazılı olarak onaylanması durumunda, güvenli geliştirme ve tedarik zinciri uygulamalarını kapsayan, önemli ölçüde eşdeğer bir başka endüstri standardına uyumluluğa ilişkin bir sertifikasyon edinecektir (Kyndryl tarafından onaylanması durumunda ve onaylandığı şekilde, kendi kendine değerlendirme yoluyla ya da saygın bağımsız denetçinin değerlendirmesi yoluyla edinilmiş).

  3.3 Tedarikçi, İşlem Belgesinin yürürlük tarihini takip eden 180 Gün içinde ISO 20243 standardına veya önemli ölçüde eşdeğer bir endüstri standardına (Kyndryl tarafından yazılı olarak onaylanması durumunda) uyumlu olduğuna dair sertifikasyon edinecek ve takip eden her 12 ayda bir sertifikasyonu yenileyecektir (her yenileme, geçerli standardın, bir başka deyişle ISO 20243'ün en güncel sürümü uyarınca ya da Kyndryl'in yazılı olarak onaylamış olması durumunda, güvenli geliştirme ve tedarik zinciri uygulamalarını kapsayan önemli ölçüde eşdeğer bir endüstristandardı uyarınca gerçekleştirilecektir).

  3.4 Tedarikçi, talep edilmesi durumunda, yukarıdaki Maddeler 2.1 ve 2.2 uyarınca edinmekle yükümlü olduğu sertifikasyonların bir kopyasını en kısa süre içinde Kyndryl'e sağlayacaktır.

  4. Güvenlik Zafiyetleri

  Aşağıda kullanıldığı şekilde,

  Hata Düzeltme – Teslim Edilecek Malzemelerdeki Güvenlik Zafiyetleri dahil olmak üzere hataları ve kusurları gideren hata düzeltmelerini ve revizyonları ifade eder.

  Risk Azaltma, bir Güvenlik Zafiyeti ile bağlantılı risklerin azaltılmasına ya da bu risklerden kaçınmaya yönelik bilinen herhangi bir yöntemi ifade eder.

  Güvenlik Zafiyeti – bir Teslim Edilecek Malzemenin tasarlanması, kodlanması, geliştirilmesi, uygulanması, test edilmesi, çalıştırılması, desteklenmesi, sürdürülmesi ya da yönetilmesi ile bağlantılı olan ve herhangi bir kişinin (a) bir sisteme erişmesi, sistemin kontrolünü ele geçirmesi ya da işleyişini aksatması; (b) verilere erişmesi, verileri silmesi, değiştirmesi ya da dışa aktarması ya da (c) kullanıcıların ya da sistem yöneticilerinin kimliklerini, yetkilerini ya da izinlerini değiştirmesi dahil olmak üzere yetkisiz erişim elde etmesine ya da istismar etmesine yol açabilecek bir saldırı gerçekleştirebileceği bir durumu ifade eder. Bir Güvenlik Zafiyeti, bu zafiyete bir Genel Güvenlik Zafiyetleri ya da Riskleri (CVE) Tanıtıcısı ya da herhangi bir puanlama veya resmi sınıflandırma atanmış olup olmaması dikkate alınmaksızın mevcut olabilir.

  4.1 Tedarikçi, aşağıda belirtilenleri beyan ve taahhüt eder: (a) Güvenlik Zafiyetlerini belirlemek için sürekli olarak statik ve dinamik kaynak kodu uygulama güvenliği taraması, açık kaynak güvenlik taraması ve sistem güvenlik zafiyeti taraması dahil olmak üzere, SektördekiEn İyi Uygulamaları kullanacaktır ve (b) Tedarikçinin Hizmetleri ve Teslim Edilecek Malzemeleri üzerinde ve aracılığıyla oluşturduğu ve sağladığı tüm BT uygulamalarında, platformlarda ve altyapıda ve Teslim Edilecek Malzemelerde bulunan Güvenlik Zafiyetlerinin önlenmesine, tespit edilmesine ve düzeltilmesine yardımcı olmak için bu Koşulların gereksinimlerini karşılayacaktır.

  4.2 Tedarikçi, Teslim Edilecek Malzemede veya anılan BT uygulamasında, platformda veya altyapıda bir Güvenlik Zafiyetindenhaberdar olması halinde, Teslim Edilecek Malzemelerin tüm sürümleri ve yayınları için Hata Düzeltmeyi ve Risk Azaltmayı, aşağıdaki tablolarda belirtilen Önem Derecelerine ve zaman aralıklarına uygun bir şekilde Kyndryl'e sağlayacaktır:

  Önem Derecesi*

  Acil Durum Güvenlik Zafiyeti – ciddi ve potansiyel olarak küresel bir tehdit oluşturan bir Güvenlik Zafiyetidir. Kyndryl, Acil Durum Güvenlik Zafiyetlerini, yalnızca kendi takdirinde olmak üzere, CVSS Taban Puanını dikkate almaksızın belirler.

  Kritik – CVSS Taban Puanı 9 ile 10,0 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Yüksek – CVSS Taban Puanı 7,0 ile 8,9 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Orta – CVSS Taban Puanı 4,0 ile 6,9 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Düşük – CVSS Taban Puanı 0,0 ile 3,9 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Zaman Aralıkları

  Acil Durum

  Kritik

  Yüksek

  Orta

  Düşük

  Kyndryl Üst Düzey Bilgi Güvenliği Yöneticisinin
  Ofisi tarafından belirlendiği
  şekilde 4 Gün veya daha kısa

  30 Gün

  30 Gün

  90 Gün

  Sektördeki En İyi Uygulamalar Uyarınca

  Tedarikçi, Güvenlik Zafiyetinin halihazırda atanmış bir CVSS Taban Puanına sahip olmadığı herhangi bir durumda, söz konusu güvenlik zafiyetinin niteliği ve koşulları için uygun bir Önem Derecesi uygulayacaktır.

  4.3 Tedarikçi, kamuya açıklanmış olan ve Tedarikçinin herhangi bir Hata Düzeltmesini veya Risk Azaltmayı Kyndryl'e henüz sağlamadığı bir Güvenlik Zafiyeti için güvenlik zafiyeti risklerini azaltabilecek, teknik açıdan mümkün olan her tür ek güvenlik kontrolünü uygulayacaktır.

  4.4 Tedarikçi, bir Teslim Edilecek Malzemede veya yukarıda atıfta bulunulan herhangi bir uygulamada, platformda veya altyapıda bulunan herhangi bir Güvenlik Zafiyetine ilişkin müdahalesinin Kyndryl tarafından tatmin edici bulunmaması halinde, Kyndryl’in sahip olduğu diğer tüm hakları saklı kalmak kaydıyla, Kyndryl’in endişeleriyle ilgili olarak bir Başkan Yardımcısı ya da Hata Düzeltmesinin sağlanmasından sorumlu bir eşdeğer üst düzey yönetici ile görüşmesine en kısa süre içinde olanak sağlayacaktır.

  4.5 Güvenlik Zafiyetlerine ilişkin örnekler arasında, üçüncü kişi kodu veya artık güvenlik düzeltmeleri almayan, hizmet sonuna gelmiş açık kaynak kodu yer alır.

  Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

  Bu Madde, Tedarikçinin anılan Hizmetleri veya Teslim Edilecek Malzemeleri sağlarken yalnızca Kyndryl İş İletişim Bilgilerine erişeceği durumlar (bir başka deyişle, Tedarikçi tarafından diğer herhangi bir Kyndryl Verisi İşlenmeyecektir ya da diğer herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişilmeyecektir) hariç olmak üzere, Tedarikçinin Kyndryl'e herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması ya da Tedarikçinin tüm Hizmetleri ve Teslim Edilecek Malzemeleri alt madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modeli içinde sağlaması durumunda geçerli olacaktır.

  Tedarikçi, bu Maddenin gereksinimlerine uyacak ve bunu yaparken (a) Kyndryl Malzemelerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya ve yanlışlıkla veya yetkisiz olarak erişime (b) Kyndryl Verilerini kanuna aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini kanuna aykırı İdare Etme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyon ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Güvenlik İlkeleri

  1.1 Tedarikçi, işinin ayrılmaz bir parçası olan BT güvenliği ilkelerini ve uygulamalarını sürdürecek ve bunlara uyacak olup,bunları tüm Tedarikçi Personeli için zorunlu ve Sektördeki En İyi Uygulamalara uygun durumda tutacaktır.

  1.2 Tedarikçi, BT güvenliği ilkelerini ve uygulamalarını en az yılda bir defa inceleyecek ve Kyndryl Malzemelerinin korunması için gerekli gördüğü şekilde değiştirecektir.

  1.3 Tedarikçi, yeni işe alınan tüm çalışanlar için standart, zorunlu işe alma doğrulaması gerekliliklerini sürdürecek ve bunları uygulayacak olup, anılan gereklilikleri, tüm Tedarikçi Personeli ile tamamı kendisine ait olan Tedarikçi yan kuruluşları için de geçerli hale getirecektir. Bu gereklilikler, yerel kanunların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulamasını ve Tedarikçi tarafından gerekli görülen tüm ek kontrolleri kapsayacaktır. Tedarikçi, bu gereklilikleri, gerekli gördüğü şekilde düzenli olarak yineleyecek ve yeniden doğrulayacaktır.

  1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi sağlayacak olup, tüm anılan çalışanların, çalışma kurallarında veya benzer belgelerde belirtildiği şekilde etik iş adabı, gizlilik ve güvenlik ilkelerine uyacaklarını her yıl tasdik etmelerini zorunlu kılacaktır. Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetici erişimi yetkisine sahip olan kişilere, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Malzemelerinin desteklenmesine ve rollerine özgü bir biçimde ve gerekli uyumluluğun ve sertifikasyonların sürdürülmesi için gerekli olduğu şekilde ek ilke ve süreç eğitimi sağlayacaktır.

  1.5 Tedarikçi, Kyndryl Malzemelerinin korunması ve kullanılabilirliğinin sürdürülmesi amacıyla, tüm Hizmetler ve Teslim Edilecek Malzemeler ile Kyndryl Teknolojisinin tüm İdaresine ilişkin olarak tasarımı gereği güvenlik ve gizlilik, güvenli mühendislik ve güvenli işletim gerektiren ilkelerin ve prosedürlerin uygulanması, sürdürülmesi ve bunlara uyumluluk dahil olmak üzere, güvenlik ve gizlilik önlemleri tasarlayacaktır.

  2. Güvenlik Olayları

  2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınmasına ilişkin Sektördeki En İyi Uygulamalara uygun olarak belgelenmiş olay müdahale ilkelerini sürdürecek ve bunlara uyacaktır.

  2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi ya da bunların yetkisiz kullanımını soruşturacak ve uygun bir müdahale planı tanımlayacak ve uygulayacaktır.

  2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir. Tedarikçi bu tür bildirimi şu adrese sağlayacaktır: cyber.incidents@kyndryl.com . Tedarikçi, anılan ihlale ve herhangi bir Tedarikçi düzeltme ve geri yükleme faaliyetinin durumuna ilişkin olarak makul ölçüler dahilinde talep edilmiş olan bilgileri Kyndryl'e sağlayacaktır. Örnek olarak, makul ölçüler dahilinde talep edilen bilgilere Aygıtlar, sistemler veya uygulamalar için ayrıcalıklı, sistem yöneticisi ve diğer erişimi gösteren log dosyaları, ihlale veya Tedarikçinin düzeltme ve geri yükleme etkinliklerine ilişkin olduğu ölçüde Aygıtların, sistemlerin veya uygulamaların ve diğer benzer öğelerin adli görüntüleri dahil olabilir.

  2.4 Tedarikçi, Kyndryl'in, Kyndryl bağlı kuruluşlarının ve Müşterilerinin (ve bunların müşterilerinin ve bağlı kuruluşlarının) bir Güvenlik İhlali ile bağlantılı herhangi bir yasal yükümlülüğünün (düzenleyici kuruluşlara veya İlgili Kişilere bildirimde bulunulması dahil) yerine getirilmesi için Kyndryl'e makul ölçüler dahilinde destek sağlayacaktır.

  2.5 Tedarikçi, Kyndryl tarafından yazılı onay verilmediği ya da kanunlarca zorunlu kılınmadığı sürece, bir Güvenlik İhlalinin Kyndryl veya Kyndryl Malzemeleri ile doğrudan veya dolaylı olarak ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek ya da bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'in kimliğini doğrudan veya dolaylı olarak ortaya çıkaracak olduğu hallerde kanunlarca zorunlu kılınan herhangi bir bildirimi herhangi bir üçüncü kişiye sağlamadan önce Kyndryl'e yazılı olarak bilgi verecektir.

  2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlalinin söz konusu olması durumunda:

  (a) Tedarikçi, Güvenlik İhlalinin ilgili düzenleyici kurumlara, diğer devlet ve ilgili sektör özdenetim kurumlarına, basına (geçerli kanunun zorunlu kılması halinde), İlgili Kişilere, Müşterilere ve diğer taraflara bildirimde bulunulmasıyla bağlantılı olarak karşı karşıya kaldığı herhangi bir maliyetten ve aynı zamanda Kyndryl'in karşı karşıya kaldığı gerçekleşen maliyetlerden sorumlu olacaktır,

  (b) Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, maliyetini kendisi karşılamak üzere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin İlgili Kişilere bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde İlgili Kişilerin Güvenlik İhlaline ve bunun sonuçlarına ilişkin sorularına yanıt verecek bir çağrı merkezi kuracak ve sürdürecektir. Kyndryl ile Tedarikçi, çağrı merkezi personelinin sorgulara yanıt verirken kullanacağı konuşma metinlerini ve diğer malzemeleri oluşturmak için birlikte çalışacaktır. Alternatif olarak Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçi tarafından bir çağrı merkezi kurulması yerine kendi çağrı merkezini kurabilir ve çalıştırabilir. Kyndryl'in bu tür bir çağrı merkezini kurması ve çalıştırması sırasında karşı karşıya kaldığı gerçekleşen maliyetler Tedarikçi tarafından tazmin edilecektir.

  (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi düzeltme hizmetlerine kaydolmayı seçen kişilere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde Kyndryl'in anılan hizmetleri sağlamak için karşı karşıya kaldığı gerçekleşen maliyetleri tazmin edecektir.

  3. Fiziksel Güvenlik ve Giriş Kontrolü ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder).

  3.1 Tedarikçi, Tesislere yetkisiz girişin önlenmesi için bariyerler, kartla kontrol edilen giriş noktaları, güvenlik kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrolleri uygulayacaktır.

  3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay alınmasını zorunlu kılacak ve erişimi iş rolüne ve iş gereksinimine göre sınırlandıracaktır. Tedarikçinin geçici erişim vermesi halinde, Tedarikçinin yetkili çalışanı, Tesis içinde ve herhangi bir kontrollü alanda bulunan herhangi bir ziyaretçiye eşlik edecektir.

  3.3 Tedarikçi, Tesislerdeki kontrollü alanlara girişi uygun şekilde kısıtlamak amacıyla, Sektördeki En İyi Uygulamalarla tutarlı, çok faktörlü erişim kontrolleri dahil olmak üzere, fiziksel erişim kontrollerini uygulayacak, tüm giriş denemelerini loga kaydedecek ve söz konusu logları en az bir yıl saklayacaktır.

  3.4 Tedarikçi, (a) bir yetkili Tedarikçi çalışanının işten ayrılması ya da (b) yetkili Tedarikçi çalışanının erişim için geçerli iş gereksiniminin ortadan kalkması üzerine Tesislere ve Tesisler içindeki kontrollü alanlara erişim yetkisini iptal edecektir. Tedarikçi, kişinin en kısa süre içinde erişim kontrol listelerinden çıkarılması ve fiziksel giriş kartlarını teslim etmesi de dahil olmak üzere belgelenmiş resmi ayrılma prosedürlerini uygulayacaktır.

  3.5 Tedarikçi, Hizmetleri, Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin İdaresini desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, su baskını, nem, hırsızlık ve yağmacılık gibi hem doğal hem de insanların neden olduğu çevresel tehditlere karşı korumak için önlemler alacaktır.

  4. Erişim, Müdahale, Aktarım ve Ayrılma Kontrolü

  4.1 Tedarikçi, Hizmetlerin verilmesi, Teslim Edilecek Malzemelerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi kapsamında, Hizmetlerin gerçekleştirilmesinde Tedarikçi tarafından yönetilen ağların belgelenmiş güvenlik mimarisini sürdürecektir. Tedarikçi, güvenli segmentasyon, ayrıştırma ve kapsamlı savunma standartlarına uyumluluk için anılan ağ mimarisini ayrı olarak inceleyecek, sistemlerle, uygulamalarla ve ağ aygıtlarıyla yetkisiz ağ bağlantıları kurulmasını önleyecek önlemlerden yararlanacaktır. Tedarikçi, herhangi bir Barındırılan Hizmete ilişkin operasyonlarda ve barındırma işleminde kablosuz teknolojiyi kullanamaz; diğer taraftan Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken ve Kyndryl Teknolojisini İdare Ederken kablosuz ağ teknolojisini kullanabilir. Ancak, bu tür herhangi bir kablosuz ağı şifreleyecek ve güvenli kimlik doğrulaması yapılmasını zorunlu kılacaktır.

  4.2 Tedarikçi, Kyndryl Malzemelerinin mantıksal olarak ayrı tutulmasını ve açığa çıkmasının ya da yetkisiz kişiler tarafından Kyndryl Malzemelerine erişilmesinin önlenmesini sağlamak üzere tasarlanmış önlemleri uygulayacaktır. Tedarikçi ayrıca, üretim ortamını, üretim dışı ortamı ve diğer ortamları uygun biçimde ayrıştıracak ve Kyndryl Malzemelerinin bir üretim dışı ortamda halihazırda mevcut olması ya da bu tür bir ortama aktarılmış olması halinde (örneğin, bir hatanın yeniden oluşturulması amacıyla), üretim dışı ortamda uygulanacak olan güvenlik ve gizlilik ile ilgili koruma tedbirlerinin üretim ortamında uygulananlara eşit olmasını sağlayacaktır.

  4.3 Tedarikçi, hareket halinde ve atıl durumda olan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin, atıl durumda olan Kyndryl Malzemelerinin şifrelenmesinin teknik olarak mümkün olmadığını Kyndryl'i makul biçimde ikna edecek şekilde kanıtladığı durumlar hariç). Ayrıca Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir. Tedarikçi, verilerin şifrelenmesiyle ilgili olarak, güvenli anahtarların oluşturulması, atanması, dağıtılması, depolanması, rotasyonu, iptali, kurtarılması, yedeklenmesi, imhası, bu anahtarlara erişim ve anahtarların kullanımı için belgelenmiş prosedürler sağlayacaktır. Tedarikçi, söz konusu şifreleme için kullanılan belirli kriptografik yöntemlerin (NIST SP 800-131a gibi) Sektördeki En İyi Uygulamalarla uyumlu olmasını sağlayacaktır.

  4.4 Tedarikçi, Kyndryl Malzemelerine erişmesinin gerekli olması halinde, bu erişimi Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması ve desteklenmesi için gerekli olan en düşük seviye ile kısıtlayacak ve sınırlayacaktır. Tedarikçi, anılan erişimin, herhangi bir temel bileşene sistem yöneticisi erişimi (örneğin, ayrıcalıklı erişim) dahil olmak üzere bireysel ve role dayalı olmasını ve görevler ayrılığı ilkeleri uyarınca yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını zorunlu tutacaktır. Tedarikçi, yedekteki ve atıl durumdaki hesapların belirlenmesi ve kaldırılması için önlemler uygulayacaktır. Tedarikçi ayrıca, hesap sahibinin işten ayrılmasını ya da Kyndryl'in veya anılan hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebini takip eden yirmi dört (24) saat içinde ayrıcalıklı erişim yetkisine sahip hesapları iptal edecektir.

  4.5 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olarak, aktif olmayan oturumların zaman aşımına uğramasını, arka arkaya çok sayıda başarısız oturum açma girişimi sonrasında hesapların kilitlenmesini, güçlü parola ya da şifre ile kimlik doğrulamasını sağlayacak teknik tedbirler ile anılan parolaların ve şifrelerin güvenli bir biçimde aktarılmasını ve depolanmasını gerektiren önlemler uygulayacaktır. Buna ek olarak Tedarikçi, herhangi bir Kyndryl Malzemesine konsol tabanlı olmayan ayrıcalıklı erişim için çok faktörlü kimlik doğrulamayı kullanacaktır.

  4.6 Tedarikçi, ayrıcalıklı erişim yetkisinin kullanımını izleyecektir ve (a) yetkisiz erişimin ve etkinliğin belirlenmesi, (b) söz konusu erişime ve etkinliğe zamanında ve uygun müdahaleye olanak sağlanması ve (c) belgelenmiş Tedarikçi ilkesine uygunluğun Tedarikçi, Kyndryl (bu Koşullarda belirtilen doğrulama hakları ile İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşme veya diğer ilgili sözleşmede yer alan doğrulama hakları uyarınca) ve diğerleri tarafından denetlenmesine olanak sağlanması amacıyla tasarlanmış güvenlik bilgisi ve olay yönetimi önlemleri uygulayacaktır.

  4.7 Tedarikçi, Hizmetlerin ya da Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı sistemlere ilişkin tüm sistem yöneticisi, kullanıcı ya da diğer erişimi veya etkinlikleri kaydettiği tüm logları, Sektördeki En İyi Uygulamalara uygun şekilde saklayacaktır (ve talep üzerine bu logları Kyndryl'e sağlayacaktır). Tedarikçi, anılan logları yetkisiz erişime, değişikliklere ve hata sonucu ya da kasıtlı olarak imha edilmeye karşı korumak üzere tasarlanmış tedbirler uygulayacaktır.

  4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere kendisine ait veya yönettiği sistemler ile Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak ya da Kyndryl Teknolojisini İdare Etmek amacıyla kullandığı sistemler için aşağıda belirtilen koruma önemleri dahil olmak üzere bilgi işlem koruma önlemleri uygulayacaktır: uç noktası güvenlik duvarları, tam disk şifrelemesi, kötü amaçlı yazılımları ve gelişmiş sürekli tehditleri ele alacak imza tabanlı ve imza tabanlı olmayan uç noktası tespit ve müdahale teknolojileri, süre tabanlı ekran kilitleri ve güvenlik yapılandırması ile yama uygulama gereksinimlerinin yerine getirilmesini sağlayan uç noktası yönetimi çözümleri. Buna ek olarak Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin, Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve idari kontrolleri uygulayacaktır.

  4.9 Tedarikçi, Sektördeki En İyi Uygulamalarla tutarlı bir şekilde, Kyndryl Malzemelerinin mevcut olduğu veya işlendiği veri merkezi ortamları için koruma önlemleri uygulayacaktır. Bu önlemlere aşağıda belirtilenler dahildir: izinsiz giriş saptama ve önleme ve hizmetin engellenmesi saldırılarına karşı önlemler ve risk azaltma.

  5. Hizmet ve Sistemlerin Bütünlüğü ve Kullanılabilirlik Kontrolü

  5.1 Tedarikçi, (a) en az yılda bir defa güvenlik ve gizlilik riski değerlendirmelerini gerçekleştirecektir, (b) Kyndryl Teknolojisini İdare Etmesine ilişkin olarak, üretim sürümünün kullanıma sunulmasından önce ve bunun ardından yılda bir defa olmak üzere otomatikleştirilmiş sistem ve uygulama güvenliği taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testleri ve güvenlik açığı değerlendirmeleri gerçekleştirecektir, (c) en az yılda bir defa olmak üzere Sektördeki En İyi Uygulamalar ile tutarlı biçimde sızma testleri gerçekleştirmesi için nitelikli bir bağımsız üçüncü kişiyi görevlendirecektir ve anılan testlere hem otomatik hem de manuel testler dahil olacaktır, (d) Hizmetlerin ve Teslim Edilecek Malzemelerin her bileşeni için ve Kyndryl Teknolojisini İdare Etmesine ilişkin olarak güvenlik yapılandırması gereksinimlerine uygunluğunu otomatik olarak yönetecek ve düzenli olarak doğrulayacaktır ve (e) belirlenen güvenlik açıklarını ya da kendi güvenlik yapılandırması gereksinimlerine uygunluğu sağlamadığı durumları bağlantılı risk, istismar edilebilirlik ve etki doğrultusunda düzeltecektir. Tedarikçi, testlerin, değerlendirmelerin, taramaların ve düzeltme etkinliklerinin yürütülmesi sırasında Hizmetlerde kesinti olmasını önlemek için makul çabayı gösterecektir. Tedarikçi, Kyndryl'in talebi üzerine, ilgili tarihteki en güncel sızma testi etkinliklerine ilişkin yazılı bir özet sağlayacaktır. Bu rapor, asgari olarak testler kapsamındaki olanakların adını, testler için kapsam dahilindeki sistem veya uygulama sayısını, test tarihlerini, testlerde kullanılan metodolojiyi ve bulgulara ilişkin üst düzey bir özeti içerecektir.

  5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde ya da Kyndryl Teknolojisinin İdare Edilmesinde yapılan değişikliklerle bağlantılı risklerin yönetilmesi için tasarlanmış ilkeler ve prosedürler uygulayacaktır. Tedarikçi, etkilenen sistemler, ağlar ve temel bileşenler dahil olmak üzere anılan türde bir değişikliği uygulamadan önce, aşağıdakileri kayıtlı bir değişiklik isteğinde belgeleyecektir: (a) değişikliğin bir açıklaması ve gerekçesi, (b) uygulama ayrıntıları ve zaman çizelgesi, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiye ilişkin bir risk beyanı, (d) beklenen sonuç, (e) geri alma planı ve (f) yetkili Tedarikçi çalışanlarının onayı.

  5.3 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullanılan tüm BT varlıklarının bir envanterini tutacaktır. Tedarikçi, anılan varlıkların, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin altında yatan bileşenler dahil olmak üzere, anılan BT varlıklarını, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir.

  5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalarıkarşılayan önceden tanımlanmış sistem güvenlik görüntülerinden veya güvenlik referans değerlerinden oluşturulacaktır.

  5.5 Tedarikçi, iş sürekliliğine ilişkin kendi yükümlülüklerini ya da Kyndryl'in İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen haklarını sınırlamaksızın, belgelenmiş risk yönetimi yönergeleri uyarınca iş ve BT sürekliliği ile olağanüstü durum kurtarma gereksinimleri için her Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin İdare Edilmesine kullanılan her BT sistemini ayrı olarak değerlendirecektir. Tedarikçi, Sektördeki En İyi Uygulamalar uyarınca, bu tür her Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, anılan risk değerlendirmesinin gerektirdiği ölçüler dahilinde, ayrı olarak tanımlanmış, belgelenmiş, güncel tutulan ve yıllık olarak doğrulanan iş ve BT sürekliliği ile olağanüstü durum kurtarma planlarına sahip olmasını sağlayacaktır. Tedarikçi, anılan planların aşağıdaki Madde 5.6'da belirtilen belirli kurtarma sürelerini sağlayacak şekilde tasarlanmasını sağlayacaktır.

  5.6 Herhangi bir Barındırılan Hizmete ilişkin belirli kurtarma noktası hedefleri ("RPO") ile kurtarma süresi hedefleri ("RTO") şunlardır: 24 saat kurtarma noktası hedefi ve 24 saat kurtarma süresi hedefi; ancak Tedarikçi, daha kısa süreli bir kurtarma noktası ya da süresi hedefinin Kyndryl tarafından yazılı olarak Tedarikçiye bildirilmesinin (bir e-posta, yazılı bildirim olarak kabul edilir) ardından en kısa süre içinde Kyndryl tarafından bir Müşteriye taahhüt edilmiş olan herhangi bir daha kısa kurtarma noktası ya da süresi hedefine uyacaktır. Tedarikçi, Kyndryl'e sağladığı diğer tüm Hizmetlerle ilgili olduğundan, iş sürekliliğinin ve olağanüstü durum kurtarma planlarının, Kurtarma Noktası Hedefine ve Kurtarma Süresi Hedefine ulaşmak üzere tasarlanmasını sağlayacaktır. Bu planlar; test, destek ve bakımın zamanında sağlanmasına ilişkin yükümlülükleri dahil olmak üzere, Tedarikçinin İşlem Belgesi ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile bu Koşullar kapsamında Kyndryl'e karşı tüm yükümlülüklerine tam olarak uymaya devam etmesini sağlayacaktır.

  5.7 Tedarikçi, önerilen güvenlik yamalarını değerlendirmek, test etmek ve bunları Hizmetlere ve Teslim Edilecek Malzemelere ve anılan Hizmetlerin ve Teslim Edilecek Malzemelerin kapsamında bulunan ilgili sistemlere, ağlara, uygulamalara ve altta yatan bileşenlere ve aynı zamanda Kyndryl Teknolojisinin İdare Edilmesi için kullanılan sistemlere, ağlara, uygulamalara ve temel bileşenlere uygulamak üzere tasarlanmış önlemler uygulayacaktır. Tedarikçi, önerilen güvenlik yamasının uygulanabilir ve uygun olduğunun belirlenmesinin ardından, belgelenmiş önem derecesi ve risk değerlendirme yönergeleri doğrultusunda yamayı uygulayacaktır. Tedarikçinin önerilen güvenlik yamalarını uygulaması, Tedarikçinin değişiklik yönetimi ilkesine tabi olacaktır.

  5.8 Kyndryl, Tedarikçi tarafından kendisine sağlanan donanım veya yazılımların casus yazılım, kötü amaçlı yazılım ya da kötü amaçlı kod gibi izinsiz giriş yapan öğeler içerdiğine inanmak için makul gerekçeleri bulunması durumunda, Kyndryl'in endişelerinin araştırılması ve giderilmesi için en kısa süre içinde Kyndryl ile iş birliği yapacaktır.

  6. Hizmet Sağlama

  6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için sektörde yaygın olarak kullanılan birleşik kimlik doğrulaması yöntemlerini destekleyecek ve anılan Kyndryl kullanıcısı veya Müşteri hesaplarına kimlik doğrulaması uygulanması için Sektördeki En İyi Uygulamalara uyacaktır (örneğin, Kyndryl tarafından OpenID Connect veya Security Assertion Markup Language kullanılarak merkezi olarak yönetilen çok faktörlü Tek Oturum Açma). Tedarikçi, alt yüklenicilerden yararlanılmasına ilişkin olarak İşlem Belgesinde ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen yükümlülüklerini ya da Kyndryl'in haklarını sınırlamaksızın, Tedarikçi için iş yapan herhangi bir alt yüklenicinin bu Koşulların Tedarikçiye getirdiği gereksinimlere ve yükümlülüklere uymak için yönetişim kontrollerini devreye almış olmasını sağlayacaktır.

  7. Fiziksel Ortam. Tedarikçi, ortamın temizlenmesine ilişkin Sektördeki Ek İyi Uygulamalara uygun olarak, yeniden kullanılması amaçlanan fiziksel ortamları söz konusu yeniden kullanımdan önce güvenli bir biçimde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamı imha edecektir.

  8.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

 5. Bu yapılacaksa, Tedarikçinin, kendisine veya üçüncü kişiye ait Kaynak Kodunu Kyndryl'e sağladığı ya da Tedarikçinin Teslim Edilecek Malzemelerinden veya Hizmetlerinden herhangi birinin Kyndryl Müşterisine bir Kyndryl ürünü veya hizmetinin bir parçası olarak sağlanacağı hallerde Madde V (Güvenli Geliştirme), Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

   

  Tedarikçinin Kyndryl'e yalnızca Şirket İçi Yazılımı sağladığı hallerde, Madde V (Güvenli Geliştirme) ve Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Örnekler:

  • Tedarikçi, Kyndryl tarafından pazarlanacak ve satılacak bir ürün için, mülkiyeti kendisine ait olacak Kaynak Kodunu geliştirir.
  • Tedarikçi, Kyndryl'in şirket içi kullanımı için bir yazılımı programını Kyndryl'e lisanslar.
  • Kyndryl, Tedarikçi tarafından barındırılacak ve yönetilecek bir Tedarikçi Barındırılan Hizmetinin markasını bir Kyndryl ürünü veya hizmeti olarak değiştirir.

  Not:

  bir taahhüdün diğer kısımları Madde VIII'in uygulanmasına neden oluyorsa (örneğin, Tedarikçinin, iş iletişim bilgilerinin ötesinde Kyndryl Kişisel Verileri veya Kişisel Olmayan Verileri gibi bilgilere erişiminin olduğu hallerde), Tedarikçinin Kyndryl'e Şirket İçi yazılım sağlaması için Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) de geçerli olacaktır.

  Madde V, Güvenli Geliştirme

  Bu Madde, Tedarikçinin, kendisine veya üçüncü kişiye ait Kaynak Kodunu veya Şirket İçi Yazılımını Kyndryl'e sağlayacağı veya Tedarikçinin Teslim Edilecek Malzemelerinden veya Hizmetlerinden herhangi birinin Kyndryl Müşterisine bir Kyndryl ürünü veya hizmetinin bir parçası olarak sağlanacağı hallerde geçerlidir.

  1. Güvenlik Açısından Hazır Olma Durumu

  1.1 Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzer bilgi taleplerine zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Tedarikçinin Teslim Edilecek malzemelerine bağımlı olan Kyndryl ürünlerinin ve hizmetlerinin güvenlik açısından hazır olup olmadığını değerlendiren Kyndryl dahili süreçleriyle iş birliği yapacaktır.

  2. Güvenli Geliştirme

  2.1 Bu Madde 2 yalnızca Tedarikçinin Şirket İçi Yazılımı Kyndryl'e sağladığı durumlarda geçerlidir.

  2.2 Tedarikçi İşlem Belgesi süresince Sektördeki En İyi Uygulamalar uyarınca aşağıda belirtilenleri korumak için gereken ağ, platform, sistem, uygulama, cihaz, fiziksel altyapı, olaylara müdahale ve Personel odaklı güvenlik politikaları, prosedürleri ve kontrollerini uygulamıştır ve sürdürecektir: (a) Tedarikçinin veya Tedarikçi tarafından görevlendirilen herhangi bir üçüncü kişinin işlettiği, yönettiği, kullandığı veya başka şekilde güvendiği veya Teslim Edileceklerle ilgili geliştirme, oluşturma, test ve operasyon sistemleri ve ortamları ve (b) kayba, kanuna aykırı işleme biçimlerine ve yetkisiz erişime, ifşaya veya değiştirmeye karşı tüm Teslim Edilecek kaynak kodu.

  3. Güvenlik Zafiyetleri

  3.1 Bu Madde 3 yalnızca Tedarikçinin Teslim Edilecek Malzemelerini veya Hizmetlerini Kyndryl Müşterisine bir Kyndryl ürününün veya hizmetinin parçası olarak sağlayacağı hallerde geçerlidir.

  3.2 Tedarikçi, ISO 20243, Bilgi teknolojisi, Açık Güvenilir Teknoloji Sağlayıcısı, TM Standardı (O-TTPS), Kötü amaçla kusurlu hale getirilmiş ya da taklit ürünlerin azaltılması standartlarına uyumluluğuna ilişkin bir sertifikasyon edinecektir (kendi kendine değerlendirme yoluyla ya da saygın bağımsız denetçinin değerlendirmesi yoluyla edinilmiş sertifikasyon). Tedarikçi alternatif olarak, Tedarikçinin yazılı olarak talep etmesi ve Kyndryl tarafından yazılı olarak onaylanması durumunda, güvenli geliştirme ve tedarik zinciri uygulamalarını kapsayan, önemli ölçüde eşdeğer bir başka endüstri standardına uyumluluğa ilişkin bir sertifikasyon edinecektir (Kyndryl tarafından onaylanması durumunda ve onaylandığı şekilde, kendi kendine değerlendirme yoluyla ya da saygın bağımsız denetçinin değerlendirmesi yoluyla edinilmiş).

  3.3 Tedarikçi, İşlem Belgesinin yürürlük tarihini takip eden 180 Gün içinde ISO 20243 standardına veya önemli ölçüde eşdeğer bir endüstri standardına (Kyndryl tarafından yazılı olarak onaylanması durumunda) uyumlu olduğuna dair sertifikasyon edinecek ve takip eden her 12 ayda bir sertifikasyonu yenileyecektir (her yenileme, geçerli standardın, bir başka deyişle ISO 20243'ün en güncel sürümü uyarınca ya da Kyndryl'in yazılı olarak onaylamış olması durumunda, güvenli geliştirme ve tedarik zinciri uygulamalarını kapsayan önemli ölçüde eşdeğer bir endüstristandardı uyarınca gerçekleştirilecektir).

  3.4 Tedarikçi, talep edilmesi durumunda, yukarıdaki Maddeler 2.1 ve 2.2 uyarınca edinmekle yükümlü olduğu sertifikasyonların bir kopyasını en kısa süre içinde Kyndryl'e sağlayacaktır.

  4. Güvenlik Zafiyetleri

  Aşağıda kullanıldığı şekilde,

  Hata Düzeltme – Teslim Edilecek Malzemelerdeki Güvenlik Zafiyetleri dahil olmak üzere hataları ve kusurları gideren hata düzeltmelerini ve revizyonları ifade eder.

  Risk Azaltma, bir Güvenlik Zafiyeti ile bağlantılı risklerin azaltılmasına ya da bu risklerden kaçınmaya yönelik bilinen herhangi bir yöntemi ifade eder.

  Güvenlik Zafiyeti – bir Teslim Edilecek Malzemenin tasarlanması, kodlanması, geliştirilmesi, uygulanması, test edilmesi, çalıştırılması, desteklenmesi, sürdürülmesi ya da yönetilmesi ile bağlantılı olan ve herhangi bir kişinin (a) bir sisteme erişmesi, sistemin kontrolünü ele geçirmesi ya da işleyişini aksatması; (b) verilere erişmesi, verileri silmesi, değiştirmesi ya da dışa aktarması ya da (c) kullanıcıların ya da sistem yöneticilerinin kimliklerini, yetkilerini ya da izinlerini değiştirmesi dahil olmak üzere yetkisiz erişim elde etmesine ya da istismar etmesine yol açabilecek bir saldırı gerçekleştirebileceği bir durumu ifade eder. Bir Güvenlik Zafiyeti, bu zafiyete bir Genel Güvenlik Zafiyetleri ya da Riskleri (CVE) Tanıtıcısı ya da herhangi bir puanlama veya resmi sınıflandırma atanmış olup olmaması dikkate alınmaksızın mevcut olabilir.

  4.1 Tedarikçi, aşağıda belirtilenleri beyan ve taahhüt eder: (a) Güvenlik Zafiyetlerini belirlemek için sürekli olarak statik ve dinamik kaynak kodu uygulama güvenliği taraması, açık kaynak güvenlik taraması ve sistem güvenlik zafiyeti taraması dahil olmak üzere, SektördekiEn İyi Uygulamaları kullanacaktır ve (b) Tedarikçinin Hizmetleri ve Teslim Edilecek Malzemeleri üzerinde ve aracılığıyla oluşturduğu ve sağladığı tüm BT uygulamalarında, platformlarda ve altyapıda ve Teslim Edilecek Malzemelerde bulunan Güvenlik Zafiyetlerinin önlenmesine, tespit edilmesine ve düzeltilmesine yardımcı olmak için bu Koşulların gereksinimlerini karşılayacaktır.

  4.2 Tedarikçi, Teslim Edilecek Malzemede veya anılan BT uygulamasında, platformda veya altyapıda bir Güvenlik Zafiyetindenhaberdar olması halinde, Teslim Edilecek Malzemelerin tüm sürümleri ve yayınları için Hata Düzeltmeyi ve Risk Azaltmayı, aşağıdaki tablolarda belirtilen Önem Derecelerine ve zaman aralıklarına uygun bir şekilde Kyndryl'e sağlayacaktır:

  Önem Derecesi*

  Acil Durum Güvenlik Zafiyeti – ciddi ve potansiyel olarak küresel bir tehdit oluşturan bir Güvenlik Zafiyetidir. Kyndryl, Acil Durum Güvenlik Zafiyetlerini, yalnızca kendi takdirinde olmak üzere, CVSS Taban Puanını dikkate almaksızın belirler.

  Kritik – CVSS Taban Puanı 9 ile 10,0 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Yüksek – CVSS Taban Puanı 7,0 ile 8,9 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Orta – CVSS Taban Puanı 4,0 ile 6,9 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Düşük – CVSS Taban Puanı 0,0 ile 3,9 arasında olan bir Güvenlik Zafiyetini ifade eder.

  Zaman Aralıkları

  Acil Durum

  Kritik

  Yüksek

  Orta

  Düşük

  Kyndryl Üst Düzey Bilgi Güvenliği Yöneticisinin
  Ofisi tarafından belirlendiği
  şekilde 4 Gün veya daha kısa

  30 Gün

  30 Gün

  90 Gün

  Sektördeki En İyi Uygulamalar Uyarınca

  Tedarikçi, Güvenlik Zafiyetinin halihazırda atanmış bir CVSS Taban Puanına sahip olmadığı herhangi bir durumda, söz konusu güvenlik zafiyetinin niteliği ve koşulları için uygun bir Önem Derecesi uygulayacaktır.

  4.3 Tedarikçi, kamuya açıklanmış olan ve Tedarikçinin herhangi bir Hata Düzeltmesini veya Risk Azaltmayı Kyndryl'e henüz sağlamadığı bir Güvenlik Zafiyeti için güvenlik zafiyeti risklerini azaltabilecek, teknik açıdan mümkün olan her tür ek güvenlik kontrolünü uygulayacaktır.

  4.4 Tedarikçi, bir Teslim Edilecek Malzemede veya yukarıda atıfta bulunulan herhangi bir uygulamada, platformda veya altyapıda bulunan herhangi bir Güvenlik Zafiyetine ilişkin müdahalesinin Kyndryl tarafından tatmin edici bulunmaması halinde, Kyndryl’in sahip olduğu diğer tüm hakları saklı kalmak kaydıyla, Kyndryl’in endişeleriyle ilgili olarak bir Başkan Yardımcısı ya da Hata Düzeltmesinin sağlanmasından sorumlu bir eşdeğer üst düzey yönetici ile görüşmesine en kısa süre içinde olanak sağlayacaktır.

  4.5 Güvenlik Zafiyetlerine ilişkin örnekler arasında, üçüncü kişi kodu veya artık güvenlik düzeltmeleri almayan, hizmet sonuna gelmiş açık kaynak kodu yer alır.

  Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

  Bu Madde, Tedarikçinin anılan Hizmetleri veya Teslim Edilecek Malzemeleri sağlarken yalnızca Kyndryl İş İletişim Bilgilerine erişeceği durumlar (bir başka deyişle, Tedarikçi tarafından diğer herhangi bir Kyndryl Verisi İşlenmeyecektir ya da diğer herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişilmeyecektir) hariç olmak üzere, Tedarikçinin Kyndryl'e herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması ya da Tedarikçinin tüm Hizmetleri ve Teslim Edilecek Malzemeleri alt madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modeli içinde sağlaması durumunda geçerli olacaktır.

  Tedarikçi, bu Maddenin gereksinimlerine uyacak ve bunu yaparken (a) Kyndryl Malzemelerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya ve yanlışlıkla veya yetkisiz olarak erişime (b) Kyndryl Verilerini kanuna aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini kanuna aykırı İdare Etme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyon ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Güvenlik İlkeleri

  1.1 Tedarikçi, işinin ayrılmaz bir parçası olan BT güvenliği ilkelerini ve uygulamalarını sürdürecek ve bunlara uyacak olup,bunları tüm Tedarikçi Personeli için zorunlu ve Sektördeki En İyi Uygulamalara uygun durumda tutacaktır.

  1.2 Tedarikçi, BT güvenliği ilkelerini ve uygulamalarını en az yılda bir defa inceleyecek ve Kyndryl Malzemelerinin korunması için gerekli gördüğü şekilde değiştirecektir.

  1.3 Tedarikçi, yeni işe alınan tüm çalışanlar için standart, zorunlu işe alma doğrulaması gerekliliklerini sürdürecek ve bunları uygulayacak olup, anılan gereklilikleri, tüm Tedarikçi Personeli ile tamamı kendisine ait olan Tedarikçi yan kuruluşları için de geçerli hale getirecektir. Bu gereklilikler, yerel kanunların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulamasını ve Tedarikçi tarafından gerekli görülen tüm ek kontrolleri kapsayacaktır. Tedarikçi, bu gereklilikleri, gerekli gördüğü şekilde düzenli olarak yineleyecek ve yeniden doğrulayacaktır.

  1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi sağlayacak olup, tüm anılan çalışanların, çalışma kurallarında veya benzer belgelerde belirtildiği şekilde etik iş adabı, gizlilik ve güvenlik ilkelerine uyacaklarını her yıl tasdik etmelerini zorunlu kılacaktır. Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetici erişimi yetkisine sahip olan kişilere, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Malzemelerinin desteklenmesine ve rollerine özgü bir biçimde ve gerekli uyumluluğun ve sertifikasyonların sürdürülmesi için gerekli olduğu şekilde ek ilke ve süreç eğitimi sağlayacaktır.

  1.5 Tedarikçi, Kyndryl Malzemelerinin korunması ve kullanılabilirliğinin sürdürülmesi amacıyla, tüm Hizmetler ve Teslim Edilecek Malzemeler ile Kyndryl Teknolojisinin tüm İdaresine ilişkin olarak tasarımı gereği güvenlik ve gizlilik, güvenli mühendislik ve güvenli işletim gerektiren ilkelerin ve prosedürlerin uygulanması, sürdürülmesi ve bunlara uyumluluk dahil olmak üzere, güvenlik ve gizlilik önlemleri tasarlayacaktır.

  2. Güvenlik Olayları

  2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınmasına ilişkin Sektördeki En İyi Uygulamalara uygun olarak belgelenmiş olay müdahale ilkelerini sürdürecek ve bunlara uyacaktır.

  2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi ya da bunların yetkisiz kullanımını soruşturacak ve uygun bir müdahale planı tanımlayacak ve uygulayacaktır.

  2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir. Tedarikçi bu tür bildirimi şu adrese sağlayacaktır: cyber.incidents@kyndryl.com . Tedarikçi, anılan ihlale ve herhangi bir Tedarikçi düzeltme ve geri yükleme faaliyetinin durumuna ilişkin olarak makul ölçüler dahilinde talep edilmiş olan bilgileri Kyndryl'e sağlayacaktır. Örnek olarak, makul ölçüler dahilinde talep edilen bilgilere Aygıtlar, sistemler veya uygulamalar için ayrıcalıklı, sistem yöneticisi ve diğer erişimi gösteren log dosyaları, ihlale veya Tedarikçinin düzeltme ve geri yükleme etkinliklerine ilişkin olduğu ölçüde Aygıtların, sistemlerin veya uygulamaların ve diğer benzer öğelerin adli görüntüleri dahil olabilir.

  2.4 Tedarikçi, Kyndryl'in, Kyndryl bağlı kuruluşlarının ve Müşterilerinin (ve bunların müşterilerinin ve bağlı kuruluşlarının) bir Güvenlik İhlali ile bağlantılı herhangi bir yasal yükümlülüğünün (düzenleyici kuruluşlara veya İlgili Kişilere bildirimde bulunulması dahil) yerine getirilmesi için Kyndryl'e makul ölçüler dahilinde destek sağlayacaktır.

  2.5 Tedarikçi, Kyndryl tarafından yazılı onay verilmediği ya da kanunlarca zorunlu kılınmadığı sürece, bir Güvenlik İhlalinin Kyndryl veya Kyndryl Malzemeleri ile doğrudan veya dolaylı olarak ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek ya da bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'in kimliğini doğrudan veya dolaylı olarak ortaya çıkaracak olduğu hallerde kanunlarca zorunlu kılınan herhangi bir bildirimi herhangi bir üçüncü kişiye sağlamadan önce Kyndryl'e yazılı olarak bilgi verecektir.

  2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlalinin söz konusu olması durumunda:

  (a) Tedarikçi, Güvenlik İhlalinin ilgili düzenleyici kurumlara, diğer devlet ve ilgili sektör özdenetim kurumlarına, basına (geçerli kanunun zorunlu kılması halinde), İlgili Kişilere, Müşterilere ve diğer taraflara bildirimde bulunulmasıyla bağlantılı olarak karşı karşıya kaldığı herhangi bir maliyetten ve aynı zamanda Kyndryl'in karşı karşıya kaldığı gerçekleşen maliyetlerden sorumlu olacaktır,

  (b) Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, maliyetini kendisi karşılamak üzere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin İlgili Kişilere bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde İlgili Kişilerin Güvenlik İhlaline ve bunun sonuçlarına ilişkin sorularına yanıt verecek bir çağrı merkezi kuracak ve sürdürecektir. Kyndryl ile Tedarikçi, çağrı merkezi personelinin sorgulara yanıt verirken kullanacağı konuşma metinlerini ve diğer malzemeleri oluşturmak için birlikte çalışacaktır. Alternatif olarak Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçi tarafından bir çağrı merkezi kurulması yerine kendi çağrı merkezini kurabilir ve çalıştırabilir. Kyndryl'in bu tür bir çağrı merkezini kurması ve çalıştırması sırasında karşı karşıya kaldığı gerçekleşen maliyetler Tedarikçi tarafından tazmin edilecektir.

  (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi düzeltme hizmetlerine kaydolmayı seçen kişilere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde Kyndryl'in anılan hizmetleri sağlamak için karşı karşıya kaldığı gerçekleşen maliyetleri tazmin edecektir.

  3. Fiziksel Güvenlik ve Giriş Kontrolü ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder).

  3.1 Tedarikçi, Tesislere yetkisiz girişin önlenmesi için bariyerler, kartla kontrol edilen giriş noktaları, güvenlik kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrolleri uygulayacaktır.

  3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay alınmasını zorunlu kılacak ve erişimi iş rolüne ve iş gereksinimine göre sınırlandıracaktır. Tedarikçinin geçici erişim vermesi halinde, Tedarikçinin yetkili çalışanı, Tesis içinde ve herhangi bir kontrollü alanda bulunan herhangi bir ziyaretçiye eşlik edecektir.

  3.3 Tedarikçi, Tesislerdeki kontrollü alanlara girişi uygun şekilde kısıtlamak amacıyla, Sektördeki En İyi Uygulamalarla tutarlı, çok faktörlü erişim kontrolleri dahil olmak üzere, fiziksel erişim kontrollerini uygulayacak, tüm giriş denemelerini loga kaydedecek ve söz konusu logları en az bir yıl saklayacaktır.

  3.4 Tedarikçi, (a) bir yetkili Tedarikçi çalışanının işten ayrılması ya da (b) yetkili Tedarikçi çalışanının erişim için geçerli iş gereksiniminin ortadan kalkması üzerine Tesislere ve Tesisler içindeki kontrollü alanlara erişim yetkisini iptal edecektir. Tedarikçi, kişinin en kısa süre içinde erişim kontrol listelerinden çıkarılması ve fiziksel giriş kartlarını teslim etmesi de dahil olmak üzere belgelenmiş resmi ayrılma prosedürlerini uygulayacaktır.

  3.5 Tedarikçi, Hizmetleri, Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin İdaresini desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, su baskını, nem, hırsızlık ve yağmacılık gibi hem doğal hem de insanların neden olduğu çevresel tehditlere karşı korumak için önlemler alacaktır.

  4. Erişim, Müdahale, Aktarım ve Ayrılma Kontrolü

  4.1 Tedarikçi, Hizmetlerin verilmesi, Teslim Edilecek Malzemelerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi kapsamında, Hizmetlerin gerçekleştirilmesinde Tedarikçi tarafından yönetilen ağların belgelenmiş güvenlik mimarisini sürdürecektir. Tedarikçi, güvenli segmentasyon, ayrıştırma ve kapsamlı savunma standartlarına uyumluluk için anılan ağ mimarisini ayrı olarak inceleyecek, sistemlerle, uygulamalarla ve ağ aygıtlarıyla yetkisiz ağ bağlantıları kurulmasını önleyecek önlemlerden yararlanacaktır. Tedarikçi, herhangi bir Barındırılan Hizmete ilişkin operasyonlarda ve barındırma işleminde kablosuz teknolojiyi kullanamaz; diğer taraftan Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken ve Kyndryl Teknolojisini İdare Ederken kablosuz ağ teknolojisini kullanabilir. Ancak, bu tür herhangi bir kablosuz ağı şifreleyecek ve güvenli kimlik doğrulaması yapılmasını zorunlu kılacaktır.

  4.2 Tedarikçi, Kyndryl Malzemelerinin mantıksal olarak ayrı tutulmasını ve açığa çıkmasının ya da yetkisiz kişiler tarafından Kyndryl Malzemelerine erişilmesinin önlenmesini sağlamak üzere tasarlanmış önlemleri uygulayacaktır. Tedarikçi ayrıca, üretim ortamını, üretim dışı ortamı ve diğer ortamları uygun biçimde ayrıştıracak ve Kyndryl Malzemelerinin bir üretim dışı ortamda halihazırda mevcut olması ya da bu tür bir ortama aktarılmış olması halinde (örneğin, bir hatanın yeniden oluşturulması amacıyla), üretim dışı ortamda uygulanacak olan güvenlik ve gizlilik ile ilgili koruma tedbirlerinin üretim ortamında uygulananlara eşit olmasını sağlayacaktır.

  4.3 Tedarikçi, hareket halinde ve atıl durumda olan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin, atıl durumda olan Kyndryl Malzemelerinin şifrelenmesinin teknik olarak mümkün olmadığını Kyndryl'i makul biçimde ikna edecek şekilde kanıtladığı durumlar hariç). Ayrıca Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir. Tedarikçi, verilerin şifrelenmesiyle ilgili olarak, güvenli anahtarların oluşturulması, atanması, dağıtılması, depolanması, rotasyonu, iptali, kurtarılması, yedeklenmesi, imhası, bu anahtarlara erişim ve anahtarların kullanımı için belgelenmiş prosedürler sağlayacaktır. Tedarikçi, söz konusu şifreleme için kullanılan belirli kriptografik yöntemlerin (NIST SP 800-131a gibi) Sektördeki En İyi Uygulamalarla uyumlu olmasını sağlayacaktır.

  4.4 Tedarikçi, Kyndryl Malzemelerine erişmesinin gerekli olması halinde, bu erişimi Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması ve desteklenmesi için gerekli olan en düşük seviye ile kısıtlayacak ve sınırlayacaktır. Tedarikçi, anılan erişimin, herhangi bir temel bileşene sistem yöneticisi erişimi (örneğin, ayrıcalıklı erişim) dahil olmak üzere bireysel ve role dayalı olmasını ve görevler ayrılığı ilkeleri uyarınca yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını zorunlu tutacaktır. Tedarikçi, yedekteki ve atıl durumdaki hesapların belirlenmesi ve kaldırılması için önlemler uygulayacaktır. Tedarikçi ayrıca, hesap sahibinin işten ayrılmasını ya da Kyndryl'in veya anılan hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebini takip eden yirmi dört (24) saat içinde ayrıcalıklı erişim yetkisine sahip hesapları iptal edecektir.

  4.5 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olarak, aktif olmayan oturumların zaman aşımına uğramasını, arka arkaya çok sayıda başarısız oturum açma girişimi sonrasında hesapların kilitlenmesini, güçlü parola ya da şifre ile kimlik doğrulamasını sağlayacak teknik tedbirler ile anılan parolaların ve şifrelerin güvenli bir biçimde aktarılmasını ve depolanmasını gerektiren önlemler uygulayacaktır. Buna ek olarak Tedarikçi, herhangi bir Kyndryl Malzemesine konsol tabanlı olmayan ayrıcalıklı erişim için çok faktörlü kimlik doğrulamayı kullanacaktır.

  4.6 Tedarikçi, ayrıcalıklı erişim yetkisinin kullanımını izleyecektir ve (a) yetkisiz erişimin ve etkinliğin belirlenmesi, (b) söz konusu erişime ve etkinliğe zamanında ve uygun müdahaleye olanak sağlanması ve (c) belgelenmiş Tedarikçi ilkesine uygunluğun Tedarikçi, Kyndryl (bu Koşullarda belirtilen doğrulama hakları ile İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşme veya diğer ilgili sözleşmede yer alan doğrulama hakları uyarınca) ve diğerleri tarafından denetlenmesine olanak sağlanması amacıyla tasarlanmış güvenlik bilgisi ve olay yönetimi önlemleri uygulayacaktır.

  4.7 Tedarikçi, Hizmetlerin ya da Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı sistemlere ilişkin tüm sistem yöneticisi, kullanıcı ya da diğer erişimi veya etkinlikleri kaydettiği tüm logları, Sektördeki En İyi Uygulamalara uygun şekilde saklayacaktır (ve talep üzerine bu logları Kyndryl'e sağlayacaktır). Tedarikçi, anılan logları yetkisiz erişime, değişikliklere ve hata sonucu ya da kasıtlı olarak imha edilmeye karşı korumak üzere tasarlanmış tedbirler uygulayacaktır.

  4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere kendisine ait veya yönettiği sistemler ile Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak ya da Kyndryl Teknolojisini İdare Etmek amacıyla kullandığı sistemler için aşağıda belirtilen koruma önemleri dahil olmak üzere bilgi işlem koruma önlemleri uygulayacaktır: uç noktası güvenlik duvarları, tam disk şifrelemesi, kötü amaçlı yazılımları ve gelişmiş sürekli tehditleri ele alacak imza tabanlı ve imza tabanlı olmayan uç noktası tespit ve müdahale teknolojileri, süre tabanlı ekran kilitleri ve güvenlik yapılandırması ile yama uygulama gereksinimlerinin yerine getirilmesini sağlayan uç noktası yönetimi çözümleri. Buna ek olarak Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin, Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve idari kontrolleri uygulayacaktır.

  4.9 Tedarikçi, Sektördeki En İyi Uygulamalarla tutarlı bir şekilde, Kyndryl Malzemelerinin mevcut olduğu veya işlendiği veri merkezi ortamları için koruma önlemleri uygulayacaktır. Bu önlemlere aşağıda belirtilenler dahildir: izinsiz giriş saptama ve önleme ve hizmetin engellenmesi saldırılarına karşı önlemler ve risk azaltma.

  5. Hizmet ve Sistemlerin Bütünlüğü ve Kullanılabilirlik Kontrolü

  5.1 Tedarikçi, (a) en az yılda bir defa güvenlik ve gizlilik riski değerlendirmelerini gerçekleştirecektir, (b) Kyndryl Teknolojisini İdare Etmesine ilişkin olarak, üretim sürümünün kullanıma sunulmasından önce ve bunun ardından yılda bir defa olmak üzere otomatikleştirilmiş sistem ve uygulama güvenliği taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testleri ve güvenlik açığı değerlendirmeleri gerçekleştirecektir, (c) en az yılda bir defa olmak üzere Sektördeki En İyi Uygulamalar ile tutarlı biçimde sızma testleri gerçekleştirmesi için nitelikli bir bağımsız üçüncü kişiyi görevlendirecektir ve anılan testlere hem otomatik hem de manuel testler dahil olacaktır, (d) Hizmetlerin ve Teslim Edilecek Malzemelerin her bileşeni için ve Kyndryl Teknolojisini İdare Etmesine ilişkin olarak güvenlik yapılandırması gereksinimlerine uygunluğunu otomatik olarak yönetecek ve düzenli olarak doğrulayacaktır ve (e) belirlenen güvenlik açıklarını ya da kendi güvenlik yapılandırması gereksinimlerine uygunluğu sağlamadığı durumları bağlantılı risk, istismar edilebilirlik ve etki doğrultusunda düzeltecektir. Tedarikçi, testlerin, değerlendirmelerin, taramaların ve düzeltme etkinliklerinin yürütülmesi sırasında Hizmetlerde kesinti olmasını önlemek için makul çabayı gösterecektir. Tedarikçi, Kyndryl'in talebi üzerine, ilgili tarihteki en güncel sızma testi etkinliklerine ilişkin yazılı bir özet sağlayacaktır. Bu rapor, asgari olarak testler kapsamındaki olanakların adını, testler için kapsam dahilindeki sistem veya uygulama sayısını, test tarihlerini, testlerde kullanılan metodolojiyi ve bulgulara ilişkin üst düzey bir özeti içerecektir.

  5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde ya da Kyndryl Teknolojisinin İdare Edilmesinde yapılan değişikliklerle bağlantılı risklerin yönetilmesi için tasarlanmış ilkeler ve prosedürler uygulayacaktır. Tedarikçi, etkilenen sistemler, ağlar ve temel bileşenler dahil olmak üzere anılan türde bir değişikliği uygulamadan önce, aşağıdakileri kayıtlı bir değişiklik isteğinde belgeleyecektir: (a) değişikliğin bir açıklaması ve gerekçesi, (b) uygulama ayrıntıları ve zaman çizelgesi, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiye ilişkin bir risk beyanı, (d) beklenen sonuç, (e) geri alma planı ve (f) yetkili Tedarikçi çalışanlarının onayı.

  5.3 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullanılan tüm BT varlıklarının bir envanterini tutacaktır. Tedarikçi, anılan varlıkların, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin altında yatan bileşenler dahil olmak üzere, anılan BT varlıklarını, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir.

  5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalarıkarşılayan önceden tanımlanmış sistem güvenlik görüntülerinden veya güvenlik referans değerlerinden oluşturulacaktır.

  5.5 Tedarikçi, iş sürekliliğine ilişkin kendi yükümlülüklerini ya da Kyndryl'in İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen haklarını sınırlamaksızın, belgelenmiş risk yönetimi yönergeleri uyarınca iş ve BT sürekliliği ile olağanüstü durum kurtarma gereksinimleri için her Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin İdare Edilmesine kullanılan her BT sistemini ayrı olarak değerlendirecektir. Tedarikçi, Sektördeki En İyi Uygulamalar uyarınca, bu tür her Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, anılan risk değerlendirmesinin gerektirdiği ölçüler dahilinde, ayrı olarak tanımlanmış, belgelenmiş, güncel tutulan ve yıllık olarak doğrulanan iş ve BT sürekliliği ile olağanüstü durum kurtarma planlarına sahip olmasını sağlayacaktır. Tedarikçi, anılan planların aşağıdaki Madde 5.6'da belirtilen belirli kurtarma sürelerini sağlayacak şekilde tasarlanmasını sağlayacaktır.

  5.6 Herhangi bir Barındırılan Hizmete ilişkin belirli kurtarma noktası hedefleri ("RPO") ile kurtarma süresi hedefleri ("RTO") şunlardır: 24 saat kurtarma noktası hedefi ve 24 saat kurtarma süresi hedefi; ancak Tedarikçi, daha kısa süreli bir kurtarma noktası ya da süresi hedefinin Kyndryl tarafından yazılı olarak Tedarikçiye bildirilmesinin (bir e-posta, yazılı bildirim olarak kabul edilir) ardından en kısa süre içinde Kyndryl tarafından bir Müşteriye taahhüt edilmiş olan herhangi bir daha kısa kurtarma noktası ya da süresi hedefine uyacaktır. Tedarikçi, Kyndryl'e sağladığı diğer tüm Hizmetlerle ilgili olduğundan, iş sürekliliğinin ve olağanüstü durum kurtarma planlarının, Kurtarma Noktası Hedefine ve Kurtarma Süresi Hedefine ulaşmak üzere tasarlanmasını sağlayacaktır. Bu planlar; test, destek ve bakımın zamanında sağlanmasına ilişkin yükümlülükleri dahil olmak üzere, Tedarikçinin İşlem Belgesi ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile bu Koşullar kapsamında Kyndryl'e karşı tüm yükümlülüklerine tam olarak uymaya devam etmesini sağlayacaktır.

  5.7 Tedarikçi, önerilen güvenlik yamalarını değerlendirmek, test etmek ve bunları Hizmetlere ve Teslim Edilecek Malzemelere ve anılan Hizmetlerin ve Teslim Edilecek Malzemelerin kapsamında bulunan ilgili sistemlere, ağlara, uygulamalara ve altta yatan bileşenlere ve aynı zamanda Kyndryl Teknolojisinin İdare Edilmesi için kullanılan sistemlere, ağlara, uygulamalara ve temel bileşenlere uygulamak üzere tasarlanmış önlemler uygulayacaktır. Tedarikçi, önerilen güvenlik yamasının uygulanabilir ve uygun olduğunun belirlenmesinin ardından, belgelenmiş önem derecesi ve risk değerlendirme yönergeleri doğrultusunda yamayı uygulayacaktır. Tedarikçinin önerilen güvenlik yamalarını uygulaması, Tedarikçinin değişiklik yönetimi ilkesine tabi olacaktır.

  5.8 Kyndryl, Tedarikçi tarafından kendisine sağlanan donanım veya yazılımların casus yazılım, kötü amaçlı yazılım ya da kötü amaçlı kod gibi izinsiz giriş yapan öğeler içerdiğine inanmak için makul gerekçeleri bulunması durumunda, Kyndryl'in endişelerinin araştırılması ve giderilmesi için en kısa süre içinde Kyndryl ile iş birliği yapacaktır.

  6. Hizmet Sağlama

  6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için sektörde yaygın olarak kullanılan birleşik kimlik doğrulaması yöntemlerini destekleyecek ve anılan Kyndryl kullanıcısı veya Müşteri hesaplarına kimlik doğrulaması uygulanması için Sektördeki En İyi Uygulamalara uyacaktır (örneğin, Kyndryl tarafından OpenID Connect veya Security Assertion Markup Language kullanılarak merkezi olarak yönetilen çok faktörlü Tek Oturum Açma). Tedarikçi, alt yüklenicilerden yararlanılmasına ilişkin olarak İşlem Belgesinde ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen yükümlülüklerini ya da Kyndryl'in haklarını sınırlamaksızın, Tedarikçi için iş yapan herhangi bir alt yüklenicinin bu Koşulların Tedarikçiye getirdiği gereksinimlere ve yükümlülüklere uymak için yönetişim kontrollerini devreye almış olmasını sağlayacaktır.

  7. Fiziksel Ortam. Tedarikçi, ortamın temizlenmesine ilişkin Sektördeki Ek İyi Uygulamalara uygun olarak, yeniden kullanılması amaçlanan fiziksel ortamları söz konusu yeniden kullanımdan önce güvenli bir biçimde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamı imha edecektir.

  8.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

 6. Erişecekse, anılan erişim için Madde VI (Kurumsal Sistemlere Erişim), Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Örnekler:

  • Tedarikçinin geliştirme sorumlulukları, Kyndryl Kaynak Kodu havuzlarına erişimi gerekli kılar.

  Not:

  Tedarikçinin Kurumsal Sistemler kapsamında erişmesine izin verilen Kyndryl Malzemelerine bağlı olarak Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), Madde III (Gizlilik), Madde IV (Teknik ve İdari Tedbirler, Kod Güvenliği) ve Madde V (Güvenli Geliştirme) degeçerli olabilir.

  Madde VI, Kurumsal Sistemlere Erişim

  Bu Madde, Tedarikçi çalışanlarının herhangi bir Kurumsal Sisteme erişim yetkisine sahip olduğu durumlarda geçerlidir.

  1. Genel Koşullar

  1.1 Kyndryl, Tedarikçi çalışanlarına Kurumsal Sistemlere erişim yetkisi verilip verilmeyeceğini belirleyecektir. Kyndryl'in bu yetkiyi vermesi durumunda Tedarikçi, bu Maddenin gereksinimlerine uyacak ve anılan erişim yetkisine sahip olan çalışanlarının gereksinimlere uymasını sağlayacaktır.

  1.2 Kyndryl, Tedarikçi çalışanlarının Kurumsal Sistemlere Kyndryl ya da Tedarikçi tarafından sağlanan Aygıtları kullanarak erişmesi dahil olmak üzere, anılan çalışanların Kurumsal Sistemlere hangi yöntemle erişeceğini belirleyecektir.

  1.3 Tedarikçi çalışanları, yalnızca Hizmetleri sağlamak için Kurumsal Sistemlere erişebilir ve anılan erişim için yalnızca Kyndryl tarafından yetki verilen Aygıtları kullanabilir. Tedarikçi çalışanları, Kyndryl tarafından belirtilen şekilde yetki verilen Aygıtları diğer herhangi bir kişiye veya kuruluşa hizmet sağlamak ya da Hizmetler için veya Hizmetlerle bağlantılı olarak herhangi bir Tedarikçi ya da üçüncü kişi BT sistemine, ağına, uygulamasına, web sitesine, e-posta aracına, iş birliği araçlarına ya da benzerine erişmek için kullanmayacaktır.

  1.4 Herhangi bir şüpheye mahal vermemek için, Tedarikçi çalışanları, Kyndryl tarafından Kurumsal Sistemlere erişim için yetki verilen Aygıtları herhangi bir kişisel amaçla kullanamazlar (örneğin, Tedarikçi çalışanları, müzik, videolar, resimler vb. öğeleri anılan Aygıtlarda saklayamaz ve kişisel amaçlarla anılan Aygıtlar aracılığıyla İnterneti kullanamaz).

  1.5 Tedarikçi çalışanları, Kyndryl'in önceden yazılı onayı alınmaksızın Kurumsal Sistem aracılığıyla erişilebilen Kyndryl Malzemelerini kopyalamayacaktır (ve hiçbir zaman Kyndryl Malzemelerini USB, harici sabit disk sürücü veya benzeri aygıtlar gibi bir taşınabilir depolama aygıtına kopyalamayacaktır).

  1.6 Tedarikçi, talep edilmesi durumunda, çalışanlarının Kyndryl tarafından belirlenen herhangi bir zaman aralığında hangi belirli Kurumsal Sistemlerine erişim yetkisine sahip olduğunu, çalışan adıyla birlikte teyit edecektir.

  1.7 Tedarikçi, herhangi bir Kurumsal Sisteme erişim yetkisine sahip olan herhangi bir Tedarikçi çalışanının (a) Tedarikçi tarafından işten çıkarıldığını ya da (b) artık anılan erişimi gerektiren faaliyetlerde çalışmadığını yirmi dört (24) saat içinde Kyndryl'e bildirecektir. Tedarikçi, bu tür eski ya da mevcut çalışanlar için erişimin derhal iptal edilmesi amacıyla Kyndryl ile birlikte çalışacaktır.

  1.8 Tedarikçi, herhangi bir gerçekleşen ya da şüphe edilen güvenlik olayını (örneğin, bir Kyndryl ya da Tedarikçi aygıtının kaybedilmesi veya bir Aygıta ya da verilere, malzemelere veya diğer herhangi bir tür bilgiye yetkisiz erişim) derhal Kyndryl'e bildirecektir ve anılan olayların soruşturulmasında Kyndryl ile iş birliği yapacaktır.

  1.9 Tedarikçi, Kyndryl'in önceden yazılı onayı alınmaksızın herhangi bir aracı, bağımsız yüklenici ya da alt yüklenici çalışanının herhangi bir Kurumsal Sisteme erişmesine izin vermeyecektir; Kyndryl'in anılan onayı vermesi halinde Tedarikçi, anılan kişilerin ve işverenlerinin, anılan kişiler Tedarikçinin çalışanıymış gibi bu Maddenin gereksinimlerine uymasını sözleşme kapsamında zorunlu kılacaktır ve anılan kişilerin veya işverenlerin anılan Kurumsal Sistem erişimine ilişkin tüm eylemleri ve ihmalleri konusunda Kyndryl'e karşı sorumlu olacaktır.

  2. Aygıt Yazılımları

  2.1 Tedarikçi, çalışanlarının Kyndryl tarafından Kurumsal Sistemlere güvenli bir biçimde erişime olanak sağlanması için zorunlu kılınan tüm Aygıt yazılımlarını zamanında kurmasını isteyecektir. Tedarikçi ya da çalışanları, anılan yazılımların işleyişine ya da sağladığı güvenlik özelliklerine müdahale etmeyecektir.

  2.2 Tedarikçi ile çalışanları, Kyndryl tarafından belirlenen Aygıt yapılandırma kurallarına uyacaktır ve aksi halde, yazılımın Kyndryl tarafından amaçlanan biçimde çalışmasının sağlanmasına yardımcı olmak amacıyla Kyndryl ile birlikte çalışacaktır. Örneğin Tedarikçi, yazılımların web sitesi engelleme veya otomatik yama uygulama özelliklerini devre dışı bırakmayacaktır.

  2.3 Tedarikçi çalışanları, Kurumsal Sistemlere erişmek için kullandıkları Aygıtları ya da Aygıt kullanıcı adlarını, parolalarını vs. diğer herhangi bir kişi ile paylaşamaz.

  2.4 Tedarikçi, Kyndryl'in Tedarikçi çalışanlarının Kurumsal Sistemlere Tedarikçi Aygıtlarını kullanarak erişmesine yetki vermesi halinde, anılan Aygıtlar üzerinde Kyndryl tarafından onaylanan bir işletim sistemini kuracak ve çalıştıracaktır. Kyndryl tarafından talimat verilmesi durumunda, anılan işletim sisteminin yeni sürümüne ya da yeni bir işletim sistemine makul bir süre içinde yükseltme gerçekleştirecektir.

  3.Yönetim ve İş Birliği

  3.1 Kyndryl, muhtemel izinsiz girişi ve diğer siber güvenlik tehditlerini gerekli ya da uygun gördüğü herhangi bir biçimde, herhangi bir lokasyondan ve herhangi bir yöntemle, Tedarikçiye ya da herhangi bir Tedarikçi çalışanına veya diğer kişilere önceden bildirmeksizin izlemek ve gidermek için koşulsuz haklara sahiptir. Anılan haklara örnek olarak Kyndryl, herhangi bir zamanda (a) herhangi bir Aygıt üzerinde bir güvenlik testi gerçekleştirebilir, (b) herhangi bir Aygıtta saklanan ya da herhangi bir Kurumsal Sistem aracılığıyla aktarılan iletişimleri (herhangi bir e-posta hesabından e-postalar dahil), kayıtları, dosyaları ve diğer öğeleri izleyebilir, teknik ya da diğer yollarla kurtarabilir ve inceleyebilir ve (c) herhangi bir Aygıtın tam adli görüntüsünü alabilir. Tedarikçi, Kyndryl'in haklarından yararlanmak için Tedarikçinin iş birliğine gereksinim duyması halinde, anılan iş birliği için Kyndryl'in taleplerini tam olarak ve zamanında karşılayacaktır (örneğin, herhangi bir Aygıtın güvenli biçimde yapılandırılması, herhangi bir Aygıta izleme veya diğer yazılımların kurulması, sistem düzeyinde bağlantı ayrıntılarının paylaşılması, herhangi bir Aygıt üzerinde olay müdahale önlemlerinin işletilmesi ve Kyndryl'in tam adli görüntü alması için veya diğer herhangi bir amaçla herhangi bir Aygıta fiziksel erişim sağlanması ve benzer ve ilgili talepler).

  3.2 Kyndryl, kendi güvenliği için gerekli olduğuna inanması durumunda, Tedarikçiye ya da herhangi bir Tedarikçi çalışanına veya diğer kişilere önceden bildirmeksizin herhangi bir Tedarikçi çalışanının ya da tüm Tedarikçi çalışanlarının Kurumsal Sistemlere erişimini herhangi bir zamanda iptal edebilir.

  3.3 Kyndryl'in hakları, İşlem Belgesinin, taraflar arasında yürürlükte bulunan ilgili çerçeve sözleşmenin ya da diğer herhangi bir sözleşmenin verilerin, malzemelerin ya da diğer herhangi bir tür bilginin yalnızca belirlenmiş bir lokasyonda ya da lokasyonlarda bulundurulmasını ya da anılan verilere, malzemelere veya diğer bilgilere yalnızca belirlenmiş bir lokasyondaki ya da lokasyonlardaki kişiler tarafından erişilmesini gerektirebilecek herhangi bir hükmü tarafından herhangi bir şekilde engellenmez, azaltılmaz ya da kısıtlanmaz.

  4.Kyndryl Aygıtları

  4.1 Tüm Kyndryl Aygıtlarının mülkiyeti Kyndryl'e ait olmaya devam edecek olup, hırsızlık, yağma veya ihmal dahil olmak üzere Aygıtların kaybı riskinden Tedarikçi sorumlu olacaktır. Tedarikçi, Kyndryl'in önceden yazılı izni alınmaksızın Kyndryl Aygıtlarında herhangi bir değişiklik yapmayacak ya da yapılmasına izin vermeyecektir. Burada değişiklik, Aygıtın yazılımlarında, uygulamalarında, güvenlik tasarımında, güvenlik yapılandırmasında ya da fiziksel, mekanik veya elektrik tasarımında yapılacak herhangi bir değişikliği ifade eder.

  4.2 Tedarikçi, Hizmetlerin sağlanması için Aygıtlara duyulan gereksinim sona erdiğinde, anılan tüm Kyndryl Aygıtlarını 5 iş günü içinde iade edecektir ve Kyndryl tarafından talep edilmesi durumunda, anılan Aygıtlar üzerindeki tüm verileri, malzemeleri ve diğer herhangi bir tür bilgiyi, herhangi bir kopyasını saklamaksızın, bu tür verilerin, malzemelerin ve diğer bilgilerin kalıcı olarak silinmesine ilişkin Sektördeki En İyi Uygulamalar doğrultusunda aynı zamanda imha edecektir. Tedarikçi, makul aşınma ve eskime hariç olmak üzere, Kyndryl Aygıtlarını kendisine teslim edildiği andaki durumu ile aynı durumda ambalajlayacak ve maliyetini kendisi karşılamak üzere, Kyndryl tarafından belirlenen bir lokasyona geri gönderecektir. Tedarikçinin bu Madde 4.2'deki herhangi bir yükümlülüğü yerine getirmemesi, İşlem Belgesinin ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile diğer herhangi bir ilgili sözleşmenin esaslı ihlalini teşkil eder. Burada, bir sözleşmenin "ilgili" olması, Tedarikçinin anılan sözleşme kapsamındaki görevlerinin veya diğer etkinliklerinin herhangi bir Kurumsal Sisteme erişimi gerektirdiğini ifade eder.

  4.3 Kyndryl, Kyndryl Aygıtları için destek sağlayacaktır (Aygıt inceleme, önleyici ve düzeltici bakım dahil). Tedarikçi, düzeltici hizmet gereksinimini en kısa süre içinde Kyndryl'e bildirecektir.

  4.4 Kyndryl, kendisine ait ya da lisanslama hakkına sahip olduğu yazılım programları için, Tedarikçiye Kyndryl Aygıtlarına ilişkin yetkili kullanımını desteklemesi amacıyla kullanması, depolaması ve yeterli kopyalarını oluşturması için geçici bir hak verir. Tedarikçi, geçerli kanunun sözleşme ile feragat edilmesine olanak tanımaksızın açıkça izin verdiği durumlar hariç olmak üzere, programları herhangi bir kişiye devredemez, yazılım lisansı bilgilerinin kopyalarını oluşturamaz ya da herhangi bir programı parçalarına ayıramaz, tersine derleyemez, program üzerinde tersine mühendislik uygulayamaz ya da programı diğer herhangi bir şekilde çeviremez.

  5. Güncellemeler

  5.1 Kyndryl, İşlem Belgesinin ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmenin aksini belirten hükümlerine etki etmeksizin, Tedarikçiye yazılı bildirimde bulunarak ve Tedarikçinin onayını almaya gerek olmaksızın, geçerli kanun ya da Müşteri yükümlülüğü kapsamındaki herhangi bir gereksinimi karşılamak, güvenlikle ilgili en iyi uygulamalardaki herhangi bir gelişmeyi yansıtmak amacıyla ya da Kyndryl'in Kurumsal Sistemleri ya da Kyndryl'i korumak için uygun olduğuna inandığı diğer herhangi bir biçimde bu Maddeyi güncelleyebilir, bu Maddeye ekleme yapabilir ya da bu Maddeyi diğer herhangi bir biçimde değiştirebilir.

  Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

  Bu Madde, Tedarikçinin anılan Hizmetleri veya Teslim Edilecek Malzemeleri sağlarken yalnızca Kyndryl İş İletişim Bilgilerine erişeceği durumlar (bir başka deyişle, Tedarikçi tarafından diğer herhangi bir Kyndryl Verisi İşlenmeyecektir ya da diğer herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişilmeyecektir) hariç olmak üzere, Tedarikçinin Kyndryl'e herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması ya da Tedarikçinin tüm Hizmetleri ve Teslim Edilecek Malzemeleri alt madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modeli içinde sağlaması durumunda geçerli olacaktır.

  Tedarikçi, bu Maddenin gereksinimlerine uyacak ve bunu yaparken (a) Kyndryl Malzemelerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya ve yanlışlıkla veya yetkisiz olarak erişime (b) Kyndryl Verilerini kanuna aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini kanuna aykırı İdare Etme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyon ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Güvenlik İlkeleri

  1.1 Tedarikçi, işinin ayrılmaz bir parçası olan BT güvenliği ilkelerini ve uygulamalarını sürdürecek ve bunlara uyacak olup,bunları tüm Tedarikçi Personeli için zorunlu ve Sektördeki En İyi Uygulamalara uygun durumda tutacaktır.

  1.2 Tedarikçi, BT güvenliği ilkelerini ve uygulamalarını en az yılda bir defa inceleyecek ve Kyndryl Malzemelerinin korunması için gerekli gördüğü şekilde değiştirecektir.

  1.3 Tedarikçi, yeni işe alınan tüm çalışanlar için standart, zorunlu işe alma doğrulaması gerekliliklerini sürdürecek ve bunları uygulayacak olup, anılan gereklilikleri, tüm Tedarikçi Personeli ile tamamı kendisine ait olan Tedarikçi yan kuruluşları için de geçerli hale getirecektir. Bu gereklilikler, yerel kanunların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulamasını ve Tedarikçi tarafından gerekli görülen tüm ek kontrolleri kapsayacaktır. Tedarikçi, bu gereklilikleri, gerekli gördüğü şekilde düzenli olarak yineleyecek ve yeniden doğrulayacaktır.

  1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi sağlayacak olup, tüm anılan çalışanların, çalışma kurallarında veya benzer belgelerde belirtildiği şekilde etik iş adabı, gizlilik ve güvenlik ilkelerine uyacaklarını her yıl tasdik etmelerini zorunlu kılacaktır. Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetici erişimi yetkisine sahip olan kişilere, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Malzemelerinin desteklenmesine ve rollerine özgü bir biçimde ve gerekli uyumluluğun ve sertifikasyonların sürdürülmesi için gerekli olduğu şekilde ek ilke ve süreç eğitimi sağlayacaktır.

  1.5 Tedarikçi, Kyndryl Malzemelerinin korunması ve kullanılabilirliğinin sürdürülmesi amacıyla, tüm Hizmetler ve Teslim Edilecek Malzemeler ile Kyndryl Teknolojisinin tüm İdaresine ilişkin olarak tasarımı gereği güvenlik ve gizlilik, güvenli mühendislik ve güvenli işletim gerektiren ilkelerin ve prosedürlerin uygulanması, sürdürülmesi ve bunlara uyumluluk dahil olmak üzere, güvenlik ve gizlilik önlemleri tasarlayacaktır.

  2. Güvenlik Olayları

  2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınmasına ilişkin Sektördeki En İyi Uygulamalara uygun olarak belgelenmiş olay müdahale ilkelerini sürdürecek ve bunlara uyacaktır.

  2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi ya da bunların yetkisiz kullanımını soruşturacak ve uygun bir müdahale planı tanımlayacak ve uygulayacaktır.

  2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir. Tedarikçi bu tür bildirimi şu adrese sağlayacaktır: cyber.incidents@kyndryl.com . Tedarikçi, anılan ihlale ve herhangi bir Tedarikçi düzeltme ve geri yükleme faaliyetinin durumuna ilişkin olarak makul ölçüler dahilinde talep edilmiş olan bilgileri Kyndryl'e sağlayacaktır. Örnek olarak, makul ölçüler dahilinde talep edilen bilgilere Aygıtlar, sistemler veya uygulamalar için ayrıcalıklı, sistem yöneticisi ve diğer erişimi gösteren log dosyaları, ihlale veya Tedarikçinin düzeltme ve geri yükleme etkinliklerine ilişkin olduğu ölçüde Aygıtların, sistemlerin veya uygulamaların ve diğer benzer öğelerin adli görüntüleri dahil olabilir.

  2.4 Tedarikçi, Kyndryl'in, Kyndryl bağlı kuruluşlarının ve Müşterilerinin (ve bunların müşterilerinin ve bağlı kuruluşlarının) bir Güvenlik İhlali ile bağlantılı herhangi bir yasal yükümlülüğünün (düzenleyici kuruluşlara veya İlgili Kişilere bildirimde bulunulması dahil) yerine getirilmesi için Kyndryl'e makul ölçüler dahilinde destek sağlayacaktır.

  2.5 Tedarikçi, Kyndryl tarafından yazılı onay verilmediği ya da kanunlarca zorunlu kılınmadığı sürece, bir Güvenlik İhlalinin Kyndryl veya Kyndryl Malzemeleri ile doğrudan veya dolaylı olarak ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek ya da bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'in kimliğini doğrudan veya dolaylı olarak ortaya çıkaracak olduğu hallerde kanunlarca zorunlu kılınan herhangi bir bildirimi herhangi bir üçüncü kişiye sağlamadan önce Kyndryl'e yazılı olarak bilgi verecektir.

  2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlalinin söz konusu olması durumunda:

  (a) Tedarikçi, Güvenlik İhlalinin ilgili düzenleyici kurumlara, diğer devlet ve ilgili sektör özdenetim kurumlarına, basına (geçerli kanunun zorunlu kılması halinde), İlgili Kişilere, Müşterilere ve diğer taraflara bildirimde bulunulmasıyla bağlantılı olarak karşı karşıya kaldığı herhangi bir maliyetten ve aynı zamanda Kyndryl'in karşı karşıya kaldığı gerçekleşen maliyetlerden sorumlu olacaktır,

  (b) Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, maliyetini kendisi karşılamak üzere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin İlgili Kişilere bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde İlgili Kişilerin Güvenlik İhlaline ve bunun sonuçlarına ilişkin sorularına yanıt verecek bir çağrı merkezi kuracak ve sürdürecektir. Kyndryl ile Tedarikçi, çağrı merkezi personelinin sorgulara yanıt verirken kullanacağı konuşma metinlerini ve diğer malzemeleri oluşturmak için birlikte çalışacaktır. Alternatif olarak Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçi tarafından bir çağrı merkezi kurulması yerine kendi çağrı merkezini kurabilir ve çalıştırabilir. Kyndryl'in bu tür bir çağrı merkezini kurması ve çalıştırması sırasında karşı karşıya kaldığı gerçekleşen maliyetler Tedarikçi tarafından tazmin edilecektir.

  (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi düzeltme hizmetlerine kaydolmayı seçen kişilere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde Kyndryl'in anılan hizmetleri sağlamak için karşı karşıya kaldığı gerçekleşen maliyetleri tazmin edecektir.

  3. Fiziksel Güvenlik ve Giriş Kontrolü ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder).

  3.1 Tedarikçi, Tesislere yetkisiz girişin önlenmesi için bariyerler, kartla kontrol edilen giriş noktaları, güvenlik kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrolleri uygulayacaktır.

  3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay alınmasını zorunlu kılacak ve erişimi iş rolüne ve iş gereksinimine göre sınırlandıracaktır. Tedarikçinin geçici erişim vermesi halinde, Tedarikçinin yetkili çalışanı, Tesis içinde ve herhangi bir kontrollü alanda bulunan herhangi bir ziyaretçiye eşlik edecektir.

  3.3 Tedarikçi, Tesislerdeki kontrollü alanlara girişi uygun şekilde kısıtlamak amacıyla, Sektördeki En İyi Uygulamalarla tutarlı, çok faktörlü erişim kontrolleri dahil olmak üzere, fiziksel erişim kontrollerini uygulayacak, tüm giriş denemelerini loga kaydedecek ve söz konusu logları en az bir yıl saklayacaktır.

  3.4 Tedarikçi, (a) bir yetkili Tedarikçi çalışanının işten ayrılması ya da (b) yetkili Tedarikçi çalışanının erişim için geçerli iş gereksiniminin ortadan kalkması üzerine Tesislere ve Tesisler içindeki kontrollü alanlara erişim yetkisini iptal edecektir. Tedarikçi, kişinin en kısa süre içinde erişim kontrol listelerinden çıkarılması ve fiziksel giriş kartlarını teslim etmesi de dahil olmak üzere belgelenmiş resmi ayrılma prosedürlerini uygulayacaktır.

  3.5 Tedarikçi, Hizmetleri, Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin İdaresini desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, su baskını, nem, hırsızlık ve yağmacılık gibi hem doğal hem de insanların neden olduğu çevresel tehditlere karşı korumak için önlemler alacaktır.

  4. Erişim, Müdahale, Aktarım ve Ayrılma Kontrolü

  4.1 Tedarikçi, Hizmetlerin verilmesi, Teslim Edilecek Malzemelerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi kapsamında, Hizmetlerin gerçekleştirilmesinde Tedarikçi tarafından yönetilen ağların belgelenmiş güvenlik mimarisini sürdürecektir. Tedarikçi, güvenli segmentasyon, ayrıştırma ve kapsamlı savunma standartlarına uyumluluk için anılan ağ mimarisini ayrı olarak inceleyecek, sistemlerle, uygulamalarla ve ağ aygıtlarıyla yetkisiz ağ bağlantıları kurulmasını önleyecek önlemlerden yararlanacaktır. Tedarikçi, herhangi bir Barındırılan Hizmete ilişkin operasyonlarda ve barındırma işleminde kablosuz teknolojiyi kullanamaz; diğer taraftan Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken ve Kyndryl Teknolojisini İdare Ederken kablosuz ağ teknolojisini kullanabilir. Ancak, bu tür herhangi bir kablosuz ağı şifreleyecek ve güvenli kimlik doğrulaması yapılmasını zorunlu kılacaktır.

  4.2 Tedarikçi, Kyndryl Malzemelerinin mantıksal olarak ayrı tutulmasını ve açığa çıkmasının ya da yetkisiz kişiler tarafından Kyndryl Malzemelerine erişilmesinin önlenmesini sağlamak üzere tasarlanmış önlemleri uygulayacaktır. Tedarikçi ayrıca, üretim ortamını, üretim dışı ortamı ve diğer ortamları uygun biçimde ayrıştıracak ve Kyndryl Malzemelerinin bir üretim dışı ortamda halihazırda mevcut olması ya da bu tür bir ortama aktarılmış olması halinde (örneğin, bir hatanın yeniden oluşturulması amacıyla), üretim dışı ortamda uygulanacak olan güvenlik ve gizlilik ile ilgili koruma tedbirlerinin üretim ortamında uygulananlara eşit olmasını sağlayacaktır.

  4.3 Tedarikçi, hareket halinde ve atıl durumda olan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin, atıl durumda olan Kyndryl Malzemelerinin şifrelenmesinin teknik olarak mümkün olmadığını Kyndryl'i makul biçimde ikna edecek şekilde kanıtladığı durumlar hariç). Ayrıca Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir. Tedarikçi, verilerin şifrelenmesiyle ilgili olarak, güvenli anahtarların oluşturulması, atanması, dağıtılması, depolanması, rotasyonu, iptali, kurtarılması, yedeklenmesi, imhası, bu anahtarlara erişim ve anahtarların kullanımı için belgelenmiş prosedürler sağlayacaktır. Tedarikçi, söz konusu şifreleme için kullanılan belirli kriptografik yöntemlerin (NIST SP 800-131a gibi) Sektördeki En İyi Uygulamalarla uyumlu olmasını sağlayacaktır.

  4.4 Tedarikçi, Kyndryl Malzemelerine erişmesinin gerekli olması halinde, bu erişimi Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması ve desteklenmesi için gerekli olan en düşük seviye ile kısıtlayacak ve sınırlayacaktır. Tedarikçi, anılan erişimin, herhangi bir temel bileşene sistem yöneticisi erişimi (örneğin, ayrıcalıklı erişim) dahil olmak üzere bireysel ve role dayalı olmasını ve görevler ayrılığı ilkeleri uyarınca yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını zorunlu tutacaktır. Tedarikçi, yedekteki ve atıl durumdaki hesapların belirlenmesi ve kaldırılması için önlemler uygulayacaktır. Tedarikçi ayrıca, hesap sahibinin işten ayrılmasını ya da Kyndryl'in veya anılan hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebini takip eden yirmi dört (24) saat içinde ayrıcalıklı erişim yetkisine sahip hesapları iptal edecektir.

  4.5 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olarak, aktif olmayan oturumların zaman aşımına uğramasını, arka arkaya çok sayıda başarısız oturum açma girişimi sonrasında hesapların kilitlenmesini, güçlü parola ya da şifre ile kimlik doğrulamasını sağlayacak teknik tedbirler ile anılan parolaların ve şifrelerin güvenli bir biçimde aktarılmasını ve depolanmasını gerektiren önlemler uygulayacaktır. Buna ek olarak Tedarikçi, herhangi bir Kyndryl Malzemesine konsol tabanlı olmayan ayrıcalıklı erişim için çok faktörlü kimlik doğrulamayı kullanacaktır.

  4.6 Tedarikçi, ayrıcalıklı erişim yetkisinin kullanımını izleyecektir ve (a) yetkisiz erişimin ve etkinliğin belirlenmesi, (b) söz konusu erişime ve etkinliğe zamanında ve uygun müdahaleye olanak sağlanması ve (c) belgelenmiş Tedarikçi ilkesine uygunluğun Tedarikçi, Kyndryl (bu Koşullarda belirtilen doğrulama hakları ile İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşme veya diğer ilgili sözleşmede yer alan doğrulama hakları uyarınca) ve diğerleri tarafından denetlenmesine olanak sağlanması amacıyla tasarlanmış güvenlik bilgisi ve olay yönetimi önlemleri uygulayacaktır.

  4.7 Tedarikçi, Hizmetlerin ya da Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı sistemlere ilişkin tüm sistem yöneticisi, kullanıcı ya da diğer erişimi veya etkinlikleri kaydettiği tüm logları, Sektördeki En İyi Uygulamalara uygun şekilde saklayacaktır (ve talep üzerine bu logları Kyndryl'e sağlayacaktır). Tedarikçi, anılan logları yetkisiz erişime, değişikliklere ve hata sonucu ya da kasıtlı olarak imha edilmeye karşı korumak üzere tasarlanmış tedbirler uygulayacaktır.

  4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere kendisine ait veya yönettiği sistemler ile Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak ya da Kyndryl Teknolojisini İdare Etmek amacıyla kullandığı sistemler için aşağıda belirtilen koruma önemleri dahil olmak üzere bilgi işlem koruma önlemleri uygulayacaktır: uç noktası güvenlik duvarları, tam disk şifrelemesi, kötü amaçlı yazılımları ve gelişmiş sürekli tehditleri ele alacak imza tabanlı ve imza tabanlı olmayan uç noktası tespit ve müdahale teknolojileri, süre tabanlı ekran kilitleri ve güvenlik yapılandırması ile yama uygulama gereksinimlerinin yerine getirilmesini sağlayan uç noktası yönetimi çözümleri. Buna ek olarak Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin, Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve idari kontrolleri uygulayacaktır.

  4.9 Tedarikçi, Sektördeki En İyi Uygulamalarla tutarlı bir şekilde, Kyndryl Malzemelerinin mevcut olduğu veya işlendiği veri merkezi ortamları için koruma önlemleri uygulayacaktır. Bu önlemlere aşağıda belirtilenler dahildir: izinsiz giriş saptama ve önleme ve hizmetin engellenmesi saldırılarına karşı önlemler ve risk azaltma.

  5. Hizmet ve Sistemlerin Bütünlüğü ve Kullanılabilirlik Kontrolü

  5.1 Tedarikçi, (a) en az yılda bir defa güvenlik ve gizlilik riski değerlendirmelerini gerçekleştirecektir, (b) Kyndryl Teknolojisini İdare Etmesine ilişkin olarak, üretim sürümünün kullanıma sunulmasından önce ve bunun ardından yılda bir defa olmak üzere otomatikleştirilmiş sistem ve uygulama güvenliği taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testleri ve güvenlik açığı değerlendirmeleri gerçekleştirecektir, (c) en az yılda bir defa olmak üzere Sektördeki En İyi Uygulamalar ile tutarlı biçimde sızma testleri gerçekleştirmesi için nitelikli bir bağımsız üçüncü kişiyi görevlendirecektir ve anılan testlere hem otomatik hem de manuel testler dahil olacaktır, (d) Hizmetlerin ve Teslim Edilecek Malzemelerin her bileşeni için ve Kyndryl Teknolojisini İdare Etmesine ilişkin olarak güvenlik yapılandırması gereksinimlerine uygunluğunu otomatik olarak yönetecek ve düzenli olarak doğrulayacaktır ve (e) belirlenen güvenlik açıklarını ya da kendi güvenlik yapılandırması gereksinimlerine uygunluğu sağlamadığı durumları bağlantılı risk, istismar edilebilirlik ve etki doğrultusunda düzeltecektir. Tedarikçi, testlerin, değerlendirmelerin, taramaların ve düzeltme etkinliklerinin yürütülmesi sırasında Hizmetlerde kesinti olmasını önlemek için makul çabayı gösterecektir. Tedarikçi, Kyndryl'in talebi üzerine, ilgili tarihteki en güncel sızma testi etkinliklerine ilişkin yazılı bir özet sağlayacaktır. Bu rapor, asgari olarak testler kapsamındaki olanakların adını, testler için kapsam dahilindeki sistem veya uygulama sayısını, test tarihlerini, testlerde kullanılan metodolojiyi ve bulgulara ilişkin üst düzey bir özeti içerecektir.

  5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde ya da Kyndryl Teknolojisinin İdare Edilmesinde yapılan değişikliklerle bağlantılı risklerin yönetilmesi için tasarlanmış ilkeler ve prosedürler uygulayacaktır. Tedarikçi, etkilenen sistemler, ağlar ve temel bileşenler dahil olmak üzere anılan türde bir değişikliği uygulamadan önce, aşağıdakileri kayıtlı bir değişiklik isteğinde belgeleyecektir: (a) değişikliğin bir açıklaması ve gerekçesi, (b) uygulama ayrıntıları ve zaman çizelgesi, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiye ilişkin bir risk beyanı, (d) beklenen sonuç, (e) geri alma planı ve (f) yetkili Tedarikçi çalışanlarının onayı.

  5.3 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullanılan tüm BT varlıklarının bir envanterini tutacaktır. Tedarikçi, anılan varlıkların, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin altında yatan bileşenler dahil olmak üzere, anılan BT varlıklarını, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir.

  5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalarıkarşılayan önceden tanımlanmış sistem güvenlik görüntülerinden veya güvenlik referans değerlerinden oluşturulacaktır.

  5.5 Tedarikçi, iş sürekliliğine ilişkin kendi yükümlülüklerini ya da Kyndryl'in İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen haklarını sınırlamaksızın, belgelenmiş risk yönetimi yönergeleri uyarınca iş ve BT sürekliliği ile olağanüstü durum kurtarma gereksinimleri için her Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin İdare Edilmesine kullanılan her BT sistemini ayrı olarak değerlendirecektir. Tedarikçi, Sektördeki En İyi Uygulamalar uyarınca, bu tür her Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, anılan risk değerlendirmesinin gerektirdiği ölçüler dahilinde, ayrı olarak tanımlanmış, belgelenmiş, güncel tutulan ve yıllık olarak doğrulanan iş ve BT sürekliliği ile olağanüstü durum kurtarma planlarına sahip olmasını sağlayacaktır. Tedarikçi, anılan planların aşağıdaki Madde 5.6'da belirtilen belirli kurtarma sürelerini sağlayacak şekilde tasarlanmasını sağlayacaktır.

  5.6 Herhangi bir Barındırılan Hizmete ilişkin belirli kurtarma noktası hedefleri ("RPO") ile kurtarma süresi hedefleri ("RTO") şunlardır: 24 saat kurtarma noktası hedefi ve 24 saat kurtarma süresi hedefi; ancak Tedarikçi, daha kısa süreli bir kurtarma noktası ya da süresi hedefinin Kyndryl tarafından yazılı olarak Tedarikçiye bildirilmesinin (bir e-posta, yazılı bildirim olarak kabul edilir) ardından en kısa süre içinde Kyndryl tarafından bir Müşteriye taahhüt edilmiş olan herhangi bir daha kısa kurtarma noktası ya da süresi hedefine uyacaktır. Tedarikçi, Kyndryl'e sağladığı diğer tüm Hizmetlerle ilgili olduğundan, iş sürekliliğinin ve olağanüstü durum kurtarma planlarının, Kurtarma Noktası Hedefine ve Kurtarma Süresi Hedefine ulaşmak üzere tasarlanmasını sağlayacaktır. Bu planlar; test, destek ve bakımın zamanında sağlanmasına ilişkin yükümlülükleri dahil olmak üzere, Tedarikçinin İşlem Belgesi ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile bu Koşullar kapsamında Kyndryl'e karşı tüm yükümlülüklerine tam olarak uymaya devam etmesini sağlayacaktır.

  5.7 Tedarikçi, önerilen güvenlik yamalarını değerlendirmek, test etmek ve bunları Hizmetlere ve Teslim Edilecek Malzemelere ve anılan Hizmetlerin ve Teslim Edilecek Malzemelerin kapsamında bulunan ilgili sistemlere, ağlara, uygulamalara ve altta yatan bileşenlere ve aynı zamanda Kyndryl Teknolojisinin İdare Edilmesi için kullanılan sistemlere, ağlara, uygulamalara ve temel bileşenlere uygulamak üzere tasarlanmış önlemler uygulayacaktır. Tedarikçi, önerilen güvenlik yamasının uygulanabilir ve uygun olduğunun belirlenmesinin ardından, belgelenmiş önem derecesi ve risk değerlendirme yönergeleri doğrultusunda yamayı uygulayacaktır. Tedarikçinin önerilen güvenlik yamalarını uygulaması, Tedarikçinin değişiklik yönetimi ilkesine tabi olacaktır.

  5.8 Kyndryl, Tedarikçi tarafından kendisine sağlanan donanım veya yazılımların casus yazılım, kötü amaçlı yazılım ya da kötü amaçlı kod gibi izinsiz giriş yapan öğeler içerdiğine inanmak için makul gerekçeleri bulunması durumunda, Kyndryl'in endişelerinin araştırılması ve giderilmesi için en kısa süre içinde Kyndryl ile iş birliği yapacaktır.

  6. Hizmet Sağlama

  6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için sektörde yaygın olarak kullanılan birleşik kimlik doğrulaması yöntemlerini destekleyecek ve anılan Kyndryl kullanıcısı veya Müşteri hesaplarına kimlik doğrulaması uygulanması için Sektördeki En İyi Uygulamalara uyacaktır (örneğin, Kyndryl tarafından OpenID Connect veya Security Assertion Markup Language kullanılarak merkezi olarak yönetilen çok faktörlü Tek Oturum Açma). Tedarikçi, alt yüklenicilerden yararlanılmasına ilişkin olarak İşlem Belgesinde ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen yükümlülüklerini ya da Kyndryl'in haklarını sınırlamaksızın, Tedarikçi için iş yapan herhangi bir alt yüklenicinin bu Koşulların Tedarikçiye getirdiği gereksinimlere ve yükümlülüklere uymak için yönetişim kontrollerini devreye almış olmasını sağlayacaktır.

  7. Fiziksel Ortam. Tedarikçi, ortamın temizlenmesine ilişkin Sektördeki Ek İyi Uygulamalara uygun olarak, yeniden kullanılması amaçlanan fiziksel ortamları söz konusu yeniden kullanımdan önce güvenli bir biçimde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamı imha edecektir.

  8.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

 7. Öyle ise, Madde VI (Kurumsal Sistemlere Erişim), Madde VII (Personel Artırma) ve Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır.

  Not:

  Tedarikçinin Kurumsal Sistemler kapsamında erişmesine izin verilen Kyndryl Malzemelerine bağlı olarak Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), Madde III (Gizlilik), Madde IV (Teknik ve İdari Tedbirler, Kod Güvenliği) ve Madde V (Güvenli Geliştirme) degeçerli olabilir.

  Madde VI, Kurumsal Sistemlere Erişim

  Bu Madde, Tedarikçi çalışanlarının herhangi bir Kurumsal Sisteme erişim yetkisine sahip olduğu durumlarda geçerlidir.

  1. Genel Koşullar

  1.1 Kyndryl, Tedarikçi çalışanlarına Kurumsal Sistemlere erişim yetkisi verilip verilmeyeceğini belirleyecektir. Kyndryl'in bu yetkiyi vermesi durumunda Tedarikçi, bu Maddenin gereksinimlerine uyacak ve anılan erişim yetkisine sahip olan çalışanlarının gereksinimlere uymasını sağlayacaktır.

  1.2 Kyndryl, Tedarikçi çalışanlarının Kurumsal Sistemlere Kyndryl ya da Tedarikçi tarafından sağlanan Aygıtları kullanarak erişmesi dahil olmak üzere, anılan çalışanların Kurumsal Sistemlere hangi yöntemle erişeceğini belirleyecektir.

  1.3 Tedarikçi çalışanları, yalnızca Hizmetleri sağlamak için Kurumsal Sistemlere erişebilir ve anılan erişim için yalnızca Kyndryl tarafından yetki verilen Aygıtları kullanabilir. Tedarikçi çalışanları, Kyndryl tarafından belirtilen şekilde yetki verilen Aygıtları diğer herhangi bir kişiye veya kuruluşa hizmet sağlamak ya da Hizmetler için veya Hizmetlerle bağlantılı olarak herhangi bir Tedarikçi ya da üçüncü kişi BT sistemine, ağına, uygulamasına, web sitesine, e-posta aracına, iş birliği araçlarına ya da benzerine erişmek için kullanmayacaktır.

  1.4 Herhangi bir şüpheye mahal vermemek için, Tedarikçi çalışanları, Kyndryl tarafından Kurumsal Sistemlere erişim için yetki verilen Aygıtları herhangi bir kişisel amaçla kullanamazlar (örneğin, Tedarikçi çalışanları, müzik, videolar, resimler vb. öğeleri anılan Aygıtlarda saklayamaz ve kişisel amaçlarla anılan Aygıtlar aracılığıyla İnterneti kullanamaz).

  1.5 Tedarikçi çalışanları, Kyndryl'in önceden yazılı onayı alınmaksızın Kurumsal Sistem aracılığıyla erişilebilen Kyndryl Malzemelerini kopyalamayacaktır (ve hiçbir zaman Kyndryl Malzemelerini USB, harici sabit disk sürücü veya benzeri aygıtlar gibi bir taşınabilir depolama aygıtına kopyalamayacaktır).

  1.6 Tedarikçi, talep edilmesi durumunda, çalışanlarının Kyndryl tarafından belirlenen herhangi bir zaman aralığında hangi belirli Kurumsal Sistemlerine erişim yetkisine sahip olduğunu, çalışan adıyla birlikte teyit edecektir.

  1.7 Tedarikçi, herhangi bir Kurumsal Sisteme erişim yetkisine sahip olan herhangi bir Tedarikçi çalışanının (a) Tedarikçi tarafından işten çıkarıldığını ya da (b) artık anılan erişimi gerektiren faaliyetlerde çalışmadığını yirmi dört (24) saat içinde Kyndryl'e bildirecektir. Tedarikçi, bu tür eski ya da mevcut çalışanlar için erişimin derhal iptal edilmesi amacıyla Kyndryl ile birlikte çalışacaktır.

  1.8 Tedarikçi, herhangi bir gerçekleşen ya da şüphe edilen güvenlik olayını (örneğin, bir Kyndryl ya da Tedarikçi aygıtının kaybedilmesi veya bir Aygıta ya da verilere, malzemelere veya diğer herhangi bir tür bilgiye yetkisiz erişim) derhal Kyndryl'e bildirecektir ve anılan olayların soruşturulmasında Kyndryl ile iş birliği yapacaktır.

  1.9 Tedarikçi, Kyndryl'in önceden yazılı onayı alınmaksızın herhangi bir aracı, bağımsız yüklenici ya da alt yüklenici çalışanının herhangi bir Kurumsal Sisteme erişmesine izin vermeyecektir; Kyndryl'in anılan onayı vermesi halinde Tedarikçi, anılan kişilerin ve işverenlerinin, anılan kişiler Tedarikçinin çalışanıymış gibi bu Maddenin gereksinimlerine uymasını sözleşme kapsamında zorunlu kılacaktır ve anılan kişilerin veya işverenlerin anılan Kurumsal Sistem erişimine ilişkin tüm eylemleri ve ihmalleri konusunda Kyndryl'e karşı sorumlu olacaktır.

  2. Aygıt Yazılımları

  2.1 Tedarikçi, çalışanlarının Kyndryl tarafından Kurumsal Sistemlere güvenli bir biçimde erişime olanak sağlanması için zorunlu kılınan tüm Aygıt yazılımlarını zamanında kurmasını isteyecektir. Tedarikçi ya da çalışanları, anılan yazılımların işleyişine ya da sağladığı güvenlik özelliklerine müdahale etmeyecektir.

  2.2 Tedarikçi ile çalışanları, Kyndryl tarafından belirlenen Aygıt yapılandırma kurallarına uyacaktır ve aksi halde, yazılımın Kyndryl tarafından amaçlanan biçimde çalışmasının sağlanmasına yardımcı olmak amacıyla Kyndryl ile birlikte çalışacaktır. Örneğin Tedarikçi, yazılımların web sitesi engelleme veya otomatik yama uygulama özelliklerini devre dışı bırakmayacaktır.

  2.3 Tedarikçi çalışanları, Kurumsal Sistemlere erişmek için kullandıkları Aygıtları ya da Aygıt kullanıcı adlarını, parolalarını vs. diğer herhangi bir kişi ile paylaşamaz.

  2.4 Tedarikçi, Kyndryl'in Tedarikçi çalışanlarının Kurumsal Sistemlere Tedarikçi Aygıtlarını kullanarak erişmesine yetki vermesi halinde, anılan Aygıtlar üzerinde Kyndryl tarafından onaylanan bir işletim sistemini kuracak ve çalıştıracaktır. Kyndryl tarafından talimat verilmesi durumunda, anılan işletim sisteminin yeni sürümüne ya da yeni bir işletim sistemine makul bir süre içinde yükseltme gerçekleştirecektir.

  3.Yönetim ve İş Birliği

  3.1 Kyndryl, muhtemel izinsiz girişi ve diğer siber güvenlik tehditlerini gerekli ya da uygun gördüğü herhangi bir biçimde, herhangi bir lokasyondan ve herhangi bir yöntemle, Tedarikçiye ya da herhangi bir Tedarikçi çalışanına veya diğer kişilere önceden bildirmeksizin izlemek ve gidermek için koşulsuz haklara sahiptir. Anılan haklara örnek olarak Kyndryl, herhangi bir zamanda (a) herhangi bir Aygıt üzerinde bir güvenlik testi gerçekleştirebilir, (b) herhangi bir Aygıtta saklanan ya da herhangi bir Kurumsal Sistem aracılığıyla aktarılan iletişimleri (herhangi bir e-posta hesabından e-postalar dahil), kayıtları, dosyaları ve diğer öğeleri izleyebilir, teknik ya da diğer yollarla kurtarabilir ve inceleyebilir ve (c) herhangi bir Aygıtın tam adli görüntüsünü alabilir. Tedarikçi, Kyndryl'in haklarından yararlanmak için Tedarikçinin iş birliğine gereksinim duyması halinde, anılan iş birliği için Kyndryl'in taleplerini tam olarak ve zamanında karşılayacaktır (örneğin, herhangi bir Aygıtın güvenli biçimde yapılandırılması, herhangi bir Aygıta izleme veya diğer yazılımların kurulması, sistem düzeyinde bağlantı ayrıntılarının paylaşılması, herhangi bir Aygıt üzerinde olay müdahale önlemlerinin işletilmesi ve Kyndryl'in tam adli görüntü alması için veya diğer herhangi bir amaçla herhangi bir Aygıta fiziksel erişim sağlanması ve benzer ve ilgili talepler).

  3.2 Kyndryl, kendi güvenliği için gerekli olduğuna inanması durumunda, Tedarikçiye ya da herhangi bir Tedarikçi çalışanına veya diğer kişilere önceden bildirmeksizin herhangi bir Tedarikçi çalışanının ya da tüm Tedarikçi çalışanlarının Kurumsal Sistemlere erişimini herhangi bir zamanda iptal edebilir.

  3.3 Kyndryl'in hakları, İşlem Belgesinin, taraflar arasında yürürlükte bulunan ilgili çerçeve sözleşmenin ya da diğer herhangi bir sözleşmenin verilerin, malzemelerin ya da diğer herhangi bir tür bilginin yalnızca belirlenmiş bir lokasyonda ya da lokasyonlarda bulundurulmasını ya da anılan verilere, malzemelere veya diğer bilgilere yalnızca belirlenmiş bir lokasyondaki ya da lokasyonlardaki kişiler tarafından erişilmesini gerektirebilecek herhangi bir hükmü tarafından herhangi bir şekilde engellenmez, azaltılmaz ya da kısıtlanmaz.

  4.Kyndryl Aygıtları

  4.1 Tüm Kyndryl Aygıtlarının mülkiyeti Kyndryl'e ait olmaya devam edecek olup, hırsızlık, yağma veya ihmal dahil olmak üzere Aygıtların kaybı riskinden Tedarikçi sorumlu olacaktır. Tedarikçi, Kyndryl'in önceden yazılı izni alınmaksızın Kyndryl Aygıtlarında herhangi bir değişiklik yapmayacak ya da yapılmasına izin vermeyecektir. Burada değişiklik, Aygıtın yazılımlarında, uygulamalarında, güvenlik tasarımında, güvenlik yapılandırmasında ya da fiziksel, mekanik veya elektrik tasarımında yapılacak herhangi bir değişikliği ifade eder.

  4.2 Tedarikçi, Hizmetlerin sağlanması için Aygıtlara duyulan gereksinim sona erdiğinde, anılan tüm Kyndryl Aygıtlarını 5 iş günü içinde iade edecektir ve Kyndryl tarafından talep edilmesi durumunda, anılan Aygıtlar üzerindeki tüm verileri, malzemeleri ve diğer herhangi bir tür bilgiyi, herhangi bir kopyasını saklamaksızın, bu tür verilerin, malzemelerin ve diğer bilgilerin kalıcı olarak silinmesine ilişkin Sektördeki En İyi Uygulamalar doğrultusunda aynı zamanda imha edecektir. Tedarikçi, makul aşınma ve eskime hariç olmak üzere, Kyndryl Aygıtlarını kendisine teslim edildiği andaki durumu ile aynı durumda ambalajlayacak ve maliyetini kendisi karşılamak üzere, Kyndryl tarafından belirlenen bir lokasyona geri gönderecektir. Tedarikçinin bu Madde 4.2'deki herhangi bir yükümlülüğü yerine getirmemesi, İşlem Belgesinin ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile diğer herhangi bir ilgili sözleşmenin esaslı ihlalini teşkil eder. Burada, bir sözleşmenin "ilgili" olması, Tedarikçinin anılan sözleşme kapsamındaki görevlerinin veya diğer etkinliklerinin herhangi bir Kurumsal Sisteme erişimi gerektirdiğini ifade eder.

  4.3 Kyndryl, Kyndryl Aygıtları için destek sağlayacaktır (Aygıt inceleme, önleyici ve düzeltici bakım dahil). Tedarikçi, düzeltici hizmet gereksinimini en kısa süre içinde Kyndryl'e bildirecektir.

  4.4 Kyndryl, kendisine ait ya da lisanslama hakkına sahip olduğu yazılım programları için, Tedarikçiye Kyndryl Aygıtlarına ilişkin yetkili kullanımını desteklemesi amacıyla kullanması, depolaması ve yeterli kopyalarını oluşturması için geçici bir hak verir. Tedarikçi, geçerli kanunun sözleşme ile feragat edilmesine olanak tanımaksızın açıkça izin verdiği durumlar hariç olmak üzere, programları herhangi bir kişiye devredemez, yazılım lisansı bilgilerinin kopyalarını oluşturamaz ya da herhangi bir programı parçalarına ayıramaz, tersine derleyemez, program üzerinde tersine mühendislik uygulayamaz ya da programı diğer herhangi bir şekilde çeviremez.

  5. Güncellemeler

  5.1 Kyndryl, İşlem Belgesinin ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmenin aksini belirten hükümlerine etki etmeksizin, Tedarikçiye yazılı bildirimde bulunarak ve Tedarikçinin onayını almaya gerek olmaksızın, geçerli kanun ya da Müşteri yükümlülüğü kapsamındaki herhangi bir gereksinimi karşılamak, güvenlikle ilgili en iyi uygulamalardaki herhangi bir gelişmeyi yansıtmak amacıyla ya da Kyndryl'in Kurumsal Sistemleri ya da Kyndryl'i korumak için uygun olduğuna inandığı diğer herhangi bir biçimde bu Maddeyi güncelleyebilir, bu Maddeye ekleme yapabilir ya da bu Maddeyi diğer herhangi bir biçimde değiştirebilir.

  Madde VII, Personel Artırma

  Bu Madde, Tedarikçi çalışanlarının tüm çalışma sürelerini Hizmetlerin Kyndryl için sağlanmasına ayırdığı, anılan Hizmetlerin tamamını Kyndryl tesislerinde, Müşteri tesislerinde ya da evlerinden gerçekleştireceği ve Hizmetleri yalnızca Kurumsal Sistemlere erişmek için Kyndryl Aygıtlarını kullanarak sağlayacağı durumlarda geçerlidir.

  1. Kurumsal Sistemlere Erişim; Kyndryl'in Ortamları

  1.1 Tedarikçi, Hizmetleri yalnızca Kurumsal Sistemlere erişmek için Kyndryl tarafından sağlanan Aygıtları kullanarak gerçekleştirebilir.

  1.2 Tedarikçi, Kurumsal Sistemlere tüm erişim için Madde VI (Kurumsal Sistemlere Erişim) maddesinde belirtilen koşullara uyacaktır.

  1.3 Tedarikçi ile Tedarikçinin çalışanları, yalnızca Hizmetleri sağlamak için Kyndryl tarafından sağlanan Aygıtları kullanabilir ve anılan Aygıtlar, yalnızca Tedarikçi ile Tedarikçinin çalışanları tarafından Hizmetlerin sağlanması amacıyla kullanılabilir. Herhangi bir şüpheye mahal vermemek için, Tedarikçi ya da Tedarikçinin çalışanları, hiçbir koşulda Hizmetleri sağlamak için diğer herhangi bir aygıtı kullanamaz ya da Kyndryl Aygıtlarını bir başka Tedarikçi müşterisi için ya da Hizmetlerin Kyndryl'e sağlanması dışında herhangi bir amaçla kullanamaz.

  1.4 Kyndryl Aygıtlarını kullanan Tedarikçinin çalışanları, anılan saklamanın ve paylaşımın Hizmetlerin başarıyla gerçekleştirilmesi için gerekli olduğu ölçü ile sınırlı olmak üzere, Kyndryl Malzemelerini birbiriyle paylaşabilir ve anılan malzemeleri Kyndryl Aygıtlarında saklayabilirler.

  1.5 Tedarikçi ya da Tedarikçinin çalışanları, Kyndryl Aygıtlarındaki bu tür bir saklama hariç olmak üzere, hiçbir koşulda herhangi bir Kyndryl Malzemesini Kyndryl tarafından tutulduğu Kyndryl havuzlarından, ortamlarından, araçlarından ya da altyapısından çıkaramaz.

  1.6 Herhangi bir şüpheye mahal vermemek için, Tedarikçi ve Tedarikçinin çalışanları, Kyndryl'in önceden yazılı izni alınmaksızın, herhangi bir Kyndryl Malzemesini herhangi bir Tedarikçi havuzuna, ortamına, aracına veya altyapısına ya da diğer herhangi bir Tedarikçi sistemine, platformuna, ağına vb. aktarmaya yetkili değildir.

  1.7 Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) maddesi, Tedarikçinin çalışanlarının tüm çalışma sürelerini Hizmetlerin Kyndryl için sağlanmasına ayırdığı, anılan Hizmetlerin tamamını Kyndryl tesislerinde, Müşteri tesislerinde ya da evlerinden gerçekleştireceği ve Hizmetleri yalnızca Kurumsal Sistemlere erişmek için Kyndryl Aygıtlarını kullanarak sağlayacağı durumlarda Tedarikçinin Hizmetleri için geçerli değildir. Aksi halde, Tedarikçinin Hizmetleri için Madde VIII geçerli olur.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

 8. Sağlayacaksa, Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik), Madde IX (Barındırılan Hizmet Sertifikasyonları ve Raporları) ve Madde X (İş Birliği, Doğrulama ve Düzeltme) geçerli olacaktır. Tedarikçi, bir Barındırma Hizmetinin sağlanması sırasında Kyndryl Kişisel Verilerine erişiyorsa, Madde III (Gizlilik) de geçerli olacaktır.

  Örnekler:

  • Tedarikçi, Kyndryl'e "hizmet olarak sunulan" yazılım, platform veya altyapı gibi herhangi bir "hizmet olarak sunulan" olanak sağlar.

  Madde II, Teknik ve İdari Tedbirler, Veri Güvenliği

  Bu Madde, Tedarikçinin Kyndryl İş İletişim Bilgileri dışındaki Kyndryl Verilerini İşlemesi durumunda geçerlidir. Tedarikçi, tüm Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanmasında bu Maddenin gereksinimlerine uyacaktır ve bunu yaparken Kyndryl Verilerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya, yanlışlıkla veya yetkisiz olarak erişime ve kanuna aykırı İşleme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Veri Kullanımı

  1.1 Tedarikçi, Kyndryl'in önceden yazılı izni alınmaksızın, herhangi bir Kişisel Veri dahil olmak üzere diğer herhangi bir bilgi veya veriyi Kyndryl Verilerine ekleyemez ya da Kyndryl Verileri ile birlikte dahil edemez. Tedarikçi, Kyndryl Verilerini Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması dışındaki herhangi bir amaçla, birleştirilmiş olarak ya da diğer herhangi bir biçimde kullanamaz (örneğin, Tedarikçinin olanaklarının etkinliğini veya iyileştirilmesini sağlayacak yöntemleri değerlendirmek, yeni olanaklar yaratmak için araştırma ve geliştirme gerçekleştirmek veya Tedarikçinin olanaklarına ilişkin raporlar oluşturmak amacıyla Kyndryl Verilerini kullanmasına ya da yeniden kullanmasına izin verilmez). İşlem Belgesinde aksine açıkça izin verilmedikçe, Tedarikçinin Kyndryl Verilerini Satması yasaklanmıştır.

  1.2 Tedarikçi, İşlem Belgesinde açıkça izin verilmedikçe, Teslim Edilecek Malzemelere veya Hizmetlere herhangi bir web takip teknolojisini eklemeyecektir (anılan teknolojiler arasında HTML 5, yerel depolama, üçüncü kişi etiketleri veya belirteçleri (token) ve web işaretleri yer alır).

  2. Üçüncü Kişi Talepleri ve Gizlilik

  2.1 Tedarikçi, Kyndryl tarafından önceden yazılı olarak yetki verilmediği sürece, Kyndryl Verilerini herhangi bir üçüncü kişiye açıklamayacaktır. Tedarikçi, herhangi bir düzenleyici kurum dahil olmak üzere bir kamu kuruluşunun Kyndryl Verilerine erişim talep etmesi (örneğin, ABD devletinin Kyndryl Verilerini elde etmek için Tedarikçiye bir ulusal güvenlik emri tebliğ etmesi) ya da kanunların diğer herhangi bir şekilde Kyndryl Verilerinin açıklanmasını gerektirmesi durumunda, anılan talebi veya gereksinimi yazılı olarak Kyndryl'e bildirecektir ve herhangi bir açıklamaya itiraz için Kyndryl'e makul bir fırsat sağlayacaktır (kanunun bildirimi yasaklaması durumunda Tedarikçi, hukuki işlem veya diğer herhangi bir yöntem aracılığıyla, yasaklamaya ve Kyndryl Verilerinin açıklanmasına itiraz etmek üzere makul ölçüler dahilinde uygun gördüğü adımları atacaktır).

  2.2 Tedarikçi, sayılanları Kyndryl'e taahhüt eder: (a) yalnızca Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak için Kyndryl Verilerine erişmesi gereken çalışanları bu erişim yetkisine sahip olacaktır ve anılan yetki yalnızca anılan Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması için gerekli olan ölçülerle sınırlı olacaktır; (b) çalışanları, Kyndryl Verilerini yalnızca Koşulların izin verdiği şekilde kullanmalarını ve açıklamalarını gerektiren gizlilik yükümlülüklerine tabidir.

  3. Kyndryl Verilerinin İade Edilmesi veya Silinmesi

  3.1 Tedarikçi, Kyndryl'in tercihine bağlı olarak, İşlem Belgesinin sona erdirilmesi ya da süresinin sona ermesi durumunda veya Kyndryl tarafından talep edilmesi halinde daha önceki bir zamanda Kyndryl Verilerini silecek ya da Kyndryl'e iade edecektir. Tedarikçi, Kyndryl'in verilerin silinmesini gerektirmesi durumunda, Sektördeki En İyi Uygulamalar doğrultusunda verileri okunamaz ve yeniden birleştirilemez ya da yeniden oluşturulamaz hale getirecek ve verilerin silindiğini Kyndryl'e teyit edecektir. Kyndryl'in Kyndryl Verilerinin iade edilmesini gerektirmesi durumunda, Tedarikçi bunu Kyndryl'in makul zaman çizelgesine ve makul yazılı yönergelerine uygun olarak yerine getirecektir.

  Madde III, Gizlilik

  Bu Madde, Tedarikçinin Kyndryl Kişisel Verilerini İşlediği durumlarda geçerlidir.

  1. İşleme

  1.1 Kyndryl, yalnızca Teslim Edilecek Malzemeleri ve Hizmetleri bu Koşullarda, İşlem Belgesinde ve taraflar arasındaki ilgili çerçeve sözleşmede yer alanlar dahil olmak üzere Kyndryl'in yönergeleri uyarınca sağlaması amacıyla, Tedarikçiyi Kyndryl Kişisel Verilerini İşlemesi için bir Veri İşleyen olarak görevlendirir. Kyndryl, Tedarikçinin bir yönergeyi yerine getirmemesi halinde, yazılı bildirimde bulunarak Hizmetlerin etkilenen kısmını sona erdirebilir. Tedarikçi, bir yönergenin veri koruma kanununa aykırı olduğuna inanması durumunda, zaman kaybetmeden ve kanunun gerektirdiği herhangi bir zaman aralığı içinde bunu Kyndryl'e bildirecektir.

  1.2 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler için geçerli olan tüm veri koruma kanunlarına uyacaktır.

  1.3 İşlem Belgesinin bir Eki ya da İşlem Belgesinin kendisi, Kyndryl Verilerine ilişkin olarak aşağıda belirtilenleri belirler:

  (a) İlgili Kişi kategorileri;

  (b) Kyndryl Kişisel Veri türleri;

  (c) Veri eylemleri ve Veri İşleme faaliyetleri;

  (d) Veri İşlemenin süresi ve sıklığı; ve

  (e) Alt Veri İşleyenlerin bir listesi.

  2. Teknik ve İdari Tedbirler

  2.1 Tedarikçi, Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği) ile Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) içinde belirtilen teknik ve idari tedbirleri uygulayacak ve sürdürecek olup, bunu yaparak Hizmetlerinin ve Teslim Edilecek Malzemelerinin taşıdığı riske uygun bir güvenlik düzeyi sağlayacaktır. Tedarikçi, Madde II'de, bu Madde III'te ve Madde VIII'de yer alan kısıtlamaları tasdik edip anlar ve bunlara uyacaktır.

  3. İlgili Kişilerin Hakları ve Talepleri

  3.1 Tedarikçi, bir İlgili Kişinin Kyndryl Kişisel Verilerine ilişkin herhangi bir İlgili Kişi hakkını (örneğin, verilerin değiştirilmesi, silinmesi veya engellenmesi) kullanmak istediğine ilişkin herhangi bir talebi en kısa süre içinde (Kyndryl'in ve diğer herhangi bir Veri Sorumlusunun yasal yükümlülüklerini yerine getirmelerine olanak sağlayacak bir süre içinde) Kyndryl'e bildirecektir. Tedarikçi, bir İlgili Kişiden söz konusu talebi Kyndryl'e yapması için onu derhal yönlendirebilir. Tedarikçi, yasal olarak zorunlu olmadığı veya Kyndryl tarafından yazılı talimat verilmediği sürece İlgili Kişilerin herhangi bir talebini yanıtlamayacaktır.

  3.2 Tedarikçi, Kyndryl'in Kyndryl Kişisel Verilerine ilişkin olarak Diğer Veri Sorumlularına ya da diğer üçüncü kişilere (örneğin, İlgili Kişiler veya düzenleyici kurumlar) bilgi sağlamakla yükümlü olması durumunda, bilgi sağlayarak ve Kyndryl tarafından talep edilen diğer makul eylemleri yerine getirerek, Kyndryl'in Diğer Veri Sorumlularına ya da üçüncü kişilere zamanında yanıt vermesine olanak sağlayacak bir zaman çizelgesi içinde Kyndryl'e destek sağlayacaktır.

  4. Alt Veri İşleyenler

  4.1 Tedarikçi, yeni bir Alt Veri İşleyen eklemeden ya da mevcut olan bir Alt Veri İşleyenin İşleme kapsamını genişletmeden önce Kyndryl'e yazılı bildirimde bulunacak ve anılan yazılı bildirimde Alt Veri İşleyenin adını belirtecek ve yeni ya da genişletilmiş İşleme kapsamını açıklayacaktır. Kyndryl, bu tür herhangi bir yeni Alt Veri İşleyene ya da genişletilmiş kapsama makul ölçüler dahilinde herhangi bir zamanda itiraz edebilir ve itiraz etmesi durumunda, taraflar Kyndryl'in itirazının göz önüne alınması için iyi niyet ölçüleri dahilinde birlikte çalışacaktır. Tedarikçi, Kyndryl'in herhangi bir zamanda itirazda bulunma hakkına tabi olmak üzere, Tedarikçinin yazılı bildirimini takip eden 30 Gün içinde Kyndryl tarafından herhangi bir itirazda bulunulmaması durumunda, yeni Alt Veri İşleyenden yararlanmaya başlayabilir ya da mevcut Alt Veri İşleyenin İşleme kapsamını genişletebilir.

  4.2 Tedarikçi, bir Alt Veri İşleyenin herhangi bir Kyndryl Verisini İşlemeye başlamasından önce, bu Koşullarda belirtilen veri koruma, güvenlik ve sertifikasyon yükümlülüklerini her onaylanan Alt Veri İşleyen için zorunlu hale getirecektir. Alt Veri İşleyenin yükümlülüklerini yerine getirmesi konusunda Kyndryl'e karşı tüm sorumluluk Tedarikçiye aittir.

  5. Verilerin Yurt Dışında İşlenmesi

  Aşağıda kullanıldığı şekilde:

  Yeterli Koruma Sağlayan Ülke, geçerli veri koruma kanunları ya da düzenleyici kurumların kararları uyarınca ilgili aktarıma ilişkin olarak yeterli düzeyde veri koruması sağlayan bir ülkeyi ifade eder.

  Yurt Dışından Veri Aktaran, bir Yeterli Koruma Sağlayan Ülkede kurulmamış olan bir Veri İşleyeni ya da Alt Veri İşleyeni ifade eder.

  AB Standart Sözleşme Maddeleri https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en adresinde resmi olarak yayınlandığı şekilde, Madde 9(a)'daki Seçenek 1 ve Madde 17'deki Seçenek 2 hariç olmak üzere isteğe bağlı maddeleri uygulanmış olarak AB Standart Sözleşme Maddelerini (2021/914 sayılı Komisyon Kararı) ifade eder.

  Sırbistan Standart Sözleşme Maddeleri https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx adresinde yayınlanan "Serbian Commissioner for Information of Public Importance and Personal Data Protection" (Sırbistan Kamu için Önemli Bilgiler ve Kişisel Verilerin Korunması Yetkilisi) tarafından kabul edildiği şekilde Sırbistan Standart Sözleşme Maddelerini ifade eder.

  Standart Sözleşme Maddeleri, Kişisel Verilerin Yeterli Koruma Sağlayan Ülkelerde kurulmamış olan Veri İşleyenlere aktarımını düzenleyen geçerli veri koruma kanunlarının zorunlu kıldığı sözleşme maddelerini ifade eder.

  AB Komisyonu Komisyonu Standart Sözleşme Maddelerine İlişkin Birleşik Krallık Uluslararası Veri Aktarımı Eki ("Birleşik Krallık Ek Sözleşmesi"), resmi olarak https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ adresinde yayınlanan AB Komisyonu Standart Sözleşme Maddelerine İlişkin Birleşik Krallık Uluslararası Veri Aktarımı Eki anlamına gelir.

  5.1 Tedarikçi, Kyndryl'den önceden yazılı onay alınmaksızın herhangi bir Kyndryl Kişisel Verisini yurt dışına aktaramaz veya açıklayamaz (uzaktan erişim dahil). Kyndryl'in anılan onayı vermesi durumunda, taraflar geçerli veri koruma kanunlarına uygunluğu sağlamak için iş birliği yapacaktır. Tedarikçi, bu kanunların Standart Sözleşme Maddelerini zorunlu kılması durumunda, Kyndryl'in talebi üzerine en kısa süre içinde Standart Sözleşme Maddelerini imzalayacaktır.

  5.2 AB Standart Sözleşme Maddelerine ilişkin olarak:

  (a)Tedarikçi Yeterli Koruma Sağlayan bir Ülkede kurulmadıysa: Tedarikçi, işbu belgeyle Yurt Dışından Veri Aktaran olarak AB Standart Sözleşme Maddelerini Kyndryl ile imzalamaktadır ve Tedarikçi, AB Standart Sözleşme Maddeleri Madde 9 uyarınca her onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak olup, anılan sözleşmelerin kopyalarını talep edilmesi üzerine Kyndryl'e sağlayacaktır.

  (i) Taraflarca yazılı olarak aksi kararlaştırılmadığı sürece AB Standart Sözleşme Maddeleri Modül 1 geçerli değildir.

  (ii) Kyndryl'in Veri Sorumlusu olduğu hallerde AB Standart Sözleşme Maddeleri Modül 2, Kyndryl'in Veri İşleyen olduğu hallerde Modül 3 geçerlidir. AB Standart Sözleşme Maddeleri Madde 13 uyarınca, Modül 2 veya Modül 3'ün geçerli olduğu hallerde, taraflar (1) AB Standart Sözleşme Maddelerinin, yetkili denetleyici kurumun bulunduğu AB üyesi ülkenin kanunlarına tabi olacağını ve (2) AB Standart Sözleşme Maddelerinden doğan herhangi bir uyuşmazlığın, yetkili denetleyici kurumun bulunduğu AB üyesi ülkenin mahkemelerinde çözüme kavuşturulacağını kabul ederler. (1) numaralı bentte yer alan söz konusu kanunun üçüncü kişi yararlanıcı haklarına izin vermediği hallerde AB Standart Sözleşme Maddeleri Hollanda kanunlarına tabi olacak ve (2) numaralı bent kapsamındaki AB Standart Sözleşme Maddelerinden doğan uyuşmazlıklar, Hollanda'nın Amsterdam şehri mahkemelerinde çözüme kavuşturulacaktır.

  (b) Tedarikçinin Avrupa Ekonomik Alanı'nda kurulmuş olduğu ve Kyndryl'in 2016/679 sayılı Genel Veri Koruma Yönetmeliği'ne tabi olmayan bir Veri Sorumlusu olduğu hallerde, AB Standart Sözleşme Maddeleri Modül 4 geçerli olur ve Tedarikçi işbu belgeyle yurtdışına veri aktaran olarak Kyndryl ile AB Standart Sözleşme Maddelerini imzalar. AB Standart Sözleşme Maddeleri Modül 4'ün geçerli olması halinde, taraflar AB Standart Sözleşme Maddelerinin Hollanda kanunlarına tabi olacağını ve AB Standart Sözleşme Maddelerinden doğan uyuşmazlıkların, Hollanda'nın Amsterdam şehri mahkemelerinde çözüme kavuşturulacağını kabul ederler.

  (c) Müşteriler veya iştirakler gibi diğer Veri Sorumlularının Madde 7'deki ‘docking clause’ uyarınca AB Standart Sözleşme Maddelerine taraf olmayı talep etmesi halinde, Tedarikçi işbu belgeyle böyle bir talebi kabul eder.

  (d) AB Standart Sözleşme Maddeleri Ek II'yi tamamlamak için gereken Teknik ve İdari Tedbirlere, bu Koşullardan, İşlem Belgesinden ve taraflar arasındaki ilişkili çerçeve sözleşmeden ulaşılabilir.

  (e) AB Standart Sözleşme Maddeleri ile bu Koşullar arasında çelişki olması halinde AB Standart Sözleşme Maddeleri öncelikli olarak uygulanacaktır.

  5.3 Birleşik Krallık Ek Sözleşmesine/Sözleşmelerine göre:

  (a) Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulmadıysa: (i) Tedarikçi işbu belgeyle yukarıda belirtilen AB Standart Sözleşme Maddelerine eklenmek üzere, Yurtdışından Veri Aktaran olarak Kyndryl ile (veri işleme faaliyetlerinin koşullarına bağlı olarak geçerli olduğu şekilde) Birleşik Krallık Ek Sözleşmesini imzalamaktadır ve (ii) Tedarikçi, onaylanmış her Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep üzerine Kyndryl'e bu sözleşmelerin kopyalarını sağlayacaktır.

  (b) Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulduysa ve Kyndryl, Birleşik Krallık Genel Veri Koruma Yönetmeliği'ne (2018 Avrupa Birliği (Feragat) Yasası kapsamında Birleşik Krallık yasalarına dahil edildiği şekliyle) tabi olmayan bir Veri Sorumlusu ise, Tedarikçi işbu belgeyle yukarıda Madde 5.2(b)'de belirtilen AB Standart Sözleşmelerine eklenmek üzere Kyndryl ile Yurtdışına Veri Aktaran olarak Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini imzalamaktadır.

  (c) Müşteri veya bağlı kuruluşlar gibi diğer Veri Sorumlularının Birleşik Krallık Ek Sözleşmesine/Sözleşmelerine taraf olmayı talep etmeleri halinde, Tedarikçi işbu belgeyle bu tür herhangi bir talebi kabul eder.

  (d) Birleşik Krallık Ek Sözleşmesinde/Sözleşmelerinde yer alan Ek Bilgilerine (Tablo 3'te belirtilir), geçerli AB Standart Sözleşme Maddelerinden, bu Koşullardan, İşlem Belgesinin kendisinden ve taraflar arasındaki ilgili çerçeve sözleşmesinden ulaşılabilir. Birleşik Krallık Ek Sözleşmesinde değişiklik olması halinde Kyndryl veya Tedarikçi, Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini sona erdiremez.

  (e) Birleşik Krallık Ek Sözleşmesi/Sözleşmelerinin ile bu Koşullar arasında herhangi bir çelişki olması halinde Birleşik Krallık Ek Sözleşmesi/Sözleşmeleri geçerli olacaktır.

  5.4 Sırbistan Standart Sözleşme Maddelerine ilişkin olarak:

  (a) Tedarikçi Yeterli Koruma Sağlayan bir Ülkede kurulmadıysa: (i) Tedarikçi, işbu belge ile Veri İşleyen olarak kendi adına Sırbistan Standart Sözleşme Maddelerini Kyndryl ile imzalamaktadır ve (ii) Tedarikçi, Sırbistan Standart Sözleşme Maddeleri, Madde 8 uyarınca her onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak olup, anılan sözleşmelerin kopyalarını talep edilmesi üzerine Kyndryl'e sağlayacaktır.

  (b) Tedarikçi, Yeterli Koruma Sağlayan bir Ülkede kurulduysa, işbu belge ile her Alt Veri İşleyen adına Sırbistan Standart Sözleşme Maddelerini Kyndryl ile imzalamaktadır. Tedarikçi, bu tür herhangi bir Alt Veri İşleyen için bunu yapamaması halinde, Alt Veri İşleyenin herhangi bir Kyndryl Kişisel Verisini İşlemesine izin vermeden önce anılan Alt Veri İşleyen tarafından imzalanan Sırbistan Standart Sözleşme Maddelerini Kyndryl tarafından imzalanmak üzere Kyndryl'e sağlayacaktır.

  (c) Kyndryl ile Tedarikçi arasında imzalanan Sırbistan Standart Sözleşme Maddeleri, durumun gerektirdiği şekilde Veri Sorumlusu ile Veri İşleyen arasında geçerli Sırbistan Standart Sözleşme Maddeleri veya 'veri işleyen' ile 'alt veri işleyen' arasında geçerli karşılıklı yazılı sözleşme niteliğinde olacaktır. Sırbistan Standart Sözleşme Maddeleri ile bu Koşullar arasında herhangi bir çelişki bulunması durumunda, Sırbistan Standart Sözleşme Maddeleri öncelikli olarak uygulanacaktır.

  (d) Kişisel Verilerin Yeterli Koruma Sağlamayan bir Ülkeye aktarılmasını düzenlemek amacıyla Sırbistan Standart Sözleşme Maddeleri'nin 1-8 numaralı Eklerini tamamlamak için gereken bilgilere bu Koşullardan ve İşlem Belgesinin Eki'nden veya İşlem Belgesinden ulaşılabilir.

  6. Destek ve Kayıtlar

  6.1 Tedarikçi, İşlemenin niteliğini göz önüne alarak, İlgili Kişilerin talepleri ve hakları ile bağlantılı yükümlülüklerini yerine getirmek üzere uygun teknik ve idari tedbirleri uygulayarak Kyndryl'e destek sağlayacaktır. Tedarikçi ayrıca, İşlemenin güvenliğine, bir Güvenlik İhlalinin bildirilmesine ve duyurulmasına ve Tedarikçinin kullanımına açık olan bilgiler göz önüne alınarak, gerekli ise, önceden sorumlu düzenleyici kuruma danışılması dahil olmak üzere, veri koruma etki değerlendirmeleri oluşturulmasına ilişkin yükümlülüklere uygunluğun sağlanmasında Kyndryl'e destek sağlayacaktır.

  6.2 Tedarikçi, her Alt Veri İşleyenin temsilcisi ve veri koruma yetkilisi dahil olmak üzere her Alt Veri İşleyenin adının ve iletişim bilgilerinin güncel kaydını tutacaktır. Tedarikçi, talep edilmesi üzerine, bu kaydı Kyndryl'in bir Müşterinin ya da diğer üçüncü kişinin herhangi bir talebine zamanında yanıt vermesine olanak sağlayan bir zaman çizelgesi uyarınca Kyndryl'e sağlayacaktır.

  Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

  Bu Madde, Tedarikçinin anılan Hizmetleri veya Teslim Edilecek Malzemeleri sağlarken yalnızca Kyndryl İş İletişim Bilgilerine erişeceği durumlar (bir başka deyişle, Tedarikçi tarafından diğer herhangi bir Kyndryl Verisi İşlenmeyecektir ya da diğer herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişilmeyecektir) hariç olmak üzere, Tedarikçinin Kyndryl'e herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması ya da Tedarikçinin tüm Hizmetleri ve Teslim Edilecek Malzemeleri alt madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modeli içinde sağlaması durumunda geçerli olacaktır.

  Tedarikçi, bu Maddenin gereksinimlerine uyacak ve bunu yaparken (a) Kyndryl Malzemelerini kayba, imhaya, değiştirilmeye, yanlışlıkla veya yetkisiz olarak açıklanmaya ve yanlışlıkla veya yetkisiz olarak erişime (b) Kyndryl Verilerini kanuna aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini kanuna aykırı İdare Etme biçimlerine karşı koruyacaktır. Bu Maddenin gereksinimleri, Tedarikçinin Teslim Edilecek Malzemelerin ve Hizmetlerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi sırasında işlettiği veya yönettiği, tüm geliştirme, test, barındırma, destek, operasyon ve veri merkezi ortamları dahil olmak üzere tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.

  1. Güvenlik İlkeleri

  1.1 Tedarikçi, işinin ayrılmaz bir parçası olan BT güvenliği ilkelerini ve uygulamalarını sürdürecek ve bunlara uyacak olup,bunları tüm Tedarikçi Personeli için zorunlu ve Sektördeki En İyi Uygulamalara uygun durumda tutacaktır.

  1.2 Tedarikçi, BT güvenliği ilkelerini ve uygulamalarını en az yılda bir defa inceleyecek ve Kyndryl Malzemelerinin korunması için gerekli gördüğü şekilde değiştirecektir.

  1.3 Tedarikçi, yeni işe alınan tüm çalışanlar için standart, zorunlu işe alma doğrulaması gerekliliklerini sürdürecek ve bunları uygulayacak olup, anılan gereklilikleri, tüm Tedarikçi Personeli ile tamamı kendisine ait olan Tedarikçi yan kuruluşları için de geçerli hale getirecektir. Bu gereklilikler, yerel kanunların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulamasını ve Tedarikçi tarafından gerekli görülen tüm ek kontrolleri kapsayacaktır. Tedarikçi, bu gereklilikleri, gerekli gördüğü şekilde düzenli olarak yineleyecek ve yeniden doğrulayacaktır.

  1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi sağlayacak olup, tüm anılan çalışanların, çalışma kurallarında veya benzer belgelerde belirtildiği şekilde etik iş adabı, gizlilik ve güvenlik ilkelerine uyacaklarını her yıl tasdik etmelerini zorunlu kılacaktır. Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetici erişimi yetkisine sahip olan kişilere, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Malzemelerinin desteklenmesine ve rollerine özgü bir biçimde ve gerekli uyumluluğun ve sertifikasyonların sürdürülmesi için gerekli olduğu şekilde ek ilke ve süreç eğitimi sağlayacaktır.

  1.5 Tedarikçi, Kyndryl Malzemelerinin korunması ve kullanılabilirliğinin sürdürülmesi amacıyla, tüm Hizmetler ve Teslim Edilecek Malzemeler ile Kyndryl Teknolojisinin tüm İdaresine ilişkin olarak tasarımı gereği güvenlik ve gizlilik, güvenli mühendislik ve güvenli işletim gerektiren ilkelerin ve prosedürlerin uygulanması, sürdürülmesi ve bunlara uyumluluk dahil olmak üzere, güvenlik ve gizlilik önlemleri tasarlayacaktır.

  2. Güvenlik Olayları

  2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınmasına ilişkin Sektördeki En İyi Uygulamalara uygun olarak belgelenmiş olay müdahale ilkelerini sürdürecek ve bunlara uyacaktır.

  2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi ya da bunların yetkisiz kullanımını soruşturacak ve uygun bir müdahale planı tanımlayacak ve uygulayacaktır.

  2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir. Tedarikçi bu tür bildirimi şu adrese sağlayacaktır: cyber.incidents@kyndryl.com . Tedarikçi, anılan ihlale ve herhangi bir Tedarikçi düzeltme ve geri yükleme faaliyetinin durumuna ilişkin olarak makul ölçüler dahilinde talep edilmiş olan bilgileri Kyndryl'e sağlayacaktır. Örnek olarak, makul ölçüler dahilinde talep edilen bilgilere Aygıtlar, sistemler veya uygulamalar için ayrıcalıklı, sistem yöneticisi ve diğer erişimi gösteren log dosyaları, ihlale veya Tedarikçinin düzeltme ve geri yükleme etkinliklerine ilişkin olduğu ölçüde Aygıtların, sistemlerin veya uygulamaların ve diğer benzer öğelerin adli görüntüleri dahil olabilir.

  2.4 Tedarikçi, Kyndryl'in, Kyndryl bağlı kuruluşlarının ve Müşterilerinin (ve bunların müşterilerinin ve bağlı kuruluşlarının) bir Güvenlik İhlali ile bağlantılı herhangi bir yasal yükümlülüğünün (düzenleyici kuruluşlara veya İlgili Kişilere bildirimde bulunulması dahil) yerine getirilmesi için Kyndryl'e makul ölçüler dahilinde destek sağlayacaktır.

  2.5 Tedarikçi, Kyndryl tarafından yazılı onay verilmediği ya da kanunlarca zorunlu kılınmadığı sürece, bir Güvenlik İhlalinin Kyndryl veya Kyndryl Malzemeleri ile doğrudan veya dolaylı olarak ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek ya da bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'in kimliğini doğrudan veya dolaylı olarak ortaya çıkaracak olduğu hallerde kanunlarca zorunlu kılınan herhangi bir bildirimi herhangi bir üçüncü kişiye sağlamadan önce Kyndryl'e yazılı olarak bilgi verecektir.

  2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlalinin söz konusu olması durumunda:

  (a) Tedarikçi, Güvenlik İhlalinin ilgili düzenleyici kurumlara, diğer devlet ve ilgili sektör özdenetim kurumlarına, basına (geçerli kanunun zorunlu kılması halinde), İlgili Kişilere, Müşterilere ve diğer taraflara bildirimde bulunulmasıyla bağlantılı olarak karşı karşıya kaldığı herhangi bir maliyetten ve aynı zamanda Kyndryl'in karşı karşıya kaldığı gerçekleşen maliyetlerden sorumlu olacaktır,

  (b) Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, maliyetini kendisi karşılamak üzere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin İlgili Kişilere bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde İlgili Kişilerin Güvenlik İhlaline ve bunun sonuçlarına ilişkin sorularına yanıt verecek bir çağrı merkezi kuracak ve sürdürecektir. Kyndryl ile Tedarikçi, çağrı merkezi personelinin sorgulara yanıt verirken kullanacağı konuşma metinlerini ve diğer malzemeleri oluşturmak için birlikte çalışacaktır. Alternatif olarak Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçi tarafından bir çağrı merkezi kurulması yerine kendi çağrı merkezini kurabilir ve çalıştırabilir. Kyndryl'in bu tür bir çağrı merkezini kurması ve çalıştırması sırasında karşı karşıya kaldığı gerçekleşen maliyetler Tedarikçi tarafından tazmin edilecektir.

  (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi düzeltme hizmetlerine kaydolmayı seçen kişilere, hangisi daha fazla koruma sağlayacaksa, Güvenlik İhlalinin bildirildiği tarihten itibaren 1 yıl boyunca ya da herhangi bir geçerli veri koruma kanununun zorunlu kıldığı şekilde Kyndryl'in anılan hizmetleri sağlamak için karşı karşıya kaldığı gerçekleşen maliyetleri tazmin edecektir.

  3. Fiziksel Güvenlik ve Giriş Kontrolü ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder).

  3.1 Tedarikçi, Tesislere yetkisiz girişin önlenmesi için bariyerler, kartla kontrol edilen giriş noktaları, güvenlik kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrolleri uygulayacaktır.

  3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay alınmasını zorunlu kılacak ve erişimi iş rolüne ve iş gereksinimine göre sınırlandıracaktır. Tedarikçinin geçici erişim vermesi halinde, Tedarikçinin yetkili çalışanı, Tesis içinde ve herhangi bir kontrollü alanda bulunan herhangi bir ziyaretçiye eşlik edecektir.

  3.3 Tedarikçi, Tesislerdeki kontrollü alanlara girişi uygun şekilde kısıtlamak amacıyla, Sektördeki En İyi Uygulamalarla tutarlı, çok faktörlü erişim kontrolleri dahil olmak üzere, fiziksel erişim kontrollerini uygulayacak, tüm giriş denemelerini loga kaydedecek ve söz konusu logları en az bir yıl saklayacaktır.

  3.4 Tedarikçi, (a) bir yetkili Tedarikçi çalışanının işten ayrılması ya da (b) yetkili Tedarikçi çalışanının erişim için geçerli iş gereksiniminin ortadan kalkması üzerine Tesislere ve Tesisler içindeki kontrollü alanlara erişim yetkisini iptal edecektir. Tedarikçi, kişinin en kısa süre içinde erişim kontrol listelerinden çıkarılması ve fiziksel giriş kartlarını teslim etmesi de dahil olmak üzere belgelenmiş resmi ayrılma prosedürlerini uygulayacaktır.

  3.5 Tedarikçi, Hizmetleri, Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin İdaresini desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, su baskını, nem, hırsızlık ve yağmacılık gibi hem doğal hem de insanların neden olduğu çevresel tehditlere karşı korumak için önlemler alacaktır.

  4. Erişim, Müdahale, Aktarım ve Ayrılma Kontrolü

  4.1 Tedarikçi, Hizmetlerin verilmesi, Teslim Edilecek Malzemelerin sağlanması ve Kyndryl Teknolojisinin İdare Edilmesi kapsamında, Hizmetlerin gerçekleştirilmesinde Tedarikçi tarafından yönetilen ağların belgelenmiş güvenlik mimarisini sürdürecektir. Tedarikçi, güvenli segmentasyon, ayrıştırma ve kapsamlı savunma standartlarına uyumluluk için anılan ağ mimarisini ayrı olarak inceleyecek, sistemlerle, uygulamalarla ve ağ aygıtlarıyla yetkisiz ağ bağlantıları kurulmasını önleyecek önlemlerden yararlanacaktır. Tedarikçi, herhangi bir Barındırılan Hizmete ilişkin operasyonlarda ve barındırma işleminde kablosuz teknolojiyi kullanamaz; diğer taraftan Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken ve Kyndryl Teknolojisini İdare Ederken kablosuz ağ teknolojisini kullanabilir. Ancak, bu tür herhangi bir kablosuz ağı şifreleyecek ve güvenli kimlik doğrulaması yapılmasını zorunlu kılacaktır.

  4.2 Tedarikçi, Kyndryl Malzemelerinin mantıksal olarak ayrı tutulmasını ve açığa çıkmasının ya da yetkisiz kişiler tarafından Kyndryl Malzemelerine erişilmesinin önlenmesini sağlamak üzere tasarlanmış önlemleri uygulayacaktır. Tedarikçi ayrıca, üretim ortamını, üretim dışı ortamı ve diğer ortamları uygun biçimde ayrıştıracak ve Kyndryl Malzemelerinin bir üretim dışı ortamda halihazırda mevcut olması ya da bu tür bir ortama aktarılmış olması halinde (örneğin, bir hatanın yeniden oluşturulması amacıyla), üretim dışı ortamda uygulanacak olan güvenlik ve gizlilik ile ilgili koruma tedbirlerinin üretim ortamında uygulananlara eşit olmasını sağlayacaktır.

  4.3 Tedarikçi, hareket halinde ve atıl durumda olan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin, atıl durumda olan Kyndryl Malzemelerinin şifrelenmesinin teknik olarak mümkün olmadığını Kyndryl'i makul biçimde ikna edecek şekilde kanıtladığı durumlar hariç). Ayrıca Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir. Tedarikçi, verilerin şifrelenmesiyle ilgili olarak, güvenli anahtarların oluşturulması, atanması, dağıtılması, depolanması, rotasyonu, iptali, kurtarılması, yedeklenmesi, imhası, bu anahtarlara erişim ve anahtarların kullanımı için belgelenmiş prosedürler sağlayacaktır. Tedarikçi, söz konusu şifreleme için kullanılan belirli kriptografik yöntemlerin (NIST SP 800-131a gibi) Sektördeki En İyi Uygulamalarla uyumlu olmasını sağlayacaktır.

  4.4 Tedarikçi, Kyndryl Malzemelerine erişmesinin gerekli olması halinde, bu erişimi Hizmetlerin ve Teslim Edilecek Malzemelerin sağlanması ve desteklenmesi için gerekli olan en düşük seviye ile kısıtlayacak ve sınırlayacaktır. Tedarikçi, anılan erişimin, herhangi bir temel bileşene sistem yöneticisi erişimi (örneğin, ayrıcalıklı erişim) dahil olmak üzere bireysel ve role dayalı olmasını ve görevler ayrılığı ilkeleri uyarınca yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını zorunlu tutacaktır. Tedarikçi, yedekteki ve atıl durumdaki hesapların belirlenmesi ve kaldırılması için önlemler uygulayacaktır. Tedarikçi ayrıca, hesap sahibinin işten ayrılmasını ya da Kyndryl'in veya anılan hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebini takip eden yirmi dört (24) saat içinde ayrıcalıklı erişim yetkisine sahip hesapları iptal edecektir.

  4.5 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olarak, aktif olmayan oturumların zaman aşımına uğramasını, arka arkaya çok sayıda başarısız oturum açma girişimi sonrasında hesapların kilitlenmesini, güçlü parola ya da şifre ile kimlik doğrulamasını sağlayacak teknik tedbirler ile anılan parolaların ve şifrelerin güvenli bir biçimde aktarılmasını ve depolanmasını gerektiren önlemler uygulayacaktır. Buna ek olarak Tedarikçi, herhangi bir Kyndryl Malzemesine konsol tabanlı olmayan ayrıcalıklı erişim için çok faktörlü kimlik doğrulamayı kullanacaktır.

  4.6 Tedarikçi, ayrıcalıklı erişim yetkisinin kullanımını izleyecektir ve (a) yetkisiz erişimin ve etkinliğin belirlenmesi, (b) söz konusu erişime ve etkinliğe zamanında ve uygun müdahaleye olanak sağlanması ve (c) belgelenmiş Tedarikçi ilkesine uygunluğun Tedarikçi, Kyndryl (bu Koşullarda belirtilen doğrulama hakları ile İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşme veya diğer ilgili sözleşmede yer alan doğrulama hakları uyarınca) ve diğerleri tarafından denetlenmesine olanak sağlanması amacıyla tasarlanmış güvenlik bilgisi ve olay yönetimi önlemleri uygulayacaktır.

  4.7 Tedarikçi, Hizmetlerin ya da Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı sistemlere ilişkin tüm sistem yöneticisi, kullanıcı ya da diğer erişimi veya etkinlikleri kaydettiği tüm logları, Sektördeki En İyi Uygulamalara uygun şekilde saklayacaktır (ve talep üzerine bu logları Kyndryl'e sağlayacaktır). Tedarikçi, anılan logları yetkisiz erişime, değişikliklere ve hata sonucu ya da kasıtlı olarak imha edilmeye karşı korumak üzere tasarlanmış tedbirler uygulayacaktır.

  4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere kendisine ait veya yönettiği sistemler ile Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak ya da Kyndryl Teknolojisini İdare Etmek amacıyla kullandığı sistemler için aşağıda belirtilen koruma önemleri dahil olmak üzere bilgi işlem koruma önlemleri uygulayacaktır: uç noktası güvenlik duvarları, tam disk şifrelemesi, kötü amaçlı yazılımları ve gelişmiş sürekli tehditleri ele alacak imza tabanlı ve imza tabanlı olmayan uç noktası tespit ve müdahale teknolojileri, süre tabanlı ekran kilitleri ve güvenlik yapılandırması ile yama uygulama gereksinimlerinin yerine getirilmesini sağlayan uç noktası yönetimi çözümleri. Buna ek olarak Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin, Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve idari kontrolleri uygulayacaktır.

  4.9 Tedarikçi, Sektördeki En İyi Uygulamalarla tutarlı bir şekilde, Kyndryl Malzemelerinin mevcut olduğu veya işlendiği veri merkezi ortamları için koruma önlemleri uygulayacaktır. Bu önlemlere aşağıda belirtilenler dahildir: izinsiz giriş saptama ve önleme ve hizmetin engellenmesi saldırılarına karşı önlemler ve risk azaltma.

  5. Hizmet ve Sistemlerin Bütünlüğü ve Kullanılabilirlik Kontrolü

  5.1 Tedarikçi, (a) en az yılda bir defa güvenlik ve gizlilik riski değerlendirmelerini gerçekleştirecektir, (b) Kyndryl Teknolojisini İdare Etmesine ilişkin olarak, üretim sürümünün kullanıma sunulmasından önce ve bunun ardından yılda bir defa olmak üzere otomatikleştirilmiş sistem ve uygulama güvenliği taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testleri ve güvenlik açığı değerlendirmeleri gerçekleştirecektir, (c) en az yılda bir defa olmak üzere Sektördeki En İyi Uygulamalar ile tutarlı biçimde sızma testleri gerçekleştirmesi için nitelikli bir bağımsız üçüncü kişiyi görevlendirecektir ve anılan testlere hem otomatik hem de manuel testler dahil olacaktır, (d) Hizmetlerin ve Teslim Edilecek Malzemelerin her bileşeni için ve Kyndryl Teknolojisini İdare Etmesine ilişkin olarak güvenlik yapılandırması gereksinimlerine uygunluğunu otomatik olarak yönetecek ve düzenli olarak doğrulayacaktır ve (e) belirlenen güvenlik açıklarını ya da kendi güvenlik yapılandırması gereksinimlerine uygunluğu sağlamadığı durumları bağlantılı risk, istismar edilebilirlik ve etki doğrultusunda düzeltecektir. Tedarikçi, testlerin, değerlendirmelerin, taramaların ve düzeltme etkinliklerinin yürütülmesi sırasında Hizmetlerde kesinti olmasını önlemek için makul çabayı gösterecektir. Tedarikçi, Kyndryl'in talebi üzerine, ilgili tarihteki en güncel sızma testi etkinliklerine ilişkin yazılı bir özet sağlayacaktır. Bu rapor, asgari olarak testler kapsamındaki olanakların adını, testler için kapsam dahilindeki sistem veya uygulama sayısını, test tarihlerini, testlerde kullanılan metodolojiyi ve bulgulara ilişkin üst düzey bir özeti içerecektir.

  5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde ya da Kyndryl Teknolojisinin İdare Edilmesinde yapılan değişikliklerle bağlantılı risklerin yönetilmesi için tasarlanmış ilkeler ve prosedürler uygulayacaktır. Tedarikçi, etkilenen sistemler, ağlar ve temel bileşenler dahil olmak üzere anılan türde bir değişikliği uygulamadan önce, aşağıdakileri kayıtlı bir değişiklik isteğinde belgeleyecektir: (a) değişikliğin bir açıklaması ve gerekçesi, (b) uygulama ayrıntıları ve zaman çizelgesi, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiye ilişkin bir risk beyanı, (d) beklenen sonuç, (e) geri alma planı ve (f) yetkili Tedarikçi çalışanlarının onayı.

  5.3 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin İdare Edilmesinde kullanılan tüm BT varlıklarının bir envanterini tutacaktır. Tedarikçi, anılan varlıkların, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin altında yatan bileşenler dahil olmak üzere, anılan BT varlıklarını, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir.

  5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin İdare Edilmesinde kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalarıkarşılayan önceden tanımlanmış sistem güvenlik görüntülerinden veya güvenlik referans değerlerinden oluşturulacaktır.

  5.5 Tedarikçi, iş sürekliliğine ilişkin kendi yükümlülüklerini ya da Kyndryl'in İşlem Belgesinde veya taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen haklarını sınırlamaksızın, belgelenmiş risk yönetimi yönergeleri uyarınca iş ve BT sürekliliği ile olağanüstü durum kurtarma gereksinimleri için her Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin İdare Edilmesine kullanılan her BT sistemini ayrı olarak değerlendirecektir. Tedarikçi, Sektördeki En İyi Uygulamalar uyarınca, bu tür her Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, anılan risk değerlendirmesinin gerektirdiği ölçüler dahilinde, ayrı olarak tanımlanmış, belgelenmiş, güncel tutulan ve yıllık olarak doğrulanan iş ve BT sürekliliği ile olağanüstü durum kurtarma planlarına sahip olmasını sağlayacaktır. Tedarikçi, anılan planların aşağıdaki Madde 5.6'da belirtilen belirli kurtarma sürelerini sağlayacak şekilde tasarlanmasını sağlayacaktır.

  5.6 Herhangi bir Barındırılan Hizmete ilişkin belirli kurtarma noktası hedefleri ("RPO") ile kurtarma süresi hedefleri ("RTO") şunlardır: 24 saat kurtarma noktası hedefi ve 24 saat kurtarma süresi hedefi; ancak Tedarikçi, daha kısa süreli bir kurtarma noktası ya da süresi hedefinin Kyndryl tarafından yazılı olarak Tedarikçiye bildirilmesinin (bir e-posta, yazılı bildirim olarak kabul edilir) ardından en kısa süre içinde Kyndryl tarafından bir Müşteriye taahhüt edilmiş olan herhangi bir daha kısa kurtarma noktası ya da süresi hedefine uyacaktır. Tedarikçi, Kyndryl'e sağladığı diğer tüm Hizmetlerle ilgili olduğundan, iş sürekliliğinin ve olağanüstü durum kurtarma planlarının, Kurtarma Noktası Hedefine ve Kurtarma Süresi Hedefine ulaşmak üzere tasarlanmasını sağlayacaktır. Bu planlar; test, destek ve bakımın zamanında sağlanmasına ilişkin yükümlülükleri dahil olmak üzere, Tedarikçinin İşlem Belgesi ve taraflar arasında yürürlükte olan ilgili çerçeve sözleşme ile bu Koşullar kapsamında Kyndryl'e karşı tüm yükümlülüklerine tam olarak uymaya devam etmesini sağlayacaktır.

  5.7 Tedarikçi, önerilen güvenlik yamalarını değerlendirmek, test etmek ve bunları Hizmetlere ve Teslim Edilecek Malzemelere ve anılan Hizmetlerin ve Teslim Edilecek Malzemelerin kapsamında bulunan ilgili sistemlere, ağlara, uygulamalara ve altta yatan bileşenlere ve aynı zamanda Kyndryl Teknolojisinin İdare Edilmesi için kullanılan sistemlere, ağlara, uygulamalara ve temel bileşenlere uygulamak üzere tasarlanmış önlemler uygulayacaktır. Tedarikçi, önerilen güvenlik yamasının uygulanabilir ve uygun olduğunun belirlenmesinin ardından, belgelenmiş önem derecesi ve risk değerlendirme yönergeleri doğrultusunda yamayı uygulayacaktır. Tedarikçinin önerilen güvenlik yamalarını uygulaması, Tedarikçinin değişiklik yönetimi ilkesine tabi olacaktır.

  5.8 Kyndryl, Tedarikçi tarafından kendisine sağlanan donanım veya yazılımların casus yazılım, kötü amaçlı yazılım ya da kötü amaçlı kod gibi izinsiz giriş yapan öğeler içerdiğine inanmak için makul gerekçeleri bulunması durumunda, Kyndryl'in endişelerinin araştırılması ve giderilmesi için en kısa süre içinde Kyndryl ile iş birliği yapacaktır.

  6. Hizmet Sağlama

  6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için sektörde yaygın olarak kullanılan birleşik kimlik doğrulaması yöntemlerini destekleyecek ve anılan Kyndryl kullanıcısı veya Müşteri hesaplarına kimlik doğrulaması uygulanması için Sektördeki En İyi Uygulamalara uyacaktır (örneğin, Kyndryl tarafından OpenID Connect veya Security Assertion Markup Language kullanılarak merkezi olarak yönetilen çok faktörlü Tek Oturum Açma). Tedarikçi, alt yüklenicilerden yararlanılmasına ilişkin olarak İşlem Belgesinde ya da taraflar arasında yürürlükte olan ilgili çerçeve sözleşmede belirtilen yükümlülüklerini ya da Kyndryl'in haklarını sınırlamaksızın, Tedarikçi için iş yapan herhangi bir alt yüklenicinin bu Koşulların Tedarikçiye getirdiği gereksinimlere ve yükümlülüklere uymak için yönetişim kontrollerini devreye almış olmasını sağlayacaktır.

  7. Fiziksel Ortam. Tedarikçi, ortamın temizlenmesine ilişkin Sektördeki Ek İyi Uygulamalara uygun olarak, yeniden kullanılması amaçlanan fiziksel ortamları söz konusu yeniden kullanımdan önce güvenli bir biçimde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamı imha edecektir.

  8.

  Madde IX, Barındırılan Hizmet Sertifikasyonları ve Raporları

  Bu Madde, Tedarikçinin Kyndryl'e bir Barındırılan Hizmet sağladığı durumlarda geçerlidir.

  1.1 Tedarikçi, aşağıda belirtilen zaman aralıkları içinde aşağıda belirtilen sertifikasyonları veya raporları edinecektir:

  Sertifikasyonlar / Raporlar

  Zaman Aralığı

  Tedarikçinin Barındırılan Hizmetlerine ilişkin olarak:

  Saygın bağımsız denetçinin değerlendirmesi yoluyla edinilmesi kaydıyla, ISO 27001, Bilgi teknolojisi, Güvenlik teknikleri, Bilgi güvenliği yönetim sistemleri standartlarına uyumluluğa ilişkin sertifikasyon

  Veya

  SOC 2 Tip 2: Tedarikçinin sistemlerine, kontrollerine ve operasyonlarına (asgari olarak güvenlik, gizlilik ve kullanılabilirlik dahil) ilişkin incelemesini SOC 2 Tip 2'ye uygun şekilde kanıtlayan, saygın bir bağımsız denetçi raporu

  Tedarikçi, İşlem Belgesi* yürürlük tarihini ya da Üstlenme Tarihini** takip eden 120 gün içinde ISO 27001 sertifikasyonunu edinecek ve ardından her 12 ayda bir olmak üzere, saygın bağımsız denetçinin değerlendirmesi doğrultusunda sertifikasyonu yenileyecektir (her yenileme, standardın en güncel sürümü uyarınca gerçekleştirilecektir)

  Tedarikçi, SOC 2 Tip 2 raporunu İşlem Belgesi* yürürlük tarihini ya da Üstlenme Tarihini** takip eden 240 Gün içinde edinecek ve ardından her 12 ayda bir olmak üzere Tedarikçinin sistemlerinin, kontrollerinin ve operasyonlarının SOC 2 Tip 2 (asgari olarak güvenlik, gizlilik ve kullanılabilirlik dahil) uyarınca saygın bağımsız bir denetçi tarafından incelenmiş olduğunu kanıtlayan yeni bir rapor elde edecektir.

  * Tedarikçinin anılan yürürlük tarihi itibariyle bir Barındırılan Hizmeti sağlaması halinde.

  ** Tedarikçinin, bir Barındırılan Hizmeti sağlama yükümlülüğünü üstlendiği tarih.

  1.2 Tedarikçi, yazılı olarak talep etmesi ve Kyndryl'in yazılı olarak onaylaması durumunda, önemli ölçüde eşdeğer sertifikasyona ya da rapora ilişkin olarak yukarıdaki tabloda belirtilen zaman aralıkları değişmeksizin geçerli olmak kaydıyla, yukarıda belirtilenlerle önemli ölçüde eşdeğer bir sertifikasyon ya da rapor edinebilir.

  1.3 Tedarikçi: (a) talep edilmesi durumunda, edinmekle yükümlü olduğu her sertifikasyonun ve raporun bir kopyasını en kısa süre içinde Kyndryl'e sağlayacaktır ve (b) SOC 2 incelemesinde ya da önemli ölçüde eşdeğer (Kyndryl tarafından bu şekilde onaylanması kaydıyla) incelemelerde belirlenen herhangi bir dahili kontrol zayıflığını en kısa süre içinde çözecektir.

  Madde X, İş Birliği, Doğrulama ve Düzeltme

  Bu Madde, Tedarikçinin Kyndryl'e herhangi bir Hizmet ya da Teslim Edilecek Malzeme sağladığı durumlarda geçerlidir.

  1. Tedarikçi İş Birliği

  1.1 Tedarikçi, Kyndryl'in herhangi bir gerekçe ile herhangi bir Hizmetin ya da Teslim Edilecek Malzemenin herhangi bir siber güvenlik ile ilgili olarak endişesine yaratacak bir duruma mahal vermiş olduğuna, vermekte olduğuna ya da vereceğine inanması durumunda, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile mülakatlar veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere anılan endişeye ilişkin olarak Kyndryl tarafından gerçekleştirilecek herhangi bir sorgulamada Kyndryl ile makul düzeyde iş birliği yapacaktır.

  1.2 Taraflar, (a) talep edilmesi üzerine diğer tarafa bu tür ayrıntılı bilgileri sağlamayı, (b) anılan diğer belgeleri imzalamayı ve diğer tarafa teslim etmeyi ve (c) bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacının yerine getirilmesi için diğer tarafın makul ölçüler dahilinde talep edeceği bu tür diğer eylemleri ve şeyleri yerine getirmeyi kabul ederler. Örneğin Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Tedarikçinin gerekli yetkiye sahip olduğu hallerde sözleşmelere erişim yetkisi verilmesi dahil olmak üzere, Alt Veri İşleyenlerle ve alt yüklenicilerle imzalanmış olan yazılı sözleşmelerin gizliliğe ve güvenliğe odaklı koşullarını en kısa süre içinde sağlayacaktır.

  1.3 Tedarikçi, Kyndryl tarafından talep edilmesi durumunda, Teslim Edilecek Malzemelerinin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya diğer herhangi bir şekilde temin edildiği ülkelere ilişkin bilgileri en kısa süre içinde sağlayacaktır.

  2. Doğrulama ("Tesis", aşağıda kullanıldığı şekilde, Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği ya da diğer herhangi bir biçimde bunlara eriştiği fiziksel bir lokasyonu ifade eder)

  2.1 Tedarikçi, bu Koşullara uyulduğunu kanıtlayan denetlenebilir bir kayıt tutacaktır.

  2.2 Kyndryl, kendisi ya da harici bir denetçi aracılığıyla, Tedarikçiye 30 Gün öncesinden yazılı bildirimde bulunarak, herhangi bir Tesise veya Tesislere anılan amaçlarla erişilmesi dahil olmak üzere Tedarikçinin bu Koşullara uygunluğunu doğrulayabilir, ancak Kyndryl, bunun yapılmasının ilgili bilgiler sağlayacağına inanması için iyi niyet ölçüleri dahilinde bir gerekçesi bulunmadığı sürece Tedarikçinin Kyndryl Verilerini İşlediği herhangi bir veri merkezine erişmeyecektir. Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile görüşmeler veya benzeri şekilde zamanında ve tam olarak yanıt verilmesi dahil olmak üzere, Kyndryl'in doğrulaması sırasında Kyndryl ile iş birliği yapacaktır. Tedarikçi, Kyndryl tarafından değerlendirilmek üzere, onaylanmış çalışma kurallarına ya da sektör sertifikasyonuna uygunluğuna ilişkin kanıt ya da bu Koşullara uygunluğunu kanıtlamak amacıyla diğer herhangi bir şekilde bilgi sağlayabilir.

  2.3 Bir doğrulama, (a) önceki doğrulamadan kaynaklanan endişelerin Tedarikçi tarafından giderildiğinin 12 aylık dönem sırasında Kyndryl tarafından doğrulanması veya (b) bir Güvenlik İhlalinin ortaya çıkması ve Kyndryl'in ihlale ilişkin yükümlülüklere uygunluğu doğrulamak istemesi hariç olmak üzere herhangi bir 12 aylık dönemde bir defadan fazla gerçekleştirilmeyecektir. Her koşulda, yukarıdaki Madde 2.2'de belirtildiği şekilde Kyndryl tarafından 30 Gün öncesinden yazılı bildirim aynı şekilde sağlanacaktır, ancak Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'in bir doğrulamayı 30 Günden daha kısa süre önce yazılı bildirimde bulunarak gerçekleştirmesini gerektirebilir.

  2.4 Bir düzenleyici kurum ya da diğer Veri Sorumlusu, Maddeler 2.2 ve 2.3'te belirtildiği şekilde Kyndryl ile aynı hakları kullanabilir ve düzenleyici kurum ayrıca, kanun kapsamında sahip olduğu herhangi bir ek hakkı kullanabilir.

  2.5 Kyndryl'in, Tedarikçinin bu Koşullardan herhangi birine uymadığına inanmak için makul gerekçesi varsa (anılan gerekçenin bu Koşullar kapsamındaki bir doğrulamadan kaynaklanması ya da diğer herhangi bir neden dikkate alınmaksızın), bu durumda Tedarikçi anılan uyumsuzluğu en kısa süre içinde giderecektir.

  3. Taklit Ürünlerin Önlenmesi Programı

  3.1 Tedarikçi, Teslim Edilecek Malzemelerine elektronik bileşenlerin (örneğin, sabit disk sürücüler, katı hal sürücüleri, bellek, merkezi işlemci birimleri, mantık aygıtları veya kablolar) dahil olması durumunda, öncelikle ve en önemlisi, Tedarikçinin Kyndryl'e taklit ürün sağlamasının önlenmesi ve ikincil olarak, Tedarikçinin hata sonucu Kyndryl'e taklit bileşenler sağladığı herhangi bir durumun en kısa süre içinde saptanması ve düzeltilmesi için belgelenmiş bir taklit önleme programı sağlayacak ve buna uyacaktır. Tedarikçi, Tedarikçi tarafından Kyndryl'e sağlanan Teslim Edilecek Malzemelere dahil olan elektronik bileşenleri sağlayan tüm tedarikçileri için aynı belgelenmiş taklit önleme programını sürdürme ve buna uyma yükümlülüğünü zorunlu kılacaktır.

  4. Düzeltme

  4.1 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü yerine getirememesi ve bu durumun bir Güvenlik İhlaline yol açması durumunda Tedarikçi, yerine getirilemeyen yükümlülüğü yerine getirecek ve Güvenlik İhlalinin yol açtığı zararlı etkileri düzeltecektir ve anılan yükümlülüğün yerine getirilmesi ile zararlı etkilerin düzeltilmesi Kyndryl'in makul yönergelerine ve zaman çizelgesine uygun olarak gerçekleştirilecektir. Ancak Güvenlik İhlalinin Tedarikçinin çok kiracılı bir Barındırılan Hizmeti sağlamasından kaynaklanması ve bunun sonucunda Kyndryl dahil olmak üzere Tedarikçinin birçok müşterisinin etkilenmesi halinde, Tedarikçi, Güvenlik İhlalinin niteliğine bağlı olarak yükümlülüğünü yerine getirme konusundaki kusuru zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir, bu arada Kyndryl'in girdilerine söz konusu düzeltmeler ve iyileştirme için gereken önemi gösterecektir.

  4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin giderilmesine katılma hakkına sahip olacaktır ve söz konusu herhangi bir Güvenlik İhlaliyle ilgili olarak yükümlülüğün yerine getirilmesi sırasında ortaya çıkacak maliyet ve giderler ile tarafların karşı karşıya kalacağı düzeltme maliyetlerinden ve giderlerinden Tedarikçi sorumlu olacaktır.

  4.3 Örnek olması amacıyla, bir Güvenlik İhlali ile bağlantılı düzeltme maliyetlerine ve giderlerine, bir Güvenlik İhlalinin saptanması ve soruşturulması, geçerli kanunlar ve yönetmelikler kapsamındaki sorumlulukların belirlenmesi, ihlal bildirimlerinin sağlanması, çağrı merkezlerinin kurulması ve sürdürülmesi, kredi izleme ve kredi düzeltme hizmetleri sağlanması, verilerin geri yüklenmesi, ürün kusurlarının giderilmesi (Kaynak Kodu veya diğer geliştirme aracılığıyla olması dahil), yukarıda belirtilenlerin ya da diğer ilgili etkinliklerin gerçekleştirilmesine yardımcı olması için üçüncü kişilerin görevlendirilmesi ile bağlantılı maliyet ve giderler ile Güvenlik İhlalinin zararlı etkilerinin düzeltilmesi için gerekli olan diğer maliyetler ve giderler dahil olabilir. Açıklığa kavuşturmak amacıyla, düzeltme maliyetlerine ve giderlerine Kyndryl'in kâr kaybı, iş kaybı, değer kaybı, gelir kaybı, itibar kaybı ya da beklenen tasarrufun kaybı dahil olmayacaktır.

View All Terms

Tanımlar
Büyük harfle başlayan sözcükler, aşağıda belirtilen anlamları, aksi halde bu Koşullarda veya İşlem Belgesinde ya da taraflar arasındaki ilgili çerçeve sözleşmede belirtilen anlamı taşır. "Hizmetler" ve "Teslim Edilecek Malzemeler" terimleri muhtemelen İşlem Belgesinde ya da taraflar arasındaki ilgili çerçeve sözleşmede tanımlanmıştır; ancak, tanımlanmamış olması durumunda "Hizmetler", İşlem Belgesinde belirtildiği şekilde Tedarikçi tarafından Kyndryl için gerçekleştirilen herhangi bir Barındırılan Hizmeti, danışmanlığı, kurulumu, özelleştirmeyi, bakımı, desteği, personel artırmayı, iş, teknik veya diğer çalışmayı ifade eder ve "Teslim Edilecek Malzemeler", İşlem Belgesinde belirtildiği şekilde Tedarikçi tarafından Kyndryl'e sağlanan herhangi bir yazılım programını, platformu, uygulamayı veya diğer ürünü veya öğeyi ve bunlarla ilişkili malzemeleri ifade eder.

İş İletişim Bilgileri, profesyonel nedenlerle veya işle ilgili olarak bir kişi ile iletişim kurulması, bu kişinin belirlenmesi veya kimliğinin doğrulanması için kullanılan Kişisel Verileri ifade eder. İş İletişim Bilgileri, tipik olarak bir kişinin adını, iş e-posta adresini, fiziksel adresini, telefon numarasını veya benzer niteliklerini içerir.

Bulut Hizmeti, "hizmet olarak sunulan yazılım", "hizmet olarak sunulan platform" ve "hizmet olarak sunulan altyapı" olanakları dahil olmak üzere Tedarikçi tarafından barındırılan veya yönetilen herhangi bir "hizmet olarak sunulan" olanağı ifade eder.

Veri Sorumlusu, Kişisel Verilerin İşlenmesiyle ilgili amaçları ve yöntemleri tek başına ya da diğer taraflarla birlikte belirleyen gerçek ya da tüzel kişiyi, kamu kuruluşunu, dairesini ya da diğer herhangi bir kurumu ifade eder.

Kurumsal Sistem, Kyndryl'in intranet ağında, İnternet üzerinde veya diğer herhangi bir konumda bulunanlar ya da bunlar aracılığıyla erişilebilir olanlar dahil olmak üzere Kyndryl'in işini yapmak için kullandığı bir BT sistemini, platformu, uygulamayı, ağı veya benzerini ifade eder.

Müşteri, bir Kyndryl müşterisini ifade eder.

İlgili Kişi, bir isme, kimlik numarasına, konum verilerine, çevrimiçi tanımlayıcıya veya anılan gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla etkene atıfta bulunularak kimliği belirlenebilecek bir gerçek kişiyi ifade eder.

Gün veya Günler, "iş" günleri olarak belirtilmediği sürece takvim günlerini ifade eder.

Aygıt, Kyndryl veya Tedarikçi tarafından sağlanan bir iş istasyonunu, dizüstü bilgisayarı, tableti, akıllı telefonu veya kişisel dijital yardımcıyı (PDA) ifade eder.

İdare Etmek, İdare Eder veya İdare, Kyndryl Teknolojisine tüm erişimi, bunun kullanımını ve depolanmasını ve bununla ilgili diğer tüm idareyi kapsar.

Barındırılan Hizmet, Tedarikçi tarafından barındırılan veya yönetilen herhangi bir veri merkezi hizmetini, uygulama hizmetini, BT hizmetini veya Bulut Hizmetini ifade eder.

Kyndryl Verileri, İşlem Belgesi ile bağlantılı olarak Kyndryl , Kyndryl Personeli, bir Müşteri, Müşteri çalışanı veya diğer herhangi bir kişi veya kuruluş tarafından Tedarikçiye sağlanan, bir Barındırılan Hizmete yüklenen veya burada depolanan ya da Tedarikçinin diğer herhangi bir biçimde erişim olanağına sahip olduğu ve Tedarikçinin Kyndryl adına İşlediği herhangi bir ve tüm elektronik dosyaları, malzemeleri, metin, ses, video, resim ve diğer verileri ifade eder.

Kyndryl Malzemeleri, her türlü Kyndryl Verisini ve Kyndryl Teknolojisini ifade eder.

Kyndryl Kişisel Verileri, Tedarikçinin Kyndryl adına İşlediği herhangi bir Kişisel Veriyi ifade eder. Kyndryl Kişisel Verilerine Kyndryl'in kontrolünde olan Kişisel Veriler ile Kyndryl'in Diğer Veri Sorumluları adına İşlediği Kişisel Veriler dahildir.

Kyndryl Kaynak Kodu, mülkiyeti veya lisansı Kyndryl'e ait olan Kaynak Kodunu ifade eder.

Kyndryl Teknolojisi, İşlem Belgesiyle ya da Kyndryl ile Tedarikçi arasında yürürlükte olan herhangi bir ilgili sözleşmeyle bağlantılı olarak Kyndryl tarafından doğrudan veya dolaylı olarak Tedarikçiye lisanslanan veya diğer herhangi bir biçimde Tedarikçinin kullanımına sunulan Kyndryl Kaynak Kodunu, diğer kodu, açıklama dillerini, sabit yazılımları, yazılımları, araçları, tasarımları, şemaları, grafiksel gösterimleri, yerleşik anahtarları, sertifikaları ve diğer bilgileri, malzemeleri, varlıkları, belgeleri ve teknolojiyi ifade eder.

Dahildir ve Dahil Olmak Üzere, büyük harfle başlayıp başlamaması dikkate alınmaksızın, sınırlama terimleri olarak yorumlanmayacaktır.

Sektördeki En İyi Uygulamalar, ABD Ulusal Standartlar ve Teknoloji Enstitüsü ya da Uluslararası Standardizasyon Kuruluşu ya da benzer itibara ve gelişmişlik düzeyine sahip diğer herhangi bir kurum ya da kuruluş tarafından önerilenlerle veya zorunlu kılınanlarla tutarlı olan uygulamaları ifade eder.

BT, bilgi teknolojisini ifade eder.

Diğer Veri Sorumlusu, bir Kyndryl bağlı kuruluşu, Müşterisi veya Müşteri bağlı kuruluşu gibi Kyndryl Verilerinin Veri Sorumlusu olan, Kyndryl haricindeki herhangi bir kuruluşu ifade eder.

Şirket İçi Yazılım, Kyndryl'in veya bir alt yüklenicinin Kyndryl'in veya alt yüklenicinin sunucularında veya sistemlerinde kurduğu veya çalıştırdığı yazılım anlamına gelir. Açıklığa kavuşturmak amacıyla, Şirket İçi Yazılım, Tedarikçinin Teslim Edilecek Malzemesidir.

Kişisel Veriler, bir İlgili Kişi ile bağlantılı olan herhangi bir bilgi ve “kişisel veri” olarak nitelendirilen bilgiler veya herhangi bir veri koruma yasası kapsamındaki buna benzer bilgiler anlamına gelir.

Personel, Kyndryl'in veya Tedarikçinin çalışanları, Kyndryl'in veya Tedarikçinin temsilcileri, Kyndryl veya Tedarikçi tarafından iş ilişkisi kurulan bağımsız yükleniciler olan veya bir alt yüklenici tarafından taraflardan birine sağlanan kişileri ifade eder.

İşlemek veya İşleme, depolama, kullanım, erişim ve okuma dahil olmak üzere Kyndryl Verileri üzerinde gerçekleştirilen herhangi bir operasyonu veya operasyon dizisini ifade eder.

Veri İşleyen, Kişisel Verileri bir Veri Sorumlusu adına İşleyen gerçek veya tüzel bir kişiyi ifade eder.

Güvenlik İhlali, sayılanlara neden olan bir güvenlik ihlalini ifade eder: (a) Kyndryl Malzemelerinin kaybı, imhası, değişikliğe uğraması veya kazara ya da yetkisiz olarak açıklanması, (b) Kyndryl Malzemelerine yanlışlıkla veya yetkisiz olarak erişim, (c) Kyndryl Verilerinin kanunlara aykırı biçimde İşlenmesi veya (d) Kyndryl Teknolojisinin kanunlara aykırı biçimde İdare edilmesi.

Satmak (veya Satış), verilerin para veya diğer değerli bedel karşılığında satılmasını, kiralanmasını, finansal kiralama yoluyla kiralanmasını, açıklanmasını, dağıtılmasını, kullanıma sunulmasını, aktarılmasını veya diğer herhangi bir şekilde sözlü, yazılı, elektronik veya diğer yöntemlerle bildirilmesini ifade eder.

Kaynak Kodu, geliştiricilerin bir ürünü geliştirmek veya sürdürmek için kullandığı, ancak ürünün ticari dağıtımının veya kullanımının normal gidişatı içinde son kullanıcılara teslim edilmeyen, insan tarafından okunabilir programlama kodunu ifade eder.

Alt Veri İşleyen, bir Tedarikçi bağlı kuruluşu dahil olmak üzere Kyndryl Verilerini İşleyen herhangi bir Tedarikçi alt yüklenicisini ifade eder.