Odredbe o privatnosti i sigurnosti
Ove Odredbe o privatnosti i sigurnosti definiraju Kyndrylova i Dobavljačeva prava i obveze vezane uz privatnost, sigurnost i povezana pitanja ("Odredbe"). Odredbe su uključene i postale su dio Opisa posla (engl. Statement of Work - SOW), Ovlaštenja za rad (engl. Work Authorization - WA) ili sličnog dokumenata sklopljenog između naših poduzeća koji upućuje na njih ("Transakcijski dokument"). Odredbe se primjenjuju na određeni angažman koji se odražava unutar Transakcijskog dokumenta.
Radi prikladnosti, ova web stranica omogućuje Dobavljaču da ispod označi kvadratiće koji karakteriziraju okolnosti angažmana i na taj način prikaže izabrane Odredbe. Ovisno o ovim okolnostima, više kvadratića može biti relevantno. Radi jasnoće, isključivo okolnosti odražene u Transakcijskom dokumentu utvrđuju Odredbe koje se primjenjuju na angažman, a ne ovdje prikazane zato što ih je Dobavljač označio u kvadratićima u nastavku.
NAPOMENA: Dobavljači koji obrađuju podatke o Kyndrylovim zaposlenicima trebaju kliknuti okvir 1 (pristup Kyndrylovim Poslovnim kontakt informacijama) i okvir 2 (pristup Osobnim podacima).
U slučaju neslaganja između Odredbi i Transakcijskog dokumenta ili bilo kojeg povezanog osnovnog ili drugog ugovora između strana, uključujući bilo koji ugovor o obradi podataka, Odredbe imaju prednost. Obavijesti na koje obvezuju ove Odredbe izvršit će se u skladu s odredbama o obavještavanju iz Transakcijskog dokumenta.
Riječi pisane velikim početnim slovima u ovim Odredbama imaju značenja dodijeljena u skladu s odjeljkom Definicije u nastavku.
Označite kvadratiće koji odražavaju okolnosti Usluga ovog određenog angažmana: |
-
Ako je tako, tada se na taj pristup primjenjuju članci I (Poslovne kontakt informacije) i X (Suradnja, provjera i ispravljanje).
Primjeri:
Dobavljač koristi imena, adrese e-pošte i telefonske brojeve Kyndrylovih ili Korisnikovih zaposlenika za podršku ili održavanje.
Kyndryl koristi imena i adrese e-pošte Dobavljačevih zaposlenika za provjeru identiteta prilikom pristupa Korporativnom sustavu.
Napomena:
Ako Dobavljač pruža održavanje ili podršku, tada Dobavljač može imati pristup informacijama koje nadilaze Poslovne kontakt informacije (engl. Business Contact Information - BCI) (npr. datotekama dnevnika sa ili bez Osobnih podataka), u kojem slučaju Dobavljač će također označiti kvadratić u točki 2 (ako će imati pristup Osobnim podacima) i u točki 3 (ako će imati pristup ne-Osobnim podacima).
Ako Dobavljač obrađuje podatke o Kyndrylovim zaposlenicima, tada će Dobavljač također označiti kvadratić u točki 2. (ako će imati pristup Osobnim podacima).
Članak I. Poslovne kontakt informacije
Ovaj se članak primjenjuje ako Dobavljač ili Kyndryl Obrađuju BCI druge strane.
1.1 Kyndryl i Dobavljač, gdje god posluju, mogu Obrađivati BCI druge strane vezano uz Dobavljačevo pružanje Usluga i isporuku Isporučivih materijala.1.2 Strana:
(a) neće koristiti ili otkrivati BCI druge strane za bilo kakvu drugu svrhu (radi jasnoće, nijedna strana neće Prodavati BCI druge strane niti koristiti ili otkrivati BCI druge strane za bilo kakve marketinške svrhe bez prethodnog pisanog pristanka druge strane i, tamo gdje je to potrebno, prethodnog pisanog pristanka zahvaćenih Ispitanika) i
(b) će odmah na temelju pisanog zahtjeva druge strane izbrisati, izmijeniti, ispraviti, vratiti, pružiti informacije o Obradi, ograničiti Obradu ili poduzeti bilo koju drugu zatraženu razumnu radnju u pogledu BCI-ja druge strane, kad god dođe do neovlaštene upotrebe osobnih informacija, a strana želi zaustaviti obradu i ispraviti.
1.3 Strane ne ulaze u odnos zajedničkih Voditelja obrade u pogledu međusobnog BCI-ja, i nijedna odredba Transakcijskog dokumenta neće se tumačiti ili smatrati naznakom bilo kakve namjere uspostavljanja odnosa zajedničkih Voditelja obrade.
1.4 Kyndrylova Izjava o privatnosti na stranici https://www.kyndryl.com/us/en/privacy sadrži dodatne detalje o Kyndrylovoj obradi BCI-ja.
1.5 Strane su implementirale i održavat će tehničke i organizacijske sigurnosne mjere kako bi zaštitile BCI druge strane od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja, slučajnog ili neovlaštenog pristupa i nezakonite Obrade.1.6 Dobavljač će odmah (a ni u kojem slučaju kasnije od 48 sati) obavijestiti Kyndryl nakon što postane svjestan Povrede sigurnosti koja obuhvaća Kyndrylov BCI. Dobavljač će takvu obavijest dostaviti na e-adresu cyber.incidents@kyndryl.com. Dobavljač će Kyndrylu pružiti razumno zatražene informacije o takvoj povredi te o statusu bilo kojih Dobavljačevih aktivnosti za ispravljanje i obnavljanje. Na primjer, razumno zatražene informacije mogu uključivati dnevnike koji pokazuju povlašteni, administratorski i drugi pristup Uređajima, sustavima ili aplikacijama, forenzičke slike Uređaja, sustava ili aplikacija te druge slične stavke u mjeri u kojoj je to relevantno za povredu ili Dobavljačeve aktivnosti ispravljanja i obnavljanja.
1.7 Tamo gdje Dobavljač samo Obrađuje Kyndrylov BCI i nema pristupa drugim podacima ili materijalima bilo koje vrste ili bilo kojem Kyndrylovom Korporativnom sustavu, ovaj članak i članak X. (Suradnja, provjera i ispravljanje) su jedini članci koji se primjenjuju na takvu Obradu.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
-
Ako je tako, tada se na taj pristup primjenjuju članci II (Tehničke i organizacijske mjere, Sigurnost podataka), III (Privatnost), VIII (Tehničke i organizacijske mjere, Opća sigurnost) i X (Suradnja, provjera i ispravljanje).
Primjeri:
Dobavljač pristupa osobnim podacima u svojoj isporuci bilo koje Hostane usluge za internu upotrebu Kyndryla ili upotrebu od strane kupaca, ili oboje.
Dobavljač pruža medicinske ili zdravstvene odnosno s njima povezane Usluge, marketinške Usluge ili Usluge vezane uz ljudske resurse ili pogodnosti i dok to čini, pristupa Osobnim podacima.
Dobavljač pristupa datotekama dnevnika tijekom pružanja Usluga podrške, a iste datoteke sadržavaju Osobne podatke.
Članak II. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač Obrađuje Kyndrylove podatke osim Kyndrylovog BCI-ja. Dobavljač će udovoljiti zahtjevima ovog članka prilikom pružanja svih Usluga i Isporučivih materijala te na taj način štititi Kyndrylove podatke od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja, slučajnog ili neovlaštenog pristupa i nezakonitih oblika obrade. Zahtjevi ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i okoline podatkovnog centra.
1. Upotreba podataka
1.1 Dobavljač ne smije dodavati u Kyndrylove podatke ili s Kyndrylovim podacima uključiti bilo koje druge informacije ili podatke uključujući bilo koje Osobne podatke bez Kyndrylovog prethodnog pisanog pristanka i Dobavljač ne smije koristiti Kyndrylove podatke u bilo kojem obliku, agregirane ili drugačije, za bilo koju svrhu osim za pružanje Usluga i Isporučivih materijala Kyndrylu (na primjer, Dobavljaču nije dozvoljeno koristiti ili naknadno koristiti Kyndrylove podatke kako bi procijenio učinkovitost ili načine za poboljšanje Dobavljačevih ponuda, za istraživanje i razvoj u svrhu stvaranja novih ponuda niti za generiranje izvještaja o Dobavljačevim ponudama). Dobavljaču je zabranjeno prodavati Kyndrylove podatke osim ako to nije izričito dozvoljeno u Transakcijskom dokumentu.
1.2 Dobavljač neće umetati bilo koje tehnologije praćenja na webu u Isporučive materijale ili kao dio Usluga (takve tehnologije uključuju HTML5, lokalnu pohranu, oznake i tokene treće strane i web signale) osim ako to nije izričito dozvoljeno u Transakcijskom dokumentu
2. Zahtjevi treće strane i povjerljivost
2.1 Dobavljač neće otkrivati Kyndrylove podatke trećim stranama, osim na temelju pisanog ovlaštenja prethodno dobivenog od Kyndryla. Ako javno tijelo, uključujući bilo koje nadzorno tijelo, zahtijeva pristup Kyndrylovim podacima (npr. ako Vlada SAD-a Dobavljaču uruči naredbu nacionalne sigurnosti za dobivanje Kyndrylovih podataka) ili ako propisi na bilo koji drugi način zahtijevaju obznanjivanje Kyndrylovih podataka, Dobavljač će pisanim putem obavijestiti Kyndryl o takvom zahtjevu ili obvezi te će Kyndrylu pružiti razumnu priliku da ospori obznanjivanje (tamo gdje zakon zabranjuje obavještavanje, Dobavljač će poduzeti korake za koje smatra da su razumno prikladni kako bi osporio zabranu i obznanjivanje Kyndrylvih podataka putem sudskog postupka ili drugim sredstvima).
2.2 Dobavljač potvrđuje Kyndrylu da će: (a) pristup Kyndrylovim podacima imati samo oni Dobavljačevi zaposlenici kojima je takav pristup potreban za pružanje Usluga ili Isporučivih materijala i to samo u mjeri potrebnoj za pružanje tih Usluga i Isporučivih materijala; i (b) da je svojim zaposlenicima nametnuo obvezu povjerljivosti koja zahtijeva da ti zaposlenici koriste i otkrivaju Kyndryloveove podatke samo u mjeri dozvoljenoj ovim Odredbama.
3. Vraćanje ili brisanje Kyndrylovih podataka
3.1 Dobavljač će, prema Kyndrylovoj odluci, izbrisati ili Kyndrylu vratiti Kyndrylove podatke nakon raskida ili isteka Transakcijskog dokumenta ili ranije na zahtjev Kyndryla. Ako Kyndryl zahtijeva brisanje, Dobavljač će tada u skladu s Najboljom industrijskom praksom učiniti da su podaci nečitljivi i da se ne mogu ponovno sastaviti ili rekonstruirati te će Kyndrylu potvrditi brisanje. Ako Kyndryl zahtijeva vraćanje Kyndrylovih podataka, Dobavljač će to učiniti prema razumnom Kyndrylovom rasporedu i prema razumnim Kyndrylovim pisanim uputama.
---
Članak III. Privatnost
Ovaj članak se primjenjuje ako Dobavljač obrađuje Kyndrylove Osobne podatke.
1. Obrada
1.1 Kyndryl imenuje Dobavljača za Izvršitelja obrade Kyndrylovih Osobnih podataka isključivo u svrhu pružanja Isporučivih materijala i Usluga u skladu s Kyndrylovim uputama, uključujući upute sadržane u ovim Odredbama, Transakcijskom dokumentu i pridruženom osnovnom ugovoru između strana. Ako Dobavljač ne udovolji nekoj uputi, Kyndryl može otkazati zahvaćeni dio Usluga putem pisane obavijesti. Ako Dobavljač vjeruje da uputa krši neki zakon o zaštiti podataka, Dobavljač će o tome odmah i unutar propisanog vremenskog okvira obavijestiti Kyndryl. Ako Dobavlja ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje neovlaštenu upotrebu Osobnih podataka ili, općenito, u bilo kojem slučaju neovlaštene upotrebe Osobnih podataka, Kyndryl će imati pravo zaustaviti obradu i ispraviti grešku te otkloniti štetne utjecaje neovlaštene upotrebe prema Kyndrylovim razumnim uputama i rasporedu.
1.2 Dobavljač će poštivati sve zakone o zaštiti podataka primjenjive na Usluge i Isporučive materijale.
1.3 U Prilogu Transakcijskog dokumenta ili u samom Transakcijskom dokumentu navedeno je sljedeće u pogledu Kyndrylovih podataka:
(a) kategorije Ispitanika;
(b) vrste Kyndrylovih Osobnih podataka;
(c) radnje s podacima i aktivnosti Obrade;
(d) trajanje i učestalost Obrade; i
(e) popis Podizvršitelja obrade.
2. Tehničke i organizacijske mjere
2.1 Dobavljač će implementirati i održavati tehničke i organizacijske mjere navedene u članku II. (Tehničke i organizacijske mjere, Sigurnost podataka) i članku VIII. (Tehničke i organizacijske mjere, Opća sigurnost) te na taj način osigurati odgovarajuću razinu sigurnosti u odnosu na rizik povezan s Uslugama i Isporučivim materijalima. Dobavljač potvrđuje i razumije ograničenja iz članka II., ovog članka III. i članka VIII. i pristaje na njih.
3. Prava i zahtjevi Ispitanika
3.1 Dobavljač će odmah obavijestiti Kyndryl (prema rasporedu koji Kyndrylu i Drugim voditeljima obrade omogućuje ispunjavanje njihovih zakonskih obveza) o bilo kojem zahtjevu Ispitanika koji ostvaruje bilo koja prava Ispitanika (npr. ispravak, brisanje ili blokiranje podataka) vezano uz Kyndrylove Osobne podatke. Dobavljač također može Ispitanika koji podnosi takav zahtjev odmah uputiti na Kyndryl. Dobavljač neće odgovarati na zahtjeve Ispitanika osim ako je zakonski obvezan ili ako je dobio pisanu uputu od Kyndryla da to učini.
3.2 Ako je Kyndryl dužan pružiti informacije o Kyndrylovim Osobnim podacima Drugim voditeljima obrade ili trećim stranama (npr. Ispitanicima ili Nadzornim tijelima), Dobavljač će pomoći Kyndrylu pružanjem informacija i poduzimanjem drugih razumnih radnji koje zatraži Kyndryl, prema rasporedu koji Kyndrylu omogućuje pravodobno odgovaranje takvim Drugim voditeljima obrade ili trećim stranama.
4. Podizvršitelji obrade
4.1 Dobavljač će unaprijed pružiti pisanu obavijest Kyndrylu prije dodavanja novog Podizvršitelja obrade ili prije proširivanja opsega Obrade postojećeg Podizvršitelja obrade te će na takvoj pisanoj obavijesti navesti naziv Podizvršitelja obrade i opis novog ili proširenog opsega Obrade. Kyndryl se može usprotiviti bilo kojem takvom novom Podizvršitelju obrade ili proširenju opsega na temelju razumno opravdanih razloga u bilo kojem trenutku, a ako to učini, strane će surađivati u dobroj vjeri kako bi našle rješenje za Kyndrylov prigovor. U skladu s Kyndrylovim pravom na prigovor u bilo kojem trenutku, Dobavljač može angažirati novog Podizvršitelja obrade ili proširiti opseg Obrade postojećeg Podizvršitelja obrade ako Kyndryl ne uloži prigovor u roku od 30 dana od datuma Dobavljačeve pisane obavijesti.
4.2 Dobavljač će svakom odobrenom Podizvršitelju obrade nametnuti obveze zaštite podataka, sigurnosti i certificiranja navedene u ovim Odredbama prije nego Podizvršitelj obrade započne obrađivati Kyndrylove podatke. Dobavljač je u potpunosti odgovoran Kyndrylu za izvršavanje obveza svakog Podizvršitelja obrade.
5. Prekogranična obrada podataka
Kako se upotrebljavaju u nastavku:
Država s primjerenom zaštitom označava državu koja pruža primjerenu razinu zaštite podataka u pogledu odgovarajućeg prijenosa sukladno primjenjivim zakonima o zaštiti podataka ili odlukama nadzornih tijela.
Uvoznik podataka označava ili Izvršitelja obrade ili Podizvršitelja obrade koji nema poslovni nastan u Državi s primjerenom zaštitom.
Standardne ugovorne klauzule Europske unije (“EU SCC-ovi”) označava Standardne ugovorne klauzule Europske unije (engl. EU Standard Contractual Clauses - EU SCCs) (Odluka Komisije 2021/914) s primijenjenim izbornim klauzulama osim opcije 1 iz klauzule 9. točka (a) i opcije 2 iz klauzule 17., koje su službeno objavljene na stranici https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en
Standardne ugovorne klauzule Srbije (“Srpski SCC-ovi”)označava Standardne ugovorne klauzule Srbije kako ih je usvojio "Srpski poverenik za informacije od javnog značaja i zaštitu podataka ličnosti" objavljene na stranici https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.
Standardne ugovorne klauzule ("SCC-ovi") označava ugovorne klauzule koje su potrebne radi zakona o zaštiti podataka primjenjivih na prijenos Osobnih podataka Izvršiteljima obrade čiji se poslovni nastan ne nalazi u Državama s primjerenom zaštitom.
Dodatak o međunarodnom prijenosu podataka Ujedinjenog Kraljevstva Standardnim ugovornim klauzulama Komisije EU-a ("UK Dodatak") označava Dodatak o međunarodnom prijenosu podataka Ujedinjenog Kraljevstva Standardnim ugovornim klauzulama Komisije EU-a kako je službeno objavljeno na stranici https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/.
Švicarski dodatak Standardnim ugovornim klauzulama Komisije EU-a ("Švicarski dodatak") označava ugovorne klauzule priložene Standardnim ugovornim klauzulama Komisije EU-a koje se primjenjuju u skladu s odlukom Švicarskog tijela za zaštitu podataka ("FDPIC") i u skladu sa Švicarskim saveznim zakonom o zaštiti podataka ("FADP").
5.1 Dobavljač neće preko granice prenositi ili otkrivati (uključujući pristup na daljinu) bilo koje Kyndryove Osobne podatke bez prethodnog pisanog Kyndrylovog pristanka. Ako Kyndryl pruži takav pristanak, strane će surađivati kako bi se osigurala sukladnost s primjenjivim zakonima o zaštiti podataka. Ako ti zakoni zahtijevaju SCC-ove, Dobavljač će na Kyndrylov zahtjev odmah sklopiti SCC-ove.
5.2 U pogledu EU SCC-ova:
(a) Ako Dobavljač nema poslovni nastan u Državi s primjerenom zaštitom: Dobavljač ovdje sklapa EU SCC-ove s Kyndrylom kao Uvoznik podataka i Dobavljač će sklopiti pisane ugovore sa svakim odobrenim Podizvršiteljem obrade u skladu s klauzulom 9 EU SCC-ova te će Kyndrylu na zahtjev pružiti pisane primjerke tih ugovora.
(i) Modul 1. EU SCC-ova se ne primjenjuje osim ako se strane nisu drugačije pisano dogovorile.
(ii) Modul 2. EU SCC-ova se primjenjuje tamo gdje je voditelj obrade Kyndryl, a Modul 3. EU SCC-ova se primjenjuje tamo gdje je Izvršitelj obrade Kyndryl. U skladu s klauzulom 13. EU SCC-ova, kad se primjenjuje Modul 2. ili Modul 3., strane se slažu (1) EU SCC-ove regulira pravo države članice EU-a u kojoj se nalazi nadležno nadzorno tijelo i (2) sporovi proizašli iz EU SCC-ova rješavat će se na sudovima države članice EU-a u kojoj se nalazi nadležno nadzorno tijelo. Ako takvo pravo iz (1) ne omogućuje prava korisnika treće strane, tada će se na EU SCC-ove primijeniti nizozemsko pravo, a svi sporovi proizašli iz EU SCC-ova temeljem (2) bit će riješeni pred sudom u Amsterdamu u Nizozemskoj.
(b) Ako obje strane, odnosno Dobavljač i Kyndryl imaju poslovni nastan u Državi s primjerenom zaštitom, Dobavljač će djelovati kao Izvoznik podataka i sklopit će EU SCC-ove sa svakim odobrenim Podizvršiteljem obrade u Državi bez primjerene zaštite. Dobavljač će izvršiti potrebnu Procjenu učinaka prijenosa (engl. Transfer Impact Assessment - TIA) i bez nepotrebnog odgađanja obavijestiti Kyndryl o (1) potrebi primjene bilo kakvih dodatnih mjera i o (2) primijenjenim mjerama. Dobavljač će na zahtjev Kyndrylu dostaviti rezultate TIA-e i sve informacije potrebne za razumijevanje i procjenu rezultata. U slučaju da se Kyndryl ne slaže s rezultatima Dobavljačevog TIA-e ili s primijenjenim dodatnim mjerama, Kyndryl i Dobavljač će surađivati kako bi pronašli izvedivo rješenje. Kyndryl zadržava pravo obustaviti ili otkazati dotične Dobavljačeve usluge bez plaćanja naknade. Da bi se uklonila bilo kakva sumnja, Dobavljačeve Podizvršitelje obrade to ne oslobađa obveze da postanu ugovorna strana u EU SCC-ovima s Kyndrylom ili njegovim Korisnicima kako je navedeno u odjeljku 5.2. točki (d) u nastavku.
(c) Ako Dobavljač ima poslovni nastan u Europskom gospodarskom prostoru, a Kyndryl je Voditelj obrade koji ne podliježe Općoj uredbi o zaštiti podataka 2016/679, tada se primjenjuje Modul 4. EU SCC-ova, a Dobavljač ovdje kao izvoznik podataka sklapa EU SCC-ove s Kyndrylom. Ako se primjenjuje Modul 4. SCC-ova EU-a, strane se slažu da se na EU SCC-ove primjenjuje nizozemsko pravo i svi sporovi proizašli iz EU SCC-ova bit će riješeni pred sudom u Amsterdamu, u Nizozemskoj.
(d) Ako Drugi voditelji obrade poput Korisnika ili povezanih društava zatraže da ih se uključi u EU SCC-ove u skladu s ‘klauzulom o pristanku’ u klauzuli 7., Dobavljač ovdje pristaje na svaki takav zahtjev.
(e) Tehničke i organizacijske mjere potrebne za cjelovitost Priloga II. EU SCC-ova mogu se pronaći u ovim Odredbama, samom Transakcijskom dokumentu i pridruženom osnovnom ugovoru između strana.
(f) U slučaju neslaganja između EU SCC-ova i ovih Odredbi, EU SCC-ovi imaju prednost.
5.3 Vezano uz Dodatak (Dodatke) Ujedinjenog Kraljevstva:
a. Ako Dobavljač nema poslovni nastan u Državi s primjerenom zaštitom: (i) Dobavljač ovdje sklapa UK Dodatak(Dodatke) s Kyndrylom kao Uvoznik, koji se dodaje gore navedenim EU SCC-ovima (ako je primjenjivo, ovisno o okolnostima aktivnosti obrade); i (ii) Dobavljač će sklopiti pisane ugovore sa svakim odobrenim Podizvršiteljem obrade te će Kyndrylu na zahtjev dostaviti primjerke tih ugovora.
b. Ako Dobavljač ima poslovni nastan u Državi s primjerenom zaštitom, a Kyndryl je Voditelj obrade koji ne podliježe Općoj uredbi o zaštiti podataka UK-a (uključena u zakonodavstvo Ujedinjenog Kraljevstva temeljem Zakonu o povlačenju iz Europske unije iz 2018.), tada Dobavljač ovdje sklapa UK Dodatak(Dodatke) s Kyndrylom kao Izvoznik, koji se dodaje EU SCC-ovima navedenima gore u odjeljku 5.2(b).
c. Ako drugi Voditelji obrade poput Korisnika ili povezanih društava zatraže da ih se uključi u UK Dodatak(Dodatke), Dobavljač ovdje pristaje na svaki takav zahtjev.
d. Informacije priloga (kako su navedene u Tablici 3) u UK Dodatku(Dodacima) mogu se pronaći u odgovarajućim EU SCC-ovima, ovim Odredbama, samom Transakcijskom dokumentu i u pridruženom osnovnom ugovoru između strana. Ni Kyndryl ni Dobavljač ne mogu raskinuti UK Dodatak(Dodatke) kad se UK Dodatak promijeni.
e. U slučaju bilo kakvog neslaganja između UK Dodatka (Dodataka) i ovih Odredbi, prednost će imati UK Dodatak (Dodaci).
5.4 Vezano uz Srpske SCC-ove:
a. Ako Dobavljač nema poslovni nastan u Državi s primjerenom zaštitom: (i) Dobavljač ovdje kao Izvršitelj obrade u svoje ime sklapa Srpske SCC-ove s Kyndrylom; i (ii) Dobavljač će sklopiti pisane ugovore sa svakim odobrenim Podizvršiteljem obrade u skladu s člankom 8. Srpskih SCC-ova te će Kyndrylu na zahtjev pružiti pisane primjerke tih ugovora.
b. Ako Dobavljač ima poslovni nastan u Državi s primjerenom zaštitom, tada Dobavljač ovdje sklapa Srpske SCC-ove s Kyndrylom u ime svakog Podizvršitelja obrade koji se nalazi u Državi bez primjerene zaštite. Ako Dobavljač to ne može učiniti za bilo kojeg takvog Podizvršitelja obrade, Dobavljač će Kyndrylu pružiti Srpske SCC-ove s potpisom tog Podizvršitelja obrade za Kyndrylov supotpis prije nego se Podizvršitelju obrade dozvoli obrađivanje bilo kojih Kyndrylovih Osobnih podataka.
c. Srpski SCC-ovi između Kyndryla i Dobavljača služit će bilo kao Srpski SCC-ovi između Voditelja obrade i Izvršitelja obrade ili kao "leđa o leđa" (engl. back-to-back) pisani ugovor između ‘izvršitelja obrade’ i ‘podizvršitelja obrade’, ovisno kako činjenice zahtijevaju. U slučaju neslaganja između Srpskih SCC-ova i ovih Odredbi, Srpski SCC-ovi imaju prednost.
d. Informacije potrebne za popunjavanje Dodataka 1. do 8. Srpskih SCC-ova koji uređuju prijenos Osobnih podataka u Državu bez primjerene zaštite mogu se pronaći u ovim Odredbama i u Prilogu Transakcijskog dokumenta ili u samom Transakcijskom dokumentu.5.5. Vezano uz Švicarski dodatak(dodatke):
Ako i u mjeri u kojoj prijenos Osobnih podataka tvrtke Kyndryl prema odjeljku 5.1. podliježe Švicarskom saveznom zakonu o zaštiti podataka ("FADP"), Standardne ugovorne klauzule EU-a dogovorene u odjeljku 5.2. ovih Odredbi regulirat će prijenos, uz sljedeće izmjene za usvajanje GDPR standarda za švicarske Osobne podatke:
Upućivanje na Opću uredbu o zaštiti podataka ("GDPR") također će se tumačiti kao upućivanje na istovjetne odredbe FADP-a,
Švicarska savezna komisija za informacije o zaštiti podataka nadležno je nadzorno tijelo prema odredbi 13. i Prilogu I.C Standardnih ugovornih klauzula EU-a
Švicarski zakon kao mjerodavni zakon u slučaju da prijenos isključivo podliježe FADP-u i
Pojam "država članica" u klauzuli 18. Standardnih ugovornih klauzula EU-a proširuje se kako bi se uključila Švicarska u svrhu dopuštanja švicarskim ispitanicima da ostvaruju svoja prava u mjestu svojeg uobičajenog boravišta.
Kako bi se uklonila svaka sumnja, ništa od gore navedenog nema za cilj smanjiti razinu zaštite podataka koju pružaju Standardne ugovorne klauzule EU-a na bilo koji način, nego isključivo proširiti ovu razinu zaštite na švicarske ispitanike. Ako i u mjeri u kojoj to nije slučaj, Standardne ugovorne klauzule imaju prednost.
6. Pomoć i evidencija
6.1 Uzimajući u obzir prirodu obrade, Dobavljač će pomoći Kyndrylu uspostavljanjem odgovarajućim tehničkim i organizacijskim mjerama za ispunjavanje obveza vezanih uz zahtjeve i prava Ispitanika. Dobavljač će također pomoći Kyndrylu u osiguravanju usklađenosti s obvezama koje se odnose na sigurnost Obrade, obavještavanje i izvješćivanje o Povredi sigurnosti te procjeni učinaka zaštite podataka, uključujući prethodne konzultacije s odgovornim nadzornim tijelom, ako su potrebne, uzimajući u obzir informacije dostupne Dobavljaču.
6.2 Dobavljač će održavati ažurnu evidenciju naziva i kontakt detalja svakog Podizvršitelja obrade, uključujući imena predstavnika i službenika za zaštitu podataka svakog Podizvršitelja obrade. Na Kyndrylov zahtjev Dobavljač će ovu evidenciju pružati Kyndrylu prema rasporedu koji Kyndrylu omogućuje pravodobno odgovaranje na bilo koji zahtjev Korisnika ili treće strane.
---
Članak VIII. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač pruža bilo koje Usluge ili Isporučive materijale Kyndrylu, osim kad Dobavljač ima pristup samo Kyndrylovom BCI-ju tijekom pružanja tih Usluga i Isporučivih materijala (npr. Dobavljač neće obrađivati nikakve druge Kyndrylove podatke niti će imati pristup bilo kojim drugim Kyndrylovim materijalima ili Korporativnim sustavima), Dobavljačeve Usluge i Isporučivi materijali služe za pružanje Softvera na lokaciji Kyndrylu ili Dobavljač pruža sve svoje Usluge i Isporučive materijale po modelu proširenja osoblja sukladno članku VII., uključujući od toga odjeljak 1.7.
Dobavljač će udovoljiti zahtjevima ovog članka te na taj način štititi: (a) Kyndrylove materijale od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja i slučajnog ili neovlaštenog pristupa, (b) Kyndrylove podatke od nezakonitih oblika Obrade i (c) Kyndrylovu tehnologiju od nezakonitih oblika rukovanja. Zahtjevi iz ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga te u kojima rukuje Kyndrylovom tehnologijom, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i centar podataka.
1. Sigurnosne politike
1.1 Dobavljač će održavati i slijediti sigurnosne politike i praksu informacijske tehnologije (IT) koje su sastavni dio Dobavljačevog poslovanja, obavezne za svo Dobavljačevo osoblje i usklađene s Najboljom industrijskom praksom.
1.2 Dobavljač će preispitati svoje IT sigurnosne politike i praksu najmanje jednom godišnje te ih prema potrebi ispraviti i dopuniti kako bi zaštitio Kyndrylove materijale.
1.3 Dobavljač će održavati i slijediti standardne obvezne zahtjeve provjere prilikom zapošljavanja novih zaposlenika i proširiti će takve zahtjeve na svo Dobavljačevo osoblje i Dobavljačeva povezana društva u potpunom vlasništvu. Ti zahtjevi će uključivati provjere kažnjavanosti u prošlosti u mjeri dozvoljenoj lokalnim pravom, dokaz provjere identiteta te bilo koje dodatne provjere za koje Dobavljač smatra da su potrebne. Dobavljač će periodički ponavljati i provjeravati te zahtjeve ako smatra da je to potrebno.
1.4 Dobavljač će svojim zaposlenicima svake godine osigurati edukaciju o sigurnosti i privatnosti te će svake godine od svojeg osoblja tražiti potvrdu da će se pridržavati Dobavljačevog etičnog poslovnog ponašanja i politika čuvanja tajnosti i sigurnosti navedenih u Dobavljačevom kodeksu ponašanja ili sličnim dokumentima. Dobavljač će osigurati dodatnu obuku o politikama i procesu osoblju s administrativnim pristupom bilo kojoj komponenti Usluga, Isporučivih materijala ili Kyndrylovih materijala, gdje će takva obuka biti specifična za njihovu ulogu i podršku Usluga, Isporučivih materijala i Kyndrylovih materijala i kakva je potrebna za održavanje zahtijevane sukladnosti i certifikata.
1.5 Dobavljač će dizajnirati mjere sigurnosti i privatnosti kako bi zaštitio i održavao dostupnost Kyndrylovih materijala te će kroz njihovu implementaciju, održavanje i sukladnost s politikama i procedurama koje po svojem obliku zahtijevaju sigurnost i privatnost, osigurati inženjering i siguran rad za sve Usluge i Isporučive materijale i za svo Rukovanje Kyndrylovom tehnologijom.
2. Sigurnosni incidenti
2.1 Dobavljač će održavati i slijediti dokumentirane politike odgovora na incidente sukladne Najboljoj industrijskoj praksi za postupanje kod sigurnosnih incidenata vezanih uz računala.
2.2 Dobavljač će istražiti neovlašteni pristup ili neovlaštenu upotrebu Kyndrylovih materijala te će definirati i provesti odgovarajući plan odgovora.
2.3 Dobavljač će odmah (a ni u kojem slučaju kasnije od 48 sati) obavijestiti Kyndryl nakon što postane svjestan bilo koje Povrede sigurnosti. Dobavljač će dostaviti takvu obavijest na e-adresu cyber.incidents@kyndryl.com. Dobavljač će Kyndrylu pružiti razumno zatražene informacije o takvoj povredi te o statusu bilo kojih Dobavljačevih aktivnosti za ispravljanje i obnavljanje. Na primjer, razumno zatražene informacije mogu uključivati dnevnike koji pokazuju povlašteni, administratorski i drugi pristup Uređajima, sustavima ili aplikacijama, forenzičke slike Uređaja, sustava ili aplikacija te druge slične stavke u mjeri u kojoj je to relevantno za povredu ili Dobavljačeve aktivnosti ispravljanja i obnavljanja.
2.4 Dobavljač će Kyndrylu pružiti razumnu pomoć u ispunjavanju bilo kojih zakonskih obveza (uključujući obveze obavještavanja Nadzornih tijela ili Ispitanika) Kyndryla, Kyndrylovih povezanih društava i Korisnika (i njihovih korisnika i povezanih društava) vezano uz Povredu sigurnosti.
2.5 Dobavljač neće informirati ili obavijestiti treću stranu da je Povreda sigurnosti izravno ili neizravno povezana s Kyndrylom ili Kyndrylovim materijalima osim ako je to pisano odobrio Kyndryl ili ako je to propisano zakonom. Dobavljač će pisano obavijestiti Kyndryl prije distribuiranja bilo kakve zakonski propisane obavijesti trećoj strani, gdje bi obavijest izravno ili neizravno otkrila Kyndrylov identitet.
2.6 U slučaju Povrede sigurnosti koja nastane zbog Dobavljačevog kršenja bilo koje obveze temeljem ovih Odredbi:
(a) Dobavljač će biti odgovoran za sve troškove koji nastanu kao i za stvarne troškove kojima se izloži Kyndryl tijekom obavještavanja odgovarajućih Nadzornih tijela, drugih javnih tijela te samoregulirajućih agencija relevantnih djelatnosti, medija (ako to zahtijeva primjenjivo pravo), Ispitanika, Korisnika i drugih o Povredi sigurnosti;
(b) Na zahtjev Kyndryla, Dobavljač će uspostaviti i održavati o svom vlastitom trošku pozivni centar koji će odgovarati na pitanja Ispitanika o Povredi sigurnosti i posljedicama toga, u trajanju od 1 godine od datuma kad su Ispitanici obaviješteni o Povredi sigurnosti ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu. Kyndryl i Dobavljač će surađivati na izradi skripti i drugih materijala koje će koristiti osoblje pozivnog centra prilikom odgovaranja na pitanja. Alternativno, nakon pisane obavijesti Dobavljaču, Kyndryl može umjesto Dobavljača uspostaviti i održavati svoj vlastiti pozivni centar, a Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izložio Kyndryl prilikom uspostavljanja i održavanja takvog pozivnog centra, i
(c) Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izloži Kyndryl tijekom pružanja usluga nadziranja i/ili vraćanja odobrenja u trajanju od 1 godine od datuma kad su pojedinci zahvaćeni povredom podataka obaviješteni o Povredi sigurnosti, a odlučili su se registrirati za takve usluge ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu.
3. Fizička zaštita i kontrola ulaska (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima).
3.1 Dobavljač će održavati i slijediti odgovarajuće fizičke kontrole pristupa poput prepreka, pristupnih točaka kontroliranih karticama, nadzornih kamera i recepcija s ljudskim osobljem kako bi zaštitio svoje Objekte od neovlaštenog ulaska.
3.2 Dobavljač će zahtijevati ovlašteno odobrenje za pristup Objektima i kontroliranim područjima unutar Objekata, uključujući bilo kakav privremeni pristup, a pristup će biti ograničen ovisno o poslovnoj funkciji i potrebi posla. Ako Dobavljač dozvoli privremeni pristup, njegov ovlašteni zaposlenik će pratiti svakog posjetitelja tijekom njegovog zadržavanja u Objektu i u svim kontroliranim područjima.
3.3 Dobavljač će implementirati kontrole fizičkog pristupa, uključujući višeparametarske kontrole pristupa sukladne Najboljoj industrijskoj praksi, kako bi prikladno ograničio pristup kontroliranim područjima unutar Objekata, zabilježio sve pokušaje ulaska i takve dnevnika održavao najmanje godinu dana.
3.4 Dobavljač će ukinuti pristup Objektima i kontroliranim područjima unutar Objekata nakon (a) prestanka radnog odnosa ovlaštenog Dobavljačevog zaposlenika ili (b) kad ovlaštenom Dobavljačevom zaposleniku pristup više nije potreban radi valjanih poslovnih potreba. Dobavljač će slijediti formalne dokumentirane postupke prilikom prestanka radnog odnosa koji uključuju hitno uklanjanje iz popisa kontrole pristupa i predaju iskaznica za fizički pristup.
3.5 Dobavljač će poduzeti mjere opreza kako bi zaštitio svu fizičku infrastrukturu koja se koristi kao podrška za pružanje Usluga i Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom od okolišnih prijetnji, koje se događaju prirodno i utjecajem čovjeka, poput prekomjerne temperature okoline, požara, poplave, vlage, krađe i vandalizma.
4. Kontrola pristupa, intervencije, prijenosa i odvajanja
4.1 Dobavljač će održavati dokumentaciju sigurnosne arhitekture mreža kojima upravlja tijekom pružanja Usluga, opskrbe Isporučivim materijalima i Rukovanja Kyndrylovom tehnologijom. Dobavljač će zasebno pregledati takve mrežne arhitekture i upotrebljavati mjere sprječavanja neovlaštenih mrežnih povezivanja na sustave, aplikacije i mrežne uređaje kako bi osigurao sukladnost sa sveobuhvatnim standardnima sigurne segmentacije, izolacije i obrane. Dobavljač ne može koristiti bežičnu tehnologiju u svom hostingu i operacijama bilo kojih Hostanih usluga; inače, Dobavljač može koristiti bežičnu mrežnu tehnologiju prilikom pružanja Usluga i Isporučivih materijala i tijekom Rukovanja Kyndrylovom tehnologijom, ali tada će Dobavljač šifrirati i zahtijevati sigurnu provjeru identiteta za bilo koju takvu bežičnu mrežu.
4.2 Dobavljač će održavati mjere namijenjene za logičko odvajanje i sprječavanja otkrivanja ili pristupa neovlaštenih osoba Kyndrylovim materijalima. Nadalje, Dobavljač će održavati odgovarajuću izolaciju svojih proizvodnih, neproizvodnih i drugih okolina i, ako su Kyndrylovi materijali već prisutni ili ako su preneseni u neproizvodnu okolinu (na primjer kako bi se ponovno proizvela greška), tada će Dobavljač osigurati da su sve sigurnosne zaštite i zaštite privatnosti u neproizvodnoj okolini jednake onima u proizvodnoj okolini.
4.3 Dobavljač će šifrirati Kyndrylove materijale u prijenosu i u mirovanju (osim ako Dobavljač na Kyndrylovo razumno zadovoljstvo dokaže da je šifriranje Kyndrylovih materijala u mirovanju tehnički neizvedivo). Dobavljač će također šifrirati sve fizičke medije, poput medija koji sadrže sigurnosne kopije, ako takvi postoje. Dobavljač će održavati dokumentaciju o postupcima za generiranje, izdavanje, distribuiranje, pohranu, rotiranje, povlačenje, vraćanje, sigurnosno kopiranje, uništavanje, pristup i upotrebu sigurnosnih ključeva vezanih uz šifriranje podataka. Dobavljač će osigurati da korištene specifične kriptografske metode za šifriranje slijede Najbolju industrijsku praksu (poput NIST SP 800-131a).
4.4 Ako je Dobavljaču potreban pristup Kyndrylovim materijalima, Dobavljač će smanjiti i ograničiti takav pristup na najmanju razinu koja je potrebna za pružanje i podršku Uslugama i Isporučivim materijalima. Dobavljač će zahtijevati da takav pristup, uključujući administrativni pristup bilo kojim osnovnim komponentama (npr. povlašteni pristup), bude pojedinačan na temelju radne funkcije te da podliježe odobrenju i redovnoj provjeri od strane ovlaštenih Dobavljačevih zaposlenika na temelju načela odvajanja dužnosti. Dobavljač će provoditi mjere za identificiranje i uklanjanje suvišnih i nekorištenih računa. Dobavljač će također ukinuti račune s povlaštenim pristupom unutar dvadeset četiri (24) sata od prestanka radnog odnosa vlasnika računa ili na zahtjev Kyndryla ili bilo kojeg ovlaštenog Dobavljačevog zaposlenika, na primjer, na zahtjev rukovoditelja vlasnika računa.
4.5 U skladu s Najboljom industrijskom praksom, Dobavljač će održavati tehničke mjere provedbe vremenskog ograničenja neaktivnih sesija, zaključavanja računa nakon višestrukih uzastopnih neuspjelih pokušaja prijave, provjere identiteta putem jake lozinke ili pristupnog izraza i mjere koje zahtijevaju siguran prijenos i pohranu takvih lozinki i pristupnih izraza. Osim toga, Dobavljač će koristiti višeparametarsku provjeru identiteta za sve povlaštene pristupe bilo kojim Kyndrylovim Materijalima koji ne idu preko konzole.
4.6 Dobavljač će nadgledati upotrebu povlaštenog pristupa i održavati informacije o sigurnosti i mjere upravljanja događajima namijenjene za: (a) prepoznavanje neovlaštenog pristupa i aktivnosti, (b) olakšavanje pravodobnog i prikladnog odgovora na takav pristup i aktivnost, i (c) omogućavanje revizije usklađenosti s dokumentiranom politikom Dobavljača koju provodi Dobavljač, Kyndryl (sukladno njegovim pravima provjere u ovim Odredbama i pravima na reviziju iz Transakcijskog dokumenta ili pridruženog osnovnog ili drugog povezanog ugovora između strana) i drugi.
4.7 Dobavljač će zadržavati dnevnike u koje će u skladu s Najboljom industrijskom praksom zapisivati sve administratorske, korisničke ili druge pristupe ili aktivnosti prema ili vezane uz sustave korištene za pružanje Usluga ili Isporučivih Materijala i Rukovanje Kyndrylovom tehnologijom (i te će dnevnike na zahtjev pružiti Kyndrylu). Dobavljač će održavati mjere namijenjene zaštiti od neovlaštenog pristupa, izmjene i slučajnog ili namjernog uništenja takvih dnevnika.
4.8 Dobavljač će održavati računalne zaštite za sustave u svom vlasništvu ili kojima upravlja, uključujući sustave krajnjih korisnika, koje koristi za pružanje Usluga ili Isporučivih materijala ili za Rukovanje Kyndrylovom tehnologijom, sa zaštitama koje uključuju: vatrozide krajnjih točaka, šifriranje cijelog diska, detektiranje krajnjih točaka na bazi potpisa i bez potpisa i tehnologije odgovora za postupanje sa zlonamjernim softverom i naprednim stalnim prijetnjama, vremensko zaključavanje ekrana i rješenja upravljanja krajnjim točkama koja provode zahtjeve konfiguracije i nadogradnje sigurnosti. Osim toga, Dobavljač će implementirati tehničke i operativne kontrole koje će osigurati da dozvolu korištenja Dobavljačevih mreža imaju poznati i pouzdani sustavi krajnjih korisnika.
4.9 U skladu s Najboljom industrijskom praksom, Dobavljač će štititi okoline centra podataka u kojima se nalaze ili obrađuju Kyndrylovi materijali, sa zaštitama koje uključuju detektiranje i sprječavanje upada te protumjere i otklanjanje posljedica nastalih zbog napada odbijanjem usluge.
5. Integritet usluga i sustava i kontrola dostupnosti
5.1 Dobavljač će: (a) provoditi procjene rizika sigurnosti i privatnosti najmanje jednom godišnje, (b) provoditi testiranje sigurnosti i procjenu ranjivosti, uključujući automatizirano sigurnosno skeniranje sustava i aplikacija i ručno etično hakiranje prije proizvodnog izdanja i jednom godišnje nakon toga što se tiče Usluga i Isporučivih materijala i jednom godišnje u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, (c) angažirati kvalificiranu neovisnu treću stranu za provođenje testiranja sigurnosti/proboja najmanje jednom godišnje sukladno Najboljoj industrijskoj praksi, gdje će takvo testiranje uključivati i automatizirano i ručno testiranje, (d) provoditi automatizirano upravljanje i rutinsku provjeru usklađenosti sa zahtjevima konfiguracije sigurnosti za svaku komponentu Usluga i Isporučivih materijala i u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, i (e) otkloniti identificirane ranjivosti ili neusklađenosti sa zahtjevima konfiguracije sigurnosti koje se temelje na povezanom riziku, iskoristivosti i utjecaju. Dobavljač će poduzeti razumne korake kako bi izbjegao prekid Usluga prilikom testiranja, procjena, skeniranja i izvođenja aktivnosti ispravljanja grešaka. Na Kyndrylov zahtjev, Dobavljač će Kyndrylu pružiti pisani sažetak Dobavljačevih tada najnovijih aktivnosti testiranja sigurnosti/proboja, gdje u izvještaju mora minimalno stajati naziv ponude pokrivene testiranje, broj sustava ili aplikacija u opsegu testiranja, datumi testiranja, metodologija korištena u testiranju te sažetak nalaza visoke razine.
5.2 Dobavljač će održavati politike i procedure namijenjene za upravljanje rizicima povezanima s primjenom promjena na Usluge ili Isporučive materijala ili na Rukovanje Kyndrylovom tehnologijom. Prije implementiranja takve promjene, koja uključuje zahvaćene sustave, mreže i temeljne komponente, Dobavljač će u registriranom zahtjevu za promjenu dokumentirati: (a) opis razlog za promjenu, (b) detalje implementacije i raspored, (c) izjavu o riziku koja se odnosi na utjecaj na Usluge i Isporučive materijale, korisnike Usluga ili Kyndrylovih materijala, (d) očekivani ishod, (e) plan vraćanja u prethodno stanje i (f) odobrenje ovlaštenih Dobavljačevih zaposlenika.
5.3 Dobavljač će održavati popis svih IT sredstava koja Dobavljač koristi za rad Usluga, pružanje Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom. Dobavljač će neprekidno nadzirati i upravljati stanjem (uključujući kapacitet) i dostupnošću takvih IT sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije, uključujući temeljne komponente takvih sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije.
5.4 Dobavljač će izgraditi sve sustave koje koristi u razvoju ili u radu Usluga i Isporučivih materijala i za svoje Rukovanje Kyndrylovom tehnologijom iz preddefiniranih slika sigurnosti sustava ili sigurnosnih osnova, a koji zadovoljavaju Najbolju industrijsku praksu poput referentnih vrijednosti Centra za internetsku sigurnost (engl. Center for Internet Security - CIS).
5.5 Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem ovog Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu poslovnog kontinuiteta, Dobavljač će zasebno procijeniti svaku Uslugu i Isporučivi materijal i svaki IT sustav koji se koristi u Rukovanju Kyndrylovom tehnologijom za poslovni i IT kontinuitet i zahtjeve obnavljanja od katastrofe sukladno dokumentiranim smjernicama za upravljanje rizikom. Dobavljač će osigurati da svaka takva Usluga, Isporučivi materijal i IT sustav ima u mjeri zajamčenoj takvom procjenom rizika zasebno definirane, dokumentirane, održavane i godišnje potvrđene planove poslovnog i IT kontinuiteta i obnavljanja od katastrofe u skladu s Najboljom industrijskom praksom. Dobavljač će osigurati da su takvi planovi osmišljeni za pružanje određenih ciljeva vremena obnavljanja koji su navedeni u odjeljku 5.6 u nastavku.
5.6 Određeni ciljevi točke obnavljanja (RPO) (engl. Recovery Point Objectives) i ciljevi vremena obnavljanja (RTO) (engl. Recovery Time Objectives) u pogledu bilo koje Hostane usluge jesu: 24-satni RPO i 24-satni RTO; unatoč tome Dobavljač će u što kraćem roku pristati na bilo koje kraće trajanje RPO-a ili RTO-a na koje se Kyndryl obvezao prema Korisniku nakon Kyndrylove pisane obavijesti Dobavljaču o takvom kraćem trajanju RPO-a ili RTO-a (e-poruka se smatra pisanom obavijesti). Budući da se tiče svih ostalih Usluga koje Dobavljač pruža Kyndrylu, Dobavljač će osigurati da su njegovi planovi poslovnog kontinuiteta i obnavljanja od katastrofe dizajnirani za pružanje RPO-a i RTO-a takvi da Dobavljaču omogućuju daljnju potpunu sukladnost sa svim svojim obvezama prema Kyndrylu temeljem Transakcijskog dokumenta i pridruženog osnovnog ugovora između strana kao i ovih Odredbi, uključujući obveze pravodobnog provođenja testiranja, pružanja podrške i održavanja.
5.7 Dobavljač će održavati mjere namijenjene procjeni, testiranju i primjeni zakrpa savjeta sigurnosti na Usluge i Isporučive materijale kao i za povezane sustave, mreže, aplikacije i temeljne komponente unutar opsega dotičnih Usluga i Isporučivih materijala te za sustave, mreže, aplikacije i temeljne komponente koje se koriste za Rukovanje Kyndrylovom tehnologijom. Nakon utvrđivanja da je zakrpa savjeta sigurnosti primjenjiva i prikladna, Dobavljač će implementirati zakrpu sukladno dokumentiranoj ozbiljnosti i smjernicama procjene rizika. Dobavljačeva implementacija zakrpa dobivenih od savjeta sigurnosti podliježe njegovoj politici upravljanja promjenama.
5.8 Ako Kyndryl ima razumnu osnovu smatrati da hardver ili softver kojeg Dobavljač pruža Kyndrylu može sadržavati intruzivne elemente poput špijunskog softvera (spyware), zlonamjernog softvera (malware) ili zlonamjernog koda (malicious code), Dobavljač će pravodobno surađivati s Kyndrylom u istrazi i otklanjanju Kyndrylove zabrinutosti.
6. Pružanje usluga
6.1 Dobavljač će podržavati industrijski uobičajene metode objedinjene provjere identiteta za Kyndrylove ili Korisnikove korisničke račune, pri čemu će Dobavljač slijediti Najbolju industrijsku praksu za provjeru identiteta takvih Kyndrylovih ili Korisnikovih korisničkih računa (preko Kyndrylovog centralno upravljanog višeparametarskog Single Sign-On-a (SSO), uz korištenje proizvoda OpenID Connect (OICD) ili Security Assertion Markup Language (SAML)).
7. Podizvođači. Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu angažiranja podizvođača, Dobavljač će osigurati da svaki podizvođač koji obavlja posao za Dobavljača ima uspostavljene kontrole upravljanja kako bi bio u skladu sa zahtjevima i obvezama koje ove Odredbe nameću Dobavljaču.
8. Fizički mediji. Dobavljač će sigurno izbrisati fizičke medije namijenjene ponovnoj upotrebi prije takve upotrebe, a uništit će fizičke medije koji nisu namijenjeni ponovnoj upotrebi, u skladu s Najboljom industrijskom praksom za brisanje medija.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
-
Ako je tako, tada se na taj pristup primjenjuju članci II (Tehničke i organizacijske mjere, Sigurnost podataka), VIII (Tehničke i organizacijske mjere, Opća sigurnost) i X (Suradnja, provjera i ispravljanje).
Primjeri:
Dobavljač pohranjuje, prenosi, može pristupiti ili drugačije obrađuje ne-Osobne podatke koje Kyndryl ili Korisnici pružaju Dobavljaču.
Članak II. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač Obrađuje Kyndrylove podatke osim Kyndrylovog BCI-ja. Dobavljač će udovoljiti zahtjevima ovog članka prilikom pružanja svih Usluga i Isporučivih materijala te na taj način štititi Kyndrylove podatke od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja, slučajnog ili neovlaštenog pristupa i nezakonitih oblika obrade. Zahtjevi ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i okoline podatkovnog centra.
1. Upotreba podataka
1.1 Dobavljač ne smije dodavati u Kyndrylove podatke ili s Kyndrylovim podacima uključiti bilo koje druge informacije ili podatke uključujući bilo koje Osobne podatke bez Kyndrylovog prethodnog pisanog pristanka i Dobavljač ne smije koristiti Kyndrylove podatke u bilo kojem obliku, agregirane ili drugačije, za bilo koju svrhu osim za pružanje Usluga i Isporučivih materijala Kyndrylu (na primjer, Dobavljaču nije dozvoljeno koristiti ili naknadno koristiti Kyndrylove podatke kako bi procijenio učinkovitost ili načine za poboljšanje Dobavljačevih ponuda, za istraživanje i razvoj u svrhu stvaranja novih ponuda niti za generiranje izvještaja o Dobavljačevim ponudama). Dobavljaču je zabranjeno prodavati Kyndrylove podatke osim ako to nije izričito dozvoljeno u Transakcijskom dokumentu.
1.2 Dobavljač neće umetati bilo koje tehnologije praćenja na webu u Isporučive materijale ili kao dio Usluga (takve tehnologije uključuju HTML5, lokalnu pohranu, oznake i tokene treće strane i web signale) osim ako to nije izričito dozvoljeno u Transakcijskom dokumentu
2. Zahtjevi treće strane i povjerljivost
2.1 Dobavljač neće otkrivati Kyndrylove podatke trećim stranama, osim na temelju pisanog ovlaštenja prethodno dobivenog od Kyndryla. Ako javno tijelo, uključujući bilo koje nadzorno tijelo, zahtijeva pristup Kyndrylovim podacima (npr. ako Vlada SAD-a Dobavljaču uruči naredbu nacionalne sigurnosti za dobivanje Kyndrylovih podataka) ili ako propisi na bilo koji drugi način zahtijevaju obznanjivanje Kyndrylovih podataka, Dobavljač će pisanim putem obavijestiti Kyndryl o takvom zahtjevu ili obvezi te će Kyndrylu pružiti razumnu priliku da ospori obznanjivanje (tamo gdje zakon zabranjuje obavještavanje, Dobavljač će poduzeti korake za koje smatra da su razumno prikladni kako bi osporio zabranu i obznanjivanje Kyndrylvih podataka putem sudskog postupka ili drugim sredstvima).
2.2 Dobavljač potvrđuje Kyndrylu da će: (a) pristup Kyndrylovim podacima imati samo oni Dobavljačevi zaposlenici kojima je takav pristup potreban za pružanje Usluga ili Isporučivih materijala i to samo u mjeri potrebnoj za pružanje tih Usluga i Isporučivih materijala; i (b) da je svojim zaposlenicima nametnuo obvezu povjerljivosti koja zahtijeva da ti zaposlenici koriste i otkrivaju Kyndryloveove podatke samo u mjeri dozvoljenoj ovim Odredbama.
3. Vraćanje ili brisanje Kyndrylovih podataka
3.1 Dobavljač će, prema Kyndrylovoj odluci, izbrisati ili Kyndrylu vratiti Kyndrylove podatke nakon raskida ili isteka Transakcijskog dokumenta ili ranije na zahtjev Kyndryla. Ako Kyndryl zahtijeva brisanje, Dobavljač će tada u skladu s Najboljom industrijskom praksom učiniti da su podaci nečitljivi i da se ne mogu ponovno sastaviti ili rekonstruirati te će Kyndrylu potvrditi brisanje. Ako Kyndryl zahtijeva vraćanje Kyndrylovih podataka, Dobavljač će to učiniti prema razumnom Kyndrylovom rasporedu i prema razumnim Kyndrylovim pisanim uputama.
---
Članak VIII. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač pruža bilo koje Usluge ili Isporučive materijale Kyndrylu, osim kad Dobavljač ima pristup samo Kyndrylovom BCI-ju tijekom pružanja tih Usluga i Isporučivih materijala (npr. Dobavljač neće obrađivati nikakve druge Kyndrylove podatke niti će imati pristup bilo kojim drugim Kyndrylovim materijalima ili Korporativnim sustavima), Dobavljačeve Usluge i Isporučivi materijali služe za pružanje Softvera na lokaciji Kyndrylu ili Dobavljač pruža sve svoje Usluge i Isporučive materijale po modelu proširenja osoblja sukladno članku VII., uključujući od toga odjeljak 1.7.
Dobavljač će udovoljiti zahtjevima ovog članka te na taj način štititi: (a) Kyndrylove materijale od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja i slučajnog ili neovlaštenog pristupa, (b) Kyndrylove podatke od nezakonitih oblika Obrade i (c) Kyndrylovu tehnologiju od nezakonitih oblika rukovanja. Zahtjevi iz ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga te u kojima rukuje Kyndrylovom tehnologijom, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i centar podataka.
1. Sigurnosne politike
1.1 Dobavljač će održavati i slijediti sigurnosne politike i praksu informacijske tehnologije (IT) koje su sastavni dio Dobavljačevog poslovanja, obavezne za svo Dobavljačevo osoblje i usklađene s Najboljom industrijskom praksom.
1.2 Dobavljač će preispitati svoje IT sigurnosne politike i praksu najmanje jednom godišnje te ih prema potrebi ispraviti i dopuniti kako bi zaštitio Kyndrylove materijale.
1.3 Dobavljač će održavati i slijediti standardne obvezne zahtjeve provjere prilikom zapošljavanja novih zaposlenika i proširiti će takve zahtjeve na svo Dobavljačevo osoblje i Dobavljačeva povezana društva u potpunom vlasništvu. Ti zahtjevi će uključivati provjere kažnjavanosti u prošlosti u mjeri dozvoljenoj lokalnim pravom, dokaz provjere identiteta te bilo koje dodatne provjere za koje Dobavljač smatra da su potrebne. Dobavljač će periodički ponavljati i provjeravati te zahtjeve ako smatra da je to potrebno.
1.4 Dobavljač će svojim zaposlenicima svake godine osigurati edukaciju o sigurnosti i privatnosti te će svake godine od svojeg osoblja tražiti potvrdu da će se pridržavati Dobavljačevog etičnog poslovnog ponašanja i politika čuvanja tajnosti i sigurnosti navedenih u Dobavljačevom kodeksu ponašanja ili sličnim dokumentima. Dobavljač će osigurati dodatnu obuku o politikama i procesu osoblju s administrativnim pristupom bilo kojoj komponenti Usluga, Isporučivih materijala ili Kyndrylovih materijala, gdje će takva obuka biti specifična za njihovu ulogu i podršku Usluga, Isporučivih materijala i Kyndrylovih materijala i kakva je potrebna za održavanje zahtijevane sukladnosti i certifikata.
1.5 Dobavljač će dizajnirati mjere sigurnosti i privatnosti kako bi zaštitio i održavao dostupnost Kyndrylovih materijala te će kroz njihovu implementaciju, održavanje i sukladnost s politikama i procedurama koje po svojem obliku zahtijevaju sigurnost i privatnost, osigurati inženjering i siguran rad za sve Usluge i Isporučive materijale i za svo Rukovanje Kyndrylovom tehnologijom.
2. Sigurnosni incidenti
2.1 Dobavljač će održavati i slijediti dokumentirane politike odgovora na incidente sukladne Najboljoj industrijskoj praksi za postupanje kod sigurnosnih incidenata vezanih uz računala.
2.2 Dobavljač će istražiti neovlašteni pristup ili neovlaštenu upotrebu Kyndrylovih materijala te će definirati i provesti odgovarajući plan odgovora.
2.3 Dobavljač će odmah (a ni u kojem slučaju kasnije od 48 sati) obavijestiti Kyndryl nakon što postane svjestan bilo koje Povrede sigurnosti. Dobavljač će dostaviti takvu obavijest na e-adresu cyber.incidents@kyndryl.com. Dobavljač će Kyndrylu pružiti razumno zatražene informacije o takvoj povredi te o statusu bilo kojih Dobavljačevih aktivnosti za ispravljanje i obnavljanje. Na primjer, razumno zatražene informacije mogu uključivati dnevnike koji pokazuju povlašteni, administratorski i drugi pristup Uređajima, sustavima ili aplikacijama, forenzičke slike Uređaja, sustava ili aplikacija te druge slične stavke u mjeri u kojoj je to relevantno za povredu ili Dobavljačeve aktivnosti ispravljanja i obnavljanja.
2.4 Dobavljač će Kyndrylu pružiti razumnu pomoć u ispunjavanju bilo kojih zakonskih obveza (uključujući obveze obavještavanja Nadzornih tijela ili Ispitanika) Kyndryla, Kyndrylovih povezanih društava i Korisnika (i njihovih korisnika i povezanih društava) vezano uz Povredu sigurnosti.
2.5 Dobavljač neće informirati ili obavijestiti treću stranu da je Povreda sigurnosti izravno ili neizravno povezana s Kyndrylom ili Kyndrylovim materijalima osim ako je to pisano odobrio Kyndryl ili ako je to propisano zakonom. Dobavljač će pisano obavijestiti Kyndryl prije distribuiranja bilo kakve zakonski propisane obavijesti trećoj strani, gdje bi obavijest izravno ili neizravno otkrila Kyndrylov identitet.
2.6 U slučaju Povrede sigurnosti koja nastane zbog Dobavljačevog kršenja bilo koje obveze temeljem ovih Odredbi:
(a) Dobavljač će biti odgovoran za sve troškove koji nastanu kao i za stvarne troškove kojima se izloži Kyndryl tijekom obavještavanja odgovarajućih Nadzornih tijela, drugih javnih tijela te samoregulirajućih agencija relevantnih djelatnosti, medija (ako to zahtijeva primjenjivo pravo), Ispitanika, Korisnika i drugih o Povredi sigurnosti;
(b) Na zahtjev Kyndryla, Dobavljač će uspostaviti i održavati o svom vlastitom trošku pozivni centar koji će odgovarati na pitanja Ispitanika o Povredi sigurnosti i posljedicama toga, u trajanju od 1 godine od datuma kad su Ispitanici obaviješteni o Povredi sigurnosti ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu. Kyndryl i Dobavljač će surađivati na izradi skripti i drugih materijala koje će koristiti osoblje pozivnog centra prilikom odgovaranja na pitanja. Alternativno, nakon pisane obavijesti Dobavljaču, Kyndryl može umjesto Dobavljača uspostaviti i održavati svoj vlastiti pozivni centar, a Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izložio Kyndryl prilikom uspostavljanja i održavanja takvog pozivnog centra, i
(c) Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izloži Kyndryl tijekom pružanja usluga nadziranja i/ili vraćanja odobrenja u trajanju od 1 godine od datuma kad su pojedinci zahvaćeni povredom podataka obaviješteni o Povredi sigurnosti, a odlučili su se registrirati za takve usluge ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu.
3. Fizička zaštita i kontrola ulaska (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima).
3.1 Dobavljač će održavati i slijediti odgovarajuće fizičke kontrole pristupa poput prepreka, pristupnih točaka kontroliranih karticama, nadzornih kamera i recepcija s ljudskim osobljem kako bi zaštitio svoje Objekte od neovlaštenog ulaska.
3.2 Dobavljač će zahtijevati ovlašteno odobrenje za pristup Objektima i kontroliranim područjima unutar Objekata, uključujući bilo kakav privremeni pristup, a pristup će biti ograničen ovisno o poslovnoj funkciji i potrebi posla. Ako Dobavljač dozvoli privremeni pristup, njegov ovlašteni zaposlenik će pratiti svakog posjetitelja tijekom njegovog zadržavanja u Objektu i u svim kontroliranim područjima.
3.3 Dobavljač će implementirati kontrole fizičkog pristupa, uključujući višeparametarske kontrole pristupa sukladne Najboljoj industrijskoj praksi, kako bi prikladno ograničio pristup kontroliranim područjima unutar Objekata, zabilježio sve pokušaje ulaska i takve dnevnika održavao najmanje godinu dana.
3.4 Dobavljač će ukinuti pristup Objektima i kontroliranim područjima unutar Objekata nakon (a) prestanka radnog odnosa ovlaštenog Dobavljačevog zaposlenika ili (b) kad ovlaštenom Dobavljačevom zaposleniku pristup više nije potreban radi valjanih poslovnih potreba. Dobavljač će slijediti formalne dokumentirane postupke prilikom prestanka radnog odnosa koji uključuju hitno uklanjanje iz popisa kontrole pristupa i predaju iskaznica za fizički pristup.
3.5 Dobavljač će poduzeti mjere opreza kako bi zaštitio svu fizičku infrastrukturu koja se koristi kao podrška za pružanje Usluga i Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom od okolišnih prijetnji, koje se događaju prirodno i utjecajem čovjeka, poput prekomjerne temperature okoline, požara, poplave, vlage, krađe i vandalizma.
4. Kontrola pristupa, intervencije, prijenosa i odvajanja
4.1 Dobavljač će održavati dokumentaciju sigurnosne arhitekture mreža kojima upravlja tijekom pružanja Usluga, opskrbe Isporučivim materijalima i Rukovanja Kyndrylovom tehnologijom. Dobavljač će zasebno pregledati takve mrežne arhitekture i upotrebljavati mjere sprječavanja neovlaštenih mrežnih povezivanja na sustave, aplikacije i mrežne uređaje kako bi osigurao sukladnost sa sveobuhvatnim standardnima sigurne segmentacije, izolacije i obrane. Dobavljač ne može koristiti bežičnu tehnologiju u svom hostingu i operacijama bilo kojih Hostanih usluga; inače, Dobavljač može koristiti bežičnu mrežnu tehnologiju prilikom pružanja Usluga i Isporučivih materijala i tijekom Rukovanja Kyndrylovom tehnologijom, ali tada će Dobavljač šifrirati i zahtijevati sigurnu provjeru identiteta za bilo koju takvu bežičnu mrežu.
4.2 Dobavljač će održavati mjere namijenjene za logičko odvajanje i sprječavanja otkrivanja ili pristupa neovlaštenih osoba Kyndrylovim materijalima. Nadalje, Dobavljač će održavati odgovarajuću izolaciju svojih proizvodnih, neproizvodnih i drugih okolina i, ako su Kyndrylovi materijali već prisutni ili ako su preneseni u neproizvodnu okolinu (na primjer kako bi se ponovno proizvela greška), tada će Dobavljač osigurati da su sve sigurnosne zaštite i zaštite privatnosti u neproizvodnoj okolini jednake onima u proizvodnoj okolini.
4.3 Dobavljač će šifrirati Kyndrylove materijale u prijenosu i u mirovanju (osim ako Dobavljač na Kyndrylovo razumno zadovoljstvo dokaže da je šifriranje Kyndrylovih materijala u mirovanju tehnički neizvedivo). Dobavljač će također šifrirati sve fizičke medije, poput medija koji sadrže sigurnosne kopije, ako takvi postoje. Dobavljač će održavati dokumentaciju o postupcima za generiranje, izdavanje, distribuiranje, pohranu, rotiranje, povlačenje, vraćanje, sigurnosno kopiranje, uništavanje, pristup i upotrebu sigurnosnih ključeva vezanih uz šifriranje podataka. Dobavljač će osigurati da korištene specifične kriptografske metode za šifriranje slijede Najbolju industrijsku praksu (poput NIST SP 800-131a).
4.4 Ako je Dobavljaču potreban pristup Kyndrylovim materijalima, Dobavljač će smanjiti i ograničiti takav pristup na najmanju razinu koja je potrebna za pružanje i podršku Uslugama i Isporučivim materijalima. Dobavljač će zahtijevati da takav pristup, uključujući administrativni pristup bilo kojim osnovnim komponentama (npr. povlašteni pristup), bude pojedinačan na temelju radne funkcije te da podliježe odobrenju i redovnoj provjeri od strane ovlaštenih Dobavljačevih zaposlenika na temelju načela odvajanja dužnosti. Dobavljač će provoditi mjere za identificiranje i uklanjanje suvišnih i nekorištenih računa. Dobavljač će također ukinuti račune s povlaštenim pristupom unutar dvadeset četiri (24) sata od prestanka radnog odnosa vlasnika računa ili na zahtjev Kyndryla ili bilo kojeg ovlaštenog Dobavljačevog zaposlenika, na primjer, na zahtjev rukovoditelja vlasnika računa.
4.5 U skladu s Najboljom industrijskom praksom, Dobavljač će održavati tehničke mjere provedbe vremenskog ograničenja neaktivnih sesija, zaključavanja računa nakon višestrukih uzastopnih neuspjelih pokušaja prijave, provjere identiteta putem jake lozinke ili pristupnog izraza i mjere koje zahtijevaju siguran prijenos i pohranu takvih lozinki i pristupnih izraza. Osim toga, Dobavljač će koristiti višeparametarsku provjeru identiteta za sve povlaštene pristupe bilo kojim Kyndrylovim Materijalima koji ne idu preko konzole.
4.6 Dobavljač će nadgledati upotrebu povlaštenog pristupa i održavati informacije o sigurnosti i mjere upravljanja događajima namijenjene za: (a) prepoznavanje neovlaštenog pristupa i aktivnosti, (b) olakšavanje pravodobnog i prikladnog odgovora na takav pristup i aktivnost, i (c) omogućavanje revizije usklađenosti s dokumentiranom politikom Dobavljača koju provodi Dobavljač, Kyndryl (sukladno njegovim pravima provjere u ovim Odredbama i pravima na reviziju iz Transakcijskog dokumenta ili pridruženog osnovnog ili drugog povezanog ugovora između strana) i drugi.
4.7 Dobavljač će zadržavati dnevnike u koje će u skladu s Najboljom industrijskom praksom zapisivati sve administratorske, korisničke ili druge pristupe ili aktivnosti prema ili vezane uz sustave korištene za pružanje Usluga ili Isporučivih Materijala i Rukovanje Kyndrylovom tehnologijom (i te će dnevnike na zahtjev pružiti Kyndrylu). Dobavljač će održavati mjere namijenjene zaštiti od neovlaštenog pristupa, izmjene i slučajnog ili namjernog uništenja takvih dnevnika.
4.8 Dobavljač će održavati računalne zaštite za sustave u svom vlasništvu ili kojima upravlja, uključujući sustave krajnjih korisnika, koje koristi za pružanje Usluga ili Isporučivih materijala ili za Rukovanje Kyndrylovom tehnologijom, sa zaštitama koje uključuju: vatrozide krajnjih točaka, šifriranje cijelog diska, detektiranje krajnjih točaka na bazi potpisa i bez potpisa i tehnologije odgovora za postupanje sa zlonamjernim softverom i naprednim stalnim prijetnjama, vremensko zaključavanje ekrana i rješenja upravljanja krajnjim točkama koja provode zahtjeve konfiguracije i nadogradnje sigurnosti. Osim toga, Dobavljač će implementirati tehničke i operativne kontrole koje će osigurati da dozvolu korištenja Dobavljačevih mreža imaju poznati i pouzdani sustavi krajnjih korisnika.
4.9 U skladu s Najboljom industrijskom praksom, Dobavljač će štititi okoline centra podataka u kojima se nalaze ili obrađuju Kyndrylovi materijali, sa zaštitama koje uključuju detektiranje i sprječavanje upada te protumjere i otklanjanje posljedica nastalih zbog napada odbijanjem usluge.
5. Integritet usluga i sustava i kontrola dostupnosti
5.1 Dobavljač će: (a) provoditi procjene rizika sigurnosti i privatnosti najmanje jednom godišnje, (b) provoditi testiranje sigurnosti i procjenu ranjivosti, uključujući automatizirano sigurnosno skeniranje sustava i aplikacija i ručno etično hakiranje prije proizvodnog izdanja i jednom godišnje nakon toga što se tiče Usluga i Isporučivih materijala i jednom godišnje u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, (c) angažirati kvalificiranu neovisnu treću stranu za provođenje testiranja sigurnosti/proboja najmanje jednom godišnje sukladno Najboljoj industrijskoj praksi, gdje će takvo testiranje uključivati i automatizirano i ručno testiranje, (d) provoditi automatizirano upravljanje i rutinsku provjeru usklađenosti sa zahtjevima konfiguracije sigurnosti za svaku komponentu Usluga i Isporučivih materijala i u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, i (e) otkloniti identificirane ranjivosti ili neusklađenosti sa zahtjevima konfiguracije sigurnosti koje se temelje na povezanom riziku, iskoristivosti i utjecaju. Dobavljač će poduzeti razumne korake kako bi izbjegao prekid Usluga prilikom testiranja, procjena, skeniranja i izvođenja aktivnosti ispravljanja grešaka. Na Kyndrylov zahtjev, Dobavljač će Kyndrylu pružiti pisani sažetak Dobavljačevih tada najnovijih aktivnosti testiranja sigurnosti/proboja, gdje u izvještaju mora minimalno stajati naziv ponude pokrivene testiranje, broj sustava ili aplikacija u opsegu testiranja, datumi testiranja, metodologija korištena u testiranju te sažetak nalaza visoke razine.
5.2 Dobavljač će održavati politike i procedure namijenjene za upravljanje rizicima povezanima s primjenom promjena na Usluge ili Isporučive materijala ili na Rukovanje Kyndrylovom tehnologijom. Prije implementiranja takve promjene, koja uključuje zahvaćene sustave, mreže i temeljne komponente, Dobavljač će u registriranom zahtjevu za promjenu dokumentirati: (a) opis razlog za promjenu, (b) detalje implementacije i raspored, (c) izjavu o riziku koja se odnosi na utjecaj na Usluge i Isporučive materijale, korisnike Usluga ili Kyndrylovih materijala, (d) očekivani ishod, (e) plan vraćanja u prethodno stanje i (f) odobrenje ovlaštenih Dobavljačevih zaposlenika.
5.3 Dobavljač će održavati popis svih IT sredstava koja Dobavljač koristi za rad Usluga, pružanje Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom. Dobavljač će neprekidno nadzirati i upravljati stanjem (uključujući kapacitet) i dostupnošću takvih IT sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije, uključujući temeljne komponente takvih sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije.
5.4 Dobavljač će izgraditi sve sustave koje koristi u razvoju ili u radu Usluga i Isporučivih materijala i za svoje Rukovanje Kyndrylovom tehnologijom iz preddefiniranih slika sigurnosti sustava ili sigurnosnih osnova, a koji zadovoljavaju Najbolju industrijsku praksu poput referentnih vrijednosti Centra za internetsku sigurnost (engl. Center for Internet Security - CIS).
5.5 Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem ovog Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu poslovnog kontinuiteta, Dobavljač će zasebno procijeniti svaku Uslugu i Isporučivi materijal i svaki IT sustav koji se koristi u Rukovanju Kyndrylovom tehnologijom za poslovni i IT kontinuitet i zahtjeve obnavljanja od katastrofe sukladno dokumentiranim smjernicama za upravljanje rizikom. Dobavljač će osigurati da svaka takva Usluga, Isporučivi materijal i IT sustav ima u mjeri zajamčenoj takvom procjenom rizika zasebno definirane, dokumentirane, održavane i godišnje potvrđene planove poslovnog i IT kontinuiteta i obnavljanja od katastrofe u skladu s Najboljom industrijskom praksom. Dobavljač će osigurati da su takvi planovi osmišljeni za pružanje određenih ciljeva vremena obnavljanja koji su navedeni u odjeljku 5.6 u nastavku.
5.6 Određeni ciljevi točke obnavljanja (RPO) (engl. Recovery Point Objectives) i ciljevi vremena obnavljanja (RTO) (engl. Recovery Time Objectives) u pogledu bilo koje Hostane usluge jesu: 24-satni RPO i 24-satni RTO; unatoč tome Dobavljač će u što kraćem roku pristati na bilo koje kraće trajanje RPO-a ili RTO-a na koje se Kyndryl obvezao prema Korisniku nakon Kyndrylove pisane obavijesti Dobavljaču o takvom kraćem trajanju RPO-a ili RTO-a (e-poruka se smatra pisanom obavijesti). Budući da se tiče svih ostalih Usluga koje Dobavljač pruža Kyndrylu, Dobavljač će osigurati da su njegovi planovi poslovnog kontinuiteta i obnavljanja od katastrofe dizajnirani za pružanje RPO-a i RTO-a takvi da Dobavljaču omogućuju daljnju potpunu sukladnost sa svim svojim obvezama prema Kyndrylu temeljem Transakcijskog dokumenta i pridruženog osnovnog ugovora između strana kao i ovih Odredbi, uključujući obveze pravodobnog provođenja testiranja, pružanja podrške i održavanja.
5.7 Dobavljač će održavati mjere namijenjene procjeni, testiranju i primjeni zakrpa savjeta sigurnosti na Usluge i Isporučive materijale kao i za povezane sustave, mreže, aplikacije i temeljne komponente unutar opsega dotičnih Usluga i Isporučivih materijala te za sustave, mreže, aplikacije i temeljne komponente koje se koriste za Rukovanje Kyndrylovom tehnologijom. Nakon utvrđivanja da je zakrpa savjeta sigurnosti primjenjiva i prikladna, Dobavljač će implementirati zakrpu sukladno dokumentiranoj ozbiljnosti i smjernicama procjene rizika. Dobavljačeva implementacija zakrpa dobivenih od savjeta sigurnosti podliježe njegovoj politici upravljanja promjenama.
5.8 Ako Kyndryl ima razumnu osnovu smatrati da hardver ili softver kojeg Dobavljač pruža Kyndrylu može sadržavati intruzivne elemente poput špijunskog softvera (spyware), zlonamjernog softvera (malware) ili zlonamjernog koda (malicious code), Dobavljač će pravodobno surađivati s Kyndrylom u istrazi i otklanjanju Kyndrylove zabrinutosti.
6. Pružanje usluga
6.1 Dobavljač će podržavati industrijski uobičajene metode objedinjene provjere identiteta za Kyndrylove ili Korisnikove korisničke račune, pri čemu će Dobavljač slijediti Najbolju industrijsku praksu za provjeru identiteta takvih Kyndrylovih ili Korisnikovih korisničkih računa (preko Kyndrylovog centralno upravljanog višeparametarskog Single Sign-On-a (SSO), uz korištenje proizvoda OpenID Connect (OICD) ili Security Assertion Markup Language (SAML)).
7. Podizvođači. Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu angažiranja podizvođača, Dobavljač će osigurati da svaki podizvođač koji obavlja posao za Dobavljača ima uspostavljene kontrole upravljanja kako bi bio u skladu sa zahtjevima i obvezama koje ove Odredbe nameću Dobavljaču.
8. Fizički mediji. Dobavljač će sigurno izbrisati fizičke medije namijenjene ponovnoj upotrebi prije takve upotrebe, a uništit će fizičke medije koji nisu namijenjeni ponovnoj upotrebi, u skladu s Najboljom industrijskom praksom za brisanje medija.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
-
Ako je tako, tada se na taj pristup primjenjuju članci IV (Tehničke i organizacijske mjere, Sigurnost koda), V (Siguran razvoj), VIII (Tehničke i organizacijske mjere, Opća sigurnost) i X (Suradnja, provjera i ispravljanje).
Primjeri:
Dobavljač preuzima odgovornosti razvoja za Kyndrylov proizvod, a Kyndryl Dobavljaču daje pristup svojem Izvornom kodu u svrhu takvog razvoja.
Dobavljač razvija Izvorni kod čiji će vlasnik biti Kyndryl.
Članak IV. Tehničke i organizacijske mjere, Sigurnost koda
Ovaj se članak primjenjuje ako Dobavljač ima pristup Kyndrylovom Izvornom kodu. Dobavljač će udovoljiti zahtjevima ovog članka te na taj način štititi Kyndrylov Izvorni kod od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja, slučajnog ili neovlaštenog pristupa i nezakonitih oblika rukovanja. Zahtjevi iz ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga te u kojima rukuje Kyndrylovom tehnologijom, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i centar podataka.
1. Sigurnosni zahtjevi
Kako se upotrebljavaju u nastavku,
Zabranjena zemlja označava zemlju: (a) koju je Vlada SAD-a označila kao stranog protivnika temeljem Izvršnog naloga o osiguranju lanca opskrbe tehnologijama i uslugama za informacije i komunikacije (engl. Executive Order on Securing the Information and Communications Technology and Services Supply Chain) od 15. svibnja 2019., (b) stavljenu na popis u skladu s odjeljkom 1654 Zakona o nacionalnoj obrani Sjedinjenih Država (engl. U.S. National Defense Authorization Act) iz 2019. ili (c) identificiranu kao "Zabranjena zemlja" u Transakcijskom dokumentu.
1.1 Dobavljač neće nijedan Kyndrylov Izvorni kod distribuirati ili davati kao zalog u korist bilo koje treće strane.
1.2 Dobavljač neće dozvoliti da se Kyndrylov Izvorni kod nalazi na poslužiteljima koji se nalaze u Zabranjenoj zemlji. Dobavljač neće dozvoliti nikome, uključujući ni njegovom Osoblju koje se nalazi u Zabranjenoj zemlji ili koje posjećuje Zabranjenu zemlju (tijekom bilo kojeg takvog posjeta), da iz bilo kojeg razloga pristupa ili koristi bilo koji Kyndrylov Izvorni kod, bez obzira gdje se globalno nalazi taj Kyndrylov Izvorni kod i Dobavljač neće dozvoliti odvijanje bilo kakvog razvoja, testiranja ili drugog rada u Zabranjenoj zemlji, koji bi zahtijevao takav pristup ili upotrebu.
1.3 Dobavljač neće postavljati ili distribuirati Kyndrylov Izvorni kod u bilo kojoj pravnoj nadležnosti gdje zakon ili tumačenje zakona zahtijeva otkrivanje Izvornog koda bilo kojoj trećoj strani. Ako se promijeni zakon ili tumačenje zakona u pravnoj nadležnosti u kojoj se nalazi Kyndrylov Izvorni kod, zbog čega se od Dobavljača može zahtijevati da otkrije takav Izvorni kod trećoj strani, Dobavljač će odmah uništiti ili odmah ukloniti takav Kyndrylov Izvorni kod iz takve pravne nadležnosti i neće postaviti nikakav dodatni Kyndrylov Izvorni kod u takvu nadležnost ako takav zakon ili tumačenje zakona ostane na snazi.
1.4 Dobavljač neće, izravno ili neizravno, poduzimati radnje, uključujući sklapanje ugovora, zbog kojih bi se Dobavljač, Kyndryl ili bilo koja treća strana izvrgnula obvezi otkrivanja izvornog koda na temelju odjeljaka 1654 ili 1655 Zakona o nacionalnoj obrani Sjedinjenih Država iz 2019. Radi jasnoće, osim ako to nije izričito dozvoljeno u Transakcijskom dokumentu ili u pridruženom osnovnom ugovoru između strana, Dobavljač ne smije ni u kakvim okolnostima otkrivati Kyndrylov Izvorni kod bilo kojoj trećoj strani bez prethodnog pisanog Kyndrylovog pristanka.
1.5 Ako Kyndryl obavijesti Dobavljača ili ako treća strana obavijesti Kyndryl ili Dobavljača da je: (a) Dobavljač dozvolio da se Kyndrylov Izvorni kod donese u Zabranjenu zemlju ili bilo koju pravnu nadležnost koja podliježe odjeljku 1.3 iznad, (b) Dobavljač na drugi način objavio, pristupio ili koristio Kyndrylov Izvorni kod na način koji nije dozvoljen u Transakcijskom dokumentu ili pridruženom osnovnom ili drugom ugovoru između strana ili (c) Dobavljač prekršio odjeljak 1.4 iznad, tada ne ograničavajući bilo koja druga prava Kyndryla za rješavanje takvog nepoštivanja sukladno zakonu ili propisima o pravičnosti ili temeljem Transakcijskog dokumenta ili pridruženog osnovnog ugovora ili drugog ugovora između strana: (i) ako takvu obavijest dobije Dobavljač, tada će Dobavljač odmah obavijestiti Kyndryl; i (ii) Dobavljač će po Kyndrylovim razumnim uputama istražiti i ispraviti problem prema rasporedu kojeg će Kyndryl razumno odrediti (nakon savjetovanja s Dobavljačem).
1.6 Ako Kyndryl razumno smatra da bi promjene u Dobavljačevim politikama, procedurama, kontrolama ili postupcima u pogledu pristupa Izvornom kodu mogle biti potrebne kako bi se riješila pitanja računalne sigurnosti, krađe intelektualnog vlasništva ili sličnih ili povezanih rizika (uključujući rizik da bez takvih promjena Kyndryl može biti ograničen kod prodavanja određenim Kupcima ili na određenim tržištima ili na drugi način neće moći zadovoljiti sigurnost Kupca ili zahtjeve lanca opskrbe), onda Kyndryl može kontaktirati Dobavljača kako bi raspravili o radnjama koje su potrebne za rješavanje takvih rizika, uključujući promjene na takvim politikama, procedurama, kontrolama ili praksama. Na Kyndrylov zahtjev Dobavljač će surađivati s Kyndrylom u procjenjivanju jesu li takve promjene potrebne kao i u implementiranju odgovarajućih, zajednički dogovorenih promjena.
---
Članak V. Siguran razvoj
Ovaj članak se primjenjuje ako će Dobavljač Kyndrylu pružiti svoj Izvorni kod, Izvorni kod treće strane ili Softver na lokaciji ili ako će se Dobavljačevi Isporučivi materijali ili Usluge pružati Kyndrylovom Korisniku u sklopu Kyndrylovog proizvoda ili usluge.
1. Sigurnosna spremnost
1.1 Dobavljač će surađivati u Kyndrylovim internim procesima koji procjenjuju sigurnosnu spremnost Kyndrylovih proizvoda i usluga koje ovise o bilo kojim Dobavljačevim Isporučivim materijalima, uključujući pružanje pravodobnih i potpunih odgovora o zatraženim informacijama bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili slično.
2. Siguran razvoj
2.1 Ovaj odjeljak 2. se primjenjuje samo kad Dobavljač pruža Kyndrylu Softver na lokaciji.
2.2 Dobavljač je implementirao i održavat će u skladu s Najboljom industrijskom praksom tijekom cijelog razdoblja Transakcijskog dokumenta sigurnosne politike, procedure i kontrole fokusirane na mrežu, platformu, sustav, aplikacije, uređaje, fizičku infrastrukturu, odgovore na incidente i Osoblje koje su potrebne kako bi zaštitio: (a) sustave i okoline za razvoj, izgradnju, testiranje i rad na kojima Dobavljač ili bilo koja treća strana koju je angažirao Dobavljač radi, upravlja, koristi ili se drugačije oslanja za ili u pogledu Isporučivih materijala i (b) izvorni kod svih Isporučivih materijala od gubitka, nezakonitog oblika rukovanja te neovlaštenog pristupa, otkrivanja ili izmjene.
3. Certifikat ISO 20243
3.1 Ovaj odjeljak 3. se primjenjuje samo ako će se bilo koji od Dobavljačevih Isporučivih materijala ili Usluga pružati Kyndrylovom Korisniku u sklopu Kyndrylovog proizvoda ili usluge.
3.2 Dobavljač će pribaviti certifikat usklađenosti s ISO 20243, Informacijska tehnologija, Open Trusted Technology Provider, TM Standard (O-TTPS), Otklanjanje posljedica zlonamjerno oštećenih i krivotvorenih proizvoda (bilo certificiranjem putem osobne procjene ili na bazi procjene uglednog neovisnog revizora). Druga mogućnost je, ako Dobavljač pisano zatraži, a Kyndryl pisano odobri, Dobavljač će pribaviti certifikat usklađenosti sa sadržajno ekvivalentnim industrijskim standardom koji se bavi sigurnim postupcima u razvoju i u lancu opskrbe (bilo certificiranjem putem osobne procjene ili na bazi procjene uglednog neovisnog revizora, ako Kyndryl odobri te u skladu s Kyndrylovim odobrenjem).
3.3 Dobavljač će pribaviti certifikat usklađenosti s ISO 20243 ili sa sadržajno ekvivalentnim industrijskim standardom (ako to pisano odobri Kyndryl) u roku 180 dana od datuma stupanja Transakcijskog dokumenta na snagu,
a zatim će obnavljati certifikate svakih 12 mjeseci nakon toga (svako obnavljanje odnosit će se na tada važeću verziju primjenjivog standarda npr. ISO 20243 ili, tamo gdje je to Kyndryl pisano odobrio, na sadržajno ekvivalentan industrijski standard koji se bavi sigurnom praksom u razvoju i lancu opskrbe.
3.4 Dobavljač će na Kyndrylov zahtjev odmah pružiti primjerak certifikata koje Dobavljač treba obavezno pribaviti, a navedeni su u odjeljcima 2.1. i 2.2. iznad.
4. Sigurnosne ranjivosti
Kako se upotrebljavaju u nastavku,
Ispravak pogreške označava ispravke grešaka i prerade koje ispravljaju greške ili nedostatke u Isporučivim materijalima, uključujući Sigurnosne ranjivosti.
Ublažavanje označava bilo koje poznate načine umanjenja ili izbjegavanja rizika Sigurnosne ranjivosti.
Sigurnosna ranjivost označava stanje dizajna, kodiranja, razvoja, implementacije, testiranja, rada, podrške, održavanja ili upravljanja Isporučivim materijalom, koje dozvoljava napad od strane bilo koga i koje može dovesti do neovlaštenog pristupa ili korištenja, uključujući: (a) pristup, kontroliranje ili prekidanje rada sustava, (b) pristup, brisanje, mijenjanje ili izdvajanje podataka ili (c) promjene identiteta, ovlaštenja ili dozvola korisnika ili administratora. Sigurnosna ranjivost može postojati bez obzira na to da li joj je dodijeljen Common Vulnerabilities and Exposures (CVE) ID ili bilo koja druga ocjena ili službena klasifikacija.
4.1 Dobavljač izjavljuje i jamči da će: (a) koristiti Najbolju industrijsku praksu za identificiranje Sigurnosnih ranjivosti, uključujući neprekidno sigurnosno skeniranje statičkog i dinamičkog izvornog koda aplikacija, sigurnosno skeniranje open sourcea i skeniranje ranjivosti sustava, i (b) poštivati zahtjeve ovih Odredbi kako bi pomogao u sprječavanju, otkrivanju i ispravljanju Sigurnosnih ranjivosti u Isporučivim materijalima i u svim aplikacijama, platformama i infrastrukturi informatičke tehnologije u kojoj i kroz koju Dobavljač stvara i pruža Usluge i Isporučive materijale.
4.2 Ako Dobavljač uoči Sigurnosnu ranjivost u Isporučivom materijalu ili u bilo kojoj takvoj IT aplikaciji, platformi ili infrastrukturi, Dobavljač će Kyndrylu pružiti Ispravak greške i Ublažavanja za sve verzije i izdanja Isporučivih materijala u skladu s Razinama ozbiljnosti i vremenskim okvirima definiranima u tablicama ispod:
Razina ozbiljnosti*
Hitna sigurnosna ranjivost – je sigurnosna ranjivost koja predstavlja ozbiljnu i potencijalno globalnu prijetnju. Kyndryl određuje Hitnu sigurnosnu ranjivost vlastitom odlukom bez obzira na CVSS osnovnu ocjenu.
Kritična – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 9 do 10,0
Visoka – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 7,0 do 8,9
Srednja – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 4,0 do 6,9
Niska – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 0,0 do 3,9
Vremenski okviri
Hitna
Kritična
Visoka
Srednja
Niska
4 dana ili manje, kako je odredio Kyndrylov Glavni ured za informacijsku sigurnost
30 dana
30 dana
90 dana
Sukladno Najboljoj industrijskoj praksi
* U svakom slučaju kada Sigurnosna ranjivost nema odmah dodijeljenu CVSS osnovnu ocjenu, Dobavljač će primijeniti razinu ozbiljnosti koja je odgovarajuća za prirodu i okolnosti takve ranjivosti.
4.3 Za Sigurnosnu ranjivost koja je javno objavljena i za koju Dobavljač još nije Kyndrylu dostavio Ispravak greške ili Ublažavanje, Dobavljač će implementirati bilo koje tehnički izvedive dodatne sigurnosne kontrole koje mogu ublažiti rizike ranjivosti.
4.4 Ako Kyndryl nije zadovoljan Dobavljačevim odgovorom na bilo koju Sigurnosnu ranjivost u Isporučivom materijalu ili u bilo kojoj aplikaciji, platformi ili infrastrukturi na koju se upućuje iznad, tada ne dovodeći u pitanje bilo koja druga Kyndrylova prava, Dobavljač će odmah dogovoriti da Kyndryl raspravi svoje zabrinutosti izravno s Dobavljačevim zamjenikom predsjednika Uprave ili odgovarajućim izvršnim direktorom koji je odgovoran za isporuku Ispravka greške.
4.5 Primjeri Sigurnosnih ranjivosti uključuju kod treće strane ili open source code za koji se više ne pružaju usluge (end-of-service - EOS) pa se za te vrste koda više ne dobivaju sigurnosni popravci.
---
Članak VIII. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač pruža bilo koje Usluge ili Isporučive materijale Kyndrylu, osim kad Dobavljač ima pristup samo Kyndrylovom BCI-ju tijekom pružanja tih Usluga i Isporučivih materijala (npr. Dobavljač neće obrađivati nikakve druge Kyndrylove podatke niti će imati pristup bilo kojim drugim Kyndrylovim materijalima ili Korporativnim sustavima), Dobavljačeve Usluge i Isporučivi materijali služe za pružanje Softvera na lokaciji Kyndrylu ili Dobavljač pruža sve svoje Usluge i Isporučive materijale po modelu proširenja osoblja sukladno članku VII., uključujući od toga odjeljak 1.7.
Dobavljač će udovoljiti zahtjevima ovog članka te na taj način štititi: (a) Kyndrylove materijale od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja i slučajnog ili neovlaštenog pristupa, (b) Kyndrylove podatke od nezakonitih oblika Obrade i (c) Kyndrylovu tehnologiju od nezakonitih oblika rukovanja. Zahtjevi iz ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga te u kojima rukuje Kyndrylovom tehnologijom, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i centar podataka.
1. Sigurnosne politike
1.1 Dobavljač će održavati i slijediti sigurnosne politike i praksu informacijske tehnologije (IT) koje su sastavni dio Dobavljačevog poslovanja, obavezne za svo Dobavljačevo osoblje i usklađene s Najboljom industrijskom praksom.
1.2 Dobavljač će preispitati svoje IT sigurnosne politike i praksu najmanje jednom godišnje te ih prema potrebi ispraviti i dopuniti kako bi zaštitio Kyndrylove materijale.
1.3 Dobavljač će održavati i slijediti standardne obvezne zahtjeve provjere prilikom zapošljavanja novih zaposlenika i proširiti će takve zahtjeve na svo Dobavljačevo osoblje i Dobavljačeva povezana društva u potpunom vlasništvu. Ti zahtjevi će uključivati provjere kažnjavanosti u prošlosti u mjeri dozvoljenoj lokalnim pravom, dokaz provjere identiteta te bilo koje dodatne provjere za koje Dobavljač smatra da su potrebne. Dobavljač će periodički ponavljati i provjeravati te zahtjeve ako smatra da je to potrebno.
1.4 Dobavljač će svojim zaposlenicima svake godine osigurati edukaciju o sigurnosti i privatnosti te će svake godine od svojeg osoblja tražiti potvrdu da će se pridržavati Dobavljačevog etičnog poslovnog ponašanja i politika čuvanja tajnosti i sigurnosti navedenih u Dobavljačevom kodeksu ponašanja ili sličnim dokumentima. Dobavljač će osigurati dodatnu obuku o politikama i procesu osoblju s administrativnim pristupom bilo kojoj komponenti Usluga, Isporučivih materijala ili Kyndrylovih materijala, gdje će takva obuka biti specifična za njihovu ulogu i podršku Usluga, Isporučivih materijala i Kyndrylovih materijala i kakva je potrebna za održavanje zahtijevane sukladnosti i certifikata.
1.5 Dobavljač će dizajnirati mjere sigurnosti i privatnosti kako bi zaštitio i održavao dostupnost Kyndrylovih materijala te će kroz njihovu implementaciju, održavanje i sukladnost s politikama i procedurama koje po svojem obliku zahtijevaju sigurnost i privatnost, osigurati inženjering i siguran rad za sve Usluge i Isporučive materijale i za svo Rukovanje Kyndrylovom tehnologijom.
2. Sigurnosni incidenti
2.1 Dobavljač će održavati i slijediti dokumentirane politike odgovora na incidente sukladne Najboljoj industrijskoj praksi za postupanje kod sigurnosnih incidenata vezanih uz računala.
2.2 Dobavljač će istražiti neovlašteni pristup ili neovlaštenu upotrebu Kyndrylovih materijala te će definirati i provesti odgovarajući plan odgovora.
2.3 Dobavljač će odmah (a ni u kojem slučaju kasnije od 48 sati) obavijestiti Kyndryl nakon što postane svjestan bilo koje Povrede sigurnosti. Dobavljač će dostaviti takvu obavijest na e-adresu cyber.incidents@kyndryl.com. Dobavljač će Kyndrylu pružiti razumno zatražene informacije o takvoj povredi te o statusu bilo kojih Dobavljačevih aktivnosti za ispravljanje i obnavljanje. Na primjer, razumno zatražene informacije mogu uključivati dnevnike koji pokazuju povlašteni, administratorski i drugi pristup Uređajima, sustavima ili aplikacijama, forenzičke slike Uređaja, sustava ili aplikacija te druge slične stavke u mjeri u kojoj je to relevantno za povredu ili Dobavljačeve aktivnosti ispravljanja i obnavljanja.
2.4 Dobavljač će Kyndrylu pružiti razumnu pomoć u ispunjavanju bilo kojih zakonskih obveza (uključujući obveze obavještavanja Nadzornih tijela ili Ispitanika) Kyndryla, Kyndrylovih povezanih društava i Korisnika (i njihovih korisnika i povezanih društava) vezano uz Povredu sigurnosti.
2.5 Dobavljač neće informirati ili obavijestiti treću stranu da je Povreda sigurnosti izravno ili neizravno povezana s Kyndrylom ili Kyndrylovim materijalima osim ako je to pisano odobrio Kyndryl ili ako je to propisano zakonom. Dobavljač će pisano obavijestiti Kyndryl prije distribuiranja bilo kakve zakonski propisane obavijesti trećoj strani, gdje bi obavijest izravno ili neizravno otkrila Kyndrylov identitet.
2.6 U slučaju Povrede sigurnosti koja nastane zbog Dobavljačevog kršenja bilo koje obveze temeljem ovih Odredbi:
(a) Dobavljač će biti odgovoran za sve troškove koji nastanu kao i za stvarne troškove kojima se izloži Kyndryl tijekom obavještavanja odgovarajućih Nadzornih tijela, drugih javnih tijela te samoregulirajućih agencija relevantnih djelatnosti, medija (ako to zahtijeva primjenjivo pravo), Ispitanika, Korisnika i drugih o Povredi sigurnosti;
(b) Na zahtjev Kyndryla, Dobavljač će uspostaviti i održavati o svom vlastitom trošku pozivni centar koji će odgovarati na pitanja Ispitanika o Povredi sigurnosti i posljedicama toga, u trajanju od 1 godine od datuma kad su Ispitanici obaviješteni o Povredi sigurnosti ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu. Kyndryl i Dobavljač će surađivati na izradi skripti i drugih materijala koje će koristiti osoblje pozivnog centra prilikom odgovaranja na pitanja. Alternativno, nakon pisane obavijesti Dobavljaču, Kyndryl može umjesto Dobavljača uspostaviti i održavati svoj vlastiti pozivni centar, a Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izložio Kyndryl prilikom uspostavljanja i održavanja takvog pozivnog centra, i
(c) Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izloži Kyndryl tijekom pružanja usluga nadziranja i/ili vraćanja odobrenja u trajanju od 1 godine od datuma kad su pojedinci zahvaćeni povredom podataka obaviješteni o Povredi sigurnosti, a odlučili su se registrirati za takve usluge ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu.
3. Fizička zaštita i kontrola ulaska (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima).
3.1 Dobavljač će održavati i slijediti odgovarajuće fizičke kontrole pristupa poput prepreka, pristupnih točaka kontroliranih karticama, nadzornih kamera i recepcija s ljudskim osobljem kako bi zaštitio svoje Objekte od neovlaštenog ulaska.
3.2 Dobavljač će zahtijevati ovlašteno odobrenje za pristup Objektima i kontroliranim područjima unutar Objekata, uključujući bilo kakav privremeni pristup, a pristup će biti ograničen ovisno o poslovnoj funkciji i potrebi posla. Ako Dobavljač dozvoli privremeni pristup, njegov ovlašteni zaposlenik će pratiti svakog posjetitelja tijekom njegovog zadržavanja u Objektu i u svim kontroliranim područjima.
3.3 Dobavljač će implementirati kontrole fizičkog pristupa, uključujući višeparametarske kontrole pristupa sukladne Najboljoj industrijskoj praksi, kako bi prikladno ograničio pristup kontroliranim područjima unutar Objekata, zabilježio sve pokušaje ulaska i takve dnevnika održavao najmanje godinu dana.
3.4 Dobavljač će ukinuti pristup Objektima i kontroliranim područjima unutar Objekata nakon (a) prestanka radnog odnosa ovlaštenog Dobavljačevog zaposlenika ili (b) kad ovlaštenom Dobavljačevom zaposleniku pristup više nije potreban radi valjanih poslovnih potreba. Dobavljač će slijediti formalne dokumentirane postupke prilikom prestanka radnog odnosa koji uključuju hitno uklanjanje iz popisa kontrole pristupa i predaju iskaznica za fizički pristup.
3.5 Dobavljač će poduzeti mjere opreza kako bi zaštitio svu fizičku infrastrukturu koja se koristi kao podrška za pružanje Usluga i Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom od okolišnih prijetnji, koje se događaju prirodno i utjecajem čovjeka, poput prekomjerne temperature okoline, požara, poplave, vlage, krađe i vandalizma.
4. Kontrola pristupa, intervencije, prijenosa i odvajanja
4.1 Dobavljač će održavati dokumentaciju sigurnosne arhitekture mreža kojima upravlja tijekom pružanja Usluga, opskrbe Isporučivim materijalima i Rukovanja Kyndrylovom tehnologijom. Dobavljač će zasebno pregledati takve mrežne arhitekture i upotrebljavati mjere sprječavanja neovlaštenih mrežnih povezivanja na sustave, aplikacije i mrežne uređaje kako bi osigurao sukladnost sa sveobuhvatnim standardnima sigurne segmentacije, izolacije i obrane. Dobavljač ne može koristiti bežičnu tehnologiju u svom hostingu i operacijama bilo kojih Hostanih usluga; inače, Dobavljač može koristiti bežičnu mrežnu tehnologiju prilikom pružanja Usluga i Isporučivih materijala i tijekom Rukovanja Kyndrylovom tehnologijom, ali tada će Dobavljač šifrirati i zahtijevati sigurnu provjeru identiteta za bilo koju takvu bežičnu mrežu.
4.2 Dobavljač će održavati mjere namijenjene za logičko odvajanje i sprječavanja otkrivanja ili pristupa neovlaštenih osoba Kyndrylovim materijalima. Nadalje, Dobavljač će održavati odgovarajuću izolaciju svojih proizvodnih, neproizvodnih i drugih okolina i, ako su Kyndrylovi materijali već prisutni ili ako su preneseni u neproizvodnu okolinu (na primjer kako bi se ponovno proizvela greška), tada će Dobavljač osigurati da su sve sigurnosne zaštite i zaštite privatnosti u neproizvodnoj okolini jednake onima u proizvodnoj okolini.
4.3 Dobavljač će šifrirati Kyndrylove materijale u prijenosu i u mirovanju (osim ako Dobavljač na Kyndrylovo razumno zadovoljstvo dokaže da je šifriranje Kyndrylovih materijala u mirovanju tehnički neizvedivo). Dobavljač će također šifrirati sve fizičke medije, poput medija koji sadrže sigurnosne kopije, ako takvi postoje. Dobavljač će održavati dokumentaciju o postupcima za generiranje, izdavanje, distribuiranje, pohranu, rotiranje, povlačenje, vraćanje, sigurnosno kopiranje, uništavanje, pristup i upotrebu sigurnosnih ključeva vezanih uz šifriranje podataka. Dobavljač će osigurati da korištene specifične kriptografske metode za šifriranje slijede Najbolju industrijsku praksu (poput NIST SP 800-131a).
4.4 Ako je Dobavljaču potreban pristup Kyndrylovim materijalima, Dobavljač će smanjiti i ograničiti takav pristup na najmanju razinu koja je potrebna za pružanje i podršku Uslugama i Isporučivim materijalima. Dobavljač će zahtijevati da takav pristup, uključujući administrativni pristup bilo kojim osnovnim komponentama (npr. povlašteni pristup), bude pojedinačan na temelju radne funkcije te da podliježe odobrenju i redovnoj provjeri od strane ovlaštenih Dobavljačevih zaposlenika na temelju načela odvajanja dužnosti. Dobavljač će provoditi mjere za identificiranje i uklanjanje suvišnih i nekorištenih računa. Dobavljač će također ukinuti račune s povlaštenim pristupom unutar dvadeset četiri (24) sata od prestanka radnog odnosa vlasnika računa ili na zahtjev Kyndryla ili bilo kojeg ovlaštenog Dobavljačevog zaposlenika, na primjer, na zahtjev rukovoditelja vlasnika računa.
4.5 U skladu s Najboljom industrijskom praksom, Dobavljač će održavati tehničke mjere provedbe vremenskog ograničenja neaktivnih sesija, zaključavanja računa nakon višestrukih uzastopnih neuspjelih pokušaja prijave, provjere identiteta putem jake lozinke ili pristupnog izraza i mjere koje zahtijevaju siguran prijenos i pohranu takvih lozinki i pristupnih izraza. Osim toga, Dobavljač će koristiti višeparametarsku provjeru identiteta za sve povlaštene pristupe bilo kojim Kyndrylovim Materijalima koji ne idu preko konzole.
4.6 Dobavljač će nadgledati upotrebu povlaštenog pristupa i održavati informacije o sigurnosti i mjere upravljanja događajima namijenjene za: (a) prepoznavanje neovlaštenog pristupa i aktivnosti, (b) olakšavanje pravodobnog i prikladnog odgovora na takav pristup i aktivnost, i (c) omogućavanje revizije usklađenosti s dokumentiranom politikom Dobavljača koju provodi Dobavljač, Kyndryl (sukladno njegovim pravima provjere u ovim Odredbama i pravima na reviziju iz Transakcijskog dokumenta ili pridruženog osnovnog ili drugog povezanog ugovora između strana) i drugi.
4.7 Dobavljač će zadržavati dnevnike u koje će u skladu s Najboljom industrijskom praksom zapisivati sve administratorske, korisničke ili druge pristupe ili aktivnosti prema ili vezane uz sustave korištene za pružanje Usluga ili Isporučivih Materijala i Rukovanje Kyndrylovom tehnologijom (i te će dnevnike na zahtjev pružiti Kyndrylu). Dobavljač će održavati mjere namijenjene zaštiti od neovlaštenog pristupa, izmjene i slučajnog ili namjernog uništenja takvih dnevnika.
4.8 Dobavljač će održavati računalne zaštite za sustave u svom vlasništvu ili kojima upravlja, uključujući sustave krajnjih korisnika, koje koristi za pružanje Usluga ili Isporučivih materijala ili za Rukovanje Kyndrylovom tehnologijom, sa zaštitama koje uključuju: vatrozide krajnjih točaka, šifriranje cijelog diska, detektiranje krajnjih točaka na bazi potpisa i bez potpisa i tehnologije odgovora za postupanje sa zlonamjernim softverom i naprednim stalnim prijetnjama, vremensko zaključavanje ekrana i rješenja upravljanja krajnjim točkama koja provode zahtjeve konfiguracije i nadogradnje sigurnosti. Osim toga, Dobavljač će implementirati tehničke i operativne kontrole koje će osigurati da dozvolu korištenja Dobavljačevih mreža imaju poznati i pouzdani sustavi krajnjih korisnika.
4.9 U skladu s Najboljom industrijskom praksom, Dobavljač će štititi okoline centra podataka u kojima se nalaze ili obrađuju Kyndrylovi materijali, sa zaštitama koje uključuju detektiranje i sprječavanje upada te protumjere i otklanjanje posljedica nastalih zbog napada odbijanjem usluge.
5. Integritet usluga i sustava i kontrola dostupnosti
5.1 Dobavljač će: (a) provoditi procjene rizika sigurnosti i privatnosti najmanje jednom godišnje, (b) provoditi testiranje sigurnosti i procjenu ranjivosti, uključujući automatizirano sigurnosno skeniranje sustava i aplikacija i ručno etično hakiranje prije proizvodnog izdanja i jednom godišnje nakon toga što se tiče Usluga i Isporučivih materijala i jednom godišnje u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, (c) angažirati kvalificiranu neovisnu treću stranu za provođenje testiranja sigurnosti/proboja najmanje jednom godišnje sukladno Najboljoj industrijskoj praksi, gdje će takvo testiranje uključivati i automatizirano i ručno testiranje, (d) provoditi automatizirano upravljanje i rutinsku provjeru usklađenosti sa zahtjevima konfiguracije sigurnosti za svaku komponentu Usluga i Isporučivih materijala i u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, i (e) otkloniti identificirane ranjivosti ili neusklađenosti sa zahtjevima konfiguracije sigurnosti koje se temelje na povezanom riziku, iskoristivosti i utjecaju. Dobavljač će poduzeti razumne korake kako bi izbjegao prekid Usluga prilikom testiranja, procjena, skeniranja i izvođenja aktivnosti ispravljanja grešaka. Na Kyndrylov zahtjev, Dobavljač će Kyndrylu pružiti pisani sažetak Dobavljačevih tada najnovijih aktivnosti testiranja sigurnosti/proboja, gdje u izvještaju mora minimalno stajati naziv ponude pokrivene testiranje, broj sustava ili aplikacija u opsegu testiranja, datumi testiranja, metodologija korištena u testiranju te sažetak nalaza visoke razine.
5.2 Dobavljač će održavati politike i procedure namijenjene za upravljanje rizicima povezanima s primjenom promjena na Usluge ili Isporučive materijala ili na Rukovanje Kyndrylovom tehnologijom. Prije implementiranja takve promjene, koja uključuje zahvaćene sustave, mreže i temeljne komponente, Dobavljač će u registriranom zahtjevu za promjenu dokumentirati: (a) opis razlog za promjenu, (b) detalje implementacije i raspored, (c) izjavu o riziku koja se odnosi na utjecaj na Usluge i Isporučive materijale, korisnike Usluga ili Kyndrylovih materijala, (d) očekivani ishod, (e) plan vraćanja u prethodno stanje i (f) odobrenje ovlaštenih Dobavljačevih zaposlenika.
5.3 Dobavljač će održavati popis svih IT sredstava koja Dobavljač koristi za rad Usluga, pružanje Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom. Dobavljač će neprekidno nadzirati i upravljati stanjem (uključujući kapacitet) i dostupnošću takvih IT sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije, uključujući temeljne komponente takvih sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije.
5.4 Dobavljač će izgraditi sve sustave koje koristi u razvoju ili u radu Usluga i Isporučivih materijala i za svoje Rukovanje Kyndrylovom tehnologijom iz preddefiniranih slika sigurnosti sustava ili sigurnosnih osnova, a koji zadovoljavaju Najbolju industrijsku praksu poput referentnih vrijednosti Centra za internetsku sigurnost (engl. Center for Internet Security - CIS).
5.5 Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem ovog Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu poslovnog kontinuiteta, Dobavljač će zasebno procijeniti svaku Uslugu i Isporučivi materijal i svaki IT sustav koji se koristi u Rukovanju Kyndrylovom tehnologijom za poslovni i IT kontinuitet i zahtjeve obnavljanja od katastrofe sukladno dokumentiranim smjernicama za upravljanje rizikom. Dobavljač će osigurati da svaka takva Usluga, Isporučivi materijal i IT sustav ima u mjeri zajamčenoj takvom procjenom rizika zasebno definirane, dokumentirane, održavane i godišnje potvrđene planove poslovnog i IT kontinuiteta i obnavljanja od katastrofe u skladu s Najboljom industrijskom praksom. Dobavljač će osigurati da su takvi planovi osmišljeni za pružanje određenih ciljeva vremena obnavljanja koji su navedeni u odjeljku 5.6 u nastavku.
5.6 Određeni ciljevi točke obnavljanja (RPO) (engl. Recovery Point Objectives) i ciljevi vremena obnavljanja (RTO) (engl. Recovery Time Objectives) u pogledu bilo koje Hostane usluge jesu: 24-satni RPO i 24-satni RTO; unatoč tome Dobavljač će u što kraćem roku pristati na bilo koje kraće trajanje RPO-a ili RTO-a na koje se Kyndryl obvezao prema Korisniku nakon Kyndrylove pisane obavijesti Dobavljaču o takvom kraćem trajanju RPO-a ili RTO-a (e-poruka se smatra pisanom obavijesti). Budući da se tiče svih ostalih Usluga koje Dobavljač pruža Kyndrylu, Dobavljač će osigurati da su njegovi planovi poslovnog kontinuiteta i obnavljanja od katastrofe dizajnirani za pružanje RPO-a i RTO-a takvi da Dobavljaču omogućuju daljnju potpunu sukladnost sa svim svojim obvezama prema Kyndrylu temeljem Transakcijskog dokumenta i pridruženog osnovnog ugovora između strana kao i ovih Odredbi, uključujući obveze pravodobnog provođenja testiranja, pružanja podrške i održavanja.
5.7 Dobavljač će održavati mjere namijenjene procjeni, testiranju i primjeni zakrpa savjeta sigurnosti na Usluge i Isporučive materijale kao i za povezane sustave, mreže, aplikacije i temeljne komponente unutar opsega dotičnih Usluga i Isporučivih materijala te za sustave, mreže, aplikacije i temeljne komponente koje se koriste za Rukovanje Kyndrylovom tehnologijom. Nakon utvrđivanja da je zakrpa savjeta sigurnosti primjenjiva i prikladna, Dobavljač će implementirati zakrpu sukladno dokumentiranoj ozbiljnosti i smjernicama procjene rizika. Dobavljačeva implementacija zakrpa dobivenih od savjeta sigurnosti podliježe njegovoj politici upravljanja promjenama.
5.8 Ako Kyndryl ima razumnu osnovu smatrati da hardver ili softver kojeg Dobavljač pruža Kyndrylu može sadržavati intruzivne elemente poput špijunskog softvera (spyware), zlonamjernog softvera (malware) ili zlonamjernog koda (malicious code), Dobavljač će pravodobno surađivati s Kyndrylom u istrazi i otklanjanju Kyndrylove zabrinutosti.
6. Pružanje usluga
6.1 Dobavljač će podržavati industrijski uobičajene metode objedinjene provjere identiteta za Kyndrylove ili Korisnikove korisničke račune, pri čemu će Dobavljač slijediti Najbolju industrijsku praksu za provjeru identiteta takvih Kyndrylovih ili Korisnikovih korisničkih računa (preko Kyndrylovog centralno upravljanog višeparametarskog Single Sign-On-a (SSO), uz korištenje proizvoda OpenID Connect (OICD) ili Security Assertion Markup Language (SAML)).
7. Podizvođači. Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu angažiranja podizvođača, Dobavljač će osigurati da svaki podizvođač koji obavlja posao za Dobavljača ima uspostavljene kontrole upravljanja kako bi bio u skladu sa zahtjevima i obvezama koje ove Odredbe nameću Dobavljaču.
8. Fizički mediji. Dobavljač će sigurno izbrisati fizičke medije namijenjene ponovnoj upotrebi prije takve upotrebe, a uništit će fizičke medije koji nisu namijenjeni ponovnoj upotrebi, u skladu s Najboljom industrijskom praksom za brisanje medija.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
-
Ako je tako, tamo gdje Dobavljač pruža svoj Izvorni kod ili Izvorni kod treće strane Kyndrylu ili gdje će se bilo koji Dobavljačevi Isporučivi materijali ili Usluge pružati Kyndrylovom Korisniku u sklopu Kyndrylovog proizvoda ili usluge, tada se primjenjuju članci V (Siguran razvoj), VIII (Tehničke i organizacijske mjere, Opća sigurnost) i X (Suradnja, provjera i ispravljanje).
Tamo gdje Dobavljač Kyndrylu pruža isključivo Softver na lokaciji, tada se primjenjuju članci V (Siguran razvoj) i X (Suradnja, provjera i ispravljanje).
Primjeri:
Dobavljač razvija Izvorni kod čiji će vlasnik biti Dobavljač, a to čini za proizvod koji će Kyndryl staviti na tržište i prodavati.
Dobavljač licencira softverski program Kyndrylu za Kyndrylovu upotrebu na lokaciji.
Kyndryl ponovno brendira Dobavljačevu Hostanu uslugu kao Kyndrylov proizvod ili uslugu, za koju će Dobavljač pružati hosting i upravljanje.
Napomena: Članak VIII. (Tehničke i organizacijske mjere, Opća sigurnost) također će se primjenjivati na Dobavljača koji Kyndrylu pruža Softver na lokaciji ako druge okolnosti angažmana uzrokuju primjenu članka VIII. (npr. tamo gdje Dobavljač ima pristup informacijama koje nadilaze Poslovne kontakt informacije (engl. Business Contact Information - BCI) kao što su Kyndrylovi Osobni podaci ili ne-Osobni podaci).
Članak V. Siguran razvoj
Ovaj članak se primjenjuje ako će Dobavljač Kyndrylu pružiti svoj Izvorni kod, Izvorni kod treće strane ili Softver na lokaciji ili ako će se Dobavljačevi Isporučivi materijali ili Usluge pružati Kyndrylovom Korisniku u sklopu Kyndrylovog proizvoda ili usluge.
1. Sigurnosna spremnost
1.1 Dobavljač će surađivati u Kyndrylovim internim procesima koji procjenjuju sigurnosnu spremnost Kyndrylovih proizvoda i usluga koje ovise o bilo kojim Dobavljačevim Isporučivim materijalima, uključujući pružanje pravodobnih i potpunih odgovora o zatraženim informacijama bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili slično.
2. Siguran razvoj
2.1 Ovaj odjeljak 2. se primjenjuje samo kad Dobavljač pruža Kyndrylu Softver na lokaciji.
2.2 Dobavljač je implementirao i održavat će u skladu s Najboljom industrijskom praksom tijekom cijelog razdoblja Transakcijskog dokumenta sigurnosne politike, procedure i kontrole fokusirane na mrežu, platformu, sustav, aplikacije, uređaje, fizičku infrastrukturu, odgovore na incidente i Osoblje koje su potrebne kako bi zaštitio: (a) sustave i okoline za razvoj, izgradnju, testiranje i rad na kojima Dobavljač ili bilo koja treća strana koju je angažirao Dobavljač radi, upravlja, koristi ili se drugačije oslanja za ili u pogledu Isporučivih materijala i (b) izvorni kod svih Isporučivih materijala od gubitka, nezakonitog oblika rukovanja te neovlaštenog pristupa, otkrivanja ili izmjene.
3. Certifikat ISO 20243
3.1 Ovaj odjeljak 3. se primjenjuje samo ako će se bilo koji od Dobavljačevih Isporučivih materijala ili Usluga pružati Kyndrylovom Korisniku u sklopu Kyndrylovog proizvoda ili usluge.
3.2 Dobavljač će pribaviti certifikat usklađenosti s ISO 20243, Informacijska tehnologija, Open Trusted Technology Provider, TM Standard (O-TTPS), Otklanjanje posljedica zlonamjerno oštećenih i krivotvorenih proizvoda (bilo certificiranjem putem osobne procjene ili na bazi procjene uglednog neovisnog revizora). Druga mogućnost je, ako Dobavljač pisano zatraži, a Kyndryl pisano odobri, Dobavljač će pribaviti certifikat usklađenosti sa sadržajno ekvivalentnim industrijskim standardom koji se bavi sigurnim postupcima u razvoju i u lancu opskrbe (bilo certificiranjem putem osobne procjene ili na bazi procjene uglednog neovisnog revizora, ako Kyndryl odobri te u skladu s Kyndrylovim odobrenjem).
3.3 Dobavljač će pribaviti certifikat usklađenosti s ISO 20243 ili sa sadržajno ekvivalentnim industrijskim standardom (ako to pisano odobri Kyndryl) u roku 180 dana od datuma stupanja Transakcijskog dokumenta na snagu,
a zatim će obnavljati certifikate svakih 12 mjeseci nakon toga (svako obnavljanje odnosit će se na tada važeću verziju primjenjivog standarda npr. ISO 20243 ili, tamo gdje je to Kyndryl pisano odobrio, na sadržajno ekvivalentan industrijski standard koji se bavi sigurnom praksom u razvoju i lancu opskrbe.
3.4 Dobavljač će na Kyndrylov zahtjev odmah pružiti primjerak certifikata koje Dobavljač treba obavezno pribaviti, a navedeni su u odjeljcima 2.1. i 2.2. iznad.
4. Sigurnosne ranjivosti
Kako se upotrebljavaju u nastavku,
Ispravak pogreške označava ispravke grešaka i prerade koje ispravljaju greške ili nedostatke u Isporučivim materijalima, uključujući Sigurnosne ranjivosti.
Ublažavanje označava bilo koje poznate načine umanjenja ili izbjegavanja rizika Sigurnosne ranjivosti.
Sigurnosna ranjivost označava stanje dizajna, kodiranja, razvoja, implementacije, testiranja, rada, podrške, održavanja ili upravljanja Isporučivim materijalom, koje dozvoljava napad od strane bilo koga i koje može dovesti do neovlaštenog pristupa ili korištenja, uključujući: (a) pristup, kontroliranje ili prekidanje rada sustava, (b) pristup, brisanje, mijenjanje ili izdvajanje podataka ili (c) promjene identiteta, ovlaštenja ili dozvola korisnika ili administratora. Sigurnosna ranjivost može postojati bez obzira na to da li joj je dodijeljen Common Vulnerabilities and Exposures (CVE) ID ili bilo koja druga ocjena ili službena klasifikacija.
4.1 Dobavljač izjavljuje i jamči da će: (a) koristiti Najbolju industrijsku praksu za identificiranje Sigurnosnih ranjivosti, uključujući neprekidno sigurnosno skeniranje statičkog i dinamičkog izvornog koda aplikacija, sigurnosno skeniranje open sourcea i skeniranje ranjivosti sustava, i (b) poštivati zahtjeve ovih Odredbi kako bi pomogao u sprječavanju, otkrivanju i ispravljanju Sigurnosnih ranjivosti u Isporučivim materijalima i u svim aplikacijama, platformama i infrastrukturi informatičke tehnologije u kojoj i kroz koju Dobavljač stvara i pruža Usluge i Isporučive materijale.
4.2 Ako Dobavljač uoči Sigurnosnu ranjivost u Isporučivom materijalu ili u bilo kojoj takvoj IT aplikaciji, platformi ili infrastrukturi, Dobavljač će Kyndrylu pružiti Ispravak greške i Ublažavanja za sve verzije i izdanja Isporučivih materijala u skladu s Razinama ozbiljnosti i vremenskim okvirima definiranima u tablicama ispod:
Razina ozbiljnosti*
Hitna sigurnosna ranjivost – je sigurnosna ranjivost koja predstavlja ozbiljnu i potencijalno globalnu prijetnju. Kyndryl određuje Hitnu sigurnosnu ranjivost vlastitom odlukom bez obzira na CVSS osnovnu ocjenu.
Kritična – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 9 do 10,0
Visoka – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 7,0 do 8,9
Srednja – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 4,0 do 6,9
Niska – Sigurnosna ranjivost čija je CVSS osnovna ocjena od 0,0 do 3,9
Vremenski okviri
Hitna
Kritična
Visoka
Srednja
Niska
4 dana ili manje, kako je odredio Kyndrylov Glavni ured za informacijsku sigurnost
30 dana
30 dana
90 dana
Sukladno Najboljoj industrijskoj praksi
* U svakom slučaju kada Sigurnosna ranjivost nema odmah dodijeljenu CVSS osnovnu ocjenu, Dobavljač će primijeniti razinu ozbiljnosti koja je odgovarajuća za prirodu i okolnosti takve ranjivosti.
4.3 Za Sigurnosnu ranjivost koja je javno objavljena i za koju Dobavljač još nije Kyndrylu dostavio Ispravak greške ili Ublažavanje, Dobavljač će implementirati bilo koje tehnički izvedive dodatne sigurnosne kontrole koje mogu ublažiti rizike ranjivosti.
4.4 Ako Kyndryl nije zadovoljan Dobavljačevim odgovorom na bilo koju Sigurnosnu ranjivost u Isporučivom materijalu ili u bilo kojoj aplikaciji, platformi ili infrastrukturi na koju se upućuje iznad, tada ne dovodeći u pitanje bilo koja druga Kyndrylova prava, Dobavljač će odmah dogovoriti da Kyndryl raspravi svoje zabrinutosti izravno s Dobavljačevim zamjenikom predsjednika Uprave ili odgovarajućim izvršnim direktorom koji je odgovoran za isporuku Ispravka greške.
4.5 Primjeri Sigurnosnih ranjivosti uključuju kod treće strane ili open source code za koji se više ne pružaju usluge (end-of-service - EOS) pa se za te vrste koda više ne dobivaju sigurnosni popravci.
---
Članak VIII. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač pruža bilo koje Usluge ili Isporučive materijale Kyndrylu, osim kad Dobavljač ima pristup samo Kyndrylovom BCI-ju tijekom pružanja tih Usluga i Isporučivih materijala (npr. Dobavljač neće obrađivati nikakve druge Kyndrylove podatke niti će imati pristup bilo kojim drugim Kyndrylovim materijalima ili Korporativnim sustavima), Dobavljačeve Usluge i Isporučivi materijali služe za pružanje Softvera na lokaciji Kyndrylu ili Dobavljač pruža sve svoje Usluge i Isporučive materijale po modelu proširenja osoblja sukladno članku VII., uključujući od toga odjeljak 1.7.
Dobavljač će udovoljiti zahtjevima ovog članka te na taj način štititi: (a) Kyndrylove materijale od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja i slučajnog ili neovlaštenog pristupa, (b) Kyndrylove podatke od nezakonitih oblika Obrade i (c) Kyndrylovu tehnologiju od nezakonitih oblika rukovanja. Zahtjevi iz ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga te u kojima rukuje Kyndrylovom tehnologijom, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i centar podataka.
1. Sigurnosne politike
1.1 Dobavljač će održavati i slijediti sigurnosne politike i praksu informacijske tehnologije (IT) koje su sastavni dio Dobavljačevog poslovanja, obavezne za svo Dobavljačevo osoblje i usklađene s Najboljom industrijskom praksom.
1.2 Dobavljač će preispitati svoje IT sigurnosne politike i praksu najmanje jednom godišnje te ih prema potrebi ispraviti i dopuniti kako bi zaštitio Kyndrylove materijale.
1.3 Dobavljač će održavati i slijediti standardne obvezne zahtjeve provjere prilikom zapošljavanja novih zaposlenika i proširiti će takve zahtjeve na svo Dobavljačevo osoblje i Dobavljačeva povezana društva u potpunom vlasništvu. Ti zahtjevi će uključivati provjere kažnjavanosti u prošlosti u mjeri dozvoljenoj lokalnim pravom, dokaz provjere identiteta te bilo koje dodatne provjere za koje Dobavljač smatra da su potrebne. Dobavljač će periodički ponavljati i provjeravati te zahtjeve ako smatra da je to potrebno.
1.4 Dobavljač će svojim zaposlenicima svake godine osigurati edukaciju o sigurnosti i privatnosti te će svake godine od svojeg osoblja tražiti potvrdu da će se pridržavati Dobavljačevog etičnog poslovnog ponašanja i politika čuvanja tajnosti i sigurnosti navedenih u Dobavljačevom kodeksu ponašanja ili sličnim dokumentima. Dobavljač će osigurati dodatnu obuku o politikama i procesu osoblju s administrativnim pristupom bilo kojoj komponenti Usluga, Isporučivih materijala ili Kyndrylovih materijala, gdje će takva obuka biti specifična za njihovu ulogu i podršku Usluga, Isporučivih materijala i Kyndrylovih materijala i kakva je potrebna za održavanje zahtijevane sukladnosti i certifikata.
1.5 Dobavljač će dizajnirati mjere sigurnosti i privatnosti kako bi zaštitio i održavao dostupnost Kyndrylovih materijala te će kroz njihovu implementaciju, održavanje i sukladnost s politikama i procedurama koje po svojem obliku zahtijevaju sigurnost i privatnost, osigurati inženjering i siguran rad za sve Usluge i Isporučive materijale i za svo Rukovanje Kyndrylovom tehnologijom.
2. Sigurnosni incidenti
2.1 Dobavljač će održavati i slijediti dokumentirane politike odgovora na incidente sukladne Najboljoj industrijskoj praksi za postupanje kod sigurnosnih incidenata vezanih uz računala.
2.2 Dobavljač će istražiti neovlašteni pristup ili neovlaštenu upotrebu Kyndrylovih materijala te će definirati i provesti odgovarajući plan odgovora.
2.3 Dobavljač će odmah (a ni u kojem slučaju kasnije od 48 sati) obavijestiti Kyndryl nakon što postane svjestan bilo koje Povrede sigurnosti. Dobavljač će dostaviti takvu obavijest na e-adresu cyber.incidents@kyndryl.com. Dobavljač će Kyndrylu pružiti razumno zatražene informacije o takvoj povredi te o statusu bilo kojih Dobavljačevih aktivnosti za ispravljanje i obnavljanje. Na primjer, razumno zatražene informacije mogu uključivati dnevnike koji pokazuju povlašteni, administratorski i drugi pristup Uređajima, sustavima ili aplikacijama, forenzičke slike Uređaja, sustava ili aplikacija te druge slične stavke u mjeri u kojoj je to relevantno za povredu ili Dobavljačeve aktivnosti ispravljanja i obnavljanja.
2.4 Dobavljač će Kyndrylu pružiti razumnu pomoć u ispunjavanju bilo kojih zakonskih obveza (uključujući obveze obavještavanja Nadzornih tijela ili Ispitanika) Kyndryla, Kyndrylovih povezanih društava i Korisnika (i njihovih korisnika i povezanih društava) vezano uz Povredu sigurnosti.
2.5 Dobavljač neće informirati ili obavijestiti treću stranu da je Povreda sigurnosti izravno ili neizravno povezana s Kyndrylom ili Kyndrylovim materijalima osim ako je to pisano odobrio Kyndryl ili ako je to propisano zakonom. Dobavljač će pisano obavijestiti Kyndryl prije distribuiranja bilo kakve zakonski propisane obavijesti trećoj strani, gdje bi obavijest izravno ili neizravno otkrila Kyndrylov identitet.
2.6 U slučaju Povrede sigurnosti koja nastane zbog Dobavljačevog kršenja bilo koje obveze temeljem ovih Odredbi:
(a) Dobavljač će biti odgovoran za sve troškove koji nastanu kao i za stvarne troškove kojima se izloži Kyndryl tijekom obavještavanja odgovarajućih Nadzornih tijela, drugih javnih tijela te samoregulirajućih agencija relevantnih djelatnosti, medija (ako to zahtijeva primjenjivo pravo), Ispitanika, Korisnika i drugih o Povredi sigurnosti;
(b) Na zahtjev Kyndryla, Dobavljač će uspostaviti i održavati o svom vlastitom trošku pozivni centar koji će odgovarati na pitanja Ispitanika o Povredi sigurnosti i posljedicama toga, u trajanju od 1 godine od datuma kad su Ispitanici obaviješteni o Povredi sigurnosti ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu. Kyndryl i Dobavljač će surađivati na izradi skripti i drugih materijala koje će koristiti osoblje pozivnog centra prilikom odgovaranja na pitanja. Alternativno, nakon pisane obavijesti Dobavljaču, Kyndryl može umjesto Dobavljača uspostaviti i održavati svoj vlastiti pozivni centar, a Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izložio Kyndryl prilikom uspostavljanja i održavanja takvog pozivnog centra, i
(c) Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izloži Kyndryl tijekom pružanja usluga nadziranja i/ili vraćanja odobrenja u trajanju od 1 godine od datuma kad su pojedinci zahvaćeni povredom podataka obaviješteni o Povredi sigurnosti, a odlučili su se registrirati za takve usluge ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu.
3. Fizička zaštita i kontrola ulaska (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima).
3.1 Dobavljač će održavati i slijediti odgovarajuće fizičke kontrole pristupa poput prepreka, pristupnih točaka kontroliranih karticama, nadzornih kamera i recepcija s ljudskim osobljem kako bi zaštitio svoje Objekte od neovlaštenog ulaska.
3.2 Dobavljač će zahtijevati ovlašteno odobrenje za pristup Objektima i kontroliranim područjima unutar Objekata, uključujući bilo kakav privremeni pristup, a pristup će biti ograničen ovisno o poslovnoj funkciji i potrebi posla. Ako Dobavljač dozvoli privremeni pristup, njegov ovlašteni zaposlenik će pratiti svakog posjetitelja tijekom njegovog zadržavanja u Objektu i u svim kontroliranim područjima.
3.3 Dobavljač će implementirati kontrole fizičkog pristupa, uključujući višeparametarske kontrole pristupa sukladne Najboljoj industrijskoj praksi, kako bi prikladno ograničio pristup kontroliranim područjima unutar Objekata, zabilježio sve pokušaje ulaska i takve dnevnika održavao najmanje godinu dana.
3.4 Dobavljač će ukinuti pristup Objektima i kontroliranim područjima unutar Objekata nakon (a) prestanka radnog odnosa ovlaštenog Dobavljačevog zaposlenika ili (b) kad ovlaštenom Dobavljačevom zaposleniku pristup više nije potreban radi valjanih poslovnih potreba. Dobavljač će slijediti formalne dokumentirane postupke prilikom prestanka radnog odnosa koji uključuju hitno uklanjanje iz popisa kontrole pristupa i predaju iskaznica za fizički pristup.
3.5 Dobavljač će poduzeti mjere opreza kako bi zaštitio svu fizičku infrastrukturu koja se koristi kao podrška za pružanje Usluga i Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom od okolišnih prijetnji, koje se događaju prirodno i utjecajem čovjeka, poput prekomjerne temperature okoline, požara, poplave, vlage, krađe i vandalizma.
4. Kontrola pristupa, intervencije, prijenosa i odvajanja
4.1 Dobavljač će održavati dokumentaciju sigurnosne arhitekture mreža kojima upravlja tijekom pružanja Usluga, opskrbe Isporučivim materijalima i Rukovanja Kyndrylovom tehnologijom. Dobavljač će zasebno pregledati takve mrežne arhitekture i upotrebljavati mjere sprječavanja neovlaštenih mrežnih povezivanja na sustave, aplikacije i mrežne uređaje kako bi osigurao sukladnost sa sveobuhvatnim standardnima sigurne segmentacije, izolacije i obrane. Dobavljač ne može koristiti bežičnu tehnologiju u svom hostingu i operacijama bilo kojih Hostanih usluga; inače, Dobavljač može koristiti bežičnu mrežnu tehnologiju prilikom pružanja Usluga i Isporučivih materijala i tijekom Rukovanja Kyndrylovom tehnologijom, ali tada će Dobavljač šifrirati i zahtijevati sigurnu provjeru identiteta za bilo koju takvu bežičnu mrežu.
4.2 Dobavljač će održavati mjere namijenjene za logičko odvajanje i sprječavanja otkrivanja ili pristupa neovlaštenih osoba Kyndrylovim materijalima. Nadalje, Dobavljač će održavati odgovarajuću izolaciju svojih proizvodnih, neproizvodnih i drugih okolina i, ako su Kyndrylovi materijali već prisutni ili ako su preneseni u neproizvodnu okolinu (na primjer kako bi se ponovno proizvela greška), tada će Dobavljač osigurati da su sve sigurnosne zaštite i zaštite privatnosti u neproizvodnoj okolini jednake onima u proizvodnoj okolini.
4.3 Dobavljač će šifrirati Kyndrylove materijale u prijenosu i u mirovanju (osim ako Dobavljač na Kyndrylovo razumno zadovoljstvo dokaže da je šifriranje Kyndrylovih materijala u mirovanju tehnički neizvedivo). Dobavljač će također šifrirati sve fizičke medije, poput medija koji sadrže sigurnosne kopije, ako takvi postoje. Dobavljač će održavati dokumentaciju o postupcima za generiranje, izdavanje, distribuiranje, pohranu, rotiranje, povlačenje, vraćanje, sigurnosno kopiranje, uništavanje, pristup i upotrebu sigurnosnih ključeva vezanih uz šifriranje podataka. Dobavljač će osigurati da korištene specifične kriptografske metode za šifriranje slijede Najbolju industrijsku praksu (poput NIST SP 800-131a).
4.4 Ako je Dobavljaču potreban pristup Kyndrylovim materijalima, Dobavljač će smanjiti i ograničiti takav pristup na najmanju razinu koja je potrebna za pružanje i podršku Uslugama i Isporučivim materijalima. Dobavljač će zahtijevati da takav pristup, uključujući administrativni pristup bilo kojim osnovnim komponentama (npr. povlašteni pristup), bude pojedinačan na temelju radne funkcije te da podliježe odobrenju i redovnoj provjeri od strane ovlaštenih Dobavljačevih zaposlenika na temelju načela odvajanja dužnosti. Dobavljač će provoditi mjere za identificiranje i uklanjanje suvišnih i nekorištenih računa. Dobavljač će također ukinuti račune s povlaštenim pristupom unutar dvadeset četiri (24) sata od prestanka radnog odnosa vlasnika računa ili na zahtjev Kyndryla ili bilo kojeg ovlaštenog Dobavljačevog zaposlenika, na primjer, na zahtjev rukovoditelja vlasnika računa.
4.5 U skladu s Najboljom industrijskom praksom, Dobavljač će održavati tehničke mjere provedbe vremenskog ograničenja neaktivnih sesija, zaključavanja računa nakon višestrukih uzastopnih neuspjelih pokušaja prijave, provjere identiteta putem jake lozinke ili pristupnog izraza i mjere koje zahtijevaju siguran prijenos i pohranu takvih lozinki i pristupnih izraza. Osim toga, Dobavljač će koristiti višeparametarsku provjeru identiteta za sve povlaštene pristupe bilo kojim Kyndrylovim Materijalima koji ne idu preko konzole.
4.6 Dobavljač će nadgledati upotrebu povlaštenog pristupa i održavati informacije o sigurnosti i mjere upravljanja događajima namijenjene za: (a) prepoznavanje neovlaštenog pristupa i aktivnosti, (b) olakšavanje pravodobnog i prikladnog odgovora na takav pristup i aktivnost, i (c) omogućavanje revizije usklađenosti s dokumentiranom politikom Dobavljača koju provodi Dobavljač, Kyndryl (sukladno njegovim pravima provjere u ovim Odredbama i pravima na reviziju iz Transakcijskog dokumenta ili pridruženog osnovnog ili drugog povezanog ugovora između strana) i drugi.
4.7 Dobavljač će zadržavati dnevnike u koje će u skladu s Najboljom industrijskom praksom zapisivati sve administratorske, korisničke ili druge pristupe ili aktivnosti prema ili vezane uz sustave korištene za pružanje Usluga ili Isporučivih Materijala i Rukovanje Kyndrylovom tehnologijom (i te će dnevnike na zahtjev pružiti Kyndrylu). Dobavljač će održavati mjere namijenjene zaštiti od neovlaštenog pristupa, izmjene i slučajnog ili namjernog uništenja takvih dnevnika.
4.8 Dobavljač će održavati računalne zaštite za sustave u svom vlasništvu ili kojima upravlja, uključujući sustave krajnjih korisnika, koje koristi za pružanje Usluga ili Isporučivih materijala ili za Rukovanje Kyndrylovom tehnologijom, sa zaštitama koje uključuju: vatrozide krajnjih točaka, šifriranje cijelog diska, detektiranje krajnjih točaka na bazi potpisa i bez potpisa i tehnologije odgovora za postupanje sa zlonamjernim softverom i naprednim stalnim prijetnjama, vremensko zaključavanje ekrana i rješenja upravljanja krajnjim točkama koja provode zahtjeve konfiguracije i nadogradnje sigurnosti. Osim toga, Dobavljač će implementirati tehničke i operativne kontrole koje će osigurati da dozvolu korištenja Dobavljačevih mreža imaju poznati i pouzdani sustavi krajnjih korisnika.
4.9 U skladu s Najboljom industrijskom praksom, Dobavljač će štititi okoline centra podataka u kojima se nalaze ili obrađuju Kyndrylovi materijali, sa zaštitama koje uključuju detektiranje i sprječavanje upada te protumjere i otklanjanje posljedica nastalih zbog napada odbijanjem usluge.
5. Integritet usluga i sustava i kontrola dostupnosti
5.1 Dobavljač će: (a) provoditi procjene rizika sigurnosti i privatnosti najmanje jednom godišnje, (b) provoditi testiranje sigurnosti i procjenu ranjivosti, uključujući automatizirano sigurnosno skeniranje sustava i aplikacija i ručno etično hakiranje prije proizvodnog izdanja i jednom godišnje nakon toga što se tiče Usluga i Isporučivih materijala i jednom godišnje u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, (c) angažirati kvalificiranu neovisnu treću stranu za provođenje testiranja sigurnosti/proboja najmanje jednom godišnje sukladno Najboljoj industrijskoj praksi, gdje će takvo testiranje uključivati i automatizirano i ručno testiranje, (d) provoditi automatizirano upravljanje i rutinsku provjeru usklađenosti sa zahtjevima konfiguracije sigurnosti za svaku komponentu Usluga i Isporučivih materijala i u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, i (e) otkloniti identificirane ranjivosti ili neusklađenosti sa zahtjevima konfiguracije sigurnosti koje se temelje na povezanom riziku, iskoristivosti i utjecaju. Dobavljač će poduzeti razumne korake kako bi izbjegao prekid Usluga prilikom testiranja, procjena, skeniranja i izvođenja aktivnosti ispravljanja grešaka. Na Kyndrylov zahtjev, Dobavljač će Kyndrylu pružiti pisani sažetak Dobavljačevih tada najnovijih aktivnosti testiranja sigurnosti/proboja, gdje u izvještaju mora minimalno stajati naziv ponude pokrivene testiranje, broj sustava ili aplikacija u opsegu testiranja, datumi testiranja, metodologija korištena u testiranju te sažetak nalaza visoke razine.
5.2 Dobavljač će održavati politike i procedure namijenjene za upravljanje rizicima povezanima s primjenom promjena na Usluge ili Isporučive materijala ili na Rukovanje Kyndrylovom tehnologijom. Prije implementiranja takve promjene, koja uključuje zahvaćene sustave, mreže i temeljne komponente, Dobavljač će u registriranom zahtjevu za promjenu dokumentirati: (a) opis razlog za promjenu, (b) detalje implementacije i raspored, (c) izjavu o riziku koja se odnosi na utjecaj na Usluge i Isporučive materijale, korisnike Usluga ili Kyndrylovih materijala, (d) očekivani ishod, (e) plan vraćanja u prethodno stanje i (f) odobrenje ovlaštenih Dobavljačevih zaposlenika.
5.3 Dobavljač će održavati popis svih IT sredstava koja Dobavljač koristi za rad Usluga, pružanje Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom. Dobavljač će neprekidno nadzirati i upravljati stanjem (uključujući kapacitet) i dostupnošću takvih IT sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije, uključujući temeljne komponente takvih sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije.
5.4 Dobavljač će izgraditi sve sustave koje koristi u razvoju ili u radu Usluga i Isporučivih materijala i za svoje Rukovanje Kyndrylovom tehnologijom iz preddefiniranih slika sigurnosti sustava ili sigurnosnih osnova, a koji zadovoljavaju Najbolju industrijsku praksu poput referentnih vrijednosti Centra za internetsku sigurnost (engl. Center for Internet Security - CIS).
5.5 Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem ovog Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu poslovnog kontinuiteta, Dobavljač će zasebno procijeniti svaku Uslugu i Isporučivi materijal i svaki IT sustav koji se koristi u Rukovanju Kyndrylovom tehnologijom za poslovni i IT kontinuitet i zahtjeve obnavljanja od katastrofe sukladno dokumentiranim smjernicama za upravljanje rizikom. Dobavljač će osigurati da svaka takva Usluga, Isporučivi materijal i IT sustav ima u mjeri zajamčenoj takvom procjenom rizika zasebno definirane, dokumentirane, održavane i godišnje potvrđene planove poslovnog i IT kontinuiteta i obnavljanja od katastrofe u skladu s Najboljom industrijskom praksom. Dobavljač će osigurati da su takvi planovi osmišljeni za pružanje određenih ciljeva vremena obnavljanja koji su navedeni u odjeljku 5.6 u nastavku.
5.6 Određeni ciljevi točke obnavljanja (RPO) (engl. Recovery Point Objectives) i ciljevi vremena obnavljanja (RTO) (engl. Recovery Time Objectives) u pogledu bilo koje Hostane usluge jesu: 24-satni RPO i 24-satni RTO; unatoč tome Dobavljač će u što kraćem roku pristati na bilo koje kraće trajanje RPO-a ili RTO-a na koje se Kyndryl obvezao prema Korisniku nakon Kyndrylove pisane obavijesti Dobavljaču o takvom kraćem trajanju RPO-a ili RTO-a (e-poruka se smatra pisanom obavijesti). Budući da se tiče svih ostalih Usluga koje Dobavljač pruža Kyndrylu, Dobavljač će osigurati da su njegovi planovi poslovnog kontinuiteta i obnavljanja od katastrofe dizajnirani za pružanje RPO-a i RTO-a takvi da Dobavljaču omogućuju daljnju potpunu sukladnost sa svim svojim obvezama prema Kyndrylu temeljem Transakcijskog dokumenta i pridruženog osnovnog ugovora između strana kao i ovih Odredbi, uključujući obveze pravodobnog provođenja testiranja, pružanja podrške i održavanja.
5.7 Dobavljač će održavati mjere namijenjene procjeni, testiranju i primjeni zakrpa savjeta sigurnosti na Usluge i Isporučive materijale kao i za povezane sustave, mreže, aplikacije i temeljne komponente unutar opsega dotičnih Usluga i Isporučivih materijala te za sustave, mreže, aplikacije i temeljne komponente koje se koriste za Rukovanje Kyndrylovom tehnologijom. Nakon utvrđivanja da je zakrpa savjeta sigurnosti primjenjiva i prikladna, Dobavljač će implementirati zakrpu sukladno dokumentiranoj ozbiljnosti i smjernicama procjene rizika. Dobavljačeva implementacija zakrpa dobivenih od savjeta sigurnosti podliježe njegovoj politici upravljanja promjenama.
5.8 Ako Kyndryl ima razumnu osnovu smatrati da hardver ili softver kojeg Dobavljač pruža Kyndrylu može sadržavati intruzivne elemente poput špijunskog softvera (spyware), zlonamjernog softvera (malware) ili zlonamjernog koda (malicious code), Dobavljač će pravodobno surađivati s Kyndrylom u istrazi i otklanjanju Kyndrylove zabrinutosti.
6. Pružanje usluga
6.1 Dobavljač će podržavati industrijski uobičajene metode objedinjene provjere identiteta za Kyndrylove ili Korisnikove korisničke račune, pri čemu će Dobavljač slijediti Najbolju industrijsku praksu za provjeru identiteta takvih Kyndrylovih ili Korisnikovih korisničkih računa (preko Kyndrylovog centralno upravljanog višeparametarskog Single Sign-On-a (SSO), uz korištenje proizvoda OpenID Connect (OICD) ili Security Assertion Markup Language (SAML)).
7. Podizvođači. Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu angažiranja podizvođača, Dobavljač će osigurati da svaki podizvođač koji obavlja posao za Dobavljača ima uspostavljene kontrole upravljanja kako bi bio u skladu sa zahtjevima i obvezama koje ove Odredbe nameću Dobavljaču.
8. Fizički mediji. Dobavljač će sigurno izbrisati fizičke medije namijenjene ponovnoj upotrebi prije takve upotrebe, a uništit će fizičke medije koji nisu namijenjeni ponovnoj upotrebi, u skladu s Najboljom industrijskom praksom za brisanje medija.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
-
Ako je tako, tada se na taj pristup primjenjuju članci VI (Pristup korporativnim sustavima), VIII (Tehničke i organizacijske mjere, Opća sigurnost) i X (Suradnja, provjera i ispravljanje).
Primjeri:
Za Dobavljačeve odgovornosti razvoja potreban je pristup repozitorijima Kyndrylovog Izvornog koda.
Napomena: Mogu se također primijeniti članci II (Tehničke i organizacijske mjere, Sigurnost podataka), III (Privatnost), IV (Tehničke i organizacijske mjere, Sigurnost koda) i V (Siguran razvoj) ovisno o Kyndrylovim materijalima kojima je Dobavljaču dozvoljeno pristupiti unutar Korporativnih sustava.
Članak VI. Pristup korporativnim sustavima
Ovaj članak se primjenjuje ako će Dobavljačevi zaposlenici imati pristup bilo kojem Korporativnom sustavu.
1. Opće odredbe
1.1 Kyndryl će odrediti da li će ovlastiti Dobavljačeve zaposlenike za pristup Korporativnim sustavima. Ako Kyndryl izda takvo ovlaštenje, tada će Dobavljač poštivati i zahtijevat će da njegovi zaposlenici s pravom pristupa poštuju zahtjeve ovog članka.
1.2 Kyndryl će odrediti sredstva putem kojih Dobavljačevi zaposlenici mogu pristupati Korporativnim sustavima, uključujući da li će takvi zaposlenici pristupati Korporativnim sustavima putem Kyndrylovih uređaja ili putem uređaja koje je osigurao Dobavljač.
1.3 Dobavljačevi zaposlenici mogu pristupati Korporativnim sustavima i mogu koristiti Uređaje koje je Kyndryl autorizirao za takav pristup, ali samo za pružanje Usluga. Dobavljačevi zaposlenici ne smiju koristiti Uređaje koje je autorizirao Kyndryl za pružanje usluga bilo kojoj drugoj osobi ili pravnom subjektu ili za pristup bilo kojim IT sustavima, mrežama, aplikacijama, web stranicama, alatima e-pošte, alatima suradnje ili sličnome za ili u vezi s Uslugama, a u vlasništvu Dobavljača ili treće strane.
1.4 Pojašnjenja radi, Dobavljačevi zaposlenici ne smiju koristiti Uređaje koje je Kyndryl autorizirao za pristup Korporativnim sustavima za bilo koje osobne razloge (npr. Dobavljačevi zaposlenici ne smiju pohranjivati osobne datoteke poput glazbe, videa, slika ili sličnih materijala na takve Uređaje i ne mogu putem takvih Uređaja koristiti Internet za osobne svrhe).
1.5 Dobavljačevi zaposlenici neće kopirati Kyndrylove materijale koji su dohvatljivi kroz Korporativni sustav bez Kyndrylovog prethodnog pisanog odobrenja (i nikad neće kopirati bilo koje Kyndrylove materijale na prenosivi uređaj za pohranu kao što je USB, vanjski tvrdi disk ili slično).
1.6 Na zahtjev, Dobavljač će za svakog zaposlenika poimence navesti određene Korporativne sustave kojima je ovlašten pristupiti i kojima je pristupio tijekom bilo kojeg vremenskog perioda kojeg odredi Kyndryl.
1.7 Dobavljač će u roku dvadeset četiri (24) sata obavijestiti Kyndryl ako neki Dobavljačev zaposlenik s pristupom bilo kojem Korporativnom sustavu: (a) više nije Dobavljačev zaposlenik ili (b) više ne radi na aktivnostima koje zahtijevaju takav pristup. Dobavljač će surađivati s Kyndrylom kako bi se odmah ukinuo pristup takvim bivšim ili sadašnjim zaposlenicima.
1.8 Dobavljač će odmah obavijestiti Kyndryl o svim stvarnim ili sumnjivim sigurnosnim incidentima (poput gubitka Kyndrylovog ili Dobavljačevog Uređaja ili neovlaštenog pristupa Uređaju ili podacima, materijalima ili drugim informacijama bilo koje vrste) i s Kyndrylom će surađivati u istrazi takvih incidenata.
1.9 Dobavljač ne smije dozvoliti nijednom agentu, neovisnom pružatelju usluga ili zaposleniku podizvođača da pristupi bilo kojem Korporativnom sustavu bez prethodnog Kyndrylovog pisanog pristanka; ako Kyndryl pruži takav pristanak, tada će Dobavljač takve osobe i njihove poslodavce ugovorno obvezati na poštivanje zahtjeva iz ovog članka kao da su te osobe Dobavljačevi zaposlenici i bit će odgovoran Kyndrylu za sve radnje ili propuste svake takve osobe ili njenog poslodavca u pogledu takvog pristupa Korporativnom sustavu.
2. Softver uređaja
2.1 Dobavljač će uputiti svoje zaposlenik da na vrijeme instaliraju sav softver Uređaja koji Kyndryl zahtijeva za omogućavanje sigurnog pristupa Korporativnim sustavima. Ni Dobavljač ni njegovi zaposlenici neće ometati radnje tog softvera niti sigurnosne funkcije koje softver omogućuje.
2.2 Dobavljač i njegovi zaposlenici pridržavat će se pravila konfiguracije Uređaja koja postavi Kyndryl i inače će surađivati s Kyndrylom kako bi pomogli osigurati da softver funkcionira onako kako je to namijenio Kyndryl. Na primjer, Dobavljač neće nadjačati softversku funkciju blokiranja web stranica ili automatskog popravljanja.
2.3 Dobavljačevi zaposlenici ne smiju s bilo kojom drugom osobom dijeliti Uređaje koje koriste za pristup Korporativnim sustavima niti svoja korisnička imena, lozinke i slično.
2.4 Ako Kyndryl ovlasti Dobavljačeve zaposlenike da pristupaju Korporativnim sustavima koristeći Dobavljačeve Uređaje, tada će Dobavljač instalirati i izvoditi operativni sustav koji je odobrio Kyndryl na takvim Uređajima te će takve uređaje nadograditi na novu verziju tog operativnog sustava ili na novi operativni sustav u razumnom roku nakon Kyndrylove upute.
3. Nadzor i suradnja
3.1 Kyndryl ima nekvalificirana prava nadziranja i otklanjanja potencijalnih upada i drugih računalnih prijetnji na bilo koje načine, iz bilo kojih lokacija i korištenjem kojih god sredstava za koje Kyndryl smatra da su potrebna ili prikladna, bez upućivanja prethodne obavijesti Dobavljaču, Dobavljačevom zaposleniku ili drugima. Kao primjer takvih prava, Kyndryl može u bilo kojem trenutku, (a) provesti sigurnosno testiranje na bilo kojem Uređaju, (b) nadzirati, obnoviti putem tehničkih ili drugih sredstava i pregledati komunikacije (uključujući e-poruke iz bilo kojih računa e-pošte), zapise, datoteke i druge stavke pohranjene u bilo kojem Uređaju ili prenesene kroz bilo koji Korporativni sustav i (c) dobiti potpunu forenzičku sliku bilo kojeg Uređaja. Ako Kyndryl treba suradnju Dobavljača za ostvarivanje svojih prava, Dobavljač će u potpunosti i pravodobno udovoljiti Kyndrylovim zahtjevima za takvu suradnju (uključujući, na primjer, zahtjeve za sigurno konfiguriranje bilo kojeg Uređaja, instaliranje nadzora ili drugog softvera na bilo kojem Uređaju, dijeljenje detalja o povezivanju na razini sustava, uključivanje u mjere odgovora na incident na bilo kojem Uređaju i pružanje fizičkog pristupa bilo kojem Uređaju kako bi Kyndryl dobio potpunu forenzičku sliku ili na drugačijim, ali sličnim i povezanim zahtjevima).
3.2 Kyndryl u bilo kojem trenutku može ukinuti pristup Korporativnim sustavima bilo kojem Dobavljačevom zaposleniku ili svim Dobavljačevim zaposlenicima, bez prethodne obavijesti Dobavljaču ili bilo kojem Dobavljačevom zaposleniku ili trećim osobama, ako Kyndryl smatra da je to potrebno kako bi se zaštitio Kyndryl.
3.3 Kyndrylova prava nisu blokirana, umanjena niti ograničena na bilo koji način odredbama Transakcijskog dokumenta, pridruženog osnovnog ugovora ili bilo kojeg drugog ugovora između strana, uključujući bilo koju odredbu koja može zahtijevati da se podaci, materijali ili druge informacije bilo koje vrste nalaze na izabranoj lokaciji ili lokacijama ili koja može zahtijevati da samo osobe iz izabrane lokacije ili lokacija pristupaju takvim podacima, materijalima ili drugim informacijama.
4. Kyndrylovi Uređaji
4.1 Kyndryl će zadržati u vlasništvu sve Kyndrylove Uređaje, a Dobavljač će snositi rizik gubitka Uređaja, uključujući razloge poput krađe, vandalizma ili nemara. Dobavljač neće izmijeniti niti će dozvoliti izmjene na Kyndrylovim Uređajima bez prethodnog Kyndrylovog pisanog odobrenja, gdje se izmjenom smatra bilo koja promjena na Uređaju, uključujući bilo koju promjenu na softveru Uređaja, aplikacijama, sigurnosnom dizajnu, sigurnosnoj konfiguraciji ili fizičkom, mehaničkom ili električnom dizajnu.
4.2 Dobavljač će vratiti sve Kyndrylove Uređaje u roku 5 radnih dana nakon što više nisu potrebni za pružanje Usluga i ako Kyndryl zahtijeva Dobavljač će istodobno uništiti sve podatke, materijale i druge informacije bilo koje vrste koji se nalaze na tim Uređajima bez zadržavanja kopije, pri tom će slijediti Najbolju industrijsku praksu za trajno brisanje svih takvih podataka, materijala i drugih informacija Dobavljač će zapakirati i vratiti Kyndrylove Uređaje o svom trošku i u istom stanju u kojem su dostavljeni Dobavljaču osim redovnog habanja, na lokaciju koju će odrediti Kyndryl. Dobavljačevo ne poštivanje bilo koje obveze iz ovog odjeljka 4.2. predstavlja kršenje bitnih obveza iz Transakcijskog dokumenta i pridruženog osnovnog ugovora te bilo kojeg povezanog ugovora između strana, uz razumijevanje da je ugovor "povezan" ako pristup bilo kojem Korporativnom sustavu omogućava Dobavljačeve zadatke ili druge aktivnosti u okviru tog ugovora.
4.3 Kyndryl će pružiti podršku za Kyndrylove Uređaje (uključujući pregled Uređaja te preventivno i korektivno održavanje). Dobavljač će na vrijeme obavijestiti Kyndryl o potrebi korektivnog servisa.
4.4. Za softverske programe koje Kyndryl posjeduje ili ima pravo na licencu, Kyndryl Dobavljaču dodjeljuje privremeno pravo korištenja, pohrane i kreiranja dovoljnog broja kopija softverskih programa koje će podržati Dobavljačevu ovlaštenu upotrebu Kyndrylovih Uređaja. Dobavljač ne smije prenijeti programe na bilo koga, izrađivati kopije informacija softverskih licenci ili obrnuto sastavljati, obrnuto kompilirati, provoditi obrnuti inženjering ili na drugi način prevoditi bilo koji program, osim ako to izričito nije dozvoljeno mjerodavnim pravom bez mogućnosti ugovornog odricanja.
5. Ažuriranja
5.1 Bez obzira na bilo što suprotno u Transakcijskom dokumentu ili pridruženom osnovnom ugovoru između strana, putem pisane obavijesti Dobavljaču, ali bez potrebe dobivanja Dobavljačevog pristanka, Kyndryl može ažurirati, dopuniti ili na drugi način izmijeniti ovaj članak kako bi se riješio bilo koji zahtjev na temelju primjenjivog prava ili obveze Korisnika, odrazio razvoj Najbolje sigurnosne prakse ili na drugi način, ako Kyndryl smatra da je potrebno zaštititi Korporativne sustave ili Kyndryl.
---
Članak VIII. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač pruža bilo koje Usluge ili Isporučive materijale Kyndrylu, osim kad Dobavljač ima pristup samo Kyndrylovom BCI-ju tijekom pružanja tih Usluga i Isporučivih materijala (npr. Dobavljač neće obrađivati nikakve druge Kyndrylove podatke niti će imati pristup bilo kojim drugim Kyndrylovim materijalima ili Korporativnim sustavima), Dobavljačeve Usluge i Isporučivi materijali služe za pružanje Softvera na lokaciji Kyndrylu ili Dobavljač pruža sve svoje Usluge i Isporučive materijale po modelu proširenja osoblja sukladno članku VII., uključujući od toga odjeljak 1.7.
Dobavljač će udovoljiti zahtjevima ovog članka te na taj način štititi: (a) Kyndrylove materijale od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja i slučajnog ili neovlaštenog pristupa, (b) Kyndrylove podatke od nezakonitih oblika Obrade i (c) Kyndrylovu tehnologiju od nezakonitih oblika rukovanja. Zahtjevi iz ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga te u kojima rukuje Kyndrylovom tehnologijom, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i centar podataka.
1. Sigurnosne politike
1.1 Dobavljač će održavati i slijediti sigurnosne politike i praksu informacijske tehnologije (IT) koje su sastavni dio Dobavljačevog poslovanja, obavezne za svo Dobavljačevo osoblje i usklađene s Najboljom industrijskom praksom.
1.2 Dobavljač će preispitati svoje IT sigurnosne politike i praksu najmanje jednom godišnje te ih prema potrebi ispraviti i dopuniti kako bi zaštitio Kyndrylove materijale.
1.3 Dobavljač će održavati i slijediti standardne obvezne zahtjeve provjere prilikom zapošljavanja novih zaposlenika i proširiti će takve zahtjeve na svo Dobavljačevo osoblje i Dobavljačeva povezana društva u potpunom vlasništvu. Ti zahtjevi će uključivati provjere kažnjavanosti u prošlosti u mjeri dozvoljenoj lokalnim pravom, dokaz provjere identiteta te bilo koje dodatne provjere za koje Dobavljač smatra da su potrebne. Dobavljač će periodički ponavljati i provjeravati te zahtjeve ako smatra da je to potrebno.
1.4 Dobavljač će svojim zaposlenicima svake godine osigurati edukaciju o sigurnosti i privatnosti te će svake godine od svojeg osoblja tražiti potvrdu da će se pridržavati Dobavljačevog etičnog poslovnog ponašanja i politika čuvanja tajnosti i sigurnosti navedenih u Dobavljačevom kodeksu ponašanja ili sličnim dokumentima. Dobavljač će osigurati dodatnu obuku o politikama i procesu osoblju s administrativnim pristupom bilo kojoj komponenti Usluga, Isporučivih materijala ili Kyndrylovih materijala, gdje će takva obuka biti specifična za njihovu ulogu i podršku Usluga, Isporučivih materijala i Kyndrylovih materijala i kakva je potrebna za održavanje zahtijevane sukladnosti i certifikata.
1.5 Dobavljač će dizajnirati mjere sigurnosti i privatnosti kako bi zaštitio i održavao dostupnost Kyndrylovih materijala te će kroz njihovu implementaciju, održavanje i sukladnost s politikama i procedurama koje po svojem obliku zahtijevaju sigurnost i privatnost, osigurati inženjering i siguran rad za sve Usluge i Isporučive materijale i za svo Rukovanje Kyndrylovom tehnologijom.
2. Sigurnosni incidenti
2.1 Dobavljač će održavati i slijediti dokumentirane politike odgovora na incidente sukladne Najboljoj industrijskoj praksi za postupanje kod sigurnosnih incidenata vezanih uz računala.
2.2 Dobavljač će istražiti neovlašteni pristup ili neovlaštenu upotrebu Kyndrylovih materijala te će definirati i provesti odgovarajući plan odgovora.
2.3 Dobavljač će odmah (a ni u kojem slučaju kasnije od 48 sati) obavijestiti Kyndryl nakon što postane svjestan bilo koje Povrede sigurnosti. Dobavljač će dostaviti takvu obavijest na e-adresu cyber.incidents@kyndryl.com. Dobavljač će Kyndrylu pružiti razumno zatražene informacije o takvoj povredi te o statusu bilo kojih Dobavljačevih aktivnosti za ispravljanje i obnavljanje. Na primjer, razumno zatražene informacije mogu uključivati dnevnike koji pokazuju povlašteni, administratorski i drugi pristup Uređajima, sustavima ili aplikacijama, forenzičke slike Uređaja, sustava ili aplikacija te druge slične stavke u mjeri u kojoj je to relevantno za povredu ili Dobavljačeve aktivnosti ispravljanja i obnavljanja.
2.4 Dobavljač će Kyndrylu pružiti razumnu pomoć u ispunjavanju bilo kojih zakonskih obveza (uključujući obveze obavještavanja Nadzornih tijela ili Ispitanika) Kyndryla, Kyndrylovih povezanih društava i Korisnika (i njihovih korisnika i povezanih društava) vezano uz Povredu sigurnosti.
2.5 Dobavljač neće informirati ili obavijestiti treću stranu da je Povreda sigurnosti izravno ili neizravno povezana s Kyndrylom ili Kyndrylovim materijalima osim ako je to pisano odobrio Kyndryl ili ako je to propisano zakonom. Dobavljač će pisano obavijestiti Kyndryl prije distribuiranja bilo kakve zakonski propisane obavijesti trećoj strani, gdje bi obavijest izravno ili neizravno otkrila Kyndrylov identitet.
2.6 U slučaju Povrede sigurnosti koja nastane zbog Dobavljačevog kršenja bilo koje obveze temeljem ovih Odredbi:
(a) Dobavljač će biti odgovoran za sve troškove koji nastanu kao i za stvarne troškove kojima se izloži Kyndryl tijekom obavještavanja odgovarajućih Nadzornih tijela, drugih javnih tijela te samoregulirajućih agencija relevantnih djelatnosti, medija (ako to zahtijeva primjenjivo pravo), Ispitanika, Korisnika i drugih o Povredi sigurnosti;
(b) Na zahtjev Kyndryla, Dobavljač će uspostaviti i održavati o svom vlastitom trošku pozivni centar koji će odgovarati na pitanja Ispitanika o Povredi sigurnosti i posljedicama toga, u trajanju od 1 godine od datuma kad su Ispitanici obaviješteni o Povredi sigurnosti ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu. Kyndryl i Dobavljač će surađivati na izradi skripti i drugih materijala koje će koristiti osoblje pozivnog centra prilikom odgovaranja na pitanja. Alternativno, nakon pisane obavijesti Dobavljaču, Kyndryl može umjesto Dobavljača uspostaviti i održavati svoj vlastiti pozivni centar, a Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izložio Kyndryl prilikom uspostavljanja i održavanja takvog pozivnog centra, i
(c) Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izloži Kyndryl tijekom pružanja usluga nadziranja i/ili vraćanja odobrenja u trajanju od 1 godine od datuma kad su pojedinci zahvaćeni povredom podataka obaviješteni o Povredi sigurnosti, a odlučili su se registrirati za takve usluge ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu.
3. Fizička zaštita i kontrola ulaska (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima).
3.1 Dobavljač će održavati i slijediti odgovarajuće fizičke kontrole pristupa poput prepreka, pristupnih točaka kontroliranih karticama, nadzornih kamera i recepcija s ljudskim osobljem kako bi zaštitio svoje Objekte od neovlaštenog ulaska.
3.2 Dobavljač će zahtijevati ovlašteno odobrenje za pristup Objektima i kontroliranim područjima unutar Objekata, uključujući bilo kakav privremeni pristup, a pristup će biti ograničen ovisno o poslovnoj funkciji i potrebi posla. Ako Dobavljač dozvoli privremeni pristup, njegov ovlašteni zaposlenik će pratiti svakog posjetitelja tijekom njegovog zadržavanja u Objektu i u svim kontroliranim područjima.
3.3 Dobavljač će implementirati kontrole fizičkog pristupa, uključujući višeparametarske kontrole pristupa sukladne Najboljoj industrijskoj praksi, kako bi prikladno ograničio pristup kontroliranim područjima unutar Objekata, zabilježio sve pokušaje ulaska i takve dnevnika održavao najmanje godinu dana.
3.4 Dobavljač će ukinuti pristup Objektima i kontroliranim područjima unutar Objekata nakon (a) prestanka radnog odnosa ovlaštenog Dobavljačevog zaposlenika ili (b) kad ovlaštenom Dobavljačevom zaposleniku pristup više nije potreban radi valjanih poslovnih potreba. Dobavljač će slijediti formalne dokumentirane postupke prilikom prestanka radnog odnosa koji uključuju hitno uklanjanje iz popisa kontrole pristupa i predaju iskaznica za fizički pristup.
3.5 Dobavljač će poduzeti mjere opreza kako bi zaštitio svu fizičku infrastrukturu koja se koristi kao podrška za pružanje Usluga i Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom od okolišnih prijetnji, koje se događaju prirodno i utjecajem čovjeka, poput prekomjerne temperature okoline, požara, poplave, vlage, krađe i vandalizma.
4. Kontrola pristupa, intervencije, prijenosa i odvajanja
4.1 Dobavljač će održavati dokumentaciju sigurnosne arhitekture mreža kojima upravlja tijekom pružanja Usluga, opskrbe Isporučivim materijalima i Rukovanja Kyndrylovom tehnologijom. Dobavljač će zasebno pregledati takve mrežne arhitekture i upotrebljavati mjere sprječavanja neovlaštenih mrežnih povezivanja na sustave, aplikacije i mrežne uređaje kako bi osigurao sukladnost sa sveobuhvatnim standardnima sigurne segmentacije, izolacije i obrane. Dobavljač ne može koristiti bežičnu tehnologiju u svom hostingu i operacijama bilo kojih Hostanih usluga; inače, Dobavljač može koristiti bežičnu mrežnu tehnologiju prilikom pružanja Usluga i Isporučivih materijala i tijekom Rukovanja Kyndrylovom tehnologijom, ali tada će Dobavljač šifrirati i zahtijevati sigurnu provjeru identiteta za bilo koju takvu bežičnu mrežu.
4.2 Dobavljač će održavati mjere namijenjene za logičko odvajanje i sprječavanja otkrivanja ili pristupa neovlaštenih osoba Kyndrylovim materijalima. Nadalje, Dobavljač će održavati odgovarajuću izolaciju svojih proizvodnih, neproizvodnih i drugih okolina i, ako su Kyndrylovi materijali već prisutni ili ako su preneseni u neproizvodnu okolinu (na primjer kako bi se ponovno proizvela greška), tada će Dobavljač osigurati da su sve sigurnosne zaštite i zaštite privatnosti u neproizvodnoj okolini jednake onima u proizvodnoj okolini.
4.3 Dobavljač će šifrirati Kyndrylove materijale u prijenosu i u mirovanju (osim ako Dobavljač na Kyndrylovo razumno zadovoljstvo dokaže da je šifriranje Kyndrylovih materijala u mirovanju tehnički neizvedivo). Dobavljač će također šifrirati sve fizičke medije, poput medija koji sadrže sigurnosne kopije, ako takvi postoje. Dobavljač će održavati dokumentaciju o postupcima za generiranje, izdavanje, distribuiranje, pohranu, rotiranje, povlačenje, vraćanje, sigurnosno kopiranje, uništavanje, pristup i upotrebu sigurnosnih ključeva vezanih uz šifriranje podataka. Dobavljač će osigurati da korištene specifične kriptografske metode za šifriranje slijede Najbolju industrijsku praksu (poput NIST SP 800-131a).
4.4 Ako je Dobavljaču potreban pristup Kyndrylovim materijalima, Dobavljač će smanjiti i ograničiti takav pristup na najmanju razinu koja je potrebna za pružanje i podršku Uslugama i Isporučivim materijalima. Dobavljač će zahtijevati da takav pristup, uključujući administrativni pristup bilo kojim osnovnim komponentama (npr. povlašteni pristup), bude pojedinačan na temelju radne funkcije te da podliježe odobrenju i redovnoj provjeri od strane ovlaštenih Dobavljačevih zaposlenika na temelju načela odvajanja dužnosti. Dobavljač će provoditi mjere za identificiranje i uklanjanje suvišnih i nekorištenih računa. Dobavljač će također ukinuti račune s povlaštenim pristupom unutar dvadeset četiri (24) sata od prestanka radnog odnosa vlasnika računa ili na zahtjev Kyndryla ili bilo kojeg ovlaštenog Dobavljačevog zaposlenika, na primjer, na zahtjev rukovoditelja vlasnika računa.
4.5 U skladu s Najboljom industrijskom praksom, Dobavljač će održavati tehničke mjere provedbe vremenskog ograničenja neaktivnih sesija, zaključavanja računa nakon višestrukih uzastopnih neuspjelih pokušaja prijave, provjere identiteta putem jake lozinke ili pristupnog izraza i mjere koje zahtijevaju siguran prijenos i pohranu takvih lozinki i pristupnih izraza. Osim toga, Dobavljač će koristiti višeparametarsku provjeru identiteta za sve povlaštene pristupe bilo kojim Kyndrylovim Materijalima koji ne idu preko konzole.
4.6 Dobavljač će nadgledati upotrebu povlaštenog pristupa i održavati informacije o sigurnosti i mjere upravljanja događajima namijenjene za: (a) prepoznavanje neovlaštenog pristupa i aktivnosti, (b) olakšavanje pravodobnog i prikladnog odgovora na takav pristup i aktivnost, i (c) omogućavanje revizije usklađenosti s dokumentiranom politikom Dobavljača koju provodi Dobavljač, Kyndryl (sukladno njegovim pravima provjere u ovim Odredbama i pravima na reviziju iz Transakcijskog dokumenta ili pridruženog osnovnog ili drugog povezanog ugovora između strana) i drugi.
4.7 Dobavljač će zadržavati dnevnike u koje će u skladu s Najboljom industrijskom praksom zapisivati sve administratorske, korisničke ili druge pristupe ili aktivnosti prema ili vezane uz sustave korištene za pružanje Usluga ili Isporučivih Materijala i Rukovanje Kyndrylovom tehnologijom (i te će dnevnike na zahtjev pružiti Kyndrylu). Dobavljač će održavati mjere namijenjene zaštiti od neovlaštenog pristupa, izmjene i slučajnog ili namjernog uništenja takvih dnevnika.
4.8 Dobavljač će održavati računalne zaštite za sustave u svom vlasništvu ili kojima upravlja, uključujući sustave krajnjih korisnika, koje koristi za pružanje Usluga ili Isporučivih materijala ili za Rukovanje Kyndrylovom tehnologijom, sa zaštitama koje uključuju: vatrozide krajnjih točaka, šifriranje cijelog diska, detektiranje krajnjih točaka na bazi potpisa i bez potpisa i tehnologije odgovora za postupanje sa zlonamjernim softverom i naprednim stalnim prijetnjama, vremensko zaključavanje ekrana i rješenja upravljanja krajnjim točkama koja provode zahtjeve konfiguracije i nadogradnje sigurnosti. Osim toga, Dobavljač će implementirati tehničke i operativne kontrole koje će osigurati da dozvolu korištenja Dobavljačevih mreža imaju poznati i pouzdani sustavi krajnjih korisnika.
4.9 U skladu s Najboljom industrijskom praksom, Dobavljač će štititi okoline centra podataka u kojima se nalaze ili obrađuju Kyndrylovi materijali, sa zaštitama koje uključuju detektiranje i sprječavanje upada te protumjere i otklanjanje posljedica nastalih zbog napada odbijanjem usluge.
5. Integritet usluga i sustava i kontrola dostupnosti
5.1 Dobavljač će: (a) provoditi procjene rizika sigurnosti i privatnosti najmanje jednom godišnje, (b) provoditi testiranje sigurnosti i procjenu ranjivosti, uključujući automatizirano sigurnosno skeniranje sustava i aplikacija i ručno etično hakiranje prije proizvodnog izdanja i jednom godišnje nakon toga što se tiče Usluga i Isporučivih materijala i jednom godišnje u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, (c) angažirati kvalificiranu neovisnu treću stranu za provođenje testiranja sigurnosti/proboja najmanje jednom godišnje sukladno Najboljoj industrijskoj praksi, gdje će takvo testiranje uključivati i automatizirano i ručno testiranje, (d) provoditi automatizirano upravljanje i rutinsku provjeru usklađenosti sa zahtjevima konfiguracije sigurnosti za svaku komponentu Usluga i Isporučivih materijala i u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, i (e) otkloniti identificirane ranjivosti ili neusklađenosti sa zahtjevima konfiguracije sigurnosti koje se temelje na povezanom riziku, iskoristivosti i utjecaju. Dobavljač će poduzeti razumne korake kako bi izbjegao prekid Usluga prilikom testiranja, procjena, skeniranja i izvođenja aktivnosti ispravljanja grešaka. Na Kyndrylov zahtjev, Dobavljač će Kyndrylu pružiti pisani sažetak Dobavljačevih tada najnovijih aktivnosti testiranja sigurnosti/proboja, gdje u izvještaju mora minimalno stajati naziv ponude pokrivene testiranje, broj sustava ili aplikacija u opsegu testiranja, datumi testiranja, metodologija korištena u testiranju te sažetak nalaza visoke razine.
5.2 Dobavljač će održavati politike i procedure namijenjene za upravljanje rizicima povezanima s primjenom promjena na Usluge ili Isporučive materijala ili na Rukovanje Kyndrylovom tehnologijom. Prije implementiranja takve promjene, koja uključuje zahvaćene sustave, mreže i temeljne komponente, Dobavljač će u registriranom zahtjevu za promjenu dokumentirati: (a) opis razlog za promjenu, (b) detalje implementacije i raspored, (c) izjavu o riziku koja se odnosi na utjecaj na Usluge i Isporučive materijale, korisnike Usluga ili Kyndrylovih materijala, (d) očekivani ishod, (e) plan vraćanja u prethodno stanje i (f) odobrenje ovlaštenih Dobavljačevih zaposlenika.
5.3 Dobavljač će održavati popis svih IT sredstava koja Dobavljač koristi za rad Usluga, pružanje Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom. Dobavljač će neprekidno nadzirati i upravljati stanjem (uključujući kapacitet) i dostupnošću takvih IT sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije, uključujući temeljne komponente takvih sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije.
5.4 Dobavljač će izgraditi sve sustave koje koristi u razvoju ili u radu Usluga i Isporučivih materijala i za svoje Rukovanje Kyndrylovom tehnologijom iz preddefiniranih slika sigurnosti sustava ili sigurnosnih osnova, a koji zadovoljavaju Najbolju industrijsku praksu poput referentnih vrijednosti Centra za internetsku sigurnost (engl. Center for Internet Security - CIS).
5.5 Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem ovog Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu poslovnog kontinuiteta, Dobavljač će zasebno procijeniti svaku Uslugu i Isporučivi materijal i svaki IT sustav koji se koristi u Rukovanju Kyndrylovom tehnologijom za poslovni i IT kontinuitet i zahtjeve obnavljanja od katastrofe sukladno dokumentiranim smjernicama za upravljanje rizikom. Dobavljač će osigurati da svaka takva Usluga, Isporučivi materijal i IT sustav ima u mjeri zajamčenoj takvom procjenom rizika zasebno definirane, dokumentirane, održavane i godišnje potvrđene planove poslovnog i IT kontinuiteta i obnavljanja od katastrofe u skladu s Najboljom industrijskom praksom. Dobavljač će osigurati da su takvi planovi osmišljeni za pružanje određenih ciljeva vremena obnavljanja koji su navedeni u odjeljku 5.6 u nastavku.
5.6 Određeni ciljevi točke obnavljanja (RPO) (engl. Recovery Point Objectives) i ciljevi vremena obnavljanja (RTO) (engl. Recovery Time Objectives) u pogledu bilo koje Hostane usluge jesu: 24-satni RPO i 24-satni RTO; unatoč tome Dobavljač će u što kraćem roku pristati na bilo koje kraće trajanje RPO-a ili RTO-a na koje se Kyndryl obvezao prema Korisniku nakon Kyndrylove pisane obavijesti Dobavljaču o takvom kraćem trajanju RPO-a ili RTO-a (e-poruka se smatra pisanom obavijesti). Budući da se tiče svih ostalih Usluga koje Dobavljač pruža Kyndrylu, Dobavljač će osigurati da su njegovi planovi poslovnog kontinuiteta i obnavljanja od katastrofe dizajnirani za pružanje RPO-a i RTO-a takvi da Dobavljaču omogućuju daljnju potpunu sukladnost sa svim svojim obvezama prema Kyndrylu temeljem Transakcijskog dokumenta i pridruženog osnovnog ugovora između strana kao i ovih Odredbi, uključujući obveze pravodobnog provođenja testiranja, pružanja podrške i održavanja.
5.7 Dobavljač će održavati mjere namijenjene procjeni, testiranju i primjeni zakrpa savjeta sigurnosti na Usluge i Isporučive materijale kao i za povezane sustave, mreže, aplikacije i temeljne komponente unutar opsega dotičnih Usluga i Isporučivih materijala te za sustave, mreže, aplikacije i temeljne komponente koje se koriste za Rukovanje Kyndrylovom tehnologijom. Nakon utvrđivanja da je zakrpa savjeta sigurnosti primjenjiva i prikladna, Dobavljač će implementirati zakrpu sukladno dokumentiranoj ozbiljnosti i smjernicama procjene rizika. Dobavljačeva implementacija zakrpa dobivenih od savjeta sigurnosti podliježe njegovoj politici upravljanja promjenama.
5.8 Ako Kyndryl ima razumnu osnovu smatrati da hardver ili softver kojeg Dobavljač pruža Kyndrylu može sadržavati intruzivne elemente poput špijunskog softvera (spyware), zlonamjernog softvera (malware) ili zlonamjernog koda (malicious code), Dobavljač će pravodobno surađivati s Kyndrylom u istrazi i otklanjanju Kyndrylove zabrinutosti.
6. Pružanje usluga
6.1 Dobavljač će podržavati industrijski uobičajene metode objedinjene provjere identiteta za Kyndrylove ili Korisnikove korisničke račune, pri čemu će Dobavljač slijediti Najbolju industrijsku praksu za provjeru identiteta takvih Kyndrylovih ili Korisnikovih korisničkih računa (preko Kyndrylovog centralno upravljanog višeparametarskog Single Sign-On-a (SSO), uz korištenje proizvoda OpenID Connect (OICD) ili Security Assertion Markup Language (SAML)).
7. Podizvođači. Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu angažiranja podizvođača, Dobavljač će osigurati da svaki podizvođač koji obavlja posao za Dobavljača ima uspostavljene kontrole upravljanja kako bi bio u skladu sa zahtjevima i obvezama koje ove Odredbe nameću Dobavljaču.
8. Fizički mediji. Dobavljač će sigurno izbrisati fizičke medije namijenjene ponovnoj upotrebi prije takve upotrebe, a uništit će fizičke medije koji nisu namijenjeni ponovnoj upotrebi, u skladu s Najboljom industrijskom praksom za brisanje medija.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
-
Ako je tako, tada se primjenjuju članci VI (Pristup korporativnim sustavima), VII (Povećanje osoblja) i X (Suradnja, provjera i ispravljanje).
Napomena: Mogu se također primijeniti članci II (Tehničke i organizacijske mjere, Sigurnost podataka), III (Privatnost), IV (Tehničke i organizacijske mjere, Sigurnost koda) i V (Siguran razvoj) ovisno o Kyndrylovim Materijalima kojima je Dobavljaču dozvoljeno pristupiti unutar Korporativnih sustava.
Članak VI. Pristup korporativnim sustavima
Ovaj članak se primjenjuje ako će Dobavljačevi zaposlenici imati pristup bilo kojem Korporativnom sustavu.
1. Opće odredbe
1.1 Kyndryl će odrediti da li će ovlastiti Dobavljačeve zaposlenike za pristup Korporativnim sustavima. Ako Kyndryl izda takvo ovlaštenje, tada će Dobavljač poštivati i zahtijevat će da njegovi zaposlenici s pravom pristupa poštuju zahtjeve ovog članka.
1.2 Kyndryl će odrediti sredstva putem kojih Dobavljačevi zaposlenici mogu pristupati Korporativnim sustavima, uključujući da li će takvi zaposlenici pristupati Korporativnim sustavima putem Kyndrylovih uređaja ili putem uređaja koje je osigurao Dobavljač.
1.3 Dobavljačevi zaposlenici mogu pristupati Korporativnim sustavima i mogu koristiti Uređaje koje je Kyndryl autorizirao za takav pristup, ali samo za pružanje Usluga. Dobavljačevi zaposlenici ne smiju koristiti Uređaje koje je autorizirao Kyndryl za pružanje usluga bilo kojoj drugoj osobi ili pravnom subjektu ili za pristup bilo kojim IT sustavima, mrežama, aplikacijama, web stranicama, alatima e-pošte, alatima suradnje ili sličnome za ili u vezi s Uslugama, a u vlasništvu Dobavljača ili treće strane.
1.4 Pojašnjenja radi, Dobavljačevi zaposlenici ne smiju koristiti Uređaje koje je Kyndryl autorizirao za pristup Korporativnim sustavima za bilo koje osobne razloge (npr. Dobavljačevi zaposlenici ne smiju pohranjivati osobne datoteke poput glazbe, videa, slika ili sličnih materijala na takve Uređaje i ne mogu putem takvih Uređaja koristiti Internet za osobne svrhe).
1.5 Dobavljačevi zaposlenici neće kopirati Kyndrylove materijale koji su dohvatljivi kroz Korporativni sustav bez Kyndrylovog prethodnog pisanog odobrenja (i nikad neće kopirati bilo koje Kyndrylove materijale na prenosivi uređaj za pohranu kao što je USB, vanjski tvrdi disk ili slično).
1.6 Na zahtjev, Dobavljač će za svakog zaposlenika poimence navesti određene Korporativne sustave kojima je ovlašten pristupiti i kojima je pristupio tijekom bilo kojeg vremenskog perioda kojeg odredi Kyndryl.
1.7 Dobavljač će u roku dvadeset četiri (24) sata obavijestiti Kyndryl ako neki Dobavljačev zaposlenik s pristupom bilo kojem Korporativnom sustavu: (a) više nije Dobavljačev zaposlenik ili (b) više ne radi na aktivnostima koje zahtijevaju takav pristup. Dobavljač će surađivati s Kyndrylom kako bi se odmah ukinuo pristup takvim bivšim ili sadašnjim zaposlenicima.
1.8 Dobavljač će odmah obavijestiti Kyndryl o svim stvarnim ili sumnjivim sigurnosnim incidentima (poput gubitka Kyndrylovog ili Dobavljačevog Uređaja ili neovlaštenog pristupa Uređaju ili podacima, materijalima ili drugim informacijama bilo koje vrste) i s Kyndrylom će surađivati u istrazi takvih incidenata.
1.9 Dobavljač ne smije dozvoliti nijednom agentu, neovisnom pružatelju usluga ili zaposleniku podizvođača da pristupi bilo kojem Korporativnom sustavu bez prethodnog Kyndrylovog pisanog pristanka; ako Kyndryl pruži takav pristanak, tada će Dobavljač takve osobe i njihove poslodavce ugovorno obvezati na poštivanje zahtjeva iz ovog članka kao da su te osobe Dobavljačevi zaposlenici i bit će odgovoran Kyndrylu za sve radnje ili propuste svake takve osobe ili njenog poslodavca u pogledu takvog pristupa Korporativnom sustavu.
2. Softver uređaja
2.1 Dobavljač će uputiti svoje zaposlenik da na vrijeme instaliraju sav softver Uređaja koji Kyndryl zahtijeva za omogućavanje sigurnog pristupa Korporativnim sustavima. Ni Dobavljač ni njegovi zaposlenici neće ometati radnje tog softvera niti sigurnosne funkcije koje softver omogućuje.
2.2 Dobavljač i njegovi zaposlenici pridržavat će se pravila konfiguracije Uređaja koja postavi Kyndryl i inače će surađivati s Kyndrylom kako bi pomogli osigurati da softver funkcionira onako kako je to namijenio Kyndryl. Na primjer, Dobavljač neće nadjačati softversku funkciju blokiranja web stranica ili automatskog popravljanja.
2.3 Dobavljačevi zaposlenici ne smiju s bilo kojom drugom osobom dijeliti Uređaje koje koriste za pristup Korporativnim sustavima niti svoja korisnička imena, lozinke i slično.
2.4 Ako Kyndryl ovlasti Dobavljačeve zaposlenike da pristupaju Korporativnim sustavima koristeći Dobavljačeve Uređaje, tada će Dobavljač instalirati i izvoditi operativni sustav koji je odobrio Kyndryl na takvim Uređajima te će takve uređaje nadograditi na novu verziju tog operativnog sustava ili na novi operativni sustav u razumnom roku nakon Kyndrylove upute.
3. Nadzor i suradnja
3.1 Kyndryl ima nekvalificirana prava nadziranja i otklanjanja potencijalnih upada i drugih računalnih prijetnji na bilo koje načine, iz bilo kojih lokacija i korištenjem kojih god sredstava za koje Kyndryl smatra da su potrebna ili prikladna, bez upućivanja prethodne obavijesti Dobavljaču, Dobavljačevom zaposleniku ili drugima. Kao primjer takvih prava, Kyndryl može u bilo kojem trenutku, (a) provesti sigurnosno testiranje na bilo kojem Uređaju, (b) nadzirati, obnoviti putem tehničkih ili drugih sredstava i pregledati komunikacije (uključujući e-poruke iz bilo kojih računa e-pošte), zapise, datoteke i druge stavke pohranjene u bilo kojem Uređaju ili prenesene kroz bilo koji Korporativni sustav i (c) dobiti potpunu forenzičku sliku bilo kojeg Uređaja. Ako Kyndryl treba suradnju Dobavljača za ostvarivanje svojih prava, Dobavljač će u potpunosti i pravodobno udovoljiti Kyndrylovim zahtjevima za takvu suradnju (uključujući, na primjer, zahtjeve za sigurno konfiguriranje bilo kojeg Uređaja, instaliranje nadzora ili drugog softvera na bilo kojem Uređaju, dijeljenje detalja o povezivanju na razini sustava, uključivanje u mjere odgovora na incident na bilo kojem Uređaju i pružanje fizičkog pristupa bilo kojem Uređaju kako bi Kyndryl dobio potpunu forenzičku sliku ili na drugačijim, ali sličnim i povezanim zahtjevima).
3.2 Kyndryl u bilo kojem trenutku može ukinuti pristup Korporativnim sustavima bilo kojem Dobavljačevom zaposleniku ili svim Dobavljačevim zaposlenicima, bez prethodne obavijesti Dobavljaču ili bilo kojem Dobavljačevom zaposleniku ili trećim osobama, ako Kyndryl smatra da je to potrebno kako bi se zaštitio Kyndryl.
3.3 Kyndrylova prava nisu blokirana, umanjena niti ograničena na bilo koji način odredbama Transakcijskog dokumenta, pridruženog osnovnog ugovora ili bilo kojeg drugog ugovora između strana, uključujući bilo koju odredbu koja može zahtijevati da se podaci, materijali ili druge informacije bilo koje vrste nalaze na izabranoj lokaciji ili lokacijama ili koja može zahtijevati da samo osobe iz izabrane lokacije ili lokacija pristupaju takvim podacima, materijalima ili drugim informacijama.
4. Kyndrylovi Uređaji
4.1 Kyndryl će zadržati u vlasništvu sve Kyndrylove Uređaje, a Dobavljač će snositi rizik gubitka Uređaja, uključujući razloge poput krađe, vandalizma ili nemara. Dobavljač neće izmijeniti niti će dozvoliti izmjene na Kyndrylovim Uređajima bez prethodnog Kyndrylovog pisanog odobrenja, gdje se izmjenom smatra bilo koja promjena na Uređaju, uključujući bilo koju promjenu na softveru Uređaja, aplikacijama, sigurnosnom dizajnu, sigurnosnoj konfiguraciji ili fizičkom, mehaničkom ili električnom dizajnu.
4.2 Dobavljač će vratiti sve Kyndrylove Uređaje u roku 5 radnih dana nakon što više nisu potrebni za pružanje Usluga i ako Kyndryl zahtijeva Dobavljač će istodobno uništiti sve podatke, materijale i druge informacije bilo koje vrste koji se nalaze na tim Uređajima bez zadržavanja kopije, pri tom će slijediti Najbolju industrijsku praksu za trajno brisanje svih takvih podataka, materijala i drugih informacija Dobavljač će zapakirati i vratiti Kyndrylove Uređaje o svom trošku i u istom stanju u kojem su dostavljeni Dobavljaču osim redovnog habanja, na lokaciju koju će odrediti Kyndryl. Dobavljačevo ne poštivanje bilo koje obveze iz ovog odjeljka 4.2. predstavlja kršenje bitnih obveza iz Transakcijskog dokumenta i pridruženog osnovnog ugovora te bilo kojeg povezanog ugovora između strana, uz razumijevanje da je ugovor "povezan" ako pristup bilo kojem Korporativnom sustavu omogućava Dobavljačeve zadatke ili druge aktivnosti u okviru tog ugovora.
4.3 Kyndryl će pružiti podršku za Kyndrylove Uređaje (uključujući pregled Uređaja te preventivno i korektivno održavanje). Dobavljač će na vrijeme obavijestiti Kyndryl o potrebi korektivnog servisa.
4.4. Za softverske programe koje Kyndryl posjeduje ili ima pravo na licencu, Kyndryl Dobavljaču dodjeljuje privremeno pravo korištenja, pohrane i kreiranja dovoljnog broja kopija softverskih programa koje će podržati Dobavljačevu ovlaštenu upotrebu Kyndrylovih Uređaja. Dobavljač ne smije prenijeti programe na bilo koga, izrađivati kopije informacija softverskih licenci ili obrnuto sastavljati, obrnuto kompilirati, provoditi obrnuti inženjering ili na drugi način prevoditi bilo koji program, osim ako to izričito nije dozvoljeno mjerodavnim pravom bez mogućnosti ugovornog odricanja.
5. Ažuriranja
5.1 Bez obzira na bilo što suprotno u Transakcijskom dokumentu ili pridruženom osnovnom ugovoru između strana, putem pisane obavijesti Dobavljaču, ali bez potrebe dobivanja Dobavljačevog pristanka, Kyndryl može ažurirati, dopuniti ili na drugi način izmijeniti ovaj članak kako bi se riješio bilo koji zahtjev na temelju primjenjivog prava ili obveze Korisnika, odrazio razvoj Najbolje sigurnosne prakse ili na drugi način, ako Kyndryl smatra da je potrebno zaštititi Korporativne sustave ili Kyndryl.
---
Članak VII. Povećanje osoblja
Ovaj članak se primjenjuje tamo gdje će Dobavljačevo osoblje cijelo svoje radno vrijeme posvetiti pružanju Usluga za Kyndryl, sve te Usluge će pružati u Kyndrylovim prostorima, prostorima Korisnika ili iz svojih domova i Usluge će pružati koristeći samo Kyndrylove Uređaje za pristup Korporativnim sustavima.
1. Pristup korporativnim sustavima; Kyndrylove okoline
1.1 Dobavljač može pružati Usluge samo ako pristupa Korporativnim sustavima preko Uređaja kojeg pruža Kyndryl.
1.2 Dobavljač će poštovati odredbe navedene u članku VI. (Pristup Korporativnim sustavima) prilikom svakog pristupa Korporativnim sustavima.
1.3 Uređaji koje je pružio Kyndryl su jedini Uređaji koje Dobavljač i njegovi zaposlenici mogu koristiti za pružanje Usluga, a mogu ih koristiti samo Dobavljač i njegovi zaposlenici za pružanje Usluga. Radi jasnoće, ni u kojem slučaju Dobavljač ili njegovi zaposlenici ne smiju koristiti bilo koje druge uređaje za pružanje Usluga ili koristiti Kyndrylove Uređaje za bilo kojeg drugog Dobavljačevog korisnika ili za bilo koju svrhu osim pružanja Usluga Kyndrylu.
1.4 Dobavljačevi zaposlenici koji koriste Kyndrylove Uređaje mogu međusobno dijeliti Kyndryl materijale i takve materijale pohraniti na Kyndrylove Uređaje, ali samo u ograničenoj mjeri potrebnoj za uspješno pružanje Usluga.
1.5 Ni u kojem slučaju Dobavljač ili njegovi zaposlenici ne smiju ukloniti bilo koje Kyndrylove materijale iz Kyndrylovih repozitorija, okolina, alata ili infrastrukture u kojoj ih drži Kyndryl, osim kad je riječ o pohrani unutar Kyndrylovih Uređaja.
1.6 Radi jasnoće Dobavljač i njegovi zaposlenici nisu ovlašteni prenositi bilo koje Kyndrylove materijale u bilo koje Dobavljačeve repozitorije, okoline, alate ili infrastrukturu ili bilo koje druge Dobavljačeve sustave, platforme, mreže ili slično, bez Kyndrylovog prethodnoga pisanog pristanka.
1.7 Članak VIII. (Tehničke i organizacijske mjere, Opća sigurnost) se ne primjenjuje na Dobavljačeve usluge kod kojih će Dobavljačevi zaposlenici cijelo svoje radno vrijeme pružati Usluge Kyndrylu, pružati sve Usluge u Kyndrylovim prostorima, prostorima Korisnika ili iz svojih domova i pružati Usluge koristeći samo Kyndrylove Uređaje za pristup Korporativnim sustavima. Inače se članak VIII. primjenjuje na Dobavljačeve Usluge.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
-
Ako je tako, tada se primjenjuju članci II (Tehničke i organizacijske mjere, Sigurnost podataka), VIII (Tehničke i organizacijske mjere, Opća sigurnost), IX (Certifikati i izvještaji za Hostane usluge) i X (Suradnja, provjera i ispravljanje). Primjenjivat će se i članak III. (Privatnost) ukoliko Dobavljač ima pristup Kyndrylovim Osobnim podacima prilikom pružanja Usluge hostinga.
Primjeri:
Dobavljač pruža bilo koju ponudu "kao uslugu" Kyndrylu, poput ponuda softvera, platforme ili infrastrukture "kao usluge".
Članak II. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač Obrađuje Kyndrylove podatke osim Kyndrylovog BCI-ja. Dobavljač će udovoljiti zahtjevima ovog članka prilikom pružanja svih Usluga i Isporučivih materijala te na taj način štititi Kyndrylove podatke od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja, slučajnog ili neovlaštenog pristupa i nezakonitih oblika obrade. Zahtjevi ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i okoline podatkovnog centra.
1. Upotreba podataka
1.1 Dobavljač ne smije dodavati u Kyndrylove podatke ili s Kyndrylovim podacima uključiti bilo koje druge informacije ili podatke uključujući bilo koje Osobne podatke bez Kyndrylovog prethodnog pisanog pristanka i Dobavljač ne smije koristiti Kyndrylove podatke u bilo kojem obliku, agregirane ili drugačije, za bilo koju svrhu osim za pružanje Usluga i Isporučivih materijala Kyndrylu (na primjer, Dobavljaču nije dozvoljeno koristiti ili naknadno koristiti Kyndrylove podatke kako bi procijenio učinkovitost ili načine za poboljšanje Dobavljačevih ponuda, za istraživanje i razvoj u svrhu stvaranja novih ponuda niti za generiranje izvještaja o Dobavljačevim ponudama). Dobavljaču je zabranjeno prodavati Kyndrylove podatke osim ako to nije izričito dozvoljeno u Transakcijskom dokumentu.
1.2 Dobavljač neće umetati bilo koje tehnologije praćenja na webu u Isporučive materijale ili kao dio Usluga (takve tehnologije uključuju HTML5, lokalnu pohranu, oznake i tokene treće strane i web signale) osim ako to nije izričito dozvoljeno u Transakcijskom dokumentu
2. Zahtjevi treće strane i povjerljivost
2.1 Dobavljač neće otkrivati Kyndrylove podatke trećim stranama, osim na temelju pisanog ovlaštenja prethodno dobivenog od Kyndryla. Ako javno tijelo, uključujući bilo koje nadzorno tijelo, zahtijeva pristup Kyndrylovim podacima (npr. ako Vlada SAD-a Dobavljaču uruči naredbu nacionalne sigurnosti za dobivanje Kyndrylovih podataka) ili ako propisi na bilo koji drugi način zahtijevaju obznanjivanje Kyndrylovih podataka, Dobavljač će pisanim putem obavijestiti Kyndryl o takvom zahtjevu ili obvezi te će Kyndrylu pružiti razumnu priliku da ospori obznanjivanje (tamo gdje zakon zabranjuje obavještavanje, Dobavljač će poduzeti korake za koje smatra da su razumno prikladni kako bi osporio zabranu i obznanjivanje Kyndrylvih podataka putem sudskog postupka ili drugim sredstvima).
2.2 Dobavljač potvrđuje Kyndrylu da će: (a) pristup Kyndrylovim podacima imati samo oni Dobavljačevi zaposlenici kojima je takav pristup potreban za pružanje Usluga ili Isporučivih materijala i to samo u mjeri potrebnoj za pružanje tih Usluga i Isporučivih materijala; i (b) da je svojim zaposlenicima nametnuo obvezu povjerljivosti koja zahtijeva da ti zaposlenici koriste i otkrivaju Kyndryloveove podatke samo u mjeri dozvoljenoj ovim Odredbama.
3. Vraćanje ili brisanje Kyndrylovih podataka
3.1 Dobavljač će, prema Kyndrylovoj odluci, izbrisati ili Kyndrylu vratiti Kyndrylove podatke nakon raskida ili isteka Transakcijskog dokumenta ili ranije na zahtjev Kyndryla. Ako Kyndryl zahtijeva brisanje, Dobavljač će tada u skladu s Najboljom industrijskom praksom učiniti da su podaci nečitljivi i da se ne mogu ponovno sastaviti ili rekonstruirati te će Kyndrylu potvrditi brisanje. Ako Kyndryl zahtijeva vraćanje Kyndrylovih podataka, Dobavljač će to učiniti prema razumnom Kyndrylovom rasporedu i prema razumnim Kyndrylovim pisanim uputama.
---
Članak VIII. Tehničke i organizacijske mjere, Sigurnost podataka
Ovaj članak se primjenjuje ako Dobavljač pruža bilo koje Usluge ili Isporučive materijale Kyndrylu, osim kad Dobavljač ima pristup samo Kyndrylovom BCI-ju tijekom pružanja tih Usluga i Isporučivih materijala (npr. Dobavljač neće obrađivati nikakve druge Kyndrylove podatke niti će imati pristup bilo kojim drugim Kyndrylovim materijalima ili Korporativnim sustavima), Dobavljačeve Usluge i Isporučivi materijali služe za pružanje Softvera na lokaciji Kyndrylu ili Dobavljač pruža sve svoje Usluge i Isporučive materijale po modelu proširenja osoblja sukladno članku VII., uključujući od toga odjeljak 1.7.
Dobavljač će udovoljiti zahtjevima ovog članka te na taj način štititi: (a) Kyndrylove materijale od gubitka, uništavanja, izmjene, slučajnog ili neovlaštenog otkrivanja i slučajnog ili neovlaštenog pristupa, (b) Kyndrylove podatke od nezakonitih oblika Obrade i (c) Kyndrylovu tehnologiju od nezakonitih oblika rukovanja. Zahtjevi iz ovog članka obuhvaćaju sve aplikacije, platforme i infrastrukturu informacijskih tehnologija (IT) u kojoj Dobavljač radi ili upravlja pružanjem Isporučivih materijala i Usluga te u kojima rukuje Kyndrylovom tehnologijom, uključujući sve okoline za razvoj, testiranje, hosting, podršku, operacije i centar podataka.
1. Sigurnosne politike
1.1 Dobavljač će održavati i slijediti sigurnosne politike i praksu informacijske tehnologije (IT) koje su sastavni dio Dobavljačevog poslovanja, obavezne za svo Dobavljačevo osoblje i usklađene s Najboljom industrijskom praksom.
1.2 Dobavljač će preispitati svoje IT sigurnosne politike i praksu najmanje jednom godišnje te ih prema potrebi ispraviti i dopuniti kako bi zaštitio Kyndrylove materijale.
1.3 Dobavljač će održavati i slijediti standardne obvezne zahtjeve provjere prilikom zapošljavanja novih zaposlenika i proširiti će takve zahtjeve na svo Dobavljačevo osoblje i Dobavljačeva povezana društva u potpunom vlasništvu. Ti zahtjevi će uključivati provjere kažnjavanosti u prošlosti u mjeri dozvoljenoj lokalnim pravom, dokaz provjere identiteta te bilo koje dodatne provjere za koje Dobavljač smatra da su potrebne. Dobavljač će periodički ponavljati i provjeravati te zahtjeve ako smatra da je to potrebno.
1.4 Dobavljač će svojim zaposlenicima svake godine osigurati edukaciju o sigurnosti i privatnosti te će svake godine od svojeg osoblja tražiti potvrdu da će se pridržavati Dobavljačevog etičnog poslovnog ponašanja i politika čuvanja tajnosti i sigurnosti navedenih u Dobavljačevom kodeksu ponašanja ili sličnim dokumentima. Dobavljač će osigurati dodatnu obuku o politikama i procesu osoblju s administrativnim pristupom bilo kojoj komponenti Usluga, Isporučivih materijala ili Kyndrylovih materijala, gdje će takva obuka biti specifična za njihovu ulogu i podršku Usluga, Isporučivih materijala i Kyndrylovih materijala i kakva je potrebna za održavanje zahtijevane sukladnosti i certifikata.
1.5 Dobavljač će dizajnirati mjere sigurnosti i privatnosti kako bi zaštitio i održavao dostupnost Kyndrylovih materijala te će kroz njihovu implementaciju, održavanje i sukladnost s politikama i procedurama koje po svojem obliku zahtijevaju sigurnost i privatnost, osigurati inženjering i siguran rad za sve Usluge i Isporučive materijale i za svo Rukovanje Kyndrylovom tehnologijom.
2. Sigurnosni incidenti
2.1 Dobavljač će održavati i slijediti dokumentirane politike odgovora na incidente sukladne Najboljoj industrijskoj praksi za postupanje kod sigurnosnih incidenata vezanih uz računala.
2.2 Dobavljač će istražiti neovlašteni pristup ili neovlaštenu upotrebu Kyndrylovih materijala te će definirati i provesti odgovarajući plan odgovora.
2.3 Dobavljač će odmah (a ni u kojem slučaju kasnije od 48 sati) obavijestiti Kyndryl nakon što postane svjestan bilo koje Povrede sigurnosti. Dobavljač će dostaviti takvu obavijest na e-adresu cyber.incidents@kyndryl.com. Dobavljač će Kyndrylu pružiti razumno zatražene informacije o takvoj povredi te o statusu bilo kojih Dobavljačevih aktivnosti za ispravljanje i obnavljanje. Na primjer, razumno zatražene informacije mogu uključivati dnevnike koji pokazuju povlašteni, administratorski i drugi pristup Uređajima, sustavima ili aplikacijama, forenzičke slike Uređaja, sustava ili aplikacija te druge slične stavke u mjeri u kojoj je to relevantno za povredu ili Dobavljačeve aktivnosti ispravljanja i obnavljanja.
2.4 Dobavljač će Kyndrylu pružiti razumnu pomoć u ispunjavanju bilo kojih zakonskih obveza (uključujući obveze obavještavanja Nadzornih tijela ili Ispitanika) Kyndryla, Kyndrylovih povezanih društava i Korisnika (i njihovih korisnika i povezanih društava) vezano uz Povredu sigurnosti.
2.5 Dobavljač neće informirati ili obavijestiti treću stranu da je Povreda sigurnosti izravno ili neizravno povezana s Kyndrylom ili Kyndrylovim materijalima osim ako je to pisano odobrio Kyndryl ili ako je to propisano zakonom. Dobavljač će pisano obavijestiti Kyndryl prije distribuiranja bilo kakve zakonski propisane obavijesti trećoj strani, gdje bi obavijest izravno ili neizravno otkrila Kyndrylov identitet.
2.6 U slučaju Povrede sigurnosti koja nastane zbog Dobavljačevog kršenja bilo koje obveze temeljem ovih Odredbi:
(a) Dobavljač će biti odgovoran za sve troškove koji nastanu kao i za stvarne troškove kojima se izloži Kyndryl tijekom obavještavanja odgovarajućih Nadzornih tijela, drugih javnih tijela te samoregulirajućih agencija relevantnih djelatnosti, medija (ako to zahtijeva primjenjivo pravo), Ispitanika, Korisnika i drugih o Povredi sigurnosti;
(b) Na zahtjev Kyndryla, Dobavljač će uspostaviti i održavati o svom vlastitom trošku pozivni centar koji će odgovarati na pitanja Ispitanika o Povredi sigurnosti i posljedicama toga, u trajanju od 1 godine od datuma kad su Ispitanici obaviješteni o Povredi sigurnosti ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu. Kyndryl i Dobavljač će surađivati na izradi skripti i drugih materijala koje će koristiti osoblje pozivnog centra prilikom odgovaranja na pitanja. Alternativno, nakon pisane obavijesti Dobavljaču, Kyndryl može umjesto Dobavljača uspostaviti i održavati svoj vlastiti pozivni centar, a Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izložio Kyndryl prilikom uspostavljanja i održavanja takvog pozivnog centra, i
(c) Dobavljač će Kyndrylu nadoknaditi stvarne troškove kojima se izloži Kyndryl tijekom pružanja usluga nadziranja i/ili vraćanja odobrenja u trajanju od 1 godine od datuma kad su pojedinci zahvaćeni povredom podataka obaviješteni o Povredi sigurnosti, a odlučili su se registrirati za takve usluge ili u trajanju koje određuju odgovarajući mjerodavni propisi o zaštiti podataka, ovisno što od toga pruža veću zaštitu.
3. Fizička zaštita i kontrola ulaska (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima).
3.1 Dobavljač će održavati i slijediti odgovarajuće fizičke kontrole pristupa poput prepreka, pristupnih točaka kontroliranih karticama, nadzornih kamera i recepcija s ljudskim osobljem kako bi zaštitio svoje Objekte od neovlaštenog ulaska.
3.2 Dobavljač će zahtijevati ovlašteno odobrenje za pristup Objektima i kontroliranim područjima unutar Objekata, uključujući bilo kakav privremeni pristup, a pristup će biti ograničen ovisno o poslovnoj funkciji i potrebi posla. Ako Dobavljač dozvoli privremeni pristup, njegov ovlašteni zaposlenik će pratiti svakog posjetitelja tijekom njegovog zadržavanja u Objektu i u svim kontroliranim područjima.
3.3 Dobavljač će implementirati kontrole fizičkog pristupa, uključujući višeparametarske kontrole pristupa sukladne Najboljoj industrijskoj praksi, kako bi prikladno ograničio pristup kontroliranim područjima unutar Objekata, zabilježio sve pokušaje ulaska i takve dnevnika održavao najmanje godinu dana.
3.4 Dobavljač će ukinuti pristup Objektima i kontroliranim područjima unutar Objekata nakon (a) prestanka radnog odnosa ovlaštenog Dobavljačevog zaposlenika ili (b) kad ovlaštenom Dobavljačevom zaposleniku pristup više nije potreban radi valjanih poslovnih potreba. Dobavljač će slijediti formalne dokumentirane postupke prilikom prestanka radnog odnosa koji uključuju hitno uklanjanje iz popisa kontrole pristupa i predaju iskaznica za fizički pristup.
3.5 Dobavljač će poduzeti mjere opreza kako bi zaštitio svu fizičku infrastrukturu koja se koristi kao podrška za pružanje Usluga i Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom od okolišnih prijetnji, koje se događaju prirodno i utjecajem čovjeka, poput prekomjerne temperature okoline, požara, poplave, vlage, krađe i vandalizma.
4. Kontrola pristupa, intervencije, prijenosa i odvajanja
4.1 Dobavljač će održavati dokumentaciju sigurnosne arhitekture mreža kojima upravlja tijekom pružanja Usluga, opskrbe Isporučivim materijalima i Rukovanja Kyndrylovom tehnologijom. Dobavljač će zasebno pregledati takve mrežne arhitekture i upotrebljavati mjere sprječavanja neovlaštenih mrežnih povezivanja na sustave, aplikacije i mrežne uređaje kako bi osigurao sukladnost sa sveobuhvatnim standardnima sigurne segmentacije, izolacije i obrane. Dobavljač ne može koristiti bežičnu tehnologiju u svom hostingu i operacijama bilo kojih Hostanih usluga; inače, Dobavljač može koristiti bežičnu mrežnu tehnologiju prilikom pružanja Usluga i Isporučivih materijala i tijekom Rukovanja Kyndrylovom tehnologijom, ali tada će Dobavljač šifrirati i zahtijevati sigurnu provjeru identiteta za bilo koju takvu bežičnu mrežu.
4.2 Dobavljač će održavati mjere namijenjene za logičko odvajanje i sprječavanja otkrivanja ili pristupa neovlaštenih osoba Kyndrylovim materijalima. Nadalje, Dobavljač će održavati odgovarajuću izolaciju svojih proizvodnih, neproizvodnih i drugih okolina i, ako su Kyndrylovi materijali već prisutni ili ako su preneseni u neproizvodnu okolinu (na primjer kako bi se ponovno proizvela greška), tada će Dobavljač osigurati da su sve sigurnosne zaštite i zaštite privatnosti u neproizvodnoj okolini jednake onima u proizvodnoj okolini.
4.3 Dobavljač će šifrirati Kyndrylove materijale u prijenosu i u mirovanju (osim ako Dobavljač na Kyndrylovo razumno zadovoljstvo dokaže da je šifriranje Kyndrylovih materijala u mirovanju tehnički neizvedivo). Dobavljač će također šifrirati sve fizičke medije, poput medija koji sadrže sigurnosne kopije, ako takvi postoje. Dobavljač će održavati dokumentaciju o postupcima za generiranje, izdavanje, distribuiranje, pohranu, rotiranje, povlačenje, vraćanje, sigurnosno kopiranje, uništavanje, pristup i upotrebu sigurnosnih ključeva vezanih uz šifriranje podataka. Dobavljač će osigurati da korištene specifične kriptografske metode za šifriranje slijede Najbolju industrijsku praksu (poput NIST SP 800-131a).
4.4 Ako je Dobavljaču potreban pristup Kyndrylovim materijalima, Dobavljač će smanjiti i ograničiti takav pristup na najmanju razinu koja je potrebna za pružanje i podršku Uslugama i Isporučivim materijalima. Dobavljač će zahtijevati da takav pristup, uključujući administrativni pristup bilo kojim osnovnim komponentama (npr. povlašteni pristup), bude pojedinačan na temelju radne funkcije te da podliježe odobrenju i redovnoj provjeri od strane ovlaštenih Dobavljačevih zaposlenika na temelju načela odvajanja dužnosti. Dobavljač će provoditi mjere za identificiranje i uklanjanje suvišnih i nekorištenih računa. Dobavljač će također ukinuti račune s povlaštenim pristupom unutar dvadeset četiri (24) sata od prestanka radnog odnosa vlasnika računa ili na zahtjev Kyndryla ili bilo kojeg ovlaštenog Dobavljačevog zaposlenika, na primjer, na zahtjev rukovoditelja vlasnika računa.
4.5 U skladu s Najboljom industrijskom praksom, Dobavljač će održavati tehničke mjere provedbe vremenskog ograničenja neaktivnih sesija, zaključavanja računa nakon višestrukih uzastopnih neuspjelih pokušaja prijave, provjere identiteta putem jake lozinke ili pristupnog izraza i mjere koje zahtijevaju siguran prijenos i pohranu takvih lozinki i pristupnih izraza. Osim toga, Dobavljač će koristiti višeparametarsku provjeru identiteta za sve povlaštene pristupe bilo kojim Kyndrylovim Materijalima koji ne idu preko konzole.
4.6 Dobavljač će nadgledati upotrebu povlaštenog pristupa i održavati informacije o sigurnosti i mjere upravljanja događajima namijenjene za: (a) prepoznavanje neovlaštenog pristupa i aktivnosti, (b) olakšavanje pravodobnog i prikladnog odgovora na takav pristup i aktivnost, i (c) omogućavanje revizije usklađenosti s dokumentiranom politikom Dobavljača koju provodi Dobavljač, Kyndryl (sukladno njegovim pravima provjere u ovim Odredbama i pravima na reviziju iz Transakcijskog dokumenta ili pridruženog osnovnog ili drugog povezanog ugovora između strana) i drugi.
4.7 Dobavljač će zadržavati dnevnike u koje će u skladu s Najboljom industrijskom praksom zapisivati sve administratorske, korisničke ili druge pristupe ili aktivnosti prema ili vezane uz sustave korištene za pružanje Usluga ili Isporučivih Materijala i Rukovanje Kyndrylovom tehnologijom (i te će dnevnike na zahtjev pružiti Kyndrylu). Dobavljač će održavati mjere namijenjene zaštiti od neovlaštenog pristupa, izmjene i slučajnog ili namjernog uništenja takvih dnevnika.
4.8 Dobavljač će održavati računalne zaštite za sustave u svom vlasništvu ili kojima upravlja, uključujući sustave krajnjih korisnika, koje koristi za pružanje Usluga ili Isporučivih materijala ili za Rukovanje Kyndrylovom tehnologijom, sa zaštitama koje uključuju: vatrozide krajnjih točaka, šifriranje cijelog diska, detektiranje krajnjih točaka na bazi potpisa i bez potpisa i tehnologije odgovora za postupanje sa zlonamjernim softverom i naprednim stalnim prijetnjama, vremensko zaključavanje ekrana i rješenja upravljanja krajnjim točkama koja provode zahtjeve konfiguracije i nadogradnje sigurnosti. Osim toga, Dobavljač će implementirati tehničke i operativne kontrole koje će osigurati da dozvolu korištenja Dobavljačevih mreža imaju poznati i pouzdani sustavi krajnjih korisnika.
4.9 U skladu s Najboljom industrijskom praksom, Dobavljač će štititi okoline centra podataka u kojima se nalaze ili obrađuju Kyndrylovi materijali, sa zaštitama koje uključuju detektiranje i sprječavanje upada te protumjere i otklanjanje posljedica nastalih zbog napada odbijanjem usluge.
5. Integritet usluga i sustava i kontrola dostupnosti
5.1 Dobavljač će: (a) provoditi procjene rizika sigurnosti i privatnosti najmanje jednom godišnje, (b) provoditi testiranje sigurnosti i procjenu ranjivosti, uključujući automatizirano sigurnosno skeniranje sustava i aplikacija i ručno etično hakiranje prije proizvodnog izdanja i jednom godišnje nakon toga što se tiče Usluga i Isporučivih materijala i jednom godišnje u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, (c) angažirati kvalificiranu neovisnu treću stranu za provođenje testiranja sigurnosti/proboja najmanje jednom godišnje sukladno Najboljoj industrijskoj praksi, gdje će takvo testiranje uključivati i automatizirano i ručno testiranje, (d) provoditi automatizirano upravljanje i rutinsku provjeru usklađenosti sa zahtjevima konfiguracije sigurnosti za svaku komponentu Usluga i Isporučivih materijala i u pogledu Dobavljačevog Rukovanja Kyndrylovom tehnologijom, i (e) otkloniti identificirane ranjivosti ili neusklađenosti sa zahtjevima konfiguracije sigurnosti koje se temelje na povezanom riziku, iskoristivosti i utjecaju. Dobavljač će poduzeti razumne korake kako bi izbjegao prekid Usluga prilikom testiranja, procjena, skeniranja i izvođenja aktivnosti ispravljanja grešaka. Na Kyndrylov zahtjev, Dobavljač će Kyndrylu pružiti pisani sažetak Dobavljačevih tada najnovijih aktivnosti testiranja sigurnosti/proboja, gdje u izvještaju mora minimalno stajati naziv ponude pokrivene testiranje, broj sustava ili aplikacija u opsegu testiranja, datumi testiranja, metodologija korištena u testiranju te sažetak nalaza visoke razine.
5.2 Dobavljač će održavati politike i procedure namijenjene za upravljanje rizicima povezanima s primjenom promjena na Usluge ili Isporučive materijala ili na Rukovanje Kyndrylovom tehnologijom. Prije implementiranja takve promjene, koja uključuje zahvaćene sustave, mreže i temeljne komponente, Dobavljač će u registriranom zahtjevu za promjenu dokumentirati: (a) opis razlog za promjenu, (b) detalje implementacije i raspored, (c) izjavu o riziku koja se odnosi na utjecaj na Usluge i Isporučive materijale, korisnike Usluga ili Kyndrylovih materijala, (d) očekivani ishod, (e) plan vraćanja u prethodno stanje i (f) odobrenje ovlaštenih Dobavljačevih zaposlenika.
5.3 Dobavljač će održavati popis svih IT sredstava koja Dobavljač koristi za rad Usluga, pružanje Isporučivih materijala i Rukovanje Kyndrylovom tehnologijom. Dobavljač će neprekidno nadzirati i upravljati stanjem (uključujući kapacitet) i dostupnošću takvih IT sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije, uključujući temeljne komponente takvih sredstava, Usluga, Isporučivih materijala i Kyndrylove tehnologije.
5.4 Dobavljač će izgraditi sve sustave koje koristi u razvoju ili u radu Usluga i Isporučivih materijala i za svoje Rukovanje Kyndrylovom tehnologijom iz preddefiniranih slika sigurnosti sustava ili sigurnosnih osnova, a koji zadovoljavaju Najbolju industrijsku praksu poput referentnih vrijednosti Centra za internetsku sigurnost (engl. Center for Internet Security - CIS).
5.5 Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem ovog Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu poslovnog kontinuiteta, Dobavljač će zasebno procijeniti svaku Uslugu i Isporučivi materijal i svaki IT sustav koji se koristi u Rukovanju Kyndrylovom tehnologijom za poslovni i IT kontinuitet i zahtjeve obnavljanja od katastrofe sukladno dokumentiranim smjernicama za upravljanje rizikom. Dobavljač će osigurati da svaka takva Usluga, Isporučivi materijal i IT sustav ima u mjeri zajamčenoj takvom procjenom rizika zasebno definirane, dokumentirane, održavane i godišnje potvrđene planove poslovnog i IT kontinuiteta i obnavljanja od katastrofe u skladu s Najboljom industrijskom praksom. Dobavljač će osigurati da su takvi planovi osmišljeni za pružanje određenih ciljeva vremena obnavljanja koji su navedeni u odjeljku 5.6 u nastavku.
5.6 Određeni ciljevi točke obnavljanja (RPO) (engl. Recovery Point Objectives) i ciljevi vremena obnavljanja (RTO) (engl. Recovery Time Objectives) u pogledu bilo koje Hostane usluge jesu: 24-satni RPO i 24-satni RTO; unatoč tome Dobavljač će u što kraćem roku pristati na bilo koje kraće trajanje RPO-a ili RTO-a na koje se Kyndryl obvezao prema Korisniku nakon Kyndrylove pisane obavijesti Dobavljaču o takvom kraćem trajanju RPO-a ili RTO-a (e-poruka se smatra pisanom obavijesti). Budući da se tiče svih ostalih Usluga koje Dobavljač pruža Kyndrylu, Dobavljač će osigurati da su njegovi planovi poslovnog kontinuiteta i obnavljanja od katastrofe dizajnirani za pružanje RPO-a i RTO-a takvi da Dobavljaču omogućuju daljnju potpunu sukladnost sa svim svojim obvezama prema Kyndrylu temeljem Transakcijskog dokumenta i pridruženog osnovnog ugovora između strana kao i ovih Odredbi, uključujući obveze pravodobnog provođenja testiranja, pružanja podrške i održavanja.
5.7 Dobavljač će održavati mjere namijenjene procjeni, testiranju i primjeni zakrpa savjeta sigurnosti na Usluge i Isporučive materijale kao i za povezane sustave, mreže, aplikacije i temeljne komponente unutar opsega dotičnih Usluga i Isporučivih materijala te za sustave, mreže, aplikacije i temeljne komponente koje se koriste za Rukovanje Kyndrylovom tehnologijom. Nakon utvrđivanja da je zakrpa savjeta sigurnosti primjenjiva i prikladna, Dobavljač će implementirati zakrpu sukladno dokumentiranoj ozbiljnosti i smjernicama procjene rizika. Dobavljačeva implementacija zakrpa dobivenih od savjeta sigurnosti podliježe njegovoj politici upravljanja promjenama.
5.8 Ako Kyndryl ima razumnu osnovu smatrati da hardver ili softver kojeg Dobavljač pruža Kyndrylu može sadržavati intruzivne elemente poput špijunskog softvera (spyware), zlonamjernog softvera (malware) ili zlonamjernog koda (malicious code), Dobavljač će pravodobno surađivati s Kyndrylom u istrazi i otklanjanju Kyndrylove zabrinutosti.
6. Pružanje usluga
6.1 Dobavljač će podržavati industrijski uobičajene metode objedinjene provjere identiteta za Kyndrylove ili Korisnikove korisničke račune, pri čemu će Dobavljač slijediti Najbolju industrijsku praksu za provjeru identiteta takvih Kyndrylovih ili Korisnikovih korisničkih računa (preko Kyndrylovog centralno upravljanog višeparametarskog Single Sign-On-a (SSO), uz korištenje proizvoda OpenID Connect (OICD) ili Security Assertion Markup Language (SAML)).
7. Podizvođači. Bez ograničavanja Dobavljačevih odgovornosti ili Kyndrylovih prava temeljem Transakcijskog dokumenta ili pridruženog osnovnog ugovora između strana u pogledu angažiranja podizvođača, Dobavljač će osigurati da svaki podizvođač koji obavlja posao za Dobavljača ima uspostavljene kontrole upravljanja kako bi bio u skladu sa zahtjevima i obvezama koje ove Odredbe nameću Dobavljaču.
8. Fizički mediji. Dobavljač će sigurno izbrisati fizičke medije namijenjene ponovnoj upotrebi prije takve upotrebe, a uništit će fizičke medije koji nisu namijenjeni ponovnoj upotrebi, u skladu s Najboljom industrijskom praksom za brisanje medija.
---
Članak IX. Certifikati i izvještaji za Hostane usluge
Ovaj članak se primjenjuje ako Dobavljač pruža Hostanu uslugu Kyndrylu.
1.1 Dobavljač će pribaviti sljedeće certifikate ili izvještaje unutar vremenskih okvira navedenih u nastavku:
Certifikati / Izvještaji
Vremenski okvir
Za Dobavljačeve Hostane usluge:
Certifikat usklađenosti s ISO 27001, Informacijska tehnologija, Sigurnosne tehnike, Sustavi upravljanja sigurnošću informacija, s certifikatima koji se temelje na procjeni uglednog neovisnog revizora
Ili
SOC 2 tip 2:Izvještaj uglednoga neovisnog revizora koji prikazuje reviziju Dobavljačevih sustava, kontrola i operacija u skladu sa SOC 2 tip 2 (uključujući minimalno sigurnost, povjerljivost i dostupnost)
Dobavljač će pribaviti ISO 27001 certifikat u roku 120 dana od datuma stupanja na snagu ovog Transakcijskog dokumenta* ili datuma preuzimanja** i zatim će obnavljati certifikat na bazi procjene uglednog neovisnog revizora svakih 12 mjeseci nakon toga (svako obnavljanje odnosit će se na tada važeću verziju standarda)
Dobavljač će pribaviti SOC 2 tip 2 izvještaj u roku 240 dana nakon datuma stupanja na snagu Transakcijskog dokumenta* ili Datuma preuzimanja**, a zatim će pribaviti novi izvještaj uglednoga neovisnog revizor koji prikazuje reviziju Dobavljačevih sustava, kontrola i operacija u skladu sa SOC 2 tip 2 (uključujući, minimalno sigurnost, povjerljivost i dostupnost) svakih 12 mjeseci nakon toga
* Ako od datuma stupanja na snagu Dobavljač pruža Hostanu uslugu
** Datum kada Dobavljač preuzima obvezu pružanja Hostane usluge
1.2 Ako Dobavljač pisano zatraži, a Kyndryl pisano odobri, Dobavljač može pribaviti certifikat ili izvještaj sadržajno ekvivalentan gore navedenima, uz razumijevanje da se vremenski okviri navedeni u tablici iznad primjenjuju jednako u pogledu sadržajno ekvivalentnog certifikata ili izvještaja.
1.3 Dobavljač će: (a) na Kyndrylov zahtjev u što kraćem roku Kyndrylu pružiti primjerak svakog certifikata i izvještaj koji je Dobavljač dužan pribaviti i (b) u što kraćem roku riješiti bilo koje slabosti unutarnje kontrole zabilježene tijekom SOC 2 ili (ako ih Kyndryl odobri) sadržajno ekvivalentnih revizija.
---
Članak X. Suradnja, provjera i ispravljanje
Ovaj članak se primjenjuje ako Dobavljač pruža bilo kakve Usluge ili Isporučive materijale Kyndrylu.
1. Suradnja dobavljača
1.1 Ako Kyndryl ima razloga za sumnju da je bilo koja Usluga ili Isporučivi materijal pridonijeli, pridonose ili će pridonijeti bilo kojem problemu računalne sigurnosti, Dobavljač će razumno surađivati u Kyndrylovim ispitivanjima gleda takvih bojazni, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim Osobljem ili slično.
1.2 Strane se slažu da će: (a) međusobno na zahtjev dostavljati takve dodatne informacije, (b) izvršavati i dostavljati jedna drugoj takve dodatne dokumente i (c) činiti druge radnje i stvari, sve što druga strana može razumno zatražiti u svrhu provođenja namjere ovih Odredbi i dokumenata na koje se upućuje u ovim Odredbama. Na primjer, ako Kyndryl zatraži, Dobavljač će pravodobno pružiti odredbe svojih pisanih ugovora s Podizvršiteljima obrade i podizvođačima koje se odnose na privatnost i sigurnost, uključujući, tamo gdje to Dobavljač ima pravo učiniti, dodijelit će pristup samim ugovorima.
1.3 Ako Kyndryl zatraži, Dobavljač će pravodobno pružiti informacije o zemljama u kojima se proizvode, razvijaju ili iz kojih se na drugi način nabavljaju Isporučivi materijali i njihove komponente.
2. Provjera (kako se koristi u nastavku, "Objekt" označava fizičku lokaciju na kojoj Dobavljač pruža hosting, obrađuje ili na drugi način pristupa Kyndrylovim materijalima)
2.1 Dobavljač će održavati evidenciju u kojoj se revizijom može provjeriti usklađenost s ovim Odredbama.
2.2 Kyndryl, sam ili s vanjskim revizorom, može uz pisanu obavijest Dobavljaču 30 dana unaprijed provjeriti Dobavljačevu sukladnost s ovim Odredbama, uključujući pristup bilo kojem Objektu ili Objektima u takve svrhe, iako Kyndryl neće pristupiti bilo kojem centru podataka u kojem Dobavljač obrađuje Kyndrylove podatke ako nema dobar razlog radi kojeg vjeruje da će time osigurati relevantne informacije. Dobavljač će surađivati u Kyndrylovoj provjeri, uključujući pružanje pravodobnih i potpunih odgovora na zatražene informacije bilo putem dokumentacije, drugih evidencija, razgovora s odgovarajućim Dobavljačevim osobljem ili sličnog. Dobavljač može ponuditi Kyndrylu na razmatranje dokaz o poštivanju odobrenog kodeksa ponašanja ili industrijskog certifikata ili na drugi način pružiti informacije Kyndrylu kako bi dokazao usklađenost s ovim Odredbama.
2.3 Provjera se neće se neće događati češće od jedanput u bilo kojem 12 mjesečnom razdoblju, osim ako: (a) Kyndryl provjerava Dobavljačevo otklanjanje zabrinutosti proizašlih iz prethodne provjere tijekom 12 mjesečnog razdoblja ili (b) je došlo do Povrede sigurnosti i Kyndryl želi provjeriti poštivanje obveza relevantnih za tu povredu. U svakom slučaju, Kyndryl će pružiti jednaku pisanu obavijest 30 dana unaprijed kako je navedeno u odjeljku 2.2 iznad, ali hitnost rješavanja Povrede sigurnosti može zahtijevati da Kyndryl provede provjeru ranije od 30 dana nakon pisane obavijesti.
2.4. Nadzorno tijelo ili drugi Voditelj obrade mogu ostvariti ista prava kao i Kyndryl iz odjeljaka 2.2 i 2.3, uz razumijevanje da nadzorno tijelo može ostvariti bilo koja dodatna prava koja ima prema zakonu.
2.5 Ako Kyndryl ima razumnu osnovu koja daje zaključiti da Dobavljač ne poštuje bilo koju od ovih Odredbi (bilo da je osnova nastala iz provjere provedene na temelju ovih Odredbi ili na drugi način), tada će Dobavljač odmah ispraviti takvu neusklađenost.
3. Program protiv krivotvorenja
3.1 Ako Dobavljačevi Isporučivi materijali uključuju elektroničke komponente (npr. tvrde diskove, solid-state diskove (SSD), memoriju, središnje procesorske jedinice (CPU), logičke uređaje ili kablove), Dobavljač će održavati i slijediti dokumentirani program sprječavanja krivotvorenja kako bi prije svega spriječio da Dobavljač pruži krivotvorene komponente Kyndrylu i drugo, kako bi odmah otkrio i ispravio u slučaju da je Dobavljač zabunom pružio krivotvorene komponente Kyndrylu. Dobavljač će nametnuti istu obvezu održavanja i praćenja dokumentiranog programa sprječavanja krivotvorina svim svojim dobavljačima od kojih nabavlja elektroničke komponente koje se ugrađuju u Isporučive materijale koje Dobavljač isporučuje Kyndrylu.
4. Ispravljanje
4.1 Ako Dobavljač ne ispuni bilo koju od svojih obveza temeljem ovih Odredbi i takav propust uzrokuje Povredu sigurnosti, tada će Dobavljač ispraviti grešku u svom radu i otkloniti štetne utjecaje Povrede sigurnosti, a izvođenje i ispravljanje provodit će se prema Kyndrylovim razumnim uputama i rasporedu. Međutim, ako do Povrede sigurnosti dođe zbog Dobavljačevog pružanja Hostanih usluga za više zakupaca, pa posljedično utječe na mnoge Dobavljačeve korisnike uključujući Kyndryl, Dobavljač će, s obzirom na prirodu Povrede sigurnosti, pravodobno i na odgovarajući način ispraviti grešku u svojoj izvedbi i otkloniti štetne učinke Povrede sigurnosti, pri čemu će se uzeti u obzir sve Kyndrylove napomene u vezi s takvim ispravcima i otklanjanjem štetnih učinaka. Ne dovodeći u pitanje prethodno navedeno, Dobavljač mora obavijestiti Kyndryl bez nepotrebnog odgađanja ako Dobavljač više ne može ispunjavati obveze utvrđene primjenjivim zakonom o zaštiti podataka.
4.2 Kyndryl će imati pravo sudjelovati u ispravljanju bilo koje Povrede sigurnosti na koju se upućuje u odjeljku 4.1 ako smatra da je to prikladno ili potrebno, a Dobavljač će biti odgovoran za svoje troškove i izdatke u ispravljanju svoje izvedbe te za troškove i izdatke za ispravljanje koje imaju strane u pogledu bilo koje takve Povrede sigurnosti.
4.3 Na primjer, troškovi i izdaci za ispravljanje vezano uz Povredu sigurnosti mogu uključivati troškove i izdatke za otkrivanje i istragu Povrede sigurnosti, utvrđivanje odgovornosti temeljem primjenjivih zakona i propisa, obavještavanje o povredi, uspostavljanje i održavanje pozivnih centara, pružanje usluga nadziranja i usluga vraćanja odobrenja, ponovno učitavanje podataka, ispravljanje grešaka proizvoda (uključujući kroz Izvorni kod ili drugi razvoj), angažiranje trećih strana kao pomoć kod prethodno navedenih ili drugih relevantnih aktivnosti te ostale troškove i izdatke neophodne za ispravljanje štetnih učinaka Povrede sigurnosti. Radi jasnoće, troškovi i izdaci za ispravljanje neće uključivati Kyndrylov gubitak dobiti, posla, poslovne vrijednosti, prihoda, ugleda ili očekivanih ušteda.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Definicije
Riječi pisane velikim početnim slovima imaju značenje navedeno u nastavku, a ako nisu definirane u nastavku, tada je značenje navedeno u ovim Odredbama, Transakcijskom dokumentu ili pridruženom osnovnom ugovoru između strana. Pojmovi "Usluge" i "Isporučivi materijali" vjerojatno su definirani u Transakcijskom dokumentu ili u pridruženom osnovnom ugovoru između strana, ali ako nisu tamo definirani, onda "Usluge" označavaju bilo koju Hostanu uslugu, savjetovanje, instalaciju, prilagodbu, održavanje, podršku, povećanja osoblja, poslovanje, tehnički ili drugi rad koji Dobavljač obavlja za Kyndryl kako je navedeno u Transakcijskom dokumentu, a "Isporučivi materijali" označava bilo koje softverske programe, platforme, aplikacije ili druge proizvode ili stavke i njihove odgovarajuće materijale koje Dobavljač pruža Kyndrylu kako je navedeno u Transakcijskom dokumentu.
Poslovne kontakt informacije ("BCI"): (engl. Business Contact Information - BCI) označava Osobne podatke koji se koriste za kontaktiranje, identificiranje ili provjeru identiteta pojedinca u profesionalnom ili poslovnom svojstvu. BCI obično uključuje ime pojedinca, poslovnu adresu e-pošte, fizičku adresu, telefonski broj ili slične atribute.
Cloud usluga: označava bilo koju ponudu "kao usluga" za koju Dobavljač pruža hosting ili kojom upravlja, uključujući ponude "softver kao usluga", "platforma kao usluga" i "infrastruktura kao usluga".
Voditelj obrade: označava fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili neko drugo tijelo, koje samo ili u suradnji s drugima određuje svrhu i način Obrade Osobnih podataka.
Korporativni sustav: označava IT sustav, platformu, aplikaciju, mrežu ili slično na što se Kyndryl oslanja u svom poslovanju, uključujući ono što se nalazi ili je dostupno putem Kyndrylovog intraneta, Interneta ili na drugi način.
Korisnik: označava Kyndrylovog korisnika.
Ispitanik: označava pojedinca čiji se identitet može utvrditi, izravno ili neizravno, pomoću identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz jedan ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Dan ili Dani: označava kalendarske dane, osim ako nisu označeni "radni" dani.
Uređaj: označava radnu stanicu, prijenosno računalo, tablet, pametni telefon ili osobni digitalni pomoćnik kojeg je pružio Kyndryl ili Dobavljač.
Rukovati, Rukuje ili Rukovanje: uključuje svaki pristup, upotrebu, pohranu i sva druga rukovanja Kyndrylovom tehnologijom.
Hostana usluga: označava bilo koju uslugu centra podataka, aplikacijsku uslugu, IT uslugu ili Cloud uslugu za koju Dobavljač pruža hosting ili kojom upravlja.
Kyndrylovi podaci: označava bilo koje i sve elektroničke datoteke, materijale, slike, tekstualne, zvučne, video i druge podatke, uključujući Kyndrylove Osobne podatke i ne-Osobne podatke koje Kyndryl, Kyndrylovo osoblje, Korisnik, Korisnikovi zaposlenici ili bilo koja druga osoba ili pravni subjekt povezan s Transakcijskim dokumentom pruža Dobavljaču, prenosi na ili pohranjuje u Hostanu uslugu ili kojima Dobavljač inače može pristupiti i koje obrađuje u ime Kyndryla.
Kyndrylovi materijali: označava bilo koje i sve Kyndrylove podatke i Kyndrylovu tehnologiju.
Kyndrylovi Osobni podaci: označava Osobne podatke koje Dobavljač obrađuje u ime Kyndryla. Kyndrylovi Osobni podaci uključuju Osobne podatke kojima upravlja Kyndryl i Osobne podatke koje Kyndryl Obrađuje u ime Drugih voditelja obrade.
Kyndrylov Izvorni kod: označava Izvorni kod u Kyndrylovom vlasništvu ili za koji Kyndryl posjeduje licencu.
Kyndrylova tehnologija: označava Kyndrylov Izvorni kod, drugi kod, opisne jezike, firmver, softver, alate, dizajne, sheme, grafičke prikaze, umetnute ključeve, certifikate i druge informacije, materijale, sredstva, dokumentaciju i tehnologiju koju Kyndryl izravno ili neizravno licencira ili na drugi način čini dostupnom Dobavljaču vezano uz Transakcijski dokument ili povezani ugovor između Kyndryla i Dobavljača.
Uključuje i Uključujući:, pisano velikim ili malim slovom, neće se tumačiti na način da isto predstavlja uvjete ograničenja.
Najbolja industrijska praksa: označava praksu koja je u skladu s preporukama ili zahtjevima Nacionalnog instituta za standarde i tehnologiju (engl. National Institute of Standards and Technology) ili Međunarodne organizacije za standardizaciju (engl. International Standards Organization) ili nekog drugog tijela ili organizacije sličnog ugleda i statusa.
IT: označava informacijsku tehnologiju.
Drugi voditelj obrade: označava pravni subjekt osim Kyndryla koji je Voditelj obrade Kyndrylovih podataka, poput Kyndrylovog povezanog društva, Korisnika ili Korisnikovog povezanog društva.
Softver na lokaciji: označava softer koji Kyndryl ili podizvođač izvodi, instalira ili s njime radi na Kyndrylovim ili podizvođačevim poslužiteljima ili sustavima. Radi jasnoće, Softver na lokaciji je Dobavljačev isporučivi materijal.
Osobni podaci: označava bili koje informacije koje se odnose na Ispitanika ili bilo koje druge informacije kvalificirane kao “osobni podaci” ili slično temeljem bilo kojeg zakona o zaštiti podataka.
Osoblje: označava pojedince koji su zaposlenici Kyndryla ili Dobavljača, agenti Kyndryla ili Dobavljača, neovisni ugovorni suradnici koje je angažirao Kyndryl ili Dobavljač ili ih je pružio podizvođač za neku od strana.
Obraditi ili Obrada: označava bilo koju operaciju ili skup operacija koje se izvode na Kyndrylovim podacima, uključujući pohranu, upotrebu, pristup i čitanje.
Izvršitelj obrade: označava fizičku ili pravnu osobu koja obrađuje Osobne podatke u ime Voditelja obrade.
Povreda sigurnosti: označava povredu sigurnosti koja dovodi do: (a) gubitka, uništavanja, izmjene ili slučajnog ili neovlaštenog otkrivanja Kyndrylovih materijala, (b) slučajnog ili neovlaštenog pristupa Kyndrylovim materijalima, (c) nezakonite Obrade Kyndrylovih podataka ili (d) nezakonitog rukovanja Kyndrylovom tehnologijom.
Prodavati (ili Prodaja): označava prodavanje, iznajmljivanje, objavljivanje, otkrivanje, širenje, stavljanje na raspolaganje, prenošenje ili drugačije priopćavanje podataka, usmeno, pisano ili elektroničkim ili drugim sredstvima, za novčanu ili drugačiju naknadu.
Izvorni kod: označava ljudski čitljiv programski kod koji programeri koriste za razvoj ili održavanje proizvoda, ali koji se krajnjim korisnicima ne isporučuje tijekom uobičajene komercijalne distribucije ili upotrebe proizvoda.
Podizvršitelj obrade: označava Dobavljačevog podizvođača koji obrađuje Kyndrylove podatke, uključujući Dobavljačevo povezano društvo.