Skip to main content

Gizlilik ve Güvenlik Koşulları

Bu Gizlilik ve Güvenlik Koşulları, gizlilik, güvenlik konularında ve bunlarla ilgili konularda Kyndryl'ın ve Tedarikçinin haklarını ve yükümlülüklerini ("Koşullar") belirler.  Koşullar, Hizmet Bildirimine, İş Emrine veya şirketlerimiz arasında düzenlenmiş ve bunlara atıfta bulunulan benzeri belgelere ("İşlem Belgesi") dahil edilmiş olup, bunların bir parçası haline getirilmiştir.  Koşullar, İşlem Belgesinde belirtilen belirli taahhüt için de geçerlidir.

Kolaylık sağlanması amacıyla bu web sayfası, Tedarikçinin taahhüdün niteliklerini belirten aşağıdaki kutuları işaretlemesine ve bunu yaparak seçili Koşulları görüntülemesine olanak tanır.Bu niteliklere bağlı olarak konuyla ilgili birden fazla kutu olabilir.  Açıklık sağlanması amacıyla İşlem Belgesinde yer alan nitelikler, Tedarikçi tarafından aşağıda işaretlenen kutularda gösterilenler olmayıp, yalnızca taahhütle ilgili geçerli Koşulları teşkil etmektedir. 

NOT: Kyndryl çalışanlarının verilerini işleyen Tedarikçiler, kutu 1 (Kyndryl İş İletişim Bilgileri) ve kutu 2'yi (Kişisel Verilere erişim) işaretlemelidir.

Koşullar ve İşlem Belgesi veya veri işleme sözleşmesi de dahil olmak üzere taraflar arasındaki diğer ilişkili çerçeve sözleşme veya diğer sözleşmeler arasında herhangi bir çelişki olması halinde Koşullar geçerli olacaktır. İşbu Koşulların gerektirdiği bildirimler, İşlem Belgesinin bildirim hükümleri uyarınca yapılacaktır.

İşbu Koşullarda büyük harfle yazılan sözcükler, aşağıdaki Tanımlar bölümünde belirtilen anlamlara sahiptir.

Bu belirli taahhüt için Hizmetlerin niteliklerini yansıtan kutuları işaretleyin:

  1. Erişimin olması halinde söz konusu erişim için Madde I (İş İletişim Bilgileri) ve Madde X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır. 

     

    Örnekler: 

    • Tedarikçi, Kyndryl veya Müşteri çalışanlarının adlarını, e-posta adreslerini ve telefon numaralarını destek veya bakım amacıyla kullanır.

    • Kyndryl, Tedarikçi çalışanlarının adlarını ve e-posta adreslerini Kurumsal Sisteme erişmek için kimlik doğrulaması amacıyla  kullanır. 

    Not: 

    • Tedarikçinin bakım veya destek sağlaması halinde Tedarikçi, İş İletişim Bilgilerinden başka bilgilere de (örneğin, Kişisel Veri içeren veya içermeyen log dosyaları) erişebilir; bu durumda, Tedarikçi, madde 2 (Kişisel Verilere erişimi olacaksa) ve madde 3 (Kişisel Veri olmayan verilere erişimi olacaksa) altındaki ilgili kutuyu da işaretleyecektir.

    • Tedarikçinin Kyndryl çalışanlarının verilerini işlemesi halinde, madde 2 ile ilgili (Kişisel Verilere erişimi olacaksa) kutuyu da işaretlemesi gerekir.

    Madde I, İş İletişim Bilgileri

    Bu Madde, Tedarikçi veya Kyndryl tarafından birbirinin İş İletişim Bilgilerinin İşlenmesi halinde geçerlidir.

    1.1 Kyndryl ve Tedarikçi, iş yaptığı her yerde birbirinin İş İletişim Bilgilerini Tedarikçinin Hizmetleri ve Teslim Edilecek Malzemeleri teslimiyle bağlantılı olarak İşleyebilir. 

    1.2 Taraflardan herhangi biri;  

    (a) diğer tarafın İş İletişim Bilgilerini başka herhangi bir amaç için kullanmayacak veya ifşa etmeyecektir (açıklık sağlamak için, taraflardan hiçbiri diğerinin İş İletişim Bilgilerini Satmayacak veya diğer tarafın İş İletişim Bilgilerini diğer tarafın ve gerekli olan hallerde etkilenen İlgili Kişilerin önceden yazılı rızasını almaksızın herhangi bir pazarlama amacıyla kullanmayacak veya ifşa etmeyecektir) ve 

    (b) kişisel bilgilerin yetkisiz kullanımı ve taraflardan birinin veri işlemeyi ve düzeltmeyi sonlandırmak istemesi halinde ilgili tarafın yazılı talebi üzerine söz konusu tarafın İş İletişim Bilgilerini derhal silecek, düzenleyecek, düzeltecek, iade edecek, bunların İşlenmesiyle ilgili bilgi sağlayacak, bunların İşlenmesini kısıtlayacak veya talep edilen diğer makul işlemleri derhal gerçekleştirecektir.

    1.3 Taraflar, birbirlerinin İş İletişim Bilgileriyle ilgili ortak Veri Sorumlusu ilişkisine girmemektedir ve İşlem Belgesinin hiçbir hükmü, ortak Veri Sorumlusu ilişkisi oluşturma amacı teşkil edecek şekilde yorumlanmayacaktır veya bu anlamı taşımayacaktır.

    1.4 https://www.kyndryl.com/us/en/privacy adresinde yer alan Kyndryl Gizlilik Bildirimi, Kyndryl tarafından İş İletişim Bilgilerinin İşlenmesine ilişkin ek ayrıntılar içerir.

    1.5 Taraflar, diğer tarafın İş İletişim Bilgilerini kayba, imhaya, değişikliğe, kazara veya yetkisiz ifşaya, kazara veya yetkisiz erişime ve yasalara aykırı İşlemeye karşı korumak amacıyla teknik ve idari güvenlik tedbirlerini uygulamış ve uygulamaya devam edecektir. 

    1.6 Tedarikçi, Kyndryl'ın İş İletişim Bilgilerini içeren herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve her durumda en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir.  Tedarikçi böyle bir bildirimi, cyber.incidents@kyndryl.com adresine iletecektir. Tedarikçi, söz konusu ihlal ve Tedarikçinin düzeltme ve eski haline getirme işlemlerinin durumuyla ilgili talep edilen makul bilgileri Kyndryl'a temin edecektir.  Örnek olarak, makul şekilde talep edilen bilgiler, ihlal veya Tedarikçinin düzeltme ve eski haline getirme işlemleriyle ilgili olduğu kapsamda, Cihazlara, sistemlere veya uygulamalara ayrıcalıklı, idari ve diğer erişimleri, Cihazların, sistemlerin veya uygulamaların adli görüntülerini ve diğer benzer öğeleri gösteren log dosyalarını içerebilir.

    1.7 Tedarikçinin yalnızca Kyndryl'ın İş İletişim Bilgilerini İşlediği ve herhangi bir başka veri veya materyale ya da herhangi bir Kyndryl Kurumsal Sistemine erişiminin olmadığı durumlarda, bu Madde ve Madde X (İşbirliği, Doğrulama ve Düzeltme), bu tür Veri İşleme için tek geçerli olan Maddelerdir.

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

  2. Erişimin olması halinde söz konusu erişim için Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), III (Gizlilik), VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.

    Örnekler: 

    • Tedarikçi, Kyndryl'ın dahili kullanımı veya Müşterilerin kullanımı ya da her ikisi için Barındırılan Hizmetlerinin herhangi birinin tesliminde Kişisel Verilere erişir.

    • Tedarikçi, medikal veya sağlıkla ilgili Hizmetler, pazarlama Hizmetleri veya insan kaynakları ya da yan ödemelerle ilgili Hizmetler sunar ve bu Hizmetleri gerçekleştirirken Kişisel Verilere erişir.

    • Tedarikçi, destek Hizmetleri sağlamak için Kişisel Veri içeren log dosyalarına erişir.

    Madde II, Teknik ve İdari Tedbirler, Veri Güvenliği

    Bu Madde, Tedarikçinin Kyndryl'ın İş İletişim Bilgileri dışında Kyndryl Verilerini İşlemesi durumunda geçerlidir.  Tedarikçi, tüm Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken bu Maddenin gerekliliklerine uyacak ve bu süreçte Kyndryl Verilerini kayıp, imha, değişiklik, kazara veya yetkisiz ifşa, kazara veya yetkisiz erişim ve yasalara aykırı İşleme biçimlerine karşı koruyacaktır.  Bu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken işlettiği veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Veri Kullanımı

    1.1 Tedarikçi, Kyndryl'ın önceden yazılı izni olmaksızın, Kişisel Veriler dahil olmak üzere, başka herhangi bir bilgi veya veriyi Kyndryl Verilerine ekleyemez veya bunlara dahil edemez ve Tedarikçi, Kyndryl Verilerini toplu veya başka herhangi bir şekilde, Hizmetleri ve Teslim Edilecek Malzemeleri sağlama amacı haricindeki amaçlar için kullanamaz (örnek olarak, Tedarikçinin, Tedarikçi olanaklarının etkinliğini veya iyileştirme yollarını değerlendirmek, yeni olanaklar oluşturmak için araştırma ve geliştirme yapmak veya Tedarikçinin olanaklarına ilişkin raporlar oluşturmak için Kyndryl Verilerini kullanmasına veya yeniden kullanmasına izin verilmez).  İşlem Belgesinde açıkça izin verilmedikçe, Tedarikçinin Kyndryl Verilerini Satması yasaklanmıştır.

    1.2 Tedarikçi, İşlem Belgesinde açıkça izin verilmedikçe, Teslim Edilecek Malzemelere veya Hizmetlerin bir parçası olarak herhangi bir web izleme teknolojisini (bu tür teknolojiler HTML5, yerel depolama, üçüncü kişi etiketleri veya token'leri ve web işaretçilerini içerir) yerleştirmeyecektir. 

    2. Üçüncü Kişi Talepleri ve Gizlilik

    2.1 Tedarikçi, Kyndryl tarafından önceden yazılı olarak yetki verilmedikçe, Kyndryl Verilerini herhangi bir üçüncü kişiye ifşa etmeyecektir.  Herhangi bir düzenleyici kurum da dahil olmak üzere bir devletin Kyndryl Verilerine erişim talep etmesi halinde (örneğin, ABD hükümeti, Tedarikçiye Kyndryl Verilerini elde etmesi için ulusal bir güvenlik emri gönderirse) veya Kyndryl Verilerinin başka bir şekilde ifşa edilmesi kanunen zorunluysa, Tedarikçi söz konusu talep veya gereklilikle ilgili olarak Kyndryl'ı yazılı olarak bilgilendirecektir ve Kyndryl'a herhangi bir ifşaya itiraz etmesi için makul bir fırsat tanıyacaktır (yasa gereği bildirim yapılmasının yasak olması durumunda, Tedarikçi, adli işlem veya diğer yollarla Kyndryl Verilerinin yasaklanmasına ve ifşasına itiraz etmek için makul olarak uygun olduğuna inandığı işlemleri gerçekleştirecektir).

    2.2 Tedarikçi, (a) yalnızca Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak için Kyndryl Verilerine erişmesi gereken çalışanlarının, sadece bu Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak için gereken kapsamda ilgili erişime sahip olduğuna; ve (b) Kyndryl Verilerinin yalnızca bu Koşulların izin verdiği ölçüde kullanımını ve ifşasını gerektiren gizlilik yükümlülüklerinin, çalışanları üzerinde bağlayıcı etkiye sahip olacağına dair Kyndryl'a güvence verir.  

    3. Kyndryl Verilerinin İadesi veya Silinmesi

    3.1 Tedarikçi, Kyndryl'ın seçimine bağlı olarak, İşlem Belgesinin feshedilmesi veya süresinin sona ermesi üzerine veya Kyndryl'ın talebi üzerine daha öncesinde Kyndryl Verilerini silecek veya Kyndryl'a iade edecektir.  Kyndryl tarafından silinmesinin gerekli görülmesi durumunda Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak verileri okunamaz ve yeniden birleştirilemez veya yeniden oluşturulamaz hale getirecektir ve silme işleminin gerçekleştirildiğini Kyndryl'a belgeleyecektir.  Kyndryl, Kyndryl Verilerinin iadesini talep ederse, Tedarikçi bunu Kyndryl'ın makul programına ve Kyndryl'ın makul yazılı talimatlarına göre yapacaktır. 

    Madde III, Gizlilik

    İşbu Madde, Tedarikçinin Kyndryl Kişisel Verilerini İşlemesi durumunda geçerlidir.  

    1. Veri İşleme

    1.1 Kyndryl, Tedarikçiyi, işbu Koşullarda, İşlem Belgesinde ve taraflar arasındaki ilgili çerçeve sözleşmesinde yer alanlar da dahil olmak üzere Kyndryl'ın talimatlarına uygun olarak Teslim Edilecek Malzemeleri ve Hizmetleri sağlamak amacıyla Kyndryl Kişisel Verilerini İşlemesi için bir Veri İşleyen olarak görevlendirir.  Tedarikçinin bir talimatı yerine getirmemesi durumunda, Kyndryl, yazılı bildirim üzerine Hizmetlerin etkilenen kısmını feshedebilir.  Tedarikçi, bir talimatın veri koruma yasasını ihlal ettiğine karar verirse, Kyndryl'ı derhal ve yasanın gerektirdiği herhangi bir süre içinde bilgilendirecektir. Tedarikçinin işbu Koşullar kapsamındaki yükümlülüklerinden herhangi birine uymaması ve bu uyumsuzluğun Kişisel Bilgilerin yetkisiz kullanımına neden olması veya genel olarak Kişisel Bilgilerin herhangi bir yetkisiz kullanımı durumunda Kyndryl, işlemeyi durdurma ve uyumsuzluğu düzeltme ve Kyndryl'ın makul talimatına ve programına uygun olarak yetkisiz kullanımın zararlı etkilerini giderme hakkına sahip olacaktır.  

    1.2 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler için geçerli olan tüm veri koruma yasalarına uyacaktır.

    1.3 İşlem Belgesinin Eki veya İşlem Belgesinin kendisi, Kyndryl Verileri ile ilgili olarak aşağıdakileri düzenler:

    (a) İlgili Kişi kategorileri; 

    (b) Kyndryl Kişisel Veri türleri; 

    (c) Veri eylemleri ve Veri İşleme faaliyetleri;

    (d) Veri İşleme süresi ve sıklığı; ve 

    (e) Alt Veri İşleyenlerin listesi.

    2. Teknik ve İdari Tedbirler

    2.1 Tedarikçi, Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği) ve Madde VIII'de (Teknik ve İdari Tedbirler, Genel Güvenlik) belirtilen teknik ve idari tedbirleri uygulayacak ve sürdürecek ve bunu yaparak Hizmetlerin ve Teslim Edilecek Malzemelerin teşkil ettiği riske uygun bir güvenlik seviyesi sağlayacaktır.  Tedarikçi, Madde II, işbu Madde III ve Madde VIII'deki kısıtlamaları onaylamakta ve anlamakta olup, bunlara uyacaktır.   

    3. İlgili Kişinin Hakları ve Talepleri

    3.1 Tedarikçi, bir İlgili Kişinin Kyndryl Kişisel Verileriyle ilgili herhangi bir İlgili Kişi hakkını (örneğin, verilerin düzeltilmesi, silinmesi veya engellenmesi) kullanmasına ilişkin talebi hakkında Kyndryl'ı derhal (Kyndryl ve diğer Veri Sorumlularının yasal yükümlülüklerini yerine getirmesine izin veren bir plana göre) bilgilendirecektir.  Ayrıca, Tedarikçi ilgili talebi ileten bir İlgili Kişiyi derhal Kyndryl'a yönlendirebilir.  Tedarikçi, yasal olarak zorunlu olmadıkça veya Kyndryl tarafından yazılı olarak talimat verilmedikçe, İlgili Kişilerden gelen hiçbir talebi yanıtlamayacaktır.  

    3.2 Kyndryl'ın Kyndryl Kişisel Verileri ile ilgili olarak Diğer Veri Sorumlularına veya diğer üçüncü kişilere (örneğin, İlgili Kişiler veya düzenleyici kurumlar) bilgi sağlamakla yükümlü olması halinde, Tedarikçi, Kyndryl'ın Diğer ilgili Veri Sorumlularına veya üçüncü kişilere zamanında yanıt vermesini sağlayan bir programa göre bilgi sağlayarak ve Kyndryl'ın talep ettiği diğer makul işlemleri gerçekleştirerek Kyndryl'ı destekleyecektir.

    4. Alt Veri İşleyenler

    4.1 Tedarikçi, yeni bir Alt Veri İşleyeni eklemeden veya mevcut bir Alt Veri İşleyen ile Veri İşleme kapsamını genişletmeden önce Kyndryl'a, Alt Veri İşleyenin adını belirten ve yeni veya genişletilmiş Veri İşleme kapsamını açıklayan yazılı bir bildirimde bulunacaktır.  Kyndryl herhangi bir zamanda bu tür yeni Alt Veri İşleyene veya genişletilmiş kapsama makul gerekçelerle itiraz edebilir ve bunu yapması durumunda taraflar Kyndryl'ın itirazını ele almak için iyi niyetle birlikte çalışacaklardır.  Kyndryl'ın herhangi bir zamanda itiraz etme hakkına tabi olacak şekilde, Kyndryl tarafından Tedarikçinin yazılı bildirim tarihinden itibaren 30 Gün içinde itiraz yapılmaması halinde, Tedarikçi yeni Alt Veri İşleyeni görevlendirebilir veya mevcut Alt Veri İşleyeninin Veri İşleme kapsamını genişletebilir.  

    4.2 Tedarikçi, bir Alt Veri İşleyen tarafından herhangi bir Kyndryl Verisi İşlenmeden önce, onaylanan her Alt Veri İşleyen tarafından işbu Koşullarda belirtilen veri koruma, güvenlik ve belgelendirme yükümlülüklere uyulmasını sağlayacaktır.  Tedarikçi, her bir Alt Veri İşleyenin yükümlülüklerinin yerine getirilmesi konusunda Kyndryl'a karşı tamamen sorumludur. 

    5. Yurt Dışında Veri İşleme

    Aşağıda kullanıldığı gibi:

    Yeterli Koruma Sağlayan Ülke, yürürlükteki veri koruma yasaları veya düzenleyici kurumların kararları uyarınca ilgili aktarımla ilgili olarak yeterli düzeyde veri koruması sağlayan bir ülke anlamına gelir.

    Yurtdışından Veri Aktaran, Yeterli Koruma Sağlayan Ülkede kurulu olmayan bir Veri İşleyen veya Alt Veri İşleyen anlamına gelir.

    AB Standart Sözleşme Maddeleri  https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en adresinde yayınlandığı şekliyle Madde 9(a)'nın 1. seçeneği ve 17. Maddenin 2. seçeneği dışında uygulanan isteğe bağlı maddelerle birlikte AB Standart Sözleşme Maddeleri (2021/914 sayılı Komisyon Kararı) anlamına gelir.

    Sırbistan Standart Sözleşme Maddeleri, https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx adresinde yayınlanan, "Sırbistan Kamusal Öneme Sahip Bilgiler ve Kişisel Verilerin Korunması Yetkilisi" tarafından uyarlandığı haliyle Sırbistan Standart Sözleşme Maddeleri anlamına gelir.

    Standart Sözleşme Maddeleri , Kişisel Verilerin Yeterli Koruma Sağlayan Ülkelerde kurulu olmayan Veri İşleyenlere aktarımı için geçerli veri koruma yasalarının gerektirdiği sözleşme maddeleri anlamına gelir.

    AB Komisyonu Standart Sözleşme Maddelerine Birleşik Krallık Uluslararası Veri Aktarımı Ek Sözleşmesi ("Birleşik Krallık Ek Sözleşmesi"), https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ adresinde resmi olarak yayınlandığı şekliyle AB Komisyonu Standart Sözleşme Maddelerine Birleşik Krallık Uluslararası Veri Aktarımı Ek Sözleşmesi anlamına gelir.

    AB Komisyonu Standart Sözleşme Maddelerine İsviçre Ek Sözleşmesi ("İsviçre Ek Sözleşmesi"), İsviçre Veri Koruma Kurumunun ("FDPIC") kararına uygun olarak ve İsviçre Veri Koruma Kanununa (“FADP”) uygun olarak geçerli olan AB Komisyonu Standart Sözleşme Maddelerine ilişkin sözleşme maddeleri anlamına gelir.

    5.1 Tedarikçi, Kyndryl'ın önceden yazılı izni olmaksızın herhangi bir Kyndryl Kişisel Verisini yurt dışına aktarmayacak veya ifşa etmeyecektir (uzaktan erişim dahil).  Kyndryl tarafından böyle bir onay verilmesi durumunda taraflar, geçerli veri koruma yasalarına uyum sağlamak için işbirliği yapacaklardır.  Bu kanunlar Standart Sözleşme Maddelerini zorunlu kılıyorsa Tedarikçi, Kyndryl'ın talebi üzerine Standart Sözleşme Maddelerini derhal imzalayacaktır.

    5.2 AB Standart Sözleşme Maddeleri uyarınca:

    (a) Tedarikçi Yeterli Koruma Sağlayan Ülkede kurulu değilse: Tedarikçi, işbu belgeyle Yurtdışından Veri Aktaran olarak Kyndryl ile AB Standart Sözleşme Maddelerini imzalamaktadır ve Tedarikçi, AB Standart Sözleşme Maddeleri, Madde 9'a uygun olarak her bir onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep edilmesi halinde bu sözleşmelerin kopyalarını Kyndryl'a temin edecektir. 

    (i) Taraflar arasında yazılı olarak aksi kabul edilmedikçe AB Standart Sözleşme Maddelerinin Modül 1'i geçerli değildir.

    (ii) Kyndryl'ın Veri Sorumlusu olduğu durumlarda AB Standart Sözleşme Maddelerinin Modül 2'si ve Kyndryl'ın Veri işleyen olduğu durumlarda ise Modül 3 geçerli olacaktır. AB Standart Sözleşme Maddelerinin Madde 13'üne uygun olarak Modül 2 veya 3'ün geçerli olduğu durumlarda taraflar, (1) AB Standart Sözleşme Maddelerinin yetkili denetim kurumunun bulunduğu AB üye devletinin yasasına göre uygulanacağını ve (2) AB Standart Sözleşme Maddelerinden kaynaklanan herhangi bir anlaşmazlığın yetkili denetim kurumunun bulunduğu AB üye devletinin mahkemeleri tarafından çözüme kavuşturulacağını kabul ederler. (1) numaralı maddede belirtilen yasa, üçüncü kişi lehtar haklarına izin vermiyorsa, AB Standart Sözleşme Maddeleri, Hollanda yasalarına tabi olacaktır ve (2) numaralı maddedeki AB Standart Sözleşme Maddelerinden kaynaklanan herhangi bir ihtilaf, Hollanda'daki Amsterdam mahkemesi tarafından çözülecektir.

    (b) Tedarikçi ve Kyndryl'ı içeren her iki tarafın da Yeterli Koruma Sağlayan Ülkede kurulu olması durumunda, Tedarikçi, Yurtdışına Veri Aktaran olarak hareket edecek ve Yeterli Koruma Sağlamayan Ülkedeki her bir onaylı Alt Veri İşleyen ile AB Standart Sözleşme Maddelerini imzalayacaktır. Tedarikçi, gerekli Transfer Etki Değerlendirmesini gerçekleştirecek ve herhangi bir gecikmeye mahal vermeden (1) ek tedbirlerin uygulanmasına ilişkin herhangi bir ihtiyaç ve (2) uygulanan tedbirler hakkında Kyndryl'ı bilgilendirecektir. İstek üzerine Tedarikçi, Transfer Etki Değerlendirmesinin sonuçlarını ve sonuçların anlaşılması ve değerlendirilmesi için gerekli tüm bilgileri Kyndryl'a sağlayacaktır. Kyndryl'ın Tedarikçilerin Transfer Etki Değerlendirmesinin sonuçlarını veya uygulanan ek tedbirleri kabul etmemesi durumunda, Kyndryl ve Tedarikçi uygulanabilir bir çözüm bulmak için birlikte çalışacaktır. Kyndryl, ilgili Tedarikçi hizmetlerini tazminat ödemeden askıya alma veya sonlandırma hakkına sahiptir. Şüpheye mahal vermemek adına bu koşul, Tedarikçinin Alt Veri İşleyenlerini aşağıda madde 5.2 (d)'de belirtildiği gibi Kyndryl veya Kyndryl'ın Müşterileri ile AB Standart Sözleşme Maddelerine taraf olma yükümlülüğünden kurtarmaz.

    (c) Tedarikçinin Avrupa Ekonomik Bölgesi'nde kurulmuş olması ve Kyndryl'ın 2016/679 sayılı Genel Veri Koruma Yönetmeliği'ne tabi olmayan bir Veri Sorumlusu olması durumunda AB Standart Sözleşme Maddelerinin Modül 4'ü geçerli olacak ve Tedarikçi, yurtdışına veri aktaran olarak Kyndryl ile birlikte AB Standart Sözleşme Maddelerini imzalayacaktır.  AB Standart Sözleşme Maddelerinin Modül 4'ü geçerliyse, taraflar AB Standart Sözleşme Maddelerinin Hollanda yasalarına tabi olacağını ve AB Standart Sözleşme Maddelerinden kaynaklanan herhangi bir ihtilafın Hollanda'daki Amsterdam mahkemesi tarafından çözüleceğini kabul ederler.  

    (d) Müşteriler veya bağlı kuruluşlar gibi Diğer Veri Sorumluları, Madde 7'deki "yerleştirme hükmü" uyarınca AB Standart Sözleşme Maddelerine taraf olmayı talep ederlerse, Tedarikçi işbu madde gereği bu tür bir talebi kabul eder.  

    (e) AB Standart Sözleşme Maddelerinin Ek II'sini tamamlamak için gereken Teknik ve İdari Tedbirler, işbu Koşullarda, İşlem Belgesinde ve taraflar arasındaki ilgili çerçeve sözleşmesinde açıklanmaktadır.

    (f) AB Standart Sözleşme Maddeleri ve işbu Koşullar arasında herhangi bir çelişki olması halinde AB Standart Sözleşme Maddeleri geçerli olacaktır.

    5.3 Birleşik Krallık Ek Sözleşmesi/Sözleşmeleri uyarınca:

    a. Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulmadıysa: (i) Tedarikçi işbu belgeyle yukarıda belirtilen AB Standart Sözleşme Maddelerine eklenmek üzere, Yurtdışından Veri Aktaran olarak Kyndryl ile (veri işleme faaliyetlerinin koşullarına bağlı olarak geçerli olduğu şekilde) Birleşik Krallık Ek Sözleşmesini imzalamaktadır ve (ii) Tedarikçi, onaylanmış her Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep üzerine Kyndryl'e bu sözleşmelerin kopyalarını sağlayacaktır.

    b. Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulduysa ve Kyndryl, Birleşik Krallık Genel Veri Koruma Yönetmeliği'ne (2018 Avrupa Birliği (Feragat) Yasası kapsamında Birleşik Krallık yasalarına dahil edildiği şekliyle) tabi olmayan bir Veri Sorumlusu ise, Tedarikçi işbu belgeyle yukarıda Madde 5.2(b)'de belirtilen AB Standart Sözleşmelerine eklenmek üzere Kyndryl ile Yurtdışına Veri Aktaran olarak Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini imzalamaktadır. 

    c. Müşteri veya bağlı kuruluşlar gibi diğer Veri Sorumlularının Birleşik Krallık Ek Sözleşmesine/Sözleşmelerine taraf olmayı talep etmeleri halinde, Tedarikçi işbu belgeyle bu tür herhangi bir talebi kabul eder.

    d. Birleşik Krallık Ek Sözleşmesinde/Sözleşmelerinde yer alan Ek Bilgilerine (Tablo 3'te belirtilir), geçerli AB Standart Sözleşme Maddelerinden, bu Koşullardan, İşlem Belgesinin kendisinden ve taraflar arasındaki ilgili çerçeve sözleşmesinden ulaşılabilir. Birleşik Krallık Ek Sözleşmesinde değişiklik olması halinde Kyndryl veya Tedarikçi, Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini sona erdiremez.

    e. Birleşik Krallık Sözleşmesiyle/Sözleşmeleriyle bu Koşullar arasında herhangi bir çelişki olması halinde Birleşik Krallık Sözleşmesi/Sözleşmeleri geçerli olacaktır.

    5.4 Sırbistan Standart Sözleşme Maddeleri uyarınca:

    a. Tedarikçinin Yeterli Koruma Sağlayan Ülkede kurulu olmaması durumunda: (i) Tedarikçi işbu madde gereği Veri İşleyen sıfatıyla kendi adına Kyndryl ile Sırbistan Standart Sözleşme Maddelerini imzalamaktadır; ve (ii) Tedarikçi, Sırbistan Standart Sözleşme Maddelerinin Madde 8'ine göre her bir onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep edilmesi halinde ilgili sözleşmelerin kopyalarını Kyndryl'a temin edecektir.

    b. Tedarikçinin Yeterli Koruma Sağlayan Ülkede kurulu olması durumunda, Tedarikçi, bununla birlikte Yeterli Koruma Sağlamayan Ülkede kurulu olan her bir Alt Veri İşleyen adına Kyndryl ile birlikte Sırbistan Standart Sözleşme Maddelerini imzalamaktadır.  Tedarikçi, söz konusu herhangi bir Alt Veri İşleyen için bunu yapamazsa, Alt Veri İşleyenin Kyndryl Kişisel Verisini İşlemesine izin vermeden önce, Tedarikçi, Kyndryl tarafından imzalanmak üzere Alt Veri İşleyen tarafından imzalanmış Sırbistan Standart Sözleşme Maddelerini Kyndryl'a sağlayacaktır.

    c. Kyndryl ve Tedarikçi arasındaki Sırbistan Standart Sözleşme Maddeleri, duruma göre Veri Sorumlusu ve Veri İşleyen arasındaki Sırbistan Standart Sözleşme Maddeleri olarak veya "veri işleyen" ve "alt veri işleyen" arasındaki karşılıklı yazılı sözleşme olarak işlev gösterecektir.  Sırbistan Standart Sözleşme Maddeleri ve işbu Koşullar arasında herhangi bir çelişki olması halinde Sırbistan Standart Sözleşme Maddeleri geçerli olacaktır.

    d. Kişisel Verilerin Yeterli Koruma Sağlamayan Ülkeye aktarımının düzenlenmesi kapsamında Sırbistan Standart Sözleşme Maddelerinin Ek 1 ila 8'ini tamamlamak için gerekli bilgiler, işbu Koşullarda ve İşlem Belgesinin Ekinde veya İşlem Belgesinde bulunabilir.

    5.5. İsviçre Ek Sözleşmesi/Sözleşmeleri uyarınca: 

    1. Kyndryl Kişisel Verilerinin 5.1. nolu madde kapsamında aktarılmasının İsviçre Federal Veri Koruma Yasası'na ("FADP") tabi olması durumunda verilerin aktarılması, İsviçre Kişisel Verileri için GDPR standardının kabulüne yönelik aşağıdaki değişikliklerle birlikte, bu Şartların 5.2. nolu Maddesinde kabul edilen AB Standart Sözleşme Maddeleri uyarınca gerçekleşir:

    • Genel Veri Koruma Yönetmeliğine ("GDPR") yapılan atıflar, aynı zamanda FADP'nin eşdeğer hükümlerine yapılan atıflar olarak anlaşılır ve

    • İsviçre Federal Veri Koruma Bilgi Komisyonu, AB Standart Sözleşme Maddelerinin 13. Maddesi ve I.C nolu Ekine göre yetkili denetim makamıdır

    • Veri aktarımının münhasıran FADP'ye tabi olması durumunda İsviçre yasaları geçerlidir ve

    • AB Standart Sözleşme Maddelerinin 18. Maddesinde yer alan "üye ülke" terimi, İsviçreli veri sahiplerinin haklarını ikamet ettikleri yerde aramalarına izin vermek amacıyla İsviçre'yi de kapsayacak şekilde genişletilir.

    1. Şüpheye mahal vermemek adına, yukarıdakilerden hiçbiri, AB Standart Sözleşme Maddeleri tarafından sağlanan veri koruma seviyesini herhangi bir şekilde azaltmayı amaçlamaz, ancak yalnızca bu koruma seviyesini İsviçreli veri sahiplerini kapsayacak şekilde genişletmeyi amaçlar. Böyle bir durumun olmaması ve söz konusu olmadığı kapsamda, AB Standart Sözleşme Maddeleri geçerlidir.

    6. Yardım ve Kayıtlar

    6.1 Tedarikçi, Veri İşlemenin yapısını göz önünde bulundurarak, İlgili Kişinin talepleri ve haklarıyla ilgili yükümlülükleri yerine getirmek için uygun teknik ve idari tedbirleri önlemler alarak Kyndryl'a yardımcı olacaktır.  Ayrıca, Tedarikçi, elindeki mevcut bilgileri dikkate alarak Veri İşlemenin güvenliği, bir Güvenlik İhlalinin bildirilmesi ve iletilmesi ve gerekirse sorumlu düzenleyici kurum ile önceden istişare dahil olmak üzere veri koruması etki değerlendirmelerinin oluşturulması ile ilgili yükümlülüklere uygunluğun sağlanması hususunda Kyndryl'a yardımcı olacaktır.

    6.2 Tedarikçi, her bir Alt Veri İşleyenin temsilcisi ve veri koruma görevlisi dahil olmak üzere her bir Alt Veri İşleyenin adının ve iletişim bilgilerinin güncel kaydını tutacaktır.  İstek üzerine Tedarikçi, bu kaydı Kyndryl'a, Kyndryl'ın bir Müşteriden veya başka bir üçüncü kişiden gelen herhangi bir talebe zamanında yanıt vermesine olanak tanıyan bir programa göre sağlayacaktır. 

    Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

    İşbu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir; ancak Tedarikçinin yalnızca söz konusu Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken Kyndryl'ın İş İletişim Bilgilerine erişememesi (yani, Tedarikçi başka herhangi bir Kyndryl Verisini İşlemeyecek veya başka herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişemeyecektir) halinde, Tedarikçinin yegane Hizmetleri ve Teslim Edilecek Malzemeleri, Kyndryl'a Şirket İçi Yazılım sağlamak olacak veya Tedarikçi tüm Hizmetlerini ve Teslim Edilecek Malzemelerini Madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modelinde sağlayacaktır.  

    Tedarikçi, bu Maddenin gerekliliklerine uyacak ve bunu yaparak: (a) Kyndryl Malzemelerini kayıp, tahribat, değişiklik, kazara veya yetkisiz ifşa ve kazara veya yetkisiz erişime, (b) Kyndryl Verilerini yasalara aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini yasa dışı Kullanım biçimlerine karşı koruyacaktır. İşbu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken ve Kyndryl Teknolojisini Kullanırken çalıştırdığı veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Güvenlik Politikaları

    1.1 Tedarikçi, kendi işinin ayrılmaz bir parçası olan, tüm Tedarikçi Personeli için zorunlu olan ve Sektördeki En İyi Uygulamalar ile tutarlı olan BT güvenlik politikalarını ve uygulamalarını uygulayacak ve takip edecektir.  

    1.2 Tedarikçi, BT güvenlik politikalarını ve uygulamalarını en az yılda bir kez gözden geçirecek ve Kyndryl Malzemelerini korumak için gerekli gördüğü şekilde değiştirecektir.

    1.3 Tedarikçi, işe alınan tüm yeni çalışanlar için standart, zorunlu istihdam doğrulama gerekliliklerini uygulayacak ve takip edecek ve bu gereklilikleri tüm Tedarikçi Personeli ve tamamına sahip olunan Tedarikçi iştiraklerini kapsayacak şekilde genişletecektir.  Bu gereksinimler, yerel yasaların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulama kanıtını ve Tedarikçinin gerekli gördüğü ilave kontrolleri içerecektir.  Tedarikçi, gerekli gördüğü şekilde bu gereklilikleri periyodik olarak tekrarlayacak ve yeniden doğrulayacaktır. 

    1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi verecek ve söz konusu çalışanların tamamından Tedarikçinin davranış kurallarında veya benzer belgelerde belirtilen şekilde Tedarikçinin etik iş davranışı, gizlilik ve güvenlik politikalarına uyacaklarını her yıl belgelendirmelerini isteyecektir.  Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetimsel erişimi olan kişilere, rollerine ve Hizmetlere, Teslim Edilecek Malzemelere ve Kyndryl Malzemelerine yönelik desteğe özel ve gerekli uygunluğu ve sertifikaları sürdürmek için gerektiği şekilde ek politika ve süreç eğitimi sağlayacaktır.

    1.5 Tedarikçi, Kyndryl Malzemelerinin kullanılabilirliğini korumak ve sürdürmek için, tüm Hizmetler ve Teslim Edilecek Malzeme ve Kyndryl Teknolojisinin tüm Kullanımı için tasarım, güvenli mühendislik ve güvenli operasyonlar kapsamında güvenlik ve gizlilik gerektiren politika ve prosedürlerin uygulanması, sürdürülmesi ve uygunluğu dahil olmak üzere güvenlik ve gizlilik önlemleri tasarlayacaktır.

    2. Güvenlik Olayları

    2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınması için Sektördeki En İyi Uygulamalar ile tutarlı belgelenmiş olay müdahale politikalarını sürdürecek ve izleyecektir.

    2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi veya yetkisiz kullanımı araştıracak ve uygun bir müdahale planı tanımlayıp uygulayacaktır.

    2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir.  Tedarikçi bu tür bir bildirimi cyber.incidents@kyndryl.com adresine iletecektir. Tedarikçi, söz konusu ihlal ve Tedarikçinin düzeltme ve eski haline getirme işlemlerinin durumuyla ilgili talep edilen makul bilgileri Kyndryl'a temin edecektir.  Örnek olarak, makul şekilde talep edilen bilgiler, ihlal veya Tedarikçinin düzeltme ve eski haline getirme işlemleriyle ilgili olduğu kapsamda, Cihazlara, sistemlere veya uygulamalara ayrıcalıklı, idari ve diğer erişimleri, Cihazların, sistemlerin veya uygulamaların adli görüntülerini ve diğer benzer öğeleri gösteren log dosyalarını içerebilir.

    2.4 Tedarikçi, bir Güvenlik İhlaliyle ilgili Kyndryl'ın, Kyndryl'ın bağlı şirketlerinin ve Müşterilerin (ve bunların müşterileri ve bağlı şirketleri) herhangi bir yasal yükümlülüğünü (düzenleyici kurumlara veya İlgili Kişilere bildirim yapma yükümlülüğü de dahil) yerine getirilmesi için Kyndryl'a makul destek sağlayacaktır.

    2.5 Tedarikçi, Kyndryl tarafından yazılı olarak onaylanmadığı müddetçe veya yasa kapsamında gerekli görülmedikçe, bir Güvenlik İhlalinin doğrudan veya dolaylı olarak Kyndryl veya Kyndryl Malzemeleri ile ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek veya bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'ın kimliğini doğrudan veya dolaylı olarak ifşa edeceği herhangi bir üçüncü kişiye yasa gereği yapılması gereken herhangi bir bildirimi dağıtmadan önce Kyndryl'ı yazılı olarak bilgilendirecektir. 

    2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlali olması halinde:

    (a) Tedarikçi, Kyndryl'ın geçerli düzenleyici kurumlara, diğer devlet ve ilgili sektör öz-denetim kurumlarına, medyaya (yürürlükteki yasalar gerektiriyorsa), İlgili Kişilere, Müşterilere ve diğerlerine Güvenlik İhlalini bildirirken maruz kaldığı tüm maliyetlerden ve ayrıca Kyndryl'ın maruz kaldığı gerçek maliyetlerden sorumlu olacaktır,

    (b) Kyndryl'ın talep etmesi halinde, söz konusu İlgili Kişilerin Güvenlik İhlali hakkında bilgilendirildiği tarihten sonraki 1 yıl veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Tedarikçi, İlgili Kişilerin Güvenlik İhlali ve bunun sonuçlarıyla ilgili sorularını yanıtlamak için, masrafları kendisine ait olmak üzere, bir çağrı merkezi kuracaktır.  Kyndryl ve Tedarikçi, sorgulara yanıt verirken çağrı merkezi personeli tarafından kullanılacak metinleri ve diğer materyalleri oluşturmak için birlikte çalışacaktır.  Alternatif olarak, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçinin bir çağrı merkezi kurması yerine kendi çağrı merkezini kurabilir ve kullanabilir ve Tedarikçi, Kyndryl'ın söz konusu çağrı merkezini kurmak ve kullanmak için maruz kaldığı gerçek maliyetleri hususunda Kyndryl'ı tazmin edecektir ve

    (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi yenileme hizmetlerine kaydolmayı seçen kişilerin Güvenlik İhlali konusunda bilgilendirildiği tarihten itibaren 1 yıl boyunca veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Kyndryl'ın söz konusu hizmetleri sağlarken maruz kaldığı gerçek masraflar hususunda Kyndryl'ı tazmin edecektir.

    3. Fiziksel Güvenlik ve Giriş Kontrolü (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir).

    3.1 Tedarikçi, Tesislere yetkisiz girişlere karşı koruma sağlamak için bariyerler, kartla kontrol edilen giriş noktaları, gözetim kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrollerini kullanacaktır.  

    3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere, Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay isteyecek ve erişimi iş rolüne ve iş ihtiyacına göre sınırlayacaktır.  Tedarikçinin geçici erişim izni vermesi halinde, yetkili çalışanı Tesiste ve kontrollü alanlarda herhangi bir ziyaretçiye eşlik edecektir.

    3.3 Tedarikçi, Tesisler içindeki kontrollü alanlara girişi uygun şekilde kısıtlamak için Sektördeki En İyi Uygulamalarla tutarlı çok faktörlü erişim kontrolleri dahil olmak üzere fiziksel erişim kontrolleri uygulayacak, tüm giriş girişimlerini kaydedecek ve bu tür kayıtları en az bir yıl süreyle saklayacaktır. 

    3.4 Tedarikçi, (a) yetkili bir Tedarikçi çalışanının ayrılması veya (b) yetkili Tedarikçi çalışanının artık geçerli bir iş erişimi ihtiyacı kalmaması durumunda, Tesislere ve Tesisler içindeki kontrollü alanlara erişimi iptal edecektir.  Tedarikçi, erişim kontrol listelerinden derhal çıkarma ve fiziksel erişim rozetlerinin teslim edilmesini içeren resmi olarak belgelendirilmiş ayırma prosedürlerini izleyecektir.

    3.5 Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin Kullanımını desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, sel, nem, hırsızlık ve vandalizm gibi hem doğal hem de insan kaynaklı çevresel tehditlere karşı korumak amacıyla önlemler alacaktır.

    4. Erişim, Müdahale, Aktarım ve Ayırma Kontrolü

    4.1 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında yönettiği ağlar için belgelenmiş güvenlik mimarisi kullanacaktır.  Tedarikçi, bu tür ağ mimarisini ayrıca gözden geçirecek ve güvenli segmentasyon, izolasyon ve derinlemesine savunma standartlarına uyum için sistemlere, uygulamalara ve ağ cihazlarına yetkisiz ağ bağlantılarını önleyecek önlemler alacaktır.  Tedarikçi, herhangi bir Barındırılan Hizmetin barındırılmasında ve işletilmesinde kablosuz teknolojiyi kullanamaz; aksi takdirde Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin tesliminde ve Kyndryl Teknolojisinin Kullanımında kablosuz ağ teknolojisini kullanabilir, ancak Tedarikçi bu tür kablosuz ağları şifreleyecek ve bunlar için güvenli kimlik doğrulaması gerektirecektir.

    4.2 Tedarikçi, Kyndryl Malzemelerinin yetkisiz kişiler tarafından ifşa edilmesini veya erişim sağlanmasını mantıksal olarak ayırmak ve önlemek için tasarlanmış önlemler alacaktır.  Ayrıca, Tedarikçi, üretim, üretim dışı ve diğer ortamlarda uygun izolasyonu sürdürecek ve Kyndryl Malzemelerinin üretim dışı bir ortamda halihazırda olması veya bu ortama aktarılması halinde (örneğin bir hatayı yeniden oluşturmak için), Tedarikçi, üretim dışı ortamdaki güvenlik ve gizlilik korumalarının üretim ortamındakilere eşit olmasını sağlayacaktır.

    4.3 Tedarikçi, taşıma halindeki ve kullanımda olmayan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin kullanımda olmayan Kyndryl Malzemelerini şifrelemenin teknik olarak mümkün olmadığını Kyndryl'ı makul ölçüde tatmin edecek şekilde kanıtlayamadığı hallerde).  Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir.  Tedarikçi, veri şifrelemeyle ilgili güvenli anahtar oluşturma, verme, dağıtma, depolama, döndürme, iptal etme, kurtarma, yedekleme, imha, erişim ve kullanıma yönelik belgelenmiş prosedürleri sürdürecektir.  Tedarikçi, bu tür bir şifreleme için kullanılan belirli kriptografik yöntemlerin Sektördeki En İyi Uygulamalarla (NIST SP 800-131a gibi) uyumlu olmasını sağlayacaktır.

    4.4 Tedarikçi, Kyndryl Malzemelerine erişim talep ederse, bu tür erişimi Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak ve desteklemek için gereken en düşük seviyeyle kısıtlayacak ve sınırlandıracaktır.  Tedarikçi, herhangi bir temel bileşene idari erişim (yani, ayrıcalıklı erişim) dahil olmak üzere bu tür erişimin bireysel, role dayalı olmasını ve görev ayrımı ilkelerine göre yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını isteyecektir.  Tedarikçi, gereksiz ve atıl hesapları tespit etmek ve silmek için önlemler alacaktır. Ayrıca, Tedarikçi, ayrıcalıklı erişime sahip hesapları, hesap sahibinin ayrılmasından veya Kyndryl'ın veya hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebinden sonraki yirmi dört (24) saat içinde iptal edecektir. 

    4.5 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, aktif olmayan oturumların zaman aşımına uğramasını zorunlu kılan teknik önlemler, birden fazla ardışık başarısız oturum açma girişiminden sonra hesapların kilitlenmesi, güçlü parola veya anahtar parolası doğrulaması ve bu tür parolaların ve anahtar parolalarının güvenli aktarımını ve saklanmasını gerektiren önlemleri uygulayacaktır.  Ayrıca, Tedarikçi, herhangi bir Kyndryl Malzemesine konsol dışı tüm ayrıcalıklı erişimler için çok faktörlü kimlik doğrulamasını kullanacaktır.

    4.6 Tedarikçi, (a) yetkisiz erişimi ve faaliyeti tespit etmek, (b) bu ​​tür erişim ve faaliyete zamanında ve uygun müdahaleyi kolaylaştırmak ve (c) belgelenmiş Tedarikçi politikasına uygunluğun Tedarikçi, Kyndryl (işbu Koşullardaki doğrulama hakları ve İşlem Belgesindeki veya ilişkili temel sözleşme veya taraflar arasındaki diğer ilgili anlaşmadaki denetim hakları uyarınca) ve diğerleri tarafından denetlenebilmesi için ayrıcalıklı erişim kullanımını izleyecek ve güvenlik bilgileri ve olay yönetimi önlemleri uygulayacaktır. 

    4.7 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullanılan sistemlerle ilgili olarak tüm yönetimsel, kullanıcı veya diğer erişim ya da işlemleri kaydettiği log dosyalarını saklayacaktır (ve bu log dosyalarını Talep üzerine Kyndryl'a temin edecektir).  Tedarikçi, bu tür log dosyalarına yetkisiz erişim, değişiklik ve kazara veya kasıtlı olarak imha edilmeye karşı koruma sağlamak üzere tasarlanmış önlemler alacaktır.

    4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere sahip olduğu veya yönettiği sistemler için ve Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ya da Kyndryl Teknolojisinin Kullanımında kullandığı sistemler için hesaplama korumaları sağlayacak ve söz konusu koruma sistemleri, uç nokta güvenlik duvarlarını, tam disk şifrelemeyi, kötü amaçlı yazılımları ve gelişmiş kalıcı tehditleri ele almak için imzalı ve imzasız uç nokta algılama ve yanıt teknolojilerini, zamana dayalı ekran kilitlerini ve güvenlik yapılandırması ve yamalama gereksinimlerini uygulayan uç nokta yönetimi çözümlerini içerecektir.  Ayrıca, Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve operasyonel kontroller uygulayacaktır.

    4.9 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olacak şekilde, Kyndryl Malzemelerinin bulunduğu veya işlendiği veri merkezi ortamları için izinsiz girişi tespit etme ve önleme ve hizmet saldırısı karşı önlemlerinin önlenmesi ve inkar edilmesi ve hafifletme dahil olmak üzere korumalar sağlayacaktır. 

    5. Hizmet ve Sistem Bütünlüğü ve Kullanılabilirlik Kontrolü 

    5.1 Tedarikçi: (a) en az yıllık esasta güvenlik ve gizlilik riski değerlendirmeleri gerçekleştirecek, (b) üretimin piyasaya sürülmesinden önce otomatik sistem ve uygulama güvenlik taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testi gerçekleştirecek ve güvenlik açıklarını değerlendirecektir ve bu işlemleri, Hizmetler ve Teslim Edilecek Malzemelerle ilgili olması halinde her yıl ve Kyndryl Teknolojisinin Kullanımına ilişkin olarak her yıl gerçekleştirecektir, (c) hem otomatik hem de manuel testi içerecek şekilde Sektördeki En İyi Uygulamalara uygun olarak penetrasyon testi gerçekleştirmek üzere nitelikli bağımsız bir üçüncü kişiden yardım alacak, (d) Hizmetler ve Teslim Edilecek Malzemelerin her bir bileşeni için ve Kyndryl Teknolojisinin Kullanımıyla ilgili olarak güvenlik konfigürasyon gerekliliklerine uygunluğun otomatik yönetim ve rutin doğrulamasını yapacak ve (e) ilgili risk, istismar edilebilirlik ve etkiye dayalı olarak güvenlik konfigürasyonu gerekliliklerinde tespit edilen güvenlik açıklarını veya uygunsuzlukları giderecektir.  Tedarikçi, testlerini, değerlendirmelerini, taramalarını gerçekleştirirken ve düzeltme faaliyetlerini yürütürken Hizmetlerde aksamayı önlemek için makul adımlar atacaktır.  Kyndryl'ın talebi üzerine Tedarikçi, Kyndryl'a Tedarikçinin en son sızma testi faaliyetlerinin yazılı özetini sağlayacaktır ve bu rapor asgari düzeyde testin içerdiği olanakların adını, test kapsamı dahilindeki sistemlerin veya uygulamaların sayısını, test tarihlerini, testte kullanılan metodoloji ve bulguların üst düzey özetini içerecektir.

    5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde veya Kyndryl Teknolojisinin Kullanımında yapılan değişikliklerin uygulanmasıyla ilgili riskleri yönetmek için tasarlanmış politikalar ve prosedürler uygulayacaktır.  Tedarikçi, etkilenen sistemler, ağlar ve ilgili bileşenler de dahil olmak üzere böyle bir değişikliği uygulamadan önce kayıtlı bir değişiklik talebi kapsamında: (a) değişikliğin açıklamasını ve nedenini, (b) uygulama ayrıntılarını ve programı, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiyi, (d) beklenen sonucu, (e) geri alma planını ve (f) yetkili Tedarikçi çalışanlarının onayını belgelendirecektir.

    5.3 Tedarikçi, Hizmetlerin yürütülmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm BT varlıklarının envanterini tutacaktır.  Tedarikçi, BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin temel bileşenleri dahil olmak üzere söz konusu BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir. 

    5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalara uygun önceden tanımlanmış sistem güvenlik görüntüleri veya güvenlik temellerinden oluşturacaktır.

    5.5 Tedarikçinin yükümlülüklerini veya Kyndryl'ın İşlem Belgesi veya taraflar arasındaki ilgili çerçeve sözleşmesi kapsamındaki iş sürekliliğine ilişkin haklarını sınırlamadan, Tedarikçi her bir Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin Kullanımında kullanılan her bir BT sistemini, belgelenmiş risk yönetimi kurallarına göre iş ve BT sürekliliği ve felaketten kurtarma gereklilikleri için ayrı ayrı değerlendirecektir.  Tedarikçi, her bir Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, ilgili risk değerlendirmesinin garanti ettiği kapsamda, Sektördeki En İyi Uygulamalar ile tutarlı, ayrı olarak tanımlanan, belgelendirilen, uygulanan ve yıllık olarak doğrulanmış iş ve BT sürekliliği ve felaketten kurtarma planlarına sahip olmasını sağlayacaktır.  Tedarikçi, bu tür planların aşağıda Madde 5.6'da belirtilen belirli kurtarma sürelerine uygun şekilde tasarlanmasını sağlayacaktır.

    5.6 Herhangi bir Barındırılan Hizmete ilişkin özel kurtarma noktası hedefleri ("RPO") ve kurtarma süresi hedefleri ("RTO") şunlardır: 24 saatlik RPO ve 24 saatlik RTO; buna rağmen, Tedarikçi, Kyndryl tarafından daha kısa süreli RPO veya RTO'nun yazılı olarak bildirilmesinden hemen sonra, Kyndryl'ın bir Müşteriye taahhüt ettiği daha kısa süreli RPO veya RTO'ya uyacaktır (e-posta bir yazı teşkil eder).  Tedarikçi tarafından Kyndryl'a sağlanan diğer tüm Hizmetlerle ilgili olarak, Tedarikçi, iş sürekliliği ve felaketten kurtarma planlarının, Tedarikçinin İşlem Belgesi ve taraflar arasındaki ilgili çerçeve sözleşmesi ve zamanında test, destek ve bakım yükümlülükleri de dahil olmak üzere işbu Koşullar kapsamında düzenlenen Kyndryl'a karşı tüm yükümlülüklerine uymasına olanak tanıyan RPO ve RTO'yu sağlayacak şekilde tasarlandığından emin olacaktır.

    5.7 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler ile ilgili sistemler, ağlar, uygulamalar ve bu Hizmetler ve Teslim Edilecek Malzemeler kapsamındaki ilgili bileşenler ve Kyndryl Teknolojisinin Kullanımında uygulanan sistemler, ağlar, uygulamalar ve ilgili bileşenler için güvenlik uyarı yamalarını değerlendirmek, test etmek ve uygulamak üzere tasarlanmış önlemler uygulayacaktır.  Bir güvenlik uyarı yamasının uygulanabilir ve uygun olduğunu belirledikten sonra Tedarikçi, yamayı belgelenmiş önem derecesin ve risk değerlendirme kurallarına uygun olarak uygulayacaktır.  Tedarikçi, güvenlik uyarı yamalarını değişiklik yönetimi politikasına tabi olarak uygulayacaktır.

    5.8 Kyndryl'ın, Tedarikçi tarafından Kyndryl'a sağlanan donanım veya yazılımın casus yazılım, kötü amaçlı yazılım veya kötü amaçlı kod gibi izinsiz unsurlar içerebileceğine inanmak için makul bir gerekçesi varsa, Tedarikçi, Kyndryl'ın endişelerini araştırmak ve düzeltmek için Kyndryl ile gecikmeden işbirliği yapacaktır.  

    6. Hizmet Sağlama

    6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için endüstride yaygın birleştirilmiş kimlik doğrulama yöntemlerini destekleyecek ve Tedarikçi, ilgili Kyndryl kullanıcısının veya Müşteri hesaplarının kimliğini doğrulamak için Sektördeki En İyi Uygulamaları izleyecektir (örneğin, Kyndryl merkezi olarak yönetilen çok faktörlü Tek Oturum Açma, OpenID Connect veya Güvenlik Onayı İşaretleme Dili).

    7. Alt Yükleniciler.  İşlem Belgesi veya alt yüklenicilerin görevlendirilmesiyle ilgili taraflar arasındaki ilgili çerçeve sözleşmesi kapsamında belirlenen Tedarikçinin yükümlülüklerini veya Kyndryl'ın haklarını sınırlandırmaksızın Tedarikçi, kendisi için iş yapan herhangi bir alt yüklenicinin bu Koşullarda Tedarikçi için düzenlenen gerekliliklere ve yükümlülüklere uymasına ilişkin yönetim kontrollerinin düzenlenmesini sağlayacaktır.  

    8. Fiziksel Ortam. Tedarikçi, yeniden kullanılması amaçlanan fiziksel ortamları bu tür bir yeniden kullanımdan önce güvenli bir şekilde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamları ortam temizliği konusunda Sektördeki En İyi Uygulamalara uygun olarak imha edecektir.

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

  3. Erişimin olması halinde söz konusu erişim için Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.  

    Örnekler:

    • Tedarikçi, Kyndryl veya Müşteriler tarafından Tedarikçiye sağlayan Kişisel Veri olmayan verileri saklar, aktarır, bunlara erişir veya bunları diğer şekillerde İşler.

    Madde II, Teknik ve İdari Tedbirler, Veri Güvenliği

    Bu Madde, Tedarikçinin Kyndryl'ın İş İletişim Bilgileri dışında Kyndryl Verilerini İşlemesi durumunda geçerlidir.  Tedarikçi, tüm Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken bu Maddenin gerekliliklerine uyacak ve bu süreçte Kyndryl Verilerini kayıp, imha, değişiklik, kazara veya yetkisiz ifşa, kazara veya yetkisiz erişim ve yasalara aykırı İşleme biçimlerine karşı koruyacaktır.  Bu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken işlettiği veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Veri Kullanımı

    1.1 Tedarikçi, Kyndryl'ın önceden yazılı izni olmaksızın, Kişisel Veriler dahil olmak üzere, başka herhangi bir bilgi veya veriyi Kyndryl Verilerine ekleyemez veya bunlara dahil edemez ve Tedarikçi, Kyndryl Verilerini toplu veya başka herhangi bir şekilde, Hizmetleri ve Teslim Edilecek Malzemeleri sağlama amacı haricindeki amaçlar için kullanamaz (örnek olarak, Tedarikçinin, Tedarikçi olanaklarının etkinliğini veya iyileştirme yollarını değerlendirmek, yeni olanaklar oluşturmak için araştırma ve geliştirme yapmak veya Tedarikçinin olanaklarına ilişkin raporlar oluşturmak için Kyndryl Verilerini kullanmasına veya yeniden kullanmasına izin verilmez).  İşlem Belgesinde açıkça izin verilmedikçe, Tedarikçinin Kyndryl Verilerini Satması yasaklanmıştır.

    1.2 Tedarikçi, İşlem Belgesinde açıkça izin verilmedikçe, Teslim Edilecek Malzemelere veya Hizmetlerin bir parçası olarak herhangi bir web izleme teknolojisini (bu tür teknolojiler HTML5, yerel depolama, üçüncü kişi etiketleri veya token'leri ve web işaretçilerini içerir) yerleştirmeyecektir. 

    2. Üçüncü Kişi Talepleri ve Gizlilik

    2.1 Tedarikçi, Kyndryl tarafından önceden yazılı olarak yetki verilmedikçe, Kyndryl Verilerini herhangi bir üçüncü kişiye ifşa etmeyecektir.  Herhangi bir düzenleyici kurum da dahil olmak üzere bir devletin Kyndryl Verilerine erişim talep etmesi halinde (örneğin, ABD hükümeti, Tedarikçiye Kyndryl Verilerini elde etmesi için ulusal bir güvenlik emri gönderirse) veya Kyndryl Verilerinin başka bir şekilde ifşa edilmesi kanunen zorunluysa, Tedarikçi söz konusu talep veya gereklilikle ilgili olarak Kyndryl'ı yazılı olarak bilgilendirecektir ve Kyndryl'a herhangi bir ifşaya itiraz etmesi için makul bir fırsat tanıyacaktır (yasa gereği bildirim yapılmasının yasak olması durumunda, Tedarikçi, adli işlem veya diğer yollarla Kyndryl Verilerinin yasaklanmasına ve ifşasına itiraz etmek için makul olarak uygun olduğuna inandığı işlemleri gerçekleştirecektir).

    2.2 Tedarikçi, (a) yalnızca Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak için Kyndryl Verilerine erişmesi gereken çalışanlarının, sadece bu Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak için gereken kapsamda ilgili erişime sahip olduğuna; ve (b) Kyndryl Verilerinin yalnızca bu Koşulların izin verdiği ölçüde kullanımını ve ifşasını gerektiren gizlilik yükümlülüklerinin, çalışanları üzerinde bağlayıcı etkiye sahip olacağına dair Kyndryl'a güvence verir.  

    3. Kyndryl Verilerinin İadesi veya Silinmesi

    3.1 Tedarikçi, Kyndryl'ın seçimine bağlı olarak, İşlem Belgesinin feshedilmesi veya süresinin sona ermesi üzerine veya Kyndryl'ın talebi üzerine daha öncesinde Kyndryl Verilerini silecek veya Kyndryl'a iade edecektir.  Kyndryl tarafından silinmesinin gerekli görülmesi durumunda Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak verileri okunamaz ve yeniden birleştirilemez veya yeniden oluşturulamaz hale getirecektir ve silme işleminin gerçekleştirildiğini Kyndryl'a belgeleyecektir.  Kyndryl, Kyndryl Verilerinin iadesini talep ederse, Tedarikçi bunu Kyndryl'ın makul programına ve Kyndryl'ın makul yazılı talimatlarına göre yapacaktır. 

    Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

    İşbu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir; ancak Tedarikçinin yalnızca söz konusu Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken Kyndryl'ın İş İletişim Bilgilerine erişememesi (yani, Tedarikçi başka herhangi bir Kyndryl Verisini İşlemeyecek veya başka herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişemeyecektir) halinde, Tedarikçinin yegane Hizmetleri ve Teslim Edilecek Malzemeleri, Kyndryl'a Şirket İçi Yazılım sağlamak olacak veya Tedarikçi tüm Hizmetlerini ve Teslim Edilecek Malzemelerini Madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modelinde sağlayacaktır.  

    Tedarikçi, bu Maddenin gerekliliklerine uyacak ve bunu yaparak: (a) Kyndryl Malzemelerini kayıp, tahribat, değişiklik, kazara veya yetkisiz ifşa ve kazara veya yetkisiz erişime, (b) Kyndryl Verilerini yasalara aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini yasa dışı Kullanım biçimlerine karşı koruyacaktır. İşbu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken ve Kyndryl Teknolojisini Kullanırken çalıştırdığı veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Güvenlik Politikaları

    1.1 Tedarikçi, kendi işinin ayrılmaz bir parçası olan, tüm Tedarikçi Personeli için zorunlu olan ve Sektördeki En İyi Uygulamalar ile tutarlı olan BT güvenlik politikalarını ve uygulamalarını uygulayacak ve takip edecektir.  

    1.2 Tedarikçi, BT güvenlik politikalarını ve uygulamalarını en az yılda bir kez gözden geçirecek ve Kyndryl Malzemelerini korumak için gerekli gördüğü şekilde değiştirecektir.

    1.3 Tedarikçi, işe alınan tüm yeni çalışanlar için standart, zorunlu istihdam doğrulama gerekliliklerini uygulayacak ve takip edecek ve bu gereklilikleri tüm Tedarikçi Personeli ve tamamına sahip olunan Tedarikçi iştiraklerini kapsayacak şekilde genişletecektir.  Bu gereksinimler, yerel yasaların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulama kanıtını ve Tedarikçinin gerekli gördüğü ilave kontrolleri içerecektir.  Tedarikçi, gerekli gördüğü şekilde bu gereklilikleri periyodik olarak tekrarlayacak ve yeniden doğrulayacaktır. 

    1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi verecek ve söz konusu çalışanların tamamından Tedarikçinin davranış kurallarında veya benzer belgelerde belirtilen şekilde Tedarikçinin etik iş davranışı, gizlilik ve güvenlik politikalarına uyacaklarını her yıl belgelendirmelerini isteyecektir.  Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetimsel erişimi olan kişilere, rollerine ve Hizmetlere, Teslim Edilecek Malzemelere ve Kyndryl Malzemelerine yönelik desteğe özel ve gerekli uygunluğu ve sertifikaları sürdürmek için gerektiği şekilde ek politika ve süreç eğitimi sağlayacaktır.

    1.5 Tedarikçi, Kyndryl Malzemelerinin kullanılabilirliğini korumak ve sürdürmek için, tüm Hizmetler ve Teslim Edilecek Malzeme ve Kyndryl Teknolojisinin tüm Kullanımı için tasarım, güvenli mühendislik ve güvenli operasyonlar kapsamında güvenlik ve gizlilik gerektiren politika ve prosedürlerin uygulanması, sürdürülmesi ve uygunluğu dahil olmak üzere güvenlik ve gizlilik önlemleri tasarlayacaktır.

    2. Güvenlik Olayları

    2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınması için Sektördeki En İyi Uygulamalar ile tutarlı belgelenmiş olay müdahale politikalarını sürdürecek ve izleyecektir.

    2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi veya yetkisiz kullanımı araştıracak ve uygun bir müdahale planı tanımlayıp uygulayacaktır.

    2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir.  Tedarikçi bu tür bir bildirimi cyber.incidents@kyndryl.com adresine iletecektir. Tedarikçi, söz konusu ihlal ve Tedarikçinin düzeltme ve eski haline getirme işlemlerinin durumuyla ilgili talep edilen makul bilgileri Kyndryl'a temin edecektir.  Örnek olarak, makul şekilde talep edilen bilgiler, ihlal veya Tedarikçinin düzeltme ve eski haline getirme işlemleriyle ilgili olduğu kapsamda, Cihazlara, sistemlere veya uygulamalara ayrıcalıklı, idari ve diğer erişimleri, Cihazların, sistemlerin veya uygulamaların adli görüntülerini ve diğer benzer öğeleri gösteren log dosyalarını içerebilir.

    2.4 Tedarikçi, bir Güvenlik İhlaliyle ilgili Kyndryl'ın, Kyndryl'ın bağlı şirketlerinin ve Müşterilerin (ve bunların müşterileri ve bağlı şirketleri) herhangi bir yasal yükümlülüğünü (düzenleyici kurumlara veya İlgili Kişilere bildirim yapma yükümlülüğü de dahil) yerine getirilmesi için Kyndryl'a makul destek sağlayacaktır.

    2.5 Tedarikçi, Kyndryl tarafından yazılı olarak onaylanmadığı müddetçe veya yasa kapsamında gerekli görülmedikçe, bir Güvenlik İhlalinin doğrudan veya dolaylı olarak Kyndryl veya Kyndryl Malzemeleri ile ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek veya bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'ın kimliğini doğrudan veya dolaylı olarak ifşa edeceği herhangi bir üçüncü kişiye yasa gereği yapılması gereken herhangi bir bildirimi dağıtmadan önce Kyndryl'ı yazılı olarak bilgilendirecektir. 

    2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlali olması halinde:

    (a) Tedarikçi, Kyndryl'ın geçerli düzenleyici kurumlara, diğer devlet ve ilgili sektör öz-denetim kurumlarına, medyaya (yürürlükteki yasalar gerektiriyorsa), İlgili Kişilere, Müşterilere ve diğerlerine Güvenlik İhlalini bildirirken maruz kaldığı tüm maliyetlerden ve ayrıca Kyndryl'ın maruz kaldığı gerçek maliyetlerden sorumlu olacaktır,

    (b) Kyndryl'ın talep etmesi halinde, söz konusu İlgili Kişilerin Güvenlik İhlali hakkında bilgilendirildiği tarihten sonraki 1 yıl veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Tedarikçi, İlgili Kişilerin Güvenlik İhlali ve bunun sonuçlarıyla ilgili sorularını yanıtlamak için, masrafları kendisine ait olmak üzere, bir çağrı merkezi kuracaktır.  Kyndryl ve Tedarikçi, sorgulara yanıt verirken çağrı merkezi personeli tarafından kullanılacak metinleri ve diğer materyalleri oluşturmak için birlikte çalışacaktır.  Alternatif olarak, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçinin bir çağrı merkezi kurması yerine kendi çağrı merkezini kurabilir ve kullanabilir ve Tedarikçi, Kyndryl'ın söz konusu çağrı merkezini kurmak ve kullanmak için maruz kaldığı gerçek maliyetleri hususunda Kyndryl'ı tazmin edecektir ve

    (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi yenileme hizmetlerine kaydolmayı seçen kişilerin Güvenlik İhlali konusunda bilgilendirildiği tarihten itibaren 1 yıl boyunca veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Kyndryl'ın söz konusu hizmetleri sağlarken maruz kaldığı gerçek masraflar hususunda Kyndryl'ı tazmin edecektir.

    3. Fiziksel Güvenlik ve Giriş Kontrolü (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir).

    3.1 Tedarikçi, Tesislere yetkisiz girişlere karşı koruma sağlamak için bariyerler, kartla kontrol edilen giriş noktaları, gözetim kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrollerini kullanacaktır.  

    3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere, Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay isteyecek ve erişimi iş rolüne ve iş ihtiyacına göre sınırlayacaktır.  Tedarikçinin geçici erişim izni vermesi halinde, yetkili çalışanı Tesiste ve kontrollü alanlarda herhangi bir ziyaretçiye eşlik edecektir.

    3.3 Tedarikçi, Tesisler içindeki kontrollü alanlara girişi uygun şekilde kısıtlamak için Sektördeki En İyi Uygulamalarla tutarlı çok faktörlü erişim kontrolleri dahil olmak üzere fiziksel erişim kontrolleri uygulayacak, tüm giriş girişimlerini kaydedecek ve bu tür kayıtları en az bir yıl süreyle saklayacaktır. 

    3.4 Tedarikçi, (a) yetkili bir Tedarikçi çalışanının ayrılması veya (b) yetkili Tedarikçi çalışanının artık geçerli bir iş erişimi ihtiyacı kalmaması durumunda, Tesislere ve Tesisler içindeki kontrollü alanlara erişimi iptal edecektir.  Tedarikçi, erişim kontrol listelerinden derhal çıkarma ve fiziksel erişim rozetlerinin teslim edilmesini içeren resmi olarak belgelendirilmiş ayırma prosedürlerini izleyecektir.

    3.5 Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin Kullanımını desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, sel, nem, hırsızlık ve vandalizm gibi hem doğal hem de insan kaynaklı çevresel tehditlere karşı korumak amacıyla önlemler alacaktır.

    4. Erişim, Müdahale, Aktarım ve Ayırma Kontrolü

    4.1 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında yönettiği ağlar için belgelenmiş güvenlik mimarisi kullanacaktır.  Tedarikçi, bu tür ağ mimarisini ayrıca gözden geçirecek ve güvenli segmentasyon, izolasyon ve derinlemesine savunma standartlarına uyum için sistemlere, uygulamalara ve ağ cihazlarına yetkisiz ağ bağlantılarını önleyecek önlemler alacaktır.  Tedarikçi, herhangi bir Barındırılan Hizmetin barındırılmasında ve işletilmesinde kablosuz teknolojiyi kullanamaz; aksi takdirde Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin tesliminde ve Kyndryl Teknolojisinin Kullanımında kablosuz ağ teknolojisini kullanabilir, ancak Tedarikçi bu tür kablosuz ağları şifreleyecek ve bunlar için güvenli kimlik doğrulaması gerektirecektir.

    4.2 Tedarikçi, Kyndryl Malzemelerinin yetkisiz kişiler tarafından ifşa edilmesini veya erişim sağlanmasını mantıksal olarak ayırmak ve önlemek için tasarlanmış önlemler alacaktır.  Ayrıca, Tedarikçi, üretim, üretim dışı ve diğer ortamlarda uygun izolasyonu sürdürecek ve Kyndryl Malzemelerinin üretim dışı bir ortamda halihazırda olması veya bu ortama aktarılması halinde (örneğin bir hatayı yeniden oluşturmak için), Tedarikçi, üretim dışı ortamdaki güvenlik ve gizlilik korumalarının üretim ortamındakilere eşit olmasını sağlayacaktır.

    4.3 Tedarikçi, taşıma halindeki ve kullanımda olmayan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin kullanımda olmayan Kyndryl Malzemelerini şifrelemenin teknik olarak mümkün olmadığını Kyndryl'ı makul ölçüde tatmin edecek şekilde kanıtlayamadığı hallerde).  Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir.  Tedarikçi, veri şifrelemeyle ilgili güvenli anahtar oluşturma, verme, dağıtma, depolama, döndürme, iptal etme, kurtarma, yedekleme, imha, erişim ve kullanıma yönelik belgelenmiş prosedürleri sürdürecektir.  Tedarikçi, bu tür bir şifreleme için kullanılan belirli kriptografik yöntemlerin Sektördeki En İyi Uygulamalarla (NIST SP 800-131a gibi) uyumlu olmasını sağlayacaktır.

    4.4 Tedarikçi, Kyndryl Malzemelerine erişim talep ederse, bu tür erişimi Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak ve desteklemek için gereken en düşük seviyeyle kısıtlayacak ve sınırlandıracaktır.  Tedarikçi, herhangi bir temel bileşene idari erişim (yani, ayrıcalıklı erişim) dahil olmak üzere bu tür erişimin bireysel, role dayalı olmasını ve görev ayrımı ilkelerine göre yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını isteyecektir.  Tedarikçi, gereksiz ve atıl hesapları tespit etmek ve silmek için önlemler alacaktır. Ayrıca, Tedarikçi, ayrıcalıklı erişime sahip hesapları, hesap sahibinin ayrılmasından veya Kyndryl'ın veya hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebinden sonraki yirmi dört (24) saat içinde iptal edecektir. 

    4.5 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, aktif olmayan oturumların zaman aşımına uğramasını zorunlu kılan teknik önlemler, birden fazla ardışık başarısız oturum açma girişiminden sonra hesapların kilitlenmesi, güçlü parola veya anahtar parolası doğrulaması ve bu tür parolaların ve anahtar parolalarının güvenli aktarımını ve saklanmasını gerektiren önlemleri uygulayacaktır.  Ayrıca, Tedarikçi, herhangi bir Kyndryl Malzemesine konsol dışı tüm ayrıcalıklı erişimler için çok faktörlü kimlik doğrulamasını kullanacaktır.

    4.6 Tedarikçi, (a) yetkisiz erişimi ve faaliyeti tespit etmek, (b) bu ​​tür erişim ve faaliyete zamanında ve uygun müdahaleyi kolaylaştırmak ve (c) belgelenmiş Tedarikçi politikasına uygunluğun Tedarikçi, Kyndryl (işbu Koşullardaki doğrulama hakları ve İşlem Belgesindeki veya ilişkili temel sözleşme veya taraflar arasındaki diğer ilgili anlaşmadaki denetim hakları uyarınca) ve diğerleri tarafından denetlenebilmesi için ayrıcalıklı erişim kullanımını izleyecek ve güvenlik bilgileri ve olay yönetimi önlemleri uygulayacaktır. 

    4.7 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullanılan sistemlerle ilgili olarak tüm yönetimsel, kullanıcı veya diğer erişim ya da işlemleri kaydettiği log dosyalarını saklayacaktır (ve bu log dosyalarını Talep üzerine Kyndryl'a temin edecektir).  Tedarikçi, bu tür log dosyalarına yetkisiz erişim, değişiklik ve kazara veya kasıtlı olarak imha edilmeye karşı koruma sağlamak üzere tasarlanmış önlemler alacaktır.

    4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere sahip olduğu veya yönettiği sistemler için ve Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ya da Kyndryl Teknolojisinin Kullanımında kullandığı sistemler için hesaplama korumaları sağlayacak ve söz konusu koruma sistemleri, uç nokta güvenlik duvarlarını, tam disk şifrelemeyi, kötü amaçlı yazılımları ve gelişmiş kalıcı tehditleri ele almak için imzalı ve imzasız uç nokta algılama ve yanıt teknolojilerini, zamana dayalı ekran kilitlerini ve güvenlik yapılandırması ve yamalama gereksinimlerini uygulayan uç nokta yönetimi çözümlerini içerecektir.  Ayrıca, Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve operasyonel kontroller uygulayacaktır.

    4.9 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olacak şekilde, Kyndryl Malzemelerinin bulunduğu veya işlendiği veri merkezi ortamları için izinsiz girişi tespit etme ve önleme ve hizmet saldırısı karşı önlemlerinin önlenmesi ve inkar edilmesi ve hafifletme dahil olmak üzere korumalar sağlayacaktır. 

    5. Hizmet ve Sistem Bütünlüğü ve Kullanılabilirlik Kontrolü 

    5.1 Tedarikçi: (a) en az yıllık esasta güvenlik ve gizlilik riski değerlendirmeleri gerçekleştirecek, (b) üretimin piyasaya sürülmesinden önce otomatik sistem ve uygulama güvenlik taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testi gerçekleştirecek ve güvenlik açıklarını değerlendirecektir ve bu işlemleri, Hizmetler ve Teslim Edilecek Malzemelerle ilgili olması halinde her yıl ve Kyndryl Teknolojisinin Kullanımına ilişkin olarak her yıl gerçekleştirecektir, (c) hem otomatik hem de manuel testi içerecek şekilde Sektördeki En İyi Uygulamalara uygun olarak penetrasyon testi gerçekleştirmek üzere nitelikli bağımsız bir üçüncü kişiden yardım alacak, (d) Hizmetler ve Teslim Edilecek Malzemelerin her bir bileşeni için ve Kyndryl Teknolojisinin Kullanımıyla ilgili olarak güvenlik konfigürasyon gerekliliklerine uygunluğun otomatik yönetim ve rutin doğrulamasını yapacak ve (e) ilgili risk, istismar edilebilirlik ve etkiye dayalı olarak güvenlik konfigürasyonu gerekliliklerinde tespit edilen güvenlik açıklarını veya uygunsuzlukları giderecektir.  Tedarikçi, testlerini, değerlendirmelerini, taramalarını gerçekleştirirken ve düzeltme faaliyetlerini yürütürken Hizmetlerde aksamayı önlemek için makul adımlar atacaktır.  Kyndryl'ın talebi üzerine Tedarikçi, Kyndryl'a Tedarikçinin en son sızma testi faaliyetlerinin yazılı özetini sağlayacaktır ve bu rapor asgari düzeyde testin içerdiği olanakların adını, test kapsamı dahilindeki sistemlerin veya uygulamaların sayısını, test tarihlerini, testte kullanılan metodoloji ve bulguların üst düzey özetini içerecektir.

    5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde veya Kyndryl Teknolojisinin Kullanımında yapılan değişikliklerin uygulanmasıyla ilgili riskleri yönetmek için tasarlanmış politikalar ve prosedürler uygulayacaktır.  Tedarikçi, etkilenen sistemler, ağlar ve ilgili bileşenler de dahil olmak üzere böyle bir değişikliği uygulamadan önce kayıtlı bir değişiklik talebi kapsamında: (a) değişikliğin açıklamasını ve nedenini, (b) uygulama ayrıntılarını ve programı, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiyi, (d) beklenen sonucu, (e) geri alma planını ve (f) yetkili Tedarikçi çalışanlarının onayını belgelendirecektir.

    5.3 Tedarikçi, Hizmetlerin yürütülmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm BT varlıklarının envanterini tutacaktır.  Tedarikçi, BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin temel bileşenleri dahil olmak üzere söz konusu BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir. 

    5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalara uygun önceden tanımlanmış sistem güvenlik görüntüleri veya güvenlik temellerinden oluşturacaktır.

    5.5 Tedarikçinin yükümlülüklerini veya Kyndryl'ın İşlem Belgesi veya taraflar arasındaki ilgili çerçeve sözleşmesi kapsamındaki iş sürekliliğine ilişkin haklarını sınırlamadan, Tedarikçi her bir Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin Kullanımında kullanılan her bir BT sistemini, belgelenmiş risk yönetimi kurallarına göre iş ve BT sürekliliği ve felaketten kurtarma gereklilikleri için ayrı ayrı değerlendirecektir.  Tedarikçi, her bir Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, ilgili risk değerlendirmesinin garanti ettiği kapsamda, Sektördeki En İyi Uygulamalar ile tutarlı, ayrı olarak tanımlanan, belgelendirilen, uygulanan ve yıllık olarak doğrulanmış iş ve BT sürekliliği ve felaketten kurtarma planlarına sahip olmasını sağlayacaktır.  Tedarikçi, bu tür planların aşağıda Madde 5.6'da belirtilen belirli kurtarma sürelerine uygun şekilde tasarlanmasını sağlayacaktır.

    5.6 Herhangi bir Barındırılan Hizmete ilişkin özel kurtarma noktası hedefleri ("RPO") ve kurtarma süresi hedefleri ("RTO") şunlardır: 24 saatlik RPO ve 24 saatlik RTO; buna rağmen, Tedarikçi, Kyndryl tarafından daha kısa süreli RPO veya RTO'nun yazılı olarak bildirilmesinden hemen sonra, Kyndryl'ın bir Müşteriye taahhüt ettiği daha kısa süreli RPO veya RTO'ya uyacaktır (e-posta bir yazı teşkil eder).  Tedarikçi tarafından Kyndryl'a sağlanan diğer tüm Hizmetlerle ilgili olarak, Tedarikçi, iş sürekliliği ve felaketten kurtarma planlarının, Tedarikçinin İşlem Belgesi ve taraflar arasındaki ilgili çerçeve sözleşmesi ve zamanında test, destek ve bakım yükümlülükleri de dahil olmak üzere işbu Koşullar kapsamında düzenlenen Kyndryl'a karşı tüm yükümlülüklerine uymasına olanak tanıyan RPO ve RTO'yu sağlayacak şekilde tasarlandığından emin olacaktır.

    5.7 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler ile ilgili sistemler, ağlar, uygulamalar ve bu Hizmetler ve Teslim Edilecek Malzemeler kapsamındaki ilgili bileşenler ve Kyndryl Teknolojisinin Kullanımında uygulanan sistemler, ağlar, uygulamalar ve ilgili bileşenler için güvenlik uyarı yamalarını değerlendirmek, test etmek ve uygulamak üzere tasarlanmış önlemler uygulayacaktır.  Bir güvenlik uyarı yamasının uygulanabilir ve uygun olduğunu belirledikten sonra Tedarikçi, yamayı belgelenmiş önem derecesin ve risk değerlendirme kurallarına uygun olarak uygulayacaktır.  Tedarikçi, güvenlik uyarı yamalarını değişiklik yönetimi politikasına tabi olarak uygulayacaktır.

    5.8 Kyndryl'ın, Tedarikçi tarafından Kyndryl'a sağlanan donanım veya yazılımın casus yazılım, kötü amaçlı yazılım veya kötü amaçlı kod gibi izinsiz unsurlar içerebileceğine inanmak için makul bir gerekçesi varsa, Tedarikçi, Kyndryl'ın endişelerini araştırmak ve düzeltmek için Kyndryl ile gecikmeden işbirliği yapacaktır.  

    6. Hizmet Sağlama

    6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için endüstride yaygın birleştirilmiş kimlik doğrulama yöntemlerini destekleyecek ve Tedarikçi, ilgili Kyndryl kullanıcısının veya Müşteri hesaplarının kimliğini doğrulamak için Sektördeki En İyi Uygulamaları izleyecektir (örneğin, Kyndryl merkezi olarak yönetilen çok faktörlü Tek Oturum Açma, OpenID Connect veya Güvenlik Onayı İşaretleme Dili).

    7. Alt Yükleniciler.  İşlem Belgesi veya alt yüklenicilerin görevlendirilmesiyle ilgili taraflar arasındaki ilgili çerçeve sözleşmesi kapsamında belirlenen Tedarikçinin yükümlülüklerini veya Kyndryl'ın haklarını sınırlandırmaksızın Tedarikçi, kendisi için iş yapan herhangi bir alt yüklenicinin bu Koşullarda Tedarikçi için düzenlenen gerekliliklere ve yükümlülüklere uymasına ilişkin yönetim kontrollerinin düzenlenmesini sağlayacaktır.  

    8. Fiziksel Ortam. Tedarikçi, yeniden kullanılması amaçlanan fiziksel ortamları bu tür bir yeniden kullanımdan önce güvenli bir şekilde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamları ortam temizliği konusunda Sektördeki En İyi Uygulamalara uygun olarak imha edecektir.

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

  4. Erişimin olması halinde söz konusu erişim için Madde IV (Teknik ve İdari Tedbirler, Kod Güvenliği), V (Güvenli Geliştirme), VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.  

    Örnekler:

    • Tedarikçi, bir Kyndryl ürünü için geliştirme sorumluluğunu üstlenmektedir ve Kyndryl söz konusu geliştirme için Tedarikçinin Kaynak Koduna erişimini sağlar.

    • Tedarikçi, sahibinin Kyndryl olacağı Kaynak Kodunu geliştirmektedir.

    Madde IV, Teknik ve İdari Tedbirler, Kod Güvenliği

    Bu Madde, Tedarikçinin Kyndryl Kaynak Koduna erişimi olması halinde geçerlidir.  Tedarikçi, işbu Maddenin gerekliliklerine uyacak ve bu sayede, Kyndryl Kaynak Kodunu kayıp, imha, değişiklik, kazara veya yetkisiz ifşa, kazara veya yetkisiz erişim ve yasalara aykırı Kullanım biçimlerine karşı koruyacaktır.  İşbu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken ve Kyndryl Teknolojisini Kullanırken çalıştırdığı veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Güvenlik Gereksinimleri 

    Aşağıda kullanıldığı gibi, 

    Yasaklı Ülke, (a) ABD Hükümeti'nin 15 Mayıs 2019 tarihli Bilgi ve İletişim Teknolojileri ve Hizmet Tedarik Zincirinin Güvenceye Alınmasına İlişkin İdari Emri uyarınca yabancı muhalif olarak belirlediği, (b) 2019 ABD Ulusal Savunma Yetkilendirme Yasası, Madde 1654'e göre listelenmiş veya (c) İşlem Belgesinde "Yasaklı Ülke" olarak tanımlanmış herhangi bir ülkedir.

    1.1 Tedarikçi, herhangi bir Kyndryl Kaynak Kodunu, üçüncü kişilere fayda sağlamak için dağıtmayacak veya Kyndryl Kaynak Kodunun kullanımını bloke etmeyecektir. 

    1.2 Tedarikçi, Kyndryl Kaynak Kodunun Yasaklı Ülkedeki sunucularda barındırılmasına izin vermeyecektir.Tedarikçi, Kyndryl Kaynak Kodunun küresel olarak nerede olup olmadığına bakılmaksızın Yasaklı bir Ülkede bulunan veya Yasaklı bir Ülkeyi ziyaret eden (söz konusu ziyaretin kapsamına göre), Personeli dahil herhangi bir kişinin nedeni ne olursa olsun herhangi bir Kyndryl Kaynak Koduna erişmesine veya bunu kullanmasına izin vermeyecektir ve Tedarikçi, Yasaklı bir Ülkede bu tür bir erişim veya kullanım gerektirecek herhangi bir geliştirme, test veya başka çalışmanın yapılmasına izin vermeyecektir.

    1.3 Tedarikçi, Kyndryl Kaynak Kodunu kanunun veya kanun yorumunun Kaynak Kodun herhangi bir üçüncü kişiye ifşasını gerektirdiği herhangi bir yargı yetkisi bölgesine yerleştirmeyecek veya dağıtmayacaktır.  Kyndryl Kaynak Kodunun bulunduğu bir yargı yetkisi alanında, Tedarikçinin söz konusu Kaynak Kodu üçüncü bir kişiye ifşa etmesini gerektirebilecek bir yasa değişikliği veya yasa yorumu olması durumunda, Tedarikçi söz konusu Kyndryl Kaynak Kodunu derhal imha edecek veya söz konusu yargı yetkisi alanından kaldıracaktır ve bu tür bir yasa veya yasa yorumunun yürürlükte kalması durumunda, ilgili yargı yetkisi alanına herhangi bir ek Kyndryl Kaynak Kodu yerleştirmeyecektir.

    1.4 Tedarikçi, 2019 ABD Ulusal Savunma Yetkilendirme Yasası, Madde 1654 veya 1655 uyarınca Tedarikçi, Kyndryl veya herhangi bir üçüncü kişinin ifşa yükümlülüğüne maruz kalmasına neden olacak herhangi bir sözleşmenin imzalanması dahil olmak üzere doğrudan veya dolaylı hiçbir eylemde bulunmayacaktır.  Açıklık sağlamak amacıyla, İşlem Belgesinde veya taraflar arasındaki ilgili çerçeve sözleşmesinde açıkça izin verilen durumlar dışında, Tedarikçi, Kyndryl'ın önceden yazılı izni olmaksızın Kyndryl Kaynak Kodunu hiçbir koşulda herhangi bir üçüncü kişiye ifşa edemez.

    1.5 (a) Tedarikçinin Kyndryl Kaynak Kodunun bir Yasaklı Ülkeye veya yukarıdaki Madde 1.3'e tabi herhangi bir yargı yetkisi alanına getirilmesine izin vermesi, (b) Tedarikçinin Kyndryl Kaynak Kodunu İşlem Belgesinde veya taraflar arasındaki ilgili çerçeve sözleşmesi veya diğer sözleşmelerde izin verilenin dışında yayınlaması, erişmesi veya kullanması veya (c) Tedarikçinin yukarıdaki Madde 1.4'ü ihlal etmesiyle ilgili Kyndryl'ın Tedarikçiye veya bir üçüncü kişinin taraflardan herhangi birine bildirimde bulunması halinde, Kyndryl'ın yasa veya hakkaniyet çerçevesinde veya İşlem Belgesi ya da ilgili çerçeve sözleşmesi veya taraflar arasındaki diğer sözleşmeler kapsamında söz konusu uyumsuzluğu giderme haklarını sınırlandırmaksızın: (i) ilgili bildirim Tedarikçiye yapılmışsa Tedarikçi, bildirimi derhal Kyndryl ile paylaşacak ve (ii) Tedarikçi, Kyndryl'ın makul talimatlarına göre yine Kyndryl'ın belirleyeceği plana göre (Tedarikçiye danıştıktan sonra) sorunu araştıracak ve çözüme kavuşturacaktır.

    1.6 Kyndryl'ın, siber güvenlik, fikri mülkiyet hırsızlığı veya benzeri veya ilgili riskleri (bu tür değişiklikler olmadan Kyndryl'ın belirli Müşterilere veya belirli pazarlara satış yapmasının kısıtlanması veya Müşteri güvenliği veya tedarik zinciri gerekliliklerini başka bir şekilde karşılayamayacak duruma gelmesine ilişkin risk dahil) ele almak üzere Tedarikçinin Kaynak Koda erişimine ilişkin politikaları, prosedürleri, kontrolleri veya uygulamalarında değişikliklerin yapılması gerektiğini düşünmesi halinde, Kyndryl bu tür politikalar, prosedürler, kontroller veya uygulamalardaki değişiklikler de dahil olmak üzere söz konusu riskleri ele almak için gerekli işlemleri görüşmek üzere Tedarikçi ile iletişime geçebilir.  Kyndryl'ın talebi üzerine Tedarikçi, bu tür değişikliklerin gerekli olup olmadığını değerlendirmek ve uygun, karşılıklı mutabık kalınan değişiklikleri uygulamak için Kyndryl ile işbirliği yapacaktır. 

    ---

    Madde V, Güvenli Geliştirme 

    İşbu Madde, Tedarikçinin kendi veya üçüncü kişi Kaynak Kodunu veya Şirket İçi Yazılımını Kyndryl'a sağlaması veya Tedarikçinin Teslim Edilecek Malzemelerinden veya Hizmetlerinden herhangi birinin Kyndryl ürün veya hizmetinin bir parçası olarak Kyndryl Müşterilerinden birine sağlanması durumunda geçerlidir.

    1. Güvenlik Açısından Hazır Olma Durumu 

    1.1 Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler aracılığıyla zamanında ve tam olarak yanıt verilmesi de dahil olmak üzere, Tedarikçinin Teslim Edilecek Malzemelerinden herhangi birine bağımlı olan Kyndryl ürün ve hizmetlerinin güvenlik açısından hazır olup olmadığını değerlendiren Kyndryl'ın dahili süreçleriyle işbirliği yapacaktır.

    2. Güvenli Geliştirme

    2.1 İşbu Madde 2, yalnızca Tedarikçinin Kyndryl'a Şirket İçi Yazılım sağladığı durumlarda geçerlidir.

    2.2 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak ve İşlem Belgesinin süresi boyunca aşağıda belirtilenleri korumak için gerekli olan ağ, platform, sistem, uygulama, cihaz, fiziksel altyapı, olay müdahalesi ve Personel odaklı güvenlik politikalarını, prosedürlerini ve kontrollerini uygulamıştır ve uygulamaya devam edecektir: (a) Tedarikçinin veya Tedarikçi tarafından görevlendirilen herhangi bir üçüncü kişinin Teslim Edilecek Malzemeler için veya bunlarla ilgili olarak çalıştırdığı, yönettiği, kullandığı veya başka bir şekilde güvendiği geliştirme, yapım, test ve işletim sistemleri ve ortamları ve (b) tüm Teslim Edilecek Malzeme kaynak kodunun kayba, yasa dışı kullanım biçimlerine ve yetkisiz erişime, ifşaya veya değişikliğe karşı korunması.

    3. ISO 20243 Sertifikası

    3.1 İşbu Madde 3, yalnızca Tedarikçinin Teslim Edilecek Malzemelerinden veya Hizmetlerinden herhangi birinin bir Kyndryl ürün veya hizmetinin bir parçası olarak bir Kyndryl Müşterisine sağlanacağı durumlarda geçerlidir.

    3.2 Tedarikçi, ISO 20243, Bilgi teknolojisi, Açık Güvenilir Teknoloji Sağlayıcısı, TM Standardı (O-TTPS), Kötü niyetle lekelenmiş ve sahte ürünleri azaltma sistemine (kendi kendini değerlendiren bir sertifika ya da saygın bir bağımsız kuruluşun değerlendirmesine dayalı bir sertifika) uygunluk sertifikası alacaktır.  Alternatif olarak, Tedarikçinin yazılı talepte bulunması ve Kyndryl tarafından yazılı olarak onaylanması durumunda Tedarikçi, güvenli geliştirme ve tedarik zinciri uygulamalarını ele alan büyük ölçüde eşdeğer bir endüstri standardına uygunluk sertifikası alacaktır (kendi kendini değerlendiren bir sertifika ya da Kyndryl tarafından onaylanması halinde ve onaylandığı şekilde saygın bağımsız denetçi).  

    3.3 Tedarikçi, İşlem Belgesinin yürürlük tarihinden itibaren 180 Gün içinde ISO 20243'e veya büyük ölçüde eşdeğer bir endüstri standardına (Kyndryl tarafından yazılı olarak onaylanması halinde) uygunluk sertifikası alacaktır ve belgeyi her 12 ayda bir yenileyecektir (her yenileme, geçerli standardın en güncel sürümüne göre yapılacaktır; yani, ISO 20243 veya Kyndryl tarafından yazılı olarak onaylanması halinde güvenli geliştirme ve tedarik zinciri uygulamalarını kapsayan büyük ölçüde eşdeğer endüstri standardı).  

    3.4 Tedarikçi, talep üzerine, yukarıdaki Madde 2.1 ve 2.2 uyarınca almakla yükümlü olduğu sertifikaların bir kopyasını derhal Kyndryl'a sağlayacaktır.  

    4. Güvenlik Açıkları

    Aşağıda kullanıldığı gibi, 

    Hata Düzeltme, Teslim Edilecek Malzemelerdeki Güvenlik Açıkları dahil olmak üzere hataları veya eksiklikleri düzelten hata düzeltmeleri ve revizyonlar anlamına gelir.

    Azaltma, Güvenlik Açığı risklerini azaltmanın veya bunlardan kaçınmanın bilinen herhangi bir yoludur.

    Güvenlik Açığı, bir Teslim Edilecek Malzemenin tasarımında, kodlanmasında, geliştirilmesinde, uygulanmasında, test edilmesinde, çalıştırılmasında, desteklenmesinde, bakımında veya yönetiminde (a) bir sisteme erişim, sistemin çalışmasını kontrol etme veya kesintiye uğratma, (b) verilere erişim, verileri silme, değiştirme veya çıkarma veya (c) kullanıcıların veya sistem yöneticilerinin kimlik, yetki veya izinlerini değiştirme dahil olmak üzere herhangi birinin yetkisiz erişimi veya kötüye kullanımıyla sonuçlanabilecek bir saldırıya izin veren bir durumu ifade eder.  Güvenlik Açığı, kendisine bir Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) Kimliği veya herhangi bir puanlama veya resmi sınıflandırma atanıp atanmadığına bakılmaksızın mevcut olabilir.  

    4.1 Tedarikçi: (a) sürekli statik ve dinamik kaynak kodu uygulama güvenlik taraması, açık kaynak güvenliği taraması ve sistem güvenlik açığı taraması dahil olmak üzere Güvenlik Açıklarını belirlemek için Sektördeki En İyi Uygulamaları kullanacağını ve (b) Tedarikçinin Hizmetler ve Teslim Edilecek Malzemeler oluşturduğu ve sunduğu Teslim Edilecek Malzemelerdeki ve tüm BT uygulamaları, platformlar ve altyapılardaki Güvenlik Açıklarını önlemeye, tespit etmeye ve düzeltmeye yardımcı olmak üzere işbu Koşulların gereksinimlerine uyum sağlayacağını beyan ve taahhüt eder. 

    4.2 Tedarikçinin Teslim Edilecek Malzemelerde veya bu tür herhangi bir BT uygulamasında, platformda veya altyapıda bir Güvenlik Açığı tespit etmesi halinde, Tedarikçi, Teslim Edilecek Malzemelerin tüm sürümleri ve yayınları için aşağıdaki tabloda tanımlanan Önem Derecelerine ve zaman çerçevelerine uygun olarak bir Hata Düzeltme ve Azaltma hizmeti sağlayacaktır:

     

     

     

     

     

     

     

     

    Önem Derecesi*

     

     

     

     

     

     

     

     

    Acil Durum Güvenlik Açığı – ciddi ve potansiyel olarak küresel bir tehdit oluşturan bir Güvenlik Açığıdır.  Kyndryl, CVSS Taban Puanından bağımsız olarak, kendi takdirine göre Acil Durum Güvenlik Açıklarını belirler.

     

     

     

     

     

     

     

     

    Kritik – CVSS Taban Puanı 9 ile 10,0 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

    Yüksek – CVSS Taban Puanı 7,0 ile 8,9 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

    Orta – CVSS Taban Puanı 4,0 ile 6,9 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

    Düşük – CVSS Taban Puanı 0,0 ile 3,9 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

     

     

     

    Zaman Çerçeveleri 

     

     

     

     

     

     

     

     

    Acil Durum

     

     

     

     

     

     

    Kritik

     

     

     

     

     

     

    Yüksek

     

     

     

     

     

     

    Orta

     

     

     

     

     

     

    Düşük

     

     

     

     

     

     

     

     

    Kyndryl Bilgi Güvenliği Yöneticisi tarafından belirlendiği haliyle 4 Gün veya daha az

     

     

     

     

     

     

    30 Gün

     

     

     

     

     

     

    30 Gün

     

     

     

     

     

     

    90 Gün

     

     

     

     

     

     

    Sektördeki En İyi Uygulamalara Göre

     

     

     

    *Bir Güvenlik Açığının hemen atanmış bir CVSS Taban Puanına sahip olmadığı her durumda Tedarikçi, söz konusu güvenlik açığının yapısına ve koşullarına uygun bir Önem Derecesi uygulayacaktır.    

    4.3 Kamuya açıklanan ve Tedarikçinin Kyndryl'a henüz herhangi bir Hata Düzeltme veya Azaltma sağlamadığı bir Güvenlik Açığı için Tedarikçi, güvenlik açığı risklerini azaltabilecek teknik olarak uygulanabilir ek güvenlik kontrollerini uygulayacaktır.

    4.4 Kyndryl, Tedarikçinin bir Teslim Edilecek Malzeme veya herhangi bir uygulama, platform veya altyapıyla ilgili Güvenlik Açığına verdiği tepkiden memnun kalmazsa, Kyndryl'ın diğer haklarına ilaveten Tedarikçi, Kyndryl'ın endişelerini Hata Düzeltmenin uygulanmasından sorumlu Tedarikçi Başkan Yardımcısı veya eşdeğer pozisyondaki yönetici ile doğrudan görüşebilmesine ilişkin düzenlemeyi derhal yapacaktır.  

    4.5 Güvenlik Açıklarına örnek olarak, bu tür kodların artık güvenlik düzeltmeleri almadığı üçüncü kişi kodu veya hizmet sonu (EOS) açık kaynak kodu verilebilir. 

    ---

    Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

    İşbu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir; ancak Tedarikçinin yalnızca söz konusu Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken Kyndryl'ın İş İletişim Bilgilerine erişememesi (yani, Tedarikçi başka herhangi bir Kyndryl Verisini İşlemeyecek veya başka herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişemeyecektir) halinde, Tedarikçinin yegane Hizmetleri ve Teslim Edilecek Malzemeleri, Kyndryl'a Şirket İçi Yazılım sağlamak olacak veya Tedarikçi tüm Hizmetlerini ve Teslim Edilecek Malzemelerini Madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modelinde sağlayacaktır.  

    Tedarikçi, bu Maddenin gerekliliklerine uyacak ve bunu yaparak: (a) Kyndryl Malzemelerini kayıp, tahribat, değişiklik, kazara veya yetkisiz ifşa ve kazara veya yetkisiz erişime, (b) Kyndryl Verilerini yasalara aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini yasa dışı Kullanım biçimlerine karşı koruyacaktır. İşbu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken ve Kyndryl Teknolojisini Kullanırken çalıştırdığı veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Güvenlik Politikaları

    1.1 Tedarikçi, kendi işinin ayrılmaz bir parçası olan, tüm Tedarikçi Personeli için zorunlu olan ve Sektördeki En İyi Uygulamalar ile tutarlı olan BT güvenlik politikalarını ve uygulamalarını uygulayacak ve takip edecektir.  

    1.2 Tedarikçi, BT güvenlik politikalarını ve uygulamalarını en az yılda bir kez gözden geçirecek ve Kyndryl Malzemelerini korumak için gerekli gördüğü şekilde değiştirecektir.

    1.3 Tedarikçi, işe alınan tüm yeni çalışanlar için standart, zorunlu istihdam doğrulama gerekliliklerini uygulayacak ve takip edecek ve bu gereklilikleri tüm Tedarikçi Personeli ve tamamına sahip olunan Tedarikçi iştiraklerini kapsayacak şekilde genişletecektir.  Bu gereksinimler, yerel yasaların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulama kanıtını ve Tedarikçinin gerekli gördüğü ilave kontrolleri içerecektir.  Tedarikçi, gerekli gördüğü şekilde bu gereklilikleri periyodik olarak tekrarlayacak ve yeniden doğrulayacaktır. 

    1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi verecek ve söz konusu çalışanların tamamından Tedarikçinin davranış kurallarında veya benzer belgelerde belirtilen şekilde Tedarikçinin etik iş davranışı, gizlilik ve güvenlik politikalarına uyacaklarını her yıl belgelendirmelerini isteyecektir.  Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetimsel erişimi olan kişilere, rollerine ve Hizmetlere, Teslim Edilecek Malzemelere ve Kyndryl Malzemelerine yönelik desteğe özel ve gerekli uygunluğu ve sertifikaları sürdürmek için gerektiği şekilde ek politika ve süreç eğitimi sağlayacaktır.

    1.5 Tedarikçi, Kyndryl Malzemelerinin kullanılabilirliğini korumak ve sürdürmek için, tüm Hizmetler ve Teslim Edilecek Malzeme ve Kyndryl Teknolojisinin tüm Kullanımı için tasarım, güvenli mühendislik ve güvenli operasyonlar kapsamında güvenlik ve gizlilik gerektiren politika ve prosedürlerin uygulanması, sürdürülmesi ve uygunluğu dahil olmak üzere güvenlik ve gizlilik önlemleri tasarlayacaktır.

    2. Güvenlik Olayları

    2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınması için Sektördeki En İyi Uygulamalar ile tutarlı belgelenmiş olay müdahale politikalarını sürdürecek ve izleyecektir.

    2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi veya yetkisiz kullanımı araştıracak ve uygun bir müdahale planı tanımlayıp uygulayacaktır.

    2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir.  Tedarikçi bu tür bir bildirimi cyber.incidents@kyndryl.com adresine iletecektir. Tedarikçi, söz konusu ihlal ve Tedarikçinin düzeltme ve eski haline getirme işlemlerinin durumuyla ilgili talep edilen makul bilgileri Kyndryl'a temin edecektir.  Örnek olarak, makul şekilde talep edilen bilgiler, ihlal veya Tedarikçinin düzeltme ve eski haline getirme işlemleriyle ilgili olduğu kapsamda, Cihazlara, sistemlere veya uygulamalara ayrıcalıklı, idari ve diğer erişimleri, Cihazların, sistemlerin veya uygulamaların adli görüntülerini ve diğer benzer öğeleri gösteren log dosyalarını içerebilir.

    2.4 Tedarikçi, bir Güvenlik İhlaliyle ilgili Kyndryl'ın, Kyndryl'ın bağlı şirketlerinin ve Müşterilerin (ve bunların müşterileri ve bağlı şirketleri) herhangi bir yasal yükümlülüğünü (düzenleyici kurumlara veya İlgili Kişilere bildirim yapma yükümlülüğü de dahil) yerine getirilmesi için Kyndryl'a makul destek sağlayacaktır.

    2.5 Tedarikçi, Kyndryl tarafından yazılı olarak onaylanmadığı müddetçe veya yasa kapsamında gerekli görülmedikçe, bir Güvenlik İhlalinin doğrudan veya dolaylı olarak Kyndryl veya Kyndryl Malzemeleri ile ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek veya bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'ın kimliğini doğrudan veya dolaylı olarak ifşa edeceği herhangi bir üçüncü kişiye yasa gereği yapılması gereken herhangi bir bildirimi dağıtmadan önce Kyndryl'ı yazılı olarak bilgilendirecektir. 

    2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlali olması halinde:

    (a) Tedarikçi, Kyndryl'ın geçerli düzenleyici kurumlara, diğer devlet ve ilgili sektör öz-denetim kurumlarına, medyaya (yürürlükteki yasalar gerektiriyorsa), İlgili Kişilere, Müşterilere ve diğerlerine Güvenlik İhlalini bildirirken maruz kaldığı tüm maliyetlerden ve ayrıca Kyndryl'ın maruz kaldığı gerçek maliyetlerden sorumlu olacaktır,

    (b) Kyndryl'ın talep etmesi halinde, söz konusu İlgili Kişilerin Güvenlik İhlali hakkında bilgilendirildiği tarihten sonraki 1 yıl veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Tedarikçi, İlgili Kişilerin Güvenlik İhlali ve bunun sonuçlarıyla ilgili sorularını yanıtlamak için, masrafları kendisine ait olmak üzere, bir çağrı merkezi kuracaktır.  Kyndryl ve Tedarikçi, sorgulara yanıt verirken çağrı merkezi personeli tarafından kullanılacak metinleri ve diğer materyalleri oluşturmak için birlikte çalışacaktır.  Alternatif olarak, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçinin bir çağrı merkezi kurması yerine kendi çağrı merkezini kurabilir ve kullanabilir ve Tedarikçi, Kyndryl'ın söz konusu çağrı merkezini kurmak ve kullanmak için maruz kaldığı gerçek maliyetleri hususunda Kyndryl'ı tazmin edecektir ve

    (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi yenileme hizmetlerine kaydolmayı seçen kişilerin Güvenlik İhlali konusunda bilgilendirildiği tarihten itibaren 1 yıl boyunca veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Kyndryl'ın söz konusu hizmetleri sağlarken maruz kaldığı gerçek masraflar hususunda Kyndryl'ı tazmin edecektir.

    3. Fiziksel Güvenlik ve Giriş Kontrolü (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir).

    3.1 Tedarikçi, Tesislere yetkisiz girişlere karşı koruma sağlamak için bariyerler, kartla kontrol edilen giriş noktaları, gözetim kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrollerini kullanacaktır.  

    3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere, Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay isteyecek ve erişimi iş rolüne ve iş ihtiyacına göre sınırlayacaktır.  Tedarikçinin geçici erişim izni vermesi halinde, yetkili çalışanı Tesiste ve kontrollü alanlarda herhangi bir ziyaretçiye eşlik edecektir.

    3.3 Tedarikçi, Tesisler içindeki kontrollü alanlara girişi uygun şekilde kısıtlamak için Sektördeki En İyi Uygulamalarla tutarlı çok faktörlü erişim kontrolleri dahil olmak üzere fiziksel erişim kontrolleri uygulayacak, tüm giriş girişimlerini kaydedecek ve bu tür kayıtları en az bir yıl süreyle saklayacaktır. 

    3.4 Tedarikçi, (a) yetkili bir Tedarikçi çalışanının ayrılması veya (b) yetkili Tedarikçi çalışanının artık geçerli bir iş erişimi ihtiyacı kalmaması durumunda, Tesislere ve Tesisler içindeki kontrollü alanlara erişimi iptal edecektir.  Tedarikçi, erişim kontrol listelerinden derhal çıkarma ve fiziksel erişim rozetlerinin teslim edilmesini içeren resmi olarak belgelendirilmiş ayırma prosedürlerini izleyecektir.

    3.5 Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin Kullanımını desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, sel, nem, hırsızlık ve vandalizm gibi hem doğal hem de insan kaynaklı çevresel tehditlere karşı korumak amacıyla önlemler alacaktır.

    4. Erişim, Müdahale, Aktarım ve Ayırma Kontrolü

    4.1 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında yönettiği ağlar için belgelenmiş güvenlik mimarisi kullanacaktır.  Tedarikçi, bu tür ağ mimarisini ayrıca gözden geçirecek ve güvenli segmentasyon, izolasyon ve derinlemesine savunma standartlarına uyum için sistemlere, uygulamalara ve ağ cihazlarına yetkisiz ağ bağlantılarını önleyecek önlemler alacaktır.  Tedarikçi, herhangi bir Barındırılan Hizmetin barındırılmasında ve işletilmesinde kablosuz teknolojiyi kullanamaz; aksi takdirde Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin tesliminde ve Kyndryl Teknolojisinin Kullanımında kablosuz ağ teknolojisini kullanabilir, ancak Tedarikçi bu tür kablosuz ağları şifreleyecek ve bunlar için güvenli kimlik doğrulaması gerektirecektir.

    4.2 Tedarikçi, Kyndryl Malzemelerinin yetkisiz kişiler tarafından ifşa edilmesini veya erişim sağlanmasını mantıksal olarak ayırmak ve önlemek için tasarlanmış önlemler alacaktır.  Ayrıca, Tedarikçi, üretim, üretim dışı ve diğer ortamlarda uygun izolasyonu sürdürecek ve Kyndryl Malzemelerinin üretim dışı bir ortamda halihazırda olması veya bu ortama aktarılması halinde (örneğin bir hatayı yeniden oluşturmak için), Tedarikçi, üretim dışı ortamdaki güvenlik ve gizlilik korumalarının üretim ortamındakilere eşit olmasını sağlayacaktır.

    4.3 Tedarikçi, taşıma halindeki ve kullanımda olmayan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin kullanımda olmayan Kyndryl Malzemelerini şifrelemenin teknik olarak mümkün olmadığını Kyndryl'ı makul ölçüde tatmin edecek şekilde kanıtlayamadığı hallerde).  Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir.  Tedarikçi, veri şifrelemeyle ilgili güvenli anahtar oluşturma, verme, dağıtma, depolama, döndürme, iptal etme, kurtarma, yedekleme, imha, erişim ve kullanıma yönelik belgelenmiş prosedürleri sürdürecektir.  Tedarikçi, bu tür bir şifreleme için kullanılan belirli kriptografik yöntemlerin Sektördeki En İyi Uygulamalarla (NIST SP 800-131a gibi) uyumlu olmasını sağlayacaktır.

    4.4 Tedarikçi, Kyndryl Malzemelerine erişim talep ederse, bu tür erişimi Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak ve desteklemek için gereken en düşük seviyeyle kısıtlayacak ve sınırlandıracaktır.  Tedarikçi, herhangi bir temel bileşene idari erişim (yani, ayrıcalıklı erişim) dahil olmak üzere bu tür erişimin bireysel, role dayalı olmasını ve görev ayrımı ilkelerine göre yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını isteyecektir.  Tedarikçi, gereksiz ve atıl hesapları tespit etmek ve silmek için önlemler alacaktır. Ayrıca, Tedarikçi, ayrıcalıklı erişime sahip hesapları, hesap sahibinin ayrılmasından veya Kyndryl'ın veya hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebinden sonraki yirmi dört (24) saat içinde iptal edecektir. 

    4.5 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, aktif olmayan oturumların zaman aşımına uğramasını zorunlu kılan teknik önlemler, birden fazla ardışık başarısız oturum açma girişiminden sonra hesapların kilitlenmesi, güçlü parola veya anahtar parolası doğrulaması ve bu tür parolaların ve anahtar parolalarının güvenli aktarımını ve saklanmasını gerektiren önlemleri uygulayacaktır.  Ayrıca, Tedarikçi, herhangi bir Kyndryl Malzemesine konsol dışı tüm ayrıcalıklı erişimler için çok faktörlü kimlik doğrulamasını kullanacaktır.

    4.6 Tedarikçi, (a) yetkisiz erişimi ve faaliyeti tespit etmek, (b) bu ​​tür erişim ve faaliyete zamanında ve uygun müdahaleyi kolaylaştırmak ve (c) belgelenmiş Tedarikçi politikasına uygunluğun Tedarikçi, Kyndryl (işbu Koşullardaki doğrulama hakları ve İşlem Belgesindeki veya ilişkili temel sözleşme veya taraflar arasındaki diğer ilgili anlaşmadaki denetim hakları uyarınca) ve diğerleri tarafından denetlenebilmesi için ayrıcalıklı erişim kullanımını izleyecek ve güvenlik bilgileri ve olay yönetimi önlemleri uygulayacaktır. 

    4.7 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullanılan sistemlerle ilgili olarak tüm yönetimsel, kullanıcı veya diğer erişim ya da işlemleri kaydettiği log dosyalarını saklayacaktır (ve bu log dosyalarını Talep üzerine Kyndryl'a temin edecektir).  Tedarikçi, bu tür log dosyalarına yetkisiz erişim, değişiklik ve kazara veya kasıtlı olarak imha edilmeye karşı koruma sağlamak üzere tasarlanmış önlemler alacaktır.

    4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere sahip olduğu veya yönettiği sistemler için ve Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ya da Kyndryl Teknolojisinin Kullanımında kullandığı sistemler için hesaplama korumaları sağlayacak ve söz konusu koruma sistemleri, uç nokta güvenlik duvarlarını, tam disk şifrelemeyi, kötü amaçlı yazılımları ve gelişmiş kalıcı tehditleri ele almak için imzalı ve imzasız uç nokta algılama ve yanıt teknolojilerini, zamana dayalı ekran kilitlerini ve güvenlik yapılandırması ve yamalama gereksinimlerini uygulayan uç nokta yönetimi çözümlerini içerecektir.  Ayrıca, Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve operasyonel kontroller uygulayacaktır.

    4.9 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olacak şekilde, Kyndryl Malzemelerinin bulunduğu veya işlendiği veri merkezi ortamları için izinsiz girişi tespit etme ve önleme ve hizmet saldırısı karşı önlemlerinin önlenmesi ve inkar edilmesi ve hafifletme dahil olmak üzere korumalar sağlayacaktır. 

    5. Hizmet ve Sistem Bütünlüğü ve Kullanılabilirlik Kontrolü 

    5.1 Tedarikçi: (a) en az yıllık esasta güvenlik ve gizlilik riski değerlendirmeleri gerçekleştirecek, (b) üretimin piyasaya sürülmesinden önce otomatik sistem ve uygulama güvenlik taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testi gerçekleştirecek ve güvenlik açıklarını değerlendirecektir ve bu işlemleri, Hizmetler ve Teslim Edilecek Malzemelerle ilgili olması halinde her yıl ve Kyndryl Teknolojisinin Kullanımına ilişkin olarak her yıl gerçekleştirecektir, (c) hem otomatik hem de manuel testi içerecek şekilde Sektördeki En İyi Uygulamalara uygun olarak penetrasyon testi gerçekleştirmek üzere nitelikli bağımsız bir üçüncü kişiden yardım alacak, (d) Hizmetler ve Teslim Edilecek Malzemelerin her bir bileşeni için ve Kyndryl Teknolojisinin Kullanımıyla ilgili olarak güvenlik konfigürasyon gerekliliklerine uygunluğun otomatik yönetim ve rutin doğrulamasını yapacak ve (e) ilgili risk, istismar edilebilirlik ve etkiye dayalı olarak güvenlik konfigürasyonu gerekliliklerinde tespit edilen güvenlik açıklarını veya uygunsuzlukları giderecektir.  Tedarikçi, testlerini, değerlendirmelerini, taramalarını gerçekleştirirken ve düzeltme faaliyetlerini yürütürken Hizmetlerde aksamayı önlemek için makul adımlar atacaktır.  Kyndryl'ın talebi üzerine Tedarikçi, Kyndryl'a Tedarikçinin en son sızma testi faaliyetlerinin yazılı özetini sağlayacaktır ve bu rapor asgari düzeyde testin içerdiği olanakların adını, test kapsamı dahilindeki sistemlerin veya uygulamaların sayısını, test tarihlerini, testte kullanılan metodoloji ve bulguların üst düzey özetini içerecektir.

    5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde veya Kyndryl Teknolojisinin Kullanımında yapılan değişikliklerin uygulanmasıyla ilgili riskleri yönetmek için tasarlanmış politikalar ve prosedürler uygulayacaktır.  Tedarikçi, etkilenen sistemler, ağlar ve ilgili bileşenler de dahil olmak üzere böyle bir değişikliği uygulamadan önce kayıtlı bir değişiklik talebi kapsamında: (a) değişikliğin açıklamasını ve nedenini, (b) uygulama ayrıntılarını ve programı, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiyi, (d) beklenen sonucu, (e) geri alma planını ve (f) yetkili Tedarikçi çalışanlarının onayını belgelendirecektir.

    5.3 Tedarikçi, Hizmetlerin yürütülmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm BT varlıklarının envanterini tutacaktır.  Tedarikçi, BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin temel bileşenleri dahil olmak üzere söz konusu BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir. 

    5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalara uygun önceden tanımlanmış sistem güvenlik görüntüleri veya güvenlik temellerinden oluşturacaktır.

    5.5 Tedarikçinin yükümlülüklerini veya Kyndryl'ın İşlem Belgesi veya taraflar arasındaki ilgili çerçeve sözleşmesi kapsamındaki iş sürekliliğine ilişkin haklarını sınırlamadan, Tedarikçi her bir Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin Kullanımında kullanılan her bir BT sistemini, belgelenmiş risk yönetimi kurallarına göre iş ve BT sürekliliği ve felaketten kurtarma gereklilikleri için ayrı ayrı değerlendirecektir.  Tedarikçi, her bir Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, ilgili risk değerlendirmesinin garanti ettiği kapsamda, Sektördeki En İyi Uygulamalar ile tutarlı, ayrı olarak tanımlanan, belgelendirilen, uygulanan ve yıllık olarak doğrulanmış iş ve BT sürekliliği ve felaketten kurtarma planlarına sahip olmasını sağlayacaktır.  Tedarikçi, bu tür planların aşağıda Madde 5.6'da belirtilen belirli kurtarma sürelerine uygun şekilde tasarlanmasını sağlayacaktır.

    5.6 Herhangi bir Barındırılan Hizmete ilişkin özel kurtarma noktası hedefleri ("RPO") ve kurtarma süresi hedefleri ("RTO") şunlardır: 24 saatlik RPO ve 24 saatlik RTO; buna rağmen, Tedarikçi, Kyndryl tarafından daha kısa süreli RPO veya RTO'nun yazılı olarak bildirilmesinden hemen sonra, Kyndryl'ın bir Müşteriye taahhüt ettiği daha kısa süreli RPO veya RTO'ya uyacaktır (e-posta bir yazı teşkil eder).  Tedarikçi tarafından Kyndryl'a sağlanan diğer tüm Hizmetlerle ilgili olarak, Tedarikçi, iş sürekliliği ve felaketten kurtarma planlarının, Tedarikçinin İşlem Belgesi ve taraflar arasındaki ilgili çerçeve sözleşmesi ve zamanında test, destek ve bakım yükümlülükleri de dahil olmak üzere işbu Koşullar kapsamında düzenlenen Kyndryl'a karşı tüm yükümlülüklerine uymasına olanak tanıyan RPO ve RTO'yu sağlayacak şekilde tasarlandığından emin olacaktır.

    5.7 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler ile ilgili sistemler, ağlar, uygulamalar ve bu Hizmetler ve Teslim Edilecek Malzemeler kapsamındaki ilgili bileşenler ve Kyndryl Teknolojisinin Kullanımında uygulanan sistemler, ağlar, uygulamalar ve ilgili bileşenler için güvenlik uyarı yamalarını değerlendirmek, test etmek ve uygulamak üzere tasarlanmış önlemler uygulayacaktır.  Bir güvenlik uyarı yamasının uygulanabilir ve uygun olduğunu belirledikten sonra Tedarikçi, yamayı belgelenmiş önem derecesin ve risk değerlendirme kurallarına uygun olarak uygulayacaktır.  Tedarikçi, güvenlik uyarı yamalarını değişiklik yönetimi politikasına tabi olarak uygulayacaktır.

    5.8 Kyndryl'ın, Tedarikçi tarafından Kyndryl'a sağlanan donanım veya yazılımın casus yazılım, kötü amaçlı yazılım veya kötü amaçlı kod gibi izinsiz unsurlar içerebileceğine inanmak için makul bir gerekçesi varsa, Tedarikçi, Kyndryl'ın endişelerini araştırmak ve düzeltmek için Kyndryl ile gecikmeden işbirliği yapacaktır.  

    6. Hizmet Sağlama

    6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için endüstride yaygın birleştirilmiş kimlik doğrulama yöntemlerini destekleyecek ve Tedarikçi, ilgili Kyndryl kullanıcısının veya Müşteri hesaplarının kimliğini doğrulamak için Sektördeki En İyi Uygulamaları izleyecektir (örneğin, Kyndryl merkezi olarak yönetilen çok faktörlü Tek Oturum Açma, OpenID Connect veya Güvenlik Onayı İşaretleme Dili).

    7. Alt Yükleniciler.  İşlem Belgesi veya alt yüklenicilerin görevlendirilmesiyle ilgili taraflar arasındaki ilgili çerçeve sözleşmesi kapsamında belirlenen Tedarikçinin yükümlülüklerini veya Kyndryl'ın haklarını sınırlandırmaksızın Tedarikçi, kendisi için iş yapan herhangi bir alt yüklenicinin bu Koşullarda Tedarikçi için düzenlenen gerekliliklere ve yükümlülüklere uymasına ilişkin yönetim kontrollerinin düzenlenmesini sağlayacaktır.  

    8. Fiziksel Ortam. Tedarikçi, yeniden kullanılması amaçlanan fiziksel ortamları bu tür bir yeniden kullanımdan önce güvenli bir şekilde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamları ortam temizliği konusunda Sektördeki En İyi Uygulamalara uygun olarak imha edecektir.

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

  5. Evet ise, Tedarikçinin kendi veya üçüncü kişi Kaynak Kodunu Kyndryl'a sağladığı ya da Tedarikçinin Teslim Edilecek Malzemelerini veya Hizmetlerini, bir Kyndryl ürünü veya hizmeti kapsamında Kyndryl Müşterisine sağladığı hallerde, Madde V (Güvenli Geliştirme), VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.  

    Tedarikçinin Kyndryl'a yalnızca Şirket İçi Yazılımı sağlaması halinde Madde V (Güvenli Geliştirme) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır. 

    Örnekler:

    • Tedarikçi, Kyndryl tarafından pazarlanmak ve satılmak üzere sahibinin Tedarikçi olacağı Kaynak Kodu geliştirmektedir.

    • Tedarikçi, Kyndryl'ın şirket içi kullanımı için Kyndryl'a bir yazılım programının lisansını vermektedir.

    • Kyndryl, Tedarikçi tarafından barındırılacak ve yönetilecek olan Tedarikçinin Barındırdığı Hizmeti Kyndryl ürünü veya hizmeti olarak yeniden markalaştırır.

    Not: Bir taahhüdün diğer nitelikleri gereği Madde VIII geçerli olacaksa (örneğin, Tedarikçinin Kyndryl Kişisel Verileri veya Kişisel Veri olmayan veriler gibi İş İletişim Bilgileri haricindeki bilgilere de erişimi olması halinde), Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik), Kyndryl'a Şirket İçi Yazılım sağlayan Tedarikçi için de geçerli olacaktır.

    Madde V, Güvenli Geliştirme 

    İşbu Madde, Tedarikçinin kendi veya üçüncü kişi Kaynak Kodunu veya Şirket İçi Yazılımını Kyndryl'a sağlaması veya Tedarikçinin Teslim Edilecek Malzemelerinden veya Hizmetlerinden herhangi birinin Kyndryl ürün veya hizmetinin bir parçası olarak Kyndryl Müşterilerinden birine sağlanması durumunda geçerlidir.

    1. Güvenlik Açısından Hazır Olma Durumu 

    1.1 Tedarikçi, bilgi taleplerine belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler aracılığıyla zamanında ve tam olarak yanıt verilmesi de dahil olmak üzere, Tedarikçinin Teslim Edilecek Malzemelerinden herhangi birine bağımlı olan Kyndryl ürün ve hizmetlerinin güvenlik açısından hazır olup olmadığını değerlendiren Kyndryl'ın dahili süreçleriyle işbirliği yapacaktır.

    2. Güvenli Geliştirme

    2.1 İşbu Madde 2, yalnızca Tedarikçinin Kyndryl'a Şirket İçi Yazılım sağladığı durumlarda geçerlidir.

    2.2 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak ve İşlem Belgesinin süresi boyunca aşağıda belirtilenleri korumak için gerekli olan ağ, platform, sistem, uygulama, cihaz, fiziksel altyapı, olay müdahalesi ve Personel odaklı güvenlik politikalarını, prosedürlerini ve kontrollerini uygulamıştır ve uygulamaya devam edecektir: (a) Tedarikçinin veya Tedarikçi tarafından görevlendirilen herhangi bir üçüncü kişinin Teslim Edilecek Malzemeler için veya bunlarla ilgili olarak çalıştırdığı, yönettiği, kullandığı veya başka bir şekilde güvendiği geliştirme, yapım, test ve işletim sistemleri ve ortamları ve (b) tüm Teslim Edilecek Malzeme kaynak kodunun kayba, yasa dışı kullanım biçimlerine ve yetkisiz erişime, ifşaya veya değişikliğe karşı korunması.

    3. ISO 20243 Sertifikası

    3.1 İşbu Madde 3, yalnızca Tedarikçinin Teslim Edilecek Malzemelerinden veya Hizmetlerinden herhangi birinin bir Kyndryl ürün veya hizmetinin bir parçası olarak bir Kyndryl Müşterisine sağlanacağı durumlarda geçerlidir.

    3.2 Tedarikçi, ISO 20243, Bilgi teknolojisi, Açık Güvenilir Teknoloji Sağlayıcısı, TM Standardı (O-TTPS), Kötü niyetle lekelenmiş ve sahte ürünleri azaltma sistemine (kendi kendini değerlendiren bir sertifika ya da saygın bir bağımsız kuruluşun değerlendirmesine dayalı bir sertifika) uygunluk sertifikası alacaktır.  Alternatif olarak, Tedarikçinin yazılı talepte bulunması ve Kyndryl tarafından yazılı olarak onaylanması durumunda Tedarikçi, güvenli geliştirme ve tedarik zinciri uygulamalarını ele alan büyük ölçüde eşdeğer bir endüstri standardına uygunluk sertifikası alacaktır (kendi kendini değerlendiren bir sertifika ya da Kyndryl tarafından onaylanması halinde ve onaylandığı şekilde saygın bağımsız denetçi).  

    3.3 Tedarikçi, İşlem Belgesinin yürürlük tarihinden itibaren 180 Gün içinde ISO 20243'e veya büyük ölçüde eşdeğer bir endüstri standardına (Kyndryl tarafından yazılı olarak onaylanması halinde) uygunluk sertifikası alacaktır ve belgeyi her 12 ayda bir yenileyecektir (her yenileme, geçerli standardın en güncel sürümüne göre yapılacaktır; yani, ISO 20243 veya Kyndryl tarafından yazılı olarak onaylanması halinde güvenli geliştirme ve tedarik zinciri uygulamalarını kapsayan büyük ölçüde eşdeğer endüstri standardı).  

    3.4 Tedarikçi, talep üzerine, yukarıdaki Madde 2.1 ve 2.2 uyarınca almakla yükümlü olduğu sertifikaların bir kopyasını derhal Kyndryl'a sağlayacaktır.  

    4. Güvenlik Açıkları

    Aşağıda kullanıldığı gibi, 

    Hata Düzeltme, Teslim Edilecek Malzemelerdeki Güvenlik Açıkları dahil olmak üzere hataları veya eksiklikleri düzelten hata düzeltmeleri ve revizyonlar anlamına gelir.

    Azaltma, Güvenlik Açığı risklerini azaltmanın veya bunlardan kaçınmanın bilinen herhangi bir yoludur.

    Güvenlik Açığı, bir Teslim Edilecek Malzemenin tasarımında, kodlanmasında, geliştirilmesinde, uygulanmasında, test edilmesinde, çalıştırılmasında, desteklenmesinde, bakımında veya yönetiminde (a) bir sisteme erişim, sistemin çalışmasını kontrol etme veya kesintiye uğratma, (b) verilere erişim, verileri silme, değiştirme veya çıkarma veya (c) kullanıcıların veya sistem yöneticilerinin kimlik, yetki veya izinlerini değiştirme dahil olmak üzere herhangi birinin yetkisiz erişimi veya kötüye kullanımıyla sonuçlanabilecek bir saldırıya izin veren bir durumu ifade eder.  Güvenlik Açığı, kendisine bir Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) Kimliği veya herhangi bir puanlama veya resmi sınıflandırma atanıp atanmadığına bakılmaksızın mevcut olabilir.  

    4.1 Tedarikçi: (a) sürekli statik ve dinamik kaynak kodu uygulama güvenlik taraması, açık kaynak güvenliği taraması ve sistem güvenlik açığı taraması dahil olmak üzere Güvenlik Açıklarını belirlemek için Sektördeki En İyi Uygulamaları kullanacağını ve (b) Tedarikçinin Hizmetler ve Teslim Edilecek Malzemeler oluşturduğu ve sunduğu Teslim Edilecek Malzemelerdeki ve tüm BT uygulamaları, platformlar ve altyapılardaki Güvenlik Açıklarını önlemeye, tespit etmeye ve düzeltmeye yardımcı olmak üzere işbu Koşulların gereksinimlerine uyum sağlayacağını beyan ve taahhüt eder. 

    4.2 Tedarikçinin Teslim Edilecek Malzemelerde veya bu tür herhangi bir BT uygulamasında, platformda veya altyapıda bir Güvenlik Açığı tespit etmesi halinde, Tedarikçi, Teslim Edilecek Malzemelerin tüm sürümleri ve yayınları için aşağıdaki tabloda tanımlanan Önem Derecelerine ve zaman çerçevelerine uygun olarak bir Hata Düzeltme ve Azaltma hizmeti sağlayacaktır:

     

     

     

     

     

     

     

     

    Önem Derecesi*

     

     

     

     

     

     

     

     

    Acil Durum Güvenlik Açığı – ciddi ve potansiyel olarak küresel bir tehdit oluşturan bir Güvenlik Açığıdır.  Kyndryl, CVSS Taban Puanından bağımsız olarak, kendi takdirine göre Acil Durum Güvenlik Açıklarını belirler.

     

     

     

     

     

     

     

     

    Kritik – CVSS Taban Puanı 9 ile 10,0 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

    Yüksek – CVSS Taban Puanı 7,0 ile 8,9 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

    Orta – CVSS Taban Puanı 4,0 ile 6,9 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

    Düşük – CVSS Taban Puanı 0,0 ile 3,9 arasında olan bir Güvenlik Açığıdır

     

     

     

     

     

     

     

     

     

     

     

    Zaman Çerçeveleri 

     

     

     

     

     

     

     

     

    Acil Durum

     

     

     

     

     

     

    Kritik

     

     

     

     

     

     

    Yüksek

     

     

     

     

     

     

    Orta

     

     

     

     

     

     

    Düşük

     

     

     

     

     

     

     

     

    Kyndryl Bilgi Güvenliği Yöneticisi tarafından belirlendiği haliyle 4 Gün veya daha az

     

     

     

     

     

     

    30 Gün

     

     

     

     

     

     

    30 Gün

     

     

     

     

     

     

    90 Gün

     

     

     

     

     

     

    Sektördeki En İyi Uygulamalara Göre

     

     

     

    *Bir Güvenlik Açığının hemen atanmış bir CVSS Taban Puanına sahip olmadığı her durumda Tedarikçi, söz konusu güvenlik açığının yapısına ve koşullarına uygun bir Önem Derecesi uygulayacaktır.    

    4.3 Kamuya açıklanan ve Tedarikçinin Kyndryl'a henüz herhangi bir Hata Düzeltme veya Azaltma sağlamadığı bir Güvenlik Açığı için Tedarikçi, güvenlik açığı risklerini azaltabilecek teknik olarak uygulanabilir ek güvenlik kontrollerini uygulayacaktır.

    4.4 Kyndryl, Tedarikçinin bir Teslim Edilecek Malzeme veya herhangi bir uygulama, platform veya altyapıyla ilgili Güvenlik Açığına verdiği tepkiden memnun kalmazsa, Kyndryl'ın diğer haklarına ilaveten Tedarikçi, Kyndryl'ın endişelerini Hata Düzeltmenin uygulanmasından sorumlu Tedarikçi Başkan Yardımcısı veya eşdeğer pozisyondaki yönetici ile doğrudan görüşebilmesine ilişkin düzenlemeyi derhal yapacaktır.  

    4.5 Güvenlik Açıklarına örnek olarak, bu tür kodların artık güvenlik düzeltmeleri almadığı üçüncü kişi kodu veya hizmet sonu (EOS) açık kaynak kodu verilebilir. 

    ---

    Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

    İşbu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir; ancak Tedarikçinin yalnızca söz konusu Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken Kyndryl'ın İş İletişim Bilgilerine erişememesi (yani, Tedarikçi başka herhangi bir Kyndryl Verisini İşlemeyecek veya başka herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişemeyecektir) halinde, Tedarikçinin yegane Hizmetleri ve Teslim Edilecek Malzemeleri, Kyndryl'a Şirket İçi Yazılım sağlamak olacak veya Tedarikçi tüm Hizmetlerini ve Teslim Edilecek Malzemelerini Madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modelinde sağlayacaktır.  

    Tedarikçi, bu Maddenin gerekliliklerine uyacak ve bunu yaparak: (a) Kyndryl Malzemelerini kayıp, tahribat, değişiklik, kazara veya yetkisiz ifşa ve kazara veya yetkisiz erişime, (b) Kyndryl Verilerini yasalara aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini yasa dışı Kullanım biçimlerine karşı koruyacaktır. İşbu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken ve Kyndryl Teknolojisini Kullanırken çalıştırdığı veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Güvenlik Politikaları

    1.1 Tedarikçi, kendi işinin ayrılmaz bir parçası olan, tüm Tedarikçi Personeli için zorunlu olan ve Sektördeki En İyi Uygulamalar ile tutarlı olan BT güvenlik politikalarını ve uygulamalarını uygulayacak ve takip edecektir.  

    1.2 Tedarikçi, BT güvenlik politikalarını ve uygulamalarını en az yılda bir kez gözden geçirecek ve Kyndryl Malzemelerini korumak için gerekli gördüğü şekilde değiştirecektir.

    1.3 Tedarikçi, işe alınan tüm yeni çalışanlar için standart, zorunlu istihdam doğrulama gerekliliklerini uygulayacak ve takip edecek ve bu gereklilikleri tüm Tedarikçi Personeli ve tamamına sahip olunan Tedarikçi iştiraklerini kapsayacak şekilde genişletecektir.  Bu gereksinimler, yerel yasaların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulama kanıtını ve Tedarikçinin gerekli gördüğü ilave kontrolleri içerecektir.  Tedarikçi, gerekli gördüğü şekilde bu gereklilikleri periyodik olarak tekrarlayacak ve yeniden doğrulayacaktır. 

    1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi verecek ve söz konusu çalışanların tamamından Tedarikçinin davranış kurallarında veya benzer belgelerde belirtilen şekilde Tedarikçinin etik iş davranışı, gizlilik ve güvenlik politikalarına uyacaklarını her yıl belgelendirmelerini isteyecektir.  Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetimsel erişimi olan kişilere, rollerine ve Hizmetlere, Teslim Edilecek Malzemelere ve Kyndryl Malzemelerine yönelik desteğe özel ve gerekli uygunluğu ve sertifikaları sürdürmek için gerektiği şekilde ek politika ve süreç eğitimi sağlayacaktır.

    1.5 Tedarikçi, Kyndryl Malzemelerinin kullanılabilirliğini korumak ve sürdürmek için, tüm Hizmetler ve Teslim Edilecek Malzeme ve Kyndryl Teknolojisinin tüm Kullanımı için tasarım, güvenli mühendislik ve güvenli operasyonlar kapsamında güvenlik ve gizlilik gerektiren politika ve prosedürlerin uygulanması, sürdürülmesi ve uygunluğu dahil olmak üzere güvenlik ve gizlilik önlemleri tasarlayacaktır.

    2. Güvenlik Olayları

    2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınması için Sektördeki En İyi Uygulamalar ile tutarlı belgelenmiş olay müdahale politikalarını sürdürecek ve izleyecektir.

    2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi veya yetkisiz kullanımı araştıracak ve uygun bir müdahale planı tanımlayıp uygulayacaktır.

    2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir.  Tedarikçi bu tür bir bildirimi cyber.incidents@kyndryl.com adresine iletecektir. Tedarikçi, söz konusu ihlal ve Tedarikçinin düzeltme ve eski haline getirme işlemlerinin durumuyla ilgili talep edilen makul bilgileri Kyndryl'a temin edecektir.  Örnek olarak, makul şekilde talep edilen bilgiler, ihlal veya Tedarikçinin düzeltme ve eski haline getirme işlemleriyle ilgili olduğu kapsamda, Cihazlara, sistemlere veya uygulamalara ayrıcalıklı, idari ve diğer erişimleri, Cihazların, sistemlerin veya uygulamaların adli görüntülerini ve diğer benzer öğeleri gösteren log dosyalarını içerebilir.

    2.4 Tedarikçi, bir Güvenlik İhlaliyle ilgili Kyndryl'ın, Kyndryl'ın bağlı şirketlerinin ve Müşterilerin (ve bunların müşterileri ve bağlı şirketleri) herhangi bir yasal yükümlülüğünü (düzenleyici kurumlara veya İlgili Kişilere bildirim yapma yükümlülüğü de dahil) yerine getirilmesi için Kyndryl'a makul destek sağlayacaktır.

    2.5 Tedarikçi, Kyndryl tarafından yazılı olarak onaylanmadığı müddetçe veya yasa kapsamında gerekli görülmedikçe, bir Güvenlik İhlalinin doğrudan veya dolaylı olarak Kyndryl veya Kyndryl Malzemeleri ile ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek veya bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'ın kimliğini doğrudan veya dolaylı olarak ifşa edeceği herhangi bir üçüncü kişiye yasa gereği yapılması gereken herhangi bir bildirimi dağıtmadan önce Kyndryl'ı yazılı olarak bilgilendirecektir. 

    2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlali olması halinde:

    (a) Tedarikçi, Kyndryl'ın geçerli düzenleyici kurumlara, diğer devlet ve ilgili sektör öz-denetim kurumlarına, medyaya (yürürlükteki yasalar gerektiriyorsa), İlgili Kişilere, Müşterilere ve diğerlerine Güvenlik İhlalini bildirirken maruz kaldığı tüm maliyetlerden ve ayrıca Kyndryl'ın maruz kaldığı gerçek maliyetlerden sorumlu olacaktır,

    (b) Kyndryl'ın talep etmesi halinde, söz konusu İlgili Kişilerin Güvenlik İhlali hakkında bilgilendirildiği tarihten sonraki 1 yıl veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Tedarikçi, İlgili Kişilerin Güvenlik İhlali ve bunun sonuçlarıyla ilgili sorularını yanıtlamak için, masrafları kendisine ait olmak üzere, bir çağrı merkezi kuracaktır.  Kyndryl ve Tedarikçi, sorgulara yanıt verirken çağrı merkezi personeli tarafından kullanılacak metinleri ve diğer materyalleri oluşturmak için birlikte çalışacaktır.  Alternatif olarak, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçinin bir çağrı merkezi kurması yerine kendi çağrı merkezini kurabilir ve kullanabilir ve Tedarikçi, Kyndryl'ın söz konusu çağrı merkezini kurmak ve kullanmak için maruz kaldığı gerçek maliyetleri hususunda Kyndryl'ı tazmin edecektir ve

    (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi yenileme hizmetlerine kaydolmayı seçen kişilerin Güvenlik İhlali konusunda bilgilendirildiği tarihten itibaren 1 yıl boyunca veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Kyndryl'ın söz konusu hizmetleri sağlarken maruz kaldığı gerçek masraflar hususunda Kyndryl'ı tazmin edecektir.

    3. Fiziksel Güvenlik ve Giriş Kontrolü (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir).

    3.1 Tedarikçi, Tesislere yetkisiz girişlere karşı koruma sağlamak için bariyerler, kartla kontrol edilen giriş noktaları, gözetim kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrollerini kullanacaktır.  

    3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere, Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay isteyecek ve erişimi iş rolüne ve iş ihtiyacına göre sınırlayacaktır.  Tedarikçinin geçici erişim izni vermesi halinde, yetkili çalışanı Tesiste ve kontrollü alanlarda herhangi bir ziyaretçiye eşlik edecektir.

    3.3 Tedarikçi, Tesisler içindeki kontrollü alanlara girişi uygun şekilde kısıtlamak için Sektördeki En İyi Uygulamalarla tutarlı çok faktörlü erişim kontrolleri dahil olmak üzere fiziksel erişim kontrolleri uygulayacak, tüm giriş girişimlerini kaydedecek ve bu tür kayıtları en az bir yıl süreyle saklayacaktır. 

    3.4 Tedarikçi, (a) yetkili bir Tedarikçi çalışanının ayrılması veya (b) yetkili Tedarikçi çalışanının artık geçerli bir iş erişimi ihtiyacı kalmaması durumunda, Tesislere ve Tesisler içindeki kontrollü alanlara erişimi iptal edecektir.  Tedarikçi, erişim kontrol listelerinden derhal çıkarma ve fiziksel erişim rozetlerinin teslim edilmesini içeren resmi olarak belgelendirilmiş ayırma prosedürlerini izleyecektir.

    3.5 Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin Kullanımını desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, sel, nem, hırsızlık ve vandalizm gibi hem doğal hem de insan kaynaklı çevresel tehditlere karşı korumak amacıyla önlemler alacaktır.

    4. Erişim, Müdahale, Aktarım ve Ayırma Kontrolü

    4.1 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında yönettiği ağlar için belgelenmiş güvenlik mimarisi kullanacaktır.  Tedarikçi, bu tür ağ mimarisini ayrıca gözden geçirecek ve güvenli segmentasyon, izolasyon ve derinlemesine savunma standartlarına uyum için sistemlere, uygulamalara ve ağ cihazlarına yetkisiz ağ bağlantılarını önleyecek önlemler alacaktır.  Tedarikçi, herhangi bir Barındırılan Hizmetin barındırılmasında ve işletilmesinde kablosuz teknolojiyi kullanamaz; aksi takdirde Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin tesliminde ve Kyndryl Teknolojisinin Kullanımında kablosuz ağ teknolojisini kullanabilir, ancak Tedarikçi bu tür kablosuz ağları şifreleyecek ve bunlar için güvenli kimlik doğrulaması gerektirecektir.

    4.2 Tedarikçi, Kyndryl Malzemelerinin yetkisiz kişiler tarafından ifşa edilmesini veya erişim sağlanmasını mantıksal olarak ayırmak ve önlemek için tasarlanmış önlemler alacaktır.  Ayrıca, Tedarikçi, üretim, üretim dışı ve diğer ortamlarda uygun izolasyonu sürdürecek ve Kyndryl Malzemelerinin üretim dışı bir ortamda halihazırda olması veya bu ortama aktarılması halinde (örneğin bir hatayı yeniden oluşturmak için), Tedarikçi, üretim dışı ortamdaki güvenlik ve gizlilik korumalarının üretim ortamındakilere eşit olmasını sağlayacaktır.

    4.3 Tedarikçi, taşıma halindeki ve kullanımda olmayan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin kullanımda olmayan Kyndryl Malzemelerini şifrelemenin teknik olarak mümkün olmadığını Kyndryl'ı makul ölçüde tatmin edecek şekilde kanıtlayamadığı hallerde).  Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir.  Tedarikçi, veri şifrelemeyle ilgili güvenli anahtar oluşturma, verme, dağıtma, depolama, döndürme, iptal etme, kurtarma, yedekleme, imha, erişim ve kullanıma yönelik belgelenmiş prosedürleri sürdürecektir.  Tedarikçi, bu tür bir şifreleme için kullanılan belirli kriptografik yöntemlerin Sektördeki En İyi Uygulamalarla (NIST SP 800-131a gibi) uyumlu olmasını sağlayacaktır.

    4.4 Tedarikçi, Kyndryl Malzemelerine erişim talep ederse, bu tür erişimi Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak ve desteklemek için gereken en düşük seviyeyle kısıtlayacak ve sınırlandıracaktır.  Tedarikçi, herhangi bir temel bileşene idari erişim (yani, ayrıcalıklı erişim) dahil olmak üzere bu tür erişimin bireysel, role dayalı olmasını ve görev ayrımı ilkelerine göre yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını isteyecektir.  Tedarikçi, gereksiz ve atıl hesapları tespit etmek ve silmek için önlemler alacaktır. Ayrıca, Tedarikçi, ayrıcalıklı erişime sahip hesapları, hesap sahibinin ayrılmasından veya Kyndryl'ın veya hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebinden sonraki yirmi dört (24) saat içinde iptal edecektir. 

    4.5 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, aktif olmayan oturumların zaman aşımına uğramasını zorunlu kılan teknik önlemler, birden fazla ardışık başarısız oturum açma girişiminden sonra hesapların kilitlenmesi, güçlü parola veya anahtar parolası doğrulaması ve bu tür parolaların ve anahtar parolalarının güvenli aktarımını ve saklanmasını gerektiren önlemleri uygulayacaktır.  Ayrıca, Tedarikçi, herhangi bir Kyndryl Malzemesine konsol dışı tüm ayrıcalıklı erişimler için çok faktörlü kimlik doğrulamasını kullanacaktır.

    4.6 Tedarikçi, (a) yetkisiz erişimi ve faaliyeti tespit etmek, (b) bu ​​tür erişim ve faaliyete zamanında ve uygun müdahaleyi kolaylaştırmak ve (c) belgelenmiş Tedarikçi politikasına uygunluğun Tedarikçi, Kyndryl (işbu Koşullardaki doğrulama hakları ve İşlem Belgesindeki veya ilişkili temel sözleşme veya taraflar arasındaki diğer ilgili anlaşmadaki denetim hakları uyarınca) ve diğerleri tarafından denetlenebilmesi için ayrıcalıklı erişim kullanımını izleyecek ve güvenlik bilgileri ve olay yönetimi önlemleri uygulayacaktır. 

    4.7 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullanılan sistemlerle ilgili olarak tüm yönetimsel, kullanıcı veya diğer erişim ya da işlemleri kaydettiği log dosyalarını saklayacaktır (ve bu log dosyalarını Talep üzerine Kyndryl'a temin edecektir).  Tedarikçi, bu tür log dosyalarına yetkisiz erişim, değişiklik ve kazara veya kasıtlı olarak imha edilmeye karşı koruma sağlamak üzere tasarlanmış önlemler alacaktır.

    4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere sahip olduğu veya yönettiği sistemler için ve Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ya da Kyndryl Teknolojisinin Kullanımında kullandığı sistemler için hesaplama korumaları sağlayacak ve söz konusu koruma sistemleri, uç nokta güvenlik duvarlarını, tam disk şifrelemeyi, kötü amaçlı yazılımları ve gelişmiş kalıcı tehditleri ele almak için imzalı ve imzasız uç nokta algılama ve yanıt teknolojilerini, zamana dayalı ekran kilitlerini ve güvenlik yapılandırması ve yamalama gereksinimlerini uygulayan uç nokta yönetimi çözümlerini içerecektir.  Ayrıca, Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve operasyonel kontroller uygulayacaktır.

    4.9 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olacak şekilde, Kyndryl Malzemelerinin bulunduğu veya işlendiği veri merkezi ortamları için izinsiz girişi tespit etme ve önleme ve hizmet saldırısı karşı önlemlerinin önlenmesi ve inkar edilmesi ve hafifletme dahil olmak üzere korumalar sağlayacaktır. 

    5. Hizmet ve Sistem Bütünlüğü ve Kullanılabilirlik Kontrolü 

    5.1 Tedarikçi: (a) en az yıllık esasta güvenlik ve gizlilik riski değerlendirmeleri gerçekleştirecek, (b) üretimin piyasaya sürülmesinden önce otomatik sistem ve uygulama güvenlik taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testi gerçekleştirecek ve güvenlik açıklarını değerlendirecektir ve bu işlemleri, Hizmetler ve Teslim Edilecek Malzemelerle ilgili olması halinde her yıl ve Kyndryl Teknolojisinin Kullanımına ilişkin olarak her yıl gerçekleştirecektir, (c) hem otomatik hem de manuel testi içerecek şekilde Sektördeki En İyi Uygulamalara uygun olarak penetrasyon testi gerçekleştirmek üzere nitelikli bağımsız bir üçüncü kişiden yardım alacak, (d) Hizmetler ve Teslim Edilecek Malzemelerin her bir bileşeni için ve Kyndryl Teknolojisinin Kullanımıyla ilgili olarak güvenlik konfigürasyon gerekliliklerine uygunluğun otomatik yönetim ve rutin doğrulamasını yapacak ve (e) ilgili risk, istismar edilebilirlik ve etkiye dayalı olarak güvenlik konfigürasyonu gerekliliklerinde tespit edilen güvenlik açıklarını veya uygunsuzlukları giderecektir.  Tedarikçi, testlerini, değerlendirmelerini, taramalarını gerçekleştirirken ve düzeltme faaliyetlerini yürütürken Hizmetlerde aksamayı önlemek için makul adımlar atacaktır.  Kyndryl'ın talebi üzerine Tedarikçi, Kyndryl'a Tedarikçinin en son sızma testi faaliyetlerinin yazılı özetini sağlayacaktır ve bu rapor asgari düzeyde testin içerdiği olanakların adını, test kapsamı dahilindeki sistemlerin veya uygulamaların sayısını, test tarihlerini, testte kullanılan metodoloji ve bulguların üst düzey özetini içerecektir.

    5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde veya Kyndryl Teknolojisinin Kullanımında yapılan değişikliklerin uygulanmasıyla ilgili riskleri yönetmek için tasarlanmış politikalar ve prosedürler uygulayacaktır.  Tedarikçi, etkilenen sistemler, ağlar ve ilgili bileşenler de dahil olmak üzere böyle bir değişikliği uygulamadan önce kayıtlı bir değişiklik talebi kapsamında: (a) değişikliğin açıklamasını ve nedenini, (b) uygulama ayrıntılarını ve programı, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiyi, (d) beklenen sonucu, (e) geri alma planını ve (f) yetkili Tedarikçi çalışanlarının onayını belgelendirecektir.

    5.3 Tedarikçi, Hizmetlerin yürütülmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm BT varlıklarının envanterini tutacaktır.  Tedarikçi, BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin temel bileşenleri dahil olmak üzere söz konusu BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir. 

    5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalara uygun önceden tanımlanmış sistem güvenlik görüntüleri veya güvenlik temellerinden oluşturacaktır.

    5.5 Tedarikçinin yükümlülüklerini veya Kyndryl'ın İşlem Belgesi veya taraflar arasındaki ilgili çerçeve sözleşmesi kapsamındaki iş sürekliliğine ilişkin haklarını sınırlamadan, Tedarikçi her bir Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin Kullanımında kullanılan her bir BT sistemini, belgelenmiş risk yönetimi kurallarına göre iş ve BT sürekliliği ve felaketten kurtarma gereklilikleri için ayrı ayrı değerlendirecektir.  Tedarikçi, her bir Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, ilgili risk değerlendirmesinin garanti ettiği kapsamda, Sektördeki En İyi Uygulamalar ile tutarlı, ayrı olarak tanımlanan, belgelendirilen, uygulanan ve yıllık olarak doğrulanmış iş ve BT sürekliliği ve felaketten kurtarma planlarına sahip olmasını sağlayacaktır.  Tedarikçi, bu tür planların aşağıda Madde 5.6'da belirtilen belirli kurtarma sürelerine uygun şekilde tasarlanmasını sağlayacaktır.

    5.6 Herhangi bir Barındırılan Hizmete ilişkin özel kurtarma noktası hedefleri ("RPO") ve kurtarma süresi hedefleri ("RTO") şunlardır: 24 saatlik RPO ve 24 saatlik RTO; buna rağmen, Tedarikçi, Kyndryl tarafından daha kısa süreli RPO veya RTO'nun yazılı olarak bildirilmesinden hemen sonra, Kyndryl'ın bir Müşteriye taahhüt ettiği daha kısa süreli RPO veya RTO'ya uyacaktır (e-posta bir yazı teşkil eder).  Tedarikçi tarafından Kyndryl'a sağlanan diğer tüm Hizmetlerle ilgili olarak, Tedarikçi, iş sürekliliği ve felaketten kurtarma planlarının, Tedarikçinin İşlem Belgesi ve taraflar arasındaki ilgili çerçeve sözleşmesi ve zamanında test, destek ve bakım yükümlülükleri de dahil olmak üzere işbu Koşullar kapsamında düzenlenen Kyndryl'a karşı tüm yükümlülüklerine uymasına olanak tanıyan RPO ve RTO'yu sağlayacak şekilde tasarlandığından emin olacaktır.

    5.7 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler ile ilgili sistemler, ağlar, uygulamalar ve bu Hizmetler ve Teslim Edilecek Malzemeler kapsamındaki ilgili bileşenler ve Kyndryl Teknolojisinin Kullanımında uygulanan sistemler, ağlar, uygulamalar ve ilgili bileşenler için güvenlik uyarı yamalarını değerlendirmek, test etmek ve uygulamak üzere tasarlanmış önlemler uygulayacaktır.  Bir güvenlik uyarı yamasının uygulanabilir ve uygun olduğunu belirledikten sonra Tedarikçi, yamayı belgelenmiş önem derecesin ve risk değerlendirme kurallarına uygun olarak uygulayacaktır.  Tedarikçi, güvenlik uyarı yamalarını değişiklik yönetimi politikasına tabi olarak uygulayacaktır.

    5.8 Kyndryl'ın, Tedarikçi tarafından Kyndryl'a sağlanan donanım veya yazılımın casus yazılım, kötü amaçlı yazılım veya kötü amaçlı kod gibi izinsiz unsurlar içerebileceğine inanmak için makul bir gerekçesi varsa, Tedarikçi, Kyndryl'ın endişelerini araştırmak ve düzeltmek için Kyndryl ile gecikmeden işbirliği yapacaktır.  

    6. Hizmet Sağlama

    6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için endüstride yaygın birleştirilmiş kimlik doğrulama yöntemlerini destekleyecek ve Tedarikçi, ilgili Kyndryl kullanıcısının veya Müşteri hesaplarının kimliğini doğrulamak için Sektördeki En İyi Uygulamaları izleyecektir (örneğin, Kyndryl merkezi olarak yönetilen çok faktörlü Tek Oturum Açma, OpenID Connect veya Güvenlik Onayı İşaretleme Dili).

    7. Alt Yükleniciler.  İşlem Belgesi veya alt yüklenicilerin görevlendirilmesiyle ilgili taraflar arasındaki ilgili çerçeve sözleşmesi kapsamında belirlenen Tedarikçinin yükümlülüklerini veya Kyndryl'ın haklarını sınırlandırmaksızın Tedarikçi, kendisi için iş yapan herhangi bir alt yüklenicinin bu Koşullarda Tedarikçi için düzenlenen gerekliliklere ve yükümlülüklere uymasına ilişkin yönetim kontrollerinin düzenlenmesini sağlayacaktır.  

    8. Fiziksel Ortam. Tedarikçi, yeniden kullanılması amaçlanan fiziksel ortamları bu tür bir yeniden kullanımdan önce güvenli bir şekilde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamları ortam temizliği konusunda Sektördeki En İyi Uygulamalara uygun olarak imha edecektir.

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

  6. Evet ise, söz konusu erişim için Madde VI (Kurumsal Sistemlere Erişim), VIII (Teknik ve İdari Tedbirler, Genel Güvenlik) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.  

    Örnekler:

    • Tedarikçinin geliştirme sorumlulukları, Kyndryl Kaynak Kodu havuzlarına erişilmesini gerektirir. 

    Not: Kurumsal Sistemler kapsamında Tedarikçinin erişmesine izin verilen Kyndryl Malzemelerine bağlı olarak Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), III (Gizlilik), IV (Teknik ve İdari Tedbirler, Kod Güvenliği) ve V (Güvenli Geliştirme) de geçerli olabilir.  

    Madde VI, Kurumsal Sistemlere Erişim

    İşbu Madde, Tedarikçi çalışanlarının herhangi bir Kurumsal Sisteme erişiminin olması halinde geçerlidir.  

    1. Genel Koşullar

    1.1 Tedarikçi çalışanlarının Kurumsal Sistemlere erişim izninin olup olmayacağına Kyndryl karar verecektir.  Kyndryl tarafından bu tür bir iznin verilmesi durumunda Tedarikçi, işbu Maddenin gerekliliklerine uyacak ve ilgili erişim iznine sahip çalışanlarının da bu gerekliliklere uymasını sağlayacaktır.  

    1.2 Kyndryl, Tedarikçi çalışanlarının Kurumsal Sistemlere, Kyndryl veya Tedarikçi tarafından sağlanan Cihazlarla erişip erişmeyeceği de dahil olmak üzere ilgili çalışanların Kurumsal Sistemlere erişirken kullanacağı araçları belirleyecektir.  

    1.3 Tedarikçi çalışanları, Hizmetleri sağlamak amacıyla yalnızca Kurumsal Sistemlere erişebilir ve söz konusu erişim için yalnızca Kyndryl tarafından onaylanan Cihazları kullanabilirler.  Tedarikçi çalışanları, Kyndryl'ın yukarıda belirtildiği şekilde yetki verdiği Cihazları başka bir kişi veya kuruluşa hizmet sağlamak veya herhangi bir Tedarikçi veya üçüncü kişi BT sistemlerine, ağlarına, uygulamalarına, web sitelerine, e-posta araçlarına, işbirliği araçlarına veya benzerlerine erişim sağlamak için veya Hizmetlerle bağlantılı olarak kullanamaz.

    1.4 Açıklık sağlamak amacıyla Tedarikçi çalışanları, Kyndryl tarafından onaylanan Cihazları diğer kişisel nedenler için kullanamaz (örneğin, Tedarikçi çalışanları, müzik, video, resim veya benzeri öğeleri ilgili Cihazlara yükleyemez ve bu Cihazları İnternete bağlanarak kişisel nedenler için kullanamaz).

    1.5 Tedarikçi çalışanları, Kyndryl'ın önceden yazılı onayını almaksızın Kurumsal Sistemlerin herhangi biri vasıtasıyla erişilebilen Kyndryl Malzemelerini kopyalayamaz (ve Kyndryl Malzemelerini hiçbir şekilde USB, harici sürücü veya benzeri materyaller gibi taşınabilir depolama cihazlarına kopyalayamaz).

    1.6 Tedarikçi, talep edilmesi halinde Kyndryl tarafından belirlenen zaman zarfında çalışanlarının erişim izninin olduğu veya eriştiği belirli Kurumsal Sistemleri, çalışanın adına göre onaylayacaktır.

    1.7 Tedarikçi, herhangi bir Kurumsal Sisteme erişimi olan Tedarikçi çalışanının (a) artık Tedarikçi tarafından istihdam edilmemesi veya (b) söz konusu erişimi gerektirmeyen işlerde çalışması halinde bu durumu yirmi dört (24) saat içinde Kyndryl'a bildirecektir.  Tedarikçi, eski veya mevcut çalışanlar için erişimin derhal iptal edilmesi konusunda Kyndryl ile birlikte çalışacaktır.

    1.8 Tedarikçi, fiili veya şüphelenilen güvenlik olaylarını (bir Kyndryl veya Tedarikçi Cihazının kaybı veya bir Cihaza veya herhangi bir türden verilere, materyallere veya diğer bilgilere yetkisiz erişim gibi) derhal Kyndryl'a bildirecek ve bu tür olayların soruşturulmasında Kyndryl ile işbirliği yapacaktır.

    1.9 Tedarikçi, Kyndryl'ın ön yazılı izni olmaksızın herhangi bir temsilcinin, bağımsız yüklenicinin veya alt yüklenici çalışanının herhangi bir Kurumsal Sisteme erişmesine izin veremez; Kyndryl tarafından bu iznin verilmesi durumunda Tedarikçi, bu kişileri ve onların işverenlerini, bir sözleşme vasıtasıyla sanki bu kişiler Tedarikçi çalışanlarıymış gibi işbu Maddenin gerekliliklerine uymalarını taahhüt edecek ve söz konusu kişi veya işverenin ilgili Kurumsal Sistem erişimiyle ilgili tüm eylemlerinde ve ihmallerinde Kyndryl'a karşı sorumlu olacaktır. 

    2. Cihaz Yazılımları 

    2.1 Tedarikçi, çalışanlarına, Kyndryl'ın Kurumsal Sistemlere güvenli bir şekilde erişimi kolaylaştırmak için ihtiyaç duyduğu tüm Cihaz yazılımlarını zamanında yüklemeleri talimatını verecektir.  Tedarikçi ve çalışanları, söz konusu yazılım işlemlerine veya yazılımın sağladığı güvenlik özelliklerine müdahale etmeyecektir.

    2.2 Tedarikçi ve çalışanları, Kyndryl'ın belirlediği Cihaz yapılandırma kurallarına uyacak, aksi takdirde, yazılımın Kyndryl'ın planladığı gibi çalışmasını sağlamaya yardımcı olmak için Kyndryl ile birlikte çalışacaktır.  Örneğin, Tedarikçi, yazılım web sitesi engelleme veya otomatik yama uygulama özelliklerini geçersiz kılmayacaktır.

    2.3 Tedarikçi çalışanları, Kurumsal Sistemlere erişmek için kullandıkları Cihazları veya Cihaz kullanıcı adlarını, şifrelerini vb. başka kişilerle paylaşamaz.

    2.4 Kyndryl, Tedarikçi çalışanlarına Tedarikçi Cihazlarını kullanarak Kurumsal Sistemlere erişme yetkisi verirse Tedarikçi, Cihazlara Kyndryl tarafından onaylanan bir işletim sistemi yükleyecek ve kullanacak ve Kyndryl tarafından talimat verildikten sonra makul bir süre içinde söz konusu işletim sistemini yeni sürüme veya yeni bir işletim sistemine yükseltecektir.  

    3. Gözetim ve İşbirliği

    3.1 Kyndryl, Tedarikçiye veya herhangi bir Tedarikçi çalışanına veya diğerlerine önceden bildirimde bulunmaksızın, Kyndryl'ın gerekli veya uygun olduğuna inandığı her türlü yöntemi kullanarak, olası izinsiz girişleri ve diğer siber güvenlik tehditlerini her türlü yöntemle, herhangi bir yerden izleme ve düzeltme konusunda sınırsız haklara sahiptir.  Bu tür haklara örnek olarak, Kyndryl istediği zaman (a) herhangi bir Cihaz üzerinde bir güvenlik testi gerçekleştirebilir, (b) teknik veya diğer yollarla izleme, kurtarma gerçekleştirebilir ve iletişimleri (herhangi bir e-posta hesabından gelen e-postalar dahil), kayıtları, dosyaları ve herhangi bir Cihazda saklanan veya herhangi bir Kurumsal Sistem yoluyla iletilen diğer öğeleri inceleyebilir ve (c) herhangi bir Cihazın tam adli bilişim görüntüsünü elde edebilir.  Kyndryl, haklarını kullanmak için Tedarikçinin işbirliğine ihtiyaç duyarsa, Tedarikçi, Kyndryl'ın bu tür bir işbirliğine yönelik taleplerini eksiksiz ve zamanında karşılayacaktır (örneğin, herhangi bir Cihazı güvenli bir şekilde yapılandırma, herhangi bir Cihaza izleme yazılımını veya diğer yazılımları yükleme, sistem düzeyinde bağlantı ayrıntılarını paylaşma, etkileşim kurma, herhangi bir Cihazda olay müdahale önlemleri gerçekleştirmek ve tam bir adli görüntü elde etmek üzere Kyndryl için herhangi bir Cihaza fiziksel erişim sağlamak ve benzeri ve ilgili talepler).  

    3.2 Kyndryl, Kyndryl'ı korumak için gerekli olduğuna inanması halinde, herhangi bir Tedarikçi çalışanı veya tüm Tedarikçi çalışanlarının Kurumsal Sistemlere erişimini herhangi bir zamanda, Tedarikçiye veya herhangi bir Tedarikçi çalışanına veya diğerlerine önceden bildirimde bulunmaksızın iptal edebilir.

    3.3 Veri, materyal veya diğer bilgilerin yalnızca tek bir seçili konumda veya konumlarda olmasını gerektirebilecek veya yalnızca seçili konum veya konumlardaki kişilerin söz konusu verilere, materyallere veya diğer bilgilere erişim sağlamasını gerektiren herhangi bir hüküm dahil olmak üzere İşlem Belgesinin, taraflar arasındaki ilgili çerçeve sözleşmesinin veya taraflar arasındaki diğer sözleşmelerin herhangi bir hükmü nedeniyle Kyndryl'ın hakları engellenemez, azaltılamaz veya kısıtlanamaz.

    4. Kyndryl Cihazları

    4.1 Kyndryl, tüm Kyndryl Cihazlarının mülkiyetini elinde tutacak ve Tedarikçi, Cihazların hırsızlık, vandalizm veya ihmal nedeniyle kaybolma riskini üstlenecektir.  Tedarikçi, Kyndryl'ın önceden yazılı izni alınmaksızın, Cihaz yazılımında, uygulamalarında, güvenlik tasarımında, güvenlik yapılandırmasında veya fiziksel, mekanik veya elektriksel tasarımında yapılan herhangi bir değişiklik dahil olmak üzere, Cihazda herhangi bir değişikliğe neden olan düzeltmeler kapsamında, Kyndryl Cihazlarında herhangi bir değişiklik yapmayacak veya yapılmasına izin vermeyecektir.

    4.2 Tedarikçi, tüm Kyndryl Cihazlarını, bu Cihazlara Hizmetleri sağlamak için duyulan ihtiyaç sona erdikten sonra 5 iş günü içinde iade edecek ve Kyndryl'ın talep etmesi halinde, bu Cihazlardaki tüm verilerin, materyallerin ve diğer her türlü bilginin kalıcı olarak silinmesi için Sektördeki En İyi Uygulamaları izleyerek söz konusu verileri, materyalleri ve diğer bilgileri imha edecektir.  Tedarikçi, Kyndryl Cihazlarını makul aşınma ve yıpranma dışında, masrafları kendisine ait olmak üzere, Tedarikçiye teslim edildiği şekilde paketleyecek ve Kyndryl'ın belirlediği konuma iade edecektir.  Herhangi bir Kurumsal Sisteme erişimin Tedarikçinin söz konusu anlaşma kapsamındaki görevlerini veya diğer faaliyetlerini kolaylaştırması halinde söz konusu anlaşmanın "ilgili" olduğu anlayışına dayalı olarak, Tedarikçinin işbu Madde 4.2'deki herhangi bir yükümlülüğe uymaması, İşlem Belgesinin ve ilgili çerçeve sözleşmesinin ve taraflar arasındaki herhangi bir ilgili sözleşmenin esaslı ihlali niteliğindedir.

    4.3 Kyndryl, Kyndryl Cihazları için destek sağlayacaktır (Cihaz muayenesi ve önleyici ve düzeltici bakım dahil).  Tedarikçi, düzeltici hizmet ihtiyacını derhal Kyndryl'a bildirecektir. 

    4.4. Kyndryl'ın sahibi olduğu veya lisanslama hakkına sahip olduğu yazılım programları için Kyndryl, Kyndryl Cihazlarının yetkili kullanımını desteklemek için Tedarikçiye bunları geçici olarak kullanma, depolama ve yeterli sayıda kopya oluşturma hakkı verir.  Tedarikçi, geçerli yasaların sözleşme ile değiştirilmesineveya sınırlandırılmasına olanak tanımayarak açıkça izin vermediği sürece programları hiç kimseye devredemez, yazılım lisans bilgilerinin kopyalarını çıkaramaz veya herhangi bir programı parçalarına ayıramaz, kaynak koda dönüştüremez, tersine mühendislik uygulayamaz veya başka bir şekilde çeviremez.  

    5. Güncellemeler

    5.1 İşlem Belgesinde veya taraflar arasındaki ilgili çerçeve sözleşmesinde aksine herhangi bir hüküm bulunsa bile, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak ve Tedarikçinin onayını almaya gerek olmaksızın, geçerli yasa veya müşteri yükümlülüğü kapsamındaki herhangi bir gereksinimi ele almak, en iyi güvenlik uygulamalarındaki herhangi bir geliştirmeyi yansıtmak veya Kyndryl'ın Kurumsal Sistemleri veya Kyndryl'ı korumak için gerekli olduğuna inandığı diğer nedenlerden ötürü işbu Maddede güncelleme, ekleme veya diğer şekillerde değişiklik yapabilir.

    Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

    İşbu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir; ancak Tedarikçinin yalnızca söz konusu Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken Kyndryl'ın İş İletişim Bilgilerine erişememesi (yani, Tedarikçi başka herhangi bir Kyndryl Verisini İşlemeyecek veya başka herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişemeyecektir) halinde, Tedarikçinin yegane Hizmetleri ve Teslim Edilecek Malzemeleri, Kyndryl'a Şirket İçi Yazılım sağlamak olacak veya Tedarikçi tüm Hizmetlerini ve Teslim Edilecek Malzemelerini Madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modelinde sağlayacaktır.  

    Tedarikçi, bu Maddenin gerekliliklerine uyacak ve bunu yaparak: (a) Kyndryl Malzemelerini kayıp, tahribat, değişiklik, kazara veya yetkisiz ifşa ve kazara veya yetkisiz erişime, (b) Kyndryl Verilerini yasalara aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini yasa dışı Kullanım biçimlerine karşı koruyacaktır. İşbu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken ve Kyndryl Teknolojisini Kullanırken çalıştırdığı veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Güvenlik Politikaları

    1.1 Tedarikçi, kendi işinin ayrılmaz bir parçası olan, tüm Tedarikçi Personeli için zorunlu olan ve Sektördeki En İyi Uygulamalar ile tutarlı olan BT güvenlik politikalarını ve uygulamalarını uygulayacak ve takip edecektir.  

    1.2 Tedarikçi, BT güvenlik politikalarını ve uygulamalarını en az yılda bir kez gözden geçirecek ve Kyndryl Malzemelerini korumak için gerekli gördüğü şekilde değiştirecektir.

    1.3 Tedarikçi, işe alınan tüm yeni çalışanlar için standart, zorunlu istihdam doğrulama gerekliliklerini uygulayacak ve takip edecek ve bu gereklilikleri tüm Tedarikçi Personeli ve tamamına sahip olunan Tedarikçi iştiraklerini kapsayacak şekilde genişletecektir.  Bu gereksinimler, yerel yasaların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulama kanıtını ve Tedarikçinin gerekli gördüğü ilave kontrolleri içerecektir.  Tedarikçi, gerekli gördüğü şekilde bu gereklilikleri periyodik olarak tekrarlayacak ve yeniden doğrulayacaktır. 

    1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi verecek ve söz konusu çalışanların tamamından Tedarikçinin davranış kurallarında veya benzer belgelerde belirtilen şekilde Tedarikçinin etik iş davranışı, gizlilik ve güvenlik politikalarına uyacaklarını her yıl belgelendirmelerini isteyecektir.  Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetimsel erişimi olan kişilere, rollerine ve Hizmetlere, Teslim Edilecek Malzemelere ve Kyndryl Malzemelerine yönelik desteğe özel ve gerekli uygunluğu ve sertifikaları sürdürmek için gerektiği şekilde ek politika ve süreç eğitimi sağlayacaktır.

    1.5 Tedarikçi, Kyndryl Malzemelerinin kullanılabilirliğini korumak ve sürdürmek için, tüm Hizmetler ve Teslim Edilecek Malzeme ve Kyndryl Teknolojisinin tüm Kullanımı için tasarım, güvenli mühendislik ve güvenli operasyonlar kapsamında güvenlik ve gizlilik gerektiren politika ve prosedürlerin uygulanması, sürdürülmesi ve uygunluğu dahil olmak üzere güvenlik ve gizlilik önlemleri tasarlayacaktır.

    2. Güvenlik Olayları

    2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınması için Sektördeki En İyi Uygulamalar ile tutarlı belgelenmiş olay müdahale politikalarını sürdürecek ve izleyecektir.

    2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi veya yetkisiz kullanımı araştıracak ve uygun bir müdahale planı tanımlayıp uygulayacaktır.

    2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir.  Tedarikçi bu tür bir bildirimi cyber.incidents@kyndryl.com adresine iletecektir. Tedarikçi, söz konusu ihlal ve Tedarikçinin düzeltme ve eski haline getirme işlemlerinin durumuyla ilgili talep edilen makul bilgileri Kyndryl'a temin edecektir.  Örnek olarak, makul şekilde talep edilen bilgiler, ihlal veya Tedarikçinin düzeltme ve eski haline getirme işlemleriyle ilgili olduğu kapsamda, Cihazlara, sistemlere veya uygulamalara ayrıcalıklı, idari ve diğer erişimleri, Cihazların, sistemlerin veya uygulamaların adli görüntülerini ve diğer benzer öğeleri gösteren log dosyalarını içerebilir.

    2.4 Tedarikçi, bir Güvenlik İhlaliyle ilgili Kyndryl'ın, Kyndryl'ın bağlı şirketlerinin ve Müşterilerin (ve bunların müşterileri ve bağlı şirketleri) herhangi bir yasal yükümlülüğünü (düzenleyici kurumlara veya İlgili Kişilere bildirim yapma yükümlülüğü de dahil) yerine getirilmesi için Kyndryl'a makul destek sağlayacaktır.

    2.5 Tedarikçi, Kyndryl tarafından yazılı olarak onaylanmadığı müddetçe veya yasa kapsamında gerekli görülmedikçe, bir Güvenlik İhlalinin doğrudan veya dolaylı olarak Kyndryl veya Kyndryl Malzemeleri ile ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek veya bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'ın kimliğini doğrudan veya dolaylı olarak ifşa edeceği herhangi bir üçüncü kişiye yasa gereği yapılması gereken herhangi bir bildirimi dağıtmadan önce Kyndryl'ı yazılı olarak bilgilendirecektir. 

    2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlali olması halinde:

    (a) Tedarikçi, Kyndryl'ın geçerli düzenleyici kurumlara, diğer devlet ve ilgili sektör öz-denetim kurumlarına, medyaya (yürürlükteki yasalar gerektiriyorsa), İlgili Kişilere, Müşterilere ve diğerlerine Güvenlik İhlalini bildirirken maruz kaldığı tüm maliyetlerden ve ayrıca Kyndryl'ın maruz kaldığı gerçek maliyetlerden sorumlu olacaktır,

    (b) Kyndryl'ın talep etmesi halinde, söz konusu İlgili Kişilerin Güvenlik İhlali hakkında bilgilendirildiği tarihten sonraki 1 yıl veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Tedarikçi, İlgili Kişilerin Güvenlik İhlali ve bunun sonuçlarıyla ilgili sorularını yanıtlamak için, masrafları kendisine ait olmak üzere, bir çağrı merkezi kuracaktır.  Kyndryl ve Tedarikçi, sorgulara yanıt verirken çağrı merkezi personeli tarafından kullanılacak metinleri ve diğer materyalleri oluşturmak için birlikte çalışacaktır.  Alternatif olarak, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçinin bir çağrı merkezi kurması yerine kendi çağrı merkezini kurabilir ve kullanabilir ve Tedarikçi, Kyndryl'ın söz konusu çağrı merkezini kurmak ve kullanmak için maruz kaldığı gerçek maliyetleri hususunda Kyndryl'ı tazmin edecektir ve

    (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi yenileme hizmetlerine kaydolmayı seçen kişilerin Güvenlik İhlali konusunda bilgilendirildiği tarihten itibaren 1 yıl boyunca veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Kyndryl'ın söz konusu hizmetleri sağlarken maruz kaldığı gerçek masraflar hususunda Kyndryl'ı tazmin edecektir.

    3. Fiziksel Güvenlik ve Giriş Kontrolü (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir).

    3.1 Tedarikçi, Tesislere yetkisiz girişlere karşı koruma sağlamak için bariyerler, kartla kontrol edilen giriş noktaları, gözetim kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrollerini kullanacaktır.  

    3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere, Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay isteyecek ve erişimi iş rolüne ve iş ihtiyacına göre sınırlayacaktır.  Tedarikçinin geçici erişim izni vermesi halinde, yetkili çalışanı Tesiste ve kontrollü alanlarda herhangi bir ziyaretçiye eşlik edecektir.

    3.3 Tedarikçi, Tesisler içindeki kontrollü alanlara girişi uygun şekilde kısıtlamak için Sektördeki En İyi Uygulamalarla tutarlı çok faktörlü erişim kontrolleri dahil olmak üzere fiziksel erişim kontrolleri uygulayacak, tüm giriş girişimlerini kaydedecek ve bu tür kayıtları en az bir yıl süreyle saklayacaktır. 

    3.4 Tedarikçi, (a) yetkili bir Tedarikçi çalışanının ayrılması veya (b) yetkili Tedarikçi çalışanının artık geçerli bir iş erişimi ihtiyacı kalmaması durumunda, Tesislere ve Tesisler içindeki kontrollü alanlara erişimi iptal edecektir.  Tedarikçi, erişim kontrol listelerinden derhal çıkarma ve fiziksel erişim rozetlerinin teslim edilmesini içeren resmi olarak belgelendirilmiş ayırma prosedürlerini izleyecektir.

    3.5 Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin Kullanımını desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, sel, nem, hırsızlık ve vandalizm gibi hem doğal hem de insan kaynaklı çevresel tehditlere karşı korumak amacıyla önlemler alacaktır.

    4. Erişim, Müdahale, Aktarım ve Ayırma Kontrolü

    4.1 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında yönettiği ağlar için belgelenmiş güvenlik mimarisi kullanacaktır.  Tedarikçi, bu tür ağ mimarisini ayrıca gözden geçirecek ve güvenli segmentasyon, izolasyon ve derinlemesine savunma standartlarına uyum için sistemlere, uygulamalara ve ağ cihazlarına yetkisiz ağ bağlantılarını önleyecek önlemler alacaktır.  Tedarikçi, herhangi bir Barındırılan Hizmetin barındırılmasında ve işletilmesinde kablosuz teknolojiyi kullanamaz; aksi takdirde Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin tesliminde ve Kyndryl Teknolojisinin Kullanımında kablosuz ağ teknolojisini kullanabilir, ancak Tedarikçi bu tür kablosuz ağları şifreleyecek ve bunlar için güvenli kimlik doğrulaması gerektirecektir.

    4.2 Tedarikçi, Kyndryl Malzemelerinin yetkisiz kişiler tarafından ifşa edilmesini veya erişim sağlanmasını mantıksal olarak ayırmak ve önlemek için tasarlanmış önlemler alacaktır.  Ayrıca, Tedarikçi, üretim, üretim dışı ve diğer ortamlarda uygun izolasyonu sürdürecek ve Kyndryl Malzemelerinin üretim dışı bir ortamda halihazırda olması veya bu ortama aktarılması halinde (örneğin bir hatayı yeniden oluşturmak için), Tedarikçi, üretim dışı ortamdaki güvenlik ve gizlilik korumalarının üretim ortamındakilere eşit olmasını sağlayacaktır.

    4.3 Tedarikçi, taşıma halindeki ve kullanımda olmayan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin kullanımda olmayan Kyndryl Malzemelerini şifrelemenin teknik olarak mümkün olmadığını Kyndryl'ı makul ölçüde tatmin edecek şekilde kanıtlayamadığı hallerde).  Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir.  Tedarikçi, veri şifrelemeyle ilgili güvenli anahtar oluşturma, verme, dağıtma, depolama, döndürme, iptal etme, kurtarma, yedekleme, imha, erişim ve kullanıma yönelik belgelenmiş prosedürleri sürdürecektir.  Tedarikçi, bu tür bir şifreleme için kullanılan belirli kriptografik yöntemlerin Sektördeki En İyi Uygulamalarla (NIST SP 800-131a gibi) uyumlu olmasını sağlayacaktır.

    4.4 Tedarikçi, Kyndryl Malzemelerine erişim talep ederse, bu tür erişimi Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak ve desteklemek için gereken en düşük seviyeyle kısıtlayacak ve sınırlandıracaktır.  Tedarikçi, herhangi bir temel bileşene idari erişim (yani, ayrıcalıklı erişim) dahil olmak üzere bu tür erişimin bireysel, role dayalı olmasını ve görev ayrımı ilkelerine göre yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını isteyecektir.  Tedarikçi, gereksiz ve atıl hesapları tespit etmek ve silmek için önlemler alacaktır. Ayrıca, Tedarikçi, ayrıcalıklı erişime sahip hesapları, hesap sahibinin ayrılmasından veya Kyndryl'ın veya hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebinden sonraki yirmi dört (24) saat içinde iptal edecektir. 

    4.5 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, aktif olmayan oturumların zaman aşımına uğramasını zorunlu kılan teknik önlemler, birden fazla ardışık başarısız oturum açma girişiminden sonra hesapların kilitlenmesi, güçlü parola veya anahtar parolası doğrulaması ve bu tür parolaların ve anahtar parolalarının güvenli aktarımını ve saklanmasını gerektiren önlemleri uygulayacaktır.  Ayrıca, Tedarikçi, herhangi bir Kyndryl Malzemesine konsol dışı tüm ayrıcalıklı erişimler için çok faktörlü kimlik doğrulamasını kullanacaktır.

    4.6 Tedarikçi, (a) yetkisiz erişimi ve faaliyeti tespit etmek, (b) bu ​​tür erişim ve faaliyete zamanında ve uygun müdahaleyi kolaylaştırmak ve (c) belgelenmiş Tedarikçi politikasına uygunluğun Tedarikçi, Kyndryl (işbu Koşullardaki doğrulama hakları ve İşlem Belgesindeki veya ilişkili temel sözleşme veya taraflar arasındaki diğer ilgili anlaşmadaki denetim hakları uyarınca) ve diğerleri tarafından denetlenebilmesi için ayrıcalıklı erişim kullanımını izleyecek ve güvenlik bilgileri ve olay yönetimi önlemleri uygulayacaktır. 

    4.7 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullanılan sistemlerle ilgili olarak tüm yönetimsel, kullanıcı veya diğer erişim ya da işlemleri kaydettiği log dosyalarını saklayacaktır (ve bu log dosyalarını Talep üzerine Kyndryl'a temin edecektir).  Tedarikçi, bu tür log dosyalarına yetkisiz erişim, değişiklik ve kazara veya kasıtlı olarak imha edilmeye karşı koruma sağlamak üzere tasarlanmış önlemler alacaktır.

    4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere sahip olduğu veya yönettiği sistemler için ve Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ya da Kyndryl Teknolojisinin Kullanımında kullandığı sistemler için hesaplama korumaları sağlayacak ve söz konusu koruma sistemleri, uç nokta güvenlik duvarlarını, tam disk şifrelemeyi, kötü amaçlı yazılımları ve gelişmiş kalıcı tehditleri ele almak için imzalı ve imzasız uç nokta algılama ve yanıt teknolojilerini, zamana dayalı ekran kilitlerini ve güvenlik yapılandırması ve yamalama gereksinimlerini uygulayan uç nokta yönetimi çözümlerini içerecektir.  Ayrıca, Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve operasyonel kontroller uygulayacaktır.

    4.9 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olacak şekilde, Kyndryl Malzemelerinin bulunduğu veya işlendiği veri merkezi ortamları için izinsiz girişi tespit etme ve önleme ve hizmet saldırısı karşı önlemlerinin önlenmesi ve inkar edilmesi ve hafifletme dahil olmak üzere korumalar sağlayacaktır. 

    5. Hizmet ve Sistem Bütünlüğü ve Kullanılabilirlik Kontrolü 

    5.1 Tedarikçi: (a) en az yıllık esasta güvenlik ve gizlilik riski değerlendirmeleri gerçekleştirecek, (b) üretimin piyasaya sürülmesinden önce otomatik sistem ve uygulama güvenlik taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testi gerçekleştirecek ve güvenlik açıklarını değerlendirecektir ve bu işlemleri, Hizmetler ve Teslim Edilecek Malzemelerle ilgili olması halinde her yıl ve Kyndryl Teknolojisinin Kullanımına ilişkin olarak her yıl gerçekleştirecektir, (c) hem otomatik hem de manuel testi içerecek şekilde Sektördeki En İyi Uygulamalara uygun olarak penetrasyon testi gerçekleştirmek üzere nitelikli bağımsız bir üçüncü kişiden yardım alacak, (d) Hizmetler ve Teslim Edilecek Malzemelerin her bir bileşeni için ve Kyndryl Teknolojisinin Kullanımıyla ilgili olarak güvenlik konfigürasyon gerekliliklerine uygunluğun otomatik yönetim ve rutin doğrulamasını yapacak ve (e) ilgili risk, istismar edilebilirlik ve etkiye dayalı olarak güvenlik konfigürasyonu gerekliliklerinde tespit edilen güvenlik açıklarını veya uygunsuzlukları giderecektir.  Tedarikçi, testlerini, değerlendirmelerini, taramalarını gerçekleştirirken ve düzeltme faaliyetlerini yürütürken Hizmetlerde aksamayı önlemek için makul adımlar atacaktır.  Kyndryl'ın talebi üzerine Tedarikçi, Kyndryl'a Tedarikçinin en son sızma testi faaliyetlerinin yazılı özetini sağlayacaktır ve bu rapor asgari düzeyde testin içerdiği olanakların adını, test kapsamı dahilindeki sistemlerin veya uygulamaların sayısını, test tarihlerini, testte kullanılan metodoloji ve bulguların üst düzey özetini içerecektir.

    5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde veya Kyndryl Teknolojisinin Kullanımında yapılan değişikliklerin uygulanmasıyla ilgili riskleri yönetmek için tasarlanmış politikalar ve prosedürler uygulayacaktır.  Tedarikçi, etkilenen sistemler, ağlar ve ilgili bileşenler de dahil olmak üzere böyle bir değişikliği uygulamadan önce kayıtlı bir değişiklik talebi kapsamında: (a) değişikliğin açıklamasını ve nedenini, (b) uygulama ayrıntılarını ve programı, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiyi, (d) beklenen sonucu, (e) geri alma planını ve (f) yetkili Tedarikçi çalışanlarının onayını belgelendirecektir.

    5.3 Tedarikçi, Hizmetlerin yürütülmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm BT varlıklarının envanterini tutacaktır.  Tedarikçi, BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin temel bileşenleri dahil olmak üzere söz konusu BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir. 

    5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalara uygun önceden tanımlanmış sistem güvenlik görüntüleri veya güvenlik temellerinden oluşturacaktır.

    5.5 Tedarikçinin yükümlülüklerini veya Kyndryl'ın İşlem Belgesi veya taraflar arasındaki ilgili çerçeve sözleşmesi kapsamındaki iş sürekliliğine ilişkin haklarını sınırlamadan, Tedarikçi her bir Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin Kullanımında kullanılan her bir BT sistemini, belgelenmiş risk yönetimi kurallarına göre iş ve BT sürekliliği ve felaketten kurtarma gereklilikleri için ayrı ayrı değerlendirecektir.  Tedarikçi, her bir Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, ilgili risk değerlendirmesinin garanti ettiği kapsamda, Sektördeki En İyi Uygulamalar ile tutarlı, ayrı olarak tanımlanan, belgelendirilen, uygulanan ve yıllık olarak doğrulanmış iş ve BT sürekliliği ve felaketten kurtarma planlarına sahip olmasını sağlayacaktır.  Tedarikçi, bu tür planların aşağıda Madde 5.6'da belirtilen belirli kurtarma sürelerine uygun şekilde tasarlanmasını sağlayacaktır.

    5.6 Herhangi bir Barındırılan Hizmete ilişkin özel kurtarma noktası hedefleri ("RPO") ve kurtarma süresi hedefleri ("RTO") şunlardır: 24 saatlik RPO ve 24 saatlik RTO; buna rağmen, Tedarikçi, Kyndryl tarafından daha kısa süreli RPO veya RTO'nun yazılı olarak bildirilmesinden hemen sonra, Kyndryl'ın bir Müşteriye taahhüt ettiği daha kısa süreli RPO veya RTO'ya uyacaktır (e-posta bir yazı teşkil eder).  Tedarikçi tarafından Kyndryl'a sağlanan diğer tüm Hizmetlerle ilgili olarak, Tedarikçi, iş sürekliliği ve felaketten kurtarma planlarının, Tedarikçinin İşlem Belgesi ve taraflar arasındaki ilgili çerçeve sözleşmesi ve zamanında test, destek ve bakım yükümlülükleri de dahil olmak üzere işbu Koşullar kapsamında düzenlenen Kyndryl'a karşı tüm yükümlülüklerine uymasına olanak tanıyan RPO ve RTO'yu sağlayacak şekilde tasarlandığından emin olacaktır.

    5.7 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler ile ilgili sistemler, ağlar, uygulamalar ve bu Hizmetler ve Teslim Edilecek Malzemeler kapsamındaki ilgili bileşenler ve Kyndryl Teknolojisinin Kullanımında uygulanan sistemler, ağlar, uygulamalar ve ilgili bileşenler için güvenlik uyarı yamalarını değerlendirmek, test etmek ve uygulamak üzere tasarlanmış önlemler uygulayacaktır.  Bir güvenlik uyarı yamasının uygulanabilir ve uygun olduğunu belirledikten sonra Tedarikçi, yamayı belgelenmiş önem derecesin ve risk değerlendirme kurallarına uygun olarak uygulayacaktır.  Tedarikçi, güvenlik uyarı yamalarını değişiklik yönetimi politikasına tabi olarak uygulayacaktır.

    5.8 Kyndryl'ın, Tedarikçi tarafından Kyndryl'a sağlanan donanım veya yazılımın casus yazılım, kötü amaçlı yazılım veya kötü amaçlı kod gibi izinsiz unsurlar içerebileceğine inanmak için makul bir gerekçesi varsa, Tedarikçi, Kyndryl'ın endişelerini araştırmak ve düzeltmek için Kyndryl ile gecikmeden işbirliği yapacaktır.  

    6. Hizmet Sağlama

    6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için endüstride yaygın birleştirilmiş kimlik doğrulama yöntemlerini destekleyecek ve Tedarikçi, ilgili Kyndryl kullanıcısının veya Müşteri hesaplarının kimliğini doğrulamak için Sektördeki En İyi Uygulamaları izleyecektir (örneğin, Kyndryl merkezi olarak yönetilen çok faktörlü Tek Oturum Açma, OpenID Connect veya Güvenlik Onayı İşaretleme Dili).

    7. Alt Yükleniciler.  İşlem Belgesi veya alt yüklenicilerin görevlendirilmesiyle ilgili taraflar arasındaki ilgili çerçeve sözleşmesi kapsamında belirlenen Tedarikçinin yükümlülüklerini veya Kyndryl'ın haklarını sınırlandırmaksızın Tedarikçi, kendisi için iş yapan herhangi bir alt yüklenicinin bu Koşullarda Tedarikçi için düzenlenen gerekliliklere ve yükümlülüklere uymasına ilişkin yönetim kontrollerinin düzenlenmesini sağlayacaktır.  

    8. Fiziksel Ortam. Tedarikçi, yeniden kullanılması amaçlanan fiziksel ortamları bu tür bir yeniden kullanımdan önce güvenli bir şekilde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamları ortam temizliği konusunda Sektördeki En İyi Uygulamalara uygun olarak imha edecektir.

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

  7. Bunlar doğruysa, Madde VI (Kurumsal Sistemlere Erişim), VII (Personel Artırma) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.

    Not: Kurumsal Sistemler kapsamında Tedarikçinin erişmesine izin verilen Kyndryl Malzemelerine bağlı olarak Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), III (Gizlilik), IV (Teknik ve İdari Tedbirler, Kod Güvenliği) ve V (Güvenli Geliştirme) de geçerli olabilir.  

    Madde VI, Kurumsal Sistemlere Erişim

    İşbu Madde, Tedarikçi çalışanlarının herhangi bir Kurumsal Sisteme erişiminin olması halinde geçerlidir.  

    1. Genel Koşullar

    1.1 Tedarikçi çalışanlarının Kurumsal Sistemlere erişim izninin olup olmayacağına Kyndryl karar verecektir.  Kyndryl tarafından bu tür bir iznin verilmesi durumunda Tedarikçi, işbu Maddenin gerekliliklerine uyacak ve ilgili erişim iznine sahip çalışanlarının da bu gerekliliklere uymasını sağlayacaktır.  

    1.2 Kyndryl, Tedarikçi çalışanlarının Kurumsal Sistemlere, Kyndryl veya Tedarikçi tarafından sağlanan Cihazlarla erişip erişmeyeceği de dahil olmak üzere ilgili çalışanların Kurumsal Sistemlere erişirken kullanacağı araçları belirleyecektir.  

    1.3 Tedarikçi çalışanları, Hizmetleri sağlamak amacıyla yalnızca Kurumsal Sistemlere erişebilir ve söz konusu erişim için yalnızca Kyndryl tarafından onaylanan Cihazları kullanabilirler.  Tedarikçi çalışanları, Kyndryl'ın yukarıda belirtildiği şekilde yetki verdiği Cihazları başka bir kişi veya kuruluşa hizmet sağlamak veya herhangi bir Tedarikçi veya üçüncü kişi BT sistemlerine, ağlarına, uygulamalarına, web sitelerine, e-posta araçlarına, işbirliği araçlarına veya benzerlerine erişim sağlamak için veya Hizmetlerle bağlantılı olarak kullanamaz.

    1.4 Açıklık sağlamak amacıyla Tedarikçi çalışanları, Kyndryl tarafından onaylanan Cihazları diğer kişisel nedenler için kullanamaz (örneğin, Tedarikçi çalışanları, müzik, video, resim veya benzeri öğeleri ilgili Cihazlara yükleyemez ve bu Cihazları İnternete bağlanarak kişisel nedenler için kullanamaz).

    1.5 Tedarikçi çalışanları, Kyndryl'ın önceden yazılı onayını almaksızın Kurumsal Sistemlerin herhangi biri vasıtasıyla erişilebilen Kyndryl Malzemelerini kopyalayamaz (ve Kyndryl Malzemelerini hiçbir şekilde USB, harici sürücü veya benzeri materyaller gibi taşınabilir depolama cihazlarına kopyalayamaz).

    1.6 Tedarikçi, talep edilmesi halinde Kyndryl tarafından belirlenen zaman zarfında çalışanlarının erişim izninin olduğu veya eriştiği belirli Kurumsal Sistemleri, çalışanın adına göre onaylayacaktır.

    1.7 Tedarikçi, herhangi bir Kurumsal Sisteme erişimi olan Tedarikçi çalışanının (a) artık Tedarikçi tarafından istihdam edilmemesi veya (b) söz konusu erişimi gerektirmeyen işlerde çalışması halinde bu durumu yirmi dört (24) saat içinde Kyndryl'a bildirecektir.  Tedarikçi, eski veya mevcut çalışanlar için erişimin derhal iptal edilmesi konusunda Kyndryl ile birlikte çalışacaktır.

    1.8 Tedarikçi, fiili veya şüphelenilen güvenlik olaylarını (bir Kyndryl veya Tedarikçi Cihazının kaybı veya bir Cihaza veya herhangi bir türden verilere, materyallere veya diğer bilgilere yetkisiz erişim gibi) derhal Kyndryl'a bildirecek ve bu tür olayların soruşturulmasında Kyndryl ile işbirliği yapacaktır.

    1.9 Tedarikçi, Kyndryl'ın ön yazılı izni olmaksızın herhangi bir temsilcinin, bağımsız yüklenicinin veya alt yüklenici çalışanının herhangi bir Kurumsal Sisteme erişmesine izin veremez; Kyndryl tarafından bu iznin verilmesi durumunda Tedarikçi, bu kişileri ve onların işverenlerini, bir sözleşme vasıtasıyla sanki bu kişiler Tedarikçi çalışanlarıymış gibi işbu Maddenin gerekliliklerine uymalarını taahhüt edecek ve söz konusu kişi veya işverenin ilgili Kurumsal Sistem erişimiyle ilgili tüm eylemlerinde ve ihmallerinde Kyndryl'a karşı sorumlu olacaktır. 

    2. Cihaz Yazılımları 

    2.1 Tedarikçi, çalışanlarına, Kyndryl'ın Kurumsal Sistemlere güvenli bir şekilde erişimi kolaylaştırmak için ihtiyaç duyduğu tüm Cihaz yazılımlarını zamanında yüklemeleri talimatını verecektir.  Tedarikçi ve çalışanları, söz konusu yazılım işlemlerine veya yazılımın sağladığı güvenlik özelliklerine müdahale etmeyecektir.

    2.2 Tedarikçi ve çalışanları, Kyndryl'ın belirlediği Cihaz yapılandırma kurallarına uyacak, aksi takdirde, yazılımın Kyndryl'ın planladığı gibi çalışmasını sağlamaya yardımcı olmak için Kyndryl ile birlikte çalışacaktır.  Örneğin, Tedarikçi, yazılım web sitesi engelleme veya otomatik yama uygulama özelliklerini geçersiz kılmayacaktır.

    2.3 Tedarikçi çalışanları, Kurumsal Sistemlere erişmek için kullandıkları Cihazları veya Cihaz kullanıcı adlarını, şifrelerini vb. başka kişilerle paylaşamaz.

    2.4 Kyndryl, Tedarikçi çalışanlarına Tedarikçi Cihazlarını kullanarak Kurumsal Sistemlere erişme yetkisi verirse Tedarikçi, Cihazlara Kyndryl tarafından onaylanan bir işletim sistemi yükleyecek ve kullanacak ve Kyndryl tarafından talimat verildikten sonra makul bir süre içinde söz konusu işletim sistemini yeni sürüme veya yeni bir işletim sistemine yükseltecektir.  

    3. Gözetim ve İşbirliği

    3.1 Kyndryl, Tedarikçiye veya herhangi bir Tedarikçi çalışanına veya diğerlerine önceden bildirimde bulunmaksızın, Kyndryl'ın gerekli veya uygun olduğuna inandığı her türlü yöntemi kullanarak, olası izinsiz girişleri ve diğer siber güvenlik tehditlerini her türlü yöntemle, herhangi bir yerden izleme ve düzeltme konusunda sınırsız haklara sahiptir.  Bu tür haklara örnek olarak, Kyndryl istediği zaman (a) herhangi bir Cihaz üzerinde bir güvenlik testi gerçekleştirebilir, (b) teknik veya diğer yollarla izleme, kurtarma gerçekleştirebilir ve iletişimleri (herhangi bir e-posta hesabından gelen e-postalar dahil), kayıtları, dosyaları ve herhangi bir Cihazda saklanan veya herhangi bir Kurumsal Sistem yoluyla iletilen diğer öğeleri inceleyebilir ve (c) herhangi bir Cihazın tam adli bilişim görüntüsünü elde edebilir.  Kyndryl, haklarını kullanmak için Tedarikçinin işbirliğine ihtiyaç duyarsa, Tedarikçi, Kyndryl'ın bu tür bir işbirliğine yönelik taleplerini eksiksiz ve zamanında karşılayacaktır (örneğin, herhangi bir Cihazı güvenli bir şekilde yapılandırma, herhangi bir Cihaza izleme yazılımını veya diğer yazılımları yükleme, sistem düzeyinde bağlantı ayrıntılarını paylaşma, etkileşim kurma, herhangi bir Cihazda olay müdahale önlemleri gerçekleştirmek ve tam bir adli görüntü elde etmek üzere Kyndryl için herhangi bir Cihaza fiziksel erişim sağlamak ve benzeri ve ilgili talepler).  

    3.2 Kyndryl, Kyndryl'ı korumak için gerekli olduğuna inanması halinde, herhangi bir Tedarikçi çalışanı veya tüm Tedarikçi çalışanlarının Kurumsal Sistemlere erişimini herhangi bir zamanda, Tedarikçiye veya herhangi bir Tedarikçi çalışanına veya diğerlerine önceden bildirimde bulunmaksızın iptal edebilir.

    3.3 Veri, materyal veya diğer bilgilerin yalnızca tek bir seçili konumda veya konumlarda olmasını gerektirebilecek veya yalnızca seçili konum veya konumlardaki kişilerin söz konusu verilere, materyallere veya diğer bilgilere erişim sağlamasını gerektiren herhangi bir hüküm dahil olmak üzere İşlem Belgesinin, taraflar arasındaki ilgili çerçeve sözleşmesinin veya taraflar arasındaki diğer sözleşmelerin herhangi bir hükmü nedeniyle Kyndryl'ın hakları engellenemez, azaltılamaz veya kısıtlanamaz.

    4. Kyndryl Cihazları

    4.1 Kyndryl, tüm Kyndryl Cihazlarının mülkiyetini elinde tutacak ve Tedarikçi, Cihazların hırsızlık, vandalizm veya ihmal nedeniyle kaybolma riskini üstlenecektir.  Tedarikçi, Kyndryl'ın önceden yazılı izni alınmaksızın, Cihaz yazılımında, uygulamalarında, güvenlik tasarımında, güvenlik yapılandırmasında veya fiziksel, mekanik veya elektriksel tasarımında yapılan herhangi bir değişiklik dahil olmak üzere, Cihazda herhangi bir değişikliğe neden olan düzeltmeler kapsamında, Kyndryl Cihazlarında herhangi bir değişiklik yapmayacak veya yapılmasına izin vermeyecektir.

    4.2 Tedarikçi, tüm Kyndryl Cihazlarını, bu Cihazlara Hizmetleri sağlamak için duyulan ihtiyaç sona erdikten sonra 5 iş günü içinde iade edecek ve Kyndryl'ın talep etmesi halinde, bu Cihazlardaki tüm verilerin, materyallerin ve diğer her türlü bilginin kalıcı olarak silinmesi için Sektördeki En İyi Uygulamaları izleyerek söz konusu verileri, materyalleri ve diğer bilgileri imha edecektir.  Tedarikçi, Kyndryl Cihazlarını makul aşınma ve yıpranma dışında, masrafları kendisine ait olmak üzere, Tedarikçiye teslim edildiği şekilde paketleyecek ve Kyndryl'ın belirlediği konuma iade edecektir.  Herhangi bir Kurumsal Sisteme erişimin Tedarikçinin söz konusu anlaşma kapsamındaki görevlerini veya diğer faaliyetlerini kolaylaştırması halinde söz konusu anlaşmanın "ilgili" olduğu anlayışına dayalı olarak, Tedarikçinin işbu Madde 4.2'deki herhangi bir yükümlülüğe uymaması, İşlem Belgesinin ve ilgili çerçeve sözleşmesinin ve taraflar arasındaki herhangi bir ilgili sözleşmenin esaslı ihlali niteliğindedir.

    4.3 Kyndryl, Kyndryl Cihazları için destek sağlayacaktır (Cihaz muayenesi ve önleyici ve düzeltici bakım dahil).  Tedarikçi, düzeltici hizmet ihtiyacını derhal Kyndryl'a bildirecektir. 

    4.4. Kyndryl'ın sahibi olduğu veya lisanslama hakkına sahip olduğu yazılım programları için Kyndryl, Kyndryl Cihazlarının yetkili kullanımını desteklemek için Tedarikçiye bunları geçici olarak kullanma, depolama ve yeterli sayıda kopya oluşturma hakkı verir.  Tedarikçi, geçerli yasaların sözleşme ile değiştirilmesineveya sınırlandırılmasına olanak tanımayarak açıkça izin vermediği sürece programları hiç kimseye devredemez, yazılım lisans bilgilerinin kopyalarını çıkaramaz veya herhangi bir programı parçalarına ayıramaz, kaynak koda dönüştüremez, tersine mühendislik uygulayamaz veya başka bir şekilde çeviremez.  

    5. Güncellemeler

    5.1 İşlem Belgesinde veya taraflar arasındaki ilgili çerçeve sözleşmesinde aksine herhangi bir hüküm bulunsa bile, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak ve Tedarikçinin onayını almaya gerek olmaksızın, geçerli yasa veya müşteri yükümlülüğü kapsamındaki herhangi bir gereksinimi ele almak, en iyi güvenlik uygulamalarındaki herhangi bir geliştirmeyi yansıtmak veya Kyndryl'ın Kurumsal Sistemleri veya Kyndryl'ı korumak için gerekli olduğuna inandığı diğer nedenlerden ötürü işbu Maddede güncelleme, ekleme veya diğer şekillerde değişiklik yapabilir.

    Madde VII, Personel Artırma

    İşbu Madde, Tedarikçi çalışanlarının tüm çalışma zamanlarını Kyndryl için Hizmet sağlamaya ayıracağı, bu Hizmetlerin tamamını Kyndryl tesislerinde, Müşterinin tesislerinde veya evlerinden gerçekleştireceği ve Kurumsal Sistemlere erişim için yalnızca Kyndryl Cihazlarını kullanarak Hizmetler sağlayacağı durumlarda geçerlidir.

    1. Kurumsal Sistemlere Erişim; Kyndryl'ın Ortamları

    1.1 Tedarikçi, Hizmetleri Kurumsal Sistemlere yalnızca Kyndryl'ın sağladığı Cihazlarla erişerek gerçekleştirebilir.  

    1.2 Tedarikçi, Kurumsal Sistemlere tüm erişim için Madde VI'da (Kurumsal Sistemlere Erişim) belirtilen şartlara uyacaktır.

    1.3 Kyndryl tarafından sağlanan Cihazlar, Tedarikçi ve çalışanlarının Hizmetleri sağlamak için kullanabileceği yegane Cihazlar olup, yalnızca Tedarikçi ve çalışanları tarafından Hizmetleri sağlamak için kullanılabilir.  Açıklık getirmek amacıyla, Tedarikçi veya çalışanları hiçbir durumda Hizmetleri sağlamak için başka herhangi bir cihaz kullanamaz veya Kyndryl Cihazlarını başka herhangi bir Tedarikçi müşterisi için veya Kyndryl'a Hizmet sağlama amacı dışında herhangi bir amaçla kullanamaz.

    1.4 Kyndryl Cihazlarını kullanan Tedarikçi çalışanları, Kyndryl Malzemelerini birbirleriyle paylaşabilir ve bu tür malzemeleri Kyndryl Cihazlarında depolayabilir, ancak söz konusu paylaşım ve depolama, Hizmetleri başarılı bir şekilde yerine getirmek için gerekli olduğu kapsamla sınırlıdır.

    1.5 Kyndryl Cihazlarında yukarıda belirtilen depolamayla ilgili olan kapsam hariç olacak şekilde Tedarikçi veya çalışanları hiçbir durumda herhangi bir Kyndryl Malzemesini Kyndryl tarafından tutulan Kyndryl havuzlarından, ortamlarından, araçlarından veya altyapısından çıkaramaz.

    1.6 Açıklık sağlamak amacıyla, Tedarikçi ve çalışanları, Kyndryl'ın önceden yazılı izni olmaksızın herhangi bir Kyndryl Malzemesini Tedarikçi deposuna, ortamına, aracına veya altyapısına veya diğer herhangi bir Tedarikçi sistemine, platformuna, ağına veya benzerine aktarma yetkisine sahip değildir.

    1.7 Tedarikçi çalışanlarının tüm çalışma zamanlarını Kyndryl'a Hizmet sağlamaya ayıracakları, bu Hizmetlerin tamamını Kyndryl tesislerinde, Müşteri tesislerinde veya evlerinden gerçekleştirecekleri kapsamda ve Kurumsal Sistemlere erişmek için yalnızca Kyndryl Cihazlarını kullanarak Hizmet sağlayacakları kapsamda Madde VIII (Teknik ve İdari Tedbirler, Genel Güvenlik), Tedarikçinin Hizmetleri için geçerli olmayacaktır.  Aksi takdirde, Madde VIII, Tedarikçinin Hizmetleri için geçerli olacaktır.

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

  8. Sağlayacaksa, Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği), VIII (Teknik ve İdari Tedbirler, Genel Güvenlik), IX (Barındırılan Hizmetlerin Sertifikaları ve Raporları) ve X (İşbirliği, Doğrulama ve Düzeltme) geçerli olacaktır.  Tedarikçinin bir Barındırma Hizmeti sağlarken Kyndryl Kişisel Verilerine erişmesi halinde, ayrıca Madde III (Gizlilik) geçerli olacaktır.

    Örnekler:

    • Tedarikçi, "hizmet olarak sunulan" yazılım, platform veya altyapı olanakları gibi "hizmet olarak sunulan" herhangi bir olanağı Kyndryl'a sağlar. 

    Madde II, Teknik ve İdari Tedbirler, Veri Güvenliği

    Bu Madde, Tedarikçinin Kyndryl'ın İş İletişim Bilgileri dışında Kyndryl Verilerini İşlemesi durumunda geçerlidir.  Tedarikçi, tüm Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken bu Maddenin gerekliliklerine uyacak ve bu süreçte Kyndryl Verilerini kayıp, imha, değişiklik, kazara veya yetkisiz ifşa, kazara veya yetkisiz erişim ve yasalara aykırı İşleme biçimlerine karşı koruyacaktır.  Bu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken işlettiği veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Veri Kullanımı

    1.1 Tedarikçi, Kyndryl'ın önceden yazılı izni olmaksızın, Kişisel Veriler dahil olmak üzere, başka herhangi bir bilgi veya veriyi Kyndryl Verilerine ekleyemez veya bunlara dahil edemez ve Tedarikçi, Kyndryl Verilerini toplu veya başka herhangi bir şekilde, Hizmetleri ve Teslim Edilecek Malzemeleri sağlama amacı haricindeki amaçlar için kullanamaz (örnek olarak, Tedarikçinin, Tedarikçi olanaklarının etkinliğini veya iyileştirme yollarını değerlendirmek, yeni olanaklar oluşturmak için araştırma ve geliştirme yapmak veya Tedarikçinin olanaklarına ilişkin raporlar oluşturmak için Kyndryl Verilerini kullanmasına veya yeniden kullanmasına izin verilmez).  İşlem Belgesinde açıkça izin verilmedikçe, Tedarikçinin Kyndryl Verilerini Satması yasaklanmıştır.

    1.2 Tedarikçi, İşlem Belgesinde açıkça izin verilmedikçe, Teslim Edilecek Malzemelere veya Hizmetlerin bir parçası olarak herhangi bir web izleme teknolojisini (bu tür teknolojiler HTML5, yerel depolama, üçüncü kişi etiketleri veya token'leri ve web işaretçilerini içerir) yerleştirmeyecektir. 

    2. Üçüncü Kişi Talepleri ve Gizlilik

    2.1 Tedarikçi, Kyndryl tarafından önceden yazılı olarak yetki verilmedikçe, Kyndryl Verilerini herhangi bir üçüncü kişiye ifşa etmeyecektir.  Herhangi bir düzenleyici kurum da dahil olmak üzere bir devletin Kyndryl Verilerine erişim talep etmesi halinde (örneğin, ABD hükümeti, Tedarikçiye Kyndryl Verilerini elde etmesi için ulusal bir güvenlik emri gönderirse) veya Kyndryl Verilerinin başka bir şekilde ifşa edilmesi kanunen zorunluysa, Tedarikçi söz konusu talep veya gereklilikle ilgili olarak Kyndryl'ı yazılı olarak bilgilendirecektir ve Kyndryl'a herhangi bir ifşaya itiraz etmesi için makul bir fırsat tanıyacaktır (yasa gereği bildirim yapılmasının yasak olması durumunda, Tedarikçi, adli işlem veya diğer yollarla Kyndryl Verilerinin yasaklanmasına ve ifşasına itiraz etmek için makul olarak uygun olduğuna inandığı işlemleri gerçekleştirecektir).

    2.2 Tedarikçi, (a) yalnızca Hizmetleri veya Teslim Edilecek Malzemeleri sağlamak için Kyndryl Verilerine erişmesi gereken çalışanlarının, sadece bu Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak için gereken kapsamda ilgili erişime sahip olduğuna; ve (b) Kyndryl Verilerinin yalnızca bu Koşulların izin verdiği ölçüde kullanımını ve ifşasını gerektiren gizlilik yükümlülüklerinin, çalışanları üzerinde bağlayıcı etkiye sahip olacağına dair Kyndryl'a güvence verir.  

    3. Kyndryl Verilerinin İadesi veya Silinmesi

    3.1 Tedarikçi, Kyndryl'ın seçimine bağlı olarak, İşlem Belgesinin feshedilmesi veya süresinin sona ermesi üzerine veya Kyndryl'ın talebi üzerine daha öncesinde Kyndryl Verilerini silecek veya Kyndryl'a iade edecektir.  Kyndryl tarafından silinmesinin gerekli görülmesi durumunda Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak verileri okunamaz ve yeniden birleştirilemez veya yeniden oluşturulamaz hale getirecektir ve silme işleminin gerçekleştirildiğini Kyndryl'a belgeleyecektir.  Kyndryl, Kyndryl Verilerinin iadesini talep ederse, Tedarikçi bunu Kyndryl'ın makul programına ve Kyndryl'ın makul yazılı talimatlarına göre yapacaktır. 

    Madde III, Gizlilik

    İşbu Madde, Tedarikçinin Kyndryl Kişisel Verilerini İşlemesi durumunda geçerlidir.  

    1. Veri İşleme

    1.1 Kyndryl, Tedarikçiyi, işbu Koşullarda, İşlem Belgesinde ve taraflar arasındaki ilgili çerçeve sözleşmesinde yer alanlar da dahil olmak üzere Kyndryl'ın talimatlarına uygun olarak Teslim Edilecek Malzemeleri ve Hizmetleri sağlamak amacıyla Kyndryl Kişisel Verilerini İşlemesi için bir Veri İşleyen olarak görevlendirir.  Tedarikçinin bir talimatı yerine getirmemesi durumunda, Kyndryl, yazılı bildirim üzerine Hizmetlerin etkilenen kısmını feshedebilir.  Tedarikçi, bir talimatın veri koruma yasasını ihlal ettiğine karar verirse, Kyndryl'ı derhal ve yasanın gerektirdiği herhangi bir süre içinde bilgilendirecektir. Tedarikçinin işbu Koşullar kapsamındaki yükümlülüklerinden herhangi birine uymaması ve bu uyumsuzluğun Kişisel Bilgilerin yetkisiz kullanımına neden olması veya genel olarak Kişisel Bilgilerin herhangi bir yetkisiz kullanımı durumunda Kyndryl, işlemeyi durdurma ve uyumsuzluğu düzeltme ve Kyndryl'ın makul talimatına ve programına uygun olarak yetkisiz kullanımın zararlı etkilerini giderme hakkına sahip olacaktır.  

    1.2 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler için geçerli olan tüm veri koruma yasalarına uyacaktır.

    1.3 İşlem Belgesinin Eki veya İşlem Belgesinin kendisi, Kyndryl Verileri ile ilgili olarak aşağıdakileri düzenler:

    (a) İlgili Kişi kategorileri; 

    (b) Kyndryl Kişisel Veri türleri; 

    (c) Veri eylemleri ve Veri İşleme faaliyetleri;

    (d) Veri İşleme süresi ve sıklığı; ve 

    (e) Alt Veri İşleyenlerin listesi.

    2. Teknik ve İdari Tedbirler

    2.1 Tedarikçi, Madde II (Teknik ve İdari Tedbirler, Veri Güvenliği) ve Madde VIII'de (Teknik ve İdari Tedbirler, Genel Güvenlik) belirtilen teknik ve idari tedbirleri uygulayacak ve sürdürecek ve bunu yaparak Hizmetlerin ve Teslim Edilecek Malzemelerin teşkil ettiği riske uygun bir güvenlik seviyesi sağlayacaktır.  Tedarikçi, Madde II, işbu Madde III ve Madde VIII'deki kısıtlamaları onaylamakta ve anlamakta olup, bunlara uyacaktır.   

    3. İlgili Kişinin Hakları ve Talepleri

    3.1 Tedarikçi, bir İlgili Kişinin Kyndryl Kişisel Verileriyle ilgili herhangi bir İlgili Kişi hakkını (örneğin, verilerin düzeltilmesi, silinmesi veya engellenmesi) kullanmasına ilişkin talebi hakkında Kyndryl'ı derhal (Kyndryl ve diğer Veri Sorumlularının yasal yükümlülüklerini yerine getirmesine izin veren bir plana göre) bilgilendirecektir.  Ayrıca, Tedarikçi ilgili talebi ileten bir İlgili Kişiyi derhal Kyndryl'a yönlendirebilir.  Tedarikçi, yasal olarak zorunlu olmadıkça veya Kyndryl tarafından yazılı olarak talimat verilmedikçe, İlgili Kişilerden gelen hiçbir talebi yanıtlamayacaktır.  

    3.2 Kyndryl'ın Kyndryl Kişisel Verileri ile ilgili olarak Diğer Veri Sorumlularına veya diğer üçüncü kişilere (örneğin, İlgili Kişiler veya düzenleyici kurumlar) bilgi sağlamakla yükümlü olması halinde, Tedarikçi, Kyndryl'ın Diğer ilgili Veri Sorumlularına veya üçüncü kişilere zamanında yanıt vermesini sağlayan bir programa göre bilgi sağlayarak ve Kyndryl'ın talep ettiği diğer makul işlemleri gerçekleştirerek Kyndryl'ı destekleyecektir.

    4. Alt Veri İşleyenler

    4.1 Tedarikçi, yeni bir Alt Veri İşleyeni eklemeden veya mevcut bir Alt Veri İşleyen ile Veri İşleme kapsamını genişletmeden önce Kyndryl'a, Alt Veri İşleyenin adını belirten ve yeni veya genişletilmiş Veri İşleme kapsamını açıklayan yazılı bir bildirimde bulunacaktır.  Kyndryl herhangi bir zamanda bu tür yeni Alt Veri İşleyene veya genişletilmiş kapsama makul gerekçelerle itiraz edebilir ve bunu yapması durumunda taraflar Kyndryl'ın itirazını ele almak için iyi niyetle birlikte çalışacaklardır.  Kyndryl'ın herhangi bir zamanda itiraz etme hakkına tabi olacak şekilde, Kyndryl tarafından Tedarikçinin yazılı bildirim tarihinden itibaren 30 Gün içinde itiraz yapılmaması halinde, Tedarikçi yeni Alt Veri İşleyeni görevlendirebilir veya mevcut Alt Veri İşleyeninin Veri İşleme kapsamını genişletebilir.  

    4.2 Tedarikçi, bir Alt Veri İşleyen tarafından herhangi bir Kyndryl Verisi İşlenmeden önce, onaylanan her Alt Veri İşleyen tarafından işbu Koşullarda belirtilen veri koruma, güvenlik ve belgelendirme yükümlülüklere uyulmasını sağlayacaktır.  Tedarikçi, her bir Alt Veri İşleyenin yükümlülüklerinin yerine getirilmesi konusunda Kyndryl'a karşı tamamen sorumludur. 

    5. Yurt Dışında Veri İşleme

    Aşağıda kullanıldığı gibi:

    Yeterli Koruma Sağlayan Ülke, yürürlükteki veri koruma yasaları veya düzenleyici kurumların kararları uyarınca ilgili aktarımla ilgili olarak yeterli düzeyde veri koruması sağlayan bir ülke anlamına gelir.

    Yurtdışından Veri Aktaran, Yeterli Koruma Sağlayan Ülkede kurulu olmayan bir Veri İşleyen veya Alt Veri İşleyen anlamına gelir.

    AB Standart Sözleşme Maddeleri  https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en adresinde yayınlandığı şekliyle Madde 9(a)'nın 1. seçeneği ve 17. Maddenin 2. seçeneği dışında uygulanan isteğe bağlı maddelerle birlikte AB Standart Sözleşme Maddeleri (2021/914 sayılı Komisyon Kararı) anlamına gelir.

    Sırbistan Standart Sözleşme Maddeleri, https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx adresinde yayınlanan, "Sırbistan Kamusal Öneme Sahip Bilgiler ve Kişisel Verilerin Korunması Yetkilisi" tarafından uyarlandığı haliyle Sırbistan Standart Sözleşme Maddeleri anlamına gelir.

    Standart Sözleşme Maddeleri , Kişisel Verilerin Yeterli Koruma Sağlayan Ülkelerde kurulu olmayan Veri İşleyenlere aktarımı için geçerli veri koruma yasalarının gerektirdiği sözleşme maddeleri anlamına gelir.

    AB Komisyonu Standart Sözleşme Maddelerine Birleşik Krallık Uluslararası Veri Aktarımı Ek Sözleşmesi ("Birleşik Krallık Ek Sözleşmesi"), https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ adresinde resmi olarak yayınlandığı şekliyle AB Komisyonu Standart Sözleşme Maddelerine Birleşik Krallık Uluslararası Veri Aktarımı Ek Sözleşmesi anlamına gelir.

    AB Komisyonu Standart Sözleşme Maddelerine İsviçre Ek Sözleşmesi ("İsviçre Ek Sözleşmesi"), İsviçre Veri Koruma Kurumunun ("FDPIC") kararına uygun olarak ve İsviçre Veri Koruma Kanununa (“FADP”) uygun olarak geçerli olan AB Komisyonu Standart Sözleşme Maddelerine ilişkin sözleşme maddeleri anlamına gelir.

    5.1 Tedarikçi, Kyndryl'ın önceden yazılı izni olmaksızın herhangi bir Kyndryl Kişisel Verisini yurt dışına aktarmayacak veya ifşa etmeyecektir (uzaktan erişim dahil).  Kyndryl tarafından böyle bir onay verilmesi durumunda taraflar, geçerli veri koruma yasalarına uyum sağlamak için işbirliği yapacaklardır.  Bu kanunlar Standart Sözleşme Maddelerini zorunlu kılıyorsa Tedarikçi, Kyndryl'ın talebi üzerine Standart Sözleşme Maddelerini derhal imzalayacaktır.

    5.2 AB Standart Sözleşme Maddeleri uyarınca:

    (a) Tedarikçi Yeterli Koruma Sağlayan Ülkede kurulu değilse: Tedarikçi, işbu belgeyle Yurtdışından Veri Aktaran olarak Kyndryl ile AB Standart Sözleşme Maddelerini imzalamaktadır ve Tedarikçi, AB Standart Sözleşme Maddeleri, Madde 9'a uygun olarak her bir onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep edilmesi halinde bu sözleşmelerin kopyalarını Kyndryl'a temin edecektir. 

    (i) Taraflar arasında yazılı olarak aksi kabul edilmedikçe AB Standart Sözleşme Maddelerinin Modül 1'i geçerli değildir.

    (ii) Kyndryl'ın Veri Sorumlusu olduğu durumlarda AB Standart Sözleşme Maddelerinin Modül 2'si ve Kyndryl'ın Veri işleyen olduğu durumlarda ise Modül 3 geçerli olacaktır. AB Standart Sözleşme Maddelerinin Madde 13'üne uygun olarak Modül 2 veya 3'ün geçerli olduğu durumlarda taraflar, (1) AB Standart Sözleşme Maddelerinin yetkili denetim kurumunun bulunduğu AB üye devletinin yasasına göre uygulanacağını ve (2) AB Standart Sözleşme Maddelerinden kaynaklanan herhangi bir anlaşmazlığın yetkili denetim kurumunun bulunduğu AB üye devletinin mahkemeleri tarafından çözüme kavuşturulacağını kabul ederler. (1) numaralı maddede belirtilen yasa, üçüncü kişi lehtar haklarına izin vermiyorsa, AB Standart Sözleşme Maddeleri, Hollanda yasalarına tabi olacaktır ve (2) numaralı maddedeki AB Standart Sözleşme Maddelerinden kaynaklanan herhangi bir ihtilaf, Hollanda'daki Amsterdam mahkemesi tarafından çözülecektir.

    (b) Tedarikçi ve Kyndryl'ı içeren her iki tarafın da Yeterli Koruma Sağlayan Ülkede kurulu olması durumunda, Tedarikçi, Yurtdışına Veri Aktaran olarak hareket edecek ve Yeterli Koruma Sağlamayan Ülkedeki her bir onaylı Alt Veri İşleyen ile AB Standart Sözleşme Maddelerini imzalayacaktır. Tedarikçi, gerekli Transfer Etki Değerlendirmesini gerçekleştirecek ve herhangi bir gecikmeye mahal vermeden (1) ek tedbirlerin uygulanmasına ilişkin herhangi bir ihtiyaç ve (2) uygulanan tedbirler hakkında Kyndryl'ı bilgilendirecektir. İstek üzerine Tedarikçi, Transfer Etki Değerlendirmesinin sonuçlarını ve sonuçların anlaşılması ve değerlendirilmesi için gerekli tüm bilgileri Kyndryl'a sağlayacaktır. Kyndryl'ın Tedarikçilerin Transfer Etki Değerlendirmesinin sonuçlarını veya uygulanan ek tedbirleri kabul etmemesi durumunda, Kyndryl ve Tedarikçi uygulanabilir bir çözüm bulmak için birlikte çalışacaktır. Kyndryl, ilgili Tedarikçi hizmetlerini tazminat ödemeden askıya alma veya sonlandırma hakkına sahiptir. Şüpheye mahal vermemek adına bu koşul, Tedarikçinin Alt Veri İşleyenlerini aşağıda madde 5.2 (d)'de belirtildiği gibi Kyndryl veya Kyndryl'ın Müşterileri ile AB Standart Sözleşme Maddelerine taraf olma yükümlülüğünden kurtarmaz.

    (c) Tedarikçinin Avrupa Ekonomik Bölgesi'nde kurulmuş olması ve Kyndryl'ın 2016/679 sayılı Genel Veri Koruma Yönetmeliği'ne tabi olmayan bir Veri Sorumlusu olması durumunda AB Standart Sözleşme Maddelerinin Modül 4'ü geçerli olacak ve Tedarikçi, yurtdışına veri aktaran olarak Kyndryl ile birlikte AB Standart Sözleşme Maddelerini imzalayacaktır.  AB Standart Sözleşme Maddelerinin Modül 4'ü geçerliyse, taraflar AB Standart Sözleşme Maddelerinin Hollanda yasalarına tabi olacağını ve AB Standart Sözleşme Maddelerinden kaynaklanan herhangi bir ihtilafın Hollanda'daki Amsterdam mahkemesi tarafından çözüleceğini kabul ederler.  

    (d) Müşteriler veya bağlı kuruluşlar gibi Diğer Veri Sorumluları, Madde 7'deki "yerleştirme hükmü" uyarınca AB Standart Sözleşme Maddelerine taraf olmayı talep ederlerse, Tedarikçi işbu madde gereği bu tür bir talebi kabul eder.  

    (e) AB Standart Sözleşme Maddelerinin Ek II'sini tamamlamak için gereken Teknik ve İdari Tedbirler, işbu Koşullarda, İşlem Belgesinde ve taraflar arasındaki ilgili çerçeve sözleşmesinde açıklanmaktadır.

    (f) AB Standart Sözleşme Maddeleri ve işbu Koşullar arasında herhangi bir çelişki olması halinde AB Standart Sözleşme Maddeleri geçerli olacaktır.

    5.3 Birleşik Krallık Ek Sözleşmesi/Sözleşmeleri uyarınca:

    a. Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulmadıysa: (i) Tedarikçi işbu belgeyle yukarıda belirtilen AB Standart Sözleşme Maddelerine eklenmek üzere, Yurtdışından Veri Aktaran olarak Kyndryl ile (veri işleme faaliyetlerinin koşullarına bağlı olarak geçerli olduğu şekilde) Birleşik Krallık Ek Sözleşmesini imzalamaktadır ve (ii) Tedarikçi, onaylanmış her Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep üzerine Kyndryl'e bu sözleşmelerin kopyalarını sağlayacaktır.

    b. Tedarikçi Yeterli Koruma Sağlayan Bir Ülkede kurulduysa ve Kyndryl, Birleşik Krallık Genel Veri Koruma Yönetmeliği'ne (2018 Avrupa Birliği (Feragat) Yasası kapsamında Birleşik Krallık yasalarına dahil edildiği şekliyle) tabi olmayan bir Veri Sorumlusu ise, Tedarikçi işbu belgeyle yukarıda Madde 5.2(b)'de belirtilen AB Standart Sözleşmelerine eklenmek üzere Kyndryl ile Yurtdışına Veri Aktaran olarak Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini imzalamaktadır. 

    c. Müşteri veya bağlı kuruluşlar gibi diğer Veri Sorumlularının Birleşik Krallık Ek Sözleşmesine/Sözleşmelerine taraf olmayı talep etmeleri halinde, Tedarikçi işbu belgeyle bu tür herhangi bir talebi kabul eder.

    d. Birleşik Krallık Ek Sözleşmesinde/Sözleşmelerinde yer alan Ek Bilgilerine (Tablo 3'te belirtilir), geçerli AB Standart Sözleşme Maddelerinden, bu Koşullardan, İşlem Belgesinin kendisinden ve taraflar arasındaki ilgili çerçeve sözleşmesinden ulaşılabilir. Birleşik Krallık Ek Sözleşmesinde değişiklik olması halinde Kyndryl veya Tedarikçi, Birleşik Krallık Ek Sözleşmesini/Sözleşmelerini sona erdiremez.

    e. Birleşik Krallık Sözleşmesiyle/Sözleşmeleriyle bu Koşullar arasında herhangi bir çelişki olması halinde Birleşik Krallık Sözleşmesi/Sözleşmeleri geçerli olacaktır.

    5.4 Sırbistan Standart Sözleşme Maddeleri uyarınca:

    a. Tedarikçinin Yeterli Koruma Sağlayan Ülkede kurulu olmaması durumunda: (i) Tedarikçi işbu madde gereği Veri İşleyen sıfatıyla kendi adına Kyndryl ile Sırbistan Standart Sözleşme Maddelerini imzalamaktadır; ve (ii) Tedarikçi, Sırbistan Standart Sözleşme Maddelerinin Madde 8'ine göre her bir onaylı Alt Veri İşleyen ile yazılı sözleşmeler imzalayacak ve talep edilmesi halinde ilgili sözleşmelerin kopyalarını Kyndryl'a temin edecektir.

    b. Tedarikçinin Yeterli Koruma Sağlayan Ülkede kurulu olması durumunda, Tedarikçi, bununla birlikte Yeterli Koruma Sağlamayan Ülkede kurulu olan her bir Alt Veri İşleyen adına Kyndryl ile birlikte Sırbistan Standart Sözleşme Maddelerini imzalamaktadır.  Tedarikçi, söz konusu herhangi bir Alt Veri İşleyen için bunu yapamazsa, Alt Veri İşleyenin Kyndryl Kişisel Verisini İşlemesine izin vermeden önce, Tedarikçi, Kyndryl tarafından imzalanmak üzere Alt Veri İşleyen tarafından imzalanmış Sırbistan Standart Sözleşme Maddelerini Kyndryl'a sağlayacaktır.

    c. Kyndryl ve Tedarikçi arasındaki Sırbistan Standart Sözleşme Maddeleri, duruma göre Veri Sorumlusu ve Veri İşleyen arasındaki Sırbistan Standart Sözleşme Maddeleri olarak veya "veri işleyen" ve "alt veri işleyen" arasındaki karşılıklı yazılı sözleşme olarak işlev gösterecektir.  Sırbistan Standart Sözleşme Maddeleri ve işbu Koşullar arasında herhangi bir çelişki olması halinde Sırbistan Standart Sözleşme Maddeleri geçerli olacaktır.

    d. Kişisel Verilerin Yeterli Koruma Sağlamayan Ülkeye aktarımının düzenlenmesi kapsamında Sırbistan Standart Sözleşme Maddelerinin Ek 1 ila 8'ini tamamlamak için gerekli bilgiler, işbu Koşullarda ve İşlem Belgesinin Ekinde veya İşlem Belgesinde bulunabilir.

    5.5. İsviçre Ek Sözleşmesi/Sözleşmeleri uyarınca: 

    1. Kyndryl Kişisel Verilerinin 5.1. nolu madde kapsamında aktarılmasının İsviçre Federal Veri Koruma Yasası'na ("FADP") tabi olması durumunda verilerin aktarılması, İsviçre Kişisel Verileri için GDPR standardının kabulüne yönelik aşağıdaki değişikliklerle birlikte, bu Şartların 5.2. nolu Maddesinde kabul edilen AB Standart Sözleşme Maddeleri uyarınca gerçekleşir:

    • Genel Veri Koruma Yönetmeliğine ("GDPR") yapılan atıflar, aynı zamanda FADP'nin eşdeğer hükümlerine yapılan atıflar olarak anlaşılır ve

    • İsviçre Federal Veri Koruma Bilgi Komisyonu, AB Standart Sözleşme Maddelerinin 13. Maddesi ve I.C nolu Ekine göre yetkili denetim makamıdır

    • Veri aktarımının münhasıran FADP'ye tabi olması durumunda İsviçre yasaları geçerlidir ve

    • AB Standart Sözleşme Maddelerinin 18. Maddesinde yer alan "üye ülke" terimi, İsviçreli veri sahiplerinin haklarını ikamet ettikleri yerde aramalarına izin vermek amacıyla İsviçre'yi de kapsayacak şekilde genişletilir.

    1. Şüpheye mahal vermemek adına, yukarıdakilerden hiçbiri, AB Standart Sözleşme Maddeleri tarafından sağlanan veri koruma seviyesini herhangi bir şekilde azaltmayı amaçlamaz, ancak yalnızca bu koruma seviyesini İsviçreli veri sahiplerini kapsayacak şekilde genişletmeyi amaçlar. Böyle bir durumun olmaması ve söz konusu olmadığı kapsamda, AB Standart Sözleşme Maddeleri geçerlidir.

    6. Yardım ve Kayıtlar

    6.1 Tedarikçi, Veri İşlemenin yapısını göz önünde bulundurarak, İlgili Kişinin talepleri ve haklarıyla ilgili yükümlülükleri yerine getirmek için uygun teknik ve idari tedbirleri önlemler alarak Kyndryl'a yardımcı olacaktır.  Ayrıca, Tedarikçi, elindeki mevcut bilgileri dikkate alarak Veri İşlemenin güvenliği, bir Güvenlik İhlalinin bildirilmesi ve iletilmesi ve gerekirse sorumlu düzenleyici kurum ile önceden istişare dahil olmak üzere veri koruması etki değerlendirmelerinin oluşturulması ile ilgili yükümlülüklere uygunluğun sağlanması hususunda Kyndryl'a yardımcı olacaktır.

    6.2 Tedarikçi, her bir Alt Veri İşleyenin temsilcisi ve veri koruma görevlisi dahil olmak üzere her bir Alt Veri İşleyenin adının ve iletişim bilgilerinin güncel kaydını tutacaktır.  İstek üzerine Tedarikçi, bu kaydı Kyndryl'a, Kyndryl'ın bir Müşteriden veya başka bir üçüncü kişiden gelen herhangi bir talebe zamanında yanıt vermesine olanak tanıyan bir programa göre sağlayacaktır. 

    Madde VIII, Teknik ve İdari Tedbirler, Genel Güvenlik

    İşbu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir; ancak Tedarikçinin yalnızca söz konusu Hizmetleri ve Teslim Edilecek Malzemeleri sağlarken Kyndryl'ın İş İletişim Bilgilerine erişememesi (yani, Tedarikçi başka herhangi bir Kyndryl Verisini İşlemeyecek veya başka herhangi bir Kyndryl Malzemesine veya herhangi bir Kurumsal Sisteme erişemeyecektir) halinde, Tedarikçinin yegane Hizmetleri ve Teslim Edilecek Malzemeleri, Kyndryl'a Şirket İçi Yazılım sağlamak olacak veya Tedarikçi tüm Hizmetlerini ve Teslim Edilecek Malzemelerini Madde 1.7 dahil olmak üzere Madde VII uyarınca bir personel artırma modelinde sağlayacaktır.  

    Tedarikçi, bu Maddenin gerekliliklerine uyacak ve bunu yaparak: (a) Kyndryl Malzemelerini kayıp, tahribat, değişiklik, kazara veya yetkisiz ifşa ve kazara veya yetkisiz erişime, (b) Kyndryl Verilerini yasalara aykırı İşleme biçimlerine ve (c) Kyndryl Teknolojisini yasa dışı Kullanım biçimlerine karşı koruyacaktır. İşbu Maddenin gereklilikleri, tüm geliştirme, test, barındırma, destek, operasyonlar ve veri merkezi ortamları dahil olmak üzere Tedarikçinin Teslim Edilecek Malzemeleri ve Hizmetleri sağlarken ve Kyndryl Teknolojisini Kullanırken çalıştırdığı veya yönettiği tüm BT uygulamalarını, platformlarını ve altyapısını kapsar.  

    1. Güvenlik Politikaları

    1.1 Tedarikçi, kendi işinin ayrılmaz bir parçası olan, tüm Tedarikçi Personeli için zorunlu olan ve Sektördeki En İyi Uygulamalar ile tutarlı olan BT güvenlik politikalarını ve uygulamalarını uygulayacak ve takip edecektir.  

    1.2 Tedarikçi, BT güvenlik politikalarını ve uygulamalarını en az yılda bir kez gözden geçirecek ve Kyndryl Malzemelerini korumak için gerekli gördüğü şekilde değiştirecektir.

    1.3 Tedarikçi, işe alınan tüm yeni çalışanlar için standart, zorunlu istihdam doğrulama gerekliliklerini uygulayacak ve takip edecek ve bu gereklilikleri tüm Tedarikçi Personeli ve tamamına sahip olunan Tedarikçi iştiraklerini kapsayacak şekilde genişletecektir.  Bu gereksinimler, yerel yasaların izin verdiği ölçüde sabıka kaydı kontrollerini, kimlik doğrulama kanıtını ve Tedarikçinin gerekli gördüğü ilave kontrolleri içerecektir.  Tedarikçi, gerekli gördüğü şekilde bu gereklilikleri periyodik olarak tekrarlayacak ve yeniden doğrulayacaktır. 

    1.4 Tedarikçi, çalışanlarına yıllık olarak güvenlik ve gizlilik eğitimi verecek ve söz konusu çalışanların tamamından Tedarikçinin davranış kurallarında veya benzer belgelerde belirtilen şekilde Tedarikçinin etik iş davranışı, gizlilik ve güvenlik politikalarına uyacaklarını her yıl belgelendirmelerini isteyecektir.  Tedarikçi, Hizmetlerin, Teslim Edilecek Malzemelerin veya Kyndryl Malzemelerinin herhangi bir bileşenine yönetimsel erişimi olan kişilere, rollerine ve Hizmetlere, Teslim Edilecek Malzemelere ve Kyndryl Malzemelerine yönelik desteğe özel ve gerekli uygunluğu ve sertifikaları sürdürmek için gerektiği şekilde ek politika ve süreç eğitimi sağlayacaktır.

    1.5 Tedarikçi, Kyndryl Malzemelerinin kullanılabilirliğini korumak ve sürdürmek için, tüm Hizmetler ve Teslim Edilecek Malzeme ve Kyndryl Teknolojisinin tüm Kullanımı için tasarım, güvenli mühendislik ve güvenli operasyonlar kapsamında güvenlik ve gizlilik gerektiren politika ve prosedürlerin uygulanması, sürdürülmesi ve uygunluğu dahil olmak üzere güvenlik ve gizlilik önlemleri tasarlayacaktır.

    2. Güvenlik Olayları

    2.1 Tedarikçi, bilgisayar güvenliği olaylarının ele alınması için Sektördeki En İyi Uygulamalar ile tutarlı belgelenmiş olay müdahale politikalarını sürdürecek ve izleyecektir.

    2.2 Tedarikçi, Kyndryl Malzemelerine yetkisiz erişimi veya yetkisiz kullanımı araştıracak ve uygun bir müdahale planı tanımlayıp uygulayacaktır.

    2.3 Tedarikçi, herhangi bir Güvenlik İhlalinden haberdar olduktan sonra derhal (ve en geç 48 saat içinde) Kyndryl'ı bilgilendirecektir.  Tedarikçi bu tür bir bildirimi cyber.incidents@kyndryl.com adresine iletecektir. Tedarikçi, söz konusu ihlal ve Tedarikçinin düzeltme ve eski haline getirme işlemlerinin durumuyla ilgili talep edilen makul bilgileri Kyndryl'a temin edecektir.  Örnek olarak, makul şekilde talep edilen bilgiler, ihlal veya Tedarikçinin düzeltme ve eski haline getirme işlemleriyle ilgili olduğu kapsamda, Cihazlara, sistemlere veya uygulamalara ayrıcalıklı, idari ve diğer erişimleri, Cihazların, sistemlerin veya uygulamaların adli görüntülerini ve diğer benzer öğeleri gösteren log dosyalarını içerebilir.

    2.4 Tedarikçi, bir Güvenlik İhlaliyle ilgili Kyndryl'ın, Kyndryl'ın bağlı şirketlerinin ve Müşterilerin (ve bunların müşterileri ve bağlı şirketleri) herhangi bir yasal yükümlülüğünü (düzenleyici kurumlara veya İlgili Kişilere bildirim yapma yükümlülüğü de dahil) yerine getirilmesi için Kyndryl'a makul destek sağlayacaktır.

    2.5 Tedarikçi, Kyndryl tarafından yazılı olarak onaylanmadığı müddetçe veya yasa kapsamında gerekli görülmedikçe, bir Güvenlik İhlalinin doğrudan veya dolaylı olarak Kyndryl veya Kyndryl Malzemeleri ile ilgili olduğu konusunda herhangi bir üçüncü kişiye bilgi vermeyecek veya bildirimde bulunmayacaktır. Tedarikçi, bildirimin Kyndryl'ın kimliğini doğrudan veya dolaylı olarak ifşa edeceği herhangi bir üçüncü kişiye yasa gereği yapılması gereken herhangi bir bildirimi dağıtmadan önce Kyndryl'ı yazılı olarak bilgilendirecektir. 

    2.6 Tedarikçinin bu Koşullar kapsamındaki herhangi bir yükümlülüğünü ihlal etmesinden kaynaklanan bir Güvenlik İhlali olması halinde:

    (a) Tedarikçi, Kyndryl'ın geçerli düzenleyici kurumlara, diğer devlet ve ilgili sektör öz-denetim kurumlarına, medyaya (yürürlükteki yasalar gerektiriyorsa), İlgili Kişilere, Müşterilere ve diğerlerine Güvenlik İhlalini bildirirken maruz kaldığı tüm maliyetlerden ve ayrıca Kyndryl'ın maruz kaldığı gerçek maliyetlerden sorumlu olacaktır,

    (b) Kyndryl'ın talep etmesi halinde, söz konusu İlgili Kişilerin Güvenlik İhlali hakkında bilgilendirildiği tarihten sonraki 1 yıl veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Tedarikçi, İlgili Kişilerin Güvenlik İhlali ve bunun sonuçlarıyla ilgili sorularını yanıtlamak için, masrafları kendisine ait olmak üzere, bir çağrı merkezi kuracaktır.  Kyndryl ve Tedarikçi, sorgulara yanıt verirken çağrı merkezi personeli tarafından kullanılacak metinleri ve diğer materyalleri oluşturmak için birlikte çalışacaktır.  Alternatif olarak, Kyndryl, Tedarikçiye yazılı bildirimde bulunarak, Tedarikçinin bir çağrı merkezi kurması yerine kendi çağrı merkezini kurabilir ve kullanabilir ve Tedarikçi, Kyndryl'ın söz konusu çağrı merkezini kurmak ve kullanmak için maruz kaldığı gerçek maliyetleri hususunda Kyndryl'ı tazmin edecektir ve

    (c) Tedarikçi, ihlalden etkilenen ve kredi izleme ve kredi yenileme hizmetlerine kaydolmayı seçen kişilerin Güvenlik İhlali konusunda bilgilendirildiği tarihten itibaren 1 yıl boyunca veya yürürlükteki veri koruma yasasının gerektirdiği süreden hangisi daha fazla koruma sağlıyorsa ilgili süre boyunca Kyndryl'ın söz konusu hizmetleri sağlarken maruz kaldığı gerçek masraflar hususunda Kyndryl'ı tazmin edecektir.

    3. Fiziksel Güvenlik ve Giriş Kontrolü (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir).

    3.1 Tedarikçi, Tesislere yetkisiz girişlere karşı koruma sağlamak için bariyerler, kartla kontrol edilen giriş noktaları, gözetim kameraları ve insanlı resepsiyon masaları gibi uygun fiziksel giriş kontrollerini kullanacaktır.  

    3.2 Tedarikçi, herhangi bir geçici erişim dahil olmak üzere, Tesislere ve Tesisler içindeki kontrollü alanlara erişim için yetkili onay isteyecek ve erişimi iş rolüne ve iş ihtiyacına göre sınırlayacaktır.  Tedarikçinin geçici erişim izni vermesi halinde, yetkili çalışanı Tesiste ve kontrollü alanlarda herhangi bir ziyaretçiye eşlik edecektir.

    3.3 Tedarikçi, Tesisler içindeki kontrollü alanlara girişi uygun şekilde kısıtlamak için Sektördeki En İyi Uygulamalarla tutarlı çok faktörlü erişim kontrolleri dahil olmak üzere fiziksel erişim kontrolleri uygulayacak, tüm giriş girişimlerini kaydedecek ve bu tür kayıtları en az bir yıl süreyle saklayacaktır. 

    3.4 Tedarikçi, (a) yetkili bir Tedarikçi çalışanının ayrılması veya (b) yetkili Tedarikçi çalışanının artık geçerli bir iş erişimi ihtiyacı kalmaması durumunda, Tesislere ve Tesisler içindeki kontrollü alanlara erişimi iptal edecektir.  Tedarikçi, erişim kontrol listelerinden derhal çıkarma ve fiziksel erişim rozetlerinin teslim edilmesini içeren resmi olarak belgelendirilmiş ayırma prosedürlerini izleyecektir.

    3.5 Tedarikçi, Hizmetleri ve Teslim Edilecek Malzemeleri ve Kyndryl Teknolojisinin Kullanımını desteklemek için kullanılan tüm fiziksel altyapıyı, aşırı ortam sıcaklığı, yangın, sel, nem, hırsızlık ve vandalizm gibi hem doğal hem de insan kaynaklı çevresel tehditlere karşı korumak amacıyla önlemler alacaktır.

    4. Erişim, Müdahale, Aktarım ve Ayırma Kontrolü

    4.1 Tedarikçi, Hizmetlerin işletilmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında yönettiği ağlar için belgelenmiş güvenlik mimarisi kullanacaktır.  Tedarikçi, bu tür ağ mimarisini ayrıca gözden geçirecek ve güvenli segmentasyon, izolasyon ve derinlemesine savunma standartlarına uyum için sistemlere, uygulamalara ve ağ cihazlarına yetkisiz ağ bağlantılarını önleyecek önlemler alacaktır.  Tedarikçi, herhangi bir Barındırılan Hizmetin barındırılmasında ve işletilmesinde kablosuz teknolojiyi kullanamaz; aksi takdirde Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin tesliminde ve Kyndryl Teknolojisinin Kullanımında kablosuz ağ teknolojisini kullanabilir, ancak Tedarikçi bu tür kablosuz ağları şifreleyecek ve bunlar için güvenli kimlik doğrulaması gerektirecektir.

    4.2 Tedarikçi, Kyndryl Malzemelerinin yetkisiz kişiler tarafından ifşa edilmesini veya erişim sağlanmasını mantıksal olarak ayırmak ve önlemek için tasarlanmış önlemler alacaktır.  Ayrıca, Tedarikçi, üretim, üretim dışı ve diğer ortamlarda uygun izolasyonu sürdürecek ve Kyndryl Malzemelerinin üretim dışı bir ortamda halihazırda olması veya bu ortama aktarılması halinde (örneğin bir hatayı yeniden oluşturmak için), Tedarikçi, üretim dışı ortamdaki güvenlik ve gizlilik korumalarının üretim ortamındakilere eşit olmasını sağlayacaktır.

    4.3 Tedarikçi, taşıma halindeki ve kullanımda olmayan Kyndryl Malzemelerini şifreleyecektir (Tedarikçinin kullanımda olmayan Kyndryl Malzemelerini şifrelemenin teknik olarak mümkün olmadığını Kyndryl'ı makul ölçüde tatmin edecek şekilde kanıtlayamadığı hallerde).  Tedarikçi, varsa, yedekleme dosyalarını içeren ortamlar gibi tüm fiziksel ortamları da şifreleyecektir.  Tedarikçi, veri şifrelemeyle ilgili güvenli anahtar oluşturma, verme, dağıtma, depolama, döndürme, iptal etme, kurtarma, yedekleme, imha, erişim ve kullanıma yönelik belgelenmiş prosedürleri sürdürecektir.  Tedarikçi, bu tür bir şifreleme için kullanılan belirli kriptografik yöntemlerin Sektördeki En İyi Uygulamalarla (NIST SP 800-131a gibi) uyumlu olmasını sağlayacaktır.

    4.4 Tedarikçi, Kyndryl Malzemelerine erişim talep ederse, bu tür erişimi Hizmetleri ve Teslim Edilecek Malzemeleri sağlamak ve desteklemek için gereken en düşük seviyeyle kısıtlayacak ve sınırlandıracaktır.  Tedarikçi, herhangi bir temel bileşene idari erişim (yani, ayrıcalıklı erişim) dahil olmak üzere bu tür erişimin bireysel, role dayalı olmasını ve görev ayrımı ilkelerine göre yetkili Tedarikçi çalışanlarının onayına ve düzenli doğrulamasına tabi olmasını isteyecektir.  Tedarikçi, gereksiz ve atıl hesapları tespit etmek ve silmek için önlemler alacaktır. Ayrıca, Tedarikçi, ayrıcalıklı erişime sahip hesapları, hesap sahibinin ayrılmasından veya Kyndryl'ın veya hesap sahibinin yöneticisi gibi herhangi bir yetkili Tedarikçi çalışanının talebinden sonraki yirmi dört (24) saat içinde iptal edecektir. 

    4.5 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, aktif olmayan oturumların zaman aşımına uğramasını zorunlu kılan teknik önlemler, birden fazla ardışık başarısız oturum açma girişiminden sonra hesapların kilitlenmesi, güçlü parola veya anahtar parolası doğrulaması ve bu tür parolaların ve anahtar parolalarının güvenli aktarımını ve saklanmasını gerektiren önlemleri uygulayacaktır.  Ayrıca, Tedarikçi, herhangi bir Kyndryl Malzemesine konsol dışı tüm ayrıcalıklı erişimler için çok faktörlü kimlik doğrulamasını kullanacaktır.

    4.6 Tedarikçi, (a) yetkisiz erişimi ve faaliyeti tespit etmek, (b) bu ​​tür erişim ve faaliyete zamanında ve uygun müdahaleyi kolaylaştırmak ve (c) belgelenmiş Tedarikçi politikasına uygunluğun Tedarikçi, Kyndryl (işbu Koşullardaki doğrulama hakları ve İşlem Belgesindeki veya ilişkili temel sözleşme veya taraflar arasındaki diğer ilgili anlaşmadaki denetim hakları uyarınca) ve diğerleri tarafından denetlenebilmesi için ayrıcalıklı erişim kullanımını izleyecek ve güvenlik bilgileri ve olay yönetimi önlemleri uygulayacaktır. 

    4.7 Tedarikçi, Sektördeki En İyi Uygulamalara uygun olarak, Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullanılan sistemlerle ilgili olarak tüm yönetimsel, kullanıcı veya diğer erişim ya da işlemleri kaydettiği log dosyalarını saklayacaktır (ve bu log dosyalarını Talep üzerine Kyndryl'a temin edecektir).  Tedarikçi, bu tür log dosyalarına yetkisiz erişim, değişiklik ve kazara veya kasıtlı olarak imha edilmeye karşı koruma sağlamak üzere tasarlanmış önlemler alacaktır.

    4.8 Tedarikçi, son kullanıcı sistemleri dahil olmak üzere sahip olduğu veya yönettiği sistemler için ve Hizmetlerin veya Teslim Edilecek Malzemelerin sağlanmasında ya da Kyndryl Teknolojisinin Kullanımında kullandığı sistemler için hesaplama korumaları sağlayacak ve söz konusu koruma sistemleri, uç nokta güvenlik duvarlarını, tam disk şifrelemeyi, kötü amaçlı yazılımları ve gelişmiş kalıcı tehditleri ele almak için imzalı ve imzasız uç nokta algılama ve yanıt teknolojilerini, zamana dayalı ekran kilitlerini ve güvenlik yapılandırması ve yamalama gereksinimlerini uygulayan uç nokta yönetimi çözümlerini içerecektir.  Ayrıca, Tedarikçi, yalnızca bilinen ve güvenilir son kullanıcı sistemlerinin Tedarikçi ağlarını kullanmasına izin verilmesini sağlayan teknik ve operasyonel kontroller uygulayacaktır.

    4.9 Tedarikçi, Sektördeki En İyi Uygulamalar ile tutarlı olacak şekilde, Kyndryl Malzemelerinin bulunduğu veya işlendiği veri merkezi ortamları için izinsiz girişi tespit etme ve önleme ve hizmet saldırısı karşı önlemlerinin önlenmesi ve inkar edilmesi ve hafifletme dahil olmak üzere korumalar sağlayacaktır. 

    5. Hizmet ve Sistem Bütünlüğü ve Kullanılabilirlik Kontrolü 

    5.1 Tedarikçi: (a) en az yıllık esasta güvenlik ve gizlilik riski değerlendirmeleri gerçekleştirecek, (b) üretimin piyasaya sürülmesinden önce otomatik sistem ve uygulama güvenlik taraması ve manuel etik bilgisayar korsanlığı dahil olmak üzere güvenlik testi gerçekleştirecek ve güvenlik açıklarını değerlendirecektir ve bu işlemleri, Hizmetler ve Teslim Edilecek Malzemelerle ilgili olması halinde her yıl ve Kyndryl Teknolojisinin Kullanımına ilişkin olarak her yıl gerçekleştirecektir, (c) hem otomatik hem de manuel testi içerecek şekilde Sektördeki En İyi Uygulamalara uygun olarak penetrasyon testi gerçekleştirmek üzere nitelikli bağımsız bir üçüncü kişiden yardım alacak, (d) Hizmetler ve Teslim Edilecek Malzemelerin her bir bileşeni için ve Kyndryl Teknolojisinin Kullanımıyla ilgili olarak güvenlik konfigürasyon gerekliliklerine uygunluğun otomatik yönetim ve rutin doğrulamasını yapacak ve (e) ilgili risk, istismar edilebilirlik ve etkiye dayalı olarak güvenlik konfigürasyonu gerekliliklerinde tespit edilen güvenlik açıklarını veya uygunsuzlukları giderecektir.  Tedarikçi, testlerini, değerlendirmelerini, taramalarını gerçekleştirirken ve düzeltme faaliyetlerini yürütürken Hizmetlerde aksamayı önlemek için makul adımlar atacaktır.  Kyndryl'ın talebi üzerine Tedarikçi, Kyndryl'a Tedarikçinin en son sızma testi faaliyetlerinin yazılı özetini sağlayacaktır ve bu rapor asgari düzeyde testin içerdiği olanakların adını, test kapsamı dahilindeki sistemlerin veya uygulamaların sayısını, test tarihlerini, testte kullanılan metodoloji ve bulguların üst düzey özetini içerecektir.

    5.2 Tedarikçi, Hizmetlerde veya Teslim Edilecek Malzemelerde veya Kyndryl Teknolojisinin Kullanımında yapılan değişikliklerin uygulanmasıyla ilgili riskleri yönetmek için tasarlanmış politikalar ve prosedürler uygulayacaktır.  Tedarikçi, etkilenen sistemler, ağlar ve ilgili bileşenler de dahil olmak üzere böyle bir değişikliği uygulamadan önce kayıtlı bir değişiklik talebi kapsamında: (a) değişikliğin açıklamasını ve nedenini, (b) uygulama ayrıntılarını ve programı, (c) Hizmetler ve Teslim Edilecek Malzemeler, Hizmetlerin müşterileri veya Kyndryl Malzemeleri üzerindeki etkiyi, (d) beklenen sonucu, (e) geri alma planını ve (f) yetkili Tedarikçi çalışanlarının onayını belgelendirecektir.

    5.3 Tedarikçi, Hizmetlerin yürütülmesinde, Teslim Edilecek Malzemelerin sağlanmasında ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm BT varlıklarının envanterini tutacaktır.  Tedarikçi, BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin temel bileşenleri dahil olmak üzere söz konusu BT varlıklarının, Hizmetlerin, Teslim Edilecek Malzemelerin ve Kyndryl Teknolojisinin durumunu (kapasite dahil) ve kullanılabilirliğini sürekli olarak izleyecek ve yönetecektir. 

    5.4 Tedarikçi, Hizmetlerin ve Teslim Edilecek Malzemelerin geliştirilmesinde veya işletilmesinde ve Kyndryl Teknolojisinin Kullanımında kullandığı tüm sistemleri, İnternet Güvenliği Merkezi (CIS) karşılaştırmalı değerlendirmeleri gibi Sektördeki En İyi Uygulamalara uygun önceden tanımlanmış sistem güvenlik görüntüleri veya güvenlik temellerinden oluşturacaktır.

    5.5 Tedarikçinin yükümlülüklerini veya Kyndryl'ın İşlem Belgesi veya taraflar arasındaki ilgili çerçeve sözleşmesi kapsamındaki iş sürekliliğine ilişkin haklarını sınırlamadan, Tedarikçi her bir Hizmeti ve Teslim Edilecek Malzemeyi ve Kyndryl Teknolojisinin Kullanımında kullanılan her bir BT sistemini, belgelenmiş risk yönetimi kurallarına göre iş ve BT sürekliliği ve felaketten kurtarma gereklilikleri için ayrı ayrı değerlendirecektir.  Tedarikçi, her bir Hizmetin, Teslim Edilecek Malzemenin ve BT sisteminin, ilgili risk değerlendirmesinin garanti ettiği kapsamda, Sektördeki En İyi Uygulamalar ile tutarlı, ayrı olarak tanımlanan, belgelendirilen, uygulanan ve yıllık olarak doğrulanmış iş ve BT sürekliliği ve felaketten kurtarma planlarına sahip olmasını sağlayacaktır.  Tedarikçi, bu tür planların aşağıda Madde 5.6'da belirtilen belirli kurtarma sürelerine uygun şekilde tasarlanmasını sağlayacaktır.

    5.6 Herhangi bir Barındırılan Hizmete ilişkin özel kurtarma noktası hedefleri ("RPO") ve kurtarma süresi hedefleri ("RTO") şunlardır: 24 saatlik RPO ve 24 saatlik RTO; buna rağmen, Tedarikçi, Kyndryl tarafından daha kısa süreli RPO veya RTO'nun yazılı olarak bildirilmesinden hemen sonra, Kyndryl'ın bir Müşteriye taahhüt ettiği daha kısa süreli RPO veya RTO'ya uyacaktır (e-posta bir yazı teşkil eder).  Tedarikçi tarafından Kyndryl'a sağlanan diğer tüm Hizmetlerle ilgili olarak, Tedarikçi, iş sürekliliği ve felaketten kurtarma planlarının, Tedarikçinin İşlem Belgesi ve taraflar arasındaki ilgili çerçeve sözleşmesi ve zamanında test, destek ve bakım yükümlülükleri de dahil olmak üzere işbu Koşullar kapsamında düzenlenen Kyndryl'a karşı tüm yükümlülüklerine uymasına olanak tanıyan RPO ve RTO'yu sağlayacak şekilde tasarlandığından emin olacaktır.

    5.7 Tedarikçi, Hizmetler ve Teslim Edilecek Malzemeler ile ilgili sistemler, ağlar, uygulamalar ve bu Hizmetler ve Teslim Edilecek Malzemeler kapsamındaki ilgili bileşenler ve Kyndryl Teknolojisinin Kullanımında uygulanan sistemler, ağlar, uygulamalar ve ilgili bileşenler için güvenlik uyarı yamalarını değerlendirmek, test etmek ve uygulamak üzere tasarlanmış önlemler uygulayacaktır.  Bir güvenlik uyarı yamasının uygulanabilir ve uygun olduğunu belirledikten sonra Tedarikçi, yamayı belgelenmiş önem derecesin ve risk değerlendirme kurallarına uygun olarak uygulayacaktır.  Tedarikçi, güvenlik uyarı yamalarını değişiklik yönetimi politikasına tabi olarak uygulayacaktır.

    5.8 Kyndryl'ın, Tedarikçi tarafından Kyndryl'a sağlanan donanım veya yazılımın casus yazılım, kötü amaçlı yazılım veya kötü amaçlı kod gibi izinsiz unsurlar içerebileceğine inanmak için makul bir gerekçesi varsa, Tedarikçi, Kyndryl'ın endişelerini araştırmak ve düzeltmek için Kyndryl ile gecikmeden işbirliği yapacaktır.  

    6. Hizmet Sağlama

    6.1 Tedarikçi, herhangi bir Kyndryl kullanıcısı veya Müşteri hesabı için endüstride yaygın birleştirilmiş kimlik doğrulama yöntemlerini destekleyecek ve Tedarikçi, ilgili Kyndryl kullanıcısının veya Müşteri hesaplarının kimliğini doğrulamak için Sektördeki En İyi Uygulamaları izleyecektir (örneğin, Kyndryl merkezi olarak yönetilen çok faktörlü Tek Oturum Açma, OpenID Connect veya Güvenlik Onayı İşaretleme Dili).

    7. Alt Yükleniciler.  İşlem Belgesi veya alt yüklenicilerin görevlendirilmesiyle ilgili taraflar arasındaki ilgili çerçeve sözleşmesi kapsamında belirlenen Tedarikçinin yükümlülüklerini veya Kyndryl'ın haklarını sınırlandırmaksızın Tedarikçi, kendisi için iş yapan herhangi bir alt yüklenicinin bu Koşullarda Tedarikçi için düzenlenen gerekliliklere ve yükümlülüklere uymasına ilişkin yönetim kontrollerinin düzenlenmesini sağlayacaktır.  

    8. Fiziksel Ortam. Tedarikçi, yeniden kullanılması amaçlanan fiziksel ortamları bu tür bir yeniden kullanımdan önce güvenli bir şekilde temizleyecek ve yeniden kullanılması amaçlanmayan fiziksel ortamları ortam temizliği konusunda Sektördeki En İyi Uygulamalara uygun olarak imha edecektir.

    ---

    Madde IX, Barındırılan Hizmetlerin Sertifikasyonları ve Raporları

    Bu Madde, Tedarikçinin Kyndryl'a Barındırılan Hizmet sağlaması durumunda geçerlidir.  

    1.1 Tedarikçi, aşağıda belirtilen sertifikasyonları veya raporları yine aşağıda yazılı sürelerde elde edecektir: 

     

     

     

     

     

     

     

     

    Sertifikasyonlar / Raporlar

     

     

     

     

     

     

     

     

    Zaman Çerçevesi 

     

     

     

     

     

     

     

     

    Tedarikçinin Barındırdığı Hizmetlerle ilgili olarak:

     

     

     

     

     

    ISO 27001, Bilişim teknolojisi, Güvenlik teknikleri, Bilgi güvenliği yönetimi sistemleri ile uygunluk sertifikasyonu; ilgili belgelendirme, onaylanmış bağımsız bir denetçinin değerlendirmesine dayalı olacaktır 

     

     

     

     

     

    Veya

     

     

     

     

     

    SOC 2 Tip 2: SOC 2 Tip 2 uyarınca (asgari düzeyde güvenlik, gizlilik ve kullanılabilirlik dahil) Tedarikçinin sistemlerini, kontrollerini ve operasyonlarını gözden geçirdiğini gösteren saygın bir bağımsız denetçi raporu

     

     

     

     

     

     

     

     

     

    Tedarikçi, ISO 27001 sertifikasını İşlem Belgesinin* veya Üstlenme Tarihinin** yürürlük tarihinden sonraki 120 Gün içinde alacak ve ardından, saygın bir bağımsız denetçinin değerlendirmesine dayalı olarak sertifikayı sonraki her 12 ayda bir yenileyecektir (her yenileme, standardın ilgili tarihteki en güncel versiyonuna dayalı olacaktır)

     

     

     

     

     

    Tedarikçi, SOC 2 Tip 2 raporunu İşlem Belgesinin* veya Üstlenme Tarihinin** yürürlük tarihinden sonraki 240 Gün içinde alacak ve ardından Tedarikçinin sistemlerini, kontrollerini ve operasyonlarını SOC 2 Tip 2'ye uygun olarak (asgari düzeyde güvenlik, gizlilik ve kullanılabilirlik dahil) gözden geçirdiğini gösteren, saygın bir bağımsız denetçinin düzenlediği yeni raporu her 12 ayda bir alacaktır 

     

     

     

     

     

    * Tedarikçi, yukarıda belirtilen yürürlük tarihi itibariyle Barındırılan Hizmet sağlıyorsa 

     

     

     

     

     

    ** Tedarikçinin Barındırılan Hizmet sağlama yükümlülüğünü üstlendiği tarih 

     

     

    1.2 Tedarikçinin yazılı talepte bulunması ve Kyndryl'ın yazılı olarak onaylaması durumunda, Tedarikçi, yukarıda belirtilenlere büyük ölçüde eşdeğer bir sertifikayı veya raporu alabilir ve bu durumda, büyük ölçüde eşdeğer sertifikaya veya rapora ilişkin yukarıdaki tabloda yazılan sürelerde değişiklik olmayacaktır.  

    1.3 Tedarikçi: (a) talep üzerine, Tedarikçinin almakla yükümlü olduğu her sertifikanın ve raporun bir kopyasını derhal Kyndryl'a sağlayacak ve (b) SOC 2 veya büyük ölçüde eşdeğeri (Kyndryl onaylarsa) incelemeler sırasında belirlenen herhangi bir iç kontrol zayıflığını derhal giderecektir.  

    Madde X, İş Birliği, Doğrulama ve Düzeltme

    Bu Madde, Tedarikçinin Kyndryl'a herhangi bir Hizmet veya Teslim Edilecek Malzeme sağlaması durumunda geçerlidir.  

    1. Tedarikçi İşbirliği 

    1.1 Kyndryl'ın herhangi bir Hizmetin veya Teslim Edilecek Malzemenin herhangi bir siber güvenlik endişesine katkıda bulunmuş, bulunmakta veya bulunacak olduğunu sorgulamak için bir nedeni varsa, bu durumda Tedarikçi, bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere, Kyndryl'ın söz konusu endişeyle ilgili herhangi bir sorgulamasında belgeler, diğer kayıtlar, ilgili Tedarikçi Personeliyle yapılan görüşmeler veya benzerleri aracılığıyla makul şekilde işbirliği yapacaktır.

    1.2 Taraflar, bu Koşulların ve bu Koşullarda atıfta bulunulan belgelerin amacını gerçekleştirmek üzere birbirlerinden talep edebilecekleri (a) ek bilgileri talep üzerine birbirine sağlamayı, (b) diğer belgeleri akdetmeyi ve birbirlerine teslim etmeyi ve (c) diğer işlemleri yapmayı kabul ederler.  Örneğin, Kyndryl tarafından talep edilmesi halinde Tedarikçi, Alt Veri İşleyenler ve alt yükleniciler ile yaptığı yazılı sözleşmelerin gizlilik ve güvenlik odaklı şartlarını, Tedarikçinin bunu yapma hakkına sahip olduğu hallerde, sözleşmelere erişme hakkı vererek zamanında sağlayacaktır. 

    1.3 Kyndryl tarafından talep edilmesi halinde Tedarikçi, Teslim Edilecek Malzemelerin ve bu Teslim Edilecek Malzemelerin bileşenlerinin üretildiği, geliştirildiği veya başka bir şekilde tedarik edildiği ülkeler hakkında zamanında bilgi sağlayacaktır.

    2. Doğrulama (aşağıda kullanıldığı şekliyle "Tesis", Tedarikçinin Kyndryl Malzemelerini barındırdığı, işlediği veya başka bir şekilde bunlara eriştiği fiziksel bir konum anlamına gelir)

    2.1 Tedarikçi, işbu Koşullara uygunluğu gösteren denetlenebilir bir kayıt tutacaktır.

    2.2 Kyndryl, kendi başına veya bir harici denetçiyle birlikte Tedarikçiye 30 Gün öncesinde yapacağı yazılı bildirimle Tedarikçinin işbu Koşullara olan uygunluğunu, bu amaç doğrultusunda herhangi bir Tesise veya Tesislere erişerek doğrulayabilir, ancak Kyndryl'ın ilgili bilgileri temin etmek için Tedarikçinin Kyndryl Verilerini işlediği herhangi bir veri merkezine erişmesi gerektiğine dair iyi niyetli bir nedeninin olmaması halinde Kyndryl, söz konusu veri merkezine erişmeyecektir. Tedarikçi, belgeler, diğer kayıtlar, ilgili Tedarikçi Personeli ile yapılan görüşmeler veya benzeri yollarla bilgi taleplerine zamanında ve eksiksiz yanıt verilmesi de dahil olmak üzere Kyndryl'ın doğrulaması süresince işbirliği yapacaktır.Tedarikçi, Kyndryl'ın değerlendirmesi için, onaylanmış bir davranış kurallarına veya endüstri sertifikasına bağlılık kanıtı sunabilir veya bu Koşullara uygunluğu göstermek için başka şekilde bilgi sağlayabilir.  

    2.3 (a) Tedarikçinin 12 aylık süre içinde önceki bir doğrulamadan kaynaklanan sorunları giderdiğine dair Kyndryl tarafından doğrulama yapılmaması veya (b) bir Güvenlik İhlalinin meydana gelmesi ve Kyndryl'ın ihlalle ilgili yükümlülüklere uygunluğu doğrulamak istemesi halinde herhangi 12 aylık dönemde birden fazla doğrulama yapılmayacaktır.  Her iki durumda da Kyndryl, yukarıdaki Madde 2.2'de belirtilen aynı 30 Günlük ön yazılı bildirimi sağlayacaktır, ancak bir Güvenlik İhlalinin ele alınmasının aciliyeti, Kyndryl'ın 30 Günden daha kısa bir süre önce yazılı bildirimde bulunarak doğrulama yapmasını gerektirebilir.

    2.4. Bir düzenleyici kurum veya başka bir Veri Sorumlusu, bir düzenleyici kurumunn yasa kapsamında sahip olduğu ek hakları kullanabileceği kabul edilerek Madde 2.2 ve 2.3'te tanımlanan, Kyndryl ile aynı hakları kullanabilir.

    2.5 Tedarikçinin bu Koşullardan herhangi birine uymadığı sonucuna varmak Kyndryl'ın makul bir dayanağı varsa (söz konusu dayanağın bu Koşullar kapsamındaki bir doğrulamadan kaynaklanıp kaynaklanmadığına bakılmaksızın), Tedarikçi söz konusu uyumsuzluğu derhal giderecektir. 

    3. Sahteciliği Önleme Programı

    3.1 Tedarikçinin Teslim Edilecek Malzemeleri elektronik bileşenler (örneğin, sabit disk sürücüleri, katı hal sürücüleri, bellek, merkezi işlem birimleri, mantık cihazları veya kablolar) içeriyorsa, öncelikli olarak Tedarikçinin Kyndryl'a sahte bileşenler sağlamasını önlemek ve ikinci olarak, Tedarikçinin Kyndryl'a yanlışlıkla sahte bileşenler sağladığı herhangi bir durumu derhal tespit etmek ve çözmek için belgelendirilmiş sahteciliği önleme programı uygulayacak ve izleyecektir.  Tedarikçi aynı yükümlülüğü, Tedarikçinin Kyndryl'a sağladığı Teslim Edilecek Malzemelere dahil elektronik bileşenler sağlayan tüm tedarikçilerine belgelendirilmiş sahteciliği önleme programını uygulama ve izleme yükümlülüğünü getirecektir.  

    4. Düzeltme

    4.1 Tedarikçinin bu Koşullar kapsamındaki yükümlülüklerinden herhangi birini yerine getirmemesi ve söz konusu uyumsuzluğun bir Güvenlik İhlaline neden olması halinde, Tedarikçi, Kyndryl'ın makul talimatına ve programına uygun olacak şekilde bu uygunsuzluğu düzeltecek ve Güvenlik İhlalinin zararlı etkilerini giderecektir.  Ancak, Güvenlik İhlalinin Tedarikçi tarafından çok kiracılı Barındırılan Hizmet sağlandığı için meydana gelmesi ve sonuç olarak Kyndryl dahil olmak üzere birçok Tedarikçi müşterisini etkilemesi durumunda Tedarikçi, Güvenlik İhlalinin yapısı gereği performansındaki başarısızlığı zamanında ve uygun şekilde düzeltecek ve Güvenlik İhlalinin zararlı etkilerini düzeltirken, söz konusu düzeltmeler ve çözüme yönelik herhangi bir Kyndryl girdisini dikkate alacaktır. Yukarıdaki hükümlere halel getirmeksizin, Tedarikçi, yürürlükteki veri koruma yasası kapsamında belirlenen yükümlülüklere artık uyamayacak durumdaysa, Kyndryl'ı gecikme olmaksızın bilgilendirmelidir. 

    4.2 Kyndryl, uygun veya gerekli olduğuna inanması halinde, Madde 4.1'de atıfta bulunulan herhangi bir Güvenlik İhlalinin düzeltilmesi sürecine dahil olma hakkına sahip olacaktır ve Tedarikçi, kendi ifasının düzeltilmesine ilişkin masraf ve giderlerinden ve tarafların söz konusu Güvenlik İhlali nedeniyle maruz kaldığı düzeltme masraflarından ve giderlerinden sorumlu olacaktır.

    4.3 Örnek olarak, bir Güvenlik İhlaliyle ilişkili düzeltme maliyetleri ve giderleri, bir Güvenlik İhlalinin tespit edilmesi ve soruşturulması, yürürlükteki yasa ve yönetmelikler kapsamında sorumlulukların belirlenmesi, ihlal bildirimlerinin yapılması, çağrı merkezlerinin kurulması ve kullanımı, kredi izleme ve kredi geri ödeme hizmetlerinin sağlanması, verilerin yeniden yüklenmesi, ürün kusurlarının düzeltilmesi (Kaynak Kodu veya diğer geliştirmeler dahil), üçüncü kişilerin yukarıda belirtilen veya diğer ilgili faaliyetlere yardımcı olması için görevlendirilmesi ve Güvenlik İhlalinin zararlı etkilerini gidermek için gerekli olan diğer maliyetleri ve giderleri içerebilir.  Açıklık sağlamak için, düzeltme maliyetleri ve giderleri Kyndryl'ın kâr, iş, değer, gelir, itibar kaybını veya beklenen tasarrufun kaybını içermeyecektir.aktır.

View All Terms

Tanımlar
Büyük harfle yazılmış sözcükler, işbu Koşullarda veya İşlem Belgesinde veya taraflar arasındaki ilişkili çerçeve sözleşme kapsamında başka anlamlar yüklenmediği sürece aşağıda belirtilen anlamları taşıyacaktır. "Hizmetler" ve "Teslim Edilecek Malzemeler", muhtemelen İşlem Belgesinde veya taraflar arasındaki ilgili çerçeve sözleşmesi kapsamında tanımlanır; ancak, tanımlanmamış olması halinde "Hizmetler", Barındırılan Hizmet, danışmanlık, kurulum, özelleştirme, bakım, destek, personel arttırma, iş, teknik veya Tedarikçi tarafından İşlem Belgesinde belirtildiği şekilde Kyndryl için gerçekleştirilen diğer işlerdir ve "Teslim Edilecek Malzemeler", Tedarikçi tarafından İşlem Belgesinde belirtildiği şekilde Kyndryl'a temin edilen yazılım programları, platformlar, uygulamalar veya diğer ürünler veya öğeler ve bunların ilgili malzemelerdir.  

İş İletişim Bilgileri, profesyonel veya iş açısından bir kişiyle iletişim kurulması, kişinin tanımlanması veya kimliğinin doğrulanması için kullanılan Kişisel Verilerdir.  İş İletişim Bilgileri genellikle bir kişinin adını, iş e-posta adresini, fiziksel adresini, telefon numarasını veya benzeri bilgileri içerir.

Bulut Hizmeti, "hizmet olarak sunulan yazılım", "hizmet olarak sunulan platform" ve "hizmet olarak sunulan altyapı" olanakları dahil olmak üzere Tedarikçinin barındırdığı veya yönettiği herhangi bir "hizmet olarak sunulan" olanak anlamına gelir.

Veri Sorumlusu, tek başına veya diğerleriyle birlikte Kişisel Verilerin İşlenmesine ilişkin amaçları ve araçları belirleyen gerçek veya tüzel kişiyi, kamu kurumunu, kuruluşu veya diğer kurumları ifade eder. 

Kurumsal Sistem, BT sistemini, platformu, uygulamayı, ağı veya Kyndryl'ın intraneti, İnternet veya diğer yerlerde konumlanan veya bunlar vasıtasıyla erişilebilenler de dahil olmak üzere Kyndryl'ın işi için ihtiyaç duyduğu diğer öğeleri ifade eder.

Müşteri, Kyndryl müşterisi anlamına gelir.

İlgili Kişi, bir isme, kimlik numarasına, konum verisine, çevrim içi tanımlayıcıya veya ilgili gerçek kişinin fiziksel, fizyolojik, genetik, ruhsal, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunarak doğrudan veya dolaylı tanımlanabilen bir gerçek kişidir.

Gün veya Günler, "iş" günü olarak belirtilmediği sürece takvim günleri anlamına gelir.

Cihaz, Kyndryl veya Tedarikçi tarafından sağlanan iş istasyonu, dizüstü bilgisayar, tablet, akıllı telefon veya kişisel dijital asistandır.

Kullanma, Kullanımlar veya Kullanım, Kyndryl Teknolojisine erişim, Kyndryl Teknolojisinin kullanımı ve depolanması ve diğer tüm kullanımlarıdır.

Barındırılan Hizmet, Tedarikçi tarafından barındırılan veya yönetilen veri merkezi hizmeti, uygulama hizmeti, BT hizmeti veya Bulut Hizmetidir.

Kyndryl Verileri, Kyndryl, Kyndryl Personeli, Müşteri, Müşteri çalışanı veya diğer kişi veya kurumun İşlem Belgesiyle bağlantılı olarak Tedarikçiye sağladığı, Barındırılan bir Hizmete yüklediği veya Barındırılan Hizmette depoladığı ya da Tedarikçinin diğer şekillerde erişebildiği ve Tedarikçinin Kyndryl adına İşlediği tüm elektronik dosyalar, materyaller, metin, ses, video, görüntüler ve Kyndryl Kişisel Verilerini ve Kişisel Veri olmayan verilerini içerecek şekilde diğer veriler anlamına gelir.  

Kyndryl Malzemeleri, tüm Kyndryl Verileri ve Kyndryl Teknolojisi anlamına gelir.  

Kyndryl Kişisel Verileri Tedarikçinin Kyndryl adına İşlediği Kişisel Veriler anlamına gelir.  Kyndryl Kişisel Verileri, Kyndryl'ın kontrol ettiği Kişisel Verileri ve Kyndryl'ın Diğer Veri Sorumluları adına İşlediği Kişisel Verileri içerir. 

Kyndryl Kaynak Kodu, Kyndryl'ın sahip olduğu veya lisansını verdiği Kaynak Kodu anlamına gelir.

Kyndryl Teknolojisi, İşlem Belgesiyle veya Kyndryl ve Tedarikçi arasındaki ilgili sözleşmeyle bağlantılı olarak Kyndryl tarafından doğrudan veya dolaylı olarak Tedarikçiye lisanslanan veya diğer şekillerde Tedarikçinin kullanımına sunulan Kyndryl Kaynak Kodu, diğer kod, tanımlama dilleri, sabit yazılım, yazılımlar, araçlar, tasarımlar, şemalar, grafiksel sunumlar, yüklü anahtarlar, sertifikalar ve diğer bilgiler, materyaller, varlıklar, belgeler ve teknoloji anlamına gelir.  

İçerir ve Dahil sözcükleri, büyük harfle yazılmış olsun ya da olmasın, sınırlandırma koşulları olarak yorumlanmayacaktır.

Sektördeki En İyi Uygulamalar, ABD Ulusal Standartlar ve Teknoloji Enstitüsü veya Uluslararası Standartlar Örgütü veya benzer itibara ve kapsama sahip diğer kurum veya kuruluşlar tarafından önerilenlerle ya da gerekli görülenlerle tutarlı uygulamalar anlamına gelir.

BT, bilgi teknolojisi anlamına gelir.

Diğer Veri Sorumlusu, Kyndryl bağlı kuruluşu, Müşteri veya Müşteri bağlı kuruluşu gibi Kyndryl Verilerinin Sorumlusu olan Kyndryl haricindeki herhangi bir kuruluştur. 

Şirket İçi Yazılım, Kyndryl veya bir alt yüklenicinin Kyndryl'ın veya alt yüklenicinin sunucularında veya sistemlerinde çalıştırdığı, kurduğu veya işlettiği yazılım anlamına gelir.  Açıklık sağlamak için, Şirket İçi Yazılım, Tedarikçinin Teslim Edilecek Malzemesidir.

Kişisel Veriler, İlgili Kişiyle alakalı herhangi bir bilgi ve herhangi bir veri koruma yasası kapsamında "kişisel veri" veya benzeri olarak nitelendirilen diğer bilgiler anlamına gelir. 

Personel, Kyndryl veya Tedarikçinin çalışanları olan kişiler, Kyndryl veya Tedarikçinin temsilcileri, Kyndryl veya Tedarikçi tarafından görevlendirilen veya alt yüklenici tarafından bir tarafa sağlanan bağımsız yükleniciler anlamına gelir.

Veri İşleme, İşleme veya İşlenme, depolama, kullanım, erişim ve okuma dahil olmak üzere Kyndryl Verileri üzerinde gerçekleştirilen herhangi bir işlem veya işlem dizisidir.

Veri İşleyen, Veri Sorumlusu adına Kişisel Verileri İşleyen gerçek veya tüzel kişidir.

Güvenlik İhlali, (a) Kyndryl Malzemelerinin kaybına, imhasına, değiştirilmesine veya kazara ya da yetkisiz ifşasına, (b) Kyndryl Malzemelerine kazara veya yetkisiz erişime, (c) Kyndryl Verilerinin yasalara aykırı olarak İşlenmesine veya (d) Kyndryl Teknolojisinin yasalara aykırı Kullanımına neden olan güvenlik ihlalidir.

Satma (veya Satış), verilerin parasal veya diğer değerli amaçlar için satılması, kiralanması, yayınlanması, ifşa edilmesi, yayılması, kullanıma sunulması, aktarılması veya sözlü, yazılı veya elektronik ya da diğer şekillerde iletilmesi anlamına gelir.

Kaynak Kodu, geliştiricilerin bir ürün geliştirmek veya ürünü uygulamak amacıyla kullandığı, ancak ürünün ticari dağıtımı veya kullanımı esnasında son kullanıcılara verilmeyen insanlar tarafından okunabilir programlama kodudur.  

Alt Veri İşleyen, Tedarikçinin bağlı şirketini de içerecek şekilde Kyndryl Verilerini İşleyen herhangi bir Tedarikçi alt yüklenicisi anlamına gelir.