Privacy and Security Terms

Чи матиме Постачальник або Kyndryl доступ до Ділової Контактної Інформації іншої сторони?

Якщо так, до такого доступу застосовуються Статті I (Ділова Контактна Інформація) та X (Співпраця, перевірка та виправлення).

Приклади:

Постачальник використовує імена, адреси електронної пошти та номери телефонів працівників Kyndryl або Замовника для підтримки або обслуговування.
Kyndryl використовує імена та адреси електронної пошти працівників Постачальника для автентифікації для доступу до Корпоративної Системи.

Примітка.

Якщо технічне обслуговування або підтримку забезпечує Постачальник, він може мати доступ не тільки до BCI (зокрема, і до файлів журналів, які можуть містити Персональні Дані). У цьому разі Постачальник також має позначити пункт у розділі 2 (якщо він матиме доступ до Персональних Даних) і розділі 3 (якщо він матиме доступ до даних, що не належать до категорії Персональних Даних).

Стаття I. Ділова Контактна Інформація

Ця Стаття застосовується, якщо Постачальник або Kyndryl Обробляє BCI іншої сторони.

1.1 Kyndryl і Постачальник можуть обробляти BCI іншої сторони при веденні бізнесу у зв’язку з наданням Постачальником Послуг і Результатів.

1.2 Сторона:

(a) зобов’язується не використовувати та не розкривати BCI іншої сторони з будь-якою іншою метою (для ясності, жодна зі сторін не повинна Продавати BCI іншої сторони, використовувати або розкривати BCI іншої сторони для будь-яких маркетингових цілей без попередньої письмової згоди іншої сторони й у необхідних випадках — без попередньої письмової згоди відповідних Суб’єктів Даних), і

(b) зобов’язується видаляти, змінювати, виправляти, повертати, надавати інформацію про Обробку, обмежувати Обробку або вживати будь-які інші обґрунтовано затребувані дії щодо BCI іншої сторони, без будь-якої обґрунтованої затримки письмовим запитом іншої сторони.

1.3 Сторони не встановлюють між собою відносини сумісних Володільців BCI одна одної, і жодне положення Транзакційного Документа не буде тлумачитися або розцінюватися як таке, що свідчить про будь-який намір встановити відносини сумісних Володільців.

1.4 Додаткові відомості про Обробку Kyndryl BCI наведено в Заяві Kyndryl про приватність, опублікованій на веб-сайті https://www.kyndryl.com/privacy/

1.5 Сторони запровадили та зобов’язуються підтримувати технічні та організаційні заходи безпеки для захисту BCI іншої сторони від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу та незаконної Обробки.

1.6 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки, що стосується BCI Kyndryl. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.

1.7 Якщо Постачальник Обробляє лише BCI Kyndryl і не має доступу до будь-яких інших даних або матеріалів будь-якого типу або будь-якої Корпоративної Системи Kyndryl, то до такої Обробки маються тільки ця Стаття та Стаття X (Співпраця, перевірка та виправлення).

Стаття X. Співпраця, перевірка та виправлення

Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.

1. Співпраця з боку Постачальника

1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.

1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.

1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.

2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)

2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.

2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.

2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.

2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.

2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.

3. Програма боротьби з контрафактною продукцією

3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.

4. Виправлення

4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.

4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.

4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.

Чи матиме Постачальник доступ до Персональних Даних?

Якщо так, до такого доступу застосовуються Статті II (Технічні та організаційні заходи, Захист даних), III (Приватність), VIII (Технічні та організаційні заходи, Загальні параметри безпеки) та X (Співпраця, перевірка та виправлення).

Приклади:

Постачальник отримує доступ до Персональних Даних під час надання будь-яких Послуг, розміщених на сервері Постачальника, для внутрішнього використання Kyndryl та (або) для використання Замовниками.
Постачальник надає медичні Послуги або Послуги у сфері охорони здоров’я, маркетингові Послуги або Послуги з пошуку кадрів або призначення матеріальної допомоги, пільг і компенсацій і під час цієї діяльності отримує доступ до Персональних Даних.
Постачальник отримує доступ до файлів журналів, що містять Персональні Дані, для надання Послуг підтримки.

Стаття II. Технічні та організаційні заходи, Захист даних

Ця Стаття застосовується, якщо Постачальник здійснює Обробку Даних Kyndryl, інших ніж BCI Kyndryl. Постачальник зобов’язаний виконувати вимоги цієї Статті під час надання всіх Послуг і Результатів і таким чином захищати Дані Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу та незаконних форм Обробки. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та ІТ інфраструктуру, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.

1. Використання Даних

1.1 Постачальник не може додавати до Даних Kyndryl або включати разом із Даними Kyndryl будь-яку іншу інформацію або дані, зокрема будь-які Персональні Дані, без попередньої письмової згоди Kyndryl, і Постачальник не може використовувати Дані Kyndryl у будь-якій формі, зокрема у зведеній або іншій формі, для будь-яких інших цілей, окрім надання Послуг і Результатів (наприклад, Постачальнику забороняється використовувати або повторно використовувати Дані Kyndryl для оцінки ефективності або заходів удосконалення пропозицій Постачальника, для дослідження та розробки з метою створення нових пропозицій або для створення звітів стосовно пропозицій Постачальника). Якщо це прямо не дозволено в Транзакційному Документі, Постачальнику заборонено Продавати Дані Kyndryl.

1.2 Постачальник зобов’язується не включати будь-які технології для відстеження в Інтернеті в Результати або Послуги (такі технології включають HTML5, локальне сховище, теги або маркери третіх осіб і веб-маяки), якщо це прямо не дозволено в Транзакційному Документі.

2. Запити Третіх Осіб і Конфіденційність

2.1 Постачальник не розкриватиме Дані Kyndryl третім особам, окрім як після отримання попереднього письмового дозволу Kyndryl. Якщо органи державної влади, включаючи будь-які регуляторні органи, вимагають надання їм доступу до Даних Kyndryl (наприклад, якщо уряд США видає Постачальнику ордер Служби національної безпеки США на отримання Даних Kyndryl) або якщо розкриття Даних Kyndryl є обов’язковим відповідно до вимог законодавства, Постачальник зобов’язується письмово повідомити Kyndryl про таку вимогу та надати Kyndryl розумну можливість оскаржити будь-яке розкриття (якщо законодавство забороняє надавати повідомлення, Постачальник зобов’язується вжити заходів, які, на його думку, є доцільними, щоб оскаржити заборону та розкриття Даних Kyndryl у суді або із застосуванням інших засобів).

2.2 Постачальник запевняє Kyndryl, що: (а) лише ті його працівники, які мають службову необхідність у доступі до Даних Kyndryl для надання Послуг або Результатів, матимуть такий доступ, і лише в обсязі, необхідному для надання таких Послуг і Результатів; і (b) він зобов’язав своїх працівників дотримуватися зобов’язань конфіденційності, відповідно до яких такі працівники зобов’язані використовувати та розкривати Дані Kyndryl виключно в порядку, встановленому в цих Положеннях.

3. Повернення або Видалення Даних Kyndryl

3.1 Постачальник зобов’язаний, за вибором Kyndryl, видалити або повернути Kyndryl Дані Kyndryl після дострокового припинення або закінчення строку дії Транзакційного Документа або раніше на вимогу Kyndryl. Якщо Kyndryl вимагає видалити дані, то Постачальник, діючи згідно з Кращими Практиками Індустрії, має зробити дані нечитабельними, щоб їх не можна було знов зібрати або відновити, і має підтвердити для Kyndryl факт видалення. Якщо Kyndryl необхідно повернути Дані Kyndryl, Постачальник має повернути їх у встановлені Kyndryl розумні строки та згідно з розумними письмовими інструкціями Kyndryl.

Стаття III. Приватність

Ця Стаття застосовується, якщо Постачальник здійснює Обробку Персональних Даних Kyndryl.

1. Обробка

1.1 Kyndryl призначає Постачальника як Розпорядника для Обробки Персональних Даних Kyndryl з єдиною метою надання Результатів і Послуг відповідно до інструкцій Kyndryl, включаючи інструкції, що містяться в цих Положеннях, Транзакційному Документі та пов’язаному з ним базовому договорі між сторонами. Якщо Постачальник не виконує інструкції, Kyndryl може припинити споживання відповідної частини Послуг, надавши письмове повідомлення. Якщо Постачальник вважає, що інструкція порушує законодавство про захист даних, Постачальник зобов’язаний невідкладно повідомити про це Kyndryl у встановлені законодавством строки.

1.2 Постачальник дотримуватиметься всіх положень законодавства про захист даних, що стосується Послуг і Результатів.

1.3 Додаток до Транзакційного Документа або власне Транзакційний Документ встановлює щодо Даних Kyndryl:

(a) категорії Суб’єктів Даних;

(b) типи Персональних Даних Kyndryl;

(c) дії з даними та операції Обробки;

(d) тривалість та періодичність Обробки; та

(e) список Суброзпорядників.

2. Технічні та Організаційні Заходи

2.1 Постачальник впроваджуватиме та підтримуватиме технічні й організаційні заходи, описані в Статті II (Технічні та організаційні заходи, Захист даних) і Статті VIII (Технічні та організаційні заходи, Загальні параметри безпеки), і забезпечуватиме рівень безпеки, який відповідає ризику, який становлять його Послуги та Результати. Постачальник підтверджує та розуміє обмеження Статті II, цієї Статті III та Статті VIII і зобов’язується дотримуватись їх.

3. Права та Запити Суб'єктів Даних

3.1 Постачальник невідкладно (в строки, що дозволяють Kyndryl і будь-яким Іншим Володільцям виконувати їхні зобов’язання, встановлені законодавством), повідомлятиме Kyndryl про всі запити від Суб’єктів Даних, які користуються своїми правами як Суб’єкти Даних (зокрема право на уточнення, видалення або блокування даних), стосовно Персональних Даних Kyndryl. Постачальник також може у найкоротші строки дати вказівку Суб’єкту Даних надіслати такий запит до Kyndryl. Постачальник не відповідатиме на будь-які запити від Суб’єктів Даних, окрім коли це вимагається законодавством або письмовими інструкціями від Kyndryl.

3.2 Якщо Kyndryl буде зобов’язана надати інформацію щодо Персональних Даних Kyndryl Іншим Володільцям або третім особам (наприклад, Суб’єктам Даних або регуляторним органам), Постачальник має сприяти Kyndryl у цьому, надавши необхідну інформацію та виконавши інші обґрунтовані дії на запит Kyndryl, у строки, що дозволять Kyndryl своєчасно дати відповідь таким Іншим Володільцям або третім особам.

4. Суброзпорядники

4.1 Постачальник надасть Kyndryl попереднє письмове повідомлення перед додаванням нового Суброзпорядника або розширенням обсягу Обробки існуючим Суброзпорядником, із зазначенням у цьому повідомленні назви Суброзпорядника та описом нового або розширеного обсягу Обробки. Kyndryl може заперечувати проти будь-якого такого нового Суброзпорядника або розширеного обсягу з розумних підстав у будь-який час, і якщо Kyndryl скористається таким правом, сторони сумлінно співпрацюватимуть для вирішення заперечень Kyndryl. Із урахуванням права Kyndryl подавати заперечення в будь-який час, Постачальник може призначити нового Суброзпорядника або розширити обсяг Обробки існуючого Суброзпорядника, якщо Kyndryl не заявила таке заперечення протягом 30 Днів від дати письмового повідомлення від Постачальника.

4.2 Постачальник встановить зобов’язання щодо захисту даних, безпеки та сертифікації, передбачені в цих Положеннях, для кожного затвердженого Суброзпорядника перед Обробкою Суброзпорядником будь-яких Даних Kyndryl. Постачальник несе повну відповідальність перед Kyndryl за виконання зобов’язань кожним Суброзпорядником.

5. Транскордонна Обробка Даних

Hижченаведені терміни вживаються в такому значенні:

Країна з належним рівнем захисту — країна, яка забезпечує належний рівень захисту даних під час передачі відповідно до застосовного законодавства про захист даних або рішень регуляторних органів.

Імпортер Даних — Розпорядник або Суброзпорядник, заснований не в Країні з належним рівнем захисту.

Стандартні договірні положення ЄС («ЄСSCC») — Стандартні договірні положення ЄС (Рішення комісії 2021/914) із застосуванням необов’язкових позицій, за винятком опції 1 Пункту 9(а) та опції 2 Пункту 17, які офіційно опубліковані за адресою https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .

Стандартні договірні положення Сербії («SCC Сербії») — Стандартні договірні положення Сербії, прийняті «Уповноваженим Сербії щодо інформації, що становить публічний інтерес, та захисту персональних даних», які опубліковані на веб-сайті https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .

Стандартні договірні положення («SCC») — договірні положення, що вимагаються застосовним законодавством щодо передачі Персональних Даних Розпорядникам, заснованим не в Країнах із належним рівнем захисту.

Доповнення Сполученого Королівства про міжнародну передачу даних до Стандартних договірних положень ЄС («Доповнення СК») означає Доповнення Сполученого Королівства про міжнародну передачу даних до Стандартних договірних положень ЄС, офіційно опубліковане на сайті https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ .

5.1 Постачальник зобов’язаний не передавати та не розкривати (включаючи шляхом віддаленого доступу) будь-які Персональні Дані Kyndryl за межі країни без попередньої письмової згоди Kyndryl. Якщо Kyndryl надасть таку згоду, сторони співпрацюватимуть для забезпечення дотримання чинного законодавства про захист даних. Якщо таким законодавством передбачено укладення угоди SCC, Постачальник невідкладно укладе угоду SCC на вимогу Kyndryl.

5.2 Стосовно ЄС SCC:

(a)Якщо Постачальник заснований не в Країні з відповідним рівнем захисту: Постачальник укладає EU SCC як імпортер Даних із Kyndryl, і Постачальник повинен укласти письмові договори з кожним затвердженим Суброзпорядником, відповідно до Пункту 9 EU SCC, і надати Kyndryl копії таких договорів на запит Kyndryl.

(i) Модуль 1 EU SCC не застосовується, якщо інше не узгоджено в письмовому вигляді.

(ii) Модуль 2 ЄСSCC можливо, якщо Kyndryl є Володільцем, а Модуль 3 використовує, якщо Kyndryl є Розпорядником. Відповідно до Пункту 13 EU SCC, коли застосовуються Модулі 2 або 3, сторони погоджуються з тим, що (1) EU SCC регулюється законодавством країни-учасника ЄС, де знаходиться компетентний уповноважений наглядовий орган, і (2) будь-які суперечки, які виникають з EU SCC, вирішуватимуться в судах країни-учасника ЄС, де знаходиться компетентний уповноважений наглядовий орган. Якщо таке законодавство (1) не допускає права третіх осіб бенефіціарів, тоді EU SCC регулюватимуться законодавством Нідерландів, і будь-які спори, що випливають із EU SCC, (2) вирішуватимуться в судах Амстердама в Нідерландах.

(b) Якщо Постачальник розташований у країні, що є учасником Європейського Економічного Простору та Kyndryl виступає в ролі Володільця, на якого не розповсюджуються вимоги Загального Регламенту про Захист Даних 2016/679, тоді застосовується Модуль 4 EU SCC, і Постачальник цим укладає EU SCC як експортер даних із Kyndryl. Якщо застосовується Модуль 4 EU SCC, тоді сторони погоджуються, що EU SCC регулюватимуться законодавством Нідерландів, і будь-які спори, що випливають із EU SCC, вирішуватимуться в судах Амстердама в Нідерландах.

(c) Якщо Інші Володільці, наприклад Замовники або афілійовані особи, надсилають запит, щоб стати стороною EU SCC відповідно до особливої умови Пункту 7, Постачальник цим погоджується з будь-яким таким запитом.

(d) Технічні та Організаційні Заходи, які є обов’язковими для заповнення Доповнення II до EU SCC, можна знайти в цих Умовах, самому Транзакційному Документі, а також у відповідному базовому договорі, укладеному між сторонами.

(e) У разі виникнення будь-якого конфлікту між EU SCC та цими Положеннями, переважну силу матимуть EU SCC.

5.3 Стосовно Доповнення(-нь) СК:

(a) Якщо Постачальник не зареєстрований у Країні з належним рівнем захисту: (i) Постачальник цим укладає Доповнення СК з компанією Kyndryl у якості Імпортера на додаток до СДП ЄС, зазначених вище (якщо застосовно, залежно від обставин опрацювання); та (ii) Постачальник укладе письмові договори з кожним затвердженим Суброзпорядником та надасть Kyndryl копії цих договорів за запитом.

(b) Якщо Постачальник зареєстрований у Країні з належним рівнем захисту, а компанія Kyndryl є Володільцем, який не підпадає під дію Загального регламенту СК про захист даних (відповідно до законодавства Сполученого Королівства відповідно до Закону про вихід з Європейського Союзу 2018 р.), Постачальник цим укладає Доповнення СК з Kyndryl у якості Експортера для додавання до СДП ЄС, викладених у Розділі 5.2 (b) вище.

(c) Якщо Інші Володільці, такі як Замовники або афілійовані особи, вимагають приєднання до Доповнення(-нь) СК, Постачальник цим погоджується з будь-якою такою вимогою.

(d) Додаток з інформацією (як зазначено в Таблиці 3) у Доповненні(-ях) СК можна знайти в застосовних СДП ЄС, цих Положеннях, самому Транзакційному документі та пов’язаному базовому договорі між сторонами. Ні Kyndryl, ні Постачальник не можуть розірвати Доповнення СК у разі внесення до нього змін.

(e) In the event of any conflict between the UK Addendum(s) and these Terms, the UK Addendum(s) will prevail.

5.4 Стосовно SCC Сербії:

(a) Якщо Постачальник заснований не в Країні з належним рівнем захисту: (i) Постачальник цим укладає SCC Сербії із Kyndryl від імені самого Постачальника; і (ii) Постачальник повинен укласти письмові договори з кожним затвердженим Суброзпорядником, відповідно до Пункту 8 SCC Сербії, і надати Kyndryl копії таких договорів на запит Kyndryl.

(b) Якщо Постачальник заснований у Країні з належним рівнем захисту, то Постачальник цим укладає SCC Сербії із Kyndryl від імені кожного Суброзпорядника, зареєстрованого не в Країні з належним рівнем захисту. Якщо Постачальник не може зробити це від імені будь-якого з таких Суброзпорядників, Постачальник надасть Kyndryl підписані таким Суброзпорядником SCC Сербії для скріплення документа підписом Kyndryl, перш ніж дозволити Суброзпоряднику здійснювати Обробку будь-яких Персональних Даних Kyndryl.

(c) SCC Сербії між Kyndryl і Постачальником виступатимуть або в якості SCC Сербії між Володільцем і Розпорядником, або в якості взаємної письмової угоди між «володільцем» і «розпорядником», залежно від обставин. У разі виникнення будь-якого конфлікту між SCC Сербії та цими Положеннями, переважну силу матимуть SCC Сербії.

(d) Інформацію, яка є необхідною для заповнення Доповнень 1-8 до SCC Сербії з метою керування передачею Персональних Даних до країни, що належить до Країн з належним рівнем захисту, можна знайти в цих Положеннях та Додатку до Транзакційного Документа або в самому Транзакційному Документі.

6. Сприяння та Ведення Обліку

6.1 З огляду на характер Обробки, Постачальник зобов’язаний надавати Kyndryl допомогу в запровадженні належних технічних і організаційних заходів для виконання зобов’язань, пов’язаних із запитами та правами Суб’єктів Даних. Постачальник зобов’язаний також сприяти Kyndryl із метою забезпечення дотримання зобов’язань у зв’язку з безпекою Обробки, повідомленням та інформуванням про Порушення Безпеки й проведенням оцінки потенційного впливу на захист даних, включно з попередньою консультацією з відповідальним регуляторним органом, якщо це вимагається, зважаючи на інформацію, доступну Постачальнику.

6.2 Постачальник зобов’язаний вести облік імен/назв і контактних даних кожного Суброзпорядника, включаючи кожного представника Суброзпорядника та кожної особи, відповідальної за захист даних. Постачальник зобов’язаний надавати такі облікові записи на вимогу Kyndryl у строки, які дозволять Kyndryl своєчасно відповісти на будь-який запит Замовника або третьої особи.

Стаття VIII. Технічні та організаційні заходи, Загальні параметри безпеки

Ця Стаття застосовується, якщо Постачальник надає будь-які Послуги або Результати для Kyndryl, за винятком ситуацій, коли Постачальник надає доступ лише до BCI Kyndryl у процесі надання таких Послуг і Результатів (наприклад, Постачальник не Оброблятиме будь-які інші Дані Kyndryl і не матиме доступу до будь-яких інших Матеріалів Kyndryl або до будь-якої Корпоративної Системи), єдиними Послугами та Результатами Постачальника є надання Локального Програмного Забезпечення для Kyndryl, або Постачальник надає всі свої Послуги та Результати на основі моделі доповнення штату відповідно до Статті VII, включно з Розділом 1.7.

Постачальник зобов’язаний дотримуватися вимог цієї Статті і таким чином захищати: (a) Матеріали Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу, (b) Дані Kyndryl від незаконних форм Обробки й (c) Технології Kyndryl від незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.

1. Політики Безпеки

1.1 Постачальник зобов’язаний підтримувати та дотримуватися політик і практик у галузі ІТ-безпеки, які є невід’ємною частиною діяльності Постачальника та є обов’язковими для всього Персоналу Постачальника, відповідно до Кращих Практик Індустрії.

1.2 Постачальник зобов’язаний переглядати свої політики та практики у галузі ІТ-безпеки принаймні один раз на рік і вносити в них зміни, які Постачальник вважатиме за потрібне для забезпечення захисту Матеріалів Kyndryl.

1.3 Постачальник зобов’язаний підтримувати та дотримуватись стандартних обов’язкових вимог щодо перевірки працевлаштування всіх нових найманих працівників і поширювати такі вимоги на весь Персонал Постачальника та дочірні компанії, що перебувають під повним контролем Постачальника. Ці вимоги будуть включати перевірки кримінального минулого в обсягах, дозволених локальним законодавством, підтвердження ідентифікаційних даних та будь-які додаткові перевірки, які Постачальник вважатиме необхідними. Постачальник буде періодично повторювати перевірки та підтверджувати дотримання таких вимог, як він вважатиме необхідним.

1.4 Постачальник зобов’язаний щорічно організовувати навчання своїх працівників у галузі безпеки та приватності й вимагати від всіх таких працівників щорічно підтверджувати дотримання принципів етичної поведінки, конфіденційності та політик безпеки Постачальника, як це зазначено в кодексі етичної поведінки Постачальника або аналогічних документах. Постачальник зобов’язаний забезпечити додаткове навчання щодо політик і процесів для осіб із адміністративними правами доступу до будь-яких компонентів Послуг, Результатів або Матеріалів Kyndryl, спеціально призначене відповідно до їхніх службових обов’язків і підтримки Послуг, Результатів або Матеріалів Kyndryl, а також у разі необхідності забезпечити відповідність вимогам і сертифікацію.

1.5 Постачальник зобов’язаний спроектувати заходи з безпеки та приватності для захисту та забезпечення доступності Матеріалів Kyndryl, зокрема шляхом впровадження, підтримки та забезпечення відповідності політикам і процедурам, які вимагають проектованої безпеки та конфіденційності, захисту техніки, а також захисту операцій, для всіх Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl.

2. Інциденти Безпеки

2.1 Постачальник зобов’язаний підтримувати та дотримуватися задокументованих політик реагування на інциденти безпеки відповідно до Кращих Практик Індустрії щодо обробки інцидентів, пов’язаних із безпекою комп’ютерів.

2.2 Постачальник проводитиме розслідування випадків несанкціонованого доступу до Матеріалів Kyndryl або несанкціонованого використання Матеріалів Kyndryl, а також визначить і буде виконувати відповідний план реагування.

2.3 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.

2.4 Постачальник зобов’язаний належним чином сприяти виконанню Kyndryl зобов’язань, передбачених законодавством (зокрема зобов’язань з інформування регуляторних органів або Суб’єктів Даних) Kyndryl, афілійованих осіб Kyndryl і Замовників (а також їхніх афілійованих осіб і замовників) у зв’язку з Порушенням Безпеки.

2.5 Постачальник зобов’язаний не інформувати й не сповіщати будь-яких третіх осіб про Порушення Безпеки, окрім випадків, коли Kyndryl дасть письмовий дозвіл на це або це вимагається законодавством. Постачальник зобов’язаний письмово повідомити Kyndryl перед розповсюдженням передбачених законодавством повідомлень для третіх осіб, якщо такі повідомлення прямо чи опосередковано розкриватимуть ідентифікаційну інформацію Kyndryl.

2.6 У разі Порушення Безпеки, яке виникає внаслідок порушення Постачальником будь-якого зобов’язання за цими Положеннями:

(a) Постачальник несе відповідальність за всі понесені ним витрати, а також за фактичні витрати, понесені Kyndryl, у зв’язку з повідомленням про Порушення Безпеки відповідним регуляторним органам, іншим державним органам і галузевим органам самоврядування, засобам масової інформації (якщо цього вимагає застосовне законодавство) і Суб’єктам Даних, Замовникам та іншим особам;

(b) на запит Kyndryl, Постачальник зобов’язаний організувати і підтримувати за власні кошти кол-центр для відповідей на запитання Суб’єктів Даних щодо Порушення Безпеки та його наслідків протягом 1 року після дати, коли такі Суб’єкти Даних отримали повідомлення про Порушення Безпеки, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист. Kyndryl і Постачальник працюватимуть разом для створення сценаріїв та інших матеріалів для використання персоналом кол-центру під час обробки запитів. Крім того, повідомивши Постачальника письмово, Kyndryl може організувати та підтримувати власний кол-центр, замість зобов’язування Постачальника створювати кол-центр, і Постачальник має відшкодувати Kyndryl фактичні витрати, понесені Kyndryl для створення та підтримки такого кол-центру; і

(c) Постачальник зобов’язаний відшкодувати Kyndryl фактичні витрати, пов’язані з наданням послуг моніторингу компенсацій і відновлення компенсацій, протягом 1 року після дати повідомлення про Порушення Безпеки всіх осіб, яких стосується порушення і які зареєструвалися для отримання таких послуг, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист.

3. Фізичний Захист і Вхідний Контроль (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl).

3.1 Постачальник зобов’язаний забезпечити належний фізичний вхідний контроль, наприклад загородження, пункти входу з доступом по картках, камери спостереження та служби реєстрації відвідувачів, для захисту від несанкціонованого входу на Об’єкти.

3.2 Постачальник вимагатиме авторизації для доступу на Об’єкти та до контрольованих дільниць на Об’єктах, у тому числі будь-якого тимчасового доступу, а також обмежуватиме доступ відповідно до посади працівника й службової необхідності. Якщо Постачальник надає тимчасовий доступ, його вповноважений працівник супроводжуватиме будь-якого такого відвідувача під час перебування на Об’єкті та в будь-яких контрольованих дільницях.

3.3 Постачальник запровадить засоби контролю фізичного доступу, зокрема засоби контролю доступу на основі багатофакторної аутентифікації, які відповідають Кращим Практикам Індустрії, щоб належним чином обмежити вхід до контрольованих дільниць на Об’єктах, реєструватиме всі спроби входу та зберігатиме такі журнали щонайменше протягом одного року.

3.4 Постачальник зобов’язаний відкликати доступ на Об’єкти та на контрольовані дільниці на Об’єктах у разі (а) відсторонення з будь-яких причин уповноваженого працівника Постачальника або (b) зникнення службової необхідності в такому доступі в уповноваженого працівника Постачальника. Постачальник зобов’язаний дотримуватися офіційних задокументованих процедур відсторонення працівника, які включають швидке видалення зі списків контролю доступу та здавання пропусків доступу.

3.5 Постачальник зобов’язаний вживати запобіжних заходів для захисту фізичної інфраструктури, яка використовується для підтримки Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, від екологічних загроз, як природних, так і техногенних, наприклад підвищення температури довкілля, пожежі, повені, вологості, крадіжки та вандалізму.

4. Контроль Доступу, Втручання, Передавання та Розподілу Обов’язків

4.1 Постачальник зобов’язаний підтримувати задокументовану архітектуру мережевої безпеки, яка використовується під час роботи з Послугами, надання ним Результатів і Взаємодії з Технологіями Kyndryl. Постачальник зобов’язаний окремо перевірити таку мережеву архітектуру та запровадити заходи, спрямовані на запобігання неавторизованим мережевим з’єднанням до систем, прикладних програм і мережевих пристроїв, для забезпечення дотримання вимог безпечної сегментації, ізоляції та стандартів захисту. Постачальник не може використовувати технологію бездротового зв’язку для розміщення та функціонування будь-яких Послуг, розміщених на сервері; в інших випадках Постачальник може використовувати бездротові мережеві технології для надання Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, але Постачальник повинен використовувати шифрування та забезпечити захищені механізми автентифікації для будь-яких таких бездротових мереж.

4.2 Постачальник зобов’язаний підтримувати заходи, розроблені для логічного розподілу Матеріалів Kyndryl і запобігання розкриттю або несанкціонованому доступу до Матеріалів Kyndryl з боку неуповноважених осіб. Крім того, Постачальник забезпечить відповідну ізоляцію робочого, неробочого та іншого середовища, і якщо Матеріали Kyndryl уже знаходяться в неробочому середовищі або передаються в таке середовище (наприклад, для відтворення помилки), Постачальник гарантуватиме, що заходи безпеки та приватності в неробочому середовищі відповідають аналогічним заходам у робочому середовищі.

4.3 Постачальник шифруватиме Матеріали Kyndryl під час передачі та зберігання (окрім випадків, коли Постачальник може надати Kyndryl достатні докази технічної неможливості шифрування Матеріалів Kyndryl під час зберігання). Крім того, Постачальник шифруватиме всі фізичні носії, якщо такі є, наприклад носії з файлами резервних копій. Постачальник зобов’язаний підтримувати задокументовані процедури безпечної генерації, випуску, розповсюдження, зберігання, заміни, відкликання, відновлення, резервування, знищення, отримання та використання ключів, пов’язаних із шифруванням даних. Постачальник зобов’язаний забезпечити відповідність криптографічних методів, які використовуються для шифрування, Кращим Практикам Індустрії (таким як, наприклад, NIST SP 800-131 a).

4.4 Якщо Постачальнику буде потрібен доступ до Матеріалів Kyndryl, Постачальник зобов’язаний обмежити такий доступ до мінімального рівня, необхідного для надання та підтримки Послуг і Результатів. Постачальник зобов’язаний забезпечити, щоб такий доступ, включно з адміністративним доступом до будь-яких основних компонентів (тобто привілейований доступ), був індивідуальним, таким, що ґрунтується на ролі, та вимагати затвердження й регулярної перевірки уповноваженими особами Постачальника відповідно до принципів розподілу обов’язків. Постачальник зобов’язаний підтримувати заходи для ідентифікації та видалення зайвих і неактивних облікових записів. Постачальник зобов’язаний анулювати облікові записи з привілейованим доступом протягом двадцяти чотирьох (24) годин після відсторонення власника облікового запису або на вимогу Kyndryl або будь-якого уповноваженого працівника Постачальника, наприклад менеджера власника облікового запису.

4.5 Відповідно до Кращих Практик Індустрії, Постачальник зобов’язаний підтримувати технічні заходи, що забезпечують тайм-аути неактивних сеансів, блокування облікових записів після кількох послідовних невдалих спроб входу, надійної автентифікації на основі пароля або парольної фрази, а також заходи, що вимагають безпечного передавання та зберігання таких паролів і парольних фраз. Крім того, Постачальник застосовуватиме багатофакторну аутентифікацію для привілейованого доступу до будь-яких Матеріалів Kyndryl без використання консолі.

4.6 Постачальник зобов’язаний відстежувати застосування прав привілейованого доступу та забезпечувати заходи керування подіями та інформацією про безпеку, призначені для: (a) виявлення спроб несанкціонованого доступу та діяльності; (b) сприяння своєчасному і відповідному реагуванню на такий доступ і діяльність; і (c) забезпечення аудиту відповідності задокументованим політикам Постачальника з боку Постачальника, Kyndryl (відповідно до її прав перевірки згідно з цими Положеннями та прав на аудит, визначених в Транзакційному Документі, відповідному базовому договорі або іншому пов’язаному договорі між сторонами) та інших осіб.

4.7 Постачальник зберігатиме журнали реєстрації, відповідно до Кращих Практик Індустрії, усіх операцій доступу адміністраторів, користувачів або іншого доступу чи операцій в системах або у зв’язку з системами, що використовуються для надання Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl (а також надаватиме такі журнали на запит Kyndryl). Постачальник зобов’язаний підтримувати заходи, спрямовані на захист від несанкціонованого доступу, модифікації та випадкового або навмисного знищення таких журналів.

4.8 Постачальник забезпечить захист комп’ютерів для систем, які належать йому або якими він управляє, включаючи системи кінцевих користувачів, і які він використовує для надання Послуг або Результатів, або для Взаємодії з Технологіями Kyndryl; засоби захисту включають зокрема: брандмауери кінцевих точок, засоби шифрування всього диска, технології виявлення та протидії в кінцевих точках на основі підписів та без використання підписів стосовно зловмисного коду та найновіших стійких загроз, рішення для тимчасового блокування екрану та керування кінцевими точками, що забезпечують виконання вимог щодо конфігурації безпеки та застосування виправлень. Крім того, Постачальник запровадить технічні та операційні засоби контролю, які забезпечать можливість доступу до мереж Постачальника лише з відомих та перевірених систем кінцевих користувачів.

4.9 Згідно з Кращими Практиками Індустрії, Постачальник забезпечуватиме захист для середовищ центрів обробки даних, де зберігаються або обробляються Матеріали Kyndryl, зокрема: засоби виявлення та попередження вторгнень та протидії атакам типу «відмова в обслуговуванні» та зниження їхніх ризиків.

5. Контроль Цілісності та Доступності Послуг і Систем

5.1 Постачальник зобов’язаний (a) проводити оцінку ризиків безпеки та приватності принаймні один раз на рік; (b) проводити тестування безпеки та оцінювання вразливостей, включно з автоматичним скануванням безпеки системи та прикладних програм і неавтоматизованими процедурами етичного проникнення, перед застосуванням у робочому середовищі та щорічно після цього, що стосується Послуг і Результатів, а також щорічно у зв’язку із Взаємодією з Технологіями Kyndryl; (c) залучати кваліфіковану незалежну сторонню організацію для проведення тестування на проникнення згідно з Кращими Практиками Індустрії принаймні раз на рік, причому тестування має включати як автоматичне, так і ручне тестування; (d) забезпечувати автоматизоване керування та перевірку кожного компонента Послуг і Результатів, а також у зв’язку із Взаємодією з Технологіями Kyndryl на відповідність вимогам конфігурації безпеки; і (e) виправляти виявлені вразливості або невідповідність вимогам конфігурації безпеки з урахуванням ризиків, імовірності використання та впливу. Постачальник щоб зобов'язаний реалізувати обґрунтовані заходи, уникнути порушення Послуги під час тестування, оцінки, сканування та виправлення. На запит Kyndryl, Постачальник надасть Kyndryl письмовий звіт про останні операції тестування на проникнення, проведені Постачальником, який має містити принаймні найменування пропозицій, розглянутих під час тестування, кількість систем або прикладних програм, обраних для тестування, дати тестування, методологію тестування та загальний огляд результатів.

5.2 Постачальник буде підтримувати політики та процедури, призначені для управління ризиками, пов’язаними із застосуванням змін до Послуг або Результатів, або до Взаємодії з Технологіями Kyndryl. Перед застосуванням таких змін, включаючи зміни відповідних систем, мереж і базових компонентів, Постачальник зобов’язаний задокументувати в зареєстрованому запиті на зміну: (a) опис та причини зміни, (b) деталі реалізації та графік, (c) дані про ризики, що стосуються впливу на Послуги та Результати, замовників Послуг, або Матеріали Kyndryl, (d) очікуваний результат, (e) план відкликання та (f) процедуру затвердження уповноваженими працівниками Постачальника.

5.3 Постачальник зобов’язаний вести облік усіх ІТ-ресурсів, які використовуються під час функціонування Послуг, постачання Результатів і Взаємодії з Технологіями Kyndryl. Постачальник безперервно відстежуватиме та контролюватиме стан (у тому числі потужність) і доступність таких ІТ-ресурсів, Послуг, Результатів і Технологій Kyndryl, включаючи відповідні базові компоненти таких ресурсів, Послуг, Результатів і Технологій Kyndryl.

5.4 Постачальник розроблятиме всі системи, які він використовує в процесі розробки або функціонування Послуг і Результатів, а також під час Взаємодії з Технологіями Kyndryl, на основі попередньо визначених образів безпеки системи або рекомендацій безпеки, які відповідають Кращим Практикам Індустрії, наприклад критеріям Центру Інтернет-безпеки (CIS).

5.5 Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно безперервності бізнес-процесів, Постачальник зобов’язаний окремо оцінювати кожну Послугу та Результат і кожну ІТ-систему, що використовується для Взаємодії з Технологіями Kyndryl, щодо виконання вимог безперервності бізнес-процесів та ІТ-процесів і відновлення в аварійних ситуаціях відповідно до задокументованих рекомендацій з управління ризиками. Постачальник зобов’язаний забезпечити, щоб кожна така Послуга, Результат та ІТ-система мала, у тій мірі, в якій це підтверджує оцінка ризиків, окремо визначені, задокументовані, підтримувані та щорічно перевірювані плани забезпечення безперервності бізнес-процесів та ІТ-процесів і програми аварійного відновлення згідно з Кращими Практиками Індустрії. Постачальник зобов’язаний розробляти такі плани з метою забезпечення дотримання конкретних показників часу відновлення, визначених у розділі 5.6 нижче.

5.6 Показники цільової точки відновлення («RPO») і цільового часу відновлення («RTO») для будь-якої Послуги, розміщеної на сервері, визначаються наступним чином: 24 години RPO та 24 години RTO; незважаючи на це, Постачальник забезпечуватиме відповідність будь-яким більш строгим показникам RPO або RTO, які Kyndryl зобов’язалася виконувати для Замовника, негайно після отримання від Kyndryl письмового повідомлення про застосування коротших інтервалів RPO або RTO (повідомлення електронною поштою означає письмове повідомлення). Оскільки це стосується всіх інших Послуг, які Постачальник надає Kyndryl, Постачальник гарантуватиме, що його плани безперервності бізнес-процесів і аварійного відновлення розроблені для виконання RPO та RTO, забезпечуючи виконання зобов’язань Постачальника перед Kyndryl згідно з Транзакційним Документом, відповідним базовим договором між сторонами та цими Положеннями, включаючи зобов’язання щодо своєчасного тестування, підтримки та обслуговування.

5.7 Постачальник мусить підтримувати заходи, спрямовані на оцінювання, тестування та застосування рекомендованих виправлень безпеки до Послуг і Результатів, а також пов’язаних із ними систем, мереж, прикладних програм і базових компонентів у межах сфери дії таких Послуг і Результатів, а також систем, мереж, прикладних програм і базових компонентів, що використовуються для Взаємодії з Технологіями Kyndryl. Після визначення того, що рекомендоване виправлення безпеки є застосовним і відповідає вимогам, Постачальник має застосувати це виправлення відповідно до документально зафіксованих рекомендацій з урахуванням рівня важливості та ризиків. Реалізація рекомендованих виправлень безпеки регламентується політикою Постачальника щодо керування змінами.

5.8 Якщо в Kyndryl є вагомі підстави вважати, що обладнання або програмне забезпечення, що надаються їй Постачальником, можуть містити елементи, які уможливлюють вторгнення, зокрема шпигунське програмне забезпечення, шкідливе програмне забезпечення або зловмисний код, Постачальник своєчасно співпрацюватиме з Kyndryl під час розслідування випадку та виправлення моментів, що викликають занепокоєння Kyndryl.

6. Постачання Послуг.

6.1 Постачальник підтримуватиме стандартні галузеві методи об’єднаної аутентифікації для будь-яких користувачів Kyndryl або облікових записів Замовника, дотримуючись Кращих Практик Індустрії аутентифікації таких користувачів Kyndryl або облікових записів Замовника (таких як, наприклад, метод багатофакторного єдиного входу з централізованим керуванням з боку Kyndryl на основі OpenID Connect або Security Assertion Markup Language).

7. Субпідрядники. Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно утримання субпідрядників, Постачальник зобов’язаний подбати про те, аби кожен субпідрядник, який надає послуги для Постачальника, запровадив засоби управління та контролю для виконання вимог і зобов’язань, які встановлюються для Постачальника згідно з цими Положеннями.

8. Фізичні Носії. Постачальник зобов’язаний надійно виключати конфіденційну інформацію з фізичних носіїв, призначених для повторного використання, перед повторним використанням, а також знищувати фізичні носії, не призначені для повторного використання, відповідно до Кращих Практик Індустрії щодо очищення носіїв інформації.