Положення про приватність та безпеку
Ці Положення про приватність та безпеку визначають права та обов’язки Kyndryl і Постачальника щодо забезпечення приватності, безпеки та врегулювання пов’язаних із цим питань («Положення»). Ці Положення є невід’ємною частиною Опису послуг, Погодження про початок послуг або іншого документа аналогічного змісту, що діє між нашими компаніями та містить посилання на них («Транзакційний Документ»). Положення застосовуються конкретного правочину, відображеного в Транзакційному Документі.
Задля зручності ця веб-сторінка дає змогу Постачальникові позначити пункти нижче, що стосуються деталей правочину та, у такий спосіб, відобразити вибрані умови Положень. Залежно від таких деталей, до конкретного правочину можуть застосовуватись кілька пунктів. Для ясності, тільки деталі, відображені в Транзакційному Документі, визначають Положення, що застосовуються до правочину, а не ті деталі, що відображаються в пунктах, позначених Постачальником нижче.
У разі конфлікту між Положеннями та Транзакційним Документом або будь-яким пов’язаним базовим або іншим договором між сторонами, у тому числі будь-яким договором про обробку даних, переважну силу матимуть Положення. Повідомлення, подання яких вимагається цими Положеннями, надаватимуться відповідно до положень Транзакційного Документа про надання повідомлень.
Слова, вжиті в цих Положеннях із великої літери, мають значення відповідно до розділу «Визначення» нижче.
Позначте нижче пункти, що відображають деталі Послуг за цим конкретним правочином: |
-
Якщо так, до такого доступу застосовуються Статті I (Ділова Контактна Інформація) та X (Співпраця, перевірка та виправлення).
Приклади:
- Постачальник використовує імена, адреси електронної пошти та номери телефонів працівників Kyndryl або Замовника для підтримки або обслуговування.
- Kyndryl використовує імена та адреси електронної пошти працівників Постачальника для автентифікації для доступу до Корпоративної Системи.
Примітка.
Якщо технічне обслуговування або підтримку забезпечує Постачальник, він може мати доступ не тільки до BCI (зокрема, і до файлів журналів, які можуть містити Персональні Дані). У цьому разі Постачальник також має позначити пункт у розділі 2 (якщо він матиме доступ до Персональних Даних) і розділі 3 (якщо він матиме доступ до даних, що не належать до категорії Персональних Даних).
Стаття I. Ділова Контактна Інформація
Ця Стаття застосовується, якщо Постачальник або Kyndryl Обробляє BCI іншої сторони.
1.1 Kyndryl і Постачальник можуть обробляти BCI іншої сторони при веденні бізнесу у зв’язку з наданням Постачальником Послуг і Результатів.
1.2 Сторона:
(a) зобов’язується не використовувати та не розкривати BCI іншої сторони з будь-якою іншою метою (для ясності, жодна зі сторін не повинна Продавати BCI іншої сторони, використовувати або розкривати BCI іншої сторони для будь-яких маркетингових цілей без попередньої письмової згоди іншої сторони й у необхідних випадках — без попередньої письмової згоди відповідних Суб’єктів Даних), і
(b) зобов’язується видаляти, змінювати, виправляти, повертати, надавати інформацію про Обробку, обмежувати Обробку або вживати будь-які інші обґрунтовано затребувані дії щодо BCI іншої сторони, без будь-якої обґрунтованої затримки письмовим запитом іншої сторони.
1.3 Сторони не встановлюють між собою відносини сумісних Володільців BCI одна одної, і жодне положення Транзакційного Документа не буде тлумачитися або розцінюватися як таке, що свідчить про будь-який намір встановити відносини сумісних Володільців.
1.4 Додаткові відомості про Обробку Kyndryl BCI наведено в Заяві Kyndryl про приватність, опублікованій на веб-сайті https://www.kyndryl.com/privacy/
1.5 Сторони запровадили та зобов’язуються підтримувати технічні та організаційні заходи безпеки для захисту BCI іншої сторони від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу та незаконної Обробки.
1.6 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки, що стосується BCI Kyndryl. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.
1.7 Якщо Постачальник Обробляє лише BCI Kyndryl і не має доступу до будь-яких інших даних або матеріалів будь-якого типу або будь-якої Корпоративної Системи Kyndryl, то до такої Обробки маються тільки ця Стаття та Стаття X (Співпраця, перевірка та виправлення).
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
-
Якщо так, до такого доступу застосовуються Статті II (Технічні та організаційні заходи, Захист даних), III (Приватність), VIII (Технічні та організаційні заходи, Загальні параметри безпеки) та X (Співпраця, перевірка та виправлення).
Приклади:
- Постачальник отримує доступ до Персональних Даних під час надання будь-яких Послуг, розміщених на сервері Постачальника, для внутрішнього використання Kyndryl та (або) для використання Замовниками.
- Постачальник надає медичні Послуги або Послуги у сфері охорони здоров’я, маркетингові Послуги або Послуги з пошуку кадрів або призначення матеріальної допомоги, пільг і компенсацій і під час цієї діяльності отримує доступ до Персональних Даних.
- Постачальник отримує доступ до файлів журналів, що містять Персональні Дані, для надання Послуг підтримки.
Стаття II. Технічні та організаційні заходи, Захист даних
Ця Стаття застосовується, якщо Постачальник здійснює Обробку Даних Kyndryl, інших ніж BCI Kyndryl. Постачальник зобов’язаний виконувати вимоги цієї Статті під час надання всіх Послуг і Результатів і таким чином захищати Дані Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу та незаконних форм Обробки. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та ІТ інфраструктуру, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Використання Даних
1.1 Постачальник не може додавати до Даних Kyndryl або включати разом із Даними Kyndryl будь-яку іншу інформацію або дані, зокрема будь-які Персональні Дані, без попередньої письмової згоди Kyndryl, і Постачальник не може використовувати Дані Kyndryl у будь-якій формі, зокрема у зведеній або іншій формі, для будь-яких інших цілей, окрім надання Послуг і Результатів (наприклад, Постачальнику забороняється використовувати або повторно використовувати Дані Kyndryl для оцінки ефективності або заходів удосконалення пропозицій Постачальника, для дослідження та розробки з метою створення нових пропозицій або для створення звітів стосовно пропозицій Постачальника). Якщо це прямо не дозволено в Транзакційному Документі, Постачальнику заборонено Продавати Дані Kyndryl.
1.2 Постачальник зобов’язується не включати будь-які технології для відстеження в Інтернеті в Результати або Послуги (такі технології включають HTML5, локальне сховище, теги або маркери третіх осіб і веб-маяки), якщо це прямо не дозволено в Транзакційному Документі.
2. Запити Третіх Осіб і Конфіденційність
2.1 Постачальник не розкриватиме Дані Kyndryl третім особам, окрім як після отримання попереднього письмового дозволу Kyndryl. Якщо органи державної влади, включаючи будь-які регуляторні органи, вимагають надання їм доступу до Даних Kyndryl (наприклад, якщо уряд США видає Постачальнику ордер Служби національної безпеки США на отримання Даних Kyndryl) або якщо розкриття Даних Kyndryl є обов’язковим відповідно до вимог законодавства, Постачальник зобов’язується письмово повідомити Kyndryl про таку вимогу та надати Kyndryl розумну можливість оскаржити будь-яке розкриття (якщо законодавство забороняє надавати повідомлення, Постачальник зобов’язується вжити заходів, які, на його думку, є доцільними, щоб оскаржити заборону та розкриття Даних Kyndryl у суді або із застосуванням інших засобів).
2.2 Постачальник запевняє Kyndryl, що: (а) лише ті його працівники, які мають службову необхідність у доступі до Даних Kyndryl для надання Послуг або Результатів, матимуть такий доступ, і лише в обсязі, необхідному для надання таких Послуг і Результатів; і (b) він зобов’язав своїх працівників дотримуватися зобов’язань конфіденційності, відповідно до яких такі працівники зобов’язані використовувати та розкривати Дані Kyndryl виключно в порядку, встановленому в цих Положеннях.
3. Повернення або Видалення Даних Kyndryl
3.1 Постачальник зобов’язаний, за вибором Kyndryl, видалити або повернути Kyndryl Дані Kyndryl після дострокового припинення або закінчення строку дії Транзакційного Документа або раніше на вимогу Kyndryl. Якщо Kyndryl вимагає видалити дані, то Постачальник, діючи згідно з Кращими Практиками Індустрії, має зробити дані нечитабельними, щоб їх не можна було знов зібрати або відновити, і має підтвердити для Kyndryl факт видалення. Якщо Kyndryl необхідно повернути Дані Kyndryl, Постачальник має повернути їх у встановлені Kyndryl розумні строки та згідно з розумними письмовими інструкціями Kyndryl.
Стаття III. Приватність
Ця Стаття застосовується, якщо Постачальник здійснює Обробку Персональних Даних Kyndryl.
1. Обробка
1.1 Kyndryl призначає Постачальника як Розпорядника для Обробки Персональних Даних Kyndryl з єдиною метою надання Результатів і Послуг відповідно до інструкцій Kyndryl, включаючи інструкції, що містяться в цих Положеннях, Транзакційному Документі та пов’язаному з ним базовому договорі між сторонами. Якщо Постачальник не виконує інструкції, Kyndryl може припинити споживання відповідної частини Послуг, надавши письмове повідомлення. Якщо Постачальник вважає, що інструкція порушує законодавство про захист даних, Постачальник зобов’язаний невідкладно повідомити про це Kyndryl у встановлені законодавством строки.
1.2 Постачальник дотримуватиметься всіх положень законодавства про захист даних, що стосується Послуг і Результатів.
1.3 Додаток до Транзакційного Документа або власне Транзакційний Документ встановлює щодо Даних Kyndryl:
(a) категорії Суб’єктів Даних;
(b) типи Персональних Даних Kyndryl;
(c) дії з даними та операції Обробки;
(d) тривалість та періодичність Обробки; та
(e) список Суброзпорядників.
2. Технічні та Організаційні Заходи
2.1 Постачальник впроваджуватиме та підтримуватиме технічні й організаційні заходи, описані в Статті II (Технічні та організаційні заходи, Захист даних) і Статті VIII (Технічні та організаційні заходи, Загальні параметри безпеки), і забезпечуватиме рівень безпеки, який відповідає ризику, який становлять його Послуги та Результати. Постачальник підтверджує та розуміє обмеження Статті II, цієї Статті III та Статті VIII і зобов’язується дотримуватись їх.
3. Права та Запити Суб'єктів Даних
3.1 Постачальник невідкладно (в строки, що дозволяють Kyndryl і будь-яким Іншим Володільцям виконувати їхні зобов’язання, встановлені законодавством), повідомлятиме Kyndryl про всі запити від Суб’єктів Даних, які користуються своїми правами як Суб’єкти Даних (зокрема право на уточнення, видалення або блокування даних), стосовно Персональних Даних Kyndryl. Постачальник також може у найкоротші строки дати вказівку Суб’єкту Даних надіслати такий запит до Kyndryl. Постачальник не відповідатиме на будь-які запити від Суб’єктів Даних, окрім коли це вимагається законодавством або письмовими інструкціями від Kyndryl.
3.2 Якщо Kyndryl буде зобов’язана надати інформацію щодо Персональних Даних Kyndryl Іншим Володільцям або третім особам (наприклад, Суб’єктам Даних або регуляторним органам), Постачальник має сприяти Kyndryl у цьому, надавши необхідну інформацію та виконавши інші обґрунтовані дії на запит Kyndryl, у строки, що дозволять Kyndryl своєчасно дати відповідь таким Іншим Володільцям або третім особам.
4. Суброзпорядники
4.1 Постачальник надасть Kyndryl попереднє письмове повідомлення перед додаванням нового Суброзпорядника або розширенням обсягу Обробки існуючим Суброзпорядником, із зазначенням у цьому повідомленні назви Суброзпорядника та описом нового або розширеного обсягу Обробки. Kyndryl може заперечувати проти будь-якого такого нового Суброзпорядника або розширеного обсягу з розумних підстав у будь-який час, і якщо Kyndryl скористається таким правом, сторони сумлінно співпрацюватимуть для вирішення заперечень Kyndryl. Із урахуванням права Kyndryl подавати заперечення в будь-який час, Постачальник може призначити нового Суброзпорядника або розширити обсяг Обробки існуючого Суброзпорядника, якщо Kyndryl не заявила таке заперечення протягом 30 Днів від дати письмового повідомлення від Постачальника.
4.2 Постачальник встановить зобов’язання щодо захисту даних, безпеки та сертифікації, передбачені в цих Положеннях, для кожного затвердженого Суброзпорядника перед Обробкою Суброзпорядником будь-яких Даних Kyndryl. Постачальник несе повну відповідальність перед Kyndryl за виконання зобов’язань кожним Суброзпорядником.
5. Транскордонна Обробка Даних
Hижченаведені терміни вживаються в такому значенні:
Країна з належним рівнем захисту — країна, яка забезпечує належний рівень захисту даних під час передачі відповідно до застосовного законодавства про захист даних або рішень регуляторних органів.
Імпортер Даних — Розпорядник або Суброзпорядник, заснований не в Країні з належним рівнем захисту.
Стандартні договірні положення ЄС («ЄСSCC») — Стандартні договірні положення ЄС (Рішення комісії 2021/914) із застосуванням необов’язкових позицій, за винятком опції 1 Пункту 9(а) та опції 2 Пункту 17, які офіційно опубліковані за адресою https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .
Стандартні договірні положення Сербії («SCC Сербії») — Стандартні договірні положення Сербії, прийняті «Уповноваженим Сербії щодо інформації, що становить публічний інтерес, та захисту персональних даних», які опубліковані на веб-сайті https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .
Стандартні договірні положення («SCC») — договірні положення, що вимагаються застосовним законодавством щодо передачі Персональних Даних Розпорядникам, заснованим не в Країнах із належним рівнем захисту.
Доповнення Сполученого Королівства про міжнародну передачу даних до Стандартних договірних положень ЄС («Доповнення СК») означає Доповнення Сполученого Королівства про міжнародну передачу даних до Стандартних договірних положень ЄС, офіційно опубліковане на сайті https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ .
5.1 Постачальник зобов’язаний не передавати та не розкривати (включаючи шляхом віддаленого доступу) будь-які Персональні Дані Kyndryl за межі країни без попередньої письмової згоди Kyndryl. Якщо Kyndryl надасть таку згоду, сторони співпрацюватимуть для забезпечення дотримання чинного законодавства про захист даних. Якщо таким законодавством передбачено укладення угоди SCC, Постачальник невідкладно укладе угоду SCC на вимогу Kyndryl.
5.2 Стосовно ЄС SCC:
(a)Якщо Постачальник заснований не в Країні з відповідним рівнем захисту: Постачальник укладає EU SCC як імпортер Даних із Kyndryl, і Постачальник повинен укласти письмові договори з кожним затвердженим Суброзпорядником, відповідно до Пункту 9 EU SCC, і надати Kyndryl копії таких договорів на запит Kyndryl.
(i) Модуль 1 EU SCC не застосовується, якщо інше не узгоджено в письмовому вигляді.
(ii) Модуль 2 ЄСSCC можливо, якщо Kyndryl є Володільцем, а Модуль 3 використовує, якщо Kyndryl є Розпорядником. Відповідно до Пункту 13 EU SCC, коли застосовуються Модулі 2 або 3, сторони погоджуються з тим, що (1) EU SCC регулюється законодавством країни-учасника ЄС, де знаходиться компетентний уповноважений наглядовий орган, і (2) будь-які суперечки, які виникають з EU SCC, вирішуватимуться в судах країни-учасника ЄС, де знаходиться компетентний уповноважений наглядовий орган. Якщо таке законодавство (1) не допускає права третіх осіб бенефіціарів, тоді EU SCC регулюватимуться законодавством Нідерландів, і будь-які спори, що випливають із EU SCC, (2) вирішуватимуться в судах Амстердама в Нідерландах.
(b) Якщо Постачальник розташований у країні, що є учасником Європейського Економічного Простору та Kyndryl виступає в ролі Володільця, на якого не розповсюджуються вимоги Загального Регламенту про Захист Даних 2016/679, тоді застосовується Модуль 4 EU SCC, і Постачальник цим укладає EU SCC як експортер даних із Kyndryl. Якщо застосовується Модуль 4 EU SCC, тоді сторони погоджуються, що EU SCC регулюватимуться законодавством Нідерландів, і будь-які спори, що випливають із EU SCC, вирішуватимуться в судах Амстердама в Нідерландах.
(c) Якщо Інші Володільці, наприклад Замовники або афілійовані особи, надсилають запит, щоб стати стороною EU SCC відповідно до особливої умови Пункту 7, Постачальник цим погоджується з будь-яким таким запитом.
(d) Технічні та Організаційні Заходи, які є обов’язковими для заповнення Доповнення II до EU SCC, можна знайти в цих Умовах, самому Транзакційному Документі, а також у відповідному базовому договорі, укладеному між сторонами.
(e) У разі виникнення будь-якого конфлікту між EU SCC та цими Положеннями, переважну силу матимуть EU SCC.
5.3 Стосовно Доповнення(-нь) СК:
(a) Якщо Постачальник не зареєстрований у Країні з належним рівнем захисту: (i) Постачальник цим укладає Доповнення СК з компанією Kyndryl у якості Імпортера на додаток до СДП ЄС, зазначених вище (якщо застосовно, залежно від обставин опрацювання); та (ii) Постачальник укладе письмові договори з кожним затвердженим Суброзпорядником та надасть Kyndryl копії цих договорів за запитом.
(b) Якщо Постачальник зареєстрований у Країні з належним рівнем захисту, а компанія Kyndryl є Володільцем, який не підпадає під дію Загального регламенту СК про захист даних (відповідно до законодавства Сполученого Королівства відповідно до Закону про вихід з Європейського Союзу 2018 р.), Постачальник цим укладає Доповнення СК з Kyndryl у якості Експортера для додавання до СДП ЄС, викладених у Розділі 5.2 (b) вище.
(c) Якщо Інші Володільці, такі як Замовники або афілійовані особи, вимагають приєднання до Доповнення(-нь) СК, Постачальник цим погоджується з будь-якою такою вимогою.
(d) Додаток з інформацією (як зазначено в Таблиці 3) у Доповненні(-ях) СК можна знайти в застосовних СДП ЄС, цих Положеннях, самому Транзакційному документі та пов’язаному базовому договорі між сторонами. Ні Kyndryl, ні Постачальник не можуть розірвати Доповнення СК у разі внесення до нього змін.
(e) In the event of any conflict between the UK Addendum(s) and these Terms, the UK Addendum(s) will prevail.
5.4 Стосовно SCC Сербії:
(a) Якщо Постачальник заснований не в Країні з належним рівнем захисту: (i) Постачальник цим укладає SCC Сербії із Kyndryl від імені самого Постачальника; і (ii) Постачальник повинен укласти письмові договори з кожним затвердженим Суброзпорядником, відповідно до Пункту 8 SCC Сербії, і надати Kyndryl копії таких договорів на запит Kyndryl.
(b) Якщо Постачальник заснований у Країні з належним рівнем захисту, то Постачальник цим укладає SCC Сербії із Kyndryl від імені кожного Суброзпорядника, зареєстрованого не в Країні з належним рівнем захисту. Якщо Постачальник не може зробити це від імені будь-якого з таких Суброзпорядників, Постачальник надасть Kyndryl підписані таким Суброзпорядником SCC Сербії для скріплення документа підписом Kyndryl, перш ніж дозволити Суброзпоряднику здійснювати Обробку будь-яких Персональних Даних Kyndryl.
(c) SCC Сербії між Kyndryl і Постачальником виступатимуть або в якості SCC Сербії між Володільцем і Розпорядником, або в якості взаємної письмової угоди між «володільцем» і «розпорядником», залежно від обставин. У разі виникнення будь-якого конфлікту між SCC Сербії та цими Положеннями, переважну силу матимуть SCC Сербії.
(d) Інформацію, яка є необхідною для заповнення Доповнень 1-8 до SCC Сербії з метою керування передачею Персональних Даних до країни, що належить до Країн з належним рівнем захисту, можна знайти в цих Положеннях та Додатку до Транзакційного Документа або в самому Транзакційному Документі.
6. Сприяння та Ведення Обліку
6.1 З огляду на характер Обробки, Постачальник зобов’язаний надавати Kyndryl допомогу в запровадженні належних технічних і організаційних заходів для виконання зобов’язань, пов’язаних із запитами та правами Суб’єктів Даних. Постачальник зобов’язаний також сприяти Kyndryl із метою забезпечення дотримання зобов’язань у зв’язку з безпекою Обробки, повідомленням та інформуванням про Порушення Безпеки й проведенням оцінки потенційного впливу на захист даних, включно з попередньою консультацією з відповідальним регуляторним органом, якщо це вимагається, зважаючи на інформацію, доступну Постачальнику.
6.2 Постачальник зобов’язаний вести облік імен/назв і контактних даних кожного Суброзпорядника, включаючи кожного представника Суброзпорядника та кожної особи, відповідальної за захист даних. Постачальник зобов’язаний надавати такі облікові записи на вимогу Kyndryl у строки, які дозволять Kyndryl своєчасно відповісти на будь-який запит Замовника або третьої особи.
Стаття VIII. Технічні та організаційні заходи, Загальні параметри безпеки
Ця Стаття застосовується, якщо Постачальник надає будь-які Послуги або Результати для Kyndryl, за винятком ситуацій, коли Постачальник надає доступ лише до BCI Kyndryl у процесі надання таких Послуг і Результатів (наприклад, Постачальник не Оброблятиме будь-які інші Дані Kyndryl і не матиме доступу до будь-яких інших Матеріалів Kyndryl або до будь-якої Корпоративної Системи), єдиними Послугами та Результатами Постачальника є надання Локального Програмного Забезпечення для Kyndryl, або Постачальник надає всі свої Послуги та Результати на основі моделі доповнення штату відповідно до Статті VII, включно з Розділом 1.7.
Постачальник зобов’язаний дотримуватися вимог цієї Статті і таким чином захищати: (a) Матеріали Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу, (b) Дані Kyndryl від незаконних форм Обробки й (c) Технології Kyndryl від незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Політики Безпеки
1.1 Постачальник зобов’язаний підтримувати та дотримуватися політик і практик у галузі ІТ-безпеки, які є невід’ємною частиною діяльності Постачальника та є обов’язковими для всього Персоналу Постачальника, відповідно до Кращих Практик Індустрії.
1.2 Постачальник зобов’язаний переглядати свої політики та практики у галузі ІТ-безпеки принаймні один раз на рік і вносити в них зміни, які Постачальник вважатиме за потрібне для забезпечення захисту Матеріалів Kyndryl.
1.3 Постачальник зобов’язаний підтримувати та дотримуватись стандартних обов’язкових вимог щодо перевірки працевлаштування всіх нових найманих працівників і поширювати такі вимоги на весь Персонал Постачальника та дочірні компанії, що перебувають під повним контролем Постачальника. Ці вимоги будуть включати перевірки кримінального минулого в обсягах, дозволених локальним законодавством, підтвердження ідентифікаційних даних та будь-які додаткові перевірки, які Постачальник вважатиме необхідними. Постачальник буде періодично повторювати перевірки та підтверджувати дотримання таких вимог, як він вважатиме необхідним.
1.4 Постачальник зобов’язаний щорічно організовувати навчання своїх працівників у галузі безпеки та приватності й вимагати від всіх таких працівників щорічно підтверджувати дотримання принципів етичної поведінки, конфіденційності та політик безпеки Постачальника, як це зазначено в кодексі етичної поведінки Постачальника або аналогічних документах. Постачальник зобов’язаний забезпечити додаткове навчання щодо політик і процесів для осіб із адміністративними правами доступу до будь-яких компонентів Послуг, Результатів або Матеріалів Kyndryl, спеціально призначене відповідно до їхніх службових обов’язків і підтримки Послуг, Результатів або Матеріалів Kyndryl, а також у разі необхідності забезпечити відповідність вимогам і сертифікацію.
1.5 Постачальник зобов’язаний спроектувати заходи з безпеки та приватності для захисту та забезпечення доступності Матеріалів Kyndryl, зокрема шляхом впровадження, підтримки та забезпечення відповідності політикам і процедурам, які вимагають проектованої безпеки та конфіденційності, захисту техніки, а також захисту операцій, для всіх Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl.
2. Інциденти Безпеки
2.1 Постачальник зобов’язаний підтримувати та дотримуватися задокументованих політик реагування на інциденти безпеки відповідно до Кращих Практик Індустрії щодо обробки інцидентів, пов’язаних із безпекою комп’ютерів.
2.2 Постачальник проводитиме розслідування випадків несанкціонованого доступу до Матеріалів Kyndryl або несанкціонованого використання Матеріалів Kyndryl, а також визначить і буде виконувати відповідний план реагування.
2.3 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.
2.4 Постачальник зобов’язаний належним чином сприяти виконанню Kyndryl зобов’язань, передбачених законодавством (зокрема зобов’язань з інформування регуляторних органів або Суб’єктів Даних) Kyndryl, афілійованих осіб Kyndryl і Замовників (а також їхніх афілійованих осіб і замовників) у зв’язку з Порушенням Безпеки.
2.5 Постачальник зобов’язаний не інформувати й не сповіщати будь-яких третіх осіб про Порушення Безпеки, окрім випадків, коли Kyndryl дасть письмовий дозвіл на це або це вимагається законодавством. Постачальник зобов’язаний письмово повідомити Kyndryl перед розповсюдженням передбачених законодавством повідомлень для третіх осіб, якщо такі повідомлення прямо чи опосередковано розкриватимуть ідентифікаційну інформацію Kyndryl.
2.6 У разі Порушення Безпеки, яке виникає внаслідок порушення Постачальником будь-якого зобов’язання за цими Положеннями:
(a) Постачальник несе відповідальність за всі понесені ним витрати, а також за фактичні витрати, понесені Kyndryl, у зв’язку з повідомленням про Порушення Безпеки відповідним регуляторним органам, іншим державним органам і галузевим органам самоврядування, засобам масової інформації (якщо цього вимагає застосовне законодавство) і Суб’єктам Даних, Замовникам та іншим особам;
(b) на запит Kyndryl, Постачальник зобов’язаний організувати і підтримувати за власні кошти кол-центр для відповідей на запитання Суб’єктів Даних щодо Порушення Безпеки та його наслідків протягом 1 року після дати, коли такі Суб’єкти Даних отримали повідомлення про Порушення Безпеки, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист. Kyndryl і Постачальник працюватимуть разом для створення сценаріїв та інших матеріалів для використання персоналом кол-центру під час обробки запитів. Крім того, повідомивши Постачальника письмово, Kyndryl може організувати та підтримувати власний кол-центр, замість зобов’язування Постачальника створювати кол-центр, і Постачальник має відшкодувати Kyndryl фактичні витрати, понесені Kyndryl для створення та підтримки такого кол-центру; і
(c) Постачальник зобов’язаний відшкодувати Kyndryl фактичні витрати, пов’язані з наданням послуг моніторингу компенсацій і відновлення компенсацій, протягом 1 року після дати повідомлення про Порушення Безпеки всіх осіб, яких стосується порушення і які зареєструвалися для отримання таких послуг, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист.
3. Фізичний Захист і Вхідний Контроль (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl).
3.1 Постачальник зобов’язаний забезпечити належний фізичний вхідний контроль, наприклад загородження, пункти входу з доступом по картках, камери спостереження та служби реєстрації відвідувачів, для захисту від несанкціонованого входу на Об’єкти.
3.2 Постачальник вимагатиме авторизації для доступу на Об’єкти та до контрольованих дільниць на Об’єктах, у тому числі будь-якого тимчасового доступу, а також обмежуватиме доступ відповідно до посади працівника й службової необхідності. Якщо Постачальник надає тимчасовий доступ, його вповноважений працівник супроводжуватиме будь-якого такого відвідувача під час перебування на Об’єкті та в будь-яких контрольованих дільницях.
3.3 Постачальник запровадить засоби контролю фізичного доступу, зокрема засоби контролю доступу на основі багатофакторної аутентифікації, які відповідають Кращим Практикам Індустрії, щоб належним чином обмежити вхід до контрольованих дільниць на Об’єктах, реєструватиме всі спроби входу та зберігатиме такі журнали щонайменше протягом одного року.
3.4 Постачальник зобов’язаний відкликати доступ на Об’єкти та на контрольовані дільниці на Об’єктах у разі (а) відсторонення з будь-яких причин уповноваженого працівника Постачальника або (b) зникнення службової необхідності в такому доступі в уповноваженого працівника Постачальника. Постачальник зобов’язаний дотримуватися офіційних задокументованих процедур відсторонення працівника, які включають швидке видалення зі списків контролю доступу та здавання пропусків доступу.
3.5 Постачальник зобов’язаний вживати запобіжних заходів для захисту фізичної інфраструктури, яка використовується для підтримки Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, від екологічних загроз, як природних, так і техногенних, наприклад підвищення температури довкілля, пожежі, повені, вологості, крадіжки та вандалізму.
4. Контроль Доступу, Втручання, Передавання та Розподілу Обов’язків
4.1 Постачальник зобов’язаний підтримувати задокументовану архітектуру мережевої безпеки, яка використовується під час роботи з Послугами, надання ним Результатів і Взаємодії з Технологіями Kyndryl. Постачальник зобов’язаний окремо перевірити таку мережеву архітектуру та запровадити заходи, спрямовані на запобігання неавторизованим мережевим з’єднанням до систем, прикладних програм і мережевих пристроїв, для забезпечення дотримання вимог безпечної сегментації, ізоляції та стандартів захисту. Постачальник не може використовувати технологію бездротового зв’язку для розміщення та функціонування будь-яких Послуг, розміщених на сервері; в інших випадках Постачальник може використовувати бездротові мережеві технології для надання Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, але Постачальник повинен використовувати шифрування та забезпечити захищені механізми автентифікації для будь-яких таких бездротових мереж.
4.2 Постачальник зобов’язаний підтримувати заходи, розроблені для логічного розподілу Матеріалів Kyndryl і запобігання розкриттю або несанкціонованому доступу до Матеріалів Kyndryl з боку неуповноважених осіб. Крім того, Постачальник забезпечить відповідну ізоляцію робочого, неробочого та іншого середовища, і якщо Матеріали Kyndryl уже знаходяться в неробочому середовищі або передаються в таке середовище (наприклад, для відтворення помилки), Постачальник гарантуватиме, що заходи безпеки та приватності в неробочому середовищі відповідають аналогічним заходам у робочому середовищі.
4.3 Постачальник шифруватиме Матеріали Kyndryl під час передачі та зберігання (окрім випадків, коли Постачальник може надати Kyndryl достатні докази технічної неможливості шифрування Матеріалів Kyndryl під час зберігання). Крім того, Постачальник шифруватиме всі фізичні носії, якщо такі є, наприклад носії з файлами резервних копій. Постачальник зобов’язаний підтримувати задокументовані процедури безпечної генерації, випуску, розповсюдження, зберігання, заміни, відкликання, відновлення, резервування, знищення, отримання та використання ключів, пов’язаних із шифруванням даних. Постачальник зобов’язаний забезпечити відповідність криптографічних методів, які використовуються для шифрування, Кращим Практикам Індустрії (таким як, наприклад, NIST SP 800-131 a).
4.4 Якщо Постачальнику буде потрібен доступ до Матеріалів Kyndryl, Постачальник зобов’язаний обмежити такий доступ до мінімального рівня, необхідного для надання та підтримки Послуг і Результатів. Постачальник зобов’язаний забезпечити, щоб такий доступ, включно з адміністративним доступом до будь-яких основних компонентів (тобто привілейований доступ), був індивідуальним, таким, що ґрунтується на ролі, та вимагати затвердження й регулярної перевірки уповноваженими особами Постачальника відповідно до принципів розподілу обов’язків. Постачальник зобов’язаний підтримувати заходи для ідентифікації та видалення зайвих і неактивних облікових записів. Постачальник зобов’язаний анулювати облікові записи з привілейованим доступом протягом двадцяти чотирьох (24) годин після відсторонення власника облікового запису або на вимогу Kyndryl або будь-якого уповноваженого працівника Постачальника, наприклад менеджера власника облікового запису.
4.5 Відповідно до Кращих Практик Індустрії, Постачальник зобов’язаний підтримувати технічні заходи, що забезпечують тайм-аути неактивних сеансів, блокування облікових записів після кількох послідовних невдалих спроб входу, надійної автентифікації на основі пароля або парольної фрази, а також заходи, що вимагають безпечного передавання та зберігання таких паролів і парольних фраз. Крім того, Постачальник застосовуватиме багатофакторну аутентифікацію для привілейованого доступу до будь-яких Матеріалів Kyndryl без використання консолі.
4.6 Постачальник зобов’язаний відстежувати застосування прав привілейованого доступу та забезпечувати заходи керування подіями та інформацією про безпеку, призначені для: (a) виявлення спроб несанкціонованого доступу та діяльності; (b) сприяння своєчасному і відповідному реагуванню на такий доступ і діяльність; і (c) забезпечення аудиту відповідності задокументованим політикам Постачальника з боку Постачальника, Kyndryl (відповідно до її прав перевірки згідно з цими Положеннями та прав на аудит, визначених в Транзакційному Документі, відповідному базовому договорі або іншому пов’язаному договорі між сторонами) та інших осіб.
4.7 Постачальник зберігатиме журнали реєстрації, відповідно до Кращих Практик Індустрії, усіх операцій доступу адміністраторів, користувачів або іншого доступу чи операцій в системах або у зв’язку з системами, що використовуються для надання Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl (а також надаватиме такі журнали на запит Kyndryl). Постачальник зобов’язаний підтримувати заходи, спрямовані на захист від несанкціонованого доступу, модифікації та випадкового або навмисного знищення таких журналів.
4.8 Постачальник забезпечить захист комп’ютерів для систем, які належать йому або якими він управляє, включаючи системи кінцевих користувачів, і які він використовує для надання Послуг або Результатів, або для Взаємодії з Технологіями Kyndryl; засоби захисту включають зокрема: брандмауери кінцевих точок, засоби шифрування всього диска, технології виявлення та протидії в кінцевих точках на основі підписів та без використання підписів стосовно зловмисного коду та найновіших стійких загроз, рішення для тимчасового блокування екрану та керування кінцевими точками, що забезпечують виконання вимог щодо конфігурації безпеки та застосування виправлень. Крім того, Постачальник запровадить технічні та операційні засоби контролю, які забезпечать можливість доступу до мереж Постачальника лише з відомих та перевірених систем кінцевих користувачів.
4.9 Згідно з Кращими Практиками Індустрії, Постачальник забезпечуватиме захист для середовищ центрів обробки даних, де зберігаються або обробляються Матеріали Kyndryl, зокрема: засоби виявлення та попередження вторгнень та протидії атакам типу «відмова в обслуговуванні» та зниження їхніх ризиків.
5. Контроль Цілісності та Доступності Послуг і Систем
5.1 Постачальник зобов’язаний (a) проводити оцінку ризиків безпеки та приватності принаймні один раз на рік; (b) проводити тестування безпеки та оцінювання вразливостей, включно з автоматичним скануванням безпеки системи та прикладних програм і неавтоматизованими процедурами етичного проникнення, перед застосуванням у робочому середовищі та щорічно після цього, що стосується Послуг і Результатів, а також щорічно у зв’язку із Взаємодією з Технологіями Kyndryl; (c) залучати кваліфіковану незалежну сторонню організацію для проведення тестування на проникнення згідно з Кращими Практиками Індустрії принаймні раз на рік, причому тестування має включати як автоматичне, так і ручне тестування; (d) забезпечувати автоматизоване керування та перевірку кожного компонента Послуг і Результатів, а також у зв’язку із Взаємодією з Технологіями Kyndryl на відповідність вимогам конфігурації безпеки; і (e) виправляти виявлені вразливості або невідповідність вимогам конфігурації безпеки з урахуванням ризиків, імовірності використання та впливу. Постачальник щоб зобов'язаний реалізувати обґрунтовані заходи, уникнути порушення Послуги під час тестування, оцінки, сканування та виправлення. На запит Kyndryl, Постачальник надасть Kyndryl письмовий звіт про останні операції тестування на проникнення, проведені Постачальником, який має містити принаймні найменування пропозицій, розглянутих під час тестування, кількість систем або прикладних програм, обраних для тестування, дати тестування, методологію тестування та загальний огляд результатів.
5.2 Постачальник буде підтримувати політики та процедури, призначені для управління ризиками, пов’язаними із застосуванням змін до Послуг або Результатів, або до Взаємодії з Технологіями Kyndryl. Перед застосуванням таких змін, включаючи зміни відповідних систем, мереж і базових компонентів, Постачальник зобов’язаний задокументувати в зареєстрованому запиті на зміну: (a) опис та причини зміни, (b) деталі реалізації та графік, (c) дані про ризики, що стосуються впливу на Послуги та Результати, замовників Послуг, або Матеріали Kyndryl, (d) очікуваний результат, (e) план відкликання та (f) процедуру затвердження уповноваженими працівниками Постачальника.
5.3 Постачальник зобов’язаний вести облік усіх ІТ-ресурсів, які використовуються під час функціонування Послуг, постачання Результатів і Взаємодії з Технологіями Kyndryl. Постачальник безперервно відстежуватиме та контролюватиме стан (у тому числі потужність) і доступність таких ІТ-ресурсів, Послуг, Результатів і Технологій Kyndryl, включаючи відповідні базові компоненти таких ресурсів, Послуг, Результатів і Технологій Kyndryl.
5.4 Постачальник розроблятиме всі системи, які він використовує в процесі розробки або функціонування Послуг і Результатів, а також під час Взаємодії з Технологіями Kyndryl, на основі попередньо визначених образів безпеки системи або рекомендацій безпеки, які відповідають Кращим Практикам Індустрії, наприклад критеріям Центру Інтернет-безпеки (CIS).
5.5 Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно безперервності бізнес-процесів, Постачальник зобов’язаний окремо оцінювати кожну Послугу та Результат і кожну ІТ-систему, що використовується для Взаємодії з Технологіями Kyndryl, щодо виконання вимог безперервності бізнес-процесів та ІТ-процесів і відновлення в аварійних ситуаціях відповідно до задокументованих рекомендацій з управління ризиками. Постачальник зобов’язаний забезпечити, щоб кожна така Послуга, Результат та ІТ-система мала, у тій мірі, в якій це підтверджує оцінка ризиків, окремо визначені, задокументовані, підтримувані та щорічно перевірювані плани забезпечення безперервності бізнес-процесів та ІТ-процесів і програми аварійного відновлення згідно з Кращими Практиками Індустрії. Постачальник зобов’язаний розробляти такі плани з метою забезпечення дотримання конкретних показників часу відновлення, визначених у розділі 5.6 нижче.
5.6 Показники цільової точки відновлення («RPO») і цільового часу відновлення («RTO») для будь-якої Послуги, розміщеної на сервері, визначаються наступним чином: 24 години RPO та 24 години RTO; незважаючи на це, Постачальник забезпечуватиме відповідність будь-яким більш строгим показникам RPO або RTO, які Kyndryl зобов’язалася виконувати для Замовника, негайно після отримання від Kyndryl письмового повідомлення про застосування коротших інтервалів RPO або RTO (повідомлення електронною поштою означає письмове повідомлення). Оскільки це стосується всіх інших Послуг, які Постачальник надає Kyndryl, Постачальник гарантуватиме, що його плани безперервності бізнес-процесів і аварійного відновлення розроблені для виконання RPO та RTO, забезпечуючи виконання зобов’язань Постачальника перед Kyndryl згідно з Транзакційним Документом, відповідним базовим договором між сторонами та цими Положеннями, включаючи зобов’язання щодо своєчасного тестування, підтримки та обслуговування.
5.7 Постачальник мусить підтримувати заходи, спрямовані на оцінювання, тестування та застосування рекомендованих виправлень безпеки до Послуг і Результатів, а також пов’язаних із ними систем, мереж, прикладних програм і базових компонентів у межах сфери дії таких Послуг і Результатів, а також систем, мереж, прикладних програм і базових компонентів, що використовуються для Взаємодії з Технологіями Kyndryl. Після визначення того, що рекомендоване виправлення безпеки є застосовним і відповідає вимогам, Постачальник має застосувати це виправлення відповідно до документально зафіксованих рекомендацій з урахуванням рівня важливості та ризиків. Реалізація рекомендованих виправлень безпеки регламентується політикою Постачальника щодо керування змінами.
5.8 Якщо в Kyndryl є вагомі підстави вважати, що обладнання або програмне забезпечення, що надаються їй Постачальником, можуть містити елементи, які уможливлюють вторгнення, зокрема шпигунське програмне забезпечення, шкідливе програмне забезпечення або зловмисний код, Постачальник своєчасно співпрацюватиме з Kyndryl під час розслідування випадку та виправлення моментів, що викликають занепокоєння Kyndryl.
6. Постачання Послуг.
6.1 Постачальник підтримуватиме стандартні галузеві методи об’єднаної аутентифікації для будь-яких користувачів Kyndryl або облікових записів Замовника, дотримуючись Кращих Практик Індустрії аутентифікації таких користувачів Kyndryl або облікових записів Замовника (таких як, наприклад, метод багатофакторного єдиного входу з централізованим керуванням з боку Kyndryl на основі OpenID Connect або Security Assertion Markup Language).
7. Субпідрядники. Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно утримання субпідрядників, Постачальник зобов’язаний подбати про те, аби кожен субпідрядник, який надає послуги для Постачальника, запровадив засоби управління та контролю для виконання вимог і зобов’язань, які встановлюються для Постачальника згідно з цими Положеннями.
8. Фізичні Носії. Постачальник зобов’язаний надійно виключати конфіденційну інформацію з фізичних носіїв, призначених для повторного використання, перед повторним використанням, а також знищувати фізичні носії, не призначені для повторного використання, відповідно до Кращих Практик Індустрії щодо очищення носіїв інформації.
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
-
Якщо так, до такого доступу застосовуються Статті II (Технічні та організаційні заходи, Захист даних), VIII (Технічні та організаційні заходи, Загальні параметри безпеки) та X (Співпраця, перевірка та виправлення).
Приклади:
- Постачальник зберігає, передає, отримує доступ або іншим чином Обробляє дані, що не належать до категорії Персональних Даних, які Kyndryl або Замовники надають Постачальникові.
Стаття II. Технічні та організаційні заходи, Захист даних
Ця Стаття застосовується, якщо Постачальник здійснює Обробку Даних Kyndryl, інших ніж BCI Kyndryl. Постачальник зобов’язаний виконувати вимоги цієї Статті під час надання всіх Послуг і Результатів і таким чином захищати Дані Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу та незаконних форм Обробки. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та ІТ інфраструктуру, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Використання Даних
1.1 Постачальник не може додавати до Даних Kyndryl або включати разом із Даними Kyndryl будь-яку іншу інформацію або дані, зокрема будь-які Персональні Дані, без попередньої письмової згоди Kyndryl, і Постачальник не може використовувати Дані Kyndryl у будь-якій формі, зокрема у зведеній або іншій формі, для будь-яких інших цілей, окрім надання Послуг і Результатів (наприклад, Постачальнику забороняється використовувати або повторно використовувати Дані Kyndryl для оцінки ефективності або заходів удосконалення пропозицій Постачальника, для дослідження та розробки з метою створення нових пропозицій або для створення звітів стосовно пропозицій Постачальника). Якщо це прямо не дозволено в Транзакційному Документі, Постачальнику заборонено Продавати Дані Kyndryl.
1.2 Постачальник зобов’язується не включати будь-які технології для відстеження в Інтернеті в Результати або Послуги (такі технології включають HTML5, локальне сховище, теги або маркери третіх осіб і веб-маяки), якщо це прямо не дозволено в Транзакційному Документі.
2. Запити Третіх Осіб і Конфіденційність
2.1 Постачальник не розкриватиме Дані Kyndryl третім особам, окрім як після отримання попереднього письмового дозволу Kyndryl. Якщо органи державної влади, включаючи будь-які регуляторні органи, вимагають надання їм доступу до Даних Kyndryl (наприклад, якщо уряд США видає Постачальнику ордер Служби національної безпеки США на отримання Даних Kyndryl) або якщо розкриття Даних Kyndryl є обов’язковим відповідно до вимог законодавства, Постачальник зобов’язується письмово повідомити Kyndryl про таку вимогу та надати Kyndryl розумну можливість оскаржити будь-яке розкриття (якщо законодавство забороняє надавати повідомлення, Постачальник зобов’язується вжити заходів, які, на його думку, є доцільними, щоб оскаржити заборону та розкриття Даних Kyndryl у суді або із застосуванням інших засобів).
2.2 Постачальник запевняє Kyndryl, що: (а) лише ті його працівники, які мають службову необхідність у доступі до Даних Kyndryl для надання Послуг або Результатів, матимуть такий доступ, і лише в обсязі, необхідному для надання таких Послуг і Результатів; і (b) він зобов’язав своїх працівників дотримуватися зобов’язань конфіденційності, відповідно до яких такі працівники зобов’язані використовувати та розкривати Дані Kyndryl виключно в порядку, встановленому в цих Положеннях.
3. Повернення або Видалення Даних Kyndryl
3.1 Постачальник зобов’язаний, за вибором Kyndryl, видалити або повернути Kyndryl Дані Kyndryl після дострокового припинення або закінчення строку дії Транзакційного Документа або раніше на вимогу Kyndryl. Якщо Kyndryl вимагає видалити дані, то Постачальник, діючи згідно з Кращими Практиками Індустрії, має зробити дані нечитабельними, щоб їх не можна було знов зібрати або відновити, і має підтвердити для Kyndryl факт видалення. Якщо Kyndryl необхідно повернути Дані Kyndryl, Постачальник має повернути їх у встановлені Kyndryl розумні строки та згідно з розумними письмовими інструкціями Kyndryl.
Стаття VIII. Технічні та організаційні заходи, Загальні параметри безпеки
Ця Стаття застосовується, якщо Постачальник надає будь-які Послуги або Результати для Kyndryl, за винятком ситуацій, коли Постачальник надає доступ лише до BCI Kyndryl у процесі надання таких Послуг і Результатів (наприклад, Постачальник не Оброблятиме будь-які інші Дані Kyndryl і не матиме доступу до будь-яких інших Матеріалів Kyndryl або до будь-якої Корпоративної Системи), єдиними Послугами та Результатами Постачальника є надання Локального Програмного Забезпечення для Kyndryl, або Постачальник надає всі свої Послуги та Результати на основі моделі доповнення штату відповідно до Статті VII, включно з Розділом 1.7.
Постачальник зобов’язаний дотримуватися вимог цієї Статті і таким чином захищати: (a) Матеріали Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу, (b) Дані Kyndryl від незаконних форм Обробки й (c) Технології Kyndryl від незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Політики Безпеки
1.1 Постачальник зобов’язаний підтримувати та дотримуватися політик і практик у галузі ІТ-безпеки, які є невід’ємною частиною діяльності Постачальника та є обов’язковими для всього Персоналу Постачальника, відповідно до Кращих Практик Індустрії.
1.2 Постачальник зобов’язаний переглядати свої політики та практики у галузі ІТ-безпеки принаймні один раз на рік і вносити в них зміни, які Постачальник вважатиме за потрібне для забезпечення захисту Матеріалів Kyndryl.
1.3 Постачальник зобов’язаний підтримувати та дотримуватись стандартних обов’язкових вимог щодо перевірки працевлаштування всіх нових найманих працівників і поширювати такі вимоги на весь Персонал Постачальника та дочірні компанії, що перебувають під повним контролем Постачальника. Ці вимоги будуть включати перевірки кримінального минулого в обсягах, дозволених локальним законодавством, підтвердження ідентифікаційних даних та будь-які додаткові перевірки, які Постачальник вважатиме необхідними. Постачальник буде періодично повторювати перевірки та підтверджувати дотримання таких вимог, як він вважатиме необхідним.
1.4 Постачальник зобов’язаний щорічно організовувати навчання своїх працівників у галузі безпеки та приватності й вимагати від всіх таких працівників щорічно підтверджувати дотримання принципів етичної поведінки, конфіденційності та політик безпеки Постачальника, як це зазначено в кодексі етичної поведінки Постачальника або аналогічних документах. Постачальник зобов’язаний забезпечити додаткове навчання щодо політик і процесів для осіб із адміністративними правами доступу до будь-яких компонентів Послуг, Результатів або Матеріалів Kyndryl, спеціально призначене відповідно до їхніх службових обов’язків і підтримки Послуг, Результатів або Матеріалів Kyndryl, а також у разі необхідності забезпечити відповідність вимогам і сертифікацію.
1.5 Постачальник зобов’язаний спроектувати заходи з безпеки та приватності для захисту та забезпечення доступності Матеріалів Kyndryl, зокрема шляхом впровадження, підтримки та забезпечення відповідності політикам і процедурам, які вимагають проектованої безпеки та конфіденційності, захисту техніки, а також захисту операцій, для всіх Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl.
2. Інциденти Безпеки
2.1 Постачальник зобов’язаний підтримувати та дотримуватися задокументованих політик реагування на інциденти безпеки відповідно до Кращих Практик Індустрії щодо обробки інцидентів, пов’язаних із безпекою комп’ютерів.
2.2 Постачальник проводитиме розслідування випадків несанкціонованого доступу до Матеріалів Kyndryl або несанкціонованого використання Матеріалів Kyndryl, а також визначить і буде виконувати відповідний план реагування.
2.3 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.
2.4 Постачальник зобов’язаний належним чином сприяти виконанню Kyndryl зобов’язань, передбачених законодавством (зокрема зобов’язань з інформування регуляторних органів або Суб’єктів Даних) Kyndryl, афілійованих осіб Kyndryl і Замовників (а також їхніх афілійованих осіб і замовників) у зв’язку з Порушенням Безпеки.
2.5 Постачальник зобов’язаний не інформувати й не сповіщати будь-яких третіх осіб про Порушення Безпеки, окрім випадків, коли Kyndryl дасть письмовий дозвіл на це або це вимагається законодавством. Постачальник зобов’язаний письмово повідомити Kyndryl перед розповсюдженням передбачених законодавством повідомлень для третіх осіб, якщо такі повідомлення прямо чи опосередковано розкриватимуть ідентифікаційну інформацію Kyndryl.
2.6 У разі Порушення Безпеки, яке виникає внаслідок порушення Постачальником будь-якого зобов’язання за цими Положеннями:
(a) Постачальник несе відповідальність за всі понесені ним витрати, а також за фактичні витрати, понесені Kyndryl, у зв’язку з повідомленням про Порушення Безпеки відповідним регуляторним органам, іншим державним органам і галузевим органам самоврядування, засобам масової інформації (якщо цього вимагає застосовне законодавство) і Суб’єктам Даних, Замовникам та іншим особам;
(b) на запит Kyndryl, Постачальник зобов’язаний організувати і підтримувати за власні кошти кол-центр для відповідей на запитання Суб’єктів Даних щодо Порушення Безпеки та його наслідків протягом 1 року після дати, коли такі Суб’єкти Даних отримали повідомлення про Порушення Безпеки, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист. Kyndryl і Постачальник працюватимуть разом для створення сценаріїв та інших матеріалів для використання персоналом кол-центру під час обробки запитів. Крім того, повідомивши Постачальника письмово, Kyndryl може організувати та підтримувати власний кол-центр, замість зобов’язування Постачальника створювати кол-центр, і Постачальник має відшкодувати Kyndryl фактичні витрати, понесені Kyndryl для створення та підтримки такого кол-центру; і
(c) Постачальник зобов’язаний відшкодувати Kyndryl фактичні витрати, пов’язані з наданням послуг моніторингу компенсацій і відновлення компенсацій, протягом 1 року після дати повідомлення про Порушення Безпеки всіх осіб, яких стосується порушення і які зареєструвалися для отримання таких послуг, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист.
3. Фізичний Захист і Вхідний Контроль (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl).
3.1 Постачальник зобов’язаний забезпечити належний фізичний вхідний контроль, наприклад загородження, пункти входу з доступом по картках, камери спостереження та служби реєстрації відвідувачів, для захисту від несанкціонованого входу на Об’єкти.
3.2 Постачальник вимагатиме авторизації для доступу на Об’єкти та до контрольованих дільниць на Об’єктах, у тому числі будь-якого тимчасового доступу, а також обмежуватиме доступ відповідно до посади працівника й службової необхідності. Якщо Постачальник надає тимчасовий доступ, його вповноважений працівник супроводжуватиме будь-якого такого відвідувача під час перебування на Об’єкті та в будь-яких контрольованих дільницях.
3.3 Постачальник запровадить засоби контролю фізичного доступу, зокрема засоби контролю доступу на основі багатофакторної аутентифікації, які відповідають Кращим Практикам Індустрії, щоб належним чином обмежити вхід до контрольованих дільниць на Об’єктах, реєструватиме всі спроби входу та зберігатиме такі журнали щонайменше протягом одного року.
3.4 Постачальник зобов’язаний відкликати доступ на Об’єкти та на контрольовані дільниці на Об’єктах у разі (а) відсторонення з будь-яких причин уповноваженого працівника Постачальника або (b) зникнення службової необхідності в такому доступі в уповноваженого працівника Постачальника. Постачальник зобов’язаний дотримуватися офіційних задокументованих процедур відсторонення працівника, які включають швидке видалення зі списків контролю доступу та здавання пропусків доступу.
3.5 Постачальник зобов’язаний вживати запобіжних заходів для захисту фізичної інфраструктури, яка використовується для підтримки Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, від екологічних загроз, як природних, так і техногенних, наприклад підвищення температури довкілля, пожежі, повені, вологості, крадіжки та вандалізму.
4. Контроль Доступу, Втручання, Передавання та Розподілу Обов’язків
4.1 Постачальник зобов’язаний підтримувати задокументовану архітектуру мережевої безпеки, яка використовується під час роботи з Послугами, надання ним Результатів і Взаємодії з Технологіями Kyndryl. Постачальник зобов’язаний окремо перевірити таку мережеву архітектуру та запровадити заходи, спрямовані на запобігання неавторизованим мережевим з’єднанням до систем, прикладних програм і мережевих пристроїв, для забезпечення дотримання вимог безпечної сегментації, ізоляції та стандартів захисту. Постачальник не може використовувати технологію бездротового зв’язку для розміщення та функціонування будь-яких Послуг, розміщених на сервері; в інших випадках Постачальник може використовувати бездротові мережеві технології для надання Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, але Постачальник повинен використовувати шифрування та забезпечити захищені механізми автентифікації для будь-яких таких бездротових мереж.
4.2 Постачальник зобов’язаний підтримувати заходи, розроблені для логічного розподілу Матеріалів Kyndryl і запобігання розкриттю або несанкціонованому доступу до Матеріалів Kyndryl з боку неуповноважених осіб. Крім того, Постачальник забезпечить відповідну ізоляцію робочого, неробочого та іншого середовища, і якщо Матеріали Kyndryl уже знаходяться в неробочому середовищі або передаються в таке середовище (наприклад, для відтворення помилки), Постачальник гарантуватиме, що заходи безпеки та приватності в неробочому середовищі відповідають аналогічним заходам у робочому середовищі.
4.3 Постачальник шифруватиме Матеріали Kyndryl під час передачі та зберігання (окрім випадків, коли Постачальник може надати Kyndryl достатні докази технічної неможливості шифрування Матеріалів Kyndryl під час зберігання). Крім того, Постачальник шифруватиме всі фізичні носії, якщо такі є, наприклад носії з файлами резервних копій. Постачальник зобов’язаний підтримувати задокументовані процедури безпечної генерації, випуску, розповсюдження, зберігання, заміни, відкликання, відновлення, резервування, знищення, отримання та використання ключів, пов’язаних із шифруванням даних. Постачальник зобов’язаний забезпечити відповідність криптографічних методів, які використовуються для шифрування, Кращим Практикам Індустрії (таким як, наприклад, NIST SP 800-131 a).
4.4 Якщо Постачальнику буде потрібен доступ до Матеріалів Kyndryl, Постачальник зобов’язаний обмежити такий доступ до мінімального рівня, необхідного для надання та підтримки Послуг і Результатів. Постачальник зобов’язаний забезпечити, щоб такий доступ, включно з адміністративним доступом до будь-яких основних компонентів (тобто привілейований доступ), був індивідуальним, таким, що ґрунтується на ролі, та вимагати затвердження й регулярної перевірки уповноваженими особами Постачальника відповідно до принципів розподілу обов’язків. Постачальник зобов’язаний підтримувати заходи для ідентифікації та видалення зайвих і неактивних облікових записів. Постачальник зобов’язаний анулювати облікові записи з привілейованим доступом протягом двадцяти чотирьох (24) годин після відсторонення власника облікового запису або на вимогу Kyndryl або будь-якого уповноваженого працівника Постачальника, наприклад менеджера власника облікового запису.
4.5 Відповідно до Кращих Практик Індустрії, Постачальник зобов’язаний підтримувати технічні заходи, що забезпечують тайм-аути неактивних сеансів, блокування облікових записів після кількох послідовних невдалих спроб входу, надійної автентифікації на основі пароля або парольної фрази, а також заходи, що вимагають безпечного передавання та зберігання таких паролів і парольних фраз. Крім того, Постачальник застосовуватиме багатофакторну аутентифікацію для привілейованого доступу до будь-яких Матеріалів Kyndryl без використання консолі.
4.6 Постачальник зобов’язаний відстежувати застосування прав привілейованого доступу та забезпечувати заходи керування подіями та інформацією про безпеку, призначені для: (a) виявлення спроб несанкціонованого доступу та діяльності; (b) сприяння своєчасному і відповідному реагуванню на такий доступ і діяльність; і (c) забезпечення аудиту відповідності задокументованим політикам Постачальника з боку Постачальника, Kyndryl (відповідно до її прав перевірки згідно з цими Положеннями та прав на аудит, визначених в Транзакційному Документі, відповідному базовому договорі або іншому пов’язаному договорі між сторонами) та інших осіб.
4.7 Постачальник зберігатиме журнали реєстрації, відповідно до Кращих Практик Індустрії, усіх операцій доступу адміністраторів, користувачів або іншого доступу чи операцій в системах або у зв’язку з системами, що використовуються для надання Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl (а також надаватиме такі журнали на запит Kyndryl). Постачальник зобов’язаний підтримувати заходи, спрямовані на захист від несанкціонованого доступу, модифікації та випадкового або навмисного знищення таких журналів.
4.8 Постачальник забезпечить захист комп’ютерів для систем, які належать йому або якими він управляє, включаючи системи кінцевих користувачів, і які він використовує для надання Послуг або Результатів, або для Взаємодії з Технологіями Kyndryl; засоби захисту включають зокрема: брандмауери кінцевих точок, засоби шифрування всього диска, технології виявлення та протидії в кінцевих точках на основі підписів та без використання підписів стосовно зловмисного коду та найновіших стійких загроз, рішення для тимчасового блокування екрану та керування кінцевими точками, що забезпечують виконання вимог щодо конфігурації безпеки та застосування виправлень. Крім того, Постачальник запровадить технічні та операційні засоби контролю, які забезпечать можливість доступу до мереж Постачальника лише з відомих та перевірених систем кінцевих користувачів.
4.9 Згідно з Кращими Практиками Індустрії, Постачальник забезпечуватиме захист для середовищ центрів обробки даних, де зберігаються або обробляються Матеріали Kyndryl, зокрема: засоби виявлення та попередження вторгнень та протидії атакам типу «відмова в обслуговуванні» та зниження їхніх ризиків.
5. Контроль Цілісності та Доступності Послуг і Систем
5.1 Постачальник зобов’язаний (a) проводити оцінку ризиків безпеки та приватності принаймні один раз на рік; (b) проводити тестування безпеки та оцінювання вразливостей, включно з автоматичним скануванням безпеки системи та прикладних програм і неавтоматизованими процедурами етичного проникнення, перед застосуванням у робочому середовищі та щорічно після цього, що стосується Послуг і Результатів, а також щорічно у зв’язку із Взаємодією з Технологіями Kyndryl; (c) залучати кваліфіковану незалежну сторонню організацію для проведення тестування на проникнення згідно з Кращими Практиками Індустрії принаймні раз на рік, причому тестування має включати як автоматичне, так і ручне тестування; (d) забезпечувати автоматизоване керування та перевірку кожного компонента Послуг і Результатів, а також у зв’язку із Взаємодією з Технологіями Kyndryl на відповідність вимогам конфігурації безпеки; і (e) виправляти виявлені вразливості або невідповідність вимогам конфігурації безпеки з урахуванням ризиків, імовірності використання та впливу. Постачальник щоб зобов'язаний реалізувати обґрунтовані заходи, уникнути порушення Послуги під час тестування, оцінки, сканування та виправлення. На запит Kyndryl, Постачальник надасть Kyndryl письмовий звіт про останні операції тестування на проникнення, проведені Постачальником, який має містити принаймні найменування пропозицій, розглянутих під час тестування, кількість систем або прикладних програм, обраних для тестування, дати тестування, методологію тестування та загальний огляд результатів.
5.2 Постачальник буде підтримувати політики та процедури, призначені для управління ризиками, пов’язаними із застосуванням змін до Послуг або Результатів, або до Взаємодії з Технологіями Kyndryl. Перед застосуванням таких змін, включаючи зміни відповідних систем, мереж і базових компонентів, Постачальник зобов’язаний задокументувати в зареєстрованому запиті на зміну: (a) опис та причини зміни, (b) деталі реалізації та графік, (c) дані про ризики, що стосуються впливу на Послуги та Результати, замовників Послуг, або Матеріали Kyndryl, (d) очікуваний результат, (e) план відкликання та (f) процедуру затвердження уповноваженими працівниками Постачальника.
5.3 Постачальник зобов’язаний вести облік усіх ІТ-ресурсів, які використовуються під час функціонування Послуг, постачання Результатів і Взаємодії з Технологіями Kyndryl. Постачальник безперервно відстежуватиме та контролюватиме стан (у тому числі потужність) і доступність таких ІТ-ресурсів, Послуг, Результатів і Технологій Kyndryl, включаючи відповідні базові компоненти таких ресурсів, Послуг, Результатів і Технологій Kyndryl.
5.4 Постачальник розроблятиме всі системи, які він використовує в процесі розробки або функціонування Послуг і Результатів, а також під час Взаємодії з Технологіями Kyndryl, на основі попередньо визначених образів безпеки системи або рекомендацій безпеки, які відповідають Кращим Практикам Індустрії, наприклад критеріям Центру Інтернет-безпеки (CIS).
5.5 Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно безперервності бізнес-процесів, Постачальник зобов’язаний окремо оцінювати кожну Послугу та Результат і кожну ІТ-систему, що використовується для Взаємодії з Технологіями Kyndryl, щодо виконання вимог безперервності бізнес-процесів та ІТ-процесів і відновлення в аварійних ситуаціях відповідно до задокументованих рекомендацій з управління ризиками. Постачальник зобов’язаний забезпечити, щоб кожна така Послуга, Результат та ІТ-система мала, у тій мірі, в якій це підтверджує оцінка ризиків, окремо визначені, задокументовані, підтримувані та щорічно перевірювані плани забезпечення безперервності бізнес-процесів та ІТ-процесів і програми аварійного відновлення згідно з Кращими Практиками Індустрії. Постачальник зобов’язаний розробляти такі плани з метою забезпечення дотримання конкретних показників часу відновлення, визначених у розділі 5.6 нижче.
5.6 Показники цільової точки відновлення («RPO») і цільового часу відновлення («RTO») для будь-якої Послуги, розміщеної на сервері, визначаються наступним чином: 24 години RPO та 24 години RTO; незважаючи на це, Постачальник забезпечуватиме відповідність будь-яким більш строгим показникам RPO або RTO, які Kyndryl зобов’язалася виконувати для Замовника, негайно після отримання від Kyndryl письмового повідомлення про застосування коротших інтервалів RPO або RTO (повідомлення електронною поштою означає письмове повідомлення). Оскільки це стосується всіх інших Послуг, які Постачальник надає Kyndryl, Постачальник гарантуватиме, що його плани безперервності бізнес-процесів і аварійного відновлення розроблені для виконання RPO та RTO, забезпечуючи виконання зобов’язань Постачальника перед Kyndryl згідно з Транзакційним Документом, відповідним базовим договором між сторонами та цими Положеннями, включаючи зобов’язання щодо своєчасного тестування, підтримки та обслуговування.
5.7 Постачальник мусить підтримувати заходи, спрямовані на оцінювання, тестування та застосування рекомендованих виправлень безпеки до Послуг і Результатів, а також пов’язаних із ними систем, мереж, прикладних програм і базових компонентів у межах сфери дії таких Послуг і Результатів, а також систем, мереж, прикладних програм і базових компонентів, що використовуються для Взаємодії з Технологіями Kyndryl. Після визначення того, що рекомендоване виправлення безпеки є застосовним і відповідає вимогам, Постачальник має застосувати це виправлення відповідно до документально зафіксованих рекомендацій з урахуванням рівня важливості та ризиків. Реалізація рекомендованих виправлень безпеки регламентується політикою Постачальника щодо керування змінами.
5.8 Якщо в Kyndryl є вагомі підстави вважати, що обладнання або програмне забезпечення, що надаються їй Постачальником, можуть містити елементи, які уможливлюють вторгнення, зокрема шпигунське програмне забезпечення, шкідливе програмне забезпечення або зловмисний код, Постачальник своєчасно співпрацюватиме з Kyndryl під час розслідування випадку та виправлення моментів, що викликають занепокоєння Kyndryl.
6. Постачання Послуг.
6.1 Постачальник підтримуватиме стандартні галузеві методи об’єднаної аутентифікації для будь-яких користувачів Kyndryl або облікових записів Замовника, дотримуючись Кращих Практик Індустрії аутентифікації таких користувачів Kyndryl або облікових записів Замовника (таких як, наприклад, метод багатофакторного єдиного входу з централізованим керуванням з боку Kyndryl на основі OpenID Connect або Security Assertion Markup Language).
7. Субпідрядники. Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно утримання субпідрядників, Постачальник зобов’язаний подбати про те, аби кожен субпідрядник, який надає послуги для Постачальника, запровадив засоби управління та контролю для виконання вимог і зобов’язань, які встановлюються для Постачальника згідно з цими Положеннями.
8. Фізичні Носії. Постачальник зобов’язаний надійно виключати конфіденційну інформацію з фізичних носіїв, призначених для повторного використання, перед повторним використанням, а також знищувати фізичні носії, не призначені для повторного використання, відповідно до Кращих Практик Індустрії щодо очищення носіїв інформації.
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
-
Якщо так, до такого доступу застосовуються Статті IV (Технічні та організаційні заходи, Захист коду), V (Безпечна розробка), VIII (Технічні та організаційні заходи, Загальні параметри безпеки) та X (Співпраця, перевірка та виправлення).
Приклади:
- Постачальник бере на себе обов’язки з розробки продукту Kyndryl, та Kyndryl надає доступ Постачальнику до Вихідного Коду для такої розробки.
- Постачальник розробляє Вихідний Код, який належатиме Kyndryl.
Стаття IV. Технічні та організаційні заходи, Захист Коду
Ця Стаття застосовується, якщо Постачальник має доступ до Вихідного Коду Kyndryl. Постачальник зобов’язаний дотримуватись вимог цієї Статті й таким чином захищати Вихідний Код Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу та незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Вимоги щодо Безпеки
Нижченаведені терміни вживаються в такому значенні:
Заборонена країна — будь-яка країна: (a) яку уряд США визнав іноземним противником відповідно до Указу Президента США «Про гарантування безпеки постачань інформаційно-комунікаційних технологій і послуг» від 15 травня 2019 року, (b) яку внесено в список відповідно до розділу 1654 Закону США про бюджетні асигнування на національну оборону 2019 року або (c) яку визнано «Забороненою країною» в Транзакційному Документі.
1.1 Постачальник зобов’язується не розповсюджувати та не депонувати будь-який Вихідний Код Kyndryl на користь будь-якої третьої особи.
1.2 Постачальник зобов’язується не допускати розміщення Вихідного Коду Kyndryl на серверах, що знаходяться в Забороненій країні. Постачальник зобов’язується не допускати, щоб будь-які особи, включаючи його Персонал, які знаходяться або тимчасово перебувають у Забороненій країні (протягом усього часу свого перебування), з будь-якої причини, отримували доступ або використовували будь-який Вихідний Код Kyndryl, хоч в якій країні або регіоні світу такий Вихідний Код знаходиться, і Постачальник зобов’язується не допускати здійснення будь-яких розробок, тестування чи інших послуг у Забороненій країні, що потребує такого доступу або використання.
1.3 Постачальник зобов’язується не розміщувати та не розповсюджувати Вихідний Код Kyndryl у будь-якій юрисдикції, де законодавство або тлумачення законодавства вимагає розкриття Вихідного Коду будь-якій третій особі. Якщо в юрисдикції, де знаходиться Вихідний Код Kyndryl, змінюється законодавство або тлумачення законодавства, що може призвести до того, що Постачальник буде зобов’язаний розкрити такий Вихідний Код третій особі, Постачальник повинен негайно знищити або негайно вивести такий Вихідний Код Kyndryl із цієї юрисдикції, і не буде розміщувати в ній будь-який додатковий Вихідний Код Kyndryl, допоки там діятиме таке законодавство або тлумачення законодавства.
1.4 Постачальник не буде, прямо чи опосередковано, вживати жодних дій, включаючи укладення будь-якої угоди, внаслідок якої Постачальник, Kyndryl або будь-яка третя особа набуде зобов’язання розкривати інформацію згідно з розділами 1654 або 1655 Закону США про бюджетні асигнування на національну оборону від 2019 року. Для уникнення сумнівів, Постачальнику за жодних обставин не дозволяється розкривати Вихідний Код Kyndryl будь-якій третій особі без попередньої письмової згоди Kyndryl, крім випадків, коли це прямо дозволено в Транзакційному Документі або пов’язаному базовому договорі між сторонами.
1.5 Якщо Kyndryl повідомить Постачальника або якщо третя особа повідомить будь-яку зі сторін про те, що: (a) Постачальник дозволив перенести Вихідний Код Kyndryl у Заборонену країну або будь-яку юрисдикцію, що підпадає під дію розділу 1.3 вище, (b) Постачальник іншим чином випустив Вихідний Код Kyndryl, отримав доступ до нього або використав його способом, не дозволеним Транзакційним Документом або пов’язаним базовим або іншим договором між сторонами, або (c) Постачальник порушив розділ 1.4 вище, тоді без обмеження прав Kyndryl вжити заходів для усунення такого порушення за законодавством, або за правом справедливості, або згідно з Транзакційним Документом, або пов’язаним базовим або іншим договором між сторонами: (i) якщо таке повідомлення надійде до Постачальника, Постачальник негайно передасть це повідомлення Kyndryl; і (ii) Постачальник, відповідно до вмотивованих розпоряджень Kyndryl, розслідує та усуне порушення в строки, обґрунтовано встановлені Kyndryl (після консультації з Постачальником).
1.6 Якщо Kyndryl обґрунтовано вважатиме, що зміни в політиці, процедурах, засобах контролю або практиках Постачальника щодо доступу до Вихідного Коду можуть бути необхідними для усунення ризиків кібербезпеки, крадіжки інтелектуальної власності, чи подібних або пов’язаних із ними ризиків (включаючи ризик того, що без таких змін Kyndryl може бути обмежена в питаннях продажу певним Замовникам, або на певних ринках або іншим чином не зможе задовольнити вимоги Замовника щодо вимог безпеки або постачання), тоді Kyndryl може зв’язатися з Постачальником і обговорити дії, необхідні для усунення таких ризиків, включаючи зміни до таких політик, процедур, засобів контролю чи практик. За запитом Kyndryl, Постачальник співпрацюватиме з Kyndryl, щоб спільно оцінити, чи потрібні зміни, і запровадити такі взаємоузгоджені зміни.
Стаття V. Безпечна Розробка
Ця Стаття застосовується, якщо Постачальник надаватиме свій Вихідний Код або Вихідний Код сторонніх виробників або Локальне Програмне забезпечення для Kyndryl, або якщо будь-які Результати чи Послуги Постачальника надаватимуться Замовнику Kyndryl у складі продукту або послуги Kyndryl.
1. Належний Рівень Безпеки
1.1 Постачальник підключиться до внутрішніх процесів Kyndryl, за допомогою яких оцінюється належний рівень безпеки продуктів і послуг Kyndryl, які залежать від будь-яких Результатів Постачальника, в тому числі шляхом своєчасного та повного реагування на запити про отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
2. Безпечна Розробка
2.1 Цей Розділ 2 застосовується лише тоді, коли Постачальник надає Локальне Програмне Забезпечення для Kyndryl.
2.2 Постачальник запровадив і підтримуватиме протягом усього строку дії Транзакційного Документа, відповідно до Кращих Практик Індустрії, мережу, платформу, систему, прикладну програму, пристрій, фізичну інфраструктуру, систему реагуванням на інциденти та Персонал, які є необхідними для захисту: (a) систем і середовищ розробки, компонування, тестування та експлуатації, які Постачальник або будь-яка третя особа, залучена Постачальником, експлуатує, контролює, використовує або іншим чином застосовує у зв’язку з Результатами, і (b) всього вихідного коду Результатів від втрати, незаконних форм обробки та несанкціонованого доступу, розкриття або зміни.
3. Сертифікат відповідності ISO 20243
3.1 Цей Розділ 3 виявляється лише тоді, коли будь-який із Результатів або Послуг Постачальника надаватимуться Замовнику Kyndryl у складі продукту або послуги Kyndryl.
3.2 Постачальник отримає сертифікат відповідності ISO 20243 «Інформаційні технології. Відкритий стандарт на довірених постачальників технологій. Мінімізація ризику залучення у виробничий процес зловмисно зіпсованих і контрафактних компонентів» (Information technology, Open Trusted Technology Provider, TM Standard (O-TTPS), Mitigating maliciously tainted and counterfeit products) (сертифікація на основі самостійної оцінки або на основі оцінки авторитетного незалежного аудитора). В якості альтернативи, на письмовий запит Постачальника та після отримання письмового схвалення Kyndryl, Постачальник отримає сертифікат про відповідність вимогам еквівалентного в істотній частині галузевого стандарту, який визначає практики безпечної розробки та постачання (сертифікація на основі самостійної оцінки або на основі оцінки авторитетного незалежного аудитора, за умови та після схвалення Kyndryl).
3.3 Постачальник отримає сертифікат відповідності ISO 20243 або сертифікат еквівалентного йому в істотній частині галузевого стандарту (за умови письмового схвалення Kyndryl) протягом 180 Днів після дати набуття чинності Транзакційним Документом і далі поновлюватиме сертифікат кожні 12 місяців після цього (відповідно до чинної на той момент найпізнішої версії застосовного стандарту, тобто ISO 20243 або, за умови письмового схвалення Kyndryl, еквівалентного йому в істотній частині галузевого стандарту, який визначає практики безпечної розробки та постачання).
3.4 Постачальник, за запитом, негайно надає Kyndryl копію сертифікатів, які Постачальник зобов’язаний отримати відповідно до розділів 2.1 і 2.2 вище.
4. Вразливості Безпеки
Нижченаведені терміни вживаються в такому значенні:
Виправлення помилок — виправлення несправностей і змін, які виправляють помилки або недоліки, включаючи Вразливість Безпеки, в Результатах.
Зменшення Ризику — всі відомі засоби, призначені для зменшення або уникнення ризиків, пов’язаних із Вразливістю Безпеки.
Вразливість Безпеки — стан у проектуванні, кодуванні, розробці, реалізації, тестуванні, експлуатації, підтримці, обслуговуванні або керуванні Результатом, який дозволяє будь-кому провести атаку, що може призвести до несанкціонованого доступу або використання, включаючи (a) здійснення доступу, отримання контролю або порушення роботи системи, (b) здійснення доступу, видалення, зміну або вилучення даних або (c) змін ідентифікаційних даних, авторизацій або прав доступу користувачів або адміністраторів. Вразливість Безпеки може існувати незалежно від того, чи призначено їй ID CVE (Загальновідомі вразливості інформаційної безпеки) або будь-який рейтинг чи офіційний класифікатор.
4.1 Постачальник заявляє й гарантує, що він буде: (a) використовувати Кращі Практики Індустрії для виявлення Вразливостей Безпеки, зокрема шляхом безперервного статичного та динамічного сканування безпеки вихідного коду прикладних програм, сканування безпеки відкритого коду та сканування вразливостей безпеки, та (b) виконувати вимоги цих Положень із метою попередження, виявлення та виправлення Вразливостей Безпеки в Результатах та в усіх прикладних програмах, платформах та інфраструктурі ІТ, які Постачальник використовує для створення та надання Послуг і Результатів.
4.2 Якщо Постачальнику стане відомо про Вразливість Безпеки в Результатах або будь-якій такій прикладній програмі, платформі або інфраструктурі ІТ, Постачальник надасть Kyndryl Виправлення Помилок і Зменшення Ризику для всіх версій і випусків Результатів відповідно до наступних Рівнів Серйозності та строків:
Рівень Серйозності*
Аварійна Вразливість Безпеки — Вразливість Безпеки, яка становить серйозну та, ймовірно, глобальну загрозу. Kyndryl визначає Аварійну Вразливість Безпеки на власний розсуд, незалежно від Базової Оцінки CVSS.
Критична — Вразливість Безпеки, яка має Базову Оцінку CVSS від 9 до 10,0
Висока — Вразливість Безпеки, яка має Базову Оцінку CVSS від 7,0 до 8,9
Помірна — Вразливість Безпеки, яка має Базову Оцінку CVSS від 4,0 до 6,9
Низька — Вразливість Безпеки, яка має Базову Оцінку CVSS від 0,0 до 3,9
Строки
Аварійна
Критична
Висока
Помірна
Низька
До 4 Днів, як визначено
Головним управлінням інформаційної
безпеки Kyndryl30 Днів
30 Днів
90 Днів
Відповідно до Кращих Практик Індустрії
* У всіх випадках, коли для Вразливості Безпеки ще не призначено Базову Оцінку CVSS, Постачальник застосовуватиме Рівень Серйозності, який відповідає характеру та обставинам такої вразливості.
4.3 Для Вразливості Безпеки, яка стала загальновідомою й для якої Постачальник ще не надав Kyndryl Виправлення Помилки або Зменшення Ризику, Постачальник запровадить будь-які технічно можливі додаткові заходи безпеки, які можуть зменшити ризики цієї вразливості.
4.4 Якщо Kyndryl не задовольнить відповідь Постачальника на будь-яку Вразливість Безпеки в Результатах або будь-якій прикладній програмі, платформі або інфраструктурі, вказаній вище, тоді без обмеження будь-яких інших прав Kyndryl Постачальник негайно організує для Kyndryl обговорення зауважень із Віце-президентом Постачальника або особою, еквівалентною за посадою, яка відповідає за здійснення Виправлення Помилки.
4.5 Приклади Вразливостей Безпеки включають код третіх осіб або відкритий код, що не обслуговується (EOS), для яких не випускатимуться виправлення безпеки.
Стаття VIII. Технічні та організаційні заходи, Загальні параметри безпеки
Ця Стаття застосовується, якщо Постачальник надає будь-які Послуги або Результати для Kyndryl, за винятком ситуацій, коли Постачальник надає доступ лише до BCI Kyndryl у процесі надання таких Послуг і Результатів (наприклад, Постачальник не Оброблятиме будь-які інші Дані Kyndryl і не матиме доступу до будь-яких інших Матеріалів Kyndryl або до будь-якої Корпоративної Системи), єдиними Послугами та Результатами Постачальника є надання Локального Програмного Забезпечення для Kyndryl, або Постачальник надає всі свої Послуги та Результати на основі моделі доповнення штату відповідно до Статті VII, включно з Розділом 1.7.
Постачальник зобов’язаний дотримуватися вимог цієї Статті і таким чином захищати: (a) Матеріали Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу, (b) Дані Kyndryl від незаконних форм Обробки й (c) Технології Kyndryl від незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Політики Безпеки
1.1 Постачальник зобов’язаний підтримувати та дотримуватися політик і практик у галузі ІТ-безпеки, які є невід’ємною частиною діяльності Постачальника та є обов’язковими для всього Персоналу Постачальника, відповідно до Кращих Практик Індустрії.
1.2 Постачальник зобов’язаний переглядати свої політики та практики у галузі ІТ-безпеки принаймні один раз на рік і вносити в них зміни, які Постачальник вважатиме за потрібне для забезпечення захисту Матеріалів Kyndryl.
1.3 Постачальник зобов’язаний підтримувати та дотримуватись стандартних обов’язкових вимог щодо перевірки працевлаштування всіх нових найманих працівників і поширювати такі вимоги на весь Персонал Постачальника та дочірні компанії, що перебувають під повним контролем Постачальника. Ці вимоги будуть включати перевірки кримінального минулого в обсягах, дозволених локальним законодавством, підтвердження ідентифікаційних даних та будь-які додаткові перевірки, які Постачальник вважатиме необхідними. Постачальник буде періодично повторювати перевірки та підтверджувати дотримання таких вимог, як він вважатиме необхідним.
1.4 Постачальник зобов’язаний щорічно організовувати навчання своїх працівників у галузі безпеки та приватності й вимагати від всіх таких працівників щорічно підтверджувати дотримання принципів етичної поведінки, конфіденційності та політик безпеки Постачальника, як це зазначено в кодексі етичної поведінки Постачальника або аналогічних документах. Постачальник зобов’язаний забезпечити додаткове навчання щодо політик і процесів для осіб із адміністративними правами доступу до будь-яких компонентів Послуг, Результатів або Матеріалів Kyndryl, спеціально призначене відповідно до їхніх службових обов’язків і підтримки Послуг, Результатів або Матеріалів Kyndryl, а також у разі необхідності забезпечити відповідність вимогам і сертифікацію.
1.5 Постачальник зобов’язаний спроектувати заходи з безпеки та приватності для захисту та забезпечення доступності Матеріалів Kyndryl, зокрема шляхом впровадження, підтримки та забезпечення відповідності політикам і процедурам, які вимагають проектованої безпеки та конфіденційності, захисту техніки, а також захисту операцій, для всіх Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl.
2. Інциденти Безпеки
2.1 Постачальник зобов’язаний підтримувати та дотримуватися задокументованих політик реагування на інциденти безпеки відповідно до Кращих Практик Індустрії щодо обробки інцидентів, пов’язаних із безпекою комп’ютерів.
2.2 Постачальник проводитиме розслідування випадків несанкціонованого доступу до Матеріалів Kyndryl або несанкціонованого використання Матеріалів Kyndryl, а також визначить і буде виконувати відповідний план реагування.
2.3 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.
2.4 Постачальник зобов’язаний належним чином сприяти виконанню Kyndryl зобов’язань, передбачених законодавством (зокрема зобов’язань з інформування регуляторних органів або Суб’єктів Даних) Kyndryl, афілійованих осіб Kyndryl і Замовників (а також їхніх афілійованих осіб і замовників) у зв’язку з Порушенням Безпеки.
2.5 Постачальник зобов’язаний не інформувати й не сповіщати будь-яких третіх осіб про Порушення Безпеки, окрім випадків, коли Kyndryl дасть письмовий дозвіл на це або це вимагається законодавством. Постачальник зобов’язаний письмово повідомити Kyndryl перед розповсюдженням передбачених законодавством повідомлень для третіх осіб, якщо такі повідомлення прямо чи опосередковано розкриватимуть ідентифікаційну інформацію Kyndryl.
2.6 У разі Порушення Безпеки, яке виникає внаслідок порушення Постачальником будь-якого зобов’язання за цими Положеннями:
(a) Постачальник несе відповідальність за всі понесені ним витрати, а також за фактичні витрати, понесені Kyndryl, у зв’язку з повідомленням про Порушення Безпеки відповідним регуляторним органам, іншим державним органам і галузевим органам самоврядування, засобам масової інформації (якщо цього вимагає застосовне законодавство) і Суб’єктам Даних, Замовникам та іншим особам;
(b) на запит Kyndryl, Постачальник зобов’язаний організувати і підтримувати за власні кошти кол-центр для відповідей на запитання Суб’єктів Даних щодо Порушення Безпеки та його наслідків протягом 1 року після дати, коли такі Суб’єкти Даних отримали повідомлення про Порушення Безпеки, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист. Kyndryl і Постачальник працюватимуть разом для створення сценаріїв та інших матеріалів для використання персоналом кол-центру під час обробки запитів. Крім того, повідомивши Постачальника письмово, Kyndryl може організувати та підтримувати власний кол-центр, замість зобов’язування Постачальника створювати кол-центр, і Постачальник має відшкодувати Kyndryl фактичні витрати, понесені Kyndryl для створення та підтримки такого кол-центру; і
(c) Постачальник зобов’язаний відшкодувати Kyndryl фактичні витрати, пов’язані з наданням послуг моніторингу компенсацій і відновлення компенсацій, протягом 1 року після дати повідомлення про Порушення Безпеки всіх осіб, яких стосується порушення і які зареєструвалися для отримання таких послуг, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист.
3. Фізичний Захист і Вхідний Контроль (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl).
3.1 Постачальник зобов’язаний забезпечити належний фізичний вхідний контроль, наприклад загородження, пункти входу з доступом по картках, камери спостереження та служби реєстрації відвідувачів, для захисту від несанкціонованого входу на Об’єкти.
3.2 Постачальник вимагатиме авторизації для доступу на Об’єкти та до контрольованих дільниць на Об’єктах, у тому числі будь-якого тимчасового доступу, а також обмежуватиме доступ відповідно до посади працівника й службової необхідності. Якщо Постачальник надає тимчасовий доступ, його вповноважений працівник супроводжуватиме будь-якого такого відвідувача під час перебування на Об’єкті та в будь-яких контрольованих дільницях.
3.3 Постачальник запровадить засоби контролю фізичного доступу, зокрема засоби контролю доступу на основі багатофакторної аутентифікації, які відповідають Кращим Практикам Індустрії, щоб належним чином обмежити вхід до контрольованих дільниць на Об’єктах, реєструватиме всі спроби входу та зберігатиме такі журнали щонайменше протягом одного року.
3.4 Постачальник зобов’язаний відкликати доступ на Об’єкти та на контрольовані дільниці на Об’єктах у разі (а) відсторонення з будь-яких причин уповноваженого працівника Постачальника або (b) зникнення службової необхідності в такому доступі в уповноваженого працівника Постачальника. Постачальник зобов’язаний дотримуватися офіційних задокументованих процедур відсторонення працівника, які включають швидке видалення зі списків контролю доступу та здавання пропусків доступу.
3.5 Постачальник зобов’язаний вживати запобіжних заходів для захисту фізичної інфраструктури, яка використовується для підтримки Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, від екологічних загроз, як природних, так і техногенних, наприклад підвищення температури довкілля, пожежі, повені, вологості, крадіжки та вандалізму.
4. Контроль Доступу, Втручання, Передавання та Розподілу Обов’язків
4.1 Постачальник зобов’язаний підтримувати задокументовану архітектуру мережевої безпеки, яка використовується під час роботи з Послугами, надання ним Результатів і Взаємодії з Технологіями Kyndryl. Постачальник зобов’язаний окремо перевірити таку мережеву архітектуру та запровадити заходи, спрямовані на запобігання неавторизованим мережевим з’єднанням до систем, прикладних програм і мережевих пристроїв, для забезпечення дотримання вимог безпечної сегментації, ізоляції та стандартів захисту. Постачальник не може використовувати технологію бездротового зв’язку для розміщення та функціонування будь-яких Послуг, розміщених на сервері; в інших випадках Постачальник може використовувати бездротові мережеві технології для надання Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, але Постачальник повинен використовувати шифрування та забезпечити захищені механізми автентифікації для будь-яких таких бездротових мереж.
4.2 Постачальник зобов’язаний підтримувати заходи, розроблені для логічного розподілу Матеріалів Kyndryl і запобігання розкриттю або несанкціонованому доступу до Матеріалів Kyndryl з боку неуповноважених осіб. Крім того, Постачальник забезпечить відповідну ізоляцію робочого, неробочого та іншого середовища, і якщо Матеріали Kyndryl уже знаходяться в неробочому середовищі або передаються в таке середовище (наприклад, для відтворення помилки), Постачальник гарантуватиме, що заходи безпеки та приватності в неробочому середовищі відповідають аналогічним заходам у робочому середовищі.
4.3 Постачальник шифруватиме Матеріали Kyndryl під час передачі та зберігання (окрім випадків, коли Постачальник може надати Kyndryl достатні докази технічної неможливості шифрування Матеріалів Kyndryl під час зберігання). Крім того, Постачальник шифруватиме всі фізичні носії, якщо такі є, наприклад носії з файлами резервних копій. Постачальник зобов’язаний підтримувати задокументовані процедури безпечної генерації, випуску, розповсюдження, зберігання, заміни, відкликання, відновлення, резервування, знищення, отримання та використання ключів, пов’язаних із шифруванням даних. Постачальник зобов’язаний забезпечити відповідність криптографічних методів, які використовуються для шифрування, Кращим Практикам Індустрії (таким як, наприклад, NIST SP 800-131 a).
4.4 Якщо Постачальнику буде потрібен доступ до Матеріалів Kyndryl, Постачальник зобов’язаний обмежити такий доступ до мінімального рівня, необхідного для надання та підтримки Послуг і Результатів. Постачальник зобов’язаний забезпечити, щоб такий доступ, включно з адміністративним доступом до будь-яких основних компонентів (тобто привілейований доступ), був індивідуальним, таким, що ґрунтується на ролі, та вимагати затвердження й регулярної перевірки уповноваженими особами Постачальника відповідно до принципів розподілу обов’язків. Постачальник зобов’язаний підтримувати заходи для ідентифікації та видалення зайвих і неактивних облікових записів. Постачальник зобов’язаний анулювати облікові записи з привілейованим доступом протягом двадцяти чотирьох (24) годин після відсторонення власника облікового запису або на вимогу Kyndryl або будь-якого уповноваженого працівника Постачальника, наприклад менеджера власника облікового запису.
4.5 Відповідно до Кращих Практик Індустрії, Постачальник зобов’язаний підтримувати технічні заходи, що забезпечують тайм-аути неактивних сеансів, блокування облікових записів після кількох послідовних невдалих спроб входу, надійної автентифікації на основі пароля або парольної фрази, а також заходи, що вимагають безпечного передавання та зберігання таких паролів і парольних фраз. Крім того, Постачальник застосовуватиме багатофакторну аутентифікацію для привілейованого доступу до будь-яких Матеріалів Kyndryl без використання консолі.
4.6 Постачальник зобов’язаний відстежувати застосування прав привілейованого доступу та забезпечувати заходи керування подіями та інформацією про безпеку, призначені для: (a) виявлення спроб несанкціонованого доступу та діяльності; (b) сприяння своєчасному і відповідному реагуванню на такий доступ і діяльність; і (c) забезпечення аудиту відповідності задокументованим політикам Постачальника з боку Постачальника, Kyndryl (відповідно до її прав перевірки згідно з цими Положеннями та прав на аудит, визначених в Транзакційному Документі, відповідному базовому договорі або іншому пов’язаному договорі між сторонами) та інших осіб.
4.7 Постачальник зберігатиме журнали реєстрації, відповідно до Кращих Практик Індустрії, усіх операцій доступу адміністраторів, користувачів або іншого доступу чи операцій в системах або у зв’язку з системами, що використовуються для надання Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl (а також надаватиме такі журнали на запит Kyndryl). Постачальник зобов’язаний підтримувати заходи, спрямовані на захист від несанкціонованого доступу, модифікації та випадкового або навмисного знищення таких журналів.
4.8 Постачальник забезпечить захист комп’ютерів для систем, які належать йому або якими він управляє, включаючи системи кінцевих користувачів, і які він використовує для надання Послуг або Результатів, або для Взаємодії з Технологіями Kyndryl; засоби захисту включають зокрема: брандмауери кінцевих точок, засоби шифрування всього диска, технології виявлення та протидії в кінцевих точках на основі підписів та без використання підписів стосовно зловмисного коду та найновіших стійких загроз, рішення для тимчасового блокування екрану та керування кінцевими точками, що забезпечують виконання вимог щодо конфігурації безпеки та застосування виправлень. Крім того, Постачальник запровадить технічні та операційні засоби контролю, які забезпечать можливість доступу до мереж Постачальника лише з відомих та перевірених систем кінцевих користувачів.
4.9 Згідно з Кращими Практиками Індустрії, Постачальник забезпечуватиме захист для середовищ центрів обробки даних, де зберігаються або обробляються Матеріали Kyndryl, зокрема: засоби виявлення та попередження вторгнень та протидії атакам типу «відмова в обслуговуванні» та зниження їхніх ризиків.
5. Контроль Цілісності та Доступності Послуг і Систем
5.1 Постачальник зобов’язаний (a) проводити оцінку ризиків безпеки та приватності принаймні один раз на рік; (b) проводити тестування безпеки та оцінювання вразливостей, включно з автоматичним скануванням безпеки системи та прикладних програм і неавтоматизованими процедурами етичного проникнення, перед застосуванням у робочому середовищі та щорічно після цього, що стосується Послуг і Результатів, а також щорічно у зв’язку із Взаємодією з Технологіями Kyndryl; (c) залучати кваліфіковану незалежну сторонню організацію для проведення тестування на проникнення згідно з Кращими Практиками Індустрії принаймні раз на рік, причому тестування має включати як автоматичне, так і ручне тестування; (d) забезпечувати автоматизоване керування та перевірку кожного компонента Послуг і Результатів, а також у зв’язку із Взаємодією з Технологіями Kyndryl на відповідність вимогам конфігурації безпеки; і (e) виправляти виявлені вразливості або невідповідність вимогам конфігурації безпеки з урахуванням ризиків, імовірності використання та впливу. Постачальник щоб зобов'язаний реалізувати обґрунтовані заходи, уникнути порушення Послуги під час тестування, оцінки, сканування та виправлення. На запит Kyndryl, Постачальник надасть Kyndryl письмовий звіт про останні операції тестування на проникнення, проведені Постачальником, який має містити принаймні найменування пропозицій, розглянутих під час тестування, кількість систем або прикладних програм, обраних для тестування, дати тестування, методологію тестування та загальний огляд результатів.
5.2 Постачальник буде підтримувати політики та процедури, призначені для управління ризиками, пов’язаними із застосуванням змін до Послуг або Результатів, або до Взаємодії з Технологіями Kyndryl. Перед застосуванням таких змін, включаючи зміни відповідних систем, мереж і базових компонентів, Постачальник зобов’язаний задокументувати в зареєстрованому запиті на зміну: (a) опис та причини зміни, (b) деталі реалізації та графік, (c) дані про ризики, що стосуються впливу на Послуги та Результати, замовників Послуг, або Матеріали Kyndryl, (d) очікуваний результат, (e) план відкликання та (f) процедуру затвердження уповноваженими працівниками Постачальника.
5.3 Постачальник зобов’язаний вести облік усіх ІТ-ресурсів, які використовуються під час функціонування Послуг, постачання Результатів і Взаємодії з Технологіями Kyndryl. Постачальник безперервно відстежуватиме та контролюватиме стан (у тому числі потужність) і доступність таких ІТ-ресурсів, Послуг, Результатів і Технологій Kyndryl, включаючи відповідні базові компоненти таких ресурсів, Послуг, Результатів і Технологій Kyndryl.
5.4 Постачальник розроблятиме всі системи, які він використовує в процесі розробки або функціонування Послуг і Результатів, а також під час Взаємодії з Технологіями Kyndryl, на основі попередньо визначених образів безпеки системи або рекомендацій безпеки, які відповідають Кращим Практикам Індустрії, наприклад критеріям Центру Інтернет-безпеки (CIS).
5.5 Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно безперервності бізнес-процесів, Постачальник зобов’язаний окремо оцінювати кожну Послугу та Результат і кожну ІТ-систему, що використовується для Взаємодії з Технологіями Kyndryl, щодо виконання вимог безперервності бізнес-процесів та ІТ-процесів і відновлення в аварійних ситуаціях відповідно до задокументованих рекомендацій з управління ризиками. Постачальник зобов’язаний забезпечити, щоб кожна така Послуга, Результат та ІТ-система мала, у тій мірі, в якій це підтверджує оцінка ризиків, окремо визначені, задокументовані, підтримувані та щорічно перевірювані плани забезпечення безперервності бізнес-процесів та ІТ-процесів і програми аварійного відновлення згідно з Кращими Практиками Індустрії. Постачальник зобов’язаний розробляти такі плани з метою забезпечення дотримання конкретних показників часу відновлення, визначених у розділі 5.6 нижче.
5.6 Показники цільової точки відновлення («RPO») і цільового часу відновлення («RTO») для будь-якої Послуги, розміщеної на сервері, визначаються наступним чином: 24 години RPO та 24 години RTO; незважаючи на це, Постачальник забезпечуватиме відповідність будь-яким більш строгим показникам RPO або RTO, які Kyndryl зобов’язалася виконувати для Замовника, негайно після отримання від Kyndryl письмового повідомлення про застосування коротших інтервалів RPO або RTO (повідомлення електронною поштою означає письмове повідомлення). Оскільки це стосується всіх інших Послуг, які Постачальник надає Kyndryl, Постачальник гарантуватиме, що його плани безперервності бізнес-процесів і аварійного відновлення розроблені для виконання RPO та RTO, забезпечуючи виконання зобов’язань Постачальника перед Kyndryl згідно з Транзакційним Документом, відповідним базовим договором між сторонами та цими Положеннями, включаючи зобов’язання щодо своєчасного тестування, підтримки та обслуговування.
5.7 Постачальник мусить підтримувати заходи, спрямовані на оцінювання, тестування та застосування рекомендованих виправлень безпеки до Послуг і Результатів, а також пов’язаних із ними систем, мереж, прикладних програм і базових компонентів у межах сфери дії таких Послуг і Результатів, а також систем, мереж, прикладних програм і базових компонентів, що використовуються для Взаємодії з Технологіями Kyndryl. Після визначення того, що рекомендоване виправлення безпеки є застосовним і відповідає вимогам, Постачальник має застосувати це виправлення відповідно до документально зафіксованих рекомендацій з урахуванням рівня важливості та ризиків. Реалізація рекомендованих виправлень безпеки регламентується політикою Постачальника щодо керування змінами.
5.8 Якщо в Kyndryl є вагомі підстави вважати, що обладнання або програмне забезпечення, що надаються їй Постачальником, можуть містити елементи, які уможливлюють вторгнення, зокрема шпигунське програмне забезпечення, шкідливе програмне забезпечення або зловмисний код, Постачальник своєчасно співпрацюватиме з Kyndryl під час розслідування випадку та виправлення моментів, що викликають занепокоєння Kyndryl.
6. Постачання Послуг.
6.1 Постачальник підтримуватиме стандартні галузеві методи об’єднаної аутентифікації для будь-яких користувачів Kyndryl або облікових записів Замовника, дотримуючись Кращих Практик Індустрії аутентифікації таких користувачів Kyndryl або облікових записів Замовника (таких як, наприклад, метод багатофакторного єдиного входу з централізованим керуванням з боку Kyndryl на основі OpenID Connect або Security Assertion Markup Language).
7. Субпідрядники. Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно утримання субпідрядників, Постачальник зобов’язаний подбати про те, аби кожен субпідрядник, який надає послуги для Постачальника, запровадив засоби управління та контролю для виконання вимог і зобов’язань, які встановлюються для Постачальника згідно з цими Положеннями.
8. Фізичні Носії. Постачальник зобов’язаний надійно виключати конфіденційну інформацію з фізичних носіїв, призначених для повторного використання, перед повторним використанням, а також знищувати фізичні носії, не призначені для повторного використання, відповідно до Кращих Практик Індустрії щодо очищення носіїв інформації.
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
-
Якщо так, то у випадках, коли Постачальник надає свій Вихідний Код або Вихідний Код сторонніх виробників для Kyndryl або будь-які Результати чи Послуги Постачальника надаватимуться Замовнику Kyndryl у складі продукту або послуги Kyndryl, застосовуються Статті V (Безпечна розробка), VIII (Технічні та організаційні заходи, Загальні параметри безпеки) та X (Співпраця, перевірка та виправлення).
Якщо Постачальник надає лише Локальне Програмне Забезпечення для Kyndryl, тоді застосовуватимуться Статті V (Безпечна розробка) та X (Співпраця, перевірка та виправлення).
Приклади:
- Постачальник розробляє Вихідний Код, який належатиме Постачальникові, для продукту, який випускатиме на ринок і продаватиме Kyndryl.
- Постачальник надає ліцензію на програмне забезпечення для Kyndryl для локального використання Kyndryl.
- Kyndryl здійснює ребрендинг будь-яких Послуг, розміщених на сервері Постачальника, які Постачальник розміщує і якими керує, як продукт або послуга Kyndryl.
Примітка.
Стаття VIII (Технічні та організаційні заходи, Загальні параметри безпеки) також застосовуватиметься у випадках, коли Постачальник надає Локальне Програмне Забезпечення для Kyndryl, якщо інші факти залучення призводять до застосування Статті VIII (наприклад, коли Постачальник має доступ до інформації поза BCI, наприклад Персональних даних або даних, що не належать до категорії Персональних даних, Kyndryl).
Стаття V. Безпечна Розробка
Ця Стаття застосовується, якщо Постачальник надаватиме свій Вихідний Код або Вихідний Код сторонніх виробників або Локальне Програмне забезпечення для Kyndryl, або якщо будь-які Результати чи Послуги Постачальника надаватимуться Замовнику Kyndryl у складі продукту або послуги Kyndryl.
1. Належний Рівень Безпеки
1.1 Постачальник підключиться до внутрішніх процесів Kyndryl, за допомогою яких оцінюється належний рівень безпеки продуктів і послуг Kyndryl, які залежать від будь-яких Результатів Постачальника, в тому числі шляхом своєчасного та повного реагування на запити про отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
2. Безпечна Розробка
2.1 Цей Розділ 2 застосовується лише тоді, коли Постачальник надає Локальне Програмне Забезпечення для Kyndryl.
2.2 Постачальник запровадив і підтримуватиме протягом усього строку дії Транзакційного Документа, відповідно до Кращих Практик Індустрії, мережу, платформу, систему, прикладну програму, пристрій, фізичну інфраструктуру, систему реагуванням на інциденти та Персонал, які є необхідними для захисту: (a) систем і середовищ розробки, компонування, тестування та експлуатації, які Постачальник або будь-яка третя особа, залучена Постачальником, експлуатує, контролює, використовує або іншим чином застосовує у зв’язку з Результатами, і (b) всього вихідного коду Результатів від втрати, незаконних форм обробки та несанкціонованого доступу, розкриття або зміни.
3. Сертифікат відповідності ISO 20243
3.1 Цей Розділ 3 виявляється лише тоді, коли будь-який із Результатів або Послуг Постачальника надаватимуться Замовнику Kyndryl у складі продукту або послуги Kyndryl.
3.2 Постачальник отримає сертифікат відповідності ISO 20243 «Інформаційні технології. Відкритий стандарт на довірених постачальників технологій. Мінімізація ризику залучення у виробничий процес зловмисно зіпсованих і контрафактних компонентів» (Information technology, Open Trusted Technology Provider, TM Standard (O-TTPS), Mitigating maliciously tainted and counterfeit products) (сертифікація на основі самостійної оцінки або на основі оцінки авторитетного незалежного аудитора). В якості альтернативи, на письмовий запит Постачальника та після отримання письмового схвалення Kyndryl, Постачальник отримає сертифікат про відповідність вимогам еквівалентного в істотній частині галузевого стандарту, який визначає практики безпечної розробки та постачання (сертифікація на основі самостійної оцінки або на основі оцінки авторитетного незалежного аудитора, за умови та після схвалення Kyndryl).
3.3 Постачальник отримає сертифікат відповідності ISO 20243 або сертифікат еквівалентного йому в істотній частині галузевого стандарту (за умови письмового схвалення Kyndryl) протягом 180 Днів після дати набуття чинності Транзакційним Документом і далі поновлюватиме сертифікат кожні 12 місяців після цього (відповідно до чинної на той момент найпізнішої версії застосовного стандарту, тобто ISO 20243 або, за умови письмового схвалення Kyndryl, еквівалентного йому в істотній частині галузевого стандарту, який визначає практики безпечної розробки та постачання).
3.4 Постачальник, за запитом, негайно надає Kyndryl копію сертифікатів, які Постачальник зобов’язаний отримати відповідно до розділів 2.1 і 2.2 вище.
4. Вразливості Безпеки
Нижченаведені терміни вживаються в такому значенні:
Виправлення помилок — виправлення несправностей і змін, які виправляють помилки або недоліки, включаючи Вразливість Безпеки, в Результатах.
Зменшення Ризику — всі відомі засоби, призначені для зменшення або уникнення ризиків, пов’язаних із Вразливістю Безпеки.
Вразливість Безпеки — стан у проектуванні, кодуванні, розробці, реалізації, тестуванні, експлуатації, підтримці, обслуговуванні або керуванні Результатом, який дозволяє будь-кому провести атаку, що може призвести до несанкціонованого доступу або використання, включаючи (a) здійснення доступу, отримання контролю або порушення роботи системи, (b) здійснення доступу, видалення, зміну або вилучення даних або (c) змін ідентифікаційних даних, авторизацій або прав доступу користувачів або адміністраторів. Вразливість Безпеки може існувати незалежно від того, чи призначено їй ID CVE (Загальновідомі вразливості інформаційної безпеки) або будь-який рейтинг чи офіційний класифікатор.
4.1 Постачальник заявляє й гарантує, що він буде: (a) використовувати Кращі Практики Індустрії для виявлення Вразливостей Безпеки, зокрема шляхом безперервного статичного та динамічного сканування безпеки вихідного коду прикладних програм, сканування безпеки відкритого коду та сканування вразливостей безпеки, та (b) виконувати вимоги цих Положень із метою попередження, виявлення та виправлення Вразливостей Безпеки в Результатах та в усіх прикладних програмах, платформах та інфраструктурі ІТ, які Постачальник використовує для створення та надання Послуг і Результатів.
4.2 Якщо Постачальнику стане відомо про Вразливість Безпеки в Результатах або будь-якій такій прикладній програмі, платформі або інфраструктурі ІТ, Постачальник надасть Kyndryl Виправлення Помилок і Зменшення Ризику для всіх версій і випусків Результатів відповідно до наступних Рівнів Серйозності та строків:
Рівень Серйозності*
Аварійна Вразливість Безпеки — Вразливість Безпеки, яка становить серйозну та, ймовірно, глобальну загрозу. Kyndryl визначає Аварійну Вразливість Безпеки на власний розсуд, незалежно від Базової Оцінки CVSS.
Критична — Вразливість Безпеки, яка має Базову Оцінку CVSS від 9 до 10,0
Висока — Вразливість Безпеки, яка має Базову Оцінку CVSS від 7,0 до 8,9
Помірна — Вразливість Безпеки, яка має Базову Оцінку CVSS від 4,0 до 6,9
Низька — Вразливість Безпеки, яка має Базову Оцінку CVSS від 0,0 до 3,9
Строки
Аварійна
Критична
Висока
Помірна
Низька
До 4 Днів, як визначено
Головним управлінням інформаційної
безпеки Kyndryl30 Днів
30 Днів
90 Днів
Відповідно до Кращих Практик Індустрії
* У всіх випадках, коли для Вразливості Безпеки ще не призначено Базову Оцінку CVSS, Постачальник застосовуватиме Рівень Серйозності, який відповідає характеру та обставинам такої вразливості.
4.3 Для Вразливості Безпеки, яка стала загальновідомою й для якої Постачальник ще не надав Kyndryl Виправлення Помилки або Зменшення Ризику, Постачальник запровадить будь-які технічно можливі додаткові заходи безпеки, які можуть зменшити ризики цієї вразливості.
4.4 Якщо Kyndryl не задовольнить відповідь Постачальника на будь-яку Вразливість Безпеки в Результатах або будь-якій прикладній програмі, платформі або інфраструктурі, вказаній вище, тоді без обмеження будь-яких інших прав Kyndryl Постачальник негайно організує для Kyndryl обговорення зауважень із Віце-президентом Постачальника або особою, еквівалентною за посадою, яка відповідає за здійснення Виправлення Помилки.
4.5 Приклади Вразливостей Безпеки включають код третіх осіб або відкритий код, що не обслуговується (EOS), для яких не випускатимуться виправлення безпеки.
Стаття VIII. Технічні та організаційні заходи, Загальні параметри безпеки
Ця Стаття застосовується, якщо Постачальник надає будь-які Послуги або Результати для Kyndryl, за винятком ситуацій, коли Постачальник надає доступ лише до BCI Kyndryl у процесі надання таких Послуг і Результатів (наприклад, Постачальник не Оброблятиме будь-які інші Дані Kyndryl і не матиме доступу до будь-яких інших Матеріалів Kyndryl або до будь-якої Корпоративної Системи), єдиними Послугами та Результатами Постачальника є надання Локального Програмного Забезпечення для Kyndryl, або Постачальник надає всі свої Послуги та Результати на основі моделі доповнення штату відповідно до Статті VII, включно з Розділом 1.7.
Постачальник зобов’язаний дотримуватися вимог цієї Статті і таким чином захищати: (a) Матеріали Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу, (b) Дані Kyndryl від незаконних форм Обробки й (c) Технології Kyndryl від незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Політики Безпеки
1.1 Постачальник зобов’язаний підтримувати та дотримуватися політик і практик у галузі ІТ-безпеки, які є невід’ємною частиною діяльності Постачальника та є обов’язковими для всього Персоналу Постачальника, відповідно до Кращих Практик Індустрії.
1.2 Постачальник зобов’язаний переглядати свої політики та практики у галузі ІТ-безпеки принаймні один раз на рік і вносити в них зміни, які Постачальник вважатиме за потрібне для забезпечення захисту Матеріалів Kyndryl.
1.3 Постачальник зобов’язаний підтримувати та дотримуватись стандартних обов’язкових вимог щодо перевірки працевлаштування всіх нових найманих працівників і поширювати такі вимоги на весь Персонал Постачальника та дочірні компанії, що перебувають під повним контролем Постачальника. Ці вимоги будуть включати перевірки кримінального минулого в обсягах, дозволених локальним законодавством, підтвердження ідентифікаційних даних та будь-які додаткові перевірки, які Постачальник вважатиме необхідними. Постачальник буде періодично повторювати перевірки та підтверджувати дотримання таких вимог, як він вважатиме необхідним.
1.4 Постачальник зобов’язаний щорічно організовувати навчання своїх працівників у галузі безпеки та приватності й вимагати від всіх таких працівників щорічно підтверджувати дотримання принципів етичної поведінки, конфіденційності та політик безпеки Постачальника, як це зазначено в кодексі етичної поведінки Постачальника або аналогічних документах. Постачальник зобов’язаний забезпечити додаткове навчання щодо політик і процесів для осіб із адміністративними правами доступу до будь-яких компонентів Послуг, Результатів або Матеріалів Kyndryl, спеціально призначене відповідно до їхніх службових обов’язків і підтримки Послуг, Результатів або Матеріалів Kyndryl, а також у разі необхідності забезпечити відповідність вимогам і сертифікацію.
1.5 Постачальник зобов’язаний спроектувати заходи з безпеки та приватності для захисту та забезпечення доступності Матеріалів Kyndryl, зокрема шляхом впровадження, підтримки та забезпечення відповідності політикам і процедурам, які вимагають проектованої безпеки та конфіденційності, захисту техніки, а також захисту операцій, для всіх Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl.
2. Інциденти Безпеки
2.1 Постачальник зобов’язаний підтримувати та дотримуватися задокументованих політик реагування на інциденти безпеки відповідно до Кращих Практик Індустрії щодо обробки інцидентів, пов’язаних із безпекою комп’ютерів.
2.2 Постачальник проводитиме розслідування випадків несанкціонованого доступу до Матеріалів Kyndryl або несанкціонованого використання Матеріалів Kyndryl, а також визначить і буде виконувати відповідний план реагування.
2.3 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.
2.4 Постачальник зобов’язаний належним чином сприяти виконанню Kyndryl зобов’язань, передбачених законодавством (зокрема зобов’язань з інформування регуляторних органів або Суб’єктів Даних) Kyndryl, афілійованих осіб Kyndryl і Замовників (а також їхніх афілійованих осіб і замовників) у зв’язку з Порушенням Безпеки.
2.5 Постачальник зобов’язаний не інформувати й не сповіщати будь-яких третіх осіб про Порушення Безпеки, окрім випадків, коли Kyndryl дасть письмовий дозвіл на це або це вимагається законодавством. Постачальник зобов’язаний письмово повідомити Kyndryl перед розповсюдженням передбачених законодавством повідомлень для третіх осіб, якщо такі повідомлення прямо чи опосередковано розкриватимуть ідентифікаційну інформацію Kyndryl.
2.6 У разі Порушення Безпеки, яке виникає внаслідок порушення Постачальником будь-якого зобов’язання за цими Положеннями:
(a) Постачальник несе відповідальність за всі понесені ним витрати, а також за фактичні витрати, понесені Kyndryl, у зв’язку з повідомленням про Порушення Безпеки відповідним регуляторним органам, іншим державним органам і галузевим органам самоврядування, засобам масової інформації (якщо цього вимагає застосовне законодавство) і Суб’єктам Даних, Замовникам та іншим особам;
(b) на запит Kyndryl, Постачальник зобов’язаний організувати і підтримувати за власні кошти кол-центр для відповідей на запитання Суб’єктів Даних щодо Порушення Безпеки та його наслідків протягом 1 року після дати, коли такі Суб’єкти Даних отримали повідомлення про Порушення Безпеки, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист. Kyndryl і Постачальник працюватимуть разом для створення сценаріїв та інших матеріалів для використання персоналом кол-центру під час обробки запитів. Крім того, повідомивши Постачальника письмово, Kyndryl може організувати та підтримувати власний кол-центр, замість зобов’язування Постачальника створювати кол-центр, і Постачальник має відшкодувати Kyndryl фактичні витрати, понесені Kyndryl для створення та підтримки такого кол-центру; і
(c) Постачальник зобов’язаний відшкодувати Kyndryl фактичні витрати, пов’язані з наданням послуг моніторингу компенсацій і відновлення компенсацій, протягом 1 року після дати повідомлення про Порушення Безпеки всіх осіб, яких стосується порушення і які зареєструвалися для отримання таких послуг, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист.
3. Фізичний Захист і Вхідний Контроль (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl).
3.1 Постачальник зобов’язаний забезпечити належний фізичний вхідний контроль, наприклад загородження, пункти входу з доступом по картках, камери спостереження та служби реєстрації відвідувачів, для захисту від несанкціонованого входу на Об’єкти.
3.2 Постачальник вимагатиме авторизації для доступу на Об’єкти та до контрольованих дільниць на Об’єктах, у тому числі будь-якого тимчасового доступу, а також обмежуватиме доступ відповідно до посади працівника й службової необхідності. Якщо Постачальник надає тимчасовий доступ, його вповноважений працівник супроводжуватиме будь-якого такого відвідувача під час перебування на Об’єкті та в будь-яких контрольованих дільницях.
3.3 Постачальник запровадить засоби контролю фізичного доступу, зокрема засоби контролю доступу на основі багатофакторної аутентифікації, які відповідають Кращим Практикам Індустрії, щоб належним чином обмежити вхід до контрольованих дільниць на Об’єктах, реєструватиме всі спроби входу та зберігатиме такі журнали щонайменше протягом одного року.
3.4 Постачальник зобов’язаний відкликати доступ на Об’єкти та на контрольовані дільниці на Об’єктах у разі (а) відсторонення з будь-яких причин уповноваженого працівника Постачальника або (b) зникнення службової необхідності в такому доступі в уповноваженого працівника Постачальника. Постачальник зобов’язаний дотримуватися офіційних задокументованих процедур відсторонення працівника, які включають швидке видалення зі списків контролю доступу та здавання пропусків доступу.
3.5 Постачальник зобов’язаний вживати запобіжних заходів для захисту фізичної інфраструктури, яка використовується для підтримки Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, від екологічних загроз, як природних, так і техногенних, наприклад підвищення температури довкілля, пожежі, повені, вологості, крадіжки та вандалізму.
4. Контроль Доступу, Втручання, Передавання та Розподілу Обов’язків
4.1 Постачальник зобов’язаний підтримувати задокументовану архітектуру мережевої безпеки, яка використовується під час роботи з Послугами, надання ним Результатів і Взаємодії з Технологіями Kyndryl. Постачальник зобов’язаний окремо перевірити таку мережеву архітектуру та запровадити заходи, спрямовані на запобігання неавторизованим мережевим з’єднанням до систем, прикладних програм і мережевих пристроїв, для забезпечення дотримання вимог безпечної сегментації, ізоляції та стандартів захисту. Постачальник не може використовувати технологію бездротового зв’язку для розміщення та функціонування будь-яких Послуг, розміщених на сервері; в інших випадках Постачальник може використовувати бездротові мережеві технології для надання Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, але Постачальник повинен використовувати шифрування та забезпечити захищені механізми автентифікації для будь-яких таких бездротових мереж.
4.2 Постачальник зобов’язаний підтримувати заходи, розроблені для логічного розподілу Матеріалів Kyndryl і запобігання розкриттю або несанкціонованому доступу до Матеріалів Kyndryl з боку неуповноважених осіб. Крім того, Постачальник забезпечить відповідну ізоляцію робочого, неробочого та іншого середовища, і якщо Матеріали Kyndryl уже знаходяться в неробочому середовищі або передаються в таке середовище (наприклад, для відтворення помилки), Постачальник гарантуватиме, що заходи безпеки та приватності в неробочому середовищі відповідають аналогічним заходам у робочому середовищі.
4.3 Постачальник шифруватиме Матеріали Kyndryl під час передачі та зберігання (окрім випадків, коли Постачальник може надати Kyndryl достатні докази технічної неможливості шифрування Матеріалів Kyndryl під час зберігання). Крім того, Постачальник шифруватиме всі фізичні носії, якщо такі є, наприклад носії з файлами резервних копій. Постачальник зобов’язаний підтримувати задокументовані процедури безпечної генерації, випуску, розповсюдження, зберігання, заміни, відкликання, відновлення, резервування, знищення, отримання та використання ключів, пов’язаних із шифруванням даних. Постачальник зобов’язаний забезпечити відповідність криптографічних методів, які використовуються для шифрування, Кращим Практикам Індустрії (таким як, наприклад, NIST SP 800-131 a).
4.4 Якщо Постачальнику буде потрібен доступ до Матеріалів Kyndryl, Постачальник зобов’язаний обмежити такий доступ до мінімального рівня, необхідного для надання та підтримки Послуг і Результатів. Постачальник зобов’язаний забезпечити, щоб такий доступ, включно з адміністративним доступом до будь-яких основних компонентів (тобто привілейований доступ), був індивідуальним, таким, що ґрунтується на ролі, та вимагати затвердження й регулярної перевірки уповноваженими особами Постачальника відповідно до принципів розподілу обов’язків. Постачальник зобов’язаний підтримувати заходи для ідентифікації та видалення зайвих і неактивних облікових записів. Постачальник зобов’язаний анулювати облікові записи з привілейованим доступом протягом двадцяти чотирьох (24) годин після відсторонення власника облікового запису або на вимогу Kyndryl або будь-якого уповноваженого працівника Постачальника, наприклад менеджера власника облікового запису.
4.5 Відповідно до Кращих Практик Індустрії, Постачальник зобов’язаний підтримувати технічні заходи, що забезпечують тайм-аути неактивних сеансів, блокування облікових записів після кількох послідовних невдалих спроб входу, надійної автентифікації на основі пароля або парольної фрази, а також заходи, що вимагають безпечного передавання та зберігання таких паролів і парольних фраз. Крім того, Постачальник застосовуватиме багатофакторну аутентифікацію для привілейованого доступу до будь-яких Матеріалів Kyndryl без використання консолі.
4.6 Постачальник зобов’язаний відстежувати застосування прав привілейованого доступу та забезпечувати заходи керування подіями та інформацією про безпеку, призначені для: (a) виявлення спроб несанкціонованого доступу та діяльності; (b) сприяння своєчасному і відповідному реагуванню на такий доступ і діяльність; і (c) забезпечення аудиту відповідності задокументованим політикам Постачальника з боку Постачальника, Kyndryl (відповідно до її прав перевірки згідно з цими Положеннями та прав на аудит, визначених в Транзакційному Документі, відповідному базовому договорі або іншому пов’язаному договорі між сторонами) та інших осіб.
4.7 Постачальник зберігатиме журнали реєстрації, відповідно до Кращих Практик Індустрії, усіх операцій доступу адміністраторів, користувачів або іншого доступу чи операцій в системах або у зв’язку з системами, що використовуються для надання Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl (а також надаватиме такі журнали на запит Kyndryl). Постачальник зобов’язаний підтримувати заходи, спрямовані на захист від несанкціонованого доступу, модифікації та випадкового або навмисного знищення таких журналів.
4.8 Постачальник забезпечить захист комп’ютерів для систем, які належать йому або якими він управляє, включаючи системи кінцевих користувачів, і які він використовує для надання Послуг або Результатів, або для Взаємодії з Технологіями Kyndryl; засоби захисту включають зокрема: брандмауери кінцевих точок, засоби шифрування всього диска, технології виявлення та протидії в кінцевих точках на основі підписів та без використання підписів стосовно зловмисного коду та найновіших стійких загроз, рішення для тимчасового блокування екрану та керування кінцевими точками, що забезпечують виконання вимог щодо конфігурації безпеки та застосування виправлень. Крім того, Постачальник запровадить технічні та операційні засоби контролю, які забезпечать можливість доступу до мереж Постачальника лише з відомих та перевірених систем кінцевих користувачів.
4.9 Згідно з Кращими Практиками Індустрії, Постачальник забезпечуватиме захист для середовищ центрів обробки даних, де зберігаються або обробляються Матеріали Kyndryl, зокрема: засоби виявлення та попередження вторгнень та протидії атакам типу «відмова в обслуговуванні» та зниження їхніх ризиків.
5. Контроль Цілісності та Доступності Послуг і Систем
5.1 Постачальник зобов’язаний (a) проводити оцінку ризиків безпеки та приватності принаймні один раз на рік; (b) проводити тестування безпеки та оцінювання вразливостей, включно з автоматичним скануванням безпеки системи та прикладних програм і неавтоматизованими процедурами етичного проникнення, перед застосуванням у робочому середовищі та щорічно після цього, що стосується Послуг і Результатів, а також щорічно у зв’язку із Взаємодією з Технологіями Kyndryl; (c) залучати кваліфіковану незалежну сторонню організацію для проведення тестування на проникнення згідно з Кращими Практиками Індустрії принаймні раз на рік, причому тестування має включати як автоматичне, так і ручне тестування; (d) забезпечувати автоматизоване керування та перевірку кожного компонента Послуг і Результатів, а також у зв’язку із Взаємодією з Технологіями Kyndryl на відповідність вимогам конфігурації безпеки; і (e) виправляти виявлені вразливості або невідповідність вимогам конфігурації безпеки з урахуванням ризиків, імовірності використання та впливу. Постачальник щоб зобов'язаний реалізувати обґрунтовані заходи, уникнути порушення Послуги під час тестування, оцінки, сканування та виправлення. На запит Kyndryl, Постачальник надасть Kyndryl письмовий звіт про останні операції тестування на проникнення, проведені Постачальником, який має містити принаймні найменування пропозицій, розглянутих під час тестування, кількість систем або прикладних програм, обраних для тестування, дати тестування, методологію тестування та загальний огляд результатів.
5.2 Постачальник буде підтримувати політики та процедури, призначені для управління ризиками, пов’язаними із застосуванням змін до Послуг або Результатів, або до Взаємодії з Технологіями Kyndryl. Перед застосуванням таких змін, включаючи зміни відповідних систем, мереж і базових компонентів, Постачальник зобов’язаний задокументувати в зареєстрованому запиті на зміну: (a) опис та причини зміни, (b) деталі реалізації та графік, (c) дані про ризики, що стосуються впливу на Послуги та Результати, замовників Послуг, або Матеріали Kyndryl, (d) очікуваний результат, (e) план відкликання та (f) процедуру затвердження уповноваженими працівниками Постачальника.
5.3 Постачальник зобов’язаний вести облік усіх ІТ-ресурсів, які використовуються під час функціонування Послуг, постачання Результатів і Взаємодії з Технологіями Kyndryl. Постачальник безперервно відстежуватиме та контролюватиме стан (у тому числі потужність) і доступність таких ІТ-ресурсів, Послуг, Результатів і Технологій Kyndryl, включаючи відповідні базові компоненти таких ресурсів, Послуг, Результатів і Технологій Kyndryl.
5.4 Постачальник розроблятиме всі системи, які він використовує в процесі розробки або функціонування Послуг і Результатів, а також під час Взаємодії з Технологіями Kyndryl, на основі попередньо визначених образів безпеки системи або рекомендацій безпеки, які відповідають Кращим Практикам Індустрії, наприклад критеріям Центру Інтернет-безпеки (CIS).
5.5 Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно безперервності бізнес-процесів, Постачальник зобов’язаний окремо оцінювати кожну Послугу та Результат і кожну ІТ-систему, що використовується для Взаємодії з Технологіями Kyndryl, щодо виконання вимог безперервності бізнес-процесів та ІТ-процесів і відновлення в аварійних ситуаціях відповідно до задокументованих рекомендацій з управління ризиками. Постачальник зобов’язаний забезпечити, щоб кожна така Послуга, Результат та ІТ-система мала, у тій мірі, в якій це підтверджує оцінка ризиків, окремо визначені, задокументовані, підтримувані та щорічно перевірювані плани забезпечення безперервності бізнес-процесів та ІТ-процесів і програми аварійного відновлення згідно з Кращими Практиками Індустрії. Постачальник зобов’язаний розробляти такі плани з метою забезпечення дотримання конкретних показників часу відновлення, визначених у розділі 5.6 нижче.
5.6 Показники цільової точки відновлення («RPO») і цільового часу відновлення («RTO») для будь-якої Послуги, розміщеної на сервері, визначаються наступним чином: 24 години RPO та 24 години RTO; незважаючи на це, Постачальник забезпечуватиме відповідність будь-яким більш строгим показникам RPO або RTO, які Kyndryl зобов’язалася виконувати для Замовника, негайно після отримання від Kyndryl письмового повідомлення про застосування коротших інтервалів RPO або RTO (повідомлення електронною поштою означає письмове повідомлення). Оскільки це стосується всіх інших Послуг, які Постачальник надає Kyndryl, Постачальник гарантуватиме, що його плани безперервності бізнес-процесів і аварійного відновлення розроблені для виконання RPO та RTO, забезпечуючи виконання зобов’язань Постачальника перед Kyndryl згідно з Транзакційним Документом, відповідним базовим договором між сторонами та цими Положеннями, включаючи зобов’язання щодо своєчасного тестування, підтримки та обслуговування.
5.7 Постачальник мусить підтримувати заходи, спрямовані на оцінювання, тестування та застосування рекомендованих виправлень безпеки до Послуг і Результатів, а також пов’язаних із ними систем, мереж, прикладних програм і базових компонентів у межах сфери дії таких Послуг і Результатів, а також систем, мереж, прикладних програм і базових компонентів, що використовуються для Взаємодії з Технологіями Kyndryl. Після визначення того, що рекомендоване виправлення безпеки є застосовним і відповідає вимогам, Постачальник має застосувати це виправлення відповідно до документально зафіксованих рекомендацій з урахуванням рівня важливості та ризиків. Реалізація рекомендованих виправлень безпеки регламентується політикою Постачальника щодо керування змінами.
5.8 Якщо в Kyndryl є вагомі підстави вважати, що обладнання або програмне забезпечення, що надаються їй Постачальником, можуть містити елементи, які уможливлюють вторгнення, зокрема шпигунське програмне забезпечення, шкідливе програмне забезпечення або зловмисний код, Постачальник своєчасно співпрацюватиме з Kyndryl під час розслідування випадку та виправлення моментів, що викликають занепокоєння Kyndryl.
6. Постачання Послуг.
6.1 Постачальник підтримуватиме стандартні галузеві методи об’єднаної аутентифікації для будь-яких користувачів Kyndryl або облікових записів Замовника, дотримуючись Кращих Практик Індустрії аутентифікації таких користувачів Kyndryl або облікових записів Замовника (таких як, наприклад, метод багатофакторного єдиного входу з централізованим керуванням з боку Kyndryl на основі OpenID Connect або Security Assertion Markup Language).
7. Субпідрядники. Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно утримання субпідрядників, Постачальник зобов’язаний подбати про те, аби кожен субпідрядник, який надає послуги для Постачальника, запровадив засоби управління та контролю для виконання вимог і зобов’язань, які встановлюються для Постачальника згідно з цими Положеннями.
8. Фізичні Носії. Постачальник зобов’язаний надійно виключати конфіденційну інформацію з фізичних носіїв, призначених для повторного використання, перед повторним використанням, а також знищувати фізичні носії, не призначені для повторного використання, відповідно до Кращих Практик Індустрії щодо очищення носіїв інформації.
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
-
Якщо так, до такого доступу застосовуються Статті VI (Доступ до Корпоративних Систем), VIII (Технічні та організаційні заходи, Загальні параметри безпеки) та X (Співпраця, перевірка та виправлення).
Приклади:
- Для виконання Постачальником своїх обов’язків щодо розробки йому необхідно мати доступ до репозиторіїв Вихідного Коду Kyndryl.
Примітка.
Залежно від того, який доступ дозволений Постачальникові до матеріалів Kyndryl у межах Корпоративних Систем, можуть застосовуватися також Статті II (Технічні та організаційні заходи, Захист даних), III (Приватність), IV (Технічні та організаційні заходи, Захист коду) та V (Безпечна розробка).
Стаття VI. Доступ до Корпоративних Систем
Ця Стаття застосовується, якщо працівники Постачальника матимуть доступ до будь-якої Корпоративної Системи.
1. Загальні положення
1.1 Kyndryl визначатиме, чи надавати працівникам Постачальника доступ до Корпоративних Систем. Якщо Kyndryl надасть такий доступ, Постачальник зобов’язується дотримуватися вимог цієї Статті й забезпечить дотримання таких вимог своїми працівниками, які отримають такий доступ.
1.2 Kyndryl визначить засоби, за допомогою яких працівники Постачальника можуть отримати доступ до Корпоративних Систем, зокрема, чи будуть такі працівники отримувати доступ до Корпоративних Систем через Пристрої, що надаються Kyndryl або Постачальником.
1.3 Працівники Постачальника можуть отримувати доступ до Корпоративних Систем і використовувати Пристрої, дозволені Kyndryl для такого доступу, виключно для надання Послуг. Працівники Постачальника не можуть використовувати Пристрої, дозволені Kyndryl, для надання послуг будь-якій іншій особі чи організації, або для отримання доступу до будь-яких ІТ-систем, мереж, програм, веб-сайтів, інструментів електронної пошти, інструментів співпраці тощо, що належать Постачальнику або третім особам, для надання Послуг або у зв’язку з ними.
1.4 Для уникнення сумнівів, працівники Постачальника не можуть використовувати Пристрої, дозволені Kyndryl для доступу до Корпоративних Систем, в особистих цілях (наприклад, працівники Постачальника не можуть зберігати на таких Пристроях особисті файли, такі як музика, відео, світлини тощо, і не можуть користуватися Інтернетом із таких Пристроїв в особистих цілях).
1.5 Працівники Постачальника не копіюватимуть Матеріали Kyndryl, доступні через Корпоративну Систему, без попереднього письмового дозволу Kyndryl (і за жодних обставин не копіюватимуть будь-які Матеріали Kyndryl на портативний пристрій зберігання даних, такий як USB-накопичувач, зовнішній жорсткий диск тощо).
1.6 За запитом, Постачальник підтверджує за іменем працівника конкретні Корпоративні Системи, до яких його працівники мають право доступу та до яких вони отримували доступ протягом будь-якого періоду часу, визначеного Kyndryl.
1.7 Постачальник повідомлятиме Kyndryl протягом двадцяти чотирьох (24) годин після того, як будь-який працівник Постачальника, який має доступ до будь-якої Корпоративної Системи, більше не: (a) працює в Постачальника або (b) виконує діяльність, яка вимагає такого доступу. Постачальник співпрацюватиме з Kyndryl, щоб забезпечити негайне скасування доступу для таких колишніх або діючих працівників.
1.8 Постачальник негайно повідомлятиме Kyndryl про будь-які фактичні або ймовірні інциденти, пов’язані з порушенням безпеки (наприклад, про втрату Пристрою Kyndryl або Постачальника, несанкціонований доступ до Пристрою або даних, матеріалів чи іншої інформації будь-якого типу), і співпрацюватиме з Kyndryl у розслідуванні таких інцидентів.
1.9 Постачальник не повинен давати дозвіл будь-якому агенту, працівнику незалежного підрядника або субпідрядника отримувати доступ до будь-якої Корпоративної Системи без попередньої письмової згоди Kyndryl; якщо Kyndryl надасть таку згоду, Постачальник встановить для цих осіб та їхніх роботодавців договірні зобов’язання дотримуватися вимог цієї Статті так, наче ці особи є працівниками Постачальника, і відповідатиме перед Kyndryl за всі дії та бездіяльність будь-якої такої особи або роботодавця у зв’язку з таким доступом до Корпоративних Систем.
2. Програмне Забезпечення Пристроїв
2.1 Постачальник інструктуватиме своїх працівників, своєчасно встановлювати все програмне забезпечення Пристроїв, яке потрібно Kyndryl для організації безпечного доступу до Корпоративних Систем. Ні Постачальник, ні його працівники не втручатимуться в роботу цього програмного забезпечення або захисних функцій, які надає програмне забезпечення.
2.2 Постачальник та його працівники дотримуватимуться правил налаштування Пристрою, які встановлює Kyndryl, і іншим чином співпрацюватимуть з Kyndryl, щоб забезпечити функціонування програмного забезпечення відповідно до намірів Kyndryl. Наприклад, Постачальник не перевизначатиме функції програмного забезпечення щодо блокування веб-сайтів чи функцій автоматичного виправлення.
2.3 Працівники Постачальника не можуть передавати Пристрої, якими вони користуються для доступу до Корпоративних Систем, або імена користувачів, паролі тощо до своїх Пристроїв будь-яким іншим особам.
2.4 Якщо Kyndryl уповноважує працівників Постачальника отримувати доступ до Корпоративних Систем за допомогою Пристроїв Постачальника, Постачальник встановить та запустить операційну систему на тих Пристроях, які схвалить Kyndryl, та оновить її до нової версії або нової операційної системи протягом розумно необхідного строку після отримання такої інструкції від Kyndryl.
3.Контроль і Співпраця
3.1 Kyndryl має необмежені права контролювати та усувати наслідки можливих вторгнень та інших загроз кібербезпеки будь-якими способами, з будь-якого місця та використовуючи будь-які засоби, які, на думку Kyndryl, є необхідними або доречними, без попереднього повідомлення Постачальника, будь-якого працівника Постачальника чи інших осіб. Наприклад, Kyndryl може в будь-який час (a) провести перевірку безпеки на будь-якому Пристрої, (b) відстежувати, відновлювати за допомогою технічних чи інших засобів і переглядати повідомлення (включаючи електронні листи з будь-яких облікових записів електронної пошти), записи, файли тощо, які зберігаються на будь-якому Пристрої або передаються через будь-яку Корпоративну Систему, та (c) отримувати повну незмінену копію будь-якого Пристрою для експертного аналізу. Якщо в Kyndryl виникне потреба у співпраці з Постачальником для реалізації своїх прав, Постачальник буде повністю та своєчасно виконувати запити Kyndryl щодо такої співпраці (включаючи, наприклад, запити щодо безпечного налаштування будь-якого Пристрою, встановлення засобів спостереження чи іншого програмного забезпечення на будь-якому Пристрої, обміну даними про з’єднання на рівні системи, участі в заходах реагування на інциденти на будь-якому Пристрої та надання фізичного доступу до будь-якого Пристрою для отримання Kyndryl повної незміненої копії для експертного аналізу або для інших цілей, а також подібні та пов’язані з ними запити).
3.2 Kyndryl може в будь-який час відкликати доступ до Корпоративних Систем для будь-якого працівника Постачальника або всіх працівників Постачальника без попереднього повідомлення Постачальника, будь-якого працівника Постачальника або інших осіб, якщо Kyndryl вважатиме це необхідним для захисту Kyndryl.
3.3 Права Kyndryl не припиняються, не зменшуються і не обмежуються жодним чином будь-яким положенням Транзакційного Документа, пов’язаного базового договору між сторонами або будь-якого іншого договору між сторонами, включаючи будь-яке положення, яке може зобов’язувати зберігати дані, матеріали чи іншу інформацію будь-якого типу лише в певному місці чи місцях або містити умову, щоб доступ до таких даних, матеріалів чи іншої інформації був дозволений лише особам із певного місця чи місць.
4.Пристрої Kyndryl
4.1 Kyndryl зберігатиме за собою право власності на всі Пристрої Kyndryl, а Постачальник несе ризик втрати Пристроїв, у тому числі через крадіжку, умисне знищення або пошкодження або недбалість. Постачальник не буде вносити будь-які зміни в Пристрої Kyndryl і не дозволятиме це робити іншим без попередньої письмової згоди Kyndryl; під змінами тут розуміють будь-які зміни в Пристрої, включаючи будь-які зміни в програмному забезпеченні Пристрою, прикладних програмах, дизайні системи безпеки, конфігурації безпеки або фізичному, механічному та електричному дизайні.
4.2 Постачальник зобов’язаний повернути всі Пристрої Kyndryl протягом 5 робочих днів після того, як зникне потреба в цих Пристроях для надання Послуг, і на вимогу Kyndryl — одночасно знищити всі дані, матеріали та іншу інформацію будь-якого типу на цих Пристроях, не залишаючи в себе жодної копії; при цьому Постачальник повинен дотримуватися Кращих Практик Індустрії, щоб видалити всі такі дані, матеріали та іншу інформацію без можливості їхнього відновлення. Постачальник зобов’язаний запакувати та повернути Пристрої Kyndryl у тому самому стані, в якому вони були передані Постачальнику, з урахуванням природного зносу, за власний рахунок у місці, визначеному Kyndryl. Невиконання Постачальником будь-яких зобов’язань, передбачених у цьому Розділі 4.2, є істотним порушенням Транзакційного Документа, відповідного базового договору та будь-якого пов’язаного договору між сторонами; при цьому договір є «пов’язаним», якщо доступ до будь-якої Корпоративної Системи полегшує завдання або іншу діяльність Постачальника за цим договором.
4.3 Kyndryl надаватиме підтримку Пристроїв Kyndryl (включаючи перевірку Пристроїв, а також профілактичне та ремонтне обслуговування). Постачальник зобов’язаний негайно повідомляти Kyndryl про необхідність ремонтного обслуговування.
4.4 Для програмного забезпечення, яке належить Kyndryl або на яке Kyndryl має право надавати ліцензії, Kyndryl надає Постачальнику тимчасове право використовувати, зберігати та робити достатню кількість примірників, які будуть потрібні йому для дозволеного використання Пристроїв Kyndryl. Постачальник не може передавати програмне забезпечення третім особам, робити копії інформації про ліцензію на програмне забезпечення, а також розбирати, декомпілювати, виконувати інженерний аналіз або іншим чином транслювати будь-яке програмне забезпечення, якщо це прямо не дозволено чинним законодавством, без права на відмову від виконання договірних зобов’язань.
5. Оновлення
5.1 Незважаючи на жодні положення про інше, які містяться в Транзакційному Документі або пов’язаному базовому договорі між сторонами, після письмового повідомлення Постачальника та без необхідності отримувати згоду Постачальника, Kyndryl може оновити, доповнити або іншим чином змінити цю Статтю з урахуванням будь-яких вимог чинного законодавства або зобов’язань Замовника з метою підтримки актуальності кращих практик у галузі безпеки або з інших причин, як Kyndryl вважатиме за необхідне для захисту Корпоративних Систем або Kyndryl.
Стаття VIII. Технічні та організаційні заходи, Загальні параметри безпеки
Ця Стаття застосовується, якщо Постачальник надає будь-які Послуги або Результати для Kyndryl, за винятком ситуацій, коли Постачальник надає доступ лише до BCI Kyndryl у процесі надання таких Послуг і Результатів (наприклад, Постачальник не Оброблятиме будь-які інші Дані Kyndryl і не матиме доступу до будь-яких інших Матеріалів Kyndryl або до будь-якої Корпоративної Системи), єдиними Послугами та Результатами Постачальника є надання Локального Програмного Забезпечення для Kyndryl, або Постачальник надає всі свої Послуги та Результати на основі моделі доповнення штату відповідно до Статті VII, включно з Розділом 1.7.
Постачальник зобов’язаний дотримуватися вимог цієї Статті і таким чином захищати: (a) Матеріали Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу, (b) Дані Kyndryl від незаконних форм Обробки й (c) Технології Kyndryl від незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Політики Безпеки
1.1 Постачальник зобов’язаний підтримувати та дотримуватися політик і практик у галузі ІТ-безпеки, які є невід’ємною частиною діяльності Постачальника та є обов’язковими для всього Персоналу Постачальника, відповідно до Кращих Практик Індустрії.
1.2 Постачальник зобов’язаний переглядати свої політики та практики у галузі ІТ-безпеки принаймні один раз на рік і вносити в них зміни, які Постачальник вважатиме за потрібне для забезпечення захисту Матеріалів Kyndryl.
1.3 Постачальник зобов’язаний підтримувати та дотримуватись стандартних обов’язкових вимог щодо перевірки працевлаштування всіх нових найманих працівників і поширювати такі вимоги на весь Персонал Постачальника та дочірні компанії, що перебувають під повним контролем Постачальника. Ці вимоги будуть включати перевірки кримінального минулого в обсягах, дозволених локальним законодавством, підтвердження ідентифікаційних даних та будь-які додаткові перевірки, які Постачальник вважатиме необхідними. Постачальник буде періодично повторювати перевірки та підтверджувати дотримання таких вимог, як він вважатиме необхідним.
1.4 Постачальник зобов’язаний щорічно організовувати навчання своїх працівників у галузі безпеки та приватності й вимагати від всіх таких працівників щорічно підтверджувати дотримання принципів етичної поведінки, конфіденційності та політик безпеки Постачальника, як це зазначено в кодексі етичної поведінки Постачальника або аналогічних документах. Постачальник зобов’язаний забезпечити додаткове навчання щодо політик і процесів для осіб із адміністративними правами доступу до будь-яких компонентів Послуг, Результатів або Матеріалів Kyndryl, спеціально призначене відповідно до їхніх службових обов’язків і підтримки Послуг, Результатів або Матеріалів Kyndryl, а також у разі необхідності забезпечити відповідність вимогам і сертифікацію.
1.5 Постачальник зобов’язаний спроектувати заходи з безпеки та приватності для захисту та забезпечення доступності Матеріалів Kyndryl, зокрема шляхом впровадження, підтримки та забезпечення відповідності політикам і процедурам, які вимагають проектованої безпеки та конфіденційності, захисту техніки, а також захисту операцій, для всіх Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl.
2. Інциденти Безпеки
2.1 Постачальник зобов’язаний підтримувати та дотримуватися задокументованих політик реагування на інциденти безпеки відповідно до Кращих Практик Індустрії щодо обробки інцидентів, пов’язаних із безпекою комп’ютерів.
2.2 Постачальник проводитиме розслідування випадків несанкціонованого доступу до Матеріалів Kyndryl або несанкціонованого використання Матеріалів Kyndryl, а також визначить і буде виконувати відповідний план реагування.
2.3 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.
2.4 Постачальник зобов’язаний належним чином сприяти виконанню Kyndryl зобов’язань, передбачених законодавством (зокрема зобов’язань з інформування регуляторних органів або Суб’єктів Даних) Kyndryl, афілійованих осіб Kyndryl і Замовників (а також їхніх афілійованих осіб і замовників) у зв’язку з Порушенням Безпеки.
2.5 Постачальник зобов’язаний не інформувати й не сповіщати будь-яких третіх осіб про Порушення Безпеки, окрім випадків, коли Kyndryl дасть письмовий дозвіл на це або це вимагається законодавством. Постачальник зобов’язаний письмово повідомити Kyndryl перед розповсюдженням передбачених законодавством повідомлень для третіх осіб, якщо такі повідомлення прямо чи опосередковано розкриватимуть ідентифікаційну інформацію Kyndryl.
2.6 У разі Порушення Безпеки, яке виникає внаслідок порушення Постачальником будь-якого зобов’язання за цими Положеннями:
(a) Постачальник несе відповідальність за всі понесені ним витрати, а також за фактичні витрати, понесені Kyndryl, у зв’язку з повідомленням про Порушення Безпеки відповідним регуляторним органам, іншим державним органам і галузевим органам самоврядування, засобам масової інформації (якщо цього вимагає застосовне законодавство) і Суб’єктам Даних, Замовникам та іншим особам;
(b) на запит Kyndryl, Постачальник зобов’язаний організувати і підтримувати за власні кошти кол-центр для відповідей на запитання Суб’єктів Даних щодо Порушення Безпеки та його наслідків протягом 1 року після дати, коли такі Суб’єкти Даних отримали повідомлення про Порушення Безпеки, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист. Kyndryl і Постачальник працюватимуть разом для створення сценаріїв та інших матеріалів для використання персоналом кол-центру під час обробки запитів. Крім того, повідомивши Постачальника письмово, Kyndryl може організувати та підтримувати власний кол-центр, замість зобов’язування Постачальника створювати кол-центр, і Постачальник має відшкодувати Kyndryl фактичні витрати, понесені Kyndryl для створення та підтримки такого кол-центру; і
(c) Постачальник зобов’язаний відшкодувати Kyndryl фактичні витрати, пов’язані з наданням послуг моніторингу компенсацій і відновлення компенсацій, протягом 1 року після дати повідомлення про Порушення Безпеки всіх осіб, яких стосується порушення і які зареєструвалися для отримання таких послуг, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист.
3. Фізичний Захист і Вхідний Контроль (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl).
3.1 Постачальник зобов’язаний забезпечити належний фізичний вхідний контроль, наприклад загородження, пункти входу з доступом по картках, камери спостереження та служби реєстрації відвідувачів, для захисту від несанкціонованого входу на Об’єкти.
3.2 Постачальник вимагатиме авторизації для доступу на Об’єкти та до контрольованих дільниць на Об’єктах, у тому числі будь-якого тимчасового доступу, а також обмежуватиме доступ відповідно до посади працівника й службової необхідності. Якщо Постачальник надає тимчасовий доступ, його вповноважений працівник супроводжуватиме будь-якого такого відвідувача під час перебування на Об’єкті та в будь-яких контрольованих дільницях.
3.3 Постачальник запровадить засоби контролю фізичного доступу, зокрема засоби контролю доступу на основі багатофакторної аутентифікації, які відповідають Кращим Практикам Індустрії, щоб належним чином обмежити вхід до контрольованих дільниць на Об’єктах, реєструватиме всі спроби входу та зберігатиме такі журнали щонайменше протягом одного року.
3.4 Постачальник зобов’язаний відкликати доступ на Об’єкти та на контрольовані дільниці на Об’єктах у разі (а) відсторонення з будь-яких причин уповноваженого працівника Постачальника або (b) зникнення службової необхідності в такому доступі в уповноваженого працівника Постачальника. Постачальник зобов’язаний дотримуватися офіційних задокументованих процедур відсторонення працівника, які включають швидке видалення зі списків контролю доступу та здавання пропусків доступу.
3.5 Постачальник зобов’язаний вживати запобіжних заходів для захисту фізичної інфраструктури, яка використовується для підтримки Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, від екологічних загроз, як природних, так і техногенних, наприклад підвищення температури довкілля, пожежі, повені, вологості, крадіжки та вандалізму.
4. Контроль Доступу, Втручання, Передавання та Розподілу Обов’язків
4.1 Постачальник зобов’язаний підтримувати задокументовану архітектуру мережевої безпеки, яка використовується під час роботи з Послугами, надання ним Результатів і Взаємодії з Технологіями Kyndryl. Постачальник зобов’язаний окремо перевірити таку мережеву архітектуру та запровадити заходи, спрямовані на запобігання неавторизованим мережевим з’єднанням до систем, прикладних програм і мережевих пристроїв, для забезпечення дотримання вимог безпечної сегментації, ізоляції та стандартів захисту. Постачальник не може використовувати технологію бездротового зв’язку для розміщення та функціонування будь-яких Послуг, розміщених на сервері; в інших випадках Постачальник може використовувати бездротові мережеві технології для надання Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, але Постачальник повинен використовувати шифрування та забезпечити захищені механізми автентифікації для будь-яких таких бездротових мереж.
4.2 Постачальник зобов’язаний підтримувати заходи, розроблені для логічного розподілу Матеріалів Kyndryl і запобігання розкриттю або несанкціонованому доступу до Матеріалів Kyndryl з боку неуповноважених осіб. Крім того, Постачальник забезпечить відповідну ізоляцію робочого, неробочого та іншого середовища, і якщо Матеріали Kyndryl уже знаходяться в неробочому середовищі або передаються в таке середовище (наприклад, для відтворення помилки), Постачальник гарантуватиме, що заходи безпеки та приватності в неробочому середовищі відповідають аналогічним заходам у робочому середовищі.
4.3 Постачальник шифруватиме Матеріали Kyndryl під час передачі та зберігання (окрім випадків, коли Постачальник може надати Kyndryl достатні докази технічної неможливості шифрування Матеріалів Kyndryl під час зберігання). Крім того, Постачальник шифруватиме всі фізичні носії, якщо такі є, наприклад носії з файлами резервних копій. Постачальник зобов’язаний підтримувати задокументовані процедури безпечної генерації, випуску, розповсюдження, зберігання, заміни, відкликання, відновлення, резервування, знищення, отримання та використання ключів, пов’язаних із шифруванням даних. Постачальник зобов’язаний забезпечити відповідність криптографічних методів, які використовуються для шифрування, Кращим Практикам Індустрії (таким як, наприклад, NIST SP 800-131 a).
4.4 Якщо Постачальнику буде потрібен доступ до Матеріалів Kyndryl, Постачальник зобов’язаний обмежити такий доступ до мінімального рівня, необхідного для надання та підтримки Послуг і Результатів. Постачальник зобов’язаний забезпечити, щоб такий доступ, включно з адміністративним доступом до будь-яких основних компонентів (тобто привілейований доступ), був індивідуальним, таким, що ґрунтується на ролі, та вимагати затвердження й регулярної перевірки уповноваженими особами Постачальника відповідно до принципів розподілу обов’язків. Постачальник зобов’язаний підтримувати заходи для ідентифікації та видалення зайвих і неактивних облікових записів. Постачальник зобов’язаний анулювати облікові записи з привілейованим доступом протягом двадцяти чотирьох (24) годин після відсторонення власника облікового запису або на вимогу Kyndryl або будь-якого уповноваженого працівника Постачальника, наприклад менеджера власника облікового запису.
4.5 Відповідно до Кращих Практик Індустрії, Постачальник зобов’язаний підтримувати технічні заходи, що забезпечують тайм-аути неактивних сеансів, блокування облікових записів після кількох послідовних невдалих спроб входу, надійної автентифікації на основі пароля або парольної фрази, а також заходи, що вимагають безпечного передавання та зберігання таких паролів і парольних фраз. Крім того, Постачальник застосовуватиме багатофакторну аутентифікацію для привілейованого доступу до будь-яких Матеріалів Kyndryl без використання консолі.
4.6 Постачальник зобов’язаний відстежувати застосування прав привілейованого доступу та забезпечувати заходи керування подіями та інформацією про безпеку, призначені для: (a) виявлення спроб несанкціонованого доступу та діяльності; (b) сприяння своєчасному і відповідному реагуванню на такий доступ і діяльність; і (c) забезпечення аудиту відповідності задокументованим політикам Постачальника з боку Постачальника, Kyndryl (відповідно до її прав перевірки згідно з цими Положеннями та прав на аудит, визначених в Транзакційному Документі, відповідному базовому договорі або іншому пов’язаному договорі між сторонами) та інших осіб.
4.7 Постачальник зберігатиме журнали реєстрації, відповідно до Кращих Практик Індустрії, усіх операцій доступу адміністраторів, користувачів або іншого доступу чи операцій в системах або у зв’язку з системами, що використовуються для надання Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl (а також надаватиме такі журнали на запит Kyndryl). Постачальник зобов’язаний підтримувати заходи, спрямовані на захист від несанкціонованого доступу, модифікації та випадкового або навмисного знищення таких журналів.
4.8 Постачальник забезпечить захист комп’ютерів для систем, які належать йому або якими він управляє, включаючи системи кінцевих користувачів, і які він використовує для надання Послуг або Результатів, або для Взаємодії з Технологіями Kyndryl; засоби захисту включають зокрема: брандмауери кінцевих точок, засоби шифрування всього диска, технології виявлення та протидії в кінцевих точках на основі підписів та без використання підписів стосовно зловмисного коду та найновіших стійких загроз, рішення для тимчасового блокування екрану та керування кінцевими точками, що забезпечують виконання вимог щодо конфігурації безпеки та застосування виправлень. Крім того, Постачальник запровадить технічні та операційні засоби контролю, які забезпечать можливість доступу до мереж Постачальника лише з відомих та перевірених систем кінцевих користувачів.
4.9 Згідно з Кращими Практиками Індустрії, Постачальник забезпечуватиме захист для середовищ центрів обробки даних, де зберігаються або обробляються Матеріали Kyndryl, зокрема: засоби виявлення та попередження вторгнень та протидії атакам типу «відмова в обслуговуванні» та зниження їхніх ризиків.
5. Контроль Цілісності та Доступності Послуг і Систем
5.1 Постачальник зобов’язаний (a) проводити оцінку ризиків безпеки та приватності принаймні один раз на рік; (b) проводити тестування безпеки та оцінювання вразливостей, включно з автоматичним скануванням безпеки системи та прикладних програм і неавтоматизованими процедурами етичного проникнення, перед застосуванням у робочому середовищі та щорічно після цього, що стосується Послуг і Результатів, а також щорічно у зв’язку із Взаємодією з Технологіями Kyndryl; (c) залучати кваліфіковану незалежну сторонню організацію для проведення тестування на проникнення згідно з Кращими Практиками Індустрії принаймні раз на рік, причому тестування має включати як автоматичне, так і ручне тестування; (d) забезпечувати автоматизоване керування та перевірку кожного компонента Послуг і Результатів, а також у зв’язку із Взаємодією з Технологіями Kyndryl на відповідність вимогам конфігурації безпеки; і (e) виправляти виявлені вразливості або невідповідність вимогам конфігурації безпеки з урахуванням ризиків, імовірності використання та впливу. Постачальник щоб зобов'язаний реалізувати обґрунтовані заходи, уникнути порушення Послуги під час тестування, оцінки, сканування та виправлення. На запит Kyndryl, Постачальник надасть Kyndryl письмовий звіт про останні операції тестування на проникнення, проведені Постачальником, який має містити принаймні найменування пропозицій, розглянутих під час тестування, кількість систем або прикладних програм, обраних для тестування, дати тестування, методологію тестування та загальний огляд результатів.
5.2 Постачальник буде підтримувати політики та процедури, призначені для управління ризиками, пов’язаними із застосуванням змін до Послуг або Результатів, або до Взаємодії з Технологіями Kyndryl. Перед застосуванням таких змін, включаючи зміни відповідних систем, мереж і базових компонентів, Постачальник зобов’язаний задокументувати в зареєстрованому запиті на зміну: (a) опис та причини зміни, (b) деталі реалізації та графік, (c) дані про ризики, що стосуються впливу на Послуги та Результати, замовників Послуг, або Матеріали Kyndryl, (d) очікуваний результат, (e) план відкликання та (f) процедуру затвердження уповноваженими працівниками Постачальника.
5.3 Постачальник зобов’язаний вести облік усіх ІТ-ресурсів, які використовуються під час функціонування Послуг, постачання Результатів і Взаємодії з Технологіями Kyndryl. Постачальник безперервно відстежуватиме та контролюватиме стан (у тому числі потужність) і доступність таких ІТ-ресурсів, Послуг, Результатів і Технологій Kyndryl, включаючи відповідні базові компоненти таких ресурсів, Послуг, Результатів і Технологій Kyndryl.
5.4 Постачальник розроблятиме всі системи, які він використовує в процесі розробки або функціонування Послуг і Результатів, а також під час Взаємодії з Технологіями Kyndryl, на основі попередньо визначених образів безпеки системи або рекомендацій безпеки, які відповідають Кращим Практикам Індустрії, наприклад критеріям Центру Інтернет-безпеки (CIS).
5.5 Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно безперервності бізнес-процесів, Постачальник зобов’язаний окремо оцінювати кожну Послугу та Результат і кожну ІТ-систему, що використовується для Взаємодії з Технологіями Kyndryl, щодо виконання вимог безперервності бізнес-процесів та ІТ-процесів і відновлення в аварійних ситуаціях відповідно до задокументованих рекомендацій з управління ризиками. Постачальник зобов’язаний забезпечити, щоб кожна така Послуга, Результат та ІТ-система мала, у тій мірі, в якій це підтверджує оцінка ризиків, окремо визначені, задокументовані, підтримувані та щорічно перевірювані плани забезпечення безперервності бізнес-процесів та ІТ-процесів і програми аварійного відновлення згідно з Кращими Практиками Індустрії. Постачальник зобов’язаний розробляти такі плани з метою забезпечення дотримання конкретних показників часу відновлення, визначених у розділі 5.6 нижче.
5.6 Показники цільової точки відновлення («RPO») і цільового часу відновлення («RTO») для будь-якої Послуги, розміщеної на сервері, визначаються наступним чином: 24 години RPO та 24 години RTO; незважаючи на це, Постачальник забезпечуватиме відповідність будь-яким більш строгим показникам RPO або RTO, які Kyndryl зобов’язалася виконувати для Замовника, негайно після отримання від Kyndryl письмового повідомлення про застосування коротших інтервалів RPO або RTO (повідомлення електронною поштою означає письмове повідомлення). Оскільки це стосується всіх інших Послуг, які Постачальник надає Kyndryl, Постачальник гарантуватиме, що його плани безперервності бізнес-процесів і аварійного відновлення розроблені для виконання RPO та RTO, забезпечуючи виконання зобов’язань Постачальника перед Kyndryl згідно з Транзакційним Документом, відповідним базовим договором між сторонами та цими Положеннями, включаючи зобов’язання щодо своєчасного тестування, підтримки та обслуговування.
5.7 Постачальник мусить підтримувати заходи, спрямовані на оцінювання, тестування та застосування рекомендованих виправлень безпеки до Послуг і Результатів, а також пов’язаних із ними систем, мереж, прикладних програм і базових компонентів у межах сфери дії таких Послуг і Результатів, а також систем, мереж, прикладних програм і базових компонентів, що використовуються для Взаємодії з Технологіями Kyndryl. Після визначення того, що рекомендоване виправлення безпеки є застосовним і відповідає вимогам, Постачальник має застосувати це виправлення відповідно до документально зафіксованих рекомендацій з урахуванням рівня важливості та ризиків. Реалізація рекомендованих виправлень безпеки регламентується політикою Постачальника щодо керування змінами.
5.8 Якщо в Kyndryl є вагомі підстави вважати, що обладнання або програмне забезпечення, що надаються їй Постачальником, можуть містити елементи, які уможливлюють вторгнення, зокрема шпигунське програмне забезпечення, шкідливе програмне забезпечення або зловмисний код, Постачальник своєчасно співпрацюватиме з Kyndryl під час розслідування випадку та виправлення моментів, що викликають занепокоєння Kyndryl.
6. Постачання Послуг.
6.1 Постачальник підтримуватиме стандартні галузеві методи об’єднаної аутентифікації для будь-яких користувачів Kyndryl або облікових записів Замовника, дотримуючись Кращих Практик Індустрії аутентифікації таких користувачів Kyndryl або облікових записів Замовника (таких як, наприклад, метод багатофакторного єдиного входу з централізованим керуванням з боку Kyndryl на основі OpenID Connect або Security Assertion Markup Language).
7. Субпідрядники. Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно утримання субпідрядників, Постачальник зобов’язаний подбати про те, аби кожен субпідрядник, який надає послуги для Постачальника, запровадив засоби управління та контролю для виконання вимог і зобов’язань, які встановлюються для Постачальника згідно з цими Положеннями.
8. Фізичні Носії. Постачальник зобов’язаний надійно виключати конфіденційну інформацію з фізичних носіїв, призначених для повторного використання, перед повторним використанням, а також знищувати фізичні носії, не призначені для повторного використання, відповідно до Кращих Практик Індустрії щодо очищення носіїв інформації.
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
-
Якщо так, то застосовуються Статті VI (Доступ до Корпоративних Систем), VII (Доповнення штату) та X (Співпраця, перевірка та виправлення).
Примітка.
Залежно від того, який доступ дозволений Постачальникові до матеріалів Kyndryl у межах Корпоративних Систем, можуть застосовуватися також Статті II (Технічні та організаційні заходи, Захист даних), III (Приватність), IV (Технічні та організаційні заходи, Захист коду) та V (Безпечна розробка).
Стаття VI. Доступ до Корпоративних Систем
Ця Стаття застосовується, якщо працівники Постачальника матимуть доступ до будь-якої Корпоративної Системи.
1. Загальні положення
1.1 Kyndryl визначатиме, чи надавати працівникам Постачальника доступ до Корпоративних Систем. Якщо Kyndryl надасть такий доступ, Постачальник зобов’язується дотримуватися вимог цієї Статті й забезпечить дотримання таких вимог своїми працівниками, які отримають такий доступ.
1.2 Kyndryl визначить засоби, за допомогою яких працівники Постачальника можуть отримати доступ до Корпоративних Систем, зокрема, чи будуть такі працівники отримувати доступ до Корпоративних Систем через Пристрої, що надаються Kyndryl або Постачальником.
1.3 Працівники Постачальника можуть отримувати доступ до Корпоративних Систем і використовувати Пристрої, дозволені Kyndryl для такого доступу, виключно для надання Послуг. Працівники Постачальника не можуть використовувати Пристрої, дозволені Kyndryl, для надання послуг будь-якій іншій особі чи організації, або для отримання доступу до будь-яких ІТ-систем, мереж, програм, веб-сайтів, інструментів електронної пошти, інструментів співпраці тощо, що належать Постачальнику або третім особам, для надання Послуг або у зв’язку з ними.
1.4 Для уникнення сумнівів, працівники Постачальника не можуть використовувати Пристрої, дозволені Kyndryl для доступу до Корпоративних Систем, в особистих цілях (наприклад, працівники Постачальника не можуть зберігати на таких Пристроях особисті файли, такі як музика, відео, світлини тощо, і не можуть користуватися Інтернетом із таких Пристроїв в особистих цілях).
1.5 Працівники Постачальника не копіюватимуть Матеріали Kyndryl, доступні через Корпоративну Систему, без попереднього письмового дозволу Kyndryl (і за жодних обставин не копіюватимуть будь-які Матеріали Kyndryl на портативний пристрій зберігання даних, такий як USB-накопичувач, зовнішній жорсткий диск тощо).
1.6 За запитом, Постачальник підтверджує за іменем працівника конкретні Корпоративні Системи, до яких його працівники мають право доступу та до яких вони отримували доступ протягом будь-якого періоду часу, визначеного Kyndryl.
1.7 Постачальник повідомлятиме Kyndryl протягом двадцяти чотирьох (24) годин після того, як будь-який працівник Постачальника, який має доступ до будь-якої Корпоративної Системи, більше не: (a) працює в Постачальника або (b) виконує діяльність, яка вимагає такого доступу. Постачальник співпрацюватиме з Kyndryl, щоб забезпечити негайне скасування доступу для таких колишніх або діючих працівників.
1.8 Постачальник негайно повідомлятиме Kyndryl про будь-які фактичні або ймовірні інциденти, пов’язані з порушенням безпеки (наприклад, про втрату Пристрою Kyndryl або Постачальника, несанкціонований доступ до Пристрою або даних, матеріалів чи іншої інформації будь-якого типу), і співпрацюватиме з Kyndryl у розслідуванні таких інцидентів.
1.9 Постачальник не повинен давати дозвіл будь-якому агенту, працівнику незалежного підрядника або субпідрядника отримувати доступ до будь-якої Корпоративної Системи без попередньої письмової згоди Kyndryl; якщо Kyndryl надасть таку згоду, Постачальник встановить для цих осіб та їхніх роботодавців договірні зобов’язання дотримуватися вимог цієї Статті так, наче ці особи є працівниками Постачальника, і відповідатиме перед Kyndryl за всі дії та бездіяльність будь-якої такої особи або роботодавця у зв’язку з таким доступом до Корпоративних Систем.
2. Програмне Забезпечення Пристроїв
2.1 Постачальник інструктуватиме своїх працівників, своєчасно встановлювати все програмне забезпечення Пристроїв, яке потрібно Kyndryl для організації безпечного доступу до Корпоративних Систем. Ні Постачальник, ні його працівники не втручатимуться в роботу цього програмного забезпечення або захисних функцій, які надає програмне забезпечення.
2.2 Постачальник та його працівники дотримуватимуться правил налаштування Пристрою, які встановлює Kyndryl, і іншим чином співпрацюватимуть з Kyndryl, щоб забезпечити функціонування програмного забезпечення відповідно до намірів Kyndryl. Наприклад, Постачальник не перевизначатиме функції програмного забезпечення щодо блокування веб-сайтів чи функцій автоматичного виправлення.
2.3 Працівники Постачальника не можуть передавати Пристрої, якими вони користуються для доступу до Корпоративних Систем, або імена користувачів, паролі тощо до своїх Пристроїв будь-яким іншим особам.
2.4 Якщо Kyndryl уповноважує працівників Постачальника отримувати доступ до Корпоративних Систем за допомогою Пристроїв Постачальника, Постачальник встановить та запустить операційну систему на тих Пристроях, які схвалить Kyndryl, та оновить її до нової версії або нової операційної системи протягом розумно необхідного строку після отримання такої інструкції від Kyndryl.
3.Контроль і Співпраця
3.1 Kyndryl має необмежені права контролювати та усувати наслідки можливих вторгнень та інших загроз кібербезпеки будь-якими способами, з будь-якого місця та використовуючи будь-які засоби, які, на думку Kyndryl, є необхідними або доречними, без попереднього повідомлення Постачальника, будь-якого працівника Постачальника чи інших осіб. Наприклад, Kyndryl може в будь-який час (a) провести перевірку безпеки на будь-якому Пристрої, (b) відстежувати, відновлювати за допомогою технічних чи інших засобів і переглядати повідомлення (включаючи електронні листи з будь-яких облікових записів електронної пошти), записи, файли тощо, які зберігаються на будь-якому Пристрої або передаються через будь-яку Корпоративну Систему, та (c) отримувати повну незмінену копію будь-якого Пристрою для експертного аналізу. Якщо в Kyndryl виникне потреба у співпраці з Постачальником для реалізації своїх прав, Постачальник буде повністю та своєчасно виконувати запити Kyndryl щодо такої співпраці (включаючи, наприклад, запити щодо безпечного налаштування будь-якого Пристрою, встановлення засобів спостереження чи іншого програмного забезпечення на будь-якому Пристрої, обміну даними про з’єднання на рівні системи, участі в заходах реагування на інциденти на будь-якому Пристрої та надання фізичного доступу до будь-якого Пристрою для отримання Kyndryl повної незміненої копії для експертного аналізу або для інших цілей, а також подібні та пов’язані з ними запити).
3.2 Kyndryl може в будь-який час відкликати доступ до Корпоративних Систем для будь-якого працівника Постачальника або всіх працівників Постачальника без попереднього повідомлення Постачальника, будь-якого працівника Постачальника або інших осіб, якщо Kyndryl вважатиме це необхідним для захисту Kyndryl.
3.3 Права Kyndryl не припиняються, не зменшуються і не обмежуються жодним чином будь-яким положенням Транзакційного Документа, пов’язаного базового договору між сторонами або будь-якого іншого договору між сторонами, включаючи будь-яке положення, яке може зобов’язувати зберігати дані, матеріали чи іншу інформацію будь-якого типу лише в певному місці чи місцях або містити умову, щоб доступ до таких даних, матеріалів чи іншої інформації був дозволений лише особам із певного місця чи місць.
4.Пристрої Kyndryl
4.1 Kyndryl зберігатиме за собою право власності на всі Пристрої Kyndryl, а Постачальник несе ризик втрати Пристроїв, у тому числі через крадіжку, умисне знищення або пошкодження або недбалість. Постачальник не буде вносити будь-які зміни в Пристрої Kyndryl і не дозволятиме це робити іншим без попередньої письмової згоди Kyndryl; під змінами тут розуміють будь-які зміни в Пристрої, включаючи будь-які зміни в програмному забезпеченні Пристрою, прикладних програмах, дизайні системи безпеки, конфігурації безпеки або фізичному, механічному та електричному дизайні.
4.2 Постачальник зобов’язаний повернути всі Пристрої Kyndryl протягом 5 робочих днів після того, як зникне потреба в цих Пристроях для надання Послуг, і на вимогу Kyndryl — одночасно знищити всі дані, матеріали та іншу інформацію будь-якого типу на цих Пристроях, не залишаючи в себе жодної копії; при цьому Постачальник повинен дотримуватися Кращих Практик Індустрії, щоб видалити всі такі дані, матеріали та іншу інформацію без можливості їхнього відновлення. Постачальник зобов’язаний запакувати та повернути Пристрої Kyndryl у тому самому стані, в якому вони були передані Постачальнику, з урахуванням природного зносу, за власний рахунок у місці, визначеному Kyndryl. Невиконання Постачальником будь-яких зобов’язань, передбачених у цьому Розділі 4.2, є істотним порушенням Транзакційного Документа, відповідного базового договору та будь-якого пов’язаного договору між сторонами; при цьому договір є «пов’язаним», якщо доступ до будь-якої Корпоративної Системи полегшує завдання або іншу діяльність Постачальника за цим договором.
4.3 Kyndryl надаватиме підтримку Пристроїв Kyndryl (включаючи перевірку Пристроїв, а також профілактичне та ремонтне обслуговування). Постачальник зобов’язаний негайно повідомляти Kyndryl про необхідність ремонтного обслуговування.
4.4 Для програмного забезпечення, яке належить Kyndryl або на яке Kyndryl має право надавати ліцензії, Kyndryl надає Постачальнику тимчасове право використовувати, зберігати та робити достатню кількість примірників, які будуть потрібні йому для дозволеного використання Пристроїв Kyndryl. Постачальник не може передавати програмне забезпечення третім особам, робити копії інформації про ліцензію на програмне забезпечення, а також розбирати, декомпілювати, виконувати інженерний аналіз або іншим чином транслювати будь-яке програмне забезпечення, якщо це прямо не дозволено чинним законодавством, без права на відмову від виконання договірних зобов’язань.
5. Оновлення
5.1 Незважаючи на жодні положення про інше, які містяться в Транзакційному Документі або пов’язаному базовому договорі між сторонами, після письмового повідомлення Постачальника та без необхідності отримувати згоду Постачальника, Kyndryl може оновити, доповнити або іншим чином змінити цю Статтю з урахуванням будь-яких вимог чинного законодавства або зобов’язань Замовника з метою підтримки актуальності кращих практик у галузі безпеки або з інших причин, як Kyndryl вважатиме за необхідне для захисту Корпоративних Систем або Kyndryl.
Стаття VII. Доповнення штату
Ця Стаття застосовується, якщо працівники Постачальника надаватимуть Послуги від імені Kyndryl протягом повного робочого дня, працюючи з приміщень Kyndryl, приміщень Постачальника або дистанційно, і під час надання Послуг користуватимуться виключно Пристроями Kyndryl для доступу до Корпоративних Систем.
1. Доступ до Корпоративних Систем; Середовища Kyndryl
1.1 Для надання Послуг Постачальник має отримувати доступ до Корпоративних Систем виключно за допомогою Пристроїв, які надає Kyndryl.
1.2 При здійсненні доступу до Корпоративних Систем Постачальник зобов’язується дотримуватися умов, викладених у Статті VI (Доступ до Корпоративних Систем).
1.3 Єдиними Пристроями, якими дозволяється користуватися Постачальнику та його працівникам для надання Послуг, є Пристрої, що надаються Kyndryl; такі Пристрої дозволяється використовувати тільки для надання Послуг. Для уникнення сумнівів, за жодних обставин Постачальник або його працівники не можуть використовувати будь-які інші пристрої для надання Послуг або використовувати Пристрої Kyndryl для будь-якого іншого замовника Постачальника або з будь-якою метою, окрім надання Послуг Kyndryl.
1.4 Працівники Постачальника, які використовують Пристрої Kyndryl, можуть обмінюватися Матеріалами Kyndryl між собою та зберігати такі матеріали на Пристроях Kyndryl, але лише в тому обсязі, в якому такий обмін і зберігання необхідні для успішного надання Послуг.
1.5 За винятком такого зберігання на Пристроях Kyndryl, Постачальник або його працівники за жодних обставин не можуть вилучати будь-які Матеріали Kyndryl зі сховищ Kyndryl, середовищ, інструментів або інфраструктури, де вони зберігаються Kyndryl.
1.6 Для уникнення сумнівів, Постачальник та його працівники не мають права передавати будь-які Матеріали Kyndryl до будь-яких сховищ, середовищ, інструментів чи інфраструктури Постачальника або будь-яких інших систем, платформ, мереж Постачальника тощо, без попередньої письмової згоди Kyndryl.
1.7 Стаття VIII (Технічні та організаційні заходи, Загальні параметри безпеки) не застосовується до Послуг Постачальника, якщо працівники Постачальника надаватимуть Послуги Kyndryl протягом усього їх робочого часу, працюючи з приміщень Kyndryl, приміщень Постачальника або дистанційно, і під час надання Послуг користуватимуться виключно Пристроями Kyndryl для доступу до Корпоративних Систем. В іншому випадку Стаття VIII застосовується до Послуг Постачальника.
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
-
Якщо так, застосовуються Статті II (Технічні та організаційні заходи, Захист даних), VIII (Технічні та організаційні заходи, Загальні параметри безпеки), IX (Сертифікації та звіти про Послуги, розміщені на сервері) та X (Співпраця, перевірка та виправлення). Стаття III (Приватність) також застосовується, якщо Постачальник має доступ до Персональних Даних під час надання Послуги Хостингу.
Приклади:
- Постачальник надає Kyndryl будь-яку пропозицію «як послугу», наприклад, пропонуючи програмне забезпечення, платформу або інфраструктуру «як послугу».
Стаття II. Технічні та організаційні заходи, Захист даних
Ця Стаття застосовується, якщо Постачальник здійснює Обробку Даних Kyndryl, інших ніж BCI Kyndryl. Постачальник зобов’язаний виконувати вимоги цієї Статті під час надання всіх Послуг і Результатів і таким чином захищати Дані Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу та незаконних форм Обробки. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та ІТ інфраструктуру, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Використання Даних
1.1 Постачальник не може додавати до Даних Kyndryl або включати разом із Даними Kyndryl будь-яку іншу інформацію або дані, зокрема будь-які Персональні Дані, без попередньої письмової згоди Kyndryl, і Постачальник не може використовувати Дані Kyndryl у будь-якій формі, зокрема у зведеній або іншій формі, для будь-яких інших цілей, окрім надання Послуг і Результатів (наприклад, Постачальнику забороняється використовувати або повторно використовувати Дані Kyndryl для оцінки ефективності або заходів удосконалення пропозицій Постачальника, для дослідження та розробки з метою створення нових пропозицій або для створення звітів стосовно пропозицій Постачальника). Якщо це прямо не дозволено в Транзакційному Документі, Постачальнику заборонено Продавати Дані Kyndryl.
1.2 Постачальник зобов’язується не включати будь-які технології для відстеження в Інтернеті в Результати або Послуги (такі технології включають HTML5, локальне сховище, теги або маркери третіх осіб і веб-маяки), якщо це прямо не дозволено в Транзакційному Документі.
2. Запити Третіх Осіб і Конфіденційність
2.1 Постачальник не розкриватиме Дані Kyndryl третім особам, окрім як після отримання попереднього письмового дозволу Kyndryl. Якщо органи державної влади, включаючи будь-які регуляторні органи, вимагають надання їм доступу до Даних Kyndryl (наприклад, якщо уряд США видає Постачальнику ордер Служби національної безпеки США на отримання Даних Kyndryl) або якщо розкриття Даних Kyndryl є обов’язковим відповідно до вимог законодавства, Постачальник зобов’язується письмово повідомити Kyndryl про таку вимогу та надати Kyndryl розумну можливість оскаржити будь-яке розкриття (якщо законодавство забороняє надавати повідомлення, Постачальник зобов’язується вжити заходів, які, на його думку, є доцільними, щоб оскаржити заборону та розкриття Даних Kyndryl у суді або із застосуванням інших засобів).
2.2 Постачальник запевняє Kyndryl, що: (а) лише ті його працівники, які мають службову необхідність у доступі до Даних Kyndryl для надання Послуг або Результатів, матимуть такий доступ, і лише в обсязі, необхідному для надання таких Послуг і Результатів; і (b) він зобов’язав своїх працівників дотримуватися зобов’язань конфіденційності, відповідно до яких такі працівники зобов’язані використовувати та розкривати Дані Kyndryl виключно в порядку, встановленому в цих Положеннях.
3. Повернення або Видалення Даних Kyndryl
3.1 Постачальник зобов’язаний, за вибором Kyndryl, видалити або повернути Kyndryl Дані Kyndryl після дострокового припинення або закінчення строку дії Транзакційного Документа або раніше на вимогу Kyndryl. Якщо Kyndryl вимагає видалити дані, то Постачальник, діючи згідно з Кращими Практиками Індустрії, має зробити дані нечитабельними, щоб їх не можна було знов зібрати або відновити, і має підтвердити для Kyndryl факт видалення. Якщо Kyndryl необхідно повернути Дані Kyndryl, Постачальник має повернути їх у встановлені Kyndryl розумні строки та згідно з розумними письмовими інструкціями Kyndryl.
Стаття III. Приватність
Ця Стаття застосовується, якщо Постачальник здійснює Обробку Персональних Даних Kyndryl.
1. Обробка
1.1 Kyndryl призначає Постачальника як Розпорядника для Обробки Персональних Даних Kyndryl з єдиною метою надання Результатів і Послуг відповідно до інструкцій Kyndryl, включаючи інструкції, що містяться в цих Положеннях, Транзакційному Документі та пов’язаному з ним базовому договорі між сторонами. Якщо Постачальник не виконує інструкції, Kyndryl може припинити споживання відповідної частини Послуг, надавши письмове повідомлення. Якщо Постачальник вважає, що інструкція порушує законодавство про захист даних, Постачальник зобов’язаний невідкладно повідомити про це Kyndryl у встановлені законодавством строки.
1.2 Постачальник дотримуватиметься всіх положень законодавства про захист даних, що стосується Послуг і Результатів.
1.3 Додаток до Транзакційного Документа або власне Транзакційний Документ встановлює щодо Даних Kyndryl:
(a) категорії Суб’єктів Даних;
(b) типи Персональних Даних Kyndryl;
(c) дії з даними та операції Обробки;
(d) тривалість та періодичність Обробки; та
(e) список Суброзпорядників.
2. Технічні та Організаційні Заходи
2.1 Постачальник впроваджуватиме та підтримуватиме технічні й організаційні заходи, описані в Статті II (Технічні та організаційні заходи, Захист даних) і Статті VIII (Технічні та організаційні заходи, Загальні параметри безпеки), і забезпечуватиме рівень безпеки, який відповідає ризику, який становлять його Послуги та Результати. Постачальник підтверджує та розуміє обмеження Статті II, цієї Статті III та Статті VIII і зобов’язується дотримуватись їх.
3. Права та Запити Суб'єктів Даних
3.1 Постачальник невідкладно (в строки, що дозволяють Kyndryl і будь-яким Іншим Володільцям виконувати їхні зобов’язання, встановлені законодавством), повідомлятиме Kyndryl про всі запити від Суб’єктів Даних, які користуються своїми правами як Суб’єкти Даних (зокрема право на уточнення, видалення або блокування даних), стосовно Персональних Даних Kyndryl. Постачальник також може у найкоротші строки дати вказівку Суб’єкту Даних надіслати такий запит до Kyndryl. Постачальник не відповідатиме на будь-які запити від Суб’єктів Даних, окрім коли це вимагається законодавством або письмовими інструкціями від Kyndryl.
3.2 Якщо Kyndryl буде зобов’язана надати інформацію щодо Персональних Даних Kyndryl Іншим Володільцям або третім особам (наприклад, Суб’єктам Даних або регуляторним органам), Постачальник має сприяти Kyndryl у цьому, надавши необхідну інформацію та виконавши інші обґрунтовані дії на запит Kyndryl, у строки, що дозволять Kyndryl своєчасно дати відповідь таким Іншим Володільцям або третім особам.
4. Суброзпорядники
4.1 Постачальник надасть Kyndryl попереднє письмове повідомлення перед додаванням нового Суброзпорядника або розширенням обсягу Обробки існуючим Суброзпорядником, із зазначенням у цьому повідомленні назви Суброзпорядника та описом нового або розширеного обсягу Обробки. Kyndryl може заперечувати проти будь-якого такого нового Суброзпорядника або розширеного обсягу з розумних підстав у будь-який час, і якщо Kyndryl скористається таким правом, сторони сумлінно співпрацюватимуть для вирішення заперечень Kyndryl. Із урахуванням права Kyndryl подавати заперечення в будь-який час, Постачальник може призначити нового Суброзпорядника або розширити обсяг Обробки існуючого Суброзпорядника, якщо Kyndryl не заявила таке заперечення протягом 30 Днів від дати письмового повідомлення від Постачальника.
4.2 Постачальник встановить зобов’язання щодо захисту даних, безпеки та сертифікації, передбачені в цих Положеннях, для кожного затвердженого Суброзпорядника перед Обробкою Суброзпорядником будь-яких Даних Kyndryl. Постачальник несе повну відповідальність перед Kyndryl за виконання зобов’язань кожним Суброзпорядником.
5. Транскордонна Обробка Даних
Hижченаведені терміни вживаються в такому значенні:
Країна з належним рівнем захисту — країна, яка забезпечує належний рівень захисту даних під час передачі відповідно до застосовного законодавства про захист даних або рішень регуляторних органів.
Імпортер Даних — Розпорядник або Суброзпорядник, заснований не в Країні з належним рівнем захисту.
Стандартні договірні положення ЄС («ЄСSCC») — Стандартні договірні положення ЄС (Рішення комісії 2021/914) із застосуванням необов’язкових позицій, за винятком опції 1 Пункту 9(а) та опції 2 Пункту 17, які офіційно опубліковані за адресою https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .
Стандартні договірні положення Сербії («SCC Сербії») — Стандартні договірні положення Сербії, прийняті «Уповноваженим Сербії щодо інформації, що становить публічний інтерес, та захисту персональних даних», які опубліковані на веб-сайті https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .
Стандартні договірні положення («SCC») — договірні положення, що вимагаються застосовним законодавством щодо передачі Персональних Даних Розпорядникам, заснованим не в Країнах із належним рівнем захисту.
Доповнення Сполученого Королівства про міжнародну передачу даних до Стандартних договірних положень ЄС («Доповнення СК») означає Доповнення Сполученого Королівства про міжнародну передачу даних до Стандартних договірних положень ЄС, офіційно опубліковане на сайті https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ .
5.1 Постачальник зобов’язаний не передавати та не розкривати (включаючи шляхом віддаленого доступу) будь-які Персональні Дані Kyndryl за межі країни без попередньої письмової згоди Kyndryl. Якщо Kyndryl надасть таку згоду, сторони співпрацюватимуть для забезпечення дотримання чинного законодавства про захист даних. Якщо таким законодавством передбачено укладення угоди SCC, Постачальник невідкладно укладе угоду SCC на вимогу Kyndryl.
5.2 Стосовно ЄС SCC:
(a)Якщо Постачальник заснований не в Країні з відповідним рівнем захисту: Постачальник укладає EU SCC як імпортер Даних із Kyndryl, і Постачальник повинен укласти письмові договори з кожним затвердженим Суброзпорядником, відповідно до Пункту 9 EU SCC, і надати Kyndryl копії таких договорів на запит Kyndryl.
(i) Модуль 1 EU SCC не застосовується, якщо інше не узгоджено в письмовому вигляді.
(ii) Модуль 2 ЄСSCC можливо, якщо Kyndryl є Володільцем, а Модуль 3 використовує, якщо Kyndryl є Розпорядником. Відповідно до Пункту 13 EU SCC, коли застосовуються Модулі 2 або 3, сторони погоджуються з тим, що (1) EU SCC регулюється законодавством країни-учасника ЄС, де знаходиться компетентний уповноважений наглядовий орган, і (2) будь-які суперечки, які виникають з EU SCC, вирішуватимуться в судах країни-учасника ЄС, де знаходиться компетентний уповноважений наглядовий орган. Якщо таке законодавство (1) не допускає права третіх осіб бенефіціарів, тоді EU SCC регулюватимуться законодавством Нідерландів, і будь-які спори, що випливають із EU SCC, (2) вирішуватимуться в судах Амстердама в Нідерландах.
(b) Якщо Постачальник розташований у країні, що є учасником Європейського Економічного Простору та Kyndryl виступає в ролі Володільця, на якого не розповсюджуються вимоги Загального Регламенту про Захист Даних 2016/679, тоді застосовується Модуль 4 EU SCC, і Постачальник цим укладає EU SCC як експортер даних із Kyndryl. Якщо застосовується Модуль 4 EU SCC, тоді сторони погоджуються, що EU SCC регулюватимуться законодавством Нідерландів, і будь-які спори, що випливають із EU SCC, вирішуватимуться в судах Амстердама в Нідерландах.
(c) Якщо Інші Володільці, наприклад Замовники або афілійовані особи, надсилають запит, щоб стати стороною EU SCC відповідно до особливої умови Пункту 7, Постачальник цим погоджується з будь-яким таким запитом.
(d) Технічні та Організаційні Заходи, які є обов’язковими для заповнення Доповнення II до EU SCC, можна знайти в цих Умовах, самому Транзакційному Документі, а також у відповідному базовому договорі, укладеному між сторонами.
(e) У разі виникнення будь-якого конфлікту між EU SCC та цими Положеннями, переважну силу матимуть EU SCC.
5.3 Стосовно Доповнення(-нь) СК:
(a) Якщо Постачальник не зареєстрований у Країні з належним рівнем захисту: (i) Постачальник цим укладає Доповнення СК з компанією Kyndryl у якості Імпортера на додаток до СДП ЄС, зазначених вище (якщо застосовно, залежно від обставин опрацювання); та (ii) Постачальник укладе письмові договори з кожним затвердженим Суброзпорядником та надасть Kyndryl копії цих договорів за запитом.
(b) Якщо Постачальник зареєстрований у Країні з належним рівнем захисту, а компанія Kyndryl є Володільцем, який не підпадає під дію Загального регламенту СК про захист даних (відповідно до законодавства Сполученого Королівства відповідно до Закону про вихід з Європейського Союзу 2018 р.), Постачальник цим укладає Доповнення СК з Kyndryl у якості Експортера для додавання до СДП ЄС, викладених у Розділі 5.2 (b) вище.
(c) Якщо Інші Володільці, такі як Замовники або афілійовані особи, вимагають приєднання до Доповнення(-нь) СК, Постачальник цим погоджується з будь-якою такою вимогою.
(d) Додаток з інформацією (як зазначено в Таблиці 3) у Доповненні(-ях) СК можна знайти в застосовних СДП ЄС, цих Положеннях, самому Транзакційному документі та пов’язаному базовому договорі між сторонами. Ні Kyndryl, ні Постачальник не можуть розірвати Доповнення СК у разі внесення до нього змін.
(e) In the event of any conflict between the UK Addendum(s) and these Terms, the UK Addendum(s) will prevail.
5.4 Стосовно SCC Сербії:
(a) Якщо Постачальник заснований не в Країні з належним рівнем захисту: (i) Постачальник цим укладає SCC Сербії із Kyndryl від імені самого Постачальника; і (ii) Постачальник повинен укласти письмові договори з кожним затвердженим Суброзпорядником, відповідно до Пункту 8 SCC Сербії, і надати Kyndryl копії таких договорів на запит Kyndryl.
(b) Якщо Постачальник заснований у Країні з належним рівнем захисту, то Постачальник цим укладає SCC Сербії із Kyndryl від імені кожного Суброзпорядника, зареєстрованого не в Країні з належним рівнем захисту. Якщо Постачальник не може зробити це від імені будь-якого з таких Суброзпорядників, Постачальник надасть Kyndryl підписані таким Суброзпорядником SCC Сербії для скріплення документа підписом Kyndryl, перш ніж дозволити Суброзпоряднику здійснювати Обробку будь-яких Персональних Даних Kyndryl.
(c) SCC Сербії між Kyndryl і Постачальником виступатимуть або в якості SCC Сербії між Володільцем і Розпорядником, або в якості взаємної письмової угоди між «володільцем» і «розпорядником», залежно від обставин. У разі виникнення будь-якого конфлікту між SCC Сербії та цими Положеннями, переважну силу матимуть SCC Сербії.
(d) Інформацію, яка є необхідною для заповнення Доповнень 1-8 до SCC Сербії з метою керування передачею Персональних Даних до країни, що належить до Країн з належним рівнем захисту, можна знайти в цих Положеннях та Додатку до Транзакційного Документа або в самому Транзакційному Документі.
6. Сприяння та Ведення Обліку
6.1 З огляду на характер Обробки, Постачальник зобов’язаний надавати Kyndryl допомогу в запровадженні належних технічних і організаційних заходів для виконання зобов’язань, пов’язаних із запитами та правами Суб’єктів Даних. Постачальник зобов’язаний також сприяти Kyndryl із метою забезпечення дотримання зобов’язань у зв’язку з безпекою Обробки, повідомленням та інформуванням про Порушення Безпеки й проведенням оцінки потенційного впливу на захист даних, включно з попередньою консультацією з відповідальним регуляторним органом, якщо це вимагається, зважаючи на інформацію, доступну Постачальнику.
6.2 Постачальник зобов’язаний вести облік імен/назв і контактних даних кожного Суброзпорядника, включаючи кожного представника Суброзпорядника та кожної особи, відповідальної за захист даних. Постачальник зобов’язаний надавати такі облікові записи на вимогу Kyndryl у строки, які дозволять Kyndryl своєчасно відповісти на будь-який запит Замовника або третьої особи.
Стаття VIII. Технічні та організаційні заходи, Загальні параметри безпеки
Ця Стаття застосовується, якщо Постачальник надає будь-які Послуги або Результати для Kyndryl, за винятком ситуацій, коли Постачальник надає доступ лише до BCI Kyndryl у процесі надання таких Послуг і Результатів (наприклад, Постачальник не Оброблятиме будь-які інші Дані Kyndryl і не матиме доступу до будь-яких інших Матеріалів Kyndryl або до будь-якої Корпоративної Системи), єдиними Послугами та Результатами Постачальника є надання Локального Програмного Забезпечення для Kyndryl, або Постачальник надає всі свої Послуги та Результати на основі моделі доповнення штату відповідно до Статті VII, включно з Розділом 1.7.
Постачальник зобов’язаний дотримуватися вимог цієї Статті і таким чином захищати: (a) Матеріали Kyndryl від втрати, знищення, зміни, випадкового або несанкціонованого розкриття, випадкового або несанкціонованого доступу, (b) Дані Kyndryl від незаконних форм Обробки й (c) Технології Kyndryl від незаконних форм Взаємодії. Вимоги цієї Статті поширюються на всі прикладні програми, платформи та інфраструктуру ІТ, функціонування яких і управління якими забезпечує Постачальник під час надання Результатів і Послуг і під час Взаємодії з Технологіями Kyndryl, включаючи всі послуги розробки, тестування, розміщення, підтримки, експлуатації та середовища центрів обробки даних.
1. Політики Безпеки
1.1 Постачальник зобов’язаний підтримувати та дотримуватися політик і практик у галузі ІТ-безпеки, які є невід’ємною частиною діяльності Постачальника та є обов’язковими для всього Персоналу Постачальника, відповідно до Кращих Практик Індустрії.
1.2 Постачальник зобов’язаний переглядати свої політики та практики у галузі ІТ-безпеки принаймні один раз на рік і вносити в них зміни, які Постачальник вважатиме за потрібне для забезпечення захисту Матеріалів Kyndryl.
1.3 Постачальник зобов’язаний підтримувати та дотримуватись стандартних обов’язкових вимог щодо перевірки працевлаштування всіх нових найманих працівників і поширювати такі вимоги на весь Персонал Постачальника та дочірні компанії, що перебувають під повним контролем Постачальника. Ці вимоги будуть включати перевірки кримінального минулого в обсягах, дозволених локальним законодавством, підтвердження ідентифікаційних даних та будь-які додаткові перевірки, які Постачальник вважатиме необхідними. Постачальник буде періодично повторювати перевірки та підтверджувати дотримання таких вимог, як він вважатиме необхідним.
1.4 Постачальник зобов’язаний щорічно організовувати навчання своїх працівників у галузі безпеки та приватності й вимагати від всіх таких працівників щорічно підтверджувати дотримання принципів етичної поведінки, конфіденційності та політик безпеки Постачальника, як це зазначено в кодексі етичної поведінки Постачальника або аналогічних документах. Постачальник зобов’язаний забезпечити додаткове навчання щодо політик і процесів для осіб із адміністративними правами доступу до будь-яких компонентів Послуг, Результатів або Матеріалів Kyndryl, спеціально призначене відповідно до їхніх службових обов’язків і підтримки Послуг, Результатів або Матеріалів Kyndryl, а також у разі необхідності забезпечити відповідність вимогам і сертифікацію.
1.5 Постачальник зобов’язаний спроектувати заходи з безпеки та приватності для захисту та забезпечення доступності Матеріалів Kyndryl, зокрема шляхом впровадження, підтримки та забезпечення відповідності політикам і процедурам, які вимагають проектованої безпеки та конфіденційності, захисту техніки, а також захисту операцій, для всіх Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl.
2. Інциденти Безпеки
2.1 Постачальник зобов’язаний підтримувати та дотримуватися задокументованих політик реагування на інциденти безпеки відповідно до Кращих Практик Індустрії щодо обробки інцидентів, пов’язаних із безпекою комп’ютерів.
2.2 Постачальник проводитиме розслідування випадків несанкціонованого доступу до Матеріалів Kyndryl або несанкціонованого використання Матеріалів Kyndryl, а також визначить і буде виконувати відповідний план реагування.
2.3 Постачальник зобов’язується невідкладно (але в жодному разі не пізніше ніж протягом 48 годин) повідомляти Kyndryl, щойно йому стане відомо про будь-яке Порушення Безпеки. Постачальник надаватиме таке повідомлення за адресою cyber.incidents@kyndryl.com . Постачальник зобов’язаний надавати на обґрунтований запит Kyndryl інформацію щодо такого порушення та стану будь-яких дій Постачальника для виправлення та відновлення діяльності. Наприклад, обґрунтовано запитувана інформація може включати журнали, що підтверджують доступ привілейованих користувачів, адміністраторів та інших користувачів до Пристроїв, систем або прикладних програм, відображення для експертного аналізу Пристроїв, систем або прикладних програм та інші подібні елементи, наскільки вони стосуються порушення або його виправлення Постачальником і відновлення діяльності.
2.4 Постачальник зобов’язаний належним чином сприяти виконанню Kyndryl зобов’язань, передбачених законодавством (зокрема зобов’язань з інформування регуляторних органів або Суб’єктів Даних) Kyndryl, афілійованих осіб Kyndryl і Замовників (а також їхніх афілійованих осіб і замовників) у зв’язку з Порушенням Безпеки.
2.5 Постачальник зобов’язаний не інформувати й не сповіщати будь-яких третіх осіб про Порушення Безпеки, окрім випадків, коли Kyndryl дасть письмовий дозвіл на це або це вимагається законодавством. Постачальник зобов’язаний письмово повідомити Kyndryl перед розповсюдженням передбачених законодавством повідомлень для третіх осіб, якщо такі повідомлення прямо чи опосередковано розкриватимуть ідентифікаційну інформацію Kyndryl.
2.6 У разі Порушення Безпеки, яке виникає внаслідок порушення Постачальником будь-якого зобов’язання за цими Положеннями:
(a) Постачальник несе відповідальність за всі понесені ним витрати, а також за фактичні витрати, понесені Kyndryl, у зв’язку з повідомленням про Порушення Безпеки відповідним регуляторним органам, іншим державним органам і галузевим органам самоврядування, засобам масової інформації (якщо цього вимагає застосовне законодавство) і Суб’єктам Даних, Замовникам та іншим особам;
(b) на запит Kyndryl, Постачальник зобов’язаний організувати і підтримувати за власні кошти кол-центр для відповідей на запитання Суб’єктів Даних щодо Порушення Безпеки та його наслідків протягом 1 року після дати, коли такі Суб’єкти Даних отримали повідомлення про Порушення Безпеки, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист. Kyndryl і Постачальник працюватимуть разом для створення сценаріїв та інших матеріалів для використання персоналом кол-центру під час обробки запитів. Крім того, повідомивши Постачальника письмово, Kyndryl може організувати та підтримувати власний кол-центр, замість зобов’язування Постачальника створювати кол-центр, і Постачальник має відшкодувати Kyndryl фактичні витрати, понесені Kyndryl для створення та підтримки такого кол-центру; і
(c) Постачальник зобов’язаний відшкодувати Kyndryl фактичні витрати, пов’язані з наданням послуг моніторингу компенсацій і відновлення компенсацій, протягом 1 року після дати повідомлення про Порушення Безпеки всіх осіб, яких стосується порушення і які зареєструвалися для отримання таких послуг, або в порядку, передбаченому будь-яким застосовним законодавством про захист даних, залежно від того, що забезпечить надійніший захист.
3. Фізичний Захист і Вхідний Контроль (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl).
3.1 Постачальник зобов’язаний забезпечити належний фізичний вхідний контроль, наприклад загородження, пункти входу з доступом по картках, камери спостереження та служби реєстрації відвідувачів, для захисту від несанкціонованого входу на Об’єкти.
3.2 Постачальник вимагатиме авторизації для доступу на Об’єкти та до контрольованих дільниць на Об’єктах, у тому числі будь-якого тимчасового доступу, а також обмежуватиме доступ відповідно до посади працівника й службової необхідності. Якщо Постачальник надає тимчасовий доступ, його вповноважений працівник супроводжуватиме будь-якого такого відвідувача під час перебування на Об’єкті та в будь-яких контрольованих дільницях.
3.3 Постачальник запровадить засоби контролю фізичного доступу, зокрема засоби контролю доступу на основі багатофакторної аутентифікації, які відповідають Кращим Практикам Індустрії, щоб належним чином обмежити вхід до контрольованих дільниць на Об’єктах, реєструватиме всі спроби входу та зберігатиме такі журнали щонайменше протягом одного року.
3.4 Постачальник зобов’язаний відкликати доступ на Об’єкти та на контрольовані дільниці на Об’єктах у разі (а) відсторонення з будь-яких причин уповноваженого працівника Постачальника або (b) зникнення службової необхідності в такому доступі в уповноваженого працівника Постачальника. Постачальник зобов’язаний дотримуватися офіційних задокументованих процедур відсторонення працівника, які включають швидке видалення зі списків контролю доступу та здавання пропусків доступу.
3.5 Постачальник зобов’язаний вживати запобіжних заходів для захисту фізичної інфраструктури, яка використовується для підтримки Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, від екологічних загроз, як природних, так і техногенних, наприклад підвищення температури довкілля, пожежі, повені, вологості, крадіжки та вандалізму.
4. Контроль Доступу, Втручання, Передавання та Розподілу Обов’язків
4.1 Постачальник зобов’язаний підтримувати задокументовану архітектуру мережевої безпеки, яка використовується під час роботи з Послугами, надання ним Результатів і Взаємодії з Технологіями Kyndryl. Постачальник зобов’язаний окремо перевірити таку мережеву архітектуру та запровадити заходи, спрямовані на запобігання неавторизованим мережевим з’єднанням до систем, прикладних програм і мережевих пристроїв, для забезпечення дотримання вимог безпечної сегментації, ізоляції та стандартів захисту. Постачальник не може використовувати технологію бездротового зв’язку для розміщення та функціонування будь-яких Послуг, розміщених на сервері; в інших випадках Постачальник може використовувати бездротові мережеві технології для надання Послуг і Результатів, а також Взаємодії з Технологіями Kyndryl, але Постачальник повинен використовувати шифрування та забезпечити захищені механізми автентифікації для будь-яких таких бездротових мереж.
4.2 Постачальник зобов’язаний підтримувати заходи, розроблені для логічного розподілу Матеріалів Kyndryl і запобігання розкриттю або несанкціонованому доступу до Матеріалів Kyndryl з боку неуповноважених осіб. Крім того, Постачальник забезпечить відповідну ізоляцію робочого, неробочого та іншого середовища, і якщо Матеріали Kyndryl уже знаходяться в неробочому середовищі або передаються в таке середовище (наприклад, для відтворення помилки), Постачальник гарантуватиме, що заходи безпеки та приватності в неробочому середовищі відповідають аналогічним заходам у робочому середовищі.
4.3 Постачальник шифруватиме Матеріали Kyndryl під час передачі та зберігання (окрім випадків, коли Постачальник може надати Kyndryl достатні докази технічної неможливості шифрування Матеріалів Kyndryl під час зберігання). Крім того, Постачальник шифруватиме всі фізичні носії, якщо такі є, наприклад носії з файлами резервних копій. Постачальник зобов’язаний підтримувати задокументовані процедури безпечної генерації, випуску, розповсюдження, зберігання, заміни, відкликання, відновлення, резервування, знищення, отримання та використання ключів, пов’язаних із шифруванням даних. Постачальник зобов’язаний забезпечити відповідність криптографічних методів, які використовуються для шифрування, Кращим Практикам Індустрії (таким як, наприклад, NIST SP 800-131 a).
4.4 Якщо Постачальнику буде потрібен доступ до Матеріалів Kyndryl, Постачальник зобов’язаний обмежити такий доступ до мінімального рівня, необхідного для надання та підтримки Послуг і Результатів. Постачальник зобов’язаний забезпечити, щоб такий доступ, включно з адміністративним доступом до будь-яких основних компонентів (тобто привілейований доступ), був індивідуальним, таким, що ґрунтується на ролі, та вимагати затвердження й регулярної перевірки уповноваженими особами Постачальника відповідно до принципів розподілу обов’язків. Постачальник зобов’язаний підтримувати заходи для ідентифікації та видалення зайвих і неактивних облікових записів. Постачальник зобов’язаний анулювати облікові записи з привілейованим доступом протягом двадцяти чотирьох (24) годин після відсторонення власника облікового запису або на вимогу Kyndryl або будь-якого уповноваженого працівника Постачальника, наприклад менеджера власника облікового запису.
4.5 Відповідно до Кращих Практик Індустрії, Постачальник зобов’язаний підтримувати технічні заходи, що забезпечують тайм-аути неактивних сеансів, блокування облікових записів після кількох послідовних невдалих спроб входу, надійної автентифікації на основі пароля або парольної фрази, а також заходи, що вимагають безпечного передавання та зберігання таких паролів і парольних фраз. Крім того, Постачальник застосовуватиме багатофакторну аутентифікацію для привілейованого доступу до будь-яких Матеріалів Kyndryl без використання консолі.
4.6 Постачальник зобов’язаний відстежувати застосування прав привілейованого доступу та забезпечувати заходи керування подіями та інформацією про безпеку, призначені для: (a) виявлення спроб несанкціонованого доступу та діяльності; (b) сприяння своєчасному і відповідному реагуванню на такий доступ і діяльність; і (c) забезпечення аудиту відповідності задокументованим політикам Постачальника з боку Постачальника, Kyndryl (відповідно до її прав перевірки згідно з цими Положеннями та прав на аудит, визначених в Транзакційному Документі, відповідному базовому договорі або іншому пов’язаному договорі між сторонами) та інших осіб.
4.7 Постачальник зберігатиме журнали реєстрації, відповідно до Кращих Практик Індустрії, усіх операцій доступу адміністраторів, користувачів або іншого доступу чи операцій в системах або у зв’язку з системами, що використовуються для надання Послуг і Результатів, а також для Взаємодії з Технологіями Kyndryl (а також надаватиме такі журнали на запит Kyndryl). Постачальник зобов’язаний підтримувати заходи, спрямовані на захист від несанкціонованого доступу, модифікації та випадкового або навмисного знищення таких журналів.
4.8 Постачальник забезпечить захист комп’ютерів для систем, які належать йому або якими він управляє, включаючи системи кінцевих користувачів, і які він використовує для надання Послуг або Результатів, або для Взаємодії з Технологіями Kyndryl; засоби захисту включають зокрема: брандмауери кінцевих точок, засоби шифрування всього диска, технології виявлення та протидії в кінцевих точках на основі підписів та без використання підписів стосовно зловмисного коду та найновіших стійких загроз, рішення для тимчасового блокування екрану та керування кінцевими точками, що забезпечують виконання вимог щодо конфігурації безпеки та застосування виправлень. Крім того, Постачальник запровадить технічні та операційні засоби контролю, які забезпечать можливість доступу до мереж Постачальника лише з відомих та перевірених систем кінцевих користувачів.
4.9 Згідно з Кращими Практиками Індустрії, Постачальник забезпечуватиме захист для середовищ центрів обробки даних, де зберігаються або обробляються Матеріали Kyndryl, зокрема: засоби виявлення та попередження вторгнень та протидії атакам типу «відмова в обслуговуванні» та зниження їхніх ризиків.
5. Контроль Цілісності та Доступності Послуг і Систем
5.1 Постачальник зобов’язаний (a) проводити оцінку ризиків безпеки та приватності принаймні один раз на рік; (b) проводити тестування безпеки та оцінювання вразливостей, включно з автоматичним скануванням безпеки системи та прикладних програм і неавтоматизованими процедурами етичного проникнення, перед застосуванням у робочому середовищі та щорічно після цього, що стосується Послуг і Результатів, а також щорічно у зв’язку із Взаємодією з Технологіями Kyndryl; (c) залучати кваліфіковану незалежну сторонню організацію для проведення тестування на проникнення згідно з Кращими Практиками Індустрії принаймні раз на рік, причому тестування має включати як автоматичне, так і ручне тестування; (d) забезпечувати автоматизоване керування та перевірку кожного компонента Послуг і Результатів, а також у зв’язку із Взаємодією з Технологіями Kyndryl на відповідність вимогам конфігурації безпеки; і (e) виправляти виявлені вразливості або невідповідність вимогам конфігурації безпеки з урахуванням ризиків, імовірності використання та впливу. Постачальник щоб зобов'язаний реалізувати обґрунтовані заходи, уникнути порушення Послуги під час тестування, оцінки, сканування та виправлення. На запит Kyndryl, Постачальник надасть Kyndryl письмовий звіт про останні операції тестування на проникнення, проведені Постачальником, який має містити принаймні найменування пропозицій, розглянутих під час тестування, кількість систем або прикладних програм, обраних для тестування, дати тестування, методологію тестування та загальний огляд результатів.
5.2 Постачальник буде підтримувати політики та процедури, призначені для управління ризиками, пов’язаними із застосуванням змін до Послуг або Результатів, або до Взаємодії з Технологіями Kyndryl. Перед застосуванням таких змін, включаючи зміни відповідних систем, мереж і базових компонентів, Постачальник зобов’язаний задокументувати в зареєстрованому запиті на зміну: (a) опис та причини зміни, (b) деталі реалізації та графік, (c) дані про ризики, що стосуються впливу на Послуги та Результати, замовників Послуг, або Матеріали Kyndryl, (d) очікуваний результат, (e) план відкликання та (f) процедуру затвердження уповноваженими працівниками Постачальника.
5.3 Постачальник зобов’язаний вести облік усіх ІТ-ресурсів, які використовуються під час функціонування Послуг, постачання Результатів і Взаємодії з Технологіями Kyndryl. Постачальник безперервно відстежуватиме та контролюватиме стан (у тому числі потужність) і доступність таких ІТ-ресурсів, Послуг, Результатів і Технологій Kyndryl, включаючи відповідні базові компоненти таких ресурсів, Послуг, Результатів і Технологій Kyndryl.
5.4 Постачальник розроблятиме всі системи, які він використовує в процесі розробки або функціонування Послуг і Результатів, а також під час Взаємодії з Технологіями Kyndryl, на основі попередньо визначених образів безпеки системи або рекомендацій безпеки, які відповідають Кращим Практикам Індустрії, наприклад критеріям Центру Інтернет-безпеки (CIS).
5.5 Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно безперервності бізнес-процесів, Постачальник зобов’язаний окремо оцінювати кожну Послугу та Результат і кожну ІТ-систему, що використовується для Взаємодії з Технологіями Kyndryl, щодо виконання вимог безперервності бізнес-процесів та ІТ-процесів і відновлення в аварійних ситуаціях відповідно до задокументованих рекомендацій з управління ризиками. Постачальник зобов’язаний забезпечити, щоб кожна така Послуга, Результат та ІТ-система мала, у тій мірі, в якій це підтверджує оцінка ризиків, окремо визначені, задокументовані, підтримувані та щорічно перевірювані плани забезпечення безперервності бізнес-процесів та ІТ-процесів і програми аварійного відновлення згідно з Кращими Практиками Індустрії. Постачальник зобов’язаний розробляти такі плани з метою забезпечення дотримання конкретних показників часу відновлення, визначених у розділі 5.6 нижче.
5.6 Показники цільової точки відновлення («RPO») і цільового часу відновлення («RTO») для будь-якої Послуги, розміщеної на сервері, визначаються наступним чином: 24 години RPO та 24 години RTO; незважаючи на це, Постачальник забезпечуватиме відповідність будь-яким більш строгим показникам RPO або RTO, які Kyndryl зобов’язалася виконувати для Замовника, негайно після отримання від Kyndryl письмового повідомлення про застосування коротших інтервалів RPO або RTO (повідомлення електронною поштою означає письмове повідомлення). Оскільки це стосується всіх інших Послуг, які Постачальник надає Kyndryl, Постачальник гарантуватиме, що його плани безперервності бізнес-процесів і аварійного відновлення розроблені для виконання RPO та RTO, забезпечуючи виконання зобов’язань Постачальника перед Kyndryl згідно з Транзакційним Документом, відповідним базовим договором між сторонами та цими Положеннями, включаючи зобов’язання щодо своєчасного тестування, підтримки та обслуговування.
5.7 Постачальник мусить підтримувати заходи, спрямовані на оцінювання, тестування та застосування рекомендованих виправлень безпеки до Послуг і Результатів, а також пов’язаних із ними систем, мереж, прикладних програм і базових компонентів у межах сфери дії таких Послуг і Результатів, а також систем, мереж, прикладних програм і базових компонентів, що використовуються для Взаємодії з Технологіями Kyndryl. Після визначення того, що рекомендоване виправлення безпеки є застосовним і відповідає вимогам, Постачальник має застосувати це виправлення відповідно до документально зафіксованих рекомендацій з урахуванням рівня важливості та ризиків. Реалізація рекомендованих виправлень безпеки регламентується політикою Постачальника щодо керування змінами.
5.8 Якщо в Kyndryl є вагомі підстави вважати, що обладнання або програмне забезпечення, що надаються їй Постачальником, можуть містити елементи, які уможливлюють вторгнення, зокрема шпигунське програмне забезпечення, шкідливе програмне забезпечення або зловмисний код, Постачальник своєчасно співпрацюватиме з Kyndryl під час розслідування випадку та виправлення моментів, що викликають занепокоєння Kyndryl.
6. Постачання Послуг.
6.1 Постачальник підтримуватиме стандартні галузеві методи об’єднаної аутентифікації для будь-яких користувачів Kyndryl або облікових записів Замовника, дотримуючись Кращих Практик Індустрії аутентифікації таких користувачів Kyndryl або облікових записів Замовника (таких як, наприклад, метод багатофакторного єдиного входу з централізованим керуванням з боку Kyndryl на основі OpenID Connect або Security Assertion Markup Language).
7. Субпідрядники. Без обмеження зобов’язань Постачальника або прав Kyndryl за Транзакційним Документом або відповідним базовим договором між сторонами стосовно утримання субпідрядників, Постачальник зобов’язаний подбати про те, аби кожен субпідрядник, який надає послуги для Постачальника, запровадив засоби управління та контролю для виконання вимог і зобов’язань, які встановлюються для Постачальника згідно з цими Положеннями.
8. Фізичні Носії. Постачальник зобов’язаний надійно виключати конфіденційну інформацію з фізичних носіїв, призначених для повторного використання, перед повторним використанням, а також знищувати фізичні носії, не призначені для повторного використання, відповідно до Кращих Практик Індустрії щодо очищення носіїв інформації.
Стаття IX. Сертифікати та звіти про Послуги, розміщені на сервері
Ця Стаття застосовується, якщо Постачальник надає Kyndryl Послуги, розміщені на сервері.
1.1 Постачальник повинен отримати такі сертифікати та звіти протягом зазначених нижче періодів часу:
Сертифікати / Звіти
Строк
Стосовно Послуг, розміщених на сервері, що надаються Постачальником:
Сертифікат відповідності вимогам стандарту ISO 27001 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою», сертифікат видається на основі оцінки авторитетного незалежного аудитора
або
SOC 2 Типу 2: звіт від авторитетного незалежного аудитора, який демонструє результати перевірки систем, засобів контролю та операцій Постачальника відповідно до SOC 2 Типу 2 (включаючи, як мінімум, щодо захисту, конфіденційності та доступності).
Постачальник має отримати сертифікат відповідності вимогам ISO 27001 протягом 120 Днів від дати набуття чинності цього Транзакційного Документа* або Дати Припущення** і далі має поновлювати сертифікат на основі оцінки авторитетного незалежного аудитора кожні 12 місяців після цього (відповідно до чинної на той момент версії стандарту)
Постачальник має отримати звіт SOC 2 Типу 2 протягом 240 днів після дати набуття чинності цього Транзакційного Документа* або Дати Припущення** і далі отримувати новий звіт від авторитетного незалежного аудитора, який демонструє результати перевірки систем, засобів контролю та операцій Постачальника відповідно до SOC 2 Типу 2 (включаючи, як мінімум, щодо захисту, конфіденційності та доступності) кожні 12 місяців після цього
* Якщо з дати набуття чинності Постачальник надає Послугу, розміщену на сервері
** Дата, з якої Постачальник передбачає зобов’язання надавати Послугу, розміщену на сервері
1.2 Якщо Постачальник надасть письмовий запит, а Kyndryl письмово затвердить його, Постачальник може отримати сертифікат або звіт, еквівалентний по суті вищезазначеним сертифікатам або звітам, при цьому строки, зазначені в попередній таблиці, застосовуватимуться без змін для еквівалентного по суті сертифіката або звіту.
1.3 Постачальник зобов’язаний: (a) на запит своєчасно надавати Kyndryl копію кожного сертифіката та звіту, який Постачальник має отримати; і (b) негайно усувати будь-які недоліки внутрішнього контролю, зазначені під час перевірок SOC 2 або по суті еквівалентних їм перевірок (за умови схвалення Kyndryl).
Стаття X. Співпраця, перевірка та виправлення
Ця Стаття застосовується, якщо Постачальник надає Kyndryl будь-які Послуги або Результати.
1. Співпраця з боку Постачальника
1.1 Якщо в Kyndryl є підстави сумніватися, чи якісь Послуги або Результати могли сприяти, сприяють або сприятимуть будь-яким проблемам кібербезпеки, тоді Постачальник співпрацюватиме в обґрунтованому обсязі за будь-яким запитом Kyndryl щодо такої проблеми, в тому числі шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо.
1.2 Сторони домовляються: (a) надавати на запит одна одній таку додаткову інформацію, (b) оформляти та передавати одна одній такі інші документи, і (c) здійснювати такі інші дії, яких може обґрунтовано вимагати інша сторона з метою реалізації наміру цих Положень і документів, зазначених у Положеннях. Наприклад, на запит Kyndryl Постачальник зобов’язаний вчасно надавати умови щодо приватності та безпеки, передбачені в письмових договорах із Суброзпорядниками та субпідрядниками, включаючи шляхом надання доступу до самих договорів, якщо в Постачальника є таке право.
1.3 На запит Kyndryl Постачальник зобов’язаний вчасно надавати інформацію про те, в яких країнах були виготовлені, розроблені або іншим чином отримані його Результати та компоненти цих Результатів.
2. Перевірка (далі за текстом термін «Об’єкт» означає фізичне розташування, де Постачальник розміщує, обробляє або іншим чином отримує доступ до Матеріалів Kyndryl)
2.1 Постачальник зобов’язаний вести у форматі, що дозволяє провести аудит, документацію, що демонструє відповідність цим Положенням.
2.2 Kyndryl, самостійно або разом із зовнішнім аудитором, може, письмово повідомивши Постачальника за 30 Днів, перевірити дотримання Постачальником цих Положень, в тому числі шляхом доступу до будь-якого Об’єкта або Об’єктів для таких цілей, однак Kyndryl не матиме доступу до жодного центру обробки даних, у якому Постачальник обробляє Дані Kyndryl, якщо в неї не буде об’єктивних підстав вважати, що при цьому вона отримає необхідну інформацію. Постачальник співпрацюватиме під час проведення перевірки Kyndryl, включаючи шляхом своєчасного та повного реагування на запити на отримання інформації шляхом надання документів, інших реєстраційних записів, проведення опитування відповідного Персоналу Постачальника тощо. Постачальник може надати підтвердження дотримання схваленого кодексу поведінки або галузевого механізму сертифікації або надати Kyndryl інформацію, яка може підтвердити виконання ним цих Положень.
2.3 Перевірка здійснюється не частіше одного разу протягом будь-якого 12-місячного періоду, крім випадків, коли: (a) Kyndryl перевіряє усунення Постачальником проблем, виявлених під час попередньої перевірки за 12-місячний період, або (b) сталося Порушення Безпеки і Kyndryl хоче перевірити, як виконуються зобов’язання, що мають стосунок до порушення. У будь-якому випадку Kyndryl надасть таке саме письмове повідомлення за 30 Днів, як зазначено в розділі 2.2 вище, але невідкладність усунення Порушення Безпеки може потребувати того, щоб Kyndryl провела перевірку з письмовим повідомленням менше ніж за 30 Днів.
2.4 Регуляторний орган або інший Володілець може користуватися тими самими правами, що й Kyndryl відповідно до розділів 2.2 та 2.3, при цьому регуляторний орган може користуватися будь-якими додатковими правами, передбаченими законодавством.
2.5 Якщо Kyndryl має вагомі підстави для висновку, що Постачальник не відповідає якомусь пункту цих Положень (незалежно від того, чи виникає така підстава внаслідок перевірки згідно з цими Положеннями чи іншим чином), Постачальник зобов’язаний негайно усунути таке невиконання.
3. Програма боротьби з контрафактною продукцією
3.1 Якщо Результати Постачальника включають електронні компоненти (наприклад, жорсткі диски, твердотільні накопичувачі, пам’ять, центральні процесори, логічні пристрої або кабелі), Постачальник зобов’язаний підтримувати та виконувати задокументовану програму запобігання підробкам, щоб у першу чергу — і найголовніше — запобігти тому, щоб Постачальник надавав контрафактні компоненти Kyndryl і, по-друге, негайно виявляти та виправляти всі випадки, коли Постачальник помилково надає Kyndryl контрафактні компоненти. Постачальник так само зобов’яже всіх своїх постачальників, які надають електронні компоненти, включені в Результати Постачальника для Kyndryl, підтримувати та виконувати задокументовану програму запобігання підробкам.
4. Виправлення
4.1 Якщо Постачальник не виконує якихось своїх зобов’язань за цими Положеннями, і таке невиконання призводить до Порушення Безпеки, тоді Постачальник зобов’язаний усунути невиконання та виправити негативні наслідки Порушення Безпеки, виконавши відповідні дії згідно з обґрунтованими інструкціями та графіком Kyndryl. Якщо Порушення Безпеки виникає через надання Постачальником мультиарендної Послуги, розміщеної на сервері, і в подальшому впливає на велику кількість клієнтів Постачальника, включно з Kyndryl, тоді Постачальник зобов’язується, з урахуванням характеру Порушення Безпеки, своєчасно і належним чином усунути невиконання та виправити негативні наслідки Порушення Безпеки, врахувавши належним чином будь-яку інформацію Kyndryl щодо таких виправлень та усунень.
4.2 Kyndryl матиме право брати участь у виправленні будь-якого Порушення Безпеки, описаного в Розділі 4.1, як вона вважає за доцільне або необхідне, і Постачальник буде нести відповідальність за свої витрати та витрати на усунення невиконання, а також за витрати на виправлення та витрати, які несуть сторони, стосовно будь-якого такого Порушення Безпеки.
4.3 Наприклад, витрати на виправлення та витрати, пов’язані з Порушенням Безпеки, можуть включати витрати на виявлення та розслідування Порушення Безпеки, визначення обов’язків відповідно до чинного законодавства та нормативних актів, надання повідомлень про порушення, створення та підтримку кол-центрів, надання послуг моніторингу компенсацій і відновлення компенсацій, перезавантаження даних, виправлення дефектів продукту (включаючи за допомогою розробки Вихідного Коду чи іншої розробки), утримання сторонніх осіб для допомоги в попередніх або інших відповідних заходах, а також інші витрати, необхідні для усунення шкідливих наслідків Порушення Безпеки. Для уникнення сумнівів, витрати на виправлення не включатимуть втрати Kyndryl упущеної вигоди, бізнесу, вартості, гудвілу або втрату очікуваних заощаджень.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Визначення
Слова з великої літери мають значення, наведені нижче, інші значення, встановлені в цих Положеннях, у Транзакційному Документі або пов’язаному базовому договорі між сторонами. Терміни «Послуги» та «Результати», ймовірніше, будуть визначені в Транзакційному Документі або пов’язаному базовому договорі між сторонами; але якщо ні, то термін «Послуги» означає будь-які Послуги, розміщені на сервері, послуги з консультування, встановлення, налаштування, обслуговування, підтримки, доповнення штату, підприємницькі, технічні або інші послуги, які Постачальник надає Kyndryl, як зазначено в Транзакційному Документі; термін «Результати» означає будь-яке програмне забезпечення, платформи, прикладні програми або інші продукти чи елементи та відповідні пов’язані з ними матеріали, які Постачальник надає Kyndryl, як зазначено в Транзакційному Документі.
Ділова Контактна Інформація («BCI») — Персональні Дані, які використовуються для зв’язку, ідентифікації або автентифікації особи в професійних або бізнес цілях. Зазвичай BCI включає ім’я особи, адресу робочої електронної пошти, фізичну адресу, номер телефону та інші подібні відомості.
Хмарна Послуга — будь-яка пропозиція «як послуга», що розміщується на сервері або знаходиться в управлінні Постачальника, включаючи пропозиції «програмне забезпечення як послуга», «платформа як послуга» або «інфраструктура як послуга».
Володілець — фізична або юридична особа, державний орган, установа чи інша організація, яка самостійно або спільно з іншими ознаками цілі та засобів Обробки Персональних Даних.
Корпоративна Система — ІТ-система, платформа, прикладна програма, мережа тощо, від яких залежить діяльність Kyndryl, включаючи такі, що розміщені в або доступні за допомогою корпоративної мережі Kyndryl, мережі Інтернет або іншим чином.
Замовник — замовник Kyndryl.
Суб’єкт Даних — фізична особа, яку можна ідентифікувати, безпосередньо або опосередковано, зокрема за допомогою посилання на ім’я, ідентифікаційний номер, дані про розташування, ідентифікатор в Інтернеті, або однієї чи декількох індивідуальних ознак фізичного, фізіологічного, генетичного, психічного, економічного, культурного або соціального характеру.
День або Дні — календарні дні, якщо не зазначено «робочі» дні.
Персональні Дані — будь-яка інформація, яка стосується Суб’єкта Даних, та будь-яка інша інформація, яка має статус "персональних даних" або аналогічний статус відповідно до будь-якого закону про захист даних.
Персонал — особи, які є працівниками Kyndryl або Постачальника, агентами Kyndryl або Постачальника, незалежними підрядниками, залученими Kyndryl або Постачальником, або призначені субпідрядником у розпорядження сторони.
Обробляти або Обробка — будь-яка дія або сукупність дій, виконуваних над Даними Kyndryl, включаючи зберігання,
Пристрій — робоча станція, ноутбук, планшетний ПК, смартфон або персональний цифровий помічник, що надається Постачальником або Kyndryl.
Взаємодіяти, Взаємодіє або Взаємодія включають всі види доступу, використання, зберігання та всі інші види взаємодії з технологією Kyndryl.
Послуга, розміщена на сервері — будь-яка послуга центру обробки даних, послуга прикладних програм, ІТ-послуга або Хмарна Послуга, яка розміщена на сервері Постачальника або перебуває під його керуванням.
Дані Kyndryl — усі та будь-які електронні файли, матеріали, текстові, аудіо-, відео та інші дані, у тому числі будь-які Персональні Дані Kyndrylі Дані Kyndryl, що не належать до категорії Персональних Даних, які Kyndryl, Персонал Kyndryl, Замовник, працівники Замовника або будь-яка інша фізична чи юридична особа, у зв’язку з будь-яким Транзакційним Документом, надає Постачальнику, завантажує чи зберігає в межах Послуги, розміщеної на сервері, або до яких Постачальник може отримати доступ в інший спосіб і які Постачальник Обробляє від імені Kyndryl.
Матеріали Kyndryl— усі та будь-які Дані Kyndrylі Технологія Kyndryl.
Персональні Дані Kyndryl— Персональні Дані, які Постачальник Обробляє від імені Kyndryl. Персональні Дані Kyndryl включають Персональні Дані, які знаходяться під контролем Kyndryl, і Персональні Дані, які Kyndryl Обробляє від імені Інших Володільців.
Вихідний Код Kyndryl— Вихідний Код, який Kyndryl має у своїй використання, доступ і зчитування.
Розпорядник — фізична або юридична особа, яка здійснює Обробку Персональних Даних від імені Володільця.
Порушення Безпеки — порушення безпеки, яке призводить до: (a) втрати, знищення, зміни або випадкового або несанкціонованого розкриття Матеріалів Kyndryl, (b) випадкового або несанкціонованого доступу до Матеріалів Kyndryl, (c) незаконної Обробки Даних Kyndryl або (d) незаконної Взаємодії з Технологією Kyndryl.
Продавати (або Продаж) — продаж, надання в оренду, випуск, розкриття, розповсюдження, власності або на користування яким надає ліцензію.
Технологія Kyndryl— Вихідний Код Kyndryl, інший код, мови опису, мікропрограми, програмне забезпечення, інструменти, проекти, схеми, графічні представлення, вбудовані ключі, сертифікати та інша інформація, матеріали, активи, документи та технології, на користування якими Kyndryl видала ліцензію (прямо або опосередковано) або які Kyndryl надала Постачальнику іншим способом у зв’язку з Транзакційним Документом або відповідним договором між Kyndryl і Постачальником.
Включає та Включаючи з великої або з малої літери не вважатимуться термінами, що означають обмеження.
Кращі Практики (best practices) Індустрії — практики, які відповідають рекомендованим або обов’язковим практикам, визначеним Національним інститутом стандартів і технологій США або Міжнародною організацією зі стандартизації, або будь-яким іншим органом чи організацією аналогічної репутації та рівня.
ІТ — інформаційні технології.
Інший Володілець — будь-яка організація, крім Kyndryl, яка є Володільцем Даних Kyndryl, така як афілійована особа Kyndryl, Замовник або афілійована особа Замовника.
Локальне Програмне Забезпечення — програмне забезпечення, яке Kyndryl або субпідрядник запускає, встановлює або використовує на серверах або в системах Kyndryl або субпідрядника. Для ясності, Локальне Програмне Забезпечення є Результатом Постачальника. надання в розпорядження, передача або інше повідомлення даних, зроблене усно, в письмовій формі або за допомогою електронних або інших засобів, за грошову винагороду або за інше зустрічне задоволення.
Вихідний Код — програмний код у формі, що її може прочитати людина, який розробники використовують для розробки або обслуговування продукту, але який не надається кінцевим споживачам під час звичайного комерційного розповсюдження або використання продукту.
Суброзпорядник — будь-який субпідрядник Постачальника, включаючи афілійовану особу Постачальника, який Обробляє Дані Kyndryl.