Podmienky týkajúce sa ochrany osobných údajov a zabezpečenia
Tieto Podmienky týkajúce sa ochrany osobných údajov a zabezpečenia stanovujú práva a povinnosti Kyndryl a Dodávateľa vo vzťahu k ochrane osobných údajov, zabezpečenia a súvisiacich záležitostí (ďalej len „Podmienky“). Tieto Podmienky sa stávajú súčasťou Súpisu prác, Pracovných poverení a podobných dokumentov, ktoré zmluvné strany medzi sebou uzavreli a ktoré na ne odkazujú (ďalej aj „Transakčný dokument“). Tieto Podmienky sa vzťahujú na konkrétnu transakciu špecifikovanú v Transakčnom dokumente.
V záujme zjednodušenia môže Dodávateľ na tejto webovej stránke začiarknuť políčka, ktoré charakterizujú transakciu a zobraziť tým Podmienky. V závislosti od situácie sa môže na transakciu vzťahovať viacero políčok. Na objasnenie: Skutočnosti uvedené v Transakčnom dokumente len stanovujú Podmienky pre transakciu, nie Podmienky, ktoré sa zobrazia, keď Dodávateľ Začiarkne tieto políčka.
V prípade rozporu medzi Podmienkami a Transakčným dokumentom alebo súvisiacou východiskovou alebo inou zmluvou uzavretou medzi zmluvnými stranami vrátane zmluvy o spracúvaní údajov sa budú uplatňovať ustanovenia v týchto Podmienkach. Vyhlásenia, ktoré sa vyžadujú na základe týchto Podmienok, sa budú realizovať v súlade s ustanoveniami o vyhláseniach v Transakčnom dokumente.
Pojmy uvedené veľkými začiatočnými písmenami v týchto Podmienkach sa budú interpretovať v súlade s časťou Definície nižšie.
Začiarknite políčka, ktoré charakterizujú Služby poskytované v rámci tejto konkrétnej transakcie: |
-
Ak áno, takýto prístup bude podliehať Článku I („Obchodné kontaktné informácie“) a Článku X (Spolupráca, overovanie a riešenie problémov).
Príklady:
- Dodávateľ používa mená, e-mailové adresy a telefónne čísla zamestnancov Kyndryl alebo Zákazníka v súvislosti s podporou alebo údržbou.
- Kyndryl používa mená a e-mailové adresy zamestnancov Dodávateľa na ich overenie pri prístupe k Podnikovému systému.
Poznámka:
Ak Dodávateľ poskytuje služby údržby alebo podpory, môže mať prístup aj k inými údajom ako Obchodné kontaktné informácie (napríklad protokolovým súborom obsahujúcim alebo neobsahujúcim Osobné údaje). v tomto prípade by mal Dodávateľ začiarknuť aj políčko pri položke 2 (ak bude mať prístup k Osobným údajom) a položke 3 (ak bude mať prístup k iným ako Osobným údajom).
Článok I, Obchodné kontaktné informácie
Tento Článok sa uplatňuje vtedy, ak Dodávateľ alebo Kyndryl Spracúvajú Obchodné kontaktné informácie druhej zmluvnej strany.
1.1 Kyndryl a Dodávateľ môžu spracúvať Obchodné kontaktné informácie druhej zmluvnej strany v súvislosti so svojimi obchodnými operáciami v rámci poskytovania Služieb a Dodávaných produktov Dodávateľom.
1.2 Zmluvné strany:
(a) nebudú používať ani poskytovať Obchodné kontaktné informácie druhej zmluvnej strany na žiadne iné účely (na objasnenie: žiadna zo zmluvný strán nebude Predávať Obchodné kontaktné informácie druhej zmluvnej strany na marketingové účely bez predchádzajúceho písomného súhlasu dotknutej zmluvnej strany a, ak to bude nevyhnutné, predchádzajúceho písomného súhlasu Dotknutých osôb);
(b) bezodkladne odstráni, upraví, opraví a vráti Obchodné kontaktné informácie, poskytne informácie o ich Spracúvaní, obmedzí ich Spracúvanie alebo vykoná iné primerané činnosti, o ktoré druhá zmluvná strana písomne požiada.
1.3 Zmluvné strany neuzatvárajú vzťah spoločného Prevádzkovateľa údajov v súvislosti s Obchodnými kontaktnými informáciami druhej zmluvnej strany a žiadne ustanovenie Transakčného dokumentu sa nebude interpretovať ani chápať tak, ako keby jeho cieľom bolo uzatvoriť vzťah spoločného Prevádzkovateľa údajov.
1.4 Ďalšie informácie o Spracúvaní Obchodných kontaktných informácií zo strany Kyndryl sú uvedené vo Vyhlásení o ochrane osobných údajov Kyndryl, ktoré je k dispozícii na adrese https://www.kyndryl.com/privacy
1.5 Zmluvné strany zaviedli a budú udržiavať technické a organizačné bezpečnostné opatrenia s cieľom chrániť Obchodné kontaktné informácie druhej Zmluvnej strany pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním.
1.6 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia týkajúce sa Obchodných kontaktných informácií spoločnosti Kyndryl. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
1.7 Ak Dodávateľ Spracúva iba Obchodné kontaktné informácie Kyndryl bez prístupu k iným údajom alebo materiálom akéhokoľvek druhu alebo akémukoľvek Podnikovému systému Kyndryl, takéto Spracúvanie bude podliehať iba tomuto Článku a Článku X (Spolupráca, overovanie a riešenie problémov).
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článkom II (Technické a organizačné opatrenia, Zabezpečenie údajov), III (Ochrana súkromia), VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a X (Spolupráca, overovanie a riešenie problémov).
Príklady:
- Dodávateľ získa prístup k Osobným údajom v rámci poskytovania Hosťovanej služby na interné použitie Kyndryl alebo Zákazníkmi.
- Dodávateľ poskytuje Služby súvisiace s zdravotnou starostlivosťou, marketingové Služby alebo Služby súvisiace so správou ľudských zdrojov alebo benefitov, v rámci čoho má prístup k Osobným údajom.
- Dodávateľ má prístup k protokolovým súborom obsahujúcim Osobné údaje v súvislosti s poskytovaním Služieb podpory.
Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné Údaje Kyndryl ako Obchodné kontaktné informácie Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť Údaje Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Používanie údajov
1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu Kyndryl pridať do Údajov Kyndryl alebo zahrnúť do Údajov Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať Údaje Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné ciele ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť Údaje Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať Údaje Kyndryl.
1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.
2. Požiadavky zo strany tretích strán a dôvernosť údajov
2.1 Dodávateľ neposkytne Údaje Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany Kyndryl. Ak o prístup k Údajom Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť Údaje Kyndryl, Dodávateľ bude písomne informovať Kyndryl o takejto požiadavke alebo povinnosti a dopraje Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov Kyndryl formou súdneho nariadenia alebo iným spôsobom).
2.2 Dodávateľ zaručuje Kyndryl, že: (a) prístup k Údajom Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať Údaje Kyndryl iba v súlade s týmito Podmienkami.
3. Vrátenie alebo odstránenie Údajov Kyndryl
3.1 Dodávateľ podľa rozhodnutia Kyndryl buď odstráni, alebo vráti Údaje Kyndryl spoločnosti Kyndryl po vypovedaní alebo uplynutí platnosti Transakčného dokumentu alebo skôr na žiadosť Kyndryl. Ak Kyndryl požiada o ich odstránenie, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie Kyndryl. Ak Kyndryl požiada o vrátenie Údajov Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu Kyndryl a podľa písomných pokynov Kyndryl.
Článok III, Súkromie
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva Osobné údaje Kyndryl.
1. Spracúvanie
1.1 Kyndryl menuje Dodávateľa sprostredkovateľom na Spracúvanie Osobných údajov Kyndryl výhradne s cieľom poskytovania Dodávaných produktov a Služieb v súlade s pokynmi Kyndryl vrátane pokynov uvedených v týchto Podmienkach, Transakčnom dokumente a súvisiacej rámcovej zmluve uzavretej medzi zmluvnými stranami. Ak Dodávateľ nesplní nejaký pokyn, Kyndryl môže vypovedať dotknutú časť Služieb na základe písomnej výpovede. Ak sa Dodávateľ bude domnievať, že niektorý pokyn je v rozpore s právnym predpisom o ochrane údajov, Dodávateľ bude bezodkladne informovať Kyndryl o tejto skutočnosti v rámci časového obdobia vyžadovaného takýmto právnym predpisom.
1.2 Dodávateľ bude dodržiavať všetky právne predpisy o ochrane údajov, ktoré sa vzťahujú na Služby a Dodávané produkty.
1.3 Dodatok k Transakčnému dokumentu alebo samotný Transakčný dokument stanovuje nasledujúce informácie vo vzťahu k Údajom Kyndryl:
(a) kategórie Dotknutých osôb,
(b) typy Osobných údajov Kyndryl,
(c) akcie s údajmi činnosti Spracúvania,
(d) trvanie a frekvencia Spracúvania,
(e) zoznam subdodávateľov.
2. Technické a organizačné opatrenia
2.1 Dodávateľ zavedie a bude dodržiavať technické a organizačné opatrenia uvedené v Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov) a Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), a tým zabezpečí vhodnú úroveň zabezpečenia vzhľadom na riziká súvisiace s jeho Službami a Dodávanými produktmi. Dodávateľ potvrdzuje súhlas s obmedzeniami stanovenými v Článku II, Článku III Článku VIII a zaväzuje sa ich dodržiavať.
3. Práva a požiadavky Dotknutých osôb
3.1 Dodávateľ bezodkladne informuje Kyndryl (v dostatočnom časovom horizonte, aby Kyndryl a Iní Prevádzkovatelia údajov mohli splniť svoje zákonné povinnosti) o všetkých požiadavkách zo strany Dotknutých osôb uplatňujúcich si svoje zákonné práva (napríklad žiadosti o opravu, odstránenie alebo zablokovanie údajov) vo vzťahu k Osobným údajom Kyndryl. Dodávateľ môže tiež bezodkladne odkázať Dotknuté osoby, ktoré vzniesli takéto požiadavky, na spoločnosť Kyndryl. Dodávateľ nebude reagovať na žiadne požiadavky zo strany Dotknutých osôb, pokiaľ nie je k tomu zaviazaný na základe platných právnych predpisov alebo mu na to spoločnosť Kyndryl nedá písomný pokyn.
3.2 V prípade, že bude Kyndryl povinná poskytnúť informácie týkajúce sa Osobných údajov Kyndryl Iným Prevádzkovateľom údajov alebo iným tretím stranám (ako sú Dotknuté osoby alebo regulačné orgány), Dodávateľ bezodkladne poskytne Kyndryl primeranú súčinnosť, a to tak, že jej poskytne všetky požadované informácie a vykoná všetky primerané kroky požadované Kyndryl v dostatočnom predstihu, aby Kyndryl mohla včas reagovať na požiadavky takýchto Iných Prevádzkovateľov údajov alebo tretích strán.
4. Subdodávatelia
4.1 Dodávateľ bude vopred písomne informovať Kyndryl pred pridaním nového Subdodávateľa alebo rozšírením rozsahu Spracúvania zo strany existujúceho Subdodávateľa, pričom v takomto písomnom oznámení uvedie názov Subdodávateľa a opíše nový alebo rozšírený rozsah Spracúvania. Kyndryl môže v opodstatnených prípadoch kedykoľvek namietať proti pridaniu nového Subdodávateľa alebo rozšíreniu rozsahu Spracúvania. V takejto situácii sa zmluvné strany v dobrej viere pokúsia spoločne vyriešiť námietky Kyndryl. S ohľadom na právo Kyndryl kedykoľvek vzniesť námietku môže Dodávateľ najať nového Subdodávateľa alebo rozšíriť rozsah Spracúvania existujúcim Subdodávateľom, ak Kyndryl nevzniesla námietku do 30 dní odo dňa, kedy ju o tom Dodávateľ písomne informoval.
4.2 Dodávateľ Zaviaže každého schváleného Subdodávateľa k plneniu rovnakých povinností týkajúcich sa ochrany údajov, zabezpečenia a certifikácie, aké vyplývajú z týchto Podmienok, a to ešte predtým, ako by Subdodávateľ začal Spracúvať Údaje Kyndryl. Dodávateľ bude niesť plnú zodpovednosť voči Kyndryl za plnenie týchto povinností Subdodávateľom.
5. Spracúvanie údajov v zahraničí
Vymedzenie pojmov:
Krajina s primeranou ochranou je krajina, ktorá zaručuje primeranú úroveň ochrany údajov v súvislosti s ich príslušným prenosom na základe právneho predpisu o ochrane údajov alebo rozhodnutia regulačného orgánu.
Dovozca údajov je Sprostredkovateľ alebo Subdodávateľ, ktorý nesídli v Krajine s primeranou ochranou.
Štandardné zmluvné doložky EÚ (ďalej aj ako „ŠZD EÚ“) znamená Štandardné zmluvné doložky EÚ (podľa Rozhodnutia Komisie 2021/914) s nepovinnými ustanoveniami okrem možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17, ako sú oficiálne publikované na stránke https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .
Srbské Štandardné zmluvné doložky (ďalej aj ako „Srbské ŠZD“) znamená Srbské Štandardné zmluvné doložky, ako boli prijaté „Srbským komisárom pre ochranu informácií verejného záujmu a osobných údajov“, ktoré sú publikované na stránke https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .
Štandardné zmluvné doložky (ďalej aj ako „ŠZD“) sú zmluvné ustanovenia vyžadované na základe platných právnych predpisov o ochrane údajov týkajúce sa prenosu Osobných údajov k Sprostredkovateľom, ktorí nesídlia v Krajinách s primeranou ochranou.
Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ (ďalej len "Dodatok Spojeného kráľovstva") znamená Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ v oficiálnom znení zverejnenom na adrese https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .
5.1 Dodávateľ nebude prenášať žiadne Osobné údaje Kyndryl do zahraničia ani ich nevyzradí do zahraničia (vrátane formou vzdialeného prístupu) bez predchádzajúceho písomného súhlasu. Ak Kyndryl vyjadrí takýto súhlas, zmluvné strany spoločne zabezpečia súlad s platnými právnymi predpismi o ochrane údajov. Ak tieto právne predpisy vyžadujú Štandardné zmluvné doložky, Dodávateľ bezodkladne podpíše tieto Štandardné zmluvné doložky na žiadosť Kyndryl.
5.2 V súvislosti so Štandardnými zmluvnými doložkami EÚ:
(a)Ak Dodávateľ nesídli v Krajine s primeranou ochranou, Dodávateľ týmto uzatvára Štandardné zmluvné doložky EÚ so spoločnosťou Kyndryl ako Dovozca údajov a Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Subdodávateľmi v súlade s Odsekom 9 Štandardných zmluvných doložiek EÚ a na žiadosť Kyndryl poskytne Kyndryl kópie týchto zmlúv.
(i) Modul 1 ŠZD EÚ sa neuplatňuje, pokiaľ sa zmluvné strany písomne nedohodnú inak.
(ii) Modul 2 ŠZD EÚ sa uplatňuje, keď je spoločnosť Kyndryl Prevádzkovateľom údajov, a Modul 3 sa uplatňuje, keď je spoločnosť Kyndryl Sprostredkovateľom údajov. V súlade s Klauzulou 13 ŠZD EÚ, keď sa uplatňujú Moduly 2 alebo 3, zmluvné strany súhlasia s tým, že (1) ŠZD EÚ budú podliehať právnym predpisom členského štátu EÚ, v ktorom sídli kompetentný dozorný orgán, a (2) akékoľvek spory vyplývajúce zo ŠZD EÚ budú riešiť súdne dvory členského štátu EÚ, v ktorom sídli kompetentný dozorný orgán. Ak dané právne predpisy vyplývajúce z bodu (1) nepočítajú s právami užívateľov výhod, ktorí sú tretími stranami, v tomto prípade budú ŠZD EÚ podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ podľa bodu (2) bude riešiť súdny dvor v Amsterdame, Holandsko.
(b) Ak Dodávateľ sídli v Európskom hospodárskom priestore a spoločnosť Kyndryl je Prevádzkovateľ údajov, ktorý nepodlieha Všeobecnému nariadeniu o ochrane údajov 2016/679, bude sa uplatňovať Modul 4 ŠZD EÚ a Dodávateľ týmto uzatvára ŠZD EÚ so spoločnosťou Kyndryl ako vývozca údajov. Ak sa uplatňuje Modul ŠZD EÚ, zmluvné strany súhlasia s tým, že ŠZD EÚ budú podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ bude riešiť súdny dvor v Amsterdame, Holandsko.
(c) Ak iní Prevádzkovatelia údajov, ako sú napríklad Zákazníci alebo pridružené spoločnosti, požiadajú o to, aby sa stali zmluvnými stranami vo vzťahu k ŠZD EÚ podľa klauzule o spájaní Klauzuly 7, Dodávateľ týmto súhlasí so všetkými takýmito požiadavkami.
(d) Technické a organizačné opatrenia nevyhnutné na splnenie Prílohy II ŠZD EÚ sú uvedené v týchto Podmienkach, v samotnom Transakčnom dokumente a súvisiacej rámcovej zmluve, ktorú zmluvné medzi sebou strany uzavreli.
(e) V prípade rozporu medzi ŠZD EÚ a týmito podmienkami sa budú uplatňovať Štandardné zmluvné doložky EÚ.
5.3 Ohľadom Dodatku Spojeného kráľovstva:
(a) Ak Dodávateľ nie je usadený v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl ako Dovozcom údajov, pričom tieto Dodatky doplnia Štandardné zmluvné doložky Komisie EÚ uvedené hore (podľa toho, aké typy činností spracovania vykonáva); a (ii) Dodávateľ uzatvorí písomnú dohodu s každým schváleným Subdodávateľom a na požiadanie predloží kópie týchto zmlúv spoločnosti Kyndryl.
(b) Ak je Dodávateľ usadený v Krajine s primeranou úrovňou ochrany a spoločnosť Kyndryl je Prevádzkovateľom, na ktorého sa nevzťahuje Všeobecné nariadenie o ochrane údajov Spojeného kráľovstva (ktoré bolo transponované do britského právneho poriadku zákonom o vystúpení z EÚ z roku 2018), Dodávateľ ako Vývozca údajov týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl, pričom tieto Dodatky dopĺňajú Štandardné zmluvné doložky Komisie EÚ uvedené hore v časti 5.2(b).
(c) Ak iní Prevádzkovatelia, ako napr. zákazníci alebo partnerské spoločnosti, požiadajú o pristúpenie k Dodatkom Spojeného kráľovstva, Dodávateľ týmto súhlasí, že vyhovie každej takejto požiadavke.
(d) Informačná Príloha (ako je uvedené v Tabuľke 3) k Dodatkom Spojeného kráľovstva sa nachádza v príslušných Štandardných zmluvných doložkách Komisie EÚ, týchto podmienkach, samotných Transakčných dokumentoch a súvisiacich základných zmluvách medzi všetkými stranami. Ani spoločnosť Kyndryl ani Dodávateľ nie sú oprávnení ukončiť Dodatky Spojeného kráľovstva v prípade ich zmien.
(e) V prípade akéhokoľvek rozporu medzi Dodatkom Spojeného kráľovstva a týmito podmienkami platia Dodatky Spojeného kráľovstva.
5.4 V súvislosti so Štandardnými zmluvnými doložkami Srbska:
(a) Ak Dodávateľ nesídli v Krajine s primeranou ochranou: (i) Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl vo svojom vlastnom mene ako Sprostredkovateľ a (ii) Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Subdodávateľmi v súlade s Odsekom 8 Štandardných zmluvných doložiek Srbska a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.
(b) Ak Dodávateľ sídli v Krajine s primeranou ochranou, Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl v mene všetkých Subdodávateľov, ktorí sídlia v Krajinách bez primeranej ochrany. Ak ich Dodávateľ nemôže uzatvoriť v mene niektorého Subdodávateľa, pred tým, ako tomuto Subdodávateľovi povolí Spracúvanie akýchkoľvek Osobných údajov spoločnosti Kyndryl, poskytne spoločnosti Kyndryl Štandardné zmluvné doložky Srbska podpísané príslušným Subdodávateľom na podpísanie spoločnosťou Kyndryl.
(c) Štandardné zmluvné doložky Srbska uzavreté medzi spoločnosťou Kyndryl a Dodávateľom budú slúžiť ako Štandardné zmluvné doložky Srbska uzavreté medzi Prevádzkovateľom údajov a Sprostredkovateľom údajov alebo ako delegovaná písomná zmluva medzi „sprostredkovateľom“ a „subdodávateľom“ podľa skutočností. V prípade rozporu medzi Štandardnými zmluvnými doložkami Srbska a týmito Podmienkami sa budú uplatňovať ŠZD Srbska.
(d) Informácie nevyhnutné na splnenie podmienok Príloh 1 až 8 ŠZD Srbska na účely prenosu Osobných údajov do Krajín bez primeranej ochrany sú uvedené v týchto Podmienkach a Prílohe k Transakčnému dokumentu, prípadne v samotnom Transakčnom dokumente.
6. Pomoc a záznamy
6.1 Zohľadňujúc charakter Spracúvania, zavedením primeraných technických a organizačných opatrení Dodávateľ poskytne Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností Kyndryl súvisiacich s požiadavkami Dotknutých osôb a ochranou ich práv. Dodávateľ poskytne Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností súvisiacich so zabezpečením Spracúvania, upozornením na Narušenie zabezpečenia a hodnotením dopadu ochrany údajov vrátane predchádzajúcej konzultácie so zodpovedným regulačným orgánom, vzhľadom na informácie, ktoré má Dodávateľ k dispozícii.
6.2 Dodávateľ bude udržiavať aktuálne záznamy o menách a kontaktných údajoch jednotlivých Subdodávateľov vrátane zástupcu Subdodávateľa a zodpovednej osoby. Dodávateľ na žiadosť Kyndryl poskytne tieto záznamy Kyndryl v dostatočnom predstihu na to, aby Kyndryl dokázala včas reagovať na požiadavky Zákazníka alebo inej tretej strany.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným informáciám Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje Kyndryl ani mať prístup k iným Materiálom Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) Údaje Kyndryl pred neoprávneným Spracúvaním a (c) Technológie Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude minimálne každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov Kyndryl, a to vrátane zavedenia, správy a dodržiavanie zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) Kyndryl, pridružených spoločností Kyndryl a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi Kyndryl, pokiaľ Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Zákazník písomne upozorní Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným;
(b) ak to bude Kyndryl požadovať, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkoch, po dobu jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na písomnú žiadosť Dodávateľa Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum miesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra;
(c) Zákazník nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamenáfyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu do na svoje Pracoviská a kontrolovaných oblastí v rámci nich, vrátane dočasného prístupu, a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bude individuálny, bude sa odvíjať od jednotlivých rolí a bude podliehať schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie redundantných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, Kyndryl (v súlade s jej právami na overovania vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl (a na požiadanie poskytne Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hakovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť Kyndryl Dodávateľ poskytne Kyndryl písomný sumár posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií Kyndryl vrátane a podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail bude predstavovať písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní v plniť všetky svoje záväzky voči Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci s Kyndryl prešetrí a vyrieši problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená viacfaktorová funkcia jediného prihlásenia v správe Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language). Subdodávatelia Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
7. Subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví týkajúcich sa čistenia médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článkom II (Technické a organizačné opatrenia, Zabezpečenie údajov), VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a X (Spolupráca, overovanie a riešenie problémov).
Príklady:
- Dodávateľ uchováva alebo prenáša iné ako Osobné údaje, ktoré Kyndryl alebo Zákazníci poskytnú Dodávateľovi, má k nim prístup alebo ich iným spôsobom Spracúva.
Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné Údaje Kyndryl ako Obchodné kontaktné informácie Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť Údaje Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Používanie údajov
1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu Kyndryl pridať do Údajov Kyndryl alebo zahrnúť do Údajov Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať Údaje Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné ciele ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť Údaje Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať Údaje Kyndryl.
1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.
2. Požiadavky zo strany tretích strán a dôvernosť údajov
2.1 Dodávateľ neposkytne Údaje Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany Kyndryl. Ak o prístup k Údajom Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť Údaje Kyndryl, Dodávateľ bude písomne informovať Kyndryl o takejto požiadavke alebo povinnosti a dopraje Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov Kyndryl formou súdneho nariadenia alebo iným spôsobom).
2.2 Dodávateľ zaručuje Kyndryl, že: (a) prístup k Údajom Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať Údaje Kyndryl iba v súlade s týmito Podmienkami.
3. Vrátenie alebo odstránenie Údajov Kyndryl
3.1 Dodávateľ podľa rozhodnutia Kyndryl buď odstráni, alebo vráti Údaje Kyndryl spoločnosti Kyndryl po vypovedaní alebo uplynutí platnosti Transakčného dokumentu alebo skôr na žiadosť Kyndryl. Ak Kyndryl požiada o ich odstránenie, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie Kyndryl. Ak Kyndryl požiada o vrátenie Údajov Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu Kyndryl a podľa písomných pokynov Kyndryl.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným informáciám Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje Kyndryl ani mať prístup k iným Materiálom Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) Údaje Kyndryl pred neoprávneným Spracúvaním a (c) Technológie Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude minimálne každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov Kyndryl, a to vrátane zavedenia, správy a dodržiavanie zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) Kyndryl, pridružených spoločností Kyndryl a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi Kyndryl, pokiaľ Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Zákazník písomne upozorní Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným;
(b) ak to bude Kyndryl požadovať, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkoch, po dobu jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na písomnú žiadosť Dodávateľa Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum miesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra;
(c) Zákazník nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamenáfyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu do na svoje Pracoviská a kontrolovaných oblastí v rámci nich, vrátane dočasného prístupu, a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bude individuálny, bude sa odvíjať od jednotlivých rolí a bude podliehať schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie redundantných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, Kyndryl (v súlade s jej právami na overovania vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl (a na požiadanie poskytne Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hakovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť Kyndryl Dodávateľ poskytne Kyndryl písomný sumár posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií Kyndryl vrátane a podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail bude predstavovať písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní v plniť všetky svoje záväzky voči Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci s Kyndryl prešetrí a vyrieši problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená viacfaktorová funkcia jediného prihlásenia v správe Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language). Subdodávatelia Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
7. Subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví týkajúcich sa čistenia médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článkom IV (Technické a organizačné opatrenia, Zabezpečenie kódu), V (Bezpečný vývoj), VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a X (Spolupráca, overovanie a riešenie problémov).
Príklady:
- Dodávateľ prevezme povinnosti súvisiace s vývojom kódu pre produkt Kyndryl a Kyndryl sprístupní svoj Zdrojový kód Dodávateľovi v súvislosti s takýmto vývojom.
- Dodávateľ vyvíja Zdrojový kód, ktorého vlastníkom bude Kyndryl.
Článok IV, Technické a organizačné opatrenia, Zabezpečenie kódu
Tento Článok sa uplatňuje, ak má Dodávateľ prístup k Zdrojovému kódu Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť Zdrojový kód Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné požiadavky
Vymedzenie pojmov:
Zakázaná krajina je ľubovoľná krajina, (a) ktorú vláda USA označila ako zahraničného nepriateľa podľa vládneho nariadenia z 15. mája 2019 o zabezpečení dodávateľského reťazca informačných a komunikačných technológií a služieb (Securing the Information and Communications Technology and Services Supply Chain), (b) ktorá je uvedená v Odseku 1654 Zákona o schválení národnej bezpečnosti USA (U.S. National Defense Authorization Act) z roku 2019 alebo (c) ktorá je označená ako „Zakázaná krajina“ v Transakčnom dokumente.
1.1 Dodávateľ nebude distribuovať Zdrojový kód Kyndryl ani naň neuvalí ťarchu v prospech tretej strany.
1.2 Dodávateľ nepovolí uchovávanie Zdrojového kódu Kyndryl na serveroch, ktoré sa nachádzajú v Zakázanej krajine. Dodávateľ nepovolí žiadnej osobe (vrátane svojho Personálu), ktorá sa nachádza v Zakázanej krajine alebo navštevuje Zakázanú krajinu (počas trvania takejto návštevy), z akéhokoľvek dôvodu získať prístup k Zdrojovému kódu Kyndryl alebo ho použiť, a to bez ohľadu na to, kde sa tento Zdrojový kód Kyndryl geograficky nachádza, a Dodávateľ nepovolí vykonávanie činností vývoja či testovania ani iné činnosti v Zakázanej krajine, ktoré by vyžadovali takýto prístup alebo použitie.
1.3 Dodávateľ nebude uchovávať ani distribuovať Zdrojový kód Kyndryl v žiadnej jurisdikcii, v ktorej nejaký právny predpis alebo jeho interpretácia vyžaduje vyzradenie Zdrojového kódu nejakej tretej strane. Ak v jurisdikcii, v ktorej sa uchováva Zdrojový kód Kyndryl, dôjde k zmene právneho predpisu alebo interpretácii právneho predpisu, na základe ktorej bude Dodávateľ povinný poskytnúť takýto Zdrojový kód tretej strane, Dodávateľ okamžite zničí takýto Zdrojový kód Kyndryl alebo ho okamžite presunie z tejto jurisdikcie a už nebude uchovávať žiadny Zdrojový kód Kyndryl v takejto jurisdikcii, kým tento právny predpis alebo jeho interpretácia zostanú v platnosti.
1.4 Dodávateľ priamo ani nepriamo nevykoná žiadne kroky (vrátane uzatvorenia zmluvy), v dôsledku ktorých by Dodávateľovi, Kyndryl alebo akejkoľvek tretej strane vznikla povinnosť zverejnenia podľa Odsekov 1654 alebo 1655 Zákona o schválení národnej bezpečnosti USA z roku 2019. Na objasnenie: pokiaľ to nepovoľuje Transakčný dokument alebo príslušná rámcová zmluva uzavretá medzi zmluvnými stranami, Dodávateľ nesmie za žiadnych okolností vyzradiť Zdrojový kód Kyndryl žiadnej tretej strany bez predchádzajúceho písomného súhlasu Kyndryl.
1.5 Ak Kyndryl upozorní Dodávateľa alebo ak nejaká tretia strana upozorní niektorú zmluvnú stranu o tom, že: (a) Dodávateľ povolil vývoz Zdrojového kódu Kyndryl do Zakázanej krajiny alebo akejkoľvek jurisdikcie podliehajúcej Odseku 1.3 vyššie, (b) Dodávateľ iným spôsobom uvoľnil alebo použil Zdrojový kód Kyndryl alebo k nemu získal prístup spôsobom, ktorý nepovoľuje Transakčný dokument alebo súvisiaca rámcová či iná zmluva uzatvorená medzi zmluvnými stranami, alebo (c) Dodávateľ porušil ustanovenia Odseku 1.4 vyššie, bez obmedzenia práv Kyndryl riešiť takéto porušenie právnou cestou či na základe princípov spravodlivosti, Transakčného dokumentu alebo inej súvisiacej rámcovej či inej zmluvy uzatvorenej medzi zmluvnými stranami: (i) ak bol upozornený Dodávateľ, Dodávateľ bezodkladne poskytne takéto upozornenie Kyndryl, a (ii) Dodávateľ na základe primeraného pokynu Kyndryl prešetrí alebo vyriešiť porušenie podľa primeraného harmonogramu, ktorý určí Kyndryl (po konzultácii s Dodávateľom).
1.6 Ak sa Kyndryl bude domnievať, že sú nevyhnutné zmeny v zásadách, postupoch, kontrolných mechanizmoch alebo procesoch Dodávateľa v súvislosti s prístupom k Zdrojovému kódu na eliminovanie rizík súvisiacich s kybernetickou bezpečnosťou, krádežou duševného vlastníctva alebo podobných alebo súvisiacich rizík (vrátane rizika, že bez takýchto zmien by Kyndryl nemohla predávať svoje produkty niektorým Zákazníkom alebo na niektorých trhoch, prípadne by nebola schopná splniť požiadavky týkajúce sa bezpečnosti Zákazníkov alebo dodávateľského reťazca), Kyndryl sa môže obrátiť na Dodávateľa s cieľom prediskutovať kroky, ktoré je nevyhnutné vykonať s cieľom eliminovať takéto riziká vrátane zmien v zásadách, postupoch, kontrolných mechanizmoch alebo procesoch. Dodávateľ na žiadosť Kyndryl v spolupráci s Kyndryl určí, či sú takéto zmeny nevyhnutné a v prípade potreby zavedie dohodnuté zmeny.
Článok V, Bezpečný vývoj
Tento Článok sa uplatňuje, ak bude Dodávateľ poskytovať spoločnosti Kyndryl svoj vlastný Zdrojový kód, Zdrojový kód tretej strany alebo Lokálny softvér, prípadne ak sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkom Kyndryl v rámci produktov a služieb spoločnosti Kyndryl.
1. Pripravenosť z hľadiska zabezpečenia
1.1 Dodávateľ bude využívať interné procesy Kyndryl, ktoré slúžia na hodnotenie pripravenosti produktov a služieb Kyndryl, ktoré sú závislé na Dodávaných produktoch Dodávateľa, z hľadiska zabezpečenia, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
2. Bezpečný vývoj
2.1 Tento Odsek 2 sa uplatňuje iba vtedy, ak Dodávateľ poskytuje spoločnosti Kyndryl Lokálny softvér.
2.2 Dodávateľ zaviedol a počas trvania Transakčného dokumentu bude v súlade s odporúčanými postupmi v odvetví udržiavať bezpečnostné predpisy, postupy a kontrolné mechanizmy týkajúce sa sietí, platforiem, systémov, aplikácií, zariadení, fyzickej infraštruktúry, reakcie na incidenty a personálu, ktoré sú nevyhnutné v záujme ochrany: (a) vývojových, zostavovacích, testovacích a prevádzkových systémov a prostredí, ktoré Dodávateľ alebo tretia strana, ktorej služby Dodávateľ využíva, prevádzkuje, spravuje, používa alebo inak využíva v súvislosti s Dodávanými produktmi a (b) zdrojového kódu, ktorý je Dodávaným produktom, pred stratou, nezákonným zaobchádzaním a neoprávneným prístupom k nemu, vyzradeniu alebo pozmeneniu.
3. Certifikácia ISO 20243
3.1 Tento Odsek 3 sa uplatňuje iba vtedy, keď sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkovi spoločnosti Kyndryl v rámci produktu alebo služby spoločnosti Kyndryl.
3.2 Dodávateľ získa certifikáciu súladu s normou ISO 20243, informačné technológie, poskytovateľ otvorených dôveryhodných technológií, TM Standard (O-TTPS), minimalizácia dopadu škodlivých nakazených a falšovaných produktov (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom). Prípadne, ak o to Dodávateľ písomne požiada a Kyndryl to písomne schváli, Dodávateľ môže získať certifikáciu súladu s v podstate ekvivalentnou priemyselnou normou, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom, podľa schválenia Kyndryl).
3.3 Dodávateľ získa certifikáciu súladu s normou ISO 20243 alebo v podstate ekvivalentnou priemyselnou normou (ak to Kyndryl písomne schváli) do 180 dní od dátumu platnosti Transakčného dokumentu a bude si ju následne obnovovať každých 12 mesiacov (každé obnovenie sa bude týkať najnovšej verzie normy ISO 20243 alebo, ak to Kyndryl písomne schváli, v podstate ekvivalentnej priemyselnej normy, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca).
3.4 Dodávateľ na požiadanie bezodkladne poskytne Kyndryl kópiu všetkých certifikácií, ktoré je Dodávateľ povinný získať podľa Odsekov 2.1 a 2.2 vyššie.
4. Chyby zabezpečenia
Vymedzenie pojmov:
Oprava chýb znamená opravy nedostatkov a revízie, ktoré opravujú chyby alebo nedostatky vrátane Chýb zabezpečenia v Dodávaných produktoch.
Riešenie na minimalizáciu dopadu znamená akýkoľvek známy spôsob minimalizácie alebo eliminácie rizík súvisiacich s Chybou zabezpečenia.
Chyba zabezpečenia znamená stav v návrhu, kóde, vývoji, implementácii, testovaní, prevádzke, podpore, údržbe alebo riadení Dodávaného produktu, v dôsledku ktorého je možný útok zo strany ľubovoľnej osoby, pričom takýto útok môže mať za následok neoprávnený prístup alebo zneužitie vrátane: (a) prístupu do systému, ovládnutia systému alebo prerušenia jeho prevádzky, (b) prístupu k údajom, ich odstránenia, pozmenenia alebo extrakcie alebo (C) zmien v identite, oprávneniach alebo povoleniach používateľov alebo správcov. Chyba zabezpečenia môže existovať bez ohľadu na to, či jej bol pridelený identifikátor CVE (Common Vulnerabilities and Exposures) ID alebo hodnotenie alebo oficiálna klasifikácia.
4.1 Dodávateľ prehlasuje a zaručuje, že bude: (a) využívať Odporúčané postupy v odvetví na identifikáciu Chýb zabezpečenia vrátane nepretržitej a dôkladnej statickej a dynamickej kontroly zabezpečenia aplikácií na úrovni zdrojového kódu, zabezpečenia otvoreného zdrojového kódu a systémových zraniteľností a (b) bude dodržiavať požiadavky vyplývajúce z týchto Podmienok s cieľom eliminovať, zistiť a napraviť Chyby zabezpečenia v Dodávaných produktoch a vo všetkých IT aplikáciách, platformách a infraštruktúrach, v ktorých a prostredníctvom ktorých Dodávateľ vytvára a poskytuje Služby a Dodávané produkty.
4.2 Ak Dodávateľ získa vedomosť o Chybe zabezpečenia v Dodávanom produkte alebo ľubovoľnej IT aplikácii, platforme alebo infraštruktúre, poskytne Kyndryl Opravu chýb a Riešenia na minimalizáciu dopadu pre všetky verzie a vydania Dodávaných produktov podľa Úrovní závažnosti a časových intervalov definovaných v tabuľke nižšie:
Úroveň závažnosti*
Naliehavá Chyba zabezpečenia – je Chyba zabezpečenia, ktorá predstavuje kritickú a potenciálne globálnu hrozbu. Kyndryl označuje Chyby zabezpečenia ako Naliehavé Chyby zabezpečenia na základe svojho vlastného uváženia bez ohľadu na východiskové skóre podľa CVSS.
Kritická – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 9 do 10,0
Vysoká – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 7,0 do 8,9
Stredná – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 4,0 do 6,9
Nízka – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 0,0 do 3,9
Časové intervaly
Naliehavá
Kritická
Vysoká
Stredná
Nízka
4 Dni alebo menej, podľa
uváženia riaditeľa pre
bezpečnosť informácií Kyndryl30 dní
30 dní
90 dní
Podľa Odporúčaných postupov v odvetví
* V prípade, že k Chybe zabezpečenia ešte nebolo priznané východiskové skóre CVSS, Dodávateľ priradí vhodnú Úroveň závažnosti podľa charakteru a okolností danej zraniteľnosti.
4.3 Ak ide o Chybu zabezpečenia, ktorá bola verejne publikovaná, ale Dodávateľ ešte neposkytol Kyndryl súvisiacu Opravu chýb ani Riešenie na minimalizáciu dopadu, Dodávateľ zavedie ďalšie technicky realizovateľné bezpečnostné kontrolné opatrenia, ktoré môžu dopomôcť k minimalizácii rizík súvisiacich s chybou zabezpečenia.
4.4 Ak Kyndryl nebude spokojná s reakciu Zákazníka na Chybu zabezpečenia v Dodávanom produkte alebo vyššie uvedenej aplikácii, platforme alebo infraštruktúre, Dodávateľ bezodkladne zabezpečí pre Kyndryl možnosť prediskutovať svoje obavy priamo s viceprezidentom spoločnosti Dodávateľa alebo ekvivalentným vyšším manažérom, ktorý je zodpovedný za dodanie Opravy chyby, a to bez obmedzenia ďalších práv Kyndryl.
4.5 Medzi príklady Chýb zabezpečenia patrí aj kód tretej strany alebo otvorený zdrojový kód s ukončenou podporou (EOS), pre ktorý sa už neposkytujú bezpečnostné opravy.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným informáciám Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje Kyndryl ani mať prístup k iným Materiálom Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) Údaje Kyndryl pred neoprávneným Spracúvaním a (c) Technológie Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude minimálne každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov Kyndryl, a to vrátane zavedenia, správy a dodržiavanie zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) Kyndryl, pridružených spoločností Kyndryl a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi Kyndryl, pokiaľ Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Zákazník písomne upozorní Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným;
(b) ak to bude Kyndryl požadovať, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkoch, po dobu jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na písomnú žiadosť Dodávateľa Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum miesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra;
(c) Zákazník nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamenáfyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu do na svoje Pracoviská a kontrolovaných oblastí v rámci nich, vrátane dočasného prístupu, a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bude individuálny, bude sa odvíjať od jednotlivých rolí a bude podliehať schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie redundantných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, Kyndryl (v súlade s jej právami na overovania vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl (a na požiadanie poskytne Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hakovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť Kyndryl Dodávateľ poskytne Kyndryl písomný sumár posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií Kyndryl vrátane a podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail bude predstavovať písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní v plniť všetky svoje záväzky voči Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci s Kyndryl prešetrí a vyrieši problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená viacfaktorová funkcia jediného prihlásenia v správe Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language). Subdodávatelia Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
7. Subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví týkajúcich sa čistenia médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
-
Ak áno, čiže Dodávateľ bude poskytovať svoj Zdrojový kód alebo Zdrojový kód tretej strany spoločnosti Kyndryl alebo niektoré Dodávané produkty alebo Služby Dodávateľa budú ponúkané Zákazníkom Kyndryl v rámci produktov a služieb spoločnosti Kyndryl, budú sa uplatňovať Články V (Bezpečný vývoj), VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a X (Spolupráca, overovanie a riešenie problémov).
Ak Dodávateľ poskytuje spoločnosti Kyndryl iba Lokálny softvér, budú sa uplatňovať Články V (Bezpečný vývoj) a X (Spolupráca, overovanie a riešenie problémov).
Príklady:
- Dodávateľ vyvíja Zdrojový kód, ktorého vlastníkom bude Dodávateľ, pre produkt, ktorý bude ponúkať a predávať Kyndryl.
- Dodávateľ poskytuje na základe licencie spoločnosti Kyndryl softvérový program na lokálne použitie v spoločnosti Kyndryl.
- Kyndryl bude ponúkať Hosťovanú službu Dodávateľa, ktorú bude hosťovať a spravovať Dodávateľ, ako produkt alebo službu Kyndryl.
Poznámka:
Článok VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) sa bude vzťahovať aj na poskytovanie Lokálneho softvéru spoločnosti Kyndryl Dodávateľom, ak v dôsledku iných okolností sa bude uplatňovať Článok VIII (napríklad ak má Dodávateľ prístup k Obchodným kontaktným informáciám, ako sú Osobné údaje Kyndryl alebo iným ako Osobným údajom).
Článok V, Bezpečný vývoj
Tento Článok sa uplatňuje, ak bude Dodávateľ poskytovať spoločnosti Kyndryl svoj vlastný Zdrojový kód, Zdrojový kód tretej strany alebo Lokálny softvér, prípadne ak sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkom Kyndryl v rámci produktov a služieb spoločnosti Kyndryl.
1. Pripravenosť z hľadiska zabezpečenia
1.1 Dodávateľ bude využívať interné procesy Kyndryl, ktoré slúžia na hodnotenie pripravenosti produktov a služieb Kyndryl, ktoré sú závislé na Dodávaných produktoch Dodávateľa, z hľadiska zabezpečenia, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
2. Bezpečný vývoj
2.1 Tento Odsek 2 sa uplatňuje iba vtedy, ak Dodávateľ poskytuje spoločnosti Kyndryl Lokálny softvér.
2.2 Dodávateľ zaviedol a počas trvania Transakčného dokumentu bude v súlade s odporúčanými postupmi v odvetví udržiavať bezpečnostné predpisy, postupy a kontrolné mechanizmy týkajúce sa sietí, platforiem, systémov, aplikácií, zariadení, fyzickej infraštruktúry, reakcie na incidenty a personálu, ktoré sú nevyhnutné v záujme ochrany: (a) vývojových, zostavovacích, testovacích a prevádzkových systémov a prostredí, ktoré Dodávateľ alebo tretia strana, ktorej služby Dodávateľ využíva, prevádzkuje, spravuje, používa alebo inak využíva v súvislosti s Dodávanými produktmi a (b) zdrojového kódu, ktorý je Dodávaným produktom, pred stratou, nezákonným zaobchádzaním a neoprávneným prístupom k nemu, vyzradeniu alebo pozmeneniu.
3. Certifikácia ISO 20243
3.1 Tento Odsek 3 sa uplatňuje iba vtedy, keď sa budú niektoré Dodávané produkty alebo Služby Dodávateľa poskytovať Zákazníkovi spoločnosti Kyndryl v rámci produktu alebo služby spoločnosti Kyndryl.
3.2 Dodávateľ získa certifikáciu súladu s normou ISO 20243, informačné technológie, poskytovateľ otvorených dôveryhodných technológií, TM Standard (O-TTPS), minimalizácia dopadu škodlivých nakazených a falšovaných produktov (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom). Prípadne, ak o to Dodávateľ písomne požiada a Kyndryl to písomne schváli, Dodávateľ môže získať certifikáciu súladu s v podstate ekvivalentnou priemyselnou normou, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca (buď formou samostatnej certifikácie, alebo na základe hodnotenia renomovaným nezávislým audítorom, podľa schválenia Kyndryl).
3.3 Dodávateľ získa certifikáciu súladu s normou ISO 20243 alebo v podstate ekvivalentnou priemyselnou normou (ak to Kyndryl písomne schváli) do 180 dní od dátumu platnosti Transakčného dokumentu a bude si ju následne obnovovať každých 12 mesiacov (každé obnovenie sa bude týkať najnovšej verzie normy ISO 20243 alebo, ak to Kyndryl písomne schváli, v podstate ekvivalentnej priemyselnej normy, ktorá sa zameriava na bezpečné postupy v oblasti vývoja a dodávateľského reťazca).
3.4 Dodávateľ na požiadanie bezodkladne poskytne Kyndryl kópiu všetkých certifikácií, ktoré je Dodávateľ povinný získať podľa Odsekov 2.1 a 2.2 vyššie.
4. Chyby zabezpečenia
Vymedzenie pojmov:
Oprava chýb znamená opravy nedostatkov a revízie, ktoré opravujú chyby alebo nedostatky vrátane Chýb zabezpečenia v Dodávaných produktoch.
Riešenie na minimalizáciu dopadu znamená akýkoľvek známy spôsob minimalizácie alebo eliminácie rizík súvisiacich s Chybou zabezpečenia.
Chyba zabezpečenia znamená stav v návrhu, kóde, vývoji, implementácii, testovaní, prevádzke, podpore, údržbe alebo riadení Dodávaného produktu, v dôsledku ktorého je možný útok zo strany ľubovoľnej osoby, pričom takýto útok môže mať za následok neoprávnený prístup alebo zneužitie vrátane: (a) prístupu do systému, ovládnutia systému alebo prerušenia jeho prevádzky, (b) prístupu k údajom, ich odstránenia, pozmenenia alebo extrakcie alebo (C) zmien v identite, oprávneniach alebo povoleniach používateľov alebo správcov. Chyba zabezpečenia môže existovať bez ohľadu na to, či jej bol pridelený identifikátor CVE (Common Vulnerabilities and Exposures) ID alebo hodnotenie alebo oficiálna klasifikácia.
4.1 Dodávateľ prehlasuje a zaručuje, že bude: (a) využívať Odporúčané postupy v odvetví na identifikáciu Chýb zabezpečenia vrátane nepretržitej a dôkladnej statickej a dynamickej kontroly zabezpečenia aplikácií na úrovni zdrojového kódu, zabezpečenia otvoreného zdrojového kódu a systémových zraniteľností a (b) bude dodržiavať požiadavky vyplývajúce z týchto Podmienok s cieľom eliminovať, zistiť a napraviť Chyby zabezpečenia v Dodávaných produktoch a vo všetkých IT aplikáciách, platformách a infraštruktúrach, v ktorých a prostredníctvom ktorých Dodávateľ vytvára a poskytuje Služby a Dodávané produkty.
4.2 Ak Dodávateľ získa vedomosť o Chybe zabezpečenia v Dodávanom produkte alebo ľubovoľnej IT aplikácii, platforme alebo infraštruktúre, poskytne Kyndryl Opravu chýb a Riešenia na minimalizáciu dopadu pre všetky verzie a vydania Dodávaných produktov podľa Úrovní závažnosti a časových intervalov definovaných v tabuľke nižšie:
Úroveň závažnosti*
Naliehavá Chyba zabezpečenia – je Chyba zabezpečenia, ktorá predstavuje kritickú a potenciálne globálnu hrozbu. Kyndryl označuje Chyby zabezpečenia ako Naliehavé Chyby zabezpečenia na základe svojho vlastného uváženia bez ohľadu na východiskové skóre podľa CVSS.
Kritická – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 9 do 10,0
Vysoká – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 7,0 do 8,9
Stredná – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 4,0 do 6,9
Nízka – je Chyba zabezpečenia s východiskovým skóre podľa CVSS v rozsahu od 0,0 do 3,9
Časové intervaly
Naliehavá
Kritická
Vysoká
Stredná
Nízka
4 Dni alebo menej, podľa
uváženia riaditeľa pre
bezpečnosť informácií Kyndryl30 dní
30 dní
90 dní
Podľa Odporúčaných postupov v odvetví
* V prípade, že k Chybe zabezpečenia ešte nebolo priznané východiskové skóre CVSS, Dodávateľ priradí vhodnú Úroveň závažnosti podľa charakteru a okolností danej zraniteľnosti.
4.3 Ak ide o Chybu zabezpečenia, ktorá bola verejne publikovaná, ale Dodávateľ ešte neposkytol Kyndryl súvisiacu Opravu chýb ani Riešenie na minimalizáciu dopadu, Dodávateľ zavedie ďalšie technicky realizovateľné bezpečnostné kontrolné opatrenia, ktoré môžu dopomôcť k minimalizácii rizík súvisiacich s chybou zabezpečenia.
4.4 Ak Kyndryl nebude spokojná s reakciu Zákazníka na Chybu zabezpečenia v Dodávanom produkte alebo vyššie uvedenej aplikácii, platforme alebo infraštruktúre, Dodávateľ bezodkladne zabezpečí pre Kyndryl možnosť prediskutovať svoje obavy priamo s viceprezidentom spoločnosti Dodávateľa alebo ekvivalentným vyšším manažérom, ktorý je zodpovedný za dodanie Opravy chyby, a to bez obmedzenia ďalších práv Kyndryl.
4.5 Medzi príklady Chýb zabezpečenia patrí aj kód tretej strany alebo otvorený zdrojový kód s ukončenou podporou (EOS), pre ktorý sa už neposkytujú bezpečnostné opravy.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným informáciám Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje Kyndryl ani mať prístup k iným Materiálom Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) Údaje Kyndryl pred neoprávneným Spracúvaním a (c) Technológie Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude minimálne každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov Kyndryl, a to vrátane zavedenia, správy a dodržiavanie zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) Kyndryl, pridružených spoločností Kyndryl a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi Kyndryl, pokiaľ Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Zákazník písomne upozorní Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným;
(b) ak to bude Kyndryl požadovať, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkoch, po dobu jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na písomnú žiadosť Dodávateľa Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum miesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra;
(c) Zákazník nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamenáfyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu do na svoje Pracoviská a kontrolovaných oblastí v rámci nich, vrátane dočasného prístupu, a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bude individuálny, bude sa odvíjať od jednotlivých rolí a bude podliehať schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie redundantných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, Kyndryl (v súlade s jej právami na overovania vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl (a na požiadanie poskytne Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hakovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť Kyndryl Dodávateľ poskytne Kyndryl písomný sumár posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií Kyndryl vrátane a podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail bude predstavovať písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní v plniť všetky svoje záväzky voči Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci s Kyndryl prešetrí a vyrieši problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená viacfaktorová funkcia jediného prihlásenia v správe Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language). Subdodávatelia Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
7. Subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví týkajúcich sa čistenia médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
-
Ak áno, takýto prístup bude podliehať Článkom VI (Prístup k Podnikovým systémom), VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) a X (Spolupráca, overovanie a riešenie problémov).
Príklady:
- Dodávateľ v dôsledku svojich povinností súvisiacich s vývojom kódu nevyhnutne potrebuje prístup k depozitárom Zdrojového kódu Kyndryl.
Poznámka:
Môžu sa uplatňovať aj Články II (Technické a organizačné opatrenia, Zabezpečenie údajov), III (Ochrana súkromia), IV (Technické a organizačné opatrenia, Zabezpečenie kódu) a V (Bezpečný vývoj) podľa toho, ku ktorým Materiálom Kyndryl bude mať Dodávateľ prístup v rámci Podnikových systémov.
Článok VI, Prístup k Podnikovým systémom
Tento Článok sa uplatňuje, ak budú mať zamestnanci Dodávateľa prístup k Podnikovému systému.
1. Všeobecné podmienky
1.1 To, či zamestnanci dodávateľa budú mať povolený prístup k Podnikovým systémom, určuje Kyndryl. Ak Kyndryl udelí takýto prístup, Dodávateľ sa zaväzuje dodržiavať požiadavky uvedené v tomto Článku a zaviazať svojich zamestnancov s prístupom k Podnikovým systémom k ich dodržiavaniu.
1.2 Kyndryl určí spôsoby, ako môžu zamestnanci Dodávateľa získať prístup k Podnikovým systémom, a to vrátane toho, či budú mať takýto zamestnanci prístup k Podnikovým systémom zo zariadení poskytnutých Kyndryl alebo zariadení poskytnutých Dodávateľom.
1.3 Zamestnanci Dodávateľa môžu k Podnikovým systémom pristupovať výhradne v súvislosti s poskytovaním Služieb a na takýto prístup môžu používať iba Zariadenia schválené Kyndryl. Zamestnanci Dodávateľa nesmú používať Zariadenia, ktoré Kyndryl schváli, na poskytovanie služieb žiadnym iným osobám ani subjektom a ani na prístup k IT systémom, sieťam, aplikáciám, webovým lokalitám, e-mailovým nástrojom, nástrojom na spoluprácu alebo podobným prostriedkom Dodávateľa alebo tretej strany v súvislosti so Službami.
1.4 Na objasnenie: zamestnanci Dodávateľa nesmú Zariadenia, ktoré Kyndryl schváli na prístup k Podnikovým systémom, používať na osobné použitie (zamestnanci Dodávateľa nesmú napríklad ukladať osobné súbory, ako sú hudba, videá, obrázky a podobné položky do takýchto Zariadení a nemôžu sa z takýchto Zariadení pripojiť na internet z osobných dôvodov).
1.5 Zamestnanci Dodávateľa nesmú kopírovať Materiály Kyndryl, ktoré sú prístupné cez Podnikový systém, bez predchádzajúceho písomného schválenia Kyndryl (a nikdy nesmú kopírovať žiadne Materiály Kyndryl na prenosné úložné zariadenia, ako sú USB kľúče, externé jednotky pevných diskov a podobné zariadenia).
1.6 Dodávateľ na požiadanie poskytne informácie o tom, ku ktorému konkrétnemu Podnikovému systému, ku ktorému majú jeho zamestnanci prístup, získali jeho zamestnanci prístup počas ľubovoľného časového úseku určeného Kyndryl, a to podľa mena zamestnanca.
1.7 Dodávateľ bude do dvadsiatich štyroch (24) hodín informovať Kyndryl, ak zamestnanec Dodávateľa, ktorý má prístup k nejakému Podnikovému systému, prestane: (a) byť zamestnancom Dodávateľa alebo (b) pracovať na činnostiach, pri ktorých je nevyhnutný prístup k takýmto systémom. Dodávateľ v spolupráci s Kyndryl zabezpečí okamžité zrušenie prístupu takýchto svojich bývalých alebo aktuálnych zamestnancov.
1.8 Dodávateľ okamžite nahlási Kyndryl skutočné alebo predpokladané bezpečnostné incidenty (napríklad strata Zariadenia Kyndryl alebo Dodávateľa alebo neoprávnený prístup k Zariadeniu alebo údajom, materiálom alebo iným informáciám akéhokoľvek druhu) a v spolupráci s Kyndryl prešetrí takéto incidenty.
1.9 Dodávateľ nesmie bez predchádzajúceho písomného povolenia Kyndryl povoliť žiadnemu zástupcovi, nezávislému zmluvnému dodávateľovi ani zamestnancovi zmluvného subdodávateľa prístup k žiadnym Podnikovým systémom. Ak Kyndryl udelí súhlas s takýmto prístupom, Dodávateľ zmluvne zaviaže príslušné osoby a ich zamestnancov k dodržiavaniu požiadaviek tohto Článku rovnako, ako keby boli zamestnancami Dodávateľa, a bude niesť voči Kyndryl zodpovednosť za všetky činnosti a zanedbania povinností zo strany takýchto osôb alebo ich zamestnávateľa vo vzťahu k takémuto prístupu k Podnikovým systémom.
2. Softvér Zariadenia
2.1 Dodávateľ nariadi svojim zamestnancom, aby si do Zariadení včas nainštalovali všetok softvér, ktorý Kyndryl vyžaduje na zaručenie bezpečného prístupu k Podnikovým systémom. Dodávateľ ani jeho zamestnanci nebudú zasahovať do fungovania takéhoto softvéru ani funkcií zabezpečenia, ktoré tento softvér poskytuje.
2.2 Dodávateľ a jeho zamestnanci budú dodržiavať pravidlá konfigurácie Zariadení, ktoré Kyndryl stanoví, a inými spôsobmi zabezpečí, že softvér bude fungovať tak, ako to Kyndryl zamýšľa. Napríklad Dodávateľ nebude manipulovať s funkciami blokovania webových stránok alebo automatickej inštalácie opráv takéhoto softvéru.
2.3 Zamestnanci Dodávateľa nesmú zdieľať Zariadenia, ktoré používajú na prístup k Podnikovým systémom, ani mená používateľov, heslá a podobné informácie s inými osobami.
2.4 Ak Kyndryl povolí zamestnancom Dodávateľa prístup k Podnikovým systémom zo Zariadení Dodávateľa, Dodávateľ do týchto Zariadení nainštaluje operačný systém schválený Kyndryl a v prípade, že mu to Kyndryl nariadi, inovuje tento operačný systém na novú verziu alebo nainštaluje nový operačný systém v primeranom časovom horizonte.
3.Dohľad a spolupráca
3.1 Kyndryl má neobmedzené právo monitorovať a riešiť potenciálne neoprávnené vniknutia a iné kybernetické hrozby akýmikoľvek spôsobmi, z akýchkoľvek umiestnení a s využitím akýchkoľvek prostriedkov, ktoré bude Kyndryl považovať za nevyhnutné alebo vhodné, a to bez predchádzajúceho upozornenia Dodávateľa, akéhokoľvek zamestnanca Dodávateľa alebo iných osôb. Medzi tieto práva Kyndryl patrí napríklad právo Kyndryl kedykoľvek (a) vykonať testovanie zabezpečenia ľubovoľného Zariadenia, (b) monitorovať, technickým alebo iným spôsobom obnoviť a kontrolovať komunikácie (vrátane e-mailov z ľubovoľných e-mailových kont), záznamy, súbory a iné položky uložené v ľubovoľnom Zariadení alebo prenášané cez ľubovoľný Podnikový systém a (c) získať úplný forenzný obraz ľubovoľného Zariadenia. Ak bude Kyndryl potrebovať súčinnosť Dodávateľa pri uplatňovaní svojich práv, Dodávateľ v plnej miere a včas splní požiadavky Kyndryl súvisiace s takouto súčinnosťou (napríklad vrátane požiadaviek na bezpečnú konfiguráciu Zariadenia, inštaláciu monitorovacieho a iného softvéru do Zariadenia, poskytnutie informácií o pripojení na úrovni systému, spoluúčasť na opatreniach súvisiacich s reagovaním na incidenty v súvislosti so Zariadením a poskytnutie fyzického prístupu k ľubovoľnému Zariadeniu, aby napríklad Kyndryl mohla získať úplný forenzný obraz, a iných podobných požiadaviek).
3.2 Kyndryl môže kedykoľvek zrušiť prístup ktoréhokoľvek zamestnanca Dodávateľa alebo všetkých zamestnancov Dodávateľa k Podnikovým systémom, a to bez predchádzajúceho upozornenia Dodávateľa, zamestnanca Dodávateľa alebo iných osôb, ak sa Kyndryl bude domnievať, že je to nevyhnutné v záujme ochrany Kyndryl.
3.3 Žiadne ustanovenia Transakčného dokumentu, súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami ani žiadnej inej zmluvy medzi stranami vrátane ustanovení, ktoré určujú, že údaje, materiály alebo ľubovoľné iné informácie sa môžu uchovávať iba v určených umiestneniach, alebo ktoré stanovujú, že k takýmto údajom, materiálom alebo iným informáciám môžu pristupovať iba osoby z vybraných umiestnení, nijak neanulujú ani neobmedzujú práva Kyndryl.
4.Zariadenia Kyndryl
4.1 Kyndryl si zachováva vlastnícke práva na všetky Zariadenia Kyndryl, pričom Dodávateľ bude znášať riziko straty týchto zariadení vrátane ich krádeže, vandalizmu alebo zanedbania povinností pri ich držbe. Dodávateľ nevykoná ani nepovolí vykonať žiadne úpravy Zariadení Kyndryl bez predchádzajúceho písomného súhlasu Kyndryl, pričom sa úpravu sa bude považovať každá zmena v Zariadení vrátane zmien v softvéri, aplikáciách, návrhu zabezpečenia, konfigurácii zabezpečenia alebo fyzickej, mechanickej alebo elektronickej konštrukcii Zariadenia.
4.2 Dodávateľ vráti všetky Zariadenia Kyndryl do 5 pracovných dní odo dňa, kedy zanikne potreba používať tieto zariadenia v súvislosti s poskytovaním Služieb, a zároveň na žiadosť Kyndryl zničí všetky údaje, materiály a iné ľubovoľné informácie v týchto Zariadeniach bez uchovania ich kópie, a to trvalým vymazaním všetkých takýchto údajov, materiálov a iných informácií podľa Odporúčaných postupov v odvetví. Dodávateľ zabalí Zariadenia Kyndryl a na vlastné náklady ich vráti na miesto, ktoré určí Kyndryl, v rovnakom stave, v akom mu boli poskytnuté, s prihliadnutím na primerané opotrebenie. Ak Dodávateľ nedodrží niektorú povinnosť, ktorá mu vyplýva z tohto Odseku 4.2, bude sa to považovať za závažné porušenie Transakčného dokumentu a súvisiacej rámcovej zmluvy alebo inej súvisiacej zmluvy uzavretej medzi zmluvnými stranami, pričom zmluva sa bude považovať za „súvisiacu“, ak prístup k Podnikovým systémom umožňuje Dodávateľovi vykonávať úlohy alebo iné činnosti na základe tejto zmluvy.
4.3 Kyndryl bude poskytovať podporu pre Zariadenia Kyndryl (vrátane kontroly Zariadení a preventívnej a nápravnej údržby). Dodávateľ bezodkladne informuje Kyndryl o potrebe opravného servisu.
4.4 Kyndryl udeľuje Dodávateľovi dočasné právo na používanie, ukladanie a vytváranie dostatočného počtu kópií, ktoré sú nevyhnutné na podporu oprávneného použitia Zariadení Kyndryl, softvérových programov, ktoré Kyndryl vlastní alebo pre ktoré má právo na udelenie licencií. Dodávateľ nesmie previesť programy na iné osoby, vytvárať kópie licenčných informácií pre softvér ani analyzovať, dekompilovať, vykonávať postupy reverzného inžinierstva ani inak prekladať žiadne programy, pokiaľ to výslovne nepovoľujú platné právne predpisy bez možnosti zmluvného obmedzenia tohto práva.
5. Aktualizácie
5.1 Bez ohľadu na akékoľvek protichodné ustanovenia v Transakčnom dokumente alebo súvisiacej rámcovej zmluve uzatvorenej medzi zmluvnými stranami, môže Kyndryl po predchádzajúcom písomnom upozornení Dodávateľa, avšak bez potreby súhlasu zo strany Dodávateľa, aktualizovať, doplniť alebo inak pozmeniť tento Článok s cieľom splniť požiadavky vyplývajúce z platných právnych požiadaviek alebo záväzkov voči Zákazníkovi či začleniť nové odporúčané postupy v oblasti zabezpečenia alebo z iných dôvodov, ak to bude Kyndryl považovať za nevyhnutné na ochranu Podnikových systémov alebo Kyndryl.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným informáciám Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje Kyndryl ani mať prístup k iným Materiálom Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) Údaje Kyndryl pred neoprávneným Spracúvaním a (c) Technológie Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude minimálne každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov Kyndryl, a to vrátane zavedenia, správy a dodržiavanie zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) Kyndryl, pridružených spoločností Kyndryl a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi Kyndryl, pokiaľ Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Zákazník písomne upozorní Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným;
(b) ak to bude Kyndryl požadovať, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkoch, po dobu jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na písomnú žiadosť Dodávateľa Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum miesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra;
(c) Zákazník nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamenáfyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu do na svoje Pracoviská a kontrolovaných oblastí v rámci nich, vrátane dočasného prístupu, a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bude individuálny, bude sa odvíjať od jednotlivých rolí a bude podliehať schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie redundantných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, Kyndryl (v súlade s jej právami na overovania vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl (a na požiadanie poskytne Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hakovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť Kyndryl Dodávateľ poskytne Kyndryl písomný sumár posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií Kyndryl vrátane a podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail bude predstavovať písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní v plniť všetky svoje záväzky voči Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci s Kyndryl prešetrí a vyrieši problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená viacfaktorová funkcia jediného prihlásenia v správe Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language). Subdodávatelia Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
7. Subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví týkajúcich sa čistenia médií.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
-
Ak áno, budú sa uplatňovať Články VI (Prístup k Podnikovým systémom), VII (Rozšírenie personálu) a X (Spolupráca, overovanie a riešenie problémov).
Poznámka:
Môžu sa uplatňovať aj Články II (Technické a organizačné opatrenia, Zabezpečenie údajov), III (Ochrana súkromia), IV (Technické a organizačné opatrenia, Zabezpečenie kódu) a V (Bezpečný vývoj) podľa toho, ku ktorým Materiálom Kyndryl bude mať Dodávateľ prístup v rámci Podnikových systémov.
Článok VI, Prístup k Podnikovým systémom
Tento Článok sa uplatňuje, ak budú mať zamestnanci Dodávateľa prístup k Podnikovému systému.
1. Všeobecné podmienky
1.1 To, či zamestnanci dodávateľa budú mať povolený prístup k Podnikovým systémom, určuje Kyndryl. Ak Kyndryl udelí takýto prístup, Dodávateľ sa zaväzuje dodržiavať požiadavky uvedené v tomto Článku a zaviazať svojich zamestnancov s prístupom k Podnikovým systémom k ich dodržiavaniu.
1.2 Kyndryl určí spôsoby, ako môžu zamestnanci Dodávateľa získať prístup k Podnikovým systémom, a to vrátane toho, či budú mať takýto zamestnanci prístup k Podnikovým systémom zo zariadení poskytnutých Kyndryl alebo zariadení poskytnutých Dodávateľom.
1.3 Zamestnanci Dodávateľa môžu k Podnikovým systémom pristupovať výhradne v súvislosti s poskytovaním Služieb a na takýto prístup môžu používať iba Zariadenia schválené Kyndryl. Zamestnanci Dodávateľa nesmú používať Zariadenia, ktoré Kyndryl schváli, na poskytovanie služieb žiadnym iným osobám ani subjektom a ani na prístup k IT systémom, sieťam, aplikáciám, webovým lokalitám, e-mailovým nástrojom, nástrojom na spoluprácu alebo podobným prostriedkom Dodávateľa alebo tretej strany v súvislosti so Službami.
1.4 Na objasnenie: zamestnanci Dodávateľa nesmú Zariadenia, ktoré Kyndryl schváli na prístup k Podnikovým systémom, používať na osobné použitie (zamestnanci Dodávateľa nesmú napríklad ukladať osobné súbory, ako sú hudba, videá, obrázky a podobné položky do takýchto Zariadení a nemôžu sa z takýchto Zariadení pripojiť na internet z osobných dôvodov).
1.5 Zamestnanci Dodávateľa nesmú kopírovať Materiály Kyndryl, ktoré sú prístupné cez Podnikový systém, bez predchádzajúceho písomného schválenia Kyndryl (a nikdy nesmú kopírovať žiadne Materiály Kyndryl na prenosné úložné zariadenia, ako sú USB kľúče, externé jednotky pevných diskov a podobné zariadenia).
1.6 Dodávateľ na požiadanie poskytne informácie o tom, ku ktorému konkrétnemu Podnikovému systému, ku ktorému majú jeho zamestnanci prístup, získali jeho zamestnanci prístup počas ľubovoľného časového úseku určeného Kyndryl, a to podľa mena zamestnanca.
1.7 Dodávateľ bude do dvadsiatich štyroch (24) hodín informovať Kyndryl, ak zamestnanec Dodávateľa, ktorý má prístup k nejakému Podnikovému systému, prestane: (a) byť zamestnancom Dodávateľa alebo (b) pracovať na činnostiach, pri ktorých je nevyhnutný prístup k takýmto systémom. Dodávateľ v spolupráci s Kyndryl zabezpečí okamžité zrušenie prístupu takýchto svojich bývalých alebo aktuálnych zamestnancov.
1.8 Dodávateľ okamžite nahlási Kyndryl skutočné alebo predpokladané bezpečnostné incidenty (napríklad strata Zariadenia Kyndryl alebo Dodávateľa alebo neoprávnený prístup k Zariadeniu alebo údajom, materiálom alebo iným informáciám akéhokoľvek druhu) a v spolupráci s Kyndryl prešetrí takéto incidenty.
1.9 Dodávateľ nesmie bez predchádzajúceho písomného povolenia Kyndryl povoliť žiadnemu zástupcovi, nezávislému zmluvnému dodávateľovi ani zamestnancovi zmluvného subdodávateľa prístup k žiadnym Podnikovým systémom. Ak Kyndryl udelí súhlas s takýmto prístupom, Dodávateľ zmluvne zaviaže príslušné osoby a ich zamestnancov k dodržiavaniu požiadaviek tohto Článku rovnako, ako keby boli zamestnancami Dodávateľa, a bude niesť voči Kyndryl zodpovednosť za všetky činnosti a zanedbania povinností zo strany takýchto osôb alebo ich zamestnávateľa vo vzťahu k takémuto prístupu k Podnikovým systémom.
2. Softvér Zariadenia
2.1 Dodávateľ nariadi svojim zamestnancom, aby si do Zariadení včas nainštalovali všetok softvér, ktorý Kyndryl vyžaduje na zaručenie bezpečného prístupu k Podnikovým systémom. Dodávateľ ani jeho zamestnanci nebudú zasahovať do fungovania takéhoto softvéru ani funkcií zabezpečenia, ktoré tento softvér poskytuje.
2.2 Dodávateľ a jeho zamestnanci budú dodržiavať pravidlá konfigurácie Zariadení, ktoré Kyndryl stanoví, a inými spôsobmi zabezpečí, že softvér bude fungovať tak, ako to Kyndryl zamýšľa. Napríklad Dodávateľ nebude manipulovať s funkciami blokovania webových stránok alebo automatickej inštalácie opráv takéhoto softvéru.
2.3 Zamestnanci Dodávateľa nesmú zdieľať Zariadenia, ktoré používajú na prístup k Podnikovým systémom, ani mená používateľov, heslá a podobné informácie s inými osobami.
2.4 Ak Kyndryl povolí zamestnancom Dodávateľa prístup k Podnikovým systémom zo Zariadení Dodávateľa, Dodávateľ do týchto Zariadení nainštaluje operačný systém schválený Kyndryl a v prípade, že mu to Kyndryl nariadi, inovuje tento operačný systém na novú verziu alebo nainštaluje nový operačný systém v primeranom časovom horizonte.
3.Dohľad a spolupráca
3.1 Kyndryl má neobmedzené právo monitorovať a riešiť potenciálne neoprávnené vniknutia a iné kybernetické hrozby akýmikoľvek spôsobmi, z akýchkoľvek umiestnení a s využitím akýchkoľvek prostriedkov, ktoré bude Kyndryl považovať za nevyhnutné alebo vhodné, a to bez predchádzajúceho upozornenia Dodávateľa, akéhokoľvek zamestnanca Dodávateľa alebo iných osôb. Medzi tieto práva Kyndryl patrí napríklad právo Kyndryl kedykoľvek (a) vykonať testovanie zabezpečenia ľubovoľného Zariadenia, (b) monitorovať, technickým alebo iným spôsobom obnoviť a kontrolovať komunikácie (vrátane e-mailov z ľubovoľných e-mailových kont), záznamy, súbory a iné položky uložené v ľubovoľnom Zariadení alebo prenášané cez ľubovoľný Podnikový systém a (c) získať úplný forenzný obraz ľubovoľného Zariadenia. Ak bude Kyndryl potrebovať súčinnosť Dodávateľa pri uplatňovaní svojich práv, Dodávateľ v plnej miere a včas splní požiadavky Kyndryl súvisiace s takouto súčinnosťou (napríklad vrátane požiadaviek na bezpečnú konfiguráciu Zariadenia, inštaláciu monitorovacieho a iného softvéru do Zariadenia, poskytnutie informácií o pripojení na úrovni systému, spoluúčasť na opatreniach súvisiacich s reagovaním na incidenty v súvislosti so Zariadením a poskytnutie fyzického prístupu k ľubovoľnému Zariadeniu, aby napríklad Kyndryl mohla získať úplný forenzný obraz, a iných podobných požiadaviek).
3.2 Kyndryl môže kedykoľvek zrušiť prístup ktoréhokoľvek zamestnanca Dodávateľa alebo všetkých zamestnancov Dodávateľa k Podnikovým systémom, a to bez predchádzajúceho upozornenia Dodávateľa, zamestnanca Dodávateľa alebo iných osôb, ak sa Kyndryl bude domnievať, že je to nevyhnutné v záujme ochrany Kyndryl.
3.3 Žiadne ustanovenia Transakčného dokumentu, súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami ani žiadnej inej zmluvy medzi stranami vrátane ustanovení, ktoré určujú, že údaje, materiály alebo ľubovoľné iné informácie sa môžu uchovávať iba v určených umiestneniach, alebo ktoré stanovujú, že k takýmto údajom, materiálom alebo iným informáciám môžu pristupovať iba osoby z vybraných umiestnení, nijak neanulujú ani neobmedzujú práva Kyndryl.
4.Zariadenia Kyndryl
4.1 Kyndryl si zachováva vlastnícke práva na všetky Zariadenia Kyndryl, pričom Dodávateľ bude znášať riziko straty týchto zariadení vrátane ich krádeže, vandalizmu alebo zanedbania povinností pri ich držbe. Dodávateľ nevykoná ani nepovolí vykonať žiadne úpravy Zariadení Kyndryl bez predchádzajúceho písomného súhlasu Kyndryl, pričom sa úpravu sa bude považovať každá zmena v Zariadení vrátane zmien v softvéri, aplikáciách, návrhu zabezpečenia, konfigurácii zabezpečenia alebo fyzickej, mechanickej alebo elektronickej konštrukcii Zariadenia.
4.2 Dodávateľ vráti všetky Zariadenia Kyndryl do 5 pracovných dní odo dňa, kedy zanikne potreba používať tieto zariadenia v súvislosti s poskytovaním Služieb, a zároveň na žiadosť Kyndryl zničí všetky údaje, materiály a iné ľubovoľné informácie v týchto Zariadeniach bez uchovania ich kópie, a to trvalým vymazaním všetkých takýchto údajov, materiálov a iných informácií podľa Odporúčaných postupov v odvetví. Dodávateľ zabalí Zariadenia Kyndryl a na vlastné náklady ich vráti na miesto, ktoré určí Kyndryl, v rovnakom stave, v akom mu boli poskytnuté, s prihliadnutím na primerané opotrebenie. Ak Dodávateľ nedodrží niektorú povinnosť, ktorá mu vyplýva z tohto Odseku 4.2, bude sa to považovať za závažné porušenie Transakčného dokumentu a súvisiacej rámcovej zmluvy alebo inej súvisiacej zmluvy uzavretej medzi zmluvnými stranami, pričom zmluva sa bude považovať za „súvisiacu“, ak prístup k Podnikovým systémom umožňuje Dodávateľovi vykonávať úlohy alebo iné činnosti na základe tejto zmluvy.
4.3 Kyndryl bude poskytovať podporu pre Zariadenia Kyndryl (vrátane kontroly Zariadení a preventívnej a nápravnej údržby). Dodávateľ bezodkladne informuje Kyndryl o potrebe opravného servisu.
4.4 Kyndryl udeľuje Dodávateľovi dočasné právo na používanie, ukladanie a vytváranie dostatočného počtu kópií, ktoré sú nevyhnutné na podporu oprávneného použitia Zariadení Kyndryl, softvérových programov, ktoré Kyndryl vlastní alebo pre ktoré má právo na udelenie licencií. Dodávateľ nesmie previesť programy na iné osoby, vytvárať kópie licenčných informácií pre softvér ani analyzovať, dekompilovať, vykonávať postupy reverzného inžinierstva ani inak prekladať žiadne programy, pokiaľ to výslovne nepovoľujú platné právne predpisy bez možnosti zmluvného obmedzenia tohto práva.
5. Aktualizácie
5.1 Bez ohľadu na akékoľvek protichodné ustanovenia v Transakčnom dokumente alebo súvisiacej rámcovej zmluve uzatvorenej medzi zmluvnými stranami, môže Kyndryl po predchádzajúcom písomnom upozornení Dodávateľa, avšak bez potreby súhlasu zo strany Dodávateľa, aktualizovať, doplniť alebo inak pozmeniť tento Článok s cieľom splniť požiadavky vyplývajúce z platných právnych požiadaviek alebo záväzkov voči Zákazníkovi či začleniť nové odporúčané postupy v oblasti zabezpečenia alebo z iných dôvodov, ak to bude Kyndryl považovať za nevyhnutné na ochranu Podnikových systémov alebo Kyndryl.
Článok VII, Rozšírenie personálu
Tento Článok sa uplatňuje, ak zamestnanci Dodávateľa budú celý svoj pracovný čas venovať poskytovaniu Služieb pre Kyndryl, budú vykonávať všetky tieto Služby v priestoroch Kyndryl, priestoroch Zákazníka alebo z domu a budú v rámci vykonávania Služieb pristupovať k Podnikovým systémom iba zo Zariadení Kyndryl.
1. Prístup k Podnikovým systémom, Prostredia Kyndryl
1.1 Dodávateľ môže Služby vykonávať iba prístupom k Podnikovým systémom zo Zariadení, ktoré mu poskytne Kyndryl.
1.2 Dodávateľ bude dodržiavať ustanovenia Článku VI (Prístup k Podnikovým systémom) pri každom prístupe k Podnikovým systémom.
1.3 Dodávateľ a jeho zamestnanci môžu na poskytovanie Služieb používať iba Zariadenia poskytnuté Kyndryl, pričom tieto zariadenia môžu Dodávateľ a jeho zamestnanci používať iba v súvislosti s poskytovaním Služieb. Na objasnenie: Dodávateľ ani jeho zamestnanci za žiadnych okolností nesmú pri poskytovaní Služieb používať žiadne iné zariadenia ani používať Zariadenia Kyndryl na poskytovanie služieb inému zákazníkovi Dodávateľa ani na iný účel ako poskytovanie Služieb Kyndryl.
1.4 Zamestnanci Dodávateľa, ktorí používajú Zariadenia Kyndryl, môžu medzi sebou zdieľať Materiály Kyndryl a ukladať takéto materiály do Zariadení Kyndryl, avšak len v obmedzenom rozsahu, v akom je takéto zdieľanie a ukladanie materiálov nevyhnutné na úspešné vykonávanie Služieb.
1.5 Pokiaľ sa to netýka takéhoto ukladania materiálov do Zariadení Kyndryl, Dodávateľ ani jeho zamestnanci nesmú za žiadnych okolností odstrániť Materiály Kyndryl z depozitárov, prostredí, nástrojov alebo infraštruktúry Kyndryl, v ktorých ich Kyndryl uchováva.
1.6 Na objasnenie: bez predchádzajúceho písomného súhlasu Kyndryl nesmú Dodávateľ a jeho zamestnanci prenášať žiadne Materiály Kyndryl do akýchkoľvek depozitárov, prostredí, nástrojov alebo infraštruktúr Dodávateľa a ani do iných systémov, platforiem, sietí a iných prostredí.
1.7 Článok VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie) sa neuplatňuje, ak zamestnanci Dodávateľa budú celý svoj pracovný čas venovať poskytovaniu Služieb pre Kyndryl, budú vykonávať všetky tieto Služby v priestoroch Kyndryl, priestoroch Zákazníka alebo z domu a budú v rámci vykonávania Služieb pristupovať k Podnikovým systémom iba zo Zariadení Kyndryl. V opačnom prípade sa na Služby poskytované Dodávateľom bude vzťahovať Článok VIII.
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
-
Ak áno, budú sa uplatňovať Články II (Technické a organizačné opatrenia, Zabezpečenie údajov), VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), IX (Certifikácie a zostavy Hosťovaných služieb) a X (Spolupráca, overovanie a riešenie problémov). Bude sa uplatňovať aj Článok III (Ochrana súkromia), ak má v rámci poskytovania Hosťovanej služby Dodávateľ prístup k Osobným údajom Kyndryl.
Príklady:
- Dodávateľ poskytuje Kyndryl ľubovoľnú ponuku „čokoľvek ako služba“, ako sú ponuky softvér, platforma alebo infraštruktúra „ako služba“.
Článok II, Technické a organizačné opatrenia, Zabezpečenie údajov
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva iné Údaje Kyndryl ako Obchodné kontaktné informácie Kyndryl. Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku pri poskytovaní všetkých Služieb a Dodávaných produktov, a tým chrániť Údaje Kyndryl pred ich stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením, náhodným alebo neoprávneným prístupom a neoprávneným Spracúvaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Používanie údajov
1.1 Dodávateľ nesmie bez predchádzajúceho písomného súhlasu Kyndryl pridať do Údajov Kyndryl alebo zahrnúť do Údajov Kyndryl žiadne iné informácie či údaje vrátane Osobných údajov a Dodávateľ nesmie používať Údaje Kyndryl v žiadnej podobe, či už súhrnnej alebo inej, na žiadne iné ciele ako je poskytovanie Služieb a Dodávaných produktov (napríklad Dodávateľ nesmie používať ani znova použiť Údaje Kyndryl na hodnotenie efektívnosti ponúk Dodávateľa ani ich zlepšovanie, na výskum ani vývoj s cieľom vytvoriť nové ponuky a ani na generovanie zostáv týkajúcich sa ponúk Dodávateľa). Pokiaľ to výslovne nepovoľuje Transakčný dokument, Dodávateľ nesmie predávať Údaje Kyndryl.
1.2 Dodávateľ nevčlení žiadne technológie webového sledovania do Dodávaných produktov ani ich nebude využívať v rámci Služieb (tieto technológie zahŕňajú HTML5, lokálne úložisko, značky alebo tokeny tretích strán a webové signály), pokiaľ to výslovne nepovoľuje Transakčný dokument.
2. Požiadavky zo strany tretích strán a dôvernosť údajov
2.1 Dodávateľ neposkytne Údaje Kyndryl žiadnej tretej strane bez predchádzajúceho písomného povolenia zo strany Kyndryl. Ak o prístup k Údajom Kyndryl požiada orgán verejnej správy vrátane akéhokoľvek regulačného orgánu (napríklad keď vláda USA doručí Dodávateľovi príkaz na poskytnutie Údajov Kyndryl v záujme národnej bezpečnosti) alebo ak je Dodávateľ v dôsledku iných skutočností zo zákona povinný poskytnúť Údaje Kyndryl, Dodávateľ bude písomne informovať Kyndryl o takejto požiadavke alebo povinnosti a dopraje Kyndryl primeranú príležitosť na podanie námietky proti takémuto poskytnutiu údajov (pokiaľ právne predpisy zakazujú takéto upozornenie Kyndryl, Dodávateľ podnikne primerané právne kroky v snahe anulovať takýto zákaz a príkaz na poskytnutie Údajov Kyndryl formou súdneho nariadenia alebo iným spôsobom).
2.2 Dodávateľ zaručuje Kyndryl, že: (a) prístup k Údajom Kyndryl budú mať len tí zamestnanci, ktorí nevyhnutne potrebujú takýto prístup na poskytovanie Služieb alebo Dodávaných produktov, a to len v rozsahu nevyhnutnom na poskytovanie týchto Služieb a Dodávaných produktov, a (b) zaviazal svojich zamestnancov k mlčanlivosti, na základe čoho môžu zamestnanci používať a poskytovať Údaje Kyndryl iba v súlade s týmito Podmienkami.
3. Vrátenie alebo odstránenie Údajov Kyndryl
3.1 Dodávateľ podľa rozhodnutia Kyndryl buď odstráni, alebo vráti Údaje Kyndryl spoločnosti Kyndryl po vypovedaní alebo uplynutí platnosti Transakčného dokumentu alebo skôr na žiadosť Kyndryl. Ak Kyndryl požiada o ich odstránenie, Dodávateľ v súlade s Odporúčanými postupmi v odvetví spraví údaje nečitateľnými bez možnosti ich opätovného zostavenia alebo rekonštrukcie a potvrdí ich odstránenie Kyndryl. Ak Kyndryl požiada o vrátenie Údajov Kyndryl, Dodávateľ ich vráti podľa primeraného harmonogramu Kyndryl a podľa písomných pokynov Kyndryl.
Článok III, Súkromie
Tento Článok sa uplatňuje, ak Dodávateľ Spracúva Osobné údaje Kyndryl.
1. Spracúvanie
1.1 Kyndryl menuje Dodávateľa sprostredkovateľom na Spracúvanie Osobných údajov Kyndryl výhradne s cieľom poskytovania Dodávaných produktov a Služieb v súlade s pokynmi Kyndryl vrátane pokynov uvedených v týchto Podmienkach, Transakčnom dokumente a súvisiacej rámcovej zmluve uzavretej medzi zmluvnými stranami. Ak Dodávateľ nesplní nejaký pokyn, Kyndryl môže vypovedať dotknutú časť Služieb na základe písomnej výpovede. Ak sa Dodávateľ bude domnievať, že niektorý pokyn je v rozpore s právnym predpisom o ochrane údajov, Dodávateľ bude bezodkladne informovať Kyndryl o tejto skutočnosti v rámci časového obdobia vyžadovaného takýmto právnym predpisom.
1.2 Dodávateľ bude dodržiavať všetky právne predpisy o ochrane údajov, ktoré sa vzťahujú na Služby a Dodávané produkty.
1.3 Dodatok k Transakčnému dokumentu alebo samotný Transakčný dokument stanovuje nasledujúce informácie vo vzťahu k Údajom Kyndryl:
(a) kategórie Dotknutých osôb,
(b) typy Osobných údajov Kyndryl,
(c) akcie s údajmi činnosti Spracúvania,
(d) trvanie a frekvencia Spracúvania,
(e) zoznam subdodávateľov.
2. Technické a organizačné opatrenia
2.1 Dodávateľ zavedie a bude dodržiavať technické a organizačné opatrenia uvedené v Článku II (Technické a organizačné opatrenia, Zabezpečenie údajov) a Článku VIII (Technické a organizačné opatrenia, Všeobecné zabezpečenie), a tým zabezpečí vhodnú úroveň zabezpečenia vzhľadom na riziká súvisiace s jeho Službami a Dodávanými produktmi. Dodávateľ potvrdzuje súhlas s obmedzeniami stanovenými v Článku II, Článku III Článku VIII a zaväzuje sa ich dodržiavať.
3. Práva a požiadavky Dotknutých osôb
3.1 Dodávateľ bezodkladne informuje Kyndryl (v dostatočnom časovom horizonte, aby Kyndryl a Iní Prevádzkovatelia údajov mohli splniť svoje zákonné povinnosti) o všetkých požiadavkách zo strany Dotknutých osôb uplatňujúcich si svoje zákonné práva (napríklad žiadosti o opravu, odstránenie alebo zablokovanie údajov) vo vzťahu k Osobným údajom Kyndryl. Dodávateľ môže tiež bezodkladne odkázať Dotknuté osoby, ktoré vzniesli takéto požiadavky, na spoločnosť Kyndryl. Dodávateľ nebude reagovať na žiadne požiadavky zo strany Dotknutých osôb, pokiaľ nie je k tomu zaviazaný na základe platných právnych predpisov alebo mu na to spoločnosť Kyndryl nedá písomný pokyn.
3.2 V prípade, že bude Kyndryl povinná poskytnúť informácie týkajúce sa Osobných údajov Kyndryl Iným Prevádzkovateľom údajov alebo iným tretím stranám (ako sú Dotknuté osoby alebo regulačné orgány), Dodávateľ bezodkladne poskytne Kyndryl primeranú súčinnosť, a to tak, že jej poskytne všetky požadované informácie a vykoná všetky primerané kroky požadované Kyndryl v dostatočnom predstihu, aby Kyndryl mohla včas reagovať na požiadavky takýchto Iných Prevádzkovateľov údajov alebo tretích strán.
4. Subdodávatelia
4.1 Dodávateľ bude vopred písomne informovať Kyndryl pred pridaním nového Subdodávateľa alebo rozšírením rozsahu Spracúvania zo strany existujúceho Subdodávateľa, pričom v takomto písomnom oznámení uvedie názov Subdodávateľa a opíše nový alebo rozšírený rozsah Spracúvania. Kyndryl môže v opodstatnených prípadoch kedykoľvek namietať proti pridaniu nového Subdodávateľa alebo rozšíreniu rozsahu Spracúvania. V takejto situácii sa zmluvné strany v dobrej viere pokúsia spoločne vyriešiť námietky Kyndryl. S ohľadom na právo Kyndryl kedykoľvek vzniesť námietku môže Dodávateľ najať nového Subdodávateľa alebo rozšíriť rozsah Spracúvania existujúcim Subdodávateľom, ak Kyndryl nevzniesla námietku do 30 dní odo dňa, kedy ju o tom Dodávateľ písomne informoval.
4.2 Dodávateľ Zaviaže každého schváleného Subdodávateľa k plneniu rovnakých povinností týkajúcich sa ochrany údajov, zabezpečenia a certifikácie, aké vyplývajú z týchto Podmienok, a to ešte predtým, ako by Subdodávateľ začal Spracúvať Údaje Kyndryl. Dodávateľ bude niesť plnú zodpovednosť voči Kyndryl za plnenie týchto povinností Subdodávateľom.
5. Spracúvanie údajov v zahraničí
Vymedzenie pojmov:
Krajina s primeranou ochranou je krajina, ktorá zaručuje primeranú úroveň ochrany údajov v súvislosti s ich príslušným prenosom na základe právneho predpisu o ochrane údajov alebo rozhodnutia regulačného orgánu.
Dovozca údajov je Sprostredkovateľ alebo Subdodávateľ, ktorý nesídli v Krajine s primeranou ochranou.
Štandardné zmluvné doložky EÚ (ďalej aj ako „ŠZD EÚ“) znamená Štandardné zmluvné doložky EÚ (podľa Rozhodnutia Komisie 2021/914) s nepovinnými ustanoveniami okrem možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17, ako sú oficiálne publikované na stránke https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en .
Srbské Štandardné zmluvné doložky (ďalej aj ako „Srbské ŠZD“) znamená Srbské Štandardné zmluvné doložky, ako boli prijaté „Srbským komisárom pre ochranu informácií verejného záujmu a osobných údajov“, ktoré sú publikované na stránke https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx .
Štandardné zmluvné doložky (ďalej aj ako „ŠZD“) sú zmluvné ustanovenia vyžadované na základe platných právnych predpisov o ochrane údajov týkajúce sa prenosu Osobných údajov k Sprostredkovateľom, ktorí nesídlia v Krajinách s primeranou ochranou.
Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ (ďalej len "Dodatok Spojeného kráľovstva") znamená Dodatok Spojeného kráľovstva o Medzinárodnom prenose údajov k Štandardným zmluvným doložkám Komisie EÚ v oficiálnom znení zverejnenom na adrese https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/ .
5.1 Dodávateľ nebude prenášať žiadne Osobné údaje Kyndryl do zahraničia ani ich nevyzradí do zahraničia (vrátane formou vzdialeného prístupu) bez predchádzajúceho písomného súhlasu. Ak Kyndryl vyjadrí takýto súhlas, zmluvné strany spoločne zabezpečia súlad s platnými právnymi predpismi o ochrane údajov. Ak tieto právne predpisy vyžadujú Štandardné zmluvné doložky, Dodávateľ bezodkladne podpíše tieto Štandardné zmluvné doložky na žiadosť Kyndryl.
5.2 V súvislosti so Štandardnými zmluvnými doložkami EÚ:
(a)Ak Dodávateľ nesídli v Krajine s primeranou ochranou, Dodávateľ týmto uzatvára Štandardné zmluvné doložky EÚ so spoločnosťou Kyndryl ako Dovozca údajov a Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Subdodávateľmi v súlade s Odsekom 9 Štandardných zmluvných doložiek EÚ a na žiadosť Kyndryl poskytne Kyndryl kópie týchto zmlúv.
(i) Modul 1 ŠZD EÚ sa neuplatňuje, pokiaľ sa zmluvné strany písomne nedohodnú inak.
(ii) Modul 2 ŠZD EÚ sa uplatňuje, keď je spoločnosť Kyndryl Prevádzkovateľom údajov, a Modul 3 sa uplatňuje, keď je spoločnosť Kyndryl Sprostredkovateľom údajov. V súlade s Klauzulou 13 ŠZD EÚ, keď sa uplatňujú Moduly 2 alebo 3, zmluvné strany súhlasia s tým, že (1) ŠZD EÚ budú podliehať právnym predpisom členského štátu EÚ, v ktorom sídli kompetentný dozorný orgán, a (2) akékoľvek spory vyplývajúce zo ŠZD EÚ budú riešiť súdne dvory členského štátu EÚ, v ktorom sídli kompetentný dozorný orgán. Ak dané právne predpisy vyplývajúce z bodu (1) nepočítajú s právami užívateľov výhod, ktorí sú tretími stranami, v tomto prípade budú ŠZD EÚ podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ podľa bodu (2) bude riešiť súdny dvor v Amsterdame, Holandsko.
(b) Ak Dodávateľ sídli v Európskom hospodárskom priestore a spoločnosť Kyndryl je Prevádzkovateľ údajov, ktorý nepodlieha Všeobecnému nariadeniu o ochrane údajov 2016/679, bude sa uplatňovať Modul 4 ŠZD EÚ a Dodávateľ týmto uzatvára ŠZD EÚ so spoločnosťou Kyndryl ako vývozca údajov. Ak sa uplatňuje Modul ŠZD EÚ, zmluvné strany súhlasia s tým, že ŠZD EÚ budú podliehať právnym predpisom Holandska a všetky spory vyplývajúce zo ŠZD EÚ bude riešiť súdny dvor v Amsterdame, Holandsko.
(c) Ak iní Prevádzkovatelia údajov, ako sú napríklad Zákazníci alebo pridružené spoločnosti, požiadajú o to, aby sa stali zmluvnými stranami vo vzťahu k ŠZD EÚ podľa klauzule o spájaní Klauzuly 7, Dodávateľ týmto súhlasí so všetkými takýmito požiadavkami.
(d) Technické a organizačné opatrenia nevyhnutné na splnenie Prílohy II ŠZD EÚ sú uvedené v týchto Podmienkach, v samotnom Transakčnom dokumente a súvisiacej rámcovej zmluve, ktorú zmluvné medzi sebou strany uzavreli.
(e) V prípade rozporu medzi ŠZD EÚ a týmito podmienkami sa budú uplatňovať Štandardné zmluvné doložky EÚ.
5.3 Ohľadom Dodatku Spojeného kráľovstva:
(a) Ak Dodávateľ nie je usadený v Krajine s primeranou úrovňou ochrany: (i) Dodávateľ týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl ako Dovozcom údajov, pričom tieto Dodatky doplnia Štandardné zmluvné doložky Komisie EÚ uvedené hore (podľa toho, aké typy činností spracovania vykonáva); a (ii) Dodávateľ uzatvorí písomnú dohodu s každým schváleným Subdodávateľom a na požiadanie predloží kópie týchto zmlúv spoločnosti Kyndryl.
(b) Ak je Dodávateľ usadený v Krajine s primeranou úrovňou ochrany a spoločnosť Kyndryl je Prevádzkovateľom, na ktorého sa nevzťahuje Všeobecné nariadenie o ochrane údajov Spojeného kráľovstva (ktoré bolo transponované do britského právneho poriadku zákonom o vystúpení z EÚ z roku 2018), Dodávateľ ako Vývozca údajov týmto uzatvára Dodatky Spojeného kráľovstva so spoločnosťou Kyndryl, pričom tieto Dodatky dopĺňajú Štandardné zmluvné doložky Komisie EÚ uvedené hore v časti 5.2(b).
(c) Ak iní Prevádzkovatelia, ako napr. zákazníci alebo partnerské spoločnosti, požiadajú o pristúpenie k Dodatkom Spojeného kráľovstva, Dodávateľ týmto súhlasí, že vyhovie každej takejto požiadavke.
(d) Informačná Príloha (ako je uvedené v Tabuľke 3) k Dodatkom Spojeného kráľovstva sa nachádza v príslušných Štandardných zmluvných doložkách Komisie EÚ, týchto podmienkach, samotných Transakčných dokumentoch a súvisiacich základných zmluvách medzi všetkými stranami. Ani spoločnosť Kyndryl ani Dodávateľ nie sú oprávnení ukončiť Dodatky Spojeného kráľovstva v prípade ich zmien.
(e) V prípade akéhokoľvek rozporu medzi Dodatkom Spojeného kráľovstva a týmito podmienkami platia Dodatky Spojeného kráľovstva.
5.4 V súvislosti so Štandardnými zmluvnými doložkami Srbska:
(a) Ak Dodávateľ nesídli v Krajine s primeranou ochranou: (i) Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl vo svojom vlastnom mene ako Sprostredkovateľ a (ii) Dodávateľ uzavrie písomné zmluvy so všetkými schválenými Subdodávateľmi v súlade s Odsekom 8 Štandardných zmluvných doložiek Srbska a na žiadosť spoločnosti Kyndryl poskytne spoločnosti Kyndryl kópie týchto zmlúv.
(b) Ak Dodávateľ sídli v Krajine s primeranou ochranou, Dodávateľ týmto uzatvára Štandardné zmluvné doložky Srbska so spoločnosťou Kyndryl v mene všetkých Subdodávateľov, ktorí sídlia v Krajinách bez primeranej ochrany. Ak ich Dodávateľ nemôže uzatvoriť v mene niektorého Subdodávateľa, pred tým, ako tomuto Subdodávateľovi povolí Spracúvanie akýchkoľvek Osobných údajov spoločnosti Kyndryl, poskytne spoločnosti Kyndryl Štandardné zmluvné doložky Srbska podpísané príslušným Subdodávateľom na podpísanie spoločnosťou Kyndryl.
(c) Štandardné zmluvné doložky Srbska uzavreté medzi spoločnosťou Kyndryl a Dodávateľom budú slúžiť ako Štandardné zmluvné doložky Srbska uzavreté medzi Prevádzkovateľom údajov a Sprostredkovateľom údajov alebo ako delegovaná písomná zmluva medzi „sprostredkovateľom“ a „subdodávateľom“ podľa skutočností. V prípade rozporu medzi Štandardnými zmluvnými doložkami Srbska a týmito Podmienkami sa budú uplatňovať ŠZD Srbska.
(d) Informácie nevyhnutné na splnenie podmienok Príloh 1 až 8 ŠZD Srbska na účely prenosu Osobných údajov do Krajín bez primeranej ochrany sú uvedené v týchto Podmienkach a Prílohe k Transakčnému dokumentu, prípadne v samotnom Transakčnom dokumente.
6. Pomoc a záznamy
6.1 Zohľadňujúc charakter Spracúvania, zavedením primeraných technických a organizačných opatrení Dodávateľ poskytne Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností Kyndryl súvisiacich s požiadavkami Dotknutých osôb a ochranou ich práv. Dodávateľ poskytne Kyndryl súčinnosť v snahe zabezpečiť plnenie povinností súvisiacich so zabezpečením Spracúvania, upozornením na Narušenie zabezpečenia a hodnotením dopadu ochrany údajov vrátane predchádzajúcej konzultácie so zodpovedným regulačným orgánom, vzhľadom na informácie, ktoré má Dodávateľ k dispozícii.
6.2 Dodávateľ bude udržiavať aktuálne záznamy o menách a kontaktných údajoch jednotlivých Subdodávateľov vrátane zástupcu Subdodávateľa a zodpovednej osoby. Dodávateľ na žiadosť Kyndryl poskytne tieto záznamy Kyndryl v dostatočnom predstihu na to, aby Kyndryl dokázala včas reagovať na požiadavky Zákazníka alebo inej tretej strany.
Článok VIII, Technické a organizačné opatrenia, Všeobecné zabezpečenie
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje Kyndryl nejaké Služby alebo Dodávané produkty, s výnimkou ak Dodávateľ bude mať prístup iba k Obchodným kontaktným informáciám Kyndryl súvisiacim s poskytovaním týchto Služieb a Dodávaných produktov (čiže Dodávateľ nebude Spracúvať žiadne iné Údaje Kyndryl ani mať prístup k iným Materiálom Kyndryl alebo Podnikovým systémom), jedinými Službami a Dodávanými produktmi Dodávateľa sú poskytovanie Lokálneho softvéru spoločnosti Kyndryl alebo ak Dodávateľ poskytuje všetky Služby a Dodávané produkty podľa modelu rozšírenia personálu podľa Článku VII vrátane Odseku 1.7.
Dodávateľ bude dodržiavať požiadavky uvedené v tomto Článku, a tým chrániť: (a) Materiály Kyndryl pred stratou, zničením, pozmenením, náhodným alebo neoprávneným vyzradením a náhodným alebo neoprávneným prístupom, (b) Údaje Kyndryl pred neoprávneným Spracúvaním a (c) Technológie Kyndryl pred nezákonným Zaobchádzaním. Požiadavky uvedené v tomto Článku sa vzťahujú na všetky IT aplikácie, platformy a infraštruktúry, ktoré Dodávateľ prevádzkuje alebo spravuje v rámci poskytovania Dodávaných produktov a Služieb a Zaobchádzania s Technológiami Kyndryl, a to vrátane vývoja, testovania, hosťovania, podpory a prevádzky, a prostredí dátových centier.
1. Bezpečnostné zásady
1.1 Dodávateľ zavedie a bude dodržiavať bezpečnostné zásady a postupy v oblasti IT, ktoré sa stanú neoddeliteľnou súčasťou obchodných operácií Dodávateľa, budú záväzné pre všetok Personál Dodávateľa a budú v súlade s Odporúčanými postupmi v odvetví.
1.2 Dodávateľ bude minimálne každoročne prehodnocovať svoje bezpečnostné zásady a postupy v oblasti IT a bude ich dopĺňať podľa potreby v záujme ochrany Materiálov Kyndryl.
1.3 Dodávateľ bude zachovávať a dodržiavať povinné požiadavky týkajúce sa previerok zamestnancov u všetkých nových zamestnancov, pričom tieto požiadavky bude uplatňovať u všetkého Personálu Dodávateľa a v pridružených spoločnostiach, ktoré v plnej miere vlastní. Tieto požiadavky budú zahŕňať previerky registra trestov, overenie dokladu totožnosti a ďalšie kontroly, ktoré bude Dodávateľ považovať za potrebné a ktoré povoľujú platné právne predpisy. Dodávateľ bude pravidelne opakovať a prehodnocovať tieto požiadavky, ako to uzná za vhodné.
1.4 Dodávateľ každoročne zabezpečí pre svojich zamestnancov vzdelávanie v oblasti zabezpečenia a ochrany osobných údajov a bude od všetkých zamestnancov každoročne vyžadovať, aby sa zaviazali k dodržiavaniu zásad etického správania, dôvernosti a zabezpečenia Dodávateľa, ktoré sú v definované v pracovnom poriadku Dodávateľa alebo podobných dokumentoch. Dodávateľ zabezpečí pre osoby s prístupom správcu k súčastiam Služieb, Dodávaným produktom alebo Materiálom Kyndryl ďalšie školenia v oblasti zásad správania a postupov, pričom takéto školenia budú primerané ich role a na podporu Služieb, Dodávaných produktov a Materiálov Kyndryl, a ako bude potrebné v záujme zabezpečenia súladu s právnymi predpismi a získania certifikácií.
1.5 Dodávateľ navrhne opatrenia na ochranu zabezpečenia a súkromných údajov s cieľom chrániť a zabezpečiť dostupnosť Materiálov Kyndryl, a to vrátane zavedenia, správy a dodržiavanie zásad a postupov, ktoré inherentne vyžadujú zabezpečenie a ochranu osobných údajov, bezpečného vývoja a bezpečných operácií pre všetky Služby a Dodávané produkty a pre všetky činnosti Zaobchádzania s Technológiami Kyndryl.
2. Bezpečnostné incidenty
2.1 Dodávateľ bude dodržiavať zdokumentované zásady reagovania na incidenty v súlade s Odporúčanými postupmi v odvetví týkajúcimi sa riešenia počítačových bezpečnostných incidentov.
2.2 Dodávateľ vyšetrí neoprávnený prístup k Materiálom Kyndryl alebo ich neoprávnené použitie a definuje a zavedie primeraný plán riešenia.
2.3 Dodávateľ bezodkladne (za žiadnych okolností nie neskôr ako do 48 hodín) upozorní spoločnosť Kyndryl, keď zistí Narušenie zabezpečenia. Toto upozornenie pošle Dodávateľ na adresu cyber.incidents@kyndryl.com . Dodávateľ poskytne Kyndryl požadované informácie o narušení a stave činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa. Takéto primerane požadované informácie môžu napríklad zahŕňať protokoly potvrdzujúce privilegovaný, správcovský alebo iný prístup k Zariadeniam, systémom alebo aplikáciám, forenzné obrazy Zariadení, systémov alebo aplikácií a iné podobné položky v rozsahu relevantnom vzhľadom na narušenie alebo činností zameraných na ich riešenie a obnovenie funkčnosti zo strany Dodávateľa.
2.4 Dodávateľ poskytne Kyndryl primeranú súčinnosť na splnenie zákonných povinností (vrátane povinnosti upozorniť regulačné orgány alebo Dotknuté osoby) Kyndryl, pridružených spoločností Kyndryl a Zákazníkov (a ich zákazníkov a pridružených spoločností) v súvislosti s Narušením zabezpečenia.
2.5 Dodávateľ nebude informovať žiadne tretie strany o tom, že Narušenie zabezpečenia priamo či nepriamo súvisí so spoločnosťou Kyndryl alebo Materiálmi Kyndryl, pokiaľ Kyndryl písomne nevyjadrí súhlas s takýmto informovaním alebo to nevyžadujú platné právne predpisy. Zákazník písomne upozorní Kyndryl pred odoslaním oznámenia vyžadovaného na základe platných právnych predpisov tretej strane, pokiaľ by takéto oznámenie priamo či nepriamo odhalilo identitu spoločnosti Kyndryl.
2.6 V prípade Narušenia zabezpečenia v dôsledku porušenia povinností Dodávateľa, ktoré mu vyplývajú z týchto Podmienok:
(a) Dodávateľ bude znášať všetky náklady, ktoré mu vzniknú, ako aj skutočné náklady, ktoré vzniknú Kyndryl v súvislosti s ohlásením Narušenia zabezpečenia príslušným regulačným orgánom alebo iným verejným alebo relevantným samoregulačným orgánom pôsobiacim v odvetví, médiám (ak to vyžadujú platné právne predpisy), Dotknutým osobám, Zákazníkom a iným;
(b) ak to bude Kyndryl požadovať, Dodávateľ na vlastné náklady zriadi a bude prevádzkovať telefonické kontaktné centrum, ktoré bude odpovedať na otázky Dotknutých osôb v súvislosti s Narušením zabezpečenia a jeho dôsledkoch, po dobu jedného roka odo dňa, kedy boli Dotknuté osoby upozornené na Narušenia zabezpečenia, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu. Kyndryl a Dodávateľ spoločne vytvoria scenáre a iné materiály, ktoré bude personál telefonického kontaktného centra používať pri reagovaní na otázky. Prípadne môže na písomnú žiadosť Dodávateľa Kyndryl zriadiť a prevádzkovať svoje vlastné telefonické kontaktné centrum miesto telefonického kontaktného centra Dodávateľa, pričom Dodávateľ nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti so zriadením a prevádzkou takéhoto kontaktného centra;
(c) Zákazník nahradí Kyndryl skutočné náklady, ktoré Kyndryl vzniknú v súvislosti s poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti po dobu jedného roka od dátumu oznámenia Narušenia zabezpečenia osobám, ktorých sa Narušenia zabezpečenia dotklo a ktorí sa zaregistrovali pre takéto služby, alebo ako to vyžaduje platný právny predpis o ochrane údajov, podľa toho, ktorá z týchto možností zaručuje lepšiu ochranu.
3. Fyzické zabezpečenie a riadenie prístupu (pojem „Pracovisko“ v texte nižšie znamenáfyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje).
3.1 Dodávateľ bude dodržiavať primerané kontrolné mechanizmy na riadenie fyzického prístupu, ako sú zábrany, vstupy s čipovými kartami, bezpečnostné kamery a recepcie s personálom v záujme ochrany pred neoprávneným vstupom na Pracoviská.
3.2 Dodávateľ bude vyžadovať autorizované schválenie prístupu do na svoje Pracoviská a kontrolovaných oblastí v rámci nich, vrátane dočasného prístupu, a bude obmedzovať prístup do nich podľa pracovného zaradenia a potreby. Ak Dodávateľ povolí dočasný prístup, návštevníka bude na Pracovisku a v kontrolovaných oblastiach sprevádzať oprávnený zamestnanec.
3.3 Dodávateľ zavedie fyzické kontrolné mechanizmy prístupu vrátane viacfaktorových kontrol prístupu, ktoré budú v súlade s Odporúčanými postupmi v odvetví, s cieľom primerane obmedziť prístup do kontrolovaných oblastí na Pracoviskách, a bude zaznamenávať všetky pokusy o prístup a uchovávať takéto záznamy prinajmenšom jeden rok.
3.4 Dodávateľ zruší prístup na Pracoviská a do kontrolovaných oblastí v rámci Pracovísk (a) pri ukončení pracovného pomeru s oprávneným zamestnancom Dodávateľa alebo (b) keď zanikne opodstatnený dôvod na vstup oprávneného zamestnanca Dodávateľa. Dodávateľ bude dodržiavať formálne zdokumentované postupy ukončenia pracovného pomeru, ktoré budú zahŕňať bezodkladné odstránenie zo zoznamov osôb s oprávneným prístupom a odobratie fyzických prístupových čipových kariet.
3.5 Dodávateľ zavedie opatrenia na ochranu fyzickej infraštruktúry, ktorá sa používa na podporu Služieb a Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl, pred vonkajšími hrozbami, či už prirodzenými alebo spôsobenými človekom, ako sú nadmerná okolitá teplota, požiar, záplavy, vlhkosť, krádež a vandalizmus.
4. Prístup, intervencia, prenos a kontrola prístupu po ukončení pracovného pomeru
4.1 Dodávateľ bude udržiavať zdokumentovanú bezpečnostnú architektúru sietí, ktoré riadi pri prevádzkovaní Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ jednotlivo overí architektúru týchto sietí a zavedie opatrenia s cieľom zamedziť neoprávnenému sieťovému pripojeniu k systémom, aplikáciám a sieťovým zariadeniam a zabezpečiť súlad s hĺbkovými štandardmi bezpečnej segmentácie, izolácie a ochrany. Dodávateľ nesmie využívať bezdrôtové sieťové technológie v rámci hosťovania a prevádzky Hosťovaných služieb. Dodávateľ však môže využívať bezdrôtové sieťové technológie pri poskytovaní Služieb a Dodávaných produktov, ako aj pri Zaobchádzaní s Technológiami Kyndryl, tieto však musia byť šifrované a musí vyžadovať bezpečnú autentifikáciu vo všetkých takýchto bezdrôtových sieťach.
4.2 Dodávateľ zavedie také opatrenia, ktoré umožnia logické oddelenie Materiálov Kyndryl od iných údajov a zabránia ich vyzradeniu neoprávneným osobám alebo neoprávnenému prístupu k nim. Dodávateľ okrem toho zabezpečí primeranú izoláciu svojich produkčných, neprodukčných a iných prostredí a, v prípade, že sa už Materiály Kyndryl nachádzajú v neprodukčnom prostredí alebo doň budú prenesené (napríklad s cieľom reprodukovať chybu), zabezpečí, že všetky mechanizmy na ochranu a zabezpečenie dôvernosti údajov v neprodukčnom prostredí budú ekvivalentné s mechanizmami v produkčnom prostredí.
4.3 Dodávateľ bude šifrovať prenášané aj neaktívne Materiály Kyndryl (pokiaľ Dodávateľ k primeranej spokojnosti Kyndryl nepreukáže, že šifrovanie neaktívnych Materiálov Kyndryl nie je technicky možné). Dodávateľ bude tiež šifrovať všetky prípadné fyzické médiá, napríklad médiá obsahujúce záložné súbory. Dodávateľ zavedie zdokumentované procesy generovania, vydávania, distribúcie, ukladania, obmeny, odvolania, obnovenia, zálohovania, zničenia a použitia bezpečnostných kľúčov a prístupu k nim v súvislosti so šifrovaním údajov. Dodávateľ zabezpečí, že konkrétne kryptografické postupy, ktoré sa budú využívať pri takomto šifrovaní, budú v súlade s Odporúčanými postupmi v odvetví (napríklad NIST SP 800-131a).
4.4 Ak Dodávateľ vyžaduje prístup k Materiálom Kyndryl, Dodávateľ obmedzí takýto prístup na najnižšiu možnú úroveň potrebnú na poskytovanie a podporu Služieb a Dodávaných produktov. Dodávateľ bude vyžadovať, aby takýto prístup, vrátane prístupu správcu k podkladovým súčastiam Služby (čiže privilegovaný prístup), bude individuálny, bude sa odvíjať od jednotlivých rolí a bude podliehať schvaľovaniu a pravidelnému posudzovaniu zo strany autorizovaných zamestnancov Dodávateľa v súlade s princípmi oddelenia povinností. Dodávateľ zavedie opatrenia na identifikáciu a odstránenie redundantných a nevyužívaných kont. Dodávateľ taktiež zruší kontá s privilegovaným prístupom do dvadsiatich štyroch (24) hodín od ukončenia pracovného pomeru s vlastníkom konta alebo od prijatia žiadosti od Kyndryl alebo oprávneného zamestnanca Dodávateľa, akým je napríklad manažér vlastníka konta.
4.5 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie technické opatrenia zabezpečujúce uplatňovanie vyhradeného času pre neaktívne relácie, uzamknutie kont po určitom počte po sebe nasledujúcich neúspešných pokusov o prihlásenie a použitie silného hesla alebo prístupovej frázy na prihlásenie a opatrenia vyžadujúce bezpečný prenos a ukladanie takýchto hesiel a prístupových fráz. Okrem toho bude Dodávateľ využívať viacfaktorovú autentifikáciu pri každom privilegovanom prístupe k Materiálom Kyndryl mimo konzoly.
4.6 Dodávateľ bude monitorovať využívanie privilegovaného prístupu a zavedie opatrenia na správu bezpečnostných informácií a udalostí s cieľom: (a) identifikovať neoprávnený prístup a činnosti, (b) umožniť včasnú a primeranú reakciu na takýto prístup a činnosti a (c) umožniť audity zo strany Dodávateľa, Kyndryl (v súlade s jej právami na overovania vyplývajúcimi z týchto Podmienok a právami na audit uvedenými v Transakčnom dokumente alebo súvisiacej rámcovej alebo inej súvisiacej zmluve uzavretej medzi zmluvnými stranami) a iných subjektov v záujme overenia dodržiavania zdokumentovaných zásad Dodávateľa.
4.7 Dodávateľ bude uchovávať denníky, do ktorých bude v súlade s Odporúčanými postupmi v odvetví zaznamenávať všetky správcovské, používateľské a iné prístupy a činnosti vo vzťahu k systémom používaným pri poskytovaní Služieb alebo Dodávaných produktov a pri Zaobchádzaní s Technológiami Kyndryl (a na požiadanie poskytne Kyndryl tieto denníky). Dodávateľ zavedie opatrenia za účelom ochrany pred neoprávneným prístupom k takýmto denníkom, ako aj ich úpravou alebo náhodným alebo zámerným zničením.
4.8 Dodávateľ zavedie počítačové ochranné mechanizmy pre systémy, ktoré vlastní alebo spravuje (vrátane systémov koncových používateľov) a ktoré používa pri poskytovaní Služieb alebo Dodávaných produktov alebo pri Zaobchádzaní s Technológiami Kyndryl, pričom takéto ochranné mechanizmy budú okrem iného zahŕňať: brány firewall koncových bodov, šifrovanie celého disku, technológie na zisťovanie hrozieb a reagovanie na ne na základe podpisov na elimináciu malvéru a rozšírených trvalých hrozieb, časové zámky obrazovky a riešenia na správu koncových bodov, ktoré budú uplatňovať požiadavky v oblasti konfigurácie zabezpečenia a inštalácie opráv. Okrem toho Dodávateľ zavedie technické a prevádzkové kontrolné mechanizmy, ktoré budú zabezpečovať, že k sieťam Dodávateľa sa budú môcť pripájať iba známe a dôveryhodné systémy koncových používateľov.
4.9 V súlade so Odporúčanými postupmi v odvetví Dodávateľ zavedie ochranné mechanizmy pre prostredia dátových centier, v ktorých sa uchovávajú alebo spracúvajú Materiály Kyndryl, pričom takéto ochranné mechanizmy budú zahŕňať zisťovanie neoprávneného prístupu a zabránenie takémuto prístupu a protiopatrenia zamerané na útoky zahltením servera služby (DoS).
5. Kontrola integrity a dostupnosti služieb a systémov
5.1 Dodávateľ: (a) bude vykonávať hodnotenia zabezpečenia a rizika pre ochranu osobných údajov aspoň raz ročne; (b) vykoná testovanie zabezpečenia a hodnotenie bezpečnostných nedostatkov vrátane automatickej kontroly zabezpečenia systémov a aplikácií a manuálneho etického hakovania pred uvedením v produkčnom prostredí a následne každý rok vo vzťahu k Službám a Dodávaným produktom a tiež každý rok vo vzťahu k Zaobchádzaniu s Technológiami Kyndryl; (c) angažuje oprávnenú nezávislú tretiu stranu na vykonanie penetračného testovania v súlade s Odporúčanými postupmi v odvetví aspoň raz ročne, pričom takéto testovanie bude zahŕňať automatické aj manuálne testy; (d) bude vykonávať automatické riadenie a rutinné overovanie súladu s požiadavkami na konfiguráciu zabezpečenia každého komponentu Služieb a Dodávaných produktov a v súvislosti so Zaobchádzaním s Technológiami Kyndryl a (e) eliminuje zistené bezpečnostné nedostatky alebo nesúlad s požiadavkami na konfiguráciu zabezpečenia podľa vyplývajúceho rizika, zneužiteľnosti a dopadu. Dodávateľ vykoná primerané kroky v snahe predísť narušeniu poskytovania Služieb pri vykonávaní takýchto testov, hodnotení, kontrol a vykonávaní nápravných činností. Na žiadosť Kyndryl Dodávateľ poskytne Kyndryl písomný sumár posledných aktivít penetračného testovania, pričom takáto správa musí prinajmenšom uvádzať názvy produktov, ktorých sa testovanie týkalo, počet systémov alebo aplikácií, na ktoré sa testovanie vzťahovalo, dátumy testovania, metodológiu testovania a všeobecný súhrn zistení.
5.2 Dodávateľ zavedie zásady a postupy na minimalizáciu rizík súvisiacich so zavádzaním zmien do Služieb alebo Dodávaných produktov alebo v spôsobe Zaobchádzania s Technológiami Kyndryl. Pred zavedením zmeny, vrátane zmien v dotknutých systémoch, sieťach a podkladových súčastiach, Dodávateľ v rámci zaregistrovanej žiadosti o zmenu zdokumentuje (a) popis a dôvod zmeny, (b) detaily zavedenia zmeny a plán zavedenia, (c) prehľad možných rizík uvádzajúci dopad zmeny na Služby a Dodávané produkty, zákazníkov Služieb alebo Materiály Kyndryl, (d) očakávaný prínos, (e) plán zrušenia zmeny a (f) schválenie zo strany oprávnených zamestnancov Dodávateľa.
5.3 Dodávateľ bude udržiavať súpis všetkých prostriedkov informačných technológií, ktoré používa pri prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl. Dodávateľ bude nepretržite monitorovať a riadiť stav (vrátane kapacity) a dostupnosť takýchto prostriedkov informačných technológií, Služieb, Dodávaných produktov a Technológií Kyndryl vrátane a podkladových súčastí týchto prostriedkov, Služieb, Dodávaných produktov a Technológií Kyndryl.
5.4 Dodávateľ bude všetky systémy, ktoré používa pri vývoji alebo prevádzke Služieb, poskytovaní Dodávaných produktov a Zaobchádzaní s Technológiami Kyndryl, zostavovať na základe vopred definovaných systémových obrazov zabezpečenia alebo východísk zabezpečenia, ktoré budú vyhovovať Odporúčaným postupom v odvetví, ako sú napríklad ukazovatele CIS (Center for Internet Security).
5.5 Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu ku kontinuite obchodných operácií bude Dodávateľ samostatne hodnotiť súlad jednotlivých Služieb a Dodávaných produktov a každého systému informačných technológií, ktorý používa pri Zaobchádzaní s Technológiami Kyndryl, s požiadavkami na zabezpečenie kontinuity obchodných a IT operácií a zotavenie po havárii v súlade so zdokumentovanými pravidlami riadenia rizík. Dodávateľ zabezpečí, že každá Služba, Dodávaný produkt alebo IT systém bude mať v rozsahu zaručenom takýmto hodnotením rizík samostatne definované, zdokumentované, zachovávané a každoročne overené plány zabezpečenia kontinuity obchodných a IT operácií a zotavenia po havárii, ktoré budú v súlade s Odporúčanými postupmi v odvetví. Dodávateľ zabezpečí, že takéto plány budú zaručovať dosiahnutie stanovených cieľov v oblasti času obnovenia, ktorý je stanovený v Odseku 5.6 nižšie.
5.6 Konkrétne cieľové body obnovenia (ďalej aj „RPO“) a cieľové časy obnovenia (ďalej aj „RTO“) pre Hosťované služby sú: 24-hodinový cieľový bod obnovenia a 24-hodinový cieľový čas obnovenia, avšak Dodávateľ bude bezodkladne dodržiavať akékoľvek kratšie trvanie cieľového bodu a času obnovenia, ku ktorému sa Kyndryl zaviaže voči Zákazníkovi, keď Kyndryl písomne oznámi Dodávateľovi takéto kratšie trvanie cieľového času a bodu obnovenia (e-mail bude predstavovať písomné oznámenie). Vo vzťahu k všetkým ďalším Službám, ktoré Dodávateľ poskytuje Kyndryl, Dodávateľ zabezpečí, že jeho plány v oblasti kontinuity obchodných operácií a zotavenia po havárii budú navrhnuté tak, aby sa dosiahol taký cieľový bod a čas obnovenia, ktorý Dodávateľovi umožní v plniť všetky svoje záväzky voči Kyndryl, ktoré mu vyplývajú z Transakčného dokumentu a súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami, ako aj týchto Podmienok, a to vrátane záväzkov týkajúcich sa zabezpečenia včasného testovania, podpory a údržby.
5.7 Dodávateľ zavedie opatrenia na hodnotenie, testovanie a uplatňovanie odporúčaných bezpečnostných opráv do Služieb a Dodávaných produktov, ako aj súvisiacich systémov, sietí, aplikácií a podkladových súčastí v rozsahu týchto Služieb a Dodávaných produktov, a Dodávaných produktov, ako aj systémov, sietí, aplikácií a podkladových súčastí, ktoré používa pri Zaobchádzaní s Technológiami Kyndryl. Keď Dodávateľ určí, že odporúčaná bezpečnostná oprava je použiteľná a vhodná, implementuje túto opravu v súlade so zdokumentovanými pravidlami týkajúcimi sa závažnosti a hodnotenia rizík. Zavedenie odporúčaných bezpečnostných opráv Dodávateľom bude podliehať zásadám správy zmien Dodávateľa.
5.8 Ak bude mať Kyndryl opodstatnený dôvod domnievať sa, že hardvér alebo softvér, ktorý Dodávateľ poskytuje Kyndryl, môže obsahovať intruzívne prvky, ako sú spyware, malvér alebo škodlivý kód, Dodávateľ bezodkladne v spolupráci s Kyndryl prešetrí a vyrieši problémy.
6. Poskytovanie služieb
6.1 Dodávateľ bude podporovať v odvetví bežné spôsoby združeného overenia identity pre používateľské kontá Kyndryl alebo kontá Zákazníkov, pričom bude Dodávateľ dodržiavať Odporúčané postupy v odvetví pri overovaní týchto používateľských kont Kyndryl alebo kont Zákazníkov, ako sú centrálne riadená viacfaktorová funkcia jediného prihlásenia v správe Kyndryl alebo použitie technológií OpenID Connect (OIDC) či SAML (Security Assertion Markup Language). Subdodávatelia Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
7. Subdodávatelia. Bez obmedzenia povinností Dodávateľa alebo práv Kyndryl vyplývajúcich z Transakčného dokumentu alebo súvisiacej rámcovej zmluvy uzavretej medzi zmluvnými stranami vo vzťahu k zachovaniu zmluvných subdodávateľov Dodávateľ zabezpečí, že zmluvný subdodávateľ, ktorý vykonáva úlohy pre Dodávateľa, zaviedol vhodné kontrolné mechanizmy na zabezpečenie splnenia požiadaviek a povinností, ktoré Dodávateľovi vyplývajú z týchto Podmienok.
8. Fyzické médiá. Dodávateľ bezpečným spôsobom vyčistí fyzické médiá určené na opakované použitie pred takýmto opakovaným použitím a zničí všetky fyzické médiá, ktoré nie sú určené na opakované použitie, v súlade s Osvedčenými postupmi v odvetví týkajúcich sa čistenia médií.
Článok IX, Certifikácie a správy pre Hosťované služby
Tento Článok sa uplatňuje, ako Dodávateľ poskytuje Kyndryl Hosťovanú službu.
1.1 Dodávateľ získa nasledujúce certifikácie alebo správy v nižšie uvedenom časovom horizonte:
Certifikácie a správy
Časový interval
Vo vzťahu k Hosťovaným službám Dodávateľa:
Certifikácia o súlade s normou ISO 27001, informačné technológie, techniky zabezpečenia, systémy riadenia zabezpečenia informácií, pričom takáto certifikácia bude založená na hodnotení renomovaným nezávislým audítorom.
Alebo
SOC 2, typ 2: Správa renomovaného nezávislého audítora preukazujúca preverenie systémov, kontrolných mechanizmov a postupov Dodávateľa v súlade s normou SOC 2, typ 2 (vrátane, prinajmenšom, zabezpečenia, dôvernosti a dostupnosti).
Dodávateľ získa certifikáciu ISO do 120 dní od dátumu platnosti Transakčného dokumentu* alebo dátumu prijatia zodpovednosti** a bude si ju následne každých 12 mesiacov obnovovať na základe hodnotenia renomovaného nezávislého audítora (každé obnovenie sa bude týkať najnovšej verzie tejto normy).
Dodávateľ získa správu o certifikácii SOC 2, typ 2, do 240 dní od dátumu platnosti Transakčného dokumentu* alebo dátumu prijatia zodpovednosti** a následne získa novú správu renomovaného nezávislého audítora preukazujúcu preverenie systémov, kontrolných mechanizmov a postupov Dodávateľa v súlade s normou SOC 2, typ 2 (vrátane, prinajmenšom, zabezpečenia, dôvernosti a dostupnosti) každých 12 mesiacov.
* Ak Dodávateľ poskytuje Hosťovanú službu od dátumu platnosti tohto dokumentu
** Dátum, kedy sa Dodávateľ zaviaže poskytovať Hosťovanú službu
1.2 Ak o to Dodávateľ písomne Požiada a Kyndryl to písomne schváli Dodávateľ môže získať v podstate ekvivalentnú certifikáciu alebo správu k vyššie uvedeným certifikáciám a správam, avšak časové intervaly uvedené v tabuľke vyššie zostávajú nezmenené vo vzťahu k takýmto v podstate ekvivalentným certifikáciám alebo správam.
1.3 Dodávateľ: (a) na požiadanie bezodkladne poskytne Kyndryl kópiu všetkých certifikácií a správ, ktoré je Dodávateľ povinný získať, a (b) bezodkladne vyriešiť všetky interné kontrolné nedostatky, ktoré sa zistia v rámci preverovania podľa SOC alebo v podstate ekvivalentného preverovania (ak ich Kyndryl schváli).
Článok X, Spolupráca, overovanie a riešenie problémov
Tento Článok sa uplatňuje, ak Dodávateľ poskytuje ľubovoľné Služby alebo Dodávané produkty.
1. Súčinnosť Dodávateľa
1.1 Ak bude mať Kyndryl dôvod domnievať sa, že nejaké Služby alebo Dodávané produkty mohli prispieť, prispievajú alebo prispejú k problémom s kybernetickou bezpečnosťou, Dodávateľ poskytne Kyndryl primeranú súčinnosť v súvislosti so všetkými otázkami Kyndryl týkajúcimi sa takýchto obáv, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe.
1.2 Zmluvné strany sa zaväzujú: (a) na žiadosť druhej zmluvnej strany jej poskytnúť takéto ďalšie informácie, (b) vytvoriť a poskytnúť druhej zmluvnej strane takéto ďalšie dokumenty a (c) spraviť v záujme druhej zmluvnej strane ďalšie primerané kroky, o ktoré druhá strana požiada, s cieľom splniť účel týchto Podmienok a dokumentov, na ktoré tieto Podmienky odkazujú. Napríklad, ak o to Kyndryl požiada, Dodávateľ jej čo najskôr poskytne kópiu podmienok zameraných na ochranu osobných údajov a zabezpečenie vo svojich písomných zmluvách so Subdodávateľmi a zmluvnými subdodávateľmi vrátane sprístupnenia samotných zmlúv, ak má Dodávateľ právo sprístupniť ich.
1.3 Ak o to Kyndryl požiada, Dodávateľ jej bezodkladne poskytne informácie o krajinách, v ktorých boli vyrobené, vyvíjané alebo inak získané Dodávané produkty alebo súčasti týchto Dodávaných produktov.
2. Overovanie (pojem „Pracovisko“ v texte nižšie znamená fyzické umiestnenie, v ktorom Dodávateľ hosťuje alebo spracúva Materiály Kyndryl alebo k nim iným spôsobom pristupuje)
2.1 Dodávateľ bude uchovávať auditovateľné záznamy potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.2 Kyndryl môže samostatne alebo s pomocou externého audítora overiť dodržiavanie týchto Podmienok zo strany Dodávateľa vrátane prístupu na Pracoviská s týmto cieľom, Kyndryl však nevstúpi do priestorov dátového centra, v ktorom Dodávateľ spracúva Údaje Kyndryl, pokiaľ nebude mať opodstatnený dôvod domnievať sa, že by tým získala relevantné informácie, pričom takéto overenie oznámi Dodávateľovi 30 dní vopred. Dodávateľ poskytne Kyndryl súčinnosť pri takomto overovaní, a to vrátane včasnej a úplnej odpovede na žiadosti o informácie, či už formou dokumentov, iných záznamov, pohovorov s príslušným Personálom Dodávateľa alebo v inej podobe. Dodávateľ môže Kyndryl poskytnúť dôkaz o súlade so schváleným kódexom správania alebo priemyselnou certifikáciou alebo iným spôsobom poskytnúť informácie potvrdzujúce jeho dodržiavanie týchto Podmienok.
2.3 Takéto overovanie sa neuskutoční viac ako raz za 12-mesačné obdobie, pokiaľ: (a) Kyndryl nebude overovať riešenie problémov zo strany Dodávateľa, ktoré sa zistili pri predchádzajúcom overovaní v priebehu 12-mesačného obdobia, alebo (b) nedôjde k Narušeniu zabezpečenia a Kyndryl nebude chcieť overiť dodržiavanie povinností súvisiacich s takýmto narušením. V každom prípade Kyndryl oznámi Dodávateľovi takéto overovanie 30 dní vopred, ako je uvedené v Odseku 2.2, hoci v dôsledku naliehavosti Narušenia zabezpečenia môže byť nevyhnutné, Kyndryl vykonala overenie skôr, ako uplynie toto 30-Dňové obdobie.
2.4 Regulačný orgán alebo iný Prevádzkovateľ údajov si môže uplatňovať rovnaké práva ako Kyndryl v súlade s Odsekmi 2.2 a 2.3, pričom takýto regulačný orgán môže mať aj ďalšie práva podľa platných právnych predpisov.
2.5 Pokiaľ Kyndryl oprávnene usúdi, že Dodávateľ nedodržiava tieto Podmienky (či už k takémuto záveru dôjde na základe overenia podľa týchto Podmienok alebo iným spôsobom), Dodávateľ bezodkladne vyrieši takýto nesúlad.
3. Program boja proti falšovaniu
3.1 Ak Dodávané produkty Dodávateľa obsahujú elektronické súčasti (ako sú jednotky pevných diskov, jednotky SSD, pamäťové moduly, procesorové jednotky, logické zariadenia alebo káble), Dodávateľ bude dodržiavať zdokumentovaný program boja proti falšovaniu, pričom primárnym cieľom tohto bude zabrániť Dodávateľovi v poskytovaní falšovaných súčastí Kyndryl a druhotným cieľom bude okamžite zistiť a napraviť situácie, keď Dodávateľ omylom poskytne Kyndryl falšované súčasti. Dodávateľ zaviaže k dodržiavaniu zdokumentovaného programu boja proti falšovaniu všetkých svojich dodávateľov, ktorí mu dodávajú elektronické súčasti, ktoré sú súčasťou Dodávaných produktov, ktoré Dodávateľ dodáva Kyndryl.
4. Riešenie problémov
4.1 Ak Dodávateľ nedodrží niektoré zo svojich povinností, ktoré mu vyplývajú z týchto Podmienok, a v dôsledku takéhoto porušenia Podmienok dôjde k Narušeniu zabezpečenia, Dodávateľ zriadi nápravu a vyrieši dopady Narušenia zabezpečenia podľa primeraného usmernenia a harmonogramu zo strany Kyndryl. Ak však Narušenie zabezpečenia vyplynie z poskytovania Hosťovanej služby s viacerými nájomníkmi Dodávateľom, v dôsledku čoho bude mať vplyv na viacerých zákazníkov Dodávateľa vrátane spoločnosti Kyndryl, Dodávateľ vzhľadom na charakter Narušenia zabezpečenia včasne a primeraným spôsobom zriadi nápravu a vyrieši dopady Narušenia zabezpečenia, pričom dôkladne zváži pripomienky spoločnosti Kyndryl k takýmto nápravám a riešeniam.
4.2 Kyndryl bude mať právo zapojiť sa do takéhoto riešenia Narušenia zabezpečenia podľa Odseku 4.1, ak to bude považovať za vhodné alebo nevyhnutné, a Dodávateľ bude znášať náklady a výdavky súvisiace s nápravou a náklady a výdavky, ktoré zmluvným stranám vzniknú v súvislosti s takýmto Narušením zabezpečenia.
4.3 Náklady a výdavky na riešenie Narušenia zabezpečenia môžu napríklad náklady a výdavky súvisiace so zisťovaním a vyšetrením Narušenia zabezpečenia, určenia povinností podľa platných právnych predpisov a nariadení, upozornením na Narušenie zabezpečenia, zriadením a prevádzkou telefonických kontaktných centier, poskytovaním služieb sledovania úveruschopnosti a obnovenia úveruschopnosti, opätovným načítaním údajov, opravou chýb v produkte (vrátane opravy Zdrojového kódu alebo iných činností vývoja) a najatím tretích strán na pomoc s vyššie uvedenými činnosťami alebo inými súvisiacimi činnosťami, ako aj iné náklady a výdavky, ktoré sú nevyhnutné v záujme eliminácie dopadu Narušenia zabezpečenia. Na objasnenie: náklady a výdavky na riešenie nebudú zahŕňať ušlý zisk, stratu obchodných príležitostí, hodnoty, výnosov, očakávaných úspor alebo poškodenie dobrého mena Kyndryl.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Vymedzenie pojmov - Definície
Pojmy uvedené veľkým začiatočným písmenom sa budú interpretovať podľa nižšie uvedených definícií. Pojmy môžu byť definované aj v Transakčnom dokumente alebo príslušnej rámcovej zmluve uzavretej medzi zmluvnými stranami. Pojmy „Služby“ a „Dodávané produkty“ sú pravdepodobne definované v Transakčnom dokumente alebo príslušnej rámcovej zmluve uzavretej medzi zmluvnými stranami. Ak nie sú, pojem „Služby“ bude znamenať ľubovoľnú Hosťovanú službu, poradenskú činnosť, činnosť inštalácie, prispôsobenia, údržby, podpory alebo rozšírenia personálu či obchodnú, technickú alebo inú činnosť, ktorú Dodávateľ vykonáva pre Kyndryl na základe Transakčného dokumentu, a pojem „Dodávané produkty“ bude znamenať ľubovoľné softvérové programy, platformy, aplikácie alebo iné produkty alebo položky a ich príslušné súvisiace materiály, ktoré Dodávateľ poskytne Kyndryl na základe Transakčného dokumentu.
Obchodné kontaktné informácie (ďalej aj ako „BCI“) sú Osobné údaje, ktoré sa používajú na kontaktovanie, identifikáciu alebo overenie jednotlivca v súvislosti s odbornou alebo obchodnou činnosťou. Obchodné kontaktné informácie zvyčajne zahŕňajú meno, pracovnú e-mailovú adresu, fyzickú adresu, telefónne číslo a ďalšie podobné charakteristiky jednotlivca.
Cloudová služba je ľubovoľná ponuka „čokoľvek ako služba“, ktorú Dodávateľ hosťuje alebo spravuje, ako sú ponuky „softvér ako služba“, „platforma ako služba“ a „infraštruktúra ako služba“.
Prevádzkovateľ údajov je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky Spracúvania Osobných údajov.
Podnikový systém je IT systém, platforma, aplikácia, sieť alebo podobný prostriedok, na ktorý sa Kyndryl spolieha v rámci svojich obchodných činností, a to vrátane prostriedkov, ktoré sa nachádzajú na intranete Kyndryl, internete alebo v inej sieti alebo sú prístupné prostredníctvom takejto siete.
Zákazník znamená zákazník Kyndryl.
Dotknutá osoba je fyzická osoba, ktorú možno priamo či nepriamo identifikovať na základe referencie na meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jednu alebo viacero charakteristík, ktoré sa viažu na fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo spoločenskú identitu fyzickej osoby.
Deň alebo Dni znamená kalendárne dni, pokiaľ nie sú výslovne uvedené „pracovné“ dni.
Zariadenie je pracovná stanica, prenosný počítač, tablet, smartfón alebo osobný digitálny asistent (PDA) poskytnutý Kyndryl alebo Dodávateľom.
Zaobchádzať, Zaobchádza alebo Zaobchádzanie a odvodené gramatické tvary zahrňujú všetky formy prístupu, používania a uchovávania Technológií Kyndryl a všetky ďalšie spôsoby zaobchádzania s nimi.
Hosťovaná služba je služba dátového centra, aplikačná služba, IT služba alebo Cloudová služba, ktorú Dodávateľ hosťuje alebo spravuje.
Údaje Kyndryl znamená všetky elektronické súbory a materiály, textové, zvukové, obrazové a iné údaje vrátane Osobných údajov Kyndryl a iných údajov, ktoré Kyndryl, Personál Kyndryl, Zákazník, zamestnanec Zákazníka alebo akýkoľvek iný subjekt poskytne Dodávateľovi, nahrá do Hosťovanej služby alebo uloží do nej alebo ku ktorým Dodávateľ inak získa prístup a ktoré Dodávateľ Spracúva v mene Kyndryl v súvislosti s Transakčným dokumentom.
Materiály Kyndryl znamená všetky Údaje Kyndryl a Technológie Kyndryl.
Osobné údaje Kyndryl znamená Osobné údaje, ktoré Dodávateľ Spracúva v mene Kyndryl. Osobné údaje Kyndryl zahrňujú aj Osobné údaje, ktoré riadi Kyndryl a Osobné údaje, ktoré Kyndryl Spracúva v mene iných Prevádzkovateľov údajov.
Zdrojový kód Kyndryl je Zdrojový kód, ktorý Kyndryl vlastní alebo má v držbe na základe licencie.
Technológie Kyndryl znamená Zdrojový kód Kyndryl, iný kód, popisy, firmvér, softvér, nástroje, návrhy, schémy, grafické znázornenia, vložené kľúče, certifikáty a iné informácie, materiály, prostriedky, dokumenty a technológie, ktoré Kyndryl priamo alebo nepriamo poskytne Dodávateľovi na základe licencie alebo inak sprístupní v súvislosti s Transakčným dokumentom alebo súvisiacou zmluvou uzavretou medzi Kyndryl a Dodávateľom.
Zahŕňa a Vrátane, bez ohľadu na to, či sú tieto pojmy uvedené veľkým začiatočným písmenom, nebudú mať obmedzujúci či vymedzujúci význam.
Odporúčané postupy v odvetví znamená postupy, ktoré sú v súlade s postupmi odporúčanými alebo vyžadovanými organizáciami NIST (National Institute of Standards and Technology) alebo ISO (International Standards Organization) alebo akýmkoľvek iným orgánom alebo organizáciou s podobnou reputáciou a odbornosťou.
IT: znamená informačné technológie.
Iný Prevádzkovateľ údajov znamená subjekt iný ako Kyndryl, ktorý je Prevádzkovateľom Údajov Kyndryl, ako sú pridružená spoločnosť Kyndryl, Zákazník alebo pridružená spoločnosť Zákazníka.
Lokálny softvér znamená softvér, ktorý spoločnosť Kyndryl alebo subdodávateľ spúšťa, inštaluje alebo prevádzkuje na serveroch alebo systémoch spoločnosti Kyndryl alebo subdodávateľa. Na objasnenie: Lokálny softvér je Dodávaný produkt Dodávateľa.
Osobné údaje znamená ľubovoľné informácie súvisiace s Dotknutou osobou.
Personál sú jednotlivci, ktorí sú zamestnancami Kyndryl alebo Dodávateľa, zástupcovia Kyndryl alebo Dodávateľa, nezávislí zmluvní dodávatelia najatí Kyndryl alebo Dodávateľom alebo poskytnutí zmluvnej strane zmluvným subdodávateľom.
Spracúvať alebo Spracúvanie a odvodené gramatické tvary znamená ľubovoľnú operáciu alebo súbor operácií vykonaných s Údajmi Kyndryl vrátane ich uchovávania, používania a čítania a prístupu k nim.
Sprostredkovateľ je fyzická alebo právnická osoba, ktorá Spracúva Osobné údaje v mene Prevádzkovateľa údajov.
Narušenie zabezpečenia znamená narušenie bezpečnosti, ktoré vedie k (a) strate, zničeniu, pozmeneniu alebo náhodnému alebo neoprávnenému vyzradeniu Materiálov Kyndryl, (b) náhodnému alebo neoprávnenému prístupu k Materiálom Kyndryl, (c) nezákonnému Spracúvaniu Údajov Kyndryl alebo (d) nezákonnému Zaobchádzaniu s Technológiami Kyndryl.
Predať (alebo Predaj a odvodené gramatické tvary) znamená predaj, prenájom, vydanie, zverejnenie, distribúciu, sprístupnenie, prenos alebo iné ústne, písomné, elektronické či iné sprostredkovanie údajov za peňažnú alebo inú odmenu.
Zdrojový kód znamená pre človeka čitateľný programovací kód, ktorý vývojári používajú na vývoj alebo údržbu produktu, ktorý sa však neposkytuje koncovým používateľom v rámci štandardnej komerčnej distribúcie alebo použitia produktu.
Subdodávateľ je ľubovoľný zmluvný subdodávateľ Dodávateľa, ktorý Spracúva Údaje Kyndryl, vrátane pridruženej spoločnosti Dodávateľa.