Podmínky zabezpečení a ochrany osobních údajů
Tyto podmínky zabezpečení a ochrany osobních údajů upravují práva a povinnosti společnosti Kyndryl a Dodavatele ve věcech ochrany osobních údajů, zabezpečení a souvisejících záležitostí ("Podmínky"). Podmínky jsou začleněny do Popisu služeb, Schválení práce nebo podobného dokumentu mezi našimi společnostmi, který na ně odkazuje („Transakční dokument“), a jsou jeho součástí. Podmínky se vztahují ke konkrétnímu závazku upravenému v Transakčním dokumentu.
Pro pohodlí umožňují tyto webové stránky Dodavateli zatrhnout níže uvedená políčka, která charakterizují skutečnosti závazku, a na základě toho se zobrazí vybrané Podmínky.V závislosti na těchto skutečnostech může být relevantních několik políček. Pro vyjasnění se uvádí, že skutečnosti v Transakčním dokumentu upravují výhradně příslušné Podmínky pro závazek, a nikoliv podmínky zobrazené na základě políček zatržených Dodavatelem níže.
POZNÁMKA: dodavatelé zpracovávající údaje zaměstnanců Kyndryl by měli klepnout na políčko 1 (přístup k obchodním kontaktním informacím společnosti Kyndryl) a políčko 2 (přístup k osobním údajům).
V případě jakéhokoliv rozporu mezi Podmínkami a Transakčním dokumentem či jakýmkoliv jiným souvisejícím základem či jinou smlouvou mezi smluvními stranami, včetně případných smluv o zpracování údajů, mají přednost Podmínky. Oznámení vyžadovaná těmito Podmínkami budou učiněna v souladu s ustanoveními o oznámeních Transakčního dokumentu.
Slova psaná s velkým počátečním písmenem používaná v těchto Podmínkách mají význam, který jim je určen v oddíle Definice níže.
Zatrhněte políčka, která odpovídají skutečnostem o Službách pro tento konkrétní závazek: |
-
Pokud ano, pak se na tento přístup vztahují Články I (Obchodní kontaktní informace) a X (Spolupráce, ověření a náprava).
Příklady:
Dodavatel používá jména, e-mailové adresy a telefonní čísla zaměstnanců společnosti Kyndryl nebo Zákazníka pro podporu nebo údržbu.
Společnost Kyndryl používá jména a e-mailové adresy zaměstnanců Dodavatele pro ověření přístupu k Firemnímu systému.
Poznámka:
Pokud Dodavatel poskytuje údržbu nebo podporu, pak může mít Dodavatel přístup k informacím nad rámec Obchodních kontaktních informací (např. souborům protokolů s Osobními údaji či bez nich), a v takovém případě musí Dodavatel zatrhnout také políčko pod položkou 2 (pokud bude mít přístup k Osobním údajům) a položkou 3 (pokud bude mít přístup k jiným než Osobním údajům).
Pokud Dodavatel zpracovává údaje zaměstnanců Kyndryl, pak by Dodavatel také zatrhl políčko pod položkou 2 (pokud bude mít přístup k Osobním údajům).
Článek I, Obchodní kontaktní informace
Tento Článek se uplatní, pokud Dodavatel nebo společnost Kyndryl Zpracovávají Obchodní kontaktní informace druhé smluvní strany.
1.1 Společnost Kyndryl a Dodavatel mohou Zpracovávat OKI druhé smluvní strany, pokud podnikají v souvislosti s poskytováním Služeb a dodávkou Plnění Dodavatelem.
1.2 Smluvní strana:(a) nebude používat ani neposkytne Obchodní kontaktní informace druhé smluvní strany pro jakékoliv jiné účely (pro upřesnění se uvádí, že žádná ze smluvních stran Neprodá Obchodní kontaktní informace druhé smluvní strany ani nebude používat nebo poskytovat Obchodní kontaktní informace druhé smluvní strany pro jakékoliv marketingové účely bez předchozího písemného souhlasu druhé smluvní strany a dle potřeby bez předchozího písemného souhlasu dotčených Subjektů údajů), a
(b) neprodleně odstraní, upraví, opraví, vrátí, poskytne informace o Zpracování, omezí Zpracování nebo provede jakékoli jiné rozumně vyžadované kroky týkající se OKI druhé smluvní strany na písemné vyžádání od druhé smluvní strany, kdykoli dojde k neoprávněnému použití osobních informací a smluvní strana chce ukončit zpracování a provést nápravu.
1.3 Smluvní strany neuzavírají vztah společného Správce údajů ve vztahu k Obchodním kontaktním informacím druhé smluvní strany a žádné ustanovení Transakčního dokumentu nebude vykládáno jako náznak jakéhokoliv takového úmyslu založit vztah společného Správce údajů.
1.4 Prohlášení o ochraně osobních údajů společnosti Kyndryl na adrese https://www.kyndryl.com/us/en/privacy obsahuje další podrobnosti o zpracování OKI společností Kyndryl.
1.5 Smluvní strany zavedly a budou udržovat technická a organizační opatření na ochranu Obchodních kontaktních informací druhé smluvní strany proti ztrátě, zničení, pozměnění, náhodnému nebo neoprávněnému poskytnutí, náhodnému nebo neoprávněnému přístupu a nezákonnému Zpracování.1.6 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení týkajícím se OKI společnosti Kyndryl, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.
1.7 V případě, že Dodavatel Zpracovává pouze OKI Kyndryl a nemá přístup k dalším údajům nebo materiálům jakéhokoliv druhu ani k Firemním systémům Kyndryl, tento Článek a Článek X (Spolupráce, ověření a náprava) jsou jediné články, které se na takové Zpracování uplatní.
---
Článek X, Spolupráce, ověření a nápravaTento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
-
Pokud ano, pak se na takový přístup uplatní Články II (Technická a organizační opatření, Zabezpečení dat), III (Ochrana osobních údajů), VIII (Technická a organizační opatření, Obecné zabezpečení) a X (Spolupráce, ověření a náprava).
Příklady:
Dodavatel přistupuje k Osobním údajům v rámci své dodávky jakýchkoliv Hostovaných služeb pro interní použití Kyndryl nebo použití Zákazníky či oběma.
Dodavatel poskytuje Služby související se zdravotnictvím nebo zdravotní péčí, marketingové Služby nebo Služby související s lidskými zdroji nebo benefity a využívá přístup k osobním údajům za tímto účelem.
Dodavatel přistupuje k souborům protokolů, které obsahují osobní údaje, pro poskytování podpory pro služby.
Článek II, Technická a organizační opatření, Zabezpečení dat
Tento Článek se uplatní, pokud Dodavatel Zpracovává jiná Data Kyndryl než Obchodní kontaktní informace Kyndryl. Dodavatel bude plnit požadavky tohoto Článku při poskytování všech Služeb a dodávce všech Plnění a bude tím chránit Data Kyndryl před ztrátou, zničením, pozměněním, náhodným nebo neoprávněným poskytnutím, náhodným nebo neoprávněným přístupem a nezákonnými formami Zpracování. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Využití údajů
1.1 Dodavatel nesmí doplnit k Datům Kyndryl ani zahrnout do Dat Kyndryl žádné další informace ani data, včetně Osobních údajů, bez předchozího písemného souhlasu společnosti Kyndryl a Dodavatel nesmí používat Data Kyndryl v jakékoliv formě, agregovaně či jinak, pro jakékoliv jiné účely než pro poskytování Služeb a dodávku Plnění (například Dodavatel není oprávněn používat nebo znovu používat Data Kyndryl k hodnocení efektivity nebo jako prostředek pro vylepšení nabídek Dodavatele, k výzkumu a vývoji pro vytváření nových nabídek ani pro generování sestav ohledně nabídek Dodavatele). Pokud to není výslovně povoleno v Transakčním dokumentu, Dodavatel nesmí Data Kyndryl Prodávat.
1.2 Dodavatel nezabuduje žádné webové sledovací technologie do Plnění ani jako součást Služeb (k těmto technologiím patří HTML5, místní úložiště, značky nebo tokeny třetích osob a webové majáky), pokud to není výslovně povoleno v Transakčním dokumentu.
2. Požadavky třetích osob a důvěrnost
2.1 Dodavatel neposkytne Data Kyndryl žádné třetí osobě, pokud k tomu nebude mít předchozí písemný souhlas společnosti Kyndryl. Pokud vláda, včetně jakéhokoliv regulačního orgánu, požaduje přístup k Datům Kyndryl (např. vláda USA vydá nařízení o národní bezpečnosti vůči Dodavateli s cílem získat Data Kyndryl), nebo pokud je poskytnutí Dat Kyndryl jinak vyžadováno zákonem, Dodavatel bude společnost Kyndryl písemně informovat o takovém požadavku nebo žádosti a poskytne společnosti Kyndryl rozumnou příležitost takové poskytnutí zpochybnit (pokud zákon takové oznámení zakazuje, Dodavatel podnikne kroky, o kterých se bude rozumně domnívat, že jsou odpovídající pro dosažení zákazu nebo zpochybnění poskytnutí Dat Kyndryl na základě soudní žaloby či jinými prostředky).
2.2 Dodavatel ve vztahu ke společnosti Kyndryl zaručuje, že: (a) přístup k Datům Kyndryl budou mít pouze ti jeho zaměstnanci, kteří takový přístup k Datům Kyndryl potřebují pro poskytování Služeb nebo dodávku Plnění, a to pouze v takovém rozsahu, který je pro takové Služby či taková Plnění nezbytný; a (b) se svými zaměstnanci uzavřel závazek zachování důvěrnosti, který od těchto zaměstnanců vyžaduje, aby Data Kyndryl používali a poskytovali pouze v rozsahu povoleném těmito Podmínkami.
3. Vrácení nebo odstranění dat Kyndryl
3.1 Dodavatel dle rozhodnutí společnosti Kyndryl buď odstraní, nebo vrátí Data Kyndryl společnosti Kyndryl při ukončení nebo uplynutí Transakčního dokumentu, nebo dříve na základě žádosti společnosti Kyndryl. Pokud společnost Kyndryl vyžaduje odstranění, Dodavatel v souladu Doporučenými oborovými postupy zajistí znečitelnění dat a znemožnění jejich rekonstrukce či obnovy a společnosti Kyndryl předloží potvrzení o takovém odstranění. V případě, že společnost Kyndryl požaduje vrácení Dat Kyndryl, pak tak Dodavatel učiní dle rozumného harmonogramu a dle rozumných písemných pokynů společnosti Knydryl.
---
Článek III, Ochrana osobních údajů
Tento Článek se uplatní, pokud Dodavatel Zpracovává Osobní údaje Kyndryl.
1. Zpracování
1.1 Společnost Kyndryl jmenuje Dodavatele Zpracovatelem údajů pro Zpracování osobních údajů Kyndryl výhradně pro účely poskytování Služeb nebo dodávky Plnění v souladu s pokyny společnosti Kyndryl, a to včetně těch, které jsou uvedeny v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami. Pokud Dodavatel pokyn nesplní, společnost Kyndryl je oprávněna vypovědět dotčenou část Služeb písemnou výpovědí. Pokud se Dodavatel domnívá, že pokyn porušuje zákony o ochraně osobních údajů, Dodavatel je povinen o tom neprodleně a ve lhůtě případně stanovené zákonem informovat společnost Kyndryl. Nesplní-li Dodavatel kteroukoli z povinností vyplývajících z těchto Podmínek a toto selhání způsobí neoprávněné použití Osobních údajů, nebo pokud obecně dojde k jakémukoli neoprávněnému použití Osobních údajů, má společnost Kyndryl právo ukončit zpracovávání a napravit selhání a škody způsobené neoprávněným použitím plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl.
1.2 Dodavatel bude dodržovat veškeré zákony o ochraně osobních údajů vztahující se na Služby a Plnění.
1.3 Příloha k Transakčnímu dokumentu nebo Transakční dokument samotný upravují ve vztahu k Datům Kyndryl následující:
(a) kategorie Subjektů údajů;
(b) typy Osobních údajů Kyndryl;
(c) akce dat a činnosti Zpracování;
(d) doba trvání a frekvence Zpracování; a
(e) seznam Dílčích zpracovatelů údajů.
2. Technická a organizační opatření
2.1 Dodavatel zavede a bude udržovat technická a organizační opatření stanovená v Článku II (Technická a organizační opatření, Zabezpečení dat) a Článku VIII (technická a organizační opatření, Obecné zabezpečení), a tím zajistí úroveň zabezpečení odpovídající rizikům souvisejícím se Službami a Plněními. dodavatel potvrzuje a chápe omezení stanovená Článkem II, tímto Článkem III, a Článkem VIII a bude je dodržovat.
3. Práva a požadavky Subjektů údajů
3.1 Dodavatel bude společnost Kyndryl neprodleně informovat (v souladu s harmonogramem, který umožní, aby společnost Kyndryl a Další správci údajů splnili své zákonné povinnosti) o všech žádostech Subjektů údajů, kterými tito uplatní práva Subjektů údajů (např. na opravu, odstranění či zablokování údajů) ve vztahu k Osobním údajům Kyndryl. Dodavatel je rovněž oprávněn nařídit Subjektu údajů, aby takovou žádost předložil společnosti Kyndryl. Dodavatel nebude reagovat na žádné žádosti od Subjektů údajů, s výjimkou případů, kdy je tak povinen učinit ze zákona nebo kdy mu to písemně nařídí společnost Kyndryl.
3.2 Pokud je společnost Kyndryl povinna poskytnout informace ohledně Osobních údajů Kyndryl Dalším správcům údajů nebo jiným třetím osobám (např. Subjektům údajů nebo regulačním orgánům), Dodavatel je povinen společnosti Kyndryl poskytnout součinnost tak, že poskytne informace a učiní další rozumné kroky, které bude společnost Kyndryl požadovat, dle harmonogramu, který společnosti Kyndryl umožní včas těmto Dalším správcům údajů nebo regulačním orgánům odpovědět.
4. Dílčí zpracovatelé
4.1 Před doplněním nového Dílčího zpracovatele údajů nebo rozšířením rozsahu Zpracování stávajícím Dílčím zpracovatelem údajů zašle Dodavatel Kyndryl předchozí písemné oznámení, přičemž v takovém písemném oznámení uvede jméno takového Dílčího zpracovatele údajů a popis nového či rozšířeného rozsahu Zpracování. Společnost Kyndryl je oprávněna kdykoliv uplatnit námitku vůči takovému novému Dílčímu zpracovateli údajů nebo rozšířenému rozsahu z rozumných důvodů, a pokud tak učiní, smluvní strany budou spolupracovat v dobré víře na řešení námitek společnosti Kyndryl. S přihlédnutím k právu společnosti Kyndryl kdykoliv uplatnit námitku je Dodavatel oprávněn pověřit nového Dílčího zpracovatele údajů nebo rozšířit rozsah Zpracování stávajícím Dílčím zpracovatelem údajů, pokud společnost Kyndryl neuplatní námitku do 30 dní od data písemného oznámení Dodavatele.
4.2 Dodavatel stanoví povinnosti ochrany osobních údajů, zabezpečení a certifikace upravené v těchto Podmínkách každému takto schválenému Dílčímu zpracovateli údajů dříve, než tento Dílčí zpracovatel údajů začne Zpracovávat jakákoliv Data Kyndryl. Dodavatel nese vůči společnosti Kyndryl plnou odpovědnost za plnění povinností jednotlivých Dílčích zpracovatelů údajů.
5. Přeshraniční zpracování údajů
Tak, jak se používá v textu níže:
Země poskytující odpovídající ochranu znamená zemi zajišťující přiměřenou úroveň ochrany osobních údajů s ohledem na příslušné předávání v souladu s platnými právními předpisy o ochraně osobních údajů nebo rozhodnutími regulačních orgánů.
Dovozce údajů znamená buď Zpracovatele údajů, nebo Dílčího zpracovatele údajů, který není usazen v Zemi poskytující odpovídající ochranu.
Standardní smluvní doložky EU („SSD EU“) znamenají Standardní smluvní doložky EU (Rozhodnutí Komise 2021/914) s uplatněnými volitelnými doložkami, kromě možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17 a jsou oficiálně zveřejněné na adrese https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
Standardní smluvní doložky Srbska („SSD Srbska“) znamenají Standardní smluvní doložky Srbska přijaté „Srbským komisařem pro informace veřejného zájmu a ochranu osobních údajů“ a zveřejněné na adrese https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.
Standardní smluvní doložky („SSD“) znamenají smluvní doložky vyžadované příslušnými právními předpisy o ochraně osobních údajů pro předávání Osobních údajů Zpracovatelům údajů, kteří nejsou usazeni v Zemi poskytující odpovídající ochranu.
Dodatek pro mezinárodní přenos dat pro Spojeného království ke standardním smluvním ustanovením Komise EU (dále jen „dodatek pro Spojené království") znamená dodatek pro mezinárodní přenos dat pro Spojené království ke standardním smluvním ustanovením Komise EU, jak je oficiálně zveřejněno na adrese https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.
Dodatek ke standardním smluvním doložkám Komise EU pro Švýcarsko („Dodatek pro Švýcarsko") označuje smluvní doložky ke standardním smluvním doložkám Komise EU, které platí v souladu s rozhodnutím švýcarského úřadu pro ochranu osobních údajů („FDPIC") a které vyhovují švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP").
5.1 Dodavatel nebude předávat ani poskytovat (a to ani formou vzdáleného přístupu) žádné Osobní údaje Kyndryl přes hranice bez předchozího písemného souhlasu společnosti Kyndryl. V případě, že společnost Kyndryl takový souhlas poskytne, smluvní strany budou spolupracovat na zajištění souladu s platnými právními předpisy o ochraně osobních údajů. Pokud jsou těmito právními předpisy vyžadovány Standardní smluvní doložky, Dodavatel na žádost společnosti Kyndryl tyto Standardní smluvní doložky neprodleně uzavře.
5.2 Ve vztahu ke Standardním smluvním doložkám EU:
(a) Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: Dodavatel tímto uzavírá Standardní smluvní doložky EU v pozici Dovozce údajů se společností Kyndryl a Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 9 Standardních smluvních doložek EU a na požádání předloží kopie takových smluv společnosti Kyndryl.
(i) Modul 1 Standardních smluvních doložek EU se neuplatní, pokud nebude smluvními stranami písemně dohodnuto jinak.
(ii) Modul 2 Standardních smluvních doložek EU se uplatní v případě, že společnost Kyndryl je Správcem údajů, a Modul 3 se uplatní, pokud je společnost Kyndryl Zpracovatelem údajů. Pokud se uplatní Modul 2 nebo Modul 3, v souladu s článkem 13 Standardních smluvních doložek EU smluvní strany souhlasí, že (1) Standardní smluvní doložky EU se budou řídit právem členského státu EU, kde má sídlo příslušný kontrolní orgán, a (2) veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny u soudů v členském státu EU, kde má sídlo příslušný kontrolní orgán. Pokud takové právo dle bodu (1) neumožňuje práva třetí oprávněné osoby, pak se budou Standardní smluvní doložky EU řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU dle bodu (2) budou řešeny soudy v Amsterdamu, Nizozemsko.
(b) Pokud jsou obě smluvní strany, Dodavatel i společnost Kyndryl, usazeny v Zemi poskytující odpovídající ochranu, Dodavatel bude jednat jako Vývozce údajů a uzavře Standardní smluvní doložky s každým schváleným Dílčím zpracovatelem údajů, který je usazen v jiné zemi než Zemi poskytující odpovídající ochranu. Dodavatel provede požadované Posouzení dopadu předání (PDP) a bez zbytečného odkladu oznámí společnosti Kyndryl (1) případnou potřebu použití doplňkových opatření a (2) použitá opatření. Dodavatel na vyžádání poskytne společnosti Kyndryl výsledky Posouzení dopadu předání a všechny informace nezbytné k pochopení a vyhodnocení těchto výsledků. Společnost Kyndryl a Dodavatel budou spolupracovat na nalezení proveditelného řešení v případě, že společnost Kyndryl nesouhlasí s výsledky Posouzení dopadu předání Dodavatele nebo s použitými doplňujícími opatřeními. Společnost Kyndryl má i nadále právo pozastavit nebo ukončit dotčené služby Dodavatele bez nároku na kompenzaci. K tomu, aby se předešlo pochybnostem, toto nezbavuje Dílčí zpracovatele Dodavatele povinnosti stát se smluvní stranou a uzavřít Standardní smluvní doložky EU se společností Kyndryl nebo jejími zákazníky, jak je uvedeno v oddíle 5.2 (d) níže.
(c) Pokud je Dodavatel usazen v Evropském hospodářském prostoru a společnost Kyndryl je Správcem údajů, na kterého se nevztahuje Obecné nařízení o ochraně osobních údajů 2016/679, pak se uplatní Modul 4 Standardních smluvních doložek EU a Dodavatel tímto uzavírá Standardní smluvní doložky EU jako vývozce údajů se společností Kyndryl. Pokud se uplatní Modul 4 Standardních smluvních doložek EU, pak smluvní strany souhlasí, že se Standardní smluvní doložky EU budou řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny soudem v Amsterdamu, Nizozemsko.
(d) Pokud Další správci údajů, jako jsou Zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou Standardních smluvních doložek EU v souladu s „ustanovením o přistoupení“ v Článku 7, Dodavatel tímto s jakoukoliv takovou žádostí souhlasí.
(e) Technická a organizační opatření vyžadovaná pro vyplnění Přílohy II Standardních smluvních doložek EU najdete v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami.
(f) V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami EU a těmito Podmínkami mají přednost Standardní smluvní doložky EU.
5.3 Pro dodatek (dodatky) pro Spojené království:
a. Pokud dodavatel nemá sídlo v zemi s dostatečnou ochranou: (i) dodavatel tímto uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl jako dovozcem, který bude připojen k výše uvedeným standardním smluvním ustanovením EU (platným podle okolností zpracovatelských činností); a (ii) dodavatel uzavře písemné smlouvy s každým schváleným dílčím zpracovatelem a poskytne společnosti Kyndryl na vyžádání kopie těchto smluv.
b. Pokud má dodavatel sídlo v zemi s dostatečnou ochranou a společnost Kyndryl je správcem údajů, na které se nevztahuje Obecné nařízení o ochraně údajů Spojeného království (jak je začleněno do zákona Evropské unie z roku 2018 (o vystoupení Spojeného království)), pak jako exportér uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl o připojení standardních smluvních ustanovení EU, jak je uvedeno výše v oddíle 5.2(b).
c. Pokud jiní správci, jako jsou zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou dodatku (dodatků) pro Spojené království, dodavatel tímto souhlasí s jakoukoli takovou žádostí.
d. Informace o dodatku (jak jsou uvedeny v tabulce 3) v dodatku (dodatcích) pro Spojené království lze nalézt v příslušných standardních smluvních ustanoveních EU, těchto podmínkách, vlastním dokumentu o transakci a v přidružené základní smlouvě mezi stranami. Ani společnost Kyndryl, ani dodavatel nemohou zrušit platnost dodatku (dodatků) pro Spojené království, když se dodatek pro Spojené království změní.
e. V případě jakéhokoli konfliktu mezi dodatkem (dodatky) pro Spojené království a těmito podmínkami bude rozhodující dodatek (dodatky) pro Spojené království.
f. Ve vztahu ke Standardním smluvním doložkám Srbska:
5.4 Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: (i) Dodavatel tímto uzavírá Standardní smluvní doložky Srbska se společností Kyndryl svým vlastním jménem v pozici Zpracovatele údajů a (ii) Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 8 Standardních smluvních doložek Srbska a na požádání předloží kopie takových smluv společnosti Kyndryl.
a. Pokud je Dodavatel usazen v Zemi poskytující odpovídající ochranu, pak tímto Dodavatel uzavírá Standardní smluvní doložky Srbska se společností Kyndryl jménem každého z Dílčích zpracovatelů údajů, nacházejícího se v jiné zemi než Zemi poskytující odpovídající ochranu. Pokud Dodavatel není ve vztahu ke kterémukoliv z Dílčích zpracovatelů údajů oprávněn tak učinit, pak Dodavatel poskytne společnosti Kyndryl Standardní smluvní doložky Srbska podepsané Dílčím zpracovatelem údajů k podpisu ze strany společnosti Kyndryl dříve, než Dílčímu zpracovateli údajů umožní Zpracovávat jakékoliv Osobní údaje Kyndryl.
b. Standardní smluvní doložky Srbska uzavřené mezi společností Kyndryl a Dodavatelem budou sloužit jako Standardní smluvní doložky Srbska uzavřené mezi Správcem údajů a Zpracovatelem, nebo jako navazující písemná smlouva uzavřená mezi „zpracovatelem“ a „dílčím zpracovatelem“, dle toho, jak to vyžadují skutečnosti. V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami Srbska a těmito Podmínkami mají přednost standardní smluvní doložky Srbska.
c. Informace potřebné k vyplnění Příloh 1 až 8 Standardních smluvních doložek Srbska pro účely úpravy předávání Osobních údajů do jiné země než Země poskytující odpovídající ochranu najdete v těchto Podmínkách a v Příloze k Transakčnímu dokumentu nebo v Transakčním dokumentu samotném.5.5. Dodatek (dodatky) pro Švýcarsko:
Pokud přenos Osobních údajů společnosti Kyndryl podle bodu 5.1 podléhá švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP"), bude se takový přenos v rozsahu, v jakém mu podléhá, řídit standardními smluvními doložkami (SCC) EU dohodnutými v bodu 5.2. těchto Podmínek. Nařízení GDPR bude přitom pro švýcarské osobní údaje doplněno o následující dodatky:
Odkazy na Obecné nařízení o ochraně údajů („GDPR") současně označují také odkazy na odpovídající ustanovení FADP;
Švýcarská federální informační komise pro ochranu údajů je příslušným dozorovým úřadem podle doložky 13 a přílohy I.C SCC EU
Švýcarské právo jako rozhodné právo v případě přenosu podléhá výhradně FADP.
Výraz „členský stát" v doložce 18 SCC EU se rozšiřuje tak, aby zahrnoval i Švýcarsko, aby mohly švýcarské subjekty údajů uplatňovat svá práva v místě svého obvyklého bydliště.
Aby se předešlo pochybnostem, není cílem žádné z výše uvedených skutečností žádným způsobem omezovat úroveň ochrany údajů poskytovanou EU SCC, ale pouze rozšířit tuto úroveň ochrany na švýcarské subjekty údajů. Pokud tomu tak není, má v příslušném rozsahu přednost EU SCC.
6. Součinnost a záznamy
6.1 S ohledem na povahu Zpracování Dodavatel poskytne společnosti Kyndryl součinnost přijetím odpovídajících technických a organizačních opatření za účelem splnění povinností souvisejících se žádostmi a právy Subjektů údajů. Dodavatel rovněž poskytne společnosti Kyndryl součinnost při zajištění souladu s povinnostmi týkajícími se zabezpečení Zpracování, oznámení a sdělení o Narušení zabezpečení a vytvoření hodnocení dopadu ochrany údajů, včetně předchozích konzultací s odpovědným regulačním orgánem dle potřeby s přihlédnutím k informacím, které má Dodavatel k dispozici.
6.2 Dodavatel bude udržovat aktuální záznamy o jménech a kontaktních údajích jednotlivých Dílčích zpracovatelů údajů, včetně zástupců a inspektorů ochrany osobních údajů jednotlivých Dílčích zpracovatelů údajů. Dodavatel poskytne na požádání tento záznam společnosti Kyndryl ve lhůtě, která společnosti Kyndryl umožní včas odpovědět na jakékoliv žádosti ze strany Zákazníka nebo třetí osoby.
---
Článek VIII, Technická a organizační opatření, Obecné zabezpečení
Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl, ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.
Dodavatel splní požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem, (b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Zásady zabezpečení
1.1 Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které jsou nedílnou součástí podnikání Dodavatele a jsou povinné pro veškerý Personál Dodavatele a jsou v souladu s Doporučenými oborovými postupy.
1.2 Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.
1.3 Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude dodavatel považovat za nezbytné. dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.
1.4 Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali osvědčení o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentám Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.
1.5 Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.
2. Bezpečnostní incidenty
2.1 Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Doporučenými oborovými postupy pro řešení incidentů počítačového zabezpečení.
2.2 Dodavatel prošetří neoprávněné přístupy nebo neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.
2.3 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.
2.4 Dodavatel poskytne společnosti Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) společnosti Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.
2.5 Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká společnosti Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude společnost Kyndryl písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu společnosti Kyndryl.
2.6 V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:
(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou společnosti Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje platný zákon), Subjektům údajů, Zákazníkům a dalším.
(b) Pokud to společnost Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů týkající se Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, co zajišťuje větší ochranu. Společnost Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může společnost Kyndryl na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí společnosti Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.
(c) Dodavatel uhradí společnosti Kyndryl veškeré skutečné náklady, které společnosti Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.
3. Fyzické zabezpečení a kontrola vstupu (tak, jak se používá níže, „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
3.1 Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.
3.2 Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.
3.3 Dodavatel zavede kontrolu fyzického přístupu, včetně vícefaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.
3.4 Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.
3.5 Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s Technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.
4. Řízení přístupu, intervence, přenosu a oddělení
4.1 Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. dodavatel provede samostatnou revizi takové síťové architektury a zavede opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.
4.2 Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici jakýchkoliv Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.
4.3 Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti společnosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).
4.4 Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci dodavatele v souladu s principy rozdělení pravomocí. dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti společnosti Kyndryl nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.
4.5 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření přístupové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a přístupových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.
4.6 Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, společnosti Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.
4.7 Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.
4.8 Dodavatel bude udržovat ochrany výpočetních systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.
4.9 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.
5. Kontroly integrity a dostupnosti služby a systémů
5.1 Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Dodavatel na žádost společnosti Kyndryl předloží písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.
5.2 Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.
5.3 Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.
5.4 Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).
5.5 Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části 5.6 níže.
5.6 Konkrétní cíle bodu obnovy („CBO“) a cílová doba obnovy („CDO“) ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin CBO a 24 hodin CDO; Dodavatel však dodrží jakékoliv kratší CBO nebo CDO, ke kterým se společnost Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších CBO nebo CDO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění CBO a CDO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.
5.7 Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.
5.8 Pokud má společnost Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje společnosti Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat se společností Kyndryl na vyšetřování a odstranění obav.
6. Poskytování služeb
6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např. centrálně řízené vícefaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language).
7. Subdodavatelé. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.
8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.
---
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
-
Pokud ano, pak se na takový přístup uplatní Články II (Technická a organizační opatření, Zabezpečení dat), VIII (Technická a organizační opatření, Obecné zabezpečení) a X (Spolupráce, ověření a náprava).
Příklady:
Dodavatel ukládá, přenáší nebo jinak zpracovává jiné než Osobní údaje, které Dodavateli poskytuje společnost Kyndryl nebo Zákazníci, nebo má k těmto údajům přístup.
Článek II, Technická a organizační opatření, Zabezpečení dat
Tento Článek se uplatní, pokud Dodavatel Zpracovává jiná Data Kyndryl než Obchodní kontaktní informace Kyndryl. Dodavatel bude plnit požadavky tohoto Článku při poskytování všech Služeb a dodávce všech Plnění a bude tím chránit Data Kyndryl před ztrátou, zničením, pozměněním, náhodným nebo neoprávněným poskytnutím, náhodným nebo neoprávněným přístupem a nezákonnými formami Zpracování. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Využití údajů
1.1 Dodavatel nesmí doplnit k Datům Kyndryl ani zahrnout do Dat Kyndryl žádné další informace ani data, včetně Osobních údajů, bez předchozího písemného souhlasu společnosti Kyndryl a Dodavatel nesmí používat Data Kyndryl v jakékoliv formě, agregovaně či jinak, pro jakékoliv jiné účely než pro poskytování Služeb a dodávku Plnění (například Dodavatel není oprávněn používat nebo znovu používat Data Kyndryl k hodnocení efektivity nebo jako prostředek pro vylepšení nabídek Dodavatele, k výzkumu a vývoji pro vytváření nových nabídek ani pro generování sestav ohledně nabídek Dodavatele). Pokud to není výslovně povoleno v Transakčním dokumentu, Dodavatel nesmí Data Kyndryl Prodávat.
1.2 Dodavatel nezabuduje žádné webové sledovací technologie do Plnění ani jako součást Služeb (k těmto technologiím patří HTML5, místní úložiště, značky nebo tokeny třetích osob a webové majáky), pokud to není výslovně povoleno v Transakčním dokumentu.
2. Požadavky třetích osob a důvěrnost
2.1 Dodavatel neposkytne Data Kyndryl žádné třetí osobě, pokud k tomu nebude mít předchozí písemný souhlas společnosti Kyndryl. Pokud vláda, včetně jakéhokoliv regulačního orgánu, požaduje přístup k Datům Kyndryl (např. vláda USA vydá nařízení o národní bezpečnosti vůči Dodavateli s cílem získat Data Kyndryl), nebo pokud je poskytnutí Dat Kyndryl jinak vyžadováno zákonem, Dodavatel bude společnost Kyndryl písemně informovat o takovém požadavku nebo žádosti a poskytne společnosti Kyndryl rozumnou příležitost takové poskytnutí zpochybnit (pokud zákon takové oznámení zakazuje, Dodavatel podnikne kroky, o kterých se bude rozumně domnívat, že jsou odpovídající pro dosažení zákazu nebo zpochybnění poskytnutí Dat Kyndryl na základě soudní žaloby či jinými prostředky).
2.2 Dodavatel ve vztahu ke společnosti Kyndryl zaručuje, že: (a) přístup k Datům Kyndryl budou mít pouze ti jeho zaměstnanci, kteří takový přístup k Datům Kyndryl potřebují pro poskytování Služeb nebo dodávku Plnění, a to pouze v takovém rozsahu, který je pro takové Služby či taková Plnění nezbytný; a (b) se svými zaměstnanci uzavřel závazek zachování důvěrnosti, který od těchto zaměstnanců vyžaduje, aby Data Kyndryl používali a poskytovali pouze v rozsahu povoleném těmito Podmínkami.
3. Vrácení nebo odstranění dat Kyndryl
3.1 Dodavatel dle rozhodnutí společnosti Kyndryl buď odstraní, nebo vrátí Data Kyndryl společnosti Kyndryl při ukončení nebo uplynutí Transakčního dokumentu, nebo dříve na základě žádosti společnosti Kyndryl. Pokud společnost Kyndryl vyžaduje odstranění, Dodavatel v souladu Doporučenými oborovými postupy zajistí znečitelnění dat a znemožnění jejich rekonstrukce či obnovy a společnosti Kyndryl předloží potvrzení o takovém odstranění. V případě, že společnost Kyndryl požaduje vrácení Dat Kyndryl, pak tak Dodavatel učiní dle rozumného harmonogramu a dle rozumných písemných pokynů společnosti Knydryl.
---
Článek VIII, Technická a organizační opatření, Obecné zabezpečení
Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl, ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.
Dodavatel splní požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem, (b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Zásady zabezpečení
1.1 Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které jsou nedílnou součástí podnikání Dodavatele a jsou povinné pro veškerý Personál Dodavatele a jsou v souladu s Doporučenými oborovými postupy.
1.2 Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.
1.3 Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude dodavatel považovat za nezbytné. dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.
1.4 Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali osvědčení o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentám Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.
1.5 Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.
2. Bezpečnostní incidenty
2.1 Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Doporučenými oborovými postupy pro řešení incidentů počítačového zabezpečení.
2.2 Dodavatel prošetří neoprávněné přístupy nebo neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.
2.3 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.
2.4 Dodavatel poskytne společnosti Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) společnosti Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.
2.5 Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká společnosti Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude společnost Kyndryl písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu společnosti Kyndryl.
2.6 V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:
(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou společnosti Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje platný zákon), Subjektům údajů, Zákazníkům a dalším.
(b) Pokud to společnost Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů týkající se Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, co zajišťuje větší ochranu. Společnost Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může společnost Kyndryl na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí společnosti Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.
(c) Dodavatel uhradí společnosti Kyndryl veškeré skutečné náklady, které společnosti Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.
3. Fyzické zabezpečení a kontrola vstupu (tak, jak se používá níže, „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
3.1 Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.
3.2 Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.
3.3 Dodavatel zavede kontrolu fyzického přístupu, včetně vícefaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.
3.4 Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.
3.5 Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s Technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.
4. Řízení přístupu, intervence, přenosu a oddělení
4.1 Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. dodavatel provede samostatnou revizi takové síťové architektury a zavede opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.
4.2 Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici jakýchkoliv Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.
4.3 Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti společnosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).
4.4 Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci dodavatele v souladu s principy rozdělení pravomocí. dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti společnosti Kyndryl nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.
4.5 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření přístupové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a přístupových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.
4.6 Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, společnosti Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.
4.7 Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.
4.8 Dodavatel bude udržovat ochrany výpočetních systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.
4.9 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.
5. Kontroly integrity a dostupnosti služby a systémů
5.1 Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Dodavatel na žádost společnosti Kyndryl předloží písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.
5.2 Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.
5.3 Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.
5.4 Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).
5.5 Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části 5.6 níže.
5.6 Konkrétní cíle bodu obnovy („CBO“) a cílová doba obnovy („CDO“) ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin CBO a 24 hodin CDO; Dodavatel však dodrží jakékoliv kratší CBO nebo CDO, ke kterým se společnost Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších CBO nebo CDO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění CBO a CDO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.
5.7 Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.
5.8 Pokud má společnost Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje společnosti Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat se společností Kyndryl na vyšetřování a odstranění obav.
6. Poskytování služeb
6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např. centrálně řízené vícefaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language).
7. Subdodavatelé. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.
8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.
---
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
-
Pokud ano, pak se na takový přístup uplatní Články IV (Technická a organizační opatření, Zabezpečení kódu), V (Bezpečný vývoj), VIII (Technická a organizační opatření, Obecné zabezpečení) a X (Spolupráce, ověření a náprava).
Příklady:
Dodavatel převezme odpovědnost za vývoj produktu Kyndryl a společnost Kyndryl poskytne Dodavateli přístup ke svému Zdrojovému kódu pro potřeby takového vývoje.
Dodavatel vyvíjí Zdrojový kód, který bude vlastnictvím společnosti Kyndryl.
Článek IV, Technická a organizační opatření, Zabezpečení kódu
Tento článek se uplatní, pokud má Dodavatel přístup ke Zdrojovému kódu Kyndryl. Dodavatel bude plnit požadavky tohoto Článku, a tím zajistí ochranu Zdrojového kódu Kyndryl před ztrátou, zničením, pozměněním, náhodným nebo neoprávněným poskytnutím, náhodným nebo neoprávněným přístupem a nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Požadavky na zabezpečení
Tak, jak se používají v textu níže:
Zakázaná země znamená jakoukoliv zemi: (a) kterou vláda USA označila za zahraničního nepřítele v souladu s Nařízením vlády o zabezpečení dodavatelského řetězce informačních a komunikačních technologií a služeb z 15. května 2019, (b) která je uvedena v paragrafu 1654 Amerického zákona o schválení ministerstvem obrany z roku 2019, nebo (c) je označena jako „Zakázaná země“ v Transakčním dokumentu.
1.1 Dodavatel nebude distribuovat ani poskytovat Zdrojový kód Kyndryl do úschovy ve prospěch jakýchkoliv třetích osob.
1.2 Dodavatel neumožní, aby byl Zdrojový kód Kyndryl umístěn na servery nacházející se v Zakázané zemi.Dodavatel neumožní nikomu, včetně svého Personálu, který se nachází v Zakázané zemi nebo navštěvuje Zakázanou zemi (po dobu trvání takové návštěvy), z jakéhokoliv důvodu přístup ke Zdrojovému kódu Kyndryl nebo jeho používání, a to bez ohledu na to, kde je Zdrojový kód Kyndryl umístěn globálně, a Dodavatel neumožní žádný vývoj, testování ani jiné práce v Zakázané zemi, které by takový přístup nebo použití vyžadovaly.
1.3 Dodavatel neumístí ani nebude distribuovat Zdrojový kód Kyndryl v žádném právním řádu, kde právní předpisy nebo jejich výklad vyžadují poskytnutí Zdrojového kódu jakékoliv třetí osobě. Pokud dojde ke změně právních předpisů nebo jejich výkladu v právním řádu, kde se Zdrojový kód Kyndryl nachází, v tom smyslu, že Dodavatel by byl povinen poskytnout takový Zdrojový kód třetí osobě, Dodavatel neprodleně zničí nebo okamžitě odstraní takový Zdrojový kód Kyndryl z takového právního řádu a neumístí žádný další Zdrojový kód Kyndryl do takového právního řádu, dokud tyto právní předpisy nebo jejich výklad práva zůstanou v účinnosti.
1.4 Dodavatel přímo ani nepřímo neučiní žádné kroky, včetně uzavření jakékoliv smlouvy, které by způsobily, že by byli Dodavatel, společnosti Kyndryl nebo jakákoliv třetí osoba povinni poskytnout informace v souladu s paragrafy 1654 nebo 1655 Amerického zákona o souhlasu ministerstva obrany z roku 2019. Pro vyjasnění se uvádí, že s výjimkou případů výslovně povolených v Transakčním dokumentu nebo související základní smlouvě mezi smluvními stranami Dodavatel nesmí poskytnout Zdrojový kód Kyndryl žádné třetí osobě, za žádných okolností, bez předchozího písemného souhlasu společnosti Kyndryl.
1.5 Pokud bude společnost Kyndryl informovat Dodavatele nebo pokud třetí osoba bude informovat kteroukoliv ze smluvních stran, že: (a) Dodavatel umožnil přenos Zdrojového kódu Kyndryl do Zakázané země nebo jakéhokoliv právního řádu v souladu s Oddílem 1.3 výše, (b) Dodavatel jinak uvolnil, nebo použil Zdrojový kód Kyndryl nebo k němu přistoupil způsobem, který není povolen v Transakčním dokumentu nebo související základní nebo jiné smlouvě mezi smluvními stranami, nebo (c) Dodavatel se dopustil porušení Oddílu 1.4 výše, pak, aniž by tím bylo omezeno právo společnosti Kyndryl řešit tento nesoulad dle zákona nebo dle práva ekvity či v souladu s Transakčním dokumentem nebo související základní nebo jinou smlouvou mezi smluvními stranami: (i) pokud bude takové oznámení zasláno Dodavateli, Dodavatel neprodleně poskytne toto oznámení společnosti Kyndryl; a (ii) Dodavatel dle rozumných pokynů společnosti Kyndryl vyšetří a napraví záležitost dle harmonogramu rozumně stanoveného společností Kyndryl (po konzultaci s Dodavatelem).
1.6 Pokud se společnost Kyndryl rozumně domnívá, že změny zásad, postupů, kontrol nebo praxe Dodavatele ve vztahu k přístupu ke Zdrojovému kódu jsou nezbytné pro řešení kybernetické bezpečnosti, krádeže duševního vlastnictví nebo podobných nebo souvisejících rizik (včetně rizika, že bez takových změn bude společnosti Kyndryl omezena v prodeji určitým Zákazníkům nebo na některé trhy nebo jinak nebude moci plnit požadavky Zákazníků na zabezpečení nebo dodavatelský řetězec), pak se může společnost Kyndryl obrátit na Dodavatele s cílem projednat kroky nezbytné pro řešení takových rizik, včetně změn příslušných zásad, postupů, kontroly a praxe. Na žádost společnosti Kyndryl bude Dodavatel spolupracovat se společností Kyndryl na posouzení, zda jsou takové změny nezbytné, jakož i na zavedení vhodných vzájemně dohodnutých změn.
---
Článek V, Bezpečný vývoj
Tento článek se uplatní, pokud Dodavatel poskytuje vlastní Zdrojový kód nebo Zdrojový kód třetí osoby nebo Místní software společnosti Kyndryl nebo pokud kterékoliv z Plnění nebo Služeb Dodavatele budou poskytovány Zákazníkovi Kyndryl v rámci produktu či služby Kyndryl.
1. Připravenost zabezpečení
1.1 Dodavatel bude spolupracovat s interními procesy společnosti Kyndryl hodnotícími připravenost zabezpečení produktů a služeb Kyndryl, které jsou závislé na Plněních Dodavatele, včetně včasné a úplné reakce na žádosti o informace, ať již prostřednictvím dokumentů, jiných záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
2. Bezpečný vývoj
2.1 Tento Oddíl 2 se uplatní pouze v případě, že Dodavatel poskytuje společnosti Kyndryl Místní software.
2.2 Dodavatel v souladu s Doporučenými oborovými postupy zavedl a bude udržovat po celou dobu platnosti Transakčního dokumentu bezpečnostní zásady, postupy a kontroly zaměřené na síť, platformu, systém, aplikaci, zařízení, fyzickou infrastrukturu, reakci na incidenty a personál, jež jsou nezbytné k ochraně: (a) vývoje, sestavení, testování a operačních systémů a prostředí, které Dodavatel nebo jakákoli jiná třetí najatá Dodavatelem provozuje, spravuje, používá nebo na ně jinak spoléhá při Plnění nebo s ohledem na Plnění, a (b) veškerého zdrojového kódu, který je předmětem Plnění, před ztrátou, nezákonnými formami zpracování a neoprávněný přístupem, poskytnutím nebo pozměněním.
3. Certifikace ISO 20243
3.1 Tento Oddíl 3 se uplatní pouze v případě, že Plnění a Služby Dodavatele budou poskytovány Zákazníkovi Kyndryl v rámci produktu nebo služby Kyndryl.
3.2 Dodavatel získá certifikaci shody s normou ISO 20243, Informační technologie, Otevřený poskytovatel důvěryhodných technologií, TM Standard (O-TTPS), Zmírňování škodlivě poškozených a padělaných výrobků (buď certifikaci provedenou vlastním úsudkem, nebo na základě posouzení renomovaného nezávislého auditora). Pokud o to případně Dodavatel písemně požádá a společnost Kyndryl poskytne svůj písemný souhlas, Dodavatel získá certifikaci shody s oborovou normou, jež je v podstatných náležitostech ekvivalentní a řeší bezpečný vývoj a postupy dodavatelského řetězce (buď formou samostatné certifikace, nebo na základě hodnocení renomovaného nezávislého auditora, pokud bude společnost Kyndryl souhlasit, a v rozsahu tohoto souhlasu).
3.3 Dodavatel získá certifikaci shody s normou ISO 20243 nebo s oborovou normou (pokud společnost Kyndryl poskytne písemný souhlas), jež je v podstatných náležitostech ekvivalentní, do 180 dnů po datu účinnosti Transakčního dokumentu.
a poté obnoví platnost certifikace každých 12 měsíců (každé obnovení bude provedeno podle nejnovější verze platné normy, tj. ISO 20243, nebo pokud k tomu společnost Kyndryl poskytne písemný souhlas, podle oborové normy, jež je v podstatných náležitostech ekvivalentní a řeší bezpečný vývoj a postupy dodavatelského řetězce).
3.4 Dodavatel na požádání neprodleně předloží společnosti Kyndryl kopie certifikací, které je Dodavatel povinen získat v souladu s Oddíly 2.1 a 2.2 výše.
4. Ohrožení zabezpečení
Tak, jak se používají v textu níže:
Náprava chyby znamená opravy chyb a revize, které v Plnění napravují chyby nebo nedostatky, včetně Ohrožení zabezpečení.
Zmírnění znamená veškeré prostředky zmenšující nebo bránící rizikům Ohrožení zabezpečení.
Ohrožení zabezpečení znamená stav návrhu, kódování, vývoje, implementace, testování, provozu, podpory, údržby nebo řízení Plnění, který umožňuje útok kohokoliv, který by vedl k neoprávněnému přístupu či využití, včetně: (a) přístupu k systému, jeho ovládání nebo narušení jeho provozu, (b) přístupu k datům, jejich odstraňování, pozměňování nebo extrahování; nebo (c) změny identity, oprávnění či povolení uživatelů nebo správců. Ohrožení zabezpečení může existovat bez ohledu na to, zda mu bylo přiděleno jakékoliv Obecné ID ohrožení a expozice (CVE) nebo jakékoliv skóre či oficiální klasifikace.
4.1 Dodavatel prohlašuje a zaručuje, že: (a) bude uplatňovat Doporučené oborové postupy pro identifikaci Ohrožení zabezpečení, a to včetně průběžného statického a dynamického skenování zabezpečení aplikace zdrojového kódu, skenování zabezpečení typu open source a skenování zranitelnosti systému a (b) bude dodržovat požadavky těchto Podmínek, aby pomohl zabránit, zjistit a napravit Ohrožení zabezpečení v Plněních a ve všech aplikacích, platformách a infrastruktuře IT, v nichž a prostřednictvím kterých Dodavatel vytváří a poskytuje Služby a dodává Plnění.
4.2 Pokud se Dodavatel dozví o Ohrožení zabezpečení v Plnění nebo jakékoliv takové aplikaci, platformě či infrastruktuře IT, Dodavatel poskytne společnosti Kyndryl Nápravu chyby a Zmírnění pro veškeré verze a vydání Plnění v souladu s následujícími Úrovněmi závažnosti a v časových rámcích definovaných v tabulkách níže:
Úroveň závažnosti*
Nouzové ohrožení zabezpečení – je Ohrožení zabezpečení, které představuje závažnou a potenciálně globální hrozbu. Společnost Kyndryl určuje Nouzové ohrožení zabezpečení dle vlastního uvážení bez ohledu na Základní skóre CVSS.
Kritický – je Ohrožení zabezpečení, které má Základní skóre CVSS od 9 do 10,0.
Vysoký – je Ohrožení zabezpečení, které má Základní skóre CVSS od 7,0 do 8,9.
Střední – je Ohrožení zabezpečení, které má Základní skóre CVSS od 4,0 do 6,9.
Nízký – je Ohrožení zabezpečení, které má Základní skóre CVSS od 0,0 do 3,9.
Časové rámce
Nouzový
Kritický
Vysoký
Střední
Nízký
4 dny či méně, v souladu s rozhodnutím Generálního ředitele zabezpečení informací společnosti Kyndryl.
30 dnů
30 dnů
90 dnů
V souladu s Doporučenými oborovými postupy
* V každém případě, kdy Ohrožení zabezpečení nemá bezprostředně přiřazené Základní skóre CVSS, Dodavatel uplatní Úroveň závažnosti, která nejlépe odpovídá povaze a okolnostem takového ohrožení.
4.3 V případě Ohrožení zabezpečení, které bylo veřejně oznámeno a pro které Dodavatel dosud neposkytl společnosti Kyndryl žádnou Nápravu chyby nebo Zmírnění, uplatní Dodavatel veškeré technicky proveditelné dodatečné bezpečnostní kontroly, které mohou zmírnit rizika ohrožení.
4.4 Pokud společnost Kyndryl není spokojena s reakcí Dodavatele na jakékoliv Ohrožení zabezpečení v Plnění nebo jakékoliv aplikaci, platformě nebo infrastruktuře uvedených výše, pak, aniž by tím byla dotčena jakákoliv další případná práva společnosti Kyndryl, Dodavatel neprodleně zajistí diskusi se společností Kyndryl ohledně jejích obav přímo s viceprezidentem Dodavatele nebo ekvivalentním výkonným pracovníkem, který nese odpovědnost za dodání Nápravy chyby.
4.5 K příkladům Ohrožení zabezpečení patří kód třetích osob nebo ukončení služby (EOS), kód typu open source, pokud takové typy kódů již nedostávají opravy zabezpečení.
---Článek VIII, Technická a organizační opatření, Obecné zabezpečení
Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl, ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.
Dodavatel splní požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem, (b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Zásady zabezpečení
1.1 Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které jsou nedílnou součástí podnikání Dodavatele a jsou povinné pro veškerý Personál Dodavatele a jsou v souladu s Doporučenými oborovými postupy.
1.2 Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.
1.3 Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude dodavatel považovat za nezbytné. dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.
1.4 Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali osvědčení o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentám Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.
1.5 Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.
2. Bezpečnostní incidenty
2.1 Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Doporučenými oborovými postupy pro řešení incidentů počítačového zabezpečení.
2.2 Dodavatel prošetří neoprávněné přístupy nebo neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.
2.3 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.
2.4 Dodavatel poskytne společnosti Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) společnosti Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.
2.5 Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká společnosti Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude společnost Kyndryl písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu společnosti Kyndryl.
2.6 V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:
(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou společnosti Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje platný zákon), Subjektům údajů, Zákazníkům a dalším.
(b) Pokud to společnost Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů týkající se Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, co zajišťuje větší ochranu. Společnost Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může společnost Kyndryl na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí společnosti Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.
(c) Dodavatel uhradí společnosti Kyndryl veškeré skutečné náklady, které společnosti Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.
3. Fyzické zabezpečení a kontrola vstupu (tak, jak se používá níže, „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
3.1 Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.
3.2 Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.
3.3 Dodavatel zavede kontrolu fyzického přístupu, včetně vícefaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.
3.4 Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.
3.5 Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s Technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.
4. Řízení přístupu, intervence, přenosu a oddělení
4.1 Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. dodavatel provede samostatnou revizi takové síťové architektury a zavede opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.
4.2 Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici jakýchkoliv Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.
4.3 Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti společnosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).
4.4 Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci dodavatele v souladu s principy rozdělení pravomocí. dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti společnosti Kyndryl nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.
4.5 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření přístupové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a přístupových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.
4.6 Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, společnosti Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.
4.7 Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.
4.8 Dodavatel bude udržovat ochrany výpočetních systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.
4.9 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.
5. Kontroly integrity a dostupnosti služby a systémů
5.1 Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Dodavatel na žádost společnosti Kyndryl předloží písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.
5.2 Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.
5.3 Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.
5.4 Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).
5.5 Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části 5.6 níže.
5.6 Konkrétní cíle bodu obnovy („CBO“) a cílová doba obnovy („CDO“) ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin CBO a 24 hodin CDO; Dodavatel však dodrží jakékoliv kratší CBO nebo CDO, ke kterým se společnost Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších CBO nebo CDO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění CBO a CDO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.
5.7 Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.
5.8 Pokud má společnost Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje společnosti Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat se společností Kyndryl na vyšetřování a odstranění obav.
6. Poskytování služeb
6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např. centrálně řízené vícefaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language).
7. Subdodavatelé. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.
8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.
---
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
-
Pokud ano, a pokud tedy Dodavatel bude poskytovat svůj vlastní Zdrojový kód nebo Zdrojový kód třetích osob společnosti Kyndryl, nebo kterékoliv z Plnění nebo Služeb Dodavatele budou poskytovány Zákazníkovi Kyndryl v rámci produktu nebo služby Kyndryl, pak se uplatní Články V (Bezpečný vývoj), VIII (Technická a organizační opatření, Obecné zabezpečení) a X (Spolupráce, ověření a náprava).
Pokud Dodavatel poskytuje pouze Místní software společnosti Kyndryl, pak se uplatní Články V (Bezpečný vývoj) a X (Spolupráce, ověření a náprava).
Příklady:
Dodavatel vyvíjí Zdrojový kód, který bude vlastnit Dodavatel, pro produkt, který bude nabízet a prodávat společnost Kyndryl.
Dodavatel poskytuje společnosti Kyndryl licenci k softwarovému programu pro použití v místě provozu Kyndryl.
Společnost Kyndryl změní značku Hostovaných služeb Dodavatele, které bude Dodavatel hostovat a řídit, na produkt nebo službu Kyndryl.
Poznámka: Článek VIII (Technická a organizační opatření, Obecná bezpečnost) se také uplatní pro Dodavatele, který poskytuje Místní software společnosti Kyndryl, pokud ostatní skutečnosti závazku způsobí, že se uplatní článek VIII (např. pokud má Dodavatel přístup k informacím nad rámec Obchodních kontaktních informací, jako jsou Osobní údaje Kyndryl nebo jiné než Osobní údaje Kyndryl)
Článek V, Bezpečný vývoj
Tento článek se uplatní, pokud Dodavatel poskytuje vlastní Zdrojový kód nebo Zdrojový kód třetí osoby nebo Místní software společnosti Kyndryl nebo pokud kterékoliv z Plnění nebo Služeb Dodavatele budou poskytovány Zákazníkovi Kyndryl v rámci produktu či služby Kyndryl.
1. Připravenost zabezpečení
1.1 Dodavatel bude spolupracovat s interními procesy společnosti Kyndryl hodnotícími připravenost zabezpečení produktů a služeb Kyndryl, které jsou závislé na Plněních Dodavatele, včetně včasné a úplné reakce na žádosti o informace, ať již prostřednictvím dokumentů, jiných záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
2. Bezpečný vývoj
2.1 Tento Oddíl 2 se uplatní pouze v případě, že Dodavatel poskytuje společnosti Kyndryl Místní software.
2.2 Dodavatel v souladu s Doporučenými oborovými postupy zavedl a bude udržovat po celou dobu platnosti Transakčního dokumentu bezpečnostní zásady, postupy a kontroly zaměřené na síť, platformu, systém, aplikaci, zařízení, fyzickou infrastrukturu, reakci na incidenty a personál, jež jsou nezbytné k ochraně: (a) vývoje, sestavení, testování a operačních systémů a prostředí, které Dodavatel nebo jakákoli jiná třetí najatá Dodavatelem provozuje, spravuje, používá nebo na ně jinak spoléhá při Plnění nebo s ohledem na Plnění, a (b) veškerého zdrojového kódu, který je předmětem Plnění, před ztrátou, nezákonnými formami zpracování a neoprávněný přístupem, poskytnutím nebo pozměněním.
3. Certifikace ISO 20243
3.1 Tento Oddíl 3 se uplatní pouze v případě, že Plnění a Služby Dodavatele budou poskytovány Zákazníkovi Kyndryl v rámci produktu nebo služby Kyndryl.
3.2 Dodavatel získá certifikaci shody s normou ISO 20243, Informační technologie, Otevřený poskytovatel důvěryhodných technologií, TM Standard (O-TTPS), Zmírňování škodlivě poškozených a padělaných výrobků (buď certifikaci provedenou vlastním úsudkem, nebo na základě posouzení renomovaného nezávislého auditora). Pokud o to případně Dodavatel písemně požádá a společnost Kyndryl poskytne svůj písemný souhlas, Dodavatel získá certifikaci shody s oborovou normou, jež je v podstatných náležitostech ekvivalentní a řeší bezpečný vývoj a postupy dodavatelského řetězce (buď formou samostatné certifikace, nebo na základě hodnocení renomovaného nezávislého auditora, pokud bude společnost Kyndryl souhlasit, a v rozsahu tohoto souhlasu).
3.3 Dodavatel získá certifikaci shody s normou ISO 20243 nebo s oborovou normou (pokud společnost Kyndryl poskytne písemný souhlas), jež je v podstatných náležitostech ekvivalentní, do 180 dnů po datu účinnosti Transakčního dokumentu.
a poté obnoví platnost certifikace každých 12 měsíců (každé obnovení bude provedeno podle nejnovější verze platné normy, tj. ISO 20243, nebo pokud k tomu společnost Kyndryl poskytne písemný souhlas, podle oborové normy, jež je v podstatných náležitostech ekvivalentní a řeší bezpečný vývoj a postupy dodavatelského řetězce).
3.4 Dodavatel na požádání neprodleně předloží společnosti Kyndryl kopie certifikací, které je Dodavatel povinen získat v souladu s Oddíly 2.1 a 2.2 výše.
4. Ohrožení zabezpečení
Tak, jak se používají v textu níže:
Náprava chyby znamená opravy chyb a revize, které v Plnění napravují chyby nebo nedostatky, včetně Ohrožení zabezpečení.
Zmírnění znamená veškeré prostředky zmenšující nebo bránící rizikům Ohrožení zabezpečení.
Ohrožení zabezpečení znamená stav návrhu, kódování, vývoje, implementace, testování, provozu, podpory, údržby nebo řízení Plnění, který umožňuje útok kohokoliv, který by vedl k neoprávněnému přístupu či využití, včetně: (a) přístupu k systému, jeho ovládání nebo narušení jeho provozu, (b) přístupu k datům, jejich odstraňování, pozměňování nebo extrahování; nebo (c) změny identity, oprávnění či povolení uživatelů nebo správců. Ohrožení zabezpečení může existovat bez ohledu na to, zda mu bylo přiděleno jakékoliv Obecné ID ohrožení a expozice (CVE) nebo jakékoliv skóre či oficiální klasifikace.
4.1 Dodavatel prohlašuje a zaručuje, že: (a) bude uplatňovat Doporučené oborové postupy pro identifikaci Ohrožení zabezpečení, a to včetně průběžného statického a dynamického skenování zabezpečení aplikace zdrojového kódu, skenování zabezpečení typu open source a skenování zranitelnosti systému a (b) bude dodržovat požadavky těchto Podmínek, aby pomohl zabránit, zjistit a napravit Ohrožení zabezpečení v Plněních a ve všech aplikacích, platformách a infrastruktuře IT, v nichž a prostřednictvím kterých Dodavatel vytváří a poskytuje Služby a dodává Plnění.
4.2 Pokud se Dodavatel dozví o Ohrožení zabezpečení v Plnění nebo jakékoliv takové aplikaci, platformě či infrastruktuře IT, Dodavatel poskytne společnosti Kyndryl Nápravu chyby a Zmírnění pro veškeré verze a vydání Plnění v souladu s následujícími Úrovněmi závažnosti a v časových rámcích definovaných v tabulkách níže:
Úroveň závažnosti*
Nouzové ohrožení zabezpečení – je Ohrožení zabezpečení, které představuje závažnou a potenciálně globální hrozbu. Společnost Kyndryl určuje Nouzové ohrožení zabezpečení dle vlastního uvážení bez ohledu na Základní skóre CVSS.
Kritický – je Ohrožení zabezpečení, které má Základní skóre CVSS od 9 do 10,0.
Vysoký – je Ohrožení zabezpečení, které má Základní skóre CVSS od 7,0 do 8,9.
Střední – je Ohrožení zabezpečení, které má Základní skóre CVSS od 4,0 do 6,9.
Nízký – je Ohrožení zabezpečení, které má Základní skóre CVSS od 0,0 do 3,9.
Časové rámce
Nouzový
Kritický
Vysoký
Střední
Nízký
4 dny či méně, v souladu s rozhodnutím Generálního ředitele zabezpečení informací společnosti Kyndryl.
30 dnů
30 dnů
90 dnů
V souladu s Doporučenými oborovými postupy
* V každém případě, kdy Ohrožení zabezpečení nemá bezprostředně přiřazené Základní skóre CVSS, Dodavatel uplatní Úroveň závažnosti, která nejlépe odpovídá povaze a okolnostem takového ohrožení.
4.3 V případě Ohrožení zabezpečení, které bylo veřejně oznámeno a pro které Dodavatel dosud neposkytl společnosti Kyndryl žádnou Nápravu chyby nebo Zmírnění, uplatní Dodavatel veškeré technicky proveditelné dodatečné bezpečnostní kontroly, které mohou zmírnit rizika ohrožení.
4.4 Pokud společnost Kyndryl není spokojena s reakcí Dodavatele na jakékoliv Ohrožení zabezpečení v Plnění nebo jakékoliv aplikaci, platformě nebo infrastruktuře uvedených výše, pak, aniž by tím byla dotčena jakákoliv další případná práva společnosti Kyndryl, Dodavatel neprodleně zajistí diskusi se společností Kyndryl ohledně jejích obav přímo s viceprezidentem Dodavatele nebo ekvivalentním výkonným pracovníkem, který nese odpovědnost za dodání Nápravy chyby.
4.5 K příkladům Ohrožení zabezpečení patří kód třetích osob nebo ukončení služby (EOS), kód typu open source, pokud takové typy kódů již nedostávají opravy zabezpečení.
---
Článek VIII, Technická a organizační opatření, Obecné zabezpečení
Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl, ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.
Dodavatel splní požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem, (b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Zásady zabezpečení
1.1 Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které jsou nedílnou součástí podnikání Dodavatele a jsou povinné pro veškerý Personál Dodavatele a jsou v souladu s Doporučenými oborovými postupy.
1.2 Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.
1.3 Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude dodavatel považovat za nezbytné. dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.
1.4 Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali osvědčení o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentám Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.
1.5 Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.
2. Bezpečnostní incidenty
2.1 Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Doporučenými oborovými postupy pro řešení incidentů počítačového zabezpečení.
2.2 Dodavatel prošetří neoprávněné přístupy nebo neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.
2.3 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.
2.4 Dodavatel poskytne společnosti Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) společnosti Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.
2.5 Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká společnosti Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude společnost Kyndryl písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu společnosti Kyndryl.
2.6 V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:
(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou společnosti Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje platný zákon), Subjektům údajů, Zákazníkům a dalším.
(b) Pokud to společnost Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů týkající se Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, co zajišťuje větší ochranu. Společnost Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může společnost Kyndryl na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí společnosti Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.
(c) Dodavatel uhradí společnosti Kyndryl veškeré skutečné náklady, které společnosti Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.
3. Fyzické zabezpečení a kontrola vstupu (tak, jak se používá níže, „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
3.1 Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.
3.2 Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.
3.3 Dodavatel zavede kontrolu fyzického přístupu, včetně vícefaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.
3.4 Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.
3.5 Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s Technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.
4. Řízení přístupu, intervence, přenosu a oddělení
4.1 Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. dodavatel provede samostatnou revizi takové síťové architektury a zavede opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.
4.2 Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici jakýchkoliv Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.
4.3 Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti společnosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).
4.4 Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci dodavatele v souladu s principy rozdělení pravomocí. dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti společnosti Kyndryl nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.
4.5 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření přístupové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a přístupových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.
4.6 Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, společnosti Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.
4.7 Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.
4.8 Dodavatel bude udržovat ochrany výpočetních systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.
4.9 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.
5. Kontroly integrity a dostupnosti služby a systémů
5.1 Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Dodavatel na žádost společnosti Kyndryl předloží písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.
5.2 Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.
5.3 Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.
5.4 Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).
5.5 Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části 5.6 níže.
5.6 Konkrétní cíle bodu obnovy („CBO“) a cílová doba obnovy („CDO“) ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin CBO a 24 hodin CDO; Dodavatel však dodrží jakékoliv kratší CBO nebo CDO, ke kterým se společnost Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších CBO nebo CDO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění CBO a CDO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.
5.7 Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.
5.8 Pokud má společnost Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje společnosti Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat se společností Kyndryl na vyšetřování a odstranění obav.
6. Poskytování služeb
6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např. centrálně řízené vícefaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language).
7. Subdodavatelé. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.
8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.
---
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
-
Pokud ano, pak se na takový přístup uplatní Články VI (Přístup k Firemním systémům), VIII (Technická a organizační opatření, Obecné zabezpečení) a X (Spolupráce, ověření a náprava).
Příklady:
Odpovědnost Dodavatele za vývoj vyžaduje přístup k úložištím Zdrojového kódu Kyndryl.
Poznámka: Články II (Technická a organizační opatření, Zabezpečení dat), III (Ochrana osobních údajů), IV (Technická a organizační opatření, Zabezpečení kódu) a V (Bezpečný vývoj) se mohou rovněž uplatnit v závislosti na tom, zda je Dodavatel Materiálů Kyndryl oprávněn využívat přístup do Firemních systémů.
Článek VI, Přístup k Firemním systémům
Tento Článek se uplatní, pokud budou mít zaměstnanci dodavatele přístup k jakýmkoliv Firemním systémům.
1. Všeobecné podmínky
1.1 Společnost Kyndryl rozhodne, zda zaměstnancům Dodavatele umožní přístup do Firemních systémů. Pokud to společnost Kyndryl schválí, pak Dodavatel bude dodržovat požadavky tohoto Článku a zajistí, aby je dodržovali i jeho zaměstnanci, kteří mají takový přístup.
1.2 Společnost Kyndryl stanoví prostředky, s jejichž použitím mohou zaměstnanci Dodavatele přistupovat do Firemních systémů, včetně toho, zda mohou tito zaměstnanci přistupovat do Firemních systémů přes Zařízení poskytovaná společností Kyndryl nebo Dodavatelem.
1.3 Zaměstnanci Dodavatele mohou přistupovat k Firemním systémům a mohou používat pouze Zařízení, které pro příslušný přístup schválí společnost Kyndryl, pouze k poskytování Služeb. Zaměstnanci Dodavatele nesmí používat Zařízení, která společnost Kyndryl schválí, pro poskytování Služeb jakékoliv jiné fyzické nebo právnické osobě ani pro přístup do jakýchkoliv IT systémů, sítí, aplikací, webových stránek, e-mailových nástrojů, nástrojů spolupráce apod. Dodavatele či třetích osob či ve spojení se Službami.
1.4 Pro vyjasnění se uvádí, že zaměstnanci Dodavatele nesmí používat Zařízení schválená společností Kyndryl pro přístup k Firemním systémům pro jakékoliv osobní účely (např. zaměstnanci Dodavatele nesmí ukládat osobní soubory, jako je hudba, videa, obrázky nebo podobné položky, na těchto Zařízeních a nesmí používat Internet na takových zařízeních pro osobní účely).
1.5 Zaměstnanci Dodavatele nesmí kopírovat Materiály Kyndryl, které jsou přístupné prostřednictvím Firemního systému, bez předchozího písemného souhlasu společnosti Kyndryl (a nikdy nebudou žádné Materiály Kyndryl kopírovat na přenosná paměťová zařízení, jako jsou USB, externí pevné disky nebo podobné předměty).
1.6 Dodavatel na požádání jménem zaměstnance potvrdí konkrétní Firemní systémy, ke kterým má zaměstnanec oprávnění přístupu a do kterých vstupoval během období stanoveného společností Kyndryl.
1.7 Dodavatel bude společnost Kyndryl informovat do dvaceti čtyř (24) hodin poté, co zaměstnanec Dodavatele s přístupem ke kterémukoliv z Firemních systémů již nebude: (a) zaměstnán Dodavatelem nebo (b) nebude pracovat na činnostech, které vyžadují takový přístup. Dodavatel bude se společností Kyndryl spolupracovat na zajištění okamžitého odvolání přístupu pro takového bývalého či stávajícího zaměstnance.
1.8 Dodavatel neprodleně oznámí společnosti Kyndryl veškeré skutečné nebo domnělé bezpečnostní incidenty (jako je ztráta Zařízení Kyndryl nebo Zařízení Dodavatele nebo neoprávněný přístup k Zařízení nebo datům, materiálům nebo jiným informacím jakéhokoliv druhu) a bude se společností Kyndryl spolupracovat na vyšetřování takového incidentu.
1.9 Dodavatel nesmí umožnit žádnému zaměstnanci zástupce, nezávislého smluvního partnera nebo subdodavatele přístup k jakýmkoliv Firemním systémům bez předchozího písemného souhlasu společnosti Kyndryl; pokud to společnost Kyndryl schválí, pak Dodavatel smluvně zaváže takové osoby a jejich zaměstnance k dodržování požadavků tohoto Článku, jakoby tyto osoby byly zaměstnanci Dodavatele, a ponese vůči společnosti Kyndryl odpovědnost za veškeré jednání a opomenutí jakékoliv takové osoby nebo zaměstnavatele s ohledem na přístup do Firemních systémů.
2. Software zařízení
2.1 Dodavatel nařídí svým zaměstnancům, aby včas nainstalovali veškerý software Zařízení, který společnost Kyndryl vyžaduje pro ulehčení bezpečného přístupu k Firemním systémům. Ani dodavatel, ani jeho zaměstnanci nebudou zasahovat do operací takového softwaru nebo bezpečnostních funkcí, které software zajišťuje.
2.2 Dodavatel a jeho zaměstnanci budou dodržovat zásady konfigurace Zařízení, které stanoví společnost Kyndryl, a budou jinak se společností Kyndryl spolupracovat na zajištění, aby software fungoval dle úmyslů společnosti Kyndryl. dodavatel například nebude překonávat softwarové blokování webových stránek nebo automatické funkce aplikace oprav.
2.3 Zaměstnanci Dodavatele nesmí sdílet Zařízení, která používají pro přístup do Firemních systémů, ani svá uživatelská jména, hesla a podobné informace k těmto Zařízením, s jakýmikoliv jinými osobami.
2.4 Pokud společnost Kyndryl souhlasí s přístupem zaměstnanců Dodavatele do Firemních systémů prostřednictvím Zařízení Dodavatele, pak Dodavatel nainstaluje a spustí operační systém na těchto Zařízeních, který společnost Kyndryl schválí, a upgraduje jej na novější verzi nebo na nový operační systém v rozumné lhůtě dle pokynu společnosti Kyndryl.
3. Dohled a spolupráce
3.1 Společnost Kyndryl má neomezené právo monitorovat a napravit potenciální narušení a další hrozby kybernetické bezpečnosti jakýmkoliv způsobem, pro jakékoliv místo a použitím jakýchkoliv prostředků, které společnost Kyndryl bude považovat za nezbytné nebo vhodné, a to bez předchozího oznámení Dodavateli nebo kterémukoliv ze zaměstnanců Dodavatele nebo jiným osobám. K příkladům takových práv patří právo společnosti Kyndryl kdykoliv (a) provést bezpečnostní test jakéhokoliv Zařízení, (b) monitorovat, obnovit technickými či jinými prostředky a kontrolovat komunikaci (včetně e-mailů z jakýchkoliv e-mailových účtů), záznamy, soubory a další položky uložené v jakémkoliv Zařízení nebo přenášené přes jakékoliv Firemní systémy a (c) získat úplný forenzní obraz jakéhokoliv Zařízení. Pokud společnost Kyndryl potřebuje jakoukoliv součinnost Dodavatele při uplatnění svých práv, Dodavatel úplně a včas splní požadavky společnosti Kyndryl na takovou spolupráci (včetně např. žádostí o bezpečnou konfiguraci jakéhokoliv Zařízení, instalaci monitorovacího nebo jiného softwaru do jakéhokoliv Zařízení, poskytnutí podrobností o připojení na úrovni systému, zapojení do opatření v reakci na incidenty na jakémkoliv Zařízení a poskytnutí fyzického přístupu k jakémukoliv Zařízení, aby společnost Kyndryl získala úplný forenzní obraz nebo jiné, nebo podobných a souvisejících žádostí).
3.2 Společnost Kyndryl může odvolat přístup k jakýmkoliv Firemním systémům kdykoliv, pro kteréhokoliv zaměstnance Dodavatele nebo pro všechny zaměstnance Dodavatele bez předchozího oznámení Dodavateli nebo kterémukoliv zaměstnanci Dodavatele či jiným osobám, pokud se společnost Kyndryl domnívá, že je to nezbytné pro svou ochranu.
3.3 Práva společnosti Kyndryl nejsou žádným způsobem zablokována, omezena ani snížena kterýmkoliv ustanovením Transakčního dokumentu, související základní smlouvy mezi smluvními stranami nebo jakékoliv jiné smlouvy mezi smluvními stranami, a to včetně jakýchkoliv ustanovení, která případně vyžadují, aby byla jakákoliv data, materiály nebo jiné informace ukládány výhradně na stanoveném místě nebo místech, nebo která případně vyžadují, aby přístup k takovým datům, materiálům nebo jiným informacím měly pouze osoby z vybraného místa nebo míst.
4. Zařízení Kyndryl
4.1 Společnost Kyndryl si uchová vlastnické právo ke všem Zařízením Kyndryl, přičemž Dodavatel nese riziko ztráty Zařízení, a to i v důsledku krádeže, vandalismu nebo nedbalosti. Dodavatel neprovede změny ani neumožní provedení změn Zařízení Kyndryl bez předchozího písemného souhlasu společnosti Kyndryl, přičemž změnu Zařízení představuje jakákoliv úprava softwaru, aplikací, návrhu zabezpečení, konfigurace zabezpečení nebo fyzického, mechanického či elektrického provedení Zařízení.
4.2 Dodavatel vrátí veškerá Zařízení Kyndryl do 5 pracovních dní poté, co již tato Zařízení nebudou zapotřebí pro poskytování Služeb, a pokud to společnost Kyndryl vyžaduje, zničí veškerá data, materiály a další informace jakéhokoliv druhu na těchto Zařízeních, aniž by si ponechal jakoukoliv kopii, a to v souladu s Doporučenými oborovými postupy, za účelem trvalého odstranění všech takových dat, materiálů a dalších informací. Dodavatel zabalí a vrátí Zařízení Kyndryl ve stejném stavu, v němž byla dodána Dodavateli, s přihlédnutím k běžnému opotřebení, na své vlastní náklady a na místo určené společností Kyndryl. Pokud dodavatel nesplní některou ze svých povinností upravených v této části 4.2, bude to představovat hrubé porušení Transakčního dokumentu a související základní smlouvy a rovněž všech souvisejících smluv mezi smluvními stranami s tím, že se má za to, že smlouva je „související“, pokud přístup k jakýmkoliv Firemním systémům ulehčuje úkoly nebo další činnosti dodavatele v souladu s danou smlouvou.
4.3 Společnost Kyndryl poskytne podporu pro Zařízení Kyndryl (včetně kontroly a preventivní a nápravné údržby Zařízení). Dodavatel bude společnost Kyndryl neprodleně informovat o potřebě nápravného servisu.
4.4. V případě softwarových programů, které společnost Kyndryl vlastní nebo k nimž má právo udělit licenci, uděluje společnost Kyndryl Dodavateli dočasné právo používání, ukládání a vytvoření dostatečného počtu kopií na podporu jeho oprávněného použití Zařízení Kyndryl. dodavatel nesmí převést programy na jinou osobu, vytvářet kopie informací o softwarové licenci nebo rozkládat, zpětně analyzovat, zpětně kompilovat nebo jinak překládat jakýkoliv program, pokud to není výslovně povoleno platnými právními předpisy, a to bez možnosti smluvního vzdání se takového práva.
5. Aktualizace
5.1 Bez ohledu na jakékoliv ustanovení Transakčního dokumentu nebo související základní smlouvy mezi smluvními stranami opačného významu je společnost Kyndryl na základě písemného oznámení Dodavateli a bez potřeby získání souhlasu Dodavatele oprávněna aktualizovat, doplnit nebo jinak upravit tento Článek pro řešení případných požadavků v souladu s platnými právními předpisy nebo povinnostmi Zákazníka, pro zohlednění případného vývoje doporučených postupů zabezpečení nebo jinak, pokud se společnost Kyndryl domnívá, že je to potřeba pro ochranu Firemních systémů nebo společnosti Kyndryl.
---
Článek VIII, Technická a organizační opatření, Obecné zabezpečení
Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl, ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.
Dodavatel splní požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem, (b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Zásady zabezpečení
1.1 Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které jsou nedílnou součástí podnikání Dodavatele a jsou povinné pro veškerý Personál Dodavatele a jsou v souladu s Doporučenými oborovými postupy.
1.2 Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.
1.3 Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude dodavatel považovat za nezbytné. dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.
1.4 Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali osvědčení o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentám Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.
1.5 Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.
2. Bezpečnostní incidenty
2.1 Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Doporučenými oborovými postupy pro řešení incidentů počítačového zabezpečení.
2.2 Dodavatel prošetří neoprávněné přístupy nebo neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.
2.3 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.
2.4 Dodavatel poskytne společnosti Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) společnosti Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.
2.5 Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká společnosti Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude společnost Kyndryl písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu společnosti Kyndryl.
2.6 V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:
(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou společnosti Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje platný zákon), Subjektům údajů, Zákazníkům a dalším.
(b) Pokud to společnost Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů týkající se Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, co zajišťuje větší ochranu. Společnost Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může společnost Kyndryl na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí společnosti Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.
(c) Dodavatel uhradí společnosti Kyndryl veškeré skutečné náklady, které společnosti Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.
3. Fyzické zabezpečení a kontrola vstupu (tak, jak se používá níže, „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
3.1 Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.
3.2 Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.
3.3 Dodavatel zavede kontrolu fyzického přístupu, včetně vícefaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.
3.4 Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.
3.5 Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s Technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.
4. Řízení přístupu, intervence, přenosu a oddělení
4.1 Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. dodavatel provede samostatnou revizi takové síťové architektury a zavede opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.
4.2 Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici jakýchkoliv Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.
4.3 Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti společnosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).
4.4 Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci dodavatele v souladu s principy rozdělení pravomocí. dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti společnosti Kyndryl nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.
4.5 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření přístupové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a přístupových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.
4.6 Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, společnosti Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.
4.7 Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.
4.8 Dodavatel bude udržovat ochrany výpočetních systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.
4.9 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.
5. Kontroly integrity a dostupnosti služby a systémů
5.1 Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Dodavatel na žádost společnosti Kyndryl předloží písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.
5.2 Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.
5.3 Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.
5.4 Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).
5.5 Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části 5.6 níže.
5.6 Konkrétní cíle bodu obnovy („CBO“) a cílová doba obnovy („CDO“) ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin CBO a 24 hodin CDO; Dodavatel však dodrží jakékoliv kratší CBO nebo CDO, ke kterým se společnost Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších CBO nebo CDO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění CBO a CDO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.
5.7 Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.
5.8 Pokud má společnost Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje společnosti Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat se společností Kyndryl na vyšetřování a odstranění obav.
6. Poskytování služeb
6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např. centrálně řízené vícefaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language).
7. Subdodavatelé. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.
8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.
---
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
-
Pokud ano, uplatní se Články VI (Přístup k Firemním systémům), VII (Doplnění personálu) a X (Spolupráce, ověření a náprava).
Poznámka: Články II (Technická a organizační opatření, Zabezpečení dat), III (Ochrana osobních údajů), IV (Technická a organizační opatření, Zabezpečení kódu) a V (Bezpečný vývoj) se mohou rovněž uplatnit v závislosti na tom, zda je Dodavatel Materiálů Kyndryl oprávněn využívat přístup do Firemních systémů.
Článek VI, Přístup k Firemním systémům
Tento Článek se uplatní, pokud budou mít zaměstnanci dodavatele přístup k jakýmkoliv Firemním systémům.
1. Všeobecné podmínky
1.1 Společnost Kyndryl rozhodne, zda zaměstnancům Dodavatele umožní přístup do Firemních systémů. Pokud to společnost Kyndryl schválí, pak Dodavatel bude dodržovat požadavky tohoto Článku a zajistí, aby je dodržovali i jeho zaměstnanci, kteří mají takový přístup.
1.2 Společnost Kyndryl stanoví prostředky, s jejichž použitím mohou zaměstnanci Dodavatele přistupovat do Firemních systémů, včetně toho, zda mohou tito zaměstnanci přistupovat do Firemních systémů přes Zařízení poskytovaná společností Kyndryl nebo Dodavatelem.
1.3 Zaměstnanci Dodavatele mohou přistupovat k Firemním systémům a mohou používat pouze Zařízení, které pro příslušný přístup schválí společnost Kyndryl, pouze k poskytování Služeb. Zaměstnanci Dodavatele nesmí používat Zařízení, která společnost Kyndryl schválí, pro poskytování Služeb jakékoliv jiné fyzické nebo právnické osobě ani pro přístup do jakýchkoliv IT systémů, sítí, aplikací, webových stránek, e-mailových nástrojů, nástrojů spolupráce apod. Dodavatele či třetích osob či ve spojení se Službami.
1.4 Pro vyjasnění se uvádí, že zaměstnanci Dodavatele nesmí používat Zařízení schválená společností Kyndryl pro přístup k Firemním systémům pro jakékoliv osobní účely (např. zaměstnanci Dodavatele nesmí ukládat osobní soubory, jako je hudba, videa, obrázky nebo podobné položky, na těchto Zařízeních a nesmí používat Internet na takových zařízeních pro osobní účely).
1.5 Zaměstnanci Dodavatele nesmí kopírovat Materiály Kyndryl, které jsou přístupné prostřednictvím Firemního systému, bez předchozího písemného souhlasu společnosti Kyndryl (a nikdy nebudou žádné Materiály Kyndryl kopírovat na přenosná paměťová zařízení, jako jsou USB, externí pevné disky nebo podobné předměty).
1.6 Dodavatel na požádání jménem zaměstnance potvrdí konkrétní Firemní systémy, ke kterým má zaměstnanec oprávnění přístupu a do kterých vstupoval během období stanoveného společností Kyndryl.
1.7 Dodavatel bude společnost Kyndryl informovat do dvaceti čtyř (24) hodin poté, co zaměstnanec Dodavatele s přístupem ke kterémukoliv z Firemních systémů již nebude: (a) zaměstnán Dodavatelem nebo (b) nebude pracovat na činnostech, které vyžadují takový přístup. Dodavatel bude se společností Kyndryl spolupracovat na zajištění okamžitého odvolání přístupu pro takového bývalého či stávajícího zaměstnance.
1.8 Dodavatel neprodleně oznámí společnosti Kyndryl veškeré skutečné nebo domnělé bezpečnostní incidenty (jako je ztráta Zařízení Kyndryl nebo Zařízení Dodavatele nebo neoprávněný přístup k Zařízení nebo datům, materiálům nebo jiným informacím jakéhokoliv druhu) a bude se společností Kyndryl spolupracovat na vyšetřování takového incidentu.
1.9 Dodavatel nesmí umožnit žádnému zaměstnanci zástupce, nezávislého smluvního partnera nebo subdodavatele přístup k jakýmkoliv Firemním systémům bez předchozího písemného souhlasu společnosti Kyndryl; pokud to společnost Kyndryl schválí, pak Dodavatel smluvně zaváže takové osoby a jejich zaměstnance k dodržování požadavků tohoto Článku, jakoby tyto osoby byly zaměstnanci Dodavatele, a ponese vůči společnosti Kyndryl odpovědnost za veškeré jednání a opomenutí jakékoliv takové osoby nebo zaměstnavatele s ohledem na přístup do Firemních systémů.
2. Software zařízení
2.1 Dodavatel nařídí svým zaměstnancům, aby včas nainstalovali veškerý software Zařízení, který společnost Kyndryl vyžaduje pro ulehčení bezpečného přístupu k Firemním systémům. Ani dodavatel, ani jeho zaměstnanci nebudou zasahovat do operací takového softwaru nebo bezpečnostních funkcí, které software zajišťuje.
2.2 Dodavatel a jeho zaměstnanci budou dodržovat zásady konfigurace Zařízení, které stanoví společnost Kyndryl, a budou jinak se společností Kyndryl spolupracovat na zajištění, aby software fungoval dle úmyslů společnosti Kyndryl. dodavatel například nebude překonávat softwarové blokování webových stránek nebo automatické funkce aplikace oprav.
2.3 Zaměstnanci Dodavatele nesmí sdílet Zařízení, která používají pro přístup do Firemních systémů, ani svá uživatelská jména, hesla a podobné informace k těmto Zařízením, s jakýmikoliv jinými osobami.
2.4 Pokud společnost Kyndryl souhlasí s přístupem zaměstnanců Dodavatele do Firemních systémů prostřednictvím Zařízení Dodavatele, pak Dodavatel nainstaluje a spustí operační systém na těchto Zařízeních, který společnost Kyndryl schválí, a upgraduje jej na novější verzi nebo na nový operační systém v rozumné lhůtě dle pokynu společnosti Kyndryl.
3. Dohled a spolupráce
3.1 Společnost Kyndryl má neomezené právo monitorovat a napravit potenciální narušení a další hrozby kybernetické bezpečnosti jakýmkoliv způsobem, pro jakékoliv místo a použitím jakýchkoliv prostředků, které společnost Kyndryl bude považovat za nezbytné nebo vhodné, a to bez předchozího oznámení Dodavateli nebo kterémukoliv ze zaměstnanců Dodavatele nebo jiným osobám. K příkladům takových práv patří právo společnosti Kyndryl kdykoliv (a) provést bezpečnostní test jakéhokoliv Zařízení, (b) monitorovat, obnovit technickými či jinými prostředky a kontrolovat komunikaci (včetně e-mailů z jakýchkoliv e-mailových účtů), záznamy, soubory a další položky uložené v jakémkoliv Zařízení nebo přenášené přes jakékoliv Firemní systémy a (c) získat úplný forenzní obraz jakéhokoliv Zařízení. Pokud společnost Kyndryl potřebuje jakoukoliv součinnost Dodavatele při uplatnění svých práv, Dodavatel úplně a včas splní požadavky společnosti Kyndryl na takovou spolupráci (včetně např. žádostí o bezpečnou konfiguraci jakéhokoliv Zařízení, instalaci monitorovacího nebo jiného softwaru do jakéhokoliv Zařízení, poskytnutí podrobností o připojení na úrovni systému, zapojení do opatření v reakci na incidenty na jakémkoliv Zařízení a poskytnutí fyzického přístupu k jakémukoliv Zařízení, aby společnost Kyndryl získala úplný forenzní obraz nebo jiné, nebo podobných a souvisejících žádostí).
3.2 Společnost Kyndryl může odvolat přístup k jakýmkoliv Firemním systémům kdykoliv, pro kteréhokoliv zaměstnance Dodavatele nebo pro všechny zaměstnance Dodavatele bez předchozího oznámení Dodavateli nebo kterémukoliv zaměstnanci Dodavatele či jiným osobám, pokud se společnost Kyndryl domnívá, že je to nezbytné pro svou ochranu.
3.3 Práva společnosti Kyndryl nejsou žádným způsobem zablokována, omezena ani snížena kterýmkoliv ustanovením Transakčního dokumentu, související základní smlouvy mezi smluvními stranami nebo jakékoliv jiné smlouvy mezi smluvními stranami, a to včetně jakýchkoliv ustanovení, která případně vyžadují, aby byla jakákoliv data, materiály nebo jiné informace ukládány výhradně na stanoveném místě nebo místech, nebo která případně vyžadují, aby přístup k takovým datům, materiálům nebo jiným informacím měly pouze osoby z vybraného místa nebo míst.
4. Zařízení Kyndryl
4.1 Společnost Kyndryl si uchová vlastnické právo ke všem Zařízením Kyndryl, přičemž Dodavatel nese riziko ztráty Zařízení, a to i v důsledku krádeže, vandalismu nebo nedbalosti. Dodavatel neprovede změny ani neumožní provedení změn Zařízení Kyndryl bez předchozího písemného souhlasu společnosti Kyndryl, přičemž změnu Zařízení představuje jakákoliv úprava softwaru, aplikací, návrhu zabezpečení, konfigurace zabezpečení nebo fyzického, mechanického či elektrického provedení Zařízení.
4.2 Dodavatel vrátí veškerá Zařízení Kyndryl do 5 pracovních dní poté, co již tato Zařízení nebudou zapotřebí pro poskytování Služeb, a pokud to společnost Kyndryl vyžaduje, zničí veškerá data, materiály a další informace jakéhokoliv druhu na těchto Zařízeních, aniž by si ponechal jakoukoliv kopii, a to v souladu s Doporučenými oborovými postupy, za účelem trvalého odstranění všech takových dat, materiálů a dalších informací. Dodavatel zabalí a vrátí Zařízení Kyndryl ve stejném stavu, v němž byla dodána Dodavateli, s přihlédnutím k běžnému opotřebení, na své vlastní náklady a na místo určené společností Kyndryl. Pokud dodavatel nesplní některou ze svých povinností upravených v této části 4.2, bude to představovat hrubé porušení Transakčního dokumentu a související základní smlouvy a rovněž všech souvisejících smluv mezi smluvními stranami s tím, že se má za to, že smlouva je „související“, pokud přístup k jakýmkoliv Firemním systémům ulehčuje úkoly nebo další činnosti dodavatele v souladu s danou smlouvou.
4.3 Společnost Kyndryl poskytne podporu pro Zařízení Kyndryl (včetně kontroly a preventivní a nápravné údržby Zařízení). Dodavatel bude společnost Kyndryl neprodleně informovat o potřebě nápravného servisu.
4.4. V případě softwarových programů, které společnost Kyndryl vlastní nebo k nimž má právo udělit licenci, uděluje společnost Kyndryl Dodavateli dočasné právo používání, ukládání a vytvoření dostatečného počtu kopií na podporu jeho oprávněného použití Zařízení Kyndryl. dodavatel nesmí převést programy na jinou osobu, vytvářet kopie informací o softwarové licenci nebo rozkládat, zpětně analyzovat, zpětně kompilovat nebo jinak překládat jakýkoliv program, pokud to není výslovně povoleno platnými právními předpisy, a to bez možnosti smluvního vzdání se takového práva.
5. Aktualizace
5.1 Bez ohledu na jakékoliv ustanovení Transakčního dokumentu nebo související základní smlouvy mezi smluvními stranami opačného významu je společnost Kyndryl na základě písemného oznámení Dodavateli a bez potřeby získání souhlasu Dodavatele oprávněna aktualizovat, doplnit nebo jinak upravit tento Článek pro řešení případných požadavků v souladu s platnými právními předpisy nebo povinnostmi Zákazníka, pro zohlednění případného vývoje doporučených postupů zabezpečení nebo jinak, pokud se společnost Kyndryl domnívá, že je to potřeba pro ochranu Firemních systémů nebo společnosti Kyndryl.
---
Článek VII, Doplnění personálu
Tento Článek se uplatní, pokud zaměstnanci Dodavatele věnují celou svou pracovní dobu poskytování Služeb společnosti Kyndryl, budou veškeré takové Služby poskytovat v prostorách společnosti Kyndryl, prostorách Zákazníka nebo ze svého domova a pro přístup k Firemním systémům budou při poskytování takových Služeb používat pouze Zařízení Kyndryl.
1. Přístup k Firemním systémům; Prostředí Kyndryl
1.1 Dodavatel smí poskytovat Služby pouze na základě přístupu k Firemním systémům s použitím Zařízení, která poskytuje společnost Kyndryl.
1.2 Dodavatel dodrží tyto podmínky stanovené v Článku VI (Přístup k Firemním systémům) pro veškeré přístupy do Firemních systémů.
1.3 Zařízení poskytnutá společností Kyndryl jsou jediná Zařízení, která smí Dodavatel a jeho zaměstnanci používat pro poskytování Služeb a Dodavatel a jeho zaměstnanci je smí používat výhradně k poskytování Služeb. Pro vyjasnění se uvádí, že Dodavatel a jeho zaměstnanci nesmí v žádném případě k poskytování Služeb používat žádná jiná zařízení ani nesmí používat Zařízení Kyndryl pro jakéhokoliv jiného zákazníka Dodavatele nebo pro jakékoliv jiné účely než poskytování Služeb společnosti Kyndryl.
1.4 Zaměstnanci Dodavatele, kteří používají Zařízení Kyndryl, mohou sdílet Materiály Kyndryl mezi sebou navzájem a ukládat takové materiály v Zařízeních Kyndryl, nicméně pouze v omezeném rozsahu, v jakém je takové sdílení a ukládání nezbytné pro úspěšné poskytování Služeb.
1.5 S výjimkou takových úložišť v Zařízeních Kyndryl nesmí Dodavatel ani jeho zaměstnanci v žádném případě odstraňovat jakékoliv Materiály Kyndryl z úložišť, prostředí, nástrojů či infrastruktury Kyndryl, kde jsou společností Kyndryl uchovávány.
1.6 Pro vyjasnění se uvádí, že Dodavatel a jeho zaměstnanci nejsou oprávněni přenášet jakékoliv Materiály Kyndryl do úložišť, prostředí, nástrojů či infrastruktury Dodavatele ani do žádných dalších systémů, platforem, sítí apod. Dodavatele bez předchozího písemného souhlasu společnosti Kyndryl.
1.7 Článek VIII (Technická a organizační opatření, Obecné zabezpečení) se nevztahuje na Služby Dodavatele, pokud zaměstnanci Dodavatele budou věnovat veškerou svou pracovní dobu poskytování Služeb společnosti Kyndryl, budou veškeré takové Služby poskytovat v prostorách společnosti Kyndryl, prostorách Zákazníka nebo ze svého domova a pro přístup k Firemním systémům budou při poskytování takových Služeb používat pouze Zařízení Kyndryl. V opačném případě se na Služby Dodavatele vztahuje Článek VIII.
---
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
-
Pokud ano, pak se uplatní Články II (Technická a organizační opatření, Zabezpečení dat), VIII (Technická a organizační opatření, Obecné zabezpečení), IX (Certifikace a zprávy Hostovaných služeb) a X (Spolupráce, ověření a náprava). Rovněž se uplatní Článek III (Ochrana osobních údajů), pokud má Dodavatel při poskytování Hostingové služby přístup k Osobním údajům Kyndryl.
Příklady:
Dodavatel poskytuje jakoukoliv nabídku „jako službu“ společnosti Kyndryl, jako jsou například nabídky softwaru, platformy nebo infrastruktury „jako služby“.
Článek II, Technická a organizační opatření, Zabezpečení dat
Tento Článek se uplatní, pokud Dodavatel Zpracovává jiná Data Kyndryl než Obchodní kontaktní informace Kyndryl. Dodavatel bude plnit požadavky tohoto Článku při poskytování všech Služeb a dodávce všech Plnění a bude tím chránit Data Kyndryl před ztrátou, zničením, pozměněním, náhodným nebo neoprávněným poskytnutím, náhodným nebo neoprávněným přístupem a nezákonnými formami Zpracování. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Využití údajů
1.1 Dodavatel nesmí doplnit k Datům Kyndryl ani zahrnout do Dat Kyndryl žádné další informace ani data, včetně Osobních údajů, bez předchozího písemného souhlasu společnosti Kyndryl a Dodavatel nesmí používat Data Kyndryl v jakékoliv formě, agregovaně či jinak, pro jakékoliv jiné účely než pro poskytování Služeb a dodávku Plnění (například Dodavatel není oprávněn používat nebo znovu používat Data Kyndryl k hodnocení efektivity nebo jako prostředek pro vylepšení nabídek Dodavatele, k výzkumu a vývoji pro vytváření nových nabídek ani pro generování sestav ohledně nabídek Dodavatele). Pokud to není výslovně povoleno v Transakčním dokumentu, Dodavatel nesmí Data Kyndryl Prodávat.
1.2 Dodavatel nezabuduje žádné webové sledovací technologie do Plnění ani jako součást Služeb (k těmto technologiím patří HTML5, místní úložiště, značky nebo tokeny třetích osob a webové majáky), pokud to není výslovně povoleno v Transakčním dokumentu.
2. Požadavky třetích osob a důvěrnost
2.1 Dodavatel neposkytne Data Kyndryl žádné třetí osobě, pokud k tomu nebude mít předchozí písemný souhlas společnosti Kyndryl. Pokud vláda, včetně jakéhokoliv regulačního orgánu, požaduje přístup k Datům Kyndryl (např. vláda USA vydá nařízení o národní bezpečnosti vůči Dodavateli s cílem získat Data Kyndryl), nebo pokud je poskytnutí Dat Kyndryl jinak vyžadováno zákonem, Dodavatel bude společnost Kyndryl písemně informovat o takovém požadavku nebo žádosti a poskytne společnosti Kyndryl rozumnou příležitost takové poskytnutí zpochybnit (pokud zákon takové oznámení zakazuje, Dodavatel podnikne kroky, o kterých se bude rozumně domnívat, že jsou odpovídající pro dosažení zákazu nebo zpochybnění poskytnutí Dat Kyndryl na základě soudní žaloby či jinými prostředky).
2.2 Dodavatel ve vztahu ke společnosti Kyndryl zaručuje, že: (a) přístup k Datům Kyndryl budou mít pouze ti jeho zaměstnanci, kteří takový přístup k Datům Kyndryl potřebují pro poskytování Služeb nebo dodávku Plnění, a to pouze v takovém rozsahu, který je pro takové Služby či taková Plnění nezbytný; a (b) se svými zaměstnanci uzavřel závazek zachování důvěrnosti, který od těchto zaměstnanců vyžaduje, aby Data Kyndryl používali a poskytovali pouze v rozsahu povoleném těmito Podmínkami.
3. Vrácení nebo odstranění dat Kyndryl
3.1 Dodavatel dle rozhodnutí společnosti Kyndryl buď odstraní, nebo vrátí Data Kyndryl společnosti Kyndryl při ukončení nebo uplynutí Transakčního dokumentu, nebo dříve na základě žádosti společnosti Kyndryl. Pokud společnost Kyndryl vyžaduje odstranění, Dodavatel v souladu Doporučenými oborovými postupy zajistí znečitelnění dat a znemožnění jejich rekonstrukce či obnovy a společnosti Kyndryl předloží potvrzení o takovém odstranění. V případě, že společnost Kyndryl požaduje vrácení Dat Kyndryl, pak tak Dodavatel učiní dle rozumného harmonogramu a dle rozumných písemných pokynů společnosti Knydryl.
---
Článek III, Ochrana osobních údajů
Tento Článek se uplatní, pokud Dodavatel Zpracovává Osobní údaje Kyndryl.
1. Zpracování
1.1 Společnost Kyndryl jmenuje Dodavatele Zpracovatelem údajů pro Zpracování osobních údajů Kyndryl výhradně pro účely poskytování Služeb nebo dodávky Plnění v souladu s pokyny společnosti Kyndryl, a to včetně těch, které jsou uvedeny v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami. Pokud Dodavatel pokyn nesplní, společnost Kyndryl je oprávněna vypovědět dotčenou část Služeb písemnou výpovědí. Pokud se Dodavatel domnívá, že pokyn porušuje zákony o ochraně osobních údajů, Dodavatel je povinen o tom neprodleně a ve lhůtě případně stanovené zákonem informovat společnost Kyndryl. Nesplní-li Dodavatel kteroukoli z povinností vyplývajících z těchto Podmínek a toto selhání způsobí neoprávněné použití Osobních údajů, nebo pokud obecně dojde k jakémukoli neoprávněnému použití Osobních údajů, má společnost Kyndryl právo ukončit zpracovávání a napravit selhání a škody způsobené neoprávněným použitím plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl.
1.2 Dodavatel bude dodržovat veškeré zákony o ochraně osobních údajů vztahující se na Služby a Plnění.
1.3 Příloha k Transakčnímu dokumentu nebo Transakční dokument samotný upravují ve vztahu k Datům Kyndryl následující:
(a) kategorie Subjektů údajů;
(b) typy Osobních údajů Kyndryl;
(c) akce dat a činnosti Zpracování;
(d) doba trvání a frekvence Zpracování; a
(e) seznam Dílčích zpracovatelů údajů.
2. Technická a organizační opatření
2.1 Dodavatel zavede a bude udržovat technická a organizační opatření stanovená v Článku II (Technická a organizační opatření, Zabezpečení dat) a Článku VIII (technická a organizační opatření, Obecné zabezpečení), a tím zajistí úroveň zabezpečení odpovídající rizikům souvisejícím se Službami a Plněními. dodavatel potvrzuje a chápe omezení stanovená Článkem II, tímto Článkem III, a Článkem VIII a bude je dodržovat.
3. Práva a požadavky Subjektů údajů
3.1 Dodavatel bude společnost Kyndryl neprodleně informovat (v souladu s harmonogramem, který umožní, aby společnost Kyndryl a Další správci údajů splnili své zákonné povinnosti) o všech žádostech Subjektů údajů, kterými tito uplatní práva Subjektů údajů (např. na opravu, odstranění či zablokování údajů) ve vztahu k Osobním údajům Kyndryl. Dodavatel je rovněž oprávněn nařídit Subjektu údajů, aby takovou žádost předložil společnosti Kyndryl. Dodavatel nebude reagovat na žádné žádosti od Subjektů údajů, s výjimkou případů, kdy je tak povinen učinit ze zákona nebo kdy mu to písemně nařídí společnost Kyndryl.
3.2 Pokud je společnost Kyndryl povinna poskytnout informace ohledně Osobních údajů Kyndryl Dalším správcům údajů nebo jiným třetím osobám (např. Subjektům údajů nebo regulačním orgánům), Dodavatel je povinen společnosti Kyndryl poskytnout součinnost tak, že poskytne informace a učiní další rozumné kroky, které bude společnost Kyndryl požadovat, dle harmonogramu, který společnosti Kyndryl umožní včas těmto Dalším správcům údajů nebo regulačním orgánům odpovědět.
4. Dílčí zpracovatelé
4.1 Před doplněním nového Dílčího zpracovatele údajů nebo rozšířením rozsahu Zpracování stávajícím Dílčím zpracovatelem údajů zašle Dodavatel Kyndryl předchozí písemné oznámení, přičemž v takovém písemném oznámení uvede jméno takového Dílčího zpracovatele údajů a popis nového či rozšířeného rozsahu Zpracování. Společnost Kyndryl je oprávněna kdykoliv uplatnit námitku vůči takovému novému Dílčímu zpracovateli údajů nebo rozšířenému rozsahu z rozumných důvodů, a pokud tak učiní, smluvní strany budou spolupracovat v dobré víře na řešení námitek společnosti Kyndryl. S přihlédnutím k právu společnosti Kyndryl kdykoliv uplatnit námitku je Dodavatel oprávněn pověřit nového Dílčího zpracovatele údajů nebo rozšířit rozsah Zpracování stávajícím Dílčím zpracovatelem údajů, pokud společnost Kyndryl neuplatní námitku do 30 dní od data písemného oznámení Dodavatele.
4.2 Dodavatel stanoví povinnosti ochrany osobních údajů, zabezpečení a certifikace upravené v těchto Podmínkách každému takto schválenému Dílčímu zpracovateli údajů dříve, než tento Dílčí zpracovatel údajů začne Zpracovávat jakákoliv Data Kyndryl. Dodavatel nese vůči společnosti Kyndryl plnou odpovědnost za plnění povinností jednotlivých Dílčích zpracovatelů údajů.
5. Přeshraniční zpracování údajů
Tak, jak se používá v textu níže:
Země poskytující odpovídající ochranu znamená zemi zajišťující přiměřenou úroveň ochrany osobních údajů s ohledem na příslušné předávání v souladu s platnými právními předpisy o ochraně osobních údajů nebo rozhodnutími regulačních orgánů.
Dovozce údajů znamená buď Zpracovatele údajů, nebo Dílčího zpracovatele údajů, který není usazen v Zemi poskytující odpovídající ochranu.
Standardní smluvní doložky EU („SSD EU“) znamenají Standardní smluvní doložky EU (Rozhodnutí Komise 2021/914) s uplatněnými volitelnými doložkami, kromě možnosti 1 Doložky 9(a) a možnosti 2 Doložky 17 a jsou oficiálně zveřejněné na adrese https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
Standardní smluvní doložky Srbska („SSD Srbska“) znamenají Standardní smluvní doložky Srbska přijaté „Srbským komisařem pro informace veřejného zájmu a ochranu osobních údajů“ a zveřejněné na adrese https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.
Standardní smluvní doložky („SSD“) znamenají smluvní doložky vyžadované příslušnými právními předpisy o ochraně osobních údajů pro předávání Osobních údajů Zpracovatelům údajů, kteří nejsou usazeni v Zemi poskytující odpovídající ochranu.
Dodatek pro mezinárodní přenos dat pro Spojeného království ke standardním smluvním ustanovením Komise EU (dále jen „dodatek pro Spojené království") znamená dodatek pro mezinárodní přenos dat pro Spojené království ke standardním smluvním ustanovením Komise EU, jak je oficiálně zveřejněno na adrese https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.
Dodatek ke standardním smluvním doložkám Komise EU pro Švýcarsko („Dodatek pro Švýcarsko") označuje smluvní doložky ke standardním smluvním doložkám Komise EU, které platí v souladu s rozhodnutím švýcarského úřadu pro ochranu osobních údajů („FDPIC") a které vyhovují švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP").
5.1 Dodavatel nebude předávat ani poskytovat (a to ani formou vzdáleného přístupu) žádné Osobní údaje Kyndryl přes hranice bez předchozího písemného souhlasu společnosti Kyndryl. V případě, že společnost Kyndryl takový souhlas poskytne, smluvní strany budou spolupracovat na zajištění souladu s platnými právními předpisy o ochraně osobních údajů. Pokud jsou těmito právními předpisy vyžadovány Standardní smluvní doložky, Dodavatel na žádost společnosti Kyndryl tyto Standardní smluvní doložky neprodleně uzavře.
5.2 Ve vztahu ke Standardním smluvním doložkám EU:
(a) Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: Dodavatel tímto uzavírá Standardní smluvní doložky EU v pozici Dovozce údajů se společností Kyndryl a Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 9 Standardních smluvních doložek EU a na požádání předloží kopie takových smluv společnosti Kyndryl.
(i) Modul 1 Standardních smluvních doložek EU se neuplatní, pokud nebude smluvními stranami písemně dohodnuto jinak.
(ii) Modul 2 Standardních smluvních doložek EU se uplatní v případě, že společnost Kyndryl je Správcem údajů, a Modul 3 se uplatní, pokud je společnost Kyndryl Zpracovatelem údajů. Pokud se uplatní Modul 2 nebo Modul 3, v souladu s článkem 13 Standardních smluvních doložek EU smluvní strany souhlasí, že (1) Standardní smluvní doložky EU se budou řídit právem členského státu EU, kde má sídlo příslušný kontrolní orgán, a (2) veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny u soudů v členském státu EU, kde má sídlo příslušný kontrolní orgán. Pokud takové právo dle bodu (1) neumožňuje práva třetí oprávněné osoby, pak se budou Standardní smluvní doložky EU řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU dle bodu (2) budou řešeny soudy v Amsterdamu, Nizozemsko.
(b) Pokud jsou obě smluvní strany, Dodavatel i společnost Kyndryl, usazeny v Zemi poskytující odpovídající ochranu, Dodavatel bude jednat jako Vývozce údajů a uzavře Standardní smluvní doložky s každým schváleným Dílčím zpracovatelem údajů, který je usazen v jiné zemi než Zemi poskytující odpovídající ochranu. Dodavatel provede požadované Posouzení dopadu předání (PDP) a bez zbytečného odkladu oznámí společnosti Kyndryl (1) případnou potřebu použití doplňkových opatření a (2) použitá opatření. Dodavatel na vyžádání poskytne společnosti Kyndryl výsledky Posouzení dopadu předání a všechny informace nezbytné k pochopení a vyhodnocení těchto výsledků. Společnost Kyndryl a Dodavatel budou spolupracovat na nalezení proveditelného řešení v případě, že společnost Kyndryl nesouhlasí s výsledky Posouzení dopadu předání Dodavatele nebo s použitými doplňujícími opatřeními. Společnost Kyndryl má i nadále právo pozastavit nebo ukončit dotčené služby Dodavatele bez nároku na kompenzaci. K tomu, aby se předešlo pochybnostem, toto nezbavuje Dílčí zpracovatele Dodavatele povinnosti stát se smluvní stranou a uzavřít Standardní smluvní doložky EU se společností Kyndryl nebo jejími zákazníky, jak je uvedeno v oddíle 5.2 (d) níže.
(c) Pokud je Dodavatel usazen v Evropském hospodářském prostoru a společnost Kyndryl je Správcem údajů, na kterého se nevztahuje Obecné nařízení o ochraně osobních údajů 2016/679, pak se uplatní Modul 4 Standardních smluvních doložek EU a Dodavatel tímto uzavírá Standardní smluvní doložky EU jako vývozce údajů se společností Kyndryl. Pokud se uplatní Modul 4 Standardních smluvních doložek EU, pak smluvní strany souhlasí, že se Standardní smluvní doložky EU budou řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny soudem v Amsterdamu, Nizozemsko.
(d) Pokud Další správci údajů, jako jsou Zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou Standardních smluvních doložek EU v souladu s „ustanovením o přistoupení“ v Článku 7, Dodavatel tímto s jakoukoliv takovou žádostí souhlasí.
(e) Technická a organizační opatření vyžadovaná pro vyplnění Přílohy II Standardních smluvních doložek EU najdete v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami.
(f) V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami EU a těmito Podmínkami mají přednost Standardní smluvní doložky EU.
5.3 Pro dodatek (dodatky) pro Spojené království:
a. Pokud dodavatel nemá sídlo v zemi s dostatečnou ochranou: (i) dodavatel tímto uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl jako dovozcem, který bude připojen k výše uvedeným standardním smluvním ustanovením EU (platným podle okolností zpracovatelských činností); a (ii) dodavatel uzavře písemné smlouvy s každým schváleným dílčím zpracovatelem a poskytne společnosti Kyndryl na vyžádání kopie těchto smluv.
b. Pokud má dodavatel sídlo v zemi s dostatečnou ochranou a společnost Kyndryl je správcem údajů, na které se nevztahuje Obecné nařízení o ochraně údajů Spojeného království (jak je začleněno do zákona Evropské unie z roku 2018 (o vystoupení Spojeného království)), pak jako exportér uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl o připojení standardních smluvních ustanovení EU, jak je uvedeno výše v oddíle 5.2(b).
c. Pokud jiní správci, jako jsou zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou dodatku (dodatků) pro Spojené království, dodavatel tímto souhlasí s jakoukoli takovou žádostí.
d. Informace o dodatku (jak jsou uvedeny v tabulce 3) v dodatku (dodatcích) pro Spojené království lze nalézt v příslušných standardních smluvních ustanoveních EU, těchto podmínkách, vlastním dokumentu o transakci a v přidružené základní smlouvě mezi stranami. Ani společnost Kyndryl, ani dodavatel nemohou zrušit platnost dodatku (dodatků) pro Spojené království, když se dodatek pro Spojené království změní.
e. V případě jakéhokoli konfliktu mezi dodatkem (dodatky) pro Spojené království a těmito podmínkami bude rozhodující dodatek (dodatky) pro Spojené království.
f. Ve vztahu ke Standardním smluvním doložkám Srbska:
5.4 Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: (i) Dodavatel tímto uzavírá Standardní smluvní doložky Srbska se společností Kyndryl svým vlastním jménem v pozici Zpracovatele údajů a (ii) Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 8 Standardních smluvních doložek Srbska a na požádání předloží kopie takových smluv společnosti Kyndryl.
a. Pokud je Dodavatel usazen v Zemi poskytující odpovídající ochranu, pak tímto Dodavatel uzavírá Standardní smluvní doložky Srbska se společností Kyndryl jménem každého z Dílčích zpracovatelů údajů, nacházejícího se v jiné zemi než Zemi poskytující odpovídající ochranu. Pokud Dodavatel není ve vztahu ke kterémukoliv z Dílčích zpracovatelů údajů oprávněn tak učinit, pak Dodavatel poskytne společnosti Kyndryl Standardní smluvní doložky Srbska podepsané Dílčím zpracovatelem údajů k podpisu ze strany společnosti Kyndryl dříve, než Dílčímu zpracovateli údajů umožní Zpracovávat jakékoliv Osobní údaje Kyndryl.
b. Standardní smluvní doložky Srbska uzavřené mezi společností Kyndryl a Dodavatelem budou sloužit jako Standardní smluvní doložky Srbska uzavřené mezi Správcem údajů a Zpracovatelem, nebo jako navazující písemná smlouva uzavřená mezi „zpracovatelem“ a „dílčím zpracovatelem“, dle toho, jak to vyžadují skutečnosti. V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami Srbska a těmito Podmínkami mají přednost standardní smluvní doložky Srbska.
c. Informace potřebné k vyplnění Příloh 1 až 8 Standardních smluvních doložek Srbska pro účely úpravy předávání Osobních údajů do jiné země než Země poskytující odpovídající ochranu najdete v těchto Podmínkách a v Příloze k Transakčnímu dokumentu nebo v Transakčním dokumentu samotném.5.5. Dodatek (dodatky) pro Švýcarsko:
Pokud přenos Osobních údajů společnosti Kyndryl podle bodu 5.1 podléhá švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP"), bude se takový přenos v rozsahu, v jakém mu podléhá, řídit standardními smluvními doložkami (SCC) EU dohodnutými v bodu 5.2. těchto Podmínek. Nařízení GDPR bude přitom pro švýcarské osobní údaje doplněno o následující dodatky:
Odkazy na Obecné nařízení o ochraně údajů („GDPR") současně označují také odkazy na odpovídající ustanovení FADP;
Švýcarská federální informační komise pro ochranu údajů je příslušným dozorovým úřadem podle doložky 13 a přílohy I.C SCC EU
Švýcarské právo jako rozhodné právo v případě přenosu podléhá výhradně FADP.
Výraz „členský stát" v doložce 18 SCC EU se rozšiřuje tak, aby zahrnoval i Švýcarsko, aby mohly švýcarské subjekty údajů uplatňovat svá práva v místě svého obvyklého bydliště.
Aby se předešlo pochybnostem, není cílem žádné z výše uvedených skutečností žádným způsobem omezovat úroveň ochrany údajů poskytovanou EU SCC, ale pouze rozšířit tuto úroveň ochrany na švýcarské subjekty údajů. Pokud tomu tak není, má v příslušném rozsahu přednost EU SCC.
6. Součinnost a záznamy
6.1 S ohledem na povahu Zpracování Dodavatel poskytne společnosti Kyndryl součinnost přijetím odpovídajících technických a organizačních opatření za účelem splnění povinností souvisejících se žádostmi a právy Subjektů údajů. Dodavatel rovněž poskytne společnosti Kyndryl součinnost při zajištění souladu s povinnostmi týkajícími se zabezpečení Zpracování, oznámení a sdělení o Narušení zabezpečení a vytvoření hodnocení dopadu ochrany údajů, včetně předchozích konzultací s odpovědným regulačním orgánem dle potřeby s přihlédnutím k informacím, které má Dodavatel k dispozici.
6.2 Dodavatel bude udržovat aktuální záznamy o jménech a kontaktních údajích jednotlivých Dílčích zpracovatelů údajů, včetně zástupců a inspektorů ochrany osobních údajů jednotlivých Dílčích zpracovatelů údajů. Dodavatel poskytne na požádání tento záznam společnosti Kyndryl ve lhůtě, která společnosti Kyndryl umožní včas odpovědět na jakékoliv žádosti ze strany Zákazníka nebo třetí osoby.
---
Článek VIII, Technická a organizační opatření, Obecné zabezpečení
Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl, ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.
Dodavatel splní požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem, (b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Zásady zabezpečení
1.1 Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které jsou nedílnou součástí podnikání Dodavatele a jsou povinné pro veškerý Personál Dodavatele a jsou v souladu s Doporučenými oborovými postupy.
1.2 Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.
1.3 Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude dodavatel považovat za nezbytné. dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.
1.4 Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali osvědčení o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentám Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.
1.5 Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.
2. Bezpečnostní incidenty
2.1 Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Doporučenými oborovými postupy pro řešení incidentů počítačového zabezpečení.
2.2 Dodavatel prošetří neoprávněné přístupy nebo neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.
2.3 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel takové oznámení odešle na adresu cyber.incidents@kyndryl.com. dodavatel poskytne společnosti Kyndryl přiměřeně požadované informace o takovém narušení a stavu veškerých kroků nápravy a obnovy ze strany dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení dodavatele.
2.4 Dodavatel poskytne společnosti Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) společnosti Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.
2.5 Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká společnosti Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude společnost Kyndryl písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu společnosti Kyndryl.
2.6 V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:
(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou společnosti Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje platný zákon), Subjektům údajů, Zákazníkům a dalším.
(b) Pokud to společnost Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů týkající se Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, co zajišťuje větší ochranu. Společnost Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může společnost Kyndryl na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí společnosti Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.
(c) Dodavatel uhradí společnosti Kyndryl veškeré skutečné náklady, které společnosti Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.
3. Fyzické zabezpečení a kontrola vstupu (tak, jak se používá níže, „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
3.1 Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.
3.2 Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.
3.3 Dodavatel zavede kontrolu fyzického přístupu, včetně vícefaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.
3.4 Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.
3.5 Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s Technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.
4. Řízení přístupu, intervence, přenosu a oddělení
4.1 Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. dodavatel provede samostatnou revizi takové síťové architektury a zavede opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.
4.2 Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici jakýchkoliv Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.
4.3 Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti společnosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).
4.4 Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci dodavatele v souladu s principy rozdělení pravomocí. dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti společnosti Kyndryl nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.
4.5 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření přístupové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a přístupových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.
4.6 Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, společnosti Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.
4.7 Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.
4.8 Dodavatel bude udržovat ochrany výpočetních systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.
4.9 V souladu s Doporučenými oborovými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.
5. Kontroly integrity a dostupnosti služby a systémů
5.1 Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Dodavatel na žádost společnosti Kyndryl předloží písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.
5.2 Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.
5.3 Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.
5.4 Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).
5.5 Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části 5.6 níže.
5.6 Konkrétní cíle bodu obnovy („CBO“) a cílová doba obnovy („CDO“) ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin CBO a 24 hodin CDO; Dodavatel však dodrží jakékoliv kratší CBO nebo CDO, ke kterým se společnost Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších CBO nebo CDO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění CBO a CDO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.
5.7 Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.
5.8 Pokud má společnost Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje společnosti Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat se společností Kyndryl na vyšetřování a odstranění obav.
6. Poskytování služeb
6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např. centrálně řízené vícefaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language).
7. Subdodavatelé. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.
8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.
---
Článek IX, Certifikace a zprávy Hostovaných služeb
Tento Článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl Hostované služby.
1.1 Dodavatel je povinen získat následující certifikace nebo zprávy v níže stanovených lhůtách:
Certifikace / Zprávy
Časový rámec
Ve vztahu k Hostovaným službám dodavatele:
Certifikace souladu s normou ISO 27001, Informační technologie, techniky zabezpečení, Systémy řízení zabezpečení informací, přičemž taková certifikace bude vycházet z hodnocení renomovaným nezávislým auditorem
nebo
SOC 2 Typ 2: Zpráva vydaná renomovaným nezávislým auditorem prokazující jím provedenou kontrolu systémů, kontrol a provozu Dodavatele v souladu s SOC 2 Typ 2 (včetně minimálně zabezpečení, důvěrnosti a dostupnosti)
dodavatel získá certifikaci dle normy ISO 27001 do 120 Dní od data účinnosti Transakčního dokumentu* nebo Data převzetí** a certifikaci obnoví na základě hodnocení renomovaným nezávislým auditorem každých 12 měsíců poté (přičemž každé takové obnovení proběhne dle aktuální verze normy).
Dodavatel získá zprávu SOC 2 Typ 2 do 240 Dní od data účinnosti Transakčního dokumentu* nebo Data převzetí** a následně získá novou zprávu od renomovaného nezávislého auditora, která prokáže jím provedenou revizi systémů, kontrol a provozu Dodavatele v souladu s SOC 2 Typ 2 (včetně minimálně zabezpečení, důvěrnosti a dostupnosti) každých 12 měsíců poté.
* Pokud dodavatel poskytuje Hostované služby od data účinnosti.
** Datum, kdy dodavatel převezme povinnost poskytovat Hostované služby.
1.2 Pokud to Dodavatel písemně požaduje a pokud to společnost Kyndryl písemně schválí, Dodavatel smí získat v podstatných náležitostech ekvivalentní certifikaci nebo zprávu k výše uvedenému s tím, že časové lhůty stanovené ve výše uvedené tabulce zůstávají ve vztahu k, jež jsou v podstatných náležitostech ekvivalentní, beze změny.
1.3 Dodavatel: (a) na požádání neprodleně poskytne společnosti Kyndryl kopii jednotlivých certifikací a zpráv, jež je Dodavatel povinen získat, a (b) neprodleně vyřeší jakékoliv slabé místo interní kontroly zjištěné během SOC 2 nebo v podstatných náležitostech ekvivalentní revize (pokud ji společnost Kyndryl schválí).
---
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1 Pokud má společnost Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování společnosti Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2 Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to společnost Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3 Pokud to bude společnost Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).
2.1 Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2 Společnost Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně společnost Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně.Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3 Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy: (a) společnost Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a společnost Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech společnost Kyndryl zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v Odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby společnost Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako společnost Kyndryl v souladu s Odstavci 2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5 Pokud má společnost Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti padělání
3.1 Pokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent společnosti Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele společnosti Kyndryl.
4. Náprava
4.1 Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více klienty Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně společnosti Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky společnosti Kyndryl k takovým opravám a nápravám. Aniž by tím bylo dotčeno výše uvedené, Dodavatel musí bez zbytečného odkladu informovat společnost Kyndryl, pokud Dodavatel již nemůže dodržet podmínky stanovené příslušným zákonem o ochraně osobních údajů.
4.2 Společnost Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3 Například výdaje a náklady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor společnosti Kyndryl.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Vymezené pojmy
Slova psaná s velkým počátečním písmenem budou mít význam uvedený níže nebo definovaný jinde v těchto Podmínkách nebo v Transakčním dokumentu nebo související základní smlouvě mezi smluvními stranami. Pojmy „Služby“ a „Plnění“ jsou podobně definovány v Transakčním dokumentu nebo související základní smlouvě mezi smluvními stranami; pokud tomu tak však není, „Služby“ znamenají jakékoliv Hostované služby, konzultace, instalace, přizpůsobení, údržbu, podporu, doplnění personálu, obchodní, technické či jiné dílo, které Dodavatel poskytuje společnosti Kyndryl v souladu se specifikací v Transakčním dokumentu, a „Plnění“ znamenají jakékoliv softwarové programy, platformy, aplikace nebo další produkty či položky a jejich příslušné související materiály, které Dodavatel poskytuje společnosti Kyndryl v souladu se specifikací v Transakčním dokumentu.
Obchodní kontaktní informace („OKI“): znamenají veškeré Osobní údaje používané ke kontaktování, identifikaci nebo ověření fyzické osoby v odborném nebo obchodním postavení. OKI obvykle zahrnují jméno, obchodní e-mailovou adresu, fyzickou adresu, telefonní číslo nebo podobné atributy fyzické osoby.
Služba Cloud Service: znamená jakoukoliv nabídku „jako službu“, kterou Dodavatel hostuje nebo řídí, a to včetně nabídek typu „software jako služba“, „platforma jako služba“ a „infrastruktura jako služba“.
Správce údajů: znamená fyzickou či právnickou osobu, orgán veřejné správy, agenturu nebo jiný orgán, které samostatně či společně s jinými rozhodují o účelu a prostředcích Zpracování osobních údajů.
Firemní systém: znamená IT systém, platformu, aplikaci, síť apod., na které společnost Kyndryl spoléhá při svém podnikání, včetně těch, které jsou umístěny nebo přístupné prostřednictvím intranetu Kyndryl, Internetu či jinak.
Zákazník: znamená zákazníka Kyndryl.
Subjekt údajů: znamená fyzickou osobu, kterou lze přímo či nepřímo identifikovat odkazem na její jméno, identifikační číslo, údaje o lokalitě, online identifikátor nebo jeden či více faktorů specifických pro tělesnou, duševní, genetickou, mentální, ekonomickou, kulturní nebo sociální identitu příslušné fyzické osoby.
Den či Dny: znamenají kalendářní dny, pokud nejsou označeny jako „pracovní“ dny.
Zařízení: znamená pracovní stanice, notebooky, tablety, chytré telefony nebo osobní digitální asistenty poskytnuté společností Kyndryl či Dodavatelem.
Manipulovat, Manipuluje nebo Manipulace: zahrnuje veškerý přístup do Technologie Kyndryl, její používání a ukládání, stejně jako veškerou další manipulaci s ní.
Hostované služby: znamenají veškeré služby datového střediska, aplikační službu, IT službu nebo službu Cloud Service, kterou Dodavatel hostuje nebo řídí.
Data Kyndryl: znamenají veškeré elektronické soubory, materiály, texty, zvuková, video, obrazová a další data, včetně Osobních údajů a jiných než Osobních údajů Kyndryl, které společnost Kyndryl, Personál Kyndryl, Zákazník, zaměstnanec Zákazníka nebo jiná fyzická či právnická osoba v souvislosti s Transakčním dokumentem poskytuje Dodavateli, nahrává nebo ukládá v Hostované službě nebo k nimž má Dodavatel jinak přístup a které Dodavatel Zpracovává jménem společnosti Kyndryl.
Materiály Kyndryl: znamenají všechna možná data Kyndryl a technologie Kyndryl.
Osobní údaje Kyndryl: znamenají Osobní údaje, které Dodavatel Zpracovává jménem společnosti Kyndryl. Osobní údaje Kyndryl zahrnují Osobní údaje, které společnost Kyndryl spravuje, a Osobní údaje, které společnost Kyndryl Zpracovává jménem jiných Správců údajů.
Zdrojový kód Kyndryl: znamená Zdrojový kód, který společnost Kyndryl vlastní nebo licencuje.
Technologie Kyndryl: znamená Zdrojový kód Kyndryl, další kódy, popisné jazyky, firmware, software, nástroje, provedení, schémata, grafická zobrazení, zabudované klíče, certifikáty a další informace, materiály, aktiva, dokumenty a technologie, ke kterým společnost Kyndryl přímo nebo nepřímo poskytuje licenci nebo které jinak poskytuje k dispozici Dodavateli v souvislosti s Transakčním dokumentem nebo související smlouvou mezi společností Kyndryl a Dodavatelem.
Zahrnuje a Včetně:, v případě použití s velkým počátečním písmenem či bez něj, nebudou vykládány jako omezení.
Doporučené oborové postupy: znamenají postupy, které jsou v souladu s těmi, které jsou doporučeny nebo vyžadovány Národním ústavem pro normy a technologie nebo Mezinárodní organizací pro standardy či jakýmkoliv jiným orgánem či organizací podobné pověsti a úrovně.
IT: znamená informační technologie.
Další správce údajů: znamená jakýkoliv subjekt kromě společnosti Kyndryl, který je Správcem Dat Kyndryl, jako jsou přidružené společnosti Kyndryl, Zákazník nebo přidružená společnost Zákazníka.
Místní software: znamená software, který společnost Kyndryl nebo subdodavatel spouští, instaluje nebo provozuje na serverech nebo systémech společnosti Kyndryl nebo subdodavatele. Pro vyjasnění se uvádí, že Místní software představuje Plnění dodavatele.
Osobní údaje: znamenají jakékoliv informace vztahující se k Subjektu údajů a veškeré další informace, které splňují definici „osobních údajů“ nebo obdobnou definici dle jakéhokoliv právního předpisu o ochraně osobních údajů.
Personál: znamená fyzické osoby, které jsou zaměstnanci společnosti Kyndryl nebo Dodavatele, zástupci společnosti Kyndryl nebo Dodavatele, nezávislými smluvními partnery najatými společností Kyndryl či Dodavatelem nebo poskytované smluvní straně subdodavatelem.
Zpracovat nebo Zpracování: znamená jakoukoliv operaci nebo soubor operací prováděných s Daty Kyndryl, včetně jejich ukládání, používání, přístupu k nim a jejich čtení.
Zpracovatel údajů: znamená fyzickou či právnickou osobu, která Zpracovává Osobní údaje jménem Správce údajů.
Narušení zabezpečení: znamená narušení zabezpečení, které povede k/ke: (a) ztrátě, zničení, pozměnění nebo náhodnému či neoprávněnému poskytnutí Materiálů Kyndryl, (b) náhodnému nebo neoprávněnému přístupu k Materiálům Kyndryl (c) nezákonnému Zpracování Dat Kyndryl nebo (d) nezákonné Manipulaci s Technologií Kyndryl.
Prodat (nebo Prodej): znamená prodej, pronájem, vydání, poskytnutí, šíření, zveřejnění, přenos nebo jiné ústní, písemné či elektronické sdělení dat či poskytnutí dat jinými prostředky za peníze nebo jinou protihodnotu.
Zdrojový kód: znamená lidsky čitelný programovací kód, který vývojáři používají k vývoji nebo údržbě produktu, který však není dodáván koncovým uživatelům při běžné obchodní distribuci či použití produktu.
Dílčí zpracovatel údajů: znamená jakéhokoliv subdodavatele Dodavatele, včetně přidružené společnosti Dodavatele, který Zpracovává Data Kyndryl.