Adatvédelmi és Biztonsági Feltételek
A jelen Adatvédelmi és Biztonsági Feltételek rögzítik a Kyndryl és a Szállító jogait és kötelezettségeit az adatvédelemmel, a biztonsággal és a kapcsolódó kérdésekkel kapcsolatban (a továbbiakban: "Feltételek"). A Feltételek beépülnek a rájuk hivatkozó, cégeink közötti Munkaleírásba, Munkavégzési Feljogosításba vagy hasonló dokumentumba (a "Tranzakciós Dokumentum"), és azok elválaszthatlan részét képezik. A Feltételek a Tranzakciós Dokumentumban szereplő konkrét kötelezettségre vonatkoznak.
A kényelem érdekében ez a weboldal lehetővé teszi a Szállító számára, hogy bejelölje az alábbi négyzeteket, amelyek a kötelezettség tényeit jellemzik, és hogy ezáltal megjelenítse a kiválasztott Feltételeket.Ezektől a tényektől függően egynél több négyzet is releváns lehet. Az egyértelműség kedvéért a Tranzakciós Dokumentumban szereplő tények kizárólag a kötelezettségre vonatkozó feltételeket határozzák meg, nem pedig azokat, amelyek az alábbiakban a Szállító által bejelölt négyzetekben jelennek meg.
MEGJEGYZÉS: A Kyndryl alkalmazottak adatait feldolgozó Szállítóknak az első (hozzáférés a Kyndryl üzletikapcsolat-adataihoz) és a második négyzetet (hozzáférés a Személyes Adatokhoz) be kell jelölniük.
A Feltételek és a Tranzakciós Dokumentum, vagy bármely kapcsolódó alapmegállapodás, vagy a felek közötti egyéb megállapodás - beleértve bármely adatfeldolgozási megállapodást - közötti ellentmondás esetén a Feltételek az irányadók. A jelen Feltételek által előírt nyilatkozatokat a Tranzakciós Dokumentum értesítésekre vonatkozó rendelkezéseivel összhangban kell megtenni.
A jelen Feltételekben használt nagybetűs szavak az alábbi Fogalommeghatározások szakasz szerinti jelentéssel bírnak.
Jelölje be azokat a négyzeteket, amelyek az adott kötelezettségre vonatkozó szolgáltatásokra vonatkozó tényeket tükrözik: |
-
Ha igen, akkor az I. szakasz (Üzletikapcsolat-adatok) és a X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó az ilyen hozzáférés kapcsán.
Példák:
Szállító támogatáshoz vagy karbantartáshoz használja a Kyndryl vagy a Vevő alkalmazottainak nevét, e-mail-címét és telefonszámait.
A Kyndryl a Szállító alkalmazottainak nevét és e-mail-címét használja hitelesítés céljából, hogy a vállalati rendszerhez hozzáféréshessenek.
Megjegyzés:
Ha a Szállító karbantartást vagy támogatás nyújt, hozzáféréssel rendelkezhet a üzletikapcsolat-adatokon túlmutató adatokhoz (pl. naplófájlok személyes adatokkal vagy anélkül), amely esetben Szállító a 2. pont (ha Személyes Adatokhoz lesz hozzáférése) és 3. pont alatti négyzetet is be kell jelölnie (ha nem Személyes Adatokhoz lesz hozzáférése).
Ha a Szállító a Kyndryl dolgozóinak adatait dolgozza fel, akkor a 2. pont alatti négyzetet is be kell jelölnie (ha Személyes Adatokhoz lesz hozzáférése).
I. szakasz, Üzletikapcsolat-adatok
Ez a szakasz akkor alkalmazandó, ha a Szállító vagy a Kyndryl feldolgozza a másik fél BCI-jét.
1.1 Előfordulhat, hogy a Kyndryl és a Szállító Feldolgozza a másik fél BCI-jét bárhol, ahol üzleti tevékenységet folytatnak a Szállító által nyújtott Szolgáltatásokkal és Termékekkel kapcsolatban.
1.2 A fél:
(a) nem használja fel és nem közli a másik fél BCI-it semmilyen más célra (az egyértelműség kedvéért: egyik fél sem értékesíti a másik fél BCI-it, illetve nem használja fel és nem közli a másik fél BCI-it semmilyen piackutatási és -szervezési célra a másik fél előzetes írásbeli hozzájárulása és szükség esetén az Érintettek előzetes hozzájárulása nélkül); és
b) a másik fél írásbeli kérésére haladéktalanul törli, módosítja, kijavítja, visszatéríti, a másik fél BCI-jét és tájékoztatást nyújt azok Feldolgozásáról, korlátozza azok Feldolgozását, valamint megtesz minden egyéb ésszerűen kért tevékenységet azokkal kapcsolatban, ha a személyes adatok jogosulatlan felhasználására kerül sor, és a fél le kívánja állítani a feldolgozást és orvosolni kívánja azt.
1.3 A felek nem lépnek közös Adatkezelői jogviszonyba egymás BCI-je tekintetében, és a Tranzakciós Dokumentum egyetlen rendelkezése sem értelmezhető vagy értelmezhető úgy, hogy az közös Adatkezelői jogviszony létrehozására irányuló szándékot jelezne.
1.4 A Kyndryl Adatvédelmi Nyilatkozata a https://www.kyndryl.com/us/en/privacy címen további részleteket tartalmaz a BCI Kyndryl általi feldolgozásáról.
1.5 A felek műszaki és szervezeti biztonsági intézkedéseket vezettek be és tartanak fenn, hogy megvédjék a másik fél BCI-it az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, véletlen vagy jogosulatlan hozzáférés és jogellenes Feldolgozás ellen.
1.6 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután a biztonsági előírások megsértése bármilyen, a Kyndryl BCI-t érintő biztonsági előírások megsértéséről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.
1.7 Ahol Szállító csak a Kyndryl BCI-jét dolgozza fel, és nincs hozzáférése semmilyen más adathoz, anyaghoz, vagy a Kyndryl Vállalati Rendszeréhez, akkor a jelen szakasz, és a X. szakasz (Együttműködés, igazolás és helyreállítás) az egyetlen, amely az ilyen Feldolgozásra alkalmazandó.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
-
Ha igen, akkor a II. szakasz (Műszaki és szervezeti intézkedések, Adatbiztonság), a III. szakasz (Adatvédelem), a VIII. szakasz (Műszaki és szervezeti intézkedések, Általános biztonság) és a X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó az ilyen hozzáférés kapcsán.
Példák:
A Szállító hozzáfér a Személyes Adatokhoz bármely Kihelyezett Szolgáltatás nyújtása során a Kyndryl belső használatára vagy a Vevő általi használatra, vagy mindkettőre.
A Szállító orvosi vagy egészségügyi Szolgáltatásokkal, piackutatási és -szervezési Szolgáltatásokkal, illetve emberi erőforrással vagy juttatásokkal kapcsolatos Szolgáltatásokat nyújt, és ennek során hozzáfér a Személyes Adatokhoz.
A Szállító a támogatási Szolgáltatások nyújtása érdekében hozzáfér a Személyes Adatokat tartalmazó naplófájlokhoz.
II. szakasz, Műszaki és szervezési intézkedések, Adatbiztonság
Ez a szakasz akkor alkalmazandó, ha Szállító a Kyndryl BCI-től eltérő Kyndryl-adatokat dolgoz fel. A Szállító valamennyi Szolgáltatás és Leszállítandó Termék nyújtása során betartja a jelen szakasz követelményeit, és ezáltal védi a Kyndryl-adatokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, véletlen vagy jogosulatlan hozzáférés és bármely jogellenes Adatkezelés ellen. A követelmények Szakasz kiterjed minden olyan IT-alkalmazásra, platformra és infrastruktúrára, amelyet Szállító üzemeltet, vagy kezel a Leszállítandó Termékek és Szolgáltatások nyújtása során, beleértve az összes fejlesztési, vizsgálati, kihelyezési, támogatási, üzemeltetési és adatközpont-környezetet.
1. Adathasználat
1.1 A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem egészítheti ki a Kyndryl-adatokat, illetve nem foglalhat bele a Kyndryl-adatokba semmilyen más információt vagy adatot, beleértve a Személyes Adatokat, és a Szállító nem használhatja a Kyndryl-adatokat semmilyen formában, összesítve vagy más módon, a Szolgáltatások és a Leszállítandók rendelkezésre bocsátásán kívüli más célra (például nem használhatja fel újra a Kyndryl-adatokat a Szállító ajánlatainak hatékonyságának vagy javítási módjainak értékelésére, új ajánlatok létrehozására irányuló kutatás és fejlesztés céljából, vagy a Szállító ajánlataira vonatkozó jelentések készítésére). Hacsak a Tranzakciós Dokumentum kifejezetten nem engedélyezi, a Szállító számára tilos a Kyndryl-adatok Értékesítése.
1.2 A Szállító nem ágyazhat be semmilyen webes nyomkövetési technológiát a Leszállítandó Termékekbe vagy a Szolgáltatások részeként (az ilyen technológiák magukban foglalják a HTML5-t, a helyi tárolást, a harmadik fél címkéit vagy a kulcsszavakat és webjelzőket), kivéve, ha a Tranzakciós Dokumentum ezt kifejezetten engedélyezi.
2. Harmadik felek kérései és titoktartás
2.1 A Szállító nem közli a Kyndryl-adatokat harmadik fél részére, kivéve, ha a Kyndryl erre előzetesen írásban feljogosította. Ha egy kormányzat, beleértve bármely szabályozó hatóságot is, hozzáférést kér a Kyndryl-adatokhoz (például ha az Egyesült Államok kormánya nemzetbiztonsági utasítást ad ki a Szállítónak a Kyndryl-adatok megszerzésére), vagy ha a Kyndryl-adatok közlését egyébként törvény írja elő, a Szállító írásban értesíti a Kyndrylt az ilyen követelésről vagy követelményről, és méltányos lehetőséget biztosít a Kyndrylnek a közlés megtámadására (amennyiben a törvény tiltja az értesítést, a Szállító megteszi azokat a lépéseket, amelyeket ésszerűen megfelelőnek tart a tiltás és a Kyndryl-adatok közlésének bírósági úton vagy más módon történő megtámadására).
2.2 A Szállító biztosítja a Kyndrylt arról, hogy: (a) csak azok az alkalmazottak rendelkeznek ilyen hozzáféréssel, akik esetében szükséges a Szolgáltatások vagy a Leszállítandó termékek rendelkezésre bocsátása érdekében, és kizárólag az adott Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátásához szükséges mértékig; és (b) a Szállító munkavállalóit olyan titoktartási kötelezettség terheli, amelyek kikötik, hogy kizárólag a jelen a Feltételekben engedélyezett mértékig használhatják és közölhetik a Kyndryl-adatokat.
3. A Kyndryl adatok visszatérítése vagy törlése
3.1 A Szállító a Kyndryl választása szerint törli vagy visszatéríti a Kyndryl-adatokat a Kyndryl részére a Tranzakciós Dokumentum megszűnésekor vagy lejártakor, vagy a Kyndryl kérésére ezeknél korábban. Ha Kyndryl törlést igényel, a Szállító az Ipari Legjobb Gyakorlatok szerint olvashatatlanná, összeállíthatatlanná vagy rekonstruálhatatlanná teszi, és tanúsítja a törlés tényét a Kyndryl felé. Ha Kyndryl a Kyndryl-adatok visszatérítését igényli, a Szállító ezt a Kyndryl ésszerű ütemezése és írásos utasítása szerint teszi meg.
---
III. szakasz, Adatvédelem
Ez a Szakasz akkor alkalmazandó, ha Szállító Feldolgozza a Kyndryl Személyes Adatait.
1. Adatfeldolgozás
1.1 a Kyndryl a Szállítót jelöli ki Adatfeldolgozóként a Kyndryl Személyes Adatok Feldolgozására abból a célból, hogy a Leszállítandó Termékeket és Szolgáltatásokat a Kyndryl utasításai szerint, ideértve a jelen Feltételekben, a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban foglaltakat is. Ha a Szállító nem tesz eleget egy utasításnak, a Kyndryl írásos értesítésben megszüntetheti a Szolgáltatások érintett részét. Ha a Szállító úgy véli, hogy egy utasítás adatvédelmi törvényt sért, erről haladéktalanul és a jogszabály által előírt időkereten belül értesíti a Kyndrylt. Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Személyes Adatok jogosulatlan felhasználását okozza, vagy általában a Személyes Adatok jogosulatlan felhasználása esetén a Kyndrylnek jogában áll leállítani a feldolgozást, kijavítani a hibát és orvosolni a jogosulatlan felhasználás káros hatásait, a Kyndryl ésszerű irányítása és ütemezése szerint.
1.2 A Szállító köteles a Szolgáltatásokra és a Leszállítandó Termékekre vonatkozó összes adatvédelmi törvényt betartani.
1.3 A Tranzakciós Dokumentum Melléklete vagy maga a Tranzakciós Dokumentum a Kyndryl-adatok tekintetében a következőket határozza meg:
(a) Érintettek kategóriái;
b) Kyndryl Személyes Adatok típusai;
c) adatkezelési és Adatfeldolgozási tevékenységek;
d) Adatfeldolgozási időtartam és gyakoriság; és
(e) Alárendelt Adatfeldolgozók listája.
2. Műszaki és szervezési intézkedések
2.1 A Szállító végrehajtja és fenntartja a II. szakaszban (Műszaki és szervezeti intézkedések, Adatbiztonság) és a VIII. szakaszban (Műszaki és szervezeti intézkedések, Általános biztonság) meghatározott műszaki és szervezeti intézkedéseket, és ezáltal biztosítja a Szolgáltatásai és a Leszállítandó Termékek által jelentett kockázatnak megfelelő biztonsági szintet. A Szállító igazolja és teljes mértékben megérti a II., III. és VIII. szakaszban foglalt korlátozásokat, valamint teljesíti azokat.
3. Az érintett jogai és kérései
3.1 A Szállító haladéktalanul tájékoztatja a Kyndrylt (olyan ütemezésben, amely lehetővé teszi a Kyndryl és bármely más Adatkezelő számára, hogy eleget tegyen jogi kötelezettségeinek) az Érintett bármely, a Kyndryl Személyes Adatokkal kapcsolatos, az Érintett jogainak gyakorlására (pl. az adatok helyesbítésére, törlésére vagy zárolására) vonatkozó kéréséről. A Szállító az ilyen kérelmet benyújtó Érintettet haladéktalanul a Kyndrylhez irányíthatja. A Szállító nem válaszol az Érintettek kérésére, kivéve, ha erre jogszabály kötelezi, vagy ha a Kyndryl írásban arra utasítja.
3.2 Ha a Kyndryl köteles a Kyndryl Személyes Adatokkal kapcsolatos információkat nyújtani más Adatkezelőknek vagy más harmadik feleknek (pl. az Érintetteknek vagy a szabályozó hatóságoknak), Szállító támogatja a Kyndrylt az információk nyújtásával és a Kyndryl által kért egyéb ésszerű intézkedések megtételével, olyan ütemezésben, amely lehetővé teszi a Kyndryl számára, hogy időben válaszoljon az ilyen más Adatkezelőknek vagy harmadik feleknek.
4. Alárendelt adatfeldolgozók
4.1 A Szállító új Alárendelt Adatfeldolgozó felvétele vagy a meglévő Alárendelt Adatfeldolgozó által végzett Adatfeldolgozás körének kiterjesztése előtt a Kyndrylnek előzetes írásbeli értesítést küld, amelyben megadja az Alárendlt Adatfeldolgozó nevét és leírja az új vagy kiterjesztett Adatfeldolgozási kört. A Kyndryl ésszerű indokok alapján bármikor kifogást emelhet bármely ilyen új Alárendelt Adatfeldolgozó vagy kibővített hatály ellen, és ha ezt megteszi, a felek jóhiszeműen együttműködnek a Kyndryl kifogásának kezelése érdekében. Jogfenntartással a Kyndryl mindenkori tiltakozási jogára a Szállító megbízhatja az új Alárendelt Adatfeldolgozót vagy kibővítheti a meglévő az Alárendelt Adatfeldolgozó Adatfeldolgozási körét, ha a Kyndryl a Szállító írásbeli értesítésének dátumától számított 30 napon belül nem emelt kifogást ez ellen.
4.2 A Szállító a jelen Feltételekben meghatározott adatvédelmi, biztonsági és tanúsítási kötelezettségeket állít fel minden jóváhagyott Alárendelt Adatfeldolgozóra, mielőtt azok bármilyen Kyndryl-adatot Feldolgoznának. A Szállítót a Kyndryl felé teljes mértékben felelősség terheli az egyes Alárendelt Adatfeldolgozók kötelezettségeinek teljesítéséért.
5. Határon átnyúló adatfeldolgozás
Az alábbiak szerint:
A Megfelelő Ország olyan országot jelent, amely a hatályos adatvédelmi törvények vagy a szabályozó hatóságok határozatai alapján megfelelő adatvédelmi szintet biztosít az adott átvitelhez.
Az Adatfogadó olyan Adatfeldolgozót vagy Alárendelt Adatfeldolgozót jelent, amely egy nem Megfelelő Országban tartózkodik.
Az uniós Általános Szerződési Feltételek ("Uniós Általános Szerződési Feltételek", "EU ÁSZF"): az Uniós Általános Szerződési Feltételek (2021/914 Bizottsági Határozat), a 9. a) záradék 1. pontja és a 17. záradék 2. pontja kivételével, a https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en honlapon hivatalosan közzétett opcionális záradékokkal együtt.
A Szerb Általános Szerződési Feltételek ("szerb szabványos szerződési feltételek", "szerb ÁSZF") a "Szerbiai közérdekű információk és személyes adatok védelméért felelős biztos" által elfogadott szerb általános szerződési feltételeket jelentik, amelyeket a https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx oldalon tettek közzé.
Az Általános Szerződési Feltételek ("ÁSZF") az alkalmazandó adatvédelmi jogszabályok által megkövetelt szerződési feltételeket jelenti a Személyes Adatok nem megfelelő országokban tartózkodó Adatfeldolgozók részére történő átvitelére vonatkozóan.
Az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez („UK Kiegészítés"): az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez, amely hivatalosan a következő címen került közzétételre: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/.
Svájci kiegészítés az EU Bizottság általános szerződési kikötéseihez („svájci kiegészítés") az EU Bizottság Általános Szerződési Kikötéseihez tartozó szerződéses kikötéseket jelenti, amelyek a svájci adatvédelmi hatóság („FDPIC") döntésének megfelelően a svájci szövetségi adatvédelmi törvény („FADP") betartásával érvényesek.
5.1 Határokon átnyúlóan a Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem továbbítja és nem közli (beleértve a távoli hozzáférést is) a Kyndryl Személyes Adatait. Ha Kyndryl ilyen hozzájárulást ad, a felek együttműködnek a hatályos adatvédelmi törvényeknek való megfelelés biztosítása érdekében. Ha az említett jogszabályok ÁSZF-et írnak elő, a Szállító a Kyndryl kérésére haladéktalanul szerződéses kötelezettséget vállal az ÁSZF tekintetében.
5.2 Az EU ÁSZF-fel kapcsolatban:
(a) Ha a Szállító nem Megfelelő Országban rendelkezik székhellyel: a Szállító ezennel Adatfogadóként lép vállal szerződéses kötelezettséget a Kyndryl felé az ÁSZF tekintetében, és az EU ÁSZF 9. szakaszának megfelelően minden jóváhagyott Alárendelt Adatfeldolgozóval írásos megállapodást köt és gondoskodik arról, hogy kérésre a Kyndryl rendelkezésére bocsátja a megállapodások másolatait.
(i) Az EU ÁSZF 1. modulja nem alkalmazandó, kivéve, ha a felek írásban másként állapodnak meg.
(ii) Az EU ÁSZF 2. modulja alkalmazandó, ha a Kyndryl az Adatkezelő, és a 3. modul, ha a Kyndryl az Adatfeldolgozó. Az EU ÁSZF 13. záradékával összhangban, amennyiben a 2. vagy 3. modul alkalmazandó, a felek megállapodnak abban, hogy (1) az EU ÁSZF-re annak az uniós tagállamnak a joga az irányadó, ahol az illetékes felügyeleti hatóság található, és (2) az EU ÁSZF-ből eredő bármely jogvitát annak az uniós tagállamnak a bíróságai előtt kell elbírálni, ahol az illetékes felügyeleti hatóság található. Ha az 1. pontban említett jog nem teszi lehetővé a harmadik fél kedvezményezetti jogait, akkor az EU ÁSZF-re a hollandiai jog az irányadó, és az EU ÁSZF-ből eredő, a 2. pont szerinti jogvitákat a hollandiai amszterdami bíróság rendezi.
b) Ha mindkét fél, a Szállító és a Kyndryl egy Megfelelő Országban rendelkezik székhellyel, a Szállító Adatküldőként jár el, és minden egyes, Nem Megfelelő Országban jóváhagyott Alárendelt Adatfeldolgozóval EU ÁSZF-re vállal szerződéses kötelezettséget. A Szállító elvégzi a szükséges Átviteli Hatásvizsgálatot (TIA) és indokolatlan késedelem nélkül értesíti Kyndrylt (1) a kiegészítő intézkedések szükségességéről és (2) az alkalmazott intézkedésekről. Kérésre a Szállító a TIA eredményeit és az eredmények megértéséhez és kiértékeléséhez szükséges adatokat a Kyndryl rendelkezésére bocsátja. Amennyiben Kyndryl nem ért egyet a szállítói TIA eredményeivel vagy az alkalmazott kiegészítő intézkedésekkel, a Kyndryl és a Szállító együttműködik a megvalósítható megoldás megtalálásában. A Kyndryl fenntartja a jogot, hogy kártérítés nélkül felfüggessze vagy megszüntesse az érintett Szállítók szolgáltatásait. A félreértések elkerülése végett, ez nem mentesíti a Szállító Alárendelt Adatfeldolgozóit azon kötelezettségük alól, hogy az alábbi 5.2 (d) szakaszban leírtak szerint a Kyndryllel vagy ügyfeleivel kötött EU ÁSZF-k tekintetében szerződéses kötelezettséget vállaljanak.
(c) Ha a Szállító az Európai Gazdasági Térségben rendelkezik székhellyel, és a Kyndryl olyan Adatkezelő, amely nem tartozik a 2016/679 általános adatvédelmi rendelet hatálya alá, akkor az EU ÁSZF 4. modulja alkalmazandó, és a Szállító ezennel adatexportőrként vállal szerződéses kötelezettséget a Kyndryl felé az EU ÁSZF tekintetében. Ha az EU ÁSZF 4. modulja alkalmazandó, a felek megállapodnak hogy az EU ÁSZF-re a hollandiai jog az irányadó, és az EU ÁSZF-ből eredő jogvitákat a hollandiai Amszterdam bírósága rendezi.
d) Ha Más Adatkezelők, például Vevők vagy leányvállalatok a 7. pontban szereplő "fogadói záradék" értelmében az EU ÁSZF szerződéses felévé kívánnak válni, a Szállító ezennel beleegyezik minden ilyen kérésbe.
(e) Az EU ÁSZF II. mellékletének teljesítéséhez szükséges műszaki és szervezési intézkedések a jelen Feltételekben, magában a Tranzakciós Dokumentumban és a felek közötti kapcsolódó alapmegállapodásban találhatók.
f) Az EU ÁSZF és a jelen Feltételek közötti ütközés esetén az EU ÁSZF az irányadó.
5.3 Az Egyesült Királyság kiegészítéseit (UK Addendum) illetően:
a. Ha a Szállító székhelye nem megfelelő adatvédelmi szintet nyújtó országban van: (i) A Szállító mint adatátvevő a Kyndryllel való viszonylatban az Egyesült Királyság kiegészítéseit alkalmazza a fent meghatározott EU ÁSZF kiegészítéseként (adott esetben, a feldolgozási tevékenységek körülményeitől függően); és (ii) a Szállító írásos megállapodást köt minden jóváhagyott további adatkezelővel, és e megállapodások másolatait kérésre átadja a Kyndrylnek.
b. Ha a Szállító székhelye megfelelő adatvédelmi szintet nyújtó országban van, és a Kyndryl olyan adatkezelő, amelyre nem vonatkozik az Egyesült Királyság Általános Adatvédelmi Rendelete (amely az Egyesült Királyságnak az EU-ból való kilépésről rendelkező 2018. évi törvénye (European Union (Withdrawal) Act 2018) révén került az Egyesült Királyság jogába), akkor a Szállító adatátadóként a Kyndryl viszonylatában csatlakozik az Egyesült Királyság kiegészítéseihez a fenti 5.2(b) szakaszban meghatározott EU ÁSZF-re vonatkozóan.
c. Ha más adatkezelők, például vevők vagy társvállalatok csatlakozni kívánnak az Egyesült Királyság kiegészítéseihez, a Szállító beleegyezik minden ilyen kérésbe.
d. Az Egyesült Királyság kiegészítéseinek Függelékre vonatkozó információi (a 3. táblázatban foglaltak szerint) megtalálhatók a vonatkozó EU ÁSZF feltételekben, a jelen Feltételekben, magában a Tranzakciós dokumentumban és a kapcsolódó, felek közötti alapszerződésben. Az Egyesült Királyság kiegészítéseinek változása esetén sem a Kyndryl, sem a Szállító nem szüntetheti meg az Egyesült Királyság kiegészítéseit.
e. Az Egyesült Királyság kiegészítése(i) és jelen Feltételek közötti bármilyen ütközés esetén az Egyesült Királyság kiegészítése(i) az irányadó(k).
5.4 A szerb ÁSZF-fel kapcsolatban:
a. Ha Szállító nem egy Megfelelő Országban rendelkezik székhellyel: (i) a Szállító ezennel a Kyndryllel a saját nevében, mint Adatfeldolgozó szerbiai ÁSZF-re vállal szerződéses kötelezettséget; és (ii) a Szállító a szerbiai ÁSZF 8. cikkével összhangban írásbeli megállapodásokat köt minden egyes jóváhagyott Alárendelt Adatfeldolgozóval, és kérésre a Kyndryl rendelkezésére bocsátja az ilyen megállapodások másolatát.
b. Ha a Szállító egy Megfelelő Országban rendelkezik székhellyel, a Szállító ezennel a nem Megfelelő Országban székhellyel rendelkező alfeldolgozók nevében a szerbiai ÁSZF-re vállal szerződéses kötelezettséget a Kyndryl felé. Ha a Szállító nem tudja ezt megtenni bármelyik ilyen Alárendelt Adatfeldolgozó esetében, akkor a Szállító a Kyndryl rendelkezésére bocsátja az adott Alárendelt Adatfeldolgozó által aláírt szerb ÁSZF-t a Kyndryl ellenjegyzése végett, mielőtt engedélyezné az Alárendelt Adatfeldolgozónak a Kyndryl Személyes Adatainak Feldolgozását.
c. A Kyndryl és a Beszállító közötti szerb ÁSZF vagy az Adatkezelő és a Adatfeldolgozó közötti szerb ÁSZF-ként, vagy az "adatkezelő" és az "alárendelt adatfeldolgozó" közötti írásbeli megállapodásként szolgálnak, ahogyan azt a tények megkövetelik. A szerb ÁSZF és jelen Feltételek közötti ütközés esetén a szerb ÁSZF az irányadó.
d. A Személyes Adatok nem Megfelelő Országba történő átvitelének szabályozása céljából a szerbiai ÁSZF 1–8. függelékeinek kitöltéséhez szükséges információk a jelen Feltételekben és a Tranzakciós Dokumentum mellékletében, vagy magában a Tranzakciós Dokumentumban találhatók.
5.5. A svájci kiegészítés(eke)t illetően:
Ha, és amennyiben a Kyndryl személyes adatainak átvitelére az 5.1. szakasz értelmében a svájci szövetségi adatvédelmi törvény („FADP") vonatkozik, akkor a jelen Feltételek 5.2. szakaszában elfogadott EU SCC-k vonatkoznak az átvitelre, a GDPR szabvány svájci személyes adatokra kapcsolódó alkalmazására vonatkozóan a következő módosításokkal:
A hivatkozások az Általános Adatvédelmi Rendeletre („GDPR") az FADP egyenértékű rendelkezéseire való hivatkozásként is értelmezendők,
a Svájci Szövetségi Adatvédelmi Információs Bizottság az illetékes felügyeleti hatóság a 13. pontnak és az I.C. mellékletnek megfelelően,melyek az EU SCC-kben találhatók
A svájci jog, mint irányadó jog, amennyiben az átvitelre kizárólag az FADP vonatkozik
Az EU SCC 18. cikkében szereplő „tagállam" kifejezés kiterjesztett jelentése Svájcot is tartalmazza abból a célból, hogy a svájci érintettek szokásos lakóhelyükön gyakorolhassák jogaikat.
A félreértések elkerülése végett: a fentiekben szereplőkben semminek sem az a célja, hogy bármilyen módon csökkentse az EU SCC által biztosított adatvédelem szintjét, hanem kizárólag az, hogy ezt a védelmi szintet kiterjessze a svájci érintettekre. Ha és amennyiben nem ez a helyzet, az EU SCC az irányadó.
6. Segítségnyújtás és nyilvántartások
6.1 Figyelembe véve az Adatkezelés jellegét, a Szállító megfelelő műszaki és szervezési intézkedésekkel segíti Kyndrylt az Érintettek kéréseivel és jogaival kapcsolatos kötelezettségek teljesítésében. A Szállító továbbá segíti a Kyndrylt az Adatkezelés biztonságával, a Biztonsági Előírások Megsértésével kapcsolatos értesítésekkel és kommunikációval, valamint az adatvédelmi hatásvizsgálatok elkészítésével kapcsolatos kötelezettségek teljesítésének biztosításában, beleértve a felelős szabályozó hatósággal való előzetes konzultációt, ha szükséges, figyelembe véve a Szállító rendelkezésére álló információkat.
6.2 A Szállító naprakész nyilvántartást köteles vezetni az egyes Alárendelt Adatfeldolgozók név- és kapcsolattartó adatairól, beleértve az egyes Alárendelt Adatfeldolgozók képviselőjének és adatvédelmi tisztviselőjének nevét. Kérésre a Szállító ezt a nyilvántartást olyan ütemezésben bocsátja a Kyndryl rendelkezésére, amely lehetővé teszi a Kyndryl számára, hogy időben válaszoljon az Ügyfél vagy más harmadik fél bármely kérésére.
---
VIII. szakasz, Műszaki és szervezési intézkedések, Általános biztonság
Ez a szakasz akkor alkalmazandó, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó terméket nyújt a Kyndrylnek, kivéve, ha a Szállító csak a Kyndryl BCI-hez fér hozzá az ilyen Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátása során (azaz a Szállító nem dolgoz fel semmilyen más Kyndryl-adatot, és nem fér hozzá semmilyen más Kyndryl-anyaghoz vagy Vállalati Rendszerhez), a Szállító egyetlen Szolgáltatása és Leszállítandó Terméke a Kyndryl számára Helyszíni Szoftver biztosítása, vagy a Szállító a VII. szakasszal összhangban, beleértve annak 1.7. szakaszát is, az összes Szolgáltatást és Leszállítandó Terméket személyzetnövelési modellben nyújtja.
A Szállító köteles betartani a jelen cikk követelményeit, és ezáltal védeni: (a) a Kyndryl-anyagokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, valamint véletlen vagy jogosulatlan hozzáférés ellen, (b) a Kyndryl-adatokat a jogellenes Adatfeldolgozási formáktól és (c) a Kyndryl-technológiát a jogellenes Kezelési formáktól. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.
1. Biztonsági szabályzatok
1.1 A Szállító köteles fenntartani és követni az informatikai biztonsági irányelveket és gyakorlatokat, amelyek szerves részét képezik a Szállító üzleti tevékenységének, kötelezőek a Szállító Személyzete számára, és összhangban kell lenniük az Iparági Legjobb Gyakorlatokkal.
1.2 A Szállító legalább évente felülvizsgálja az IT biztonsági irányelveket és gyakorlatát, és a Kyndryl-anyagok védelmében a Szállító által szükségesnek ítélt módon módosítja.
1.3 A Szállító fenntartja és betartja a standard, kötelező foglalkoztatási ellenőrzési követelményeket minden új alkalmazott felvétele esetén, és kiterjeszti ezeket a követelményeket a Szállító összes alkalmazottjára és a Szállító teljes tulajdonú leányvállalataira is. Ezek a követelmények magukban foglalják a helyi törvények által megengedett mértékben a büntetőjogi háttér ellenőrzését, a személyazonosság igazolását, valamint a Szállító által szükségesnek ítélt további ellenőrzéseket. Szükség esetén a Szállító időszakonként ismétli és újraérvényesíti ezeket a követelményeket.
1.4 A Szállító évente biztonsági és adatvédelmi oktatást nyújt alkalmazottainak, és minden ilyen alkalmazottjától megköveteli, hogy minden évben igazolja, hogy betartja a Szállító etikus üzleti magatartási, titoktartási és biztonsági szabályzatát, amint azt a Szállító magatartási szabályzata vagy hasonló dokumentumai tartalmazzák. Szállító további képzéseket képzést biztosít a szabályzatról és a folyamatokról a Szolgáltatások, a Leszállítandó Termékek vagy a Kyndryl-anyagok bármely összetevőjéhez adminisztratív hozzáféréssel rendelkező személyek számára, a szerepükre és a Szolgáltatások, a Leszállítandó Termékek és a Kyndryl-anyagok támogatására vonatkozó képzéssel, valamint az előírt megfelelés és tanúsítványok fenntartásához szükséges módon.
1.5 A Szállító biztonsági és adatvédelmi intézkedéseket tervez a Kyndryl-anyagok védelme és rendelkezésre állásának fenntartása érdekében, többek között olyan irányelvek és eljárások végrehajtása, karbantartása és betartása révén, amelyek a biztonságot és az adatvédelmet a tervezés, a biztonságos tervezés és a biztonságos üzemeltetés révén írják elő valamennyi Szolgáltatás és Leszállítandó Termék, valamint az összes Kyndryl-technológia Kezelése esetében.
2. Biztonsági váratlanesemények
2.1 Szállító köteles a számítógépes biztonsági váratlanesemény-válasz kezelésére vonatkozó, az Iparági Legjobb Gyakorlatokkal összhangban lévő, dokumentált váratlanesemény-kezelési irányelveket fenntartani és betartani.
2.2 A Szállító kivizsgálja a Kyndryl-anyagokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan felhasználását, és megfelelő választervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.
2.4 A Szállító a Kyndryl számára ésszerű támogatást biztosít a Kyndryl, leányvállalatai és Vevői (vevői és kapcsolt vállalkozásai) jogi kötelezettségeinek (beleértve a szabályozó hatóságok vagy az Érintettek értesítésére vonatkozó kötelezettségeket is) teljesítése érdekében a Biztonsági Előírások Megsértése esetén.
2.5 A Szállító nem tájékoztatja és nem értesíti a harmadik felet arról, hogy a Biztonsági Előírások Megsértése közvetlenül vagy közvetve a Kyndrylhez vagy a Kyndryl-anyagokhoz kapcsolódik, kivéve, ha a Kyndryl ezt írásban jóváhagyja, vagy ha azt törvény írja elő. Szállító írásban értesíti a Kyndrylt, mielőtt bármilyen, jogszabályban előírt értesítést továbbítana bármely harmadik félnek, amennyiben az értesítés közvetlenül vagy közvetve felfedné a Kyndryl személyazonosságát.
2.6 A biztonsági előírások megsértése esetén, amely abból ered, hogy a Szállító megszegi a jelen Feltételek szerinti bármely kötelezettségét:
(a) A Szállító felelős a nála felmerülő költségekért, valamint a Kyndrylnél ténylegesen felmerülő költségekért, amely az illetékes szabályozó hatóságok, más kormányzati és releváns iparági önszabályozó ügynökségek, a média (ha a vonatkozó jogszabályok előírják), az Érintettek, az Ügyfelek és mások Biztonsági Előírások Megsértéséről történő értesítése során merül fel,
b) amennyiben a Kyndryl kéri, a Szállító saját költségén létrehoz és fenntart egy telefonos ügyfélszolgálatot, amely a Érintetteknek a Biztonsági Előírások Megsértésével és annak következményeivel kapcsolatos kérdéseire válaszol, a Biztonsági Előírások Megsértésről való értesítés időpontjától számított 1 évig, vagy az alkalmazandó adatvédelmi jogszabályok által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet. A Kyndryl és a Szállító együttműködik a szövegkönyvek és egyéb anyagok elkészítésében, amelyeket a telefonos ügyfélszolgálat munkatársai a megkeresések megválaszolásakor használnak. Alternatív megoldásként, a Szállítónak küldött írásbeli értesítés alapján a Kyndryl létrehozhatja és fenntarthatja saját hívásközpontját, ahelyett, hogy a Szállító hozna létre egy hívásközpontot, és a Szállító megtéríti a Kyndrylnek az ilyen hívásközpont létrehozásával és fenntartásával kapcsolatban felmerülő tényleges költségeket, és
c) A Szállító megtéríti a Kyndrylnek a tényleges költségeket, amelyek a Kyndrylnél a hitelfelügyeleti és hitelvisszaállítási szolgáltatások nyújtása során felmerülnek, 1 évvel azt követően, hogy a megsértés által érintett, az ilyen szolgáltatásokra regisztrálni kívánó személyeket értesítették a Biztonsági Előírások Megsértéséről, vagy az alkalmazandó adatvédelmi törvények által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet.
3. Fizikai biztonság és beléptetés-ellenőrzés (az alábbiakban használt "létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér).
3.1 A Szállító köteles megfelelő fizikai beléptetési ellenőrzéseket fenntartani, például sorompókat, kártyával vezérelt belépési pontokat, felügyeleti kamerákat és személyzeti recepciós pultokat, hogy megelőzze az illetéktelen belépést a létesítményekbe.
3.2 A Szállító a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáféréshez - beleértve az ideiglenes hozzáférést is - felhatalmazott engedélyt igényel, és a hozzáférést munkakör és üzleti szükséglet szerint korlátozza. Ha a Szállító ideiglenes hozzáfréést biztosít, a Szállító jogosult alkalmazottja minden látogatót kísérni fog, amíg a Létesítményben és az ellenőrzött területeken tartózkodik.
3.3 A Szállító fizikai beléptetési ellenőrzéseket valósít meg, beleértve az Iparági Legjobb Gyakorlatokkal összhangban lévő többtényezős beléptetési ellenőrzéseket, hogy megfelelően korlátozza a Létesítményen belüli ellenőrzött területekre való belépést, naplózza az összes belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzi.
3.4 A Szállító visszavonja a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáférést, ha (a) a jogosult munkavállaló felmondott, vagy (b) a jogosult szállítói munkavállalónak már nincs érvényes üzleti igénye a hozzáféréshez. A Szállító követi a hivatalos, dokumentált szétválasztási eljárásokat, amelyek magukban foglalják a hozzáférés-felügyeleti listákról való azonnali törlést és a fizikai hozzáférésre feljogosító igazolványok leadását.
3.5 A Szállító óvintézkedéseket tesz a Szolgáltatások és a Leszállítandó termékek támogatására és a Kyndryl-technológia Kezelésére használt fizikai infrastruktúra védelme érdekében a természetben előforduló és az ember által okozott környezeti veszélyekkel szemben, mint például a túlzott környezeti hőmérséklet, tűz, árvíz, páratartalom, lopás és vandalizmus.
4. Hozzáférés, beavatkozás, átvitel és szétválasztásszabályozás
4.1 A Szállító dokumentált biztonsági hálózatfelépítést tart fenn, amely a Szolgáltatások általa történő üzemeltetését, a Leszállítandó Termékek rendelkezésre bocsátását és a hozzá tartozó Kyndryl-technológiát kezeli. A Szállító külön felülvizsgálja az ilyen hálózatfelépítéseket, és intézkedéseket foganatosít a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz való jogosulatlan hálózati kapcsolatok megakadályozására, a biztonságos felosztás, az elkülönítés és a többszintű védelem szabványainak való megfelelés érdekében. A Szállító nem használhat vezeték nélküli technológiát a kihelyezett Szolgáltatások kihelyezése és üzemeltetése során; egyébként a Szállító használhat vezeték nélküli hálózati technológiát a Szolgáltatások és az Leszállítandó termékek kézbesítése és a Kyndryl-technológia Kezelése során, de a Szállító titkosítja és biztonságos hitelesítést ír elő az ilyen vezeték nélküli hálózatokhoz.
4.2 A Szállító olyan intézkedéseket tart fenn, amelyeket arra terveztek, hogy logikailag elkülönítsék és megakadályozzák, hogy a Kyndryl-anyagok illetéktelen személyek számára elérhetővé váljanak. Továbbá a Szállító fenntartja az éles, nem üzemi és egyéb környezetek megfelelő elkülönítését, és ha a Kyndryl-anyagok már jelen vannak egy nem üzemi környezetben, vagy átvitték azokat egy nem üzemi környezetbe (például egy hiba sokszorosítása érdekében), akkor a Szállító biztosítja, hogy a nem üzemi környezetben a biztonsági és adatvédelmi védelem megegyezik az éles környezetével védelmével.
4.3 Szállító titkosítja a Kyndryl-anyagokat szállítás közben és nyugalmi állapotban (kivéve, ha a Szállító a Kyndryl ésszerű megelégedésére bizonyítja, hogy a Kyndryl-anyagok nyugalmi állapotban történő titkosítása műszakilag kivitelezhetetlen). A Szállító továbbá titkosít minden fizikai adathordozót, ha van ilyen, például a biztonsági másolat fájljait tartalmazó adathordozót. A Szállító dokumentált eljárásokat tart fenn az adatok titkosításához kapcsolódó biztonságos kulcs előállítására, kiadására, terjesztésére, tárolására, forgatására, visszavonására, helyreállítására, biztonsági mentésére, megsemmisítésére, hozzáférésére és használatára vonatkozóan. A Szállító biztosítja, hogy az ilyen titkosításhoz használt sajátos rejtjelezett módszerek összhangban legyenek az Iparági Legjobb Gyakorlatokkal (például a NIST SP 800-131a).
4.4 Ha a Szállítónak hozzáférésre van szüksége a Kyndryl-anyagokhoz, a Szállító az ilyen hozzáférést a Szolgáltatások és a Leszállítandó Termékek nyújtásához és támogatásához szükséges legalacsonyabb szintre korlátozza. A Szállító megköveteli, hogy az ilyen hozzáférés, beleértve a mögöttes összetevőkhöz való adminisztratív hozzáférést (azaz a kiváltságos hozzáférést), egyéni, szerepkör alapú legyen, és a Szállító jogosult alkalmazottai által a kötelezettségelkülönítés elveit követve jóváhagyásra és rendszeres érvényesítésre szoruljon. A Szállító intézkedéseket tesz a felesleges és inaktív fiókok azonosítására és eltávolítására. A Szállító továbbá a kiváltságos hozzáféréssel rendelkező fiókokat visszavonja huszonnégy (24) órával a fiók tulajdonosa munkaviszonyának megszűnését vagy a Kyndryl vagy a Szállító bármely felhatalmazott alkalmazottjának, például a fiók tulajdonosának vezetőjének kérését követően.
4.5 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító műszaki intézkedéseket tart fenn az inaktív munkamenetek időtúllépésének kikényszerítésére, a fiókok többszöri egymást követő sikertelen bejelentkezési kísérlet utáni kizárására, erős jelszóval vagy jelmondattal történő hitelesítésre, valamint az ilyen jelszavak és jelmondatok biztonságos átvitelét és tárolását megkövetelő intézkedésekre. Ezenkívül a Szállító többtényezős hitelesítést alkalmaz az összes nem konzolalapú, bármely Kyndryl-anyaghoz való kiváltságos hozzáféréshez.
4.6 A Szállító figyelemmel kíséri a kiváltságos hozzáférések használatát, és olyan biztonsági információkat és eseménykezelési intézkedéseket tart fenn, amelyek célja: (a) a jogosulatlan hozzáférés és tevékenység azonosítása, b) az ilyen hozzáférésre és tevékenységre adott időben történő és megfelelő válaszadás megkönnyítése, és c) a Szállító, a Kyndryl (a jelen Feltételekben foglalt igazolási jogai és a Tranzakciós Dokumentumban vagy a kapcsolódó alapmegállapodásban vagy a felek közötti egyéb kapcsolódó megállapodásban foglalt ellenőrzési jogok alapján) és mások által végzett ellenőrzések lehetővé tétele a dokumentált Szállítói irányelveknek való megfelelés tekintetében.
4.7 A Szállító megőrzi azokat a naplókat, amelyekben az Iparági Legjobb Gyakorlatoknak megfelelően rögzít minden olyan adminisztrációs, felhasználói vagy egyéb hozzáférést vagy tevékenységet, amelyet a Szolgáltatások vagy a Leszállítandó Termékek rendelkezésre bocsátása és a Kyndryl-technológia Kezelése során használt rendszerekhez vagy azokkal kapcsolatban végez (és ezeket a naplókat kérésre a Kyndryl rendelkezésére bocsátja). A Szállító olyan intézkedéseket foganatosít, amelyek célja az ilyen naplókhoz való jogosulatlan hozzáférés, vagy azok módosítása, valamint véletlen vagy szándékos megsemmisítése elleni védelem.
4.8 A Szállító számítástechnikai védelmet tart fenn a tulajdonában lévő vagy általa kezelt rendszerek számára, beleértve a végfelhasználói rendszereket is, és amelyeket a Szolgáltatások vagy a Leszállítandó Termékek nyújtása vagy a Kyndryl-technológia kezelése során használ, az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljeslemez-titkosítás, aláírás és nem aláírás alapú végponti észlelési és válaszadási technológiák a rosszindulatú programok és a fejlett, tartós fenyegetések kezelésére, időalapú képernyőzár, valamint végpontkezelési megoldások, amelyek érvényesítik a biztonsági konfigurációs és javítási követelményeket. Ezen túlmenően a Szállító olyan műszaki és működési ellenőrzéseket hajt végre, amelyek biztosítják, hogy csak ismert és megbízható végfelhasználói rendszerek használhassák a Szállító hálózatait.
4.9 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító védelmet tart fenn az olyan adatközponti környezetek számára, ahol Kyndryl-anyagok vannak jelen vagy kerülnek feldolgozásra, beleértve a behatolásészlelést és -megelőzést, valamint a szolgáltatásmegtagadási támadások ellenintézkedéseit és mérséklését.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Szállító: (a) legalább évente biztonsági és adatvédelmi kockázatértékelést végez, (b) biztonsági vizsgálatot hajt végre és kiértékeli a sebezhetőségeket, beleértve az automatizált rendszer- és alkalmazásbiztonsági vizsgálatot és a kézi, erkölcsös számítástechnikai betörést, a termelés megkezdése előtt és azt követően évente a Szolgáltatások és a Leszállítandó Termékek tekintetében, valamint évente a Kyndryl-technológia kezelése tekintetében, (c) legalább évente egy független, minősített harmadik felet von be az Iparági Legjobb Gyakorlatoknak megfelelő behatolásvizsgálat elvégzésére, az ilyen vizsgálat magában foglalja mind az automatizált, mind a kézi vizsgálatot, d) a biztonsági konfigurációs követelményeknek való megfelelés automatizált kezelését és rutinszerű ellenőrzését a Szolgáltatások és a Leszállítandó Termékek minden egyes összetevője, valamint a Kyndryl-technológia Kezelése tekintetében, és e) a biztonsági konfigurációs követelményeknek való megfeleléssel kapcsolatos kockázat, kihasználhatóság és hatás alapján orvosolja az azonosított sebezhetőségeket vagy a biztonsági konfigurációs követelményeknek való meg nem felelést. A Szállító ésszerű lépéseket tesz annak érdekében, hogy elkerülje a Szolgáltatások fennakadását a vizsgálatok, kiértékelések, átvizsgálások és a helyreállítási tevékenységek végrehajtása során. A Kyndryl kérésére a Szállító a Kyndryl rendelkezésére bocsátja a Szállító legutóbbi behatolásvizsgálati tevékenységének írásos összefoglalóját, amely jelentés legalább a vizsgálat által érintett ajánlatok nevét, a vizsgálat hatálya alá tartozó rendszerek vagy alkalmazások számát, a vizsgálat időpontját, a vizsgálat során alkalmazott módszertant és a megállapítások részletes összefoglalóját tartalmazza.
5.2 A Szállító olyan irányelveket és eljárásokat tart fenn, amelyek célja a Szolgáltatásokban vagy a Leszállítandó Termékekben, illetve a Kyndryl-technológia kezelésében bekövetkező változásokkal kapcsolatos kockázatok Kezelése. Az ilyen változtatás végrehajtása előtt, beleértve az érintett rendszereket, hálózatokat és a mögöttes összetevőket is, a Szállító egy regisztrált módosításkérelemben dokumentálja: (a) a változtatás leírását és okát, (b) a végrehajtás részleteit és ütemezését, (c) egy kockázati nyilatkozatot a Szolgáltatásokra és a Leszállítandó Termékekre, a Szolgáltatások vevőire vagy a Kyndryl-anyagokra gyakorolt hatásról, (d) a várható eredményt, (e) a visszaléptetési tervet, és (f) a Szállító jogosult alkalmazottai általi jóváhagyást.
5.3 A Szállító köteles leltárt vezetni a Szolgáltatások üzemeltetéséhez, a Leszállítandó Termékek rendelkezésre bocsátásához és a Kyndryl-technológia Kezeléséhez használt összes IT eszközről. A Szállító folyamatosan figyelemmel kíséri és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia állapotát (beleértve a kapacitást is) és rendelkezésre állását, beleértve az ilyen eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia mögöttes összetevőit is.
5.4 A Szállító minden olyan rendszert, amelyet a Szolgáltatások és a Leszállítandó Termékek fejlesztése vagy üzemeltetése során, valamint a Kyndryl-technológia Kezelése során használ, előre megadott rendszerbiztonsági képek vagy biztonsági alapvonalak alapján állít össze, amelyek megfelelnek az Iparági Legjobb Gyakorlatoknak, például a "Center for Internet Security" (CIS) viszonyítási alapnak.
5.5 A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós Dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az üzletmenet-folytonosság tekintetében a Szállító minden egyes Szolgáltatást és Leszállítandó terméket, valamint a Kyndryl-technológia Kezelésében használt minden egyes IT rendszert külön értékel az üzletmenet és az IT-folytonosság, valamint a katasztrófa utáni helyreállítás követelményei szempontjából a dokumentált kockázatkezelési irányelvek szerint. A Szállító biztosítja, hogy minden ilyen szolgáltatás, Leszállítandó Termék és IT rendszer - a kockázatfelmérés által indokolt mértékben - külön meghatározott, dokumentált, karbantartott és évente érvényesített üzleti és informatikai folytonossági és katasztrófa utáni helyreállítási tervekkel rendelkezik, amelyek összhangban vannak az Iparági Legjobb Gyakorlatokkal. A Szállító biztosítja, hogy ezeket a terveket úgy tervezik meg, hogy az alábbi 5.6. szakaszban meghatározott kokrét helyreállítási idők teljesüljenek.
5.6 A konkrét helyreállításipont-célkitűzések ("RPO") és helyreállítási időcélok ("RTO") bármely Kihelyezett Szolgáltatás tekintetében a következők: 24 óra RPO és 24 óra RTO, mindazonáltal a Szállító köteles betartani minden olyan rövidebb időtartamú RPO-t vagy RTO-t, amelyet a Kyndryl a Vevőn felé vállalt, valamint haladéktalanul, miután a Kyndryl írásban értesítette a Szállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (egy e-mail is írásos értesítésnek minősül). A Szállító által a Kyndryl számára nyújtott minden egyéb Szolgáltatás tekintetében a Szállító biztosítja, hogy az üzletmenet-folytonossági és a katasztrófa utáni helyreállítási terveit úgy alakítsák ki, hogy azok olyan RPO és RTO értékeket biztosítsanak, amelyek lehetővé teszik a Szállító számára, hogy továbbra is megfeleljen a Kyndryl felé a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban, valamint a jelen Feltételekben foglalt valamennyi kötelezettségének, beleértve a vizsgálat, a támogatás és a karbantartás időben történő biztosítására vonatkozó kötelezettségeit.
5.7 A Szállító olyan intézkedéseket tart fenn, amelyek célja a biztonsági tanácsadói javítások értékelése, tesztelése és alkalmazása a Szolgáltatások és az Átadandó termékek, valamint a kapcsolódó rendszerek, hálózatok, alkalmazások és a mögöttes összetevők, valamint a Kyndryl technológia kezeléséhez használt rendszerek, hálózatok, alkalmazások és mögöttes komponensek értékelésére, tesztelésére és alkalmazására az említett Szolgáltatások és Átadandó termékek hatókörén belül. Annak megállapításakor, hogy egy biztonsági tanácsadói javítás alkalmazható és megfelelő, a Szállító a dokumentált súlyossági és kockázatfelmérési irányelvek szerint megvalósítja a javítást. A biztonsági tanácsadói javítások Szállító általi bevezetésére a Szállító változáskezelési irányelve vonatkozik.
5.8 Ha a Kyndrylnek ésszerű oka van feltételezni, hogy a Szállító által a Kyndryl számára biztosított hardver vagy szoftver betolakodó elemeket, például kémprogramot, rosszindulatú programot vagy rosszindulatú kódot tartalmazhat, akkor a Szállító időben együttműködik a Kyndryllel a Kyndryl aggályainak kivizsgálásában és orvoslásában.
6. Szolgáltatáslétesítés
6.1 A Szállító támogatja a Kyndryl-felhasználói vagy vevőfiókok egyesített hitelesítésének iparágban elterjedt módszereit, és a Szállító követi az Iparági Legjobb Gyakorlatokat az ilyen Kyndryl-felhasználói vagy vevőfiókok hitelesítése során (például a Kyndryl által központilag kezelt többtényezős egypontos bejelentkezéssel, OpenID Connect vagy biztonságellenőrzési jelölőnyelv használatával).
7. Alvállalkozók. A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az alvállalkozók megőrzése tekintetében a Szállító biztosítja, hogy a Szállító számára munkát végző alvállalkozó olyan irányítási ellenőrzéseket vezessen be, amelyek megfelelnek a jelen Feltételek által a Szállítóra rótt követelményeknek és kötelezettségeknek.
8. Fizikai adathordozók. A Szállító az újrafelhasználásra szánt fizikai adathordozókat az újrafelhasználás előtt biztonságosan normalizálja, és az újrafelhasználásra nem szánt fizikai adathordozókat az adathordozók normalizálására vonatkozó Iparági Legjobb Gyakorlatoknak megfelelően megsemmisíti.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
-
Ha igen, akkor a II. szakasz (Műszaki és szervezeti intézkedések, Adatbiztonság), a VIII. szakasz (Műszaki és szervezeti intézkedések, Általános biztonság) és a X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó az ilyen hozzáférés kapcsán.
Példák:
A Szállító tárolja, továbbítja, hozzáféréssel rendelkezik vagy más módon dolgozza fel azokat a nem személyes adatokat, amelyeket a Kyndryl vagy a Vevők a Szállítónak adnak át.
II. szakasz, Műszaki és szervezési intézkedések, Adatbiztonság
Ez a szakasz akkor alkalmazandó, ha Szállító a Kyndryl BCI-től eltérő Kyndryl-adatokat dolgoz fel. A Szállító valamennyi Szolgáltatás és Leszállítandó Termék nyújtása során betartja a jelen szakasz követelményeit, és ezáltal védi a Kyndryl-adatokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, véletlen vagy jogosulatlan hozzáférés és bármely jogellenes Adatkezelés ellen. A követelmények Szakasz kiterjed minden olyan IT-alkalmazásra, platformra és infrastruktúrára, amelyet Szállító üzemeltet, vagy kezel a Leszállítandó Termékek és Szolgáltatások nyújtása során, beleértve az összes fejlesztési, vizsgálati, kihelyezési, támogatási, üzemeltetési és adatközpont-környezetet.
1. Adathasználat
1.1 A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem egészítheti ki a Kyndryl-adatokat, illetve nem foglalhat bele a Kyndryl-adatokba semmilyen más információt vagy adatot, beleértve a Személyes Adatokat, és a Szállító nem használhatja a Kyndryl-adatokat semmilyen formában, összesítve vagy más módon, a Szolgáltatások és a Leszállítandók rendelkezésre bocsátásán kívüli más célra (például nem használhatja fel újra a Kyndryl-adatokat a Szállító ajánlatainak hatékonyságának vagy javítási módjainak értékelésére, új ajánlatok létrehozására irányuló kutatás és fejlesztés céljából, vagy a Szállító ajánlataira vonatkozó jelentések készítésére). Hacsak a Tranzakciós Dokumentum kifejezetten nem engedélyezi, a Szállító számára tilos a Kyndryl-adatok Értékesítése.
1.2 A Szállító nem ágyazhat be semmilyen webes nyomkövetési technológiát a Leszállítandó Termékekbe vagy a Szolgáltatások részeként (az ilyen technológiák magukban foglalják a HTML5-t, a helyi tárolást, a harmadik fél címkéit vagy a kulcsszavakat és webjelzőket), kivéve, ha a Tranzakciós Dokumentum ezt kifejezetten engedélyezi.
2. Harmadik felek kérései és titoktartás
2.1 A Szállító nem közli a Kyndryl-adatokat harmadik fél részére, kivéve, ha a Kyndryl erre előzetesen írásban feljogosította. Ha egy kormányzat, beleértve bármely szabályozó hatóságot is, hozzáférést kér a Kyndryl-adatokhoz (például ha az Egyesült Államok kormánya nemzetbiztonsági utasítást ad ki a Szállítónak a Kyndryl-adatok megszerzésére), vagy ha a Kyndryl-adatok közlését egyébként törvény írja elő, a Szállító írásban értesíti a Kyndrylt az ilyen követelésről vagy követelményről, és méltányos lehetőséget biztosít a Kyndrylnek a közlés megtámadására (amennyiben a törvény tiltja az értesítést, a Szállító megteszi azokat a lépéseket, amelyeket ésszerűen megfelelőnek tart a tiltás és a Kyndryl-adatok közlésének bírósági úton vagy más módon történő megtámadására).
2.2 A Szállító biztosítja a Kyndrylt arról, hogy: (a) csak azok az alkalmazottak rendelkeznek ilyen hozzáféréssel, akik esetében szükséges a Szolgáltatások vagy a Leszállítandó termékek rendelkezésre bocsátása érdekében, és kizárólag az adott Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátásához szükséges mértékig; és (b) a Szállító munkavállalóit olyan titoktartási kötelezettség terheli, amelyek kikötik, hogy kizárólag a jelen a Feltételekben engedélyezett mértékig használhatják és közölhetik a Kyndryl-adatokat.
3. A Kyndryl adatok visszatérítése vagy törlése
3.1 A Szállító a Kyndryl választása szerint törli vagy visszatéríti a Kyndryl-adatokat a Kyndryl részére a Tranzakciós Dokumentum megszűnésekor vagy lejártakor, vagy a Kyndryl kérésére ezeknél korábban. Ha Kyndryl törlést igényel, a Szállító az Ipari Legjobb Gyakorlatok szerint olvashatatlanná, összeállíthatatlanná vagy rekonstruálhatatlanná teszi, és tanúsítja a törlés tényét a Kyndryl felé. Ha Kyndryl a Kyndryl-adatok visszatérítését igényli, a Szállító ezt a Kyndryl ésszerű ütemezése és írásos utasítása szerint teszi meg.
---
VIII. szakasz, Műszaki és szervezési intézkedések, Általános biztonság
Ez a szakasz akkor alkalmazandó, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó terméket nyújt a Kyndrylnek, kivéve, ha a Szállító csak a Kyndryl BCI-hez fér hozzá az ilyen Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátása során (azaz a Szállító nem dolgoz fel semmilyen más Kyndryl-adatot, és nem fér hozzá semmilyen más Kyndryl-anyaghoz vagy Vállalati Rendszerhez), a Szállító egyetlen Szolgáltatása és Leszállítandó Terméke a Kyndryl számára Helyszíni Szoftver biztosítása, vagy a Szállító a VII. szakasszal összhangban, beleértve annak 1.7. szakaszát is, az összes Szolgáltatást és Leszállítandó Terméket személyzetnövelési modellben nyújtja.
A Szállító köteles betartani a jelen cikk követelményeit, és ezáltal védeni: (a) a Kyndryl-anyagokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, valamint véletlen vagy jogosulatlan hozzáférés ellen, (b) a Kyndryl-adatokat a jogellenes Adatfeldolgozási formáktól és (c) a Kyndryl-technológiát a jogellenes Kezelési formáktól. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.
1. Biztonsági szabályzatok
1.1 A Szállító köteles fenntartani és követni az informatikai biztonsági irányelveket és gyakorlatokat, amelyek szerves részét képezik a Szállító üzleti tevékenységének, kötelezőek a Szállító Személyzete számára, és összhangban kell lenniük az Iparági Legjobb Gyakorlatokkal.
1.2 A Szállító legalább évente felülvizsgálja az IT biztonsági irányelveket és gyakorlatát, és a Kyndryl-anyagok védelmében a Szállító által szükségesnek ítélt módon módosítja.
1.3 A Szállító fenntartja és betartja a standard, kötelező foglalkoztatási ellenőrzési követelményeket minden új alkalmazott felvétele esetén, és kiterjeszti ezeket a követelményeket a Szállító összes alkalmazottjára és a Szállító teljes tulajdonú leányvállalataira is. Ezek a követelmények magukban foglalják a helyi törvények által megengedett mértékben a büntetőjogi háttér ellenőrzését, a személyazonosság igazolását, valamint a Szállító által szükségesnek ítélt további ellenőrzéseket. Szükség esetén a Szállító időszakonként ismétli és újraérvényesíti ezeket a követelményeket.
1.4 A Szállító évente biztonsági és adatvédelmi oktatást nyújt alkalmazottainak, és minden ilyen alkalmazottjától megköveteli, hogy minden évben igazolja, hogy betartja a Szállító etikus üzleti magatartási, titoktartási és biztonsági szabályzatát, amint azt a Szállító magatartási szabályzata vagy hasonló dokumentumai tartalmazzák. Szállító további képzéseket képzést biztosít a szabályzatról és a folyamatokról a Szolgáltatások, a Leszállítandó Termékek vagy a Kyndryl-anyagok bármely összetevőjéhez adminisztratív hozzáféréssel rendelkező személyek számára, a szerepükre és a Szolgáltatások, a Leszállítandó Termékek és a Kyndryl-anyagok támogatására vonatkozó képzéssel, valamint az előírt megfelelés és tanúsítványok fenntartásához szükséges módon.
1.5 A Szállító biztonsági és adatvédelmi intézkedéseket tervez a Kyndryl-anyagok védelme és rendelkezésre állásának fenntartása érdekében, többek között olyan irányelvek és eljárások végrehajtása, karbantartása és betartása révén, amelyek a biztonságot és az adatvédelmet a tervezés, a biztonságos tervezés és a biztonságos üzemeltetés révén írják elő valamennyi Szolgáltatás és Leszállítandó Termék, valamint az összes Kyndryl-technológia Kezelése esetében.
2. Biztonsági váratlanesemények
2.1 Szállító köteles a számítógépes biztonsági váratlanesemény-válasz kezelésére vonatkozó, az Iparági Legjobb Gyakorlatokkal összhangban lévő, dokumentált váratlanesemény-kezelési irányelveket fenntartani és betartani.
2.2 A Szállító kivizsgálja a Kyndryl-anyagokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan felhasználását, és megfelelő választervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.
2.4 A Szállító a Kyndryl számára ésszerű támogatást biztosít a Kyndryl, leányvállalatai és Vevői (vevői és kapcsolt vállalkozásai) jogi kötelezettségeinek (beleértve a szabályozó hatóságok vagy az Érintettek értesítésére vonatkozó kötelezettségeket is) teljesítése érdekében a Biztonsági Előírások Megsértése esetén.
2.5 A Szállító nem tájékoztatja és nem értesíti a harmadik felet arról, hogy a Biztonsági Előírások Megsértése közvetlenül vagy közvetve a Kyndrylhez vagy a Kyndryl-anyagokhoz kapcsolódik, kivéve, ha a Kyndryl ezt írásban jóváhagyja, vagy ha azt törvény írja elő. Szállító írásban értesíti a Kyndrylt, mielőtt bármilyen, jogszabályban előírt értesítést továbbítana bármely harmadik félnek, amennyiben az értesítés közvetlenül vagy közvetve felfedné a Kyndryl személyazonosságát.
2.6 A biztonsági előírások megsértése esetén, amely abból ered, hogy a Szállító megszegi a jelen Feltételek szerinti bármely kötelezettségét:
(a) A Szállító felelős a nála felmerülő költségekért, valamint a Kyndrylnél ténylegesen felmerülő költségekért, amely az illetékes szabályozó hatóságok, más kormányzati és releváns iparági önszabályozó ügynökségek, a média (ha a vonatkozó jogszabályok előírják), az Érintettek, az Ügyfelek és mások Biztonsági Előírások Megsértéséről történő értesítése során merül fel,
b) amennyiben a Kyndryl kéri, a Szállító saját költségén létrehoz és fenntart egy telefonos ügyfélszolgálatot, amely a Érintetteknek a Biztonsági Előírások Megsértésével és annak következményeivel kapcsolatos kérdéseire válaszol, a Biztonsági Előírások Megsértésről való értesítés időpontjától számított 1 évig, vagy az alkalmazandó adatvédelmi jogszabályok által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet. A Kyndryl és a Szállító együttműködik a szövegkönyvek és egyéb anyagok elkészítésében, amelyeket a telefonos ügyfélszolgálat munkatársai a megkeresések megválaszolásakor használnak. Alternatív megoldásként, a Szállítónak küldött írásbeli értesítés alapján a Kyndryl létrehozhatja és fenntarthatja saját hívásközpontját, ahelyett, hogy a Szállító hozna létre egy hívásközpontot, és a Szállító megtéríti a Kyndrylnek az ilyen hívásközpont létrehozásával és fenntartásával kapcsolatban felmerülő tényleges költségeket, és
c) A Szállító megtéríti a Kyndrylnek a tényleges költségeket, amelyek a Kyndrylnél a hitelfelügyeleti és hitelvisszaállítási szolgáltatások nyújtása során felmerülnek, 1 évvel azt követően, hogy a megsértés által érintett, az ilyen szolgáltatásokra regisztrálni kívánó személyeket értesítették a Biztonsági Előírások Megsértéséről, vagy az alkalmazandó adatvédelmi törvények által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet.
3. Fizikai biztonság és beléptetés-ellenőrzés (az alábbiakban használt "létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér).
3.1 A Szállító köteles megfelelő fizikai beléptetési ellenőrzéseket fenntartani, például sorompókat, kártyával vezérelt belépési pontokat, felügyeleti kamerákat és személyzeti recepciós pultokat, hogy megelőzze az illetéktelen belépést a létesítményekbe.
3.2 A Szállító a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáféréshez - beleértve az ideiglenes hozzáférést is - felhatalmazott engedélyt igényel, és a hozzáférést munkakör és üzleti szükséglet szerint korlátozza. Ha a Szállító ideiglenes hozzáfréést biztosít, a Szállító jogosult alkalmazottja minden látogatót kísérni fog, amíg a Létesítményben és az ellenőrzött területeken tartózkodik.
3.3 A Szállító fizikai beléptetési ellenőrzéseket valósít meg, beleértve az Iparági Legjobb Gyakorlatokkal összhangban lévő többtényezős beléptetési ellenőrzéseket, hogy megfelelően korlátozza a Létesítményen belüli ellenőrzött területekre való belépést, naplózza az összes belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzi.
3.4 A Szállító visszavonja a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáférést, ha (a) a jogosult munkavállaló felmondott, vagy (b) a jogosult szállítói munkavállalónak már nincs érvényes üzleti igénye a hozzáféréshez. A Szállító követi a hivatalos, dokumentált szétválasztási eljárásokat, amelyek magukban foglalják a hozzáférés-felügyeleti listákról való azonnali törlést és a fizikai hozzáférésre feljogosító igazolványok leadását.
3.5 A Szállító óvintézkedéseket tesz a Szolgáltatások és a Leszállítandó termékek támogatására és a Kyndryl-technológia Kezelésére használt fizikai infrastruktúra védelme érdekében a természetben előforduló és az ember által okozott környezeti veszélyekkel szemben, mint például a túlzott környezeti hőmérséklet, tűz, árvíz, páratartalom, lopás és vandalizmus.
4. Hozzáférés, beavatkozás, átvitel és szétválasztásszabályozás
4.1 A Szállító dokumentált biztonsági hálózatfelépítést tart fenn, amely a Szolgáltatások általa történő üzemeltetését, a Leszállítandó Termékek rendelkezésre bocsátását és a hozzá tartozó Kyndryl-technológiát kezeli. A Szállító külön felülvizsgálja az ilyen hálózatfelépítéseket, és intézkedéseket foganatosít a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz való jogosulatlan hálózati kapcsolatok megakadályozására, a biztonságos felosztás, az elkülönítés és a többszintű védelem szabványainak való megfelelés érdekében. A Szállító nem használhat vezeték nélküli technológiát a kihelyezett Szolgáltatások kihelyezése és üzemeltetése során; egyébként a Szállító használhat vezeték nélküli hálózati technológiát a Szolgáltatások és az Leszállítandó termékek kézbesítése és a Kyndryl-technológia Kezelése során, de a Szállító titkosítja és biztonságos hitelesítést ír elő az ilyen vezeték nélküli hálózatokhoz.
4.2 A Szállító olyan intézkedéseket tart fenn, amelyeket arra terveztek, hogy logikailag elkülönítsék és megakadályozzák, hogy a Kyndryl-anyagok illetéktelen személyek számára elérhetővé váljanak. Továbbá a Szállító fenntartja az éles, nem üzemi és egyéb környezetek megfelelő elkülönítését, és ha a Kyndryl-anyagok már jelen vannak egy nem üzemi környezetben, vagy átvitték azokat egy nem üzemi környezetbe (például egy hiba sokszorosítása érdekében), akkor a Szállító biztosítja, hogy a nem üzemi környezetben a biztonsági és adatvédelmi védelem megegyezik az éles környezetével védelmével.
4.3 Szállító titkosítja a Kyndryl-anyagokat szállítás közben és nyugalmi állapotban (kivéve, ha a Szállító a Kyndryl ésszerű megelégedésére bizonyítja, hogy a Kyndryl-anyagok nyugalmi állapotban történő titkosítása műszakilag kivitelezhetetlen). A Szállító továbbá titkosít minden fizikai adathordozót, ha van ilyen, például a biztonsági másolat fájljait tartalmazó adathordozót. A Szállító dokumentált eljárásokat tart fenn az adatok titkosításához kapcsolódó biztonságos kulcs előállítására, kiadására, terjesztésére, tárolására, forgatására, visszavonására, helyreállítására, biztonsági mentésére, megsemmisítésére, hozzáférésére és használatára vonatkozóan. A Szállító biztosítja, hogy az ilyen titkosításhoz használt sajátos rejtjelezett módszerek összhangban legyenek az Iparági Legjobb Gyakorlatokkal (például a NIST SP 800-131a).
4.4 Ha a Szállítónak hozzáférésre van szüksége a Kyndryl-anyagokhoz, a Szállító az ilyen hozzáférést a Szolgáltatások és a Leszállítandó Termékek nyújtásához és támogatásához szükséges legalacsonyabb szintre korlátozza. A Szállító megköveteli, hogy az ilyen hozzáférés, beleértve a mögöttes összetevőkhöz való adminisztratív hozzáférést (azaz a kiváltságos hozzáférést), egyéni, szerepkör alapú legyen, és a Szállító jogosult alkalmazottai által a kötelezettségelkülönítés elveit követve jóváhagyásra és rendszeres érvényesítésre szoruljon. A Szállító intézkedéseket tesz a felesleges és inaktív fiókok azonosítására és eltávolítására. A Szállító továbbá a kiváltságos hozzáféréssel rendelkező fiókokat visszavonja huszonnégy (24) órával a fiók tulajdonosa munkaviszonyának megszűnését vagy a Kyndryl vagy a Szállító bármely felhatalmazott alkalmazottjának, például a fiók tulajdonosának vezetőjének kérését követően.
4.5 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító műszaki intézkedéseket tart fenn az inaktív munkamenetek időtúllépésének kikényszerítésére, a fiókok többszöri egymást követő sikertelen bejelentkezési kísérlet utáni kizárására, erős jelszóval vagy jelmondattal történő hitelesítésre, valamint az ilyen jelszavak és jelmondatok biztonságos átvitelét és tárolását megkövetelő intézkedésekre. Ezenkívül a Szállító többtényezős hitelesítést alkalmaz az összes nem konzolalapú, bármely Kyndryl-anyaghoz való kiváltságos hozzáféréshez.
4.6 A Szállító figyelemmel kíséri a kiváltságos hozzáférések használatát, és olyan biztonsági információkat és eseménykezelési intézkedéseket tart fenn, amelyek célja: (a) a jogosulatlan hozzáférés és tevékenység azonosítása, b) az ilyen hozzáférésre és tevékenységre adott időben történő és megfelelő válaszadás megkönnyítése, és c) a Szállító, a Kyndryl (a jelen Feltételekben foglalt igazolási jogai és a Tranzakciós Dokumentumban vagy a kapcsolódó alapmegállapodásban vagy a felek közötti egyéb kapcsolódó megállapodásban foglalt ellenőrzési jogok alapján) és mások által végzett ellenőrzések lehetővé tétele a dokumentált Szállítói irányelveknek való megfelelés tekintetében.
4.7 A Szállító megőrzi azokat a naplókat, amelyekben az Iparági Legjobb Gyakorlatoknak megfelelően rögzít minden olyan adminisztrációs, felhasználói vagy egyéb hozzáférést vagy tevékenységet, amelyet a Szolgáltatások vagy a Leszállítandó Termékek rendelkezésre bocsátása és a Kyndryl-technológia Kezelése során használt rendszerekhez vagy azokkal kapcsolatban végez (és ezeket a naplókat kérésre a Kyndryl rendelkezésére bocsátja). A Szállító olyan intézkedéseket foganatosít, amelyek célja az ilyen naplókhoz való jogosulatlan hozzáférés, vagy azok módosítása, valamint véletlen vagy szándékos megsemmisítése elleni védelem.
4.8 A Szállító számítástechnikai védelmet tart fenn a tulajdonában lévő vagy általa kezelt rendszerek számára, beleértve a végfelhasználói rendszereket is, és amelyeket a Szolgáltatások vagy a Leszállítandó Termékek nyújtása vagy a Kyndryl-technológia kezelése során használ, az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljeslemez-titkosítás, aláírás és nem aláírás alapú végponti észlelési és válaszadási technológiák a rosszindulatú programok és a fejlett, tartós fenyegetések kezelésére, időalapú képernyőzár, valamint végpontkezelési megoldások, amelyek érvényesítik a biztonsági konfigurációs és javítási követelményeket. Ezen túlmenően a Szállító olyan műszaki és működési ellenőrzéseket hajt végre, amelyek biztosítják, hogy csak ismert és megbízható végfelhasználói rendszerek használhassák a Szállító hálózatait.
4.9 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító védelmet tart fenn az olyan adatközponti környezetek számára, ahol Kyndryl-anyagok vannak jelen vagy kerülnek feldolgozásra, beleértve a behatolásészlelést és -megelőzést, valamint a szolgáltatásmegtagadási támadások ellenintézkedéseit és mérséklését.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Szállító: (a) legalább évente biztonsági és adatvédelmi kockázatértékelést végez, (b) biztonsági vizsgálatot hajt végre és kiértékeli a sebezhetőségeket, beleértve az automatizált rendszer- és alkalmazásbiztonsági vizsgálatot és a kézi, erkölcsös számítástechnikai betörést, a termelés megkezdése előtt és azt követően évente a Szolgáltatások és a Leszállítandó Termékek tekintetében, valamint évente a Kyndryl-technológia kezelése tekintetében, (c) legalább évente egy független, minősített harmadik felet von be az Iparági Legjobb Gyakorlatoknak megfelelő behatolásvizsgálat elvégzésére, az ilyen vizsgálat magában foglalja mind az automatizált, mind a kézi vizsgálatot, d) a biztonsági konfigurációs követelményeknek való megfelelés automatizált kezelését és rutinszerű ellenőrzését a Szolgáltatások és a Leszállítandó Termékek minden egyes összetevője, valamint a Kyndryl-technológia Kezelése tekintetében, és e) a biztonsági konfigurációs követelményeknek való megfeleléssel kapcsolatos kockázat, kihasználhatóság és hatás alapján orvosolja az azonosított sebezhetőségeket vagy a biztonsági konfigurációs követelményeknek való meg nem felelést. A Szállító ésszerű lépéseket tesz annak érdekében, hogy elkerülje a Szolgáltatások fennakadását a vizsgálatok, kiértékelések, átvizsgálások és a helyreállítási tevékenységek végrehajtása során. A Kyndryl kérésére a Szállító a Kyndryl rendelkezésére bocsátja a Szállító legutóbbi behatolásvizsgálati tevékenységének írásos összefoglalóját, amely jelentés legalább a vizsgálat által érintett ajánlatok nevét, a vizsgálat hatálya alá tartozó rendszerek vagy alkalmazások számát, a vizsgálat időpontját, a vizsgálat során alkalmazott módszertant és a megállapítások részletes összefoglalóját tartalmazza.
5.2 A Szállító olyan irányelveket és eljárásokat tart fenn, amelyek célja a Szolgáltatásokban vagy a Leszállítandó Termékekben, illetve a Kyndryl-technológia kezelésében bekövetkező változásokkal kapcsolatos kockázatok Kezelése. Az ilyen változtatás végrehajtása előtt, beleértve az érintett rendszereket, hálózatokat és a mögöttes összetevőket is, a Szállító egy regisztrált módosításkérelemben dokumentálja: (a) a változtatás leírását és okát, (b) a végrehajtás részleteit és ütemezését, (c) egy kockázati nyilatkozatot a Szolgáltatásokra és a Leszállítandó Termékekre, a Szolgáltatások vevőire vagy a Kyndryl-anyagokra gyakorolt hatásról, (d) a várható eredményt, (e) a visszaléptetési tervet, és (f) a Szállító jogosult alkalmazottai általi jóváhagyást.
5.3 A Szállító köteles leltárt vezetni a Szolgáltatások üzemeltetéséhez, a Leszállítandó Termékek rendelkezésre bocsátásához és a Kyndryl-technológia Kezeléséhez használt összes IT eszközről. A Szállító folyamatosan figyelemmel kíséri és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia állapotát (beleértve a kapacitást is) és rendelkezésre állását, beleértve az ilyen eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia mögöttes összetevőit is.
5.4 A Szállító minden olyan rendszert, amelyet a Szolgáltatások és a Leszállítandó Termékek fejlesztése vagy üzemeltetése során, valamint a Kyndryl-technológia Kezelése során használ, előre megadott rendszerbiztonsági képek vagy biztonsági alapvonalak alapján állít össze, amelyek megfelelnek az Iparági Legjobb Gyakorlatoknak, például a "Center for Internet Security" (CIS) viszonyítási alapnak.
5.5 A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós Dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az üzletmenet-folytonosság tekintetében a Szállító minden egyes Szolgáltatást és Leszállítandó terméket, valamint a Kyndryl-technológia Kezelésében használt minden egyes IT rendszert külön értékel az üzletmenet és az IT-folytonosság, valamint a katasztrófa utáni helyreállítás követelményei szempontjából a dokumentált kockázatkezelési irányelvek szerint. A Szállító biztosítja, hogy minden ilyen szolgáltatás, Leszállítandó Termék és IT rendszer - a kockázatfelmérés által indokolt mértékben - külön meghatározott, dokumentált, karbantartott és évente érvényesített üzleti és informatikai folytonossági és katasztrófa utáni helyreállítási tervekkel rendelkezik, amelyek összhangban vannak az Iparági Legjobb Gyakorlatokkal. A Szállító biztosítja, hogy ezeket a terveket úgy tervezik meg, hogy az alábbi 5.6. szakaszban meghatározott kokrét helyreállítási idők teljesüljenek.
5.6 A konkrét helyreállításipont-célkitűzések ("RPO") és helyreállítási időcélok ("RTO") bármely Kihelyezett Szolgáltatás tekintetében a következők: 24 óra RPO és 24 óra RTO, mindazonáltal a Szállító köteles betartani minden olyan rövidebb időtartamú RPO-t vagy RTO-t, amelyet a Kyndryl a Vevőn felé vállalt, valamint haladéktalanul, miután a Kyndryl írásban értesítette a Szállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (egy e-mail is írásos értesítésnek minősül). A Szállító által a Kyndryl számára nyújtott minden egyéb Szolgáltatás tekintetében a Szállító biztosítja, hogy az üzletmenet-folytonossági és a katasztrófa utáni helyreállítási terveit úgy alakítsák ki, hogy azok olyan RPO és RTO értékeket biztosítsanak, amelyek lehetővé teszik a Szállító számára, hogy továbbra is megfeleljen a Kyndryl felé a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban, valamint a jelen Feltételekben foglalt valamennyi kötelezettségének, beleértve a vizsgálat, a támogatás és a karbantartás időben történő biztosítására vonatkozó kötelezettségeit.
5.7 A Szállító olyan intézkedéseket tart fenn, amelyek célja a biztonsági tanácsadói javítások értékelése, tesztelése és alkalmazása a Szolgáltatások és az Átadandó termékek, valamint a kapcsolódó rendszerek, hálózatok, alkalmazások és a mögöttes összetevők, valamint a Kyndryl technológia kezeléséhez használt rendszerek, hálózatok, alkalmazások és mögöttes komponensek értékelésére, tesztelésére és alkalmazására az említett Szolgáltatások és Átadandó termékek hatókörén belül. Annak megállapításakor, hogy egy biztonsági tanácsadói javítás alkalmazható és megfelelő, a Szállító a dokumentált súlyossági és kockázatfelmérési irányelvek szerint megvalósítja a javítást. A biztonsági tanácsadói javítások Szállító általi bevezetésére a Szállító változáskezelési irányelve vonatkozik.
5.8 Ha a Kyndrylnek ésszerű oka van feltételezni, hogy a Szállító által a Kyndryl számára biztosított hardver vagy szoftver betolakodó elemeket, például kémprogramot, rosszindulatú programot vagy rosszindulatú kódot tartalmazhat, akkor a Szállító időben együttműködik a Kyndryllel a Kyndryl aggályainak kivizsgálásában és orvoslásában.
6. Szolgáltatáslétesítés
6.1 A Szállító támogatja a Kyndryl-felhasználói vagy vevőfiókok egyesített hitelesítésének iparágban elterjedt módszereit, és a Szállító követi az Iparági Legjobb Gyakorlatokat az ilyen Kyndryl-felhasználói vagy vevőfiókok hitelesítése során (például a Kyndryl által központilag kezelt többtényezős egypontos bejelentkezéssel, OpenID Connect vagy biztonságellenőrzési jelölőnyelv használatával).
7. Alvállalkozók. A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az alvállalkozók megőrzése tekintetében a Szállító biztosítja, hogy a Szállító számára munkát végző alvállalkozó olyan irányítási ellenőrzéseket vezessen be, amelyek megfelelnek a jelen Feltételek által a Szállítóra rótt követelményeknek és kötelezettségeknek.
8. Fizikai adathordozók. A Szállító az újrafelhasználásra szánt fizikai adathordozókat az újrafelhasználás előtt biztonságosan normalizálja, és az újrafelhasználásra nem szánt fizikai adathordozókat az adathordozók normalizálására vonatkozó Iparági Legjobb Gyakorlatoknak megfelelően megsemmisíti.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
-
Ha igen, akkor a IV. szakasz (Műszaki és szervezeti intézkedések, Kódbiztonság), V. szakasz (Biztonságos fejlesztés), VIII. szakasz (Műszaki és szervezeti intézkedések, Általános biztonság) és X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó az ilyen hozzáférés kapcsán
Példák:
A Szállító felelősséget vállal egy Kyndryl-termék fejlesztéséért, és a fejlesztés érdekében a Kyndryl a forráskódját hozzáférhetővé teszi a Szállító számára.
Szállító fejleszti a forráskódot, amelyet Kyndryl birtokol.
IV. szakasz, Műszaki és szervezési intézkedések, Kódbiztonság
Ez a szakasz akkor érvényes, ha a Szállító rendelkezik hozzáféréssel valamely Kyndryl-forráskódhoz. A Szállító köteles betartani a jelen szakasz követelményeit, és ezáltal megvédi a Kyndryl-forráskódot az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, véletlen vagy jogosulatlan hozzáférés és a kezelés bármely jogellenes formája ellen. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.
1. Biztonsági követelmények
Az alábbiak szerint:
A Tiltott Ország jelentése bármely olyan ország: (a) amelyet az Amerikai Egyesült Államok kormánya külső ellenfélként jelölt meg az információs és kommunikációs technológiai és szolgáltatási lánc biztosításáról szóló, 2019. május 15-i elnöki rendelet értelmében, (b) amely az Amerikai Egyesült Államok nemzeti törvényének 1654. szakasza szerint szerepel a 2019. évi védelmi felhatalmazási törvény, vagy (c) a Tranzakciós Dokumentumban „tiltott országként” jelölték meg.
1.1 A Szállító nem terjeszti vagy helyezi letétbe a Kyndryl Forráskódot harmadik fél javára.
1.2 A Szállító nem engedélyez semmilyen Kyndryl-forráskódot Tiltott Országban található szervereken.A Szállító nem engedélyezi, hogy bárki, beleértve a Személyzetét is, aki Tiltott Országban tartózkodik vagy Tiltott Országba látogat (a látogatás időtartamára), hogy bármilyen okból hozzáférjen vagy felhasználja a Kyndryl Forráskódját, függetlenül attól, hogy a Kyndryl Forráskódja hol található globálisan, és a Szállító nem engedélyezi, hogy olyan fejlesztés, vizsgálat vagy egyéb munka történjen egy Tiltott Országban, amely ilyen hozzáférést vagy felhasználást igényel.
1.3 A Szállító nem helyezi el vagy terjeszti a Kyndryl Forráskódot olyan joghatóságban, ahol a törvény vagy a törvény értelmezése megköveteli a Forráskód harmadik fél számára történő közlését. Ha egy olyan joghatóságban, ahol a Kyndryl Forráskód található, olyan jogszabályváltozás vagy jogértelmezés következik be, amely miatt a Szállító köteles lehet a Forráskódot harmadik fél részére közölni, a Szállító azonnal megsemmisíti vagy azonnal eltávolítja a Kyndryl-forráskódot az adott joghatóságból, és nem helyez el további Kyndryl-forráskódot az adott joghatóságban, ha az adott jogszabályt vagy jogértelmezést továbbra is alkalmazni kell.
1.4 A Szállító sem közvetlenül, sem közvetve nem tesz olyan lépéseket, beleértve bármilyen megállapodás megkötését, amelyek miatt a Szállítónak, a Kyndrylnek vagy bármely harmadik félnek az Amerikai Egyesült Államok 2019. évi nemzetvédelmi engedélyezési törvényének 1654. vagy 1655. szakasza szerinti közzétételi kötelezettsége keletkezne. Az egyértelműség kedvéért, kivéve a felek közötti Tranzakciós Dokumentum vagy társított alapmegállapodás által kifejezetten megengedett eseteket, a Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül semmilyen körülmények között nem jogosult a Forráskódot semmilyen harmadik fél részére közölni.
1.5 Ha a Kyndryl értesíti a Szállítót, vagy egy harmadik fél értesíti bármelyik felet, hogy: (a) a Szállító megengedte, hogy a Kyndryl-forráskódot Tiltott Országba vagy bármely olyan joghatóságba szállítsák, amelyre a fenti 1.3. szakasz vonatkozik, (b) a Szállító más módon kiadta, hozzáférhetővé tette vagy felhasználta a Kyndryl-forráskódot olyan módon, amelyet a Tranzakciós Dokumentum vagy a társított alapmegállapodás vagy a felek közötti egyéb megállapodás nem engedélyez, vagy (c) a Szállító megsértette a fenti 1.4 szakaszban foglaltakat, akkor a Kyndrylnek az ilyen meg nem feleléssel kapcsolatos, a törvény vagy a méltányossági jog vagy a Tranzakciós Dokumentum, a társított alapmegállapodás vagy a felek közötti egyéb megállapodás alapján fennálló jogainak korlátozása nélkül: (i) ha az ilyen értesítés a Szállítónak szól, akkor a Szállító haladéktalanul megosztja az értesítést a Kyndryllel; és (ii) a Szállító a Kyndryl ésszerű utasítására kivizsgálja és orvosolja az ügyet a Kyndryl által ésszerűen (a Szállítóval való konzultációt követően) meghatározott ütemezés szerint.
1.6 Ha a Kyndryl ésszerűen úgy véli, hogy a Szállító szabályzatainak, eljárásainak, ellenőrzéseinek vagy gyakorlatának megváltoztatása a Forráskódhoz való hozzáférés tekintetében szükséges lehet a kiberbiztonság, a szellemi tulajdon ellopása vagy hasonló vagy kapcsolódó kockázatok kezelése érdekében (beleértve azt a kockázatot, hogy ilyen változtatások nélkül a Kyndryl korlátozva lehet abban, hogy bizonyos Vevőknek vagy bizonyos piacokon értékesítsen, vagy más módon nem képes kielégíteni a Vevők biztonsági vagy ellátási láncra vonatkozó követelményeit), akkor a Kyndryl kapcsolatba léphet a Szállítóval az ilyen kockázatok kezeléséhez szükséges intézkedések megvitatása érdekében, beleértve az ilyen szabályzat, eljárások, ellenőrzések vagy gyakorlatok megváltoztatását. A Kyndryl kérésére Szállító együttműködik a Kyndryllel az ilyen változtatások szükségességének értékelésében és a megfelelő, kölcsönösen elfogadott változtatások végrehajtásában.
---
V. szakasz, Biztonságos fejlesztés
Jelen Szakasz akkor van érvényben, ha a Szállító saját vagy harmadik féltől származó Forráskódot vagy Helyszíni Szoftvert bocsát a Kyndryl rendelkezésére, vagy a Szállító bármelyik Leszállítandó Termékét vagy Szolgáltatását a Kyndryl Vevője számára a Kyndryl termékének vagy szolgáltatásának részeként biztosítja.
1. Biztonsági készenlét
1.1 A Szállító együttműködik a Kyndryl belső folyamataival, amelyek kiértékelik a Kyndryl azon termékeinek és szolgáltatásainak biztonsági felkészültségét, amelyek a Szállító bármelyik Leszállítandójától függenek, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító illetékes Személyzetének meghallgatása vagy hasonlók révén.
2. Biztonságos fejlesztés
2.1 Ez a 2. szakasz csak akkor érvényes, ha Szállító Helyszíni Szoftvert biztosít a Kyndryl számára.
2.2 A Szállító megvalósítja és a Tranzakciós Dokumentum időtartama alatt az Iparági Legjobb Gyakorlatokkal összhangban fenntartja azokat a hálózatra, platformra, rendszerre, alkalmazásra, eszközre, fizikai infrastruktúrára, váratlaneseményekre való reagálásra és a személyzetre összpontosító biztonsági irányelveket, eljárásokat és ellenőrzéseket, amelyek szükségesek a következők védelméhez: (a) a fejlesztési, összeállítási, vizsgálati és üzemeltetési rendszerek és környezetek, amelyeket a Szállító vagy a Szállító által megbízott harmadik fél üzemeltet, kezel, használ vagy más módon támaszkodik a Leszállítandókra vagy azokkal kapcsolatosak, és (b) az összes Leszállítandó forráskód az elveszés, a kezelés jogellenes formái és a jogosulatlan hozzáférés, közlés vagy módosítás ellen.
3. ISO 20243 tanúsítvány
3.1 Ez a 3. szakasz csak akkor érvényes, ha a Szállító bármely Leszállítandó Termékét vagy Szolgáltatását a Kyndryl Vevőjének Kyndryl-termék vagy szolgáltatás részeként biztosítja.
3.2 A Szállító beszerzi az ISO 20243, Információtechnológia, Nyílt megbízható technológiaszolgáltató, TM szabvány (O-TTPS), Rosszindulatúan módosított és hamisított termékek korlátozása című szabványnak való megfelelés igazolását (akár önértékeléssel, akár egy jó hírű független felülvizsgáló értékelésén alapuló tanúsítással). Alternatív megoldásként, ha a Szállító írásban kéri és a Kyndryl írásban jóváhagyja, Szállító beszerzi a biztonságos fejlesztési és ellátási láncra vonatkozó, lényegében egyenértékű iparági szabványnak való megfelelés igazolását (akár saját maga által kiállított tanúsítványt, akár egy elismert független felülvizsgáló értékelésén alapuló tanúsítványt, ha és ahogy a Kyndryl jóváhagyja).
3.3 A Tranzakciós Dokumentum hatálybalépésének dátuma után 180 napon belül a Szállító megszerzi az ISO 20243 szabvány szerinti vagy a lényegében egyenértékű ágazati szabványnak való megfelelés tanúsítását (amennyiben a Kyndryl írásban jóváhagyja),
majd ezt követően 12 havonta megújítja a tanúsítást (minden megújításnál az alkalmazandó szabvány akkor legfrissebb változatával, azaz az ISO 20243-mal vagy - amennyiben a Kyndryl írásban jóváhagyta - egy lényegében egyenértékű, a biztonságos fejlesztési és ellátási lánc gyakorlatokra vonatkozó iparági szabvánnyal).
3.4 A Szállító kérésre haladéktalanul átadja a Kyndrylnek a fenti 2.1. és 2.2. pontok szerinti, a Szállító által kötelezeően megszerzendő tanúsítványok másolatát.
4. Biztonsági sebezhetőség
Az alábbiak szerint:
A Hibajavítás olyan, a Leszállítandókon végzett hibajavításokat és felülvizsgálatokat jelent, amelyek kijavítják a hibákat vagy hiányosságokat, beleértve a Biztonsági Sebezhetőségeket.
A Mérséklés a Biztonsági Sebezhetőség kockázatának csökkentésére vagy elkerülésére szolgáló bármely ismert megoldást jelenti.
A Biztonsági Sebezhetőség a Leszállítandó Termék tervezésének, kódolásának, fejlesztésének, megvalósításának, tesztelésének, üzemeltetésének, támogatásának, karbantartásának vagy kezelésének olyan állapotát jelenti, amely bárki számára olyan támadást tesz lehetővé, amely jogosulatlan hozzáférést vagy kiaknázást eredményezhet, beleértve: (a) a rendszer működéséhez való hozzáférést, annak ellenőrzését vagy megzavarását, (b) az adatokhoz való hozzáférést, azok törlését, módosítását vagy kinyerését, vagy (c) a felhasználók vagy rendszergazdák személyazonosságának, jogosultságainak vagy engedélyeinek megváltoztatását. A Biztonsági Sebezhetőség attól függetlenül is fennállhat, hogy Közös Sebezhetőségi és Ceszélyeztetettségi (CVE) azonosítót vagy bármilyen értékelést vagy hivatalos besorolást rendelnének hozzá.
4.1 A Szállító kijelenti és garantálja, hogy: (a) az Iparág Legjobb Gyakorlatait alkalmazza a Biztonsági Sebezhetőségek azonosítására, beleértve a folyamatos statikus és dinamikus forráskódú alkalmazások biztonsági vizsgálatát, a nyílt forráskódú alkalmazások biztonsági vizsgálatát és a rendszer sebezhetőségének vizsgálatát, és (b) betartja a jelen Feltételek követelményeit, hogy segítsen megelőzni, felderíteni és kijavítani a Biztonsági Sebezhetőségeket a Leszállítandókban és minden olyan IT-alkalmazásban, platformon és infrastruktúrában, amelyben és amelyen keresztül a Szállító Szolgáltatásokat és Leszállítandó termékeket hoz létre és bocsát rendelkezésre.
4.2 Ha a Szállító Biztonsági Sebezhetőségről szerez tudomást egy Leszállítandóban vagy bármely ilyen IT-alkalmazásban, platformban vagy infrastruktúrában, a Szállító hibajavítást és enyhítéseket biztosít a Kyndryl számára a Leszállítandó összes verziójára és kiadására vonatkozóan az alábbi táblázatokban meghatározott súlyossági szinteknek és időkereteknek megfelelően:
Súlyossági fokozat*
Vészhelyzeti Biztonsági Sebezhetőség – egy Biztonsági Sebezhetőség, amely súlyos és potenciálisan globális fenyegetést jelent. A Kyndryl saját belátása szerint jelöli ki a Vészhelyzeti Biztonsági Sebezhetőségeket, függetlenül a CVSS alappontszámától.
Súlyos – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 9 és 10,0 közötti
Magas – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 7,0 és 8,9 közötti
Közepes – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 4,0 és 6,9 közötti
Alacsony – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 0,0 és 3,9 közötti
Időkeretek
Vészhelyzet
Súlyos
Magas
Közepes
Alacsony
4 nap vagy kevesebb, a Kyndryl Információbiztonsági Hivatalának meghatározása szerint
30 nap
30 nap
90 nap
Az iparág legjobb gyakorlatai szerint
*Minden olyan esetben, amikor egy Biztonsági Sebezhetőség nem rendelkezik könnyen hozzárendelhető CVSS alappontszámmal, a Szállító a sebezhetőség jellegének és körülményeinek megfelelő súlyossági szintet alkalmazza.
4.3 Olyan Biztonsági Sebezhetőség esetén, amelyet nyilvánosságra hoztak, és amelyre a Szállító még nem eszközölt hibajavítást vagy enyhítést a Kyndryl számára, Szállító minden olyan műszaki lehetséges kiegészítő biztonsági intézkedést megvalósít, amely csökkenti a sebezhetőség kockázatát.
4.4 Ha a Kyndryl elégedetlen a Szállítónak a Leszállítandó Termékben vagy a fent említett bármely alkalmazásban, platformban vagy infrastruktúrában található biztonsági résre adott válaszával, a Szállító - a Kyndryl egyéb jogainak sérelme nélkül - haladéktalanul gondoskodik arról, hogy a Kyndryl közvetlenül a Szállító alelnökével vagy azzal egyenértékű, a Hibajavítás megvalósításáért felelős vezetőjével vitassa meg aggályait.
4.5 A Biztonsági Sérülékenységre példa a harmadik féltől származó kód vagy az EOS (end-of-service) nyílt forráskód, ahol az ilyen típusú kódok esetáben már nem készülnek biztonsági javítások.
---
VIII. szakasz, Műszaki és szervezési intézkedések, Általános biztonság
Ez a szakasz akkor alkalmazandó, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó terméket nyújt a Kyndrylnek, kivéve, ha a Szállító csak a Kyndryl BCI-hez fér hozzá az ilyen Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátása során (azaz a Szállító nem dolgoz fel semmilyen más Kyndryl-adatot, és nem fér hozzá semmilyen más Kyndryl-anyaghoz vagy Vállalati Rendszerhez), a Szállító egyetlen Szolgáltatása és Leszállítandó Terméke a Kyndryl számára Helyszíni Szoftver biztosítása, vagy a Szállító a VII. szakasszal összhangban, beleértve annak 1.7. szakaszát is, az összes Szolgáltatást és Leszállítandó Terméket személyzetnövelési modellben nyújtja.
A Szállító köteles betartani a jelen cikk követelményeit, és ezáltal védeni: (a) a Kyndryl-anyagokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, valamint véletlen vagy jogosulatlan hozzáférés ellen, (b) a Kyndryl-adatokat a jogellenes Adatfeldolgozási formáktól és (c) a Kyndryl-technológiát a jogellenes Kezelési formáktól. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.
1. Biztonsági szabályzatok
1.1 A Szállító köteles fenntartani és követni az informatikai biztonsági irányelveket és gyakorlatokat, amelyek szerves részét képezik a Szállító üzleti tevékenységének, kötelezőek a Szállító Személyzete számára, és összhangban kell lenniük az Iparági Legjobb Gyakorlatokkal.
1.2 A Szállító legalább évente felülvizsgálja az IT biztonsági irányelveket és gyakorlatát, és a Kyndryl-anyagok védelmében a Szállító által szükségesnek ítélt módon módosítja.
1.3 A Szállító fenntartja és betartja a standard, kötelező foglalkoztatási ellenőrzési követelményeket minden új alkalmazott felvétele esetén, és kiterjeszti ezeket a követelményeket a Szállító összes alkalmazottjára és a Szállító teljes tulajdonú leányvállalataira is. Ezek a követelmények magukban foglalják a helyi törvények által megengedett mértékben a büntetőjogi háttér ellenőrzését, a személyazonosság igazolását, valamint a Szállító által szükségesnek ítélt további ellenőrzéseket. Szükség esetén a Szállító időszakonként ismétli és újraérvényesíti ezeket a követelményeket.
1.4 A Szállító évente biztonsági és adatvédelmi oktatást nyújt alkalmazottainak, és minden ilyen alkalmazottjától megköveteli, hogy minden évben igazolja, hogy betartja a Szállító etikus üzleti magatartási, titoktartási és biztonsági szabályzatát, amint azt a Szállító magatartási szabályzata vagy hasonló dokumentumai tartalmazzák. Szállító további képzéseket képzést biztosít a szabályzatról és a folyamatokról a Szolgáltatások, a Leszállítandó Termékek vagy a Kyndryl-anyagok bármely összetevőjéhez adminisztratív hozzáféréssel rendelkező személyek számára, a szerepükre és a Szolgáltatások, a Leszállítandó Termékek és a Kyndryl-anyagok támogatására vonatkozó képzéssel, valamint az előírt megfelelés és tanúsítványok fenntartásához szükséges módon.
1.5 A Szállító biztonsági és adatvédelmi intézkedéseket tervez a Kyndryl-anyagok védelme és rendelkezésre állásának fenntartása érdekében, többek között olyan irányelvek és eljárások végrehajtása, karbantartása és betartása révén, amelyek a biztonságot és az adatvédelmet a tervezés, a biztonságos tervezés és a biztonságos üzemeltetés révén írják elő valamennyi Szolgáltatás és Leszállítandó Termék, valamint az összes Kyndryl-technológia Kezelése esetében.
2. Biztonsági váratlanesemények
2.1 Szállító köteles a számítógépes biztonsági váratlanesemény-válasz kezelésére vonatkozó, az Iparági Legjobb Gyakorlatokkal összhangban lévő, dokumentált váratlanesemény-kezelési irányelveket fenntartani és betartani.
2.2 A Szállító kivizsgálja a Kyndryl-anyagokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan felhasználását, és megfelelő választervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.
2.4 A Szállító a Kyndryl számára ésszerű támogatást biztosít a Kyndryl, leányvállalatai és Vevői (vevői és kapcsolt vállalkozásai) jogi kötelezettségeinek (beleértve a szabályozó hatóságok vagy az Érintettek értesítésére vonatkozó kötelezettségeket is) teljesítése érdekében a Biztonsági Előírások Megsértése esetén.
2.5 A Szállító nem tájékoztatja és nem értesíti a harmadik felet arról, hogy a Biztonsági Előírások Megsértése közvetlenül vagy közvetve a Kyndrylhez vagy a Kyndryl-anyagokhoz kapcsolódik, kivéve, ha a Kyndryl ezt írásban jóváhagyja, vagy ha azt törvény írja elő. Szállító írásban értesíti a Kyndrylt, mielőtt bármilyen, jogszabályban előírt értesítést továbbítana bármely harmadik félnek, amennyiben az értesítés közvetlenül vagy közvetve felfedné a Kyndryl személyazonosságát.
2.6 A biztonsági előírások megsértése esetén, amely abból ered, hogy a Szállító megszegi a jelen Feltételek szerinti bármely kötelezettségét:
(a) A Szállító felelős a nála felmerülő költségekért, valamint a Kyndrylnél ténylegesen felmerülő költségekért, amely az illetékes szabályozó hatóságok, más kormányzati és releváns iparági önszabályozó ügynökségek, a média (ha a vonatkozó jogszabályok előírják), az Érintettek, az Ügyfelek és mások Biztonsági Előírások Megsértéséről történő értesítése során merül fel,
b) amennyiben a Kyndryl kéri, a Szállító saját költségén létrehoz és fenntart egy telefonos ügyfélszolgálatot, amely a Érintetteknek a Biztonsági Előírások Megsértésével és annak következményeivel kapcsolatos kérdéseire válaszol, a Biztonsági Előírások Megsértésről való értesítés időpontjától számított 1 évig, vagy az alkalmazandó adatvédelmi jogszabályok által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet. A Kyndryl és a Szállító együttműködik a szövegkönyvek és egyéb anyagok elkészítésében, amelyeket a telefonos ügyfélszolgálat munkatársai a megkeresések megválaszolásakor használnak. Alternatív megoldásként, a Szállítónak küldött írásbeli értesítés alapján a Kyndryl létrehozhatja és fenntarthatja saját hívásközpontját, ahelyett, hogy a Szállító hozna létre egy hívásközpontot, és a Szállító megtéríti a Kyndrylnek az ilyen hívásközpont létrehozásával és fenntartásával kapcsolatban felmerülő tényleges költségeket, és
c) A Szállító megtéríti a Kyndrylnek a tényleges költségeket, amelyek a Kyndrylnél a hitelfelügyeleti és hitelvisszaállítási szolgáltatások nyújtása során felmerülnek, 1 évvel azt követően, hogy a megsértés által érintett, az ilyen szolgáltatásokra regisztrálni kívánó személyeket értesítették a Biztonsági Előírások Megsértéséről, vagy az alkalmazandó adatvédelmi törvények által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet.
3. Fizikai biztonság és beléptetés-ellenőrzés (az alábbiakban használt "létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér).
3.1 A Szállító köteles megfelelő fizikai beléptetési ellenőrzéseket fenntartani, például sorompókat, kártyával vezérelt belépési pontokat, felügyeleti kamerákat és személyzeti recepciós pultokat, hogy megelőzze az illetéktelen belépést a létesítményekbe.
3.2 A Szállító a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáféréshez - beleértve az ideiglenes hozzáférést is - felhatalmazott engedélyt igényel, és a hozzáférést munkakör és üzleti szükséglet szerint korlátozza. Ha a Szállító ideiglenes hozzáfréést biztosít, a Szállító jogosult alkalmazottja minden látogatót kísérni fog, amíg a Létesítményben és az ellenőrzött területeken tartózkodik.
3.3 A Szállító fizikai beléptetési ellenőrzéseket valósít meg, beleértve az Iparági Legjobb Gyakorlatokkal összhangban lévő többtényezős beléptetési ellenőrzéseket, hogy megfelelően korlátozza a Létesítményen belüli ellenőrzött területekre való belépést, naplózza az összes belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzi.
3.4 A Szállító visszavonja a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáférést, ha (a) a jogosult munkavállaló felmondott, vagy (b) a jogosult szállítói munkavállalónak már nincs érvényes üzleti igénye a hozzáféréshez. A Szállító követi a hivatalos, dokumentált szétválasztási eljárásokat, amelyek magukban foglalják a hozzáférés-felügyeleti listákról való azonnali törlést és a fizikai hozzáférésre feljogosító igazolványok leadását.
3.5 A Szállító óvintézkedéseket tesz a Szolgáltatások és a Leszállítandó termékek támogatására és a Kyndryl-technológia Kezelésére használt fizikai infrastruktúra védelme érdekében a természetben előforduló és az ember által okozott környezeti veszélyekkel szemben, mint például a túlzott környezeti hőmérséklet, tűz, árvíz, páratartalom, lopás és vandalizmus.
4. Hozzáférés, beavatkozás, átvitel és szétválasztásszabályozás
4.1 A Szállító dokumentált biztonsági hálózatfelépítést tart fenn, amely a Szolgáltatások általa történő üzemeltetését, a Leszállítandó Termékek rendelkezésre bocsátását és a hozzá tartozó Kyndryl-technológiát kezeli. A Szállító külön felülvizsgálja az ilyen hálózatfelépítéseket, és intézkedéseket foganatosít a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz való jogosulatlan hálózati kapcsolatok megakadályozására, a biztonságos felosztás, az elkülönítés és a többszintű védelem szabványainak való megfelelés érdekében. A Szállító nem használhat vezeték nélküli technológiát a kihelyezett Szolgáltatások kihelyezése és üzemeltetése során; egyébként a Szállító használhat vezeték nélküli hálózati technológiát a Szolgáltatások és az Leszállítandó termékek kézbesítése és a Kyndryl-technológia Kezelése során, de a Szállító titkosítja és biztonságos hitelesítést ír elő az ilyen vezeték nélküli hálózatokhoz.
4.2 A Szállító olyan intézkedéseket tart fenn, amelyeket arra terveztek, hogy logikailag elkülönítsék és megakadályozzák, hogy a Kyndryl-anyagok illetéktelen személyek számára elérhetővé váljanak. Továbbá a Szállító fenntartja az éles, nem üzemi és egyéb környezetek megfelelő elkülönítését, és ha a Kyndryl-anyagok már jelen vannak egy nem üzemi környezetben, vagy átvitték azokat egy nem üzemi környezetbe (például egy hiba sokszorosítása érdekében), akkor a Szállító biztosítja, hogy a nem üzemi környezetben a biztonsági és adatvédelmi védelem megegyezik az éles környezetével védelmével.
4.3 Szállító titkosítja a Kyndryl-anyagokat szállítás közben és nyugalmi állapotban (kivéve, ha a Szállító a Kyndryl ésszerű megelégedésére bizonyítja, hogy a Kyndryl-anyagok nyugalmi állapotban történő titkosítása műszakilag kivitelezhetetlen). A Szállító továbbá titkosít minden fizikai adathordozót, ha van ilyen, például a biztonsági másolat fájljait tartalmazó adathordozót. A Szállító dokumentált eljárásokat tart fenn az adatok titkosításához kapcsolódó biztonságos kulcs előállítására, kiadására, terjesztésére, tárolására, forgatására, visszavonására, helyreállítására, biztonsági mentésére, megsemmisítésére, hozzáférésére és használatára vonatkozóan. A Szállító biztosítja, hogy az ilyen titkosításhoz használt sajátos rejtjelezett módszerek összhangban legyenek az Iparági Legjobb Gyakorlatokkal (például a NIST SP 800-131a).
4.4 Ha a Szállítónak hozzáférésre van szüksége a Kyndryl-anyagokhoz, a Szállító az ilyen hozzáférést a Szolgáltatások és a Leszállítandó Termékek nyújtásához és támogatásához szükséges legalacsonyabb szintre korlátozza. A Szállító megköveteli, hogy az ilyen hozzáférés, beleértve a mögöttes összetevőkhöz való adminisztratív hozzáférést (azaz a kiváltságos hozzáférést), egyéni, szerepkör alapú legyen, és a Szállító jogosult alkalmazottai által a kötelezettségelkülönítés elveit követve jóváhagyásra és rendszeres érvényesítésre szoruljon. A Szállító intézkedéseket tesz a felesleges és inaktív fiókok azonosítására és eltávolítására. A Szállító továbbá a kiváltságos hozzáféréssel rendelkező fiókokat visszavonja huszonnégy (24) órával a fiók tulajdonosa munkaviszonyának megszűnését vagy a Kyndryl vagy a Szállító bármely felhatalmazott alkalmazottjának, például a fiók tulajdonosának vezetőjének kérését követően.
4.5 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító műszaki intézkedéseket tart fenn az inaktív munkamenetek időtúllépésének kikényszerítésére, a fiókok többszöri egymást követő sikertelen bejelentkezési kísérlet utáni kizárására, erős jelszóval vagy jelmondattal történő hitelesítésre, valamint az ilyen jelszavak és jelmondatok biztonságos átvitelét és tárolását megkövetelő intézkedésekre. Ezenkívül a Szállító többtényezős hitelesítést alkalmaz az összes nem konzolalapú, bármely Kyndryl-anyaghoz való kiváltságos hozzáféréshez.
4.6 A Szállító figyelemmel kíséri a kiváltságos hozzáférések használatát, és olyan biztonsági információkat és eseménykezelési intézkedéseket tart fenn, amelyek célja: (a) a jogosulatlan hozzáférés és tevékenység azonosítása, b) az ilyen hozzáférésre és tevékenységre adott időben történő és megfelelő válaszadás megkönnyítése, és c) a Szállító, a Kyndryl (a jelen Feltételekben foglalt igazolási jogai és a Tranzakciós Dokumentumban vagy a kapcsolódó alapmegállapodásban vagy a felek közötti egyéb kapcsolódó megállapodásban foglalt ellenőrzési jogok alapján) és mások által végzett ellenőrzések lehetővé tétele a dokumentált Szállítói irányelveknek való megfelelés tekintetében.
4.7 A Szállító megőrzi azokat a naplókat, amelyekben az Iparági Legjobb Gyakorlatoknak megfelelően rögzít minden olyan adminisztrációs, felhasználói vagy egyéb hozzáférést vagy tevékenységet, amelyet a Szolgáltatások vagy a Leszállítandó Termékek rendelkezésre bocsátása és a Kyndryl-technológia Kezelése során használt rendszerekhez vagy azokkal kapcsolatban végez (és ezeket a naplókat kérésre a Kyndryl rendelkezésére bocsátja). A Szállító olyan intézkedéseket foganatosít, amelyek célja az ilyen naplókhoz való jogosulatlan hozzáférés, vagy azok módosítása, valamint véletlen vagy szándékos megsemmisítése elleni védelem.
4.8 A Szállító számítástechnikai védelmet tart fenn a tulajdonában lévő vagy általa kezelt rendszerek számára, beleértve a végfelhasználói rendszereket is, és amelyeket a Szolgáltatások vagy a Leszállítandó Termékek nyújtása vagy a Kyndryl-technológia kezelése során használ, az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljeslemez-titkosítás, aláírás és nem aláírás alapú végponti észlelési és válaszadási technológiák a rosszindulatú programok és a fejlett, tartós fenyegetések kezelésére, időalapú képernyőzár, valamint végpontkezelési megoldások, amelyek érvényesítik a biztonsági konfigurációs és javítási követelményeket. Ezen túlmenően a Szállító olyan műszaki és működési ellenőrzéseket hajt végre, amelyek biztosítják, hogy csak ismert és megbízható végfelhasználói rendszerek használhassák a Szállító hálózatait.
4.9 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító védelmet tart fenn az olyan adatközponti környezetek számára, ahol Kyndryl-anyagok vannak jelen vagy kerülnek feldolgozásra, beleértve a behatolásészlelést és -megelőzést, valamint a szolgáltatásmegtagadási támadások ellenintézkedéseit és mérséklését.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Szállító: (a) legalább évente biztonsági és adatvédelmi kockázatértékelést végez, (b) biztonsági vizsgálatot hajt végre és kiértékeli a sebezhetőségeket, beleértve az automatizált rendszer- és alkalmazásbiztonsági vizsgálatot és a kézi, erkölcsös számítástechnikai betörést, a termelés megkezdése előtt és azt követően évente a Szolgáltatások és a Leszállítandó Termékek tekintetében, valamint évente a Kyndryl-technológia kezelése tekintetében, (c) legalább évente egy független, minősített harmadik felet von be az Iparági Legjobb Gyakorlatoknak megfelelő behatolásvizsgálat elvégzésére, az ilyen vizsgálat magában foglalja mind az automatizált, mind a kézi vizsgálatot, d) a biztonsági konfigurációs követelményeknek való megfelelés automatizált kezelését és rutinszerű ellenőrzését a Szolgáltatások és a Leszállítandó Termékek minden egyes összetevője, valamint a Kyndryl-technológia Kezelése tekintetében, és e) a biztonsági konfigurációs követelményeknek való megfeleléssel kapcsolatos kockázat, kihasználhatóság és hatás alapján orvosolja az azonosított sebezhetőségeket vagy a biztonsági konfigurációs követelményeknek való meg nem felelést. A Szállító ésszerű lépéseket tesz annak érdekében, hogy elkerülje a Szolgáltatások fennakadását a vizsgálatok, kiértékelések, átvizsgálások és a helyreállítási tevékenységek végrehajtása során. A Kyndryl kérésére a Szállító a Kyndryl rendelkezésére bocsátja a Szállító legutóbbi behatolásvizsgálati tevékenységének írásos összefoglalóját, amely jelentés legalább a vizsgálat által érintett ajánlatok nevét, a vizsgálat hatálya alá tartozó rendszerek vagy alkalmazások számát, a vizsgálat időpontját, a vizsgálat során alkalmazott módszertant és a megállapítások részletes összefoglalóját tartalmazza.
5.2 A Szállító olyan irányelveket és eljárásokat tart fenn, amelyek célja a Szolgáltatásokban vagy a Leszállítandó Termékekben, illetve a Kyndryl-technológia kezelésében bekövetkező változásokkal kapcsolatos kockázatok Kezelése. Az ilyen változtatás végrehajtása előtt, beleértve az érintett rendszereket, hálózatokat és a mögöttes összetevőket is, a Szállító egy regisztrált módosításkérelemben dokumentálja: (a) a változtatás leírását és okát, (b) a végrehajtás részleteit és ütemezését, (c) egy kockázati nyilatkozatot a Szolgáltatásokra és a Leszállítandó Termékekre, a Szolgáltatások vevőire vagy a Kyndryl-anyagokra gyakorolt hatásról, (d) a várható eredményt, (e) a visszaléptetési tervet, és (f) a Szállító jogosult alkalmazottai általi jóváhagyást.
5.3 A Szállító köteles leltárt vezetni a Szolgáltatások üzemeltetéséhez, a Leszállítandó Termékek rendelkezésre bocsátásához és a Kyndryl-technológia Kezeléséhez használt összes IT eszközről. A Szállító folyamatosan figyelemmel kíséri és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia állapotát (beleértve a kapacitást is) és rendelkezésre állását, beleértve az ilyen eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia mögöttes összetevőit is.
5.4 A Szállító minden olyan rendszert, amelyet a Szolgáltatások és a Leszállítandó Termékek fejlesztése vagy üzemeltetése során, valamint a Kyndryl-technológia Kezelése során használ, előre megadott rendszerbiztonsági képek vagy biztonsági alapvonalak alapján állít össze, amelyek megfelelnek az Iparági Legjobb Gyakorlatoknak, például a "Center for Internet Security" (CIS) viszonyítási alapnak.
5.5 A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós Dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az üzletmenet-folytonosság tekintetében a Szállító minden egyes Szolgáltatást és Leszállítandó terméket, valamint a Kyndryl-technológia Kezelésében használt minden egyes IT rendszert külön értékel az üzletmenet és az IT-folytonosság, valamint a katasztrófa utáni helyreállítás követelményei szempontjából a dokumentált kockázatkezelési irányelvek szerint. A Szállító biztosítja, hogy minden ilyen szolgáltatás, Leszállítandó Termék és IT rendszer - a kockázatfelmérés által indokolt mértékben - külön meghatározott, dokumentált, karbantartott és évente érvényesített üzleti és informatikai folytonossági és katasztrófa utáni helyreállítási tervekkel rendelkezik, amelyek összhangban vannak az Iparági Legjobb Gyakorlatokkal. A Szállító biztosítja, hogy ezeket a terveket úgy tervezik meg, hogy az alábbi 5.6. szakaszban meghatározott kokrét helyreállítási idők teljesüljenek.
5.6 A konkrét helyreállításipont-célkitűzések ("RPO") és helyreállítási időcélok ("RTO") bármely Kihelyezett Szolgáltatás tekintetében a következők: 24 óra RPO és 24 óra RTO, mindazonáltal a Szállító köteles betartani minden olyan rövidebb időtartamú RPO-t vagy RTO-t, amelyet a Kyndryl a Vevőn felé vállalt, valamint haladéktalanul, miután a Kyndryl írásban értesítette a Szállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (egy e-mail is írásos értesítésnek minősül). A Szállító által a Kyndryl számára nyújtott minden egyéb Szolgáltatás tekintetében a Szállító biztosítja, hogy az üzletmenet-folytonossági és a katasztrófa utáni helyreállítási terveit úgy alakítsák ki, hogy azok olyan RPO és RTO értékeket biztosítsanak, amelyek lehetővé teszik a Szállító számára, hogy továbbra is megfeleljen a Kyndryl felé a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban, valamint a jelen Feltételekben foglalt valamennyi kötelezettségének, beleértve a vizsgálat, a támogatás és a karbantartás időben történő biztosítására vonatkozó kötelezettségeit.
5.7 A Szállító olyan intézkedéseket tart fenn, amelyek célja a biztonsági tanácsadói javítások értékelése, tesztelése és alkalmazása a Szolgáltatások és az Átadandó termékek, valamint a kapcsolódó rendszerek, hálózatok, alkalmazások és a mögöttes összetevők, valamint a Kyndryl technológia kezeléséhez használt rendszerek, hálózatok, alkalmazások és mögöttes komponensek értékelésére, tesztelésére és alkalmazására az említett Szolgáltatások és Átadandó termékek hatókörén belül. Annak megállapításakor, hogy egy biztonsági tanácsadói javítás alkalmazható és megfelelő, a Szállító a dokumentált súlyossági és kockázatfelmérési irányelvek szerint megvalósítja a javítást. A biztonsági tanácsadói javítások Szállító általi bevezetésére a Szállító változáskezelési irányelve vonatkozik.
5.8 Ha a Kyndrylnek ésszerű oka van feltételezni, hogy a Szállító által a Kyndryl számára biztosított hardver vagy szoftver betolakodó elemeket, például kémprogramot, rosszindulatú programot vagy rosszindulatú kódot tartalmazhat, akkor a Szállító időben együttműködik a Kyndryllel a Kyndryl aggályainak kivizsgálásában és orvoslásában.
6. Szolgáltatáslétesítés
6.1 A Szállító támogatja a Kyndryl-felhasználói vagy vevőfiókok egyesített hitelesítésének iparágban elterjedt módszereit, és a Szállító követi az Iparági Legjobb Gyakorlatokat az ilyen Kyndryl-felhasználói vagy vevőfiókok hitelesítése során (például a Kyndryl által központilag kezelt többtényezős egypontos bejelentkezéssel, OpenID Connect vagy biztonságellenőrzési jelölőnyelv használatával).
7. Alvállalkozók. A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az alvállalkozók megőrzése tekintetében a Szállító biztosítja, hogy a Szállító számára munkát végző alvállalkozó olyan irányítási ellenőrzéseket vezessen be, amelyek megfelelnek a jelen Feltételek által a Szállítóra rótt követelményeknek és kötelezettségeknek.
8. Fizikai adathordozók. A Szállító az újrafelhasználásra szánt fizikai adathordozókat az újrafelhasználás előtt biztonságosan normalizálja, és az újrafelhasználásra nem szánt fizikai adathordozókat az adathordozók normalizálására vonatkozó Iparági Legjobb Gyakorlatoknak megfelelően megsemmisíti.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
-
Ha igen, akkor amennyiben a Szállító a saját vagy harmadik féltől származó Forráskódját bocsátja a Kyndryl rendelkezésére, vagy a Szállító bármelyik Leszállítandó Termékét vagy Szolgáltatását a Kyndryl Vevője számára a Kyndryl termékének vagy szolgáltatásának részeként nyújtja, akkor az V. (Biztonságos fejlesztés), VIII. (Műszaki és szervezeti intézkedések, Általános biztonság) és X. (Együttműködés, igazolás és helyreállítás) szakaszok az irányadók.
Ha a Szállító csak Helyszíni Szoftvert biztosít a Kyndryl számára, akkor az V. (Biztonságos fejlesztés) és X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó.
Példák:
A Szállító fejleszti a Forráskódot, amely a Szállító birtokát fogja képezni, és olyan termék számára, amelyet a Kyndryl fog piacra bocsátani és értékesíteni.
Szállító licencel egy szoftverprogramot a Kyndryl számára, hogy a Kyndryl a helyszínen használhassa azt.
A Kyndryl márkaváltást hajt végre a Szállító által Kihelyezett Szolgáltatáson, amelyet a Szállító helyez ki és kezel, Kyndryl-termékként vagy -szolgáltatásként.
Megjegyzés: A VIII. szakasz (Műszaki és szervezeti intézkedések, Általános biztonság) szintén irányadó a Kyndrylnek Helyszíni Szoftvert biztosító Szállító számára, ha a kötelezettség egyéb tényei miatt a VIII. szakasz az irányadó (pl. ha a Szállító az üzletikapcsolat-adatok kereteit meghaladóan más információkhoz is hozzáfér, például a Kyndryl Személyes vagy nem Személyes Adataihoz).
V. szakasz, Biztonságos fejlesztés
Jelen Szakasz akkor van érvényben, ha a Szállító saját vagy harmadik féltől származó Forráskódot vagy Helyszíni Szoftvert bocsát a Kyndryl rendelkezésére, vagy a Szállító bármelyik Leszállítandó Termékét vagy Szolgáltatását a Kyndryl Vevője számára a Kyndryl termékének vagy szolgáltatásának részeként biztosítja.
1. Biztonsági készenlét
1.1 A Szállító együttműködik a Kyndryl belső folyamataival, amelyek kiértékelik a Kyndryl azon termékeinek és szolgáltatásainak biztonsági felkészültségét, amelyek a Szállító bármelyik Leszállítandójától függenek, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító illetékes Személyzetének meghallgatása vagy hasonlók révén.
2. Biztonságos fejlesztés
2.1 Ez a 2. szakasz csak akkor érvényes, ha Szállító Helyszíni Szoftvert biztosít a Kyndryl számára.
2.2 A Szállító megvalósítja és a Tranzakciós Dokumentum időtartama alatt az Iparági Legjobb Gyakorlatokkal összhangban fenntartja azokat a hálózatra, platformra, rendszerre, alkalmazásra, eszközre, fizikai infrastruktúrára, váratlaneseményekre való reagálásra és a személyzetre összpontosító biztonsági irányelveket, eljárásokat és ellenőrzéseket, amelyek szükségesek a következők védelméhez: (a) a fejlesztési, összeállítási, vizsgálati és üzemeltetési rendszerek és környezetek, amelyeket a Szállító vagy a Szállító által megbízott harmadik fél üzemeltet, kezel, használ vagy más módon támaszkodik a Leszállítandókra vagy azokkal kapcsolatosak, és (b) az összes Leszállítandó forráskód az elveszés, a kezelés jogellenes formái és a jogosulatlan hozzáférés, közlés vagy módosítás ellen.
3. ISO 20243 tanúsítvány
3.1 Ez a 3. szakasz csak akkor érvényes, ha a Szállító bármely Leszállítandó Termékét vagy Szolgáltatását a Kyndryl Vevőjének Kyndryl-termék vagy szolgáltatás részeként biztosítja.
3.2 A Szállító beszerzi az ISO 20243, Információtechnológia, Nyílt megbízható technológiaszolgáltató, TM szabvány (O-TTPS), Rosszindulatúan módosított és hamisított termékek korlátozása című szabványnak való megfelelés igazolását (akár önértékeléssel, akár egy jó hírű független felülvizsgáló értékelésén alapuló tanúsítással). Alternatív megoldásként, ha a Szállító írásban kéri és a Kyndryl írásban jóváhagyja, Szállító beszerzi a biztonságos fejlesztési és ellátási láncra vonatkozó, lényegében egyenértékű iparági szabványnak való megfelelés igazolását (akár saját maga által kiállított tanúsítványt, akár egy elismert független felülvizsgáló értékelésén alapuló tanúsítványt, ha és ahogy a Kyndryl jóváhagyja).
3.3 A Tranzakciós Dokumentum hatálybalépésének dátuma után 180 napon belül a Szállító megszerzi az ISO 20243 szabvány szerinti vagy a lényegében egyenértékű ágazati szabványnak való megfelelés tanúsítását (amennyiben a Kyndryl írásban jóváhagyja),
majd ezt követően 12 havonta megújítja a tanúsítást (minden megújításnál az alkalmazandó szabvány akkor legfrissebb változatával, azaz az ISO 20243-mal vagy - amennyiben a Kyndryl írásban jóváhagyta - egy lényegében egyenértékű, a biztonságos fejlesztési és ellátási lánc gyakorlatokra vonatkozó iparági szabvánnyal).
3.4 A Szállító kérésre haladéktalanul átadja a Kyndrylnek a fenti 2.1. és 2.2. pontok szerinti, a Szállító által kötelezeően megszerzendő tanúsítványok másolatát.
4. Biztonsági sebezhetőség
Az alábbiak szerint:
A Hibajavítás olyan, a Leszállítandókon végzett hibajavításokat és felülvizsgálatokat jelent, amelyek kijavítják a hibákat vagy hiányosságokat, beleértve a Biztonsági Sebezhetőségeket.
A Mérséklés a Biztonsági Sebezhetőség kockázatának csökkentésére vagy elkerülésére szolgáló bármely ismert megoldást jelenti.
A Biztonsági Sebezhetőség a Leszállítandó Termék tervezésének, kódolásának, fejlesztésének, megvalósításának, tesztelésének, üzemeltetésének, támogatásának, karbantartásának vagy kezelésének olyan állapotát jelenti, amely bárki számára olyan támadást tesz lehetővé, amely jogosulatlan hozzáférést vagy kiaknázást eredményezhet, beleértve: (a) a rendszer működéséhez való hozzáférést, annak ellenőrzését vagy megzavarását, (b) az adatokhoz való hozzáférést, azok törlését, módosítását vagy kinyerését, vagy (c) a felhasználók vagy rendszergazdák személyazonosságának, jogosultságainak vagy engedélyeinek megváltoztatását. A Biztonsági Sebezhetőség attól függetlenül is fennállhat, hogy Közös Sebezhetőségi és Ceszélyeztetettségi (CVE) azonosítót vagy bármilyen értékelést vagy hivatalos besorolást rendelnének hozzá.
4.1 A Szállító kijelenti és garantálja, hogy: (a) az Iparág Legjobb Gyakorlatait alkalmazza a Biztonsági Sebezhetőségek azonosítására, beleértve a folyamatos statikus és dinamikus forráskódú alkalmazások biztonsági vizsgálatát, a nyílt forráskódú alkalmazások biztonsági vizsgálatát és a rendszer sebezhetőségének vizsgálatát, és (b) betartja a jelen Feltételek követelményeit, hogy segítsen megelőzni, felderíteni és kijavítani a Biztonsági Sebezhetőségeket a Leszállítandókban és minden olyan IT-alkalmazásban, platformon és infrastruktúrában, amelyben és amelyen keresztül a Szállító Szolgáltatásokat és Leszállítandó termékeket hoz létre és bocsát rendelkezésre.
4.2 Ha a Szállító Biztonsági Sebezhetőségről szerez tudomást egy Leszállítandóban vagy bármely ilyen IT-alkalmazásban, platformban vagy infrastruktúrában, a Szállító hibajavítást és enyhítéseket biztosít a Kyndryl számára a Leszállítandó összes verziójára és kiadására vonatkozóan az alábbi táblázatokban meghatározott súlyossági szinteknek és időkereteknek megfelelően:
Súlyossági fokozat*
Vészhelyzeti Biztonsági Sebezhetőség – egy Biztonsági Sebezhetőség, amely súlyos és potenciálisan globális fenyegetést jelent. A Kyndryl saját belátása szerint jelöli ki a Vészhelyzeti Biztonsági Sebezhetőségeket, függetlenül a CVSS alappontszámától.
Súlyos – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 9 és 10,0 közötti
Magas – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 7,0 és 8,9 közötti
Közepes – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 4,0 és 6,9 közötti
Alacsony – olyan Biztonsági Sebezhetőség, amelynek CVSS alappontszáma 0,0 és 3,9 közötti
Időkeretek
Vészhelyzet
Súlyos
Magas
Közepes
Alacsony
4 nap vagy kevesebb, a Kyndryl Információbiztonsági Hivatalának meghatározása szerint
30 nap
30 nap
90 nap
Az iparág legjobb gyakorlatai szerint
*Minden olyan esetben, amikor egy Biztonsági Sebezhetőség nem rendelkezik könnyen hozzárendelhető CVSS alappontszámmal, a Szállító a sebezhetőség jellegének és körülményeinek megfelelő súlyossági szintet alkalmazza.
4.3 Olyan Biztonsági Sebezhetőség esetén, amelyet nyilvánosságra hoztak, és amelyre a Szállító még nem eszközölt hibajavítást vagy enyhítést a Kyndryl számára, Szállító minden olyan műszaki lehetséges kiegészítő biztonsági intézkedést megvalósít, amely csökkenti a sebezhetőség kockázatát.
4.4 Ha a Kyndryl elégedetlen a Szállítónak a Leszállítandó Termékben vagy a fent említett bármely alkalmazásban, platformban vagy infrastruktúrában található biztonsági résre adott válaszával, a Szállító - a Kyndryl egyéb jogainak sérelme nélkül - haladéktalanul gondoskodik arról, hogy a Kyndryl közvetlenül a Szállító alelnökével vagy azzal egyenértékű, a Hibajavítás megvalósításáért felelős vezetőjével vitassa meg aggályait.
4.5 A Biztonsági Sérülékenységre példa a harmadik féltől származó kód vagy az EOS (end-of-service) nyílt forráskód, ahol az ilyen típusú kódok esetáben már nem készülnek biztonsági javítások.
---
VIII. szakasz, Műszaki és szervezési intézkedések, Általános biztonság
Ez a szakasz akkor alkalmazandó, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó terméket nyújt a Kyndrylnek, kivéve, ha a Szállító csak a Kyndryl BCI-hez fér hozzá az ilyen Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátása során (azaz a Szállító nem dolgoz fel semmilyen más Kyndryl-adatot, és nem fér hozzá semmilyen más Kyndryl-anyaghoz vagy Vállalati Rendszerhez), a Szállító egyetlen Szolgáltatása és Leszállítandó Terméke a Kyndryl számára Helyszíni Szoftver biztosítása, vagy a Szállító a VII. szakasszal összhangban, beleértve annak 1.7. szakaszát is, az összes Szolgáltatást és Leszállítandó Terméket személyzetnövelési modellben nyújtja.
A Szállító köteles betartani a jelen cikk követelményeit, és ezáltal védeni: (a) a Kyndryl-anyagokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, valamint véletlen vagy jogosulatlan hozzáférés ellen, (b) a Kyndryl-adatokat a jogellenes Adatfeldolgozási formáktól és (c) a Kyndryl-technológiát a jogellenes Kezelési formáktól. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.
1. Biztonsági szabályzatok
1.1 A Szállító köteles fenntartani és követni az informatikai biztonsági irányelveket és gyakorlatokat, amelyek szerves részét képezik a Szállító üzleti tevékenységének, kötelezőek a Szállító Személyzete számára, és összhangban kell lenniük az Iparági Legjobb Gyakorlatokkal.
1.2 A Szállító legalább évente felülvizsgálja az IT biztonsági irányelveket és gyakorlatát, és a Kyndryl-anyagok védelmében a Szállító által szükségesnek ítélt módon módosítja.
1.3 A Szállító fenntartja és betartja a standard, kötelező foglalkoztatási ellenőrzési követelményeket minden új alkalmazott felvétele esetén, és kiterjeszti ezeket a követelményeket a Szállító összes alkalmazottjára és a Szállító teljes tulajdonú leányvállalataira is. Ezek a követelmények magukban foglalják a helyi törvények által megengedett mértékben a büntetőjogi háttér ellenőrzését, a személyazonosság igazolását, valamint a Szállító által szükségesnek ítélt további ellenőrzéseket. Szükség esetén a Szállító időszakonként ismétli és újraérvényesíti ezeket a követelményeket.
1.4 A Szállító évente biztonsági és adatvédelmi oktatást nyújt alkalmazottainak, és minden ilyen alkalmazottjától megköveteli, hogy minden évben igazolja, hogy betartja a Szállító etikus üzleti magatartási, titoktartási és biztonsági szabályzatát, amint azt a Szállító magatartási szabályzata vagy hasonló dokumentumai tartalmazzák. Szállító további képzéseket képzést biztosít a szabályzatról és a folyamatokról a Szolgáltatások, a Leszállítandó Termékek vagy a Kyndryl-anyagok bármely összetevőjéhez adminisztratív hozzáféréssel rendelkező személyek számára, a szerepükre és a Szolgáltatások, a Leszállítandó Termékek és a Kyndryl-anyagok támogatására vonatkozó képzéssel, valamint az előírt megfelelés és tanúsítványok fenntartásához szükséges módon.
1.5 A Szállító biztonsági és adatvédelmi intézkedéseket tervez a Kyndryl-anyagok védelme és rendelkezésre állásának fenntartása érdekében, többek között olyan irányelvek és eljárások végrehajtása, karbantartása és betartása révén, amelyek a biztonságot és az adatvédelmet a tervezés, a biztonságos tervezés és a biztonságos üzemeltetés révén írják elő valamennyi Szolgáltatás és Leszállítandó Termék, valamint az összes Kyndryl-technológia Kezelése esetében.
2. Biztonsági váratlanesemények
2.1 Szállító köteles a számítógépes biztonsági váratlanesemény-válasz kezelésére vonatkozó, az Iparági Legjobb Gyakorlatokkal összhangban lévő, dokumentált váratlanesemény-kezelési irányelveket fenntartani és betartani.
2.2 A Szállító kivizsgálja a Kyndryl-anyagokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan felhasználását, és megfelelő választervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.
2.4 A Szállító a Kyndryl számára ésszerű támogatást biztosít a Kyndryl, leányvállalatai és Vevői (vevői és kapcsolt vállalkozásai) jogi kötelezettségeinek (beleértve a szabályozó hatóságok vagy az Érintettek értesítésére vonatkozó kötelezettségeket is) teljesítése érdekében a Biztonsági Előírások Megsértése esetén.
2.5 A Szállító nem tájékoztatja és nem értesíti a harmadik felet arról, hogy a Biztonsági Előírások Megsértése közvetlenül vagy közvetve a Kyndrylhez vagy a Kyndryl-anyagokhoz kapcsolódik, kivéve, ha a Kyndryl ezt írásban jóváhagyja, vagy ha azt törvény írja elő. Szállító írásban értesíti a Kyndrylt, mielőtt bármilyen, jogszabályban előírt értesítést továbbítana bármely harmadik félnek, amennyiben az értesítés közvetlenül vagy közvetve felfedné a Kyndryl személyazonosságát.
2.6 A biztonsági előírások megsértése esetén, amely abból ered, hogy a Szállító megszegi a jelen Feltételek szerinti bármely kötelezettségét:
(a) A Szállító felelős a nála felmerülő költségekért, valamint a Kyndrylnél ténylegesen felmerülő költségekért, amely az illetékes szabályozó hatóságok, más kormányzati és releváns iparági önszabályozó ügynökségek, a média (ha a vonatkozó jogszabályok előírják), az Érintettek, az Ügyfelek és mások Biztonsági Előírások Megsértéséről történő értesítése során merül fel,
b) amennyiben a Kyndryl kéri, a Szállító saját költségén létrehoz és fenntart egy telefonos ügyfélszolgálatot, amely a Érintetteknek a Biztonsági Előírások Megsértésével és annak következményeivel kapcsolatos kérdéseire válaszol, a Biztonsági Előírások Megsértésről való értesítés időpontjától számított 1 évig, vagy az alkalmazandó adatvédelmi jogszabályok által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet. A Kyndryl és a Szállító együttműködik a szövegkönyvek és egyéb anyagok elkészítésében, amelyeket a telefonos ügyfélszolgálat munkatársai a megkeresések megválaszolásakor használnak. Alternatív megoldásként, a Szállítónak küldött írásbeli értesítés alapján a Kyndryl létrehozhatja és fenntarthatja saját hívásközpontját, ahelyett, hogy a Szállító hozna létre egy hívásközpontot, és a Szállító megtéríti a Kyndrylnek az ilyen hívásközpont létrehozásával és fenntartásával kapcsolatban felmerülő tényleges költségeket, és
c) A Szállító megtéríti a Kyndrylnek a tényleges költségeket, amelyek a Kyndrylnél a hitelfelügyeleti és hitelvisszaállítási szolgáltatások nyújtása során felmerülnek, 1 évvel azt követően, hogy a megsértés által érintett, az ilyen szolgáltatásokra regisztrálni kívánó személyeket értesítették a Biztonsági Előírások Megsértéséről, vagy az alkalmazandó adatvédelmi törvények által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet.
3. Fizikai biztonság és beléptetés-ellenőrzés (az alábbiakban használt "létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér).
3.1 A Szállító köteles megfelelő fizikai beléptetési ellenőrzéseket fenntartani, például sorompókat, kártyával vezérelt belépési pontokat, felügyeleti kamerákat és személyzeti recepciós pultokat, hogy megelőzze az illetéktelen belépést a létesítményekbe.
3.2 A Szállító a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáféréshez - beleértve az ideiglenes hozzáférést is - felhatalmazott engedélyt igényel, és a hozzáférést munkakör és üzleti szükséglet szerint korlátozza. Ha a Szállító ideiglenes hozzáfréést biztosít, a Szállító jogosult alkalmazottja minden látogatót kísérni fog, amíg a Létesítményben és az ellenőrzött területeken tartózkodik.
3.3 A Szállító fizikai beléptetési ellenőrzéseket valósít meg, beleértve az Iparági Legjobb Gyakorlatokkal összhangban lévő többtényezős beléptetési ellenőrzéseket, hogy megfelelően korlátozza a Létesítményen belüli ellenőrzött területekre való belépést, naplózza az összes belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzi.
3.4 A Szállító visszavonja a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáférést, ha (a) a jogosult munkavállaló felmondott, vagy (b) a jogosult szállítói munkavállalónak már nincs érvényes üzleti igénye a hozzáféréshez. A Szállító követi a hivatalos, dokumentált szétválasztási eljárásokat, amelyek magukban foglalják a hozzáférés-felügyeleti listákról való azonnali törlést és a fizikai hozzáférésre feljogosító igazolványok leadását.
3.5 A Szállító óvintézkedéseket tesz a Szolgáltatások és a Leszállítandó termékek támogatására és a Kyndryl-technológia Kezelésére használt fizikai infrastruktúra védelme érdekében a természetben előforduló és az ember által okozott környezeti veszélyekkel szemben, mint például a túlzott környezeti hőmérséklet, tűz, árvíz, páratartalom, lopás és vandalizmus.
4. Hozzáférés, beavatkozás, átvitel és szétválasztásszabályozás
4.1 A Szállító dokumentált biztonsági hálózatfelépítést tart fenn, amely a Szolgáltatások általa történő üzemeltetését, a Leszállítandó Termékek rendelkezésre bocsátását és a hozzá tartozó Kyndryl-technológiát kezeli. A Szállító külön felülvizsgálja az ilyen hálózatfelépítéseket, és intézkedéseket foganatosít a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz való jogosulatlan hálózati kapcsolatok megakadályozására, a biztonságos felosztás, az elkülönítés és a többszintű védelem szabványainak való megfelelés érdekében. A Szállító nem használhat vezeték nélküli technológiát a kihelyezett Szolgáltatások kihelyezése és üzemeltetése során; egyébként a Szállító használhat vezeték nélküli hálózati technológiát a Szolgáltatások és az Leszállítandó termékek kézbesítése és a Kyndryl-technológia Kezelése során, de a Szállító titkosítja és biztonságos hitelesítést ír elő az ilyen vezeték nélküli hálózatokhoz.
4.2 A Szállító olyan intézkedéseket tart fenn, amelyeket arra terveztek, hogy logikailag elkülönítsék és megakadályozzák, hogy a Kyndryl-anyagok illetéktelen személyek számára elérhetővé váljanak. Továbbá a Szállító fenntartja az éles, nem üzemi és egyéb környezetek megfelelő elkülönítését, és ha a Kyndryl-anyagok már jelen vannak egy nem üzemi környezetben, vagy átvitték azokat egy nem üzemi környezetbe (például egy hiba sokszorosítása érdekében), akkor a Szállító biztosítja, hogy a nem üzemi környezetben a biztonsági és adatvédelmi védelem megegyezik az éles környezetével védelmével.
4.3 Szállító titkosítja a Kyndryl-anyagokat szállítás közben és nyugalmi állapotban (kivéve, ha a Szállító a Kyndryl ésszerű megelégedésére bizonyítja, hogy a Kyndryl-anyagok nyugalmi állapotban történő titkosítása műszakilag kivitelezhetetlen). A Szállító továbbá titkosít minden fizikai adathordozót, ha van ilyen, például a biztonsági másolat fájljait tartalmazó adathordozót. A Szállító dokumentált eljárásokat tart fenn az adatok titkosításához kapcsolódó biztonságos kulcs előállítására, kiadására, terjesztésére, tárolására, forgatására, visszavonására, helyreállítására, biztonsági mentésére, megsemmisítésére, hozzáférésére és használatára vonatkozóan. A Szállító biztosítja, hogy az ilyen titkosításhoz használt sajátos rejtjelezett módszerek összhangban legyenek az Iparági Legjobb Gyakorlatokkal (például a NIST SP 800-131a).
4.4 Ha a Szállítónak hozzáférésre van szüksége a Kyndryl-anyagokhoz, a Szállító az ilyen hozzáférést a Szolgáltatások és a Leszállítandó Termékek nyújtásához és támogatásához szükséges legalacsonyabb szintre korlátozza. A Szállító megköveteli, hogy az ilyen hozzáférés, beleértve a mögöttes összetevőkhöz való adminisztratív hozzáférést (azaz a kiváltságos hozzáférést), egyéni, szerepkör alapú legyen, és a Szállító jogosult alkalmazottai által a kötelezettségelkülönítés elveit követve jóváhagyásra és rendszeres érvényesítésre szoruljon. A Szállító intézkedéseket tesz a felesleges és inaktív fiókok azonosítására és eltávolítására. A Szállító továbbá a kiváltságos hozzáféréssel rendelkező fiókokat visszavonja huszonnégy (24) órával a fiók tulajdonosa munkaviszonyának megszűnését vagy a Kyndryl vagy a Szállító bármely felhatalmazott alkalmazottjának, például a fiók tulajdonosának vezetőjének kérését követően.
4.5 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító műszaki intézkedéseket tart fenn az inaktív munkamenetek időtúllépésének kikényszerítésére, a fiókok többszöri egymást követő sikertelen bejelentkezési kísérlet utáni kizárására, erős jelszóval vagy jelmondattal történő hitelesítésre, valamint az ilyen jelszavak és jelmondatok biztonságos átvitelét és tárolását megkövetelő intézkedésekre. Ezenkívül a Szállító többtényezős hitelesítést alkalmaz az összes nem konzolalapú, bármely Kyndryl-anyaghoz való kiváltságos hozzáféréshez.
4.6 A Szállító figyelemmel kíséri a kiváltságos hozzáférések használatát, és olyan biztonsági információkat és eseménykezelési intézkedéseket tart fenn, amelyek célja: (a) a jogosulatlan hozzáférés és tevékenység azonosítása, b) az ilyen hozzáférésre és tevékenységre adott időben történő és megfelelő válaszadás megkönnyítése, és c) a Szállító, a Kyndryl (a jelen Feltételekben foglalt igazolási jogai és a Tranzakciós Dokumentumban vagy a kapcsolódó alapmegállapodásban vagy a felek közötti egyéb kapcsolódó megállapodásban foglalt ellenőrzési jogok alapján) és mások által végzett ellenőrzések lehetővé tétele a dokumentált Szállítói irányelveknek való megfelelés tekintetében.
4.7 A Szállító megőrzi azokat a naplókat, amelyekben az Iparági Legjobb Gyakorlatoknak megfelelően rögzít minden olyan adminisztrációs, felhasználói vagy egyéb hozzáférést vagy tevékenységet, amelyet a Szolgáltatások vagy a Leszállítandó Termékek rendelkezésre bocsátása és a Kyndryl-technológia Kezelése során használt rendszerekhez vagy azokkal kapcsolatban végez (és ezeket a naplókat kérésre a Kyndryl rendelkezésére bocsátja). A Szállító olyan intézkedéseket foganatosít, amelyek célja az ilyen naplókhoz való jogosulatlan hozzáférés, vagy azok módosítása, valamint véletlen vagy szándékos megsemmisítése elleni védelem.
4.8 A Szállító számítástechnikai védelmet tart fenn a tulajdonában lévő vagy általa kezelt rendszerek számára, beleértve a végfelhasználói rendszereket is, és amelyeket a Szolgáltatások vagy a Leszállítandó Termékek nyújtása vagy a Kyndryl-technológia kezelése során használ, az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljeslemez-titkosítás, aláírás és nem aláírás alapú végponti észlelési és válaszadási technológiák a rosszindulatú programok és a fejlett, tartós fenyegetések kezelésére, időalapú képernyőzár, valamint végpontkezelési megoldások, amelyek érvényesítik a biztonsági konfigurációs és javítási követelményeket. Ezen túlmenően a Szállító olyan műszaki és működési ellenőrzéseket hajt végre, amelyek biztosítják, hogy csak ismert és megbízható végfelhasználói rendszerek használhassák a Szállító hálózatait.
4.9 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító védelmet tart fenn az olyan adatközponti környezetek számára, ahol Kyndryl-anyagok vannak jelen vagy kerülnek feldolgozásra, beleértve a behatolásészlelést és -megelőzést, valamint a szolgáltatásmegtagadási támadások ellenintézkedéseit és mérséklését.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Szállító: (a) legalább évente biztonsági és adatvédelmi kockázatértékelést végez, (b) biztonsági vizsgálatot hajt végre és kiértékeli a sebezhetőségeket, beleértve az automatizált rendszer- és alkalmazásbiztonsági vizsgálatot és a kézi, erkölcsös számítástechnikai betörést, a termelés megkezdése előtt és azt követően évente a Szolgáltatások és a Leszállítandó Termékek tekintetében, valamint évente a Kyndryl-technológia kezelése tekintetében, (c) legalább évente egy független, minősített harmadik felet von be az Iparági Legjobb Gyakorlatoknak megfelelő behatolásvizsgálat elvégzésére, az ilyen vizsgálat magában foglalja mind az automatizált, mind a kézi vizsgálatot, d) a biztonsági konfigurációs követelményeknek való megfelelés automatizált kezelését és rutinszerű ellenőrzését a Szolgáltatások és a Leszállítandó Termékek minden egyes összetevője, valamint a Kyndryl-technológia Kezelése tekintetében, és e) a biztonsági konfigurációs követelményeknek való megfeleléssel kapcsolatos kockázat, kihasználhatóság és hatás alapján orvosolja az azonosított sebezhetőségeket vagy a biztonsági konfigurációs követelményeknek való meg nem felelést. A Szállító ésszerű lépéseket tesz annak érdekében, hogy elkerülje a Szolgáltatások fennakadását a vizsgálatok, kiértékelések, átvizsgálások és a helyreállítási tevékenységek végrehajtása során. A Kyndryl kérésére a Szállító a Kyndryl rendelkezésére bocsátja a Szállító legutóbbi behatolásvizsgálati tevékenységének írásos összefoglalóját, amely jelentés legalább a vizsgálat által érintett ajánlatok nevét, a vizsgálat hatálya alá tartozó rendszerek vagy alkalmazások számát, a vizsgálat időpontját, a vizsgálat során alkalmazott módszertant és a megállapítások részletes összefoglalóját tartalmazza.
5.2 A Szállító olyan irányelveket és eljárásokat tart fenn, amelyek célja a Szolgáltatásokban vagy a Leszállítandó Termékekben, illetve a Kyndryl-technológia kezelésében bekövetkező változásokkal kapcsolatos kockázatok Kezelése. Az ilyen változtatás végrehajtása előtt, beleértve az érintett rendszereket, hálózatokat és a mögöttes összetevőket is, a Szállító egy regisztrált módosításkérelemben dokumentálja: (a) a változtatás leírását és okát, (b) a végrehajtás részleteit és ütemezését, (c) egy kockázati nyilatkozatot a Szolgáltatásokra és a Leszállítandó Termékekre, a Szolgáltatások vevőire vagy a Kyndryl-anyagokra gyakorolt hatásról, (d) a várható eredményt, (e) a visszaléptetési tervet, és (f) a Szállító jogosult alkalmazottai általi jóváhagyást.
5.3 A Szállító köteles leltárt vezetni a Szolgáltatások üzemeltetéséhez, a Leszállítandó Termékek rendelkezésre bocsátásához és a Kyndryl-technológia Kezeléséhez használt összes IT eszközről. A Szállító folyamatosan figyelemmel kíséri és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia állapotát (beleértve a kapacitást is) és rendelkezésre állását, beleértve az ilyen eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia mögöttes összetevőit is.
5.4 A Szállító minden olyan rendszert, amelyet a Szolgáltatások és a Leszállítandó Termékek fejlesztése vagy üzemeltetése során, valamint a Kyndryl-technológia Kezelése során használ, előre megadott rendszerbiztonsági képek vagy biztonsági alapvonalak alapján állít össze, amelyek megfelelnek az Iparági Legjobb Gyakorlatoknak, például a "Center for Internet Security" (CIS) viszonyítási alapnak.
5.5 A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós Dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az üzletmenet-folytonosság tekintetében a Szállító minden egyes Szolgáltatást és Leszállítandó terméket, valamint a Kyndryl-technológia Kezelésében használt minden egyes IT rendszert külön értékel az üzletmenet és az IT-folytonosság, valamint a katasztrófa utáni helyreállítás követelményei szempontjából a dokumentált kockázatkezelési irányelvek szerint. A Szállító biztosítja, hogy minden ilyen szolgáltatás, Leszállítandó Termék és IT rendszer - a kockázatfelmérés által indokolt mértékben - külön meghatározott, dokumentált, karbantartott és évente érvényesített üzleti és informatikai folytonossági és katasztrófa utáni helyreállítási tervekkel rendelkezik, amelyek összhangban vannak az Iparági Legjobb Gyakorlatokkal. A Szállító biztosítja, hogy ezeket a terveket úgy tervezik meg, hogy az alábbi 5.6. szakaszban meghatározott kokrét helyreállítási idők teljesüljenek.
5.6 A konkrét helyreállításipont-célkitűzések ("RPO") és helyreállítási időcélok ("RTO") bármely Kihelyezett Szolgáltatás tekintetében a következők: 24 óra RPO és 24 óra RTO, mindazonáltal a Szállító köteles betartani minden olyan rövidebb időtartamú RPO-t vagy RTO-t, amelyet a Kyndryl a Vevőn felé vállalt, valamint haladéktalanul, miután a Kyndryl írásban értesítette a Szállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (egy e-mail is írásos értesítésnek minősül). A Szállító által a Kyndryl számára nyújtott minden egyéb Szolgáltatás tekintetében a Szállító biztosítja, hogy az üzletmenet-folytonossági és a katasztrófa utáni helyreállítási terveit úgy alakítsák ki, hogy azok olyan RPO és RTO értékeket biztosítsanak, amelyek lehetővé teszik a Szállító számára, hogy továbbra is megfeleljen a Kyndryl felé a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban, valamint a jelen Feltételekben foglalt valamennyi kötelezettségének, beleértve a vizsgálat, a támogatás és a karbantartás időben történő biztosítására vonatkozó kötelezettségeit.
5.7 A Szállító olyan intézkedéseket tart fenn, amelyek célja a biztonsági tanácsadói javítások értékelése, tesztelése és alkalmazása a Szolgáltatások és az Átadandó termékek, valamint a kapcsolódó rendszerek, hálózatok, alkalmazások és a mögöttes összetevők, valamint a Kyndryl technológia kezeléséhez használt rendszerek, hálózatok, alkalmazások és mögöttes komponensek értékelésére, tesztelésére és alkalmazására az említett Szolgáltatások és Átadandó termékek hatókörén belül. Annak megállapításakor, hogy egy biztonsági tanácsadói javítás alkalmazható és megfelelő, a Szállító a dokumentált súlyossági és kockázatfelmérési irányelvek szerint megvalósítja a javítást. A biztonsági tanácsadói javítások Szállító általi bevezetésére a Szállító változáskezelési irányelve vonatkozik.
5.8 Ha a Kyndrylnek ésszerű oka van feltételezni, hogy a Szállító által a Kyndryl számára biztosított hardver vagy szoftver betolakodó elemeket, például kémprogramot, rosszindulatú programot vagy rosszindulatú kódot tartalmazhat, akkor a Szállító időben együttműködik a Kyndryllel a Kyndryl aggályainak kivizsgálásában és orvoslásában.
6. Szolgáltatáslétesítés
6.1 A Szállító támogatja a Kyndryl-felhasználói vagy vevőfiókok egyesített hitelesítésének iparágban elterjedt módszereit, és a Szállító követi az Iparági Legjobb Gyakorlatokat az ilyen Kyndryl-felhasználói vagy vevőfiókok hitelesítése során (például a Kyndryl által központilag kezelt többtényezős egypontos bejelentkezéssel, OpenID Connect vagy biztonságellenőrzési jelölőnyelv használatával).
7. Alvállalkozók. A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az alvállalkozók megőrzése tekintetében a Szállító biztosítja, hogy a Szállító számára munkát végző alvállalkozó olyan irányítási ellenőrzéseket vezessen be, amelyek megfelelnek a jelen Feltételek által a Szállítóra rótt követelményeknek és kötelezettségeknek.
8. Fizikai adathordozók. A Szállító az újrafelhasználásra szánt fizikai adathordozókat az újrafelhasználás előtt biztonságosan normalizálja, és az újrafelhasználásra nem szánt fizikai adathordozókat az adathordozók normalizálására vonatkozó Iparági Legjobb Gyakorlatoknak megfelelően megsemmisíti.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
-
Ha igen, akkor a VI. (Hozzáférés vállalati rendszerekhez), a VIII. (Műszaki és szervezeti intézkedések, Általános biztonság) és a X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó az ilyen hozzáférés kapcsán.
Példák:
A Szállító fejlesztéssel kapcsolatos felelőssége megköveteli, hogy hozzáférjen a Kyndryl forráskód-tárolóihoz.
Megjegyzés: Attól függően, hogy a Kyndryl-anyagok Szállítója milyen vállalati rendszerekhez férhet hozzá, előfordulhat, hogy a II. (Műszaki és szervezeti intézkedések, Adatbiztonság), III. (Adatvédelem), IV. (Műszaki és szervezeti intézkedések, Kódbiztonság) és az V. szakasz (Biztonságos fejlesztés) szintén irányadó.
VI. szakasz, Hozzáférés vállalati rendszerekhez
Ez a szakasz akkor érvényes, ha a Szállító alkalmazottai jogosultak hozzáférni valamely Vállalati Rendszerhez.
1. Általános feltételek
1.1 A Kyndryl dönti el, hogy feljogosítja-e a Szállító alkalmazottait arra, hogy hozzáférjenek a Vállalati Rendszerekhez. Ha a Kyndryl ezt engedélyezi, akkor a Szállító ennek eleget tesz, és az ilyen hozzáféréssel rendelkező alkalmazottait kötelezi a jelen Szakasz követelményeinek betartására.
1.2 A Kyndryl azonosítja azokat a megoldásokat, amelyek segítségével a Szállító alkalmazottai hozzáférnek a Vállalati Rendszerekhez, beleértve azt is, hogy az ilyen alkalmazottak a Kyndryl vagy a Szállító által biztosított Eszközökön keresztül férnek-e hozzá a Vállalati Rendszerekhez.
1.3 A Szállító alkalmazottai csak a Vállalati Rendszerekhez férhetnek hozzá, és csak azokat az Eszközöket használhatják, amelyeket a Kyndryl engedélyez a Szolgáltatások rendelkezésre bocsátására. A Szállító alkalmazottai nem használhatják a Kyndryl által engedélyezett Eszközöket arra, hogy más személy vagy szervezet számára szolgáltatásokat nyújtsanak, vagy hogy a Szolgáltatásokhoz vagy azokkal kapcsolatban hozzáférjenek a Szállító vagy harmadik fél informatikai rendszereihez, hálózataihoz, alkalmazásaihoz, weboldalaihoz, e-mail eszközeihez, együttműködési eszközeihez vagy hasonlóhoz.
1.4 Az egyértelműség kedvéért a Szállító alkalmazottai nem használhatják a Kyndryl által a Vállalati Rendszerekhez való hozzáférést engedélyező Eszközöket személyes célokra (pl. a Szállító alkalmazottai nem tárolhatnak személyes fájlokat, zenét, videókat, képeket vagy más hasonló elemeket az ilyen Eszközökön, és nem használhatják az Internetet az ilyen Eszközökről személyes célokra).
1.5 A Szállító alkalmazottai a Kyndryl előzetes írásbeli jóváhagyása nélkül nem másolhatnak a Vállalati Rendszeren keresztül elérhető Kyndryl-anyagokat (és soha nem másolnak semmilyen Kyndryl-anyagot hordozható tárolóeszközre, például USB-eszközre, külső merevlemezre vagy más hasonló eszközre).
1.6 Kérésre a Szállító az alkalmazottak neve alapján megerősíti azokat a Vállalati Rendszereket, amelyekhez az alkalmazottai jogosultak hozzáférni, és amelyekhez a Kyndryl által azonosított bármely időszakban hozzáfértek.
1.7 A Szállító huszonnégy (24) órán belül értesíti Kyndrylt azután, hogy a Szállító bármely munkavállalója, aki hozzáférési jogosultsággal rendelkezik bármely Vállalati Rendszerhez, többé nem: (a) áll a Szállító alkalmazásában, vagy (b) dolgozik olyan tevékenységeken, amely ilyen hozzáférés igényel. A Szállító együttműködik a Kyndryllel annak biztosítására, hogy az ilyen korábbi vagy jelenlegi alkalmazottak hozzáférését azonnal visszavonja.
1.8 A Szállító haladéktalanul jelenti a Kyndrylnek a tényleges vagy feltételezett biztonsági váratlaneseményeket (például a Kyndryl vagy a Szállító Eszközének elvesztését vagy az Eszközhöz, illetve az adatokhoz, anyagokhoz vagy más információkhoz való jogosulatlan hozzáférést), és együttműködik a Kyndryllel az ilyen váratlanesemények kivizsgálásában.
1.9 A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem engedélyezheti ügynökök, független vállalkozók vagy alvállalkozók alkalmazottainak a Vállalati Rendszerhez való hozzáférést; ha a Kyndryl megadja ezt a hozzájárulást, akkor a Szállító szerződésben kötelezi ezeket a személyeket és munkáltatóikat, hogy megfeleljenek a jelen szakasz követelményeinek, mintha ezek a személyek a Szállító alkalmazottai lennének, és felelősség terjeli őket a Kyndrylnek az ilyen személyek vagy munkáltatók által az ilyen Vállalati Rendszerhez való hozzáféréssel kapcsolatban tett minden cselekedetért és mulasztásért.
2. Eszköz szoftver
2.1 A Szállító utasítja az alkalmazottait, hogy időben telepítsenek fel minden olyan szoftvert, amelyre Kyndrylnek szüksége van ahhoz, hogy biztonságos módon megkönnyítse a hozzáférést a Vállalati rendszerekhez. Sem a Szállító, sem annak alkalmazottai nem zavarják meg az ilyen szoftver üzemeltetését vagy a szoftver által lehetővé tett biztonsági funkciókat.
2.2 A Szállító és munkatársai ragaszkodnak a Kyndryl által beállított Eszközkonfigurációs szabályokhoz, annak biztosítása érdekében, hogy a szoftver a Kyndryl szándéka szerint működjön. Például a Szállító nem írhatja felül a szoftver weboldal-blokkoló vagy automatikus javítási funkcióit.
2.3 A Szállító alkalmazottai nem oszthatják meg a Vállalati Rendszerekhez való hozzáféréshez használt Eszközeiket, illetve az Eszközök felhasználóneveit, jelszavait és hasonlókat más személyekkel.
2.4 Ha a Kyndryl felhatalmazza a Szállító alkalmazottait arra, hogy hozzáférjenek a Vállalati Rendszerekhez a Szállítói Eszközök használatával, akkor a Szállító olyan operációs rendszert telepít és futtat azokon az eszközökön, amelyek a Kyndryl jóváhagyott, és a Kyndryl utasítására az adott operációs rendszert ésszerű időn belül új verzióra, vagy új operációs rendszerre fejleszti fel.
3. Felügyelet és együttműködés
3.1 A Kyndrylnek korlátlan joga van arra, hogy bármilyen módon, bármilyen helyről és bármilyen eszközzel, amelyet a Kyndryl szükségesnek vagy megfelelőnek tart, a Szállító, annak bármely alkalmazottja vagy más személy előzetes értesítése nélkül figyelemmel kísérje és elhárítsa az esetleges behatolásokat és egyéb kiberbiztonsági fenyegetéseket. Példaként az ilyen jogokra: a Kyndryl bármikor (a) biztonsági vizsgálatot végezhet el bármely Eszközön, (b) figyelemmel kísérheti, helyreállíthatja műszaki vagy egyéb eszközökkel és felülvizsgálhatja a kommunikációt (beleértve az e-maileket bármely e-mail fiókból), a feljegyzéseket, fájlokat és egyéb, bármely Eszközön tárolt vagy bármely Vállalati Rendszeren keresztül továbbított elemeket, és (c) teljes nyomozati képet készíthet bármely Eszközről. Ha a Kyndrylnek a jogai gyakorlásához szüksége van a Szállító együttműködésére, a Szállító teljes mértékben és időben teljesíti a Kyndryl ilyen együttműködésre vonatkozó kéréseit (beleértve például bármely Eszköz biztonságos konfigurálására, felügyeleti vagy egyéb szoftverek bármely Eszközre történő telepítésére, rendszerszintű kapcsolati adatok megosztására, váratlanesemény-kezelési intézkedésekre vonatkozó kéréseket bármely Eszközön, valamint fizikai hozzáférést biztosít bármely Eszközhöz a Kyndryl számára a teljes nyomozati kép vagy egyebek megszerzése érdekében, valamint ideértve a hasonló és kapcsolódó kéréseket).
3.2 A Kyndryl bármikor visszavonhatja a Vállalati Rendszerekhez való hozzáférést a Szállító bármelyik alkalmazottjától vagy a Szállító összes alkalmazottjától, a Szállító vagy a Szállító bármelyik alkalmazottja vagy mások előzetes értesítése nélkül, ha a Kyndryl úgy véli, hogy ez szükséges a Kyndryl védelme érdekében.
3.3 A Kyndrylt jogainak gyakorlásában semmilyen módon nem akadályozhatja, nem mérsékelheti, nem korlátozhatja a Tranzakciós Dokumentum, a felek közötti társított alapmegállapodás vagy a felek közötti bármely más megállapodás bármely rendelkezése, beleértve bármely olyan rendelkezést, amely előírhatja, hogy az adatok, anyagok vagy egyéb információk csak meghatározott helyen vagy helyeken tárolhatók, vagy amely előírhatja, hogy csak meghatározott helyről vagy helyekről származó személyek férhetnek hozzá az ilyen adatokhoz, anyagokhoz vagy egyéb információkhoz.
4. Kyndryl-eszközök
4.1 A Kyndryl megőrzi a Kyndryl-eszközök tulajdonjogát, és a Szállító viseli az Eszközök elvesztésének kockázatát, beleértve a lopás, vandalizmus vagy gondatlanság miatti elvesztést is. A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem végezhet vagy nem engedélyezhet semmilyen módosítást a Kyndryl-eszközökön; módosításnak minősül az Eszköz bármilyen módosítása, beleértve az Eszköz szoftverének, alkalmazásainak, biztonsági kialakításának, biztonsági konfigurációjának vagy fizikai, mechanikai vagy elektromos kialakításának bárminemű módosítását.
4.2 A Szállító az összes Kyndryl-eszközt 5 munkanapon belül visszaadja, miután az adott Eszközökre a Szolgáltatások nyújtásához nincs szükség, és ha a Kyndryl kéri, az adott Eszközökön található minden adatot, anyagot és egyéb információt megsemmisít, anélkül, hogy bármilyen másolatot megtartana, az összes ilyen adat, anyag és egyéb információ végleges törlése érdekében az Iparági Legjobb Gyakorlatokat követve. A Szállító a Kyndryl-eszközöket az ésszerű elhasználódástól eltekintve ugyanabban az állapotban, ahogyan azokat a Szállítónak átadták, a saját költségén csomagolja be és küldi vissza a Kyndryl által megjelölt helyre. Ha a Szállító nem tesz eleget a jelen 4.2. szakaszban foglalt bármely kötelezettségének, az a Tranzakciós Dokumentum és a társított alapmegállapodás, valamint a felek közötti bármely kapcsolódó megállapodás súlyos szerződésszegésének minősül, annak tudomásul vételével, hogy egy megállapodás "kapcsolódóként" értendő, ha a Vállalati Rendszerhez való hozzáférés megkönnyíti a Szállítónak az adott megállapodás szerinti feladatait, vagy egyéb tevékenységeit.
4.3 A Kyndryl támogatás nyújt a Kyndryl-eszközökhöz (beleértve az Eszközvizsgálatot és a megelőző és helyreállító karbantartást). A Szállító haladéktalanul tájékoztatja a Kyndrylt a helyreállítási szolgáltatás szükségességéről.
4.4. A Kyndryl tulajdonában lévő szoftverprogramok esetében, vagy amelyhez licencjoggal rendelkezik, a Kyndryl ideiglenes jogot biztosít a Szállítónak a programok használatára, tárolására, és elegendő másolatot készít azokról a Kyndryl-eszközök engedélyezett használatának támogatására. A Szállító nem adhatja át a programokat senkinek, nem készíthet másolatot a szoftverlicenc információiról, nem szedheti szét, nem fordíthatja vissza, nem fejtheti vissza és más módon sem fordíthatja a programokat, kivéve, ha a vonatkozó jogszabályok azt kifejezetten engedélyezik, a szerződéses joglemondás lehetősége nélkül.
5. Frissítések
5.1 A Tranzakciós Dokumentumban vagy a felek közötti társított alapmegállapodásban foglalt ellenkező értelmű rendelkezések ellenére a Kyndryl a Szállító írásbeli értesítésével és a Szállító hozzájárulásának megszerzése nélkül frissítheti, kiegészítheti vagy más módon módosíthatja ezt a cikket a vonatkozó jogszabályok vagy az Ügyfél kötelezettségei szerinti bármely követelmény teljesítése, a legjobb biztonsági gyakorlatok fejlődésének tükrözése, vagy egyébként a Kyndryl által a Vállalati Rendszerek vagy a Kyndryl védelme érdekében szükségesnek ítélt módon
---
VIII. szakasz, Műszaki és szervezési intézkedések, Általános biztonság
Ez a szakasz akkor alkalmazandó, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó terméket nyújt a Kyndrylnek, kivéve, ha a Szállító csak a Kyndryl BCI-hez fér hozzá az ilyen Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátása során (azaz a Szállító nem dolgoz fel semmilyen más Kyndryl-adatot, és nem fér hozzá semmilyen más Kyndryl-anyaghoz vagy Vállalati Rendszerhez), a Szállító egyetlen Szolgáltatása és Leszállítandó Terméke a Kyndryl számára Helyszíni Szoftver biztosítása, vagy a Szállító a VII. szakasszal összhangban, beleértve annak 1.7. szakaszát is, az összes Szolgáltatást és Leszállítandó Terméket személyzetnövelési modellben nyújtja.
A Szállító köteles betartani a jelen cikk követelményeit, és ezáltal védeni: (a) a Kyndryl-anyagokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, valamint véletlen vagy jogosulatlan hozzáférés ellen, (b) a Kyndryl-adatokat a jogellenes Adatfeldolgozási formáktól és (c) a Kyndryl-technológiát a jogellenes Kezelési formáktól. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.
1. Biztonsági szabályzatok
1.1 A Szállító köteles fenntartani és követni az informatikai biztonsági irányelveket és gyakorlatokat, amelyek szerves részét képezik a Szállító üzleti tevékenységének, kötelezőek a Szállító Személyzete számára, és összhangban kell lenniük az Iparági Legjobb Gyakorlatokkal.
1.2 A Szállító legalább évente felülvizsgálja az IT biztonsági irányelveket és gyakorlatát, és a Kyndryl-anyagok védelmében a Szállító által szükségesnek ítélt módon módosítja.
1.3 A Szállító fenntartja és betartja a standard, kötelező foglalkoztatási ellenőrzési követelményeket minden új alkalmazott felvétele esetén, és kiterjeszti ezeket a követelményeket a Szállító összes alkalmazottjára és a Szállító teljes tulajdonú leányvállalataira is. Ezek a követelmények magukban foglalják a helyi törvények által megengedett mértékben a büntetőjogi háttér ellenőrzését, a személyazonosság igazolását, valamint a Szállító által szükségesnek ítélt további ellenőrzéseket. Szükség esetén a Szállító időszakonként ismétli és újraérvényesíti ezeket a követelményeket.
1.4 A Szállító évente biztonsági és adatvédelmi oktatást nyújt alkalmazottainak, és minden ilyen alkalmazottjától megköveteli, hogy minden évben igazolja, hogy betartja a Szállító etikus üzleti magatartási, titoktartási és biztonsági szabályzatát, amint azt a Szállító magatartási szabályzata vagy hasonló dokumentumai tartalmazzák. Szállító további képzéseket képzést biztosít a szabályzatról és a folyamatokról a Szolgáltatások, a Leszállítandó Termékek vagy a Kyndryl-anyagok bármely összetevőjéhez adminisztratív hozzáféréssel rendelkező személyek számára, a szerepükre és a Szolgáltatások, a Leszállítandó Termékek és a Kyndryl-anyagok támogatására vonatkozó képzéssel, valamint az előírt megfelelés és tanúsítványok fenntartásához szükséges módon.
1.5 A Szállító biztonsági és adatvédelmi intézkedéseket tervez a Kyndryl-anyagok védelme és rendelkezésre állásának fenntartása érdekében, többek között olyan irányelvek és eljárások végrehajtása, karbantartása és betartása révén, amelyek a biztonságot és az adatvédelmet a tervezés, a biztonságos tervezés és a biztonságos üzemeltetés révén írják elő valamennyi Szolgáltatás és Leszállítandó Termék, valamint az összes Kyndryl-technológia Kezelése esetében.
2. Biztonsági váratlanesemények
2.1 Szállító köteles a számítógépes biztonsági váratlanesemény-válasz kezelésére vonatkozó, az Iparági Legjobb Gyakorlatokkal összhangban lévő, dokumentált váratlanesemény-kezelési irányelveket fenntartani és betartani.
2.2 A Szállító kivizsgálja a Kyndryl-anyagokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan felhasználását, és megfelelő választervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.
2.4 A Szállító a Kyndryl számára ésszerű támogatást biztosít a Kyndryl, leányvállalatai és Vevői (vevői és kapcsolt vállalkozásai) jogi kötelezettségeinek (beleértve a szabályozó hatóságok vagy az Érintettek értesítésére vonatkozó kötelezettségeket is) teljesítése érdekében a Biztonsági Előírások Megsértése esetén.
2.5 A Szállító nem tájékoztatja és nem értesíti a harmadik felet arról, hogy a Biztonsági Előírások Megsértése közvetlenül vagy közvetve a Kyndrylhez vagy a Kyndryl-anyagokhoz kapcsolódik, kivéve, ha a Kyndryl ezt írásban jóváhagyja, vagy ha azt törvény írja elő. Szállító írásban értesíti a Kyndrylt, mielőtt bármilyen, jogszabályban előírt értesítést továbbítana bármely harmadik félnek, amennyiben az értesítés közvetlenül vagy közvetve felfedné a Kyndryl személyazonosságát.
2.6 A biztonsági előírások megsértése esetén, amely abból ered, hogy a Szállító megszegi a jelen Feltételek szerinti bármely kötelezettségét:
(a) A Szállító felelős a nála felmerülő költségekért, valamint a Kyndrylnél ténylegesen felmerülő költségekért, amely az illetékes szabályozó hatóságok, más kormányzati és releváns iparági önszabályozó ügynökségek, a média (ha a vonatkozó jogszabályok előírják), az Érintettek, az Ügyfelek és mások Biztonsági Előírások Megsértéséről történő értesítése során merül fel,
b) amennyiben a Kyndryl kéri, a Szállító saját költségén létrehoz és fenntart egy telefonos ügyfélszolgálatot, amely a Érintetteknek a Biztonsági Előírások Megsértésével és annak következményeivel kapcsolatos kérdéseire válaszol, a Biztonsági Előírások Megsértésről való értesítés időpontjától számított 1 évig, vagy az alkalmazandó adatvédelmi jogszabályok által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet. A Kyndryl és a Szállító együttműködik a szövegkönyvek és egyéb anyagok elkészítésében, amelyeket a telefonos ügyfélszolgálat munkatársai a megkeresések megválaszolásakor használnak. Alternatív megoldásként, a Szállítónak küldött írásbeli értesítés alapján a Kyndryl létrehozhatja és fenntarthatja saját hívásközpontját, ahelyett, hogy a Szállító hozna létre egy hívásközpontot, és a Szállító megtéríti a Kyndrylnek az ilyen hívásközpont létrehozásával és fenntartásával kapcsolatban felmerülő tényleges költségeket, és
c) A Szállító megtéríti a Kyndrylnek a tényleges költségeket, amelyek a Kyndrylnél a hitelfelügyeleti és hitelvisszaállítási szolgáltatások nyújtása során felmerülnek, 1 évvel azt követően, hogy a megsértés által érintett, az ilyen szolgáltatásokra regisztrálni kívánó személyeket értesítették a Biztonsági Előírások Megsértéséről, vagy az alkalmazandó adatvédelmi törvények által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet.
3. Fizikai biztonság és beléptetés-ellenőrzés (az alábbiakban használt "létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér).
3.1 A Szállító köteles megfelelő fizikai beléptetési ellenőrzéseket fenntartani, például sorompókat, kártyával vezérelt belépési pontokat, felügyeleti kamerákat és személyzeti recepciós pultokat, hogy megelőzze az illetéktelen belépést a létesítményekbe.
3.2 A Szállító a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáféréshez - beleértve az ideiglenes hozzáférést is - felhatalmazott engedélyt igényel, és a hozzáférést munkakör és üzleti szükséglet szerint korlátozza. Ha a Szállító ideiglenes hozzáfréést biztosít, a Szállító jogosult alkalmazottja minden látogatót kísérni fog, amíg a Létesítményben és az ellenőrzött területeken tartózkodik.
3.3 A Szállító fizikai beléptetési ellenőrzéseket valósít meg, beleértve az Iparági Legjobb Gyakorlatokkal összhangban lévő többtényezős beléptetési ellenőrzéseket, hogy megfelelően korlátozza a Létesítményen belüli ellenőrzött területekre való belépést, naplózza az összes belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzi.
3.4 A Szállító visszavonja a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáférést, ha (a) a jogosult munkavállaló felmondott, vagy (b) a jogosult szállítói munkavállalónak már nincs érvényes üzleti igénye a hozzáféréshez. A Szállító követi a hivatalos, dokumentált szétválasztási eljárásokat, amelyek magukban foglalják a hozzáférés-felügyeleti listákról való azonnali törlést és a fizikai hozzáférésre feljogosító igazolványok leadását.
3.5 A Szállító óvintézkedéseket tesz a Szolgáltatások és a Leszállítandó termékek támogatására és a Kyndryl-technológia Kezelésére használt fizikai infrastruktúra védelme érdekében a természetben előforduló és az ember által okozott környezeti veszélyekkel szemben, mint például a túlzott környezeti hőmérséklet, tűz, árvíz, páratartalom, lopás és vandalizmus.
4. Hozzáférés, beavatkozás, átvitel és szétválasztásszabályozás
4.1 A Szállító dokumentált biztonsági hálózatfelépítést tart fenn, amely a Szolgáltatások általa történő üzemeltetését, a Leszállítandó Termékek rendelkezésre bocsátását és a hozzá tartozó Kyndryl-technológiát kezeli. A Szállító külön felülvizsgálja az ilyen hálózatfelépítéseket, és intézkedéseket foganatosít a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz való jogosulatlan hálózati kapcsolatok megakadályozására, a biztonságos felosztás, az elkülönítés és a többszintű védelem szabványainak való megfelelés érdekében. A Szállító nem használhat vezeték nélküli technológiát a kihelyezett Szolgáltatások kihelyezése és üzemeltetése során; egyébként a Szállító használhat vezeték nélküli hálózati technológiát a Szolgáltatások és az Leszállítandó termékek kézbesítése és a Kyndryl-technológia Kezelése során, de a Szállító titkosítja és biztonságos hitelesítést ír elő az ilyen vezeték nélküli hálózatokhoz.
4.2 A Szállító olyan intézkedéseket tart fenn, amelyeket arra terveztek, hogy logikailag elkülönítsék és megakadályozzák, hogy a Kyndryl-anyagok illetéktelen személyek számára elérhetővé váljanak. Továbbá a Szállító fenntartja az éles, nem üzemi és egyéb környezetek megfelelő elkülönítését, és ha a Kyndryl-anyagok már jelen vannak egy nem üzemi környezetben, vagy átvitték azokat egy nem üzemi környezetbe (például egy hiba sokszorosítása érdekében), akkor a Szállító biztosítja, hogy a nem üzemi környezetben a biztonsági és adatvédelmi védelem megegyezik az éles környezetével védelmével.
4.3 Szállító titkosítja a Kyndryl-anyagokat szállítás közben és nyugalmi állapotban (kivéve, ha a Szállító a Kyndryl ésszerű megelégedésére bizonyítja, hogy a Kyndryl-anyagok nyugalmi állapotban történő titkosítása műszakilag kivitelezhetetlen). A Szállító továbbá titkosít minden fizikai adathordozót, ha van ilyen, például a biztonsági másolat fájljait tartalmazó adathordozót. A Szállító dokumentált eljárásokat tart fenn az adatok titkosításához kapcsolódó biztonságos kulcs előállítására, kiadására, terjesztésére, tárolására, forgatására, visszavonására, helyreállítására, biztonsági mentésére, megsemmisítésére, hozzáférésére és használatára vonatkozóan. A Szállító biztosítja, hogy az ilyen titkosításhoz használt sajátos rejtjelezett módszerek összhangban legyenek az Iparági Legjobb Gyakorlatokkal (például a NIST SP 800-131a).
4.4 Ha a Szállítónak hozzáférésre van szüksége a Kyndryl-anyagokhoz, a Szállító az ilyen hozzáférést a Szolgáltatások és a Leszállítandó Termékek nyújtásához és támogatásához szükséges legalacsonyabb szintre korlátozza. A Szállító megköveteli, hogy az ilyen hozzáférés, beleértve a mögöttes összetevőkhöz való adminisztratív hozzáférést (azaz a kiváltságos hozzáférést), egyéni, szerepkör alapú legyen, és a Szállító jogosult alkalmazottai által a kötelezettségelkülönítés elveit követve jóváhagyásra és rendszeres érvényesítésre szoruljon. A Szállító intézkedéseket tesz a felesleges és inaktív fiókok azonosítására és eltávolítására. A Szállító továbbá a kiváltságos hozzáféréssel rendelkező fiókokat visszavonja huszonnégy (24) órával a fiók tulajdonosa munkaviszonyának megszűnését vagy a Kyndryl vagy a Szállító bármely felhatalmazott alkalmazottjának, például a fiók tulajdonosának vezetőjének kérését követően.
4.5 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító műszaki intézkedéseket tart fenn az inaktív munkamenetek időtúllépésének kikényszerítésére, a fiókok többszöri egymást követő sikertelen bejelentkezési kísérlet utáni kizárására, erős jelszóval vagy jelmondattal történő hitelesítésre, valamint az ilyen jelszavak és jelmondatok biztonságos átvitelét és tárolását megkövetelő intézkedésekre. Ezenkívül a Szállító többtényezős hitelesítést alkalmaz az összes nem konzolalapú, bármely Kyndryl-anyaghoz való kiváltságos hozzáféréshez.
4.6 A Szállító figyelemmel kíséri a kiváltságos hozzáférések használatát, és olyan biztonsági információkat és eseménykezelési intézkedéseket tart fenn, amelyek célja: (a) a jogosulatlan hozzáférés és tevékenység azonosítása, b) az ilyen hozzáférésre és tevékenységre adott időben történő és megfelelő válaszadás megkönnyítése, és c) a Szállító, a Kyndryl (a jelen Feltételekben foglalt igazolási jogai és a Tranzakciós Dokumentumban vagy a kapcsolódó alapmegállapodásban vagy a felek közötti egyéb kapcsolódó megállapodásban foglalt ellenőrzési jogok alapján) és mások által végzett ellenőrzések lehetővé tétele a dokumentált Szállítói irányelveknek való megfelelés tekintetében.
4.7 A Szállító megőrzi azokat a naplókat, amelyekben az Iparági Legjobb Gyakorlatoknak megfelelően rögzít minden olyan adminisztrációs, felhasználói vagy egyéb hozzáférést vagy tevékenységet, amelyet a Szolgáltatások vagy a Leszállítandó Termékek rendelkezésre bocsátása és a Kyndryl-technológia Kezelése során használt rendszerekhez vagy azokkal kapcsolatban végez (és ezeket a naplókat kérésre a Kyndryl rendelkezésére bocsátja). A Szállító olyan intézkedéseket foganatosít, amelyek célja az ilyen naplókhoz való jogosulatlan hozzáférés, vagy azok módosítása, valamint véletlen vagy szándékos megsemmisítése elleni védelem.
4.8 A Szállító számítástechnikai védelmet tart fenn a tulajdonában lévő vagy általa kezelt rendszerek számára, beleértve a végfelhasználói rendszereket is, és amelyeket a Szolgáltatások vagy a Leszállítandó Termékek nyújtása vagy a Kyndryl-technológia kezelése során használ, az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljeslemez-titkosítás, aláírás és nem aláírás alapú végponti észlelési és válaszadási technológiák a rosszindulatú programok és a fejlett, tartós fenyegetések kezelésére, időalapú képernyőzár, valamint végpontkezelési megoldások, amelyek érvényesítik a biztonsági konfigurációs és javítási követelményeket. Ezen túlmenően a Szállító olyan műszaki és működési ellenőrzéseket hajt végre, amelyek biztosítják, hogy csak ismert és megbízható végfelhasználói rendszerek használhassák a Szállító hálózatait.
4.9 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító védelmet tart fenn az olyan adatközponti környezetek számára, ahol Kyndryl-anyagok vannak jelen vagy kerülnek feldolgozásra, beleértve a behatolásészlelést és -megelőzést, valamint a szolgáltatásmegtagadási támadások ellenintézkedéseit és mérséklését.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Szállító: (a) legalább évente biztonsági és adatvédelmi kockázatértékelést végez, (b) biztonsági vizsgálatot hajt végre és kiértékeli a sebezhetőségeket, beleértve az automatizált rendszer- és alkalmazásbiztonsági vizsgálatot és a kézi, erkölcsös számítástechnikai betörést, a termelés megkezdése előtt és azt követően évente a Szolgáltatások és a Leszállítandó Termékek tekintetében, valamint évente a Kyndryl-technológia kezelése tekintetében, (c) legalább évente egy független, minősített harmadik felet von be az Iparági Legjobb Gyakorlatoknak megfelelő behatolásvizsgálat elvégzésére, az ilyen vizsgálat magában foglalja mind az automatizált, mind a kézi vizsgálatot, d) a biztonsági konfigurációs követelményeknek való megfelelés automatizált kezelését és rutinszerű ellenőrzését a Szolgáltatások és a Leszállítandó Termékek minden egyes összetevője, valamint a Kyndryl-technológia Kezelése tekintetében, és e) a biztonsági konfigurációs követelményeknek való megfeleléssel kapcsolatos kockázat, kihasználhatóság és hatás alapján orvosolja az azonosított sebezhetőségeket vagy a biztonsági konfigurációs követelményeknek való meg nem felelést. A Szállító ésszerű lépéseket tesz annak érdekében, hogy elkerülje a Szolgáltatások fennakadását a vizsgálatok, kiértékelések, átvizsgálások és a helyreállítási tevékenységek végrehajtása során. A Kyndryl kérésére a Szállító a Kyndryl rendelkezésére bocsátja a Szállító legutóbbi behatolásvizsgálati tevékenységének írásos összefoglalóját, amely jelentés legalább a vizsgálat által érintett ajánlatok nevét, a vizsgálat hatálya alá tartozó rendszerek vagy alkalmazások számát, a vizsgálat időpontját, a vizsgálat során alkalmazott módszertant és a megállapítások részletes összefoglalóját tartalmazza.
5.2 A Szállító olyan irányelveket és eljárásokat tart fenn, amelyek célja a Szolgáltatásokban vagy a Leszállítandó Termékekben, illetve a Kyndryl-technológia kezelésében bekövetkező változásokkal kapcsolatos kockázatok Kezelése. Az ilyen változtatás végrehajtása előtt, beleértve az érintett rendszereket, hálózatokat és a mögöttes összetevőket is, a Szállító egy regisztrált módosításkérelemben dokumentálja: (a) a változtatás leírását és okát, (b) a végrehajtás részleteit és ütemezését, (c) egy kockázati nyilatkozatot a Szolgáltatásokra és a Leszállítandó Termékekre, a Szolgáltatások vevőire vagy a Kyndryl-anyagokra gyakorolt hatásról, (d) a várható eredményt, (e) a visszaléptetési tervet, és (f) a Szállító jogosult alkalmazottai általi jóváhagyást.
5.3 A Szállító köteles leltárt vezetni a Szolgáltatások üzemeltetéséhez, a Leszállítandó Termékek rendelkezésre bocsátásához és a Kyndryl-technológia Kezeléséhez használt összes IT eszközről. A Szállító folyamatosan figyelemmel kíséri és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia állapotát (beleértve a kapacitást is) és rendelkezésre állását, beleértve az ilyen eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia mögöttes összetevőit is.
5.4 A Szállító minden olyan rendszert, amelyet a Szolgáltatások és a Leszállítandó Termékek fejlesztése vagy üzemeltetése során, valamint a Kyndryl-technológia Kezelése során használ, előre megadott rendszerbiztonsági képek vagy biztonsági alapvonalak alapján állít össze, amelyek megfelelnek az Iparági Legjobb Gyakorlatoknak, például a "Center for Internet Security" (CIS) viszonyítási alapnak.
5.5 A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós Dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az üzletmenet-folytonosság tekintetében a Szállító minden egyes Szolgáltatást és Leszállítandó terméket, valamint a Kyndryl-technológia Kezelésében használt minden egyes IT rendszert külön értékel az üzletmenet és az IT-folytonosság, valamint a katasztrófa utáni helyreállítás követelményei szempontjából a dokumentált kockázatkezelési irányelvek szerint. A Szállító biztosítja, hogy minden ilyen szolgáltatás, Leszállítandó Termék és IT rendszer - a kockázatfelmérés által indokolt mértékben - külön meghatározott, dokumentált, karbantartott és évente érvényesített üzleti és informatikai folytonossági és katasztrófa utáni helyreállítási tervekkel rendelkezik, amelyek összhangban vannak az Iparági Legjobb Gyakorlatokkal. A Szállító biztosítja, hogy ezeket a terveket úgy tervezik meg, hogy az alábbi 5.6. szakaszban meghatározott kokrét helyreállítási idők teljesüljenek.
5.6 A konkrét helyreállításipont-célkitűzések ("RPO") és helyreállítási időcélok ("RTO") bármely Kihelyezett Szolgáltatás tekintetében a következők: 24 óra RPO és 24 óra RTO, mindazonáltal a Szállító köteles betartani minden olyan rövidebb időtartamú RPO-t vagy RTO-t, amelyet a Kyndryl a Vevőn felé vállalt, valamint haladéktalanul, miután a Kyndryl írásban értesítette a Szállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (egy e-mail is írásos értesítésnek minősül). A Szállító által a Kyndryl számára nyújtott minden egyéb Szolgáltatás tekintetében a Szállító biztosítja, hogy az üzletmenet-folytonossági és a katasztrófa utáni helyreállítási terveit úgy alakítsák ki, hogy azok olyan RPO és RTO értékeket biztosítsanak, amelyek lehetővé teszik a Szállító számára, hogy továbbra is megfeleljen a Kyndryl felé a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban, valamint a jelen Feltételekben foglalt valamennyi kötelezettségének, beleértve a vizsgálat, a támogatás és a karbantartás időben történő biztosítására vonatkozó kötelezettségeit.
5.7 A Szállító olyan intézkedéseket tart fenn, amelyek célja a biztonsági tanácsadói javítások értékelése, tesztelése és alkalmazása a Szolgáltatások és az Átadandó termékek, valamint a kapcsolódó rendszerek, hálózatok, alkalmazások és a mögöttes összetevők, valamint a Kyndryl technológia kezeléséhez használt rendszerek, hálózatok, alkalmazások és mögöttes komponensek értékelésére, tesztelésére és alkalmazására az említett Szolgáltatások és Átadandó termékek hatókörén belül. Annak megállapításakor, hogy egy biztonsági tanácsadói javítás alkalmazható és megfelelő, a Szállító a dokumentált súlyossági és kockázatfelmérési irányelvek szerint megvalósítja a javítást. A biztonsági tanácsadói javítások Szállító általi bevezetésére a Szállító változáskezelési irányelve vonatkozik.
5.8 Ha a Kyndrylnek ésszerű oka van feltételezni, hogy a Szállító által a Kyndryl számára biztosított hardver vagy szoftver betolakodó elemeket, például kémprogramot, rosszindulatú programot vagy rosszindulatú kódot tartalmazhat, akkor a Szállító időben együttműködik a Kyndryllel a Kyndryl aggályainak kivizsgálásában és orvoslásában.
6. Szolgáltatáslétesítés
6.1 A Szállító támogatja a Kyndryl-felhasználói vagy vevőfiókok egyesített hitelesítésének iparágban elterjedt módszereit, és a Szállító követi az Iparági Legjobb Gyakorlatokat az ilyen Kyndryl-felhasználói vagy vevőfiókok hitelesítése során (például a Kyndryl által központilag kezelt többtényezős egypontos bejelentkezéssel, OpenID Connect vagy biztonságellenőrzési jelölőnyelv használatával).
7. Alvállalkozók. A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az alvállalkozók megőrzése tekintetében a Szállító biztosítja, hogy a Szállító számára munkát végző alvállalkozó olyan irányítási ellenőrzéseket vezessen be, amelyek megfelelnek a jelen Feltételek által a Szállítóra rótt követelményeknek és kötelezettségeknek.
8. Fizikai adathordozók. A Szállító az újrafelhasználásra szánt fizikai adathordozókat az újrafelhasználás előtt biztonságosan normalizálja, és az újrafelhasználásra nem szánt fizikai adathordozókat az adathordozók normalizálására vonatkozó Iparági Legjobb Gyakorlatoknak megfelelően megsemmisíti.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
-
Ha igen, a VI. (Hozzáférés vállalati rendszerekhez), VII. (Személyzetnövelés) és a X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó.
Megjegyzés: Attól függően, hogy a Kyndryl-anyagok Szállítója milyen vállalati rendszerekhez férhet hozzá, előfordulhat, hogy a II. (Műszaki és szervezeti intézkedések, Adatbiztonság), III. (Adatvédelem), IV. (Műszaki és szervezeti intézkedések, Kódbiztonság) és az V. szakasz (Biztonságos fejlesztés) szintén irányadó.
VI. szakasz, Hozzáférés vállalati rendszerekhez
Ez a szakasz akkor érvényes, ha a Szállító alkalmazottai jogosultak hozzáférni valamely Vállalati Rendszerhez.
1. Általános feltételek
1.1 A Kyndryl dönti el, hogy feljogosítja-e a Szállító alkalmazottait arra, hogy hozzáférjenek a Vállalati Rendszerekhez. Ha a Kyndryl ezt engedélyezi, akkor a Szállító ennek eleget tesz, és az ilyen hozzáféréssel rendelkező alkalmazottait kötelezi a jelen Szakasz követelményeinek betartására.
1.2 A Kyndryl azonosítja azokat a megoldásokat, amelyek segítségével a Szállító alkalmazottai hozzáférnek a Vállalati Rendszerekhez, beleértve azt is, hogy az ilyen alkalmazottak a Kyndryl vagy a Szállító által biztosított Eszközökön keresztül férnek-e hozzá a Vállalati Rendszerekhez.
1.3 A Szállító alkalmazottai csak a Vállalati Rendszerekhez férhetnek hozzá, és csak azokat az Eszközöket használhatják, amelyeket a Kyndryl engedélyez a Szolgáltatások rendelkezésre bocsátására. A Szállító alkalmazottai nem használhatják a Kyndryl által engedélyezett Eszközöket arra, hogy más személy vagy szervezet számára szolgáltatásokat nyújtsanak, vagy hogy a Szolgáltatásokhoz vagy azokkal kapcsolatban hozzáférjenek a Szállító vagy harmadik fél informatikai rendszereihez, hálózataihoz, alkalmazásaihoz, weboldalaihoz, e-mail eszközeihez, együttműködési eszközeihez vagy hasonlóhoz.
1.4 Az egyértelműség kedvéért a Szállító alkalmazottai nem használhatják a Kyndryl által a Vállalati Rendszerekhez való hozzáférést engedélyező Eszközöket személyes célokra (pl. a Szállító alkalmazottai nem tárolhatnak személyes fájlokat, zenét, videókat, képeket vagy más hasonló elemeket az ilyen Eszközökön, és nem használhatják az Internetet az ilyen Eszközökről személyes célokra).
1.5 A Szállító alkalmazottai a Kyndryl előzetes írásbeli jóváhagyása nélkül nem másolhatnak a Vállalati Rendszeren keresztül elérhető Kyndryl-anyagokat (és soha nem másolnak semmilyen Kyndryl-anyagot hordozható tárolóeszközre, például USB-eszközre, külső merevlemezre vagy más hasonló eszközre).
1.6 Kérésre a Szállító az alkalmazottak neve alapján megerősíti azokat a Vállalati Rendszereket, amelyekhez az alkalmazottai jogosultak hozzáférni, és amelyekhez a Kyndryl által azonosított bármely időszakban hozzáfértek.
1.7 A Szállító huszonnégy (24) órán belül értesíti Kyndrylt azután, hogy a Szállító bármely munkavállalója, aki hozzáférési jogosultsággal rendelkezik bármely Vállalati Rendszerhez, többé nem: (a) áll a Szállító alkalmazásában, vagy (b) dolgozik olyan tevékenységeken, amely ilyen hozzáférés igényel. A Szállító együttműködik a Kyndryllel annak biztosítására, hogy az ilyen korábbi vagy jelenlegi alkalmazottak hozzáférését azonnal visszavonja.
1.8 A Szállító haladéktalanul jelenti a Kyndrylnek a tényleges vagy feltételezett biztonsági váratlaneseményeket (például a Kyndryl vagy a Szállító Eszközének elvesztését vagy az Eszközhöz, illetve az adatokhoz, anyagokhoz vagy más információkhoz való jogosulatlan hozzáférést), és együttműködik a Kyndryllel az ilyen váratlanesemények kivizsgálásában.
1.9 A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem engedélyezheti ügynökök, független vállalkozók vagy alvállalkozók alkalmazottainak a Vállalati Rendszerhez való hozzáférést; ha a Kyndryl megadja ezt a hozzájárulást, akkor a Szállító szerződésben kötelezi ezeket a személyeket és munkáltatóikat, hogy megfeleljenek a jelen szakasz követelményeinek, mintha ezek a személyek a Szállító alkalmazottai lennének, és felelősség terjeli őket a Kyndrylnek az ilyen személyek vagy munkáltatók által az ilyen Vállalati Rendszerhez való hozzáféréssel kapcsolatban tett minden cselekedetért és mulasztásért.
2. Eszköz szoftver
2.1 A Szállító utasítja az alkalmazottait, hogy időben telepítsenek fel minden olyan szoftvert, amelyre Kyndrylnek szüksége van ahhoz, hogy biztonságos módon megkönnyítse a hozzáférést a Vállalati rendszerekhez. Sem a Szállító, sem annak alkalmazottai nem zavarják meg az ilyen szoftver üzemeltetését vagy a szoftver által lehetővé tett biztonsági funkciókat.
2.2 A Szállító és munkatársai ragaszkodnak a Kyndryl által beállított Eszközkonfigurációs szabályokhoz, annak biztosítása érdekében, hogy a szoftver a Kyndryl szándéka szerint működjön. Például a Szállító nem írhatja felül a szoftver weboldal-blokkoló vagy automatikus javítási funkcióit.
2.3 A Szállító alkalmazottai nem oszthatják meg a Vállalati Rendszerekhez való hozzáféréshez használt Eszközeiket, illetve az Eszközök felhasználóneveit, jelszavait és hasonlókat más személyekkel.
2.4 Ha a Kyndryl felhatalmazza a Szállító alkalmazottait arra, hogy hozzáférjenek a Vállalati Rendszerekhez a Szállítói Eszközök használatával, akkor a Szállító olyan operációs rendszert telepít és futtat azokon az eszközökön, amelyek a Kyndryl jóváhagyott, és a Kyndryl utasítására az adott operációs rendszert ésszerű időn belül új verzióra, vagy új operációs rendszerre fejleszti fel.
3. Felügyelet és együttműködés
3.1 A Kyndrylnek korlátlan joga van arra, hogy bármilyen módon, bármilyen helyről és bármilyen eszközzel, amelyet a Kyndryl szükségesnek vagy megfelelőnek tart, a Szállító, annak bármely alkalmazottja vagy más személy előzetes értesítése nélkül figyelemmel kísérje és elhárítsa az esetleges behatolásokat és egyéb kiberbiztonsági fenyegetéseket. Példaként az ilyen jogokra: a Kyndryl bármikor (a) biztonsági vizsgálatot végezhet el bármely Eszközön, (b) figyelemmel kísérheti, helyreállíthatja műszaki vagy egyéb eszközökkel és felülvizsgálhatja a kommunikációt (beleértve az e-maileket bármely e-mail fiókból), a feljegyzéseket, fájlokat és egyéb, bármely Eszközön tárolt vagy bármely Vállalati Rendszeren keresztül továbbított elemeket, és (c) teljes nyomozati képet készíthet bármely Eszközről. Ha a Kyndrylnek a jogai gyakorlásához szüksége van a Szállító együttműködésére, a Szállító teljes mértékben és időben teljesíti a Kyndryl ilyen együttműködésre vonatkozó kéréseit (beleértve például bármely Eszköz biztonságos konfigurálására, felügyeleti vagy egyéb szoftverek bármely Eszközre történő telepítésére, rendszerszintű kapcsolati adatok megosztására, váratlanesemény-kezelési intézkedésekre vonatkozó kéréseket bármely Eszközön, valamint fizikai hozzáférést biztosít bármely Eszközhöz a Kyndryl számára a teljes nyomozati kép vagy egyebek megszerzése érdekében, valamint ideértve a hasonló és kapcsolódó kéréseket).
3.2 A Kyndryl bármikor visszavonhatja a Vállalati Rendszerekhez való hozzáférést a Szállító bármelyik alkalmazottjától vagy a Szállító összes alkalmazottjától, a Szállító vagy a Szállító bármelyik alkalmazottja vagy mások előzetes értesítése nélkül, ha a Kyndryl úgy véli, hogy ez szükséges a Kyndryl védelme érdekében.
3.3 A Kyndrylt jogainak gyakorlásában semmilyen módon nem akadályozhatja, nem mérsékelheti, nem korlátozhatja a Tranzakciós Dokumentum, a felek közötti társított alapmegállapodás vagy a felek közötti bármely más megállapodás bármely rendelkezése, beleértve bármely olyan rendelkezést, amely előírhatja, hogy az adatok, anyagok vagy egyéb információk csak meghatározott helyen vagy helyeken tárolhatók, vagy amely előírhatja, hogy csak meghatározott helyről vagy helyekről származó személyek férhetnek hozzá az ilyen adatokhoz, anyagokhoz vagy egyéb információkhoz.
4. Kyndryl-eszközök
4.1 A Kyndryl megőrzi a Kyndryl-eszközök tulajdonjogát, és a Szállító viseli az Eszközök elvesztésének kockázatát, beleértve a lopás, vandalizmus vagy gondatlanság miatti elvesztést is. A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem végezhet vagy nem engedélyezhet semmilyen módosítást a Kyndryl-eszközökön; módosításnak minősül az Eszköz bármilyen módosítása, beleértve az Eszköz szoftverének, alkalmazásainak, biztonsági kialakításának, biztonsági konfigurációjának vagy fizikai, mechanikai vagy elektromos kialakításának bárminemű módosítását.
4.2 A Szállító az összes Kyndryl-eszközt 5 munkanapon belül visszaadja, miután az adott Eszközökre a Szolgáltatások nyújtásához nincs szükség, és ha a Kyndryl kéri, az adott Eszközökön található minden adatot, anyagot és egyéb információt megsemmisít, anélkül, hogy bármilyen másolatot megtartana, az összes ilyen adat, anyag és egyéb információ végleges törlése érdekében az Iparági Legjobb Gyakorlatokat követve. A Szállító a Kyndryl-eszközöket az ésszerű elhasználódástól eltekintve ugyanabban az állapotban, ahogyan azokat a Szállítónak átadták, a saját költségén csomagolja be és küldi vissza a Kyndryl által megjelölt helyre. Ha a Szállító nem tesz eleget a jelen 4.2. szakaszban foglalt bármely kötelezettségének, az a Tranzakciós Dokumentum és a társított alapmegállapodás, valamint a felek közötti bármely kapcsolódó megállapodás súlyos szerződésszegésének minősül, annak tudomásul vételével, hogy egy megállapodás "kapcsolódóként" értendő, ha a Vállalati Rendszerhez való hozzáférés megkönnyíti a Szállítónak az adott megállapodás szerinti feladatait, vagy egyéb tevékenységeit.
4.3 A Kyndryl támogatás nyújt a Kyndryl-eszközökhöz (beleértve az Eszközvizsgálatot és a megelőző és helyreállító karbantartást). A Szállító haladéktalanul tájékoztatja a Kyndrylt a helyreállítási szolgáltatás szükségességéről.
4.4. A Kyndryl tulajdonában lévő szoftverprogramok esetében, vagy amelyhez licencjoggal rendelkezik, a Kyndryl ideiglenes jogot biztosít a Szállítónak a programok használatára, tárolására, és elegendő másolatot készít azokról a Kyndryl-eszközök engedélyezett használatának támogatására. A Szállító nem adhatja át a programokat senkinek, nem készíthet másolatot a szoftverlicenc információiról, nem szedheti szét, nem fordíthatja vissza, nem fejtheti vissza és más módon sem fordíthatja a programokat, kivéve, ha a vonatkozó jogszabályok azt kifejezetten engedélyezik, a szerződéses joglemondás lehetősége nélkül.
5. Frissítések
5.1 A Tranzakciós Dokumentumban vagy a felek közötti társított alapmegállapodásban foglalt ellenkező értelmű rendelkezések ellenére a Kyndryl a Szállító írásbeli értesítésével és a Szállító hozzájárulásának megszerzése nélkül frissítheti, kiegészítheti vagy más módon módosíthatja ezt a cikket a vonatkozó jogszabályok vagy az Ügyfél kötelezettségei szerinti bármely követelmény teljesítése, a legjobb biztonsági gyakorlatok fejlődésének tükrözése, vagy egyébként a Kyndryl által a Vállalati Rendszerek vagy a Kyndryl védelme érdekében szükségesnek ítélt módon
---
VII. szakasz, Személyzetnövelés
Ez a Szakasz akkor alkalmazandó, ha a Szállító alkalmazottai teljes munkaidejüket a Kyndryl számára nyújtott Szolgáltatások nyújtására fordítják, az összes ilyen szolgáltatást a Kyndryl telephelyén, a Vevő telephelyén vagy otthonukból végzik, és a Szolgáltatásokat kizárólag a Kyndryl-eszközök használatával nyújtják a Vállalati Rendszerekhez való hozzáférés érdekében.
1. Hozzáférés a vállalati rendszerekhez; Kyndryl-környezetek
1.1 A Szállító a Szolgáltatásokat kizárólag a Kyndryl által biztosított Eszközökkel végrehajtott, a vállalati rendszerekhez való hozzáféréssel végezheti.
1.2 Szállító köteles betartani a VI. szakaszban (Hozzáférés vállalati rendszerekhez) meghatározott feltételeket a vállalati rendszerekhez való hozzáférés tekintetében.
1.3 A Kyndryl által biztosított Eszközök az egyetlen olyan Eszközök, amelyeket a Szállító és alkalmazottai használhatnak a Szolgáltatások nyújtására, és amelyeket kizárólag a Szállító és alkalmazottai használhatnak a Szolgáltatások rendelkezésre bocsátására. Az egyértelműség érdekében a Szállító vagy annak alkalmazottai semmilyen esetben sem használhatnak más eszközöket a Szolgáltatások nyújtására, illetve nem használhatják a Kyndryl-eszközöket a Szállítói egyéb vevője számára, vagy más célra, mint a Kyndrylnek nyújtott Szolgáltatások rendelkezésre bocsátására.
1.4 A Szállító Kyndryl-eszközöket használó alkalmazottai megoszthatják egymással a Kyndryl-anyagokat, és tárolhatják ezeket az anyagokat a Kyndryl-eszközökön, de csak olyan korlátozott mértékben, amilyen mértékben az ilyen megosztás és tárolás szükséges a Szolgáltatások sikeres teljesítéséhez.
1.5 A Kyndryl-eszközökön belüli tárolás kivételével a Szállító vagy annak alkalmazottai semmilyen esetben sem távolíthatják el a Kyndryl-anyagokat a Kyndryl tárolóhelyeiről, környezetéből, eszközeiből vagy infrastruktúrájából, ahol azokat a Kyndryl tárolja.
1.6 Az egyértelműség érdekében a Szállító és annak alkalmazottai nem jogosultak a Kyndryl előzetes írásbeli hozzájárulása nélkül a Kyndryl bármely tárolóhelyére, környezetébe, eszközébe vagy infrastruktúrájába, illetve a Szállító bármely más rendszerébe, platformjára, hálózatába vagy más hasonlóba átvinni a Kyndryl anyagokat.
1.7 A VIII. cikk (Műszaki és szervezeti intézkedések, Általános biztonság) nem vonatkozik a Szállító szolgáltatásaira, amennyiben a Szállító alkalmazottai teljes munkaidejüket a Kyndryl számára nyújtott szolgáltatásokra fordítják, az összes ilyen szolgáltatást a Kyndryl telephelyén, az Ügyfél telephelyén vagy otthonukból végzik, és a szolgáltatásokat kizárólag a Kyndryl eszközökkel nyújtják a vállalati rendszerekhez való hozzáférés érdekében. Ellenkező esetben a Szállító Szolgáltatásaira a VIII. szakasz vonatkozik.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
-
Ha igen, a II. (Műszaki és szervezeti intézkedések, Adatbiztonság), VIII. (Műszaki és szervezeti intézkedések, Általános biztonság), IX. (A kihelyett szolgáltatások tanúsítványai és jelentései) és X. szakasz (Együttműködés, igazolás és helyreállítás) az irányadó. A III. szakasz (Adatvédelem) is irányadó, ha a Szállító hozzáféréssel rendelkezik a Kyndryl Személyes Adataihoz a Tárhelyszolgáltatás nyújtása során.
Példák:
A Szállító bármely ajánlatát „szolgáltatásként" nyújta Kyndryl számára, mint például szoftver, platform vagy infrastruktúra.
II. szakasz, Műszaki és szervezési intézkedések, Adatbiztonság
Ez a szakasz akkor alkalmazandó, ha Szállító a Kyndryl BCI-től eltérő Kyndryl-adatokat dolgoz fel. A Szállító valamennyi Szolgáltatás és Leszállítandó Termék nyújtása során betartja a jelen szakasz követelményeit, és ezáltal védi a Kyndryl-adatokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, véletlen vagy jogosulatlan hozzáférés és bármely jogellenes Adatkezelés ellen. A követelmények Szakasz kiterjed minden olyan IT-alkalmazásra, platformra és infrastruktúrára, amelyet Szállító üzemeltet, vagy kezel a Leszállítandó Termékek és Szolgáltatások nyújtása során, beleértve az összes fejlesztési, vizsgálati, kihelyezési, támogatási, üzemeltetési és adatközpont-környezetet.
1. Adathasználat
1.1 A Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem egészítheti ki a Kyndryl-adatokat, illetve nem foglalhat bele a Kyndryl-adatokba semmilyen más információt vagy adatot, beleértve a Személyes Adatokat, és a Szállító nem használhatja a Kyndryl-adatokat semmilyen formában, összesítve vagy más módon, a Szolgáltatások és a Leszállítandók rendelkezésre bocsátásán kívüli más célra (például nem használhatja fel újra a Kyndryl-adatokat a Szállító ajánlatainak hatékonyságának vagy javítási módjainak értékelésére, új ajánlatok létrehozására irányuló kutatás és fejlesztés céljából, vagy a Szállító ajánlataira vonatkozó jelentések készítésére). Hacsak a Tranzakciós Dokumentum kifejezetten nem engedélyezi, a Szállító számára tilos a Kyndryl-adatok Értékesítése.
1.2 A Szállító nem ágyazhat be semmilyen webes nyomkövetési technológiát a Leszállítandó Termékekbe vagy a Szolgáltatások részeként (az ilyen technológiák magukban foglalják a HTML5-t, a helyi tárolást, a harmadik fél címkéit vagy a kulcsszavakat és webjelzőket), kivéve, ha a Tranzakciós Dokumentum ezt kifejezetten engedélyezi.
2. Harmadik felek kérései és titoktartás
2.1 A Szállító nem közli a Kyndryl-adatokat harmadik fél részére, kivéve, ha a Kyndryl erre előzetesen írásban feljogosította. Ha egy kormányzat, beleértve bármely szabályozó hatóságot is, hozzáférést kér a Kyndryl-adatokhoz (például ha az Egyesült Államok kormánya nemzetbiztonsági utasítást ad ki a Szállítónak a Kyndryl-adatok megszerzésére), vagy ha a Kyndryl-adatok közlését egyébként törvény írja elő, a Szállító írásban értesíti a Kyndrylt az ilyen követelésről vagy követelményről, és méltányos lehetőséget biztosít a Kyndrylnek a közlés megtámadására (amennyiben a törvény tiltja az értesítést, a Szállító megteszi azokat a lépéseket, amelyeket ésszerűen megfelelőnek tart a tiltás és a Kyndryl-adatok közlésének bírósági úton vagy más módon történő megtámadására).
2.2 A Szállító biztosítja a Kyndrylt arról, hogy: (a) csak azok az alkalmazottak rendelkeznek ilyen hozzáféréssel, akik esetében szükséges a Szolgáltatások vagy a Leszállítandó termékek rendelkezésre bocsátása érdekében, és kizárólag az adott Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátásához szükséges mértékig; és (b) a Szállító munkavállalóit olyan titoktartási kötelezettség terheli, amelyek kikötik, hogy kizárólag a jelen a Feltételekben engedélyezett mértékig használhatják és közölhetik a Kyndryl-adatokat.
3. A Kyndryl adatok visszatérítése vagy törlése
3.1 A Szállító a Kyndryl választása szerint törli vagy visszatéríti a Kyndryl-adatokat a Kyndryl részére a Tranzakciós Dokumentum megszűnésekor vagy lejártakor, vagy a Kyndryl kérésére ezeknél korábban. Ha Kyndryl törlést igényel, a Szállító az Ipari Legjobb Gyakorlatok szerint olvashatatlanná, összeállíthatatlanná vagy rekonstruálhatatlanná teszi, és tanúsítja a törlés tényét a Kyndryl felé. Ha Kyndryl a Kyndryl-adatok visszatérítését igényli, a Szállító ezt a Kyndryl ésszerű ütemezése és írásos utasítása szerint teszi meg.
---
VIII. szakasz, Műszaki és szervezési intézkedések, Általános biztonság
Ez a szakasz akkor alkalmazandó, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó terméket nyújt a Kyndrylnek, kivéve, ha a Szállító csak a Kyndryl BCI-hez fér hozzá az ilyen Szolgáltatások és Leszállítandó Termékek rendelkezésre bocsátása során (azaz a Szállító nem dolgoz fel semmilyen más Kyndryl-adatot, és nem fér hozzá semmilyen más Kyndryl-anyaghoz vagy Vállalati Rendszerhez), a Szállító egyetlen Szolgáltatása és Leszállítandó Terméke a Kyndryl számára Helyszíni Szoftver biztosítása, vagy a Szállító a VII. szakasszal összhangban, beleértve annak 1.7. szakaszát is, az összes Szolgáltatást és Leszállítandó Terméket személyzetnövelési modellben nyújtja.
A Szállító köteles betartani a jelen cikk követelményeit, és ezáltal védeni: (a) a Kyndryl-anyagokat az elvesztés, megsemmisítés, megváltoztatás, véletlen vagy jogosulatlan közlés, valamint véletlen vagy jogosulatlan hozzáférés ellen, (b) a Kyndryl-adatokat a jogellenes Adatfeldolgozási formáktól és (c) a Kyndryl-technológiát a jogellenes Kezelési formáktól. A jelen szakasz követelményei kiterjednek minden olyan IT-alkalmazásra, platformra és infrastruktúára, amelyet a Szállító üzemeltet vagy kezel a Leszállítandó Termékek és Szolgáltatások rendelkezésre bocsátása során, beleértve az összes fejlesztési, vizsgálati, kihelyezett, támogatási, üzemeltetési és adatközpont környezetet.
1. Biztonsági szabályzatok
1.1 A Szállító köteles fenntartani és követni az informatikai biztonsági irányelveket és gyakorlatokat, amelyek szerves részét képezik a Szállító üzleti tevékenységének, kötelezőek a Szállító Személyzete számára, és összhangban kell lenniük az Iparági Legjobb Gyakorlatokkal.
1.2 A Szállító legalább évente felülvizsgálja az IT biztonsági irányelveket és gyakorlatát, és a Kyndryl-anyagok védelmében a Szállító által szükségesnek ítélt módon módosítja.
1.3 A Szállító fenntartja és betartja a standard, kötelező foglalkoztatási ellenőrzési követelményeket minden új alkalmazott felvétele esetén, és kiterjeszti ezeket a követelményeket a Szállító összes alkalmazottjára és a Szállító teljes tulajdonú leányvállalataira is. Ezek a követelmények magukban foglalják a helyi törvények által megengedett mértékben a büntetőjogi háttér ellenőrzését, a személyazonosság igazolását, valamint a Szállító által szükségesnek ítélt további ellenőrzéseket. Szükség esetén a Szállító időszakonként ismétli és újraérvényesíti ezeket a követelményeket.
1.4 A Szállító évente biztonsági és adatvédelmi oktatást nyújt alkalmazottainak, és minden ilyen alkalmazottjától megköveteli, hogy minden évben igazolja, hogy betartja a Szállító etikus üzleti magatartási, titoktartási és biztonsági szabályzatát, amint azt a Szállító magatartási szabályzata vagy hasonló dokumentumai tartalmazzák. Szállító további képzéseket képzést biztosít a szabályzatról és a folyamatokról a Szolgáltatások, a Leszállítandó Termékek vagy a Kyndryl-anyagok bármely összetevőjéhez adminisztratív hozzáféréssel rendelkező személyek számára, a szerepükre és a Szolgáltatások, a Leszállítandó Termékek és a Kyndryl-anyagok támogatására vonatkozó képzéssel, valamint az előírt megfelelés és tanúsítványok fenntartásához szükséges módon.
1.5 A Szállító biztonsági és adatvédelmi intézkedéseket tervez a Kyndryl-anyagok védelme és rendelkezésre állásának fenntartása érdekében, többek között olyan irányelvek és eljárások végrehajtása, karbantartása és betartása révén, amelyek a biztonságot és az adatvédelmet a tervezés, a biztonságos tervezés és a biztonságos üzemeltetés révén írják elő valamennyi Szolgáltatás és Leszállítandó Termék, valamint az összes Kyndryl-technológia Kezelése esetében.
2. Biztonsági váratlanesemények
2.1 Szállító köteles a számítógépes biztonsági váratlanesemény-válasz kezelésére vonatkozó, az Iparági Legjobb Gyakorlatokkal összhangban lévő, dokumentált váratlanesemény-kezelési irányelveket fenntartani és betartani.
2.2 A Szállító kivizsgálja a Kyndryl-anyagokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan felhasználását, és megfelelő választervet határoz meg és hajt végre.
2.3 A Szállító haladéktalanul (48 órát semmiképp nem meghaladóan) értesíti a Kyndrylt, miután bármilyen biztonsági sérülésről tudomást szerzett. A Szállító az ilyen értesítést a cyber.incidents@kyndryl.com címre küldi. A Szállító az előírások ilyen megsértéseire és az általa végzett helyreállítási és visszaállítási tevékenységek állapotára vonatkozóan észszerű határokon belül biztosítja Knydryl számára a kért információkat. Az észszerű információk például tartalmazhatják az Eszközök, rendszerek vagy alkalmazások kiemelt, adminisztrátori és egyéb hozzáférését rögzítő naplóit, az Eszközök, rendszerek vagy alkalmazások hivatalos másolatait és egyéb hasonló elemeket a sérülés mértékének, illetve a Szállító javító, helyreállító intézkedéseinek megfelelő terjedelemben.
2.4 A Szállító a Kyndryl számára ésszerű támogatást biztosít a Kyndryl, leányvállalatai és Vevői (vevői és kapcsolt vállalkozásai) jogi kötelezettségeinek (beleértve a szabályozó hatóságok vagy az Érintettek értesítésére vonatkozó kötelezettségeket is) teljesítése érdekében a Biztonsági Előírások Megsértése esetén.
2.5 A Szállító nem tájékoztatja és nem értesíti a harmadik felet arról, hogy a Biztonsági Előírások Megsértése közvetlenül vagy közvetve a Kyndrylhez vagy a Kyndryl-anyagokhoz kapcsolódik, kivéve, ha a Kyndryl ezt írásban jóváhagyja, vagy ha azt törvény írja elő. Szállító írásban értesíti a Kyndrylt, mielőtt bármilyen, jogszabályban előírt értesítést továbbítana bármely harmadik félnek, amennyiben az értesítés közvetlenül vagy közvetve felfedné a Kyndryl személyazonosságát.
2.6 A biztonsági előírások megsértése esetén, amely abból ered, hogy a Szállító megszegi a jelen Feltételek szerinti bármely kötelezettségét:
(a) A Szállító felelős a nála felmerülő költségekért, valamint a Kyndrylnél ténylegesen felmerülő költségekért, amely az illetékes szabályozó hatóságok, más kormányzati és releváns iparági önszabályozó ügynökségek, a média (ha a vonatkozó jogszabályok előírják), az Érintettek, az Ügyfelek és mások Biztonsági Előírások Megsértéséről történő értesítése során merül fel,
b) amennyiben a Kyndryl kéri, a Szállító saját költségén létrehoz és fenntart egy telefonos ügyfélszolgálatot, amely a Érintetteknek a Biztonsági Előírások Megsértésével és annak következményeivel kapcsolatos kérdéseire válaszol, a Biztonsági Előírások Megsértésről való értesítés időpontjától számított 1 évig, vagy az alkalmazandó adatvédelmi jogszabályok által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet. A Kyndryl és a Szállító együttműködik a szövegkönyvek és egyéb anyagok elkészítésében, amelyeket a telefonos ügyfélszolgálat munkatársai a megkeresések megválaszolásakor használnak. Alternatív megoldásként, a Szállítónak küldött írásbeli értesítés alapján a Kyndryl létrehozhatja és fenntarthatja saját hívásközpontját, ahelyett, hogy a Szállító hozna létre egy hívásközpontot, és a Szállító megtéríti a Kyndrylnek az ilyen hívásközpont létrehozásával és fenntartásával kapcsolatban felmerülő tényleges költségeket, és
c) A Szállító megtéríti a Kyndrylnek a tényleges költségeket, amelyek a Kyndrylnél a hitelfelügyeleti és hitelvisszaállítási szolgáltatások nyújtása során felmerülnek, 1 évvel azt követően, hogy a megsértés által érintett, az ilyen szolgáltatásokra regisztrálni kívánó személyeket értesítették a Biztonsági Előírások Megsértéséről, vagy az alkalmazandó adatvédelmi törvények által előírtak szerint, attól függően, hogy melyik nyújt nagyobb védelmet.
3. Fizikai biztonság és beléptetés-ellenőrzés (az alábbiakban használt "létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér).
3.1 A Szállító köteles megfelelő fizikai beléptetési ellenőrzéseket fenntartani, például sorompókat, kártyával vezérelt belépési pontokat, felügyeleti kamerákat és személyzeti recepciós pultokat, hogy megelőzze az illetéktelen belépést a létesítményekbe.
3.2 A Szállító a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáféréshez - beleértve az ideiglenes hozzáférést is - felhatalmazott engedélyt igényel, és a hozzáférést munkakör és üzleti szükséglet szerint korlátozza. Ha a Szállító ideiglenes hozzáfréést biztosít, a Szállító jogosult alkalmazottja minden látogatót kísérni fog, amíg a Létesítményben és az ellenőrzött területeken tartózkodik.
3.3 A Szállító fizikai beléptetési ellenőrzéseket valósít meg, beleértve az Iparági Legjobb Gyakorlatokkal összhangban lévő többtényezős beléptetési ellenőrzéseket, hogy megfelelően korlátozza a Létesítményen belüli ellenőrzött területekre való belépést, naplózza az összes belépési kísérletet, és ezeket a naplókat legalább egy évig megőrzi.
3.4 A Szállító visszavonja a Létesítményekhez és a Létesítményeken belüli ellenőrzött területekhez való hozzáférést, ha (a) a jogosult munkavállaló felmondott, vagy (b) a jogosult szállítói munkavállalónak már nincs érvényes üzleti igénye a hozzáféréshez. A Szállító követi a hivatalos, dokumentált szétválasztási eljárásokat, amelyek magukban foglalják a hozzáférés-felügyeleti listákról való azonnali törlést és a fizikai hozzáférésre feljogosító igazolványok leadását.
3.5 A Szállító óvintézkedéseket tesz a Szolgáltatások és a Leszállítandó termékek támogatására és a Kyndryl-technológia Kezelésére használt fizikai infrastruktúra védelme érdekében a természetben előforduló és az ember által okozott környezeti veszélyekkel szemben, mint például a túlzott környezeti hőmérséklet, tűz, árvíz, páratartalom, lopás és vandalizmus.
4. Hozzáférés, beavatkozás, átvitel és szétválasztásszabályozás
4.1 A Szállító dokumentált biztonsági hálózatfelépítést tart fenn, amely a Szolgáltatások általa történő üzemeltetését, a Leszállítandó Termékek rendelkezésre bocsátását és a hozzá tartozó Kyndryl-technológiát kezeli. A Szállító külön felülvizsgálja az ilyen hálózatfelépítéseket, és intézkedéseket foganatosít a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz való jogosulatlan hálózati kapcsolatok megakadályozására, a biztonságos felosztás, az elkülönítés és a többszintű védelem szabványainak való megfelelés érdekében. A Szállító nem használhat vezeték nélküli technológiát a kihelyezett Szolgáltatások kihelyezése és üzemeltetése során; egyébként a Szállító használhat vezeték nélküli hálózati technológiát a Szolgáltatások és az Leszállítandó termékek kézbesítése és a Kyndryl-technológia Kezelése során, de a Szállító titkosítja és biztonságos hitelesítést ír elő az ilyen vezeték nélküli hálózatokhoz.
4.2 A Szállító olyan intézkedéseket tart fenn, amelyeket arra terveztek, hogy logikailag elkülönítsék és megakadályozzák, hogy a Kyndryl-anyagok illetéktelen személyek számára elérhetővé váljanak. Továbbá a Szállító fenntartja az éles, nem üzemi és egyéb környezetek megfelelő elkülönítését, és ha a Kyndryl-anyagok már jelen vannak egy nem üzemi környezetben, vagy átvitték azokat egy nem üzemi környezetbe (például egy hiba sokszorosítása érdekében), akkor a Szállító biztosítja, hogy a nem üzemi környezetben a biztonsági és adatvédelmi védelem megegyezik az éles környezetével védelmével.
4.3 Szállító titkosítja a Kyndryl-anyagokat szállítás közben és nyugalmi állapotban (kivéve, ha a Szállító a Kyndryl ésszerű megelégedésére bizonyítja, hogy a Kyndryl-anyagok nyugalmi állapotban történő titkosítása műszakilag kivitelezhetetlen). A Szállító továbbá titkosít minden fizikai adathordozót, ha van ilyen, például a biztonsági másolat fájljait tartalmazó adathordozót. A Szállító dokumentált eljárásokat tart fenn az adatok titkosításához kapcsolódó biztonságos kulcs előállítására, kiadására, terjesztésére, tárolására, forgatására, visszavonására, helyreállítására, biztonsági mentésére, megsemmisítésére, hozzáférésére és használatára vonatkozóan. A Szállító biztosítja, hogy az ilyen titkosításhoz használt sajátos rejtjelezett módszerek összhangban legyenek az Iparági Legjobb Gyakorlatokkal (például a NIST SP 800-131a).
4.4 Ha a Szállítónak hozzáférésre van szüksége a Kyndryl-anyagokhoz, a Szállító az ilyen hozzáférést a Szolgáltatások és a Leszállítandó Termékek nyújtásához és támogatásához szükséges legalacsonyabb szintre korlátozza. A Szállító megköveteli, hogy az ilyen hozzáférés, beleértve a mögöttes összetevőkhöz való adminisztratív hozzáférést (azaz a kiváltságos hozzáférést), egyéni, szerepkör alapú legyen, és a Szállító jogosult alkalmazottai által a kötelezettségelkülönítés elveit követve jóváhagyásra és rendszeres érvényesítésre szoruljon. A Szállító intézkedéseket tesz a felesleges és inaktív fiókok azonosítására és eltávolítására. A Szállító továbbá a kiváltságos hozzáféréssel rendelkező fiókokat visszavonja huszonnégy (24) órával a fiók tulajdonosa munkaviszonyának megszűnését vagy a Kyndryl vagy a Szállító bármely felhatalmazott alkalmazottjának, például a fiók tulajdonosának vezetőjének kérését követően.
4.5 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító műszaki intézkedéseket tart fenn az inaktív munkamenetek időtúllépésének kikényszerítésére, a fiókok többszöri egymást követő sikertelen bejelentkezési kísérlet utáni kizárására, erős jelszóval vagy jelmondattal történő hitelesítésre, valamint az ilyen jelszavak és jelmondatok biztonságos átvitelét és tárolását megkövetelő intézkedésekre. Ezenkívül a Szállító többtényezős hitelesítést alkalmaz az összes nem konzolalapú, bármely Kyndryl-anyaghoz való kiváltságos hozzáféréshez.
4.6 A Szállító figyelemmel kíséri a kiváltságos hozzáférések használatát, és olyan biztonsági információkat és eseménykezelési intézkedéseket tart fenn, amelyek célja: (a) a jogosulatlan hozzáférés és tevékenység azonosítása, b) az ilyen hozzáférésre és tevékenységre adott időben történő és megfelelő válaszadás megkönnyítése, és c) a Szállító, a Kyndryl (a jelen Feltételekben foglalt igazolási jogai és a Tranzakciós Dokumentumban vagy a kapcsolódó alapmegállapodásban vagy a felek közötti egyéb kapcsolódó megállapodásban foglalt ellenőrzési jogok alapján) és mások által végzett ellenőrzések lehetővé tétele a dokumentált Szállítói irányelveknek való megfelelés tekintetében.
4.7 A Szállító megőrzi azokat a naplókat, amelyekben az Iparági Legjobb Gyakorlatoknak megfelelően rögzít minden olyan adminisztrációs, felhasználói vagy egyéb hozzáférést vagy tevékenységet, amelyet a Szolgáltatások vagy a Leszállítandó Termékek rendelkezésre bocsátása és a Kyndryl-technológia Kezelése során használt rendszerekhez vagy azokkal kapcsolatban végez (és ezeket a naplókat kérésre a Kyndryl rendelkezésére bocsátja). A Szállító olyan intézkedéseket foganatosít, amelyek célja az ilyen naplókhoz való jogosulatlan hozzáférés, vagy azok módosítása, valamint véletlen vagy szándékos megsemmisítése elleni védelem.
4.8 A Szállító számítástechnikai védelmet tart fenn a tulajdonában lévő vagy általa kezelt rendszerek számára, beleértve a végfelhasználói rendszereket is, és amelyeket a Szolgáltatások vagy a Leszállítandó Termékek nyújtása vagy a Kyndryl-technológia kezelése során használ, az ilyen védelem a következőket foglalja magában: végponti tűzfalak, teljeslemez-titkosítás, aláírás és nem aláírás alapú végponti észlelési és válaszadási technológiák a rosszindulatú programok és a fejlett, tartós fenyegetések kezelésére, időalapú képernyőzár, valamint végpontkezelési megoldások, amelyek érvényesítik a biztonsági konfigurációs és javítási követelményeket. Ezen túlmenően a Szállító olyan műszaki és működési ellenőrzéseket hajt végre, amelyek biztosítják, hogy csak ismert és megbízható végfelhasználói rendszerek használhassák a Szállító hálózatait.
4.9 Az Iparági Legjobb Gyakorlatokkal összhangban a Szállító védelmet tart fenn az olyan adatközponti környezetek számára, ahol Kyndryl-anyagok vannak jelen vagy kerülnek feldolgozásra, beleértve a behatolásészlelést és -megelőzést, valamint a szolgáltatásmegtagadási támadások ellenintézkedéseit és mérséklését.
5. Szolgáltatások és rendszerek sértetlensége és elérhetőségszabályozás
5.1 A Szállító: (a) legalább évente biztonsági és adatvédelmi kockázatértékelést végez, (b) biztonsági vizsgálatot hajt végre és kiértékeli a sebezhetőségeket, beleértve az automatizált rendszer- és alkalmazásbiztonsági vizsgálatot és a kézi, erkölcsös számítástechnikai betörést, a termelés megkezdése előtt és azt követően évente a Szolgáltatások és a Leszállítandó Termékek tekintetében, valamint évente a Kyndryl-technológia kezelése tekintetében, (c) legalább évente egy független, minősített harmadik felet von be az Iparági Legjobb Gyakorlatoknak megfelelő behatolásvizsgálat elvégzésére, az ilyen vizsgálat magában foglalja mind az automatizált, mind a kézi vizsgálatot, d) a biztonsági konfigurációs követelményeknek való megfelelés automatizált kezelését és rutinszerű ellenőrzését a Szolgáltatások és a Leszállítandó Termékek minden egyes összetevője, valamint a Kyndryl-technológia Kezelése tekintetében, és e) a biztonsági konfigurációs követelményeknek való megfeleléssel kapcsolatos kockázat, kihasználhatóság és hatás alapján orvosolja az azonosított sebezhetőségeket vagy a biztonsági konfigurációs követelményeknek való meg nem felelést. A Szállító ésszerű lépéseket tesz annak érdekében, hogy elkerülje a Szolgáltatások fennakadását a vizsgálatok, kiértékelések, átvizsgálások és a helyreállítási tevékenységek végrehajtása során. A Kyndryl kérésére a Szállító a Kyndryl rendelkezésére bocsátja a Szállító legutóbbi behatolásvizsgálati tevékenységének írásos összefoglalóját, amely jelentés legalább a vizsgálat által érintett ajánlatok nevét, a vizsgálat hatálya alá tartozó rendszerek vagy alkalmazások számát, a vizsgálat időpontját, a vizsgálat során alkalmazott módszertant és a megállapítások részletes összefoglalóját tartalmazza.
5.2 A Szállító olyan irányelveket és eljárásokat tart fenn, amelyek célja a Szolgáltatásokban vagy a Leszállítandó Termékekben, illetve a Kyndryl-technológia kezelésében bekövetkező változásokkal kapcsolatos kockázatok Kezelése. Az ilyen változtatás végrehajtása előtt, beleértve az érintett rendszereket, hálózatokat és a mögöttes összetevőket is, a Szállító egy regisztrált módosításkérelemben dokumentálja: (a) a változtatás leírását és okát, (b) a végrehajtás részleteit és ütemezését, (c) egy kockázati nyilatkozatot a Szolgáltatásokra és a Leszállítandó Termékekre, a Szolgáltatások vevőire vagy a Kyndryl-anyagokra gyakorolt hatásról, (d) a várható eredményt, (e) a visszaléptetési tervet, és (f) a Szállító jogosult alkalmazottai általi jóváhagyást.
5.3 A Szállító köteles leltárt vezetni a Szolgáltatások üzemeltetéséhez, a Leszállítandó Termékek rendelkezésre bocsátásához és a Kyndryl-technológia Kezeléséhez használt összes IT eszközről. A Szállító folyamatosan figyelemmel kíséri és kezeli az ilyen IT-eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia állapotát (beleértve a kapacitást is) és rendelkezésre állását, beleértve az ilyen eszközök, Szolgáltatások, Leszállítandó Termékek és a Kyndryl-technológia mögöttes összetevőit is.
5.4 A Szállító minden olyan rendszert, amelyet a Szolgáltatások és a Leszállítandó Termékek fejlesztése vagy üzemeltetése során, valamint a Kyndryl-technológia Kezelése során használ, előre megadott rendszerbiztonsági képek vagy biztonsági alapvonalak alapján állít össze, amelyek megfelelnek az Iparági Legjobb Gyakorlatoknak, például a "Center for Internet Security" (CIS) viszonyítási alapnak.
5.5 A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós Dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az üzletmenet-folytonosság tekintetében a Szállító minden egyes Szolgáltatást és Leszállítandó terméket, valamint a Kyndryl-technológia Kezelésében használt minden egyes IT rendszert külön értékel az üzletmenet és az IT-folytonosság, valamint a katasztrófa utáni helyreállítás követelményei szempontjából a dokumentált kockázatkezelési irányelvek szerint. A Szállító biztosítja, hogy minden ilyen szolgáltatás, Leszállítandó Termék és IT rendszer - a kockázatfelmérés által indokolt mértékben - külön meghatározott, dokumentált, karbantartott és évente érvényesített üzleti és informatikai folytonossági és katasztrófa utáni helyreállítási tervekkel rendelkezik, amelyek összhangban vannak az Iparági Legjobb Gyakorlatokkal. A Szállító biztosítja, hogy ezeket a terveket úgy tervezik meg, hogy az alábbi 5.6. szakaszban meghatározott kokrét helyreállítási idők teljesüljenek.
5.6 A konkrét helyreállításipont-célkitűzések ("RPO") és helyreállítási időcélok ("RTO") bármely Kihelyezett Szolgáltatás tekintetében a következők: 24 óra RPO és 24 óra RTO, mindazonáltal a Szállító köteles betartani minden olyan rövidebb időtartamú RPO-t vagy RTO-t, amelyet a Kyndryl a Vevőn felé vállalt, valamint haladéktalanul, miután a Kyndryl írásban értesítette a Szállítót az ilyen rövidebb időtartamú RPO-ról vagy RTO-ról (egy e-mail is írásos értesítésnek minősül). A Szállító által a Kyndryl számára nyújtott minden egyéb Szolgáltatás tekintetében a Szállító biztosítja, hogy az üzletmenet-folytonossági és a katasztrófa utáni helyreállítási terveit úgy alakítsák ki, hogy azok olyan RPO és RTO értékeket biztosítsanak, amelyek lehetővé teszik a Szállító számára, hogy továbbra is megfeleljen a Kyndryl felé a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban, valamint a jelen Feltételekben foglalt valamennyi kötelezettségének, beleértve a vizsgálat, a támogatás és a karbantartás időben történő biztosítására vonatkozó kötelezettségeit.
5.7 A Szállító olyan intézkedéseket tart fenn, amelyek célja a biztonsági tanácsadói javítások értékelése, tesztelése és alkalmazása a Szolgáltatások és az Átadandó termékek, valamint a kapcsolódó rendszerek, hálózatok, alkalmazások és a mögöttes összetevők, valamint a Kyndryl technológia kezeléséhez használt rendszerek, hálózatok, alkalmazások és mögöttes komponensek értékelésére, tesztelésére és alkalmazására az említett Szolgáltatások és Átadandó termékek hatókörén belül. Annak megállapításakor, hogy egy biztonsági tanácsadói javítás alkalmazható és megfelelő, a Szállító a dokumentált súlyossági és kockázatfelmérési irányelvek szerint megvalósítja a javítást. A biztonsági tanácsadói javítások Szállító általi bevezetésére a Szállító változáskezelési irányelve vonatkozik.
5.8 Ha a Kyndrylnek ésszerű oka van feltételezni, hogy a Szállító által a Kyndryl számára biztosított hardver vagy szoftver betolakodó elemeket, például kémprogramot, rosszindulatú programot vagy rosszindulatú kódot tartalmazhat, akkor a Szállító időben együttműködik a Kyndryllel a Kyndryl aggályainak kivizsgálásában és orvoslásában.
6. Szolgáltatáslétesítés
6.1 A Szállító támogatja a Kyndryl-felhasználói vagy vevőfiókok egyesített hitelesítésének iparágban elterjedt módszereit, és a Szállító követi az Iparági Legjobb Gyakorlatokat az ilyen Kyndryl-felhasználói vagy vevőfiókok hitelesítése során (például a Kyndryl által központilag kezelt többtényezős egypontos bejelentkezéssel, OpenID Connect vagy biztonságellenőrzési jelölőnyelv használatával).
7. Alvállalkozók. A Szállító kötelezettségeinek vagy a Kyndrylnek a Tranzakciós dokumentum vagy a felek közötti kapcsolódó alapmegállapodás szerinti jogainak korlátozása nélkül az alvállalkozók megőrzése tekintetében a Szállító biztosítja, hogy a Szállító számára munkát végző alvállalkozó olyan irányítási ellenőrzéseket vezessen be, amelyek megfelelnek a jelen Feltételek által a Szállítóra rótt követelményeknek és kötelezettségeknek.
8. Fizikai adathordozók. A Szállító az újrafelhasználásra szánt fizikai adathordozókat az újrafelhasználás előtt biztonságosan normalizálja, és az újrafelhasználásra nem szánt fizikai adathordozókat az adathordozók normalizálására vonatkozó Iparági Legjobb Gyakorlatoknak megfelelően megsemmisíti.
---
IX.szakasz, Kihelyezett szolgáltatások tanúsítványai és jelentései
Ez a szakasz akkor érvényes, ha a Szállító kihelyezett szolgáltatást nyújt a Kyndryl számára.
1.1 A Szállító az alábbiakban meghatározott időkereteken belül beszerzi a következő tanúsítványokat vagy jelentéseket:
Tanúsítványok / Jelentések
Időkeret
A Szállító által kihelyezett szolgáltatások tekintetében:
Az ISO 27001 szabványnak való megfelelés tanúsítása, Információtechnológia, Biztonságtechnika, Információvédelem irányítását végző rendszerek, és amely tanúsítás egy elismert független felülvizsgáló értékelésén alapul.
vagy
SOC 2 Type 2: Egy elismert független felülvizsgáló által készített jelentés, amely bizonyítja a Szállító rendszereinek, ellenőrzéseinek és működésének felülvizsgálatát a SOC 2 Type 2-nek megfelelően (beleértve legalább a biztonságot, a titkosságot és a rendelkezésre állást)
A Szállító a Tranzakciós Dokumentum hatálybalépését* vagy az Átvállalási Dátumot** követő 120 napon belül megszerzi az ISO 27001 tanúsítványt, majd ezt követően 12 havonta megújítja a tanúsítványt egy elismert független felülvizsgáló értékelése alapján (minden megújításkor a szabvány mindenkori legfrissebb verziója alapján).
A Szállító a SOC 2 Type 2 jelentést a Tranzakciós Dokumentum hatálybalépését* vagy az Átvállalás Napját** követő 240 napon belül megszerzi, majd ezt követően 12 havonta új jelentést szerez be egy elismert független felülvizsgálótól, amely igazolja a Szállító rendszereinek, ellenőrzéseinek és működésének SOC 2 Type 2 szerinti felülvizsgálatát (beleértve legalább a biztonságot, a titkosságot és a rendelkezésre állást).
* Ha az ilyen hatálybalépés dátumától a Szállító Kihelyezett Szolgáltatást nyújt
** Az az dátum, amikor a Szállító kötelezettséget vállal a Kihelyezett Szolgáltatás nyújtására
1.2 Ha Szállító írásban kéri, és a Kyndryl írásban jóváhagyja, hogy a Szállító a fent említettekkel lényegében egyenértékű tanúsítványt vagy jelentést szerezzen meg, annak tudomásul vételével, hogy a fenti táblázatban meghatározott időkeretek változatlanul érvényesek a lényegében egyenértékű tanúsítvány vagy jelentés tekintetében is.
1.3 A Szállító: (a) kérésre haladéktalanul átadja a Kyndrylnek minden olyan igazolás és jelentés másolatát, amelyet a Szállító köteles beszerezni, és (b) haladéktalanul orvosolja a SOC 2 vagy azzal lényegében egyenértékű (ha a Kyndryl ezt jóváhagyja) felülvizsgálatok során feltárt belső ellenőrzési hiányosságokat.
---
X. szakasz: Együttműködés, igazolás és helyreállítás
Ez a Szakasz akkor érvényes, ha a Szállító valamilyen Szolgáltatást vagy Leszállítandó Terméket bocsát a Kyndryl rendelkezésére.
1. Szállítói együttműködés
1.1 Ha a Kyndrylnek oka van megkérdőjelezni, hogy bármely Szolgáltatás vagy Leszállított Termék hozzájárult, hozzájárul vagy hozzá fog járulni bármely kiberbiztonsági problémához, akkor a Szállító ésszerűen együttműködik a Kyndrylnek az ilyen problémával kapcsolatos bármely vizsgálatában, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.
1.2 A felek megállapodnak, hogy: (a) kérésre egymás számára további információkat adnak át, b) aláírják és átadják egymásnak az egyéb dokumentumokat, és c) megtesznek minden olyan egyéb cselekményt és dolgot, amelyet a másik fél ésszerűen kérhet a jelen Feltételek és a jelen Feltételekben említett dokumentumok szándékának megvalósítása érdekében. Például, ha a Kyndryl kéri, a Szállító időben rendelkezésre bocsátja az Alárendelt Adatfeldolgozókkal és alvállalkozókkal kötött írásos szerződéseinek adatvédelmi és biztonságra összpontosító feltételeit, beleértve - amennyiben a Szállítónak joga van hozzá - a szerződésekhez való hozzáférés biztosítását is.
1.3 A Kyndryl kérésére a Szállító időben tájékoztatást ad azokról az országokról, ahol a Leszállítandó Termékeket és azok összetevőit gyártották, fejlesztették vagy más módon beszerezték.
2. Ellenőrzés (az alábbiakban használt "Létesítmény" olyan fizikai helyszínt jelent, ahol a Szállító Kyndryl-anyagokat tárol, feldolgoz vagy más módon hozzáfér azokhoz)
2.1 A Szállító köteles egy ellenőrizhető nyilvántartást fenntartani, amely megfelel a jelen Feltételeknek.
2.2 A Kyndryl saját maga vagy egy külső felülvizsgáló segítségével, a Szállító 30 napos előzetes írásbeli értesítését követően ellenőrizheti a Szállító jelen Feltételeknek való megfelelését, beleértve bármely Létesítményhez vagy Létesítményekhez való hozzáférést ilyen célból, bár a Kyndryl nem lép be olyan adatközpontba, ahol a Szállító Kyndryl-adatokat dolgoz fel, kivéve, ha jóhiszeműen feltételezi, hogy az lényeges információkkal szolgálna. A Szállító együttműködik a Kyndryl ellenőrzésével, beleértve az információkérések időben történő és teljes körű megválaszolását, akár dokumentumok, egyéb feljegyzések, a Szállító érintett személyzete által készített interjúk vagy hasonlók révén.A jelen Feltételeknek való megfelelés igazolására a Szállító felajánlhatja egy jóváhagyott magatartási szabályzat vagy iparági tanúsítás betartásának igazolását, vagy más módon szolgáltathat információkat, hogy azok a Kyndrylnél megfontolás tárgyát képezzék.
2.3 Ellenőrzésre egy 12 hónapos időszakon belül legfeljebb egyszer kerül sor, kivéve, ha: (a) a Kyndryl a 12 hónapos időszak alatt egy korábbi ellenőrzésből eredő aggályok Szállító általi orvoslását érvényesíti, vagy (b) Biztonsági Előírások Megsértése következett be, és a Kyndryl ellenőrizni kívánja a behatolással kapcsolatos kötelezettségeknek való megfelelést. A Kyndryl mindkét esetben a fenti 2.2. szakaszban meghatározott 30 napos előzetes írásbeli értesítést alkalmazza, de a Biztonsági Előírások Megsértésének sürgőssége szükségessé teheti, hogy a Kyndryl 30 napnál rövidebb előzetes írásbeli értesítés esetén is elvégezze az ellenőrzést.
2.4. A szabályozó vagy más Adatkezelő ugyanazokat a jogokat gyakorolhatja, mint a Kyndryl a 2.2. és 2.3. szakaszban, annak tudomásul vételével, hogy a szabályozó gyakorolhatja a jogszabály alapján őt megillető további jogokat.
2.5 Ha Kyndrylnek ésszerű alapon arra a következtetésre jut, hogy a Szállító nem felel meg a jelen Feltételek egyikének sem (függetlenül attól, hogy ez az alap a jelen Feltételek szerinti vagy egyéb ellenőrzésből ered-e), akkor a Szállító haladéktalanul orvosolja az ilyen meg nem felelést..
3. Hamisítás elleni program
3.1 Ha a Szállító Leszállítandó Termékei elektronikus összetevőket tartalmaznak (pl. merevlemez-meghajtók, szilárdtest-meghajtók, memória, központi feldolgozóegységek, logikai eszközök vagy kábelek), a Szállító dokumentált hamisítás elleni programot tart fenn és alkalmazza azt, hogy elsősorban megakadályozza, hogy a Szállító hamisított alkatrészeket szállítson a Kyndryl részére, másodsorban pedig, hogy azonnal felderítsen és orvosoljon minden olyan esetet, amikor a Szállító tévedésből hamisított alkatrészeket szállít a Kyndryl felé. A Szállító ugyanezt a kötelezettséget, hogy dokumentált hamisítás elleni programot tartson fenn és alkalmazzon minden olyan szállítójánál, aki a Szállító által a Kyndryl részére Leszállítandó Termékekben szereplő elektronikus alkatrészeket szállít.
4. Helyreállítás
4.1 Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Biztonsági Előírások Megsértését okozza, akkor a Szállító a Kyndryl ésszerű irányítása és ütemezése szerint kijavítja a mulasztást és orvosolja a Biztonsági Előírások Megsértésének káros hatásait. Ha azonban a Biztonsági Előírások Megsértése a Szállító által nyújtott többszemélyes Kiihelyezett Szolgáltatásból ered, és következésképpen a Szállító számos vevőjét érinti, beleértve a Kyndrylt is, akkor a Szállító a Biztonsági Előírások Megsértésének jellegére tekintettel időben és megfelelően kijavítja a hibát a teljesítményében, és orvosolja a Biztonsági Előírások megsértésének káros hatásait, miközben kellően figyelembe veszi a Kyndryl hozzájárulását az ilyen korrekciókhoz és orvosláshoz. Jogfenntartással a fentiekre a Szállító köteles indokolatlan késedelem nélkül értesíteni a Kyndrylt, ha a Szállító már nem tud eleget tenni az alkalmazandó adatvédelmi törvényben meghatározott kötelezettségeknek.
4.2 A Kyndrylnek joga van részt venni a 4.1. szakaszban említett bármely Biztonsági Előírás Megsértésének orvoslásában, amennyiben azt megfelelőnek vagy szükségesnek ítéli meg, és a Szállító felelős a teljesítménye kijavításával kapcsolatos költségeiért és kiadásaiért, valamint a feleknek az ilyen Biztonsági Előírások Megsértésével kapcsolatban felmerülő helyreállítási költségeiért és kiadásaiért.
4.3 Példaként említhetjük, hogy a biztonsági váratlaneseménnyel kapcsolatos helyreállítási költségek és kiadások magukban foglalhatják a biztonsági váratlanesemény felderítésével és kivizsgálásával, a vonatkozó törvények és rendeletek szerinti felelősségek meghatározásával, a biztonsági váratlaneseményről szóló értesítéssel, a hívásközpontok létrehozásával és fenntartásával, a hitelfelügyeleti és hitel-visszaállítási szolgáltatások nyújtásával, az adatok újratöltésével, a termékhibák kijavításával (beleértve a Forráskód vagy más fejlesztés révén), harmadik felek bevonásával a fentiekben említett vagy más vonatkozó tevékenységekhez, valamint a Biztonsági Előírások Megsértése káros hatásainak helyreállításához szükséges egyéb költségekkel és kiadásokkal kapcsolatos költségeket. Az egyértelműség kedvéért a helyreállítási költségek és kiadások nem tartalmazzák a Kyndryl elmaradt nyereségét, üzleti tevékenységét, értékét, bevételét, eszmei értékét, vagy várható megtakarításait.
---
III. szakasz, Adatvédelem
Ez a Szakasz akkor alkalmazandó, ha Szállító Feldolgozza a Kyndryl Személyes Adatait.
1. Adatfeldolgozás
1.1 a Kyndryl a Szállítót jelöli ki Adatfeldolgozóként a Kyndryl Személyes Adatok Feldolgozására abból a célból, hogy a Leszállítandó Termékeket és Szolgáltatásokat a Kyndryl utasításai szerint, ideértve a jelen Feltételekben, a Tranzakciós Dokumentumban és a felek közötti társított alapmegállapodásban foglaltakat is. Ha a Szállító nem tesz eleget egy utasításnak, a Kyndryl írásos értesítésben megszüntetheti a Szolgáltatások érintett részét. Ha a Szállító úgy véli, hogy egy utasítás adatvédelmi törvényt sért, erről haladéktalanul és a jogszabály által előírt időkereten belül értesíti a Kyndrylt. Ha a Szállító nem teljesíti a jelen Feltételek szerinti bármely kötelezettségét, és ez a mulasztás a Személyes Adatok jogosulatlan felhasználását okozza, vagy általában a Személyes Adatok jogosulatlan felhasználása esetén a Kyndrylnek jogában áll leállítani a feldolgozást, kijavítani a hibát és orvosolni a jogosulatlan felhasználás káros hatásait, a Kyndryl ésszerű irányítása és ütemezése szerint.
1.2 A Szállító köteles a Szolgáltatásokra és a Leszállítandó Termékekre vonatkozó összes adatvédelmi törvényt betartani.
1.3 A Tranzakciós Dokumentum Melléklete vagy maga a Tranzakciós Dokumentum a Kyndryl-adatok tekintetében a következőket határozza meg:
(a) Érintettek kategóriái;
b) Kyndryl Személyes Adatok típusai;
c) adatkezelési és Adatfeldolgozási tevékenységek;
d) Adatfeldolgozási időtartam és gyakoriság; és
(e) Alárendelt Adatfeldolgozók listája.
2. Műszaki és szervezési intézkedések
2.1 A Szállító végrehajtja és fenntartja a II. szakaszban (Műszaki és szervezeti intézkedések, Adatbiztonság) és a VIII. szakaszban (Műszaki és szervezeti intézkedések, Általános biztonság) meghatározott műszaki és szervezeti intézkedéseket, és ezáltal biztosítja a Szolgáltatásai és a Leszállítandó Termékek által jelentett kockázatnak megfelelő biztonsági szintet. A Szállító igazolja és teljes mértékben megérti a II., III. és VIII. szakaszban foglalt korlátozásokat, valamint teljesíti azokat.
3. Az érintett jogai és kérései
3.1 A Szállító haladéktalanul tájékoztatja a Kyndrylt (olyan ütemezésben, amely lehetővé teszi a Kyndryl és bármely más Adatkezelő számára, hogy eleget tegyen jogi kötelezettségeinek) az Érintett bármely, a Kyndryl Személyes Adatokkal kapcsolatos, az Érintett jogainak gyakorlására (pl. az adatok helyesbítésére, törlésére vagy zárolására) vonatkozó kéréséről. A Szállító az ilyen kérelmet benyújtó Érintettet haladéktalanul a Kyndrylhez irányíthatja. A Szállító nem válaszol az Érintettek kérésére, kivéve, ha erre jogszabály kötelezi, vagy ha a Kyndryl írásban arra utasítja.
3.2 Ha a Kyndryl köteles a Kyndryl Személyes Adatokkal kapcsolatos információkat nyújtani más Adatkezelőknek vagy más harmadik feleknek (pl. az Érintetteknek vagy a szabályozó hatóságoknak), Szállító támogatja a Kyndrylt az információk nyújtásával és a Kyndryl által kért egyéb ésszerű intézkedések megtételével, olyan ütemezésben, amely lehetővé teszi a Kyndryl számára, hogy időben válaszoljon az ilyen más Adatkezelőknek vagy harmadik feleknek.
4. Alárendelt adatfeldolgozók
4.1 A Szállító új Alárendelt Adatfeldolgozó felvétele vagy a meglévő Alárendelt Adatfeldolgozó által végzett Adatfeldolgozás körének kiterjesztése előtt a Kyndrylnek előzetes írásbeli értesítést küld, amelyben megadja az Alárendlt Adatfeldolgozó nevét és leírja az új vagy kiterjesztett Adatfeldolgozási kört. A Kyndryl ésszerű indokok alapján bármikor kifogást emelhet bármely ilyen új Alárendelt Adatfeldolgozó vagy kibővített hatály ellen, és ha ezt megteszi, a felek jóhiszeműen együttműködnek a Kyndryl kifogásának kezelése érdekében. Jogfenntartással a Kyndryl mindenkori tiltakozási jogára a Szállító megbízhatja az új Alárendelt Adatfeldolgozót vagy kibővítheti a meglévő az Alárendelt Adatfeldolgozó Adatfeldolgozási körét, ha a Kyndryl a Szállító írásbeli értesítésének dátumától számított 30 napon belül nem emelt kifogást ez ellen.
4.2 A Szállító a jelen Feltételekben meghatározott adatvédelmi, biztonsági és tanúsítási kötelezettségeket állít fel minden jóváhagyott Alárendelt Adatfeldolgozóra, mielőtt azok bármilyen Kyndryl-adatot Feldolgoznának. A Szállítót a Kyndryl felé teljes mértékben felelősség terheli az egyes Alárendelt Adatfeldolgozók kötelezettségeinek teljesítéséért.
5. Határon átnyúló adatfeldolgozás
Az alábbiak szerint:
A Megfelelő Ország olyan országot jelent, amely a hatályos adatvédelmi törvények vagy a szabályozó hatóságok határozatai alapján megfelelő adatvédelmi szintet biztosít az adott átvitelhez.
Az Adatfogadó olyan Adatfeldolgozót vagy Alárendelt Adatfeldolgozót jelent, amely egy nem Megfelelő Országban tartózkodik.
Az uniós Általános Szerződési Feltételek ("Uniós Általános Szerződési Feltételek", "EU ÁSZF"): az Uniós Általános Szerződési Feltételek (2021/914 Bizottsági Határozat), a 9. a) záradék 1. pontja és a 17. záradék 2. pontja kivételével, a https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en honlapon hivatalosan közzétett opcionális záradékokkal együtt.
A Szerb Általános Szerződési Feltételek ("szerb szabványos szerződési feltételek", "szerb ÁSZF") a "Szerbiai közérdekű információk és személyes adatok védelméért felelős biztos" által elfogadott szerb általános szerződési feltételeket jelentik, amelyeket a https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx oldalon tettek közzé.
Az Általános Szerződési Feltételek ("ÁSZF") az alkalmazandó adatvédelmi jogszabályok által megkövetelt szerződési feltételeket jelenti a Személyes Adatok nem megfelelő országokban tartózkodó Adatfeldolgozók részére történő átvitelére vonatkozóan.
Az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez („UK Kiegészítés"): az Egyesült Királyság nemzetközi adattovábbítási kiegészítése az EU Bizottság Általános Szerződési Feltételeihez, amely hivatalosan a következő címen került közzétételre: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-Transfer-agreement-and-guidance/.
Svájci kiegészítés az EU Bizottság általános szerződési kikötéseihez („svájci kiegészítés") az EU Bizottság Általános Szerződési Kikötéseihez tartozó szerződéses kikötéseket jelenti, amelyek a svájci adatvédelmi hatóság („FDPIC") döntésének megfelelően a svájci szövetségi adatvédelmi törvény („FADP") betartásával érvényesek.
5.1 Határokon átnyúlóan a Szállító a Kyndryl előzetes írásbeli hozzájárulása nélkül nem továbbítja és nem közli (beleértve a távoli hozzáférést is) a Kyndryl Személyes Adatait. Ha Kyndryl ilyen hozzájárulást ad, a felek együttműködnek a hatályos adatvédelmi törvényeknek való megfelelés biztosítása érdekében. Ha az említett jogszabályok ÁSZF-et írnak elő, a Szállító a Kyndryl kérésére haladéktalanul szerződéses kötelezettséget vállal az ÁSZF tekintetében.
5.2 Az EU ÁSZF-fel kapcsolatban:
(a) Ha a Szállító nem Megfelelő Országban rendelkezik székhellyel: a Szállító ezennel Adatfogadóként lép vállal szerződéses kötelezettséget a Kyndryl felé az ÁSZF tekintetében, és az EU ÁSZF 9. szakaszának megfelelően minden jóváhagyott Alárendelt Adatfeldolgozóval írásos megállapodást köt és gondoskodik arról, hogy kérésre a Kyndryl rendelkezésére bocsátja a megállapodások másolatait.
(i) Az EU ÁSZF 1. modulja nem alkalmazandó, kivéve, ha a felek írásban másként állapodnak meg.
(ii) Az EU ÁSZF 2. modulja alkalmazandó, ha a Kyndryl az Adatkezelő, és a 3. modul, ha a Kyndryl az Adatfeldolgozó. Az EU ÁSZF 13. záradékával összhangban, amennyiben a 2. vagy 3. modul alkalmazandó, a felek megállapodnak abban, hogy (1) az EU ÁSZF-re annak az uniós tagállamnak a joga az irányadó, ahol az illetékes felügyeleti hatóság található, és (2) az EU ÁSZF-ből eredő bármely jogvitát annak az uniós tagállamnak a bíróságai előtt kell elbírálni, ahol az illetékes felügyeleti hatóság található. Ha az 1. pontban említett jog nem teszi lehetővé a harmadik fél kedvezményezetti jogait, akkor az EU ÁSZF-re a hollandiai jog az irányadó, és az EU ÁSZF-ből eredő, a 2. pont szerinti jogvitákat a hollandiai amszterdami bíróság rendezi.
b) Ha mindkét fél, a Szállító és a Kyndryl egy Megfelelő Országban rendelkezik székhellyel, a Szállító Adatküldőként jár el, és minden egyes, Nem Megfelelő Országban jóváhagyott Alárendelt Adatfeldolgozóval EU ÁSZF-re vállal szerződéses kötelezettséget. A Szállító elvégzi a szükséges Átviteli Hatásvizsgálatot (TIA) és indokolatlan késedelem nélkül értesíti Kyndrylt (1) a kiegészítő intézkedések szükségességéről és (2) az alkalmazott intézkedésekről. Kérésre a Szállító a TIA eredményeit és az eredmények megértéséhez és kiértékeléséhez szükséges adatokat a Kyndryl rendelkezésére bocsátja. Amennyiben Kyndryl nem ért egyet a szállítói TIA eredményeivel vagy az alkalmazott kiegészítő intézkedésekkel, a Kyndryl és a Szállító együttműködik a megvalósítható megoldás megtalálásában. A Kyndryl fenntartja a jogot, hogy kártérítés nélkül felfüggessze vagy megszüntesse az érintett Szállítók szolgáltatásait. A félreértések elkerülése végett, ez nem mentesíti a Szállító Alárendelt Adatfeldolgozóit azon kötelezettségük alól, hogy az alábbi 5.2 (d) szakaszban leírtak szerint a Kyndryllel vagy ügyfeleivel kötött EU ÁSZF-k tekintetében szerződéses kötelezettséget vállaljanak.
(c) Ha a Szállító az Európai Gazdasági Térségben rendelkezik székhellyel, és a Kyndryl olyan Adatkezelő, amely nem tartozik a 2016/679 általános adatvédelmi rendelet hatálya alá, akkor az EU ÁSZF 4. modulja alkalmazandó, és a Szállító ezennel adatexportőrként vállal szerződéses kötelezettséget a Kyndryl felé az EU ÁSZF tekintetében. Ha az EU ÁSZF 4. modulja alkalmazandó, a felek megállapodnak hogy az EU ÁSZF-re a hollandiai jog az irányadó, és az EU ÁSZF-ből eredő jogvitákat a hollandiai Amszterdam bírósága rendezi.
d) Ha Más Adatkezelők, például Vevők vagy leányvállalatok a 7. pontban szereplő "fogadói záradék" értelmében az EU ÁSZF szerződéses felévé kívánnak válni, a Szállító ezennel beleegyezik minden ilyen kérésbe.
(e) Az EU ÁSZF II. mellékletének teljesítéséhez szükséges műszaki és szervezési intézkedések a jelen Feltételekben, magában a Tranzakciós Dokumentumban és a felek közötti kapcsolódó alapmegállapodásban találhatók.
f) Az EU ÁSZF és a jelen Feltételek közötti ütközés esetén az EU ÁSZF az irányadó.
5.3 Az Egyesült Királyság kiegészítéseit (UK Addendum) illetően:
a. Ha a Szállító székhelye nem megfelelő adatvédelmi szintet nyújtó országban van: (i) A Szállító mint adatátvevő a Kyndryllel való viszonylatban az Egyesült Királyság kiegészítéseit alkalmazza a fent meghatározott EU ÁSZF kiegészítéseként (adott esetben, a feldolgozási tevékenységek körülményeitől függően); és (ii) a Szállító írásos megállapodást köt minden jóváhagyott további adatkezelővel, és e megállapodások másolatait kérésre átadja a Kyndrylnek.
b. Ha a Szállító székhelye megfelelő adatvédelmi szintet nyújtó országban van, és a Kyndryl olyan adatkezelő, amelyre nem vonatkozik az Egyesült Királyság Általános Adatvédelmi Rendelete (amely az Egyesült Királyságnak az EU-ból való kilépésről rendelkező 2018. évi törvénye (European Union (Withdrawal) Act 2018) révén került az Egyesült Királyság jogába), akkor a Szállító adatátadóként a Kyndryl viszonylatában csatlakozik az Egyesült Királyság kiegészítéseihez a fenti 5.2(b) szakaszban meghatározott EU ÁSZF-re vonatkozóan.
c. Ha más adatkezelők, például vevők vagy társvállalatok csatlakozni kívánnak az Egyesült Királyság kiegészítéseihez, a Szállító beleegyezik minden ilyen kérésbe.
d. Az Egyesült Királyság kiegészítéseinek Függelékre vonatkozó információi (a 3. táblázatban foglaltak szerint) megtalálhatók a vonatkozó EU ÁSZF feltételekben, a jelen Feltételekben, magában a Tranzakciós dokumentumban és a kapcsolódó, felek közötti alapszerződésben. Az Egyesült Királyság kiegészítéseinek változása esetén sem a Kyndryl, sem a Szállító nem szüntetheti meg az Egyesült Királyság kiegészítéseit.
e. Az Egyesült Királyság kiegészítése(i) és jelen Feltételek közötti bármilyen ütközés esetén az Egyesült Királyság kiegészítése(i) az irányadó(k).
5.4 A szerb ÁSZF-fel kapcsolatban:
a. Ha Szállító nem egy Megfelelő Országban rendelkezik székhellyel: (i) a Szállító ezennel a Kyndryllel a saját nevében, mint Adatfeldolgozó szerbiai ÁSZF-re vállal szerződéses kötelezettséget; és (ii) a Szállító a szerbiai ÁSZF 8. cikkével összhangban írásbeli megállapodásokat köt minden egyes jóváhagyott Alárendelt Adatfeldolgozóval, és kérésre a Kyndryl rendelkezésére bocsátja az ilyen megállapodások másolatát.
b. Ha a Szállító egy Megfelelő Országban rendelkezik székhellyel, a Szállító ezennel a nem Megfelelő Országban székhellyel rendelkező alfeldolgozók nevében a szerbiai ÁSZF-re vállal szerződéses kötelezettséget a Kyndryl felé. Ha a Szállító nem tudja ezt megtenni bármelyik ilyen Alárendelt Adatfeldolgozó esetében, akkor a Szállító a Kyndryl rendelkezésére bocsátja az adott Alárendelt Adatfeldolgozó által aláírt szerb ÁSZF-t a Kyndryl ellenjegyzése végett, mielőtt engedélyezné az Alárendelt Adatfeldolgozónak a Kyndryl Személyes Adatainak Feldolgozását.
c. A Kyndryl és a Beszállító közötti szerb ÁSZF vagy az Adatkezelő és a Adatfeldolgozó közötti szerb ÁSZF-ként, vagy az "adatkezelő" és az "alárendelt adatfeldolgozó" közötti írásbeli megállapodásként szolgálnak, ahogyan azt a tények megkövetelik. A szerb ÁSZF és jelen Feltételek közötti ütközés esetén a szerb ÁSZF az irányadó.
d. A Személyes Adatok nem Megfelelő Országba történő átvitelének szabályozása céljából a szerbiai ÁSZF 1–8. függelékeinek kitöltéséhez szükséges információk a jelen Feltételekben és a Tranzakciós Dokumentum mellékletében, vagy magában a Tranzakciós Dokumentumban találhatók.
5.5. A svájci kiegészítés(eke)t illetően:
Ha, és amennyiben a Kyndryl személyes adatainak átvitelére az 5.1. szakasz értelmében a svájci szövetségi adatvédelmi törvény („FADP") vonatkozik, akkor a jelen Feltételek 5.2. szakaszában elfogadott EU SCC-k vonatkoznak az átvitelre, a GDPR szabvány svájci személyes adatokra kapcsolódó alkalmazására vonatkozóan a következő módosításokkal:
A hivatkozások az Általános Adatvédelmi Rendeletre („GDPR") az FADP egyenértékű rendelkezéseire való hivatkozásként is értelmezendők,
a Svájci Szövetségi Adatvédelmi Információs Bizottság az illetékes felügyeleti hatóság a 13. pontnak és az I.C. mellékletnek megfelelően,melyek az EU SCC-kben találhatók
A svájci jog, mint irányadó jog, amennyiben az átvitelre kizárólag az FADP vonatkozik
Az EU SCC 18. cikkében szereplő „tagállam" kifejezés kiterjesztett jelentése Svájcot is tartalmazza abból a célból, hogy a svájci érintettek szokásos lakóhelyükön gyakorolhassák jogaikat.
A félreértések elkerülése végett: a fentiekben szereplőkben semminek sem az a célja, hogy bármilyen módon csökkentse az EU SCC által biztosított adatvédelem szintjét, hanem kizárólag az, hogy ezt a védelmi szintet kiterjessze a svájci érintettekre. Ha és amennyiben nem ez a helyzet, az EU SCC az irányadó.
6. Segítségnyújtás és nyilvántartások
6.1 Figyelembe véve az Adatkezelés jellegét, a Szállító megfelelő műszaki és szervezési intézkedésekkel segíti Kyndrylt az Érintettek kéréseivel és jogaival kapcsolatos kötelezettségek teljesítésében. A Szállító továbbá segíti a Kyndrylt az Adatkezelés biztonságával, a Biztonsági Előírások Megsértésével kapcsolatos értesítésekkel és kommunikációval, valamint az adatvédelmi hatásvizsgálatok elkészítésével kapcsolatos kötelezettségek teljesítésének biztosításában, beleértve a felelős szabályozó hatósággal való előzetes konzultációt, ha szükséges, figyelembe véve a Szállító rendelkezésére álló információkat.
6.2 A Szállító naprakész nyilvántartást köteles vezetni az egyes Alárendelt Adatfeldolgozók név- és kapcsolattartó adatairól, beleértve az egyes Alárendelt Adatfeldolgozók képviselőjének és adatvédelmi tisztviselőjének nevét. Kérésre a Szállító ezt a nyilvántartást olyan ütemezésben bocsátja a Kyndryl rendelkezésére, amely lehetővé teszi a Kyndryl számára, hogy időben válaszoljon az Ügyfél vagy más harmadik fél bármely kérésére.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Fogalommeghatározások
A nagybetűs szavak jelentése az alábbiakban, illetve a jelen Feltételekben, a Tranzakciós dokumentumban vagy a felek közötti kapcsolódó alapmegállapodásban meghatározott jelentéssel bírnak. A "Szolgáltatások" és "Leszállítandó" kifejezések valószínűleg a Tranzakciós Dokumentumban vagy a felek közötti kapcsolódó alapmegállapodásban vannak meghatározva; amennyiben mégsem, akkor a "Szolgáltatások" a Tranzakciós Dokumentumban meghatározottak szerint a Szállító által a Kyndryl számára végzett bármely Kihelyezett Szolgáltatást, tanácsadást, telepítést, testreszabást, karbantartást, támogatást, személyzetnövelést, üzleti, műszaki vagy egyéb munkát jelent, a "Leszállítandók" pedig a Tranzakciós Dokumentumban meghatározottak szerint a Szállító által a Kyndryl számára biztosított szoftverprogramokat, platformokat, alkalmazásokat vagy egyéb termékeket vagy elemeket és az azokhoz kapcsolódó anyagokat jelenti.
Az Üzletikapcsolat-adatok ("BCI"): olyan Személyes Adatokat jelentenek, amelyek egy személy szakmai vagy üzleti minőségben történő kapcsolatfelvételére, azonosítására vagy hitelesítésére szolgálnak. A BCI jellemzően az egyén nevét, üzleti e-mail-címét, üzleti postacímét, telefonszámát vagy hasonló jellemzőit foglalja magában.
A Felhőszolgáltatás: minden olyan, „szolgáltatásként" nyújtott megoldás, amelyet Szállító üzemeltet vagy kezel, beleértve a „szoftver mint szolgáltatás", „platform mint szolgáltatás" és „infrastruktúra mint szolgáltatás" megoldásokat.
Az Adatkezelő: azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy más szervet jelenti, amely önállóan vagy másokkal együtt meghatározza a Személyes Adatok Feldolgozásának céljait és módjait.
A Vállalati Rendszer: olyan informatikai rendszert, platformot, alkalmazást, hálózatot vagy hasonlót jelent, amelyre a Kyndryl üzleti tevékenysége során támaszkodik, beleértve a Kyndryl intranetjén, az interneten vagy más módon található vagy azon keresztül elérhető rendszereket.
A Vevő: a Kyndryl vevőjét jelenti.
Az Érintett: olyan természetes személy, aki közvetlenül vagy közvetve azonosítható név, azonosító szám, helymeghatározó adat, online azonosító vagy az adott természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző egy vagy több tényező alapján.
A Nap vagy Napok: naptári napokat jelentenek, kivéve ha "munkanapként" van feltüntetve.
Az Eszköz: a Kyndryl vagy a Szállító által biztosított munkaállomást, hordozható számítógépet, táblagépet, okostelefont vagy személyes digitális segédet jelenti.
A Kezel, Kezeli vagy Kezelés: fogalmak magukban foglalják az összes Kyndryl Technológiához való hozzáférést, azok használatát, tárolását és minden más módon történő kezelését.
A Kihelyezett Szolgáltatás: az összes olyan adatközponti szolgáltatást, alkalmazásszolgáltatást, IT-szolgáltatást vagy Felhőszolgáltatást jelent, amelyet Szállító kihelyez vagy kezel.
A Kyndryl-adatok: minden olyan elektronikus fájlt, anyagot, szöveget, hangot, videót, képet és egyéb adatot jelentenek (beleértve a Kyndryl Személyes és nem Személyes Adatait), amelyeket a Kyndryl, a Kyndryl személyzete, a Vevő, a Vevő alkalmazottja vagy bármely más személy vagy szervezet a Tranzakciós Dokumentummal kapcsolatban a Szállító rendelkezésére bocsát, feltölt vagy tárol egy Kihelyezett Szolgáltatásban, vagy amelyekhez a Szállítónak egyéb módon hozzáférése van, és amelyeket a Szállító a Kyndryl nevében feldolgoz.
A Kyndryl-anyagok: jelentése minden Kyndryl-adatot és Kyndryl-technológiát magában foglal.
Kyndryl Személyes Adatok: azokat a Személyes Adatokat jelentik, amelyeket a Szállító a Kyndryl nevében feldolgoz. A Kyndryl Személyes Adatok magukban foglalják azokat a Személyes Adatokat, amelyeket a Kyndryl kezel, és amelyeket a Kyndryl más Adatkezelők nevében dolgoz fel.
A Kyndryl-forráskód: a Kyndryl tulajdonában lévő vagy licencelt Forráskódot jelenti.
Kyndryl-technológia: a Kyndryl-forráskód, egyéb kódok, leíró nyelvek, belső vezérlőprogramok, szoftverek, eszközök, tervek, vázlatok, grafikai ábrázolások, beágyazott kulcsok, tanúsítványok és egyéb információk, anyagok, eszközök, dokumentumok és technológiák, amelyeket a Kyndryl közvetlenül vagy közvetve licencelt vagy más módon bocsátott Szállító rendelkezésére a Tranzakciós Dokumentummal vagy a Kyndryl és a Szállító közötti kapcsolódó megállapodással kapcsolatban.
A Tartalmazza és Beleértve: kifejezés, akár nagybetűvel van írva, akár nem, nem minősül korlátozási feltételeknek.
Az Iparági Legjobb Gyakorlatok: olyan gyakorlatokat jelentenek, amelyek megfelelnek a Nemzeti Szabványügyi és Technológiai Intézet vagy a Nemzetközi Szabványügyi Szervezet, illetve bármely más, hasonló hírnévvel és kifinomultsággal rendelkező testület vagy szervezet által ajánlott vagy előírt gyakorlatoknak.
Az IT: kifejezés jelentése információtechnológia.
Az Egyéb Adatkezelő: a Kyndryltől eltérő bármely jogalany, amely a Kyndryl-adatok Adatkezelője, például a Kyndryl leányvállalata, a Vevő vagy a Vevő leányvállalata.
A Helyszíni Szoftver: olyan szoftver, amelyet a Kyndryl vagy egy alvállalkozó futtat, telepít vagy üzemeltet a alvállalkozó vagy az alvállalkozó szerverein vagy rendszerein. Az egyértelműség kedvéért a Helyszíni Szoftver a Szállító által Leszállítandó termék.
A Személyes Adat: az Érintettre vonatkozó bármely információt és bármely más olyan információt jelenti, amely bármely adatvédelmi törvény szerint "személyes adatnak" vagy hasonlónak minősül.
A Személyzet: olyan személyeket jelent, akik a Kyndryl vagy a Szállító alkalmazottai, a Kyndryl vagy Szállító ügynökei, alvállalkozói vagy a Szállító által megbízott vagy valamely alvállalkozó által valamely fél számára rendelkezésre bocsátott független vállalkozók.
A Adatfeldolgozás vagy Feldolgozás: a Kyndryl-adatokon végzett bármely műveletet vagy műveletsorozatot (beleértve a tárolást, felhasználást, hozzáférést és olvasást) jelenti.
Az Adatfeldolgozó: olyan természetes vagy jogi személyt jelent, amely az Adatkezelő nevében Személyes Adatokat dolgoz fel.
A Biztonsági Előírások Megsértése: a biztonság olyan megsértését jelenti, amely a: (a) a Kyndryl-anyagok elvesztéséhez, megsemmisítéséhez, megváltoztatásához, véletlen vagy jogosulatlan közléséhez, (b) a Kyndryl-anyagokhoz való véletlen vagy jogosulatlan hozzáféréshez, (c) a Kyndryl-adatok jogellenes Feldolgozásához vagy (d) a Kyndryl-technológia jogellenes Kezeléséhez vezet.
Az Eladás (vagy Értékesítés): az adatok értékesítését, bérbeadását, kiadását, közlését, terjesztését, hozzáférhetővé tételét, átruházását vagy más módon történő, szóban, írásban, elektronikus vagy más módon történő kommunikációját jelenti pénzbeli vagy más értékes ellenérték fejében.
A Forráskód: olyan ember által olvasható programozáskód, amelyet a fejlesztők egy termék fejlesztéséhez vagy karbantartásához használnak, de amelyet általános esetben a termék kereskedelmi forgalmazása vagy használata során nem adnak át a végfelhasználóknak.
Az Alárendelt Adatfeldolgozó: jelentése a Szállító összes olyan alvállalkozója, amely a Kyndryl Adatait Feldolgozza.