متطلبات أمان معلومات البائع الخاصة بـ Logitech

تتطلب شركة Logitech Europe S.A. وجميع الشركات التابعة لها والشركات المرتبطة بها (مجتمعةً "Logitech") من جميع بائعيها ومقدمي الخدمات والشركاء التجاريين الآخرين ("أنت" أو "البائع") الحفاظ على برنامج شامل مكتوب لأمان المعلومات ("برنامج أمان المعلومات") يتضمن تدابير تقنية وبدنية وتنظيمية لضمان سرية وأمان وسلامة وتوافر المعلومات المقدمة من Logitech وشركاتها التابعة وموظفيها وممثليها ومقاوليها وعملائها والبائعين (مجتمعةً، "بيانات Logitech") وحمايتها من الوصول غير المصرح به أو الاستخدام أو الكشف أو التعديل أو التدمير. يُرفق برنامج أمان المعلومات هذا، ويُدمج بالإشارة في، الاتفاقيات الخاصة بالخدمات ("الاتفاقيات") بين كيان Logitech المذكور فيها وأنت. على وجه الخصوص، يجب أن يتضمن برنامج أمان المعلومات، دون أن يقتصر على، التدابير التالية حيثما كان ذلك مناسبًا أو ضروريًا لضمان حماية بيانات Logitech:

  • ضوابط الوصول – السياسات والإجراءات والضوابط البدنية والتقنية:
    1. لتقييد الوصول البدني إلى أنظمة المعلومات الخاصة بك والمرفق أو المرافق التي توجد فيها للأشخاص المصرح لهم بشكل صحيح؛
    2. لضمان أن جميع أعضاء قوتك العاملة الذين يحتاجون إلى الوصول إلى بيانات Logitech لديهم وصول مُتحكم فيه بشكل مناسب، ومنع هؤلاء الأعضاء من الحصول على الوصول، وكذلك الآخرين الذين لا ينبغي أن يحصلوا على الوصول؛
    3. للمصادقة والسماح بالوصول فقط للأفراد المصرح لهم ومنع أعضاء قوتك العاملة من تقديم بيانات Logitech أو المعلومات المتعلقة بها لأفراد غير مصرح لهم؛ و
    4. لتشفير وفك تشفير بيانات Logitech حيثما كان ذلك مطلوبًا.
  • التوعية الأمنية والتدريب – برنامج للتوعية الأمنية والتدريب لجميع أعضاء قوتك العاملة (بما في ذلك الإدارة) بشكل منتظم، والذي يتضمن تدريبًا حول كيفية تنفيذ والامتثال لبرنامج أمان المعلومات الخاص بك.
  • إجراءات الحوادث الأمنية – السياسات والإجراءات لاكتشاف والاستجابة ومعالجة الحوادث الأمنية، بما في ذلك الإجراءات لمراقبة الأنظمة واكتشاف الهجمات الفعلية والمُحاولة على بيانات Logitech أو أنظمة المعلومات المتعلقة بها، وإجراءات لتحديد والاستجابة للحوادث الأمنية المشتبه بها أو المعروفة، وتخفيف الآثار الضارة للحوادث الأمنية، وتوثيق الحوادث الأمنية ونتائجها. إذا أصبحت على علم بأي ظرف قد يؤدي إلى التزامات أي من الطرفين بموجب قوانين خرق الأمان، يجب عليك تقديم إشعار كتابي إلى Logitech على الفور عبر soc@logitech.com ويجب عليك التعاون بالكامل مع Logitech لتمكينها من الوفاء بالتزاماتها بموجب قوانين خرق الأمان.
  • التخطيط للطوارئ – السياسات والإجراءات للاستجابة لحالة طارئة أو حدوث آخر (على سبيل المثال، حريق، تخريب، فشل النظام، وكارثة طبيعية) تلحق الضرر ببيانات Logitech أو الأنظمة التي تحتوي على بيانات Logitech، بما في ذلك خطة نسخ احتياطي للبيانات وخطة استعادة الكوارث وتقديم إشعار كتابي إلى Logitech على الفور عبر soc@logitech.com.
  • ضوابط الأجهزة والوسائط – السياسات والإجراءات المتعلقة بالأجهزة والوسائط الإلكترونية التي تحتوي على بيانات Logitech داخل وخارج مرافقك، وحركة هذه العناصر داخل مرافقك، بما في ذلك السياسات والإجراءات لمعالجة التخلص النهائي من بيانات Logitech، و/أو الأجهزة أو الوسائط الإلكترونية التي تم تخزينها عليها، وإجراءات لإزالة بيانات Logitech من الوسائط الإلكترونية قبل أن تصبح الوسائط متاحة لإعادة الاستخدام. يجب عليك التأكد من عدم تنزيل أي بيانات Logitech أو تخزينها بطريقة أخرى على أجهزة الكمبيوتر المحمولة أو الأجهزة المحمولة الأخرى ما لم تكن خاضعة لجميع الحمايات المطلوبة هنا. يجب أن تشمل هذه التدابير الوقائية، ولكن لا تقتصر على ذلك، تشفير جميع الأجهزة التي تصل إلى بيانات Logitech واستخدام برامج مكافحة البرمجيات الخبيثة المحدثة.
  • ضوابط التدقيق – الأجهزة والبرامج والخدمات والمنصات و/أو الآليات الإجرائية التي تسجل وتفحص النشاط في أنظمة المعلومات التي تحتوي على أو تستخدم المعلومات الإلكترونية، بما في ذلك السجلات والتقارير المناسبة المتعلقة بهذه المتطلبات الأمنية والامتثال لها.
  • السياسات والإجراءات – السياسات والإجراءات لضمان سرية وسلامة وتوافر بيانات Logitech وحمايتها من الكشف أو الاستخدام أو التعديل أو التدمير العرضي أو غير المصرح به أو غير السليم.
  • أمان التخزين والنقل – تدابير أمان تقنية للحماية من الوصول غير المصرح به إلى بيانات Logitech التي يتم نقلها عبر شبكة اتصالات إلكترونية، بما في ذلك آلية لتشفير بيانات Logitech في الشكل الإلكتروني أثناء النقل وفي التخزين على الشبكات أو الأنظمة التي قد يكون للأفراد غير المصرح لهم الوصول إليها.
  • تعيين مسؤول الأمان – يجب عليك تعيين مسؤول أمان مكلف بتطوير وتنفيذ وصيانة برنامج أمان المعلومات الخاص بك.
  • وسائط التخزين الفيزيائية – سياسات وإجراءات لضمان أنه قبل تخصيص أو إعادة تخصيص أي وسائط تخزين تحتوي على بيانات Logitech لمستخدم آخر، أو قبل إزالة هذه الوسائط بشكل دائم من منشأة، ستقوم بحذف بيانات Logitech بشكل آمن وفقًا للقسم 2.3 (هـ)، بحيث لا تحتوي الوسائط على أي بيانات متبقية، أو إذا لزم الأمر، تدمير هذه الوسائط بشكل فعلي. يجب عليك الحفاظ على برنامج يمكن تدقيقه لتنفيذ متطلبات التخلص والتدمير المنصوص عليها في هذا القسم لجميع وسائط التخزين التي تحتوي على بيانات Logitech.
  • الاختبار – يجب عليك اختبار الضوابط الرئيسية والأنظمة والإجراءات لبرنامج أمان المعلومات الخاص بك بانتظام لضمان تنفيذها بشكل صحيح وفعال في معالجة التهديدات والمخاطر المحددة. يجب أن يتم إجراء الاختبارات أو مراجعتها من قبل أطراف ثالثة مستقلة أو موظفين مستقلين عن أولئك الذين يقومون بتطوير أو صيانة برامج الأمان.
  • الحفاظ على البرنامج محدثًا – يجب عليك مراقبة وتقييم وضبط، حسب الاقتضاء، برنامج أمان المعلومات في ضوء أي تغييرات ذات صلة في التكنولوجيا أو معايير الأمان الصناعية، حساسية بيانات Logitech، التهديدات الداخلية أو الخارجية لك أو لبيانات Logitech، وترتيبات عملك المتغيرة، مثل الاندماجات والاستحواذات، التحالفات والمشاريع المشتركة، ترتيبات الاستعانة بمصادر خارجية، والتغييرات في أنظمة المعلومات.
     

بشكل أكثر تحديدًا، يجب أن يلبي برنامج أمان المعلومات الخاص بالمورد أو يتجاوز المتطلبات التالية:

1.1. سياسة الأمان. سيتوافق المورد في جميع النواحي مع متطلبات أمان المعلومات الخاصة بـ Logitech المنصوص عليها في هذه المتطلبات الخاصة بأمان المعلومات للموردين ("سياسة الأمان"). تنطبق سياسة الأمان على أداء المورد بموجب أي اتفاقية بين المورد وLogitech ("الاتفاقية") وجميع الوصول، الجمع، الاستخدام، التخزين، النقل، الكشف، التدمير أو الحذف، والحوادث الأمنية المتعلقة بمعلومات Logitech (كما هو معرف أدناه). لا تحد سياسة الأمان هذه من الالتزامات الأخرى للمورد، بما في ذلك بموجب الاتفاقية أو فيما يتعلق بأي قوانين تنطبق على المورد، أداء المورد بموجب الاتفاقية، معلومات Logitech أو الغرض المسموح به (كما هو معرف أدناه). إلى الحد الذي تتعارض فيه سياسة الأمان هذه مباشرة مع الاتفاقية، سيقوم المورد بإخطار Logitech على الفور بالصراع وسيمتثل للمتطلب الأكثر تقييدًا والأكثر حماية لمعلومات Logitech (التي قد تحددها Logitech).

1.2. التعريفات.

  1. "الشركة التابعة" تعني، بالنسبة لشخص معين، أي كيان يتحكم فيه بشكل مباشر أو غير مباشر، أو يتم التحكم فيه بواسطة، أو يكون تحت السيطرة المشتركة مع هذا الشخص.
  2. "المجموع" يعني دمج أو تخزين معلومات لوجيتك مع أي بيانات أو معلومات للمورد أو أي طرف ثالث.
  3. "إخفاء الهوية" يعني استخدام أو جمع أو تخزين أو نقل أو تحويل أي بيانات أو معلومات (بما في ذلك معلومات Logitech) بطريقة أو شكل لا يحدد، ولا يسمح بتحديد، ولا يمكن نسبته إلى أي مستخدم، معرف جهاز، مصدر، منتج، خدمة، سياق، علامة تجارية، أو Logitech أو الشركات التابعة لها.
  4. "معلومات Logitech" تعني، بشكل فردي وجماعي: (أ) جميع معلومات Logitech السرية (كما هو معرف في الاتفاقية أو في اتفاقية عدم الإفشاء بين الأطراف)؛ (ب) جميع البيانات أو السجلات أو الملفات أو المحتوى أو المعلومات الأخرى، بأي شكل أو صيغة، التي تم الحصول عليها أو الوصول إليها أو جمعها أو تلقيها أو تخزينها أو صيانتها من قبل المورد أو شركاته التابعة من أو نيابة عن Logitech أو الشركات التابعة لها، أو بخلاف ذلك فيما يتعلق بالاتفاقية، والخدمات المقدمة بموجب الاتفاقية، أو أداء الأطراف أو ممارسة الحقوق بموجب أو فيما يتعلق بالاتفاقية؛ و (ج) المشتقة من (أ) أو (ب)، حتى لو تم إخفاء هويتها.

1.3. الغرض المسموح به.
باستثناء ما يتم تفويضه صراحة بموجب الاتفاقية، يمكن للمورد الوصول إلى معلومات Logitech وجمعها واستخدامها وتخزينها ونقلها فقط وفقًا لما هو مفوض صراحة بموجب الاتفاقية، ولغرض تقديم الخدمات بموجب الاتفاقية، بما يتماشى مع التراخيص (إن وجدت) الممنوحة بموجب الاتفاقية ("الغرض المسموح به"). باستثناء ما يتم تفويضه صراحة بموجب الاتفاقية، لن يقوم البائع بالوصول إلى معلومات Logitech أو جمعها أو استخدامها أو تخزينها أو نقلها، ولن يقوم بتجميع معلومات Logitech، حتى لو كانت مجهولة الهوية. باستثناء بموافقة خطية مسبقة صريحة من Logitech، لن يقوم البائع (أ) بنقل أو تأجير أو مقايضة أو بيع أو إقراض أو تأجير أو توزيع أو إتاحة أي معلومات Logitech لأي طرف ثالث أو (ب) بتجميع معلومات Logitech مع أي معلومات أو بيانات أخرى، حتى لو كانت مجهولة الهوية.

2.1. متطلبات الأمان الأساسية. سوف يقوم البائع، بما يتماشى مع أفضل المعايير الصناعية الحالية والمتطلبات الأخرى المحددة من قبل Logitech بناءً على تصنيف وحساسية معلومات Logitech، بالحفاظ على تدابير الحماية البدنية والإدارية والتقنية وغيرها من تدابير الأمان (أ) للحفاظ على أمان وسرية معلومات Logitech التي تم الوصول إليها أو جمعها أو استخدامها أو تخزينها أو نقلها من قبل البائع، و(ب) لحماية تلك المعلومات من التهديدات أو المخاطر المعروفة أو المتوقعة بشكل معقول لأمانها وسلامتها، وفقدانها العرضي، وتغييرها، وكشفها، وجميع الأشكال غير القانونية الأخرى للمعالجة. دون تقييد، سيلتزم البائع بالمتطلبات التالية:

  1. جدار الحماية. سوف يقوم البائع بتثبيت وصيانة جدار حماية شبكة يعمل لحماية البيانات القابلة للوصول عبر الإنترنت وسيتأكد من حماية جميع معلومات Logitech بواسطة جدار الحماية في جميع الأوقات.
  2. التحديثات. سوف يقوم البائع بالحفاظ على أنظمته وبرامجه محدثة بأحدث الترقيات والتحديثات وإصلاحات الأخطاء والإصدارات الجديدة والتعديلات الأخرى اللازمة لضمان أمان معلومات Logitech.
  3. مكافحة البرمجيات الضارة. سوف يستخدم البائع في جميع الأوقات برامج مكافحة البرمجيات الضارة وسيتأكد من تحديث برامج مكافحة البرمجيات الضارة. سوف يقوم البائع بتخفيف التهديدات من جميع الفيروسات وبرامج التجسس وغيرها من الأكواد الضارة التي تم اكتشافها أو كان من المفترض اكتشافها بشكل معقول.
  4. التشفير. سوف يقوم البائع بتشفير البيانات المخزنة والبيانات المرسلة عبر الشبكات المفتوحة وفقًا لأفضل الممارسات الصناعية.
  5. الاختبار. سوف يقوم البائع باختبار أنظمة الأمان والعمليات الخاصة به بانتظام لضمان تلبيتها لمتطلبات سياسة الأمان هذه.
  6. ضوابط الوصول. سوف يقوم البائع بتأمين معلومات Logitech، بما في ذلك من خلال الالتزام بالمتطلبات التالية:
    1. سوف يقوم البائع بتعيين معرف فريد لكل شخص لديه وصول إلى معلومات Logitech.
    2. سوف يقتصر البائع على الوصول إلى معلومات Logitech فقط لأولئك الأشخاص الذين لديهم "حاجة إلى المعرفة" لغرض مسموح به.
    3. سوف يقوم البائع بمراجعة قائمة الأشخاص والخدمات الذين لديهم وصول إلى معلومات Logitech بانتظام، وإزالة الحسابات (أو إبلاغ Logitech بإزالة الحسابات) التي لم تعد بحاجة إلى الوصول. يجب أن تتم هذه المراجعة على الأقل مرة كل 90 يومًا.
    4. لن يستخدم البائع الإعدادات الافتراضية التي يوفرها المصنع لكلمات مرور النظام ومعلمات الأمان الأخرى على أي أنظمة تشغيل أو البرامج أو أنظمة أخرى. سوف يفرض البائع ويضمن استخدام "كلمات مرور قوية" مفروضة من النظام وفقًا لأفضل الممارسات (الموصوفة أدناه) على جميع الأنظمة التي تستضيف أو تخزن أو تعالج أو التي لديها أو تتحكم في الوصول إلى معلومات Logitech، وسيتطلب أن تظل جميع كلمات المرور وبيانات الاعتماد للوصول سرية وألا يتم مشاركتها بين الموظفين. يجب أن تلبي كلمات المرور المعايير التالية: تحتوي على 12 حرفًا على الأقل؛ لا تتطابق مع كلمات المرور السابقة، أو تسجيل دخول المستخدم، أو اسم شائع؛ يجب تغييرها كلما تم الاشتباه أو الافتراض في اختراق حساب؛ ويتم استبدالها بانتظام بعد 90 يومًا كحد أقصى.
    5. سوف يحافظ البائع على "قفل الحساب" ويطبقه من خلال تعطيل الحسابات التي لديها وصول إلى معلومات Logitech عندما يتجاوز الحساب أكثر من 10 محاولات كلمة مرور غير صحيحة متتالية.
    6. باستثناء ما يتم تفويضه صراحةً من قبل Logitech كتابيًا، سوف يعزل البائع معلومات Logitech في جميع الأوقات (بما في ذلك في التخزين أو المعالجة أو النقل) عن معلومات البائع وأي معلومات طرف ثالث.
    7. إذا تم طلب تدابير إضافية للتحكم في الوصول الفيزيائي كتابيًا من قبل Logitech، سوف يقوم البائع بتنفيذ واستخدام تلك التدابير الأمنية للتحكم في الوصول الفيزيائي.
    8. سوف يقدم البائع إلى Logitech على أساس سنوي أو بشكل أكثر تكرارًا عند طلب Logitech، (1) بيانات السجل حول جميع الاستخدامات (المصرح بها وغير المصرح بها) لحسابات Logitech أو بيانات الاعتماد المقدمة للبائع للاستخدام نيابة عن Logitech (مثل بيانات اعتماد حسابات وسائل التواصل الاجتماعي)، و(2) بيانات سجل مفصلة حول أي انتحال لشخصية، أو محاولة انتحال شخصية، موظفي Logitech أو موظفي البائع الذين لديهم وصول إلى معلومات Logitech.
    9. سوف يقوم البائع بمراجعة سجلات الوصول بانتظام بحثًا عن علامات السلوك الخبيث أو الوصول غير المصرح به.
  7. سياسة البائع. سوف يحافظ البائع على سياسة أمن المعلومات والشبكة للموظفين والمقاولين والوكلاء والبائعين التي تلبي المعايير المحددة في هذه السياسة، بما في ذلك طرق اكتشاف وتسجيل انتهاكات السياسة. عند طلب Logitech، سوف يقدم البائع معلومات عن انتهاكات سياسة أمن المعلومات والشبكة الخاصة به، حتى لو لم تشكل حادثة أمنية.
  8. المقاولة الفرعية. لن يقوم البائع بالاستعانة بمصادر خارجية أو تفويض أي من التزاماته بموجب سياسة الأمان هذه إلى أي مقاولين فرعيين دون موافقة كتابية مسبقة من Logitech. على الرغم من وجود أو شروط أي مقاولة فرعية أو تفويض، سيظل البائع مسؤولاً عن الأداء الكامل لالتزاماته بموجب سياسة الأمان هذه. ستكون الشروط والأحكام لهذه السياسة الأمنية ملزمة لمقاولي البائع وموظفيه. سوف يضمن البائع (أ) أن يلتزم مقاولو البائع وموظفوه بهذه السياسة الأمنية، و(ب) سيكون مسؤولاً عن جميع الأفعال والإغفالات والإهمال وسوء السلوك من قبل مقاولي البائع وموظفيه، بما في ذلك (حسب الاقتضاء) انتهاك أي قانون أو قاعدة أو لائحة.
  9. الوصول عن بُعد. سيتأكد البائع من أن أي وصول من خارج البيئات المحمية للشركات أو الإنتاج إلى الأنظمة التي تحتوي على معلومات لوجيتك أو شبكات محطات العمل الخاصة بالبائع يتطلب مصادقة متعددة العوامل (على سبيل المثال، يتطلب على الأقل عاملين منفصلين لتحديد المستخدمين).
  10. موظفو البائع. قد تشترط Logitech الوصول إلى معلومات Logitech من قبل موظفي البائع على تنفيذ موظفي البائع وتسليمهم إلى Logitech اتفاقيات عدم إفشاء فردية، الشكل الذي تحدده Logitech. إذا طلبت Logitech، تطلب Logitech من موظفي البائع تنفيذ اتفاقية عدم الإفشاء الفردية. سوف يحصل البائع على اتفاقيات عدم الإفشاء الفردية الموقعة من موظفي البائع الذين سيكون لديهم وصول إلى معلومات Logitech (قبل منح الوصول أو تقديم المعلومات لموظفي البائع). سوف يقوم البائع أيضًا (أ) بتقديم قائمة موظفي البائع الذين وصلوا إلى معلومات Logitech أو استلموها إلى Logitech عند الطلب ضمن إطار زمني متفق عليه، و(ب) إبلاغ Logitech في موعد أقصاه 24 ساعة بعد أي فرد معين من موظفي البائع المخولين للوصول إلى معلومات Logitech وفقًا لهذا القسم: (y) لم يعد يحتاج إلى الوصول إلى معلومات Logitech أو (z) لم يعد مؤهلاً كموظف للبائع (على سبيل المثال، يغادر الموظف عمل البائع).
     

2.2. الوصول إلى إكسترانت Logitech وبوابات البائع. قد تمنح Logitech البائع الوصول إلى معلومات Logitech عبر بوابات الويب أو مواقع الويب غير العامة أو خدمات الإكسترانت على موقع Logitech أو موقع نظام طرف ثالث (كل منها، "إكسترانت") للغرض المسموح به. إذا سمحت Logitech للبائع بالوصول إلى أي معلومات Logitech باستخدام إكسترانت، يجب على البائع الامتثال للمتطلبات التالية:

  1. الغرض المسموح به. سوف يصل البائع وموظفوه إلى الإكسترانت ويصلون إلى، ويجمعون، ويستخدمون، ويعرضون، ويسترجعون، ويقومون بتنزيل أو تخزين معلومات Logitech من الإكسترانت فقط للغرض المسموح به.
  2. الحسابات. سيتأكد البائع من أن موظفي البائع يستخدمون فقط حسابات الإكسترانت المخصصة لكل فرد من قبل Logitech وسيتطلب من موظفي البائع الحفاظ على سرية بيانات اعتماد الوصول الخاصة بهم.
  3. الأنظمة. سوف يصل البائع إلى الإكسترانت فقط من خلال أنظمة أو تطبيقات حوسبة أو معالجة تعمل بأنظمة تشغيل يديرها البائع وتشتمل على: (i) جدران حماية الشبكة النظامية وفقًا للقسم 2.1(A) (جدار الحماية)؛ (ii) إدارة تصحيحات مركزية وفقًا للقسم 2.1(B) (التحديثات)؛ (iii) برامج مكافحة البرمجيات الخبيثة المناسبة لنظام التشغيل وفقًا للقسم 2.1(C) (مكافحة البرمجيات الخبيثة)؛ و (iv) للأجهزة المحمولة، تشفير كامل للقرص.
  4. القيود. ما لم يتم الموافقة عليه مسبقًا كتابيًا من قبل لوجيتك، لن يقوم البائع بتنزيل أو نسخ أو تخزين أي معلومات لوجيتك بشكل دائم من أي إكسترانت على أي وسيلة، بما في ذلك أي آلات أو أجهزة أو خوادم.
  5. إنهاء الحساب. سوف يقوم البائع بإنهاء حساب كل من موظفيه وإخطار Logitech في موعد لا يتجاوز 24 ساعة بعد أي موظف معين من البائع تم تفويضه للوصول إلى أي إكسترانت (أ) لم يعد بحاجة للوصول إلى معلومات Logitech، (ب) لم يعد مؤهلاً كموظف لدى البائع (على سبيل المثال، ترك الموظف عمله لدى البائع)، أو (ج) لم يعد يصل إلى معلومات Logitech لمدة 30 يومًا أو أكثر.
  6. أنظمة الطرف الثالث.
    1. سوف يقوم البائع بإخطار Logitech مسبقًا والحصول على موافقة خطية مسبقة من Logitech قبل استخدام أي نظام طرف ثالث يخزن أو قد يكون له وصول إلى معلومات Logitech، ما لم تكن (أ) البيانات مشفرة وفقًا لهذه السياسة الأمنية، و(ب) نظام الطرف الثالث لن يكون له وصول إلى مفتاح فك التشفير أو النسخ غير المشفرة من البيانات. تحتفظ Logitech بالحق في طلب مراجعة الأمان من Logitech (وفقًا للقسم 2.5 أدناه) للنظام الطرف الثالث قبل منح الموافقة.
    2. إذا استخدم البائع أي أنظمة طرف ثالث تخزن أو قد تصل إلى معلومات Logitech غير المشفرة، يجب على البائع إجراء مراجعة الأمان للأنظمة الطرف الثالث وضوابطها الأمنية، وسيوفر لـ Logitech تقارير دورية حول ضوابط أمان النظام الطرف الثالث بالشكل المطلوب من Logitech (على سبيل المثال، SAS 70، SSAE 16 أو تقرير خلفي معتمد من Logitech).
       

2.3. الاحتفاظ بالبيانات والتدمير.

  1. الاحتفاظ. سوف يحتفظ البائع بمعلومات Logitech فقط لغرض، وطالما كان ذلك ضرورياً، لتحقيق الغرض المسموح به.
  2. الإرجاع أو الحذف. سوف يقوم البائع بإرجاع جميع معلومات Logitech بسرعة (ولكن في غضون 10 أيام كحد أقصى بعد طلب Logitech) وحذفها بشكل دائم وآمن وفقًا لإشعار Logitech الذي يتطلب الإرجاع و/أو الحذف. أيضًا، سيقوم البائع بحذف جميع النسخ الحية (المتاحة عبر الإنترنت أو الشبكة) من معلومات Logitech بشكل دائم وآمن خلال 90 يومًا بعد إتمام الغرض المسموح به أو إنهاء أو انتهاء الاتفاقية، ما لم يكن مطلوبًا قانونيًا الاحتفاظ بها. إذا طلبت Logitech، سيقوم البائع بتأكيد كتابيًا أن جميع معلومات Logitech قد تم تدميرها.
  3. نسخ أرشيفية. إذا كان البائع ملزمًا بموجب القانون بالاحتفاظ بنسخ أرشيفية من معلومات Logitech لأغراض ضريبية أو تنظيمية مماثلة، يجب تخزين هذه المعلومات الأرشيفية من Logitech بإحدى الطرق التالية: كنسخة احتياطية "باردة" أو غير متصلة (أي، غير متاحة للاستخدام الفوري أو التفاعلي) مخزنة في منشأة آمنة جسديًا؛ أو مشفرة، بحيث لا يكون للنظام الذي يستضيف أو يخزن الملف(الملفات) المشفرة وصول إلى نسخة من المفتاح(المفاتيح) المستخدمة للتشفير.
  4. الاسترداد. إذا قام البائع بإجراء "استرداد" (أي العودة إلى نسخة احتياطية) لغرض استعادة البيانات، يجب أن يكون لدى البائع عملية تضمن أن جميع معلومات Logitech التي يجب حذفها بموجب الاتفاقية أو هذه السياسة الأمنية سيتم إعادة حذفها أو الكتابة فوقها من البيانات المستردة وفقًا للقسم 2.3 خلال 24 ساعة من حدوث الاسترداد. إذا قام البائع بإجراء استرداد لأي غرض، لا يجوز استرداد أي معلومات Logitech إلى أي نظام أو شبكة طرف ثالث دون الحصول على موافقة خطية مسبقة من Logitech. تحتفظ Logitech بالحق في طلب مراجعة الأمان من Logitech (وفقًا للقسم 2.5 أدناه) للنظام أو الشبكة الطرف الثالث قبل السماح باسترداد أي معلومات Logitech إلى أي نظام أو شبكة طرف ثالث.
  5. معايير الحذف. سيتم حذف جميع معلومات Logitech التي تم حذفها بواسطة البائع وفقًا لنشر NIST الخاص 800-88 الإصدار 1، إرشادات تطهير الوسائط بتاريخ 18 ديسمبر 2014 (متاحة على https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitization)، أو أي معايير أخرى قد تتطلبها Logitech بناءً على تصنيف وحساسية معلومات Logitech.
     

2.4. التدمير الجنائي. قبل التخلص بأي شكل من الأشكال من أي أجهزة أو برامج أو أي وسائط أخرى تحتوي على، أو كانت تحتوي في أي وقت، على معلومات Logitech، سيقوم البائع بإجراء تدمير جنائي كامل للأجهزة أو البرامج أو الوسائط الأخرى بحيث لا يمكن استرداد أو استرجاع أي من معلومات Logitech بأي شكل. سيقوم البائع بإجراء التدمير الجنائي وفقًا للمعايير التي قد تتطلبها Logitech بناءً على تصنيف وحساسية معلومات Logitech. يجب على البائع تقديم شهادة التدمير عند الطلب من Logitech.

  1. لن يقوم البائع ببيع أو إعادة بيع أو التبرع أو تجديد أو نقل بأي شكل من الأشكال (بما في ذلك أي بيع أو نقل لأي من هذه الأجهزة أو البرامج أو الوسائط الأخرى، أو أي تصرف يتعلق بتصفية أعمال البائع، أو أي تصرف آخر) أي أجهزة أو برامج أو وسائط أخرى تحتوي على معلومات Logitech التي لم يتم تدميرها جنائيًا بواسطة البائع.
     

2.5. مراجعة الأمان.

  1. استبيان تقييم المخاطر. تتطلب Logitech من جميع البائعين الخضوع لتقييم مخاطر البائع، والذي يتم تفعيله من خلال تقديم ردود محدثة على استبيان تقييم المخاطر الخاص بـ Logitech، على الأقل على أساس سنوي، ولكن قد يكون أكثر تكرارًا بناءً على المخاطر التي تم تقييمها للبائع.
  2. الشهادة. عند الطلب الكتابي من Logitech، سيقوم البائع بتقديم تأكيد كتابي لـ Logitech بأنه متوافق مع هذه الاتفاقية.
  3. مراجعات أخرى. تحتفظ Logitech بالحق في مراجعة أمان الأنظمة التي يستخدمها البائع لمعالجة معلومات Logitech بشكل دوري. سيقوم البائع بالتعاون بشكل معقول وتقديم جميع المعلومات المطلوبة إلى Logitech في إطار زمني معقول ولكن لا يتجاوز 20 يومًا تقويميًا من تاريخ طلب Logitech.
  4. إصلاح. إذا حددت أي مراجعة الأمان أي نواقص ملحوظة، سيقوم البائع، على نفقته الخاصة، باتخاذ جميع الإجراءات اللازمة لمعالجة تلك النواقص ضمن إطار زمني متفق عليه.
     

2.6. خرق الأمان.

  1. سوف يقوم البائع بإبلاغ Logitech عبر soc@logitech.com دون تأخير غير مبرر (لا يتجاوز 24 ساعة) عن خرق الأمان كما هو معرف بموجب القوانين المعمول بها (i) التي تحتوي على معلومات Logitech، أو (ii) التي يديرها البائع مع ضوابط مشابهة بشكل كبير لتلك التي تحمي معلومات Logitech (كل منها، "خرق أمان"). سوف يقوم البائع بمعالجة كل خرق أمان في الوقت المناسب وتقديم تفاصيل مكتوبة إلى Logitech بشأن التحقيق الداخلي للبائع فيما يتعلق بكل حادث أمني. يوافق البائع على عدم إبلاغ أي سلطة تنظيمية أو أي عميل نيابة عن Logitech ما لم تطلب Logitech ذلك كتابةً، وتحتفظ Logitech بالحق في مراجعة والموافقة على شكل ومحتوى أي إشعار قبل تقديمه لأي طرف. سوف يتعاون البائع بشكل معقول ويعمل مع Logitech لوضع وتنفيذ خطة لتصحيح جميع الحوادث الأمنية المؤكدة.
  2. سوف يقوم البائع بإبلاغ Logitech دون تأخير غير مبرر (لا يتجاوز 24 ساعة) عندما يتم البحث عن معلومات Logitech استجابةً لإجراءات قانونية أو بموجب القانون المعمول به.