Článek I, Obchodní kontaktní informace
Článek I, Obchodní kontaktní informace
Tento Článek se uplatní, pokud Dodavatel nebo Kyndryl Zpracovávají Obchodní kontaktní informace druhé smluvní strany.
1.1 Kyndryl a Dodavatel mohou Zpracovávat OKI druhé smluvní strany, pokud podnikají v souvislosti s poskytováním Služeb a dodávkou Plnění Dodavatelem.
1.2 Smluvní strana:
a) nebude používat ani neposkytne Obchodní kontaktní informace druhé smluvní strany pro jakékoliv jiné účely (pro upřesnění se uvádí, že žádná ze smluvních stran Neprodá Obchodní kontaktní informace druhé smluvní strany ani nebude používat nebo poskytovat Obchodní kontaktní informace druhé smluvní strany pro jakékoliv marketingové účely bez předchozího písemného souhlasu druhé smluvní strany a dle potřeby bez předchozího písemného souhlasu dotčených Subjektů údajů), a
b) odstraní, upraví, opraví a vrátí Obchodní kontaktní informace, poskytne informace o jejich Zpracování, omezí jejich Zpracování nebo přijme veškeré rozumně požadované kroky ve vztahu k Obchodním kontaktním informacím druhé smluvní strany, a to neprodleně na základě písemné žádosti druhé smluvní strany.
1.3 Smluvní strany neuzavírají vztah společného Správce údajů ve vztahu k Obchodním kontaktním informacím druhé smluvní strany a žádné ustanovení Transakčního dokumentu nebude vykládáno jako náznak jakéhokoliv takového úmyslu založit vztah společného Správce údajů.
1.4 Prohlášení Kyndryl o ochraně osobních údajů na adrese xxxxx://xxx.xxxxxxx.xxx/xxxxxxx obsahuje další podrobnosti ohledně Zpracování OKI společností Kyndryl.
1.5 Smluvní strany zavedly a budou udržovat technická a organizační opatření na ochranu Obchodních kontaktních informací druhé smluvní strany proti ztrátě, zničení, pozměnění, náhodnému nebo neoprávněnému poskytnutí, náhodnému nebo neoprávněnému přístupu a nezákonnému Zpracování.
1.6 Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení týkajícím se BCI společnosti Kyndryl, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel poskytne takové oznámení na xxxxx.xxxxxxxxx@xxxxxxx.xxx. Dodavatel poskytne Kyndryl rozumně požadované informace o takovém narušení a stavu činností nápravy a obnovení Dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení Dodavatele.
1.7 V případě, že Dodavatel Zpracovává pouze OKI Kyndryl a nemá přístup k dalším údajům nebo materiálům jakéhokoliv druhu ani k Firemním systémům Kyndryl, tento Článek a Článek X (Spolupráce, ověření a náprava) jsou jediné články, které se na takové Zpracování uplatní.
Článek II, Technická a organizační opatření, Zabezpečení dat
Tento Článek se uplatní, pokud Dodavatel Zpracovává jiná Data Kyndryl než Obchodní kontaktní informace Kyndryl. Dodavatel bude plnit požadavky tohoto Článku při poskytování všech Služeb a dodávce všech Plnění. a bude tím chránit Data Kyndryl před ztrátou, zničením, pozměněním, náhodným nebo neoprávněným poskytnutím, náhodným nebo neoprávněným přístupem a nezákonnými formami Zpracování. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Využití údajů
1.1 Dodavatel nesmí doplnit k Datům Kyndryl ani zahrnout do Dat Kyndryl žádné další informace ani data, včetně Osobních údajů, bez předchozího písemného souhlasu Kyndryl a Dodavatel nesmí používat Data Kyndryl v jakékoliv formě, agregovaně či jinak, pro jakékoliv jiné účely než pro poskytování Služeb a dodávku Plnění (například Dodavatel není oprávněn používat nebo znovu používat Data Kyndryl k hodnocení efektivity nebo jako prostředek pro vylepšení nabídek Dodavatele, k výzkumu a vývoji pro vytváření nových nabídek ani pro generování sestav ohledně nabídek Dodavatele). Pokud to není výslovně povoleno v Transakčním dokumentu, Dodavatel nesmí Data Kyndryl Prodávat.
1.2 Dodavatel nezabuduje žádné webové sledovací technologie do Plnění ani jako součást Služeb (k těmto technologiím patří HTML5, místní úložiště, značky nebo tokeny třetích osob a webové majáky), pokud to není výslovně povoleno v Transakčním dokumentu.
2. Požadavky třetích osob a důvěrnost
2.1. Dodavatel neposkytne Data Kyndryl žádné třetí osobě, pokud k tomu nebude mít předchozí písemný souhlas Kyndryl. Pokud vláda, včetně jakéhokoliv regulačního orgánu, požaduje přístup k Datům Kyndryl (např. vláda USA vydá nařízení o národní bezpečnosti vůči Dodavateli s cílem získat Data Kyndryl), nebo pokud je poskytnutí Dat Kyndryl jinak vyžadováno zákonem, Dodavatel bude Kyndryl písemně informovat o takovém požadavku nebo žádosti a poskytne Kyndryl rozumnou příležitost takové poskytnutí zpochybnit (pokud zákon takové oznámení zakazuje, Dodavatel podnikne kroky, o kterých se bude rozumně domnívat, že jsou odpovídající pro dosažení zákazu nebo zpochybnění poskytnutí Dat Kyndryl na základě soudní žaloby či jinými prostředky).
2.2. Dodavatel ve vztahu k Xxxxxxx zaručuje, že: (a) přístup k Datům Kyndryl budou mít pouze ti jeho zaměstnanci, kteří takový přístup k Datům Kyndryl potřebují pro poskytování Služeb nebo dodávku Plnění, a to pouze v takovém rozsahu, který je pro takové Služby či taková Plnění nezbytný; a (b) se svými zaměstnanci uzavřel závazek zachování důvěrnosti, který od těchto zaměstnanců vyžaduje, aby Data Kyndryl používali a poskytovali pouze v rozsahu povoleném těmito Podmínkami.
3. Vrácení nebo odstranění Dat Kyndryl
3.1. Dodavatel dle rozhodnutí Kyndryl buď odstraní, nebo vrátí Data Kyndryl společnosti Kyndryl při ukončení nebo uplynutí Transakčního dokumentu, nebo dříve na základě žádosti Kyndryl. Pokud společnost Kyndryl vyžaduje odstranění, Dodavatel v souladu Doporučenými oborovými postupy zajistí znečitelnění dat a znemožnění jejich rekonstrukce či obnovy a společnosti Kyndryl předloží potvrzení o takovém odstranění. V případě, že Xxxxxxx požaduje vrácení Dat Kyndryl, pak tak Dodavatel učiní dle rozumného harmonogramu Kyndryl a dle rozumných písemných pokynů Kyndryl.
Článek III, Ochrana osobních údajů
Tento Článek se uplatní, pokud Dodavatel Zpracovává Osobní údaje Kyndryl.
1. Zpracování
1.1 Kyndryl jmenuje Dodavatele Zpracovatelem údajů pro Zpracování osobních údajů Kyndryl výhradně pro účely poskytování Služeb nebo dodávky Plnění v souladu s pokyny Kyndryl, a to včetně těch, které jsou uvedeny v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami. Pokud Dodavatel pokyn nesplní, Kyndryl je oprávněna vypovědět dotčenou část Služeb písemnou výpovědí. Pokud se Dodavatel domnívá, že pokyn porušuje zákony o ochraně osobních údajů, Xxxxxxxxx je povinen o tom neprodleně a ve lhůtě případně stanovené zákonem informovat Kyndryl.
1.2 Dodavatel bude dodržovat veškeré zákony o ochraně osobních údajů vztahující se na Služby a Plnění.
1.3 Příloha k Transakčnímu dokumentu nebo Transakční dokument samotný upravují ve vztahu k Datům Kyndryl následující:
(a) kategorie Subjektů údajů;
(b) typy Osobních údajů Kyndryl;
(c) akce dat a činnosti Zpracování;
(d) doba trvání a frekvence Zpracování; a
(e) seznam Dílčích zpracovatelů údajů.
2. Technická a organizační opatření
2.1 Dodavatel zavede a bude udržovat technická a organizační opatření stanovená v Článku II (Technická a organizační opatření, Zabezpečení dat) a Článku VIII (technická a organizační opatření, Obecné zabezpečení), a tím zajistí úroveň zabezpečení odpovídající rizikům souvisejícím se Službami a Plněními. Dodavatel potvrzuje a chápe omezení stanovená Článkem II, tímto Článkem III, a Článkem VIII a bude je dodržovat.
3. Práva a požadavky Subjektů údajů
3.1 Dodavatel bude Kyndryl neprodleně informovat (v souladu s harmonogramem, který umožní, aby Xxxxxxx a Další správci údajů splnili své zákonné povinnosti) o všech žádostech Subjektů údajů, kterými tito uplatní práva Subjektů údajů (např. na opravu, odstranění či zablokování údajů) ve vztahu k Osobním údajům Kyndryl. Dodavatel je rovněž oprávněn nařídit Subjektu údajů, aby takovou žádost předložil společnosti Kyndryl. Dodavatel nebude reagovat na žádné žádosti od Subjektů údajů, s výjimkou případů, kdy je tak povinen učinit ze zákona nebo kdy mu to písemně nařídí Xxxxxxx.
3.2 Pokud je společnost Kyndryl povinna poskytnout informace ohledně Osobních údajů Kyndryl Dalším správcům údajů nebo jiným třetím osobám (např. Subjektům údajů nebo regulačním orgánům), Dodavatel je povinen Kyndryl poskytnout součinnost tak, že poskytne informace a učiní další rozumné kroky, které bude Kyndryl požadovat, dle harmonogramu, který Kyndryl umožní včas těmto Dalším správcům údajů nebo regulačním orgánům odpovědět.
4. Dílčí zpracovatelé
4.1 Před doplněním nového Dílčího zpracovatele údajů nebo rozšířením rozsahu Zpracování stávajícím Dílčím zpracovatelem údajů zašle Dodavatel Kyndryl předchozí písemné oznámení , přičemž v takovém písemném oznámení uvede jméno takového Dílčího zpracovatele údajů a popis nového či rozšířeného rozsahu Zpracování. Kyndryl je oprávněna kdykoliv uplatnit námitku vůči takovému novému Dílčímu zpracovateli údajů nebo rozšířenému rozsahu z rozumných důvodů, a pokud tak učiní, smluvní strany budou spolupracovat v dobré víře na řešení námitek společnosti Kyndryl. S přihlédnutím k právu Kyndryl kdykoliv uplatnit námitku je Xxxxxxxxx oprávněn pověřit nového Dílčího zpracovatele údajů nebo rozšířit rozsah Zpracování stávajícím Dílčím zpracovatelem údajů, pokud Kyndryl neuplatní námitku do 30 Dní od data písemného oznámení Dodavatele.
4.2 Dodavatel stanoví povinnosti ochrany osobních údajů, zabezpečení a certifikace upravené v těchto Podmínkách každému takto schválenému Dílčímu zpracovateli údajů dříve, než tento Dílčí zpracovatel údajů začne Zpracovávat jakákoliv Data Kyndryl. Dodavatel nese vůči Kyndryl plnou odpovědnost za plnění povinností jednotlivých Dílčích zpracovatelů údajů.
5. Přeshraniční zpracování údajů
Tak, jak se používá v textu níže:
Země poskytující odpovídající ochranu znamená zemi zajišťující přiměřenou úroveň ochrany osobních údajů s ohledem na příslušné předávání v souladu s platnými právními předpisy o ochraně osobních údajů nebo rozhodnutími regulačních orgánů.
Dovozce údajů znamená buď Zpracovatele údajů, nebo Dílčího zpracovatele údajů, který není usazen v Zemi poskytující odpovídající ochranu.
Standardní smluvní doložky EU znamenají Standardní smluvní doložky EU (Rozhodnutí Komise 2021/914) s uplatněnými volitelnými ustanoveními s výjimkou volitelného ustanovení 1 článku 9(a) a volitelného ustanovení
2 článku 17, tak jak jsou oficiálně zveřejněny na adrese xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx- protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en.
Standardní smluvní doložky Srbska znamenají Standardní smluvní doložky Srbska přijaté "Srbským komisařem pro informace veřejného zájmu a ochranu osobních údajů" a zveřejněné na adrese xxxxx://xxx.xxxxxxxxx.xx/xxxxxx/xxxxxxx/xxxxxxxxxxxxx-xxxx/xxxxxxxxxxx-xxxx/Xxxxxxxxxxx.xxxx.
Standardní smluvní doložky (“SCC”) znamenají smluvní doložky vyžadované příslušnými právními předpisy o ochraně osobních údajů pro předávání Osobních údajů Zpracovatelům údajů, kteří nejsou usazeni v Zemích poskytujících odpovídající ochranu.
Dodatek pro mezinárodní přenos dat pro Spojeného království ke standardním smluvním ustanovením Komise EU (dále jen „dodatek pro Spojené království“) znamená dodatek pro mezinárodní přenos dat pro Spojené království ke standardním smluvním ustanovením Komise EU, jak je oficiálně zveřejněno na adrese xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx-xxxxxxxxxx/xxxxx-xx-xxx-xxxxxxx-xxxx-xxxxxxxxxx-xxxxxxxxxx- gdpr/international-data-transfer-agreement-and-guidance/.
Dodatek ke standardním smluvním doložkám Komise EU pro Švýcarsko („Dodatek pro Švýcarsko“) označuje smluvní doložky ke standardním smluvním doložkám Komise EU, které platí v souladu s rozhodnutím švýcarského úřadu pro ochranu osobních údajů („FDPIC“) a které vyhovují švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP“).
5.1 Dodavatel nebude předávat ani poskytovat (a to ani formou vzdáleného přístupu) žádné Osobní údaje Kyndryl přes hranice bez předchozího písemného souhlasu Kyndryl. V případě, že Xxxxxxx takový souhlas poskytne, smluvní strany budou spolupracovat na zajištění souladu s platnými právními předpisy o ochraně osobních údajů. Pokud jsou těmito právními předpisy vyžadovány standardní smluvní doložky, Dodavatel na žádost Kyndryl tyto standardní smluvní doložky neprodleně uzavře.
5.2 Ve vztahu ke standardním smluvním doložkám EU:
(a) Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: Dodavatel tímto uzavírá standardní smluvní doložky EU v pozici Dovozce údajů se společností Kyndryl a Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 9 standardních smluvních doložek EU a na požádání předloží kopie takových smluv společnosti Kyndryl.
(i) Modul 1 Standardních smluvních doložek EU se neuplatní, pokud nebude smluvními stranami písemně dohodnuto jinak.
(ii) Modul 2 Standardních smluvních doložek EU se uplatní v případě, že Kyndryl je Správcem údajů, a Modul 3 se uplatní, pokud je společnost Kyndryl Zpracovatelem údajů. V souladu s článkem 13 Standardních smluvních doložek EU, pokud se uplatní Modul 2 nebo Modul 3, smluvní strany souhlasí, že (1) Standardní smluvní doložky EU se budou řídit právem členského státu EU, kde má sídlo příslušný kontrolní orgán a (2) veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny u soudů v členském státu EU, kde má sídlo příslušný kontrolní orgán. Pokud takové právo dle bodu (1) neumožňuje práva třetí oprávněné osoby, pak se budou Standardní smluvní doložky EU řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU dle bodu (2) budou řešeny soudy v Amsterdamu, Nizozemsko.
(b) Pokud je Dodavatel usazen v Evropském hospodářském prostoru a Kyndryl je Správcem údajů, na kterého se nevztahuje Obecné nařízení o ochraně osobních údajů 2016/679, pak se uplatní Modul 4 Standardních smluvních doložek EU a Dodavatel tímto uzavírá Standardní smluvní doložky EU jako vývozce údajů se společností Kyndryl. Pokud se uplatní modul 4 Standardních smluvních doložek EU, pak smluvní strany souhlasí, že Standardní smluvní doložky EU se budou řídit právem Nizozemska a veškeré spory vyplývající ze Standardních smluvních doložek EU budou řešeny soudem v Amsterdamu, Nizozemsko.
(c) Pokud Další správci údajů, jako jsou Zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou Standardních smluvních doložek EU v souladu s "ustanovením o přistoupení" v článku 7, Dodavatel tímto s jakoukoliv takovou žádostí souhlasí.
(d) Technická a organizační opatření vyžadovaná pro vyplnění Přílohy II Standardních smluvních doložek EU najdete v těchto Podmínkách, Transakčním dokumentu a související základní smlouvě mezi smluvními stranami.
(e) V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami EU a těmito Podmínkami mají přednost Standardní smluvní doložky EU.
5.3 Pro dodatek (dodatky) pro Spojené království:
a) Pokud dodavatel nemá sídlo v zemi s dostatečnou ochranou: (i) dodavatel tímto uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl jako dovozcem, který bude připojen k výše uvedeným standardním smluvním ustanovením EU (platným podle okolností zpracovatelských činností); a (ii) dodavatel uzavře písemné smlouvy s každým schváleným dílčím zpracovatelem a poskytne společnosti Kyndryl na vyžádání kopie těchto smluv.
b) Pokud má dodavatel sídlo v zemi s dostatečnou ochranou a společnost Kyndryl je správcem údajů, na které se nevztahuje Obecné nařízení o ochraně údajů Spojeného království (jak je začleněno do zákona Evropské unie z roku 2018 (o vystoupení Spojeného království)), pak jako exportér uzavírá dodatek (dodatky) pro Spojené království se společností Kyndryl o připojení standardních smluvních ustanovení EU, jak je uvedeno výše v oddíle 5.2(b).
c) Pokud jiní správci, jako jsou zákazníci nebo přidružené společnosti, požadují, aby se stali smluvní stranou dodatku (dodatků) pro Spojené království, dodavatel tímto souhlasí s jakoukoli takovou žádostí.
d) Informace o dodatku (jak jsou uvedeny v tabulce 3) v dodatku (dodatcích) pro Spojené království lze nalézt v příslušných standardních smluvních ustanoveních EU, těchto podmínkách, vlastním dokumentu o
transakci a v přidružené základní smlouvě mezi stranami. Ani společnost Kyndryl, ani dodavatel nemohou zrušit platnost dodatku (dodatků) pro Spojené království, když se dodatek pro Spojené království změní.
e) V případě jakéhokoli konfliktu mezi dodatkem (dodatky) pro Spojené království a těmito podmínkami bude rozhodující dodatek (dodatky) pro Spojené království.
5.4 Ve vztahu ke Standardním smluvním doložkám Srbska:
(a) Pokud Dodavatel není usazen v Zemi poskytující odpovídající ochranu: (i) Dodavatel tímto uzavírá Standardní smluvní doložky Srbska s Kyndryl svým vlastním jménem v pozici Zpracovatele údajů a (ii) Dodavatel uzavře písemné smlouvy s jednotlivými schválenými Dílčími zpracovateli údajů v souladu s Článkem 8 Standardních smluvních doložek Srbska a na požádání předloží kopie takových smluv společnosti Kyndryl.
(b) Pokud je Xxxxxxxxx usazen v Zemi poskytující odpovídající ochranu, pak tímto Dodavatel uzavírá Standardní smluvní doložky Srbska s Kyndryl jménem každého z Dílčích zpracovatelů údajů, nacházejícího se v jiné zemi než Zemi poskytující odpovídající ochranu. Pokud Dodavatel není ve vztahu ke kterémukoliv z Dílčích zpracovatelů údajů oprávněn tak učinit, pak Dodavatel poskytne společnosti Kyndryl Standardní smluvní doložky Srbska podepsané Dílčím zpracovatelem údajů k podpisu ze strany společnosti Kyndryl dříve, než Dílčímu zpracovateli údajů umožní Zpracovávat jakékoliv Osobní údaje Kyndryl.
(c) Standardní smluvní doložky Srbska mezi Kyndryl a Dodavatelem budou sloužit buď jako Standardní smluvní doložky Srbska mezi Správcem údajů a Zpracovatelem údajů, nebo vzájemná písemná smlouva mezi ‘zpracovatelem’ a ‘dílčím zpracovatelem’, pokud to skutečnosti vyžadují. V případě jakéhokoliv rozporu mezi Standardními smluvními doložkami Srbska a těmito Podmínkami mají přednost standardní smluvní doložky Srbska.
(d) Informace potřebné k vyplnění Příloh 1 až 8 Standardních smluvních doložek Srbska pro účely úpravy předávání Osobních údajů do jiné země než Země poskytující odpovídající ochranu najdete v těchto Podmínkách a v Příloze k Transakčnímu dokumentu nebo v Transakčním dokumentu samotném.
5.5 Dodatek (dodatky) pro Švýcarsko:
(a) Pokud přenos Osobních údajů společnosti Kyndryl podle bodu 5.1 podléhá švýcarskému federálnímu zákonu o ochraně osobních údajů („FADP“), bude se takový přenos v rozsahu, v jakém mu podléhá, řídit standardními smluvními doložkami (SCC) EU dohodnutými v bodu 5.2. těchto Podmínek. Nařízení GDPR bude přitom pro švýcarské osobní údaje doplněno o následující dodatky:
• Odkazy na Obecné nařízení o ochraně údajů („GDPR“) současně označují také odkazy na odpovídající ustanovení FADP;
• Švýcarská federální informační komise pro ochranu údajů je příslušným dozorovým úřadem podle doložky 13 a přílohy I.C SCC EU
• Švýcarské právo jako rozhodné právo v případě přenosu podléhá výhradně FADP.
• Výraz „členský stát“ v doložce 18 SCC EU se rozšiřuje tak, aby zahrnoval i Švýcarsko, aby mohly švýcarské subjekty údajů uplatňovat svá práva v místě svého obvyklého bydliště.
(b) Aby se předešlo pochybnostem, není cílem žádné z výše uvedených skutečností žádným způsobem omezovat úroveň ochrany údajů poskytovanou EU SCC, ale pouze rozšířit tuto úroveň ochrany na švýcarské subjekty údajů. Pokud tomu tak není, má v příslušném rozsahu přednost EU SCC.
6. Součinnost a záznamy
6.1 S ohledem na povahu Zpracování Dodavatel poskytne Xxxxxxx součinnost přijetím odpovídajících technických a organizačních opatření za účelem splnění povinností souvisejících s žádostmi a právy Subjektů údajů. Dodavatel rovněž poskytne společnosti Kyndryl součinnost při zajištění souladu s povinnostmi týkajícími se zabezpečení Zpracování, oznámení a sdělení o Narušení zabezpečení a vytvoření hodnocení dopadu ochrany údajů, včetně předchozích konzultací s odpovědným regulačním orgánem dle potřeby s přihlédnutím k informacím, které má Dodavatel k dispozici.
6.2 Dodavatel bude udržovat aktuální záznamy o jménech a kontaktních údajích jednotlivých Dílčích zpracovatelů údajů, včetně zástupců a inspektorů ochrany osobních údajů jednotlivých Dílčích zpracovatelů údajů. Na požádání Dodavatel poskytne tento záznam Kyndryl ve lhůtě, která Kyndryl umožní včas odpovědět na jakékoliv žádosti ze strany Zákazníka nebo třetí osoby.
Článek IV, Technická a organizační opatření, Zabezpečení kódu
Tento článek se uplatní, pokud má Dodavatel přístup ke Zdrojovému kódu Kyndryl. Dodavatel bude plnit požadavky tohoto Článku, a tím zajistí ochranu Zdrojového kódu Kyndryl před ztrátou, zničením, pozměněním, náhodným nebo neoprávněným poskytnutím, náhodným nebo neoprávněným přístupem a nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Požadavky na zabezpečení
Tak, jak se používají v textu níže:
Zakázaná země znamená jakoukoliv zemi: (a) kterou vláda USA označila za zahraničního nepřítele v souladu s nařízením vlády o zabezpečení dodavatelského řetězce informačních a komunikačních technologií a služeb z 15. května 2019, (b) která je uvedena v paragrafu 1654 Amerického zákona o schválení ministerstvem obrany z roku 2019, nebo (c) je označena jako „Zakázaná země“ v Transakčním dokumentu.
1.1. Dodavatel nebude distribuovat ani poskytovat Zdrojový kód Kyndryl do úschovy ve prospěch jakýchkoliv třetích osob.
1.2. Dodavatel neumožní, aby byl Zdrojový kód Kyndryl umístěn na servery nacházející se v Zakázané zemi. Zákazník neumožní nikomu, včetně svého Personálu, kdo se nachází v Zakázané zemi nebo navštěvuje Zakázanou zemi (po dobu trvání takové návštěvy), z jakéhokoliv důvodu přístup ke Zdrojovému kódu Kyndryl nebo jeho používání, a to bez ohledu na to, že je Zdrojový kód Kyndryl umístěn globálně, a Dodavatel neumožní žádný vývoj, testování ani jiné práce v Zakázané zemi, které by takový přístup nebo použití vyžadovaly.
1.3. Dodavatel neumístí ani nebude distribuovat Zdrojový kód Kyndryl v žádném právním řádu, kde právní předpisy nebo jejich výklad vyžadují poskytnutí Zdrojového kódu jakékoliv třetí osobě. Pokud dojde ke změně právních předpisů nebo jejich výkladu v právním řádu, kde se Zdrojový kód Kyndryl nachází, v tom smyslu, že Dodavatel by byl povinen poskytnout takový Zdrojový kód třetí osobě, Dodavatel neprodleně zničí nebo okamžitě odstraní takový Zdrojový kód Kyndryl z takového právního řádu a neumístí žádný další Zdrojový kód Kyndryl do takového právního řádu, dokud tyto právní předpisy nebo jejich výklad práva zůstanou v účinnosti.
1.4. Dodavatel přímo ani nepřímo neučiní žádné kroky, včetně uzavření jakékoliv smlouvy, které by způsobily, že by byli Xxxxxxxxx, Xxxxxxx nebo jakákoliv třetí osoba povinni poskytnout informace v souladu s paragrafy 1654 nebo 1655 Amerického zákona o souhlasu ministerstva obrany z roku 2019. Pro vyjasnění se uvádí, že s výjimkou případů výslovně povolených v Transakčním dokumentu nebo související základní smlouvě mezi smluvními stranami Dodavatel nesmí poskytnout Zdrojový kód Kyndryl žádné třetí osobě, za žádných okolností, bez předchozího písemného souhlasu Kyndryl.
1.5. Pokud bude Kyndryl informovat Dodavatele nebo pokud třetí osoba bude informovat kteroukoliv ze smluvních stran, že: (a) Dodavatel umožnil přenos Zdrojového kódu do Zakázané země nebo jakéhokoliv právního řádu v souladu s odstavcem 1.3 výše, (b) Dodavatel jinak uvolnil, nebo použil Zdrojový kód Kyndryl nebo k němu přistoupil způsobem, který není povolen v Transakčním dokumentu nebo související základní nebo jiné smlouvě mezi smluvními stranami, nebo (c) Dodavatel se dopustil porušení odstavce 1.4 výše, pak, aniž by tím bylo omezeno právo Kyndryl řešit tento nesoulad dle zákona nebo dle práva ekvity či v souladu s Transakčním dokumentem nebo související základní nebo jinou smlouvou mezi smluvními stranami. pak: (i) pokud bude takové oznámení zasláno Xxxxxxxxxx, Xxxxxxxxx neprodleně poskytne toto oznámení Kyndryl; a (ii) Dodavatel dle rozumných pokynů Kyndryl vyšetří a zhojí záležitost dle harmonogramu rozumně stanoveného Kyndryl (po konzultaci s Dodavatelem).
1.6. Pokud se Kyndryl rozumně domnívá, že změny zásad, postupů, kontrol nebo praxe Dodavatele ve vztahu k přístupu ke Zdrojovému kódu jsou nezbytné pro řešení kyber bezpečnosti, krádeže duševního vlastnictví nebo podobných a souvisejících rizik (včetně rizika, že bez takových změn bude Kyndryl
omezena v prodeji určitým Zákazníkům nebo na některé trhy nebo jinak nebude moci plnit požadavky Zákazníků na zabezpečení nebo dodavatelský řetězec), pak se může Kyndryl obrátit na Dodavatele s cílem projednat kroky nezbytné pro řešení takových rizik, včetně změn příslušných zásad, postupů, kontroly a praxe. Na žádost Xxxxxxx bude Dodavatel spolupracovat s Kyndryl na posouzení, zda jsou takové změny nezbytné, jakož i na implementaci vhodných vzájemně dohodnutých změn.
Článek V, Bezpečný vývoj
Tento článek se uplatní, pokud Dodavatel poskytuje vlastní Zdrojový kód nebo Zdrojový kód třetí osoby nebo Místní software společnosti Kyndryl nebo pokud kterékoliv z Plnění nebo Služeb Dodavatele budou poskytovány Zákazníkovi Kyndryl v rámci produktu či služby společnosti Kyndryl.
1. Připravenost zabezpečení
Dodavatel bude spolupracovat s interními procesy Kyndryl hodnotícími připravenost zabezpečení produktů a služeb Kyndryl, které jsou závislé na Plněních Dodavatele, včetně včasné a úplné reakce na žádosti o
informace, ať již prostřednictvím dokumentů, jiných záznamů, pohovorů s příslušným Personálem Dodavatele nebo podobně.
2. Bezpečný vývoj
2.1 Tento Oddíl 2 se uplatní pouze v případě, že Dodavatel poskytuje společnosti Kyndryl Místní software.
2.2 Dodavatel zavedl a bude uchovávat po celou dobu platnosti Transakčního dokumentu v souladu s oborovými doporučenými postupy síť, platformu, systém, aplikaci, zařízení, fyzickou infrastrukturu, reakci na incidenty a bezpečnostní zásady zaměřené na Personál, postupy a kontroly, které jsou nezbytné pro ochranu: (a) vývoje, sestavení, testování a provozu systémů a prostředí, které Dodavatel nebo třetí osoba najatá Dodavatelem provozuje, spravuje, používá nebo na ně jinak spoléhá pro Plnění nebo ve vztahu k Plnění a (b) zdrojového kódu všech Plnění proti ztrátě, nezákonným formám manipulace a neoprávněnému přístupu, poskytnutí nebo pozměnění.
3. Ohrožení zabezpečení
3.1 Tento Oddíl 3 se uplatní pouze v případě, že Plnění a Služby Dodavatele budou poskytovány Zákazníkovi Kyndryl v rámci produktu nebo služby společnosti Kyndryl.
3.2 Dodavatel získá certifikaci shody s normou ISO 20243, Informační technologie, poskytovatel otevřené důvěryhodné technologie, standard TM (O-TTPS), zmírnění škodlivých, závadných a padělaných produktů (buď formou samostatné certifikace, nebo na základě hodnocení renomovaného nezávislého auditora). Alternativně, pokud o to Dodavatel písemně požádá a Kyndryl poskytne svůj písemný souhlas, Dodavatel získá certifikaci shody s oborovou normou, jež je v podstatných náležitostech ekvivalentní a řeší bezpečný vývoj a postupy dodavatelského řetězce (buď formou samostatné certifikace, nebo na základě hodnocení renomovaného nezávislého auditora, pokud bude Kyndryl souhlasit, a v rozsahu tohoto souhlasu).
3.3 Dodavatel získá certifikaci souladu s normou ISO 20243 nebo s oborovou normou, jež je v podstatných náležitostech ekvivalentní (pokud to Kyndryl písemně schválí), do 180 Dní od data účinnosti Transakčního dokumentu a následně certifikaci obnoví každých 12 měsíců poté (přičemž obnovení proběhne vždy v souladu s aktuálně platnou verzí příslušné normy, tj. ISO 20243, nebo pokud s tím bude Kyndryl písemně souhlasit, s oborovou normou, která je v podstatných náležitostech ekvivalentní a řeší zabezpečení vývoje a postupy dodavatelského řetězce).
3.4 Dodavatel na požádání neprodleně předloží společnosti Kyndryl kopie certifikací, které je Xxxxxxxxx povinen získat v souladu s odstavci 2.1 a 2.2 výše.
4. Ohrožení zabezpečení
Tak, jak se používají v textu níže:
Náprava chyby znamená opravy chyb a revize, které napravují chyby nebo nedostatky, včetně Ohrožení zabezpečení v Plnění.
Zmírnění znamená veškeré prostředky zmenšující nebo bránící rizikům Ohrožení zabezpečení.
Ohrožení zabezpečení znamená stav návrhu, kódování, vývoje, implementace, testování, provozu, podpory, údržby nebo řízení Plnění, který umožňuje útok kohokoliv, který by vedl k neoprávněnému přístupu či využití
(a) přístupu k systému, jeho ovládání nebo narušení jeho provozu, (b) přístupu k datům, jejich odstraňování, pozměňování nebo extrahování; nebo (c) změny identity, oprávnění či povolení uživatelů nebo správců. Ohrožení zabezpečení může existovat bez ohledu na to, zda mu bylo přiděleno jakékoliv Obecné ID ohrožení a expozice (CVE) nebo jakékoliv skóre či oficiální klasifikace.
4.1 Dodavatel prohlašuje a zaručuje, že: (a) bude uplatňovat Doporučené oborové postupy pro identifikaci Ohrožení zabezpečení, a to včetně průběžného statického a dynamického skenování zabezpečení aplikace zdrojového kódu, skenování zabezpečení typu open source a skenování zranitelnosti systému a (b) bude dodržovat požadavky těchto Podmínek, aby pomohl zabránění, zjištění a nápravě Ohrožení zabezpečení v Plněních a ve všech aplikacích, platformách a infrastruktuře IT, v nichž a prostřednictvím kterých Dodavatel vytváří a poskytuje Služby a dodává Plnění.
4.2 Pokud se Dodavatel dozví o Ohrožení zabezpečení v Plnění nebo jakékoliv takové aplikaci, platformě či infrastruktuře IT, Dodavatel poskytne Kyndryl Nápravu chyby a Zmírnění pro veškeré verze a vydání Plnění v souladu s následujícími Úrovněmi závažnosti a v časových rámcích definovaných v tabulkách níže:
Úroveň závažnosti* |
Nouzové ohrožení zabezpečení – Je ohrožení zabezpečení, které představuje závažnou a potenciálně globální hrozbu. Kyndryl určuje Nouzové ohrožení zabezpečení dle vlastního uvážení bez ohledu na Základní skóre CVSS. |
Kritický – je Ohrožení zabezpečení, které má Základní skóre CVSS od 9 do 10.0. |
Vysoký – je Ohrožení zabezpečení, které má Základní skóre CVSS od 7.0 do 8.9. |
Střední – je Ohrožení zabezpečení, které má Základní skóre CVSS od 4.0 do 6.9. |
Nízký – je Ohrožení zabezpečení, které má Základní skóre CVSS od 0.0 do 3.9. |
Časové rámce | ||||
Nouzový | Kritický | Vysoký | Střední | Nízký |
4 dny či méně, v souladu | 30 dnů | 30 dnů | 90 dnů | V souladu |
s rozhodnutím Generálního | s Doporučenými | |||
ředitele zabezpečení | oborovými postupy | |||
informací Kyndryl |
* V každém případě, kdy Ohrožení zabezpečení nemá bezprostředně přiřazené Základní skóre CVSS, Dodavatel uplatní Úroveň závažnosti, která nejlépe odpovídá povaze a okolnostem takového ohrožení.
4.3 V případě Ohrožení zabezpečení, které bylo veřejně oznámeno a pro které Xxxxxxxxx dosud neposkytl společnosti Kyndryl žádnou Nápravu chyby nebo Zmírnění, uplatní Dodavatel veškeré technicky proveditelné dodatečné bezpečnostní kontroly, které mohou zmírnit rizika ohrožení.
4.4 Pokud Kyndryl není spokojena s reakcí Dodavatele na jakékoliv Ohrožení zabezpečení v Plnění nebo jakékoliv aplikaci, platformě nebo infrastruktuře uvedených výše, pak, aniž by tím byla dotčena jakákoliv další případná práva Kyndryl, Dodavatel neprodleně zajistí diskusi s Kyndryl ohledně jejích obav přímo s viceprezidentem Dodavatele nebo ekvivalentním výkonným pracovníkem, který nese odpovědnost za dodání Nápravy chyby.
4.5 K příkladům Ohrožení zabezpečení patří kód třetích osob nebo ukončení služby (EOS), kód typu open source, pokud takové typy kódů již nedostávají opravy zabezpečení.
Článek VI, Přístup k Firemním systémům
Tento Článek se uplatní, pokud budou mít zaměstnanci Dodavatele přístup k jakýmkoliv Firemním systémům.
1. Všeobecné podmínky
1.1 Kyndryl rozhodne, zda zaměstnancům Dodavatele umožní přístup do Firemních systémů. Pokud to Kyndryl schválí, pak Dodavatel bude dodržovat požadavky tohoto Článku a zajistí, aby je dodržovali i jeho zaměstnanci, kteří mají takový přístup.
1.2 Kyndryl stanoví prostředky, s jejichž použitím mohou zaměstnanci Dodavatele přistupovat do Firemních systémů, včetně toho, zda mohou tito zaměstnanci přistupovat do Firemních systémů přes Zařízení poskytovaná Kyndryl nebo Dodavatelem.
1.3 Zaměstnanci Dodavatele mohou přistupovat k Firemním systémům a mohou používat pouze Zařízení, které pro příslušný přístup schválí Kyndryl, pouze k poskytování Služeb. Zaměstnanci Dodavatele nesmí používat Zařízení, která Kyndryl schválí, pro poskytování Služeb jakékoliv jiné fyzické nebo právnické osobě ani pro přístup do jakýchkoliv IT systémů, sítí, aplikací, webových stránek, e- mailových nástrojů, nástrojů spolupráce apod. Dodavatele či třetích osob či ve spojení se Službami.
1.4 Pro vyjasnění se uvádí, že zaměstnanci Dodavatele nesmí používat Zařízení schválená společností Kyndryl pro přístup k Firemním systémům pro jakékoliv osobní účely (např. zaměstnanci Dodavatele nesmí ukládat osobní soubory, jako je hudba, videa, obrázky nebo podobné položky, na těchto Zařízeních a nesmí používat internet v takových zařízeních pro osobní účely).
1.5 Zaměstnanci Dodavatele nesmí kopírovat Materiály Kyndryl, které jsou přístupné prostřednictvím Firemního systému, bez předchozího písemného souhlasu Kyndryl (a nikdy nebudou žádné Materiály Kyndryl kopírovat na přenosná paměťová zařízení, jako jsou USB, externí pevné disky nebo podobné předměty).
1.6 Na požádání Dodavatel jménem zaměstnance potvrdí konkrétní Firemní systémy, ke kterým má zaměstnanec oprávnění přístupu a do kterých vstupoval během období stanoveného Kyndryl.
1.7 Dodavatel bude Kyndryl informovat do dvaceti čtyř (24) hodin poté, co zaměstnanec Dodavatele s přístupem ke kterémukoliv z Firemních systémů již nebude: (a) zaměstnán Dodavatelem nebo (b) nebude pracovat na činnostech, které vyžadují takový přístup. Dodavatel bude s Xxxxxxx spolupracovat za zajištění okamžitého odvolání přístupu pro takového bývalého či stávajícího zaměstnance.
1.8 Dodavatel neprodleně oznámí společnosti Kyndryl veškeré skutečné nebo domnělé bezpečnostní incidenty (jako je ztráta Zařízení Kyndryl nebo Dodavatele nebo neoprávněný přístup k Zařízení nebo datům, materiálům nebo jiným informacím jakéhokoliv druhu) a bude s Kyndryl spolupracovat na vyšetřování takového incidentu.
1.9 Dodavatel nesmí umožnit žádnému zaměstnanci zástupce, nezávislého smluvního partnera nebo subdodavatele přístup k jakýmkoliv Firemním systémům bez předchozího písemného souhlasu Kyndryl; pokud to Kyndryl schválí, pak Dodavatel smluvně zaváže takové osoby a jejich zaměstnance k dodržování požadavků tohoto Článku, jakoby tyto osoby byly zaměstnanci Dodavatele, a ponese vůči Xxxxxxx odpovědnost za veškeré jednání a opomenutí jakékoliv takové osoby nebo zaměstnavatele s ohledem na přístup do Firemních systémů.
2. Software zařízení
2.1 Dodavatel nařídí svým zaměstnancům, aby včas nainstalovali veškerý software Zařízení, který Kyndryl vyžaduje pro ulehčení bezpečného přístupu k Firemním systémům. Ani Dodavatel, ani jeho zaměstnanci nebudou zasahovat do operací takového softwaru nebo bezpečnostních funkcí, které software zajišťuje.
2.2 Dodavatel a jeho zaměstnanci budou dodržovat zásady konfigurace Zařízení, které stanoví Xxxxxxx, a budou jinak s Xxxxxxx spolupracovat na zajištění, aby software fungoval dle úmyslů Kyndryl. Dodavatel například nebude překonávat softwarové blokování webových stránek nebo automatické funkce aplikace oprav.
2.3 Zaměstnanci Dodavatele nesmí sdílet Zařízení, která používají pro přístup do Firemních systémů, ani svá uživatelská jména, hesla a podobně k těmto Zařízením s jakýmikoliv jinými osobami.
2.4 Pokud Kyndryl souhlasí s přístupem zaměstnanců Dodavatele do Firemních systémů prostřednictvím Zařízení Dodavatele, pak Dodavatel nainstaluje a spustí operační systém na těchto Zařízeních, který Kyndryl schválí, a upgraduje jej na novější verzi nebo nový operační systém v rozumné lhůtě dle pokynu Kyndryl.
3. Dohled a spolupráce
3.1 Kyndryl má neomezené právo monitorovat a zhojit potenciální narušení a další hrozby kyber bezpečnosti jakýmkoliv způsobem, pro jakékoliv místo a použitím jakýchkoliv prostředků, které Kyndryl bude považovat za nezbytné nebo vhodné, a to bez předchozího oznámení Dodavateli nebo kterémukoliv ze zaměstnanců Dodavatele nebo jiným osobám. K příkladům takových práv patří právo Kyndryl kdykoliv (a) provést bezpečnostní test jakéhokoliv Zařízení, (b) monitorovat, obnovit technickými či jinými prostředky a kontrolovat komunikaci (včetně e-mailů z jakýchkoliv e-mailových účtů), záznamy, soubory a další položky uložené v jakémkoliv Zařízení nebo přenášené přes jakékoliv Firemní systémy a (c) získat úplný forenzní obraz jakéhokoliv Zařízení. Pokud Kyndryl potřebuje jakoukoliv součinnost Dodavatele při uplatnění svých práv, Dodavatel úplně a včas splní požadavky Kyndryl na takovou spolupráci (včetně např. žádostí o bezpečnou konfiguraci jakéhokoliv Zařízení, instalaci monitorovacího nebo jiného softwaru do jakéhokoliv Zařízení, poskytnutí podrobností o připojení na úrovni systému, zapojení do opatření v reakci na incidenty na jakémkoliv Zařízení a poskytnutí fyzického přístupu k jakémukoliv Zařízení, aby Kyndryl získala úplný forenzní obraz nebo jinak, nebo podobných a souvisejících žádostí).
3.2 Kyndryl může odvolat přístup k jakýmkoliv Firemním systémům kdykoliv, pro kteréhokoliv zaměstnance Dodavatele nebo pro všechny zaměstnance Dodavatele bez předchozího oznámení Dodavateli nebo kterémukoliv zaměstnanci Dodavatele či jiným osobám, pokud se Kyndryl domnívá, že je to nezbytné pro ochranu Kyndryl.
3.3 Práva Kyndryl nejsou žádným způsobem zablokována, omezena ani snížena kterýmkoliv ustanovením Transakčního dokumentu, související základní smlouvy mezi smluvními stranami nebo jakékoliv jiné smlouvy mezi smluvními stranami, a to včetně jakýchkoliv ustanovení, která případně vyžadují, aby byla jakákoliv data, materiály nebo jiné informace ukládány výhradně na stanoveném místě, nebo která případně vyžadují, aby přístup k takovým datům, materiálům nebo jiným informacím měly pouze osoby z vybraného místa nebo míst.
4. Zařízení Kyndryl
4.1 Kyndryl si uchová vlastnické právo titul ke všem Zařízením Kyndryl, přičemž Dodavatel nese riziko ztráty Zařízení, a to i v důsledku krádeže, vandalismu nebo nedbalosti. Dodavatel neprovede změny ani neumožní provedení změn Zařízení Kyndryl bez předchozího písemného souhlasu Kyndryl, přičemž změnu Zařízení představuje jakákoliv úprava softwaru, aplikací, návrhu zabezpečení, konfigurace zabezpečení nebo fyzického, mechanického či elektrického provedení Zařízení.
4.2 Dodavatel vrátí veškerá Zařízení Kyndryl do 5 pracovních dní poté, co již tato Zařízení nebudou zapotřebí pro poskytování Služeb, a pokud to Kyndryl vyžaduje, zničí veškerá data, materiály a další informace jakéhokoliv druhu v těchto Zařízeních, aniž by si ponechal jakoukoliv kopii, a to v souladu s Doporučenými oborovými postupy, za účelem trvalého odstranění všech takových dat, materiálů a dalších informací. Dodavatel zabalí a vrátí Zařízení Kyndryl ve stejném stavu, v němž byla dodána Xxxxxxxxxx, s přihlédnutím k běžnému opotřebení, na své vlastní náklady a na místo určené Xxxxxxx. Pokud Dodavatel nesplní některou ze svých povinností upravených v této části 4.2, bude to představovat hrubé porušení Transakčního dokumentu a související základní smlouvy a rovněž všech souvisejících smluv mezi smluvními stranami s tím, že se má za to, že smlouva je "související", pokud přístup k jakýmkoliv Firemním systémům ulehčuje úkoly nebo další činnosti Dodavatele v souladu s danou smlouvou.
4.3 Kyndryl poskytne podporu pro Zařízení Kyndryl (včetně kontroly a preventivní a nápravné údržby Zařízení). Dodavatel bude Xxxxxxx neprodleně informovat o potřebě nápravného servisu.
4.4 V případě softwarových programů, které Kyndryl vlastní nebo k nimž má právo udělit licenci, uděluje Kyndryl Dodavateli dočasné právo používání, ukládání a vytvoření dostatečného počtu kopií na podporu jeho oprávněného použití Zařízení Kyndryl. Dodavatel nesmí převést programy jinou osobu, vytvářet kopie informací o softwarové licenci nebo rozkládat, zpětně analyzovat, zpětně kompilovat nebo jinak překládat jakýkoliv program, pokud to není výslovně povoleno platnými právními předpisy, a to bez možnosti smluvního vzdání se takového práva.
5. Aktualizace
5.1 Bez ohledu na jakékoliv ustanovení Transakčního dokumentu nebo související základní smlouvy mezi smluvními stranami opačného významu je Kyndryl na základě písemného oznámení Dodavateli a bez potřeby získání souhlasu Dodavatele oprávněna aktualizovat, doplnit nebo jinak upravit tento Článek pro řešení případných požadavků v souladu s platnými právními předpisy nebo povinnostmi Zákazníka, pro zohlednění případného vývoje doporučených postupů zabezpečení nebo jinak, pokud se Kyndryl domnívá, že je to potřeba pro ochranu Firemních systémů nebo Kyndryl.
Článek VII, Doplnění personálu
Tento Článek se uplatní, pokud zaměstnanci Dodavatele věnují celou svou pracovní dobu poskytování Služeb pro Kyndryl, budou veškeré takové Služby poskytovat v prostorách Kyndryl, prostorách Zákazníka nebo ze svého domova a budou k poskytování takových Služeb používat pouze Zařízení Kyndryl pro přístup k Firemním systémům.
1. Přístup k firemním systémům; Prostředí Kyndryl
1.1 Dodavatel smí poskytovat Služby pouze na základě přístupu k Firemním systémům s použitím Zařízení, která poskytuje společnost Kyndryl.
1.2 Dodavatel dodrží tyto podmínky stanovené v Článku VI (Přístup k firemním systémům) pro veškeré přístupy do Firemních systémů.
1.3 Zařízení poskytnutá Kyndryl jsou jediná Zařízení, která smí Dodavatel a jeho zaměstnanci používat pro poskytování Služeb a k poskytování Služeb je smí používat výhradně Dodavatel a jeho zaměstnanci. Pro vyjasnění se uvádí, že Xxxxxxxxx a jeho zaměstnanci nesmí v žádném případě k poskytování Služeb používat žádná jiná zařízení ani nesmí používat Zařízení Kyndryl pro jakéhokoliv jiného zákazníka Dodavatele nebo pro jakékoliv jiné účely než poskytování Služeb společnosti Kyndryl.
1.4 Zaměstnanci Dodavatele, kteří používají Zařízení Kyndryl, mohou sdílet Materiály Kyndryl mezi sebou navzájem a ukládat takové materiály v Zařízeních Kyndryl, nicméně pouze v omezeném rozsahu, v jakém je takové sdílení a ukládání nezbytné pro úspěšné poskytování Služeb.
1.5 S výjimkou takových úložišť v Zařízeních Kyndryl nesmí Dodavatel ani jeho zaměstnanci v žádném případě odstraňovat jakékoliv Materiály Kyndryl z úložišť, prostředí, nástrojů či infrastruktury Kyndryl, kde jsou společností Kyndryl uchovávány.
1.6 Pro vyjasnění se uvádí, že Dodavatel a jeho zaměstnanci nejsou oprávněni přenášet jakékoliv Materiály Kyndryl do úložišť, prostředí, nástrojů či infrastruktury Dodavatele ani do žádných dalších systémů, platforem, sítí apod. Dodavatele bez předchozího písemného souhlasu Kyndryl.
1.7 Článek VIII (Technická a organizační opatření, Obecné zabezpečení) se nevztahuje na Služby Dodavatele, pokud zaměstnanci Dodavatele budou věnovat veškerou svou pracovní dobu poskytování Služeb pro Kyndryl, budou veškeré takové Služby poskytovat v prostorách Kyndryl, prostorách Zákazníka nebo ze svého domova a budou k poskytování Služeb používat pouze Zařízení Kyndryl pro přístup k Firemním systémům. V opačném případě se na Služby Dodavatele vztahuje Článek VIII.
Článek VIII, Technická a organizační opatření, Obecné zabezpečení
Tento Článek se uplatní, pokud Dodavatel poskytuje jakékoliv Služby nebo Plnění společnosti Kyndryl, kromě případů, kdy má Dodavatel při poskytování těchto Služeb a Plnění přístup pouze k Obchodním kontaktním informacím Kyndryl (tj. Dodavatel nebude zpracovávat žádná Data Kyndryl ani nebude mít přístup k jakýmkoliv dalším Materiálům Kyndryl nebo jakýmkoliv Firemním systémům), jedinými Službami a Plněním Dodavatele je poskytování Místního softwaru společnosti Kyndryl, nebo pokud Dodavatel poskytuje veškeré své Služby a Plnění v rámci modelu doplnění personálu v souladu s Článkem VII, včetně příslušného Oddílu 1.7.
Dodavatel bude plnit požadavky tohoto Článku, a tím zajistí ochranu: (a) Materiálů Kyndryl před ztrátou, zničením, pozměněním, náhodným či neoprávněným poskytnutím nebo náhodným či neoprávněným přístupem,
(b) Dat Kyndryl před nezákonnými formami Zpracování a (c) Technologií Kyndryl před nezákonnými formami Manipulace. Požadavky tohoto Článku se vztahují na veškeré IT aplikace, platformy a infrastrukturu, které Dodavatel provozuje nebo řídí v rámci dodávky Plnění a poskytování Služeb a při Manipulaci s Technologiemi Kyndryl, včetně veškerého vývoje, testování, hostování, podpory, provozu a prostředí datových středisek.
1. Zásady zabezpečení
1.1. Dodavatel bude udržovat a dodržovat zásady a postupy zabezpečení IT, které budou nedílnou součástí podnikání Dodavatele a budou povinné pro veškerý Personál Dodavatele a budou v souladu s Doporučenými oborovými postupy.
1.2. Dodavatel bude své zásady a postupy zabezpečení IT revidovat minimálně jednou ročně a doplní je tak, jak bude Dodavatel považovat za nezbytné pro ochranu Materiálů Kyndryl.
1.3. Dodavatel bude udržovat a dodržovat standardní povinné požadavky na zaměstnaneckou kontrolu u všech nově přijatých zaměstnanců a tyto požadavky uplatní na veškerý Personál Dodavatele a stoprocentní dceřiné společnosti Dodavatele. Tyto požadavky budou zahrnovat kontrolu výpisu z rejstříku trestů v rozsahu povoleném místními právními předpisy, ověření dokladu totožnosti a další kontroly, které bude Dodavatel považovat za nezbytné. Dodavatel bude pravidelně opakovat a znovu kontrolovat tyto požadavky dle potřeby.
1.4. Dodavatel zajistí vzdělávání v oblasti zabezpečení a ochrany osobních údajů pro své zaměstnance jednou ročně a bude vyžadovat, aby všichni zaměstnanci každý rok získali certifikát o dodržování zásad etického obchodního jednání Dodavatele, zachování důvěrnosti a zabezpečení v souladu s ustanovením etického kodexu či obdobného dokumentu Dodavatele. Dodavatel zajistí další školení v oblasti zásad a postupů osobám s administrativním přístupem k jakýmkoliv komponentům Služeb, Plnění nebo Materiálů Kyndryl, přičemž takové školení bude specifické pro jejich pracovní pozici a podporu Služeb, Plnění a Materiálů Kyndryl a bude odpovídat potřebě zachování požadovaného souladu a certifikace.
1.5. Dodavatel navrhne opatření na zabezpečení a ochranu osobních údajů na ochranu a zachování dostupnosti Materiálů Kyndryl, a to i prostřednictvím jejich implementace, údržby a souladu se zásadami a postupy, které vyžadují zabezpečení a ochranu osobních údajů v důsledku návrhu, bezpečného projektování a bezpečných operací, pro veškeré Služby a Plnění a pro veškerou Manipulaci s Technologiemi Kyndryl.
2. Bezpečnostní incidenty
2.1. Dodavatel bude udržovat a dodržovat zásady reakce na zaznamenané incidenty v souladu s Oborovými doporučenými postupy pro řešení incidentů počítačového zabezpečení.
2.2. Dodavatel prošetří neoprávněné přístupy a neoprávněné používání Materiálů Kyndryl a definuje a realizuje vhodný plán reakce.
2.3. Jakmile se dodavatel dozví o jakémkoli narušení zabezpečení, bude neprodleně (a za žádných okolností ne později než do 48 hodin) informovat společnost Kyndryl. Dodavatel poskytne takové oznámení na xxxxx.xxxxxxxxx@xxxxxxx.xxx. Dodavatel poskytne Kyndryl rozumně požadované informace o takovém narušení a stavu činností nápravy a obnovení Dodavatele. Rozumně požadované informace mohou například zahrnovat protokoly prokazující privilegovaný, administrativní nebo jiný přístup k Zařízením, systémům nebo aplikacím, forenzní obrazy Zařízení, systémů nebo aplikací a další podobné položky v rozsahu relevantním pro narušení nebo činnosti nápravy a obnovení Dodavatele.
2.4. Dodavatel poskytne Kyndryl rozumnou součinnost při plnění veškerých zákonných povinností (včetně povinnosti informovat regulační orgány nebo Subjekty údajů) Kyndryl, přidružených společností Kyndryl a Zákazníků (a jejich zákazníků a přidružených společností) v souvislosti s jakýmkoliv Narušením zabezpečení.
2.5. Dodavatel nebude informovat ani hlásit jakékoliv třetí osobě, že Narušení zabezpečení se přímo nebo nepřímo týká Kyndryl nebo Materiálů Kyndryl, pokud to společnost Kyndryl písemně neschválí nebo pokud to není vyžadováno ze zákona. Dodavatel bude Xxxxxxx písemně informovat před poskytnutím jakýchkoliv zákonem požadovaných oznámení jakékoliv třetí osobě, pokud by takové oznámení přímo nebo nepřímo odhalilo identitu Kyndryl.
2.6. V případě Narušení zabezpečení, které vyplývá z porušení jakýchkoliv povinností Dodavatele v souladu s těmito Podmínkami:
(a) Dodavatel ponese veškeré jemu vzniklé náklady, stejně jako skutečné náklady, které vzniknou Kyndryl, v důsledku rozeslání oznámení o takovém Narušení zabezpečení příslušným regulačním orgánům, jiným vládním a relevantním oborovým samoregulačním úřadům, médiím (pokud to vyžaduje zákon), Subjektům údajů, Zákazníkům a dalším.
(b) Pokud to Kyndryl požaduje, Dodavatel na vlastní náklady zřídí a bude udržovat call centrum pro odpovědi na otázky od Subjektů údajů ohledně Narušení zabezpečení a jeho důsledků po dobu 1 roku od data, kdy byly tyto Subjekty údajů o Narušení zabezpečení informovány, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů podle toho, co zajišťují větší ochranu. Kyndryl a Dodavatel budou spolupracovat na vytvoření scénářů a dalších materiálů, které budou používány personálem call centra při odpovědích na dotazy. Alternativně může Xxxxxxx na základě písemného oznámení Dodavateli zřídit a provozovat své vlastní call centrum místo toho, aby call centrum zřídil Dodavatel, a Dodavatel uhradí Kyndryl skutečné náklady, které společnosti Kyndryl vzniknou při zřizování a vedení tohoto call centra.
(c) Dodavatel uhradí Xxxxxxx veškeré skutečné náklady, které Kyndryl vzniknou při poskytování monitorování kreditu a služeb obnovení kreditu po dobu 1 roku od data, kdy byly fyzické osoby dotčené takovým porušením, které se rozhodnou zaregistrovat k takovým službám, informovány o Narušení zabezpečení, nebo dle požadavků veškerých platných právních předpisů o ochraně osobních údajů, podle toho, která ustanovení poskytují větší ochranu.
3. Fyzické zabezpečení a kontrola vstupu (při použití níže „Zařízení“ znamená fyzické místo, kde Dodavatel hostuje a zpracovává Materiály Kyndryl nebo k nim jinak přistupuje).Dodavatel bude udržovat odpovídající kontroly fyzického vstupu, jako jsou bariéry, vstupy na kartu, bezpečnostní kamery a personálně obsazené recepce, za účelem ochrany proti neoprávněnému vstupu do Zařízení.
3.2. Dodavatel bude vyžadovat oprávněný souhlas s přístupem do Zařízení a kontrolovaných oblastí v Zařízení, včetně dočasného přístupu, a omezí přístup v závislosti na pracovní pozici a obchodní potřebě. Pokud Dodavatel udělí dočasný přístup, jeho oprávněný zaměstnanec bude doprovázet jakéhokoliv takového návštěvníka během pobytu v Zařízení a jakýchkoliv kontrolovaných oblastech.
3.3. Dodavatel zavede kontrolu fyzického přístupu, včetně multifaktorového ověření přístupu, které bude v souladu s Doporučenými oborovými postupy, pro vhodné omezení vstupu do kontrolovaných oblastí v Zařízení, bude protokolovat všechny pokusy o vstup a tyto protokoly bude uchovávat minimálně po dobu jednoho roku.
3.4. Dodavatel odvolá přístup do Zařízení a kontrolovaných oblastí v rámci Zařízení (a) v případě odchodu oprávněného zaměstnance Dodavatele nebo (b) v případě, že oprávněný zaměstnanec Dodavatele již nemá platnou obchodní potřebu přístupu. Dodavatel bude dodržovat formální zdokumentovaný postup odchodu, včetně neprodleného odstranění z kontrolních seznamů pro přístup a odebrání fyzických přístupových čipů.
3.5. Dodavatel přijme opatření k ochraně veškeré fyzické infrastruktury používané na podporu Služeb a Plnění a Manipulace s technologiemi Kyndryl před hrozbami okolního prostředí, ke kterým dochází přirozeně nebo jsou způsobeny člověkem, jako je nadměrná teplota prostředí, požár, záplavy, vlhkost, krádeže a vandalismus.
4. Řízení přístupu, intervence, přenosu a oddělení
4.1. Dodavatel bude uchovávat zdokumentovanou architekturu zabezpečení sítí, kterou spravuje v rámci poskytování Služeb, dodávky Plnění a Manipulace s Technologiemi Kyndryl. Dodavatel provede samostatnou revizi takové síťové architektury a nasadí opatření bránící neoprávněnému síťovému připojení k systémům, aplikacím a síťovým zařízením za účelem zajištění souladu s bezpečnou segmentací, izolací a obranou hloubkových standardů. Dodavatel není oprávněn pro své hostování a provoz jakýchkoliv Hostovaných služeb používat bezdrátovou technologii; v ostatních případech smí Dodavatel používat bezdrátovou síťovou technologii při poskytování svých Služeb a dodávce svých Plnění a při své Manipulaci s Technologiemi Kyndryl, nicméně Dodavatel je povinen šifrovat a vyžadovat bezpečné ověření všech takových bezdrátových sítí.
4.2. Dodavatel bude udržovat opatření, která jsou určena pro logické oddělení a zabránění expozici Materiálů Kyndryl anebo přístupu k nim neoprávněnými osobami. Dodavatel bude dále zachovávat odpovídající izolaci svých produktivních, neproduktivních a dalších prostředí, a pokud jsou Materiály Kyndryl již přítomny v neproduktivním prostřední nebo budou přenášeny do neproduktivního prostředí (například s cílem reprodukovat chybu), pak Dodavatel zajistí, aby zabezpečení a ochrana osobních údajů v neproduktivním prostředí odpovídala zabezpečení a ochraně v produktivním prostředí.
4.3. Dodavatel zajistí šifrování Materiálů Kyndryl při přenosu a v klidu (pokud Dodavatel neprokáže k rozumné spokojenosti Kyndryl, že šifrování Materiálů Kyndryl v klidu není technicky proveditelné). Dodavatel rovněž zajistí šifrování všech případných fyzických médií, jako jsou média obsahující zálohové soubory. Dodavatel bude uchovávat zdokumentované postupy pro bezpečné generování klíče, jeho vydávání, distribuci, ukládání, rotaci, odvolání, obnovení, zálohování, zničení, přístup a používání související s šifrováním dat. Dodavatel zajistí, aby byly specifické kryptografické metody používány k šifrování v souladu s Doporučenými oborovými postupy (jako např. NIST SP 800-131a).
4.4. Pokud Dodavatel vyžaduje přístup k Materiálům Kyndryl, Dodavatel omezí takový přístup na nejnižší možnou úroveň nezbytnou pro poskytování a podporu Služeb a Plnění. Dodavatel bude vyžadovat, aby takový přístup včetně administrativního přístupu k jakýmkoliv souvisejícím komponentám (tj. oprávněný přístup) byl individuální, vázán na roli a vyžadoval schválení a pravidelné ověření oprávněnými zaměstnanci Dodavatele v souladu s principy rozdělení pravomocí. Dodavatel bude udržovat opatření pro identifikaci a odstranění redundantních a neaktivních účtů. Dodavatel rovněž zruší účty s privilegovaným přístupem do dvaceti čtyř (24) hodin od odchodu vlastníka účtu nebo od žádosti Xxxxxxx nebo žádosti kteréhokoliv oprávněného zaměstnance Dodavatele, jako např. vedoucího vlastníka účtu.
4.5. V souladu s Oborovými doporučenými postupy bude Dodavatel udržovat technická opatření, jako jsou vynucení ukončení lhůt neaktivních relací, uzamčení účtů po několika po sobě jdoucích nezdařených pokusech o přihlášení, silné heslo nebo ověření heslové fráze, a opatření vyžadující zabezpečený přenos a ukládání takových hesel a heslových frází. Dále bude Dodavatel využívat vícefaktorové ověření pro veškeré oprávněné přístupy mimo konzoli k jakýmkoliv Materiálům Kyndryl.
4.6. Dodavatel bude monitorovat používání privilegovaného přístupu a udržovat opatření pro zabezpečení informací a řízení událostí s cílem: (a) identifikovat neoprávněný přístup a aktivitu, (b) ulehčit časnou a vhodnou reakci na takový přístup a aktivitu; a (c) umožnit audity Dodavatele, Kyndryl (v souladu s jejími právy na ověření dle těchto Podmínek a právy na audit dle Transakčního dokumentu nebo související základní nebo jiné související smlouvy mezi smluvními stranami) a dalších ve vztahu k dodržování zdokumentovaných zásad Dodavatele.
4.7. Dodavatel bude uchovávat protokoly, do nichž bude v souladu s Doporučenými oborovými postupy zaznamenávat veškeré administrativní, uživatelské nebo jiné přístupy či aktivity v systémech nebo s ohledem na systémy používané při poskytování Služeb a dodávce Plnění či Manipulaci s Technologiemi Kyndryl (a na žádost tyto protokoly poskytne společnosti Kyndryl). Dodavatel bude udržovat opatření určená k ochraně proti neoprávněnému přístupu, úpravám a náhodnému či svévolnému zničení takových protokolů.
4.8. Dodavatel bude udržovat výpočetní ochrany systémů, které vlastní či řídí, včetně systémů koncových uživatelů a systémů, které používá pro poskytování Služeb nebo Plnění či Manipulaci s Technologiemi Kyndryl, přičemž k takovým ochranným prvkům patří: firewally koncových bodů, plné šifrování disku, detekce koncového bodu na základě podpisu a bez podpisu a reakční technologie pro řešení hrozeb malwaru a pokročilých trvalých hrozeb, časové zámky obrazovky a řešení řízení koncových bodů, které
uplatňují konfiguraci zabezpečení a požadavky na opravy. Navíc Dodavatel zavede technické a provozní kontroly, které zajistí, aby využití sítí Dodavatele bylo umožněno pouze známým a důvěryhodným systémům koncového uživatele.
4.9. V souladu s Oborovými doporučenými postupy bude Dodavatel udržovat ochrany pro prostředí datových středisek, kde jsou přítomny či zpracovávány Materiály Kyndryl, přičemž tyto ochrany budou zahrnovat například: detekci narušení a prevenci a odmítnutí služby, protiopatření a zmírnění útoku.
5. Kontroly integrity a dostupnosti služby a systémů
5.1. Dodavatel: (a) provede hodnocení rizik zabezpečení a ochrany osobních údajů minimálně jednou ročně, (b) provede bezpečnostní testování a hodnocení zranitelnosti, včetně automatizovaných bezpečnostních skenování systémů a aplikací a manuálního etického hackování před uvolněním do produktivního prostředí a jednou ročně poté s ohledem na Služby a Plnění a jednou ročně s ohledem na Manipulaci s Technologiemi Kyndryl, (c) zajistí, aby kvalifikovaná nezávislá třetí strana provedla penetrační testování v souladu s Doporučenými oborovými postupy minimálně jednou ročně, přičemž toto testování bude zahrnovat jak automatické, tak manuální testování, (d) provede automatizované ověření souladu řízení a postupů s požadavky na konfiguraci zabezpečení pro jednotlivé komponenty Služeb a Plnění a s ohledem na Manipulaci s Technologiemi Kyndryl a (e) odstraní zjištěná ohrožení zabezpečení či nesoulad se svými požadavky na konfiguraci zabezpečení na základě souvisejících rizik, využitelnosti a dopadu. Dodavatel učiní přiměřené kroky, aby zabránil narušení Služeb během testování, hodnocení, skenování a realizace činností oprav. Na žádost Kyndryl Dodavatel předloží Kyndryl písemné shrnutí nejnovějších aktivit penetračního testování Dodavatele, přičemž taková zpráva bude obsahovat minimálně název nabídek zahrnutých do testování, počet systémů nebo aplikací zahrnutých do předmětu testování, data testování, metodu použitou pro testování a obecné shrnutí zjištění.
5.2. Dodavatel bude udržovat zásady a postupy určené k řízení rizik souvisejících s aplikací změn Služeb nebo Plnění či Manipulace s Technologiemi Kyndryl. Před zavedením takových změn, včetně dotčených systémů, sítí a souvisejících komponent, Dodavatel zdokumentuje v registrované žádosti o změnu: (a) popis a důvod změny, (b) podrobnosti o implementaci a její harmonogram, (c) prohlášení o rizicích, které řeší dopad na Služby a Plnění, zákazníky Služeb nebo Materiály Kyndryl, (d) očekávaný výsledek, (e) plán návratu zpět a (f) souhlas oprávněného zaměstnance Dodavatele.
5.3. Dodavatel bude uchovávat soupis všech IT aktiv, které využívá pro poskytování Služeb, dodávku Plnění a Manipulaci s Technologiemi Kyndryl. Dodavatel bude průběžně monitorovat a řídit stav (včetně kapacity) a dostupnost všech těchto IT aktiv, Služeb, Plnění a Technologií Kyndryl, včetně souvisejících komponent takových aktiv, Služeb, Plnění a Technologií Kyndryl.
5.4. Dodavatel vybuduje všechny systémy, které používá k vývoji nebo poskytování Služeb, dodávku Plnění nebo Manipulaci s Technologiemi Kyndryl, na základě předem definovaných obrazů zabezpečení systému nebo referenčního stavu zabezpečení, které splňují Doporučené oborové postupy, jako jsou srovnávací testy CIS (Center for Internet Security).
5.5. Aniž by tím byly omezeny povinnosti Dodavatele nebo práva Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami ve vztahu k obchodní kontinuitě, Dodavatel samostatně posoudí jednotlivé Služby a Plnění a každý IT systém používaný pro Manipulaci s Technologiemi Kyndryl z hlediska obchodní a IT kontinuity a dle požadavků na zotavení z havárie v souladu se zdokumentovanými pokyny pro řízení rizik. Dodavatel zajistí, aby takové jednotlivé Služby, Plnění a IT systémy měly v rozsahu stanoveném dle takového hodnocení rizik samostatně definované, zdokumentované, udržované a jednou ročně revidované plány obchodní a IT kontinuity a plány zotavení z havárie v souladu s Doporučenými oborovými postupy. Dodavatel zajistí, aby takové plány byly navrženy tak, že zajistí dodržení specifických lhůt zotavení stanovených v části
5.6 níže.
5.6. Konkrétní cíle bodu obnovy ("RPO") a cílová doba obnovy ("RTO") ve vztahu k jakýmkoliv Hostovaným službám jsou: 24 hodin RPO a 24 hodin RTO; Dodavatel však dodrží jakékoliv kratší RPO nebo RTO, ke kterým se Kyndryl zavázala vůči Zákazníkovi, neprodleně poté, co bude společnost Kyndryl písemně informovat Dodavatele o takových kratších RPO nebo RTO (e-mail představuje písemnou formu). S ohledem na veškeré další Služby poskytované Dodavatelem společnosti Kyndryl
Dodavatel zajistí, aby jeho plány obchodní kontinuity a zotavení z havárie byly navrženy tak, aby zajistily splnění RPO a RTO, které Dodavateli umožní zachovat soulad se všemi těmito povinnostmi vůči společnosti Kyndryl podle Transakčního dokumentu a související základní smlouvy mezi stranami a podle těchto Podmínek, a to včetně jeho povinností včasného zajištění testování, podpory a údržby.
5.7. Dodavatel bude udržovat opatření určená k hodnocení, testování a uplatnění doporučených oprav zabezpečení Služeb a Plnění a souvisejících systémů, sítí, aplikací a souvisejících komponent v rozsahu takových Služeb a Plnění, stejně jako všech systémů, sítí, aplikací a souvisejících komponent používaných pro Manipulaci s Technologiemi Kyndryl. V případě rozhodnutí, že je doporučená oprava zabezpečení odpovídající a vhodná, zavede Dodavatel opravu v souladu se zdokumentovanými zásadami hodnocení závažnosti a rizik. Implementace doporučených oprav zabezpečení Dodavatelem bude podléhat jeho zásadám řízení změn.
5.8. Pokud má Kyndryl rozumné důvody se domnívat, že hardware nebo software, které Dodavatel poskytuje Kyndryl může obsahovat rušivé prvky, jako jsou spyware, malware nebo škodlivé kódy, pak bude Dodavatel včas spolupracovat s Kyndryl na vyšetřování a odstranění obav Kyndryl.
6. Poskytování služeb
6.1 Dodavatel bude podporovat běžné oborové metody federovaného ověřování pro veškeré uživatele Kyndryl nebo účty Zákazníka, přičemž Dodavatel bude při ověřování takových uživatelů Kyndryl nebo účtů Zákazníka postupovat v souladu s Doporučenými oborovými postupy (jako je např.
centrálně řízené multifaktorové jednotné přihlášení, použití OpenID Connect nebo Security Assertion Markup Language). Aniž by tím byly omezeny povinnosti Dodavatele nebo práva Kyndryl v souladu s Transakčním dokumentem nebo související základní smlouvou mezi smluvními stranami s ohledem na udržování subdodavatelů, Dodavatel zajistí, aby všichni subdodavatelé, kteří provádějí práce pro Dodavatele, zavedli kontroly řízení pro zajištění souladu s požadavky a povinnostmi, které tyto Podmínky stanoví pro Dodavatele.
7. Subdodavatelé
Aniž by tím byly omezeny povinnosti Dodavatele nebo práva společnosti Kyndryl podle Zadávací dokumentace nebo související Rámcové smlouvy mezi stranami, pokud jde o zapojení subdodavatelů, Dodavatel zajistí, aby každý subdodavatel, který pro Dodavatele vykonává práci, měl zavedeny kontroly řízení společnosti, které budou splňovat požadavky a povinnosti Dodavatele podle těchto Podmínek.
8. Fyzická média. Dodavatel zajistí bezpečnou sanitaci fyzických médií určených pro další použití před takovým následným použitím a zničí fyzická média, která nejsou určena k dalšímu použití v souladu s Doporučenými oborovými postupy pro sanitaci médií.
Článek IX, Certifikace a zprávy Hostovaných služeb
Tento Článek se uplatní, pokud Dodavatel poskytuje společnosti Kyndryl Hostované služby.
1.1 Dodavatel je povinen získat následující certifikace nebo zprávy v níže stanovených lhůtách:
Certifikace / Zprávy | Časový rámec |
Ve vztahu k Hostovaným službám Dodavatele: Certifikace souladu s normou ISO 27001, Informační technologie, techniky zabezpečení, Systémy řízení zabezpečení informací, přičemž taková certifikace bude vycházet z hodnocení renomovaným nezávislým auditorem nebo SOC 2 Typ 2: Zpráva vydaná renomovaným nezávislým auditorem prokazující jím provedenou kontrolu systémů, kontrol a provozu Dodavatele v souladu s SOC 2 Typ 2 (včetně minimálně zabezpečení, důvěrnosti a dostupnosti) | Dodavatel získá certifikaci dle normy ISO 27001 do 120 Dní od data účinnosti Transakčního dokumentu* nebo Data převzetí** a certifikaci obnoví na základě hodnocení renomovaným nezávislým auditorem každých 12 měsíců poté (přičemž každé takové obnovení proběhne dle aktuální verze normy). Dodavatel získá zprávu SOC 2 Typ 2 do 240 Dní od data účinnosti Transakčního dokumentu* nebo Data převzetí** a následně získá novou zprávu od renomovaného nezávislého auditora, která prokáže jím provedenou revizi systémů, kontrol a provozu Dodavatele v souladu s SOC 2 Typ 2 (včetně minimálně zabezpečení, důvěrnosti a dostupnosti) každých 12 měsíců poté. * Pokud Dodavatel poskytuje Hostované služby od data účinnosti. ** Datum, kdy Dodavatel převezme povinnost poskytovat Hostované služby. |
1.2 Pokud to Dodavatel písemně požaduje a pokud to Kyndryl písemně schválí, Dodavatel smí získat v podstatných náležitostech ekvivalentní certifikaci nebo zprávu k výše uvedenému s tím, že časové lhůty stanovené ve výše uvedené tabulce zůstávají ve vztahu k certifikacím a zprávám, jež jsou v podstatných náležitostech ekvivalentní, beze změny.
1.3 Dodavatel: (a) na požádání neprodleně poskytne Kyndryl kopii jednotlivých certifikací a zpráv, jež je Xxxxxxxxx povinen získat, a (b) neprodleně vyřeší jakékoliv slabé místo interní kontroly zjištěné během SOC 2 nebo v podstatných náležitostech ekvivalentní revize (pokud ji Kyndryl schválí).
Článek X, Spolupráce, ověření a náprava
Tento článek se uplatní, pokud Dodavatel poskytuje Kyndryl jakékoliv Služby nebo dodává jakákoliv Plnění.
1. Spolupráce Dodavatele
1.1. Pokud má Kyndryl důvody ke znepokojení, že jakékoliv Služby nebo Plnění mohly přispět, přispívají či budou přispívat k jakýmkoliv obavám o kyberbezpečnost, pak bude Dodavatel rozumně spolupracovat v rámci jakéhokoliv vyšetřování Kyndryl ve vztahu k takovým obavám, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, dalších záznamů, pohovorů s příslušným Personálem Dodavatele a podobně.
1.2. Smluvní strany se zavazují, že: (a) si na požádání vzájemně poskytnou takové další informace, (b) podepíší a vzájemně si doručí takové další dokumenty a (c) učiní takové další úkony a kroky dle rozumného požadavku druhé smluvní strany pro účely naplnění záměru těchto Podmínek a dokumentů, na které se v těchto Podmínkách odkazuje. Například pokud to Kyndryl požaduje, Dodavatel včas předloží své podmínky týkající se ochrany osobních údajů a zabezpečení ze svých písemných smluv s Dílčími zpracovateli údajů a subdodavateli, včetně poskytnutí přístupu k takovým smlouvám samotným v případě, že je tak Dodavatel oprávněn učinit.
1.3. Pokud to bude Kyndryl požadovat, Dodavatel včas poskytne informace o zemích, kde byly Plnění a komponenty těchto Plnění vyráběny, vyvinuty nebo jinak pořízeny.
2. Ověření (tak, jak se používá níže, pojem „Zařízení“ znamená fyzické umístění, kde Dodavatel hostuje nebo zpracovává Materiály Kyndryl nebo k nim jinak přistupuje)Dodavatel bude uchovávat záznamy s možností kontroly prokazující soulad s těmito Podmínkami.
2.2. Kyndryl smí sama nebo prostřednictvím externího auditora na základě písemného oznámení Dodavateli zaslaného 30 Dní předem ověřit dodržování těchto Podmínek Dodavatelem, a to včetně vstupu do Zařízení pro tyto účely; nicméně Kyndryl nebude vstupovat do žádných datových středisek, kde Dodavatel Zpracovává Data Kyndryl, pokud nemá v dobré víře důvod se domnívat, že by tím získala relevantní informace. Dodavatel poskytne společnosti Kyndryl součinnost při ověřování, včetně poskytnutí včasných a úplných odpovědí na žádosti o informace, ať již formou dokumentů, jiných záznamů nebo pohovorů s relevantním Personálem Dodavatele a podobně. Dodavatel může nabídnout důkaz o dodržování schváleného kodexu jednání nebo oborové certifikace či jinak poskytnout informace pro prokázání souladu s těmito Podmínkami k posouzení společností Kyndryl.
2.3. Ověření nebude probíhat častěji než jednou za jakékoliv období 12 měsíců, s výjimkou případů, kdy:
(a) Kyndryl ověřuje nápravu Dodavatele v případě obav zjištěných během předchozího ověření za 12měsíční období nebo (b) došlo k Narušení zabezpečení a Kyndryl si přeje ověřit soulad s povinnostmi souvisejícími s takovým narušením. V obou případech Xxxxxxx zašle totéž písemné oznámení 30 Dní předem v souladu s ustanoveními v odstavci 2.2 výše, nicméně naléhavost řešení Narušení zabezpečení může vyžadovat, aby Kyndryl provedla ověření ve lhůtě kratší než na základě písemného oznámení zaslaného 30 Dní předem.
2.4. Regulační orgán nebo jiný Správce údajů mohou uplatnit stejná práva jako Kyndryl v souladu s odstavci
2.2 a 2.3 s tím, že regulační orgán smí uplatnit veškerá další práva, které mu náleží ze zákona.
2.5. Pokud má Kyndryl rozumný důvod pro závěr, že Dodavatel není v souladu s jakoukoliv z těchto Podmínek (bez ohledu na to, zda tento důvod vyplývá z ověření v souladu s těmito Podmínkami či jinak), pak je Dodavatel povinen neprodleně sjednat nápravu takového nesouladu.
3. Program proti paděláníPokud Plnění Dodavatele zahrnují elektronické komponenty (např. pevné disky, disky SSD, paměti, CPU, logická zařízení nebo kabely), Dodavatel je povinen uchovávat a dodržovat program prevence padělání, který především a zejména zabrání Dodavateli v dodávkách padělaných komponent pro společnost Kyndryl a za druhé neprodleně zjistí a napraví veškeré případy, kdy Dodavatel omylem poskytne společnosti Kyndryl padělané komponenty. Dodavatel stanoví tutéž povinnost vést a udržovat zdokumentovaný program ochrany proti padělání pro všechny své dodavatele, kteří poskytují elektronické komponenty zahrnuté do Plnění Dodavatele pro společnost Kyndryl.
4. Náprava
4.1. Pokud Dodavatel nesplní kteroukoliv ze svých povinností v souladu s těmito Podmínkami a pokud toto neplnění způsobí Narušení zabezpečení, pak je Dodavatel povinen napravit takové selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení plněním a nápravou dle rozumných pokynů a harmonogramu společnosti Kyndryl. Pokud však k Narušení zabezpečení dojde v důsledku poskytování Hostovaných služeb s více uživateli Dodavatelem a v důsledku toho dojde k dopadu na mnoho zákazníků Dodavatele, včetně Kyndryl, pak bude Dodavatel s ohledem na povahu Narušení zabezpečení povinen včas a vhodným způsobem napravit selhání svého plnění a odstranit škodlivé dopady Narušení zabezpečení, přičemž řádně zohlednění případné připomínky Kyndryl k takovým opravám a nápravám.
4.2. Kyndryl bude mít právo podílet se na nápravě jakéhokoliv Narušení zabezpečení dle ustanovení v Oddíle 4.1, jak bude považovat za vhodné nebo potřebné, a Dodavatel ponese odpovědnost za své náklady a výdaje související s nápravou jeho plnění a za náklady a výdaje, které smluvním stranám vzniknou v souvislosti s jakýmkoliv takovým Narušením zabezpečení.
4.3. Například výdaje a nálady na nápravu související s Narušením zabezpečení mohou zahrnovat náklady a výdaje související se zjištěním a vyšetřováním Narušení zabezpečení, stanovením odpovědnosti v souladu s platnými právními předpisy a nařízeními, zasláním oznámení a narušení, vytvořením a udržováním call center, poskytováním monitorování kreditu a službami obnovení kreditu, opakovaným nahráním dat, opravou vad produktu (a to i prostřednictvím Zdrojového kódu či jiného vývoje), zajištěním součinnosti třetích osob v rámci výše uvedeného či jiných souvisejících činností, stejně jako další náklady a výdaje nezbytné pro odstranění škodlivých dopadů Narušení zabezpečení. Pro vyjasnění se uvádí, že náklady a výdaje na nápravu nezahrnují ušlý zisk, ztrátu zakázek, hodnoty, příjmu, goodwillu či předpokládaných úspor na straně Kyndryl.