mezi
„Smlouva o dodání licence a provozu vyhledávací služby EBSCO Discovery Service“
mezi
Název: MASARYKOVA UNIVERZITA
Sídlo: Xxxxxxxxxx xxxxxxx 0, 000 00 Xxxx
Zastoupený: prof. RNDr. Xxxxxx Xxxxxxxx, CSc., ředitelem ústavu
Kontaktní osoba: IČ:
DIČ:
Bankovní spojení:
00216224
CZ00216224
- jako Objednatel -
a
Název: EBSCO Information Services s.r.o.
Sídlo: Xxxxxxxxxx 0000/00, 000 00 Xxxxx 0
Zastoupená: Xxxx Xxxx Xxxxx - jednatel
Kontaktní osoba: IČ:
DIČ:
496 21 823
CZ49621823
Zapsána: v obchodním rejstříku vedeném městským soudem v Praze, oddíl C, vložka 24504
Bankovní spojení:
- jako Poskytovatel -
Obě smluvní strany spolu níže uvedeného dne měsíce a roku uzavírají tuto smlouvu o dodání licence a provozu vyhledávací služby EBSCO Discovery Service (dále jen smlouva).
Stránka 1 z 5
Čl. 1 Předmět smlouvy
1) Předmětem této smlouvy je závazek Poskytovatele k instalaci a zajištění přístupu do vyhledávače EBSCO Discovery Service (EDS) (dále jen „Produkt“) v rámci licence pro období 1.1.2021 – 31.12.2021 a závazek Objednatele uhradit za to Poskytovateli cenu dle čl. 3 této smlouvy, to vše v souladu s ustanoveními této smlouvy.
Instalace EBSCO Discovery Service zahrnuje:
• EDS Index – centrální index metadat
• Integraci jednoho repozitáře
• Publication Finder – AtoZ lokátor publikací
• Full Text Finder – linkovací stroj
Čl. 2 Forma přístupu, smluvní lhůty a technická podpora
1) Poskytovatel se zavazuje dodat Produkt formou licence online přístupu k serveru Poskytovatele.
2) Tento přístup bude umožněn na základě IP adres, které Poskytovateli poskytne Objednatel. Poskytovatel garantuje vzdálený přístup k Produktu i zpřístupnění verze pro neautentizované uživatele.
3) Objednatel se zavazuje spolupracovat s Poskytovatelem při optimalizaci nastavení Produktu, tj. zejména při integraci repozitáře, kdy Objednatel předá Poskytovateli náležité informace formou kompletace dotazníku a uploadu záznamů pomocí protokolu OAI-PMH nebo přes FTP server.
4) Délka lhůty pro integraci repozitáře je přímo závislá na míře součinnosti Objednavatele, jmenovitě na jeho připravenosti předat Poskytovateli náležité informace dle předchozího bodu. Standardní lhůta pro integraci repozitáře od okamžiku převzetí zkompletované dotazníku a uploadu záznamů je 4-5 týdnů.
5) Poskytovatel se zavazuje poskytovat Objednateli obecnou technickou podporu na základě vzájemné domluvy a/nebo v případě technických problémů hlášených Objednatelem. Obecná technická podpora zahrnuje řešení a odstraňování technických závad či úpravy základní konfigurace systému.
6) Na základě žádosti Objednatele a předchozí vzájemné konzultace poskytne Poskytovatel Objednateli expertní technickou podporu k Produktu v rozsahu do 15 hodin ročně. Expertní technická podpora zahrnuje:
- přizpůsobení systému prostřednictvím pokročilých aplikací a podpůrných skriptů vytvořených na míru Objednateli;
- asistenci při integraci do dalších systémů či webových stránek a s tím spojenou technickou podporu;
- technickou podporu při integraci systému přes API rozhraní;
- aktualizace lokálních zdrojů a kolekcí v rámci holdingů pro linkovací nástroj Full Text Finder.
Strana 2 z 5
Čl. 3 Cena, fakturování a platební podmínky
1) Cena za plnění této smlouvy činí celkem 9.248,00 amerických dolarů (USD) bez DPH.
2) Cenu uhradí Objednatel na základě daňového dokladu (faktury), kterou je Poskytovatel oprávněn vystavit nejpozději do konce listopadu 2020.
Splatnost faktury se stanovuje na 30 dní ode dne jejího doručení do sídla Objednatele. Faktura bude vystavena v amerických dolarech.
3) Objednatel má právo vrátit fakturu k doplnění v případě, že tato nesplňuje požadavky platných právních předpisů; v tom případě se počítá splatnost faktury až ode dne opětovného doručení náležitě doplněné či opravené faktury Objednateli.
4) Pro případ prodlení Objednatele s plněním finančních závazků vyplývajících z této Smlouvy se sjednává úrok z prodlení ve výši 0,05 % denně z dlužné částky za každý den prodlení až do jejího úplného zaplacení.
Čl. 4 Další práva a povinnosti smluvních stran
1) Práva a povinnosti smluvních stran se řídí také ustanoveními ve smyslu Licenční smlouvy, uzavřené mezi Objednatelem a Poskytovatelem, která tvoří Přílohu č. 1 a je nedílnou součástí této Smlouvy.
2) Výpadky, chyby, žádosti o změnu nastavení Produktu či jiné žádosti a dotazy související s provozem Produktu je Objednatel povinen nahlásit bez zbytečného odkladu delegovaným kontaktním osobám Poskytovatele, zodpovědným za provoz Produktu:
Pro dotazy, připomínky a návrhy může Objednatel během celkového provozu Produktu
v pracovní dny kontaktovat Poskytovatele také přes službu HelpDesk. Poskytovatel garantuje odpověď do 24 hodin.
Kontaktní údaje služby HelpDesk:
Strana 3 z 5
3) V případě havarijního výpadku systému či obdobně závažných situací může Objednatel kdykoliv (24/7) kontaktovat Poskytovatele na lince HotLine, která garantuje okamžitou reakci.
Kontaktní údaje linky
Čl. 5 Závěrečná ustanovení
1) Smluvní strany mohou od smlouvy odstoupit v případě podstatného porušení smluvních závazků druhou stranou, a to doručením písemného odstoupení od smlouvy, v němž bude sdělena skutečnost, v níž je spatřováno podstatné porušení smlouvy. Za podstatné porušení této Smlouvy se považují: prodlení Objednatele se zaplacením ceny dle čl. 3 přesahující 30 dnů, prodlení Poskytovatele se zpřístupněním produktů Objednateli ve sjednané lhůtě nebo úpadek Poskytovatele dle platného zákona o insolvenčním řízení. Dále lze smlouvu ukončit vzájemnou dohodou smluvních stran.
2) Platnost smlouvy může být ukončena, popř. smlouva zrušena také v důsledku dalších právních skutečností, s nimiž zánik tohoto vztahu spojuje česká právní úprava nebo písemná dohoda smluvních stran, vč. této smlouvy a dodatků k ní, a to v případech tam uvedených.
3) Tuto Smlouvu lze měnit nebo doplňovat pouze písemnou dohodou smluvních stran, popř. formou písemných vzestupně číslovaných dodatků, podepsaných oprávněnými zástupci obou smluvních stran. Právní jednání smluvních stran nebo strany, které tuto smlouvu ruší nebo ukončuje její platnost, nebo na základě něhož má tento následek nastat, vyžaduje rovněž písemnou formu.
4) Smlouva je vyhotovena i podepsána digitálně.
5) Nedílnou součástí smlouvy jsou následující přílohy:
a) Příloha č. 1 – Licenční smlouva – anglický originál a jeho český orientační překlad
6) Vztahy mezi smluvními stranami se řídí českým právním řádem. Ve věcech touto smlouvou výslovně neupravených se právní vztahy z ní vyplývající řídí příslušnými ustanoveními zákona č. 89/2012 Sb., občanský zákoník a ostatními obecně závaznými právními předpisy České republiky. Licenční podmínky (příloha č.1 smlouvy) se řídí právním řádem a právními předpisy uvedenými v Licenčních podmínkách.
7) Smlouva vstupuje v platnost dnem jejího podpisu druhou ze smluvních stran a v účinnost dle ustanovení odst. 8 tohoto článku. Smlouva se uzavírá na dobu určitou do 31.12.2021.
8) Smluvní strany berou na vědomí, že podmínkou nabytí účinnosti této smlouvy je její uveřejnění v registru smluv podle zák.č. 340/2015 Sb., registru smluv, ve znění pozdějších předpisů, a s tímto uveřejněním souhlasí. Zveřejnění Xxxxxxx v registru smluv dle tohoto odstavce zajistí bez zbytečného odkladu po podpisu smlouvy Objednatel.
Strana 4 z 5
LAST UPDATED: November 19, 2019
EBSCO LICENSE AGREEMENT
By using the services available at this site or by making the services available to Authorized Users, the Authorized Users and the Licensee agree to comply with the following terms and conditions (the "Agreement"). For purposes of this Agreement, "EBSCO" is EBSCO Publishing, Inc.; the "Licensee" is the entity or institution that makes available databases and services offered by EBSCO; the "Sites" are the Internet websites offered or operated by Licensee from which Authorized Users can obtain access to EBSCO's Databases and Services; and the "Authorized User(s)" are employees, students, registered patrons, walk-in patrons, or other persons affiliated with Licensee or otherwise permitted to use Licensee's facilities and authorized by Licensee to access Databases or Services. "Authorized User(s)" do not include alumni of the Licensee. "Services" shall mean EBSCOhost, EBSCOhost Integrated Search, EBSCO Discovery Service, EBSCO eBooks, Flipster and related products to which Licensee has purchased access or a subscription. "Services" shall also include audiobooks and eBooks to which a Licensee has purchased access or a subscription and periodicals to which Licensee has purchased a subscription. "Databases" shall mean the products made available by EBSCO. EBSCO disclaims any liability for the accuracy, completeness or functionality of any material contained herein, referred to, or linked to. Publication of the servicing information in this content does not imply approval of the manufacturers of the products covered. EBSCO assumes no responsibility for errors or omissions nor any liability for damages from use of the information contained herein. Persons engaging in the procedures included herein do so entirely at their own risk.
I. LICENSE
A. EBSCO hereby grants to the Licensee a nontransferable and non-exclusive right to use the Databases and Services made available by EBSCO according to the terms and conditions of this Agreement. The Databases and Services made available to Authorized Users are the subject of copyright protection, and the original copyright owner (EBSCO or its licensors) retains the ownership of the Databases and Services and all portions thereof. EBSCO does not transfer any ownership, and the Licensee and Sites may not reproduce, distribute, display, modify, transfer or transmit, in any form, or by any means, any Database or Service or any portion thereof without the prior written consent of EBSCO, except as specifically authorized in this Agreement.
B. The Licensee is authorized to provide on-site access through the Sites to the Databases and Services to any Authorized User. The Licensee may not post passwords to the Databases or Services on any publicly indexed websites. The Licensee and Sites are authorized to provide remote access to the Databases and Services only to their patrons as long as security procedures are undertaken that will prevent remote access by institutions, employees at non-subscribing institutions or individuals, that are not parties to this Agreement who are not expressly and specifically granted access by EBSCO. For the avoidance of doubt, if Licensee provides remote access to individuals on a broader scale than was contemplated at the inception of this Agreement then EBSCO may hold the Licensee in breach and suspend access to the Database(s) or Services. Remote access to the Databases or Services is permitted to patrons of subscribing institutions accessing from remote locations for personal, non-commercial use. However, remote access to the Databases or Services from non-subscribing institutions is not allowed if the purpose of the use is for commercial gain through cost reduction or avoidance for a non-subscribing institution.
C. Licensee and Authorized Users agree to abide by the Copyright Act of 1976 as well as by any contractual restrictions, copyright restrictions, or other restrictions provided by publishers and specified in the Databases or Services. Pursuant to these terms and conditions, the Licensee and Authorized Users may download or print limited copies of citations, abstracts, full text or portions thereof, provided the information is used solely in accordance with copyright law. Licensee and Authorized Users may not publish the information. Licensee and Authorized Users shall not use the Database or Services as a component of or the basis of any other publication prepared for sale and will neither duplicate nor alter the Databases or Services or any of the content therein in any manner, nor use same for sale or
distribution. Licensee and Authorized Users may create printouts of materials retrieved through the Databases or Services online printing, offline printing, facsimile or electronic mail. All reproduction and distribution of such printouts, and all downloading and electronic storage of materials retrieved through the Databases or Services shall be for internal or personal use. Downloading all or parts of the Databases or Services in a systematic or regular manner so as to create a collection of materials comprising all or part of the Databases or Services is strictly prohibited whether or not such collection is in electronic or print form. Notwithstanding the above restrictions, this paragraph shall not restrict the use of the materials under the doctrine of "fair use" as defined under the laws of the United States. Publishers may impose their own conditions of use applicable only to their content. Such conditions of use shall be displayed on the computer screen displays associated with such content. The Licensee shall take all reasonable precautions to limit the usage of the Databases or Services to those specifically authorized by this Agreement.
D. Authorized Sites may be added or deleted from this Agreement as mutually agreed upon by EBSCO and Licensee
E. Licensee agrees to comply with the Copyright Act of 1976, and agrees to indemnify EBSCO against any actions by Licensee that are not consistent with the Copyright Act of 1976.
F. The computer software utilized via EBSCO's Databases and Service(s) is protected by copyright law and international treaties. Unauthorized reproduction or distribution of this software, or any portion of it, is not allowed. User shall not reverse engineer, decompile, disassemble, modify, translate, make any attempt to discover the source code of the software, or create derivative works from the software.
G. The Databases are not intended to replace Licensee's existing subscriptions to content available in the Databases.
H. Licensee agrees not to include any advertising in the Databases or Services.
II. LIMITED WARRANTY AND LIMITATION OF LIABILITY
A. EBSCO and its licensors disclaim all warranties, express or implied, including, but not limited to, warranties of merchantability, noninfringement, or fitness for a particular purpose. Neither EBSCO nor its licensors assume or authorize any other person to assume for EBSCO or its licensors any other liability in connection with the licensing of the Databases or the Services under this Agreement and/or its use thereof by the Licensee and Sites or Authorized Users.
B. THE MAXIMUM LIABILITY OF EBSCO AND ITS LICENSORS, IF ANY, UNDER THIS AGREEMENT, OR ARISING OUT OF ANY CLAIM RELATED TO THE PRODUCTS, FOR DIRECT DAMAGES, WHETHER IN CONTRACT, TORT OR OTHERWISE SHALL BE LIMITED TO THE TOTAL AMOUNT OF FEES RECEIVED BY EBSCO FROM LICENSEE HEREUNDER UP TO THE TIME THE CAUSE OF ACTION GIVING RISE TO SUCH LIABILITY OCCURRED. IN NO EVENT SHALL EBSCO OR ITS LICENSORS BE LIABLE TO LICENSEE OR ANY AUTHORIZED USER FOR ANY INDIRECT, INCIDENTAL, CONSEQUENTIAL, PUNITIVE OR SPECIAL DAMAGES RELATED TO THE USE OF THE DATABASES OR SERVICES OR TO THESE TERMS AND CONDITIONS, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
C. Licensee is responsible for maintaining a valid license to the third party resources configured to be used via the Services (if applicable). EBSCO disclaims any responsibility or liability for a Licensee accessing the third party resources without proper authorization.
D. EBSCO is not responsible if the third party resources accessible via the Services fail to operate properly or if the third party resources accessible via the Services cause issues for the Licensee. While EBSCO will make best efforts to help troubleshoot problems, Licensee acknowledges that certain aspects of functionality may be dependent on third party resource providers who may need to be contacted directly for resolution.
III. PRICE AND PAYMENT
A. License fees have been agreed upon by EBSCO and the Licensee, and include all retrospective issues of the Product(s) as well as updates furnished during the term of this Agreement. The Licensee's obligations of payment shall be to EBSCO or its assignee. Payments are due upon receipt of invoice(s) and will be deemed delinquent if not received within thirty (30) days. Delinquent invoices are subject to interest charges of 12% per annum on the unpaid balance (or the maximum rate allowed by law if such rate is less than 12%). The Licensee will be liable for all costs of collection. Failure or delay in rendering payments due EBSCO under this Agreement will, at EBSCO's option, constitute material breach of this Agreement. If changes are made resulting in amendments to the listing of authorized Sites, Databases, Services and pricing identified in this Agreement, pro rata adjustments of the contracted price will be calculated by EBSCO and invoiced to the Licensee and/or Sites accordingly as of the date of any such changes. Payment will be due upon receipt of any additional pro rata invoices and will be deemed delinquent if not received within thirty (30) days of the invoice dates.
B. Taxes, if any, are not included in the agreed upon price and may be invoiced separately. Any taxes applicable to the Database(s) under this Agreement, whether or not such taxes are invoiced by EBSCO, will be the exclusive responsibility of the Licensee and/or Sites.
IV. TERMINATION
A. In the event of a breach of any of its obligations under this Agreement, Licensee shall have the right to remedy the breach within thirty (30) days upon receipt of written notice from EBSCO. Within the period of such notice, Licensee shall make every reasonable effort and document said effort to remedy such a breach and shall institute any reasonable procedures to prevent future occurrences of such breaches. If the Licensee fails to remedy such a breach within the period of thirty (30) days, EBSCO may (at its option) terminate this Agreement upon written notice to the Licensee.
B. If EBSCO becomes aware of a material breach of Licensee's obligations under this Agreement or a breach by Licensee or Authorized Users of the rights of EBSCO or its licensors or an infringement on the rights of EBSCO or its licensors, then EBSCO will notify the Licensee immediately in writing and shall have the right to temporarily suspend the Licensee's access to the Databases or Services. Licensee shall be given the opportunity to remedy the breach or infringement within thirty (30) days following receipt of written notice from EBSCO. Once the breach or infringement has been remedied or the offending activity halted, EBSCO shall reinstate access to the Databases or Services. If the Licensee does not satisfactorily remedy the offending activity within thirty (30) days, EBSCO may terminate this Agreement upon written notice to the Licensee.
C. The provisions set forth in Sections I, II and V of this Agreement shall survive the term of this Agreement and shall continue in force into perpetuity.
V. NOTICES OF CLAIMED COPYRIGHT INFRINGEMENT
EBSCO has appointed an agent to receive notifications of claims of copyright infringement regarding materials available or accessible on, through, or in connection with our services. Any person authorized to act for a copyright owner may notify us of such claims by contacting the following agent: Xxx Xxxx, EBSCO Publishing, 00 Xxxxx Xxxxxx, Xxxxxxx, XX 00000; phone: 000-000-0000, fax: 000-000-0000; email: xxxxx@xxxxx.xxx. In contacting this agent, the contacting person must provide all relevant information, including the elements of notification set forth in 17 U.S.C. 512.
VI. GENERAL
A. Neither EBSCO nor its licensors will be liable or deemed to be in default for any delays or failure in performance resulting directly or indirectly from any cause or circumstance beyond its reasonable control, including but not limited to acts of God, war, riot, embargoes, acts of civil or military authority, rain, fire, flood, accidents, earthquake(s), strikes or labor shortages, transportation facilities shortages or failures of equipment, or failures of the Internet.
B. This Agreement and the license granted herein may not be assigned by the Licensee to any third party without written consent of EBSCO.
C. If any term or condition of this Agreement is found by a court of competent jurisdiction or administrative agency to be invalid or unenforceable, the remaining terms and conditions thereof shall remain in full force and effect so long as a valid Agreement is in effect.
D. If the Licensee and/or Sites use purchase orders in conjunction with this Agreement, then the Licensee and/or Sites agree that the following statement is hereby automatically made part of such purchase orders: "The terms and conditions set forth in the EBSCO License Agreement are made part of this purchase order and are in lieu of all terms and conditions, express or implied, in this purchase order, including any renewals hereof."
E. This Agreement and our Privacy Policy represent the entire agreement and understanding of the parties with respect to the subject matter hereof and supersede any and all prior agreements and understandings, written and/or oral. There are no representations, warranties, promises, covenants or undertakings, except as described in this Agreement and our Privacy Policy.
F. EBSCO grants to the Licensee a non-transferable right to utilize any IP addresses provided by EBSCO to Licensee to be used with the Services. EBSCO does not transfer any ownership of the IP addresses it provides to Licensee. In the event of termination of the Licensee's license to the Services, the Licensee's right to utilize such IP addresses will cease.
G. All information that EBSCO collects when Licensee accesses, uses, or provides access to, the Databases and Services is subject to EBSCO’s Privacy Policy, which is incorporated herein by reference. By accessing or using the Databases and/or Services, you consent to all actions taken by EBSCO with respect to your information in compliance with the Privacy Policy.
DATA PROCESSING ADDENDUM
This Data Processing Addendum (the “Addendum”) is by and between EBSCO Publishing, Inc. (“Service Provider”) and Data Controller (“Customer”). This Addendum is being entered into in connection with and subject to the terms and conditions contained in the License Agreement between Service Provider and Customer (the “Agreement”). All capitalized terms used herein that are not otherwise defined shall have the same meaning as ascribed to such terms in the Agreement.
1. Definitions
a. "Data Protection Legislation" means the General Data Protection Regulation 2016/679, the European Directive 2002/58/EC, and any legislation and/or regulation implementing or made pursuant to them, or which amends, replaces, re-enacts or consolidates any of them.
b. "data processor", "data controller", "data subject", "personal data", "processing" and "appropriate technical and organisational measures" shall be interpreted in accordance with applicable Data Protection Legislation; and
c. "Services" shall have the meaning set forth in the Agreement (as applicable).
2. Data Protection
a. The provisions of this Section 1 shall apply to the personal data the Service Provider processes in the course of providing Customer the Services. Service Provider is the data processor in relation to the personal data that it processes in the course of providing Services to Customer. Customer is the data controller in relation to the personal data that it processed by data processor on its behalf in the course of providing Services to Customer.
b. The subject matter of the data processing is providing the Services and the processing will be carried out until Service Provider ceases to provide any Services to Customer. Annex 1 of this Addendum sets out the nature and purpose of the processing, the types
of personal data Service Provider processes and the data subjects whose personal data is processed.
c. When the Service Provider processes personal data in the course of providing Services to you, Service Provider will:
i. process the personal data only in accordance with documented instructions from Customer (as set forth in this Addendum or the Agreement or as directed by Customer). If applicable law requires Service Provider to process the personal data for any other purpose, Service Provider will inform Customer of this requirement first, unless such law(s) prohibit this;
ii. notify Customer promptly if, in Service Provider’s opinion, an instruction for the processing of personal data given by Customer infringes applicable Data Protection Legislation;
iii. assist Customer, taking into account the nature of the processing:
1. by appropriate technical and organizational measures and where possible, in fulfilling Customer’s obligations to respond to requests from data subjects exercising their rights;
2. in ensuring compliance with the obligations pursuant to Articles 32 to 36 of the General Data Protection Regulation, taking into account the information available to Service Provider; and
3. by making available to Customer all information reasonably requested by Customer for the purpose of demonstrating that
Customer’s obligations relating to the appointment of processors as set out in Article 28 of the General Data Protection Regulation have been met.
iv. implement and maintain appropriate technical and organizational measures to protect the personal data against unauthorized or unlawful processing and against accidental loss, destruction, damage, theft, alteration or disclosure. These measures shall be appropriate to the harm which might result from any unauthorized or unlawful processing, accidental loss, destruction, damage or theft of personal data and appropriate to the nature of the personal data which is to be protected;
v. in the event of third-party subprocessing that is subject to Data Protection Legislation, (A) inform Xxxxxxxx and obtain its prior written consent (execution of this Addendum shall be deemed as Customer’s prior written consent to such third-
party subprocessing); (B) provide a list of third-party subprocessors upon Customer’s request; and (C) inform Customer of any intended changes to third-party subprocessors, thereby giving Customer the opportunity to object to such changes. Service Provider will not give access to or transfer any personal data to any third party for such third party's independent use (e.g., not directly related to providing the Services) without Customer’s prior written consent. If Service Provider provides personal data to third party subprocessors involved in providing the Service, Service Provider will include in its agreement with any such third party subprocessor terms which are at least as favorable to Customer as those contained herein and as are required by applicable Data Protection Legislation;
vi. ensure that Service Provider personnel required to access the personal data are subject to a binding duty of confidentiality with regard to such personal data;
vii. except as set forth in Section 2.c.v. above or in accordance with documented instructions from Customer (as set forth in this Addendum or the Agreement or as directed by Xxxxxxxx), ensure that none of Service Provider personnel publish, disclose or divulge any personal data to any third party;
viii. upon expiration or earlier termination of the Agreement, upon Xxxxxxxx’x written request, securely destroy or return to you such personal data, and destroy existing copies unless applicable laws require storage of such personal data; and
ix. at Service Provider’s option, allow Customer and Customer’s authorized representatives to either (i) access and review up-to-date attestations, reports or extracts thereof from independent bodies (e.g. external auditors, , data protection auditors) or suitable certifications to ensure compliance with the terms of this Addendum; or (ii) conduct audits or inspections, upon the parties mutual agreement, during the term of the Agreement to ensure compliance with the terms of this Addendum in accordance with this Section c.ix.. Notwithstanding the foregoing, any audit must be conducted during Service Provider’s regular business hours, with reasonable advance notice to Service Provider and subject to reasonable confidentiality procedures. In addition, audits shall be limited to once per year.
d. If Service Provider becomes aware of and confirms any accidental, unauthorized or unlawful destruction, loss, alteration, or disclosure of, or access to Customer’s personal data that Service Provider processes in the course of providing the Services (a "Security Breach"), Service Provider will notify Customer within forty-eight hours.
e. All transfers of personal data from the EEA and Switzerland to the U.S. is covered by Service Provider’s Privacy Shield certification. Service Provider agrees to (i) maintain Service Provider’s Privacy Shield certification throughout the term of the Agreement, provided Privacy Shield certification remains a valid basis under the Data Protection Legislation for establishing adequate protections in respect of a transfer of personal data outside of the European Economic Area and/or Switzerland or (ii) execute Standard Contractual Clauses in respect of the processing of such personal data. Service Provider will promptly notify Customer if Service Provider ceases to maintain, or anticipates the revocation or withdrawal, or are otherwise challenged by any regulatory authority as to the status of Service Provider’s Privacy Shield certification, or if Service Provider makes a determination that it can no longer meet our obligations under Privacy Shield.
f. Prior to Service Provider processing personal data to Customer and Customer’s users, Customer agrees to obtain a legal basis, which may include consent, for the processing of personal data in connection with the provisioning and use of Services. This Section
(f) shall be in accordance with Article 6 of the GDPR or other applicable Data Protection Legislation.
3. MISCELLANEOUS
In the event of any conflict or inconsistency between the provisions of the Agreement and this Addendum, the provisions of this Addendum shall prevail. For avoidance of doubt and to the extent allowed by applicable law, any and all liability under this Addendum will be governed by the relevant provisions of the Agreement, including limitations of liability. Save as specifically modified and amended in this Addendum, all of the terms, provisions and requirements contained in the Agreement shall remain in full force and effect and govern this Addendum. Except as otherwise expressly provided herein, no supplement, modification, or amendment of this Addendum will be binding, unless executed in writing by a duly authorized representative of each party to this Addendum. If any provision of the Addendum is held illegal or unenforceable in a judicial proceeding, such provision shall be severed and shall be inoperative, and the remainder of this Addendum shall remain operative and binding on the parties.
ANNEX 1: DETAILS OF PROCESSING OF COMPANY PERSONAL DATA
This Annex 1 includes certain details of the Processing of Company Personal Data as required by Article 28(3) GDPR.
Subject matter and duration of the Processing of Company Personal Data
Subject to Agreement, Service Provider will provide the Services for the duration of the Agreement, unless otherwise agreed upon in writing.
The nature and purpose of the Processing of Company Personal Data
Service Provider will process all personal data governed by this Addendum as necessary to perform the Services pursuant to the Agreement, and as may be further instructed by Customer in its use of the Services.
The types of Company Personal Data to be Processed
Where applicable, as users are voluntarily permitted, but not required, may create a personalized account. Those accounts may collect the following limited personal data:
1. Name;
2. Email Address;
3. Password (in some cases); and
4. Security questions with answers.
The categories of Data Subjects to whom the Company Personal Data relates
Data subjects include Customer’s current end-users.
ANNEX 2: DETAILS OF PROCESSING OF COMPANY PERSONAL DATA
Description of the technical and organizational security measures implemented by the Service Provider in accordance with the Addendum:
See attached Security White Paper.
White Paper: Information Security Practices
Introduction
Information Security (IS) is a priority at EBSCO Information Services (EBSCO). Our mission is to incorporate security and risk management practices into our policies, procedures, and day-to-day operations within the organization. This approach enables appropriate diligence to ensure adequate protection of information assets and systems.
EBSCO’s IS practices and strategies provide controls at multiple levels of the data lifecycle, from receipt to access, transfer, and destruction.
EBSCO is an international corporation producing products and services for customers across multiple markets. Our approach and tools will accommodate variances in requirements based on market or locale. We are committed to the confidentiality, integrity and availability of our information assets.
Information Security Policies & Management
EBSCO’s Information Security Policy stands as the core of our IS program. Policies address security- related topics across the information asset lifecycle: from general policy roles – outsourcing security controls, change management, data classification, data retention and disposal, paper and electronic media, and system configuration requirements – to more specialized policies addressing anti-virus, encryption, backup, logging, and physical security controls. Our policies are developed in conjunction with
the EBSCO Chief Information Officer (CIO) as well as the Legal, EBSCO Information Security and Business Continuity Management teams. The EBSCO IS office is responsible for maintaining all of EBSCO’s information security policies, facilitating the development of processes for secure application development and security assessments, and auditing current practices to ensure compliance with policy.
EBSCO’s Information Security team
The EBSCO IS team holds specific certifications (ISC2, SANS/GIAC) specializing in Information Systems, Intrusion Analysis / Prevention, Incident Handling, Computer Forensics, in addition to having years of experience working with industry security best practices.
Is responsible for developing a strategy and approach to achieve objectives consistent with EBSCO’s desired information security posture. EIS InfoSec is also responsible for developing, facilitating and/or overseeing the information policies, standards, guidelines, strategies and procedures; for conducting risk assessments; for managing incidents, and for providing internal / external reporting.
Lastly, IS constantly evaluates the effectiveness of ongoing security operational processes and monitors compliance for internal and external requirements. As such, a core component of our approach to protecting our information assets is continuous training and awareness of information security policies and procedures across all levels of personnel at EBSCO. As examples, EBSCO continues to mature its practices in the following areas:
• On-boarding education of EBSCO’s information security policies and practices
• IS training and awareness based on roles and responsibilities, on handing and securing information assets
• Targeted information security discussion and presentations on security-related topics
• IS team access and membership to information security communities and organizations such as SANS, IAPP, BCI, DRI, etc.
• IS communications to EBSCO’s employee population regarding latest threats, practices, guidelines, etc.
Information Asset Protection
EBSCO security policies provide a series of threat prevention and infrastructure management procedures, including the following:
Incident Management
EBSCO has an incident management approach that ensures security issues are handled accordingly. This involves ensuring incident response procedures are followed in order to contain or eradicate any threats or issues, taking due diligence in investigating and reporting the incident, taking appropriate steps to recover from the incident, and, if necessary, taking appropriate steps to escalate issues to senior management, law enforcement, or other key stakeholders. Events that directly impact customers are highest priority.
Post-event assessments are conducted to determine the root cause for events, regardless of threat, to understand if the causes are one-time, or trends, to adjust response or prevent recurrence.
Incident management procedures are exercised based on threat scenarios (e.g., insider threats, phishing, social engineering, software vulnerabilities) as needed to ensure that processes are efficient and stakeholders understand protocol.
Monitoring
EBSCO employs monitoring across its environments with multiple tools (a combination of open source and commercial tools) to identify, track, monitor, and report on pertinent risks, vulnerabilities (e.g., host availability, application response time, security events, etc.) Monitoring tools are set up to provide alarms and notices to EBSCO staff, who review and assess system logs to identify malicious activity. Ongoing analysis across environments helps identify potential threats for escalation to EBSCO IS staff.
Vulnerability Management
The EBSCO IS team scans for security threats using commercial, automated and manual methods. The team is also responsible for tracking and following up on any potential vulnerabilities that might be detected. The team has the capability to scan environments (both internal and external) and is updated on new systems within our environment.
Once EBSCO’s Technology and IS teams have identified a vulnerability, it is prioritized according to severity and impact and remediated accordingly. The EBSCO IS team tracks risk and vulnerabilities until remediation.
Malware Prevention, Detection & Remediation
EBSCO uses multiple tools to address malware and phishing risks (e.g., firewalls, anti-virus, backups, automated and manual scanning, end-user awareness). EBSCO’s IS team periodically evaluates new technologies to mitigate malware and Advance Persistent Threats (APTs) to stay as protected as possible from these risks.
Network Security
EBSCO employs multiple layers of defense to secure information under our control, including protecting the network perimeter from external attacks – allowing only authorized services and protocols to access EBSCO’s systems and services.
EBSCO’s network security strategies, among other capabilities, include network segregation (e.g., production vs. testing, DMZ, service delivery vs. corporate).
Application Security
EBSCO employs Next Generation and Application Firewall technologies to mitigate the latest threat and attack vectors such as:
• Zero Day exploits
• Web application attacks (OWASP Top10)
• “Brute Force” and “Low and Slow” attacks
• Content scraping/harvesting
• Phishing/Spear Phishing
• Botnet/SpamBot activity
• Known malicious sources/actors
EBSCO leverages these technologies coupled with commercial threat intelligence feeds to create a comprehensive solution to detect and mitigate targeted application attacks before they have a chance for success.
Logical System Access
EBSCO has controls and practices to protect the security of customer information and employees. EBSCO maintains detailed logical access control security. Group access is used to grant employees access based upon their assigned function and job responsibility.
Each system user is assigned a unique user ID and password, and users are required to enter their current password prior to creating a new password.
Media Disposal
EBSCO utilizes a combination of internal processes and third-party vendors for media disposal. Destruction is based on the information asset classification and retention requirements. Certificates of destruction are collected, as required, from external third parties.
Logging Controls
EBSCO’s policies provide that all event logs must be collected and protected from unauthorized access.
The viewing of logs occurs only as required. The logs are further protected by a file integrity monitoring system that alerts the IS department of unauthorized access and modification.
Personnel Controls
EBSCO employees are required to conduct themselves in a manner consistent with the company’s guidelines regarding confidentiality, business ethics, appropriate usage, and professional standards.
EBSCO will verify an individual’s education and previous employment, and perform internal and external reference checks. Where local laws or statutory regulations permit, EBSCO may also conduct criminal, credit, immigration, and security checks. The extent of background checks is dependent on the desired position.
Upon acceptance of employment at EBSCO, all employees are required to execute a confidentiality agreement that documents the receipt of, and compliance with, EBSCO policies.
At EBSCO, all employees are responsible for information security. As part of this responsibility, they are tasked with communicating security and privacy issues to designated management in Technology, IS, and/or the CIO.
Physical and Environmental Security
EBSCO has policies, procedures, and infrastructure to handle both the physical security of its data centers as well as the environment in which the data centers operate. These include:
Physical Security Controls
EBSCO’s data centers employ a variety of physical security measures. The technology and security mechanisms used in these facilities may vary depending on local conditions such as building location and regional risks. The standard physical security controls implemented at EBSCO data centers includes the following:
• electronic card access control systems
• intrusion detectors and alarms
• computer inventory control
• interior and exterior cameras
• 24/7 security guard access
Access to areas where systems, or system components, are installed or stored is segregated from general office and public areas such as lobbies. The cameras and alarms for each of these areas are centrally monitored. Activity records and camera footage are kept for later review, as needed.
Access to all data center facilities is restricted to authorized EBSCO employees, approved visitors, and approved third parties whose job it is to operate the data center. EBSCO maintains a visitor access policy and procedures on approvals for visitors, third parties, and employees who do not normally have access to data center facilities. EBSCO audits who has access to its data centers on a regular basis.
EBSCO restricts access to its data centers based on role.
Environmental Controls
• Power and Utilities – EBSCO data centers have redundant electrical power which includes backup generators as well as multiple utility providers, services, and systems. Alternate power supplies provide power until diesel engine backup generators engage and are capable of providing emergency electrical power, at full capacity, as needed, and the redundancy of our multiple oil providers, geographically diverse, allows for continuous operation, if needed.
• Climate Control – EBSCO maintains redundant cooling systems to control our data center environments.
• Fire detection, protection and suppression – EBSCO fire protection systems include fire alarms, automatic fire detection, and fire suppression systems. Should a fire arise in our data centers, visible and audible alerts are activated and proper response is initiated, which include automated response as well as the use of physical fire extinguishers located throughout our data centers.
Xxxxx Xxxxxxxxx,
Director, Information Security
LICENČNÍ SMLOUVA SPOLEČNOSTI EBSCO
Používáním služeb dostupných na těchto internetových stránkách nebo poskytováním služeb Oprávněným uživatelům se Oprávnění uživatele a Držitel licence zavazují dodržovat následující podmínky (dále jen „Smlouva“). Pro účely této Smlouvy „EBSCO“ znamená společnost EBSCO Publishing, Inc.;
„Držitelem licence“ je subjekt nebo instituce zpřístupňující databáze a služby nabízené spol. EBSCO;
„Stránkami“ jsou internetové stránky nabízené nebo provozované Držitelem licence, ze kterých mohou Oprávnění uživatelé získat přístup k Databázím a Službám spol. EBSCO; a „Oprávněným(i) uživatelem(li)“ jsou zaměstnanci, studenti, registrovaní patroni, příchozí patroni nebo jiné osoby související s Držitelem licence nebo jinak oprávněné používat zařízení Držitele licence a Držitelem licence oprávněné k přístupu k Databázím nebo Službám. „Oprávněný(í) uživatel(é)“ nezahrnují absolventy Držitele licence. „Služby“ znamenají EBSCOhost, EBSCOhost Integrated Search, EBSCO Discovery Service, EBSCO eBooks, Flipster a související produkty, ke kterým Držitel licence zakoupil přístup nebo předplatné. „Služby“ také zahrnují audioknihy a eBooky, ke kterým Držitel licence zakoupil přístup nebo předplatné, a periodika, ke kterým Držitel licence zakoupil předplatné. „Databáze“ znamenají produkty poskytované spol. EBSCO. Spol. EBSCO se zříká veškeré odpovědnosti za přesnost, úplnost nebo funkčnost jakéhokoli materiálu uvedeného v této Smlouvě, na který se tato Smlouva odkazuje nebo na který je propojena. Ze zveřejnění servisních informací v této Smlouvě se neodvozuje schválení výrobců dotyčných produktů. Spol. EBSCO nepřebírá odpovědnost za chyby nebo opomenutí ani odpovědnost za škody způsobené použitím informací uvedených v této Smlouvě. Osoby zapojené do zde uvedených postupů tak činí zcela na vlastní riziko.
I. LICENCE
A. Spol. EBSCO tímto Držiteli licence uděluje nepřevoditelné a nevýhradní právo používat Databáze a Služby zpřístupňované spol. EBSCO v souladu s podmínkami této Smlouvy. Databáze a Služby zpřístupněné Oprávněným uživatelům podléhají ochraně autorských práv a původní vlastník autorských práv (spol. EBSCO nebo její poskytovatelé licencí) si ponechává vlastnictví Databází a Služeb a všech jejich částí. Spol. EBSCO nijak nepřevádí vlastnictví a Držitel licence a Stránky nesmí bez předchozího písemného souhlasu spol. EBSCO reprodukovat, distribuovat, zobrazovat, upravovat, převádět nebo přenášet, v žádné formě a žádným způsobem, jakoukoli Databázi nebo Službu, nebo jakoukoli jejich část, s výjimkou případů touto Smlouvou výslovně povolených.
B. Držitel licence je oprávněn místně, prostřednictvím Stránek, poskytovat přístup k Databázím a Službám všem Oprávněným uživatelům. Držitel licence nesmí zveřejňovat hesla k Databázím nebo Službám na žádných veřejně indexovaných internetových stránkách. Držitel licence a Stránky jsou oprávněni poskytovat vzdálený přístup k Databázím a Službám pouze svým patronům, pokud budou zavedeny bezpečnostní postupy bránící vzdálenému přístupu institucemi, zaměstnanci institucí, které nejsou abonenty, nebo jednotlivci, kteří nejsou stranami této Smlouvy, kterým spol. EBSCO výslovně a konkrétně neudělila přístup. Aby se předešlo pochybnostem, uvádí se, že pokud Držitel licence poskytne vzdálený přístup jednotlivcům v širším měřítku, než bylo zamýšleno při uzavírání této Smlouvy, může to spol. EBSCO považovat za porušení této Smlouvy Držitelem licence a pozastavit přístup k Databázi(ím) nebo Službám. Vzdálený přístup k Databázím nebo Službám je povolen patronům abonentních institucí přistupujícím ze vzdálených míst pro osobní nekomerční použití. Vzdálený přístup k Databázím nebo Službám institucemi, které nejsou abonenty, však není povolen, pokud je účelem použití komerční prospěch pomocí snížení nákladů nebo vyhnutí se vzniku nákladů neabonentním institucím.
C. Držitel licence a Oprávnění uživatelé souhlasí s tím, že budou dodržovat autorský zákon z roku 1976, jakož i jakákoli smluvní omezení, omezení autorskými právy nebo jiná omezení stanovená vydavateli a uvedená v Databázích nebo Službách. V souladu s těmito podmínkami mohou Držitel licence a Oprávnění uživatelé stahovat nebo tisknout omezené kopie citací, abstraktů, plných textů nebo jejich částí, za předpokladu, že tyto informace budou použity výhradně v souladu s autorským zákonem. Držitel licence a Oprávnění uživatelé tyto informace nesmí zveřejňovat. Držitel licence a Oprávnění uživatelé nebudou Databáze nebo Služby používat jako součást nebo základ jakékoli jiné publikace připravené k prodeji a nebudou Databáze nebo Služby, nebo jakýkoli jejich obsah, žádným způsobem duplikovat či měnit, nebo je používat k prodeji či distribuci. Držitel licence a Oprávnění uživatelé mohou vytvářet výtisky materiálů získaných z Databází nebo Služeb pomocí online tisku, offline tisku, faxu nebo elektronické pošty. Veškeré reprodukce a distribuce těchto výtisků a veškeré stahování a elektronické ukládání materiálů získaných prostřednictvím Databází nebo Služeb jsou určeny pro interní nebo osobní použití. Stahování všech nebo částí Databází nebo Služeb systematickým nebo pravidelným způsobem za účelem vytvoření sbírek materiálů obsahujících veškeré Databáze nebo Služby, nebo jejich část, je přísně zakázáno, ať již jsou tyto sbírky v elektronické nebo tištěné formě. Bez ohledu na výše uvedená omezení, tento odstavec
neomezuje použití materiálů na základě zásady „čestného použití“ tak, jak je definována v zákonech Spojených států. Vydavatelé si mohou stanovit své vlastní podmínky použití týkající se pouze jejich obsahu. Takovéto podmínky použití budou zobrazeny na obrazovkách počítačů souvisejících s tímto obsahem. Držitel licence je povinen přijmout veškerá přiměřená opatření pro zajištění omezení používání Databází nebo Služeb na použití výslovně povolené touto Smlouvou.
D. Na základě vzájemné dohody mezi spol. EBSCO a Držitelem licence mohou být k této Smlouvě přidávány nebo z ní odstraňovány autorizované Stránky.
E. Držitel licence se zavazuje dodržovat autorský zákon z roku 1976 a zavazuje se spol. XXXXX odškodnit za jakékoli své jednání, které nebude v souladu s autorským zákonem z roku 1976.
F. Počítačový software používaný prostřednictvím Databází a Služby(eb) spol. EBSCO je chráněn autorským zákonem a mezinárodními smlouvami. Neoprávněná reprodukce nebo distribuce tohoto softwaru, nebo jakékoli jeho části, není povolena. Uživatel nesmí software zpětně analyzovat, dekompilovat, rozebírat, upravovat, překládat, činit jakékoli pokusy o zjištění jeho zdrojového kódu, nebo z něj vytvářet odvozená díla.
G. Účelem Databází není nahrazení stávajícího předplatného Držitele licence k obsahu dostupnému v Databázích.
H. Držitel licence souhlasí s tím, že do Databází nebo Služeb nevloží žádnou reklamu.
II. OMEZENÁ ZÁRUKA A OMEZENÍ ODPOVĚDNOSTI
A. Spol. EBSCO a její poskytovatelé licencí se zříkají všech záruk, výslovných či odvozených, včetně, avšak bez omezení, záruk za obchodovatelnost, neporušování práv nebo vhodnost pro určitý účel. Spol. EBSCO ani její poskytovatelé licencí nepřebírají žádnou jinou odpovědnost v souvislosti s poskytováním licencí k Databází nebo Službám podle této Smlouvy a/nebo s jejich používáním Držitelem licence a Stránkami nebo Oprávněnými uživateli, a nepovolují žádné jiné osobě, aby tuto odpovědnost za spol. EBSCO nebo její poskytovatele licencí převzala.
B. MAXIMÁLNÍ ODPOVĚDNOST SPOL. EBSCO A JEJÍCH PŘÍPADNÝCH POSKYTOVATELŮ LICENCÍ VYPLÝVAJÍCÍ Z TÉTO SMLOUVY NEBO JAKÉHOKOLI NÁROKU SOUVISEJÍCÍHO S PRODUKTY, ZA PŘÍMÉ ŠKODY, AŤ JIŽ SMLUVNÍ, Z PORUŠENÍ ČI JINÉ, BUDE OMEZENA CELKOVOU ČÁSTKOU POPLATKŮ PŘIJATÝCH SPOL. EBSCO OD DRŽITELE LICENCE PODLE TÉTO SMLOUVY DO DOBY, KDY NASTALA PŘÍČINA JEDNÁNÍ VEDOUCÍHO KE VZNIKU TÉTO ODPOVĚDNOSTI. SPOL. EBSCO ANI JEJÍ POSKYTOVATELÉ LICENCÍ NEBUDOU DRŽITELI LICENCE ANI JAKÉMUKOLI OPRÁVNĚNÉMU UŽIVATELI ODPOVĚDNÍ ZA NEPŘÍMÉ, NÁHODNÉ, NÁSLEDNÉ ŠKODY NEBO ŠKODY S TRESTNÍ FUNKCÍ, ČI ZVLÁŠTNÍ ŠKODY SOUVISEJÍCÍ S UŽÍVÁNÍM DATABÁZÍ NEBO SLUŽEB NEBO S TĚMITO PODMÍNKAMI, I POKUD BYLI O MOŽNOSTI VZNIKU TĚCHTO ŠKOD INFORMOVÁNI.
C. Držitel licence je odpovědný za udržování platnosti licence ke zdrojům třetích stran, nakonfigurovaným pro použití prostřednictvím Služeb (je-li to relevantní). Spol. EBSCO se zříká jakékoli zodpovědnosti nebo odpovědnosti za přístup ke zdrojům třetích stran Držitelem licence bez řádného povolení.
D. Spol. EBSCO neponese odpovědnost, pokud zdroje třetích stran přístupné prostřednictvím Služeb přestanou správně fungovat nebo Držiteli licence způsobí problémy. Ačkoli spol. EBSCO vyvine maximální úsilí o to, aby byla nápomocna při řešení problémů, Držitel licence bere na vědomí, že některé aspekty funkcionality mohou záviset na poskytovatelích zdrojů - třetích stranách, které může být za účelem vyřešení problému zapotřebí kontaktovat přímo.
III. CENA A PLATBA
A. Spol. EBSCO a Držitel licence se dohodli na licenčních poplatcích, které zahrnují veškerá minulá vydání Produktu(ů) a aktualizace poskytované během doby platnosti této Smlouvy. Držitel licence bude mít platební povinnost vůči spol. EBSCO nebo jejím právním nástupcům. Platby jsou splatné po přijetí faktury (faktur) a budou považovány za platby v prodlení, pokud nebudou obdrženy do třiceti (30) dnů. Na faktury v prodlení bude použita úroková sazba ve výši 12% p.a. z neuhrazené částky (nebo maximální zákonem povolená sazba, pokud je nižší než 12%). Držitel licence odpovídá za veškeré inkasní náklady. Nezaplacení nebo prodlení se zaplacením plateb splatných spol. EBSCO podle této Smlouvy bude, podle uvážení spol. EBSCO, představovat podstatné porušení této Smlouvy. Pokud
dojde ke změnám vedoucím ke změnám seznamu autorizovaných Stránek, Databází, Služeb a cen uvedených v této Smlouvě, spol. EBSCO vypočítá poměrnou výši úpravy smluvní ceny, která bude Držiteli licence a/nebo Stránkám fakturována ke dni, ke kterému tyto změny nastanou. Platba bude splatná po přijetí příslušné dodatečné faktury na poměrnou výši úpravy ceny a bude považována za platbu v prodlení, pokud nebude zaplacena do třiceti (30) dnů ode dne fakturace.
B. Případné daně nejsou zahrnuty do dohodnuté ceny a mohou být fakturovány zvlášť. Veškeré daně související s Databází(emi) podle této Smlouvy, ať již jsou tyto daně fakturovány společností EBSCO či nikoli, budou výhradní odpovědností Držitele licence a/nebo Stránek.
IV. UKONČENÍ
A. V případě porušení kterékoli ze svých povinností podle této Smlouvy je Držitel licence oprávněn zjednat nápravu toto porušení ve lhůtě třiceti (30) dnů od obdržení písemného oznámení od spol. EBSCO. V této lhůtě Držitel licence vyvine veškeré přiměřené úsilí a toto úsilí o nápravu porušení zdokumentuje a zavede veškeré přiměřené postupy pro zabránění budoucímu výskytu takovýchto porušení. Pokud Držitel licence nezjedná nápravu takového porušení ve lhůtě třiceti (30) dnů, bude spol. EBSCO (dle svého uvážení) oprávněna tuto Smlouvu ukončit písemnou výpovědí zaslanou Držiteli licence.
B. Pokud se spol. EBSCO dozví o podstatném porušení povinností Držitele licence podle této Smlouvy nebo o nedodržení či porušení práv spol. EBSCO nebo jejích poskytovatelů licence Držitelem licence nebo Oprávněnými uživateli bude o tom Držitele licence okamžitě písemnou formou informovat a bude oprávněna dočasně pozastavit přístup Držitele licence k Databázím nebo Službám. Držiteli licence bude dána možnost zjednat nápravu tohoto nedodržení či porušení práv ve lhůtě třiceti (30) dnů po obdržení písemného oznámení od spol. EBSCO. Jakmile bude zjednána náprava nedodržení či porušení práv a bude upuštěno od nedovoleného jednání, obnoví spol. EBSCO přístup k Databázím nebo Službám. Pokud Držitel licence ve lhůtě třiceti (30) dnů nezjedná uspokojivou nápravu nedovoleného jednání, bude spol. EBSCO oprávněna tuto Smlouvu ukončit písemnou výpovědí zaslanou Držiteli licence.
C. Ustanovení článků I, II a V této Smlouvy přetrvají v platnosti po ukončení této Smlouvy a budou platná po dobu neurčitou.
V. OZNÁMENÍ O ÚDAJNÉM PORUŠENÍ AUTORSKÝCH PRÁV
Spol. EBSCO jmenovala zástupce, kterému mají být zasílána oznámení o stížnostech na porušení autorských práv v souvislosti s materiály dostupnými nebo přístupnými prostřednictvím našich služeb, v nich, přes ně nebo v souvislosti s nimi. Kterákoli osoba oprávněná jednat za majitele autorských práv nám může tyto stížnosti oznámit kontaktováním následujícího zástupce: Xxx Xxxx, spol. EBSCO Publishing, 00 Xxxxx Xxxxxx, Xxxxxxx, XX 00000; telefon: 000-000-0000, fax: 000-000-0000; email: xxxxx@xxxxx.xxx. Při kontaktování tohoto zástupce musí kontaktující osoba poskytnout veškeré relevantní informace, včetně základních součástí oznámení uvedených v 17 U.S.C. 512.
VI. VŠEOBECNÉ
A. Spol. EBSCO ani její poskytovatelé licencí nebudou odpovědní ani nebudou považováni za neplnící či v prodlení, v případě jakýchkoli prodlení či neplnění přímo či nepřímo způsobených jakoukoli příčinou nebo okolností mimo jejich přiměřenou kontrolu, včetně, avšak nikoli výlučně, přírodních katastrof, válek, nepokojů, embarga, aktů civilních nebo vojenských orgánů, dešťů, požárů, povodní, nehod, zemětřesení, stávek nebo nedostatku pracovních sil, nedostatku dopravních zařízení nebo selhání vybavení nebo nefunkčnosti internetu.
B. Držitel licence není oprávněn tuto Smlouvu a licenci touto Smlouvou udělenou postoupit třetí straně bez písemného souhlasu spol. EBSCO.
C. Pokud bude jakékoli ustanovení nebo podmínka této Smlouvy soudem s příslušnou rozhodovací pravomocí nebo správní agenturou shledáno neplatným nebo neprosaditelným, zůstanou ostatní podmínky této Smlouvy v platnosti a účinnosti po celou dobu platnosti platné Smlouvy.
D. Pokud Držitel licence a/nebo Stránky v souvislosti s touto Smlouvou používají objednávky, Držitel licence a/nebo Stránky souhlasí s tím, že se součástí takových objednávek automaticky stane následující prohlášení: „Součástí této objednávky jsou podmínky stanovené v Licenční smlouvě spol. EBSC, které nahrazují všechny výslovné či odvozené smluvní podmínky této objednávky, včetně veškerých jejích
obnovení.“
E. Tato Smlouva a naše Zásady ochrany osobních údajů představují úplnou dohodu a ujednání stran ohledně předmětu této Smlouvy a nahrazují veškeré předchozí písemné či ústní dohody a ujednání. Kromě toho, co je uvedeno v této Smlouvě a našich Zásadách ochrany osobních údajů, neexistují žádná jiná prohlášení, záruky, přísliby, úmluvy ani závazky.
F. Spol. EBSCO uděluje Držiteli licence nepřevoditelné právo používat jakékoli IP adresy poskytované spol. EBSCO Držiteli licence k použití se Službami. Spol. EBSCO nijak nepřevádí vlastnictví IP adres poskytovaných Držiteli licence. V případě ukončení licence Držitele licence ke Službám zaniká právo Držitele licence tyto IP adresy používat.
G. Veškeré informace shromažďované spol. EBSCO při přistupování, využívání nebo poskytování přístupu k Databázím a Službám Držitelem licence, podléhají Zásadám ochrany osobních údajů spol. EBSCO, které jsou do této Smlouvy odkazem zakomponovány. Přístupem k Databázím a/nebo Službám, nebo jejich používáním, vyjadřujete souhlas se všemi činnostmi spol. EBSCO souvisejícími s vašimi údaji v souladu se Zásadami ochrany osobních údajů.
DODATEK O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Tento Dodatek o zpracování osobních údajů (dále jen „Dodatek“) je účinný ode dne 25. května 2018 („Datum účinnosti Dodatku“) mezi spol. EBSCO Publishing, Inc. („Poskytovatelem služeb“) a Správcem osobních údajů („Zákazníkem“). Tento dodatek je uzavřen v souvislosti s podmínkami uvedenými v licenční smlouvě uzavřené mezi Poskytovatelem služeb a Zákazníkem (dále jen „Smlouva“). Všechny pojmy začínající velkým písmenem používané v tomto dokumentu, které nejsou definovány jinak, mají význam jim přidělený ve Smlouvě.
1. Definice
a. „Právní předpisy o ochraně osobních údajů“ znamenají obecné nařízení o ochraně osobních údajů 2016/679 (GDPR) a veškeré právní předpisy a/nebo nařízení provádějící GDRP nebo učiněné na jeho základě, nebo pozměňující, nahrazují, novelizující nebo konsolidující nařízení GDPR.
b. „zpracovatel osobních údajů“, „správce osobních údajů“, „subjekt údajů“,
„osobní údaje“, „zpracování“ a „vhodná technická a organizační opatření“ se vykládají v souladu s platnými právními předpisy o ochraně osobních údajů; a
c. „Služby“ mají význam stanovený ve Smlouvě (podle toho, co je relevantní).
2. Ochrana údajů
a. Ustanovení tohoto článku 1 se týkají osobních údajů zpracovávaných Poskytovatelem služeb při poskytování Služeb Zákazníkům. Poskytovatel služeb je zpracovatelem osobních údajů v souvislosti s osobními údaji jím zpracovávanými během poskytování Služeb Zákazníkovi. Zákazník je správcem osobních údajů v souvislosti s osobními údaji zpracovávanými zpracovatelem osobních údajů jeho jménem během poskytování Xxxxxx Xxxxxxxxxxx.
b. Předmětem zpracování osobních údajů je poskytování Služeb a zpracování bude prováděno dokud Poskytovatel služeb nepřestane Zákazníkovi Služby poskytovat.
Příloha 1 tohoto Dodatku obsahuje povahu a účel zpracování, typy
zpracování osobních údajů Poskytovatelem služeb a subjekty údajů, jejichž osobní údaje jsou zpracovávány.
c. Pokud Poskytovatel služeb během poskytování Služeb zpracovává osobní údaje, Poskytovatel služeb:
i. osobní údaje zpracovává pouze v souladu se zdokumentovanými pokyny Zákazníka (tak, jak jsou stanoveny v tomto Dodatku nebo ve Smlouvě nebo tak, jak budou Zákazníkem sděleny). Pokud budeme ze zákona povinni zpracovávat osobní údaje pro jakýkoli jiný účel, bude o tom Poskytovatel služeb Zákazníka předem informovat, pokud to nebude příslušným zákonem zakázáno;
ii. bude Zákazníka neprodleně informovat, pokud dle jeho názoru pokyn týkající se zpracování osobních údajů vydaný Zákazníkem bude porušovat platné právní předpisy o ochraně údajů;
iii. bude Zákazníkovi nápomocen při uvážení povahy zpracování:
1. příslušnými technickými a organizačními opatřeními a, pokud je to možné, při plnění povinností Zákazníka reagovat na žádosti subjektů údajů
uplatňujících svá práva;
2. při zajišťování plnění povinností podle článků 32 až 36 Obecného nařízení o ochraně údajů s přihlédnutím k informacím, které má Poskytovatel služeb k dispozici; a
3. zpřístupněním veškerých informací, které Zákazník důvodně požadoval za účelem prokázání, že byly splněny povinnosti Zákazníka týkající se jmenování zpracovatelů stanovené v článku 28 Obecného nařízení o ochraně údajů.
iv. zavede a bude udržovat v platnosti příslušná technická a organizační opatření na ochranu osobních údajů před neoprávněným nebo nezákonným zpracováním a před náhodnou ztrátou, zničením, poškozením, krádeží, změnou nebo zveřejněním. Tato opatření musí být přiměřená škodě, která by mohla vzniknout z jakéhokoli neoprávněného nebo nezákonného zpracování, náhodné ztráty, zničení, poškození nebo krádeže osobních údajů a musí odpovídat povaze osobních údajů, které mají být chráněny;
v. bez předchozího písemného souhlasu Zákazníka neposkytne přístup k osobním údajům, ani je nepřenese, žádné třetí straně za účelem jejich nezávislého použití touto třetí stranou (např. přímo nesouvisejícího s poskytováním Služeb). Poskytne-li Poskytovatel služeb osobní údaje zpracovatelům osobních údajů, kteří jsou třetí stranou zapojenou do poskytování Služby, Poskytovatel služeb do naší dohody
s jakýmkoli takovým zpracovatelem, který je třetí stranou, začlení takové podmínky, které pro vás budou přinejmenším stejně příznivé jako podmínky obsažené v tomto dokumentu a které jsou vyžadovány příslušnými právními předpisy o ochraně údajů;
vi. zajistí, aby pracovníci Poskytovatele služeb, kteří musí mít přístup k osobním údajům, byli v souvislosti s těmito osobními údaji vázáni závaznou povinností mlčenlivosti;
vii. s výjimkou případů uvedených v části C.5 výše nebo v souladu se zdokumentovanými pokyny Zákazníka (tak, jak je uvedeno v tomto Dodatku nebo Smlouvě nebo tak, jak bude nařízeno Zákazníkem), zajistí, aby žádný z pracovníků Poskytovatele služeb osobní údaje nezveřejnil, nesdělil či nevyzradil jakékoli třetí straně;
viii. po uplynutí nebo dřívějším ukončení Smlouvy, na písemnou žádost Zákazníka, tyto osobní údaje bezpečně zničí nebo vám je vrátí a zničí jejich existující kopie, pokud nebudou příslušné zákony vyžadovat jejich archivaci; a
ix. dle svého uvážení, umožní Zákazníkovi a jeho oprávněným zástupcům buď (i) přístup k aktuálním osvědčením, zprávám, nebo výpisům z nich, nezávislých subjektů (např. externích auditorů, interního auditu, auditorů ochrany údajů) nebo příslušným certifikátům, a jejich kontrolu pro zajištění dodržování podmínek tohoto Dodatku; nebo
(ii) provedení auditů nebo kontrol na základě vzájemné dohody stran, během doby platnosti Smlouvy, pro zajištění dodržování podmínek tohoto Dodatku v souladu s tímto článkem C.9. Bez ohledu na výše uvedené musí být jakýkoli audit prováděn během běžné pracovní doby Poskytovatele služeb, s přiměřeným oznámením předem Poskytovateli služeb a musí být zachovány odpovídající postupy související s důvěrností. Kromě toho se provádění auditů omezuje na četnost jednou ročně, pokud
(a) Poskytovatel služeb, během předchozích dvanácti (12) měsíců, nezaznamenal Narušení bezpečnosti tak, jak je definováno v tomto Dodatku; nebo (b) audit neodhalí významné neshody.
d. Pokud se Poskytovatel služeb dozví o jakémkoli náhodném, neoprávněném nebo protiprávním zničení, ztrátě, změně nebo sdělení nebo zpřístupnění osobních údajů Zákazníka, které jím jsou zpracovávány během Poskytování služeb, a tyto budou potvrzeny („Narušení bezpečnosti“), oznámí to Zákazníkovi ve lhůtě čtyřiceti osmi hodin.
e. Veškeré zpracování osobních údajů je rovněž chráněno certifikací Privacy Shield /štít soukromí/ Poskytovatele služeb. Poskytovatel služeb souhlasí s tím, že (i) bude udržovat svou certifikaci Privacy Shield v platnosti po celou dobu platnosti Smlouvy, za předpokladu, že tato certifikace Privacy Shield zůstane dle právních předpisů o ochraně osobních údajů platným základem pro zajištění přiměřené ochrany v souvislosti s přenosy osobních údajů mimo evropskou hospodářskou oblast, nebo (ii) ohledně zpracování těchto osobních údajů sjedná standardní smluvní doložky. Poskytovatel služeb Zákazníkovi neprodleně oznámí, pokud přestane udržovat, nebo bude očekávat zrušení nebo odebrání, nebo jiné zpochybnění regulačním orgánem, jeho statutu dle certifikace Privacy Shield, nebo pokud se rozhodne, že již nadále není schopen splňovat naše závazky dle Privacy Shield.
f. Před zpracováním osobních údajů Poskytovatelem služeb pro Zákazníka a jeho
uživatele se Zákazník zavazuje získat právní základ, který může zahrnovat souhlas, pro zpracování osobních údajů v souvislosti s poskytováním a používáním Služeb. Tento odstavec (f) je v souladu s článkem 6 GDPR nebo jinými platnými právními předpisy o ochraně údajů.
3. RŮZNÉ
V případě jakéhokoli rozporu nebo nesrovnalosti mezi ustanoveními Smlouvy a tohoto Dodatku mají přednost ustanovení tohoto Dodatku. Aby se předešlo pochybnostem a v rozsahu povoleném platnými zákony se bude veškerá odpovědnost podle tohoto Dodatku řídit příslušnými ustanoveními Smlouvy, včetně omezení odpovědnosti. S výjimkou zvláštních úprav a změn provedených v tomto Dodatku, zůstávají všechny podmínky, ustanovení a požadavky uvedené ve Smlouvě v platnosti a účinnosti a řídí se tímto Dodatkem. Pokud není v tomto Dodatku výslovně stanoveno jinak, nebudou žádné dodatky, změny nebo doplnění tohoto Dodatku závazné, pokud nebudou učiněny písemnou formou a podepsány řádně oprávněným zástupcem každé strany tohoto Dodatku. Pokud bude jakékoli ustanovení tohoto Dodatku soudním rozhodnutím shledáno nezákonným nebo nevynutitelným, bude takové ustanovení odděleno a bude neúčinné a zbývající část tohoto Dodatku zůstane pro strany účinná a závazná.
PŘÍLOHA 1: PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPOLEČNOSTI
Tato Příloha 1 obsahuje některé podrobnosti o zpracování osobních údajů společnosti tak, jak je vyžadováno článkem 28 odstavcem 3 Nařízení GDPR.
Předmět a doba zpracování osobních údajů společnosti
Pokud nebude písemně dohodnuto jinak, bude Poskytovatel služeb poskytovat Služby po dobu trvání Smlouvy.
Povaha a účel zpracování osobních údajů společnosti
Poskytovatel služeb bude zpracovávat veškeré osobní údaje, na něž se vztahuje tento Dodatek, tak, jak to bude zapotřebí pro poskytování Služeb podle Xxxxxxx a tak, jak může být dále nařízeno Zákazníkem
v rámci jeho využívání Služeb.
Typy osobních údajů společnosti, které budou zpracovávány
Tam, kde je to vhodné, si uživatelé dobrovolně mohou, avšak nejsou povinni, vytvořit personalizovaný účet. Tyto účty mohou shromažďovat následující omezené osobní údaje:
1. jméno;
2. emailová adresa;
3. heslo (v některých případech); a
4. bezpečnostní otázky s odpověďmi.
Kategorie subjektů údajů, kterých se osobní údaje společnosti týkají
Mezi subjekty údajů patří stávající koncoví uživatelé Zákazníka.
PŘÍLOHA 2: PODROBNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ SPOLEČNOSTI
Popis technických a organizačních bezpečnostních opatření zavedených Poskytovatelem služeb v souladu s Dodatkem:
Viz přiložená Bílá kniha o bezpečnosti.
Bílá kniha: Informace o bezpečnostních postupech
Úvod
Informační bezpečnost (IB) je ve společnosti EBSCO Information Services (spol. EBSCO) prioritou. Naší misí je začlenit postupy zajišťování bezpečnosti a řízení rizik do našich zásad, postupů a každodenních činností v organizaci. Tento přístup umožňuje náležitou péči o zajištění přiměřené ochrany informačních aktiv a systémů.
IB postupy a strategie spol. EBSCO zajišťují kontroly na více úrovních životního cyklu dat, od jejich příjmu po přístup k nim, jejich přenos a zničení.
Spol. EBSCO je mezinárodní korporací vyrábějící produkty a poskytující služby zákazníkům na mnoha trzích. Náš přístup a nástroje zvládnou rozdíly v požadavcích vyplývající z trhu nebo místního prostředí. Jsme oddáni zachovávání důvěrnosti, integrity a dostupnosti našich informačních aktiv.
Zásady a řízení informační bezpečnosti
Srdcem našeho programu IB jsou naše Zásady informační bezpečnosti spol. EBSCO. Tyto Zásady se týkají bezpečnostních témat v rámci celého životním cyklu informačních aktiv: od obecných rolí Zásad - outsourcing bezpečnostních kontrolních mechanismů, řízení změn, klasifikace dat, uchovávání a likvidace dat, papírová a elektronická média a požadavky na konfiguraci systému - až po specializovanější zásady zaměřené na antivirové programy, šifrování, zálohování, protokolování a fyzické zabezpečení. Naše Zásady jsou vyvíjeny ve spolupráci s Ředitelem pro informace (CIO) společnosti EBSCO, jakož i s týmy právního oddělení, informační bezpečnosti a řízení kontinuity obchodní činnosti spol. EBSCO. Za údržbu všech zásad informační bezpečnosti spol. EBSCO, zajišťování vývoje procesů pro bezpečný vývoj aplikací a hodnocení bezpečnosti a provádění auditů stávajících postupů za účelem zajištění souladu se Zásadami je odpovědné oddělení IB spol. EBSCO.
Tým informační bezpečnosti spol. EBSCO
IB tým spol. EBSCO je držitelem specifických certifikací (ISC2, SANS/GIAC) se specializací na informační systémy, analýzu a prevenci narušení, nakládání s incidenty, počítačovou kriminalitu a dlouholetými zkušenostmi s osvědčenými postupy v oblasti zabezpečení.
Tento tým je odpovědný za vývoj strategie a přístupů k dosažení cílů v souladu s požadovaným postojem spol. EBSCO k zajišťování informační bezpečnosti. EIS InfoSec také odpovídá za vývoj, zajišťování a/nebo dohled nad informačními zásadami, standardy, směrnicemi, strategiemi a postupy; pro provádění hodnocení rizik; pro řízení incidentů a pro poskytování interních/externích hlášení.
V neposlední řadě IB neustále vyhodnocuje účinnost probíhajících bezpečnostních provozních procesů a sleduje dodržování interních a externích požadavků. Základním prvkem našeho přístupu k ochraně našich informačních aktiv je proto soustavné provádění školení a zajišťování informovanosti o zásadách a postupech v oblasti informační bezpečnosti na všech personálních úrovních spol. EBSCO. Spol. EBSCO například stále zdokonaluje své postupy v následujících oblastech:
• Vzdělávání o zásadách a postupech spol. EBSCO v oblasti informační bezpečnosti
• Školení a informovanost o IB na základě rolí a odpovědností, o předávání a zabezpečení informačních aktiv
• Cílená diskuse o informační bezpečnosti a prezentace na témata související s bezpečností
• Přístup týmu IB do komunit a organizací pro informační bezpečnost, jako jsou SANS, IAPP, BCI, DRI atd., a členství v nich
• Komunikace IB pracovníkům spol. EBSCO ohledně nejnovějších hrozeb, postupů, pokynů atd.
Ochrana informačních aktiv
Bezpečnostní zásady spol. EBSCO obsahují řadu postupů pro předcházení hrozbám a řízení infrastruktury, včetně následujících:
Řízení incidentů
Spol. EBSCO má přístup k řízení incidentů zajišťující odpovídající řešení bezpečnostních problémů. To zahrnuje zajištění dodržování postupů pro reakci na incidenty s cílem omezení či odstranění jakékoli hrozby nebo problému, náležitou péči při vyšetřování a hlášení incidentu, přijetí vhodných kroků k zotavení se z incidentu a, v případě potřeby, přijetí vhodných kroků k předání problému vyššímu vedení, orgánům činným v trestním řízení nebo jiným klíčovým zainteresovaným osobám. Události přímo ovlivňující zákazníky mají nejvyšší prioritu.
Po události je pro určení hlavní příčiny události, bez ohledu na hrozbu, prováděno posouzení, za účelem pochopení, zda byla daná příčina jednorázová, nebo zda se jednalo o trend, a za účelem úpravy reakce nebo zabránění opakování.
Pro zjištění efektivnosti postupů a pochopení protokolu zúčastněnými stranami jsou podle potřeby prováděny postupy pro řízení incidentů - na základě scénářů hrozeb (např. hrozba zevnitř, phishing, sociální inženýrství, zranitelnost softwaru).
Monitoring
Spol. EBSCO ve svých prostředích za účelem identifikace, sledování, monitoringu a hlášení příslušných rizik, zranitelných míst (např. dostupnost hostitele, doba odezvy aplikace, bezpečnostní události, atd.) provádí monitoring za použití více nástrojů (kombinace open source a komerčních nástrojů). Monitorovací nástroje jsou nastaveny tak, aby pracovníkům spol. EBSCO kontrolujícím a vyhodnocujícím systémové protokoly za účelem identifikace škodlivé činnosti hlásily poplachy a upozornění. Průběžná analýza napříč prostředími napomáhá identifikovat potenciální hrozby, které jsou předávány pracovníkům týmu IB spol. EBSCO.
Řízení zranitelných míst
Tým IB spol. EBSCO pomocí komerčních, automatizovaných a manuálních metod vyhledává bezpečnostní hrozby. Tento tým je také odpovědný za sledování a řešení případně zjištěných zranitelných míst. Tým je schopen skenovat prostředí (interní i externí) a je informován o nových systémech v našem prostředí.
Jakmile technologický tým a tým IB spol. EBSCO identifikují zranitelné místo, je mu podle závažnosti a dopadu stanovena priorita a pak je odpovídajícím způsobem opraveno. Tým IB spol. EBSCO sleduje rizika a zranitelná místa až do jejich nápravy.
Prevence, detekce a náprava malwaru
Spol. EBSCO pro řešení rizik malwaru a phishingu používá několik nástrojů (např. firewally, antivirové programy, zálohy, automatické a manuální skenování, informování koncových uživatelů). Tým IB spol. EBSCO pravidelně vyhodnocuje nové technologie určené ke snížení rizika malwaru a Advance Persistent Threats (APT) /pokročilých trvalých hrozeb/ tak, aby byla proti těmto rizikům zajištěna co největší ochrana.
Zabezpečení sítě
Pro zabezpečení informací v naší správě spol. EBSCO využívá vícevrstevnou ochranu, včetně ochrany perimetru sítě před vnějšími útoky - přístup k systémům a službám spol. EBSCO umožňuje pouze autorizovaným službám a protokolům.
Mezi bezpečnostní strategie spol. EBSCO v oblasti zabezpečení sítě patří mimo jiné segregace sítě (např. výroba vs. testování, DMZ, poskytování služeb vs. společnost).
Bezpečnost aplikací
Ke zmírnění nejnovějších hrozeb a útoků spol. EBSCO využívá technologie nové generace a firewally, jako například:
• využití Zero Day
• útoky webových aplikací (OWASP Top10)
• útoky „Brute Force“ a „Low and Slow“
• škrábání webu/sklizeň obsahu
• Phishing / Spear Phishing
• aktivita Botnet/SpamBot
• známé škodlivé zdroje/činitele
Spol. EBSCO využívá tyto technologie ve spojení s komerčními zpravodajskými informacemi o hrozbách, za účelem vytvoření komplexního řešení pro detekci a zmírňování cílených aplikačních útoků dříve, než budou mít šanci uspět.
Logický přístup k systému
Spol. EBSCO má kontrolní mechanismy a postupy k ochraně bezpečnosti informací o zákaznících a zaměstnancích. Spol. EBSCO má detailní zabezpečení logického přístupu. K udělení přístupu zaměstnancům na základě jim přidělené funkce a odpovědnosti za práci je používán skupinový přístup.
Každému uživateli systému je přiděleno jedinečné identifikační číslo a heslo a uživatelé musí před
vytvořením nového hesla zadat své aktuální heslo.
Likvidace médií
Spol. EBSCO pro likvidaci médií využívá kombinaci interních procesů a dodavatelů, kteří jsou třetími stranami. Zničení je prováděno podle klasifikace informačního majetku a požadavků na uchovávání informací. Od externích třetích stran jsou dle potřeby získávány osvědčení o zničení.
Ovládací prvky protokolování
Zásady spol. XXXXX stanoví, že všechny protokoly událostí musí být shromažďovány a chráněny před neoprávněným přístupem. Prohlížení protokolů probíhá pouze podle potřeby. Protokoly jsou dále chráněny systémem monitorování integrity souborů, který oddělení IB upozorňuje na neautorizovaný přístup a změny.
Personální kontrolní mechanismy
Zaměstnanci spol. EBSCO jsou povinni jednat způsobem, který je v souladu s pokyny společnosti týkajícími se důvěrnosti, obchodní etiky, vhodného použití a profesionálních standardů.
Spol. EBSCO bude ověřovat vzdělání a předchozí zaměstnání jednotlivce a provádět interní a externí referenční kontroly. Pokud to místní zákony nebo zákonné regulační předpisy umožňují, může spol. EBSCO provádět také trestní, úvěrové, imigrační a bezpečnostní prověřování. Rozsah prověřování pozadí závisí na požadované pozici.
Po přijetí pracovního poměru se spol. EBSCO jsou všichni zaměstnanci povinni uzavřít dohodu o zachování důvěrnosti, kterou se zadokumentuje přijetí a dodržování zásad spol. EBSCO.
Ve spol. EBSCO jsou za informační bezpečnost odpovědní všichni zaměstnanci. V rámci této odpovědnosti jsou pověřeni sdělováním problémů s bezpečností a ochranou soukromí určenému managementu v oddělení technologií, IB a/nebo CIO.
Fyzická a environmentální bezpečnost
Spol. EBSCO má zásady, postupy a infrastrukturu zajišťující fyzickou bezpečnost jejích datových center i prostředí, ve kterém tato datová centra fungují. Tyto zahrnují:
Kontrolní mechanismy pro fyzickou bezpečnost
Datová centra spol. EBSCO využívají řadu fyzických bezpečnostních opatření. Technologie a bezpečnostní mechanismy používané v těchto zařízeních se mohou lišit v závislosti na místních podmínkách, jako je umístění budovy a regionální rizika. Standardní kontrolní mechanismy pro fyzickou bezpečnost zavedené v datových centrech spol. EBSCO zahrnují následující:
• systémy kontroly přístupu elektronickými kartami
• detektory vniknutí a alarmy
• kontrola výpočetního inventáře
• vnitřní a vnější kamery
• nepřetržitý přístup ostrahy
Přístup do oblastí, ve kterých jsou nainstalovány nebo uloženy systémy nebo komponenty systému, je oddělen od běžných kanceláří a veřejných prostor, jako jsou lobby. Kamery a alarmy pro každou z těchto oblastí jsou centrálně monitorovány. Záznamy o činnosti a kamerové záznamy jsou dle potřeby uchovávány pro pozdější shlédnutí.
Přístup do všech zařízení datového centra je omezen na oprávněné zaměstnance spol. EBSCO, schválené návštěvy a schválené třetí strany, jejichž úkolem je provozovat datové centrum. Spol. EBSCO předkládá zásady přístupu a postupy návštěvám, třetím stranám a zaměstnancům, kteří obvykle nemají přístup do zařízení datových center, k potvrzení. Spol. EBSCO kontroluje, kdo má pravidelný přístup do jejích datových center.
Spol. EBSCO omezuje přístup do svých datových center podle pozic.
Environmentální kontrolní mechanismy
• Energie a média - datová centra spol. EBSCO mají záložní zdroje elektrické energie, které zahrnují záložní generátory i více dodavatelů energie, služeb a
systémů. Náhradní zdroje elektrické energie dodávají energii, dokud nejsou zapnuty záložní dieselové generátory a dokud tyto nejsou schopny nouzově dodávat elektrickou energii na plný výkon, podle potřeby, a záložní dodavatelé nebo více dodavatelů paliva, různě geograficky rozmístění, v případě potřeby umožňují nepřetržitý provoz.
• Řízení klimatu - spol. EBSCO má záložní chladicí systémy pro řízení prostředí svých datových center.
• Detekce požáru, požární ochrana a potlačení požáru - mezi systémy požární ochrany spol. EBSCO patří požární poplachové systémy, automatická detekce požáru a systémy pro hašení požáru. Pokud v našich datových centrech dojde k požáru, aktivují se optické a zvukové alarmy a je iniciován postup řádné reakce, který zahrnuje automatickou reakci a použití fyzických hasicích přístrojů umístěných v našich datových centrech.