Daftar Perjanjian Privasi dan Keamanan Data HPE Layanan Dukungan dan Profesional HPE (“Layanan”)

Daftar Perjanjian Privasi dan Keamanan Data HPE Layanan Dukungan dan Profesional HPE (“Layanan”)

Lampiran Perjanjian Privasi dan Keamanan Data HPE (Data Privacy and Security Agreement - "DPSA") ini mengatur privasi dan keamanan Data Pribadi oleh HPE sehubungan dengan Layanan atas nama Pelanggan dan dibuat sebagai bagian dari perjanjian antara HPE dan Pelanggan, atau jika tidak ada perjanjian, syarat dan ketentuan standar HPE (“Perjanjian”).

1. DPSA ini merupakan bagian dari Perjanjian. Sejauh ada konflik apa pun antara ketentuan DPSA ini dan Perjanjian, DPSA akan didahulukan.

2. Definisi:

2.1. “Data Pribadi” atau “Data Pribadi Pelanggan” berarti informasi (Pelanggan) apa pun yang berkaitan dengan suatu orang yang teridentifikasi atau dapat diidentifikasi atau lainnya sebagaimana ditentukan oleh UU Privasi yang berlaku.

2.2. “Data Kontak Bisnis” berarti informasi kontak dari perwakilan Pelanggan untuk pembuatan faktur, penagihan, dan keperluan bisnis lainnya, (ii) informasi tentang penggunaan Layanan oleh Pelanggan, dan (iii) informasi lain yang HPE kumpulkan dan butuhkan untuk berkomunikasi dengan Pelanggan.

2.3. “UU Privasi” berarti semua hukum dan peraturan yang berlaku untuk Pemrosesan Data Pribadi dan privasi yang mungkin ada dalam jurisdiksi yang relevan.

2.4. “Pengontrol” berarti orang, otoritas publik, agensi, atau lembaga apa saja yang secara sendirian atau bersamaan dengan yang lain menentukan tujuan dan arti dari Pemrosesan Data Pribadi sesuai dengan UU Privasi yang berlaku.

2.5. “Prosesor” berarti orang, otoritas publik, agensi, atau badan lain yang Memproses Data Pribadi atas nama Pengontrol atau sesuai instruksi dari Prosesor lain yang bertindak atas nama Pengontrol.

2.6. “Proses,” “Memproses,” atau “Terproses” berarti suatu operasi atau rangkaian operasi yang dilakukan pada Data Pribadi baik dengan cara otomatis atau tidak (termasuk, tanpa terbatas pada, mengakses, mengumpulkan, merekam, mengatur, menyimpan, mempertahankan, mengadaptasikan atau mengubah, mengambil, mengonsultasikan, menggunakan, mengungkapkan, menyediakan, mensejajarkan, menggabungkan, memblokir, menghapus, dan menghancurkan Data Pribadi) dan segala definisi yang sebanding dalam UU Privasi sejauh definisi itu dapat memodifikasi definisi ini.

2.7. “Kategori Data Spesial“ berarti Data Pribadi Pelanggan yang berhubungan dengan asal ras/etnik, opini politik, agama atau aliran kepercayaan, keanggotaan serikat dagang, kesehatan fisik atau mental, kehidupan seksual, data biometrik (apabila digunakan dengan tujuan mengidentifikasi individu secara unik) atau data genetik dari suatu individu.

3. Penunjukan dan Instruksi:

3.1. HPE akan Memproses Data Pribadi Pelanggan sesuai kebutuhan untuk menyediakan Layanan dan memenuhi kewajiban HPE sesuai DPSA ini, Perjanjian, dan UU Privasi yang berlaku sebagai penyedia layanan dan Prosesor Data Pribadi Pelanggan. Detail Pemrosesan termasuk topik bahasan, tujuan, dan durasi Pemrosesan jenis data pribadi dan kategori data ditentukan dalam Exhibit A.

3.2. HPE akan Memproses Data Pribadi Pelanggan sesuai dengan instruksi Pelanggan seperti yang ditentukan dalam DPSA ini, Perjanjian, atau instruksi terdokumentasi lain antara HPE dan Pelanggan. Biaya dan ongkos potensial yang berkaitan dengan instruksi tambahan itu akan disetujui sesuai dengan ketentuan Perjanjian ini.

3.3. HPE dapat Memproses Data Pribadi Pelanggan selain dari instruksi Pelanggan jika diwajibkan kepada HPE oleh hukum yang berlaku. Dalam situasi ini, HPE akan memberi tahu Pelanggan tentang persyaratan tersebut sebelum HPE Memproses Data Pribadi Pelanggan kecuali hukum melarang hal ini dikarenakan adanya kepentingan umum. Jika HPE tidak dapat mematuhi instruksi Pelanggan atau DPSA ini dikarenakan perubahan peraturan atau, jika HPE percaya (tanpa harus melakukan analisis hukum komprehensif) bahwa segala instruksi dari Pelanggan akan melanggar

hukum yang berlaku atau alasan lain apa pun, HPE akan segera memberi tahu Pelanggan secara tertulis.

3.4. HPE mengakui bahwa HPE tidak memiliki hak, berhak, atau kepentingan pada Data Pribadi Pelanggan (termasuk semua hak kekayaan intelektual atau informasi proprietary yang termuat di dalamnya). HPE tidak akan menjual, menyewakan, atau meleasing Data Pribadi Pelanggan kepada siapa pun.

3.5. Jika Pelanggan menggunakan Layanan untuk Memproses segala kategori data yang tidak secara tegas tercakup oleh DPSA ini, Pelanggan bertindak atas risikonya sendiri dan HPE tidak akan bertanggung jawab atas segala ketidakmampuan kepatuhan potensial yang terkait dengan penggunaan tersebut.

4. Kepatuhan pada hukum

4.1. Para pihak akan setiap saat mematuhi kewajibannya masing-masing sesuai DPSA ini dan UU Privasi yang berlaku untuk pemrosesan masing-masing terhadap Data Pribadi. Juga, jika HPE berinteraksi dengan Informasi Kesehatan yang Dilindungi seperti ditentukan oleh UU Privasi dan Portabilitas Asuransi Kesehatan, para pihak setuju untuk mematuhi ketentuan Perjanjian Rekan Bisnis yang ada di xxx.xxx.xxx/xxxx/xxxxxxxx-xxxxxxx.xxxx.

4.2. HPE juga akan mematuhi semua hukum dan kebijakan privasi yang berlaku sehubungan dengan Pemrosesan Data Kontak Bisnis dan penggunaan Data Kontak Bisnis hanya untuk tujuan bisnis yang sah, termasuk, tanpa terkecuali, pembuatan faktur, penagihan, pengawasan dan optimasi penggunaan layanan, peningkatan layanan, pemeliharaan, dukungan, layanan profesional, komunikasi yang berkaitan dengan pembaruan kontrak (secara langsung atau melalui subprosesor yang bertindak atas nama HPE atau reseller yang disetujui HPE untuk tujuan pembaruan kontrak), dan informasi tentang layanan baru dan tambahan.

4.3. Ketika HPE mengungkap data pribadi personilnya kepada Pelanggan atau personel HPE memberikan data pribadinya secara langsung kepada Pelanggan, yang Pelanggan Proses untuk mengelola penggunaannya sendiri terhadap Layanan, Pelanggan akan memproses data tersebut sesuai dengan kebijakan privasi dan UU Privasi yang berlaku. Pengungkapan semacam itu hanya akan dilakukan oleh HPE jika sesuai hukum untuk tujuan manajemen kontrak, manajemen layanan, atau tujuan verifikasi screening latar belakang atau keamanan yang wajar dan sesuai hukum dari Pelanggan.

5. Keamanan

5.1. HPE akan menerapkan dan memelihara tindakan keamanan fisik, teknis, dan keorganisasian yang ditetapkan di dalam Exhibit A, sebagaimana dapat ditambahkan atau diubah dalam dokumen transaksi yang berlaku, untuk melindungi Data Pribadi Pelanggan dan Data Kontak Bisnis terhadap kehancuran yang tidak disengaja atau melawan hukum atau kerugian, perubahan, pengungkapan yang tidak diizinkan, atau akses yang merupakan ketidaksengajaan.

5.2. Pelanggan mengakui bahwa HPE dapat mengubah tindakan keamanan melalui adopsi teknologi keamanan baru atau yang ditingkatkan dan mengizinkan HPE untuk membuat perubahan tersebut sepanjang tidak mengurangi tingkat perlindungan. HPE akan menyediakan informasi tindakan keamanan terbaru yang berlaku untuk Layanan yang tersedia kepada Pelanggan ketika diminta.

6. Sub-pemrosesan dan Lokasi Pemrosesan

6.1. Pelanggan mengizinkan HPE untuk melibatkan subprosesor berafiliasi dan yang tidak berafiliasi (“Subprosesor”) untuk melakukan beberapa atau semua kewajibannya sesuai Perjanjian. Hanya jika dibutuhkan untuk menyediakan Layanan, HPE akan menyediakan akses untuk Sub- pemrosesnya kepada Data Pribadi Pelanggan.

6.2. Sub-pemrosesan yang tersedia untuk Layanan dan lokasi pemrosesan dapat ditemukan di xxx.xxx.xxx/xxxx/xxxxxxxx-xxxxxxx.xxxx dan dianggap disetujui oleh Pelanggan. Pelanggan akan subscribe ke alat notifikasi HPE di situs web di atas, dan ketika terjadi perubahan kepada Sub- pemrosesan yang disetujui, HPE akan memberi tahu Pelanggan melalui alat subskripsi pemberitahuan. Pelanggan mengajukan keberatan kepada penunjukan atau penggantian Subprosesor setiap saat, dan para pihak akan menggunakan segala upaya yang wajar untuk menyelesaikan keberatan Pelanggan. Jika para pihak gagal menyelesaikan keberatan Pelanggan

dalam jangka waktu yang wajar, urusan itu akan ditangani sesuai dengan prosedur penyelesaian perselisihan di dalam Perjanjian. Jika HPE dan pelanggan gagal menyetujui resolusi secara mufakat tentang perubahan subprosesor yang diusulkan, HPE berhak menghentikan kontrak tanpa kewajiban lebih lanjut.

6.3. HPE akan melakukan uji kepatutan yang sesuai terhadap Subprosesornya dan membuat kontrak yang valid, dapat ditegakkan, dan tertulis bersama Subprosesor yang mewajibkan Subprosesor mematuhi ketentuan yang memiliki tingkat perlindungan yang sebanding dengan yang ada di dalam DPSA ini tentang Pemrosesan dan perlindungan Data Pribadi Pelanggan (termasuk ketentuan Kontrak Model UE yang terkait dengan importir data dalam kasus transfer Data Pribadi UE, EEA, atau Swiss ke negara yang tidak dianggap tidak sesuai).

6.4. HPE tetap bertanggung jawab terhadap tindakan atau pengabaian dari afiliasi dan Subprosesor yang dilibatkannya untuk menyediakan Layanan kepada Pelanggan yang menyebabkan pelanggaran DPSA ini seakan-akan itu adalah tindakan atau pengabaiannya sendiri.

7. Audit dan Penjaminan

7.1. HPE akan mengatur audit praktik Pemrosesan dan perlindungan data HPE untuk mengonfirmasi kepatuhan kepada UU Privasi yang berlaku dengan auditor pihak ketiga terkemuka dan memberi Pelanggan rangkuman laporan dan informasi tambahan sesuai permintaan.

7.2. Pelanggan berhak melakukan audit tambahan terhadap kepatuhan HPE dengan kewajibannya sesuai DPSA ini yang sesuai dengan Perjanjian. Hak audit secara umum dilakukan berdasarkan konsultasi dengan HPE. HPE berkewajiban membantu Pelanggan dalam audit tersebut dan segala audit dari pihak yang berkompeten. Audit-audit ini harus dilakukan dengan mempertimbangkan proses bisnis dan kebutuhan HPE untuk keamanan dan kerahasiaan.

7.3. Informasi tertentu tentang standar dan praktik keamanan HPE merupakan informasi rahasia yang sensitif yang tidak akan diungkap oleh HPE kepada Pelanggan. Ketika diminta, HPE setuju untuk merespons, tidak lebih dari satu kali per tahun, kuesioner keamanan informasi yang wajar terkait praktik keamanan yang khusus untuk Layanan yang disediakan sesuai dokumen ini.

7.4. Berdasarkan permintaan Pelanggan, HPE akan, dalam kerangka waktu yang wajar, menyediakan informasi yang tepat kepada Pelanggan untuk menunjukkan kepatuhannya kepada UU Privasi, kecuali ketika informasi itu sudah tersedia kepada Pelanggan langsung melalui penggunaan Layanan.

8. Menyediakan Bantuan Pelanggan

8.1. Sesuai permintaan Pelanggan, HPE akan bekerja sama dengan Pelanggan dan menyediakan bantuan yang dibutuhkan kepada Pelanggan untuk memfasilitasi Pemrosesan Data Pribadi Pelanggan yang sesuai dengan UU Privasi yang berlaku untuk Pelanggan sehubungan dengan Layanan HPE, termasuk misalnya:

8.1.1.membantu Pelanggan dengan menerapkan tindakan teknis dan keorganisasian yang wajar, sejauh memungkinkan, untuk membantu kewajiban Pelanggan untuk menjawab permintaan dari individu yang ingin menggunakan haknya sesuai UU Privasi yang berlaku untuk Pelanggan;

8.1.2.menyediakan bantuan yang wajar kepada Pelanggan dalam penerapan dan penilaian tindakan teknis dan keamanan yang sesuai dari Pelanggan untuk memastikan tingkat keamanan yang sesuai dengan risiko yang dimiliki oleh Pemrosesan dan sifat dari Data Pribadi Pelanggan;

8.1.3.notifikasi Insiden Keamanan sesuai dengan Exhibit A;

8.1.4.menyediakan bantuan yang wajar kepada Pelanggan saat melakukan penilaian dampak privasi.

8.2. Jika Pelanggan meminta kerjasama atau bantuan sesuai dengan Bagian ini, Pelanggan akan memberi tahu HPE secara tertulis tentang kebutuhan itu dan memformulasikan instruksi dari Pelanggan. HPE akan menanggapi dalam jangka waktu yang wajar dan memberi Pelanggan estimasi waktu dan biaya untuk penerapan segala perubahan yang dibutuhkan untuk mengakomodasi kebutuhan kepatuhan Pelanggan. Sejauh kepatuhan kepada Bagian ini menjadi bagian dari perubahan terhadap cakupan Layanan, para pihak akan, bertindak secara wajar, menyetujui perintah perubahan yang sesuai.

9. Kualitas Data, Pengambilan dan Penghancuran, Perbaikan, atau Layanan Penggantian

9.1. Sejauh Pelanggan tidak dapat mengakses Data Pribadi Pelanggan sendiri, HPE akan, atas permintaan Pelanggan secara tertulis (i) memperbarui, mengoreksi, atau menghapus Data Pribadi Pelanggan; dan/atau (ii) menyediakan salinan dari Data Pribadi Pelanggan.

9.2. Saat Perjanjian berakhir, HPE akan, atas pilihan Pelanggan, mengembalikan atau menghapus Data Pribadi Pelanggan dan HPE tidak akan menyimpan salinan dari Data Pribadi Pelanggan kecuali disetujui bersama Pelanggan atau ketika diharuskan melakukan itu oleh hukum yang berlaku, dan dalam hal itu HPE akan berhenti secara aktif Memproses data dan mempertahankan keamanan dan kerahasiaan data.

9.3. Terkait perbaikan atau penggantian data carrier (server, hard-disk, SSD, flash-disk, memory, dll.), Pelanggan akan membeli Layanan (C)DMR opsional atau menghapus dengan benar (sesuai standar NIST) carrier sebelum meneruskannya kepada HPE.

10. Transfer Data

10.1.Untuk menangani transfer dari Data Pribadi UE, EEA, atau Swiss oleh Pelanggan atau oleh afiliasi Pelanggan kepada HPE atau afiliasi HPE yang berlokasi di suatu negara yang tidak disetujui oleh Komisi Eropa dalam hal penyediaan perlindungan yang mencukupi untuk data pribadi sesuai dengan Article 25(6) dari Directive 95/46/EC or Article 45(3) dalam the General Data Protection Regulation, Pelanggan dapat mengandalkan Aturan Korporat Yang Mengikat HPE untuk Prosesor (BCR-P), yang saat ini tersedia untuk Layanan Pendukung HPE atau pelaksanaan Kontrak Model UE pengontrol ke prosesor (“Kontrak Model EU”). Daftar Layanan yang tunduk kepada HPE BCR-P tercantum dalam website BCR di xxxxx://xxx.xxx.xxx/xx/xx/xxxxxxx/xxxxxxx-xxxxxxxxx-xxxxx.xxxx dan/atau daoat diberikan berdasarkan permintaan.untuk Layanan lainnya.

10.2.Untuk transfer BCR-P, HPE (dan perusahaan HPE dan Subprosesor lainnya yang diijinkan oleh Pelanggan untuk Memproses Data Pribadi sesuai dengan Pasal 4 DPSA) dapat menerima transfer Data Pribadi ke negara manapun sesuai dengan BCR-P. Pelanggan harus memastikan bahwa, jika transfer termasuk Kategori Data Spesial, subyek data tersebut telah diberitahu mengenai transfer tersebut atau akan diberitahukan sebelum transfer terjadi, bahwa Kategori Data Spesial dapat ditransmisikan ke negara lain. BCR-P akan mengikat Pelanggan melalui hak-hak pihak ketiga yang tercantum dalam Pasal 4.1 dari BCR-P yang termasuk hak untuk menerapkan BCR-P terhadap HPE. BCR-P termasuk perjanjian antar-perusahaan dan kebijakan serta prosedur yang berlaku yang membentuk Aturan Korporat Mengikat HPE untuk Prosesor (BCR-P) sebagaimana berlaku bagi Pelanggan dan sebagaimana dikembangkan, diubah atau diperbaharui oleh HPE dari waktu ke waktu sesuai dengan Dokumen Kerja yang diadopsi oleh Pasal 29 dari Pihak Kerja (dan secara subsekuen Dewan Perlindungan Data Eropa). Salinan dari dokumentasi yang terdiri dari BCR-P, yang dimasukkan dengan referensi dan merupakan bagian integral dari DPSA ini, tersedia untuk Pelanggan atas permintaan tertulis. Pelanggan harus memberitahukan subyek data mengenai adanya Prosesor diluar EU/EEA/Switzerland dan ketergantungan Pelanggan terhadap BCR-P sebagaimana diharuskan berdasarkan Undang-undang Privasi dan menyediakan kepada subyek data berdasarkan permintaan, tautan ke Pemberitahuan Hak BCR HPE di xxxxx://xxx.xxx.xxx/xx/xx/xxxxxxx/xxxxxxx-xxxxxxxxx-xxxxx.xxxx.

10.3.Untuk transfer Kontrak Model UE, HPE dengan ini memberikan Pelanggan hak untuk mendapatkan manfaat dari, dan Pelanggan dengan ini setuju untuk terikat pada, Kontrak Model UE yang ditandatangan oleh HPE dengan Subprosesor seakan-akan Pelanggan menandatangani Kontrak Model UE tersebut sebagai pengontrol.

10.3.1 Saat menginterpretasikan Kontrak Model UE, istilah “Negara Anggota tempat eksportir data didirikan” akan diinterpretasikan sebagai (sesuai ketepatan) Swiss atau negara anggota UE atau EEA tempat Eksportir Data (seperti ditetapkan di dalam Kontrak Model UE) didirikan.

10.3.2 Jika ada perselisihan apa pun antara Kontrak Model UE, ketentuan di dalam DPSA ini, dan Perjanjian, sejauh HPE Memproses Data Pribadi warganegara EEA atau Swiss, Kontrak Model UE akan didahulukan tetapi hanya sejauh dibutuhkan untuk menyelesaikan konflik atau ketidakkonsistenan.

10.3.3 Segala audit yang sesuai dengan Kontrak Model UE akan dijalankan sesuai dengan prosedur umum untuk audit yang diberikan di dalam Perjanjian dan Exhibit A kecuali sejauh dinyatakan wajib oleh pihak berwenang atau UU Privasi. Pelanggan akan menggunakan upaya komersial yang wajar

untuk memberi tahu pihak otoritas tentang kebutuhan audit dari Perjanjian dan meminta audit itu dilakukan sesuai dengan persyaratan itu.

10.3.4 Segala kerugian yang ditanggung oleh para pihak atau afiliasinya sesuai Kontrak Model UE akan diperlakukan seolah-olah ditanggung oleh Pelanggan atau HPE secara berurutan dan akan dalam kasus apa pun dicakup oleh Pelanggan atau HPE sesuai batasan dari tanggung jawab pihak tersebut di dalam Perjanjian. Tidak ada apapun di dalam Bagian ini yang akan membatasi tanggung jawab dari masing-masing pihak dalam hal klaim subjek data sesuai Kontrak Model UE.

10.3.5 Ketika Kontrak Model UE tidak lagi menjadi mekanisme transfer yang valid atau ketika HPE melakukan mekanisme transfer alternatif yang valid (mis. Aturan Korporat yang Mengikat Untuk Prosesor), HPE akan memberi tahu Pelanggan tentang mekanisme itu dan meminta persetujuan dari Pelanggan untuk menggunakan mekanisme ini alih-xxx Xxxxxxx Model UE.

Exhibit A - Pemrosesan Data Layanan Dukungan dan Profesional

Dalam Exhibit ini, HPE menjelaskan istilah khusus untuk Layanan, termasuk komitmennya kepada tindakan keamanan teknis dan keorganisasian untuk melindungi Data Pribadi Pelanggan.

HPE melakukan Pemrosesan Data Pribadi berikut sebagai bagian dari Layanan Sebagai bagian dari layanan dukungan pemeliharaan perangkat lunak dan perangkat keras dan layanan profesional ditempat dan dari jauh, HPE dapat mengakses data yang tersimpan di dalam aplikasi bisnis Pelanggan (termasuk metadata), IT, dan infrastruktur jaringan. Data ini dapat termasuk Data Pribadi Pelanggan.

Jenis Data Pribadi Pelanggan yang Diproses Jenis data pribadi yang diproses akan bergantung pada data yang disimpan Pelanggan di dalam aplikasi bisnis (termasuk metadata), IT, dan infrastruktur jaringan, dan dapat menyertakan data pribadi yang sensitif.

Kategori Subjek Data Subjek data apa pun yang Data Pribadinya disimpan oleh Pelanggan di dalam aplikasi bisnis (termasuk metadata), IT, dan infrastruktur jaringan termasuk, tanpa terbatas pada, klien Pelanggan, pengguna akhir, karyawan, kontraktor, dan pekerja sementara.

Durasi Pemrosesan HPE akan memproses Data Pribadi Pelanggan selama durasi dokumen transaksi yang berlaku.

Tindakan Keamanan HPE akan mempertahankan informasi dan program keamanan fisik berikut ini untuk perlindungan Data Pribadi Pelanggan (“Program Keamanan HPE”).

1.1. Sebagai bagian dari Program Keamanan HPE, HPE melakukan tinjauan berkala terhadap praktik keamanan dibanding standar industri, seperti XXXX, XXX 00000, dan SOC. HPE secara berkala mengevaluasi ulang dan memperbaharui Program Keamanan HPE sesuai perubahan industri, teknologi baru yang muncul, atau ancaman baru yang teridentifikasi.

1.2. Program Keamanan HPE terdiri setidaknya dari yang berikut ini:

1.2.1. HPE mempertahankan standar keamanan fisik yang dirancang untuk menangkal akses fisik tanpa izin ke dalam fasilitas dan perlengkapan HPE menggunakan praktik berikut ini:

• akses fisik ke lokasi yang khusus terbatas untuk karyawan HPE, subkontraktor, dan tamu berizin;

• Karyawan HPE, subkontraktor, dan tamu berizin diberi kartu identifikasi yang harus dikenakan selama berada di dalam lokasi;

• mengawasi akses ke dalam fasilitas HPE, termasuk area dan peralatan terbatas di dalam fasilitas;

• akses ke pusat data tempat Data Pribadi Pelanggan yang di-hosting dicatatkan, diawasi, dan dilacak; dan

• pusat data diamankan dengan sistem alarm dan kamera video.

1.2.2. HPE mempertahankan standar berikut untuk kontrol akses dan administrasi dari lingkungan IT yang relevan.

• akun administrator hanya bisa digunakan untuk tujuan melakukan aktivitas administratif;

• setiap akun dengan hak khusus administratif harus dapat dilacak ke individu yang dapat diidentifikasi secara unik;

• semua akses ke komputer dan server harus diotentikasikan dan di dalam cakupan fungsi pekerjaan karyawan;

• kata sandi inisial harus diubah oleh pengguna pada penggunaan pertama;

• tampilan dan pencetakan kata sandi harus disamarkan, ditekan, atau dikaburkan sehingga pihak tidak berwenang tidak dapat melihat atau memulihkannya setelah itu;

• kata sandi harus dapat mengidentifikasi secara unik kepada seorang individu;

• kata sandi harus dienkripsikan saat ditransmisikan;

• kompleksitas kata sandi tidak boleh kurang dari 3 dari 4 kelas karakter dan harus memiliki pilihan kelas karakter seperti huruf besar, huruf kecil, angka numerik, atau karakter khusus;

• Panjang kata sandi harus diatur setidaknya 8 karakter;

• kata sandi harus kedaluwarsa setiap 90 hari;

• waktu habis otomatis untuk akses ke komputer dan server jika dibiarkan tanpa aktivitas/idle dengan persyaratan otentikasi kata sandi untuk akses ulang;

• akun harus diatur untuk dikunci setelah beberapa upaya login yang salah.

1.2.3. Komputer dan server memiliki versi terbaru yang wajar dari perangkat keamanan sistem yang mungkin termasuk host firewall, perlindungan antivirus, dan tambalan serta definisi virus terbaru. Perangkat lunak dikonfigurasi untuk memindai dan segera menghapus atau memperbaiki temuan yang teridentifikasi. HPE menyimpan catatan dari berbagai komponen infrastruktur dan sistem deteksi penyusupan untuk mengawasi, mendeteksi, dan melaporkan pola penyalahgunaan, aktivitas mencurigakan, penggunaan tanpa izin, dan risiko keamanan aktual atau ancaman lainnya.

1.3. Ketika diminta, HPE akan meninjau bersama Pelanggan suatu rangkuman penilaian kerentanan. Penilaian kerentanan tidak akan memberi hak Pelanggan untuk melihat, atau dengan cara apa pun mengakses catatan dan/atau proses: (a) yang tidak terkait langsung dengan Layanan; (b) yang melanggar UU yang Berlaku; dan/atau (c) yang melanggar kerahasiaan HPE dan kewajiban keamanan yang diberikan kepada pihak ketiga.

1.4. Karyawan dan kontraktor dilatih tentang kebijakan privasi dan keamanan HPE dan diberi pemahaman tentang tanggung jawabnya sehubungan dengan praktik privasi dan keamanan. Karyawan HPE dan kontraktor terikat kontrak untuk mempertahankan kerahasiaan Data Pribadi Pelanggan dan mematuhi kebijakan, standar, atau persyaratan HPE yang berlaku sehubungan dengan Pemrosesan Data Pribadi Pelanggan. Kegagalan mematuhi kebijakan, standar, atau persyaratan itu akan dikenakan penyelidikan yang dapat menghasilkan tindakan disipliner hingga dan termasuk penghentian hubungan kerja atau keterlibatan dengan HPE.

1.5. Ketika HPE mengonfirmasi adanya pelanggaran keamanan yang menyebabkan kehancuran, kerugian, perubahan, atau pengungkapan tanpa izin, atau akses yang bersifat aksidental atau melanggar hukum kepada, Data Pribadi Pelanggan (“Insiden Keamanan”), HPE akan:

1.5.1. tanpa menunda waktu, memberi tahu Pelanggan tentang Insiden Keamanan itu. HPE akan memberi informasi terbaru kepada Pelanggan tentang status Insiden Keamanan itu hingga berhasil diselesaikan. Laporan itu termasuk, tanpa terbatas, deskripsi dari Insiden Keamanan, tindakan yang diambil, dan rencana remediasi. Jika Pelanggan mengetahui suatu Insiden Keamanan yang mempengaruhi Layanan, Pelanggan akan segera memberi tahu HPE tentang hal itu dan memberi

tahu HPE tentang cakupan dari Insiden Keamanan itu.

1.5.2. sesuai permintaan dan biaya Pelanggan, (i) menyediakan bantuan yang wajar kepada Pelanggan untuk memberi tahu pelanggaran keamanan kepada otoritas pengawas yang berkompeten sesuai UU Privasi yang berlaku untuk Pelanggan; dan (ii) menyediakan bantuan yang wajar kepada Pelanggan dalam mengkomunikasikan kebocoran data kepada subjek data dalam kasus ketika kebocoran data sepertinya menghasilkan risiko tinggi terhadap hak dan kebebasan individu.