Common use of Controllo Integrità e Disponibilità del Servizio e dei Sistemi Clause in Contracts

Controllo Integrità e Disponibilità del Servizio e dei Sistemi. 5.1. Il Fornitore provvederà a: 1) effettuare almeno una volta l'anno la valutazione della sicurezza e dei rischi per la privacy, 2) eseguire i test di sicurezza e le valutazioni della vulnerabilità, inclusa la scansione automatica della sicurezza dei sistemi e delle applicazioni e l'hacking etico manuale, prima del rilascio in produzione e da quel momento una volta l'anno per i Servizi ed i Materiali da Consegnaree e annualmente per la Gestione della Tecnologia Kyndryl, 3) affidarsi a terze parti indipendenti qualificate per eseguire i test di penetrazione in conformità con le Migliori Pratiche del Settore, almeno una volta all'anno, 4) eseguire la verifica automatizzata della gestione e delle routine della conformità con i requisiti di configurazione della sicurezza di ciascun componente dei Servizi e dei Materiali da Consegnare ed in relazione alla propria Gestione della Tecnologia Kyndryl; e 5) correggere le vulnerabilità o le mancate conformità identificate con i relativi requisiti di configurazione della sicurezza in base al rischio, all'utilizzabilità e all'impatto associati. Il Fornitore adotterà ragionevoli misure per evitare l'interruzione dei Servizi durante l'esecuzione dei relativi test, valutazioni, scansioni ed esecuzione delle azioni correttive. Su richiesta di Xxxxxxx, il Fornitore fornirà a Kyndryl un riepilogo scritto delle proprie attività di test di penetrazione più recenti, che deve contenere almeno il nome delle offerte coperte dal test, il numero di sistemi o applicazioni inclusi nell'ambito del test, le date del test, la metodologia utilizzata per il test e un riepilogo di alto livello dei risultati. 5.2. Il Fornitore manterrà le politiche e le procedure progettate per gestire i rischi associati all'applicazione di modifiche ai Servizi, ai Materiali da Consegnare ed alla Gestione delle Tecniche Kyndryl. Prima di implementare tale modifica anche sui sistemi, sulle reti e sui componenti sottostanti interessati, il Fornitore documenterà, in una richiesta di modifica registrata: (a) una descrizione ed il motivo della modifica, (b) i dettagli di implementazione ed il relativo piano, (c) una dichiarazione dei rischi che riporti l'impatto di tale modifica sui Servizi e sui Materiali da Consegnare, per i clienti dei Servizi o sul Materiale Kyndryl, (d) il risultato previsto, (e) il piano di rollback, e (f) l'approvazione dei dipendenti autorizzati del Fornitore. 5.3. Il Fornitore terrà un inventario di tutte le risorse IT che utilizza per la gestione dei Servizi, per la fornitura dei Materiali da Consegnare e per la Gestione della Tecnologia Kyndryl. Il Fornitore monitorerà e gestirà costantemente l'integrità (compresa la capacità) e la disponibilità di tali asset IT, dei Servizi, dei Materiali da Consegnare e della Tecnologia Kyndryl, inclusi i componenti sottostanti di tali asset, Servizi, Materiali da Consegnare e Tecnologia Kyndryl. 5.4. Il Fornitore costruirà tutti i sistemi che utilizzerà nello sviluppo o nell'operatività dei Servizi ed i Materiali da Consegnaree e nella propria Gestione della Tecnologia Kyndryl, a partire dalle immagini predefinite di sicurezza di sistema o dalle linee di base di sicurezza definite in modo da soddisfare le Migliori Pratiche del Settore, quali ad esempio i benchmark del Center for Internet Security (CIS). 5.5. Senza limitazione delle obbligazioni del Fornitore o dei diritti di Kyndryl definiti nel Documento d'Ordine o nell'accordo base associatotra le parti, in merito alla continuità operativa, il Fornitore valuterà separatamente i requisiti di continuità operativa e IT e di disaster recovery di ciascuno dei Servizi e dei Materiali da Consegnare e di ciascun sistema IT utilizzato durante la Gestione della Tecnologia Kyndryl, in base alle linee guida documentate sulla gestione dei rischi. Il Fornitore dovrà assicurarsi che ciascuno dei Servizi, dei Materiali da Consegnare e dei sistemi IT sia dotato, nella misura garantita da tale valutazione del rischio, di piani di continuità operativa e IT e di disaster recovery definiti separatamente, documentati, manutenuti e convalidati ogni anno in conformità con le Migliori Pratiche del Settore. Il Fornitore dovrà garantire che tali piani siano progettati per assicurare dei tempi di ripristino specifici stabiliti nel seguente Articolo 5.6. 5.6. Gli RPO (recovery point objectives) e gli RTO (and recovery time objectives) specifici per ciascun Servizio Ospitato sono: 24 ore per gli RPO e 24 ore per gli RTO; tuttavia, nel caso in cui Kyndryl si impegni con un Cliente al rispetto di un RPO o di un RTO più breve, il Fornitore, previa comunicazione per iscritto di Xxxxxxx, si atterrà prontamente al rispetto degli RPO o RTO comunicati da Kyndryl (una e-mail costituisce una scrittura). Per quanto riguarda tutti gli altri Servizi erogati dal Fornitore a Kyndryl, il Fornitore dovrà garantire che i piani di continuità aziendale e di disaster recovery siano progettati per fornire RPO e RTO che consentano al Fornitore di rispettare le proprie obbligazioni nei confronti di Kyndryl ai sensi del Documento d'Ordine e dell'accordo base tra le parti ed i presenti Termini, incluse le obbligazioni a fornire tempestivamente test, supporto e manutenzione. 5.7. Il Fornitore manterrà le misure progettate per valutare, testare e applicare le patch degli avvisi di sicurezza per i Servizi e per i Materiali da Consegnare e per i sistemi, reti, applicazioni e componenti sottostanti associati inclusi nell'ambito di tali Servizi e Materiali da Consegnare così come per i sistemi, reti, applicazioni e componenti sottostanti utilizzati per la Gestione della Tecnologia Kyndryl. Dopo aver stabilito che una patch degli avvisi di sicurezza è applicabile e appropriata, il Fornitore implementerà la patch in base alla severità e alle linee guida documentate sulla valutazione del rischio. L'implementazione da parte del Fornitore delle patch degli avvisi di sicurezza sarà soggetta alla policy di gestione delle modifiche del Fornitore. 5.8. Se Kyndryl ha fondati motivi per ritenere che l'hardware o il software forniti dal Fornitore possano contenere elementi intrusivi, quali spyware, malware o codice dannoso, il Fornitore collaborerà tempestivamente con Kyndryl per indagare e risolvere le preoccupazioni di Kyndryl.

Controllo Integrità e Disponibilità del Servizio e dei Sistemi. 5.1. 5.1 Il Fornitore provvederà a: 1(a) effettuare almeno una volta l'anno la valutazione della sicurezza e dei rischi per la privacy, 2(b) eseguire i test di sicurezza e le valutazioni di valutazione della vulnerabilità, inclusa la scansione automatica della sicurezza dei sistemi e delle applicazioni e l'hacking etico manuale, prima del rilascio in produzione produzione, e da quel momento una volta l'anno annualmente per i Servizi ed i Materiali da Consegnaree Consegnare e annualmente per la Gestione della Tecnologia Kyndryl, 3(c) affidarsi affidarsi, almeno una volta all'anno, a terze parti indipendenti qualificate per eseguire i dei penetration test di penetrazione in conformità con le Migliori Pratiche del Settore, almeno una volta all'anno, 4(d) eseguire la gestione automatizzata e la verifica automatizzata della gestione e delle routine della conformità con i ai requisiti di configurazione della sicurezza di ciascun componente dei Servizi e dei Materiali da Consegnare ed in relazione alla propria Gestione della Tecnologia Kyndryl; e 5(e) correggere le vulnerabilità o le mancate conformità identificate con i relativi requisiti di configurazione della sicurezza in base al rischio, all'utilizzabilità e all'impatto associati. Il Fornitore adotterà ragionevoli misure per evitare l'interruzione dei Servizi durante l'esecuzione dei relativi test, valutazioni, scansioni ed esecuzione delle azioni correttive. Su richiesta di Xxxxxxx, il Fornitore fornirà a Kyndryl un riepilogo scritto delle proprie attività di test di penetrazione più recenti, che deve contenere almeno il nome delle offerte coperte dal test, il numero di sistemi o applicazioni inclusi nell'ambito del test, le date del test, la metodologia utilizzata per il test e un riepilogo di alto livello dei risultati. 5.2. 5.2 Il Fornitore manterrà le politiche e le procedure progettate per gestire i rischi associati all'applicazione di modifiche ai Servizi, ai Materiali da Consegnare ed e alla Gestione delle Tecniche della Tecnologia Kyndryl. Prima di implementare tale modifica anche sui sistemi, sulle reti e sui componenti sottostanti interessati, il Fornitore documenterà, in una richiesta di modifica registrata: (a) una descrizione ed il motivo della modifica, (b) i dettagli di implementazione ed il relativo piano, (c) una dichiarazione dei rischi che riporti l'impatto di tale modifica sui Servizi e sui Materiali da Consegnare, per i sui clienti dei Servizi o sul Materiale Kyndryl, (d) il risultato previsto, (e) il piano di rollback, e (f) l'approvazione dei dipendenti autorizzati del Fornitore. 5.3. 5.3 Il Fornitore terrà un inventario di tutte le risorse IT che utilizza per la gestione dei Servizi, per la fornitura dei Materiali da Consegnare e per la Gestione della Tecnologia Kyndryl. Il Fornitore monitorerà e gestirà costantemente l'integrità (compresa la capacità) e la disponibilità di tali asset IT, dei Servizi, dei Materiali da Consegnare e della Tecnologia Kyndryl, inclusi i componenti sottostanti di tali asset, Servizi, Materiali da Consegnare e Tecnologia Kyndryl. 5.4. 5.4 Il Fornitore costruirà tutti i sistemi che utilizzerà nello sviluppo o nell'operatività dei Servizi ed i e dei Materiali da Consegnaree Consegnare e nella propria Gestione della Tecnologia Kyndryl, a partire dalle immagini predefinite di sicurezza di sistema o dalle linee di base di sicurezza definite in modo da soddisfare le Migliori Pratiche del Settore, quali ad esempio i benchmark del Center for Internet Security (CIS). 5.5. 5.5 Senza limitazione delle obbligazioni limitare gli obblighi del Fornitore o dei i diritti di Kyndryl definiti nel ai sensi del Documento d'Ordine o nell'accordo dell'accordo di base associatotra associato tra le parti, parti in merito relazione alla continuità operativa, il Fornitore valuterà separatamente i requisiti di continuità operativa ciascun Servizio e IT Prodotto e di disaster recovery di ciascuno dei Servizi e dei Materiali da Consegnare e di ciascun sistema IT utilizzato durante la nella Gestione della Tecnologia KyndrylKyndryl in merito ai requisiti di continuità aziendale, all'IT e al disaster recovery in base conformità alle linee guida documentate sulla per la gestione dei rischidel rischio. Il Fornitore dovrà assicurarsi che ciascuno dei Servizi, dei Materiali da Consegnare e dei sistemi IT sia dotato, nella misura garantita da tale valutazione del rischio, di piani di continuità operativa e IT e di disaster recovery definiti separatamente, documentati, manutenuti e convalidati ogni anno in conformità con le Migliori Pratiche del Settore. Il Fornitore dovrà garantire che tali piani siano progettati per assicurare dei tempi di ripristino specifici stabiliti nel seguente Articolo 5.6. 5.6. Gli RPO (5.6 I recovery point objectivesobjectives ("RPO") e gli RTO (and recovery time objectivesobjectives ("RTO") specifici per ciascun in relazione a qualsiasi Servizio Ospitato sono: RPO di 24 ore per gli RPO e RTO di 24 ore per gli RTOore; tuttavia, nel caso in cui Kyndryl si impegni con un Cliente al rispetto di un RPO o di un RTO più breve, il Fornitore, previa comunicazione per iscritto di Xxxxxxx, si atterrà prontamente al rispetto degli Fornitore rispetterà qualsiasi RPO o RTO comunicati da di durata più breve su cui Xxxxxxx si sia impegnata nei confronti di un Cliente, subito dopo che Kyndryl avrà notificato per iscritto al Fornitore tale RPO o RTO di durata più breve (una eun'e-mail costituisce una scrittura). Per quanto riguarda tutti gli altri Servizi erogati dal Fornitore a Kyndryl, il Fornitore dovrà garantire che i piani di continuità aziendale operativa e di disaster recovery siano progettati per fornire assicurare RPO e RTO che consentano al Fornitore di rispettare le proprie obbligazioni i propri obblighi nei confronti di Kyndryl Xxxxxxx ai sensi del Documento d'Ordine e dell'accordo base tra le parti ed i presenti Termini, incluse le obbligazioni a fornire inclusi gli obblighi di assicurare tempestivamente test, supporto e manutenzione. 5.7. 5.7 Il Fornitore manterrà le misure progettate per valutare, testare e applicare le patch degli avvisi di sicurezza per i Servizi e per i Materiali da Consegnare e per i sistemi, reti, applicazioni e componenti sottostanti associati inclusi nell'ambito di tali Servizi e Materiali da Consegnare così come per i sistemi, reti, applicazioni e componenti sottostanti utilizzati per la Gestione della Tecnologia Kyndryl. Dopo aver stabilito che una patch degli avvisi di sicurezza è applicabile e appropriata, il Fornitore implementerà la patch in base alla severità e alle linee guida documentate sulla valutazione del rischio. L'implementazione da parte del Fornitore delle patch degli avvisi di sicurezza sarà soggetta alla policy politica di gestione delle modifiche del Fornitore. 5.8. 5.8 Se Kyndryl ha fondati motivi per ritenere che l'hardware o il software forniti dal Fornitore possano contenere elementi intrusivi, quali spyware, malware o codice dannoso, il Fornitore collaborerà tempestivamente con Kyndryl Xxxxxxx per indagare e risolvere le preoccupazioni i timori di Kyndryl.