セキュリティインシデント. プロバイダは、認識したすべてのセキュリティインシデントを速やかに制度に報告することに合意します。
セキュリティインシデント. 2.1 サプライヤーは、コンピューターのセキュリティ・インシデント処理に関する業界のベスト・プラクティスに沿って文書化したインシデント対応ポリシーを実施し、それに従います。
2.2 サプライヤーは、キンドリル資料の不正アクセスや不正使用を調査し、適切な対応計画を定義して実行します。
2.3 サプライヤーは、セキュリティ侵害を認識した場合、キンドリルに迅速に(いかなる場合も 48 時間以内に)通知します。サプライヤーは、xxxxx.xxxxxxxxx@xxxxxxx.xxx 宛てに通知を提供しま す。サプライヤーは、そのような違反やサプライヤーの是正と修復に関する活動の状況に関して、合理的に要求された情報をキンドリルに提供するものとします。例えば、合理的に要求される情報には、デバイス、システムまたはアプリケーションに対する特権、管理その他のアクセスを証明するログ、デバイス、システムまたはアプリケーションの法的証拠となる画像、その他類似の項目を含むことがあります。ただし、これらは侵害またはサプライヤーの修復と回復の作業に関連する範囲に限ります。
2.4 サプライヤーは、セキュリティ侵害に関連して、キンドリル、キンドリルの関連会社、およびお客様(そのお客様と関連会社を含む)の法的義務(規制当局またはデータ主体に通知する義務を含む)を満たすために、合理的な支援をキンドリルに提供するものとします。
2.5 サプライヤーは、キンドリルが書面で承認する場合、または法律によって義務付けられている場合を除き、キンドリルまたはキンドリル資料に直接的または間接的に関連するセキュリティ侵害について、第三者に報告または通知しないものとします。サプライヤーが第三者に法的に通知を送付する必要があり、それがキンドリルの識別情報を直接的または間接的に公開する場合、サプライヤーはキンドリルに書面で通知します。
2.6 サプライヤーが本規約に基づく義務に違反したことによりセキュリティ侵害が発生する場合、以下が適用されます。
(a) サプライヤーは、該当する規制当局、その他の政府機関および関連する業界の自主規制機関、報道機関(適用法により義務付けられている場合)、データ主体、お客様その他の者に対して、セキュリティ侵害の通知を提供する際は、自らに発生する費用およびキンドリルに発生する実費を負担します。
(b) キンドリルが要求する場合、サプライヤーは、データ主体からのセキュリティ侵害に関する質問に回答するために、自ら費用を負担してコール・センターを設立し、その後、当該データ主体がセキュリティ侵害の通知を受けた日付から 1 年間、または適用されるデータ保護法で義務づけられている期間のうち、より手厚い保護が与えられる期間の間、実施します。キンドリルとサプライヤーは、コール・センターの担当者が問い合わせに対応する際に使用するスクリプトやその他の資料を作成するために協力します。あるいは、キンドリルはサプライヤーに対し書面で通知することにより、サプライヤーにコール・センターを設立させる代わりに、自身のコール・センターを設立し、維持することができます。その場合、サプライヤーは、キンドリルがそのコール・センターを設立および維持するために負担した実費をキンドリルに弁済します。
(c) サプライヤーは、そのようなサービスへの登録を選択し、侵害の影響を受けた個人がセキュリティ侵害についての通知を受けた日から 1 年間、または、適用されるいずれかのデータ保護法が求める期間、キンドリルが信用のモニタリングと信用回復のためのサービスを提供するにあたって負担する実費をキンドリルに弁済します。
セキュリティインシデント