
在此处添加文本段落在此处添加文本段落在此处添加文本段落在此处添加文本段落在此处添加文本段落在此处添加文本段落
3.供应商义务
3.1.处理。甲方指示并授权供应商根据以下协议出于履行供应商对甲方的义务的唯一和独有目的处理甲方数据:(a)供应商协议;(b)甲方及其代理的书面说明;(c)隐私法律;以及(d)此DPA(以下统称为“适用的协议”)。对于供应商跟踪用户的在线或移动活动,此DPA中规定的与个人数据有关的义务和要求也适用于用户跟踪数据。
3.2.披露和使用限制。除以下情况外,供应商不得传输或以其他方式披露甲方数据,也不得允许其代表或任何第三方处理甲方数据:(a)因提供解决方案而必须知晓;(b)提供解决方案而有必要了解;(c)适用法律允许;或(d)适用法律规定。如果根据适用法律规定供应商传输、披露甲方数据或允许第三方处理甲方数据,则供应商应当提前及时将此类规定告知甲方,并与甲方合作限制此类传输、披露或处理的程度和范围。
3.3.退还和销毁。在供应商协议终止或甲方出具书面要求的情况(以在先发生者为准)下,供应商应当确保其分包商立即停止一切对个人数据的使用并退还给甲方,或者根据甲方指示,处置、销毁所有此类个人数据或让其永久无个人特征,在每种情况下均需采取协议中规定的安全措施。如果适用法律不允许供应商销毁甲方数据,则供应商不得将甲方数据用于除适用协议规定之外的任何用途,并且始终应遵守适用协议的规定。
3.4.通知和协助。如果任何人联系供应商提出与解决方案关联的个人数据相关的请求、查询或投诉,则在任何情况下供应商均应当立即(a)在两个日历日内书面通知甲方此类请求、查询或投诉;并(b)与甲方开展所有合理的合作,提供所有合理的协助、信息和其拥有、监管或控制的个人数据的访问权限,这对甲方在隐私法律规定的任何时间范围内立即响应此类请求、查询或投诉十分必要。除非甲方书面指示,否则供应商不得响应此类请求、查询或投诉。
4.国际传输。在事先征得甲方书面同意的情况下,供应商可以将个人数据从EEA国家和地区传输到EEA之外的其他国家和地区,前提是此类传输有必要且与提供解决方案有关,并遵守欧盟标准合同条款(从控制方到处理方),并且供应商遵守此类条款中规定的对于“数据导入者”的所有义务。对于亚太地区的国家和地区,如果供应商将个人数据传输到最初收集此类数据时所在的国家和地区之外,则供应商应当事先征得甲方的书面同意,适用协议另有规定的除外。
5.适当的保护措施。供应商应当具有并维护适当的、符合行业标准的物理、组织和技术流程、安全标准、指南、管控措施和规程(以下简称“政策”),以防止出现任何数据泄露(“适当的保护措施”)。供应商应当定期,但在任何情况下不得少于每年一次,对适当保护措施的有效性进行评估、测试和监控,并应当迅速调整和更新其适当的保护措施以保证结果的合理。供应商应当根据要求向甲方提供适当保护措施的书面说明。供应商应当向甲方提供相关文档的访问权限,并报告适当保护措施的实施情况、认证、有效性和补救措施。供应商代表、保证并立约承诺供应商及其分包商切实实施和维护以下政策:
5.1. 风险管理。至少每年一次评估组织和管理风险,至少每季度一次评估系统和技术风险。
5.2. 资产管理。(a)识别用于处理甲方数据的所有设备和介质;(b)为所有设备和介质分配一个或多个保管人;以及(c)要求定期审查资产清单以确保准确无误,并找出缺失的设备和介质。
5.3. 访问控制和身份管理政策。在访问甲方数据之前,(a)所有的数据和系统访问权限均根据记录的责任和最小权限原则分配给个人;(b)所有用户和管理员帐户均分配给个人且须具有高强度密码、密码轮换、身份验证失败锁和会话超时;(c)发放特权访问帐户需要管理部门批准,并遵守严格的安全标准。
5.4. 意识和培训政策。供应商处理以下事项: (a)信息安全威胁和最佳做法;(b)为保护甲方数据而制定的信息安全策略、规程和控制措施;以及c)每个代表在保护甲方数据方面的作用和职责。
5.5. 问责政策。确保 (a)所有的帐户操作都可追溯到使用相应帐户的个人;(b)所有特权帐户操作以及所有影响甲方数据的帐户操作的操作时间、日期和类型均得到记录(c)所有已记录的帐户操作均得到主动监控,可轻松检索,以用于分析;以及(d)违反政策的后果已确定、传达并将得到处理。
5.6. 应急规划政策。定义了相关角色和责任,并对如何恰当处理紧急事件提供了明确指导和培训。紧急事件包括:(a)洪水、龙卷风、地震、飓风和冰暴等自然灾害;(b)化学品溢漏、机械或电力故障等意外威胁事故;(c)隐私和安全违规、炸弹威胁、攻击和盗窃等故意行为。
5.7. 系统维护政策。与以下内容有关:(a)有组织的漏洞管理,包括:定期扫描、渗透测试、风险分析和及时修补;(b)变更管理,包括:目的说明文件、安全影响分析、测试计划和结果以及所有更改的授权;(c)配置管理,包括安全基准配置;以及(d)进行监控,以检测未经授权的更改并生成警报。
5.8. 系统和通信保护政策。确保甲方数据的机密性、完整性和可用性,包括(a)用于限制和监控对处理甲方数据的系统的访问权限的物理控制措施;(b)用于防范恶意软件和恶意行为者的技术和管理控制措施;(c)对通过不受信任的网络和公共网络传输的数据的高强度加密,如果是严格受限数据,则在其存储的所有位置处于静置状态;(d)周期性加密密钥轮换和管理;(e)禁止在非生产环境中处理的严格受限数据和个人数据;(f)定期的安全控制审查和有效性测试;以及(g)关于远程访问和移动设备的强大的技术和管理控制。
5.9. 介质保护政策。确保包含甲方数据的介质得到安全处理,包括:(a)强力加密所有移动设备和可移动存储介质中的甲方数据;(b)要求任意时间持有甲方数据的介质采用安全的清除和销毁方式;以及(c)要求包含未加密甲方数据的所有介质(包括纸张)均存放在安全位置。