供应商数据保护要求

bt365网址认识到,使用第三方供应商会产生各种风险,这些风险必须得到适当的管理. 在进入任何第三方关系之前, bt365体育网址采取审慎的措施,对与供应商关系相关的风险进行评估. bt365体育网址注意了解合规情况, 声誉, 战略, 操作, 以及在进入合同关系之前与特定供应商相关的交易风险.

任何有权访问太阳风公司个人数据或更高级别数据的供应商都应说明其安全政策, 流程, 并证明他们能够为这些数据提供足够的保护, 包括防止滥用或妥协. 以下部分概述了供应商收集时必须遵循的要求, 在与太阳风公司提供服务或开展业务时使用或处理个人数据.

信息安全组织

供应商必须建立, 实现, 维护适当的信息安全政策和技术和组织安全措施计划,以防止任何对太阳风保密信息的访问,遵守并满足所有适用的信息安全最佳实践标准和指南, 包括本合同规定的.

安全基线标准

供应商必须确保开发了安全配置, 记录, 并为访问太阳风保密信息的信息系统进行维护. 基线配置包括软件版本和安全补丁级别, 管理反病毒和恶意软件检测, 并且必须包括用于审计和问责的安全设置.

遵从性和认证

供应商必须遵守适用的法律, 包括监管法律, 比如《bt365体育网址》(HIPAA), 萨班斯-奥克斯利法案(SOX), 一般资料保护规例(GDPR), 支付卡行业数据安全标准(PCI-DSS), 以及关于认证业务16 (SSAE16)标准的声明服务组织控制(SOC)类型I或II.

供应商必须完成定期的认证审核, 如SSAE16 SOC1, 评估财务报告和SOC2报告的内部控制, 评估供应商与安全相关的信息系统, 可用性, 处理, 完整性, 保密, 和隐私. 这些SSAE16认证报告可以是类型I或类型II.

除上述内容外, 供应商必须承认并遵守美国法律和法规下的出口管制.S.)及任何其他适用的司法管辖区, 管理出口, 再出口, 进口, 转移, 分布, 和货物和服务的使用,并应获得所有所需的美国.S. 以及任何其他适用的授权、许可或许可证.

供应商必须维护bt365网址机密信息存储处的安全相关审计和认证,并必须能够证明这些认证. 供应商数据中心或托管的协同部署必须最近完成认证业务标准声明16 (SSAE16)服务组织控制(SOC) 2审计. 这份报告必须根据要求提供. 供应商必须有一个过程来记录任何不符合任何法律规定的情况, 不符合当地法律和法规的法规或隐私实例或控制,必须确定和量化风险和缓解计划,并记录替代控制或风险接受的业务决策. 缓解计划和业务决策必须由首席信息官(CIO)或能够承担责任和问责的授权个人签署.

物理和环境安全

供应商必须确保供多个用户使用的所有供应商系统和其他资源位于具有访问和授权限制的安全物理设施中.

供应商必须确保供应商的所有员工, 代理, 第三方供应商, 或在处理太阳风保密信息之前与供应商签署不披露或保密协议.

供应商必须限制和监控对其设施的物理访问,以确保记录访客访问,并根据其工作要求将访问限制为适当的人员. 供应商必须要求所有员工, 承包商, 参观者须出示证件, 登录, 并由授权人员护送通过其设施.

访问控制

供应商必须采取一切合理措施,防止任何人以任何方式或出于未经bt365网址授权的任何目的访问bt365网址的机密信息. 供应商必须将访问太阳风保密信息的权限限制给供应商的员工, 代理, 以及有合法需要访问机密信息以提供商品和/或服务并已书面同意保护机密信息完整性的第三方供应商, 可用性, 以及太阳风保密信息的保密性.

当不再需要或与供应商职责的履行无关时,供应商必须维护合理的程序以终止对bt365网址保密信息的访问.

供应商必须将bt365网址的信息与任何其他客户或供应商自己的应用程序和信息分离开来,方法是使用物理上独立的服务器,或者使用逻辑访问控制(不实现服务器的物理分离).

供应商必须禁止并采用合理的技术和组织安全措施,以确保任何员工, 承包商, 或处理太阳风保密信息的供应商的第三方供应商不得复制, 移动, 或将机密信息存储到任何存储设备上.

供应商必须至少要求双因素身份验证才能远程连接到包含太阳风机密信息的内部供应商资源.

识别和身份验证

供应商必须为单个用户分配唯一的用户id,并为单个帐户分配登录凭证. 供应商必须有创建用户帐户的过程, 及时清除, 和帐户修改(e.g., 修改权限, 的访问, 功能/角色)的所有访问太阳风的机密信息和所有生产, 测验, 和开发环境.

供应商必须要求至少满足以下密码结构要求的密码复杂度规则:系统密码至少8(8)个字符,平板电脑和智能手机密码至少4(4)个字符. 系统密码必须包含以下三种字符:大写字母, 小写, 数字, 或特殊字符. 供应商必须验证用户的身份,设置一次性使用,并在首次使用后为每个用户重置密码为唯一值.

密码不能与与其关联的用户ID相同, 包含一个字典单词, 连续号码或重复号码, 不要是最后使用的五个密码之一. 供应商还必须要求密码定期过期,不超过90天,并在显示时屏蔽所有密码.

失败的登录尝试必须限制在不超过五(5)次失败的登录尝试,并在达到持续状态时锁定用户帐户. 随后可以通过需要验证用户身份的手动过程重新激活对用户帐户的访问.

系统安全

供应商必须确保这些系统和其他资源按照建立安全信息系统基线和包括的安全最佳实践进行适当的加固, 但不限于, 移除或禁用未使用的网口, 协议, 和服务, 还有安装终端恶意软件, 杀毒, 以及基于主机的防火墙保护技术.

供应商必须进行内部漏洞评估扫描,包括, 但不限于, 网络, 服务器, 应用程序和数据库, 具有适用的行业标准安全漏洞扫描软件,以发现安全漏洞.

供应商必须使用文档化的流程来应用适当的安全补丁. 关键安全漏洞,通用漏洞评分系统(CVSS)评分为7分.5或更高版本必须在补丁或安全更新可用时立即安装,并且在发布后一个月内不得安装. CVSS评分为4分或更高的安全漏洞必须在发布后90天内安装.

数据分离与分割

供应商必须实现一组多层安全控制,以逻辑隔离和分割托管环境中的bt365网址机密信息. 必须在网络上实现确保适当隔离和分割的机制, 操作系统, 和应用程序层. 供应商必须确保托管环境中的客户端彼此隔离,以便将它们视为单独管理的实体,它们之间没有连接. 客户端环境共享的任何系统或组件, 包括但不限于管理程序和底层基础设施系统不能提供这些环境之间的访问路径.

API集成

应用程序编程接口(API)的使用必须通过包括作为API调用一部分传输的数据的强加密(强大的加密)在内的方法的组合来保护, 使用最新版本的安全套接字层(SSL)和传输层安全(TLS)连接, 并通过使用安全的过程来实现正确的认证和会话管理, 管理, 并为每个授权用户结束会话.

审计和监控

供应商必须维护自动审计跟踪,记录系统安全事件以及导致访问的任何变更管理事件, 修改, 和/或删除太阳风保密信息.
审计跟踪必须至少记录每个事件的以下信息:

  • 发生的事件类型
  • 事件发生的日期和时间戳
  • 事件的来源
  • 事件的结果(成功或失败)
  • 与事件相关的任何用户/主题的身份

审计日志必须是只读的,防止未经授权的访问. 审计记录了导致访问的事件, 修改, 和/或删除太阳风保密信息必须向太阳风提供.

供应商必须采用定期的审计日志审查流程(手动或自动),以检测对太阳风保密信息的未经授权访问.

网络安全

供应商必须维护一个正式的审批流程, 测试, 并记录所有网络连接以及防火墙和路由器配置的更改. 供应商必须配置防火墙来拒绝和记录可疑数据包, 限制只允许适当和授权流量的网络连接, 禁止所有其他通过防火墙的流量. 必须定期检查防火墙规则.

供应商必须限制来自应用程序处理的未经授权的出站流量, 存储或传输太阳风的机密信息到非武装区内的IP地址和互联网.

当使用基于射频(RF)的无线网络技术执行或支持太阳风的服务和产品时, 供应商必须确保任何传送的太阳风信息都使用了足以保护太阳风信息的适当加密技术进行保护. 无线技术必须使用强加密, 供应商必须定期扫描, 识别, 禁用未经授权的无线接入点.

数据保护、消毒和销毁

供应商在供应商控制的网络之外传输太阳风保密信息时,或在任何不受信任的网络上传输太阳风保密信息时,必须使用强加密.

供应商必须使用强加密来保护bt365网址机密信息的存储. 供应商不得在供应商的网络环境之外以电子方式存储太阳风保密信息,除非存储设备(e.g.、备份磁带、笔记本电脑、记忆棒、电脑磁盘等.)受强加密保护.

供应商不得将太阳风的机密信息存储在可移动媒体上(例如.g., USB闪存, 拇指驱动器, 记忆棒, 磁带, cd, 或外置硬盘驱动器)除了:(a)用于备份, 业务连续性, 灾难恢复, 以及本协议允许和要求的数据交换目的,以及(b)使用强加密.

在本协议终止时,或在用于存储或处理太阳风保密信息的媒体重新使用或再利用之前的任何时间, 介质必须清除(使用符合dod标准的7通道擦拭)或按照NIST SP 800-88进行清洗. 如果要销毁介质,供应商必须向太阳风公司提供销毁证书. 在这种破坏之前, 供应商必须保持所有适用的技术和组织安全措施,以保护安全, 太阳风保密信息的隐私和机密性.

事件应变及通知

供应商必须保持当前的事件管理流程,并必须在意识到任何潜在破坏后及时通知太阳风公司, 损失, 改变, 未经授权的披露, 或接触或意外或实际的破坏, 损失, 变更, 未经授权的披露, 或访问太阳风的机密信息, 包括数据, 传播, 由供应商或其子处理器存储或以其他方式处理.

供应商必须拥有并使用由训练有素的资源管理的事件管理过程. 供应商事件管理过程必须与各个州和联邦法律和法规要求以及发布的最佳行业遵从性和治理标准保持一致.

供应商必须遵循事件响应最佳实践,并做出合理努力,以确定事件的原因,并采取适当步骤,以补救事件的原因.

在任何情况下,供应商均不得公开披露任何此类对太阳风信息的泄露, 系统, 或其他资源. 供应商必须立即通知太阳风可能发生的或实际发生的事件,并直接与太阳风合作, 根据太阳风公司的要求, 通知有关政府官员, 当局, 信贷监控服务, 受违约影响的个人, 和/或任何适用的媒体渠道, 根据法律要求.

业务连续性管理和灾难恢复

供应商必须开发, 操作, 管理, 修订业务连续性和灾难恢复计划. 这些计划必须包括BCP/DR的角色和职责, 建立恢复时间目标和恢复点目标, 数据和系统的日常备份, 备份介质和记录的异地存储, 符合协议要求的记录保护和应急计划. 供应商必须在场外安全地存储这些计划,并确保供应商在需要时可获得这些计划.

供应商必须有关于bt365网址个人数据安全备份和恢复的文件化程序, 这必须包括, 至少, 运输手续, 存储, 以及处理数据的备份副本, 在bt365网址的请求, 提供此类文件化程序.

定义

"协议系指太阳风公司与卖方签订的合同或其他法律文件.

子公司”指, 就一方而言, 任何公司或其他法律实体:(i)直接或间接控制, a party; or (ii) is 控制led, 直接或间接, by a party; or (iii) is 直接或间接 控制led by a company or entity which 直接或间接 控制s a party. 对于这些目的, “控制” means the right to exercise more than fifty percent (50%) of the voting or similar right of ownership; but only for so long as such 控制 shall continue to exist.

机密信息是指任何商业上的敏感问题, 有关太阳风公司的专有或其他机密信息, 其关联公司或本协议的内容和/或目的, 是否口头, 以书面形式或以任何其他方式直接或间接进入卖方或卖方人员或卖方人员的管有, 代理, 因本协议而或与本协议有关的承包商或分包商. 为避免疑问,所有工作成果应构成保密信息.

事件管理流程是供应商制定并记录的流程和程序,在发生实际或疑似攻击时应遵守, 入侵时, 未经授权的访问, 的损失, 或其他违反保密规定的, 可用性, 或太阳风保密信息的完整性.

个人信息的定义(GDPR) (Regulation (EU) 2016/679),以及其他适用的全球信息安全, 数据保护, 和隐私法, 指与已识别或可识别的自然人有关的任何信息. 可识别的人是指可以识别的人, 直接或间接, 根据身份证号或他身体状况的一项或多项具体因素, 生理, 精神, 经济, 文化或社会身份. 例子包括, 但不限于:全名(包括前缀和后缀), 个人识别号码(PIN)或密码, 支付卡信息或相关号码(e.g. CVV数量), 银行帐户信息, 电子邮件地址, 电话号码, 物理地址, 证明健康状况的资料(e.g. 既往治疗)或健康要求, 旅行证件如驾驶证号码, 州或国民身份证号码, 护照号码, 公民身份, 住院医生实习期, 出生日期, 性取向, 宗教, 工会会员, 社保号或签证号, 犯罪史, 生物特征或基因数据.

强认证”意味着使用比本文要求的密码更强的身份验证机制和身份验证方法. 强身份验证机制和方法的例子包括数字证书, 双因素身份验证, 和一次性密码.

强大的加密”意指使用密钥长度最少为256位的对称加密技术和长度最少为1024位的非对称加密技术,其强度须提供合理保证,以保护加密信息不受未经授权的访问,并足以保护加密信息的机密性和私隐性, 它包含了用于管理加密密钥和相关过程的文档化策略,足以保护作为加密算法输入的密钥和密码的机密性和私密性. 强加密包括但不限于:SSL v3.0 + / TLS v1.0+, 点对点隧道协议(PPTP), AES 256, FIPS 140-2(仅限美国政府), RSA 1024位, SHA1用户/ SHA2 / SHA3, 因特网协议安全(IPSEC), SFTP, SSH, Vormetric v4, 或WPA2.

技术和组织安全措施"指根据本资讯保安规定所要求进行的任何访问活动, 管理, 转移, 过程, 商店, 保留, 而且 destroy information or data; to disclose 而且 notify affected parties required under the 协议 而且 under applicable information privacy 而且 数据保护 法律; 而且 to safeguard information or data to 确保可用性, 完整性, 保密, 和隐私, 或通知个人任何未能保护此类信息或数据的情况. 措施包括但不限于根据成员国颁布的《bt365网址》(GDPR)(条例(EU) 2016/679)要求或解释为要求的措施, 美国《bt365网址》, 美国健康保险携带与责任法案(HIPAA), 以及任何其他国际和美国的.S. 法律, 官方法律解释, 或与本协议项下的信息或数据有关的判例.

供应商“系指本协定中规定的订约实体及其关联公司.

{{静态内容}}
{{CAPTION_TITLE}}

{{CAPTION_CONTENT}}

{{标题}}