2018年5月2日
供应商合同规定
这是有关第三方和供应商管理的系列文章中的第二篇。的 第一篇 讨论了在网络安全范围内与供应商合同有关的注意事项。
在分包商,外包以及隐私和安全法的环境中签约可能是快节奏,复杂且繁重的。像大多数合同一样,通常只有在发生违约时才会出现复杂情况。此外,在网络安全和外包的情况下,合同违约的成本可能会急剧增加,具体取决于事件是否在安全违规的情况下发生以及相关的报告要求。因此,提前起草自己的清单和标准规定以满足公司的隐私和安全要求可以在将来节省时间和金钱。
一旦起草了这些标准条款,就可以将其纳入各种协议中,或者与清单一起使用以评估供应商协议。建议您在供应商协议中涵盖以下主题:
- 客户数据的一般安全和保密约定
- 标准机密性例外不应适用(即,在违规情况下公开的客户数据仍应视为机密)
- 符合安全标准和年度认证
- 审核报告
- 现场安全审核和渗透测试
- 检测安全故障的审核成本
- 遵守隐私和数据安全法
- 数据位置,处理和存储
- 数据传输,包括远程访问
- 书面信息安全政策
- 物理,技术和组织安全措施
- 安全事件报告
- 定义事件,个人信息和事件报告的时间段
- 限制分包和第一级分包商以及所有子级和分处理器的义务流转
- 背景调查和人员筛选
- 数据最小化并符合记录保留策略
- 系统访问限制
- 足够的网络责任范围
- 对数据(包括汇总,派生或匿名数据)的二次使用的限制
- 更改政策和标准以响应法律变化或新威胁的权利
- 直接从人员那里获得承诺的权利
- 要求使用生物识别技术等新技术的权利(如果有)
- 安全漏洞的成本,例如向消费者的数据泄露通知,信用监控服务,法医调查和漏洞识别成本
- 其他损害赔偿和责任上限(即间接损害和直接损害)
- 违反触发的终止权
起草和谈判第三方与供应商的合同可能是艰巨而复杂的。有关如何浏览谈判和供应商合同的问题,请联系 福斯特·斯威夫特(Foster Swift)业务& corporate attorney.
联系作者
分享
