DPA – Fournisseur

Addendum relatif au traitement des données des fournisseurs
(mai 2023)

Cet addenda relatif au traitement des données du fournisseur (« Fournisseur DPA”) est incorporé par référence et fait partie intégrante de l'accord ou de la commande pour laquelle BigID a obtenu le droit ou la licence d'abonnement pour utiliser les services et est conclu entre BigID et le fournisseur (collectivement les «Accord»).

Le présent ATD complète le Contrat et définit les conditions applicables au Traitement des Données Personnelles (définies ci-dessous) par le Fournisseur en vertu du Contrat. L'objectif du ATD est de garantir que ce Traitement est effectué conformément au droit applicable et dans le respect des droits et libertés des personnes dont les Données Personnelles sont Traitées.

Le fournisseur comprend, reconnaît et accepte que le présent DPA s'applique à lui-même et, dans la mesure requise par les lois ou réglementations applicables en matière de protection des données et de confidentialité, dans la mesure où le fournisseur traite des données personnelles.

Dans le cadre de la fourniture des Services à BigID conformément à l'Accord, le Fournisseur peut traiter des Données personnelles pour le compte de BigID et les Parties conviennent de se conformer aux dispositions suivantes concernant toutes les Données personnelles, chacune agissant raisonnablement et de bonne foi.

Conditions de traitement des données

1. Définitions

"Filiale" désigne toute entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec l'entité concernée aussi longtemps que le contrôle existe. "Contrôle", aux fins de la présente définition, signifie la propriété ou le contrôle direct ou indirect de plus de 50% des intérêts avec droit de vote de l'entité concernée.

« Accord(s) » « hall » désigne l'accord commercial entre BigID et le Fournisseur qui définit les conditions commerciales applicables aux services en vertu desquels les Informations Protégées seront traitées. Il peut s'agir, entre autres, d'un Contrat-cadre de services, d'un Contrat de services professionnels, d'un Contrat de SaaS et/ou d'un Contrat de traitement de données.

« BigID » désigne l'entité BigID qui est partie à la fois à l'Accord et au présent DPA, qui peut être BigID, Inc., une société constituée dans l'État du Delaware.

« Données personnelles BigID » désigne toutes les données personnelles, y compris les informations protégées, fournies au fournisseur par ou au nom de BigID dans le cadre du présent accord ou pour faciliter la fourniture de services.

« Fins commerciales » désigne l'utilisation de Données Personnelles à des fins opérationnelles ou à d'autres fins notifiées, à condition que l'utilisation des Données Personnelles soit raisonnablement nécessaire et proportionnée pour atteindre la finalité opérationnelle pour laquelle les Données Personnelles ont été collectées ou traitées, ou pour une autre finalité opérationnelle compatible avec le contexte dans lequel les Données Personnelles ont été collectées. Les catégories de Finalités Commerciales peuvent inclure : (a) Audit des Interactions avec les Consommateurs ; (b) Sécurité ; (c) Débogage ou Réparation des Services ; (d) Exécution des Services du Contrat, qui peuvent inclure, mais sans s'y limiter : la tenue ou l'entretien des comptes, la fourniture d'un service client, le traitement ou l'exécution des commandes et des transactions, la vérification des informations, le traitement des paiements, l'octroi de financements, la fourniture de services analytiques ou la fourniture de services similaires ; (e) Recherche Interne pour le Développement ; (f) Qualité, vérification et maintien de la sécurité des Services ; et (g) Utilisations transitoires à court terme à condition que les Données Personnelles ne soient pas divulguées à un autre tiers et ne soient pas utilisées pour créer un profil sur une personne concernée ou modifier l'expérience d'un individu en dehors de la transaction en cours.

"Consommateur" désigne la personne identifiée ou identifiable à laquelle se rapportent les Données Personnelles.

"Contrôleur" désigne une entité qui détermine les finalités et les moyens du traitement des données personnelles, y compris, le cas échéant, toute « entreprise » telle que définie par le CCPA, tel que modifié, et ses règlements d'application.

« Personne concernée » désigne la personne identifiée ou identifiable à laquelle se rapportent les Données Personnelles.

"Europe" désigne l'Espace économique européen (qui constitue les États membres de l'Union européenne et la Norvège, l'Islande et le Liechtenstein), ainsi que, aux fins du présent DPA, le Royaume-Uni et/ou la Suisse.

« Cryptage » désigne un cryptage basé sur des algorithmes testés, acceptés et sans compromis par l'industrie qui répondent au moins aux normes recommandées par le NIST pour les algorithmes de cryptage, telles que mises à jour.

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) (le « RGPD de l'UE »), ainsi que, aux fins du présent DPA, le Règlement général sur la protection des données du Royaume-Uni, tel qu'il fait partie du droit de l'Angleterre, du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de l'article 3 de la loi de 2018 sur le retrait de l'Union européenne (le « RGPD du Royaume-Uni »).

« Données personnelles » ou « Informations personnelles » désigne les informations personnelles qui identifient, décrivent, concernent, peuvent être associées ou pourraient raisonnablement être liées ou utilisées pour identifier (directement ou indirectement) toute personne physique ou tout ménage. Les données personnelles peuvent inclure, sans limitation : (i) le prénom et le nom, l’adresse du domicile ou autre adresse physique, le numéro de téléphone, le numéro de fax, l’adresse e-mail, le numéro de sécurité sociale ou tout autre identifiant officiel, le numéro de carte de crédit, les informations de compte financier, la signature, les informations du permis de conduire, les informations de la carte d’identité officielle, les images photographiques, les informations biométriques, la date de naissance, le nom de jeune fille de la mère ; les affiliations politiques ou religieuses ; l’orientation sexuelle ; les informations professionnelles ou éducatives ; les caractéristiques physiologiques, biologiques ou comportementales ; les données relatives au sommeil, à la santé ou à l’exercice ; les informations audio, électroniques, visuelles, thermiques, olfactives ou autres informations similaires ; (ii) tout indicateur de la santé ou de l’état mental d’un individu, tel qu’un dossier médical ou des antécédents médicaux, un plan de traitement médical ou un diagnostic établi par un professionnel de la santé ; (iii) les informations ou données collectées directement à partir de l’interaction d’une personne avec l’interface utilisateur d’une application, les données de géolocalisation ou d’autres informations électroniques ; (iv) les informations ou données collectées indirectement, telles que l'IMEI, l'UDID, l'adresse MAC, l'adresse IP, l'identifiant de cookie, etc. ; (v) les informations ou données collectées sur le comportement d'achat d'une personne, telles que l'historique ou les tendances d'achat et de transaction, les données de localisation, les données de navigation web et/ou mobile, l'historique de recherche web ou les applications utilisées qui sont liées à un profil unique ; (vi) les inférences qui permettraient d'établir un profil sur un consommateur reflétant ses préférences, caractéristiques, tendances psychologiques, prédispositions, comportement, attitudes, intelligence, capacités et aptitudes ; et (vii) tout autre élément de données réglementé par la loi applicable. Les Informations Personnelles incluent expressément les Informations Personnelles Identifiables ou IPI (communément comprises comme des éléments de données suffisants pour localiser, contacter ou identifier une personne). Sauf définition expresse dans les présentes, les termes en majuscules utilisés mais non définis auront le sens qui leur est attribué dans le CCPA et le RGPD.

"Traitement" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la restriction, l'effacement ou la destruction.

"Processeur" désigne une entité qui traite des données personnelles pour le compte d'un responsable du traitement, y compris, le cas échéant, tout fournisseur de services ou « contractant », tels que ces termes sont définis par le CCPA.

« Informations protégées » désigne les informations que BigID fournit au Fournisseur au cours de l'Accord, y compris, mais sans s'y limiter, les Données personnelles telles que définies dans l'Accord, ainsi que d'autres éléments, données, systèmes et autres informations concernant l'exploitation, l'activité, les projections, les objectifs du marché, les affaires financières, les produits, les clients et la propriété intellectuelle.

« Clauses contractuelles types » Désigne le module 2 des clauses contractuelles types annexées à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, tel que modifié ou remplacé périodiquement, et complété par les informations figurant à l'annexe 2 du présent APD. À la date du présent APD, les clauses contractuelles types sont disponibles [ici].

"Services" désigne les services fournis par le Fournisseur à BigID dans le cadre de l'Accord.

« Sous-traitant » désigne tout sous-traitant engagé par le Fournisseur. Le sous-traitant peut également inclure les agents et sous-traitants du Fournisseur.

« Autorité de surveillance » désigne (i) dans l'UE, une autorité publique indépendante établie par un État membre de l'UE conformément au RGPD de l'UE, et (ii) au Royaume-Uni, le Bureau du Commissaire à l'information du Royaume-Uni.

« Addendum du Royaume-Uni » désigne l'addendum britannique aux clauses contractuelles types (l'addendum britannique) qui, à la date du présent DPA, est disponible [ici]), en vertu de l’article 119A(1) de la loi sur la protection des données de 2018 (l’« addendum britannique publié »).

« Lois américaines sur la confidentialité des données » désigne la loi californienne sur la protection de la vie privée des consommateurs («CCPA”) tel que modifié par la California Privacy Rights Act («CPRA« ») et ses règlements d'application, la loi de Virginie sur la protection des données des consommateurs (« VCDPA« »), et une fois en vigueur, la loi sur la protection de la vie privée du Colorado (« ColCPA« »), Règles de la loi sur la protection de la vie privée du Colorado (« ColCPAR« », Loi sur la protection de la vie privée des consommateurs de l'Utah (« UCPA« », Loi sur la confidentialité des données personnelles et la surveillance en ligne du Connecticut (« CTDPA« », Loi sur la protection des données des consommateurs de l'Iowa (« ICDPA« », Loi sur la protection des données des consommateurs de l'Indiana (« INCDPA« », Loi sur la protection des informations du Tennessee (« TIPA« », Loi sur la confidentialité des données des consommateurs du Montana (« MCDPA« ), et toute autre loi d’État ou fédérale relative à la confidentialité ou à la protection des données, ainsi que leurs réglementations d’application respectives.

2. Traitement des données personnelles

1. Rôle des parties. Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données personnelles, BigID est le responsable du traitement, le fournisseur est le sous-traitant et le fournisseur engagera des sous-traitants conformément aux exigences énoncées dans la section 6 « Sous-traitants » ci-dessous.
2. Traitement des données personnelles par BigID. Dans le cadre de l'utilisation des Services, BigID traitera les Données personnelles conformément aux exigences des lois et réglementations relatives à la protection des données et à la confidentialité, y compris toute obligation applicable d'informer les Personnes concernées du recours au Fournisseur en tant que Sous-traitant. Afin d'éviter toute ambiguïté, les instructions de BigID relatives au Traitement des Données personnelles doivent être conformes aux lois et réglementations applicables en matière de protection des données et de confidentialité. BigID ne demandera pas au Fournisseur de traiter ou de divulguer des Données personnelles à d'autres fins que celles prévues dans le présent Avenant, le Contrat, les accords écrits entre les Parties ou la loi. BigID est seule responsable de l'exactitude, de la qualité et de la légalité des Données personnelles, ainsi que des moyens par lesquels elle les a acquises. BigID reconnaît expressément que son utilisation des Services ne violera pas les droits de tout Consommateur ou Personne concernée ayant refusé la vente ou toute autre divulgation de Données personnelles, dans la mesure applicable en vertu du CCPA.
3. Traitement des données personnelles par le fournisseur. Le Fournisseur accepte que toutes les Données personnelles collectées, consultées ou conservées par lui dans le cadre de l'exécution des Services restent la propriété de BigID. BigID peut fournir des Données personnelles au Fournisseur en vertu du présent Contrat et le Fournisseur s'engage à utiliser ces Données personnelles uniquement aux fins de l'exécution des Services tels que définis à l'Annexe 1 (Détails du traitement), sauf si le droit de l'UE ou d'un pays de l'EEE l'exige, auquel cas le Fournisseur devra en informer BigID par écrit, sauf si la loi applicable interdit la notification pour des motifs importants d'intérêt public.
4. Détails du traitement. Le traitement des données personnelles par le Fournisseur a pour objet l'exécution des Services conformément au Contrat. La durée, la nature et la finalité du Traitement, les types de Données personnelles et les catégories de Personnes concernées traitées en vertu du présent ATD sont précisés à l'Annexe 1 (Détails du Traitement) du présent ATD.
5. Conditions de traitement supplémentaires aux États-Unis. Lorsque BigID divulgue des données personnelles soumises aux lois américaines sur la confidentialité des données, les dispositions suivantes s'appliquent au traitement des données personnelles relatives à tout « consommateur » ou « résident » en vertu des lois américaines applicables sur la confidentialité des données :
   1. Le fournisseur s'engage à se conformer aux instructions de BigID concernant le traitement des données, y compris la nature et la finalité du traitement, le type de données soumises au traitement, la durée du traitement et les droits et obligations des deux parties tels qu'énoncés dans le présent avenant, l'accord, et conformément aux lois et réglementations applicables.
   2. Le fournisseur doit s'assurer que chaque personne traitant des données personnelles est soumise à un devoir de confidentialité à l'égard des données et que les données personnelles restent protégées par le niveau approprié de mesures de sécurité techniques et organisationnelles adaptées au risque et aux données traitées.
   3. Sur demande raisonnable de BigID, le Fournisseur mettra à sa disposition toutes les informations en sa possession nécessaires pour démontrer son respect des obligations énoncées dans la législation américaine applicable en matière de confidentialité des données. Cette disposition ne s'applique pas aux données traitées conformément à l'UCPA.
   4. Le Fournisseur devra, sur instruction de BigID, supprimer ou restituer à BigID toutes les données personnelles demandées à la fin de la prestation des Services, sauf si la conservation des données personnelles est requise par la loi. Cette disposition ne s'applique pas aux données traitées en vertu de l'UCPA.
   5. Après avoir donné à BigID la possibilité de s'opposer, le Fournisseur doit engager tout sous-traitant (ou « agent » tel que défini par l'ICDPA) en vertu d'un contrat écrit conformément aux termes du présent avenant, de l'accord et de toutes les lois américaines applicables sur la confidentialité des données, qui exigent que le sous-traitant respecte les obligations ou devoirs de traitement du Fournisseur en ce qui concerne les données personnelles.
   6. Le Fournisseur s'engage à autoriser et à coopérer aux évaluations, audits ou inspections raisonnables effectués par BigID ou l'évaluateur désigné par BigID. Le Fournisseur peut également faire appel à un évaluateur ou auditeur qualifié et indépendant pour réaliser une évaluation, un audit ou une inspection de ses politiques et mesures techniques et organisationnelles afin de respecter ses obligations conformément aux lois américaines sur la confidentialité des données, en utilisant une norme ou un cadre de contrôle et une procédure d'évaluation ou d'audit appropriés et reconnus. Le Fournisseur fournira un rapport de ces évaluations, audits ou inspections à BigID sur demande.
   7. Le fournisseur s'engage à fournir les informations nécessaires pour permettre à BigID de mener et de documenter les évaluations de protection des données et doit aider BigID à se conformer et à remplir ses obligations concernant les demandes d'accès des personnes concernées.
   8. Le Fournisseur doit aider BigID à respecter ses obligations relatives à la sécurité du traitement des données personnelles et aux notifications en cas de violation du ou des systèmes de sécurité du Fournisseur ou des sous-traitants du Fournisseur.
   9. Le fournisseur accorde à BigID le droit, sur préavis, d'arrêter et de remédier à l'accès et à l'utilisation non autorisés des données personnelles.
   10. Dans le cas où le Fournisseur reçoit ou utilise des données pseudonymes ou des données dépersonnalisées dans le cadre du Contrat, le Fournisseur doit mettre en œuvre et respecter toutes les mesures de protection garantissant que les données personnelles traitées ne peuvent pas être retracées jusqu'aux individus, ainsi que toutes les exigences relatives aux données pseudonymes ou aux données dépersonnalisées énoncées dans les lois américaines pertinentes et applicables sur la confidentialité des données.
   11. Le fournisseur ne doit pas divulguer, diffuser, rendre disponible, transférer ou communiquer de quelque autre manière que ce soit des données personnelles à des tiers, à l'exception des sous-traitants de BigID qui sont liés par des conditions conformes à celles énoncées dans le présent DPA.
   12. Le fournisseur s'engage à informer BigID sans délai injustifié s'il détermine qu'il ne peut pas respecter ses obligations.

3. Conditions de traitement supplémentaires en Californie

Lorsque BigID divulgue des données personnelles soumises au California Consumer Privacy Act (« CCPA »), tel que modifié par le California Privacy Rights Act (« CPRA »), et à ses règlements d'application, les dispositions suivantes s'appliquent au traitement des données personnelles relatives à tout « consommateur » ou « ménage » en vertu du CCPA :

1. Le fournisseur accepte que toutes les données personnelles collectées, consultées ou conservées par le fournisseur au cours de l'exécution des services restent la propriété de BigID.
2. BigID peut divulguer des Données personnelles au Fournisseur en vertu du présent Contrat, et le Fournisseur s'engage à utiliser ces Données personnelles uniquement aux fins de l'exécution des Services. Afin d'éviter toute ambiguïté, les parties reconnaissent que les Données personnelles communiquées par BigID au Fournisseur sont fournies uniquement à des fins commerciales.
3. Le fournisseur est un fournisseur de services (tel que ce terme est défini dans le CCPA) pour BigID et ne doit donc pas conserver, utiliser, modifier, transformer, partager ou divulguer des données personnelles autrement que comme indiqué dans le contrat ou comme expressément autorisé par le CCPA.
4. BigID ne doit pas demander au Fournisseur de traiter ou de divulguer des Données personnelles autrement que comme indiqué dans l'Accord, le DPA et comme convenu autrement entre les Parties, ou comme autrement autorisé par le CCPA.
5. Le fournisseur ne doit pas vendre, partager ou revendre les données personnelles qui lui sont fournies dans le cadre de son rôle de fournisseur de services.
6. Le Fournisseur ne doit pas divulguer, diffuser, rendre disponible, transférer ou communiquer de quelque autre manière que ce soit des Données Personnelles à des tiers, à l'exception des sous-traitants du Fournisseur qui sont liés par des conditions conformes à celles énoncées dans le présent DPA.
7. Le fournisseur s'engage à informer et à fournir une notification écrite à BigID s'il détermine qu'il n'est plus en mesure de respecter ses obligations en vertu du CCPA, dans le délai spécifié.
8. Le fournisseur s'engage à mettre en œuvre des mesures de sécurité techniques et organisationnelles raisonnables adaptées à la nature des informations personnelles pour protéger les informations personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés ou illégaux.
9. Le fournisseur accorde à BigID le droit, sur préavis, d'arrêter et de remédier à l'accès et à l'utilisation non autorisés des données personnelles.
10. Dans le cas où le Fournisseur reçoit ou utilise des données anonymisées dans le cadre du Contrat, le Fournisseur est contractuellement tenu de se conformer à toutes les exigences relatives aux données anonymisées énoncées dans le CCPA.
11. Rien dans cette section n'oblige BigID à divulguer des secrets commerciaux, comme spécifié dans le CCPA et ses règlements d'application.

4. Droits des personnes concernées

1. Demande de la personne concernée. Le Fournisseur doit, dans la mesure où la loi le permet, informer BigID dans les meilleurs délais, dans un délai d'au moins cinq (5) jours ouvrables, si une Personne Concernée lui demande spécifiquement d'exercer son droit d'accès, de rectification, de limitation du Traitement, d'effacement (« droit à l'oubli »), de portabilité des données, d'opposition au Traitement ou son droit de ne pas faire l'objet d'une décision individuelle automatisée, chaque demande étant une « Demande de la Personne Concernée ». Compte tenu de la nature du Traitement, le Fournisseur doit assister BigID en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l'obligation de BigID de répondre à une Demande de la Personne Concernée en vertu des lois et réglementations relatives à la protection des données et de la vie privée. En outre, si BigID, dans le cadre de son utilisation des Services, n'est pas en mesure de répondre à une Demande d'une Personne Concernée, le Fournisseur devra, à la demande de BigID, déployer des efforts commercialement raisonnables pour l'aider à y répondre, dans la mesure où la loi l'y autorise et où la réponse à cette Demande est requise par les lois et réglementations relatives à la protection des données et à la confidentialité. Dans la mesure où la loi le permet, BigID sera responsable de tous les coûts découlant de cette assistance.

5. Dispositions européennes spécifiques

1. Conformité. Le Fournisseur, en tant que Sous-traitant, a respecté et continuera de respecter toutes les lois applicables en matière de confidentialité et de protection des données, y compris, mais sans s'y limiter, le RGPD et la législation britannique mise à jour. BigID, en tant que Responsable du traitement, est tenu de s'assurer que, concernant les Données personnelles et les Services :
   1. Elle s'est conformée et continuera de se conformer à toutes les réglementations applicables en matière de protection des données et aux lois sur la confidentialité, y compris la législation de l'UE sur la protection des données ; et
   2. Elle a et continuera d'avoir le droit de transférer ou de donner accès aux données personnelles à BigID pour traitement conformément aux termes de l'accord, y compris le présent DPA.
2. Évaluation de l'impact sur la protection des données. À la demande de BigID, le Fournisseur s'engage à lui fournir la coopération et l'assistance raisonnables nécessaires pour remplir son obligation, en vertu du RGPD, de réaliser une analyse d'impact relative à la protection des données liée à l'utilisation des Services par BigID, dans la mesure où BigID n'a pas accès aux informations pertinentes et dans la mesure où ces informations sont à la disposition du Fournisseur. Le Fournisseur s'engage à fournir à BigID une assistance raisonnable dans la coopération ou la consultation préalable avec une autorité de contrôle dans l'exécution de ses tâches relatives à la présente section 4.2 du présent DPA, dans la mesure requise par le RGPD.
3. Autorités de surveillance. Le fournisseur doit, dans la mesure où la loi le permet, informer BigID sans délai injustifié si une autorité de surveillance ou une autorité chargée de l'application de la loi fait une demande de renseignements ou de divulgation concernant des données personnelles.
4. Entrée dans les clauses contractuelles types : Les clauses contractuelles types et les conditions supplémentaires précisées dans la présente section sont incorporées par référence au présent ATD et s'appliquent aux transferts de données personnelles au Fournisseur par (i) le Fournisseur s'il est soumis aux lois et réglementations européennes en matière de protection des données, et (ii) ses sociétés affiliées. Dans la mesure où un tel transfert de données personnelles est :
   1. soumis au RGPD du Royaume-Uni et non au RGPD de l'UE, les clauses contractuelles types seront alors modifiées conformément à l'addendum du Royaume-Uni, ou
   2. soumis à la fois au RGPD du Royaume-Uni et au RGPD de l'UE, BigID et le Fournisseur doivent alors se conformer aux clauses contractuelles types (a) telles qu'elles sont, et (b) sur une base parallèle, telles que modifiées par l'addendum du Royaume-Uni, mais uniquement dans la mesure où le transfert de données personnelles est soumis au RGPD du Royaume-Uni et sans préjudice de leurs obligations en vertu des clauses contractuelles types.

Aux fins des clauses contractuelles types (y compris l'addendum britannique, le cas échéant), BigID et ses sociétés affiliées seront chacune considérées comme un « exportateur de données » et le fournisseur sera considéré comme l'« importateur de données ».

6. Personnel du fournisseur

1. Confidentialité. Le Fournisseur s'assure que tout le personnel impliqué dans le traitement des Données personnelles est informé de la nature sensible de ces Données, a reçu une formation appropriée sur ses responsabilités et a signé des accords de confidentialité écrits. Le Fournisseur s'assure également que ses employés sont informés de ses obligations, ainsi que de leurs devoirs personnels et/ou obligations découlant du Contrat et des lois applicables.
2. Responsabilité. Le Fournisseur doit informer ses employés que tout manquement à leurs obligations en matière de traitement des Informations Protégées peut entraîner des mesures disciplinaires. Le Fournisseur demeure légalement responsable des obligations exécutées par ses employés et de leurs actes ou omissions, comme s'il s'agissait d'actes ou d'omissions de sa part.
3. Fiabilité. Le Fournisseur doit prendre des mesures commercialement raisonnables pour garantir la fiabilité de tout personnel du Fournisseur engagé dans le traitement des données personnelles.
4. Limitation de l'accès. Le Fournisseur doit s'assurer que son accès aux Données Personnelles est limité au personnel exécutant les Services conformément à l'Accord.
5. Délégué à la protection des données. Le fournisseur a désigné un délégué à la protection des données. Cette personne peut être contactée à l'adresse [à remplir par le fournisseur].

7. Sous-traitance

1. 1. Sous-traitants. Le Fournisseur ne doit pas divulguer les Données Personnelles de BigID à des tiers sans le consentement écrit préalable de BigID. Le Fournisseur doit (i) s'assurer que tous les Sous-traitants fournissent des garanties suffisantes concernant les mesures techniques et organisationnelles régissant le traitement des Données Personnelles et prendre des mesures raisonnables pour s'assurer que les Sous-traitants se conforment à ces mesures ; (ii) que tout contrat écrit conclu avec les Sous-traitants les oblige à agir uniquement selon ses instructions et leur impose l'obligation de respecter la confidentialité et la sécurité des Données Personnelles qu'ils peuvent être amenés à traiter ; (iii) que tous les Sous-traitants, au minimum, satisfont à toutes les exigences détaillées dans le présent document ; et (iv) que le Fournisseur demeure responsable des obligations exécutées par les Sous-traitants et de leurs actes ou omissions comme s'il s'agissait d'actes ou d'omissions de sa part.
   2. Partage des données BigID avec les sous-traitantsDans le cas où le Fournisseur partage ou divulgue des Données personnelles BigID à un Sous-traitant ou à un tiers (avec ou sans le consentement de BigID), le Fournisseur doit : (a) être responsable de s'assurer que les personnes auxquelles il accorde l'accès aux Données personnelles BigID se conforment à toutes les garanties d'utilisation, de sécurité et de confidentialité requises applicables prévues dans le présent Contrat et toutes les lois ou réglementations sur la protection des données et la confidentialité ; et (b) le Fournisseur sera entièrement responsable de tout acte ou omission du tiers lié aux Données personnelles BigID, sauf indication contraire dans le Contrat ou le Bon de commande associé.
   3. Liste des sous-traitants. Le Fournisseur doit mettre à la disposition de BigID, par écrit ou sous forme d'avenant au présent Addendum relatif à la protection des données, la liste actuelle des Sous-traitants, incluant leur identité et leurs coordonnées, ainsi que leur pays de localisation, s'il est connu (la « Liste des Sous-traitants »), incluant le nom du Sous-traitant, les services pour lesquels il est sous contrat et la région dans laquelle il héberge les Données BigID. La Liste des Sous-traitants à la date de signature du présent ATD sera considérée comme autorisée par BigID.
   4. Modifications apportées aux sous-traitants. Si le Fournisseur doit ajouter ou modifier sa Liste de Sous-traitants, il doit en informer BigID dans un délai de 60 jours à l'avance. BigID peut s'opposer à la nomination de Sous-traitants supplémentaires dans un délai de trente (30) jours calendaires à compter de cet avis pour des motifs raisonnables liés à la Protection des Données Personnelles si ce Sous-traitant ne peut pas respecter les normes du présent DPA, auquel cas le Fournisseur aura le droit de remédier à l'objection par l'une des options suivantes : (a) le Fournisseur annulera son projet de recourir au Sous-traitant pour les Données Personnelles ou proposera une alternative pour fournir les Services sans ce Sous-traitant ; ou (b) le Fournisseur prendra les mesures correctives demandées par BigID dans son objection (qui lèvent l'objection de BigID) et procédera au recours au Sous-traitant pour les Données Personnelles ; ou (c) Si aucune des options ci-dessus n'est raisonnablement disponible et que l'objection n'a pas été résolue à la satisfaction mutuelle raisonnable des parties dans un délai de trente (30) jours après la réception par le Fournisseur de l'objection de BigID, l'une ou l'autre des parties peut résilier le Contrat et BigID aura droit à un remboursement au prorata des frais prépayés pour les Services d'abonnement non exécutés à la date de résiliation.
   5. Responsabilité. Le Fournisseur sera entièrement responsable des actes et omissions de ses Sous-traitants dans la même mesure où il serait responsable s'il exécutait les services de chaque Sous-traitant directement en vertu des termes du présent DPA, sauf disposition contraire du Contrat.

8. Sécurité

1. Contrôles pour la protection des données personnelles
   1. Le Fournisseur doit mettre en œuvre et maintenir un programme écrit de sécurité de l'information (« PSSI ») intégrant des mesures de protection administratives, techniques et physiques conçues pour garantir raisonnablement la sécurité, la confidentialité et l'intégrité des Données Personnelles et autres données, y compris les informations reçues dans le cadre des Services, conformément aux lois sur la protection des données. Le Fournisseur doit fournir à BigID une copie ou un résumé de son PSSI dans les meilleurs délais à la demande de BigID. Le Fournisseur doit, au minimum, maintenir un PSSI qui utilise des mesures raisonnables pour : (a) garantir la sécurité et la confidentialité des Données Personnelles ; (b) se protéger contre toute menace ou tout danger anticipé pour la sécurité ou l'intégrité des Données Personnelles ; (c) se protéger contre tout accès non autorisé aux Données Personnelles, leur modification, leur destruction, leur divulgation ou leur utilisation qui pourraient causer un préjudice important à toute personne ou à BigID ; (d) prévoir la manière dont tout incident de sécurité (tel que défini dans les présentes) des Données Personnelles sera traité ; (e) être géré par un cadre supérieur chargé de la supervision et de la mise en œuvre du programme ; et (f) être adapté à la nature, à la taille et à la complexité des activités commerciales du Fournisseur. Un tel WISP doit respecter les normes actuelles de l'industrie, se conformer à toutes les normes spécifiques de sécurité de l'information contenues dans les lois applicables en matière de protection des données, y compris notamment, le cas échéant, les mesures visées à l'article 32 du RGPD ainsi que les exigences contenues dans le Massachusetts Code of Regulations, 201 CMR Sections 17.00 et seq.
   2. Le fournisseur doit, à tout moment, mettre en place des mesures de sécurité techniques et organisationnelles appropriées afin que les informations protégées soient protégées contre tout traitement non autorisé ou illégal et contre toute perte ou destruction accidentelle, ou tout dommage.
   3. Le Fournisseur doit procéder périodiquement à une évaluation des risques et mettre en œuvre rapidement, à ses frais, un plan d'action correctif pour corriger tout problème signalé suite à cette évaluation ou à tout test d'analyse, de vulnérabilité ou de pénétration. Le Fournisseur doit réaliser au moins : (i) des analyses de vulnérabilité trimestrielles ; et (ii) des tests de pénétration annuels.
   4. Les informations personnelles peuvent être anonymisées ou agrégées dans le cadre des Services, mais uniquement dans la mesure où cette anonymisation ou agrégation, selon le cas, répond aux normes pour une telle activité qui sont requises en vertu des lois américaines pertinentes et applicables sur la confidentialité des données.
2. Confidentialité du traitement BigID doit s'assurer que toute personne qu'elle autorise à traiter les données personnelles (y compris son personnel, ses agents, ses sous-traitants et ses sous-traitants) sera soumise à une obligation de confidentialité qui survivra à la fin de son emploi et/ou de sa relation contractuelle.
3. Entraînement Le fournisseur organisera une formation de sensibilisation à la sécurité de l'information pour tous les employés impliqués dans la prestation de services. Cette formation vise à garantir que tous les intervenants soient conscients de la nécessité de protéger les informations BigID et des politiques et procédures associées. Les employés et les prestataires utilisant les systèmes et services d'information de l'organisation sont tenus de signaler toute faille de sécurité informatique constatée ou suspectée.
4. Hébergement Le Fournisseur doit fournir à BigID des informations concernant le(s) lieu(x) et le(s) service(s) d'hébergement qu'il utilise pour héberger les Données Personnelles de BigID (le « Service d'Hébergement »). Le Fournisseur doit informer BigID, par écrit, au moins soixante (60) jours à l'avance, de son intention de transférer le Service d'Hébergement vers un autre prestataire tiers. Cette notification doit inclure le nom et le lieu de résidence du nouveau Service d'Hébergement. Dans un tel cas, BigID se réserve le droit de résilier le Contrat moyennant un préavis de trente (30) jours adressé au Fournisseur.
5. Contrôle de l'accès aux données BigID Le Fournisseur doit mettre en œuvre des mesures et des contrôles de sécurité commercialement raisonnables pour garantir que l'accès aux données personnelles BigID soit limité à son personnel et à ses agents autorisés qui ont besoin de les connaître uniquement aux fins prévues par le(s) Contrat(s). Sans préjudice de ce qui précède, le Fournisseur s'engage à ce que :
   1. Le fournisseur doit disposer d'un inventaire de tous les actifs de l'entreprise (logiciels, matériel, etc.) susceptibles d'accéder aux données personnelles BigID. Cet inventaire doit au minimum enregistrer et suivre la description, la propriété, la localisation et les utilisateurs assignés des actifs.
   2. Le Fournisseur doit s’assurer que seuls ses employés qui pourraient être requis par le Fournisseur pour l’aider à remplir ses obligations en vertu de l’Accord auront accès aux Informations Protégées.
   3. Le fournisseur doit appliquer le principe du moindre privilège (c'est-à-dire que chaque individu ne dispose que des capacités d'accès minimales nécessaires pour répondre aux exigences de l'entreprise) lorsqu'il fournit aux employés l'accès aux systèmes contenant des informations protégées.
   4. Le fournisseur doit s’assurer que seuls ses administrateurs système disposent des privilèges nécessaires pour créer des comptes d’accès aux systèmes contenant des informations protégées.
   5. L'accès aux systèmes contenant des informations protégées doit être contrôlé par une procédure de connexion sécurisée. Les utilisateurs ne doivent pas partager leurs noms, comptes ou mots de passe.
   6. Le fournisseur doit s’assurer que chaque utilisateur accédant aux systèmes contenant des informations protégées est identifiable de manière unique.
   7. Le fournisseur doit s'assurer que les employés accédant aux informations protégées à distance sont authentifiés à l'aide de mécanismes d'authentification à deux facteurs via une connexion sécurisée.
   8. L’accès aux informations protégées, y compris les comptes d’utilisateur et les mots de passe, doit être révoqué immédiatement lorsqu’il n’est plus nécessaire.
   9. Le fournisseur doit conserver les coordonnées de tous les employés ayant accès aux informations protégées.
   10. Le fournisseur doit informer tout le personnel exposé ou ayant accès aux données personnelles BigID des exigences du fournisseur en matière d'utilisation, de confidentialité et de sécurité des informations et doit s'assurer que chacun est lié par des obligations légales non moins restrictives que les termes du présent accord.
   11. Le fournisseur doit effectuer des examens réguliers de l'accès des utilisateurs aux informations protégées (par exemple, au moins tous les 6 mois et rapidement après tout changement tel qu'une promotion, une rétrogradation ou une cessation d'emploi).
   12. Le fournisseur doit conserver des journaux d'événements de sécurité sur les systèmes stockant, traitant ou transmettant des informations protégées afin de permettre le suivi de l'activité du système (par exemple, date, auteur et lieu). Ces journaux doivent être conservés pendant au moins 365 jours et consultés régulièrement pour détecter toute activité non autorisée ou illégale.
   13. Le fournisseur doit s’assurer que des contrôles d’accès physique appropriés sont en place là où les informations protégées sont stockées.
   14. L'accès ne doit pas être accordé dans les zones publiques et les sorties telles que les impressions doivent être effectuées dans des zones où seul le personnel de l'organisation autorisé à accéder aux informations protégées peut y accéder.
   15. Le fournisseur ne doit pas utiliser ou divulguer les données personnelles de BigID pour contacter ou commercialiser auprès des clients ou des employés de BigID.
6. Stockage des informations protégées
   1. Le Fournisseur reconnaît et accepte que toute information protégée collectée par lui pour le compte de BigID en vertu du présent Contrat soit au moins logiquement séparée des informations relatives à tout autre client du Fournisseur. Le Fournisseur déclare et garantit que son infrastructure de base de données est protégée en permanence par des pare-feu Internet conformes aux normes industrielles en vigueur et que les données BigID seront logiquement séparées.
   2. Les dossiers électroniques et papier contenant des informations protégées doivent être stockés dans une pièce ou une zone verrouillée où l’accès est contrôlé.
   3. Les informations protégées ne doivent pas être stockées sur des terminaux, des appareils mobiles, des disques durs externes ou des supports amovibles (par exemple, des clés USB, des CD ou des DVD) sans le consentement écrit préalable de BigID.
   4. Des sauvegardes peuvent être effectuées si elles ne permettent pas un accès plus large que lorsque les informations sont stockées dans le système informatique. Les supports de sauvegarde doivent être stockés de manière sécurisée. Des contrôles supplémentaires, tels que le chiffrement, doivent être utilisés.
   5. Les informations protégées stockées par le fournisseur doivent être sécurisées à l'aide d'un cryptage.
   6. Le fournisseur doit s'assurer qu'un logiciel antivirus/antimalware approprié est déployé sur tous les systèmes d'information traitant des informations protégées au sein de son organisation. Il doit également s'assurer que ce logiciel antivirus/antimalware est à jour et utilise les signatures et définitions de virus et de logiciels malveillants les plus récentes.
7. Transfert d'informations protégées
   1. Le fournisseur ne doit pas divulguer d'informations protégées à un tiers dans des circonstances autres que celles spécifiées dans l'addendum sur la protection des données ou à la demande écrite spécifique de BigID.
   2. Sous réserve de l'obligation du fournisseur en matière de reprise après sinistre et de continuité des activités en vertu de Section 11 (Sauvegarde et reprise après sinistre)Le vendeur ne doit en aucun cas transférer, utiliser ou traiter des informations protégées en dehors de la juridiction du Service d'hébergement du fournisseur en vertu de l'article 4 ou comme décrit dans un amendement au présent addendum, sauf autorisation écrite de BigID.
   3. Concernant les transferts d'Informations Protégées vers et depuis BigID et tout Sous-traitant : (i) Tous les transferts électroniques d'Informations Protégées doivent être sécurisés par cryptage. Les Informations Protégées ne doivent pas être envoyées en clair via des connexions non cryptées. (ii) Lors du transfert d'Informations Protégées sur papier, le document doit être étiqueté « BigID Confidential » et envoyé par courrier sécurisé dans des enveloppes à double enveloppe, scellées de manière à ce que toute altération du sceau soit immédiatement visible. (iii) Lors du transfert d'Informations Protégées à l'aide de supports amovibles (par exemple, CD, clé USB, disques durs externes), tous les supports doivent être étiquetés « BigID Confidential », doivent être sécurisés par cryptage approprié et envoyés dans des enveloppes à double enveloppe, scellées de manière à ce que toute altération du sceau soit immédiatement visible. (iv) Si le Fournisseur utilise un service de courrier sécurisé pour le transfert d'Informations Protégées, il doit s'assurer que le service de courrier sécurisé ne remet l'enveloppe à un contact spécifié qu'après examen d'une pièce d'identité photographique originale et valide (par exemple, un laissez-passer, un permis de conduire ou un passeport délivré par BigID). Après la livraison, une signature doit être obtenue pour confirmation de réception. Si le destinataire spécifié n'est pas disponible, la livraison doit être retardée ou, si elle ne peut être effectuée, l'enveloppe doit être retournée sans avoir été ouverte. (v) Le Fournisseur doit toujours obtenir l'autorisation écrite de BigID avant de transférer des Informations Protégées ne répondant pas aux critères ci-dessus. (vi) La chaîne de traçabilité des Informations Protégées de BigID doit être clairement définie et suivie par des transferts officiels, y compris des signatures d'acceptation. (vii) Le Fournisseur doit conserver, pendant toute la durée du Contrat, et aussi longtemps que la loi l'exige, des enregistrements complets et exacts de tous les transferts d'Informations Protégées en rapport avec le Contrat.
8. Suppression des données À la résiliation ou à l'expiration du Contrat, ou à tout moment sur demande écrite de BigID, le Fournisseur devra, conformément aux termes du Contrat et à la demande de BigID, supprimer toutes les Informations Protégées en sa possession, sauf dans la mesure où la loi applicable l'oblige à conserver tout ou partie de ces Informations Protégées. Le Fournisseur devra supprimer toutes les Données Personnelles de ses systèmes (et, le cas échéant, de ses Sous-traitants) conformément aux Directives du National Institute of Standards and Technology (NIST) pour la désinfection des supports. Dans la mesure du possible, la destruction sécurisée sera vérifiée par une deuxième personne autorisée. Le Fournisseur devra certifier par écrit, dans les trente (30) jours suivant la demande de destruction de BigID, que ces actions ont été effectuées. Lorsque la loi applicable l'oblige à conserver tout ou partie des Informations Protégées, le Fournisseur devra étendre les protections du Contrat et du présent DPA à ces Informations Protégées et limiter tout Traitement ultérieur de ces Informations Protégées aux seules fins limitées qui nécessitent leur conservation, tant qu'il les conservera.
9. Gestion des incidents
   1. Le fournisseur doit s’assurer que des procédures de gestion des incidents sont en place dans toute son organisation, qu’elles sont communiquées à tout le personnel et que les incidents sont enregistrés.
   2. En cas de perte ou de corruption de Données Personnelles, le Fournisseur s'engage à déployer des efforts commercialement raisonnables pour restaurer les Données Personnelles perdues ou corrompues à partir de la dernière sauvegarde de ces Données Personnelles conservée par le Fournisseur, conformément à ses procédures d'archivage. Ces incidents seront enregistrés et feront l'objet d'une enquête conformément aux procédures de gestion des incidents de sécurité du Fournisseur. Le Fournisseur devra informer BigID par écrit dans les quarante-huit (48) heures suivant la prise de connaissance d'une faille de sécurité, d'un piratage, d'une divulgation non autorisée, d'un accès, d'une acquisition ou de toute autre perte ou utilisation de toute information personnelle BigID (« Incident de sécurité »).
      1. L'avis du Fournisseur doit inclure, au minimum : (a) une description de la violation ou de la perte, y compris la date à laquelle elle s'est produite ; (b) le nombre de personnes concernées et leurs États de résidence ; (c) une description des informations consultées, acquises, perdues et/ou utilisées à mauvais escient ; (d) si la violation ou la perte était informatisée, électronique ou papier ; (e) si ces informations étaient cryptées ou non ; (f) si les clés de chiffrement ou les mots de passe ont pu être compromis ; et (g) une description des mesures prises pour enquêter sur l'incident, sécuriser les systèmes du Fournisseur ou récupérer les informations perdues, et empêcher la répétition de nouvelles violations de sécurité ou pertes du même type. Dans le cadre de tout incident de sécurité, le Fournisseur fournira à BigID une copie du ou des rapports d'expertise judiciaire applicables.
      2. Sauf si la loi applicable l'exige, le Fournisseur s'engage à ne pas informer un tiers d'un tel incident de sécurité sans le consentement écrit préalable de BigID. Si une telle divulgation est requise par la loi applicable, le Fournisseur s'engage à consulter BigID et à obtenir son approbation (qui ne peut être refusée ou retardée sans motif raisonnable) concernant le contenu de cette divulgation avant de procéder à celle-ci. Sans préjudice de ce qui précède, BigID déterminera la partie qui effectuera toute divulgation aux autorités chargées de l'application de la loi ou de la réglementation concernant une violation de données, et le Fournisseur s'engage à se conformer à la décision de BigID.
      3. En cas d'incident de sécurité réel concernant des données personnelles, le Fournisseur devra coopérer avec BigID, à ses frais si la violation de données est due à une ou plusieurs défaillances, erreurs ou omissions de contrôle du Fournisseur (ou de tout tiers dont il est responsable en vertu de l'article 5(2)), afin (a) d'évaluer plus en détail la nature et la portée de cet incident de sécurité et d'examiner tous les dossiers pertinents dans la mesure où ces dossiers concernent BigID et ne compromettent pas les obligations de confidentialité du Fournisseur envers des tiers ; (b) de prendre d'autres mesures correctives raisonnablement nécessaires ou appropriées pour atténuer le risque découlant de l'utilisation ou de la divulgation non autorisée des informations personnelles de BigID ; et (c) de fournir des notifications de violation, sur demande raisonnable, fournies et approuvées par BigID, aux personnes concernées, les informant que leurs informations personnelles ont été consultées ou autrement compromises. Le Fournisseur devra coopérer pleinement avec tous les organismes gouvernementaux de réglementation et les forces de l'ordre compétents pour enquêter sur une violation de données.
10. Vérification et audit
    1. Le fournisseur conservera une attestation AICPA SOC 2 Type 2 pour les critères de services de confiance en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de confidentialité, ainsi qu'une évaluation de l'impact sur la confidentialité réalisée par un auditeur tiers indépendant reconnu et qualifié du secteur, aux frais du fournisseur.
    2. Chaque audit sera réalisé conformément aux normes et règles de l'organisme de réglementation ou d'accréditation pour chaque norme de contrôle applicable aux cadres de sécurité et de confidentialité. Les rapports d'audit générés par ces audits seront confidentiels pour le Fournisseur et contiendront les conclusions importantes de l'auditeur. À la demande de BigID et dans le cadre d'un accord de confidentialité, le Fournisseur fournira le rapport d'audit afin que BigID puisse vérifier sa conformité au cadre de sécurité adopté.
    3. À la demande de BigID, et au maximum une fois par période de 12 mois, sauf si un incident de sécurité est survenu avant, le Fournisseur devra remplir un questionnaire sur le programme de sécurité de l'information fourni par BigID (« Examen de sécurité »). Le Fournisseur s'engage à coopérer pleinement à cet examen de sécurité et à apporter à son programme de sécurité de l'information toutes les modifications commercialement raisonnables qui, suite à cet examen, sont nécessaires pour garantir sa conformité avec le présent avenant, à ses propres frais.
    4. Le Fournisseur reconnaît et accepte que BigID ou un tiers désigné par BigID (collectivement, le « Contrôleur ») a le droit, afin de vérifier le respect des exigences des présentes Conditions, d'examiner les conditions, les dossiers et/ou les installations du Fournisseur et de ses sous-traitants ou sociétés affiliées qui fournissent des biens et/ou des services liés au traitement, au transport ou au stockage des Informations BigID. BigID annoncera son intention d'examiner le Fournisseur conformément aux présentes Conditions en adressant un préavis d'au moins cinq (5) jours ouvrables au Fournisseur. Le Fournisseur fournira à Contrôleur l'accès à son site, à ses systèmes et à ses dossiers dans la mesure raisonnablement nécessaire pour évaluer le respect des exigences des présentes Conditions. À la demande raisonnable de BigID, le Fournisseur fournira à Contrôleur un guide personnel du site lors de sa présence sur place. Le Fournisseur mettra à la disposition de Contrôleur, pour des entretiens en personne ou par téléphone, tous ses employés et/ou sous-traitants afin de leur fournir des informations et de coopérer dans le cadre de la vérification prévue aux présentes. Une telle vérification sera aux frais de BigID, à moins qu'elle ne révèle un non-respect important des exigences des présentes Conditions, auquel cas elle sera à la charge du Vendeur.
11. Sauvegarde et reprise après sinistre
    1. Le fournisseur doit maintenir un plan de reprise après sinistre et de continuité des activités définissant la manière dont les informations protégées seront récupérées à partir des bandes de sauvegarde et des systèmes d'information hors site, ainsi que la continuité des activités de l'entreprise pendant la période de reprise. Les objectifs de temps de reprise (RTO) et de point de reprise (RPO) doivent être définis et communiqués à BigID sur demande.
    2. Le fournisseur doit tester le plan de reprise après sinistre et de continuité d'activité au moins une fois par an afin de valider les procédures de reprise après sinistre et de continuité d'activité, ainsi que les RTO et RPO. Ces tests doivent intégrer des scénarios de défaillance de zone de disponibilité et de défaillance régionale.
    3. Le Fournisseur doit effectuer régulièrement des sauvegardes chiffrées des Informations Protégées traitées sur ses systèmes d'information. La fréquence des sauvegardes dépendra du type, du volume et de la fréquence de modification des Informations Protégées traitées par le Fournisseur, conformément aux accords conclus avec BigID.
12. Développement du système
    1. Le fournisseur doit conserver une documentation sur l'architecture globale du système, du réseau et des applications, les flux de données, les flux de processus et les fonctionnalités de sécurité pour toutes les applications qui traitent ou stockent des informations protégées. Le fournisseur doit utiliser des directives, des normes et des protocoles de programmation sécurisés et documentés pour le développement des applications qui traitent ou stockent des informations protégées.
    2. Le fournisseur doit disposer d'un programme documenté pour les revues de code sécurisées et conserver la documentation des revues de code sécurisées effectuées pour toutes les applications qui stockent ou traitent des informations protégées.
    3. Le fournisseur doit utiliser une méthodologie de modèle de menace pour identifier les principaux risques pesant sur les actifs et fonctions importants fournis par toutes les applications qui stockent ou traitent des informations protégées, effectuer une analyse des erreurs de programmation les plus courantes et documenter par écrit qu'elles ont été atténuées.
    4. Le Fournisseur appliquera les correctifs les plus récents pour les systèmes d'exploitation, les bases de données et les applications déployés dans son environnement informatique sur tous les postes de travail et serveurs, selon un calendrier établi en fonction de leur criticité. Le Fournisseur devra prendre les mesures appropriées pour garantir que les correctifs ne compromettent pas la sécurité des ressources informatiques concernées.
    5. Le Fournisseur s'engage à mettre en œuvre un programme efficace et documenté de gestion des changements concernant les Services, faisant partie intégrante de son profil de sécurité. Ce programme comprend des environnements logiquement ou physiquement séparés de la production pour toutes les activités de développement et de test. Le Fournisseur ne doit pas utiliser d'Informations Protégées dans les environnements de développement ou de test, sauf si ces Informations Protégées ont été suffisamment nettoyées pour ne pas présenter de risque d'incident de sécurité.
    6. Le fournisseur doit informer BigID et accepter par écrit toute modification importante apportée à tout système utilisé pour traiter les informations protégées.

9. Assurance cybernétique et confidentialité

Outre les exigences d'assurance énoncées dans le Contrat, le Fournisseur doit souscrire, à ses frais, une assurance confidentialité et cybersécurité (ou équivalent) d'un montant minimum de cinq millions de dollars américains ($5 000 000) pour chaque sinistre ou réclamation. La couverture doit être suffisamment étendue pour répondre aux devoirs et obligations du Fournisseur dans le cadre du présent Contrat et doit inclure, sans s'y limiter, les réclamations pour atteinte à la propriété intellectuelle, y compris, mais sans s'y limiter, la violation du droit d'auteur, de la marque, de l'habillage commercial, l'atteinte à la vie privée, le vol d'informations, la détérioration ou la destruction d'informations électroniques, la divulgation d'informations privées, l'altération d'informations électroniques, l'extorsion et la sécurité du réseau. La police doit couvrir les frais de réponse aux violations et les amendes réglementaires directement applicables au Fournisseur, avec des limites suffisantes pour répondre à ces allégations ou à la limite de responsabilité applicable indiquée dans le Contrat. La date de couverture rétroactive ne peut être postérieure à la date d'entrée en vigueur du présent Contrat. Le vendeur doit maintenir cette couverture pendant toute la durée du présent contrat et pendant une période d’au moins un (1) an après l’expiration, l’annulation ou la résiliation du présent contrat.

10. Résiliation et survie

1. Le fournisseur cessera de traiter les informations protégées à la résiliation ou à l’expiration du contrat.
2. Les dispositions des présentes Conditions relatives à la protection des Informations Protégées survivront à la résiliation du Contrat ou des présentes Conditions et resteront en vigueur aussi longtemps que le Fournisseur disposera des Informations Protégées.

11. Divers

1. Le fournisseur accepte que BigID ait le droit de modifier unilatéralement, avec un préavis raisonnable fourni au fournisseur, les exigences du présent avenant dans la mesure nécessaire pour rester en conformité avec la législation nationale ou fédérale contenant des normes supplémentaires ou différentes liées au traitement des données personnelles, et ces modifications prendront automatiquement effet soixante (60) jours après la fourniture de cet avis (ou plus tôt si nécessaire pour se conformer à la loi).
2. Sauf modification apportée par le présent DPA, l’Accord restera pleinement en vigueur.
3. En cas de conflit entre l’Accord et le présent DPA, les termes du présent DPA prévaudront.
4. Toute réclamation formulée en vertu du présent DPA sera soumise aux termes et conditions de l'Accord, y compris, mais sans s'y limiter, aux exclusions et limitations qui y sont incluses.

ANNEXE 1 – DÉTAILS DU TRAITEMENT

Nature et finalité du traitement
Le Fournisseur (et ses sous-traitants) traitera les données personnelles nécessaires à l'exécution des Services conformément au Contrat et selon les instructions complémentaires de BigID concernant l'utilisation des Services. Cela comprend :

À remplir par le vendeur

Durée et fréquence du traitement, et période pendant laquelle les données personnelles seront conservées

À remplir par le vendeur

Catégories de personnes concernées
BigID peut soumettre des Données personnelles aux Services, dont l'étendue est déterminée et contrôlée par BigID à sa seule discrétion, et qui peuvent inclure, mais sans s'y limiter, des Données personnelles relatives aux catégories de personnes concernées suivantes :

À remplir par le vendeur

Type de données personnelles
BigID peut soumettre des Données personnelles aux Services, dont l'étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure, mais sans s'y limiter, les catégories de Données personnelles suivantes :

À remplir par le vendeur

ANNEXE 2 – INFORMATIONS SUR LES CLAUSES CONTRACTUELLES TYPES

Lorsque les clauses contractuelles types s'appliquent :

• L’annexe IA est complétée avec les noms, adresses et personnes de contact des parties tels qu’énoncés dans l’accord.
• Les signatures de chaque partie et la date du présent DPA sont réputées insérées.
• Le rôle de BigID est spécifié comme « contrôleur » et le rôle du fournisseur est spécifié comme « processeur ».
• L'annexe IB est complétée par les informations énoncées à l'annexe 1 du présent DPA, ainsi que par les détails des restrictions et garanties énoncées à l'annexe 3 du présent DPA qui, compte tenu de la nature des données et des risques encourus, s'appliquent à toutes les données personnelles transférées, y compris les données sensibles.
• L’annexe II est complétée par les détails des mesures techniques et organisationnelles énoncées à l’annexe 3 du présent DPA.
• L'annexe IC est complétée comme suit :
  • Lorsque le traitement des données personnelles par BigID n'entre pas dans le champ d'application du RGPD de l'UE, le bureau du commissaire à l'information du Royaume-Uni est alors inséré en tant qu'autorité de contrôle compétente, conformément à l'addendum du Royaume-Uni.
  • Lorsque le traitement des données personnelles par BigID entre dans le champ d'application du RGPD de l'UE, l'autorité de contrôle compétente sera soit (i) l'autorité de contrôle de l'État membre de l'UE dans lequel BigID est établi, soit (ii) (si BigID n'est pas établi dans l'UE) l'État membre de l'UE dans lequel le client a désigné son représentant dans l'UE, soit (iii) (si le client n'est pas établi dans l'UE et n'a pas désigné de représentant dans l'UE) la Commission irlandaise de protection des données.
• L'option 1 est supprimée de la clause 9(a) et (sous réserve de l'article 6.4 du présent ATD) le délai applicable est de quatorze (14) jours calendaires. La « liste convenue » visée dans cette disposition constitue la liste des sous-traitants mentionnée à l'article 6.2 du présent ATD.
• Le libellé facultatif de l’article 11(a) est supprimé.
• L'option 2 est supprimée de l'article 17, et :
  • lorsque le traitement des données personnelles par BigID n'entre pas dans le champ d'application du RGPD de l'UE, la loi applicable sera alors celle de l'Angleterre et du Pays de Galles ; mais
  • lorsque le traitement des données personnelles par BigID relève du champ d'application du RGPD de l'UE, la loi applicable sera la loi de la République d'Irlande.
• La clause 18(b) est complétée comme suit :
  • Lorsque le traitement des données personnelles par BigID n'entre pas dans le champ d'application du RGPD de l'UE, avec les mots « Angleterre et Pays de Galles » ; ou
  • Lorsque le traitement des données personnelles par BigID entre dans le champ d'application du RGPD de l'UE, avec les mots « la République d'Irlande ».

Lorsque l'addendum du Royaume-Uni s'applique, en plus des informations relatives aux clauses contractuelles types énoncées dans la présente annexe ci-dessus :

• Le tableau 1 est complété en indiquant la date de début de l'accord, ainsi que les dénominations sociales et commerciales, l'adresse principale, le numéro d'enregistrement officiel, le nom du contact principal, l'intitulé du poste et les coordonnées (y compris l'adresse courriel) des parties, tels qu'ils figurent dans l'accord. Les signatures de chaque partie sont réputées apposés dans l'accord principal.
• Les tableaux 2 et 3 sont complétés avec les informations relatives aux clauses contractuelles types énoncées dans la présente annexe, applicables à un transfert conformément à l'article 4.4 du présent DPA. La première option du tableau 2 est sélectionnée et ce tableau est complété avec la date de l'accord.
• Le tableau 4 est complété afin que l'une ou l'autre des parties puisse mettre fin à l'addendum britannique si l'addendum britannique est modifié par le bureau du commissaire à l'information du Royaume-Uni, et les parties conviennent qu'une fois l'addendum britannique terminé, BigID ne transférera plus de données personnelles soumises au RGPD britannique au client en vertu de l'accord et du présent DPA, à moins qu'une autre mesure de protection de transfert n'ait été mise en place à la satisfaction raisonnable de BigID.

ANNEXE 3 – MESURES DE SÉCURITÉ

La présente annexe 3, Mesures de sécurité («Mesures de sécurité« »), est incorporé par référence et fait partie intégrante de l'accord de traitement des données (« DPA« »). Tous les termes commençant par une majuscule non définis dans les présentes Mesures de sécurité ou dans l'Accord sur la protection des données auront la signification qui leur est attribuée dans le Contrat. Le Fournisseur appliquera les mesures de protection suivantes pour protéger les données et autres informations (y compris les métadonnées) (« »).Données”) que BigID ou ses clients ou d'autres utilisateurs finaux importent ou créent en utilisant les produits et services du fournisseur («Services« » ou fournir autrement au Vendeur :

1. Programme de sécurité de l'information

Le Fournisseur doit maintenir un programme de sécurité de l'information complet et écrit, conforme aux normes du secteur en matière de protection organisationnelle, opérationnelle, administrative, physique et technique régissant le traitement, le stockage et la transmission des Données, et adapté aux risques liés au traitement des Données dans le cadre des Services prévus au Contrat, afin d'empêcher tout accès aux Données d'une manière non autorisée par le Contrat ou la présente Annexe. Le Fournisseur doit définir la responsabilité de la révision continue du programme de sécurité de l'information afin de garantir raisonnablement son adéquation, son adéquation et son efficacité. Ce programme doit inclure au minimum, sans s'y limiter, les exigences de la présente Annexe.

2. Développement et tests d'applications sécurisées

1. Le fournisseur doit suivre des pratiques de développement et de codage d'applications sécurisées et doit établir un cadre de développement et de maintenance d'applications qui protège la sécurité et l'intégrité des données et des services conformément aux directives de référence rapide des pratiques de codage sécurisé de l'OWASP et aux documents qui y sont référencés, tels que mis à jour périodiquement.
2. Le Fournisseur doit utiliser des programmes de pointe continuellement mis à jour conçus pour garantir que les Services seront exempts de tout virus, logiciel malveillant, routine de programme, appareil ou autre fonctionnalité non divulguée (collectivement, « Logiciel malveillant »), y compris, sans limitation, une bombe à retardement, un verrou logiciel, un appareil à panne totale, une logique malveillante, un ver, un cheval de Troie ou une trappe, capable de supprimer, désactiver, corrompre, endommager, altérer, perturber, modifier, effacer, interférer avec ou autrement nuire ou fournir un accès non autorisé aux Données, ou aux autres informations ou données, matériels, machines virtuelles, conteneurs, programmes, codes, ressources ou bases de données de BigID ou de toute autre partie.
3. Le Fournisseur effectuera des analyses de vulnérabilité/tests d'intrusion des Services au moins tous les six mois et fera appel à un prestataire tiers de confiance pour effectuer ces tests au moins une fois par an. Sur demande, le Fournisseur fournira des résumés d'évaluation de la vulnérabilité ou des lettres d'attestation, ainsi qu'une description des plans d'action correctifs. BigID peut effectuer ou faire appel à un tiers pour effectuer des analyses de vulnérabilité/tests d'intrusion des Services.
4. Le Fournisseur doit classer les logiciels malveillants et les vulnérabilités de sécurité conformément aux méthodologies d'évaluation des risques standard du secteur (telles que celles du NIST) et prendre rapidement les mesures appropriées pour atténuer les risques avant de pouvoir fournir un correctif de sécurité. Il doit installer un correctif de sécurité approprié et testé, supprimant/corrigeant complètement les logiciels malveillants et les vulnérabilités identifiés dans les 7 jours suivants pour un risque critique, 30 jours pour un risque élevé, 90 jours pour un risque modéré ou 180 jours pour un risque faible. Si les données ont été affectées par le logiciel malveillant ou une vulnérabilité, le Fournisseur doit assister et coopérer avec BigID pour toute divulgation nécessaire ou appropriée et pour toute autre mesure d'enquête, de correction et de surveillance.

3. Notifications de violation 
Le Fournisseur doit, dès que raisonnablement possible et au plus tard quarante-huit (48) heures après en avoir pris connaissance, informer BigID par courriel à l'adresse [email protected] de toute violation de la sécurité des données, en incluant tous les faits pertinents dont il a connaissance ou a des raisons de croire qu'ils se sont produits ou pourraient s'être produits ou sur lesquels il enquête. Le Fournisseur doit aider et coopérer avec BigID pour toute divulgation nécessaire ou appropriée et autres mesures d'enquête, de réparation et de surveillance suite à une violation de la sécurité des données. « Violation de la sécurité des données » désigne ici toute divulgation, accès, acquisition, traitement, transfert ou élimination non autorisé, réel ou raisonnablement suspecté, de données suite à une violation de la sécurité, une perte, une corruption ou toute autre circonstance.

4. Réponses aux incidents de sécurité
Le Fournisseur doit maintenir une équipe d'intervention en cas d'incident de sécurité composée de personnel qualifié, capable de se réunir rapidement pour traiter tout incident et de se concentrer sur la mise en œuvre de procédures en cas de violation de la sécurité des données ou de violation de toute application ou système directement associé à l'accès, au traitement, au stockage, à la communication ou à la transmission des données. Ces procédures doivent comprendre : (a) l'évaluation du risque posé par l'incident et la détermination des personnes potentiellement concernées ; (b) le signalement interne ainsi que le processus de « Notification de violation » décrit plus haut ; (c) la conservation d'un enregistrement permanent des actions entreprises et de leurs auteurs afin de faciliter l'analyse ultérieure et d'éventuelles poursuites judiciaires ; (d) la réalisation et la documentation de l'analyse des causes profondes et du plan de remédiation ; et (e) la remédiation complète et rapide de la violation de la sécurité des données et de toute violation connexe de toute application ou système.

5. Autres notifications 

Le Fournisseur doit, dès que raisonnablement possible et sans délai injustifié après en avoir pris connaissance, et au plus tard 48 heures plus tard, informer BigID par e-mail à [email protected] de :

1. Toute demande d'accès ou d'information concernant des Données émanant d'un fonctionnaire public (y compris toute agence de protection des données ou tout organisme chargé de l'application de la loi), ainsi que toute demande, plainte ou autre communication concernant les informations personnelles d'un individu reçue de la part de cette personne dont les informations personnelles sont ou pourraient être incluses dans les Données. Le Fournisseur comprend qu'il n'est pas autorisé à répondre à ces demandes, sauf autorisation expresse de BigID, sauf demande émanant d'une agence gouvernementale accompagnée d'une assignation à comparaître ou d'un document juridique similaire obligeant le Fournisseur à divulguer ces informations, à condition que le Fournisseur prévienne BigID au préalable, si possible ; ou
2. Tout logiciel malveillant (tel que défini ci-dessus) ou vulnérabilité au sein des Services ou du réseau ou des systèmes associés qui stockent et traitent les données qui présente un risque pour la sécurité des données ou est susceptible d'avoir un impact négatif sur BigID ou ses clients ou utilisateurs finaux.

6. Cryptage
Le fournisseur doit crypter tous les enregistrements et fichiers contenant des données, au repos et en transit, en utilisant une norme de cryptage standard de l'industrie à jour pour les données confidentielles et les informations personnelles.

7. Vérifications des antécédents et formation à la sécurité 
Le fournisseur doit obtenir des vérifications d'antécédents appropriées pour toutes les personnes (employés, entrepreneurs ou sous-traitants, etc.) qui peuvent avoir accès aux données ou à tout environnement de développement ou de test ou code source («Personnes concernéesLe Fournisseur n'autorisera aucune Personne Concernée à accéder aux Données, aux environnements de développement ou de test ou au code source si ces parties ne réussissent pas cette vérification des antécédents. Sans restreindre la généralité de ce qui précède, dans la mesure où cela est compatible avec les lois applicables, le Fournisseur n'autorisera aucune Personne Concernée à accéder à un tel accès si celle-ci a été reconnue coupable, ou a plaidé coupable ou n'a pas contesté, un crime ou un délit impliquant un vol, une malhonnêteté, une fraude ou des délits informatiques, au cours des sept (7) années précédentes. Le Fournisseur fournira un niveau approprié de supervision, d'orientation et de formation sur les mesures de protection du programme de sécurité de l'information et l'importance de la sécurité des informations personnelles aux Personnes Concernées avant que cet accès ne soit accordé, puis sur une base annuelle.

8. Continuité des opérations commerciales
Le Fournisseur doit mettre en place des plans de continuité d'activité et de reprise après sinistre afin de maintenir un niveau de service conforme à ses obligations contractuelles et aux normes du secteur, y compris, mais sans s'y limiter, des procédures de sauvegarde quotidienne de toutes les Données. Le Fournisseur doit tester périodiquement, et en tout état de cause au moins une fois par an, de manière complète et réussie ces plans de continuité d'activité et de reprise après sinistre. Sur demande, le Fournisseur doit fournir les journaux d'activité et les résultats des tests pour examen par BigID. Les jeux de données de sauvegarde doivent être protégés de manière appropriée par des contrôles d'accès stricts, un chiffrement et les autres exigences de la présente Annexe.

9. Fournisseur de centre de données distinct ou autres sous-traitants (le cas échéant) 
Si le Fournisseur utilise le centre de données d'un tiers pour héberger ses Services, ou fait appel à un sous-traitant pour fournir une partie des Services ou des services d'assistance associés, il doit s'assurer que le tiers respecte toutes les exigences qui lui sont applicables aux présentes. Le Fournisseur doit immédiatement informer BigID si le fournisseur tiers ne respecte pas les exigences des présentes, y compris, mais sans s'y limiter, tout manquement à la mise à jour des certifications de sécurité, validations, audits ou autres justificatifs tiers.

10. Sécurité physique et environnementale

1. Le fournisseur doit établir un périmètre de sécurité autour des installations de traitement des données et de l'environnement de travail physique où les données sont stockées ou traitées, qui comprend (ai) des contrôles d'entrée physique pour garantir raisonnablement que seules les personnes autorisées ont accès à ces installations et (bii) des contrôles environnementaux pour se protéger raisonnablement contre les dommages causés par le feu, les inondations et d'autres formes de catastrophes naturelles ou d'origine humaine.
2. Le passage des barrières physiques doit être assuré soit par un contrôle d'accès électronique (par exemple, systèmes de cartes d'accès, etc.), soit par un personnel de sécurité humain (par exemple, service de sécurité contractuel ou interne, réceptionniste, etc.). Les employés et autres tiers se verront attribuer des badges d'identité avec photo qu'ils devront porter lorsqu'ils se trouvent dans les locaux.
3. Les visiteurs doivent s'enregistrer auprès du personnel désigné, présenter une pièce d'identité appropriée et se voir attribuer un badge d'identification de visiteur qui doit être porté pendant que le visiteur se trouve dans l'une des installations, et doivent être continuellement escortés par des employés ou des entrepreneurs autorisés lors de la visite des installations.
4. Le Fournisseur ne doit accorder l'accès aux installations qu'aux employés et tiers qui en ont un besoin professionnel légitime. Lorsqu'un employé ou un tiers n'a plus besoin des privilèges d'accès qui lui ont été attribués, ces privilèges doivent être révoqués sans délai, même si l'employé ou le tiers continue d'être employé ou d'entretenir une relation de tiers avec le Fournisseur.
5. Le fournisseur doit maintenir dans toutes les installations de traitement des données des dispositifs de détection et d'extinction d'incendie, de fumée, de chaleur et d'eau. Des systèmes d'alimentation de secours suffisants doivent être mis en place, le cas échéant, pour garantir une alimentation électrique ininterrompue.

11. Restrictions d'accès aux données ; contrôles
Les Données sont strictement confidentielles. Dans la mesure où BigID autorise le Fournisseur, son personnel, ses prestataires ou ses sous-traitants à accéder aux Données, les dispositions suivantes s'appliquent :

1. Le Fournisseur ne mettra les Données à disposition que de ses employés ou de tiers ayant un besoin professionnel légitime d'y accéder afin de l'aider à remplir ses obligations contractuelles avec BigID. Ces derniers sont tenus par des obligations juridiquement contraignantes en matière de confidentialité, de respect de la vie privée et de sécurité des données, au moins équivalentes à celles prévues dans le Contrat et la présente Annexe, et ont reçu une formation sur le traitement approprié des Données. De plus, le consentement de BigID doit être obtenu chaque fois qu'une telle personne a accès à des Données. Ce consentement doit être donné par écrit (par exemple, par courriel) ou par l'ouverture d'une session de partage d'écran par BigID.
2. Le Fournisseur doit mettre en place un processus formel de gestion des accès utilisateurs. L'accès est demandé formellement, approuvé après vérification d'identité et accordé selon le principe du moindre privilège. L'accès aux Données est réservé aux utilisateurs et comptes utilisateurs actifs. L'accès des employés licenciés ou n'ayant plus besoin de cet accès est immédiatement révoqué. Des processus doivent être mis en place pour réviser périodiquement l'accès des utilisateurs aux installations et systèmes du Fournisseur qui stockent et traitent les Données.
3. Le fournisseur doit utiliser des protocoles d’authentification utilisateur sécurisés, notamment en attribuant des identifications uniques et des mots de passe forts à chaque personne ayant accès à l’ordinateur.
   1. Les mots de passe ne doivent pas être des mots de passe par défaut fournis par le fournisseur et doivent être conservés dans un emplacement et/ou un format qui ne compromettent pas la sécurité des données qu'ils protègent.
   2. L'affichage et l'impression des mots de passe doivent être masqués, supprimés ou autrement obscurcis, de sorte que des tiers non autorisés ne puissent les consulter ni les récupérer ultérieurement. Les mots de passe ne doivent pas être enregistrés ni saisis lors de leur saisie. Les mots de passe des utilisateurs doivent être stockés et transmis uniquement avec une protection cryptographique.
   3. Le mot de passe de chaque technologie doit être choisi de manière à atténuer les risques liés aux vulnérabilités connues liées à sa longueur, conformément aux meilleures pratiques du secteur. La longueur du mot de passe ne doit en aucun cas être inférieure à douze (12) caractères. Le niveau de complexité du mot de passe ne doit pas être inférieur à trois classes de caractères sur quatre et doit proposer des choix de classes de caractères tels que des majuscules, des minuscules, des chiffres ou des caractères spéciaux (tels que $, &, #, @, etc.).
   4. Lorsque la technologie mise en œuvre le permet, un mécanisme doit être en place pour empêcher la réutilisation d'au moins les vingt-quatre (24) derniers mots de passe. Les mots de passe doivent être modifiés après tout incident, conformément aux bonnes pratiques du secteur.
4. Les identifiants utilisateur et les mots de passe ne doivent pas être partagés sans l'approbation formelle de BigID pour les systèmes qui stockent, accèdent et transmettent des données.
5. L'accès à l'identification de l'utilisateur sera bloqué après cinq (5) tentatives infructueuses. Des délais d'inactivité ne dépassant pas 30 minutes seront appliqués à tous les systèmes et applications stockant des données.
6. Le Fournisseur doit mettre en place une surveillance raisonnable des systèmes pour détecter toute utilisation ou tout accès non autorisé aux Données. Les violations de connexion et d'accès, réelles ou tentées, doivent être consignées. Ces journaux doivent être protégés pendant toute leur durée de vie afin de garantir leur confidentialité et leur intégrité, et conservés pendant toute la durée du Contrat. Sur demande, les journaux doivent être fournis à BigID dans un format électronique sécurisé.
7. L'accès à distance au réseau, aux systèmes et aux applications du Fournisseur qui stockent les données doit être établi après approbation formelle, au moyen d'une authentification forte. Les activités d'accès à distance doivent être enregistrées et surveillées. L'accès à distance au réseau BigID ne doit être établi que sur demande et conformément aux politiques de BigID.
8. Le Fournisseur doit conserver un enregistrement de toutes les demandes d'accès et des journaux d'activité pour tous les systèmes qui stockent, consultent, traitent et transmettent des Données pendant une période d'au moins 180 jours. Sur demande, le Fournisseur doit fournir ces enregistrements à BigID pour examen.
9. Le fournisseur doit assurer la séparation des tâches liées à l'administration de la sécurité, à la vérification des accès et aux enquêtes sur les violations de sécurité. Il doit également établir une séparation entre le personnel de développement et celui des opérations, ainsi que d'autres rôles potentiellement conflictuels.
10. Le stockage, l'hébergement et le traitement des données doivent être logiquement distincts de ceux des autres entreprises desservies par le Fournisseur. Dans les cas où un espace de travail partagé de stockage, d'hébergement ou de traitement est autorisé par BigID, le Fournisseur doit faire preuve de diligence raisonnable afin d'éviter toute divulgation accidentelle de données.
11. Le fournisseur doit appliquer des politiques de bureau propre/écran clair pour garantir que les données ne soient pas laissées sans surveillance dans un lieu public à aucun moment.

12. Sécurité du réseau

1. Le Fournisseur doit utiliser des versions à jour de ses produits de sécurité système, tels que des pare-feu, des proxys, des pare-feu d'applications web et des interfaces. Ces produits doivent inclure une protection contre les logiciels malveillants, des correctifs et des définitions de virus à jour, et être configurés pour recevoir régulièrement les mises à jour de sécurité les plus récentes. Le Fournisseur doit installer et exécuter des programmes antivirus et anti-malware à jour pour détecter et supprimer rapidement les virus et les logiciels malveillants sur tous les ordinateurs portables, serveurs et réseaux.
2. Le fournisseur doit disposer d'un processus de gestion des correctifs qui comprend le test des correctifs avant l'installation sur tous les systèmes utilisés pour stocker, accéder et transmettre des données ou utilisés pour fournir des services à BigID.
3. Le fournisseur doit s’assurer que les administrateurs système conservent des informations complètes, exactes et à jour concernant la configuration de tous les systèmes d’information utilisés pour stocker, accéder et transmettre les données.
4. Le fournisseur doit maintenir des processus de détection et/ou de prévention des intrusions, de surveillance et de réponse de manière à identifier les vulnérabilités et les risques internes et externes qui pourraient entraîner une divulgation non autorisée, une mauvaise utilisation, une altération ou une destruction des données ou des systèmes d'information utilisés pour fournir des services à BigID.
5. Le fournisseur doit s'abonner à des services de renseignement sur les vulnérabilités ou à des avis de sécurité de l'information et à d'autres sources pertinentes fournissant des informations actuelles sur les vulnérabilités du système.
6. Le Fournisseur effectuera des analyses de vulnérabilité et des tests d'intrusion trimestriels sur son réseau et fera appel à un prestataire tiers de confiance pour réaliser ces tests au moins une fois par an. Sur demande, le Fournisseur fournira des résumés d'évaluation de vulnérabilité ou des lettres d'attestation, ainsi qu'une description des plans d'action correctifs. BigID peut effectuer ou faire appel à un tiers pour effectuer des analyses de vulnérabilité et des tests d'intrusion des Services.
7. Le Fournisseur doit classer les vulnérabilités de sécurité réseau conformément aux méthodologies d'évaluation des risques standard du secteur et prendre rapidement les mesures appropriées pour atténuer les risques avant de pouvoir obtenir et installer un correctif de sécurité. Le Fournisseur doit installer un correctif de sécurité approprié et testé, supprimant/corrigeant complètement les vulnérabilités réseau identifiées, dans les 7 jours suivants pour un risque critique, 30 jours pour un risque élevé, 60 jours pour un risque modéré ou 90 jours pour un risque faible. Si les données ont été affectées par l'exploitation d'une vulnérabilité réseau, le Fournisseur doit assister et coopérer avec BigID pour toute divulgation nécessaire ou appropriée et pour toute autre mesure d'enquête, de correction et de surveillance.
8. Le fournisseur doit conserver les journaux d'accès au réseau et à distance pendant au moins six (6) mois et les mettre à la disposition de BigID sur demande.

13. Gestion d'actifs 
Le fournisseur doit disposer et utiliser un processus et des outils documentés pour suivre les actifs physiques et de données utilisés dans le développement, les tests ou la fourniture des services, y compris les personnes appropriées responsables de chaque actif.

14. Retour et destruction des données 
À la discrétion écrite de BigID, dans les trente (30) jours suivant la résiliation du présent Contrat, le Fournisseur devra, à ses frais : (a) livrer toutes les Données à BigID de manière sécurisée dans un format standard non propriétaire ; ou (b) organiser la destruction sécurisée et définitive de toutes les Données des Services, ainsi que de tout le matériel et autres ressources associés, y compris, mais sans s'y limiter, toutes les ressources de sauvegarde et tous les supports de stockage. À la demande de BigID, le Fournisseur devra fournir une confirmation écrite de la restitution et de la destruction des Données.

15. Audits et inspections

Le Fournisseur devra se soumettre, à ses frais, à un audit ou une attestation de sécurité tiers conforme aux normes du secteur (par exemple, SOC 2, Type 2) réalisé par un organisme indépendant et devra fournir à BigID, sur demande, un rapport produit au moins une fois par an afin de vérifier et d'assurer l'efficacité des contrôles internes sur le traitement des Données. La portée de cet audit devra inclure l'environnement utilisé pour traiter les Données et les systèmes hôtes qui les stockent, y accèdent et les transmettent. L'audit doit couvrir, au minimum, un test d'efficacité des contrôles internes concernant : (i) la sécurité physique et les contrôles environnementaux du centre de données ; (ii) la sécurité du personnel ; (iii) les contrôles d'accès logiques et physiques des utilisateurs ; (iv) la séparation des tâches ; (v) la sécurité de l'infrastructure ; (vi) les opérations de sécurité ; (vii) la gestion des incidents de sécurité de l'information ; (viii) la gestion du changement ; (ix) les contrôles de surveillance et d'examen ; (x) les contrôles applicatifs ; et (xi) la continuité des activités. BigID peut résilier le Contrat en tout ou en partie sans aucune responsabilité si un tel rapport d'audit identifie des défaillances matérielles et que le Fournisseur ne répare pas ces défaillances matérielles dans les trente (30) jours suivant la réception de l'avis de BigID exigeant que le Fournisseur le fasse ; dans ce cas, le Fournisseur fournira un remboursement au prorata de tous les frais payés d'avance.

BigID peut exiger du Fournisseur qu'il remplisse un questionnaire standard de sécurité des données de manière précise et complète, une fois par an, ou plus fréquemment en cas de violation de la sécurité des données. De plus, en cas de violation de la sécurité des données, le Fournisseur s'engage à fournir à BigID des copies et/ou des informations raisonnables concernant son programme écrit de sécurité des informations. BigID aura également le droit de procéder (ou de faire procéder par un tiers professionnel) à des inspections et/ou audits raisonnables des protocoles de sécurité des informations du Fournisseur dans ses installations où les Données sont traitées ou où sont hébergés les systèmes qui stockent, accèdent et transmettent les Données. Le Fournisseur s'engage à coopérer avec BigID concernant ces inspections ou audits. BigID s'efforcera de mener ces inspections ou audits de manière à ne pas interférer de manière déraisonnable avec ses activités. Si les conclusions d'une inspection ou d'un audit révèlent ou indiquent des problèmes ou préoccupations de sécurité, BigID les détaillera dans une notification au Fournisseur et collaborera avec lui pour identifier les moyens de corriger les problèmes et de répondre aux préoccupations à la satisfaction raisonnable de BigID. Dans le cas où le Fournisseur ne peut pas corriger ces problèmes à la satisfaction raisonnable de BigID, BigID aura le droit de résilier immédiatement le présent Contrat ; dans ce cas, le Fournisseur fournira un remboursement au prorata de tous les frais prépayés.

EN FOI DE QUOI, les Parties ont fait exécuter le présent Addenda et les annexes ci-jointes ci-dessous par leurs signataires dûment autorisés à compter de la Date d'entrée en vigueur de l'Addenda :

BIGID, INC.

Nom: ______________________________

Titre: ______________________________

Contact: _____________________________

Date: _______________________________

[FOURNISSEUR]

Nom: ______________________________

Titre: ________________________________

Contact: _____________________________

Date: ________________________________