安全要求

Seagate 和公司已通过一份以主协议、采购订单或其他合同文件形式签订的协议达成购买商品和/或服务的约定，并通过引用将本安全要求并入该协议（以下合称“协议”）。除非本安全要求中另有定义，协议中定义的所有术语仍保留其原本含义。协议中对“Seagate”、“客户”或类似称呼的所有引述，均指在协议中所标明的 Seagate 公司。协议中对“提供商”、“承包商”、“公司”或类似称呼的所有引述均指协议中的“公司”。

公司认同以下安全要求：

1. 定义
   1. “外部解决方案”是指由第三方提供商在 Seagate 内部基础设施之外管理并托管的任何服务、应用程序或软件。外部解决方案负责所有维护、更新和安全性。Seagate 通过互联网访问外部解决方案，并依赖外部解决方案来保证系统性能、可用性和支持。
   2. “Seagate 数据”是指由 Seagate 或为 Seagate 创建、所有或提供的任何数据，包括 Seagate 个人信息（定义见下文）、知识产权、商业机密或其他数据，这些数据可供公司根据双方和/或其附属企业签订的任何协议进行访问、获取、使用、维护或处理。
   3. “Seagate 个人信息”是指与已识别或可识别身份的自然人相关，由 Seagate 或为 Seagate 创建、所有或提供，公司可以根据双方和/或其附属企业之间的任何协议访问、获取、使用、维护或处理的任何信息。
   4. “《Seagate 数据隐私协议》”是指位于 https://www.Seagate.com/legal-privacy/electronic-and-physical-security-and-data-protection/ 的条款，但是如果双方同意本安全要求所定义《Seagate 数据隐私协议》以外的数据隐私条款，则对《Seagate 数据隐私协议》的引述将指协议中双方共同商定的数据隐私条款。
   5. “安全漏洞”是指 (a) 公司未能妥善处理、管理、存储、销毁或以其他方式控制以下内容，或公司未经授权访问或披露以下内容：(i) 任何格式的 Seagate 数据；(ii) 明确标识为机密且受保密协议或类似合同保护的第三方公司信息（无论采用何种格式）；(iii) 服务密码目录；(b) 公司无意间违反自身隐私政策或存在导致违反任何适用数据隐私法律法规的挪用行为；(c) 公司在其职责范围内出现的任何其他行为、错误或疏忽，并且该行为、错误或疏忽非常可能导致 Seagate 数据遭未经授权的披露。
   6. “Seagate 系统”是指在履行协议或与 Seagate 签订的任何其他协议的过程中，Seagate 向公司（或其分包商或代理）提供或可供其使用的任何网络或计算设备、应用程序或软件程序，包括但不限于工程和制造设备、测试设备、网络设备、计算机系统、软件以及由 Seagate 指定或实施、确保 Seagate 系统正常运行或交付服务所需的配置参数。
   7. “Enclave 系统”是指部署在公司指定地点（如制造场所、配置区域）内由 Seagate 管理的设备。Seagate Enclave 通过 Seagate 管理的防火墙和网络访问控制 (NAC) 交换机将 Seagate 的内部网络安全地扩展到公司地点。这些交换机执行严格的连接策略，仅允许连接注册资产，如 Seagate 授权的设备和系统。在公司设施内由 Seagate 控制的此环境使得 Seagate 的资产和设备能够安全地与 Seagate 公司网络直接进行通信。
   8. “非 Enclave 系统”是指公司指定的用户远程访问应用程序，而其所在地点并无 Seagate 管理/拥有的实体设备的情形。这包括两种不同情形：
      1. 采用 VPN 通道的非 Enclave 系统：某些公司指定地点保留仅限出站的 VPN 直接通道，以满足特定用例，例如将打印作业从 Seagate 内部系统直接发送到位于公司地点由公司拥有的打印机（该打印机不作为 Seagate 网络资产进行管理或控制）。这些 VPN 通道仅支持出站流量。
      2. 无直接网络连接的非 Enclave 系统：公司指定网络与 Seagate 网络完全隔离，仅能访问由 Seagate 托管、面向互联网的平台，如 Citrix Workspace 或其他基于网络的安全门户。在此情形下，公司通过业务合作伙伴账户服务 (BPAS) 系统获得访问权限，Seagate 与公司的基础设施之间并不存在直接的网络层连接。
2. 一般数据安全要求
   1. 公司应制定和维护一份全面的书面信息安全计划（“WISP”），其中包括旨在保护 Seagate 数据（定义见安全附件）免受意外、未经授权或非法使用、销毁、丢失、更改、披露、访问或者其他未经授权处理的技术和组织安全措施。WISP 必须符合与 Seagate 达成的协议（包括《Seagate 数据隐私协议》）中规定的所有要求。应 Seagate 要求，公司应向 Seagate 提供其 WISP 的副本，包括在合作期间的任何更新。WISP 以及相关服务、控制措施和流程必须符合行业标准以及公认的安全框架（如 SOC 2、ISO 27001 或 NIST），以确保全面的风险管理、数据保护和合规性。
3. 所需报告与认证
   1. SOC 1 类型 2 报告。如果公司提供的服务涉及与财务报告相关的 Seagate 数据，则公司必须为此类服务向 Seagate 提供 SOC 1 类型 2 报告。该报告必须涵盖公司针对所提供服务所实施的标准和控制措施。公司应在以下时间向 Seagate 提交 SOC 2 类型 2 报告的副本：(a) 在开始提供服务之前；以及 (b) 按年度提交，每年不晚于 6 月 15 日。该报告必须涵盖 Seagate 财年中至少 9 个月的情况，并在报告所涵盖期间后的 90 天内交付给 Seagate。
   2. SOC 2 类型 2 报告。如果公司提供的服务涉及外部解决方案，则公司必须为此类服务向 Seagate 提供 SOC 2 类型 2 报告。该报告必须涵盖公司针对所提供服务所实施的标准和控制措施。公司应在以下时间向 Seagate 提交 SOC 2 类型 2 报告的副本：(a) 在开始提供服务之前；以及 (b) 在 Seagate 提出请求时按年度提交。
   3. SOC 衔接函。应要求提供 SOC 衔接函，以确认在 SOC 审计期之间所采取安全控制措施的连续性。
   4. ISO 27001。如果公司提供的服务涉及外部解决方案，公司必须在经要求时为这些涉及外部解决方案的服务提供 ISO 27001 认证证书。
   5. ISO 20243。如果公司：(a) 向 Seagate 提供商业化产品，用于构建、测试、制造或支持 Seagate 产品；或 (b) 为 Seagate 的商业化产品提供服务，公司将获得符合旨在减少获取恶意污染或假冒伪劣产品风险的 ISO 20243（即开放可信技术供应商标准 (O-TTPS) 认证）的认证。该认证可以是公司自我评估认证或基于知名独立审计机构的评估（评估是否充分由 Seagate 自行判断）。或者，如果公司以书面形式提出请求并得到 Seagate 的书面批准，则公司将获得符合安全开发和供应链实践方面实质等效行业标准的认证。
   6. PCI 合规性。如果公司提供的服务涉及支付卡处理，公司必须在经要求时提供符合 PCI 数据安全标准的证据。
4. Seagate 数据
   1. 安全政策和程序。维护确保 Seagate 数据安全收集、托管、传输和存储的策略，防止未经授权的访问、盗窃或披露。
   2. 数据完整性。确保 Seagate 数据在处理、传输和存储过程中保持完整、完好且现行有效，避免任何未经授权的更改。
   3. 逻辑数据隔离。在多租户环境中，采用分区、容器化和微分段等行业标准技术确保对 Seagate 数据进行安全隔离，保证每位租户仅能访问自己的数据。
   4. 访问控制。对 Seagate 数据的访问应通过基于角色的访问控制 (RBAC) 进行限制，仅授予用户、第三方供应商和租户其特定角色所需的访问权限。公司将按季度进行审核，确保权限与当前职责相匹配，并通过职责分离维持最小特权原则。
   5. 数据环境隔离。Seagate 数据不得用于测试或开发环境。
   6. 监控和日志记录。应对 Seagate 数据的访问进行持续监控、日志记录和审计，以实时检测并应对未经授权的活动。
   7. AI 数据安全性和机密性。AI 系统应遵循符合行业标准的安全实践，以保护所有数据（包括 Seagate 数据）的机密性、完整性和可用性。Seagate 数据在传输和存储过程中将获得安全加密，并按照相关隐私法规进行处理。未经明确同意，Seagate 数据不得用于训练或改进 AI 模型。
   8. 传输中的数据。确保在对 Seagate 数据进行网络传输时使用 TLS 1.3 进行加密。
   9. 静态数据。对静态存储的 Seagate 数据使用安全算法（例如 AES-256）进行加密，并为每个客户或数据集使用唯一的加密密钥。
   10. 数据导出。在合同终止后最多 90 天内，应 Seagate 要求以可访问的格式提供 Seagate 数据。
   11. 删除数据。在确认迁移或决定不迁移后的 90 天内，安全地销毁 Seagate 数据；如有要求，向 Seagate 提供经签署的销毁证明。
   12. 保留义务。如果法律要求必须保留数据，通知 Seagate，并在保留义务结束后销毁或归还数据。
   13. 数据请求。配合 Seagate 对审计、调查的要求，或遵守法律要求。
   14. 位置通知。应 Seagate 要求，告知其存储和处理 Seagate 数据的具体位置。
5. 安全漏洞
   1. 漏洞通知。在发现任何安全漏洞后，尽快（通过 [email protected]）通知 Seagate，不得迟于 72 小时。通知内容必须包括漏洞性质、受影响的系统、遭泄露的数据以及缓解措施。
   2. 安全经理。指派专门人员并明确角色，以管理安全义务。
   3. 接触保安人员。允许 Seagate 接触相应的安全人员，以查看和解决安全相关问题。
6. 分包商和分处理商
   1. 分包商尽职调查和审计要求。确保分包商以书面形式同意遵守公司的信息安全义务。
   2. 责任。公司对其分包商和分处理商的行为始终负全部责任，保证他们的履约能力，确保其满足与处理 Seagate 数据相关的所有安全、隐私及合同义务。
   3. 第三方应用程序和分处理商披露。应 Seagate 要求，向其提供一份有关所有第三方应用程序、平台或服务（包括分处理商）的详细且最新的列表，这些第三方应用程序、平台或服务会处理 Seagate 数据或与之进行交互，或提供与 Seagate 运营相关的服务。
   4. 风险评估。公司将定期评估和记录所有处理 Seagate 数据的分包商和分处理商的安全状况，确保及时缓解对任何已发现的风险。此类评估报告可在 Seagate 提出要求时提供。
7. 身份管理
   1. 联合身份验证和 SAML SSO。对所有支持 Seagate IdP (Azure) 联合身份验证功能的服务，使用安全断言标记语言 (SAML) v2.0 标准进行 Seagate IdP (Azure) 联合身份验证。
      1. 单点登录 (SSO)。在适用时通过 SAML v2.0 与 Seagate 的 SSO 进行集成。
      2. 令牌和会话管理。验证身份验证令牌并安全地管理会话，确保会话令牌得到保护并在登出时正确失效。
   2. 非联合身份验证。如果公司服务不支持 SAML v2.0 联合标准，则必须遵守以下替代措施：
      1. 验证和授权。在授予访问权限之前，应对用户进行安全的身份验证和授权。
      2. 强密码。使用加密数据库和强哈希算法（如 bcrypt 或 PBKDF2）进行密码保护。密码长度不得少于 12 个字符，并包含大小写字母、数字和特殊字符的组合。
      3. 密码更改要求。要求用户在首次登录时更改默认密码以及在密码重置过程中提供的密码。
      4. MFA。在 Seagate 用户身份验证过程中提供多因素身份验证 (MFA)。
   3. 安全通信。对所有与身份验证相关的通信（如传输凭证、身份验证令牌或会话标识符）使用安全通信协议，并确保使用 TLS 1.3 或更高版本进行加密。
   4. 访问控制。对联合身份验证和非联合身份验证均实施基于角色的访问控制。
   5. 合规性和监控。记录并监控所有涉及 Seagate 用户的身份验证事件。
8. 环境与设备
   1. 物理安全。限制对存放 Seagate 数据或 Seagate 系统（包括数据中心和关键基础设施）设施的物理访问，仅允许授权人员进入。实施访客记录、访问监控、安全访问控制（如生物识别或门禁卡访问）、环境控制、消防安全以及 7 x 24 小时全天候视频监控系统。
   2. MFA。公司应使用 TOTP 或 U2F 密钥强制执行 MFA，以在本地和远程访问承载 Seagate 数据的系统。
   3. 系统安全和补丁管理。确保所有设备、服务器和系统均配备最新的防病毒软件，及时应用安全补丁并进行系统加固。关键补丁必须在 7 天内应用，其他补丁应在 30 天内应用。
   4. 监控和审计。对系统实施持续监控并定期进行审计，确保符合安全策略并识别潜在漏洞。
   5. 事件管理。维护安全事件管理流程，包括确定正式的事件响应阶段和时间表。
   6. 变更管理。维护变更管理流程，包括变更管理中的职能分离、文档记录、测试、审查以及对系统或基础设施变更的批准。
   7. 安全意识和培训。为所有处理 Seagate 数据的人员定期提供安全意识培训，涵盖数据处理最佳实践、基于角色的安全、网络钓鱼防范意识以及事件响应等主题。
9. 网络安全性
   1. 网络安全性。通过确保执行最小特权原则实现网络安全。
   2. 防火墙和 ACL。配置防火墙和访问控制列表 (ACL)，仅允许提供服务所需的必要访问和协议。
   3. IDS/IPS。部署入侵检测系统 (IDS) 和入侵防御系统 (IPS) 以检测并应对可疑活动。
   4. 日志记录。记录网络活动的详细日志，以开展审计和事件调查工作。
   5. 密钥管理系统 (KMS)。使用密钥管理系统 (KMS) 安全地管理加密密钥，以确保密钥的正确生成、存储、轮换和访问控制。
10. 漏洞与风险评估
    1. 漏洞评估和渗透测试 (VA/PT)。定期对应用程序和系统进行漏洞评估和渗透测试，必要时可交由内部或第三方机构进行。
    2. 风险评估。定期评估 Seagate 数据和内部系统面临的潜在风险，并根据严重程度对漏洞处理进行优先级排序。
    3. 即时缓解。对所有已识别的关键安全漏洞进行及时处置。
11. 审计与测试
    1. Seagate 保留审计和测试公司流程、控制措施、隐私保护和安全措施的权利，以确保服务的完整性、可用性和机密性。
    2. 审计活动可能包括无需事先通知的非侵入式网络扫描，以及经事先同意后进行的技术测试（如渗透测试、负载测试、拒绝服务测试）。Seagate 不会访问属于其他客户的数据，并可能会根据保密义务使用第三方审计机构。公司必须及时解决任何已识别的缺陷。
12. 对 Seagate Enclave 系统的要求：除上述第 1-11 节外，本第 12 节所列要求适用于 Seagate Enclave 系统。
    1. 物理访问控制：公司应为 Seagate 提供专门的独立房间或安全围栏，并配备访问控制措施，以在物理层面将 Seagate 系统和 Seagate 数据与非 Seagate 系统和数据分隔开。
    2. 网络安全性。
       1. 公司应确保在公司地点，Seagate 系统与公司的任何系统、资产和技术（包括防火墙、交换机、测试设备、其他设备）相互隔离。
       2. 公司应确保，除通过 Seagate 批准并授权的 VPN 连接到公司的互联网服务提供商（“ISP”）之外，Seagate 系统不会连接到公司或其其他客户的网络。
       3. Seagate 可自行决定选择其他 ISP，并以书面形式通知公司。
    3. 系统安全性。
       1. Seagate 将向公司提供访问 Seagate 系统所需的设备和基础设施，以便其履行服务。
       2. 公司对 a) Seagate 系统的使用或访问，以及 b) 对 Seagate 提供的（或获 Seagate 批准的）任何设备的使用，仅限于提供协议以及任何适用的工作说明书 (SOW) 中规定的服务，并遵守其中的条款。
       3. 未经 Seagate 信息安全部门 ([email protected]) 的事先书面批准，公司不得修改、更改、变动、移除或移动任何 Seagate 系统，包括配置设置、物理和/或逻辑网络设置或网络端口、电源插座及任何物理连接。
       4. 公司将提供 Seagate 远程安装和管理 Seagate 设备所需的所有 IT 支持，如防火墙、交换机、服务器、工作站等。
    4. Enclave 系统的停用。在服务终止或结束时，除 Seagate 另有指示外，所有 Seagate 系统均应归还 Seagate。公司系统或 Seagate Enclave 系统中的任何 Seagate 数据必须安全且永久地销毁，并在要求时提供经签署的销毁证明。此外，如果有任何设备未归还，Seagate 保留就设备当时的价值收取费用的权利。
13. 对 Seagate 非 Enclave 系统的访问要求：除上述第 1-11 节外，本第 13 节所列安全要求适用于 Seagate 非 Enclave 系统。
    1. 访问限制。公司仅可在履行协议或任何适用的订单或工作说明书所需的范围内访问 Seagate 系统。未经 Seagate 信息安全部门 ([email protected]) 的书面授权，公司不得访问或尝试访问 Seagate 系统或 Seagate 数据。公司不得将任何 Seagate 系统用于个人用途。
    2. VPN。公司仅可使用由 Seagate 信息安全部门 ([email protected]) 批准的虚拟专用网络 (VPN) 方法从 Seagate 网络外部访问 Seagate 系统。禁止使用其他方法从公共网络访问 Seagate 系统。
    3. 软件许可。公司为履行协议规定的义务或提供服务而安装和使用的所有软件，必须以适当且合法的方式获取、获得许可，并按照适用的许可协议加以使用。对于因使用此类软件引起的任何索赔或诉讼，公司应使 Seagate 免受损害并根据协议中的赔偿义务为 Seagate 进行抗辩和赔偿。
    4. 密码管理。如适用，公司为使用 Seagate 系统而使用的密码应符合 Seagate 的密码管理标准，并且公司应防止将此类密码泄露给任何未经授权人员。
    5. 对非 Seagate 系统的使用。公司使用的任何非 Seagate 系统（包括具备电子数据传输功能的视频会议设备），不得连接 Seagate 或任何 Seagate 系统或用于与 Seagate 或任何 Seagate 系统进行通信。
    6. 安全位置。公司人员仅可在公司流程和程序中规定的安全授权地点开展工作。