安全性需求

Seagate 與貴公司已簽訂貨品及/或服務採購合約，其形式為主合約、訂單或其他以引用方式納入本「安全規定」的合約文件 (合稱「合約」)。 除非本「安全性要求」另有規定，本合約中所有定義之用語將保留其原本涵義。 本合約中凡提及「 Seagate」、「用戶端」、「客戶」或類似表述均指合約中載明的 Seagate 公司。本合約中凡提及「供應商」、「承包商, 「公司」或類似提述均指合約載明之「公司」。

貴公司同意下列安全規定：

1. 定義
   1. 「外部解決方案」係指由第三方供應商在 Seagate 內部基礎架構之外管理及代管的任何服務、應用程式、軟體或服務。外部解決方案負責所有維護、更新和安全性。Seagate 會透過網際網路存取外部解決方案，並仰賴外部解決方案來提供系統效能、可用性和支援。
   2. 「 Seagate 資料」係指任何資料包括 Seagate 個人資訊 (定義如下)、智慧財產、商業機密或其他由 Seagate 建立、擁有或提供或由 Seagate 或為 Seagate 提供且貴公司有權存取、取得、使用、維護或處理的資料與雙方及/或其關係企業間之任何協議相關之內容。
   3. 「Seagate 個人資訊」係指任何涉及已識別或可識別之自然人、且由 Seagate 或為 Seagate 建立、擁有、提供的資訊，可依當事方及/或其關係企業之間任何協議予以存取、取得、使用、保留或處理。
   4. 「 Seagate 資料隱私權協議」是指位於https://www.Seagate.com/legal-privacy/electronic-and-physical-security-and-data-protection/ 。但若雙方同意的資料隱私權條款並非本文所定義之 Seagate 資料隱私權合約，則所稱 Seagate 資料隱私權合約係指合約中雙方同意的資料隱私權條款。
   5. 「安全漏洞」係指 (a) 貴公司未妥善處理、管理、儲存、銷毀或以其他方式控管或貴公司未經授權存取或揭露(i) 任何格式的 Seagate 資料(ii) 以任何特定格式識別為機密並受保密協議或類似合約保護之第三方公司資訊(iii) 服務密碼目錄(b) 無意違反本公司之隱私權政策或盜用導致違反任何適用之資料隱私法或法規(c) 公司本身之任何其他合理可能導致 Seagate 資料未經授權揭露之作為、錯誤或不作為。
   6. 「 Seagate 系統」係指 Seagate 針對履行合約或與 Seagate 簽訂的任何其他合約而提供予貴公司 (或其外包商或代理商) 的任何網路或運算設備、應用程式或軟體程式包括但不限於工程與製造設備、測試設備、網路裝置、電腦系統、軟體以及由 Seagate 為 Seagate 系統正常運作或服務交付而指定或實作的配置參數。
   7. 「 Enclave 系統」係指部署在公司指定地點 (例如製造地點、配置區域) 內的 Seagate 管理設備。Seagate Enclave 可透過 Seagate 管理的防火牆和網路存取控制 (NAC) 交換器將 Seagate 的內部網路安全地延伸至公司網站。這些交換器會執行嚴格的連線政策將連線限制為僅限註冊資產例如 Seagate 授權的裝置和系統。這種在公司設施內由 Seagate 控制的環境可讓 Seagate 資產和裝置直接與 Seagate 的企業網路安全地通訊。
   8. 「非 Enclave 系統」是指公司指定的使用者遠端存取應用程式而現場沒有 Seagate 管理/擁有的實體設備。這包括兩種不同的情況：
      1. 含 VPN 通道的非 Enclave：某些公司指定的地點會針對特殊用途維護直接的、僅限出站的 VPN 隧道，例如將列印工作從 Seagate 內部系統直接傳送到位於公司據點 (不受 Seagate 網路資產管理或控制) 的公司自有印表機。這些 VPN 通道嚴格來說僅支援出站流量。
      2. Non-Enclave (無直接網路連線)與 Seagate 網路完全隔離的公司指定網路僅能存取 Seagate 代管的網際網路平台 (例如 Citrix Workspace) 或其他安全的 Web 型入口網站。在此情況下，公司會透過商業夥伴帳戶服務 (「BPAS」) 系統進行佈建存取，因此 Seagate 與公司基礎架構之間不存在直接的網路層連線。
2. 資料安全性一般規定
   1. 本公司應建立及維護完善之書面資訊安全計畫 (「 WISP 」)，包括旨在保護 Seagate 資料 (如安全性附錄所定義) 的技術與組織安全防護措施，以免遭到意外、未經授權或非法使用、破壞、遺失、變更、揭露、存取或其他未經授權的處理。WISP 必須遵守與 Seagate 所訂合約，包括 Seagate 資料隱私權合約所載明的任何要求。貴公司應依要求向 Seagate 提供其 WISP 副本，包括聘僱期間內之任何更新。WISP 以及相關的服務、控制和流程必須符合業界標準和公認的安全性框架，例如 SOC 2、ISO 27001 或 NIST 以確保全面的風險管理、資料保護和符合嚴苛的法規。
3. 必要報告與認證
   1. SOC 1 Type 2 報告。若貴公司所提供之服務涉及財務報告相關之 Seagate 資料，則貴公司應向 Seagate 提供該等服務之 SOC 1 第 2 類報告。本報告應涵蓋所提供服務所特有的「公司」標準與控管措施。公司應於 (a) 開始服務前及 (b) 每年 6 月 15 日前將 SOC 1 第 2 類報告交付予 Seagate。報告必須涵蓋 Seagate 會計年度的至少 9 個月，並於報告涵蓋期間後的 90 天內交付給 Seagate。
   2. SOC 2 Type 2 報告。若貴公司所提供之服務涉及外部解決方案，貴公司應向 Seagate 提供該等服務之 SOC 2 第 2 類報告。本報告應涵蓋所提供服務所特有的「公司」標準與控管措施。公司應於 (a) 開始提供服務前及 (b) 每年應要求時將 SOC 2 第 2 類報告交付予 Seagate。
   3. SOC 溝通信件。應要求提供 SOC 過渡函以確認 SOC 稽核期間之間安全控管措施的連續性。
   4. ISO 27001。若貴公司所提供之服務涉及外部解決方案，則貴公司應就外部解決方案之服務要求提供 ISO 27001 認證。
   5. ISO 20243。若貴公司為或 b) 在 Seagate 的商業化產品上執行服務則公司將獲得 ISO 20243 合規認證，也稱為開放可信技術供應商標準 (O-TTPS) 認證，以減少惡意污染和假冒產品。此認證為自我評估認證或以聲譽卓著的獨立稽核人員 (Seagate 可全權裁量評估其充分性) 的評估為依據。或者若貴公司提出書面要求且經 Seagate 書面核准，貴公司將取得符合安全開發及供應鏈實務之業界標準的認證。
   6. PCI 合規性。若貴公司所提供之服務涉及支付卡處理作業，貴公司應依要求提供證明其符合 PCI 資料安全性標準之證據。
4. Seagate 資料。
   1. 安全性政策與程序。維護相關政策以確保安全地收集、託管、傳輸和儲存 Seagate 資料，避免遭到未經授權的存取、竊取或揭露。
   2. 資料完整性。確保 Seagate 資料在處理、傳輸和儲存期間保持完整、完整和最新狀態，沒有未經授權的變更。
   3. 邏輯資料隔離。在多租戶環境中使用磁碟分割、容器化和微分段等業界標準技術，確保 Seagate 資料安全隔離確保每個租戶只能存取自己的資料。
   4. 存取控管。Seagate 資料的存取權應透過角色型存取控制 (RBAC) 加以限制，僅授予使用者、第三方供應商和租戶其特定角色所需的存取權。每季會進行一次檢閱以確保權限符合目前職責，且會強制執行職責分離以維持最低權限。
   5. 資料環境隔離。Seagate 資料不得用於測試或開發環境。
   6. 監控與記錄。應持續監控、記錄及稽核 Seagate 資料之存取以即時偵測及回應未經授權的活動。
   7. AI 資料安全性與機密性。AI 系統應遵循業界標準的安全實務以保護所有資料 (包括 Seagate 資料) 的機密性、完整性和可用性。Seagate 資料將在傳輸和靜置期間安全儲存、加密並遵照相關隱私法規進行處理。未經明確同意，Seagate 資料不得用於訓練或改善人工智慧模型。
   8. 傳輸中的資料。確認透過網路傳輸的 Seagate 資料已使用 TLS 1.3 進行加密。
   9. 靜置資料。使用安全演算法 (例如 AES-256) 加密 Seagate 靜置資料，並為每位客戶或資料集使用唯一的加密金鑰。
   10. 資料匯出。在合約終止後最多 90 天內應要求以易於存取的格式提供 Seagate 資料。
   11. 資料刪除。在確認移轉或決定不移轉後的 90 天內安全銷毀 Seagate 資料。依 Seagate 要求提供簽署的銷毀憑證。
   12. 保留義務。若法律規定需保留資料並於義務結束後銷毀或返還資料時應通知 Seagate。
   13. 資料要求。遵照 Seagate 針對稽核、調查或法律要求提出的資料要求。
   14. 位置通知。依要求向 Seagate 提供儲存及處理 Seagate 資料的位置。
5. 安全漏洞
   1. 違規通知。請盡快通知 Seagate ( [email protected] )但不得遲於 72 小時偵測到任何安全漏洞。通知中必須包含漏洞性質、受影響的系統、受損資料以及緩解措施。
   2. 安全管理員。指派職責明確的指定人員以管理安全義務。
   3. 存取安全人員。向 Seagate 提供適當安全人員的存取權限以審查並解決安全相關問題。
6. 次級承包商與次要處理者
   1. 外包商盡職調查與稽核要求。外包商應確以書面同意遵守本公司之資訊安全義務。
   2. 責任。「公司」對其外包商及次要處理者的行為負全責，保證其履行並確保其履行與 Seagate 資料處理相關的所有安全性、隱私權及契約義務。
   3. 第三方應用程式及次要處理者揭露。依要求向 Seagate 提供所有參與處理 Seagate 資料或與 Seagate 資料互動，或提供 Seagate 營運相關服務的所有第三方應用程式、平台或服務的詳細最新清單包括次要處理者。
   4. 風險評估。「公司」將定期評估、評估並記錄所有處理 Seagate 資料的外包商及次要處理者的安全狀況，確保任何已識別的風險均能立即降低。此類評估報告會依要求提供予 Seagate。
7. 身分管理
   1. 聯合驗證與 SAML SSO。要求 Seagate 的 IdP (Azure) 聯合認證使用 SAML v2.0 標準以供支援的所有服務使用。
      1. 單一登入 (SSO)。在適用的情況下使用 SAML v2.0 與 Seagate 的 SSO 整合。
      2. 記號和工作階段管理。驗證驗證記號並安全地管理工作階段，以確保工作階段記號受到保護並在登出時適當失效。
   2. 非聯合驗證。若本公司的服務不支援 SAML v2.0 聯合標準則必須符合下列替代措施
      1. 驗證與授權。在授予存取權之前安全地驗證和授權使用者。
      2. 強密碼。使用加密資料庫和強大的雜湊演算法 (例如 bcrypt 或 PBKDF2) 來保護密碼。密碼長度必須至少為 12 個字元並包含大小寫字母、數字和特殊字元的組合
      3. 密碼變更要求。要求使用者變更預設密碼，以及初次登入時在密碼重設程序中提供的密碼。
      4. MFA。在 Seagate 使用者認證中提供多重因素認證 (MFA)。
   3. 安全通訊。對所有與驗證相關的通訊使用安全的通訊協定 (例如傳輸認證、驗證記號或工作階段識別碼的通訊)，並確保使用 TLS 1.3 或更高版本進行加密。
   4. 存取控管。針對聯合及非聯合驗證實作角色型存取控制。
   5. 合規與監控。記錄並監控所有涉及 Seagate 使用者的驗證事件。
8. 環境與設備
   1. 實體安全性。限制 Seagate Data 或 Seagate 系統所在設施 (包括資料中心和重要基礎架構) 的實體存取僅限授權人員進出。實作訪客記錄、出入監控、安全出入控制 (例如生物特徵或通行證出入)、氣候控制、消防安全和全天候視訊安全安全系統。
   2. MFA。公司應使用 TOTP 或 U2F 金鑰執行 MFA以供本端和遠端存取託管 Seagate 資料的系統。
   3. 系統安全性與修補程式管理。確保所有設備、伺服器和系統都安裝了最新的防毒軟體、及時更新的安全修補程式和系統強化。重要修補程式必須在 7 天內套用，其他所有修補程式必須在 30 天內套用。
   4. 監控與稽核。持續監控系統並定期進行稽核以確保符合安全性政策並識別漏洞。
   5. 事件管理。維護安全事件管理流程包括正式的事件回應階段和時間表。
   6. 變更管理。維持變更管理程序包括在變更管理、記錄、測試、審查和核准系統或基礎架構變更方面的職責分離。
   7. 安全意識與訓練。定期為處理 Seagate 資料的所有人員提供安全意識教育訓練，內容涵蓋資料處理最佳實務、角色型安全性、網路釣魚意識和事件回應等主題。
9. 網路安全性
   1. 網路安全性：確保執行最低權限原則以實作網路安全性。
   2. 防火牆和 ACL。配置防火牆和存取控制清單 (ACL) 僅允許必要的存取和通訊協定以提供服務。
   3. IDS/IPS。部署入侵偵測系統 (IDS) 和入侵防禦系統 (IPS) 以偵測可疑活動並做出回應。
   4. 記錄。維護網路活動的詳細記錄以供稽核和事件調查之用。
   5. 金鑰管理系統 (KMS)。使用金鑰管理系統 (KMS) 安全地管理加密金鑰，以確保正確產生、儲存、輪替和存取控制。
10. 漏洞與風險評估
    1. 漏洞評估與滲透測試 (VA/PT)。必要時可在內部或透過第三方供應商定期對應用程式和系統進行漏洞評估和滲透測試。
    2. 風險評估。定期評估 Seagate 資料和內部系統的潛在風險依嚴重程度排列漏洞優先順序。
    3. 立即緩解。立即解決所發現的任何重大安全性漏洞。
11. 稽核與測試
    1. Seagate 保留稽核及測試本公司之程序、控管、隱私及安全措施之權利，以確保本服務之完整性、可用性及機密性。
    2. 稽核可能包括未經通知的非侵入式網路掃描，以及經事先同意的技術測試 (例如滲透、負載、拒絕服務)。Seagate 將不會存取屬於其他客戶的資料，並得根據保密義務聘請第三方稽核人員。「公司」應立即處理已識別之任何瑕疵。
12. SEAGATE ENCLAVE 要求除上述第 1-11 節外第 12 節所列之要求亦適用於 Seagate Enclave 系統。
    1. 實體存取控制貴公司應為 Seagate 提供獨立的專用機房或設有出入控制的安全籠，將 Seagate 系統及 Seagate 資料與非 Seagate 系統及資料實際隔離。
    2. 網路安全性：
       1. 貴公司應確保 Seagate 系統與貴公司現場的任何貴公司系統、資產及技術 (包括防火牆、交換器、測試器及其他裝置) 隔離。
       2. 貴公司應確保 Seagate 系統僅透過 Seagate 核准及授權的 VPN 連線至貴公司的網際網路服務驗證者 (「 ISP 」)。
       3. Seagate 得以書面通知貴公司後自行決定選擇不同的 ISP。
    3. 系統安全性。
       1. Seagate 將向公司提供存取 Seagate 系統以執行服務所需的設備與基礎架構。
       2. 貴公司 a) 使用或存取 Seagate 系統以及 b) 使用 Seagate 提供 (或經 Seagate 核准) 的任何設備僅限於提供合約及任何適用 SOW 所載之服務並應遵守其中的條款。
       3. 未經 Seagate 資訊安全部門事先書面核准，公司不得修改、變更、變更、移除或移動任何 Seagate 系統包括配置設定、實體及/或邏輯網路設定或網路連接埠、電源插座及任何實體連線 [email protected] 。
       4. 貴公司將提供 Seagate 遠端安裝及管理 Seagate 設備 (例如防火牆、交換器、伺服器、工作站等) 所需的一切 IT 支援。
    4. Enclave 的退役。於服務終止或終止時除非 Seagate 另有指示，否則所有 Seagate 系統均應退還 Seagate。 公司系統或 Seagate Enclave 系統上的任何 Seagate 資料均應以安全方式永久銷毀，並於提出要求時提供經簽署之銷毀證明。此外如未歸還任何設備，Seagate 有權按設備當時的價值收取費用。
13. SEAGATE 非 ENCLAVE 存取需求除上述第 1-11 節外本第 13 節所列的安全性需求也適用於 Seagate Non-enclave 系統：
    1. 存取限制。公司僅允許在依合約或任何適用訂單或 SOW 執行服務之必要時存取 Seagate 系統。未經 Seagate 資訊安全部門書面授權，貴公司不得存取或嘗試存取 Seagate 系統及 Seagate 資料[email protected] 。公司禁止將任何 Seagate 系統用於個人用途。
    2. VPN。唯有獲得 Seagate 資訊安全部門 (網址為[email protected]。應由公司用於從 Seagate 網路外部存取 Seagate 系統。禁止以其他方式從公用網路存取 Seagate 系統。
    3. 軟體授權。貴公司為履行本合約之義務或提供本服務而安裝及使用之一切軟體均應依適用之授權合約以正當合法方式取得、授權及使用。因使用該軟體而產生任何索賠或訴訟貴公司應依合約中之補償義務使 Seagate 免受損害、抗辯及補償。
    4. 密碼管理。在適用情況下，貴公司用於 Seagate 系統的密碼應符合 Seagate 的密碼管理標準，且貴公司應避免將所有此類密碼洩露給任何未經授權之人員。
    5. 非 Seagate 系統使用。公司使用之任何非 Seagate 系統，包括具有電子資料傳輸功能的視訊會議設備，均不得連接或用於與 Seagate 或任何 Seagate 系統通訊。
    6. 安全的位置。公司人員僅能於公司程序與程序所載之安全授權地點工作。