ベンダー情報セキュリティ要件

メインコンテンツにスキップ
Pangea temporary hotfixes here

ロジクール ベンダー情報セキュリティ要件

Logitech Europe SA.およびその全ての子会社と関連会社(集合的に「ロジクール」)では、その全てのベンダー、サービスプロバイダーおよびその他のビジネスパートナー(「お客様」または「ベンダー」)が、ロジクール、ロジクールの関連会社、およびその従業員、代表者、請負業者、顧客およびベンダー(集合的に、「ロジクールデータ」)が提供する情報の機密性、セキュリティ、完全性、および可用性を確保し、ロジクールデータの不正アクセス、使用、開示、改ざんまたは破壊を保護するための、技術的、物理的および組織的な対策を含む、包括的な書面の情報セキュリティプログラム(「情報セキュリティプログラム」)を維持する必要があります。この情報セキュリティプログラムは、その中に指名されたロジクール事業体とお客様によって/ロジクール事業体とお客様の間で、サービスの契約(「契約」)に付属され、サービスの契約を参照することにより組み込まれます。特に、情報セキュリティプログラムには、必要に応じて、またはロジクールデータの保護を確実にするために必要な、以下を含むがこれらに限定されない対策を含めるものとします:

  • アクセスコントロール – 以下を目的とする方針、手順、物理的および技術的コントロール:
    1. 情報システムと、システムが収容されている施設への物理的アクセスを、適切に認可された人物に制限する。
    2. ロジクールデータへのアクセスが必要な全ての従業員が適切にコントロールされたアクセスを持つようにし、アクセスを持つ必要がない従業員と、その他の人々がアクセスを得るのを防ぐ。
    3. 認可された個人のみを認証してアクセスを許可し、従業員が、ロジクールデータまたはそれに関する情報を権限のない個人に提供するのを防ぐ。
    4. 必要に応じて、ロジクールデータの暗号化と復号化を行う。
  • セキュリティ意識向上およびトレーニング – 全従業員(経営管理を含む)向けの、定期的なセキュリティ意識向上およびトレーニングプログラム。これには、情報セキュリティプログラムの実施と順守の方法に関するトレーニングが含まれます。
  • セキュリティインシデント手順 – セキュリティインシデントの検出、対応、および対処のための方針と手順。これには、システムを監視し、ロジクールデータまたは当該データに関連する情報システムへの実際の攻撃と攻撃の試みまたは侵入を検出するための手順、疑わしい/既知のセキュリティインシデントを特定、対応し、セキュリティインシデントの有害な影響を軽減し、セキュリティインシデントとその結果を文書化するための手順が含まれます。セキュリティ侵害に関わる法律に基づいていずれかの当事者の義務を引き起こす可能性がある状況に気づいた場合は、直ちに書面でロジクール(soc@logitech.com)に通知し、ロジクールがセキュリティ侵害に関わる法律に従った義務を遂行できるように、ロジクールに十分に協力するものとします。
  • 危機管理計画 – ロジクールデータまたはロジクールデータを含むシステムに損害を与える、緊急事態またはその他の事件(例えば、火災、破壊行為、システム障害、および自然災害)への対応時の方針および手順。これには、データバックアップ計画および災害復旧計画が含まれ、ロジクール(soc@logitech.com)まで直ちに書面で通知する必要があります。
  • デバイスおよびメディアコントロール – 施設内外のロジクールデータが含まれるハードウェアと電子メディア、および施設内でのこれらのアイテムの移動に関する方針および手順。これには、ロジクールデータ、および/またはデータが保存されているハードウェアまたは電子メディアの最終廃棄への対応に関する方針と手順、およびメディアが再利用される前の、ロジクールデータの電子メディアからの削除手順が含まれます。お客様は、データがここで義務付けられた全ての保護の対象でない限り、ロジクールデータをダウンロードしたり、ノートパソコンまたはその他のポータブルデバイスに保存したりしないものとします。当該の保護対策には、ロジクールデータにアクセスする全てのデバイスを暗号化し、最新のマルウェア検出ソフトウェアを使用することが含まれますが、これに限定されません。
  • 監査コントロール – 電子情報を含むまたは使用する情報システム内の活動を記録し調査するハードウェア、ソフトウェア、サービス、プラットフォームおよび/または手続きメカニズム。これには、これらのセキュリティ要件とその順守に関する適切なログとレポートが含まれます。
  • 方針と手順 – ロジクールデータの機密性、完全性、および可用性を確実にし、偶発的な、権限のない、または不適切な開示、使用、改ざんまたは破壊からロジクールデータを保護するための方針と手順。
  • ストレージおよび送信セキュリティ – 電子通信ネットワーク上で送信されているロジクールデータへの不正アクセスを保護するための技術的セキュリティ対策。これには、ネットワークまたはシステムでの送信中と保管中に、権限のない個人がアクセスする可能性があるロジクールデータを電子形式で暗号化するためのメカニズムが含まれます。
  • 割り当てられたセキュリティの責任 – お客様は、お客様の情報セキュリティプログラムの開発、実施、および保守を行う責任を持つセキュリティ担当者を指定するものとします。
  • 物理的ストレージメディア – ロジクールデータが含まれるストレージメディアを別のユーザーに割り当て、再割り当てする前に、または当該のストレージ メディアを施設から永久に削除する前に、第2.3項(e.)に従って、物理的および論理的な観点から、メディアに残留データが含まれないように、当該のロジクールデータを安全に削除し、あるいは必要に応じて物理的に当該のストレージメディアを破壊するための方針と手順。お客様は、ロジクールデータを含む全てのストレージメディアに対して、本項に明記された破棄と破壊要件を実施する監査可能なプログラムを維持するものとします。
  • テスト – お客様は、情報セキュリティプログラムの重要なコントロール、システムおよび手順を定期的にテストして、それらが適切に実施され、特定された脅威とリスクの対処において効果的であることを確認するものとします。テストの実施と見直しは、独立した第三者、またはセキュリティプログラムの開発や保守とは無関係なスタッフが行う必要があります。
  • プログラムを最新に保つ – お客様は、テクノロジーまたは業界のセキュリティ基準における関連性のある変更、ロジクールデータの機密性、お客様またはロジクールデータに対する内部または外部の脅威、お客様自身の変化するビジネス協定(合併・買収、提携および共同事業、外部委託協定、情報システムの変更など)を踏まえて、必要に応じて情報セキュリティプログラムの監視、評価、および調整を行うものとします。
     

より具体的には、ベンダーの情報セキュリティプログラムは以下の要件を満たす、または上回るものとします:

1.範囲、定義

1.1.セキュリティ方針。ベンダーは、あらゆる点で、ベンダー向けのこれらのロジクール情報セキュリティ要件(「セキュリティ方針」)に明記されたロジクールの情報セキュリティ要件を順守します。セキュリティ方針は、ベンダーとロジクール間の契約(「契約」)に従って、ベンダーのパフォーマンス、およびロジクール情報の全てのアクセス、収集、使用、ストレージ、送信、開示、破壊または削除、およびロジクール情報に関するセキュリティインシデント(以下に定義される)に適用されます。本セキュリティ方針は、ベンダーのその他の義務を制限しません。これには、契約に基づいて、あるいはベンダーに適用される法律に関して、契約の下でのベンダーのパフォーマンス、ロジクール情報または許可される目的(以下に定義される)が含まれます。本セキュリティ方針が契約と直接抵触する場合、ベンダーは抵触について直ちにロジクールに知らせ、より厳格であり、ロジクール情報をより保護する要件(ロジクールによって指定される場合がある)に従います。

1.2.定義。

  1. 関係者」とは、特定の人物に関して、直接的または間接的にコントロールする団体が当該の人物によってコントロールされる、または当該の人物による共同制御下にあることを意味します。
  2. 集約」とは、ロジクール情報をまたはベンダーまたは第三者のデータまたは情報と結合または保存することを意味します。
  3. 匿名化」とは、ユーザー、デバイス識別子、ソース、製品、サービス、背景、ブランド、あるいはロジクールまたはその関連会社を特定せず、これらの身元を許可しない、あるいはこれらに起因しない方法または形態で、データまたは情報(ロジクール情報を含む)を使用、収集、保存、送信または変形することを意味します。
  4. ロジクール情報」とは個別および集合的に次を意味します:(a)全てのロジクールの機密情報(当事者間の契約または秘密保持契約で定義される)、(b)ロジクールまたはその関連会社から/の代理で、あるいは契約に従った/契約に関連した当事者の権利の履行または行使に関連して、ベンダーまたはその関連会社によって、あらゆる形式または形態で獲得、アクセス、収集、受領、保存または維持される、その他の全てのデータ、記録、ファイル、コンテンツまたは情報。または契約、契約に基づいて提供されるサービス、および(c)(a)または(b)から派生したもの(匿名化されている場合を含む)。

1.3.許可される目的。
契約に基づいて明示的に認可されている場合を除き、ベンダーは、契約に基づいて付与されたライセンス(ある場合)に一致して契約に従ってサービスを提供する目的(「許可される目的」)でのみ、契約に従って明示的に認可されたロジクール情報のみの、アクセス、収集、使用、保存、および送信ができます。契約に基づいて明示的に認可された場合を除き、ベンダーは、ロジクール情報のアクセス、収集、使用、保存または送信を行わず、ロジクール情報を集約しません(匿名化されている場合を含む)。ロジクールによる事前の明確な書面の同意がある場合を除き、ベンダーは(A)ロジクール情報の譲渡、賃貸、交換、取引、販売、ローン、リースまたは流通を行わず、ロジクール情報を第三者が利用できるようにしません。また、(B)ロジクール情報をその他の情報またはデータと集約しません(匿名化されている場合を含む)。

2.セキュリティ方針

2.1.基本セキュリティ要件。ベンダーは、現在の最高の業界基準、およびロジクール情報の分類と機密性に基づいてロジクールが指定するその他の要件に一致して、物理的、管理上および技術的な予防手段とその他のセキュリティ対策を維持して、(A)ベンダーによってアクセス、収集、使用、保存または送信されるロジクール情報のセキュリティと機密性を維持し、(B)セキュリティと完全性に対する既知の脅威や危険または合理的に予測される脅威や危険、偶発的損失、改ざん、開示および全てのその他の違法の形態の処理からその情報を保護します。無制限に、ベンダーは以下の要件に従います。

  1. ファイアウォール。ベンダーは、ネットワークファイアウォールのインストールと保守を行って、インターネット経由でアクセス可能なデータを保護し、全てのロジクール情報をファイアウォールによって常に保護します。
  2. 更新。ベンダーは、最新のアップグレード、更新、バグ修正、新しいバージョン、およびロジクール情報のセキュリティ確保に必要なその他の変更によって、システムとソフトウェアを最新の状態に維持します。
  3. マルウェア対策。ベンダーは、常にマルウェア対策ソフトウェアを使用し、マルウェア対策ソフトウェアを最新の状態に保ちます。ベンダーは、検出された、または合理的に検出する必要があった、全てのウィルス、スパイウェア、およびその他の悪意のあるコードからの脅威を軽減します。
  4. 暗号化。ベンダーは、業界のベストプラクティスに従って、保存されているデータ、およびオープンネットワークを介して送信されるデータを暗号化します。
  5. テスト。ベンダーは、セキュリティシステムとプロセスを定期的にテストして、それらが本セキュリティ方針の要件を満たしていることを確認します。
  6. アクセス コントロール。ベンダーは、以下の要件の順守などにより、ロジクール情報を保護します。
    1. ベンダーは、ロジクール情報へのパソコンアクセスと共に、一意のIDを各人物に割り当てます。
    2. ベンダーは、ロジクール情報へのアクセスを、許可される目的で「知る必要がある」人々に制限します。
    3. ベンダーは、ロジクール情報へのアクセスがある人々とサービスのリストを定期的に見直し、アクセスが不要なアカウントを削除します(またはロジクールにアカウントの削除を助言します)。この見直しは、最低90日に1回実施する必要があります。
    4. ベンダーは、オペレーティングシステム、ソフトウェアまたはその他のシステム上のシステムパスワードやその他のセキュリティパラメーターとして、メーカーが供給するデフォルトを使用しません。ベンダーは、ベストプラクティス(以下に説明されている)に従って、ロジクール情報のホスティング、保存、処理を行う、あるいはロジクール情報が保存される、またはロジクール情報へのアクセスをコントロールする全てのシステム上で、システムが強制する「強いパスワード」の使用を義務付けて確実にし、また、全てのパスワードとアクセス認証情報の機密性を維持し、これらが担当者の間で共有されないようにする必要があります。パスワードは以下の条件を満たす必要があります:最低12文字を含む、以前のパスワード、ユーザーのログイン名、またはありふれた名前と一致しない、アカウントのセキュリティ侵害が疑われる/想定される場合は常に変更する必要がある、90日経つ前に定期的に変更する。
    5. ベンダーは、ロジクール情報へのアクセスを持つアカウントで10回連続して正しくないパスワードが入力された場合、アカウントを無効にすることで、「アカウントのロック」を管理し、強制します。
    6. ロジクールによって書面で明示的に認可された場合を除き、ベンダーは、ロジクール情報を(保存、処理または送信中を含む)、ベンダー情報と第三者情報から常に分離します。
    7. 追加の物理的アクセスコントロールがロジクールによって書面でリクエストされた場合、ベンダーは、これらの安全な物理的アクセスコントロール対策を実施および使用します。
    8. ベンダーは、1年に1回またはそれ以上の頻度で、ロジクールの要求に応じて、ロジクールに次を提供します:(1)ロジクールの代理で使用するためにベンダーに提供されたロジクールのアカウントまたは認証情報(例えば、ソーシャルメディアアカウントの認証情報)の全ての使用に関するログデータ(認可されたものと認可されていもの両方)、および(2)ロジクール情報へのアクセスを使用したロジクール担当者またはベンダー担当者へのなりすまし、またはなりすましの試みに関する詳細なログデータ。
    9. ベンダーはアクセス ログを定期的に見直し、悪意のある行動や不正アクセスの兆候を確認します。
  7. ベンダー方針。ベンダーは、本方針に明記された基準を満たす、従業員、下請業者、代理店、およびベンダー向けの情報とネットワークセキュリティ方針を維持し、実施します。これには方針の違反を検出し、記録するための方法が含まれます。ロジクールによって要求された場合、ベンダーは、ベンダーの情報とネットワークセキュリティ方針の違反に関する情報をロジクールに提供します。当該の違反がセキュリティインシデントでない場合を含みます。
  8. 下請契約。ベンダーは、ロジクールからの書面の同意なしに、本セキュリティ方針に基づいて、下請契約をしたり、下請業者に義務を委任したりしません。下請契約または委任の存在または期間にも関わらず、ベンダーは、本セキュリティ方針に基づいた義務の完全な履行に責任を負います。本セキュリティ方針の諸条件は、ベンダーの下請業者と担当者を拘束します。ベンダーは(a)ベンダーの下請業者と担当者が本セキュリティ方針を順守することを確実にし、(b)下請業者と担当者の全ての行為、不作為、過失および不正行為に責任を負います。これには(該当する場合)、法律、規則または規制の違反が含まれます。
  9. リモートアクセス。ベンダーは、保護された企業または生産環境の外部からの、ロジクール情報が保存されたシステム、ベンダーの企業または開発ワークステーションネットワークへのアクセスに対して、多要素認証(例えば、最低2種類の要素によってユーザーを識別する)を義務付ける必要があります。
  10. ベンダー担当者。ロジクールは、ロジクールに対するベンダー担当者の個別の秘密保持契約(その形態はロジクールによって指定される)の履行と実現を、ベンダー担当者によるロジクール情報へのアクセスの必要条件とする場合があります。ロジクールが必要とする場合、ロジクールは、ベンダーの担当者が個別の秘密保持契約を履行することを要求します。ベンダーは、ロジクール情報へのアクセスを持つことになるベンダー担当者から署名された個別の秘密保持契約を入手し、ロジクールに提供します(アクセスを付与、または情報をベンダー担当者に提供する前に)。ベンダーはまた、(a)要求に応じて、同意済みの時間枠内に、ロジクール情報にアクセスした/ロジクール情報を受け取ったベンダー担当者のリストをロジクールに提供し、(b)本項に従ってロジクール情報へのアクセスを認可された特定の個々のベンダー担当者が、(y)ロジクール情報へのアクセスがもはや必要なくなった、または(z)ベンダー担当者としての資格がもはやなくなった(例えば、担当者がベンダーを退職した)後、24時間以内にロジクールに知らせます。
     

2.2.ロジクール エクストラネットとベンダーポータルへのアクセス。ロジクールは、ウェブポータルまたはその他の非公開ウェブサイトまたはロジクールのウェブサイト上のエクストラネットサービス、または第三者のウェブサイトまたはシステム(それぞれ、「エクストラネット」)を介して、許可される目的で、ロジクール情報へのアクセスをベンダーに付与できます。ロジクールが、エクストラネットを使用したロジクール情報へのアクセスをベンダーに許可した場合、ベンダーは以下の要件を順守する必要があります:

  1. 許可される目的。ベンダーとその担当者は、許可される目的のみで、エクストラネットにアクセスして、エクストラネットからロジクール情報のアクセス、収集、使用、表示、読み出し、ダウンロードまたは保存を行います。
  2. アカウント。ベンダーは、ベンダー担当者が、ロジクールによって各個人に指定されたエクストラネット アカウントのみを使用することを確実にし、ベンダー担当者は、アクセス認証情報を内密にしておく必要があります。
  3. システム。ベンダーは、コンピューティングまたは処理システムまたはベンダーが管理するオペレーティングシステムを実行しているアプリケーションを通してのみ、エクストラネットにアクセスします。これには次が含まれます:(i)第2.1項(A)(ファイアウォール)に従ったシステムネットワークファイアウォール、(ii)第2.1項(B)(更新)に従った集中型パッチ管理、(iii)第2.1項(C)(マルウェア対策)に従ったオペレーティングシステムの適切なマルウェア対策ソフトウェア、および(iv)ポータブルデバイス、完全なディスク暗号化。
  4. 制限。ロジクールによって事前に書面で承認済みである場合を除き、ベンダーは、エクストラネットから、あらゆるメディア(マシン、デバイスまたはサーバーを含む)上のロジクール情報をダウンロード、ミラー化、または永久な保存を行いません。
  5. アカウントの終了。ベンダーは、エクストラネットへのアクセスを認可された特定のベンダー担当者が(a)ロジクール情報へのアクセスがもはや必要なくなった、(b)ベンダー担当者としての資格がなくなった(例えば、担当者がベンダーを退職した)、または(c)ロジクール情報に30日以上アクセスしなかった後、各ベンダー担当者のアカウントを終了し、24時間以内にロジクールに知らせます。
  6. サードパーティーシステム
    1. ベンダーは、ロジクール情報を保存している、またはロジクール情報へのアクセスがあるサードパーティー システムを使用する前に、事前の通知をロジクールに提供し、ロジクールからの事前の書面による承認を入手しますが、次の場合を除きます:(a)データが本セキュリティ方針に従って暗号化されている、および(b)サードパーティー システムが復号キーへのアクセス、または暗号化されていない「プレーンテキスト」形態のデータを持たない。ロジクールは、承認を与える前に、サードパーティー システムのロジクール セキュリティ見直し(以下の第2.5項に従う)を要求する権利を留保します。
    2. ベンダーが、暗号化されていないロジクール情報を保存している、または当該の情報にアクセスする可能性があるサードパーティー システムを使用している場合、ベンダーは、サードパーティーシステムとそのセキュリティ コントロールのセキュリティの見直しを行う必要があり、ロジクールが要求した形式で(例えば、SAS 70、SSAE 16または後継レポート)、サードパーティーシステムのセキュリティコントロールに関する定期的な報告をロジクールに提供します。またはロジクールが承認したその他の認識された業界基準のレポートを提供します。
       

2.3.データ保持および破壊

  1. 保持。ベンダーは、許可される目的でのみ、および必要な場合に限り、ロジクール情報を保持します。
  2. 返却または削除。ベンダーは、返却および/または削除を要求するロジクールの通知を受けて/に従って、全てのロジクール情報を即座に(ただしロジクールによる要求後10日以内に)ロジクールに返却し、永久かつ安全に削除します。また、ベンダーは、法的に保持が必要な場合を除き、許可される目的の完了、または契約の終了または満了のいずれか早い時の後、ロジクール情報の全てのライブ(オンラインまたはネットワークでアクセス可能な)インスタンスを、90日以内に永久かつ安全に削除します。ロジクールによって要求された場合、ベンダーは、全てのロジクール情報が破棄されたことを書面で認めます。
  3. アーカイブコピー。ベンダーが、税金または類似の規制目的で、ロジクール情報のアーカイブコピーの保持を法律によって要求された場合、このアーカイブされたロジクール情報は、以下のいずれかの方法で保存する必要があります:物理的に安全な施設に保存される「コールド」またはオフラインの(すなわち、即座に、またはインタラクティブに使用しない)バックアップとして、または暗号化され、暗号化されたファイルをホスティングまたは保存するシステムが、暗号化に使用するキーのコピーアクセスを持たない。
  4. 復旧。ベンダーが、災害復旧の目的で「復旧」を実行した場合(すなわち、バックアップに戻る)、ベンダーは、契約または本セキュリティ方針に従って削除する必要がある全てのロジクール情報を、本第2.3項に従って、復旧の発生後24時間以内に復旧されたデータから再度削除または上書きするためのプロセスを維持します。ベンダーが任意の目的で復旧を実行した場合、ロジクールによる事前の書面による承認なしに、ロジクール情報はサードパーティー システムまたはネットワークに復旧できません。ロジクールは、ロジクール情報のサードパーティーシステムまたはネットワークへの復旧を許可する前に、サードパーティーシステムまたはネットワークのロジクール セキュリティ見直し(以下の第2.5項に従い)を義務付ける権利を留保します。
  5. 削除の基準。ベンダーが削除する全てのロジクール情報は、アメリカ国立標準技術研究所(NIST)Special Publication 800-88 Revision 1、電子媒体のサニタイズガイドライン2014年12月18日(https://www.nist.gov/publications/nist-special-publication-800-88-revision-1-guidelines-media-sanitizationで入手可能)、またはロジクールがロジクール情報の分類と機密性に基づいて義務付ける場合があるその他の基準に従って削除します。
     

2.4.法的に有効な形での(フォレンジック)破壊。ロジクール情報が含まれる、あるいはいずれかの時点でロジクール情報が含まれていたハードウェア、ソフトウェア、またはその他のメディアをあらゆる方法で廃棄する前に、ベンダーは、ロジクール情報がいかなる形でも復旧または取得できないように、ハードウェア、ソフトウェアまたはその他のメディアの完全なフォレンジック破壊を実行します。ベンダーは、ロジクールが、ロジクール情報の分類と機密性に基づいて義務付ける場合がある基準に従って、フォレンジック破壊を実行します。ベンダーは、ロジクールからの要求に応じて、破壊の証明を提供するものとします。

  1. ベンダーは、ベンダーによって法的に有効な形で廃棄されていないロジクール情報が含まれるハードウェア、ソフトウェアまたはその他のメディアの販売、転売、寄付、修理調整、または譲渡を行いません(当該のハードウェア、ソフトウェア、またはその他のメディアの販売または譲渡、ベンダーのビジネスの整理に関係する廃棄、またはその他の破棄を含む)。
     

2.5.セキュリティの見直し

  1. リスク評価アンケート。ロジクールは、ロジクールのリスク評価アンケートへの最新の回答を提供することで、ベンダーリスク評価を実施することを、全てのベンダーに義務付けます。この実施は、最低1年に1回、またはベンダーの評価されたリスクに基づいてより頻繁になる場合があります。
  2. 認定。ロジクールからの書面でのリクエストに応じて、ベンダーは、本契約を順守していることを、ロジクールに対して書面で承認します。
  3. その他の見直し。ロジクールは、ベンダーがロジクール情報の処理に使用するシステムのセキュリティを定期的に見直す権利を留保します。ベンダーは、ロジクールに合理的に協力し、妥当な時間枠内に、しかしロジクールの要求日から20歴日以内に、全ての必要な情報をロジクールに提供します。
  4. 修正。セキュリティ見直しによって顕著な欠陥が見つかった場合、ベンダーは、費用を自己負担して、合意済みの時間枠内に、これらの欠陥に対処するのに必要な全ての措置を講じます。
     

2.6.セキュリティ侵害

  1. ベンダーは、(i)ロジクール情報を伴い、または(ii)ロジクール情報を保護するものと実質的に同様のコントロールによりベンダーによって管理される、適用法によって定義されるセキュリティ侵害(それぞれ、「セキュリティ侵害」)について、過度の遅延なく(24時間以内に)、ロジクール(soc@logitech.com)に知らせます。ベンダーは、それぞれのセキュリティ侵害をタイムリーに修正し、各セキュリティインシデントに関するベンダーの内部調査に関して、ロジクールに書面の詳細を提供します。ベンダーによる通知をロジクールが書面で具体的に要求しない限り、ベンダーは、ロジクールの代理で、規制機関または顧客に通知しないことに同意し、ロジクールは、通知を当事者に提供する前に、見直しを行い、通知の形式と内容を承認する権利を留保します。ベンダーは、合理的に協力し、ロジクールと共に、確認された全てのセキュリティインシデントを修正するための計画を策定および実行します。
  2. 法的手続きに応じて、または適用法によってロジクール情報が求められた場合、ベンダーは、過度の遅延なく(24時間以内に)ロジクールに知らせます。