ภาคผนวก ก

ข้อกำหนดของซัพพลายเออร์เรื่องการคุ้มครองข้อมูลและความเป็นส่วนตัว (ประเทศไทย)

1. หลักทั่วไป

1.1. ซัพพลายเออร์รับทราบว่า ซีบีอาร์อีจะต้องปฏิบัติตามกฎหมายและข้อบังคับซึ่งกำหนดภาระหน้าที่ที่เข้มงวดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล (รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ. 2562 (2019)) (“พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล”) ซัพพลายเออร์จะต้องปฏิบัติตาม (และจะทำให้มั่นใจได้ว่าบุคลากร พนักงานของซัพพลายเออร์ และ/หรือ ผู้ประมวลผลช่วงที่ได้รับอนุญาตจะต้องปฏิบัติตาม) ข้อกำหนดที่ระบุไว้ในภาคผนวกนี้เมื่อมีการประมวลผลข้อมูลส่วนบุคคลในนามของซีบีอาร์อี

1.2. คู่สัญญาตกลงว่า ภายใต้สัญญาหลักและภาคผนวกนี้ เมื่อมีการประมวลผลข้อมูลส่วนบุคคล ของ ซีบีอาร์อี ซีบีอาร์อี จะอยุ่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และซัพพลายเออร์จะอยู่ในฐานะ ผู้ประมวลผลข้อมูลส่วนบุคคล ซัพพลายเออร์รับรองว่า จะประมวลผลข้อมูลส่วนบุคคลของ ซีบีอาร์อี ให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับทั้งหมด รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

1.3. ซีบีอาร์อีสงวนสิทธิในสิทธิ กรรมสิทธิ์ และผลประโยชน์ทั้งปวงที่มีอยุ่ในข้อมูลส่วนบุคคลของซีบีอาร์อี และซัพพลายเออร์ตกลงที่จะไม่ประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อีนอกเหนือไปจากเพื่อการปฏิบัติหน้าที่ของตนตามสัญญาหลัก

2. คำจำกัดความ

2.1 เพื่อวัตถุประสงค์ของภาคผนวกนี้ คำต่าง ๆ ดังต่อไปนี้ให้มีความหมายดังนี้

ก. ข้อมูลส่วนบุคคลของซีบีอาร์อี หมายถึง ข้อมูลส่วนบุคคลใด ๆ ที่ประมวลผลโดยผู้ประมวลผลข้อมูลส่วนบุคคลในนามของซีบีอาร์อี ตามหรือที่เกี่ยวข้องกับสัญญาหลัก

ข. ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล

ค. กฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายถึง กฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ. ศ. 2562 ซึ่ง ซีบีอาร์อีและซัพพลายเออร์จะต้องปฏิบัติตาม และกฎหมายคุ้มครองข้อมูลอื่นใดที่อาจระบุไว้ในสัญญาหลัก หรือใบสั่งงานหรือคำสั่งซื้อที่จัดทำขึ้นภายใต้สัญญาหลัก

ง. ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินงานเกี่ยวกับการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยบุคคลหรือนิติบุคคลดังกล่าวไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล

จ. เจ้าของข้อมูล หมายถึง เจ้าของข้อมูลส่วนบุคคล

ฉ. ข้อมูลส่วนบุคคล หมายถึง ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่มีชีวิตอยู่ซึ่งสามารถระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้เสียชีวิต

ช. การละเมิดข้อมูลส่วนบุคคล หมายถึง การละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญหาย หรือการแก้ไขเปลี่ยนแปลงจากอุบัติเหตุหรือที่ผิดกฎหมาย การเปิดเผยหรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่งต่อ เก็บ หรือประมวลผลด้วยประการอื่นใดโดยไม่ได้รับอนุญาต

ซ. สัญญาหลัก หมายถึง สัญญาหลักระหว่าง ซีบีอาร์อีและซัพพลายเออร์สำหรับการให้บริการ

ฌ. การประมวลผล หมายถึง การปฏิบัติการหรือชุดของการปฏิบัติการใด ๆ ที่ดำเนินการกับข้อมูลส่วนบุคคล ไม่ว่าจะด้วยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม การบันทึก การจัดองค์กร การจัดโครงสร้าง การจัดเก็บ การปรับใช้หรือการดัดแปลง การดึงข้อมูล การให้คำปรึกษา การใช้ การเปิดเผยโดยการส่ง การเผยแพร่ หรือการทำให้พร้อมใช้งานด้วยประการอื่นใด การจัดตำแหน่งหรือการรวม การกำหนดข้อจำกัด การลบ หรือการทำลาย

ญ. บริการ หมายถึง การให้บริการ และกิจกรรมอื่น ๆ ที่จัดให้หรือดำเนินการโดยหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล สำหรับ ซีบีอาร์อี ตามสัญญาหลัก

3. การประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อี

ซัพพลายเออร์ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ดังต่อไปนี้:

3.1 ดำเนินกิจกรรมที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ และ/หรือ การเปิดเผยข้อมูลส่วนบุคคลของซีบีอาร์อี เพื่อการปฏิบัติตามภาระหน้าที่ของตนภายใต้สัญญาหลักและตามคำสั่งของซีบีอาร์อี ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่ในกรณีที่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หากซัพพลายเออร์ไม่ปฏิบัติตามข้อ 3.1 นี้ ในการรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลของซีบีอาร์อี ซัพพลายเออร์จะต้องรับผิดทั้งปวงและรับผิดชอบโดยตรงต่อเจ้าของข้อมูล และหน่วยงานที่เกี่ยวข้องในฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล สำหรับการเก็บรวบรวม การใช้ และ/หรือ การเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเอง

3.2 จัดเตรียมและเก็บรักษาบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อี ตามที่กำหนดโดยซีบีอาร์อี และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3.3 ซัพพลายเออร์จะต้องทำให้มั่นใจได้ว่าบุคคลที่ได้รับมอบหมายจากซัพพลายเออร์ให้ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อีนั้น

ก. ได้รับการแจ้งให้ทราบถึงลักษณะที่เป็นความลับของข้อมูลส่วนบุคคลของซีบีอาร์อี และรับทราบและตกลงผูกพันตามหน้าที่ในการรักษาความลับภายใต้สัญญาหลักและกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ข. ตกลงที่จะเข้าถึง ใช้ เปิดเผย หรือประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อีด้วยวิธีการอื่นใด ตามภาคผนวกนี้ และเพื่อวัตถุประสงค์ตามที่ซีบีอาร์อีกำหนดและตกลงด้วยเท่านั้น

ค. จะมีการเข้าถึงข้อมูลส่วนบุคคลของซีบีอาร์อี เพื่อวัตถุประสงค์ในการให้บริการภายใต้สัญญาหลัก (และภายในขอบเขตนั้น) เท่านั้น

ง. ได้รับการฝึกอบรมที่เหมาะสมจากซัพพลายเออร์เกี่ยวกับการจัดการข้อมูลส่วนบุคคลของซีบีอาร์อีที่ถูกต้อง เพื่อลดความเสี่ยงของการละเมิดข้อมูลส่วนบุคคลโดยไม่ตั้งใจ และเพื่อประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อี ให้เป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับและภาคผนวกนี้

3.4 ซัพพลายเออร์จะต้องมีมาตรการทั้งปวงที่จำเป็นตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และโดยเฉพาะอย่างยิ่ง

ก. ซัพพลายเออร์จะต้องมี และปฏิบัติตามมาตรการด้านความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสมตลอดเวลา เพื่อป้องกันข้อมูลส่วนบุคคลของซีบีอาร์อีจากการละเมิดข้อมูลส่วนบุคคล โดยคำนึงถึงลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลตามที่กำหนดไว้ในภาคผนวก ข (ข้อกำหนดเรื่องความปลอดภัยของข้อมูล) และซัพพลายเออร์จะต้องดำเนินการให้ผู้ประมวลผลช่วงดำเนินการตามข้อกำหนดในภาคผนวก ข ด้วย

ข. เมื่อทราบถึงการละเมิดข้อมูลส่วนบุคคล ให้แจ้งซีบีอาร์อีโดยทันที ทั้งนี้ ภายในเวลาไม่เกินยี่สิบสี่ (24) ชั่วโมง และให้ข้อมูลทั้งหมดในทันที อนุญาตให้ซีบีอาร์อีเข้าร่วมการประเมินหรือสอบสวนการละเมิดข้อมูลส่วนบุคคลของซัพพลายเออร์ และให้ความร่วมมือตามที่ซีบีอาร์อีอาจร้องขอ เพื่อปฏิบัติตามข้อผูกพันในการรายงานการละเมิดข้อมูลส่วนบุคคลภายใต้ (และตามระยะเวลาที่กำหนดโดย) กฎหมายคุ้มครองข้อมูลส่วนบุคคล และเพื่อลดหรือระงับการละเมิดข้อมูลส่วนบุคคลดังกล่าว

3.5 ในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล อย่างน้อยที่สุด ซัพพลายเออร์จะต้องให้ข้อมูลต่อไปนี้แก่ซีบีอาร์อี ภายในยี่สิบสี่ (24) ชั่วโมงนับจากวันที่เกิดหรือพบ (แล้วแต่กรณี) การละเมิดข้อมูลส่วนบุคคล:

ก. ให้ข้อมูลเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล รวมถึงประเภทและจำนวนของเจ้าของข้อมูล และข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล;

ข. รายละเอียดของมาตรการที่ซีบีอาร์อีสามารถใช้เพื่อบรรเทาผลกระทบที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคลและเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้นอีก

ค. ผลที่ตามมาจากการละเมิดข้อมูลส่วนบุคคล

ง. มาตรการที่เสนอหรือดำเนินการโดยซัพพลายเออร์ หลังจากมีการละเมิดข้อมูล รวมถึงเพื่อป้องกันไม่ให้เกิดเหตุการณ์ใหม่ขึ้นอีก;

จ. ซัพพลายเออร์จะต้องใช้มาตรการและการกระทำทั้งปวงที่จำเป็น เพื่อแก้ไขหรือบรรเทาผลกระทบจากการการละเมิดข้อมูลส่วนบุคคล และจะต้องแจ้งให้ซีบีอาร์อีทราบความคืบหน้าอยู่เสมอ เกี่ยวกับการดำเนิการดังกล่าวทั้งหมดที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล;

ฉ. ไม่ว่าในกรณีใด ซีบีอาร์อีจะต้องเป็นผู้อนุมัติการสื่อสารต่อสาธารณะใด ๆ และ/หรือ การแจ้งอย่างเป็นทางการต่อเจ้าหน้าที่ผู้มีอำนาจใด ๆ หรือต่อเจ้าของข้อมูลที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคลที่อาจจะเกิดหรือที่ได้เกิดขึ้นจริง

3.6 การละเมิดข้อมูลส่วนบุคคลอันเนื่องมาจากการละมิดข้อตกลงในภาคผนวกนี้ ความประมาทเลินเล่อ หรือจงใจกระทำผิดของซัพพลายเออร์ บุคลากร พนักงาน และ/หรือผู้ประมวลผลช่วงที่ได้รับการการอนุมัติของซัพพลายเออร์ จะถือว่าเป็นการผิดสัญญาหลักอย่างร้ายแรง และจะมีผลให้สัญญาหลักสิ้นสุดลง โดยซีบีอาร์อีจะไม่มีความรับผิดหรือต้องชดใช้ค่าเสียหายใด ๆ อันเนื่องมาจากการสิ้นสุดสัญญาหลักดังกล่าว และซัพพลายเออร์จะต้องรับผิดชอบต่อการกระทำของบุคลากร พนักงาน และ/หรือผู้ประมวลผลช่วงที่ได้รับการอนุมัติของซัพพลายเออร์ เสมือนว่าเป็นการกระทำหรือละเว้นการกระทำของซัพพลายเออร์เอง

3.7 ซัพพลายเออร์จะต้องจัดให้มีมาตรการทางเทคนิคและองค์กรที่เหมาะสม โดยไม่คิดค่าใช้จ่ายเพิ่มเติมกับซีบีอาร์อี เพื่อให้การปฏิบัติหน้าที่ของ ซีบีอาร์อีในการดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูล โดยเฉพาะ:

ก. เพื่อขอความยินยอมจากเจ้าของข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลโดยซีบีอาร์อี และ/หรือซัพพลายเออร์ และ

ข. เพื่อตอบข้อซักถาม การติดต่อ หรือการร้องเรียนใด ๆ ที่ได้รับจากเจ้าของข้อมูล ผู้กำกับดูแลกฎหมาย หรือบุคคลภายนอกอื่นใด ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อี โดยซัพพลายเออร์ ในนามของซีบีอาร์อี

ในกรณีที่มีการร้องขอ การติดต่อ การสอบถาม หรือการร้องเรียนใด ๆ ดังกล่าวโดยตรงต่อซัพพลายเออร์ ซัพพลายเออร์จะต้องแจ้งให้ซีบีอาร์อีทราบโดยทันที ทั้งนี้ ภายในเวลาไม่เกินยี่สิบสี่ (24) ชั่วโมง พร้อมทั้งให้รายละเอียดที่ครบถ้วน และไม่ว่ากรณีใด ๆ จะต้องไม่ให้คำตอบโดยตรงกับเจ้าของข้อมูลโดยไม่ได้รับความยินยอมจากซีบีอาร์อีก่อน

3.8 ซัพพลายเออร์ต้องให้ความช่วยเหลือตามสมควรและทันเวลาดังกล่าวแก่ซีบีอาร์อี เท่าที่จำเป็นเพื่อดำเนินการประเมินผลกระทบของการปกป้องข้อมูล

3.9 ซัพพลายเออร์ต้องดำเนินการสำรองข้อมูลส่วนบุคคลของซีบีอาร์อีเป็นประจำ ในระบบข้อมูลของซัพพลายเออร์ และจัดทำแผนแก้ไขความเสียหายและแผนบริหารความต่อเนื่องทางธุรกิจ เพื่อให้สอดคล้องกับตามภาคผนวก ข โดยกำหนดวิธีการกู้คืนข้อมูลส่วนบุคคลของซีบีอาร์อีจากบันทึกสำรอง และวิธีการดำเนินธุรกิจต่อไปในระหว่างการกู้คืนข้อมูล

3.10 ซัพพลายเออร์ต้องแจ้งให้ซีบีอาร์อีทราบ และตกลงกันเป็นลายลักษณ์อักษรในกรณีที่มีการเปลี่ยนแปลงใด ๆ ที่สำคัญ กับระบบใดๆ ที่ใช้ในการประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อี

4. การเก็บรักษา

4.1 ซัพพลายเออร์จะต้องไม่เก็บรักษาข้อมูลส่วนบุคคลของซีบีอาร์อี (หรือเอกสารหรือบันทึกใด ๆ ที่มีข้อมูลส่วนบุคคลของซีบีอาร์อี ไม่ว่าในรูปแบบอิเล็กทรอนิกส์หรือรูปแบบอื่นใด) เป็นระยะเวลานานเกินกว่าที่จำเป็นในการให้บริการภายใต้สัญญาหลัก

4.2 ภายใต้เงื่อนไขในข้อ 4.3 และตามที่ซีบีอาร์อีเลือก ซัพพลายเออร์จะต้องลบหรือส่งคืนข้อมูลส่วนบุคคลของซีบีอาร์อีทั้งหมดให้กับซีบีอาร์อี ในรูปแบบและบนสื่อที่ซีบีอาร์อีตัดสินใจ หลังจากสิ้นสุดการให้บริการที่เกี่ยวข้องกับการประมวผล และลบสำเนาที่มีอยู่ไม่ช้ากว่าสิบห้า (15) วันหลังจากที่ซีบีอาร์อีร้องขอ รวมถึงข้อมูลส่วนบุคคลของซีบีอาร์อี ที่มอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลรายอื่น (“ผู้ประมวลผลช่วง”) ทำการประมวลผลแทน และให้ซัพพลายเออร์รับรองต่อซีบีอาร์อีว่าตนได้ดำเนินการเช่นนั้นแล้ว เว้นแต่กฎหมายที่ใช้บังคับกำหนดให้ยังต้องเก็บข้อมูลส่วนบุคคลนั้นอยู่ ทั้งนี้ ซัพพลายเออร์จะต้องแยกและปกป้องข้อมูลส่วนบุคคลของซีบีอาร์อี จากการประมวลผลใด ๆ เพิ่มเติม ยกเว้นเป็นการดำเนินการตามขอบเขตที่กฎหมายกำหนดไว้

4.3 หากกฎหมายกำหนดห้ามมิให้ซัพพลายเออร์ลบข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนของซีบีอาร์อี ซัพพลายเออร์จะต้องแจ้งให้ซีบีอาร์อีทราบถึงข้อกำหนดดังกล่าว และดำเนินการที่เกี่ยวข้องเพื่อไม่ให้เกิดการเปิดเผยชื่อหรือการปกปิดชื่อของเจ้าของข้อมูลด้วยค่าใช้จ่ายของซัพพลายเออร์เอง

5. การตรวจสอบ

5.1 ซัพพลายเออร์จะต้องจัด ข้อมูล ระบบ สถานที่ และพนักงานทั้งหมด รวมถึงผู้ประมวลผลช่วงที่ได้รับการอนุมัติใด ๆ ที่จำเป็นและเกี่ยวข้องกับการปฏิบัติตามหน้าที่ที่กำหนดไว้ในภาคผนวกนี้ ให้แก่ซีบีอาร์อี (หรือผู้ตรวจสอบภายนอกที่ได้รับการแต่งตั้งจากซีบีอาร์อี) เพื่อให้ซีบีอาร์อีหรือผู้ตรวจสอบที่ได้รับมอบหมายจากซีบีอาร์อีสามารถทำการสอบทาน รวมถึงการตรวจสอบ ตามข้อกำหนดเกี่ยวกับการตรวจสอบซึ่งระบุไว้ในสัญญาหลัก

6. การใช้ผู้ประมวลผลช่วง

6.1 ซัพพลายเออร์จะต้องไม่มอบหมายหรือแต่งตั้งผู้ประมวลผลช่วง โดยที่ยังไม่ได้รับความเห็นชอบจากซีบีอาร์อีก่อน และเมื่อผู้ประมวลผลช่วงได้รับความเห็นชอบแล้ว ซัพพลายเออร์จะต้องกำหนดหน้าที่ในการปกป้องข้อมูลเช่นเดียวกับที่กำหนดไว้ในภาคผนวกนี้ โดยการทำสัญญาเป็นลายลักษณ์อักษร ซึ่งมีข้อกำหนดที่เพียงพอ สำหรับการนำมาตรการทางเทคนิคและองค์กรไปใช้อย่างเหมาะสมในลักษณะที่จะทำให้การประมวลผลนั้นเป็นไปตามข้อกำหนดของภาคผนวกนี้และกฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้ และจะต้องประมวลผลตามคำสั่งของซีบีอาร์อีเท่านั้น และ ในกรณที่ที่จำเป็น ซีบีอาร์อีหรือบุคคลภายนอกที่ได้รับมอบหมายมีสิทธิเข้าตรวจสอบในสถานที่ของผู้ประมวลผลช่วงตามสมควรได้

6.2 อย่างไรก็ตาม หากมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น หรือผู้ประมวลผลช่วง ไม่สามารถปฏิบัติตามภาระหน้าที่ในการปกป้องข้อมูลได้ ซัพพลายเออร์จะต้องรับผิดชดใช้ค่าเสียหายทั้งปวงและปกป้องซีบีอาร์อีและบุคคลหรือนิติบุคคลอื่นใดที่ซีบีอาร์อีมีหน้าที่ต้องปกป้อง รวมถึงแต่ไม่จำกัดเพียง ลูกค้าของซีบีอาร์อี (ตามที่ระบุไว้ในสัญญาหลัก) (รวมเรียกว่า “ผู้เสียหาย”) ให้พ้นจากความเสียหายที่เกิดขึ้นทั้งปวงที่เกิดขึ้นกับซีบีอาร์อีและผู้เสียหายซึ่งเกี่ยวข้องกับการให้บริการของซัพพลายเออร์ และเป็นผลมาจากการที่ผู้ประมวลผลช่วงไม่ปฏิบัติตามหน้าที่ของตน สัญญากับผู้ประมวลผลช่วงจะต้องกำหนดและแยกแยะความรับผิดชอบระหว่างซัพพลายเออร์และผู้ปฏิบัติงานรายย่อยไว้อย่างชัดเจน หากมีการใช้ผู้ประมวลผลช่วงหลายราย ข้อกำหนดนี้ให้นำไปใช้กำหนดความรับผิดชอบระหว่างผู้ประมวลผลช่วงเหล่านั้นด้วย

7. การถ่ายโอนข้อมูลส่วนบุคคลของซีบีอาร์อี

7.1 ซัพพลายเออร์จะต้องไม่เปิดเผยข้อมูลส่วนบุคคลของซีบีอาร์อี ต่อบุคคลภายนอกหรือประมวลผลข้อมูลส่วนบุคคลของ ซีบีอาร์อีนอกประเทศไทย

7.2 ในกรณีที่จำเป็นต้องทำการประมวลผลข้อมูลส่วนบุคคลของซีบีอาร์อีนอกประเทศไทยเพื่อสามารถให้บริการได้ครบถ้วน ซัพพลายเออร์จะต้องได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากซีบีอาร์อี ซัพพลายเออร์จะต้องขอความยินยอมล่วงหน้าดังกล่าวโดยแจ้งซีบีอาร์อีล่วงหน้าตามสมควร พร้อมให้ข้อมูลที่เกี่ยวข้องทั้งหมดเกี่ยวกับวัตถุประสงค์ของการถ่ายโอนดังกล่าวและประเทศที่จะถ่ายโอนข้อมูลส่วนบุคคล และซัพพลายเออร์จะต้องแสดงให้เห็นว่ามีการป้องกันข้อมูลส่วนบุคคลของซีบีอาร์อีที่จะมีการโอนในระดับที่เหมาะสม

7.3 ซัพพลายเออร์จะต้องทำให้มั่นใจได้ว่าข้อกำหนดขั้นต่ำดังต่อไปนี้ จะถูกนำไปใช้ในการถ่ายโอนข้อมูลส่วนบุคคลของ ซีบีอาร์อี ให้แก่และจากซีบีอาร์อี หรือตัวแทน ผู้รับเหมาช่วง หรือผู้ประมวลผลช่วง:

7.3.1 การถ่ายโอนข้อมูลส่วนบุคคลของซีบีอาร์อีทางอิเล็กทรอนิกส์ทั้งหมดจะต้องใช้การเข้ารหัสเพื่อความปลอดภัย

7.3.2 เมื่อทำการถ่ายโอนข้อมูลส่วนบุคคลของซีบีอาร์อีบนกระดาษ เอกสารนั้นจะต้องมีการกำกับว่า "เป็นความลับ" ใช้ซองจดหมายที่มีการห่อสองครั้งและปิดผนึกในลักษณะที่การลักลอบเปิดจะถูกสังเกตเห็นได้ชัด

7.3.3 เมื่อทำการถ่ายโอนข้อมูลส่วนบุคคลของซีบีอาร์อี โดยใช้สื่อที่สามารถเคลื่อนย้ายได้ (เช่น แผ่นซีดี, เมมโมรี่สติ๊ก (memory stick), ฮาร์ดไดรฟ์แบบพกพา (external hard drives)) สื่อทั้งหมดจะต้องมีป้ายกำกับว่า "เป็นความลับ" ใช้การเข้ารหัสที่เหมาะสมใช้ ใช้ซองจดหมายที่มีการห่อสองครั้งและปิดผนึกในลักษณะที่การลักลอบเปิดจะถูกสังเกตเห็นได้ชัด

7.3.4 หลังจากการถ่ายโอนและจัดส่งข้อมูลส่วนบุคคลของซีบีอาร์อี ตามข้อ 7.3.2 หรือ 7.3.3 ข้างต้น จะต้องได้รับลายเซ็นของผู้รับเพื่อยืนยันการรับ หากไม่สามารถส่งมอบให้ผู้รับที่ระบุได้ ต้องส่งคืนซองจดหมายโดยที่ไม่ได้เปิด

7.3.5 ตลอดระยะเวลาของสัญญาหลัก และ/หรือตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซัพพลายเออร์จะต้องเก็บรักษาบันทึกที่สมบูรณ์และถูกต้องทั้งหมดของการถ่ายโอนข้อมูลส่วนบุคคลของซีบีอาร์อีที่เกี่ยวข้องกับสัญญาหลัก และ/หรือภาคผนวกนี้

8. หน้าที่ของซีบีอาร์อีที่มีต่อข้อมูลส่วนบุคคลของซัพพลายเออร์

ในกรณีที่ซัพพลายเออร์ให้ข้อมูลใด ๆ ที่มีข้อมูลส่วนบุคคล รวมถึงข้อมูลการติดต่อทางธุรกิจที่เกี่ยวข้องกับซัพพลายเออร์ พนักงานของซัพพลายเออร์ ในฐานะที่เป็นส่วนหนึ่งของการให้บริการภายใต้สัญญาหลัก หรือเพื่อรักษาความสัมพันธ์ทางธุรกิจกับซีบีอาร์อี ซัพพลายเออร์รับรองว่าข้อมูลส่วนบุคคลที่ให้ซีบีอาร์อีนั้นได้รับมาโดยชอบด้วยกฎหมาย และซัพพลายเออร์มีอำนาจในการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวต่อซีบีอาร์อีตามวัตถุประสงค์ที่กล่าวถึงข้างต้น ซัพพลายเออร์จะต้องชดใช้ค่าเสียหายเต็มจำนวนและปกป้องซีบีอาร์อีและผู้เสียหายจากความรับผิดใด ๆ ทั้งปวงที่เกิดขึ้นกับซีบีอาร์อีและผู้เสียหายอันเป็นผลมาจากการละเมิดดังกล่าวไม่ว่าจะเกิดจากสาเหตุใดก็ตาม นอกเหนือจากที่กล่าวมาข้างต้น ข้อมูลส่วนบุคคลบางอย่างที่อาจได้รับทางอ้อมผ่านระบบรักษาความปลอดภัยภายในหรือโดยวิธีการอื่น ซัพพลายเออร์ตกลงว่า ซีบีอาร์อีอาจประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่เกี่ยวข้องกับสัญญาหลักและเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องทั้งหมด ทั้งนี้ เพื่อวัตถุประสงค์ดังกล่าว ซีบีอาร์อีอาจถ่ายโอนข้อมูลส่วนบุคคลดังกล่าวไปยังประเทศใด ๆ ที่ซีบีอาร์อีดำเนินงานอยู่ได้

 

ภาคผนวก ข

ข้อกำหนดด้านความปลอดภัยของข้อมูล (ประเทศไทย)

ส่วนที่ 1

ข้อกำหนด:

1. เมื่อมีการใช้ในสัญญาหลักและเอกสารแนบนี้ คำว่า “ข้อมูลของ ซีบีอาร์อี” หมายถึง: ข้อความหรือข้อมูลใด ๆ ทั้งหมดที่อยู่ในระบบของซีบีอาร์อี แอปพลิเคชัน หรือโซลูชั่น ไม่ว่าจะอยู่ที่ซีบีอาร์อี ซัพพลายเออร์ หรือบุคคลภายนอกที่ได้รับมอบหมายจากซีบีอาร์อี ผลงาน ผลลัพธ์และรายงานทั้งหมดที่สร้างขึ้นโดยซัพพลายเออร์อันเกี่ยวเนื่องกับการให้บริการ และรายการและข้อมูลทั้งหมดที่จัดทำโดยซีบีอาร์อี บุคคลภายนอกที่ได้รับมอบหมายจากซีบีอาร์อี และ/หรือลูกค้าของซีบีอาร์อีเพื่อใช้ในการให้บริการ ข้อมูลของซีบีอาร์อี ประกอบด้วยข้อมูลที่ซีบีอาร์อีเป็นเจ้าของ และ ข้อมูลที่ลูกค้าของซีบีอาร์อีเป็นเจ้าของ ข้อมูลของซีบีอาร์อี รวมถึงแต่ไม่จำกัดเพียง ข้อมูลรวมและข้อมูลที่สำคัญ

2. ตามที่ใช้ในภาคผนวกนี้ คำศัพท์ดังต่อไปนี้ ให้มีความหมายตามที่กำหนดไว้ด้านล่าง:

(ก) “ข้อมูลรวม" หมายถึง ข้อมูลที่ไม่ได้เป็นข้อมูลที่สำคัญซึ่งไม่ได้บ่งบอกตัวตนของซีบีอาร์อี ลูกค้าของซีบีอาร์อี หรือบุคคลใดเป็นการเฉพาะเจาะจง

(ข) "ข้อมูลสำคัญ" หมายถึง ข้อมูลที่บ่งบอกตัวตนของซีบีอาร์อี ลูกค้าของ ซีบีอาร์อี หรือบุคคลใดเป็นการเฉพาะเจาะจง รวมถึงข้อมูลทั้งหมดที่มีการควบคุมภายในประเทศหรือระหว่างประเทศ หรือมีความสำคัญต่อระบบข้อมูลของซีบีอาร์อี เช่น รหัสต้นฉบับ (source code) หรือข้อมูลรหัสรับรองการตรวจสอบความถูกต้อง (authentication credentials)

3. การรักษาความลับ: เพื่อวัตถุประสงค์ของภาคผนวกนี้ ให้หมายความถึง ข้อมูลลับของซีบีอาร์อี ตามที่ให้นิยามและใช้เป็นข้อกำหนดในสัญญาหลัก รวมถึงข้อมูลซีบีอาร์อีทั้งหมด ไฟล์ข้อมูล ข้อมูลบันทึกการเข้าถึงเว็บ รายงาน ข้อมูลทางสถิติ ผลิตภัณฑ์ทั้งในปัจจุบัน อนาคต หรือที่ยังเป็นข้อเสนอ โปรแกรมคอมพิวเตอร์ ข้อมูลจำเพาะ ระบบ บันทึก ความรู้ ขั้นตอน กระบวนการการจัดการข้อมูล แนวคิด รายชื่อลูกค้า รายชื่อและงานพิมพ์ แผนการตลาดหรือการขาย ข้อมูลราคาซอฟต์แวร์ ข้อมูลราคาค่าบริการ การพัฒนา งานที่กำลังดำเนินการ แผนธุรกิจในอนาคต และข้อมูลหรือเนื้อหาอื่นใดทั้งปวงที่เกี่ยวข้องกับธุรกิจและเทคโนโลยีของซีบีอาร์อี หรือลูกค้าของซีบีอาร์อี

4. การชดใช้ค่าเสียหาย: ซัพพลายเออร์จะต้องปกป้อง ชดใช้ค่าเสียหาย และป้องกันซีบีอาร์อีจากการเรียกร้อง ข้อเรียกร้อง ความเสียหาย การสูญเสีย ความรับผิด การดำเนินคดี การฟ้องร้อง ค่าใช้จ่าย รวมถึง ค่าธรรมเนียมทนาย ด้วยค่าใช้จ่ายของซัพพลายเออร์เอง โดยที่กรณีดังกล่าวเกิดขึ้นจาก (i) การเข้าถึง การใช้ หรือการเปิดเผยข้อมูลของซีบีอาร์อี โดยซัพพลายเออร์หรือบุคลากรของซัพพลายเออร์ที่ไม่เหมาะสม ไม่ได้รับอนุญาต หรือผิดกฎหมาย หรือ (ii) การที่ซัพพลายเออร์บิดเบือนความจริงหรือทำการละเมิดใด ๆ ที่เป็นสาระสำคัญและเกี่ยวข้องกับภาคผนวกนี้ ซีบีอาร์อีสงวนสิทธิ์ในการเข้าร่วมในการแก้ต่างในเรื่องใด ๆ ที่อยู่ภายใต้การชดใช้ค่าเสียหายของซัพพลายเออร์ในข้อนี้ ทั้งนี้ ด้วยค่าใช้จ่ายของซีบีอาร์อีเอง และซัพพลายเออร์จะให้ความช่วยเหลือ ซีบีอาร์อีตามสมควรในการเข้าร่วมดังกล่าว

5. การปฏิบัติตามข้อกำหนด: ซัพพลายเออร์แสดงตน รับรอง และตกลงว่า ในการให้บริการนั้น ซัพพลายเออร์ (ก) ได้ทำและจะปฏิบัติตาม (i) กฎหมาย กฎ และระเบียบที่ใช้บังคับในประเทศและระหว่างประเทศทั้งหมดที่เกี่ยวข้องรวมถึง กฎหมายคุ้มครองข้อมูล ความเป็นส่วนตัว และความปลอดภัยในการเข้ารหัส ที่กำหนดให้ต้องมีการเข้ารหัสอย่างชัดเจนหรือด้วยวิธีการที่จะเป็นการลดความรับผิด (ii) กฎและระเบียบข้อบังคับ กฎหมายทั้งหมดที่ใช้กับการถ่ายโอนข้อมูลข้ามพรมแดน และมาตรฐานอุตสาหกรรมเหล่านั้นที่เกี่ยวกับการให้บริการ; และ (ข) ได้มีการพัฒนาและดำเนินการ และจะรักษาและตรวจสอบโปรแกรมความปลอดภัยของข้อมูลที่เป็นลายลักษณ์อักษรและครอบคลุมให้สอดคล้องกับข้อกำหนดเหล่านี้ และกฎหมายและข้อบังคับที่เกี่ยวข้อง ในกรณีที่ข้อมูลส่วนบุคคลจะถูกถ่ายโอนจากประเทศที่พำนักของบุคคลใดไปยังประเทศอื่น ซัพพลายเออร์จะต้องแจ้งให้ซีบีอาร์อีทราบล่วงหน้าและการถ่ายโอนข้อมูลข้ามพรมแดนดังกล่าวจะต้องได้รับการอนุมัติเป็นลายลักษณ์อักษรจากซีบีอาร์อี และจะต้องเป็นไปตามข้อสัญญามาตรฐาน (SCC) สัญญาการประมวลผลข้อมูล หรือเอกสารใด ๆ ตามที่ซีบีอาร์อีกำหนดเพื่อประกันว่าการถ่ายโอนข้อมูลใด ๆ นั้นเป้นไปตามกฎหมายที่ใช้บังคับ เพื่อวัตถุประสงค์ของภาคผนวก ข ข้อกำหนดด้านความปลอดภัยนี้ “ข้อมูลส่วนบุคคล” นี้จะรวมถึง (i) ข้อมูลที่สามารถใช้ในการระบุตัวตนที่ถูกต้องของบุคคล เช่น รหัสผ่านหรือ PIN ข้อมูลไบโอเมตริกซ์ หมายเลขระบุตัวตนที่เป็นเอกลักษณ์ และ (ii) ข้อมูลใดๆ ที่ได้รับการคุ้มครองภายใต้กฎหมายและระเบียบการคุ้มครองข้อมูล และความปลอดภัยของข้อมูลหรือความเป็นส่วนตัว เมื่อมีการร้องขอเป็นครั้งคราว ซัพพลายเออร์จะรับรองการปฏิบัติตามข้อกำหนดข้างต้น ซัพพลายเออร์รับรองต่อซีบีอาร์อีว่า จะใช้ ประมวลผล จัดเก็บ เข้าถึง และถ่ายโอนข้อมูลของซีบีอาร์อีอย่างเคร่งครัดตามกฎหมายและข้อบังคับที่บังคับใช้และตามข้อกำหนดที่ระบุไว้ในสัญญาหลักหรือตามคำสั่งของซีบีอาร์อี นอกจากนี้ ในกรณีที่ซัพพลายเออร์ไม่มีสิทธิเข้าถึงและ/หรือดาวน์โหลดข้อมูลของซีบีอาร์อีได้ แต่เมื่อใดก็ตามที่ซัพพลายเออร์พบว่าตนสามารถดำเนินการกังกล่าวได้ ซัพพลายเออร์จะต้องแจ้งให้ซีบีอาร์อีทราบเป็นลายลักษณ์อักษรถึงความสามารถดังกล่าวทันทีและจะต้องไม่เก็บข้อมูลใด ๆ ไว้

6. การเปลี่ยนแปลงที่สำคัญซึ่งมีผลต่อการให้บริการ: ในกรณีที่ซัพพลายเออร์ต้องการแก้ไขนโยบาย กระบวนการ หลักการ หรือวิธีการในการใช้ เปิดเผย จัดเก็บ ประมวลผล หรือส่งหรือจัดการข้อมูลของซีบีอาร์อีในสาระสำคัญ ซึ่งจะลดความปลอดภัยของข้อมูลของซีบีอาร์อี หรือเพิ่มความเสี่ยงต่อข้อมูลของซีบีอาร์อี ซัพพลายเออร์จะต้องแจ้งให้ซีบีอาร์อีทราบเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อยหกสิบ (60) วัน ซีบีอาร์อีมีสิทธิใช้ดุลยพินิจแต่เพียงผู้เดียว ในการพิจารณาว่า การแก้ไขนั้นแสดงถึงความเสี่ยงที่ไม่อาจยอมรับต่อซีบีอาร์อี หรือข้อมูลของ ซีบีอาร์อี และห้ามมิให้ซัพพลายเออร์ดำเนินการแก้ไขสาระสำคัญดังกล่าว จนกว่าจะสามารถลดความเสี่ยงหรือพบวิธีการสำรองสำหรับการให้บริการ ตัวอย่างของการแก้ไขสาระสำคัญดังกล่าวรวมถึง แต่ไม่จำกัดเพียง (i) การเปิดเผยข้อมูลของซีบีอาร์อี ไปยังบุคลากรใหม่ของซัพพลายเออร์ หรือ (ii) เปลี่ยนเส้นทางการไหลของข้อมูลของซีบีอาร์อี เนื่องจากการให้บริการเป็นส่วนหนึ่งของสัญญาหลัก ในการเปลี่ยนแปลงที่สำคัญใด ๆ ในการให้บริการ และ / หรือการให้บริการใหม่ใด ๆ ซัพพลายเออร์ตกลงที่จะให้ข้อมูลที่ตามที่ร้องขอที่เกี่ยวข้องกับ และ/หรือเข้ามามีส่วนร่วมกับกระบวนการกำกับดูแลความปลอดภัยของซีบีอาร์อี

ส่วนที่ 2

ในกรณีที่การให้บริการหรือกิจกรรมอื่น ๆ ของซัพพลายเออร์ หรือบุคลากรของซัพพลายเออร์เกี่ยวข้องกับการเข้าถึง และ/หรือการโฮสต์ (Hosting) ข้อมูล ของซีบีอาร์อี ไม่ว่าในปัจจุบันหรือในอนาคต ให้นำส่วนที่ 2 นี้ มาใช้บังคับ และซัพพลายเออร์ตกลงดังต่อไปนี้:

1. สิทธิในการตรวจสอบ:

(ก) ซัพพลายเออร์หรือบุคลากรของซัพพลายเออร์จะต้องเก็บรักษาบันทึกกิจกรรมและการดำเนินงานของตนที่ถูกต้องและครบถ้วนเกี่ยวกับสัญญาหลัก และการเข้าถึงหรือโฮสต์ข้อมูลของซีบีอาร์อี ซีบีอาร์อีหรือบุคคลหรือองค์กรที่ได้รับอนุญาตจาก ซีบีอาร์อี (โดยที่บุคคลหรือนิติบุคคลที่ได้รับอนุญาตดังกล่าว จะต้องไม่เป็นคู่แข่งของซัพพลายเออร์ และมีการลงนามในสัญญารักษาความลับที่เหมาะสม) อาจเข้าตรวจสอบสถานที่ ระบบ กระบวนการ และบันทึกต่าง ๆ ที่เกี่ยวข้องกับเข้าถึง และ/หรือโฮสติ้งนั้น เท่าที่เพื่อให้ซีบีอาร์อีสามารถรับรองได้ว่าการควบคุมภายในและขั้นตอนของซัพพลายเออร์นั้นเป็นไปตามภาคผนวกนี้และข้อกำหนดด้านกฎระเบียบที่บังคับใช้ การตรวจสอบใด ๆ ดังกล่าวจะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้: (1) จำกัดไม่เกินสองครั้งต่อปีในช่วงระยะเวลาของสัญญาหลัก; (2) หากเป็นไปได้ ซีบีอาร์อีจะแจ้งให้ทราบเป็นลายลักษณ์อักษรล่วงหน้าอย่างน้อยสิบ (10) วันทำการก่อนการตรวจสอบใด ๆ ที่ดำเนินการภายใต้หัวข้อนี้ (3) ซีบีอาร์อีจะใช้ประโยชน์จากการตรวจสอบด้านความปลอดภัยของบุคคลภายนอกที่ซัพพลายเออร์เป็นผู้จัดหาเพื่อยืนยันว่าได้มีการปฏิบัติตามการควบคุมทั่วไปที่เกี่ยวข้อง แทนการตรวจสอบการควบคุมเดียวกันซึ่งป็นส่วนหนึ่งของการตรวจสอบดังกล่าว; (4) จะต้องดำเนินการในช่วงเวลาทำการปกติ และ (5) การตรวจสอบจะต้องดำเนินการเมื่อได้ตกลงร่วมกันเกี่ยวกับมเงื่อนไขที่จำเป็นอย่างสมเหตุสมผลเพื่อยืนยันการปฏิบัติตามกฎระเบียบหรือสัญญา รวมถึงการใช้งานนำเสนอ WebEx ที่เหมาะสมกับอุตสาหกรรม คู่สัญญาแต่ละฝ่ายจะรับผิดชอบค่าใช้จ่ายของตนเองที่เกี่ยวข้องกับการตรวจสอบดังกล่าวซึ่งดำเนินการภายใต้หัวข้อนี้ ความพยายามในการแก้ไขจะได้รับการเจรจาโดยสุจริตระหว่างคู่สัญญาตามมาตรฐานอุตสาหกรรม (เช่น กรอบงานความเสี่ยงและการเปิดเผยทั่วไป (Common Vulnerabilities and Exposures (CVE®) หรือกรอบงาน Open Web Application Security Project (OWASP) ที่เกี่ยวข้องกับความเสี่ยงต่อข้อมูลและระบบของซีบีอาร์อี ซัพพลายเออร์จะเป็นผู้รับผิดชอบค่าใช้จ่ายในการแก้ไขนั้น

(ข) นอกจากนี้ ซีบีอาร์อีอาจต้องใช้ SSAE 16 SOC 1 หรือ 2 Type II, ISO 27001 หรือการตรวจสอบโดยบุคคลภายนอกที่คล้ายคลึงกัน โดยซัพพายเออร์เป็นผู้ออกค่าใช้จ่ายที่เกี่ยวข้องกับการให้บริการที่เกี่ยวข้องกับข้อมูลของซีบีอาร์อี (“บริการ”) และสถานที่ของซัพพลายเออร์ที่มีการให้บริการ ทั้งในช่วงต้น และตามระยะตามที่กำหนดตามเงื่อนไขทางธุรกิจ และ/หรือเมื่อมีการเปลี่ยนแปลง ในลักษณะและในเวลาที่สอดคล้องกับแนวทางการตรวจสอบการดำเนินงานที่มีการจัดการที่ดีสำหรับการให้บริการที่คล้ายกับบริการภายใต้สัญญานี้ ซัพพลายเออร์จะต้องให้สำเนาการประมวลผลข้อมูลของบุคคลภายนอก หรือการประเมินความปลอดภัยของข้อมูล ผลการทดสอบ การตรวจสอบ หรือการทบทวน (เช่น SOC 2 Type II, SysTrust, WebTrust) หรือการประเมินอื่นๆ ที่เทียบเท่าซึ่งอยู่ในความครอบครองหรือความควบคุมหรือกรณีอื่นใดตามที่ซีบีอาร์อีกำหนดตามสมควรแก่ซีบีอาร์อี แต่ในกรณีที่ข้อมูลนั้นจะมีการเปิดเผยรายละเอียดเฉพาะของลูกค้ารายอื่นของซัพพลายเออร์ ข้อมูลที่เกี่ยวกับลูกค้ารายอื่นของซัพพลายเออร์นั้นอาจจะต้องถูกแก้ไขหรือลบทิ้ง

2. ความต่อเนื่องทางธุรกิจและการฟื้นฟูความเสียหาย:

(ก) ในระหว่างอายุสัญญาและช่วงการเปลี่ยนผ่าน ซัพพลายเออร์จะต้องรักษาและปฏิบัติตามแผนฟื้นฟูความเสียหายและแผนความต่อเนื่องทางธุรกิจที่ครอบคลุม ("แผนความต่อเนื่องทางธุรกิจ") ด้วยค่าใช้จ่ายของตนเอง เพื่อให้ซัพพลายเออร์สามารถปฏิบัติหน้าที่ของตนภายใต้สัญญาหลักและภาคผนวกนี้โดยที่จะมีการหยุดชะงักหรือความล่าช้าน้อยที่สุด ซัพพลายเออร์รับรองและรับประกันว่า (ก) แผนความต่อเนื่องทางธุรกิจจะรวมถึงกระบวนการและขั้นตอนในการฟื้นฟูการให้บริการอย่างสมบูรณ์ (รวมถึงกระบวนการทางธุรกิจ บุคลากรที่ใช้ในหรือจำเป็นสำหรับการให้บริการและข้อมูลของซีบีอาร์อี) โดยไม่คำนึงว่าเหตุการณ์ที่เกิดขึ้นจะเกิดในระดับท้องถิ่นหรือระดับชาติ และหากซอฟต์แวร์หรือข้อมูลใด ๆ ที่ถูกโฮสต์ จัดเก็บ หรือเก็บรักษาโดยซัพพลายเออร์ภายใต้สัญญานี้ ซัพพลายเออร์จะต้องสำรองข้อมูลและซอฟต์แวร์นั้นไว้ทั้งหมดในสถานที่สอง (2) แห่งซึ่งแยกต่างหากจากกัน รวมถึงมีสถานที่จัดเก็บข้อมูลที่ปลอดภัย ห่างจากตำแหน่งอื่น และแจ้งให้ซีบีอาร์อีทราบถึงตำแหน่งที่เก็บของข้อมูลสำรองดังกล่าว และ (ข) แผนความต่อเนื่องทางธุรกิจจะต้องครอบคลุมถึงการระบาดใหญ่ของโรคและเหตุการณ์อื่น ๆ ที่ไม่เกี่ยวข้องกับเทคโนโลยีที่อาจส่งผลกระทบต่อการให้บริการ ซัพพลายเออร์จะต้องจัดทำสำเนาของแผนความต่อเนื่องทางธุรกิจและหลักฐานของความสามารถในการสำรองข้อมูล และสถานที่ที่จัดสำรองข้อมูลให้แก่ ซีบีอาร์อี เมื่อมีการร้องขอ

(ข) ซัพพลายเออร์ต้องทดสอบแผนความต่อเนื่องทางธุรกิจอย่างน้อยทุกปี หาก ซีบีอาร์อี ประสงค์ที่จะเข้าร่วมในการทดสอบใดๆ ซัพพลายเออร์จะทำการทดสอบเป้าหมายและขั้นตอนการทดสอบสำหรับการเชื่อมต่อไปยังสถานที่ทดสอบให้กับซีบีอาร์อีก่อนการทดสอบ และจะอนุญาตและอำนวยความสะดวกในการเข้าร่วมของซีบีอาร์อีตามที่ซีบีอาร์อรร้องขอตามสมควร ในการทดสอบแต่ละครั้ง ซัพพลายเออร์จะให้ซีบีอาร์อีเข้าถึงเป้าหมายการทดสอบและผลการทดสอบ รวมถึงกรอบเวลาเป้าหมายที่จะใช้ในการกู้คืน ("RTO") กรอบเวลา RTO จะต้องกำหนดเวลาที่ต้องใช้ในการกู้คืนระบบงานที่สำคัญ หากซีบีอาร์อีร้องขอให้มีการทดสอบการฟื้นฟู / การเริ่มธุรกิจใหม่ นอกเหนือจากที่ได้ระบุไว้ในแผนทดสอบมาตรฐานของซัพพลายเออร์ ซัพพลายเออร์จะต้องปฏิบัติตามโดยมีเงื่อนไขว่าค่าใช้จ่ายตามจริงและสมควรที่เกิดขึ้นกับซัพพลายเออร์สำหรับการทดสอบดังกล่าว สามารถเรียกเก็บจากได้จากซีบีอาร์อี

(ค) โครงสร้างพื้นฐานนี้รวมถึงอุปกรณ์ระดับองค์กรที่มีการตรวจสอบได้ 24 ชั่วโมง x 7 วัน x 365 วัน และความยืดหยุ่นในตัวระบบเอง ระบบฟื้นฟูความเสียหายที่บอกถึง เวลาเป้าหมายในการฟื้นฟู ซึ่งอธิบายถึงเวลาที่ต้องใช้ในการฟื้นฟูการให้บริการหลังเหตุการณ์ภัยพิบัติภายใน 24 ชั่วโมง และจุดเป้าหมายในการฟื้นฟู ซึ่งอธิบายถึงการสูญเสียข้อมูลที่อาจเกิดขึ้นอันเป็นผลมาจากเหตุการณ์ภัยพิบัติ ภายใน 2 ชั่วโมง

3. เหตุการณ์ความปลอดภัย:

(ก) เมื่อพบการเข้าถึง การเปลี่ยนแปลง การสูญหาย ความเสียหาย การเปิดเผย หรือการใช้ข้อมูลของซีบีอาร์อี โดยไม่ได้รับอนุญาต ไม่ว่าเกิดขึ้นจริงหรือต้องสงสัย (โดยการประเมินจากสถานการณ์) ("เหตุการณ์ความปลอดภัย") ซัพพลายเออร์จะต้อง (ก) แจ้งซีบีอาร์อีเป็นลายลักษณ์อักษรในทันที (แต่ไม่เกิน 24 ชั่วโมงหลังจากซัพพลายเออร์ค้นพบเหตุการณ์ด้านความปลอดภัย) (ข) เริ่มการสอบสวนเหตุการณ์ด้านความปลอดภัยทันที (ค) ดำเนินการใด ๆ ที่เหมาะสมเพื่อแก้ไขผลกระทบของเหตุการณ์ความปลอดภัยและลดความเสี่ยงใด ๆ ที่อาจเกิดขึ้นจากเหตุการณ์ด้านความปลอดภัย (ง) เก็บรักษาบันทึกทั้งหมดและหลักฐานอื่น ๆ ที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัย (จ) จัดทำรายงานให้ ซีบีอาร์อีเป็นลายลักษณ์อักษรเกี่ยวกับผลการสอบสวน รวมถึงวันที่เกิดเหตุการณ์ความปลอดภัย ความเสี่ยงต่อข้อมูลของซีบีอาร์อี แผนงานการแก้ไขที่ซัพพลายเออร์จะดำเนินการหรือได้ดำเนินการเพื่อตอบสนองต่อเหตุการณ์ด้านความปลอดภัยและข้อมูลอื่น ๆ ตามที่ ซีบีอาร์อีอาจร้องขออย่างสมเหตุสมผล และ (ฉ) ให้ความมั่นใจเป็นที่พอใจแก่ซีบีอาร์อีว่าเหตุการณ์ความปลอดภัยดังกล่าวจะไม่เกิดขึ้นอีก ซีบีอาร์อีอาจเปิดเผยเหตุการณ์ความปลอดภัยที่เกิดขึ้นโดยแจ้งให้ลูกค้า พนักงานของซีบีอาร์อี หรือเจ้าหน้าที่ของรัฐ และหน่วยงานบังคับใช้กฎหมายทราบ ซีบีอาร์อีอาจเปิดเผยการเกิดเหตุการณ์ด้านความปลอดภัยต่อที่ปรึกษากฎหมาย ที่ปรึกษา และบุคคลภายนอกอื่นๆ ที่ซีบีอาร์อีกำหนดตามสมควรว่าจะต้องรับทราบ ซัพพลายเออร์จะต้องให้ความร่วมมืออย่างสุจริตในเรื่องเวลาและวิธีการใน (ก) การแจ้งเตือนใด ๆ ต่อผู้ได้รับผลกระทบเกี่ยวกับเหตุการณ์ความปลอดภัย และ (ข) การเปิดเผยข้อมูลต่อเจ้าหน้าที่ของรัฐอย่างเหมาะสม เพื่อหลีกเลี่ยงข้อสงสัย ซัพพลายเออร์จะไม่ทำการเปิดเผยใด ๆ เกี่ยวกับเหตุการณ์ความปลอดภัยใด ๆ โดยไม่ได้รับการอนุมัติเป็นลายลักษณ์อักษรล่วงหน้าจากซีบีอาร์อี ในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยเนื่องจากซัพพลายเออร์ไม่สามารถปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่ระบุไว้ในที่นี้ให้เป็นที่พอใจได้ ซัพพลายเออร์ตกลงที่จะชดใช้ค่าเสียหายให้แก่ซีบีอาร์อี สำหรับความสูญเสียใด ๆ และทั้งหมดที่เกิดขึ้นจากเหตุการณ์ด้านความปลอดภัย รวมถึงแต่ไม่จำกัดเพียง ค่าใช้จ่ายในการสร้างข้อมูลใหม่ ค่าใช้จ่ายในการพิสูจน์หลักฐานที่เกี่ยวกับข้อมูล และการตรวจสอบความปลอดภัย หรือการตรวจสอบระบบของซัพพลายเออร์ที่ซีบีอาร์อีร้องขอตามสมควร และค่าใช้จ่ายและค่าธรรมเนียมทางกฎหมาย และค่าปรับใด ๆ ที่เกิดขึ้นจากหรือเกี่ยวข้องกับการที่ซัพพลายเออร์ไม่ปฏิบัติ

(ข) ในกรณีที่เหตุการณ์ด้านความปลอดภัยมีผลอย่างมีนัยสำคัญต่อความปลอดภัย การรักษาความลับ หรือความสมบูรณ์ของข้อมูลสำคัญ (“การละเมิดความปลอดภัยของข้อมูล”) ซัพพลายเออร์จะต้องชดใช้ซีบีอาร์อี สำหรับค่าใช้จ่ายทั้งทางตรงหรือทางอ้อมที่สามารถตรวจสอบได้ซึ่งซีบีอาร์อีได้ใช้ไปในการ (ก) การจัดเตรียมและ ส่งประกาศให้บุคคลที่กฎหมายหรือระเบียบข้อบังคับกำหนด; และ (ข) การให้บริการติดตามตรวจสอบความน่าเชื่อถือแก่บุคคลดังกล่าวเป็นระยะเวลาไม่เกินสิบสอง (12) เดือน โดยที่ซีบีอาร์อีจะแจ้งให้ซัพพลายเออร์ทราบล่วงหน้าเป็นลายลักษณ์อักษรอย่างสมเหตุสมผลก่อนที่จะส่งประกาศและบริการดังกล่าว

4. บุคลากรของซัพพลายเออร์:

(ก) ซัพพลายเออร์และบุคลากรของซัพพลายเออร์จะต้องปฏิบัติตามข้อกำหนดความเป็นส่วนตัวและความปลอดภัยของข้อมูลในที่นี้ และตามกฎหมายและกฎข้อบังคับทั้งหมดที่มีใช้บังคับ และคำสั่งที่เหมาะสมของซีบีอาร์อีตลอดเวลาที่ซัพพลายเออร์เข้าถึงข้อมูลของซีบีอาร์อี หรือมีข้อมูลของซีบีอาร์อีอยู่ในการดูแลหรือควบคุม (ไม่ว่าข้อมูลนั้นอยู่ในระบบหรือสถานที่ของซัพพลายเออร์หรือไม่ หรือจะอยู่ระหว่างการจัดส่งหรือถูกกำจัดออกหรือไม่) บุคลากรของซัพพลายเออร์หมายถึง (ทั้งที่เป็นรายบุคคลและเป็นกลุ่มบุคคล) พนักงานซัพพลายเออร์และบุคคลภายนอกทั้งหมด (รวมถึงแต่ไม่จำกัดเพียง ตัวแทน ผู้แทน ผู้จัดหาสินค้าและบริการ และผู้รับเหมาของซัพพลายเออร์) ที่ซัพพลายเออร์ใช้ทั้งทางตรงหรือทางอ้อม ในการจัดหาสินค้าและบริการที่จับต้องได้และจับต้องไม่ได้ รวมถึงแต่ไม่จำกัดเพียง ซอฟต์แวร์ เอกสาร อุปกรณ์ ข้อมูล หรือบริการที่ใช้ในการให้บริการภายใต้สัญญาหลัก

(ข) เมื่อบุคลากรของซัพพลายเออร์มีสิทธิเข้าถึงข้อมูลของซีบีอาร์อีไม่ว่าเวลาใดก็ตามซัพพลายเออร์ตกลงดังต่อไปนี้: (i) จำกัดการเข้าถึงดังกล่าวเฉพาะบุคลากรของซัพพลายเออร์ที่มีความจำเป็นต้องเข้าถึงดังกล่าวเพื่อปฏิบัติหน้าที่ของซัพพลายเออร์ตามสัญญาหลัก และเป็นผู้ที่ตกลงที่จะปฏิบัติตามภาระผูกพันอย่างมีนัยสำคัญคล้ายกับที่กำหนดไว้ในที่นี้ (ii) ก่อนที่จะอนุญาตให้บุคลากรของซัพพลายเออร์ใด ๆ เข้าถึงข้อมูลของซีบีอาร์อี ซัพพลายเออร์จะแนะนำบุคลากรของซัพพลายเออร์ดังกล่าว (ผ่านทางการฝึกอบรมหรือกระบวนการอื่น ๆ ที่ออกแบบมาเพื่อให้ความรู้กับบุคคลดังกล่าวเกี่ยวกับแนวทาง/ โปรแกรมความปลอดภัยที่ซัพพลายเออร์กำหนดไว้) ให้ทราบถึงลักษณะข้อมูลที่เป็นความับและข้อมูลที่มีความอ่อนไหว และ (iii) ซัพพลายเออร์จะยังคงต้องรับผิดต่อการปฏิบัติตามข้อผูกพันภายใต้สัญญานี้ของตน และรับผิดชอบต่อการปฏิบัติตามข้อผูกพันภายใต้ภาคผนวกนี้ของบุคลากรของซัพพลายเออร์ทั้งหมด

(ค) ถ้าบริการที่เสนอจะถูกโฮสต์โดยบุคคลภายนอก ณ สถานที่ของบุคคลภายนอกนั้น (“ผู้ให้บริการโฮสต์ภายนอก”)

i. ซัพพลายเออร์ (i) จะดำเนินการเพื่อประกันว่าผู้ให้บริการโฮสต์ภายนอกดังกล่าวจะทำสัญญาการประมวลผลข้อมูล ข้อสัญญามาตรฐาน (SCC) หรือเอกสารอื่น ๆ ที่ ซีบีอาร์อีกำหนดเพื่อประกันการปฏิบัติตามกฎหมายและข้อบังคับที่บังคับใช้ (ii) จะดำเนินการเพื่อให้มั่นใจว่าผู้ให้บริการโฮสต์ภายนอกแต่ละรายจะปฏิบัติตามข้อกำหนดทั้งหมดที่ระบุในที่นี้ (iii) จะต้องรับผิดต่อการปฏิบัติตามข้อกำหนดในที่นี้ของผู้ให้บริการโฮสต์ภายนอกเสมือนหนึ่งว่าเป็นการปฏิบัติของซัพพลายเออร์เอง และ (iv) ตกลงว่า ซีบีอาร์อี จะไม่ต้องรับผิดชอบค่าธรรมเนียมหรือค่าใช้จ่ายใด ๆ ที่เกี่ยวข้องกับการทำให้ผู้ให้บริการโฮสต์ภายนอกปฏิบัติตามข้อกำหนดของซีบีอาร์อีในที่นี้ รวมถึงการตรวจสอบทางการเงิน และ/หรือความปลอดภัย การตรวจตรา และ/หรือการตรวจสอบความปลอดภัยที่เกี่ยวข้อง การตรวจตราและ/หรือการประเมินความปลอดภัยที่เกี่ยวข้องใด ๆ ในระหว่างระยะเวลาของสัญญาหลัก

ii. ซีบีอาร์อีอาจตรวจสอบกระบวนการตรวจสอบวิเคราะห์สถานะที่ซัพพลายเออร์ใช้กับผู้ให้บริการโฮสต์ภายนอก ซัพพลายเออร์จะยังคงต้องรับผิดชอบต่อหน้าที่ การบริการ และการทำงานของผู้ให้บริการโฮสต์ภายนอกเสมือนว่าหน้าที่ การให้บริการ และการทำงานดังกล่าวเป็นการดำเนินการของซัพพลายเออร์เอง และเพื่อบรรลุวัตถุประสงค์ของสัญญาหลัก ให้ถือว่างานของผู้ให้บริการโฮสต์ภายนอกเป็นงานของซัพพลายเออร์ด้วย

iii. ในกรณีที่ซัพพลายเออร์ทราบว่าอาจมีการละเมิดสัญญาระหว่างซัพพลายเออร์กับผู้ให้บริการโฮสต์ภายนอกที่ หรือมีการกระทำใด ๆ ที่หากเป็นการดำเนินการโดยซัพพลายเออร์แล้ว อาจเป็นการผิดสัญญาหลัก ซัพพลายเออร์จะแจ้งให้ซีบีอาร์อี ทราบโดยทันที และ ซีบีอาร์อี มีสิทธิในการยกเลิกสัญญาหลัก และกำหนดให้ผู้ให้บริการโฮสต์ภายนอกส่งคืนหรือลบข้อมูลของซีบีอาร์อี ทั้งหมดออกจากระบบของผู้ให้บริการโฮสต์ภายนอกทันที

5. การรับรู้ถึงความปลอดภัย:

(ก) ซัพพลายเออร์จะต้องจัดให้มีการฝึกอบรมการรับรู้เรื่องความปลอดภัยและความเป็นส่วนตัว โดยใช้หลักสูตรการฝึกอบรมของซัพพลายเออร์กับบุคคลที่ได้รับอนุญาตจากซัพพลายเออร์ให้สามารถเข้าถึงข้อมูลของซีบีอาร์อี การฝึกอบรมจะต้องสอดคล้องกับการปฏิบัติในอุตสาหกรรม และอย่างน้อยต้องได้รับการออกแบบเพื่อให้ความรู้แก่บุคคลดังกล่าวทั้งหมดเกี่ยวกับการรักษาความปลอดภัย การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลของซีบีอาร์อี และเป็นไปตามข้อกำหนดของสัญญาหลัก และจะต้องฝึกอบรมก่อนที่บุคคลดังกล่าวจะได้รับอนุญาตให้เข้าถึงข้อมูลของซีบีอาร์อี และไม่น้อยกว่า 1 ครั้งต่อปีหลังจากนั้น ซีบีอาร์อีขอสงวนสิทธิในการตรวจทานการฝึกอบรมของซัพพลายเออร์ ผู้ดูแลระบบที่ได้รับมอบหมายจากซัพพลายเออร์เท่านั้นที่จะเป็นผู้รับผิดชอบในการอนุญาตให้พนักงานของซัพพลายเออร์ และผู้ใช้รายอื่นทั้งหมดเข้าถึงข้อมูลของซีบีอาร์อีได้ และจะต้องเป็นผู้บผิดชอบในการจัดทำกระบวนการที่พนักงานและบัญชีผู้ใช้อื่น ๆ จะถูกสร้างและลบอย่างปลอดภัยและทันเวลา กระบวนการนี้จะต้องรวมถึงการอนุมัติจากหัวหน้างานที่เหมาะสม มีประวัติที่ตรวจสอบการเปลี่ยนแปลงได้ทั้งหมด และมีการทบทวนการอนุญาตการเข้าถึงและการแก้ไขการเข้าถึงที่เกินความจำเป็นเป็นประจำทุกปี

6. ข้อกำหนดด้านความปลอดภัย:

(ก) ซัพพลายเออร์ต้องรักษาข้อกำหนดด้านความปลอดภัยของข้อมูลที่เหมาะสม เพื่อให้เป็นไปตามแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม เช่น ISO 27001 และสอดคล้องกับกฎหมายที่บังคับใช้ทั้งหมดที่เกี่ยวกับ ความเป็นส่วนตัว ความปลอดภัยของข้อมูล การแจ้งเตือนการละเมิด และการเก็บรวบรวมข้อมูล กฎระเบียบเกี่ยวกับการใช้งานและการประมวลผล อย่างน้อยที่สุด ซัพพลายเออร์จะต้องพัฒนา ดำเนินการ รักษา และปฏิบัติตามโปรแกรมการรักษาความปลอดภัยของข้อมูล (“ISP”) ที่เขียนไว้อย่างครอบคลุม รวมถึงการป้องกันข้อมูลของซีบีอาร์อีที่เพียงพอที่จะสร้างและรักษาการป้องกันเชิงบริหาร ทางเทคนิค และทางกายภาพ เพื่อ (1) ทำให้แน่ใจถึงความพร้อม ความสมบูรณ์ ความปลอดภัย และความลับของข้อมูลของซีบีอาร์อี (2) ป้องกันภัยคุกคามหรืออันตรายที่อาจจะเกิดขึ้นกับความปลอดภัย ความลับ หรือความสมบูรณ์ของข้อมูลของ ซีบีอาร์อี (3) ป้องกันการเข้าถึง การดัดแปลง การใช้ การสูญหาย ความเสียหาย หรือการเปิดเผยข้อมูลของซีบีอาร์อีโดยที่ไม่ได้รับอนุญาต และ (4) ปฏิบัติตามข้อกำหนดและแนวทางปฏิบัติที่ใช้บังคับในปัจจุบันเกี่ยวกับความเป็นส่วนตัวของข้อมูล ความปลอดภัย และการแจ้งเตือนการละเมิด มาตรการความปลอดภัยเหล่านี้ต้องได้รับการทบทวนอย่างน้อยปีละครั้ง และอาจจำเป็นต้องมีมาตรการรักษาความปลอดภัยข้อมูลเพิ่มเติม ขึ้นอยู่กับข้อมูลและปริมาณข้อมูลที่ได้รับเป็นตัวกำหนด อย่างน้อยที่สุด ซัพพลายเออร์จะต้องให้ซีบีอาร์อีเข้าถึงสำเนานโยบายและมาตรฐานความเป็นส่วนตัวและความปลอดภัยของข้อมูลที่เกี่ยวข้องทั้งหมดในทันทีที่มีการร้องขอ (รวมถึงขั้นตอนการยกระดับสำหรับการไม่ปฏิบัติตาม) ที่เกี่ยวข้องกับข้อมูลของ ซีบีอาร์อี เพื่อให้ ซีบีอาร์อีซีบีอาร์อีตรวจสอบได้

(ข) ซีบีอาร์อีอาจแจ้งให้ซัพพลายเออร์ทราบเป็นครั้งคราว ถึงข้อกำหนดด้านความปลอดภัยเพิ่มเติม ข้อกำหนดใหม่ หรือการแก้ไขปรับปรุงข้อกำหนด และซัพพลายเออร์จะต้องปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่เหมาะสมนั้นภายในสามสิบ (30) วันหลังจากได้รับการแจ้งดังกล่าว หากซัพพลายเออร์ไม่สามารถปฏิบัติตามข้อกำหนดด้านความปลอดภัยเพิ่มเติมได้ไม่ว่าด้วยเหตุผลใดก็ตาม ซัพพลายเออร์จะต้องแจ้งซีบีอาร์อี เพื่อหารือเกี่ยวกับวิธีการบรรเทาอื่น ๆ หรือหาทางแก้ปัญหาดังกล่าว นอกจากนี้ ซีบีอาร์อี ขอสงวนสิทธิในการกำหนดให้ซัพพลายเออร์เปลี่ยนแปลง ปรับปรุง ลบ เข้ารหัส ตัดทอน และ/หรือปิดบังข้อมูลของซีบีอาร์อี ซึ่งจัดเก็บโดยซัพพลายเออร์หรือบุคลากรของซัพพลายเออร์ในลักษณะที่เหมาะสม

(ค) ข้อมูลของ ซีบีอาร์อี หรือส่วนใด ๆ ของข้อมูลจะไม่ถูกเก็บไว้ไม่ว่าในลักษณะใด เกินกว่าวันที่สัญญาหลักหมดอายุหรือสิ้นสุดลง ยกเว้นเป็นกรณีที่กฎหมายกำหนด หรือเว้นแต่คู่สัญญาตกลงเป็นอย่างอื่น นอกจากนี้หาก ซีบีอาร์อี ไม่ได้สั่งเป็นอย่างอื่น ข้อมูลของซีบีอาร์อีทั้งหมดจะต้องถูกส่งคืนหรือกำจัดอย่างเหมาะสมในลักษณะที่ได้รับการออกแบบตามสมควรเพื่อให้ข้อมูลไม่สามารถอ่านได้อย่างถาวร และไม่สามารถสร้างขึ้นใหม่ในรูปแบบที่ใช้งานได้ การส่งคืนหรือการกำจัดดังกล่าวจะเกิดขึ้นในเวลาที่ข้อมูลของซีบีอาร์อีไม่จำเป็นต้องใช้ในการให้บริการอีกต่อไป แต่ไม่ว่าในกรณีใด ๆ ข้อมูลของซีบีอาร์อีจะต้องถูกส่งคืนหรือกำจัดไม่เกินวันที่การให้บริการที่เกี่ยวข้องนั้นเสร็จสมบูรณ์ เมื่อได้รับการร้องขอเป็นลายลักษณ์อักษร ซัพพลายเออร์จะต้องรับรองการปฏิบัติตามข้อกำหนดนี้เป็นลายลักษณ์อักษร

(ง) โปรแกรมการรักษาความปลอดภัยของข้อมูล (ISP) ที่เป็นลายลักษณ์อักษรของซัพพลายเออร์ จะต้องประกอบไปด้วย

i. การกำหนดให้พนักงานตั้งแต่หนึ่งคนขึ้นไปดูแลโปรแกรมการรักษาความปลอดภัยของข้อมูล;

ii. การระบุและประเมินความเสี่ยงทั้งภายในและภายนอกต่อความรักษาปลอดภัย การรักษาความลับ และ/หรือความสมบูรณ์ของบันทึกทางอิเล็กทรอนิกส์ กระดาษ หรือบันทึกอื่น ๆ ที่มีข้อมูลของซีบีอาร์อีตามสมควร และการประเมินและปรับปรุงประสิทธิผลของการป้องกันในปัจจุบันเพื่อจำกัดความเสี่ยงดังกล่าวตามความจำเป็น;

iii. การฝึกอบรมพนักงานอย่างต่อเนื่อง (รวมถึงบุคลากรของซัพพลายเออร์);

iv. การทำสัญญารักษาความลับกับบุคลากรของซัพพลายเออร์ทั้งหมดที่มีสิทธิเข้าถึงหรืออาจมีการเข้าถึงข้อมูลของซีบีอาร์อี;

v. การตรวจสอบให้แน่ใจว่าบุคลากรของซัพพลายเออร์มีการปฏิบัติตามนโยบายและขั้นตอน รวมถึงแต่ไม่จำกัดเพียง การดำเนินการ ในกรณีที่มีการไม่ปฏิบัติตามนโยบายและขั้นตอน;

vi. การพัฒนานโยบายด้านความปลอดภัยสำหรับพนักงาน เกี่ยวกับการจัดเก็บ การเข้าถึงและการขนส่งบันทึกที่มีข้อมูลของซีบีอาร์อี ภายนอกสถานประกอบการ;

vii. การป้องกันไม่ให้บุคลากรของซัพพลายเออร์ที่ถูกเลิกจ้างไปแล้ว เข้าถึงบันทึกที่มีข้อมูลของซีบีอาร์อี;

viii. การดำเนินการเพื่อจำกัดการเข้าถึงทางกายภาพซึ่งบันทึกที่มีข้อมูลของซีบีอาร์อี และการจัดเก็บบันทึกและข้อมูลดังกล่าวในสถานที่ พื้นที่จัดเก็บ หรือภาชนะบรรจุที่ถูกล็อค;

ix. การตรวจสอบเป็นประจำเพื่อให้แน่ใจว่า โปรแกรมการรักษาความปลอดภัยของข้อมูล (ISP) ทำงานตามสมควร เพื่อป้องกันการเข้าถึงหรือใช้งานของข้อมูลซีบีอาร์อีโดยไม่ได้รับอนุญาต และเพิ่มระดับการป้องกันข้อมูลตามความจำเป็นเพื่อจำกัดความเสี่ยง;

x. การทบทวนขอบเขตของมาตรการรักษาความปลอดภัยอย่างน้อยปีละครั้ง หรือเมื่อใดก็ตามที่มีการเปลี่ยนแปลงที่สำคัญในการดำเนินธุรกิจที่อาจเกี่ยวข้องกับความปลอดภัยหรือความสมบูรณ์ของบันทึกที่มีข้อมูลของซีบีอาร์อีอยู่;

xi. นอกเหนือจากต้องติดต่อซีบีอาร์อีในทันทีเมื่อมีเหตุการณ์ที่เกี่ยวข้องกับการละเมิดความปลอดภัยแล้ว จะต้องมีการบันทึกการดำเนินการเมื่อเกิดเหตุการณ์ด้วย ซึ่งรวมถึงแต่ไม่จำกัดเพียง การแจ้งให้ซีบีอาร์อีทราบ การรวบรวมขั้นตอนการพิสูจน์ การตรวจสอบภาคบังคับภายหลังจากเกิดเหตุการณ์และการดำเนินการที่ได้ทำไป ถ้ามี เพื่อให้เกิดการเปลี่ยนแปลงในวิธีการทำธุรกิจที่เกี่ยวข้องกับการปกป้องข้อมูลของซีบีอาร์อี;

xii. การใช้นโยบายและขั้นตอนการใช้งานที่เป็นที่ยอมรับ เกี่ยวกับการใช้สินทรัพย์ของซัพพลายเออร์ รวมถึงระบบคอมพิวเตอร์ เครือข่าย และการส่งข้อความ และห้ามมิให้มีการใช้ซอฟต์แวร์อย่างผิดกฎหมาย และการใช้เทคโนโลยีที่ก่อให้เกิดความรับผิดทางกฎหมายหรือความปลอดภัยสำหรับทั้งสองบริษัท;

xiii. การพัฒนาและการดำเนินการจัดหมวดหมู่ข้อมูล การติดฉลาก และการจัดการนโยบายและขั้นตอนที่เกี่ยวข้องกับข้อมูลของซีบีอาร์อี รวมถึงแต่ไม่จำกัดเพียง วิธีที่อนุญาตสำหรับการส่งข้อมูล การจัดเก็บ และการทำลาย;

xiv. การจำกัดการเข้าถึงของผู้ใช้ที่ยังต้องใช้งานอยู่ตามหน้าที่การทำงานของผู้ใช้; และ

xv. การลบบัญชีผู้ใช้เพื่อเข้าถึงข้อมูลของซีบีอาร์อีทันทีเมื่อซัพพลายเออร์มีการเลิกจ้างลูกจ้าง หรือเมื่อซีบีอาร์อีไม่ได้ให้บริการซีบีอาร์อีอีกต่อไป

(จ) ซัพพลายเออร์จะต้องใช้แบบแผนการตรวจสอบผู้ใช้ ที่ออกแบบมาเพื่อบังคับใช้สำหรับการตรวจสอบย้อนกลับและความรับผิดชอบรวมถึง แต่ไม่จำกัดเพียง

i. มีการควบคุม รหัสผู้ใช้ ID และตัวระบุตัวตนอื่น ๆ;

ii. มีวิธีการด้านปลอดภัยตามสมควรในการกำหนดและเลือกรหัสผ่านที่เป็นเอกลักษณ์ หรือการใช้เทคโนโลยีตัวระบุตัวตนที่เป็นเอกลักษร์ เช่น ชีวภาพ (biometrics) หรืออุปกรณ์ตั้งรหัส (token);

iii. มีการตั้งการระบุตัวตนที่เป็นเอกลักษณ์ พร้อมกับการใช้รหัสผ่าน ซึ่งไม่ใช่รหัสผ่านเริ่มต้นที่ซัพพลายเออร์ให้กับแต่ละคนเมื่อมีเข้าถึงคอมพิวเตอร์ ซึ่งได้รับการออกแบบตามสมควร เพื่อรักษาความสมบูรณ์ของความปลอดภัยด้านการควบคุมการเข้าถึง;

iv. มีการควบคุมรหัสผ่านความปลอดภัยของข้อมูลเพื่อให้แน่ใจว่ารหัสผ่านดังกล่าวจะถูกเก็บไว้ในสถานที่ และ/หรือรูปแบบที่ไม่ส่งผลต่อความปลอดภัยของข้อมูลที่ปกป้อง;

v. กำหนดให้มีระบบการยืนยันตัวตนสองขั้นตอน (two-factor authentication) สำหรับการเข้าถึงระบบที่เก็บข้อมูลของซีบีอาร์อีจากระยะไกล;

vi. มีการปิดกั้นการเข้าถึงบัญชีผู้ใช้หลังจากที่พยายามเข้าถึงหลายครั้งแล้วไม่สำเร็จ การเข้าถึงควรยังคงไม่สามารถใช้งานได้จนกว่าผู้ใช้จะได้รับการตรวจสอบผ่านเจ้าหน้าที่ฝ่ายสนับสนุน;

vii. จำกัดการเข้าถึงบันทึกและไฟล์ที่มีข้อมูลของซีบีอาร์อี ให้เฉพาะกับผู้ที่ต้องการข้อมูลดังกล่าวเพื่อปฏิบัติหน้าที่ของตน;

viii. ห้ามไม่ให้มีการถ่ายโอน จัดเก็บ หรือวางข้อมูลของซีบีอาร์อีบนอุปกรณ์พกพา เว้นแต่ซัพพลายเออร์จะได้รับอนุญาตเป็นลายลักษณ์อักษรอย่างชัดเจนจากซีบีอาร์อี ในกรณีนี้อุปกรณ์จะต้องถูกเข้ารหัสโดยไม่ต้องมีกุญแจเข้ารหัส และข้อกำหนดการป้องกันทั้งหมดตามที่ระบุไว้ในการอนุญาตดังกล่าว และ/หรือในภาคผนวก ข นี้จะมีผลบังคับใช้โดยไม่มีข้อยกเว้น;

ix. มีการเข้ารหัสข้อมูลของซีบีอาร์อีทั้งหมดที่จะถูกส่งผ่านเครือข่ายหรือในที่เก็บข้อมูล ข้อมูลที่ถูกเก็บไว้ในแล็ปท็อปหรืออุปกรณ์พกพาหรือสื่ออื่น ๆ และข้อมูลของซีบีอาร์อีอื่นๆ ที่กฎหมายกำหนด ไม่ว่าจะกำหนดไว้อย่างชัดเจน หรือมีไว้เพื่อลดความรับผิด (เช่น การเข้ารหัสตามที่กฎหมายกำหนด) หรือตามข้อผูกพันตามสัญญา;

x. สำหรับไฟล์ที่มีข้อมูลของซีบีอาร์อี บนระบบที่เชื่อมต่อกับอินเทอร์เน็ต จะต้องมีการป้องกันไฟร์วอลล์และแพตช์ความปลอดภัยของระบบปฏิบัติการที่ทันสมัยตามสมควร และได้รับการออกแบบตามสมควรเพื่อรักษาความสมบูรณ์ของข้อมูลของซีบีอาร์อี;

xi. ไม่ทำการสแกนตรวจสอบ การสอบสวน หรือกิจกรรมอื่น ๆ บนเครือข่าย หรือระบบของซีบีอาร์อี;

xii. ปรับปรุงซอฟต์แวร์ความปลอดภัยของระบบที่ทันสมัยตามสมควร ซึ่งรวมถึงการป้องกันมัลแวร์ และปรับปรุงแพตช์และการนิยามไวรัสที่ทันสมัยตามสมควร;

xiii. ใช้ขั้นตอนและวิธีปฏิบัติที่เด็ดขาดและสอดคล้องกัน สำหรับระบบทั้งหมดที่เข้าถึง จัดเก็บ หรือเชื่อมต่อกับระบบของซีบีอาร์อี และ / หรือข้อมูลของซีบีอาร์อี;

xiv. มีระบบที่เก็บ หรือเข้าถึงข้อมูลของซีบีอาร์อี จะต้องได้รับการปรับปรุงด้วยแพตช์รักษาความปลอดภัยภายใน 30 วันนับจากวันที่มีการเผยแพร่;

xv. ซัพพลายเออร์ตกลงที่จะอนุญาตให้ซีบีอาร์อี ตรวจสอบข้อมูลของซีบีอาร์อี ในรูปแบบที่เหมาะสม เพื่อตรวจสอบการเข้าถึง การใช้ หรือการเปิดเผยข้อมูลของซีบีอาร์อี ที่ไม่เหมาะสม ผิดกฎหมาย หรือไม่ได้รับอนุญาต ทั้งนี้ วิธีการตรวจสอบของ ซีบีอาร์อีจะต้องไม่ทำให้ซัพพลายเออร์ฝ่าฝืนกฎหมายหรือข้อบังคับใด ๆ การตรวจสอบข้อมูลของซีบีอาร์อี จะไม่เป็นการบรรเทาความรับผิดชอบหรือความผิดของซัพพลายเออร์ที่เกี่ยวข้องกับการให้บริการ;

xvi. ซัพพลายเออร์ตกลงว่า ซัพพลายเออร์จะไม่ใช้ข้อมูลของซีบีอาร์อี ในการพัฒนา และ/หรือทดสอบระบบ เว้นแต่ได้รับอนุญาตจากซีบีอาร์อี และเฉพาะในกรณีที่ข้อมูลสำคัญทั้งหมดที่ซีบีอาร์อีกำหนดไว้นั้นได้รับการปรับเปลี่ยนก่อนที่จะถูกคัดลอกไปยังระบบทดสอบหรือพัฒนา หรือข้อมูลของซีบีอาร์อีอยู่ในที่ปลอดภัยและถูกควบคุมด้วยการจำกัดการเข้าถึง และมีการควบคุมที่เหมาะสมซึ่งเทียบเท่าหรือมากกว่าในระบบจริง;

xvii. ซัพพลายเออร์จะต้องสร้าง รักษา และบังคับใช้หลักการเข้าถึงเพื่อรักษาความปลอดภัย โดยมีการ “การแบ่งแยกหน้าที่” และ “ใช้สิทธิพิเศษให้น้อยที่สุด” กับข้อมูล ของซีบีอาร์อี ในที่นี้;

xviii. มีการดำเนินการการตรวจจับและป้องกันความล้มเหลวของระบบรักษาความปลอดภัย ระบบการบันทึกจะต้องรวมถึงการแจ้งเตือนเหตุการณ์สำคัญ และกระบวนการจัดการเหตุการณ์ที่เกิดขึ้น ซึ่งรวมถึงการแจ้งเตือนไปยังซีบีอาร์อีเกี่ยวกับเหตุการณ์สำคัญที่เกี่ยวข้องกับการให้บริการ หรือการรักษาความลับ ความพร้อมใช้งาน หรือความสมบูรณ์ของข้อมูลของซีบีอาร์อี;

xix. ซัพพลายเออร์ตกลงที่จะรักษาและบังคับใช้นโยบายการเก็บรักษาข้อมูลอย่างน้อย 12 เดือน สำหรับรายงาน บันทึก หลักฐานการตรวจสอบ และเอกสารประกอบอื่นใดที่ใช้เป็นหลักฐานด้านความปลอดภัย ระบบ และกระบวนการตรวจสอบและกระบวนการที่เกี่ยวข้องกับข้อมูลของ ซีบีอาร์อี หรือตามข้อกำหนดที่ตกลงร่วมกันเป็นลายลักษณ์อักษรโดยซีบีอาร์อีและซัพพลายเออร์ และเป็นไปตามกฎหมายและข้อบังคับที่ใช้บังคับทั้งหมด อย่างน้อยที่สุด หลักฐานการตรวจสอบเหล่านี้จะต้องรวมถึงการเข้าถึง ความพยายามในการเข้าถึงที่ไม่สำเร็จ และการแก้ไขข้อมูลทั้งหมด;

xx. มีการควบคุมและตรวจสอบการเข้าถึงทางกายภาพสำหรับทุกพื้นที่ที่จัดเก็บ มีการเข้าถึง หรือมีการประมวลผลข้อมูลของซีบีอาร์อี ซึ่งสอดคล้องกับความอ่อนไหวของข้อมูลของซีบีอาร์อี รวมถึงกำหนดให้มีการควบคุมบุคลากรใด ๆ ที่สามารถเข้าถึงพื้นที่นี้ ผ่านระบบควบคุมที่บ่งบอกตัวตนได้ (เช่น คีย์การ์ด) และให้หลักฐานการตรวจสอบของบุคคลแต่ละคนที่เข้าถึงพื้นที่; และ

xxi. มีระบบป้องกันและตรวจจับการบุกรุกที่ทันสมัยเพื่อตรวจสอบและบันทึกการเข้าถึงที่ไม่ได้รับอนุญาต และสร้างการแจ้งเตือนเกี่ยวกับการพยายามที่จะละเมิดและการบุกรุก

ส่วนที่ 3

ในกรณีที่การให้บริการหรือกิจกรรมอื่น ๆ ของซัพพลายเออร์หรือบุคลากรของซัพพลายเออร์รวมถึงผู้ให้บริการโฮสต์เว็บไซต์ มีการจัดให้มีแอพพลิเคชั่นหรือซอฟต์แวร์ และ/หรือดำเนินการพัฒนาโค้ด ไม่ว่าในปัจจุบันหรือในอนาคต ส่วนที่ 3 นี้ จะนำมาบังคับใช้ และซัพพลายเออร์ตกลงที่จะปฏิบัติดังต่อไปนี้

(ก) นักพัฒนาโค้ดต้องจบการฝึกอบรมขั้นตอนหรือกระบวนการในการพัฒนาระบบงาน (SDLC) เป็นประจำทุกปี ซึ่งการอบรมดังกล่าวจะต้องถูกออกแบบมาเพื่อให้เป็นไปตามมาตรฐานอุตสาหกรรมและมุ่งเน้นไปที่ 10 อันดับช่องโหว่ที่ส่งผลกระทบรุนแรงต่อเว็บแอพพลิเคชันมากที่สุด (OWASP Top Ten)

(ข) ซัพพลายเออร์จะต้องจัดทำนโยบาย SDLC อย่างเป็นทางการซึ่งจะต้องแบ่งแยกหน้าที่ และการทดสอบความปลอดภัยตาม OWASP Top Ten และการวิเคราะห์โค้ดคงที่ การเปลี่ยนแปลงซอร์สโค้ดทั้งหมดต้องเป็นไปตามนโยบาย SDLC นี้

(ค) ก่อนที่จะให้ซีบีอาร์อีใช้งาน ซัพพลายเออร์จะใช้ความพยายามตามสมควรในเชิงพาณิชย์ เพื่อทดสอบการให้บริการ (รวมถึงอุปกรณ์) สำหรับช่องโหว่หรือซอฟต์แวร์คอมพิวเตอร์ โค้ด หรือสคริปต์ (i) ที่ออกแบบมาเพื่อทำลาย ลบ ปิดการใช้งาน เป็นอันตราย หรือขัดขวางการทำงานใด ๆ ของซอฟต์แวร์ เฟิร์มแวร์ทฮาร์ดแวร์ ระบบคอมพิวเตอร์ เครือข่าย หรือบริการใดๆ หรือ (ii) ที่ประกอบไปด้วยไวรัส, ระเบิดเวลา, ประตูดัก, ไวรัสไฟล์ที่ปฏิบัติการได้, โทรจัน, หนอน หรือขั้นตอนอื่นใดที่เป็นอันตรายหรือซ่อนอยู่, มีกิจวัตรหรือกลไกที่จะสร้างความเสียหายให้แก่ข้อมูล สื่อการจัดเก็บ โปรแกรม อุปกรณ์ หรือการสื่อสาร หรือรบกวนการทำงาน และเมื่อพบซอฟต์แวร์ โค้ด หรือสคริปต์ใด ๆ ดังกล่าวจะต้องลบทิ้ง

(ง) ซัพพลายเออร์ตกลงที่จะดำเนินการตรวจสอบหาช่องโหว่แบบ ASV Vulnerability Scans ทุกไตรมาสและการทดสอบ ความเสี่ยงด้วยการทดสอบเจาะระบบ (Penetration Tests) ประจำปี หรือทำการสแกนและการทดสอบดังกล่าวตามที่ได้รับการร้องขอเป็นลายลักษณ์อักษรจากซีบีอาร์อีภายหลังจากนั้น หรือต้องดำเนินการทันที และต้องให้สรุปรายงานการยืนยันทดสอบเจาะระบบหรือการทดสอบอื่นใดแก่ซีบีอาร์อี ที่จะแสดงเห็นว่าแอปพลิเคชันที่เชื่อมเข้าหาอินเทอร์เน็ตไม่มีช่องโหว่ด้านความปลอดภัยที่เป็นสาระสำคัญ การทดสอบจะจำกัด เฉพาะระบบที่ซัพพลายเออร์ใช้เพื่อให้บริการแก่ซีบีอาร์อี รายงานการยืนยันทดสอบอย่างน้อยที่สุดต้องมี การจำกัดความของวิธีการจัดอันดับช่องโหว่ (เช่น วิกฤต / สูง / กลาง / ต่ำ) และหลักฐานว่าแอปพลิเคชันไม่มีช่องโหว่เปิดในระดับที่สูงสุด และแสดงจำนวนช่องโหว่ที่ในระดับใด ๆ ที่คะแนนต่ำกว่า ช่องโหว่ที่วิกฤต และ / หรือสูงทั้งหมด แล้วแต่จำนวนใดจะสูงกว่าเป็นอันดับที่สอง จะต้องได้รับการแก้ไขภายในสามสิบ (30) วัน และช่องโหว่ขนาดกลางทั้งหมดจะต้องได้รับการแก้ไขภายในสี่สิบห้า (45) วัน ช่องโหว่ต่ำทั้งหมดจะต้องได้รับการแก้ไขภายในระยะเวลาตามที่ตกลงร่วมกัน หากช่องโหว่ดังกล่าวไม่ได้รับการแก้ไขภายในระยะเวลาเหล่านี้และหลังจากได้รับการแจ้งเตือนเป็นลายลักษณ์อักษร ซีบีอาร์อีมีสิทธิในการยกเลิกบริการที่เกี่ยวข้อง เว้นแต่คู่สัญญาจะตกลงร่วมกันเป็นอย่างอื่น ค่าใช้จ่ายในการดำเนินการแก้ไขใด ๆ เพื่อกำจัดช่องโหว่ที่ปรากฏในรายงานการทดสอบจะเป็นของซัพพลายเออร์

ส่วนที่ 4

ในกรณีที่การบริการ หรือกิจกรรมอื่น ๆ ของซัพพลายเออร์หรือบุคลากรของซัพพลายเออร์เกี่ยวข้องกับการโฮสต์ข้อมูลของซีบีอาร์อี ไม่ว่าในปัจจุบันหรือในอนาคต ส่วนที่ 4 นี้จะนำมาใช้ และซัพพลายเออร์ตกลงที่จะใช้มาตรการรักษาความปลอดภัย ดังต่อไปนี้:

(ก) มีบัตรแสดงตัวตน (ID) ที่มีรูปภาพ;
(ข) ใช้การยืนยันตัวตนผ่านสองขั้นตอน (two-factor authentication) สำหรับการเข้าสู่สถานที่;
(ค) บันทึกการเข้าถึงทางกายภาพจะถูกเก็บรักษาไว้เป็นเวลาสิบสอง (12) เดือน;
(ง) มีเจ้าหน้าที่รักษาความปลอดภัย 24x7x365;
(จ) กำแพงจะต้องขยายจากพื้นถึงดาดฝ้าเพื่อป้องกันการเข้าถึงพื้นที่เซิร์ฟเวอร์เว้นแต่เป็นการเข้าถึงผ่านช่องทางที่กำหนด;
(ฉ) ต้องมีระบบเตือนภัยสำหรับการเข้าถึงที่ไม่ได้รับอนุญาตและการแจ้งเตือนไฟไหม้;
(ช) ต้องมีระบบกล้องบันทึกอยู่ทุกทางเข้า ออก และในแต่ละแถวภายในพื้นที่เซิร์ฟเวอร์;
(ซ) วิดีโอจะต้องถูกเก็บไว้เป็นเวลาเก้าสิบ (90) วัน;
(ฌ) ระบบระงับหรือดับเพลิงก่อนเกิดเหตุ;
(ญ) ระบบตรวจจับน้ำที่พื้นและเพดาน;
(ฎ) พื้นที่ยกสูง;
(ฏ) ระบบการเตือนอุณหภูมิและความชื้น;
(ฐ) ข้อกำหนดความปลอดภัยของโครงสร้างพื้นฐาน;
(ฑ) แหล่งจ่ายไฟคู่;
(ฒ) เครื่องกำเนิดไฟฟ้าและระบบ UPS เพื่อให้มั่นใจว่าสถานะการออนไลน์ต่อเนื่องที่ N +; และ
(ณ) มีผู้ให้บริการเครือข่ายหลายแห่งพร้อมรองรับการเชื่อมต่อแบบรีดันแดนซ์ (Redundancy) และต่อเนื่อง