- Оговорка о персональных данных
- Оговорка об информационной безопасности
- Оговорка «Публичные заявления»
- Оговорка о конфиденциальной информации
Для целей настоящего раздела Стороны используют следующую терминологию:
- Договор – документ между Сторонами, в котором содержится отсылка к настоящему разделу;
- Ozon или Компания – юридическое лицо, входящее в группу компаний Ozon и являющееся Стороной в Договоре;
- Контрагент – лицо, являющееся контрагентом Ozon и Стороной в Договоре.
Если иное прямо не предусмотрено настоящим разделом, прочие термины применяются в значениях, установленных для них Договором, а в отсутствии таких значений в Договоре – в соответствии с применимым к Договору законодательством.
Положения настоящего раздела применяются к отношениям Сторон в силу соответствующей отсылки в Договоре, если иные условия прямо не предусмотрены Договором.
1. Оговорка о персональных данных
1.1. Каждая Сторона вправе передавать другой Стороне персональные данные (далее – «ПД») своих сотрудников, подписантов, представителей и иных лиц (далее – «Субъекты»), а другая Сторона вправе их обрабатывать, когда обработка таких ПД требуется для заключения и исполнения Договора, а также для организации документооборота, учёта и архивного хранения, в течение срока действия Договора, если более длительный срок обработки не предусмотрен применимым к соответствующей Стороне законодательством о ПД.
1.2. Получающая Сторона обязуется обеспечивать конфиденциальность и безопасность при обработке ПД, не допускать распространение ПД, не раскрывать их третьим лицам (кроме случаев, когда это требуется применимым к соответствующей Стороне законодательством о ПД или в целях, указанных в Оговорке о персональных данных), а также принимать все необходимые правовые, организационные и технические меры для защиты ПД от любых неправомерных действий в отношении ПД.
1.3. Передающая Сторона заверяет получающую Сторону, что имеются действующие согласия Субъектов или иные законные основания на передачу их ПД в адрес получающей Стороны и на последующую обработку их ПД получающей Стороной в объёме и на условиях Оговорки о персональных данных.
1.4. Каждая Сторона обязуется по запросу другой Стороны в течение 5 (пяти) рабочих дней с даты получения такого запроса предоставить такой другой Стороне доказательства надлежащего исполнения своих обязательств, указанных в Оговорке о персональных данных.
1.5. Если на стороне Ozon выступает не ООО «Интернет Решения» (РФ, 123112, г. Москва, Пресненская наб., д. 10, пом. I эт. 41, комн. 6, ОГРН 1027739244741), то Ozon также вправе осуществлять передачу ПД, полученных от Контрагента, в адрес ООО «Интернет Решения» в целях и на условиях, указанных в Оговорке о персональных данных.
2. Оговорка об информационной безопасности
2.1. Каждая Сторона обязуется соблюдать следующие требования по информационной безопасности, применять необходимые и достаточные меры по защите данных, в том числе получаемых от другой Стороны, а также регулярно проводить соответствующие мероприятия в течение срока действия Договора для обеспечения надлежащего исполнения своих обязательств в области информационной безопасности.
2.2. Взаимодействие информационных систем Сторон, в том числе с использованием API- или аналогичных способов интеграции, допускается только с предварительного согласия каждой из Сторон. Порядок выражения такого согласия определяется по соглашению Сторон, а в отсутствии соответствующего соглашения – каждой из Сторон по своему усмотрению.
2.3. Взаимодействие с информационной системой Стороны (далее – «Владелец») осуществляется другой Стороной (далее – «Пользователь») только в соответствии с инструкциями, указаниями и требованиями Владельца. Осуществляя разрешенное Владельцем взаимодействие с информационной системой, Пользователь признает и соглашается, что ознакомился с инструкциями, указаниями и требованиями, установленными Владельцем в отношении конкретной информационной системы, и обязуется соблюдать их в полном объеме. При этом, если иное прямо не предусмотрено Договором или отдельными соглашениями Сторон, такие инструкции, указания и требования размещаются и доводятся Ozon (как Владельцем) до сведения Контрагента (как Пользователя) любым способом, определяемым Ozon, в том числе путем размещения документации соответствующей информационной системы в сети «Интернет».
2.4. Осуществляя разрешенное Владельцем взаимодействие с информационной системой, Пользователь обязуется:
- обеспечивать конфиденциальность в отношении компонентов и содержимого информационной системы и не раскрывать их третьим лицам, кроме случаев, когда это необходимо для исполнения Договора или требуется применимым к соответствующей Стороне законодательством;
- не предпринимать действий по обходу ограничений для доступа к такой системе, ее компонентам и содержимому, установленным Владельцем;
- не предпринимать действий, которые вызывают или могут вызвать неоправданно или несоразмерно большую нагрузку на любые информационные системы Владельца;
- не использовать стороннее программное обеспечение и другие технические средства, влияющие или могущие повлиять любым образом на работу информационной системы;
- не обходить, не отключать и иным образом не прерывать работу защитных средств или функций, в том числе технических средств защиты авторских и смежных прав, которые предотвращают/ограничивают использование или копирование компонентов и содержимого информационной системы;
- не скачивать компоненты и содержимое информационной системы, которые прямо не были предоставлены Владельцем для скачивания;
- не предоставлять третьим лицам, в том числе привлекаемым Пользователем на основании гражданско-правовых договоров, доступа к информационной системе без предварительного согласия Владельца. Порядок выражения такого согласия определяется по соглашению Сторон, а в отсутствии соответствующего соглашения – Владельцем по своему усмотрению.
2.5. Осуществляя разрешенное Ozon взаимодействие с информационной системой, Контрагент также обязуется принимать следующие меры в отношении такого взаимодействия:
- наличие у Контрагента удаленного защищенного доступа, организованного в соответствии с требованиями Ozon;
- организация информационного взаимодействия Контрагента с Ozon по сетевым протоколам с обязательным шифрованием трафика;
- удаленное подключение Контрагента к информационной системе Ozon только по защищенному каналу с применением криптографических средств защиты. Ozon также вправе предъявлять конкретные требования к настройкам сетевого оборудования Контрагента, посредством которого осуществляется взаимодействие с информационной системой Ozon;
- серверы Контрагента, посредством которого осуществляется взаимодействие с информационной системой Ozon, должны быть защищены межсетевым экраном (локальным или сетевым), а взаимодействие с внутренней сетью Ozon должно осуществляться только в рамках описанной схемы взаимодействия, предварительно согласованной с Ozon и зафиксированной в Договоре или отдельном соглашении Сторон;
- регулярное, но не реже 1 (одного) раза в месяц, сканирование периметра локальной вычислительной сети (ЛВС), включая сканирование публичных IP-адресов, принадлежащих Контрагенту, по всем портам, а также уязвимостей на критичных портах и веб-приложений, прямо или косвенно взаимодействующих с информационной системой Ozon.
2.6. Ozon вправе устанавливать для Контрагента дополнительные требования, касающиеся разрешенного Ozon взаимодействия с его информационными системами, при условии предварительного уведомления Контрагента.
2.7. В случае, если Владелец обрабатывает в своей информационной системе ПД, полученные от Пользователя или собранные по поручению Пользователя, он также обязуется:
- соблюдать все требования по обеспечению им конфиденциальности и безопасности ПД, предусмотренные применимым законодательством о ПД и защите информации;
- ограничивать работникам и/или третьим лицам, привлекаемым им на основании гражданско-правовых договоров, а также своим сторонним информационным системам разрешенный доступ к информационной системе, в которой обрабатываются ПД, с использованием межсетевого экрана (локального или сетевого) и в объеме, который необходим Владельцу для исполнения своих обязательств по Договору («need-to-know»).
2.8. Стороны обязуются не осуществлять в отношении информационных систем друг друга каких-либо действий, которые могут нарушать целостность таких систем (например, обходить системы защиты), конфиденциальность содержащихся в них данных, влиять на работоспособность и доступность систем, создавать в них скрытые функциональные возможности (например, внедрять программные закладки) и заражать их компьютерными вирусами. Стороны также обязуются не совершать действий по внесению изменений, декомпилированию, дизассемблированию, дешифровке, исправлению ошибок и не производить иных действий в отношении информационных систем, их компонентов и содержимого с целью получения информации о реализации принципов, алгоритмов и процессов, используемых в таких системах.
2.9. В случае нарушения Пользователем любых положений Оговорки по информационной безопасности Владелец вправе в одностороннем порядке ограничить, приостановить или полностью прекратить взаимодействие Пользователя с информационной системой Владельца, направив Пользователю соответствующее уведомление. При этом такие действия не являются нарушением Владельцем положений Договора, в том числе в случае, когда взаимодействие Пользователя с информационной системой Владельца необходимо для исполнения Договора.
2.10. Каждая Сторона обязуется незамедлительно (в течение 24 (двадцати четырёх) часов с даты обнаружения) уведомлять другую Сторону о возникновении любых инцидентов информационной безопасности в отношении ее информационных систем, если такие системы взаимодействуют с информационными системами другой Стороны или в них обрабатываются ПД, полученные от другой Стороны или собранные по поручению другой Стороны. Такое уведомление должно включать информацию о причинах инцидента, его последствиях (как имеющихся, так и предполагаемых), в том числе в отношении ПД, а также о принятых мерах по устранению (минимизации последствий) инцидента. Если иное прямо не предусмотрено Договором или отдельными соглашениями Сторон, Контрагент обязуется уведомлять Ozon о таких инцидентах по адресу security@ozon.ru.
2.11. Каждая Сторона, предоставляя своим работникам и/или третьим лицам, привлекаемым ею на основании гражданско-правовых договоров, разрешенный доступ к информационной системе другой Стороны, обязуется устанавливать для таких работников и/или третьих лиц обязательства, аналогичные указанным в Оговорке по информационной безопасности.
2.12. Каждая Сторона обязуется по запросу другой Стороны в течение 5 (пяти) рабочих дней с даты получения такого запроса предоставить такой другой Стороне доказательства надлежащего исполнения своих обязательств, указанных в Оговорке по информационной безопасности. В частности, каждая Сторона вправе направлять другой Стороне опросники, анкеты и иные документы для заполнения, предназначенные для оценки информационной безопасности такой другой Стороны, а также уровня защищенности ее информационных систем.
2.13. В случае нарушения Стороной своих обязательств, указанных в Оговорке по информационной безопасности, она обязуется возместить пострадавшей Стороне документально подтвержденные убытки последней, причиненные таким нарушением, в том числе возместить суммы возможных штрафов, взысканий и компенсаций, которые могут быть предъявлены пострадавшей Стороне к уплате в судебном или внесудебном порядке, в течение 5 (пяти) рабочих дней с даты получения соответствующего требования от пострадавшей Стороны.
3. Оговорка «Публичные заявления»
3.1. Ни одна из Сторон не вправе делать какие-либо публичные заявления в любой форме, в том числе, но не ограничиваясь, в СМИ, в сети «Интернет», о факте заключения и/или об условиях Договора, а также о факте и деталях сотрудничества в рамках Договора (далее – «Публичные заявления») без предварительного письменного согласия другой Стороны, а в случае получения такого согласия Сторона, намеревающаяся сделать такие Публичные заявления, обязуется согласовать их содержание с другой Стороной.
4. Оговорка о конфиденциальной информации
4.1. Стороны договорились, что к конфиденциальной информации относится:
- факт заключения и все условия Договора, приложений к нему;
- информация, которая имеет коммерческую ценность или дает конкурентные преимущества другой Стороне;
- информация, находящаяся в информационной системе Стороны, доступ к которой предоставлен другой Стороне;
- информация, не являющаяся общедоступной;
- любая иная информация, которая обозначена одной из Сторон в качестве конфиденциальной.
4.2. Каждая из Сторон обязана:
- принимать все необходимые меры по охране конфиденциальности информации;
- использовать конфиденциальную информацию только в целях исполнения обязательств по Договору;
- предоставлять доступ к конфиденциальной информации только тем сотрудникам, которым он обоснованно необходим для выполнения служебных обязанностей по исполнению Договора.
4.3. Каждая из Сторон вправе без предварительного согласия другой Стороны предоставлять конфиденциальную информацию своим аффилированным лицам, консультантам, аудиторам и государственным органам. Предоставление конфиденциальной информации иным лицам требует предварительного письменного согласия другой Стороны.
4.4. Обязательство защищать и хранить в секрете конфиденциальную информацию не распространяется на информацию, которая:
- на момент раскрытия являлась или стала общедоступной, иначе как вследствие нарушения, допущенного принимающей Стороной;
- становится известной принимающей Стороне на законных основаниях на условиях общедоступности из источника иного, чем раскрывающая Сторона, без нарушения принимающей Стороной условий Договора и иных положений по конфиденциальности;
- была известна принимающей Стороне до её раскрытия по Договору без нарушения условий по конфиденциальности;
- была раскрыта с письменного разрешения раскрывающей Стороны.
4.5. Условия о конфиденциальности должны соблюдаться в течение срока действия Договора и в течение 3 (трёх) лет после его прекращения (расторжения).
4.6. Если между Сторонами заключено соглашение о конфиденциальности, условия такого соглашения имеют приоритет над Оговоркой о конфиденциальной информации.
For the purposes of this section, Parties shall refer to the following definitions:
- Agreement means the instrument between Parties where the reference to this section is made;
- Ozon or Company means the legal person belonging to Ozon group of companies and being the Party to the Agreement;
- Counterparty means the person being the counterparty of Ozon and the Party to the Agreement.
Unless otherwise is expressly provided for in this section, other terms shall be defined as in the Agreement, and if not — in accordance with the laws applicable to the Agreement.
Parties shall apply provisions of this section by the respective reference made in the Agreement unless otherwise is expressly provided for in the Agreement.
1. Personal Data Clause
1.1. Each Party may transfer personal data (“PD”) of its employees, signatories, representatives and other persons (“Data subjects”) to the other Party, and the other Party may process them, when processing of such PD is necessary for conclusion or performance of the Agreement, as well as for document management, accounting and record-keeping, as long as the Agreement is in force and unless longer storage periods are provided for in laws on PD applicable to the respective Party.
1.2. The receiving Party shall ensure confidentiality and security when processing PD, avoid dissemination of PD, their disclosure to third parties (unless required by laws on PD applicable to the respective Party or necessary for the purposes of the Personal Data Clause), as well as adopt all legal, organizational and technical measures necessary to protect PD from any unlawful actions towards them.
1.3. The disclosing Party warrants and represents to the other Party that there are either Data subjects’ consents or other legitimate grounds for transfer of such Data subjects’ PD to the receiving Party and for subsequent processing by the receiving Party to the extent and under the conditions of the Personal Data Clause.
1.4. Each Party shall, as requested by the other Party, within 5 (five) business days from the date when the request is received, provide such other Party with evidence that its own obligations under the Personal Data Clause are duly fulfilled.
1.5. If Ozon is not LLC “Internet Solutions” (Russia, 123112, Moscow, Presnenskaya embankment, bld. 10, premises I, fl. 41, room 6, reg. no. 1027739244741), Ozon may also conduct transfer of PD received from the Counterparty to LLC “Internet Solutions” for the purposes and under the conditions of the Personal Data Clause.
2. Information Security Clause
2.1. Each Party shall comply with the following information security requirements, apply necessary and sufficient measures to protect data, including the data received from the other Party, and regularly carry out appropriate activities during the term of the Agreement to ensure proper performance of its information security obligations.
2.2. Interaction of Parties' information systems, including API use or similar integration methods, is allowed only subject to prior consent of each Party. Procedure for expressing such consent shall be determined by Parties' agreement, and, in the absence of such agreement, by each Party at its own discretion.
2.3. Interaction with an information system of either Party (“Owner”) may be carried out by the other Party (“User”) only in accordance with the instructions, guidelines and requirements of the Owner. When interacting with the information system, as authorized by the Owner, the User acknowledges and agrees that it has read and understood the instructions, guidelines and requirements prescribed by the Owner for a particular information system and undertakes to comply with them to the fullest extent. For these purposes, unless otherwise expressly provided for in the Agreement or Parties' separate agreements, such instructions, guidelines and requirements shall be posted and communicated by Ozon (as the Owner) to the Counterparty (as the User) in any manner determined by Ozon, including by posting the documentation of the relevant information system on the Internet.
2.4. When interacting with an information system, as authorized by the Owner, the User shall:
- ensure confidentiality with respect to any components and content of the information system and not disclose them to third parties, except when necessary to perform the Agreement or required by the laws applicable to the relevant Party;
- take no action to circumvent the restrictions on access to such system, its components and content, as prescribed by the Owner;
- not take any action that causes or may cause an unreasonably or disproportionately large load on any information systems of the Owner;
- not use third-party software and other technical means that in any way affect or may affect operation of the information system;
- not circumvent, disable or otherwise interrupt operation of protective tools or functions, including technical means for protection of copyright and related rights, which prevent/restrict use or copying of components and content of the information system;
- not download any components and contents of the information system that have not been expressly provided by the Owner for downloading;
- not provide third parties, including those contracted by the User, with access to the information system without the Owner’s prior consent. Procedure for expressing such consent shall be determined by Parties' agreement, and, in the absence of such agreement, by the Owner at its own discretion.
2.5. When interacting with an information system, as authorized by Ozon, the Counterparty shall also take the following measures in relation to such interaction:
- availability of remote secure access for the Counterparty organized in accordance with Ozon’s requirements;
- organization of information interaction between the Counterparty and Ozon via network protocols with mandatory encryption of traffic;
- Counterparty’s remote connection to Ozon’s information system only via a secure channel using cryptographic protection means. Ozon may also introduce specific requirements for settings of the Counterparty’s network equipment, through which the Counterparty interacts with Ozon’s information system;
- Counterparty’s servers, used to interact with Ozon’s information system, shall be protected by a firewall (local or network), and any interaction with Ozon’s internal network shall be carried out only within the described interaction pattern previously agreed upon with Ozon and provided for in the Agreement or Parties' separate agreements;
- regular, but at least 1 (one) time per month, scanning of the local area network (LAN) perimeter, including scanning of public IP addresses belonging to the Counterparty on all ports, as well as vulnerabilities on critical ports and web applications that directly or indirectly interact with Ozon’s information system.
2.6. Ozon may introduce additional requirements for the Counterparty relating to its interaction with Ozon’s information systems, as authorized by Ozon, subject to Counterparty’s prior notification.
2.7. If the Owner processes in its information system any PD received from the User or collected on behalf of the User, it also undertakes to:
- comply with all requirements to ensure the confidentiality and security of such PD, as provided for in applicable PD and information protection laws;
- restrict authorized access to the information system, in which PD are processed, for employees and/or contracted third parties, as well as for its other information systems, using a firewall (local or network) and to the extent necessary for the Owner to perform its obligations under the Agreement (“need-to-know”).
2.8. The Parties shall not take any actions with respect to each other’s information systems that may violate integrity of such systems (for example, bypass security systems), confidentiality of any data contained therein, affect the performance and availability of the systems, create hidden functionality in them (for example, implement software bookmarks) and infect them with computer viruses. The Parties also undertake not to perform any actions to make changes, decompile, disassemble, decrypt, correct errors and not to perform other actions with respect to the information systems, their components and content in order to obtain information on how the principles, algorithms and processes of such systems are implemented.
2.9. If the User violates any provisions of the Information Security Clause, the Owner may unilaterally restrict, suspend or completely terminate User’s interaction with Owner’s information system by notifying the User accordingly. Such actions shall not constitute Owner’s violation of the Agreement, even when User’s interaction with Owner’s information system is necessary for performance of the Agreement.
2.10. Each Party undertakes to immediately (within 24 (twenty-four) hours from the date of discovery) notify the other Party of any information security incidents in relation to its information systems if such systems interact with information systems of the other Party or process PD received from the other Party or collected on behalf of the other Party. Such notification shall include information on causes of the incident, its consequences (both existing and alleged), as well as its effect on PD, as well as on measures taken to eliminate (minimize consequences of) the incident. Unless otherwise expressly provided for in the Agreement or Parties' separate agreements, the Counterparty undertakes to notify Ozon of such incidents to security@ozon.ru.
2.11. Each Party, when providing its employees and/or contracted third parties with authorized access to the information system of the other Party, undertakes to introduce obligations for such employees and/or third parties similar to those specified in the Information Security Clause.
2.12. Each Party shall, as requested by the other Party, within 5 (five) business days from the date when the request is received, provide such other Party with evidence that its own obligations under the Information Security Clause are duly fulfilled. In particular, each Party may send to the other Party questionnaires, surveys and other documents to be filled in, which are intended to assess the information security of such other Party, as well as the security level of its information systems.
2.13. If either Party violates its obligations, as specified in the Information Security Clause, it shall compensate the affected Party for any documented damages caused by such violation, including reimbursement for any amounts of possible fines, penalties and compensations that may be imposed on the affected Party in court or out of court, within 5 (five) business days from the date when the relevant request from the affected Party is received.
3. Public Statements Clause
3.1. Neither Party has the right to make any public statements in any form, including in but not limited to the media, on the Internet, at large of the fact and/or about the terms and conditions of the Agreement, as well as about the fact and details of cooperation under the Agreement (“Public Statements”) without the prior written consent of the other Party, and if such consent is obtained, the Party intending to make such Public Statements undertakes to coordinate and approve their content with the other Party.
4. Confidentiality Clause
4.1. The Parties have agreed that confidential information includes:
- the fact of concluding the Agreement and all its conditions and appendices;
- information that has commercial value or gives competitive advantage to the other Party;
- information stored in the Party’s information system, access to which is granted to the other Party;
- publicly unavailable information;
- any other information marked as confidential by one of the Parties.
4.2. Each Party shall:
- take all necessary actions to protect confidential information;
- use confidential information solely for the purposes of the Agreement;
- grant access to confidential information only to those employees who reasonably need it to perform their duties under the Agreement.
4.3. Each Party may provide confidential information to its affiliates, consultants, auditors and state authorities without prior consent of the other Party. Provision of confidential information to third parties requires prior written consent of the other Party.
4.4. Obligation to protect confidential information and keep it in secret does not apply to the information that:
- at the moment of disclosure was or became publicly available other than as a result of breach of the receiving Party;
- becomes lawfully known to the receiving Party on terms of public availability from a source other than the disclosing Party, without breach of the Agreement by the receiving Party and other confidentiality provisions;
- was known to the receiving Party prior to its disclosure under the Agreement without violating the confidentiality conditions;
- was disclosed with written consent of the disclosing Party.
4.5. This Confidentiality Clause must be followed for the duration of the Agreement and for 3 years after its termination (dissolution).
4.6. If the Parties have entered into a non-disclosure agreement, its conditions have priority over this Confidentiality Clause.
就本节而言,双方使用以下术语:
- 协议 — 双方之间签署的文件,其中包含对本节的引用;
- Ozon 或公司 — 属于Ozon集团的公司,并作为协议缔约方的法人;
- 交易对手 — 作为Ozon 交易对手的法人/自然人,并作为协议的缔约方。
除非本节另有明确规定,其他术语应按协议规定的含义使用,如果协议中没有含义,则应根据协议适用的立法。
除非本协议明确规定了其他条件,本节的规定应通过协议中的适当引用适用于双方的关系。
1. 个人信息但书
1.1. 各方均有权向对方转让其雇员、签字人、代表和其他人员(以下简称“主体”)的个人信息(以下简称“信息”),并且对方在协议期限内,有权处理此类信息以达成和执行协议,以及为组织文件流通、文件管理和档案存储,除非适用于各方的个人信息法规定了更长的处理期限。
1.2. 接收方承诺在个人信息处理过程中保持其机密性和安全性,不允许传播个人信息、向第三方披露个人信息(除非各方适用的法律要求传播或向第三方披露个人信息,或者为个人信息但书中指定的目的要传播或向第三方披露个人信息),并采取一切必要的法律、管理和技术措施,以保护个人信息免受任何非法行为。
1.3. 披露方向接收方保证,它已收到主体的有效同意或其他法律依据,允许将其个人信息转让给接收方,并允许接收方在但书规定的范围内并按照但书规定的条款对其个人信息进行处理。
1.4. 各方保证,应对方的请求,在收到请求之日起5(五)个工作日内,向对方提供适当履行个人信息条款中规定的义务的证据。
1.5. 如果在协议中Ozon的法人不是互联网解决方案有限责任公司Internet Solutions LLC(俄罗斯联邦123112莫斯科普列斯年斯卡亚沿河街10号I房41楼6号室,国家基本注册号1027739244741),则 Ozon 也有权按照个人信息但书规定的目的和条款将从对方收到的个人信息转移给互联网解决方案有限责任公司Internet Solutions LLC。
2. 信息安全但书
2.1. 各方应遵守以下信息安全要求,采取必要且充分的措施以保护信息,包括从对方收到的信息,并在协议期限内定期采取适当措施以适当履行信息安全领域的义务。
2.2. 只有在双方事先同意的情况下,才允许双方信息系统进行交互,包括使用 API 或类似的一体化方式。表明此类同意的程序经双方协商确定,没有协商时,各方可自行决定。
2.3. 各方(以下简称“用户”)仅可按照对方(以下简称“主人”)的说明、指示和要求使用主人的信息系统
按照主人允许的方式使用信息系统时,用户承认并同意他已阅读主人制定的信息系统的说明、指示和要求,并承诺遵守全部要求。 同时,除非协议或双方之间其他合同另有明确规定,此类指示、说明和要求可以由 Ozon(主人)规定的任何方式公布和交给交易对手(用户),其中包括通过在互联网上发布相关信息系统的文档。
2.4. 按照主人允许的方式使用信息系统时,用户承诺:
- 对信息系统的组件和内容保密,不得将其透露给第三方,除非为履行协议或按照各方使用的法律要求必须将信息透露给第三方;
- 不采取任何措施规避主人制定的系统及其组件和内容的访问限制;
- 不采取对主人的任何信息系统造成或可能造成不合理或不成比例的巨大负载的行为;
- 不使用第三方软件及其他以任何方式影响或可能影响信息系统运行的技术手段;
- 不得绕过、禁用或以其他方式中断保护手段或功能的运行,包括防止/限制使用或复制信息系统的组件和内容的保护版权和相关权的技术手段;
- 不下载信息系统中的组件和内容,除非主人直接提供为下载的组件和内容;
- 未经主人事先同意,不得向第三方(包括用户根据民法合同所聘用的第三方)提供对信息系统的访问权。表明此类同意的程序由双方协商,没有协商时,由主人自行决定。
2.5. 按照Ozon允许的方式使用信息系统时,交易对手还承诺为使用系统采取以下措施:
- 交易对手具有符合Ozon 要求的安全远端存取;
- 交易对手应使用具有强制流量加密保护的网络协议与 Ozon交互信息;
- 交易对手只能通过使用密码术保护的保密通道来远程连接到Ozon 信息系统。 Ozon还有权对交易对手网络设备的设置提出要求,如果该网络设备用于与Ozon信息系统进行交互;
- 用于与Ozon信息系统进行交互的交易对手服务器必须有防火墙(局域或网络),并且与内部Ozon网络的交互应按照事先与Ozon协商的并在协议或双方之间其他合同中规定的交互方案来进行的;
- 定期但不少于每月1(一)次扫描局域网(LAN)周边,包括扫描所有端口上属于交易对手的公共IP地址,以及直接或间接与 Ozon 信息系统交互的关键端口和Web应用上的漏洞。
2.6. Ozon 有权对与其信息系统允许的交互向交易对手提出额外的要求,但须事先通知交易对手。
2.7. 如果所有者主人在其信息系统中处理从用户收到的或代表用户收集的个人信息,他承诺:
- 遵守适用的个人信息处理和信息保护法律所规定的要求,以确保个人信息的机密性和安全性;
- 使用防火墙(局域或网络)来限制员工和/或根据民法合同聘用的第三方及主人其他信息系统访问处理个人信息的系统,限制到主人为履行其协议义务所必要的范围(«need-to-know»)。
2.8. 双方保证对彼此的信息系统不采取任何可能违反系统的完整性(例如绕过安全系统)、违反其中包含的信息机密性、影响系统的功能和可用性的行为,在其中创建隐藏功能(例如,嵌入黑客软件),并感染计算机病毒等。双方还承诺对信息系统及其组件和内容不采取更改、反编译、反汇编、解密、纠正错误或其他行为,以获得该系统所使用的原则、算法和程序的信息。
2.9. 当用户违反信息安全但书的任何规定时,主人有权单方面限制、暂停或完全终止用户与主人信息系统的交互,并向用户发出相应的通知。此类行为并不视为主人违反协议条款(包括当用户与主人的信息系统进行交互对执行协议是必要的情况下)。
2.10. 如果各方发现其信息系统中发生任何威胁信息安全的事件,并且此系统与对方的信息系统交互,或者处理从对方收到或代表对方收集的个人信息,则各方应该立即(自发现之日起 24(二十四)小时内)通知对方。此类通知应包括有关事件原因、其后果(现有的和预期的)的信息,其中与个人信息有关的后果,以及为消除(尽量减少其后果)事件后果而采取的措施。除非协议或双方之间其他合同另有明确规定,交易对手应该通过电子邮件security@ozon.ru 通知 Ozon关于此类事件。
2.11. 各方在授予其雇员和/或根据民法合同聘用的第三方访问对方信息系统时,应该为此类雇员和/或第三方规定与信息安全但书类似的义务。
2.12. 各方承诺,应对方的请求,在收到请求之日起5(五)个工作日内,向对方提供适当履行信息安全但书中规定的义务的证据。 就是,各方均有权向对方发送调查表、问卷和其他需要填写的文件,以评估对方的信息安全情况及其信息系统的安全水平。
2.13. 如果各方违反信息安全但书规定的义务,其应该自收到对方的相关请求之日起5(五)个工作日内赔偿受影响的对方因此类违规行为而造成的有单据的损失,其中包括偿还可能以司法或法外方式向对方提出的罚款、处罚和赔偿。
3. 公开声明但书
3.1. 未经对方事先书面同意,双方均无权以任何形式发表任何公开声明(包括但不限于在媒体、互联网上)透露缔结协议和/或协议条款的信息以及在本协议框架内合作项目和细节(以下简称“公开声明”)。如果获得对方的书面同意,拟发表此类公开声明的一方应该与对方协商其内容。
4. 保密信息但书
4.1. 双方同意保密信息包括:
- 协议及其附件的缔结和所有条款;
- 具有商业价值或为第三方会提供竞争优势的信息;
- 各方向对方提供访问权限的信息系统所包含的信息;
- 未公开的信息;
- 各方指定为保密的任何其他信息。
4.2. 各方有义务:
- 采取一切必要措施以保护信息的机密性;
- 仅将保密信息用于履行协议的义务;
- 仅向合理需要保密信息以协议向下履行其职责的员工提供保密信息的访问权限。
4.3. 各方均有权在未经对方的事先同意的情况下向分支单位、顾问、审计师和国家机关提供保密信息。向他人提供保密信息需事先征得对方书面同意。
4.4. 保护和维护保密信息机密性的义务不适用于以下信息:
- 披露时已经或成为公开的信息,除非是由于接收方的违规行为成为公开的信息;
- 接收方在公开的情况下从披露方以外的来源合法获知的信息,且接收方没有违反本协议的条款和其他保密规定;
- 在不违反保密条件的情况下根据本协议披露之前接收方已知的信息;
- 经披露方书面许可披露的信息。
4.5. 在协议有效期内以及协议终止(废除)后 3 年内必须遵守保密规定。
4.6. 如果双方签订保密协议,则此类协议的条款优先于本协议的条款。