资讯科技政策
云供应商策略
I. 政策的理由和陈述
此策略定义了签订合同的云供应商服务提供商的需求 与学院合作. 该政策被视为供应商合同的附录.
II. 范围
任何云供应商服务提供商将连接到学院的网络或 与学院信息资源互动. 这项政策适用于所有教员, F&M.
3。. 定义
“云供应商服务提供商”或“供应商”是服务提供商 大学签订信息服务合同. 此定义包括任何分包商 或者为供应商工作的子服务人员. 也被称为第三方供应商或 承包商.
“个人信息”是指任何非公开和/或专有信息 根据本附录提交的关于任何社区成员的表格 卖方在整个协议期内所知悉的. 学院对此进行了分类 根据数据分类政策的“敏感”信息类型.
“非公开个人信息”是指任何可识别个人身份的财务信息. 该定义取自联邦贸易委员会隐私规则,无论是否社区 会员寻求或获得任何金融产品或服务. 学院对此进行了分类 根据数据分类政策,属于“机密”的信息类型.
“社区”成员包括现任、前任或未来的教职员工、学生、 志愿者、受托人或学院或其附属机构的代表.
IV. 政策
卖方应提供充分的保密措施, 这些信息的完整性和可用性. 在适用的范围内 ,这些保障措施应符合下列方面的现行要求:
-
家庭教育权利和隐私法(FERPA)
-
格雷姆-里奇-比利利法案(GLBA)
-
美国联邦贸易委员会(FTC)发布的法规包括但不限于 《冰球突破官网》和《冰球突破官网》
-
一般资料保护规例(GDPR)
-
公平准确信用交易法案
-
美国残疾人法案(ADA)
-
加州消费者隐私法(CCPA)
-
个人信息保护和电子文件法(PIPEDA)
-
联邦银行监管机构
-
以及其他可能与本合同或服务有关的规定
个人信息保密和不披露
-
个人信息将被视为学院的财产.
-
卖方应严格保密并按照本协议的规定持有所有个人信息 遵守适用的法律法规以及学院的政策、程序、标准、 和指导方针.
-
卖方不得(直接或间接)获得该个人的所有权 信息.
-
卖方不得在未经事先同意的情况下将个人信息透露给任何第三方 书面同意,除非(i)履行卖方在协议项下的义务所需 或(ii)法律要求的情况,卖方应及时通知学院 该请求或要求.
-
卖方仅可将该等个人信息用于促销活动 双方之间的业务关系,卖方不得进一步 全部或部分使用任何此类个人信息.
-
供应商进一步同意仅向其员工披露个人信息 为促进业务目标而需要提供服务的承包商 双方之间的关系,并要求其每个雇员和承包商 为了遵守本协议的条款,在向这些员工披露之前 和承包商.
-
在本协议期满或终止后,无论出于何种原因,卖方应 及时将所有个人资料交回学院,或按指示办理 学院,立即销毁所有个人信息.
供应商保障声明
-
供应商已提交云供应商评估,该评估定义了供应商应采取的步骤 采取措施保护个人信息及相关数据. 这可能是富兰克林 & 马歇尔自定义云供应商评估工具或Educause高等教育云 供应商评估工具(HECVAT).
-
供应商应在以下情况下修改并重新提交更新后的云供应商评估 业务操作或服务交付发生了变化,并且在更新时发生了变化 或者延长之前的合同.
-
涉及供应商访问、创建或维护Protected的任何合同 健康信息(PHI)必须包括健康保险可移植性和问责制 商业合作协议(BAA).
-
任何涉及供应商提供信用卡服务的合同必须要求 承包商提供保证,所有分包商谁提供信用卡服务 根据合同将遵守支付卡行业的要求 提供服务时的数据安全标准(PCI DSS).
-
学院可每年(或根据情况需要更频繁地)在学院的 判断)对供应商遵守协议的情况进行审查.
供应商协议、确认、声明和保证
卖方同意、承认、声明和保证如下:
-
该协议允许供应商访问个人信息.
-
供应商应对个人信息严格保密,并只能访问该等信息 为明确的商业目的而签订的协议.
-
卖方规定允许进入禁令救济而无需张贴 担保,以防止或补救违反保密义务的 协议.
-
卖方规定,任何违反这些要求的行为将构成材料 违反协议,学校有权立即终止协议 不得对学校造成处罚.
-
供应商应保持控制,以确保任何分包商或分包商使用 卖方也受本协议条款的约束.
-
这些要求在协议终止后仍然有效.
供应商数据保护协议和确认
-
卖方应确保遵守…的保密和安全条件 该协议.
-
供应商应根据云保护其访问的个人信息 供应商评估报告.
-
供应商应通知学院任何安全事件,安全漏洞或未经授权 在实际情况下尽快查阅大学的个人信息,但不得迟于48日 发现后的几个小时. 通知应直接发给信息技术部门 学院的服务,首席信息官,首席信息安全官,和联系人在 协议.
-
供应商同意不会将安全漏洞通知任何受影响的个人 或未经授权的访问没有事先咨询并获得同意 大学.
-
供应商应立即采取措施纠正任何安全漏洞或未经授权的访问 由卖方承担费用.
-
卖方应负责学院在回应过程中产生的实际费用 减轻因任何安全漏洞或未经授权的访问而造成的损害,包括 通知、信用监控或其他补救措施.
-----
政策维护人员:信息技术服务部副总裁兼首席信息官
官
原生效日期:2018年9月1日
最后审查:2023年9月14日