富兰克林 & 马歇尔头标志

资讯科技政策

首页。 / 大学政策 / 技术 / 富兰克林 & 马歇尔-云供应商策略

云供应商策略

资讯科技政策

I. 政策的理由和陈述

此策略定义了签订合同的云供应商服务提供商的需求 与学院合作. 该政策被视为供应商合同的附录.

II. 范围

任何云供应商服务提供商将连接到学院的网络或 与学院信息资源互动. 这项政策适用于所有教员, F&M.

3。. 定义

“云供应商服务提供商”或“供应商”是服务提供商 大学签订信息服务合同. 此定义包括任何分包商 或者为供应商工作的子服务人员. 也被称为第三方供应商或 承包商.

“个人信息”是指任何非公开和/或专有信息 根据本附录提交的关于任何社区成员的表格 卖方在整个协议期内所知悉的. 学院对此进行了分类 根据数据分类政策的“敏感”信息类型.

“非公开个人信息”是指任何可识别个人身份的财务信息. 该定义取自联邦贸易委员会隐私规则,无论是否社区 会员寻求或获得任何金融产品或服务. 学院对此进行了分类 根据数据分类政策,属于“机密”的信息类型.

“社区”成员包括现任、前任或未来的教职员工、学生、 志愿者、受托人或学院或其附属机构的代表.

IV. 政策

卖方应提供充分的保密措施, 这些信息的完整性和可用性. 在适用的范围内 ,这些保障措施应符合下列方面的现行要求:

  • 家庭教育权利和隐私法(FERPA)

  • 格雷姆-里奇-比利利法案(GLBA)

  • 美国联邦贸易委员会(FTC)发布的法规包括但不限于 《冰球突破官网》和《冰球突破官网》

  • 一般资料保护规例(GDPR)

  • 公平准确信用交易法案

  • 美国残疾人法案(ADA)

  • 加州消费者隐私法(CCPA)

  • 个人信息保护和电子文件法(PIPEDA)

  • 联邦银行监管机构

  • 以及其他可能与本合同或服务有关的规定

个人信息保密和不披露

  1. 个人信息将被视为学院的财产.

  2. 卖方应严格保密并按照本协议的规定持有所有个人信息 遵守适用的法律法规以及学院的政策、程序、标准、 和指导方针.

  3. 卖方不得(直接或间接)获得该个人的所有权 信息.

  4. 卖方不得在未经事先同意的情况下将个人信息透露给任何第三方 书面同意,除非(i)履行卖方在协议项下的义务所需 或(ii)法律要求的情况,卖方应及时通知学院 该请求或要求.

  5. 卖方仅可将该等个人信息用于促销活动 双方之间的业务关系,卖方不得进一步 全部或部分使用任何此类个人信息.

  6. 供应商进一步同意仅向其员工披露个人信息 为促进业务目标而需要提供服务的承包商 双方之间的关系,并要求其每个雇员和承包商 为了遵守本协议的条款,在向这些员工披露之前 和承包商.

  7. 在本协议期满或终止后,无论出于何种原因,卖方应 及时将所有个人资料交回学院,或按指示办理 学院,立即销毁所有个人信息.

供应商保障声明

  1. 供应商已提交云供应商评估,该评估定义了供应商应采取的步骤 采取措施保护个人信息及相关数据. 这可能是富兰克林 & 马歇尔自定义云供应商评估工具或Educause高等教育云 供应商评估工具(HECVAT).

  2. 供应商应在以下情况下修改并重新提交更新后的云供应商评估 业务操作或服务交付发生了变化,并且在更新时发生了变化 或者延长之前的合同.

  3. 涉及供应商访问、创建或维护Protected的任何合同 健康信息(PHI)必须包括健康保险可移植性和问责制 商业合作协议(BAA).

  4. 任何涉及供应商提供信用卡服务的合同必须要求 承包商提供保证,所有分包商谁提供信用卡服务 根据合同将遵守支付卡行业的要求 提供服务时的数据安全标准(PCI DSS).

  5. 学院可每年(或根据情况需要更频繁地)在学院的 判断)对供应商遵守协议的情况进行审查.

供应商协议、确认、声明和保证

卖方同意、承认、声明和保证如下:

  1. 该协议允许供应商访问个人信息.

  2. 供应商应对个人信息严格保密,并只能访问该等信息 为明确的商业目的而签订的协议.

  3. 卖方规定允许进入禁令救济而无需张贴 担保,以防止或补救违反保密义务的 协议.

  4. 卖方规定,任何违反这些要求的行为将构成材料 违反协议,学校有权立即终止协议 不得对学校造成处罚.

  5. 供应商应保持控制,以确保任何分包商或分包商使用 卖方也受本协议条款的约束.

  6. 这些要求在协议终止后仍然有效.

供应商数据保护协议和确认

  1. 卖方应确保遵守…的保密和安全条件 该协议.

  2. 供应商应根据云保护其访问的个人信息 供应商评估报告.

  3. 供应商应通知学院任何安全事件,安全漏洞或未经授权 在实际情况下尽快查阅大学的个人信息,但不得迟于48日 发现后的几个小时. 通知应直接发给信息技术部门 学院的服务,首席信息官,首席信息安全官,和联系人在 协议.

  4. 供应商同意不会将安全漏洞通知任何受影响的个人 或未经授权的访问没有事先咨询并获得同意 大学.

  5. 供应商应立即采取措施纠正任何安全漏洞或未经授权的访问 由卖方承担费用.

  6. 卖方应负责学院在回应过程中产生的实际费用 减轻因任何安全漏洞或未经授权的访问而造成的损害,包括 通知、信用监控或其他补救措施.

-----
政策维护人员:信息技术服务部副总裁兼首席信息官 官
原生效日期:2018年9月1日
最后审查:2023年9月14日