|
附件 4.a(7) 第53258.A.012号协议 |
某些已确定的信息已被排除在展览之外,因为它既是(i)非实质性的,也是(ii)注册人将其视为私人或机密的类型
修正案12
到
53258.c号协议
之间
美国电话电报服务公司。
和
Amdocs发展有限公司
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
1
第53258.A.012号协议
第12号修正案
至
53258.c号协议
这项第12号修正案自一方最后签署的日期(“生效日期”)起生效,并修订了重述和修订的主服务和软件许可协议编号53258.C,是由塞浦路斯公司Amdocs Development Limited(以下简称“供应商”或“Amdocs”)与特拉华州公司美国电话电报服务公司(以下简称“美国电话电报”)合作达成的,每一项修正案都可以单数称为“缔约方”,也可以复数称为“缔约方”。
见证者
然而,供应商及美国电话电报乃于2017年2月28日生效日期(如先前重述及修订,“协议”)订立的第53258.C号总服务协议的订约方;及
然而,供应商和美国电话电报现在希望对协议进行修订,如下所述。
现在,因此,考虑到房地和下文所载的盟约,双方同意如下:
1.0.简介
以下美国电话电报供应商信息安全要求(“安全要求”)适用于发生以下任一情况时供应商实体在根据本协议执行任何行动、活动或工作时使用的信息资源(以下简称“范围内工作”):
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
2
第53258.A.012号协议
这些安全要求不(i)适用于从供应商实体获得的商业现成产品或材料,除非供应商进行范围内工作,或(ii)限制更严格的义务(如果有的话),例如协议其他部分规定的隐私或安全补丁。
2.0.安全域
供应商实体必须:
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
3
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
4
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
5
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
6
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
7
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
8
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
9
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
10
第53258.A.012号协议
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
11
第53258.A.012号协议
3.0.定义
在这些安全要求中使用但未在此定义的大写术语应具有协议中规定的含义。
“管理用户”是指拥有超级用户或提升/增强的安全权限以及配置、控制、安装或管理信息资源的权限的用户,无论所管理的设备和环境类型如何,包括在任何供应商实体的设施内,例如在云服务提供商(CSP)云环境内。
“云服务”是指通过“即服务”云服务模式(例如,软件即服务(SaaS)、存储即服务(STaaS)、数据库即服务(DBaaS)、平台即服务(PaaS)和基础设施即服务(IaaS))交付的服务。
“云服务提供商”或“CSP”是指提供基于云的计算服务的供应商实体。
“网络安全”是指保护信息资源和范围内信息免受攻击、数据盗窃、泄露、未经授权的访问、社会工程、凭证共享以及其他类似的安全威胁。
“非军事区”或“非军事区”是指将内部网络与外部网络分隔开的物理或逻辑网络或子网络,例如公共互联网。
“范围内信息”是指美国电话电报的机密和专有数据,包括美国电话电报客户信息,供应商实体在履行本协议项下义务时以任何方式收集、处理、存储、处理或访问这些数据,而不受传输格式和方式的限制。
“信息资源”是指系统、应用程序、网站、网络、网络元素和其他计算和信息存储设备,以及底层技术和交付方式(例如,社交网络、移动技术、笔记本电脑、便携式设备、云服务、数据分析、通话和语音/视频记录以及应用程序接口(API))。
“多因素认证”(又称“MFA”、“双因素认证”、“强认证”)是指使用以下三类认证因子中的至少两种:
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
12
第53258.A.012号协议
“便携式设备”是指与范围内工作相关的媒体和系统,但笔记本电脑除外,能够轻松携带、移动、运输或传送。这类设备的例子包括平板电脑、USB硬盘、USB内存条、个人数字助理(PDA)和移动电话(例如智能手机)。
“安全网关”是指具有不同信任级别的两个或多个网络之间的一组控制机制,用于过滤和记录网络之间通过或试图通过的流量以及相关的管理和管理服务器。例子包括防火墙、防火墙管理服务器、跳框、会话边界控制器、代理服务器和入侵防御设备。
“SCD”或“敏感客户数据”是指被评估为需要更高级别保护的客户数据。SCD是指表2中列出的数据元素-美国电话电报 SCD数据元素位于这些安全要求的末尾。表2中的所有数据元素都被视为范围内信息。
“SPI”或“敏感个人信息”是指私人信息,这些信息如果遭到泄露或暴露,可能会对个人构成风险,并在法律上要求美国电话电报披露暴露情况。SPI是指表1中列出的数据元素-美国电话电报 SPI数据元素位于这些安全要求的末尾。表1中的所有数据元素都被视为范围内信息。
“服务账户”是指用于安装、执行或管理应用程序或系统的用户ID。Service Accounts管理应用程序或系统的本地事件/流程。
“强密码学”是指使用基于行业测试、公认且未妥协的算法和适当的密钥管理实践的密码学,其中包含用于管理加密密钥的成文策略,以及足以保护用作密码算法输入的密钥和凭据的机密性和隐私的相关流程。
“强加密”是指使用基于强密码学的加密技术。
“供应商实体”或“供应商实体”是指供应商、其关联公司及其各自的分包商(包括云服务提供商)。
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
13
第53258.A.012号协议
4.0.表1-美国电话电报 SPI数据要素
下表中的数据元素在完整使用时必须被视为SPI,除非另有明确说明。这适用于所有数据格式,包括扫描图像、屏幕捕捉和记录、PDF、JPG和任何其他统一通信,以及协作工具/内容。
数据元素 |
说明 |
政府发放识别号码 |
包括:
1.
驾驶证号码
2.
纳税人识别号-以个人名义。不包括公司名称中的那些。
3.
美国社会保障号
4.
全国/州/地区签发身份号码
5.
政府身份证
6.
专业人员的政府标识符
7.
政府资助的健康或食品计划标识符
8.
护照号码
9.
外侨登记号码
10.
出生证明号码
11.
其他政府发放识别号
不包括:
1.
客户申请识别号(申请ID),以及
2.
代表问责库(RAD)ID,以及
3.
任何这类号码的发布都是基于这样的理解,即它们必须是一个公共记录问题,例如,美国FCC无线电许可证。
|
出生日期(DOB) |
个人完整完整的出生日期(DOB),即包括月份、日期和年份。不包括部分DOB。 |
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
14
第53258.A.012号协议
数据元素 |
说明 |
支付卡号 |
所有类型支付卡的主要账号(PAN)。包括:
1.
美国电话电报企业支付卡号
2.
消费者支付卡号
|
支付卡安全数据 |
与支付卡(企业、个人等)关联使用的安全数据,用于确认合法使用。包括:
1.
卡安全码(CSC)
2.
与支付卡一起使用的个人身份证号码(PIN),但不包括用于验证对美国电话电报系统访问权限的PIN(请参阅“客户身份验证凭证”数据元素)。
|
金融机构账号 |
包括:个人名下个人和企业的各类金融机构账户(储蓄、支票、投资、养老金等)。 不包括:银行路由号码。 |
数据元素 |
说明 |
生物特征数据 |
测量用于认证目的的人类身体和行为特征,例如DNA、指纹、声纹、视网膜或虹膜图像。 包括:完整的生物特征数据。 不包括:
1.
包含源自生物特征数据的离散数据点的模板(例如,“矢量”等价物)(即,不包含完整生物特征图像的模板,其中模板无法反向工程回到原始生物特征图像),以及基因测试信息。
2.
签名。
|
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
15
第53258.A.012号协议
客户认证凭证 仅适用于客户 |
客户用于验证和允许访问的值:
1.
客户的个人信息,包括客户专有网络信息(CPNI)和美国电话电报专有信息(SPI)
——或者——
2.
使客户能够订阅或取消订阅美国电话电报服务的应用程序
——或者——
3.
客户订阅的美国电话电报服务
包括:
1.
个人识别号码(PIN)、密码、密码
2.
生物识别、照片或签名的模板(例如“矢量”等价物)
不包括:
1.
与支付卡相关使用的卡安全码(CSC)和PIN。
2.
全生物识别
3.
完整照片
4.
完整签名
|
客户认证凭证提示 仅适用于客户 |
用于检索客户认证凭据的问题的答案。 |
工作车辆位置 |
识别美国电话电报工作车辆当前或过去位置的信息,该信息与美国电话电报雇员或非工资工人(NPW)的个人身份标识直接关联,允许对此类个人进行基于位置的信息跟踪。工作车辆的位置(例如,地图地址,或在已知的情况下与高度一起的经纬度)可能会被确定,因为它是一辆连接的车辆或有一些其他卫星导航(SatNav)功能的设备分配给该车辆,或通过一些其他方式,例如网络连接。 |
基于位置的信息(LBI) |
识别特定个人移动设备当前或过去位置的信息。 移动设备的位置(例如,地图地址,或经纬度连同已知的高度)通过GPS或网络连接等活动而不是由于用户行动(例如,在电子邮件或短信内容中揭示位置)而从移动设备中得出。 |
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
16
第53258.A.012号协议
数据元素 |
说明 |
犯罪史 |
有关个人犯罪历史的信息,例如,背景调查的刑事检查部分。 |
背景调查 |
第三方(非美国电话电报公司)检查包括信用记录、就业历史和驾驶记录。不包括犯罪记录(见犯罪记录)。 |
种族或民族起源 受非美国司法管辖* |
指定和/或确认个人种族或族裔出身的数据。 |
工会会员 受非美国司法管辖* |
指定和/或确认个人是工会成员的数据。 |
与个人的政治从属关系或宗教信仰有关的信息 |
指明和/或确认个人政治派别或宗教或类似信仰的数据。 |
与个人的性取向相关的信息 受非美国司法管辖* |
指定和/或确认个人性生活或性取向的数据。 |
数据元素 |
说明 |
美国受保护健康信息(PHI) |
包括:
1.
美国电话电报的团体医疗保健计划中使用的或属于美国电话电报客户的、可识别个人身份的或有合理依据认为可用于识别个人身份的任何美国健康信息,其中包含以下信息:
•
个人过去、现在或将来的身心健康或状况;
•
向个人提供保健服务;
——或者——
•
向个人提供医疗保健的过去、现在或将来的支付。
|
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
17
第53258.A.012号协议
|
2.
美国电话电报用于团体健康计划以外目的的退休人员、雇员或雇员受益人的健康信息不属于PHI。有关与美国电话电报的团体健康护理计划无关的医疗健康信息,请参阅“医疗健康信息”。
|
医疗卫生信息 |
任何有关身体或心理健康状况或残疾的信息。包括:
1.
病历号
2.
健康计划受益人数
3.
医疗器械标识符和序列号
4.
处方(RX)号
5.
健康保险身份或账号
6.
医疗–有关患者的管理和护理或与疾病或紊乱作斗争的信息。
7.
医学诊断
8.
病史
9.
医疗支付信息
10.
医疗索赔数据
11.
医学图像和元数据
12.
所使用的药物、疗法或医疗产品或设备
13.
家庭健康或病史-个人家庭成员经历的所有医疗事件和问题的叙述
14.
其他医疗卫生信息
|
遗传信息 |
包括:有关个人基因检测的信息。 不包括:全DNA(见生物特征数据)。 |
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
18
第53258.A.012号协议
数据元素 |
说明 |
客户网页浏览和搜索历史 |
包括:
1.
有关美国电话电报客户执行哪些搜索的信息
2.
网站美国电话电报客户访问
3.
网页美国电话电报客户查看
4.
美国电话电报客户在美国电话电报网络上使用的应用程序(包括Wi-Fi的有线和无线)
不包括:
1.
搜索、浏览以及与客户使用官方美国电话电报公司网站相关的活动(例如,直接解析到或重定向到,*ATT.com,*cricketwireless.com)。
注意:排除此行并不排除在另一个数据元素(例如,客户查看历史)中进行潜在的预分类。
2.
处理前在网络级别捕获的历史记录(例如,未与客户关联的原始数据流)。
|
客户查看历史 |
有关观看或录制的节目、使用的游戏和应用程序等信息。 |
客户Web通信有效载荷-美国电话电报使用 |
当作为服务分析的一部分捕获时,例如,深度数据包检查(DPI)数据。 |
*脚注:
如果数据元素具有与其相关的“受非美国管辖”的术语,则该数据元素在应用于受非美国管辖的数据元素时应归类为美国电话电报专有(SPI),无论该数据是否在美国境内外创建、处理、处理、销毁或消毒。
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
19
第53258.A.012号协议
5.0.表2-美国电话电报 SCD数据要素
下表中的数据元素在完整使用时必须被视为SCD,除非另有明确说明。这适用于所有数据格式,包括扫描图像、屏幕捕捉和记录、PDF、JPG和任何其他统一通信,以及协作工具/内容。
数据元素 |
说明 |
客户“消息传递”内容 |
包括:电子邮件、短信、电话会议录音、语音邮件通话录音。 不包括:客户与美国电话电报公司之间的“消息传递”。 |
客户遥测数据 客户使用 |
用于客户监控的自动化通信(而不是美国电话电报)。包括由美国电话电报的客户使用数字生活所产生的所有数据®服务或客户用来监控或控制服务的任何其他物联网(IOT)服务。例如,视频文件。 |
表3.24.g
|
美国电话电报授权提供服务的国家(如果服务涉及信息技术相关工作,或者如果授权提供“虚拟”或“在家工作”地址,则还需要提供实际位置地址) |
将为美国电话电报提供服务的城市 |
须在批准的实体地点提供的服务 |
供应商/供应商关联公司名称,和/或提供服务的分包商 |
[***] |
[***] |
[***] |
开发、测试、运营支持 |
Amdocs |
[***] |
[***] |
[***] |
开发、测试、运营支持 |
Amdocs |
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
20
第53258.A.012号协议
|
美国电话电报授权提供服务的国家(如果服务涉及信息技术相关工作,或者如果授权提供“虚拟”或“在家工作”地址,则还需要提供实际位置地址) |
将为美国电话电报提供服务的城市 |
须在批准的实体地点提供的服务 |
供应商/供应商关联公司名称,和/或提供服务的分包商 |
[***] |
[***] |
[***] |
开发、测试、运营支持 |
Amdocs |
[***] |
[***] |
[***] |
开发、测试、运营支持 |
Amdocs |
[***] |
[***] |
[***] |
开发、测试、运营支持 |
Amdocs |
[***] |
[***] |
[***] |
开发、测试、运营支持 |
Amdocs |
[***] |
[***] |
[***] |
开发、测试、运营支持 |
Amdocs |
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
21
第53258.A.012号协议
|
美国电话电报授权提供服务的国家(如果服务涉及信息技术相关工作,或者如果授权提供“虚拟”或“在家工作”地址,则还需要提供实际位置地址) |
将为美国电话电报提供服务的城市 |
须在批准的实体地点提供的服务 |
供应商/供应商关联公司名称,和/或提供服务的分包商 |
[***] |
[***] |
[***] |
监测&警报、安全与合规支持、基础设施与稳定支持、方案状态&治理、开发、测试、运营支持 |
Amdocs |
[***] |
[***] |
[***] |
解决方案设计创建:流程描述、API描述、部署图、开发、测试、运营支持 |
Amdocs |
通过传真或扫描文件的其他电子传输(例如.pdf或类似格式)传送和接收的原始签名,对于本协议项下的所有目的而言,均为真实有效的签名,并应在与原始签名相同的程度上对当事人具有约束力。本修正案可由多个对应方执行,每一方视为一份正本,但全部加在一起仅构成一份文件。
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
22
第53258.A.012号协议
作为证据,双方已促使对第53258.C号协议的这一修正被执行,截至最后一方签署之日。
Amdocs发展有限公司 |
|
美国电话电报服务公司。 |
||||
|
|
|
|
|
|
|
签名: |
|
|
|
签名: |
|
|
|
|
|
|
|
|
|
姓名: |
|
|
|
姓名: |
|
史蒂夫·韦德 |
|
|
|
|
|
|
|
职位: |
|
|
|
职位: |
|
主要技术采购管理 |
|
|
|
|
|
|
|
日期: |
|
|
|
日期: |
|
3/28/2024 |
专有和机密
本协议及其中包含的信息不得在美国电话电报、其关联公司、第三方代表和供应商之外使用或披露,除非缔约方达成书面协议。
23