1.1.信息安全计划。 Koidra 应维护全面的书面信息安全计划，包括 政策, 标准, 程序，以及管理处理和安全的相关文件 Customer Data 以及用于处理或保护与提供 SaaS 相关的客户数据的 Koidra 系统（“科伊德拉信息系统”）。 Koidra 根据协议聘用的分包商将（至少）保持与这些安全实践适用和要求的基本相似的安全级别。

1.2.安全控制。 根据其信息安全计划，Koidra 应实施适当的物理、组织和技术控制，旨在：(a) 确保 Koidra 访问、收集、使用、存储或传输给 Koidra 或由 Koidra 访问、收集、使用、存储或传输的客户数据的安全性、完整性和机密性; (b) 保护客户数据免受已知或合理预期的安全性、完整性、意外丢失、更改、披露和其他非法处理形式的威胁或危害。

Koidra 将维护（或者对于其分包商控制的系统，确保此类分包商维护）灾难恢复（“DR”) 旨在在灾难发生后恢复订阅服务可用性的计划。此类灾难恢复计划至少应包括以下要素： (a) 对程序进行例行验证，定期以编程方式创建客户数据的保留副本，以恢复丢失或损坏的数据； (b) 至少每年更新一次的清单，列出所有关键 Koidra 信息系统； (c) 灾难恢复计划的年度审查和更新； (d) 灾难恢复计划的年度测试，旨在验证其中详细说明的灾难恢复程序和服务的可恢复性。

3.1.程序。 如果 Koidra 发现已确认未经授权或非法访问 Koidra 信息系统处理的任何客户数据（“安全事件”），Koidra 将立即： (a) 将安全事件通知客户； (b) 采取合理措施减轻影响并尽量减少安全事件造成的任何损害。

3.2.不成功的尝试。 不成功的攻击或入侵不属于本第 3 条规定的安全事件。“不成功的攻击或入侵”是指不会导致未经授权或非法访问客户数据的攻击或入侵，并且可能包括但不限于 ping 和其他广播攻击防火墙或边缘服务器、端口扫描、登录尝试失败、拒绝服务攻击、数据包嗅探（或对流量数据进行其他未经授权的访问，但不会导致访问超出 IP 地址或 TCP/UDP 标头）或类似事件。

3.3.用户参与。 由于用户登录凭据被泄露或用户有意或无意泄露客户数据而导致对客户数据的未经授权或非法访问不属于安全事件。

3.4.通知。 安全事件通知（如有）将通过 Koidra 选择的任何合理方式（包括电子邮件）发送给一名或多名客户的系统管理员用户。客户全权负责始终维护在线服务中准确的联系信息。

3.5.免责声明。 Koidra 根据本第 3 节报告或响应安全事件的义务并不表示 Koidra 承认 Koidra 与安全事件有关的任何过错或责任。

最近更新：5月25，2021