Cyber Security and Data Protection

English
Bahasa

In this Schedule the following expressions shall, unless the context otherwise requires, have the meanings assigned to them below:

“ADL” means Axiata Digital Labs (Private) Limited, Axiata Digital Labs Sdn Bhd (Formerly known as Axiata Management Services Sdn Bhd) and PT Axiata Digital Labs Indonesia as applicable;

“ADL Data” includes, but is not limited to, the data, text, drawings, diagrams, plans, statistics or images (together with any database made up of any of these) which are embodied in any electronic, magnetic, electromagnetic, optical, tangible or other media,:

(a) which are supplied to the Company by or on behalf of ADL; or

(b) which the Company accesses, processes, stores, transmits or replicates using or on the Company’s systems or equipment pursuant to the Agreement; or

including any Personal Data which ADL controls the Processing of, or which comes into the knowledge, possession or control of the Company pursuant to the Agreement;

For the sake of clarity, ADL Data includes Confidential Information as defined in the Agreement and Personal Data as defined in this Schedule.

“ADL Systems” means the hardware (including computer hardware), software and telecommunications or information technology equipment, systems and networks used or owned by ADL or licensed to ADL by a third party;

“Affiliate” means in relation to a party any entity which, directly or indirectly, controls or is controlled by, or is under common control with, that party, where control is the possession, directly or indirectly, of (a) alone or pursuant to an agreement with other members, a majority of the voting rights in it, (b) the power to direct or cause the direction of the management or operating policies of the entity through the exercise of voting rights, contract, trust or otherwise, or (c) a right to appoint or remove the majority of the directors of the entity, and “Affiliates” means any of them;

“Best Industry Practice” means, in relation to any undertaking and any circumstances, the exercise of the degree of skill, care, diligence, prudence, foresight and judgement which could reasonably be expected from highly skilled, experienced persons, entities and world leading suppliers and contractors engaged in comparable types of undertaking under similar circumstances, applying equivalent or better standards currently applied in the industry relevant to the Professional Services and any other products, works and services that may become available to ensure, without limitation, the objectives and obligations identified in the Agreement are achieved and performed that include best practices and value in respect of price, performance and time to market;

“The Company” shall mean those parties that provide Professional Services to ADL and shall also be referred to as the vendors contractor/s and/or service provider/s.

“Cyber Security and Data Protection” means this Schedule and any amendments effected by ADL from time to time.

“Data Subject” means an individual who is the subject of the Personal Data;

“Deliverables” means the items set out in the Agreement identified as the scope of work and shall include any amendments and modifications as requested by ADL from time to time and shall include anything compiled, written, provided, created and developed by the Company in relation to the Professional Services, including but not limited to materials, studies, methodologies, models or general industry perspective and practices, plans, drawings, diagrams, statistics and reports;

“Malware” means anything, software or device which may impair or otherwise adversely affect the operation of any computer or system, prevent or hinder access to any program or data (whether by rearranging within the computer or any storage medium or device, altering or erasing, the program or data in whole or in part, or otherwise), gain unauthorised access to any program, equipment, system or data or collect data or surveillance without authorisation, including worms, Trojan horses, computer viruses, ransomware, spyware or similar things;

“Party” means a party to the Agreement and “Parties” means the parties to the Agreement;

“Personal Data” means personal data, personal information or data relating to individuals;

“Personnel” means in relation to a party, the employees, directors, officers, agents, advisers, contractors and subcontractors of that party or of its Affiliates or associates, and the employees, directors and personnel of any such agents, advisers, contractors and subcontractors. The Company’s Personnel shall, in addition to the foregoing, include Sub-Processors;

“Process” or “Processing” means collecting, recording, holding or storing Personal Data or carrying out any operation or set of operations on Personal Data, including:

(a) the organization, adaptation or alteration of Personal Data;

(b) the retrieval, consultation or use of Personal Data;

(d) the alignment, combination, correction, erasure or destruction of Personal Data;

“Professional Services” means the services to be provided by the Company to ADL which includes the Deliverables as more particularly set out in the Agreement.

“Sub-Processor” means any party appointed by, or on behalf of, the Company to Process Personal Data of ADL in connection with the Agreement.

3.1 In this Schedule, unless the context otherwise requires:

a. words denoting the singular number include the plural and vice-versa;

b. words denoting a gender include every gender;

c. words denoting natural persons include bodies corporate and unincorporated;

d. reference to a clause, annexure or schedule is a reference to a clause, annexure or schedule to this Schedule;

e. references to any legislation or law or to any provision of legislation or law shall include any modification or re-enactment of that legislation or law or any legislative provision substituted for such provision of legislation or law and all regulations and statutory instruments issued under such legislation or law;

f. the table of contents, headings and bolding are inserted for convenience only and shall not affect the construction or interpretation of this Schedule;

g. the Recitals and schedules hereto and any documents herein referred to shall be taken, read and construed as an essential and integral part of this Schedule; and

h. all references to time are either Sri Lanka time, Indonesia time or Malaysia time as applicable.

3.2 A rule of construction does not apply to the disadvantage of a Party because the Party was responsible for the preparation of this Schedule or any part of it.

1. In supplying the Deliverables and performing the Professional Services, and in carrying out the other tasks allocated to it in the Agreement, the Company shall in accordance with Best Industry Practice:

(a) take all necessary steps to ensure that all ADL Data are protected at all times from accidental, unauthorised or unlawful access, Processing, use or transfer, or loss, misuse, damage, destruction, corruption, or alteration and this includes the following:

(i) have the necessary protective policies, processes, technical and organisations measures and controls for ADL Data;

(ii) if the Company does not have the necessary protective policies, processes, technical and organisations measures and controls for ADL Data or when the Company’s Personnel is in any member of Axiata Group’s premises, the Company shall comply with the relevant member of Axiata Group’s data privacy, information technology, security, access and usage policies, procedures and directions set out in the Agreement or notified to it from time to time;

(iii) take all necessary steps to prevent any Malware being introduced into any software or onto any of the ADL Systems or any other systems and/or networks used by the Company to access, Process, store, transmit or generate ADL Data or supply the Professional Services to ADL;

(iv) ensure that there is no unauthorised access to any of the ADL Data or ADL Systems without the prior written consent of ADL and/or by any unauthorised third party; and

(v) ensure that there is no unauthorised disclosure of passwords, authentication tokens or credentials supplied by ADL to access the ADL Systems and in the event of an unauthorised disclosure, to remove such access immediately, and revoke or remove such access immediately upon any personnel of the Company no longer having the need to know or leaving the Company; and

(vi) ensure that access to ADL Data shall be solely for the purpose of performing the Agreement.

(b) notify ADL of any breach of Paragraphs 1(a)(i)-(vi) of this Schedule above, without undue delay, within 24 hours.

2. If the Company becomes aware of any actual or suspected:

(a) action taken through the use of computer networks that attempts to access the Company’s information system or ADL Data residing on that system or that results in any actual or potential adverse effect on the Company’s information system or ADL Data residing on that system;

(b) any other unauthorised access or use by a third party or misuse, damage or destruction of any related ADL Data by any person;

(d) an occurrence that actually or potentially jeopardizes the confidentiality, integrity, or availability of an information system or the information the system processes, stores, or transmits or that constitutes a violation or imminent threat of violation of security policies, security procedures or acceptable use policies,

(Respectively or collectively shall be referred to as a “Security Incident”)

the Company shall notify ADL in writing immediately (and no longer than 24 hours after becoming aware of the Security Incident) and to provide the necessary assistance to ADL in relation to the said Security Incident and this includes the following:

(i) to provide full details of the Security Incident and keep ADL updated at all times thereafter in relation to the Security Incident.

(ii) to assist in the any investigations, mitigation and remediation Security Incident and in meeting any obligations to report the Security Incident to the relevant authorities.

(iii) where applicable, assist ADL to handle and comply with their respective obligations in complying with Data Subjects’ rights.

(iv) to provide the relevant evidence (including digital forensic evidence) about how, when and by whom the Company’s information system or the ADL Data has or may have been compromised; and to preserve and protecting the relevant evidence herein for a period of at least 12 months.

(v) to implement any mitigation strategies to contain and reduce the impact of the Security Incident or the likelihood or impact of any future similar event, incident, or breach.

2A. In the event of a Security Incident, without limiting any other provisions herein, ADL may investigate or engage a third party to conduct a forensic investigation and to identify the root cause of such Security Incident. Where an investigation is requested by ADL, the Company will immediately provide to ADL or the relevant third party such information and access as may be relevant to the Security Incident, including information on and access to:

(a) audit trails related to the Security Incident, whether access is required on or to the Company’s premises, the Company’s sub-contractors’ (if any) premises, the Company’s Sub-Processor’s (if any) premises, or otherwise.

(b) employment (including background checks) and training records.

(d) files, records, tapes, or recordings in the control of the Company.

2B. If it is proven that the Security Incident is caused by the Company through its acts or omissions, the Company shall bear the costs of forensic investigation conducted by the third-party investigator.

2C. The Company shall:

(a) notify ADL by telephone and in writing (by email) immediately upon becoming aware of any:

(i) Security Incident; and

(ii) technical difficulties that may compromise any ADL System or the Company’s ability to safeguard ADL Data and Confidential Information.

(b) A notice pursuant to Paragraph 2C(a) of this Schedule above shall be sent to the contact details shared.

(c) Subsequent to the notification as per Paragraphs 2C(a) and (b) of this Schedule above, the Company shall ensure that the final remediation time relating to a Security Incident shall be in accordance with the following timelines:

	*External		*Internal		*External/ Internal
Information Security Incident Severity	P1	P2	P1	P2	P3	P3
Containment (from first notification or remediation by ADL or the Supplier, whichever is earliest)	4 hours	48 hours	4 hours	48 hours	21 days	21 days
Complete remediation time (from first notification or remediation by ADL or the Supplier, whichever is earliest)	48 hours if no software patch is required or with hardware component replacement	15 days if no software patch is required or with hardware component replacement	48 hours if no software patch is required or with hardware component replacement	15 days if no software patch is required or with hardware component replacement	30 days if no software patch is required or hardware with component replacement	30 days if no software patch is required or with hardware component replacement
	15 days	30 days	15 days	30 days	60 days	60 days

Containment is achieved when the vulnerability is arrested from progressing further. This needs to be done with minimal or no impact on other services.
Complete Remediation (No Software Patch) – is the activity of permanently fixing the vulnerability through non-software related updates (eg: configuration changes, or changes made to other systems).
Complete Remediation (Software Patch) – is the activity of permanently fixing the vulnerability through a software update or upgrade.

*“External” refers to computing systems and applications which are on the internet or outside the protected network of the relevant Customer. “Internal” covers similar assets inside the relevant Customer’s protected network.

(d) Definition of the priorities are set out in Paragraph 19 of this Schedule.

5. The Company shall:

(a) at all times comply with the Malaysian Personal Data Protection Act 2010 / Personal Data Protection Act, No. 9 of 2022 of Sri Lanka / Indonesia’s Personal Data Protection Act No. 27 of 2022 (as the case maybe) and legislation in other jurisdictions (collectively “Personal Data Laws”) in respect of the Processing, of Personal Data of ADL, including but not limited to Personal Data of the customers or employees of ADL;

(b) not do or omit to do anything that would cause ADL to contravene, or that would result in ADL contravening, any Personal Data Laws;

(c) only Process Personal Data of ADL for the sole purpose of performing the Professional Services and in accordance with the Agreement. The Company shall immediately notify ADL if the data Processing instruction infringes the applicable Personal Data Laws;

(d) not transfer, access or remotely access Personal Data of ADL without the prior written consent of ADL. The Company shall ensure that any transfer of, or remote access to, Personal Data of ADL does not contravene any provisions of the Agreement or any applicable Personal Data Laws and that the transfer of such Personal Data shall be encrypted over public and wireless network;

(e) not engage a Sub-Processor to Process any Personal Data of ADL or change any Sub-Processor without the prior written consent of ADL. Where the Company engages any such Sub-Processor, the Company shall ensure that the Sub-Processor adheres to the same obligations as the Company’s obligations with respect to ADL Data and Confidential Information in the Agreement. The Company shall be responsible for verifying the Sub-Processor’s compliance and responsible to ADL for any non-compliance by any Sub-Processor with the aforesaid obligations or any applicable laws;

(f) ensure that if the Company or its Sub-Processor (where applicable) receives a complaint or any request (including any request for access to Personal Data) from any Data Subject or his/her agents, or from any authority, the Company must, without undue delay, inform ADL of the complaint or request. Upon request by ADL, the Company shall, without undue delay, supply the information to ADL to enable them to respond to such complaint or request. The Company shall not respond to these complaints or requests unless instructed in writing by ADL;

(g) establish and maintain a record of Personal Data Processing activities in electronic form and shall furnish a copy of the up-to-date record to ADL upon request. Such record shall, at the minimum, contain the following information:

(i) types/categories of Personal Data Processed;

(ii) transfer details, including countries transferred to and the safeguards for the transfer;

(iii) information of the Sub-Processor and details of the Processing activity;

(iv) specific data security requirements;

(v) information of the Company and its Data Protection Officer or appointed officer responsible for the Processing of Personal Data; and

(vi) technical and organizational security measures employed by the Company to safeguard Personal Data.

(h) provide reasonable assistance to ADL with any data protection impact assessment and consultation with supervisory authority, when required by ADL; and

(i) assist ADL in any investigations, mitigation and remediation related to Personal Data Processed and in meeting any obligations to report any breach, outcome of investigations and any queries related to the Professional Services to the relevant authorities.

(j) In respect of Personal Data:

(i) in the event of any conflict or inconsistency between this Paragraph of Schedule and any other provisions in the Agreement, the former shall prevail to the extent of the conflict or inconsistency.

(ii) if compliance with any mandatory Personal Data Laws will result in any conflict with any provisions in the Agreement, the Company shall comply with such mandatory Personal Data Laws to the extent of the conflict; and

(iii) in the event of any conflict or inconsistency between any provisions in this Schedule and any provisions in the Agreement the former shall prevail to the extent of the conflict or inconsistency.

6. ADL may conduct or require a third party nominated by them to conduct, a security audit to verify Company’s compliance with this Schedule. In this regard, ADL will provide at least ten (10) days’ written notice of any such audit, which audit shall be conducted during the Company’s normal business hours (to the extent conducted in the Company’s premises, the Company’s subcontractor’s (if any) premises or the Company’s Sub-Processor’s (if any) premises) other than where ADL considers (in its sole discretion) that there exists a potential security risk that could have significant adverse impact on ADL‘s business. During this audit / inspection if required, access would be provided to:

(a) Company’s premises; the sub-contractors’ (if any) premises; and the Sub-Processor’ (if any) premises;

(b) the service related books, records, correspondence, accounts, and non-confidential supporting documentation such as Company’s most current information security statement, to protect the ADL Data and Confidential Information at any time and from time to time during the Term, including if directed by the data protection authority or if necessary due to any accidental, unauthorised or unlawful access to, processing or Processing, use or transfer of, or loss, misuse, damage or destruction of, any ADL Data; and

(c) the Company’s digital forensic evidence and other documents used to determine the root cause of the breach, the investigative procedures that were followed, and any remedial actions to be taken to digital forensic evidence of the Agreement and privacy or data protection laws.

6A In addition to ADL’s audit rights under Paragraphs 6 of this Schedule, ADL may require routine audits covering issues relating to IT security, physical security, business and service continuity or a combination thereof. There shall not be more than two (2) such routine audits in each twelve (12) months of the Term (the first twelve (12) months commencing from the Commencement Date).

7. Where the Agreement is terminated:

(a) the Company shall permanently destroy, or return to ADL, all Confidential Information or deal with the same in the manner instructed by ADL, within the earlier of the time period required under law (if any) and fourteen (14) days after the termination or expiry of the Agreement (“Execution Date”), and shall provide a written confirmation to this effect to ADL within seven (7) days of the Execution Date;

(b) the Company shall, at no cost and expense to ADL, make available Personnel and take immediate steps to assist ADL to ensure a smooth transition if a third party has been appointed to replace the Company in the performance of its obligations under the Agreement. The Company shall support ADL with any transfer of Personal Data to a third party if required by them;

(c) the Company shall take immediate steps to cease the Professional Services in a prompt and orderly manner, discontinue from making commitments and shall proceed to cancel all existing orders and terminate all works under the Agreement as promptly as is practicable and hand over all Deliverables and other related materials to ADL; and

(d) ADL shall not be liable to the Company by virtue of early termination of the Agreement including but not limited to any claim for loss of profits and revenue or prospective profits.

The termination or expiry of the Agreement shall not prejudice the rights of ADL to sue for damages or to obtain any other relief in respect of any antecedent breach of the terms of this Cyber Security and Data Protection Schedule prior to such termination or expiry.

10. The Company shall ensure that all devices, applications and database under the scope of the Agreement have been security hardened in accordance with the respective minimum baseline security standards (“MBSS”) provided or to be provided by ADL. Where such hardening commands are not obvious, the Company shall provide written methods and procedures on how to validate the compliance to the standard.

11. If either the Company or ADL:

(a) discovers any Malware or unauthorised code; or

(b) identifies any unauthorised code that has been invoked or activated,

in any ADL Systems, where the Malware or unauthorised code was introduced by any Personnel of the Company (“At-Risk Software”), that Party will immediately notify the other Party and provide all information reasonably requested by the other Party in relation to the At-Risk Software (including, its functionality, origin, and criticality). Such notifications shall be via telephone or email, addressed to the contact details shared by each party.

12. The Company shall:

(a) at the Company’s cost, promptly take all steps necessary to eliminate, quarantine or minimise the risk in relation to the At-Risk Software and prevent its introduction or re-introduction to any ADL Systems.

(b) provide all reasonable assistance to ADL to minimise the effects of, or risks posed by, the At-Risk Software.

13. If the presence of the At-Risk Software results:

(a) in a loss of data (including ADL Data); or

(b) has a negative impact on the operation of the affected ADL Systems,

and the Company knowingly or unknowingly caused such At-Risk Software to be introduced into the relevant system, then the Company shall at the Company’s cost:

(i) mitigate the loss of data;

(ii) promptly restore the data (so far as the same is capable of restoration); and

(iii) ensure the operation of the affected system is promptly remedied.

14. In the event that ADL conducts any data protection impact assessment, the Company shall provide reasonable assistance to ADL. Such assistance may, at the discretion of ADL, include:

(a) a systematic description of the envisaged processing and Processing (respectively) operations and the purpose of the processing and Processing;

(b) an assessment of the necessity and proportionality of the processing and Processing (respectively) operations in relation to the Professional Services;

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of Personal Data.

15. The Company is responsible for all data migration activities (if any are agreed by the Parties) associated with ADL Data and Confidential Information and shall ensure that no ADL Data or Confidential Information is lost or corrupted as a result of any data migration.

16. Without limiting Paragraph 15 of this Schedule, the Company shall:

(a) retain secured back-up copies of all ADL Data and Confidential Information being migrated until the successful completion of the process; and

(b) ensure that in the event of any data migration failure or problem, ADL is able to utilise the ADL Data and Confidential Information within the ADL Systems to store, process and Process the ADL Data and Confidential Information so that ADL’s business operations are not affected.

17. In the event of any breach by the Company of Paragraph 15 or 16 of this Schedule which adversely impacts on ADL’s business operations in any way, and without limiting any of ADL’s rights and remedies under the Agreement or applicable law, the Company shall, at no additional cost to ADL, immediately work with ADL to identify any possible workarounds to the cause of the adverse impact, and provide resources (where necessary) to implement workarounds approved by ADL in writing.

18. The Company shall:

(a) apply a secure Software Development Lifecycle (SDLC) methodology within its product development process that includes design reviews, source code audit on the developed material, and penetration tests on a regular basis;

(b) enable ADL to audit the SDLC and patch level on a regular basis or, with prior written agreement of ADL, provide vulnerability assessment reports issued by reputable international agencies to ADL to prove that the Company’s security controls are effective;

(c) maintain and support the software (including updates, upgrades of the software and third-party software) that it uses or provides to ADL in connection with the Professional Services such that, and to provide verifiable assurance that, the software is, and remains, secure from known vulnerabilities. This includes, but is not limited to, the following measures:

(i) providing up-to-date updates and upgrades; and

(ii) regularly and in a timely manner test and install all available security patches for the operating system, libraries, middleware components, and installed applications.

(d) ensure that the verifiable assurance provided under Paragraph 18 (c) of this Schedule should include the attestations from security audits and certifications like SOC-2 and 3, SSAE-18 and ISO27001.

Vulnerability Category	Internal nodes & services	Public Internet facing nodes & services
CVSS* 9-10 (Critical)	Implement effective Containment Measures (as defined below) within 72 hours Implement permanent solution within 4 weeks
CVSS 7-8 (High)	Remediate vulnerability within 3 months after public disclosure of the vulnerability or notification by ADL (whichever is earlier)	Implement effective Containment Measures within 2 weeks Remediate the vulnerability within 6 weeks after public disclosure of the same or notification by ADL (whichever is earlier)
CVSS <7 (Medium & Low)	Remediate vulnerability within 4 months after disclosing or discovering of that vulnerability by ADL or any industry community or global researchers.

*as defined below.

Vulnerabilities found through vulnerability assessment scans must be remediated following the Security Vulnerability Remediation SLA provided above based on their respective vulnerability score.

Applicability of the above-mentioned Security Vulnerability Remediation SLA:

The above Security Vulnerability Remediation SLA will be applied for any systems or software delivered and/or maintained by the Company to ADL (“Customer”). Any changes to the said Security Vulnerability Remediation SLA shall be mutually agreed by the Company and Customer.

“Containment Measures” are compensating controls or adjustments in processes, configuration or changing one or more parameters, recommended by ADL and/or the relevant Customer or reputed industry researchers to reduce the severity and associated risks to an acceptable level. However, permanent solution shall be considered after implementing and testing of relevant patches and/or fixes recommended by ADL and/or the relevant Customer or industry researchers or experts.

Common Vulnerability Scoring System (“CVSS”) is an open framework for communicating the characteristics and severity of software vulnerabilities. CVSS consists of three metric groups: Base, Temporal, and Environmental. ADL’s current severity classifications are 0.1-3.9 = Low, 4.0-6.9 = Medium, 7.0-8.9 = High and 9.0 – 10.0 = Critical.

The service level requirements for information security incidents identified by penetration testing and other assessments/tests will be as follows:

Use reference from FIRST: https://www.first.org/cvss/v3.1/specification-document

	*External		*Internal		*External/ Internal
Information Security Incident Severity	P1	P2	P1	P2	P1	P2
Containment (from first notification or remediation by ADL or the Supplier, whichever is earliest)	4 hours	48 hours	4 hours	48 hours	21 days	21 days
Complete remediation time (from first notification or remediation by ADL or the Supplier, whichever is earliest)	48 hours if no software patch is required or with hardware component replacement	15 days if no software patch is required or with hardware component replacement	48 hours if no software patch is required or with hardware component replacement	15 days if no software patch is required or with hardware component replacement	30 days if no software patch is required or hardware with component replacement	30 days if no software patch is required or with hardware component replacement
	15 days if a software patch is necessary	60 days if a software patch is necessary	15 days if a software patch is necessary	60 days if a software patch is necessary	120 days a software patch is necessary	120 days a software patch is necessary

Table 1: Security Incident Remediation Schedule

* Priority and External / Internal scope is defined below

Containment is achieved when the vulnerability is arrested from progressing further. This needs to be done with minimal or no impact on other services.
Complete Remediation (No Software Patch) – is the activity of permanently fixing the vulnerability through non-software related updates (eg: configuration changes, or changes made to other systems)
Complete Remediation (Software Patch) – is the activity of permanently fixing the vulnerability through a software update or upgrade.

Priority	Impact Description
P1 (Severity – Critical/Emergency)	A fault or vulnerability with a severe effect on the relevant Customer’s business operations or end- user services, including but not limited to capacity or traffic, billing and maintenance capabilities which have the effect of reducing such capabilities by more than 25%. Scenario Examples: Total revenue loss Total system outage Partial outage affecting a minimum of 25% of the network active subscribers Aggregated traffic capacity reduction minimum by 25% Loss of management capability by more of the 25% of the total network elements
P2 (Severity –Major)	Severe problem, vulnerability or disturbance affecting a specific area of functionality, but not the whole system, or serious disturbances with an impact on end- user services. Scenario Examples: Errors in procedures where service risks are involved Failures in the ability to add, delete or reconfigure any network element A disturbance degrading performance of the system and/or parts of the system with minor impact to the system Total outage of a non-major network element Failures with tools and supporting systems that have no impact on network monitoring and network performance Reduction in traffic measurement function Root Cause Analysis (“RCA”) report delivery
P3 (Severity – Minor)	General consultation and minor problems that have a minor effect on the functionality of the product. Minor events are problems that are not viewed as critical or major. Minor events neither significantly impair the functioning of the system nor significantly affect service to end-users. These events are tolerable during system use. A minor event on the device may have impact on one or limited number of users.

Table 2: Incident Priority Classification

Dalam Lampiran ini, ungkapan-ungkapan berikut, kecuali jika konteksnya menentukan lain, mempunyai arti sebagaimana ditetapkan di bawah ini:

“ADL” berarti Axiata Digital Labs (Private) Limited, Axiata Digital Labs Sdn Bhd (Sebelumnya dikenal sebagai Axiata Management Services Sdn Bhd) dan PT Axiata Digital Labs Indonesia sebagaimana yang berlaku;

“Data ADL” termasuk, tetapi tidak terbatas pada, data, teks, gambar, diagram, rencana, statistik, atau gambar (bersama dengan basis data apa pun yang terdiri dari semua hal tersebut) yang diwujudkan dalam perangkat elektronik, magnetik, elektromagnetik, optik, berwujud atau media lainnya:

(a) yang dipasok ke Perusahaan oleh atau atas nama ADL; atau

(b) yang diakses, diproses, disimpan, ditransmisikan, atau direplikasi oleh Perusahaan menggunakan atau pada sistem atau peralatan Perusahaan sesuai dengan Perjanjian; atau

termasuk Data Pribadi apa pun yang Pemrosesannya dikendalikan ADL, atau yang diketahui, dimiliki, atau dikendalikan oleh Perusahaan sesuai dengan Perjanjian;

Demi kejelasan, Data ADL mencakup Informasi Rahasia sebagaimana didefinisikan dalam Perjanjian dan Data Pribadi sebagaimana dijelaskan dalam Lampiran ini.

“Sistem ADL” berarti perangkat keras (termasuk perangkat keras komputer), perangkat lunak dan peralatan telekomunikasi atau teknologi informasi, sistem dan jaringan yang digunakan atau dimiliki oleh ADL atau dilisensikan kepada ADL oleh pihak ketiga;

“Afiliasi” berarti sehubungan dengan suatu pihak, setiap entitas yang, secara langsung atau tidak langsung, mengendalikan atau dikendalikan oleh, atau berada di bawah kendali bersama dengan, pihak tersebut, di mana kendali adalah kepemilikan, secara langsung atau tidak langsung, dari (a) sendiri atau berdasarkan perjanjian dengan anggota lain, hak suara mayoritas di dalamnya, (b) kekuasaan untuk mengarahkan atau menyebabkan arah manajemen atau kebijakan operasi entitas melalui pelaksanaan hak suara, kontrak, kepercayaan atau lainnya, atau (c) hak untuk menunjuk atau memberhentikan mayoritas direktur entitas, dan “Afiliasi” berarti salah satu dari mereka;

“Praktek Industri Terbaik” berarti, dalam kaitannya dengan tanggungjawab dan kondisi apa pun, penerapan tingkat keterampilan, kepedulian, ketekunan, kehati-hatian, pandangan jauh ke depan, dan penilaian yang dapat diharapkan secara wajar dari orang-orang yang sangat terampil, berpengalaman, entitas, dan pemasok terkemuka dunia dan kontraktor yang terlibat dalam jenis usaha yang sebanding dalam kondisi yang serupa, standar yang setara atau lebih baik yang saat ini diterapkan di industri yang relevan dengan Layanan Profesional dan produk, pekerjaan, dan layanan lainnya yang mungkin tersedia untuk memastikan, tanpa batasan, tujuan dan kewajiban yang diidentifikasi dalam Perjanjian dicapai dan dilaksanakan yang mencakup praktik dan nilai terbaik dalam hal harga, kinerja, dan waktu untuk memasarkan;

“Perusahaan” berarti pihak-pihak yang memberikan Layanan Profesional kepada ADL dan juga disebut sebagai kontraktor vendor dan/atau penyedia layanan.

“Keamanan Siber dan Perlindungan Data” berarti Lampiran ini dan setiap amandemen yang dilakukan oleh ADL dari waktu ke waktu.

“Subjek Data” berarti individu yang menjadi subjek Data Pribadi;

“Hasil Kerja” berarti hal-hal yang ditetapkan dalam Perjanjian yang diidentifikasi sebagai ruang lingkup pekerjaan dan akan mencakup setiap amandemen dan modifikasi sebagaimana diminta oleh ADL dari waktu ke waktu dan akan mencakup segala sesuatu yang disusun, ditulis, disediakan, dibuat, dan dikembangkan oleh Perusahaan sehubungan dengan Layanan Profesional, termasuk tetapi tidak terbatas pada materi, studi, metodologi, model atau perspektif dan praktik industri umum, rencana, gambar, diagram, statistik, dan laporan;

“Malware” berarti segala sesuatu, perangkat lunak atau perangkat yang dapat merusak atau sebaliknya mempengaruhi pengoperasian komputer atau sistem apa pun, mencegah atau menghalangi akses ke program atau data apa pun (baik dengan mengatur ulang di dalam komputer atau media penyimpanan atau perangkat apa pun, mengubah atau menghapus, program atau data seluruhnya atau sebagian, atau sebaliknya), mendapatkan akses tidak sah ke program, peralatan, sistem atau data apa pun atau mengumpulkan data atau pengawasan tanpa izin, termasuk worm, Trojan horse, virus komputer, ransomware, spyware, atau hal serupa;

“Pihak” berarti pihak dalam Perjanjian dan “Para Pihak” berarti para pihak dalam Perjanjian;

“Data Pribadi” berarti data pribadi, informasi pribadi atau data yang berkaitan dengan individu;

“Personil” berarti sehubungan dengan suatu pihak, karyawan, direktur, pejabat, agen, penasihat, kontraktor, dan subkontraktor dari pihak tersebut atau Afiliasi atau rekanannya, dan karyawan, direktur, dan personel dari agen, penasihat, kontraktor, dan subkontraktor. Personil Perusahaan, selain yang disebutkan di atas, termasuk Sub-Prosesssor;

“Proses” atau “Memproses” berarti mengumpulkan, merekam, menahan, atau menyimpan Data Pribadi atau menjalankan setiap operasi atau serangkaian operasi pada Data Pribadi, termasuk:

(a) pengaturan, adaptasi atau pengubahan Data Pribadi;

(b) pengambilan, konsultasi atau penggunaan Data Pribadi;

(d) penyelarasan, kombinasi, koreksi, penghapusan atau penghancuran Data Pribadi;

“Layanan Profesional” berarti layanan yang akan disediakan oleh Perusahaan kepada ADL yang mencakup Hasil Kerja sebagaimana diatur secara lebih khusus dalam Perjanjian.

“Sub-Prosesor” berarti setiap pihak yang ditunjuk oleh, atau atas nama, Perusahaan untuk Memproses Data Pribadi ADL sehubungan dengan Perjanjian.

3.1 Dalam Lampiran ini, kecuali konteksnya mensyaratkan lain:

a. kata-kata yang menunjukkan angka tunggal mencakup jamak dan sebaliknya;

b. kata-kata yang menunjukkan jenis kelamin mencakup setiap jenis kelamin;

c. kata-kata yang menunjukkan orang perseorangan mencakup badan hukum dan bukan badan hukum;

d. referensi ke klausul, tambahan atau Lampiran adalah referensi ke klausul, tambahan atau lampiran dari Lampiran ini;

e. rujukan ke perundang-undangan atau undang-undang apa pun atau ke ketentuan perundang-undangan atau undang-undang apa pun harus mencakup setiap modifikasi atau pemberlakuan kembali perundang-undangan atau undang-undang itu atau ketentuan perundang-undangan apa pun yang menggantikan ketentuan perundang-undangan atau undang-undang tersebut dan semua peraturan dan instrumen undang-undang yang dikeluarkan berdasarkan undang-undang atau perundang-undangan tersebut atau hukum;

f. daftar isi, judul dan huruf tebal disisipkan hanya untuk kenyamanan dan tidak akan mempengaruhi penyusunan atau penafsiran dari Lampiran ini;

g. Resital dan Lampiran di sini dan setiap dokumen yang dirujuk di sini harus diterima, dibaca dan ditafsirkan sebagai bagian penting dan tidak terpisahkan dari Lampiran ini; dan

h. semua referensi waktu adalah waktu Sri Lanka, waktu Indonesia atau waktu Malaysia sebagaimana yang berlaku.

3.2 Aturan penyusunan tidak berlaku untuk kerugian suatu Pihak karena Pihak tersebut bertanggung jawab atas persiapan Lampiran ini atau bagian mana pun darinya.

1. Dalam menyampaikan Hasil Kerja dan melaksanakan Layanan Profesional, dan dalam melaksanakan tugas-tugas lain yang diberikan kepadanya dalam Perjanjian ini, maka Perusahaan harus sesuai dengan Praktik Industri Terbaik:

(a) mengambil semua langkah yang diperlukan untuk memastikan bahwa semua Data ADL dilindungi setiap saat dari akses, Pemrosesan, penggunaan atau transfer yang tidak disengaja, tidak sah atau melanggar hukum, atau kehilangan, penyalahgunaan, kerusakan, perusakan, korupsi, atau pengubahan dan termasuk hal-hal berikut ini:

(i) memiliki kebijakan perlindungan, proses, langkah-langkah teknis dan organisasi yang diperlukan dan kontrol untuk Data ADL;

(ii) jika Perusahaan tidak memiliki kebijakan perlindungan, proses, tindakan teknis dan organisasi serta kontrol yang diperlukan untuk Data ADL atau ketika Personel Perusahaan berada di setiap lokasi anggota Grup Axiata, Perusahaan harus mematuhi privasi data anggota Grup Axiata terkait, teknologi informasi, keamanan, akses dan kebijakan penggunaan, prosedur dan arahan yang ditetapkan di dalam Perjanjian atau diberitahukan kepadanya dari waktu ke waktu;

(iii) mengambil semua langkah yang diperlukan untuk mencegah Malware apa pun dimasukkan ke setiap perangkat lunak atau ke Sistem ADL mana pun atau sistem dan/atau jaringan lain mana pun yang digunakan oleh Perusahaan untuk mengakses, Memproses, menyimpan, mengirimkan, atau menghasilkan Data ADL atau menyediakan Layanan Profesional untuk ADL;

(iv) memastikan bahwa tidak ada akses tidak sah ke Data ADL atau Sistem ADL mana pun tanpa persetujuan tertulis sebelumnya dari ADL dan/atau oleh pihak ketiga mana pun yang tidak berwenang; dan

(v) memastikan bahwa tidak ada pengungkapan kata sandi, token autentikasi, atau kredensial yang tidak sah yang disediakan oleh ADL untuk mengakses Sistem ADL dan jika terjadi pengungkapan yang tidak sah, untuk segera menghapus akses tersebut, dan mencabut atau menghapus akses tersebut segera oleh personel mana pun dari Perusahaan yang tidak perlu lagi mengetahui atau meninggalkan Perusahaan; dan

(vi) memastikan bahwa akses ke Data ADL semata-mata untuk tujuan pelaksanaan Perjanjian.

(b) memberi tahu ADL tentang pelanggaran apa pun terhadap Paragraf 1(a)(i)-(vi) dari Lampiran di atas, tanpa penundaan yang tidak semestinya, dalam waktu 24 jam.

2. Dalam Jika Perusahaan mengetahui adanya kejadian atau dugaan:

(a) tindakan yang diambil melalui penggunaan jaringan komputer yang mencoba untuk mengakses sistem informasi Perusahaan atau Data ADL yang berada pada sistem tersebut atau yang mengakibatkan dampak buruk aktual atau potensial pada sistem informasi Perusahaan atau Data ADL yang berada pada sistem tersebut;

(b) setiap akses atau penggunaan tidak sah lainnya oleh pihak ketiga atau penyalahgunaan, kerusakan, atau penghancuran Data ADL terkait oleh siapa pun;

(d) kejadian yang benar-benar atau berpotensi membahayakan kerahasiaan, integritas, atau ketersediaan sistem informasi atau informasi yang diproses, disimpan, atau ditransmisikan oleh sistem atau yang merupakan pelanggaran atau ancaman pelanggaran kebijakan keamanan, prosedur keamanan, atau kebijakan penggunaan yang dapat diterima,

(Masing-masing atau bersama-sama akan disebut sebagai “Insiden Keamanan”)

Perusahaan harus segera memberi tahu ADL secara tertulis (dan tidak lebih dari 24 jam setelah mengetahui Insiden Keamanan) dan memberikan bantuan yang diperlukan kepada ADL sehubungan dengan Insiden Keamanan tersebut dan termasuk hal-hal berikut ini:

(i) memberikan perincian lengkap tentang Insiden Keamanan dan setiap saat terus memberikan pembaharuan kepada ADL dan setelahnya sehubungan dengan Insiden Keamanan.

(ii) membantu dalam penyelidikan, mitigasi dan pemulihan Insiden Keamanan dan dalam memenuhi kewajiban untuk melaporkan Insiden Keamanan kepada otoritas terkait.

(iii) jika berlaku, membantu ADL untuk menangani dan mematuhi kewajibannya masing-masing dalam mematuhi hak-hak Subjek Data.

(iv) memberikan bukti yang relevan (termasuk bukti forensik digital) tentang bagaimana, kapan dan oleh siapa sistem informasi Perusahaan atau Data ADL telah atau mungkin telah disusupi; dan untuk menjaga dan melindungi bukti yang relevan di sini untuk jangka waktu sekurang-kurangnya 12 bulan.

(v) menerapkan setiap strategi mitigasi untuk menahan dan mengurangi dampak Insiden Keamanan atau kemungkinan atau dampak dari peristiwa, insiden, atau pelanggaran serupa di masa depan.

2A. Jika terjadi Insiden Keamanan, tanpa membatasi ketentuan lainnya di sini, ADL dapat menginvestigasi atau melibatkan pihak ketiga untuk melakukan investigasi forensik dan untuk mengidentifikasi akar penyebab Insiden Keamanan tersebut. Apabila penyelidikan diminta oleh ADL, Perusahaan akan segera memberikan kepada ADL atau pihak ketiga terkait informasi dan akses yang mungkin relevan dengan Insiden Keamanan, termasuk informasi tentang dan akses ke:

(a) jejak audit yang terkait dengan Insiden Keamanan, baik akses diperlukan di atau ke lokasi Perusahaan, lokasi sub-kontraktor Perusahaan (jika ada), lokasi Sub-Prosesor Perusahaan (jika ada), atau lainnya.

(b) pekerjaan (termasuk pemeriksaan latar belakang) dan catatan pelatihan.

(d) arsip, catatan, kaset, atau rekaman yang berada dalam kendali Perusahaan.

2B. Apabila terbukti bahwa Insiden Keamanan disebabkan oleh Perusahaan melalui tindakan atau kelalaiannya, Perusahaan menanggung biaya penyelidikan forensik yang dilakukan oleh penyelidik pihak ketiga.

2C. Perusahaan harus:

(a) memberi tahu ADL baik melalui telepon dan secara tertulis (melalui email) segera setelah mengetahui adanya:

(i) Insiden Keamanan; dan

(ii) kesulitan teknis yang dapat membahayakan Sistem ADL mana pun atau kemampuan Perusahaan untuk mengamankan Data ADL dan Informasi Rahasia.

(b) Pemberitahuan di atas sesuai dengan Paragraf 2C(a) Lampiran ini harus dikirim ke rincian kontak yang dibagikan.

(c) Setelah pemberitahuan di atas sesuai dengan Paragraf 2C(a) dan (b) Lampiran ini, Perusahaan harus memastikan bahwa waktu remediasi terakhir terkait Insiden Keamanan harus sesuai dengan batas waktu berikut:

	*Eksternal		*Internal		*Eksternal/ Internal
Informasi Keparahan Insiden Keamanan	P1	P2	P1	P2	P3	P3
Penahanan (dari pemberitahuan pertama atau remediasi oleh ADL atau Pemasok, mana yang paling awal)	4 jam	48 jam	4 jam	48 jam	21 hari	21 hari
Penyelesaian waktu remediasi (dari pemberitahuan pertama atau remediasi oleh ADL atau Pemasok, mana yang paling awal)	48 jam jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	15 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	48 jam jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	15 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	30 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	30 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras
	15 hari	30 hari	15 hari	30 hari	60 hari	60 hari

Penahanan tercapai ketika kerentanan ditahan agar tidak berkembang lebih jauh. Hal ini perlu dilakukan dengan dampak minimal atau tanpa dampak pada layanan lainnya.
Penyelesaikan Remediasi (Tanpa software patch) – adalah aktivitas memperbaiki kerentanan secara permanen melalui pembaruan yang tidak terkait dengan perangkat lunak (misalnya: perubahan konfigurasi, atau perubahan yang dilakukan pada sistem lain).
Penyelesaikan Remediasi (software patch) – adalah aktivitas memperbaiki kerentanan secara permanen melalui pembaruan atau peningkatan perangkat lunak.

*“Eksternal” mengacu pada sistem komputasi dan aplikasi yang ada di internet atau di luar jaringan yang dilindungi milik Pelanggan terkait. “Internal” mencakup aset serupa di dalam jaringan yang dilindungi milik Pelanggan terkait.

(d) Definisi dari prioritas ditetapkan dalam Paragraf 19 Lampiran ini.

4. Perusahaan harus memastikan bahwa:

(a) semua subkontrak, pengaturan rantai pasokan lain dan kontrak dengan Sub-Prosesor, yang dapat mengizinkan atau menyebabkan akses ke Data ADL, memuat ketentuan yang sekurang-kurangnya sama ketatnya dengan yang ada dalam Lampiran ini dan tidak memuat ketentuan apa pun yang tidak sesuai dengan Lampiran ini; dan

(b) semua Personel Perusahaan yang memiliki akses, secara langsung atau tidak langsung, ke Data ADL atau Sistem ADL harus mematuhi Lampiran ini seolah-olah Personel tersebut adalah Perusahaan.

5. Perusahaan harus:

(a) setiap saat mematuhi Undang-Undang Perlindungan Data Pribadi Malaysia 2010 / Undang-Undang Perlindungan Data Pribadi, No. 9 Tahun 2022 Undang-Undang Perlindungan Data Pribadi Sri Lanka / Indonesia (sebagaimana keadaannya) dan perundang-undangan di yurisdiksi lain (secara bersama-sama “UU Data Pribadi”) sehubungan dengan Pemrosesan, Data Pribadi ADL, termasuk namun tidak terbatas pada Data Pribadi pelanggan atau karyawan ADL;

(b) tidak melakukan atau tidak mengabaikan apa pun yang akan menyebabkan ADL melanggar, atau yang akan mengakibatkan ADL melakukan pelanggaran, Undang-Undang Data Pribadi apa pun;

(c) hanya Memproses Data Pribadi ADL untuk tujuan semata-mata melakukan Layanan Profesional dan sesuai dengan Perjanjian. Perusahaan harus segera memberi tahu ADL jika instruksi Pemrosesan data melanggar Undang-Undang Data Pribadi yang berlaku;

(d) tidak mentransfer, mengakses, atau mengakses Data Pribadi ADL dari jarak jauh tanpa persetujuan tertulis sebelumnya dari ADL. Perusahaan harus memastikan bahwa setiap transfer, atau akses jarak jauh ke, Data Pribadi ADL tidak bertentangan dengan ketentuan apa pun dalam Perjanjian atau Undang-Undang Data Pribadi yang berlaku dan bahwa transfer Data Pribadi tersebut akan dienkripsi melalui jaringan publik dan nirkabel;

(e) tidak melibatkan Sub-Prosesor untuk Memproses Data Pribadi apa pun dari ADL atau mengubah Sub-Prosesor mana pun tanpa persetujuan tertulis sebelumnya dari ADL. Apabila Perusahaan melibatkan Sub-Prosesor tersebut, Perusahaan harus memastikan bahwa Sub-Prosesor mematuhi kewajiban yang sama dengan kewajiban Perusahaan sehubungan dengan Data ADL dan Informasi Rahasia dalam Perjanjian. Perusahaan akan bertanggung jawab untuk memverifikasi kepatuhan Sub-Prosesor dan bertanggung jawab kepada ADL atas ketidakpatuhan apa pun oleh Sub-Prosesor mana pun terhadap kewajiban tersebut di atas atau setiap undang-undang yang berlaku;

(f) memastikan bahwa jika Perusahaan atau Sub-Prosesornya (jika berlaku) menerima keluhan atau permintaan apa pun (termasuk permintaan untuk mengakses Data Pribadi) dari Subjek Data atau agennya, atau dari otoritas mana pun, Perusahaan, tanpa penundaan yang tidak semestinya, harus memberi tahu ADL tentang keluhan atau permintaan tersebut. Atas permintaan ADL, Perusahaan, tanpa penundaan yang tidak semestinya, harus memberikan informasi kepada ADL agar mereka dapat menanggapi keluhan atau permintaan tersebut. Perusahaan tidak akan menanggapi keluhan atau permintaan ini kecuali diinstruksikan secara tertulis oleh ADL;

(g) membuat dan memelihara catatan kegiatan Pemrosesan Data Pribadi dalam bentuk elektronik dan atas permintaannya akan memberikan salinan catatan terkini kepada ADL. Catatan tersebut sekurang-kurangnya memuat informasi sebagai berikut:

(i) jenis/kategori Data Pribadi yang Diproses;

(ii) perincian transfer, termasuk negara tujuan transfer dan pengamanan transfer;

(iii) informasi Sub-Prosesor dan perincian kegiatan Pemrosesan;

(iv) persyaratan keamanan data tertentu;

(v) informasi Perusahaan dan Petugas Perlindungan Datanya atau pejabat yang ditunjuk yang bertanggung jawab atas Pemrosesan Data Pribadi; dan

(vi) langkah-langkah keamanan teknis dan organisasi yang digunakan oleh Perusahaan untuk mengamankan Data Pribadi.

(h) memberikan bantuan yang wajar kepada ADL atas setiap penilaian dampak perlindungan data dan konsultasi dengan otoritas pengawas, bila diminta oleh ADL; dan

(i) membantu ADL dalam penyelidikan, mitigasi, dan remediasi apa pun yang terkait dengan Data Pribadi yang Diproses dan dalam memenuhi kewajiban apa pun untuk melaporkan setiap pelanggaran, hasil penyelidikan, dan pertanyaan apa pun yang terkait dengan Layanan Profesional kepada otoritas terkait.

(j) Sehubungan dengan Data Pribadi:

(i) dalam hal terjadi pertentangan atau ketidaksesuaian antara Paragraf pada Lampiran ini dan ketentuan lainnya dalam Perjanjian, maka yang pertama akan berlaku sehubungan dengan pertentangan atau ketidaksesuaian tersebut.

(ii) jika kepatuhan terhadap UU Data Pribadi yang wajib akan mengakibatkan konflik dengan ketentuan apa pun dalam Perjanjian ini, Perusahaan harus mematuhi UU Data Pribadi yang wajib tersebut sehubungan dengan konflik itu; dan

(iii) dalam hal terjadi pertentangan atau ketidaksesuaian antara ketentuan apa pun dalam Lampiran ini dan setiap ketentuan dalam Perjanjian ini, yang pertama akan berlaku sehubungan dengan pertentangan atau ketidaksesuaian tersebut.

6. ADL dapat melakukan atau meminta pihak ketiga yang ditunjuk oleh mereka untuk melakukan, audit keamanan untuk memverifikasi kepatuhan Perusahaan terhadap Lampiran ini. Dalam hal ini, ADL akan memberikan pemberitahuan tertulis sekurang-kurangnya sepuluh (10) hari sebelumnya tentang audit tersebut, dimana audit akan dilakukan selama jam kerja normal Perusahaan (sejauh dilakukan di tempat Perusahaan, tempat subkontraktor Perusahaan (jika ada), atau tempat Sub-Prosesor Perusahaan (jika ada) selain di mana ADL menganggap (atas kebijakannya sendiri) bahwa terdapat potensi risiko keamanan yang dapat berdampak merugikan secara signifikan pada bisnis ADL. Selama audit/inspeksi ini jika diperlukan, akses akan diberikan kepada:

(a) tempat Perusahaan; tempat sub-kontraktor (jika ada); dan tempat Sub-Prosesor (jika ada);

(b) pembukuan, catatan, korespondensi, akun, dan dokumentasi pendukung non-rahasia terkait layanan seperti pernyataan informasi keamanan terbaru Perusahaan, untuk melindungi Data ADL dan Informasi Rahasia setiap saat dan dari waktu ke waktu selama Jangka Waktu, termasuk jika diarahkan oleh otoritas perlindungan data atau jika diperlukan karena akses yang tidak disengaja, tidak sah, atau melanggar hukum ke, memproses atau Memproses, menggunakan atau mentransfer, atau kehilangan, penyalahgunaan, kerusakan, atau penghancuran, Data ADL apa pun; dan

(c) bukti forensik digital Perusahaan dan dokumen lain yang digunakan untuk menentukan akar penyebab pelanggaran, prosedur investigasi yang diikuti, dan tindakan remediasi apa pun yang harus dilakukan terhadap bukti forensik digital dari Perjanjian dan undang-undang privasi atau perlindungan data.

6A Selain hak audit ADL berdasarkan Paragraf 6 Lampiran ini, ADL mungkin memerlukan audit rutin yang mencakup masalah yang berkaitan dengan keamanan TI, keamanan fisik, kelangsungan bisnis dan layanan, atau kombinasinya. Tidak boleh ada lebih dari dua (2) audit rutin tersebut dalam setiap Jangka Waktu dua belas (12) bulan (dua belas (12) bulan pertama dimulai dari Tanggal Permulaan).

7. Dimana Perjanjian diakhiri:

(a) Perusahaan akan secara permanen memusnahkan, atau mengembalikan kepada ADL, semua Informasi Rahasia atau menanganinya dengan cara yang diinstruksikan oleh ADL, dalam periode waktu yang lebih awal yang diwajibkan menurut undang-undang (jika ada) dan empat belas (14) hari setelah pengakhiran atau berakhirnya Perjanjian (“Tanggal Pelaksanaan”), dan harus memberikan konfirmasi tertulis untuk pemberlakuannya kepada ADL dalam waktu tujuh (7) hari sejak Tanggal Pelaksanaan;

(b) Perusahaan, tanpa biaya dan pengeluaran yang dibebankan kepada ADL, akan menyediakan Personel dan mengambil langkah segera untuk membantu ADL dalam memastikan kelancaran transisi jika pihak ketiga telah ditunjuk untuk menggantikan Perusahaan dalam pelaksanaan kewajibannya berdasarkan Perjanjian. Perusahaan akan mendukung ADL atas transfer Data Pribadi apa pun ke pihak ketiga jika diminta oleh mereka;

(c) Perusahaan akan segera mengambil langkah-langkah untuk menghentikan Layanan Profesional secara cepat dan tertib, berhenti membuat komitmen dan akan melanjutkan untuk membatalkan semua pesanan yang ada dan menghentikan semua pekerjaan berdasarkan Perjanjian secepat mungkin dan menyerahkan semua Hasil Kerja dan materi terkait lainnya kepada ADL; dan

(d) ADL tidak akan bertanggung jawab kepada Perusahaan berdasarkan pengakhiran dini Perjanjian ini termasuk namun tidak terbatas pada klaim atas hilangnya laba dan pendapatan atau prospek laba.

Pengakhiran atau berakhirnya Perjanjian ini tidak akan mengurangi hak ADL untuk menuntut ganti rugi atau untuk mendapatkan ganti rugi lainnya sehubungan dengan pelanggaran terdahulu dari ketentuan Keamanan Siber dan Perlindungan Data ini sebelum pengakhiran atau berakhirnya Perjanjian tersebut.

8. Perusahaan harus memastikan bahwa setiap dan semua transmisi elektronik atau pertukaran sistem dan data aplikasi dengan ADL dan pihak lain yang ditunjuk oleh ADL akan berlangsung melalui sarana yang aman (misalnya menggunakan S/MIME, HTTPS atau SFTP atau yang setara).

9. Perusahaan akan menyimpan semua Data ADL dan Informasi Rahasia sebagai bagian dari proses pencadangan dan pemulihan yang ditentukan dalam bentuk terenkripsi, menggunakan solusi enkripsi yang didukung secara komersial.

10. Perusahaan harus memastikan bahwa semua perangkat, aplikasi, dan basis data di bawah lingkup Perjanjian ini telah diperkuat keamanannya sesuai dengan standar keamanan baseline minimum (“MBSS”) masing-masing yang disediakan atau akan disediakan oleh ADL. Jika perintah pengerasan tersebut tidak jelas, Perusahaan harus menyediakan metode dan prosedur tertulis tentang cara memvalidasi kepatuhan terhadap standar.

11. Jika Perusahaan atau ADL:

(a) menemukan Malware atau kode yang tidak sah; atau

(b) mengidentifikasi kode tidak resmi yang telah digunakan atau diaktifkan,

dalam Sistem ADL mana pun, di mana Malware atau kode tidak sah diperkenalkan oleh Personil mana pun di Perusahaan (“Perangkat Lunak Berisiko”), Pihak tersebut akan segera memberi tahu Pihak lain dan memberikan semua informasi yang diminta secara wajar oleh Pihak lain sehubungan dengan Perangkat Lunak Berisiko (termasuk, fungsionalitas, asal, dan kekritisannya). Pemberitahuan tersebut harus dilakukan melalui telepon atau email, yang dialamatkan ke rincian kontak yang dibagikan oleh masing-masing pihak.

12. Perusahaan harus:

(a) atas biaya Perusahaan, segera mengambil semua langkah yang diperlukan untuk menghilangkan, mengkarantina, atau meminimalkan risiko sehubungan dengan Perangkat Lunak Berisiko dan mencegah pengenalan atau pengenalan kembali ke Sistem ADL apa pun.

(b) memberikan semua bantuan yang wajar kepada ADL untuk meminimalkan efek dari, atau risiko yang ditimbulkan oleh, Perangkat Lunak Berisiko.

13. Jika keberadaan Perangkat Lunak Berisiko menyebabkan:

(a) kehilangan data (termasuk Data ADL); atau

(b) memiliki dampak negatif pada pengoperasian Sistem ADL yang terpengaruh,

dan Perusahaan secara sadar atau tidak sadar menyebabkan Perangkat Lunak Berisiko tersebut dimasukkan ke dalam sistem yang relevan, maka Perusahaan atas biaya Perusahaan sendiri, harus:

(i) mengurangi hilangnya data;

(ii) segera memulihkan data (sejauh data yang sama dapat dipulihkan); dan

(iii) memastikan pengoperasian sistem yang terpengaruh segera diperbaiki.

14. Dalam hal ADL melakukan penilaian dampak perlindungan data, Perusahaan akan memberikan bantuan yang wajar kepada ADL. Bantuan tersebut, atas kebijaksanaan ADL, dapat mencakup:

(a) deskripsi sistematis tentang operasi Pemrosesan dan Pemrosesan yang direncanakan (masing-masing) dan tujuan pemrosesan dan Pemrosesan;

(b) penilaian atas kebutuhan dan proporsionalitas pemrosesan dan (masing-masing) operasi Pemrosesan sehubungan dengan Layanan Profesional;

(d) langkah-langkah yang dipertimbangkan untuk mengatasi risiko, termasuk pengamanan, langkah-langkah keamanan dan mekanisme untuk memastikan perlindungan Data Pribadi.

15. Perusahaan bertanggung jawab atas semua aktivitas migrasi data (jika ada yang disetujui oleh Para Pihak) terkait dengan Data ADL dan Informasi Rahasia dan harus memastikan bahwa tidak ada Data ADL atau Informasi Rahasia yang hilang atau rusak akibat migrasi data apa pun.

16. Tanpa membatasi Paragraf 15 Lampiran ini, Perusahaan akan:

(a) menyimpan dengan aman salinan cadangan dari semua Data ADL dan Informasi Rahasia yang dimigrasikan hingga proses berhasil diselesaikan; dan

(b) memastikan bahwa jika terjadi kegagalan atau masalah migrasi data, ADL dapat menggunakan Data ADL dan Informasi Rahasia dalam Sistem ADL untuk menyimpan, memproses, dan Memproses Data ADL dan Informasi Rahasia sehingga operasi bisnis ADL tidak terpengaruh.

17. Dalam hal terjadi pelanggaran oleh Perusahaan terhadap Paragraf 15 atau 16 dari Lampiran ini yang berdampak buruk pada operasi bisnis ADL dengan cara apa pun, dan tanpa membatasi hak dan upaya hukum ADL berdasarkan Perjanjian atau undang-undang yang berlaku, Perusahaan, tanpa biaya tambahan untuk ADL, harus segera bekerja sama dengan ADL untuk mengidentifikasi setiap solusi yang memungkinkan untuk penyebab dampak yang merugikan, dan menyediakan sumber daya (bila perlu) untuk mengimplementasikan solusi yang disetujui oleh ADL secara tertulis.

18. Perusahaan akan:

(a) menerapkan metodologi Siklus Hidup Pengembangan Perangkat Lunak (SDLC) yang aman dalam proses pengembangan produknya yang mencakup tinjauan desain, audit kode sumber pada materi yang dikembangkan, dan uji penetrasi secara teratur;

(b) memungkinkan ADL untuk mengaudit SDLC dan level patch secara teratur atau, dengan persetujuan tertulis sebelumnya dari ADL, memberikan laporan penilaian kerentanan yang diterbitkan oleh lembaga internasional terkemuka kepada ADL untuk membuktikan bahwa pengendalian keamanan Perusahaan telah efektif;

(c) memelihara dan mendukung perangkat lunak (termasuk pemutakhiran, pemutakhiran perangkat lunak dan perangkat lunak pihak ketiga) yang digunakan atau disediakannya untuk ADL sehubungan dengan Layanan Profesional tersebut, dan untuk memberikan jaminan yang dapat diverifikasi bahwa, perangkat lunak tersebut, dan tetap, aman dari kerentanan yang diketahui. Ini termasuk, namun tidak terbatas pada, langkah-langkah berikut:

(i) menyediakan pemutakhiran dan pemutakhiran terkini; dan

(ii) secara teratur dan tepat waktu menguji dan menginstal semua patches keamanan yang tersedia untuk sistem operasi, pustaka, komponen middleware, dan aplikasi yang diinstal.

(d) memastikan bahwa jaminan yang dapat diverifikasi yang diberikan berdasarkan Paragraf 18 (c) Lampiran ini harus mencakup pengesahan dari audit keamanan dan sertifikasi seperti SOC-2 dan 3, SSAE-18 dan ISO27001.

19. Perusahaan akan mengizinkan ADL atau pihak ketiga mana pun yang diberi wewenang oleh ADL untuk melakukan pengujian penetrasi tambahan secara berkala. Jika kerentanan keamanan informasi teridentifikasi berdasarkan pengujian penetrasi yang dilakukan, Perusahaan akan memulihkan kerentanan tersebut berdasarkan persyaratan tingkat layanan untuk remediasi akhir sesuai dengan Perjanjian Tingkat Layanan Remediasi Kerentanan Keamanan (“SLA Remediasi Kerentanan Keamanan”) di bawah ini:

Kategori Kerentanan	Node & layanan internal	Internet publik menghadapi node & layanan
CVSS* 9-10 (Kritis)	Terapkan Tindakan Penahanan yang efektif (sebagaimana didefinisikan di bawah) dalam waktu 72 jam Terapkan solusi permanen dalam waktu 4 minggu
CVSS 7-8 (Tinggi)	Remediasi kerentanan dalam waktu 3 bulan setelah pengungkapan publik atas kerentanan atau pemberitahuan oleh ADL (mana yang lebih awal)	Terapkan Tindakan Penahanan yang efektif dalam waktu 2 minggu Remediasi kerentanan dalam waktu 6 minggu setelah pengungkapan publik yang sama atau pemberitahuan oleh ADL (mana yang lebih dulu)
CVSS <7 (Sedang & Rendah)	Remediasi kerentanan dalam waktu 4 bulan setelah mengungkapkan atau menemukan kerentanan tersebut oleh ADL atau komunitas industri mana pun atau peneliti global.

* seperti yang didefinisikan di bawah ini.

Kerentanan yang ditemukan melalui pemindaian penilaian kerentanan harus diperbaiki mengikuti SLA Remediasi Kerentanan Keamanan yang diberikan di atas berdasarkan skor kerentanan masing-masing.

Penerapan SLA Remediasi Kerentanan Keamanan yang disebutkan di atas:

SLA Remediasi Kerentanan Keamanan di atas akan diterapkan untuk setiap sistem atau perangkat lunak yang dikirimkan dan/atau dipelihara oleh Perusahaan kepada ADL (“Pelanggan”). Setiap perubahan pada SLA Remediasi Kerentanan Keamanan tersebut harus disetujui bersama oleh Perusahaan dan Pelanggan.

“Tindakan Penahanan” adalah kontrol kompensasi atau penyesuaian dalam proses, konfigurasi, atau perubahan satu parameter atau lebih, yang direkomendasikan oleh ADL dan/atau Pelanggan terkait atau peneliti industri terkenal untuk mengurangi keparahan dan risiko terkait ke tingkat yang dapat diterima. Namun, solusi permanen akan dipertimbangkan setelah menerapkan dan menguji patches dan/atau remediasi yang relevan yang direkomendasikan oleh ADL dan/atau Pelanggan atau peneliti atau pakar industri yang relevan.

Sistem Skoring Kerentanan Umum (“CVSS”) adalah kerangka kerja terbuka untuk mengkomunikasikan karakteristik dan tingkat keparahan kerentanan perangkat lunak. CVSS terdiri dari tiga kelompok metrik: Basis, Temporal, dan Lingkungan. Klasifikasi keparahan ADL saat ini adalah 0,1-3,9 = Rendah, 4,0-6,9 = Sedang, 7,0-8,9 = Tinggi dan 9,0 – 10,0 = Kritis.

Persyaratan tingkat layanan untuk insiden keamanan informasi yang diidentifikasi melalui pengujian penetrasi dan penilaian/pengujian lainnya adalah sebagai berikut:

Gunakan referensi dari FIRST: https://www.first.org/cvss/v3.1/specification-document

	*Eksternal		*Internal		*Eksternal/ Internal
Informasi Keparahan Insiden Keamanan	P1	P2	P1	P2	P3	P3
Penahanan (dari pemberitahuan pertama atau remediasi oleh ADL atau Pemasok, mana yang paling awal)	4 jam	48 jam	4 jam	48 jam	21 hari	21 hari
Penyelesaian waktu remediasi (dari pemberitahuan pertama atau remediasi oleh ADL atau Pemasok, mana yang paling awal)	48 jam jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	15 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	48 jam jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	15 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	30 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras	30 hari jika software patch tidak diperlukan atau dengan penggantian komponen perangkat keras
	15 hari jika software patch diperlukan	60 hari jika software patch diperlukan	15 hari jika software patch diperlukan	60 hari jika software patch diperlukan	120 hari jika software patch diperlukan	120 hari jika software patch diperlukan

Tabel 1: Lampiran Remediasi Insiden Keamanan

* Ruang lingkup Prioritas dan Eksternal / Internal didefinisikan di bawah ini

Penahanan tercapai ketika kerentanan ditahan agar tidak berkembang lebih jauh. Hal ini perlu dilakukan dengan dampak minimal atau tanpa dampak pada layanan lainnya.
Remediasi Lengkap (Tanpa Software Patch) – adalah aktivitas memperbaiki kerentanan secara permanen melalui pembaruan yang tidak terkait dengan perangkat lunak (misalnya: perubahan konfigurasi, atau perubahan yang dilakukan pada sistem lain)
Remediasi Lengkap (Software Patch) – adalah aktivitas memperbaiki kerentanan secara permanen melalui pembaruan atau peningkatan perangkat lunak.

*“Eksternal” mengacu pada sistem komputasi dan aplikasi yang ada di internet atau di luar jaringan yang dilindungi dari Pelanggan terkait. “Internal” mencakup aset serupa di dalam jaringan terkait yang dilindungi milik Pelanggan.

Prioritas	Uraian Dampak
P1 (Keparahan – Kritis/Darurat)	Suatu kesalahan atau kerentanan dengan dampak yang parah pada operasi bisnis atau layanan pengguna akhir Pelanggan yang relevan, termasuk namun tidak terbatas pada kapasitas atau lalu lintas, kemampuan penagihan dan pemeliharaan yang berdampak mengurangi kemampuan tersebut hingga lebih dari 25%. Contoh Skenario: Total kehilangan pendapatan Total pemadaman sistem Pemadaman sebagian mempengaruhi minimal 25% pelanggan aktif jaringan Pengurangan kapasitas lalu lintas gabungan minimum sebesar 25% Hilangnya kemampuan manajemen lebih dari 25% dari total elemen jaringan
P2 (Keparahan –Mayor)	Masalah yang parah, kerentanan, atau gangguan yang mempengaruhi area fungsionalitas tertentu, tetapi bukan keseluruhan sistem, atau gangguan serius yang berdampak pada layanan pengguna akhir. Contoh Skenario: Kesalahan dalam prosedur yang melibatkan risiko layanan Kegagalan dalam kemampuan untuk menambah, menghapus, atau mengkonfigurasi ulang elemen jaringan apa pun Gangguan yang menurunkan kinerja sistem dan/atau bagian sistem dengan dampak kecil pada sistem Pemadaman total elemen jaringan non-utama Kegagalan alat dan sistem pendukung yang tidak berdampak pada pemantauan jaringan dan kinerja jaringan Pengurangan fungsi pengukuran lalu lintas Pengiriman laporan Root Cause Analysis (“RCA”)
P3 (Keparahan – Minor)	Konsultasi umum dan masalah kecil yang berdampak kecil pada fungsionalitas produk. Peristiwa minor adalah masalah yang tidak dipandang sebagai kritis atau besar. Peristiwa minor tidak secara signifikan merusak fungsi sistem atau secara signifikan mempengaruhi layanan kepada pengguna akhir. Peristiwa ini dapat ditoleransi selama penggunaan sistem. Peristiwa minor pada perangkat dapat berdampak pada satu atau beberapa pengguna.

Tabel 2: Klasifikasi Prioritas Insiden

CYBER SECURITY AND DATA PROTECTION

1 Purpose

2 Definitions

3 Interpretation

PART A – STANDARD CLAUSES

Deliverables and Performance of Professional Services

Security Incident

Insurance

Subcontracts, Supply Chain Arrangements, and contracts with Sub-Processors

Obligations relating to Data Protection

Audit & Vulnerability Scans

Consequences of Termination

PART B – ADDITIONAL CLAUSES

Electronic Information Exchange

Implementation Agreement

Privacy Impact Assessment

Data Migration

Software Development

Vulnerability Management/Security Incident

Security Vulnerability Remediation SLA

Definition:

Governance

Network Security

English Version to Prevail

KEAMANAN SIBER DAN PERLINDUNGAN DATA

1. Tujuan

2. Definisi

3.Penafsiran

BAGIAN A- KLAUSUL STANDAR

Hasil Kerja dan Kinerja Layanan Profesional

Insiden Keamanan

Asuransi

Subkontrak, Pengaturan Rantai Pasokan, dan kontrak dengan Sub-Prosesor

Kewajiban terkait Perlindungan Data

Pemindaian Audit & Kerentanan

Konsekuensi Pengakhiran

BAGIAN B – KLAUSUL TAMBAHAN

Pertukaran Informasi Elektronik

Perjanjian Implementasi

Penilaian Dampak Privasi

Migrasi data

Pengembangan perangkat lunak

Manajemen Kerentanan/Insiden Keamanan

SLA Remediasi Kerentanan Keamanan

Definisi:

Tata Kelola

Keamanan jaringan

Versi Bahasa Inggris Yang Berlaku

SL

MY

ID

Google reCaptcha:

SSL (Secure Sockets Layer):

W3C Compliance:

Accessibility Widget:

Carbon Neutrality: