im体育平台稳定版app下载 Medallia 主认购协议

最后更新:2022 年 4 月

本 Medallia 主认购协议(“协议”)自发布之日(“生效日期”)起生效,并在 Medallia, Inc.(“Medallia”)与im体育官app使用此处定义的 Medallia im体育产品的一方( “顾客”)。 Medallia 提供体验管理im体育产品(“Medallia im体育产品”)。本协议规定了购买和提供 Medallia im体育产品订阅以及 Medallia 提供的相关专业服务(“专业服务”)的条款和条件。

1.订单

A。一般的

本协议本身并不强制双方购买或提供 Medallia im体育产品或专业服务的订阅。此类义务将记录在描述相关 Medallia im体育产品或专业服务范围和相关费用的订购文件中(“订单”)。如果客户超过试用im体育产品或订单中提供的im体育官app使用量,Medallia 将 (i) 与客户合作执行超出im体育官app使用量的订单; (ii) 限制客户访问 Medallia im体育产品。这些协议之间的明确冲突将根据以下优先顺序解决:(1) 命令; (2) 本协议。

b. CheckMarket 永远免费提供

Forever Free im体育产品的范围在客户的im体育官方注册中注明。如果客户im体育官方注册永久免费提供 Medallia im体育产品和/或专业服务,则适用于订阅的附加条款和条件可能会出现在订阅im体育官方注册过程中。任何此类附加条款均纳入本协议。 Medallia 保留随时自行决定终止或终止永久免费im体育产品的权利,恕不另行通知。

除非双方另有书面约定,否则所有 Forever Free 订阅 (i) 都是免费的; (ii) 将在 13 个月不活动后被删除; (iii) 仅限于一 (1) 名用户; (iv) 每月仅限一千 (1,000) 份电子邮件邀请和两百 (200) 份答复(电子邮件邀请和答复不会逐月滚动); (v) 功能集有限,不包括访问视频问题集成、数据导出、自定义面板、媒体上传问题、交叉表报告、自定义域、专用客户经理、最大差异、联合分析、API 访问、删除品牌页脚或集成访问。此有限功能列表可能会发生变化,并且未来对im体育产品的任何改进(包括新特性和功能)都可能包含在永久免费订阅者的此功能限制列表中。

2. Medallia im体育产品的提供

Medallia 将通过订单上指定的 Web 浏览器和移动应用程序向客户提供 Medallia im体育产品,并将维护提供 Medallia im体育产品所需的硬件和软件。相关 Medallia im体育产品的详细信息以及适用的服务水平协议和支持条款将在适用的im体育产品、服务说明和相关的自助服务文档(“文档”)中列出。 Medallia 将为客户提供与订单中确定的范围一致的每项im体育产品改进的访问权,如果普遍可用的话。

3. Medallia im体育产品和专业服务保证

A。明示保证

Medallia im体育产品将以与文档、本协议和订单(“解决方案保证”)一致的方式运行。专业服务将以真实和熟练的方式提供,符合本协议和订单(“服务保证”)。试用im体育产品按“原样”提供,并且明确否认任何保证,包括解决方案保证和服务保证。

b.解决方案保修失败的补救措施

在收到解决方案保修违约的书面通知后,Medallia 将免费提供更正。如果 Medallia 无法在收到保证通知后四十五 (45) 天内纠正违约行为,则客户可以在接下来的三十 (30) 天内随时终止受影响的订单,并收到:(i) 如果违约通知是在生效日期后不到九十 (90) 天内收到已支付的适用订阅费的退款; (ii) 如果通知是在任何其他时间收到的,则从保修通知发出之日起按比例退还订阅费。这是客户对违反解决方案保证的唯一补救措施。

C。专业服务保证失败的补救措施

在收到违反服务保证的书面通知后,Medallia 将根据需要重新执行专业服务以纠正违规行为。如果 Medallia 无法在收到保修通知后四十五 (45) 天内纠正违约行为,则客户可以在接下来的三十 (30) 天内随时终止订单中受影响的部分,并获得专业服务费的退款为不合格或未执行的专业服务付费。这是客户对违反专业服务保证的唯一和排他性补救措施。

d.其他保证的免责声明

除非此处明确规定,并且在适用法律允许的最大范围内,MEDALLIA“按原样”提供 MEDALLIA im体育产品和专业服务,不对 MEDALLIA im体育产品或专业服务作出任何明示或暗示的保证,并否认所有其他保证,例如:(I) 在不影响客户获得服务信用的权利的情况下,如果适用,对于未能满足 MEDALLIA 的正常运行时间承诺,任何保证 MEDALLIA im体育产品和专业服务将无错误或不间断; (II) 对适销性、特定用途的适用性、所有权和非侵权的默示保证。

4. Medallia im体育产品的im体育官app使用

A。一般义务

除了根据订单或试用im体育产品im体育官app使用 Medallia im体育产品及其功能外,客户不得:(i) 复制、修改、分发、出售或出租 Medallia im体育产品或包含的软件的任何部分,或进行逆向工程或试图提取源代码该软件的代码,除非法律禁止这些限制; (ii) im体育官app使用 Medallia im体育产品功能侵犯他人的知识产权,或从事非法活动; (iii) 向客户授权用户以外的个人提供、提供或允许其全部或部分im体育官app使用或访问 Medallia im体育产品。

b.合规义务

客户只能出于内部业务目的访问 Medallia im体育产品,并将im体育官app使用行业标准做法来限制未经授权im体育官app使用 Medallia im体育产品凭据。客户将负责确保其对 Medallia im体育产品的im体育官app使用以及向 Medallia 提供客户数据的行为在适用法律、法规和协议的允许范围内。此责任包括但不限于:(i) 确保客户对 Medallia im体育产品的im体育官app使用是适用法律允许的,并且不违反任何客户隐私政策、im体育官app使用条款或客户作为一方的其他协议; (ii) 获得并维持任何必要的同意; (iii) 确保提供给 Medallia 的任何客户联系信息的有效性; (iv) 将客户数据交付给 Medallia 后收到的退出请求及时通知 Medallia。客户不得配置 Medallia im体育产品以收集银行帐号、支付卡或信用卡信息、银行交易信息、政府身份证号码(包括(但不限于)社会安全号码、州身份证号码和护照号码)以及敏感的个人信息,包括(但不限于)宗教信仰、健康、性取向、种族和工会会员资格,Medallia 不对不遵守适用于处理上述类别数据的法律法规承担责任。客户对im体育官app使用 Medallia im体育产品获得的结果以及从此类im体育官app使用中得出的结论或做出的决定承担全部责任,并且客户依赖im体育官app使用 Medallia im体育产品获得的结果并自行承担风险。

C。第三方服务

如果客户将 Medallia im体育产品与任何第三方服务(例如,另一个客户管理的软件解决方案)集成或指示 Medallia 集成,客户承认此类第三方服务可能会访问、im体育官app使用或保留客户数据,并且客户允许第三方服务提供商这样做。对于向第三方服务的数据传输或客户对任何此类服务的im体育官app使用,Medallia 概不负责。如果客户im体育官app使用与 Medallia im体育产品相关的任何第三方服务或im体育官app使用 Medallia im体育产品链接或引导在线流量到第三方网站,客户应确保此类im体育官app使用符合这些第三方服务的im体育官app使用条款。

5. 所有权和im体育官app使用权

A。客户资料

在客户和 Medallia 之间,客户保留对客户交付给 Medallia 或 Medallia 代表客户收集的所有数据(“客户数据”)的所有权利、所有权和利益,包括适用数据隐私法定义的任何个人数据( “个人资料”)。客户授予 Medallia 非排他性的、全球性的、有限的客户数据许可,用于以下目的:(i) 提供和改进 Medallia im体育产品和专业服务,前提是改进不是源自个人数据的im体育官app使用; (ii) 开发和发布广泛适用的体验管理见解(例如行业体验管理基准,如果适用,前提是仅im体育官app使用汇总或去识别化的客户数据)。

b.奖章im体育产品

Medallia 拥有 Medallia im体育产品,包括所有特性、功能、配置、设计、模板和其中包含的其他专有元素及其所有修改、改进和衍生作品。 Medallia 将为客户提供订单或试用im体育产品中所述的 Medallia im体育产品访问权限(在订单或试用im体育产品规定的期限内),用于其内部业务目的。如果客户im体育官app使用 Medallia API 或软件开发工具包(“SDK”),Medallia 授予客户非排他性的、全球性的、有限的许可,允许客户im体育官app使用此类 API 或 SDK,以使客户能够im体育官app使用 Medallia im体育产品。客户不得删除、隐藏或更改 Medallia 的版权声明,或附在或包含在 Medallia im体育产品或任何相关文档中的其他专有权利声明。客户授予 Medallia 全球范围内的、永久的、排他的、可转让的、不可撤销的、免版税的许可,允许 Medallia im体育官app使用客户向 Medallia 提供的与 Medallia im体育产品相关的反馈,并同意 Medallia 可以将来自此类反馈的类似开发理念纳入其im体育产品和服务。

C。文档

Medallia 拥有文档及其所有衍生作品的所有权利、所有权和利益。 Medallia 授予客户非排他性的全球有限许可,允许客户在订单或试用期间出于内部业务目的im体育官app使用和复制文档。

d.商标

客户授予 Medallia 有限的非排他性许可,允许在客户提出要求并获得客户批准以符合其品牌指南的情况下,im体育官app使用客户的商标标记客户调查和报告以及客户的 Medallia im体育产品实例。

e.保留权利

客户和 Medallia 各自保留此处未明确授予的所有知识产权。

6. 付款

A。开发票

如果客户通过 Medallia 网站购买计划,则 Medallia im体育产品和专业服务的到期和应付费用将在订单上或客户帐户页面的“账单”选项卡下说明。客户同意及时支付所有费用。除本协议中明确规定的以外,费用不可取消且不可退还。

b.税收

发票金额应全额支付,不减免交易税(例如,增值税、消费税、商品和服务税、GST/HST、消费税、销售税、im体育官app使用税或类似税以及预扣税)。客户需要支付所有此类交易税,直接支付或通过增加向 Medallia 的付款来抵消客户需要从付款中扣除的税款。如果 Medallia 有支付或收取此类交易税的法律义务,则将向客户开具适当金额的发票并由客户支付,除非客户向 Medallia 提供有效的免税证明。

7. 期限和终止

A。学期

本协议的期限是从生效日期到以下较晚者: (i) 试股的最后一天; (ii) 最后到期的订单或订阅。

b.因故终止

任何一方均可在发生下列任一情况后三十 (30) 天内终止本协议或订单: (a) 如果另一方未能在三十 (30) 内纠正任何严重违反本协议或相关订单的行为收到书面通知后的天数; (b) 如果另一方提交或已经针对其提交任何破产或类似程序,或与其债权人达成任何形式的安排,且该安排在提交后六十 (60) 天内未被取消。

C。每月订阅的终止

对于购买了 Medallia im体育产品月度订阅的客户,客户可以通过完成“我的帐户”下“关闭我的帐户”选项卡中的要求来终止其对 Medallia im体育产品的访问,从下个月开始生效。

d.终止时转移客户数据

对于试用im体育产品客户,在本协议终止之前,客户可以下载通过 Medallia im体育产品收集并在终止时存储在 Medallia im体育产品中的客户反馈。对于订购单下的客户,Medallia 将通过收集客户反馈并在终止时将其存储在 Medallia im体育产品中,以供客户以标准平面文件格式安全下载至少三十 (30) 天(“数据传输周期”)。在数据传输期结束后六十 (60) 天内,Medallia 将从 Medallia im体育产品中删除所有客户数据。

8. 保险

Medallia 将保留至少提供以下承保范围的保单,并将根据要求提供保险证明:

  1. 技术错误和遗漏/专业责任,限额至少为 500 万美元;
  2. 网络/网络和信息安全责任限额至少为 500 万美元;
  3. 商业一般责任,限额至少为 100 万美元;
  4. 限额至少为 100 万美元的汽车责任险;
  5. 工伤赔偿和雇主责任,限额至少为 100 万美元;
  6. 伞式责任限额至少为 500 万美元。

9. 隐私、安全和审计

A。遵守数据保护法

在处理 Medallia im体育产品中的个人数据和通过为客户提供的专业服务时,Medallia 应遵守适用隐私和数据保护法律规定的相关义务,包括马萨诸塞州联邦居民个人信息保护标准 (201 CMR 17.00 )、2018 年加州消费者隐私法(“CCPA”)和其他适用的美国州级数据保护法,以及实施国家立法和条例 2016/679(也称为 GDPR)。 Medallia 不得 (i) 出售 CCPA 定义的个人数据,或 (ii) 出于提供 Medallia im体育产品和执行专业服务的特定目的以外的任何目的保留、im体育官app使用或披露个人数据。 .

b.数据处理协议

如果 Medallia 代表客户处理欧盟数据主体的个人数据,则应适用以下数据处理协议: https: //www.medallia.com/wp-content/uploads/pdf/description/Medallia_Data_Processing_Agreement.pdf

C。安全义务

Medallia 应根据附件 A(安全措施)中所述的 Medallia 安全标准,实施和维护适当的技术和组织安全措施,以保护客户数据免受安全事件的影响,并保护客户数据的安全性和机密性。

d.安全事件响应

Medallia 应按照附件 A 中的描述对安全事件做出响应。

e.一般绩效审计

客户每年不得超过一次审计 Medallia 在本协议和每份订单下的表现,Medallia 将保留足以进行此类审计的记录,包括提供的服务时间、正常运行时间以及安全和灾难恢复测试的结果。

F。安全审计

某些 Medallia im体育产品由独立第三方和/或内部审计师定期审计。根据要求,Medallia 应(在保密的基础上)提供其审计报告的摘要副本(如果适用)以及书面答复(在保密的基础上),每年不超过一次,以提供所有合理的安全和确认 Medallia 遵守本协议所必需的审计问卷。除试用im体育产品外,Medallia 应允许客户(或其指定的第三方审计员)根据本协议对 Medallia 对客户数据的处理进行审计,具体如下:(i) 安全事件或 (ii) 根据数据保护机构。

G。审计程序

除非发生安全事件或根据数据保护机构的指示,每次审计都需要至少提前三十天通知。审计将在双方商定的日期在 Medallia 的正常营业时间内进行,客户将促使其代表或代理人采用必要且适当的合理程序和方法,以尽量减少对 Medallia 正常业务运营的干扰。现场审核仅限于两个工作日。

H。数据采集

Medallia im体育产品使客户能够导入和收集有关客户的客户或最终用户的广泛信息。在 Medallia im体育产品中导入和收集的数据类型将在客户的控制范围内,并将在每个im体育产品的实施和im体育官app使用期间指定。除非获得 Medallia 的数据保护律师的批准,否则客户不得将 Medallia im体育产品配置为收集银行帐号、支付卡或信用卡信息、银行交易信息、政府身份证号码,包括(但不限于)社会安全号码、州身份证号码、和护照号码,以及敏感的个人信息,包括(但不限于)宗教信仰、健康、性取向、种族和工会会员资格,Medallia 不对不遵守适用于上述处理的法律法规承担责任数据类别。只要客户已与 Medallia 签署业务伙伴协议,本条款就不适用于 HIPAA 定义的受保护健康信息。

10. 保密

A。控制义务声明

本保密条款的条款取代双方在本协议生效日期之前签订的任何保密或保密协议。

b.机密信息

机密信息是指披露方向接收方提供的、合理的行业参与者认为是机密的所有信息,包括例如:(i) 所有标记为机密的信息; (ii) 每份订单的条款; (iii) Medallia im体育产品和相关文档的特性和功能; (iv) 客户数据。

机密信息不包括独立开发的信息、非因接收方过错而成为公众所知的信息,或者在不会引起合理怀疑被盗用或不当披露的情况下从第三方收到的信息。

C。im体育官app使用和披露限制

接收方将尽商业上合理的努力来保护其收到的机密信息,并且仅在必要时im体育官app使用机密信息来履行其在本协议和每个订单下的义务和行使其权利。接收方不得向第三方披露机密信息,除非本协议允许或法院或主管当局监管机构强制要求(然后在披露前采取所有合理步骤通知披露方并限制范围的披露)。

11. 赔偿

A。 Medallia 的知识产权赔偿

Medallia 将针对第三方或政府机构的索赔、诉讼因由和调查为客户辩护,并将支付由此产生的判决、罚款、和解、法庭费用和律师费(“赔偿”),以应对第三方声称 Medallia im体育产品的索赔侵犯第三方专利、版权或商标或盗用第三方商业秘密,但须遵守以下限制:(i) 如果涉嫌侵权是由于客户修改或更改或未经授权im体育官app使用 Medallia im体育产品引起的; (ii) 如果涉嫌侵权是由于违反客户在本协议和文档中的义务而引起的; (iii) 如果涉嫌侵权是由于 Medallia im体育产品与非 Medallia 提供的任何im体育产品或流程的组合或im体育官app使用引起的,并且如果 Medallia 不对此类侵权的诱因或促成负责,则 Medallia 没有义务赔偿.

如果客户有理由相信 Medallia im体育产品的im体育官app使用将被禁止,则 Medallia 将尽商业上合理的努力用非侵权替代品替代受影响的功能,或获得许可以允许继续im体育官app使用受影响的功能。如果禁止im体育官app使用 Medallia im体育产品并且 Medallia 未提供非侵权替代品,则客户可以在禁令发出之日起三十 (30) 天内,在收到书面通知后立即终止受影响的订单,并收到退款预付费用的未im体育官app使用部分。

b. Medallia 的数据泄露赔偿

Medallia 将赔偿客户因不当访问、im体育官app使用或披露个人身份客户数据而引起的第三方索赔,原因是:(i) Medallia 违反其在本协议下的义务; (ii) Medallia 人员或 Medallia 控制下的任何第三方的故意不当行为或重大过失(“数据赔偿”)。如果数据赔偿适用于任何政府机构罚款或法院判决,则数据赔偿仅涵盖相关政府机构或法院直接归因于 Medallia 未能遵守本协议和 DPA(如适用)规定的义务。

C。客户赔偿

客户应赔偿 Medallia 因以下原因引起的第三方索赔:(i) 客户或其任何员工和代理人违反本协议条款im体育官app使用 Medallia im体育产品; (ii) 涉嫌侵犯第三方专利、版权或商标或盗用第三方商业秘密,原因是 (A) 客户未经授权修改或更改 Medallia im体育产品; (B) 未经授权将 Medallia im体育产品与任何非 Medallia 提供或授权的im体育产品或流程结合或im体育官app使用。

d.赔偿要求和程序

寻求赔偿的一方(“被赔偿方”)将及时通知其寻求赔偿的一方(“赔偿方”)(尽管不及时通知将解除赔偿方的赔偿义务,其赔偿义务仅与所遭受的实际损害相称结果),并将向赔偿方提供合理的协助,费用由赔偿方承担。除了与政府机构根据数据赔偿提出的索赔、诉讼因由、调查或执法活动(包括任何由此产生的罚款)相关的情况外,赔偿方将全权控制辩护,但受赔偿方将有权参加费用自理。

受保护方应采取合理措施减轻因可能导致受保护方向赔偿方提出索赔的事件而遭受的任何损失。

未经赔偿方事先书面同意(此类同意不得无理拒绝或延迟),受赔偿方不会承认责任,也不会向第三方支付任何款项。

如果受保护方提出或预期提出与政府机构的索赔、诉讼因由、调查或执法活动(包括任何由此产生的罚款)有关的索赔,则其必须在整个此类事项中(包括通过方式提供相关文件和信函)并合理考虑赔偿方就此事向政府机构作出的任何陈述,并让赔偿方im体育调查或执法活动的进展情况。这种协商必须在足够的时间内进行,以使赔偿方能够在做出任何最终决定之前做出回应。

12. 损害赔偿和责任限制

A。损害赔偿限额

任何一方均不对另一方造成的后果性、特殊、偶然、惩罚性、惩戒性或间接损害或利润损失、收入损失、商誉损害或采购更换服务的成本负责,无论此类损害是否可预见。此限制将适用于根据所有法律和衡平法理论提出的所有索赔,但法律禁止的情况除外。

b.责任限制

除非出现重大过失;故意的不当行为;所欠费用超过以下限额;在法律禁止的情况下,任何一方对另一方的累积责任将限于在提出索赔之前的 12 个月内根据本协议已支付或应支付的所有其他索赔的费用。

13. 营销

Medallia 可能会在 Medallia 的公共客户名单上包含客户的姓名和徽标。除试用im体育产品外,客户同意与 Medallia 合作开展联合营销和公共关系活动,以展示客户计划的启动和成功(例如,新闻稿、案例研究、证明书、视频)。客户授予 Medallia 有限的、非排他性的全球许可,允许 Medallia 将其商标用于这些目的。

14. 一般条款

A。权威

各方保证其有权签订本协议和每份订单。

b.任务

未经书面同意(此类同意不得无理拒绝或延迟),不得转让本协议或任何订单,任何此类尝试转让均无效。

C。生存

所有必须在终止后继续有效才能具有惯常效力的条款,包括与保密、赔偿、损害赔偿和责任限制以及终止后数据传输相关的条款,将在本协议终止或期满后继续有效。

d.不可抗力

如果任何一方未能履行是由于超出其合理控制范围的事件(例如互联网基础设施的大规模故障、内乱和自然灾害)造成的,则任何一方均不得被视为违反本协议或任何订单。

e.独立承包商

双方为独立订约人。任何一方都无权约束另一方,也不会向第三方作出任何相反的陈述。

F。可分割性

如果本协议的任何条款或其任何部分被任何具有管辖权的法院或当局认定为无效或不可执行,则该条款将被限制在必要的最小范围内,以便本协议将继续有效。

G。出口合规

客户将遵守美国、英国和其他适用司法管辖区的出口管制和经济制裁法律法规。根据该义务,客户不会向以下任何个人或实体提供 Medallia im体育产品:(i) 位于受美国、英国或其他适用政府管辖的国家/地区,(ii) 在任何美国上市国家、英国或欧盟政府禁止或限制方名单,或 (iii) 从事与大规模杀伤性武器扩散直接或间接相关的活动。

H。仲裁、适用法律和论坛

由本协议引起的争议将由国际商会根据其仲裁程序规则和英格兰和威尔士的实体法进行仲裁解决,仲裁员作出的裁决的判决可提交任何法院具有管辖权。仲裁应在英国伦敦以英语进行。本规定不会损害任何一方从任何有管辖权的法院获得禁令或其他衡平法救济的能力。 《联合国国际货物销售合同公约》不适用于本协议。

我。无豁免

一方未能及时履行本协议或订单项下的义务,仅在以书面形式作出的情况下才被解释为放弃,并且不会作为放弃任何其他义务的行为,包括任何未来发生的被放弃的义务。

j.完成协议

订单随附的文件构成本协议的一部分。本协议和每份订单(包括相关文件)包含双方的完整协议(取代所有先前或同期的协议)。尽管其中有任何相反规定,客户订单文件(例如,客户采购订单)中规定的条款或条件将无效。任何一方均未根据这些文件中未载明的陈述签订本协议、试用im体育产品或订单,并且不会推定任何一方作为其起草人。 Medallia 可随时通过在线发布更新版本来修改本协议。在新版本发布后继续im体育官app使用 Medallia im体育产品即表示接受其中的条款。

k.分包商

Medallia 可以im体育官app使用分包商,前提是:(i) Medallia 已使分包商遵守要求其遵守法律、法规、行业标准以及本协议中反映的质量、保密和隐私标准的协议; (ii) Medallia 仍负责交付订单或试用im体育产品中确定的范围。

湖。注意事项

本协议或命令要求的与违约、有争议的付款、审计或赔偿有关的通知将以书面形式提供给双方的法律部门,地址为命令或试用im体育官方注册中指定的地址。其他通知可以通过电子邮件提交。通知自送达之日起生效。

附件A

安防措施

Medallia 维护和管理一个全面的书面安全计划,旨在保护:(a) 客户数据的安全性和完整性; (b) 防止可能对客户数据产生负面影响的威胁和危害; (c) 防止未经授权访问客户数据。 Medallia 的安全计划包括以下内容:

一、风险管理

  1. 进行年度风险评估,旨在识别 Medallia im体育产品中im体育官app使用的行政、物理、法律、监管和技术保障措施中的威胁和漏洞。
  2. 维护记录在案的风险补救流程,以分配已识别风险的所有权,制定补救计划和时间表,并定期监控进度。

2. 信息安全计划

  1. 维护记录在案的综合信息安全计划。该计划将包括符合行业最佳实践的政策和程序,例如 ISO 27001/27002。
  2. 此类信息安全计划应包括(如适用):(i) 处理和/或存储客户数据的所有场所的充分物理安全; (ii) 就 Medallia 人员雇用采取的合理预防措施; (iii) 适当的网络安全程序。
  3. 这些政策将由 Medallia 管理层每年审查和更新。

三、信息安全组织

  1. 将安全责任分配给适当的 Medallia 个人或团体,以促进对 Medallia im体育产品环境和相关资产的保护。
  2. 建立要达到的信息安全目标。

4. 人力资源保障

  1. Medallia 员工在招聘过程中接受全面筛选。将进行背景调查和参考验证,以确定候选人资格是否适合所提议的职位。根据适用法律施加的任何限制并根据管辖权,这些背景调查包括犯罪背景调查、就业验证和教育验证(如适用)。
  2. 在提供对 Medallia im体育产品和/或客户数据的访问权限之前,确保所有 Medallia 员工都遵守保密和不披露承诺。
  3. 确保适用的 Medallia 员工接受安全和隐私意识培训,旨在为此类员工提供信息安全知识,以确保客户数据的安全性、可用性和机密性。
  4. 在 Medallia 员工离职或角色发生变化时,Medallia 应确保及时撤销任何 Medallia 员工的访问权限,并归还所有 Medallia 资产,包括信息和实物资产。

5. 资产管理

  1. 维护资产和信息管理政策和程序。这包括资产所有权、资产清单、分类指南以及与 Medallia 资产相关的处理标准。
  2. 维护媒体处理程序以确保包含客户数据的媒体被加密并存储在受严格物理访问控制的安全位置。
  3. 当存储设备达到其im体育官app使用寿命结束时,程序包括一个退役过程,该过程旨在防止客户数据暴露给未经授权的个人,im体育官app使用 NIST 推荐的技术在退役过程中销毁数据。
  4. 如果硬件设备无法im体育官app使用这些程序退役,则该设备将根据行业标准做法进行虚拟粉碎、消磁、净化/擦拭或物理销毁。用于管理已停用的 Medallia im体育产品的设备将遵守这些或同等有效的标准。

6. 访问控制

  1. 维护逻辑访问策略和相应的程序。逻辑访问程序将为 Medallia 人员定义请求、批准和访问配置过程。逻辑访问过程将根据应用程序和数据库的最小权限原则限制 Medallia 用户(本地和远程)访问。将定期执行 Medallia 用户访问重新认证以确定访问和权限。及时记录 Medallia 人员用户入职和离职的程序。将记录导致帐户暂停和删除阈值的 Medallia 人员用户不活动阈值的程序。
  2. 将需要访问客户数据的人员访问客户数据作为 Medallia 根据本协议履行服务的条件。在确定所有 Medallia 用户对客户数据的访问级别时,Medallia 应im体育官app使用“最小特权”原则和“最低限度必要”的概念。 Medallia 应根据复杂性要求和定期轮换要求im体育官app使用强密码。

7. 系统边界

  1. 为im体育产品构成功能性 Medallia 云平台的系统仅限于共享组件,例如网络设备、服务器和软件,这些组件在 Medallia 支持互联网的网络基础设施中进行物理安装和运行。该系统边界还包括由第三方提供商提供的网络连接、电源、物理安全和环境服务,第三方提供商拥有并运营该网络基础设施所在的数据中心。
  2. Medallia 不对不在此系统范围内的任何系统组件负责,包括网络设备、网络连接、工作站、服务器以及客户或其他第三方拥有和运营的软件。 Medallia 可自行决定为这些组件提供支持。

8.加密

  1. 客户在整个生命周期内保留对上传到其im体育产品的所有客户数据进行加密的所有权。客户数据可以通过 SFTP、TLS/SSL 或通过 Medallia 服务 API 通过 TLS/SSL 连接上传到 Medallia 云平台。 Medallia 将配置 TLS 和/或 SSL 证书。
  2. 客户数据应在存储级别进行静态加密。

9. 物理和环境安全

  1. Medallia im体育产品和客户数据托管在已证明符合以下一项或多项标准(或合理的等效标准)的供应商处:国际标准化组织(“ISO”)27001 和/或美国im体育官方注册会计师协会(“AICPA” ) 服务组织控制 (“SOC”) 服务组织报告。这些提供商为用于im体育产品的 Medallia 云平台提供互联网连接、物理安全、电源和环境系统和服务。
  2. N 层架构用于支持表示、应用程序、处理和数据服务。为了增强 Medallia 云平台的安全性,im体育官app使用了防火墙、入侵检测和预防以及漏洞管理等技术。

10. 运营安全

  1. 维护记录在案的 Medallia 云操作程序。
  2. 维护变更和发布管理控制,以确保 Medallia 对im体育产品生产系统所做的变更在实施前得到适当授权和审查。
  3. 监控 Medallia 云中的im体育官app使用情况、安全事件和容量级别,以管理可用性并主动规划未来的容量需求。
  4. 利用病毒和恶意软件防护软件 a,其配置符合通用行业标准,旨在保护 Medallia 系统和客户数据免受病毒感染或类似恶意负载的侵害。
  5. 实施灾难恢复和业务连续性程序。这些将包括定期将客户数据复制到位于与主数据中心不同的地理位置的辅助数据中心。
  6. 维护系统和安全日志记录过程以捕获关键系统日志。这些日志应至少保存六个月,并定期审查。
  7. 确保处理和存储客户数据的系统得到适当配置和强化。
  8. 确保在 Medallia 云中用于im体育产品的服务器、操作系统和支持软件及时收到关键和高安全补丁,如果任何此类安全补丁会对im体育产品产生重大不利影响,则 Medallia 将采取商业上合理的努力来实施补偿控制,直到出现不会对im体育产品产生重大不利影响的安全补丁。
  9. 定期进行第三方外部应用渗透测试。

11.供应商关系

  1. 维护供应商管理计划,以评估和减轻托管或处理客户数据的任何第三方的风险。

12. 安全事故

  1. 采用基于适用行业标准(例如 ISO 27001:2013 和美国国家标准与技术研究院 (“NIST”) 或同等标准)的事件响应标准,以维护im体育产品环境的信息安全组件。
  2. 对这些事件的响应遵循 Medallia 记录的事件响应顺序。此顺序包括事件触发阶段、评估阶段、升级阶段、响应阶段、恢复阶段、降级阶段和事件后审查阶段。
  3. Medallia 将根据适用法律的要求将安全事件通知客户,但绝不会晚于安全事件发生后 72 小时。 “安全事件”是指 Medallia 确定实际向未经授权的个人或实体披露未加密的客户数据。

13. 业务连续性管理的信息安全方面

  1. 维护业务连续性和灾难恢复计划。
  2. 每年审查和测试该计划。