Diese Maßnahmen ergänzen die Fitbit-Bedingungen zu Sicherheit und Datenschutz.

Fitbit verlangt von Lieferanten, die mit Fitbit-Daten umgehen, die Einhaltung bestimmter organisatorischer und technischer Mindestsicherheitsmaßnahmen.

Der Lieferant muss ein umfassendes schriftliches Informationssicherheitsprogramm entwickeln, pflegen und/oder implementieren, das diese Maßnahmen einhält. Das Informationssicherheitsprogramm des Lieferanten muss administrative, technische und physische Schutzmaßnahmen zum Schutz der Fitbit-Daten umfassen, die nicht weniger streng sind als die anerkannten Branchenpraktiken (einschließlich, aber nicht beschränkt auf die Standards der International Organization for Standardization: ISO/IEC 27001:2013 – Information Security Management Systems – Anforderungen und ISO-IEC 27002:2013 – Code of Practice for Information Security Controls, oder American Institute of CPAs (AICPA) Service Organization Control (SOC) 2 Standard) und andere Sicherheitsmaßnahmen, die dazu dienen, um: (i) die Sicherheit und Vertraulichkeit der Fitbit-Daten zu gewährleisten; (ii) vor voraussichtlichen Bedrohungen oder Gefahren für die Sicherheit und Integrität der Fitbit-Daten zu schützen; und (iii) vor tatsächlicher oder vermuteter unbefugter Verarbeitung, Verlust, Nutzung, Offenlegung oder Erwerb von oder Zugriff auf Fitbit-Daten zu schützen. Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, umfassen diese Maßnahmen mindestens:

• Sichere Benutzerauthentifizierungsprotokolle. Nutzung einer Anmeldelösung mit Multifaktor-Authentifizierung, um den Benutzerzugriff auf die IT-Umgebung des Lieferanten zu regeln, insbesondere in Verbindung mit dem Zugriff auf: (a) alle VPN-Verbindungen in die IT-Umgebung des Lieferanten (einschließlich des E-Mail-Systems des Lieferanten, wenn auf dieses über das Internet zugegriffen werden kann); (b) alle Verbindungen in die IT-Produktionsumgebung des Lieferanten; und (c) jede andere Software oder Dienstleistung, die der Lieferant im Rahmen seiner Leistungen gemäß den anwendbaren Verträgen verwendet und die Fitbit-Daten übertragen, verarbeiten oder speichern kann.
• Kontrollmaßnahmen zum sicheren Zugang. Soweit der Lieferant Fitbit eine SaaS-Lösung zur Verfügung stellt, muss diese mit einer von Fitbit genehmigten Single Sign On (SSO)-Lösung über SAML integriert werden.
• Umgang mit Fitbit-Daten. Aufrechterhaltung von Kontrollen, die den Zugriff auf die Produktionsumgebung beschränken, und Beschränkung des Zugriffs auf die IT-Produktionsumgebung auf diejenigen Personen, deren Rolle einen solchen Zugriff erfordert. Der Lieferant muss für eine Trennung zwischen Fitbit-Daten und den Daten anderer Kunden des Lieferanten sorgen, die sich in der IT-Produktionsumgebung des Lieferanten befinden. Der Lieferant darf Fitbit-Daten nur mit vorheriger schriftlicher Zustimmung von Fitbit aus der IT-Umgebung des Unternehmens oder der Produktionsumgebung des Lieferanten auslagern. Insbesondere dürfen Fitbit-Daten nicht auf Telefone, Tablets, Laptops oder Desktops heruntergeladen und nicht an Dritte außerhalb der IT-Umgebung des Unternehmens oder der Produktion des Lieferanten weitergegeben werden.
• Sichere Übertragung. Wenn der Umgang des Lieferanten mit Fitbit-Daten die Übertragung von Fitbit-Daten über ein Netzwerk beinhaltet, muss der Lieferant ein Sicherheitsniveau gewährleisten, das den mit der Übertragung verbundenen Risiken und der Art der Fitbit-Daten (z. B. personenbezogene Daten) angemessen ist, einschließlich, aber nicht beschränkt auf die Verwendung sicherer, aktiv unterstützter Versionen von Transport Layer Security (TLS) zur Transportverschlüsselung.
• At-rest-Verschlüsselung. Verschlüsselung der im Ruhezustand gespeicherten Fitbit-Daten unter Nutzung von Verschlüsselungsalgorithmen nach Industriestandard (z. B. AES).
• Sichere Konfiguration. Implementierung von Netzwerk-, Geräte-, Anwendungs-, Datenbank- und Plattformsicherheitskontrollen, die den Industriestandards entsprechen (z. B. SANS Information Security Policy Templates, DSIA STIG).
• Laufende Überwachung und Reaktion. Implementierung und Pflege kontinuierlicher Endpunkt-Erkennungs- und Reaktions-Tools sowie einer aktualisierten Anti-Malware-Funktion. Proaktive Überwachung, Erkennung und Alarmierung bei verdächtigen oder bösartigen Aktivitäten in den IT-Umgebungen des Unternehmens und der Produktion des Lieferanten, soweit zutreffend. Der Lieferant muss außerdem ein Vorfallsreaktionsprogramm unterhalten, das in der Lage ist, auf Sicherheitsvorfälle zu reagieren und diese zu beheben, sobald sie entdeckt werden
• Software-Entwicklungslebenszyklus und Änderungsmanagement. Implementierung und Aufrechterhaltung sicherer Softwareentwicklungs-Lebenszyklus-Fähigkeiten unter Berücksichtigung der Best Practices des Open Web Application Security Project und formaler Änderungsmanagement-Verfahren, die die Sicherheitsauswirkungen von Änderungen berücksichtigen, bevor diese vorgenommen werden.
• Schwachstellenmanagement. Ein Programm zur Verwaltung von Sicherheitsschwachstellen, das die regelmäßige Erkennung und Behebung von Schwachstellen in Systemen umfasst, die Fitbit-Daten übertragen, verarbeiten oder speichern. Das Programm muss Verfahren zur Bewertung und Entschärfung von Schwachstellen auf der Grundlage ihrer Kritikalität und zur Validierung der Abhilfemaßnahmen umfassen
• Behebung von Schwachstellen. Unverzügliche Behebung von Schwachstellen mit hohem und kritischem Schweregrad, einschließlich der Anwendung von Sicherheits-Patches wie erforderlich, in der IT-Umgebung des Unternehmens und der Produktion des Lieferanten, einschließlich, aber nicht beschränkt auf die Server, Endpunkte und Endpunktverwaltungssysteme des Lieferanten. Alle als "kritisch" und "hoch" eingestuften Schwachstellen, die nicht innerhalb von sechzig (60) Tagen nach Bekanntwerden der Schwachstelle durch den Lieferanten behoben werden, müssen Fitbit gemeldet werden, einschließlich der Identifizierung aller Risiken für Fitbit-Daten, die sich aus der Unfähigkeit des Lieferanten, die Schwachstelle zu beheben, ergeben.
• Anwendungs- und Netzwerk-Penetrationstests. Mindestens einmal pro Jahr muss ein unabhängiger Dritter Tests durchführen, um die Anwendungs- und Netzwerksicherheit des Lieferanten zu prüfen. Diese Tests müssen durchgeführt werden bei: (i) allen SaaS-Lösungen, die der Lieferant Fitbit zur Verfügung stellt; (ii) allen Aspekten des dem Internet zugewandten Perimeters der Netzwerkinfrastruktur des Lieferanten und (iii) der IT-Umgebung des Unternehmens und der Produktion des Lieferanten. Auf Anfrage muss der Lieferant Fitbit Informationen zur Verfügung stellen, aus denen hervorgeht, welche Drittpartei diese Tests durchgeführt hat, sowie den entsprechenden Umfang und die Zusammenfassung der Ergebnisse.
• Personalsicherheit. Der Lieferant muss angemessene Verfahren und Praktiken zur Personalsicherheit und -integrität einführen und aufrechterhalten, einschließlich, aber nicht beschränkt auf die Durchführung von Hintergrundprüfungen in Übereinstimmung mit den geltenden Gesetzen.
• Sicherheitsbewusstsein. Ein Programm zur Sicherheitsschulung und -aufklärung, das in Verbindung mit dem Onboarding neuer Mitarbeiter und danach jährlich durchgeführt wird.

Soweit der Lieferant im Rahmen der Erfüllung der Anwendbaren Verträge Karteninhaberdaten (wie im Payment Card Industry Data Security Standard ("PCI DSS") definiert) im Auftrag von Fitbit überträgt, speichert oder verarbeitet, muss er in diesem Zusammenhang den PCI DSS einhalten. Darüber hinaus muss der Lieferant alle Aufgaben, Bewertungen, Überprüfungen, Penetrationstests, Scans und andere Aktivitäten durchführen, die erforderlich sind (einschließlich aller vom PCI Security Standards Council herausgegebenen Compliance-Anleitungen) oder anderweitig dazu dienen, die Einhaltung des PCI DSS durch den Lieferanten in Bezug auf die Systemelemente und Teile der Karteninhaberdatenumgebung (wie diese Begriffe im PCI DSS definiert sind), für die der Lieferant verantwortlich ist, zu überprüfen. Auf Anfrage von Fitbit muss der Lieferant Fitbit eine Kopie seiner jährlichen PCI-Compliance-Bestätigung vorlegen, um diese Compliance zu bestätigen .

Zu diesem Zweck wird der Lieferant von Zeit zu Zeit auf angemessene Aufforderung von Fitbit eine Bescheinigung ausfüllen, die Fitbit gegenüber die fortlaufende Einhaltung der vorgenannten Maßnahmen darstellt und gewährleistet, sowie Fitbit alle Informationen zur Verfügung stellen, die Fitbit nach vernünftigem Ermessen benötigt, um sich zu vergewissern, dass der Lieferant die vorgenannten Maßnahmen einhält