本措施為Fitbit安全性與隱私權條款的補充措施。

Fitbit 要求處理 Fitbit 資料的供應商遵守若干最低限度的組織及技術安全性措施。

供應商必須制定、維持及╱或實施符合本措施的書面綜合資料安全計畫。供應商的資料安全計畫應包含用於保護 Fitbit 資料且嚴格程度不低於已接納行業慣例（包括但不限於國際標準化組織標準：ISO/IEC 27001:2013 資訊安全管理體系要求及 ISO-IEC 27002:2013 資訊安全管理之作業規範或美國註冊會計師協會（AICPA）服務組織控制（SOC）2 類標準）的行政、技術及實體保障措施以及用於下列目的的其他安全性措施：(i) 確保 Fitbit 資料的安全性及機密性；(ii) 防止 Fitbit 資料的安全性及完整性受到任何潛在威脅或危險；及 (iii) 防止任何實際或疑似未經授權處理、丟失、使用、揭露或擷取或存取任何 Fitbit 資料的行為。在不限制前述條文的一般性規定的前提下，該等措施應至少包含：

• 安全的使用者認證協定。採用多重要素驗證登入解決方案管理使用者對供應商資訊科技環境的存取，包括但不限於對下列各項的存取：(a) 供應商公司資訊科技環境的任何 VPN 連線（包括供應商的電子郵件系統，倘可透過網際網路存取）；(b) 供應商生產資訊科技環境的任何連線；及 (c) 供應商於其履行適用協議時可能用於傳輸、處理或存放 Fitbit 資料的任何其他軟體或服務。
• 安全的存取控制措施。倘供應商向 Fitbit 提供 SaaS 解決方案，其必須透過 SAML 整合一項 Fitbit 批准的單一登入（SSO）解決方案。
• 處理 Fitbit 資料。維持供應商公司資訊科技環境與生產資訊科技環境之間的邊界，包括但不限於維持對生產邊界的存取控制及僅限出於職責要求進行存取的個人存取生產資訊科技環境。供應商必須對其生產資訊科技環境中的 Fitbit 資料及供應商的其他客戶資料進行隔離。供應商不得將 Fitbit 資料移出供應商的公司資訊科技環境或生產資訊科技環境，除非供應商事先獲得 Fitbit 書面同意。特別是，不得將 Fitbit 資料下載至電話、平板電腦、筆記型電腦或桌上型電腦，不得與供應商的公司資訊科技環境或生產資訊科技環境外的第三方共享 Fitbit 資料。
• 安全傳輸。倘供應商處理 Fitbit 資料時涉及透過網路傳輸 Fitbit 資料，供應商應確保提供與傳輸相關風險及 Fitbit 資料（例如個人資料）性質相適應的安全級別保護，包括但不限於採用安全、主動支持的傳輸層安全性（TLS）版本進行傳輸加密。
• 待用加密。採用行業標準加密演算法（例如 AES）對待用 Fitbit 資料進行加密。
• 安全設定。實施符合行業標準的網路、裝置、應用程式、資料庫及平台安全性控制措施（例如 SANS 資訊安全政策模板、國防資訊系統局安全技術實施指南）。
• 持續監控及回應。實施及維持連續的端點偵測及回應工具，以及升級反惡意程式功能。主動監控、偵測及警示供應商公司及生產資訊科技環境內的可疑或惡意活動（如適用）。供應商亦須維持能夠於發現後立即對安全性事件進行回應及補救的事件回應程序。
• 軟體開發週期及變更管理。實施及維持安全的軟體開發週期能力，考慮開放式 Web 應用程式安全專案最佳做法及事前考慮變更安全性影響的正式變更管理程序。
• 漏洞管理。安全性漏洞管理計畫包括定期偵測及修復用於傳輸、處理或存放 Fitbit 資料的系統的漏洞。該計畫必須包含基於嚴重程度評估及減輕漏洞影響以及驗證修復工作的程序。
• 漏洞修復。快速處理（包括應用必要的安全修補程式）供應商公司及生產資訊科技環境（包括但不限於供應商的伺服器、端點及端點管理系統）中發現的高度及重度嚴重事件。倘任何嚴重級別為「重度」及「高度」的漏洞未在供應商知悉該漏洞後的六十（60）天內解決，則必須上報至 Fitbit，包括指明因供應商無法修正該漏洞而對 Fitbit 資料產生的任何風險。
• 應用程式及網路滲透測試。應至少一年一次委聘獨立第三方進行測試，檢測供應商的應用程式及網路安全性。該等測試須就以下方面進行：(i) 供應商提供予 Fitbit 的任何 SaaS 解決方案；(ii) 供應商網路基礎結構的網際網路周邊的所有方面；及 (iii) 供應商的公司及生產資訊科技環境。一經要求，供應商必須向 Fitbit 提供概述進行該等測試的第三方以及相關範圍及結果的資料。
• 人員安全性。供應商必須實施及維持合理的人員安全及廉正程序及做法，包括但不限於按照適用法律進行背景調查。
• 安全性意識。已實施有關新員工入職的安全性培訓及安全性意識計畫，日後每年實行一次。

此外，作為履行適用協議的一部分，供應商代表 Fitbit 傳輸、存放或處理持卡人資料（如支付卡產業資料安全標準（「PCI DSS」）所界定），因而，供應商須就此遵守 PCI DSS。此外，供應商應進行任何及所有任務、評估、審查、滲透測試、掃描及所要求的其他活動（包括支付卡產業安全標準委員會發佈的任何合規指引）或驗證供應商是否遵守 PCI DSS，因為它涉及到供應商負責的持卡人資料環境的系統元素及部分（該等術語如 PCI DSS 中所界定）。經 Fitbit 要求，供應商應向 Fitbit 提交其年度 PCI 合規性認證的複本，以證實其合規性。

為支持上述規定，根據 Fitbit 不時提出的合理要求，供應商應立即完成證明，向 Fitbit 聲明及保證其持續遵守上述措施，並向 Fitbit 提供 Fitbit 合理確認屬必要的任何資料，用於核實供應商是否遵守相關標準。