------------------------------------------------------------------------------------------------------------------------------------------------------------------

本一般服務協議(“協議”)於生效日期由美國銀行(一家全國性銀行協會)與上述供應商(一家特拉華州一家公司)簽訂，並由本簽名頁及隨附的條款和條件、時間表以及所有其他文件組成，所有其他文件通過本參考全文併入本協議。

目錄表

    

附表

日程安排服務

計劃服務費

計劃績效測量

日程安排信息安全

安排背景調查

計劃恢復

計劃雲服務的使用

本協議中所有未在本節中定義的大寫術語應具有本協議中定義它們的各節或附表中所給出的含義。

1.1關聯-現在或以後由一方控制、控制或與一方共同控制的商業實體。當一個實體直接或間接擁有或控制至少50%(50%)加上一股已發行股本，代表有權投票選舉另一實體的董事或其他管理當局時，即存在控制權。

1.2綜合消費者信息是指僅與一組或一類消費者有關的信息，其中的個人消費者身份已被刪除，但無法與任何一個消費者或家庭鏈接或合理鏈接，包括通過任何設備或其他能夠直接或間接連接到互聯網或其他設備的物理對象。

1.3關聯信息-關於公司代表的任何信息(無論過去、現在或將來)，無論是紙質、電子形式，還是由公司或代表公司維護的其他形式。

1.4營業日-週一至週五，不包括公司在美利堅合眾國不營業的日子。

1.5消費者信息-關於個人的任何記錄，無論是紙質、電子或其他形式，即消費者報告，這一術語在《公平信用報告法》(15 USC 1681及以下)中有定義。或源自消費者報告，並由公司或代表公司出於商業目的維護或以其他方式擁有。消費者信息也指此類記錄的彙編。該術語不包括任何不識別個人身份的記錄。

1.6客户信息-任何包含有關客户(過去、現在或未來)、其對公司服務的使用或客户帳户的信息的記錄，無論是紙質、電子或其他由公司或代表公司出於商業目的維護的形式。

1.7數據保護法-適用於服務的有關個人數據處理的所有法律、法規或其他具有約束力的規則，包括但不限於“保密”一節中定義的美國隱私法。

1.8生效日期-本協議或命令(如適用)在簽字頁上規定的生效日期。

1.9失效日期-本協議或訂單(如適用)在簽字頁上規定的失效日期，除非根據本協議條款提前終止或延期。

1.10政府當局--任何國家或政府、任何州或其其他政治區，以及任何行使政府的或與政府有關的行政、立法、司法、監管或行政職能的實體。

1.11信息安全計劃-描述供應商如何保護信息和信息系統免受未經授權的訪問、使用、披露、破壞、修改和破壞的政策、程序、計劃、流程、實踐、角色、責任、資源和結構，以符合本協議和所有相關時間表和附件的保密和信息保護要求的方式提供機密性、完整性和可用性。

1.12知識產權--世界各地的所有知識產權，包括著作權、專利權、面具作品、商標、服務標誌、商業祕密、發明(不論是否可申請專利)、專有技術、作者權利、署名權、數據庫上的專有權、其他專有權以及申請註冊或保護這些權利的所有申請和權利。

1.13本地參與協議-本協議的修正案或附錄，其形式為雙方同意，並由雙方簽署，以及(如果當地法律要求或一方希望)締約方的關聯公司提供或接受服務，受本地參與協議的約束，該協議修改本協議，以允許在美國以外的一個或多個國家或其他自治或半自治領土提供或提供服務

1.14模型-應用統計、經濟、金融或數學理論、技術和假設將輸入數據處理為定量估計的量化方法、系統或方法，包括：1)向模型傳遞假設和數據的信息輸入組件；2)將輸入轉換為估計的處理組件；以及3)將估計轉換為有用商業信息的報告/輸出組件；或4)使用深度學習、集成學習、自然語言處理、神經網絡或強化學習的任何人工智能。

1.15訂單-任何書面協議或文書，包括但不限於產品許可表、工作説明書、採購訂單或工作訂單，以及由公司採購服務和供應商管理小組的授權人員簽署或發起的電子傳輸，記錄並構成供應商將向公司提供的服務的描述和此類服務的費用，基本上符合公司向供應商提供的格式。除非另有書面規定，否則每個訂單中與服務描述、定價和性能標準相關的商業術語僅適用於該訂單。

1.16參與方-公司或供應商。

1.17個人數據、個人信息-(A)數據保護法定義或監管的任何“個人數據”或“個人身份信息”；以及(B)任何與在世的個人有關的信息，這些信息可以單獨從該信息中識別，也可以與其他信息結合使用。

1.18個人資料泄露-違反保安規定，導致意外或非法銷燬、遺失、更改、未經授權披露或取用個人資料。

1.19處理、處理、處理-對於適用於或與服務有關的個人數據，收集、記錄、組織、構建、存儲、改編或更改、檢索、諮詢、使用、通過傳輸、傳播或以其他方式提供披露、對齊或組合、限制、刪除或銷燬，包括但不限於《一般數據保護條例》(EU 2016/679)中歸因於此類術語的所有活動以及與此相關的任何監管解釋、指導、命令和類似出版物。

1.20記錄-組織或個人為履行法定義務或在業務交易中創建、接收和保存的作為證據和信息的信息。

1.21監管者-每個政府機構對公司或公司附屬公司擁有監管或監督權。

1.22關係經理-一方指定就本協議項下發生的事項代表其行事的僱員，應是另一方就與本協議有關的事項以書面形式聯繫的人。

1.23代表-當事人的僱員、官員、董事或代理人。

1.24服務(在此也稱為“產品”或“產品”)--可能在本協議附件中概括描述的服務和/或每個訂單中描述的服務，包括但不限於所有專業、管理、勞動力和一般服務，以及供應商提供的與此類服務相關的任何材料、用品、產品、有形物品或其他貨物。

1.25特別決議事件-應指影響公司或公司附屬公司的下列任何事件：(A)將公司或公司附屬公司的股份轉讓給特別決議接受者，使該實體不再是附屬公司；(B)以資產轉讓的方式將公司或公司附屬公司的全部或部分業務轉讓給不是附屬公司的實體；(C)就公司或公司附屬公司而言，指定特別決議監管機構作為該實體的接管人；(D)就公司或公司附屬公司而言，美國財政部部長援引有序清算權；或(E)就公司或公司附屬公司而言，由政府當局發出破產申請或命令或行政命令。

1.26特別決議案接受者-因特別決議案事件而將本公司或本公司聯屬公司全部或大部分資產轉移至的任何實體，以致該等轉讓後該實體不是本公司的聯屬公司(包括但不限於設立過橋銀行、過橋控股公司或過橋融資公司)。

1.27特別決議監管機構-美國聯邦存款保險公司、其他機構或受託管理特別決議事件的監管機構或其繼任者，或美國境外受託管理特別決議事件的同等機構。

1.28分包商-第三方，包括但不限於分加工商，賣方已將本合同規定的義務的任何部分委託或分包給該第三方。

1.29子處理機-賣方聘請的個人數據處理機，根據本協議承擔賣方的全部或部分處理義務。

1.30條款-本協議的初始期限或任何續訂或延期。

1.31時間敏感通知-根據本協議下列任何一項提供的任何通知：“協議期限”、“終止”、“財務責任”、“機密性”、“信息保護”、“審計”、“工作產品的所有權”和“信息安全”的時間表。

1.32供應商安全控制-由供應商作為其信息安全計劃的一部分實施的控制，以滿足每一項適用的銀行安全要求。

1.33工作產品-所有信息、數據、材料、發現、發明、原創作品、文件、文件、模型、計算機程序、軟件(包括源代碼和目標代碼)、固件、設計、圖紙、規範、流程、程序、技術、算法、圖表、方法以及前述各項的所有有形實施(以任何形式和媒體)，由供應商根據本協議或在本協議下提供的服務範圍內，應供應商的要求構思、創建、簡化或實施或準備，無論是否在公司場所和其中的所有知識產權準備。

2.1供應商應按照本協議和每個適用訂單中規定的服務級別、規格和時間範圍，並按照題為《性能測量》的時間表或適用訂單中規定的績效衡量標準，履行每個適用訂單中所述的服務。

2.2所有服務應由供應商、其員工、代表和/或分包商在美國五十(50)個州或哥倫比亞特區的一個或多個地點或從一個或多個地點處理和/或提供，無論是部分還是全部，除非公司事先書面同意，該書面協議可以包括雙方簽署共同商定的《當地參與協議》，按照本節的規定在美國境外提供的服務。未經公司事先書面同意，供應商不得將服務的提供轉移到其他地點。任何要求批准此類搬遷的請求都應指定所涉及的服務和供應商代表以及建議的供應商設施的位置，以執行此類服務。供應商應繼續負責履行其在本協議項下與搬遷服務有關的所有義務，並應確保任何此類搬遷不會對公司或其附屬公司造成不利影響。任何此類搬遷應由供應商承擔全部費用，公司不對因任何此類搬遷而產生的任何費用、費用或成本的增加負責，包括公司增加的運營成本。供應商應負責遵守與其搬遷工作有關的所有法律，並負責從該等服務搬遷到的地點提供服務。

2.3在可利用的範圍內，所有文件都將以印刷和電子格式提供。除“工作產品的所有權”一節另有規定外，公司可出於內部目的使用和複製供應商提供的所有文件，包括在公司的內聯網或其他內部電子分發系統上部分或全部顯示文件。

2.4與本協議一起使用的所有文書，如訂單、確認書、發票、時間表(“文書”)應僅用於定義數量、價格和描述本協議項下提供的服務，在此範圍內僅作為本協議的一部分。本協議中包含的、發佈在任何網站上或包含在任何媒體中的任何預先打印的條款和條件(包括默認、批准或協議需要鼠標點擊或電子簽名的條款)不得納入或解釋為修改本協議的條款。供應商提交給公司的與本協議相關的任何文書應在適用的情況下引用訂單號和協議號。

2.5供應商應向公司提供一份供公司聯繫的人員名單、電子郵件和電話號碼(“聯繫人名單”)，並使其保持最新狀態，以便獲得與訂單中所列服務相關的問題的答案。聯繫人名單應包括(1)出現問題或出現問題時第一個聯繫的人，以及(2)連續擔任更負責任或更有資格的職位以提供所需答案或協助的人員。如果供應商未及時迴應公司的任何諮詢服務請求，則公司可嘗試聯繫聯繫人列表上的下一個更負責任或更有資格的人員，直到取得聯繫並由指定人員做出相應響應。

2.6賣方明確承認並同意，本協議規定的公司權利適用於所有公司關聯公司，並且這些關聯公司可以執行本協議項下的訂單和購買服務。公司明確承認並同意，服務可由供應商關聯公司提供，該等供應商關聯公司可執行本協議項下的訂單並提供服務。儘管有上述兩句話，但供應商關聯公司提供服務或公司關聯公司接受服務，或公司或供應商關聯公司執行訂單，均不解除或免除公司和供應商對本協議項下義務、陳述、保證和契諾的主要責任。對於供應商或供應商的附屬公司或公司在美國以外國家/地區的任何附屬公司提供的服務，雙方及其適當的當地附屬公司(在法律要求或適用方希望執行當地附屬公司的範圍內)將簽署當地參與協議。供應商有權向公司主張適用的供應商附屬公司在本協議或相關訂單下擁有的所有索賠、補償和抗辯，包括本協議中規定的任何明示責任限制。與公司或其關聯公司或供應商或其關聯公司或分包商在本協議或任何訂單項下的權利和義務有關的所有索賠，應由公司和供應商根據本協議中題為“爭議解決”和“調解/仲裁”的條款進行解決，無論索賠源自何處，在任何情況下，公司或其關聯公司或供應商或其關聯公司或分包商都不會提起任何法律訴訟, 在任何司法管轄區內以本協議和任何命令所引起的任何方式提起訴訟或進行訴訟，但此類條款中規定的除外。

2.7如果本協議未附加符合適用數據保護法的數據傳輸協議，涵蓋本協議下提供的所有服務，則供應商應簽訂公司可能合理要求的一項或多項數據傳輸協議，以確保在以下情況下遵守該等數據保護法(該協議可能是訂單的一部分)：(A)供應商打算轉讓或被要求轉讓服務提供國家以外的任何個人信息，和/或(B)公司打算或被要求向服務提供國家以外的供應商或供應商或關聯公司轉讓任何個人信息。此類協議應在發生任何此類個人信息轉移之前達成。供應商應向公司提供可能需要的商業合理協助，以便公司向對此類協議或數據傳輸具有管轄權的地方當局登記或提交此類數據傳輸協議或其他數據傳輸信息，並應採取任何法律要求的步驟，根據對數據傳輸具有管轄權的國家的適用法律充分實施此類數據傳輸並使其合法化。

3.1每一方應指定一名或多名員工關係經理代表其處理本協議項下的事項，並應將其關係經理的姓名以書面形式通知另一方；但該關係經理無權更改或修改本協議的任何條款、條件或規定。任何一方均可通過事先書面通知另一方來更換其關係經理。關係經理必須在本協議項下的任何工作開始前至少一(1)周以書面形式提交給另一方。

3.2關係經理應按照公司關係經理合理要求的頻率，通過電話會議進行會面。公司可能要求在公司指定的地點親自開會。

4.1除非根據本協議的條款提前終止或延長，否則本協議應從生效日期起至簽字頁(“初始期限”)上註明的期滿日期有效。公司有權在初始期限或任何續訂期限結束前至少九十(90)個日曆日之前向供應商發出書面通知，將本協議再延長十二(12)個月(“續訂期限”)。如果公司未將其續訂或終止本協議的意向通知供應商，則本協議應按每個適用訂單的有效價格逐月繼續有效，直至任何一方提前至少九十(90)個日曆日書面通知另一方終止本協議為止。

5.1為方便起見，公司可隨時終止本協議或本協議下的任何訂單(或其中的一部分)，而無需在書面通知供應商前至少九十(90)個日曆日內再收取費用。除非公司另有規定，一份訂單(或其部分)的終止不應導致本協議或任何其他訂單(或其部分)的終止。

5.2除任何一方可獲得的任何其他補救措施外，在任何一方發生終止事件(定義如下)時，另一方可通過提供書面終止通知，立即終止本協議或終止事件所涉及的訂單。在下列情況下，終止事件應發生：(A)一方實質性違反本協議或本協議項下的命令規定的義務，並且在另一方發出書面違約和終止意向通知後三十(30)個歷日內未糾正違約行為；(B)供應商在任何六(6)個月期間三(3)次違反本協議規定的一項或多項義務或違反命令，並書面通知供應商，無論是否進行了補救；(C)供應商違反了協議項下的義務或不可補救的命令；(D)如果賣方在本協議或任何訂單下的履約義務受制於服務水平要求、業績指標或類似的衡量標準，則賣方未能更頻繁地達到此類衡量標準，超過本協議或相關訂單規定的未達到預期衡量標準的允許最大值(如果有的話)，(E)一方破產(通常無法在到期時償還債務)或成為破產、託管、接管、解散、清盤或類似程序的標的，或為其債權人的利益進行一般轉讓；(F)賣方：(I)與另一實體合併，(Ii)轉讓涉及50%(50%)或以上其任何類別有表決權的證券，或(Iii)轉讓其全部或幾乎全部資產；(G)在提供本協議項下的服務時，賣方違反任何法律或法規, 或導致公司嚴重違反任何法律或法規；(H)公司有權根據“定價/費用”一節終止本協議；(I)一方違反“不轉讓”一節的規定試圖轉讓本協議；或(J)政府當局指示或指示公司終止或退出本協議。違反一項命令不得導致違反任何其他命令，除非非違約方在適用的命令中另有書面規定。如果發生上述5.2(F)項中的轉讓，賣方應在法律允許的範圍內，在合法的轉讓結束前，在合理可行的範圍內儘快向公司發出通知，或者，如果事先通知不是合法允許的，則不得遲於轉讓公佈後五(5)個工作日。即使本協議有任何其他相反的條款或規定，基於終止事件的終止應不向公司收取費用或費用；但是，公司應有義務支付附表中所規定的“業績衡量”或任何已經履行或提供的服務訂單中所規定的無可爭辯的金額，並進一步規定，本協議中的任何規定均不構成賣方對賣方根據本協議、法律或衡平法有權提出的任何索賠或訴訟的免除。

5.3如果本協議或本協議項下的訂單到期或終止，供應商同意應公司的要求，供應商將在公司不承擔任何額外費用的情況下，在公司的指導下，以不對公司業務和運營造成實質性幹擾的方式，繼續不間斷地運營、完成業務並與公司合作。與此過渡相關的費用應與本協議期滿或終止時生效的費用一致。除非雙方另有書面協議，否則在任何情況下，過渡期不得超過終止日起一百八十(180)個歷日；但如終止事件構成、導致或由特別決議案事件引起，則過渡期不得超過自適用的特別決議案事件起計二十四(24)個月，具體期間由特別決議案事件後本公司在實際可行的情況下儘快指定，除非特別決議案監管機構要求提供不同期間(不論較長或較短)的過渡期，在此情況下，準許的過渡期應為特別決議案監管機構所要求的期間。為免生疑問，公司同意就根據本協議相關條款提供的服務終止或期滿之日之前向供應商支付的所有無可爭辯的費用。本協議條款和條件之外發生的所有特殊成本和支出的報銷將在發生之前由供應商和公司以書面形式商定。

5.4為實現本協議的基本目的，各方的權利和義務因其性質而必須在本協議終止或期滿後繼續存在，包括但不限於本協議終止後的“審計”、“保密”、“信息保護”、“賠償”、“責任限制”、“調解/仲裁”、“工作產品的所有權”、“其他”以及“終止”條款第5.5和5.6款的規定。

5.5在特別決議事件發生後，但在簽署適用的特別決議服務協議(定義如下)之前：(A)供應商不得因發生該特別決議事件而終止本協議，即使本協議有任何相反規定，每個特別決議接受者應有權在觸發特別決議事件發生之日起二十四(24)個月內，或在特別決議監管機構要求的任何更長期限內(“過渡期”)繼續享受本協議的利益。但在資產轉讓的情況下，轉讓的資產應有權獲得本協議的利益；(B)任何特別決議接受方均不是本協議項下的一方或預期的第三方受益人，無權強制執行本協議；但是，公司或其關聯公司可直接代表該特別決議接受方執行本協議，而供應商可就向特別決議接受方提供的服務對公司強制執行本協議；以及(C)如果任何特別決議接受者選擇在過渡期內繼續使用本協議下的服務，供應商應直接向該特別決議接受者收取特別決議接受者收到的服務部分的費用，並應按比例調整公司或其關聯公司的到期和欠費(如果有)。

5.6在特別決議事件發生後的一段合理時間內，供應商應提出與每一位特別決議接收方訂立直接協議(“特別決議服務協議”)，按照與本協議基本相同的條款提供全部或部分相關服務或使用全部或部分工作產品(根據特別決議事件產生的變化進行必要的修訂)。在簽署每項特別決議服務協議時，本協議項下的到期費用和欠款應按比例進行調整，以反映公司或其關聯公司在轉讓給特別決議接受方後所使用的服務的範圍和數量(如有)的任何減少。自每項特別決議服務協議生效之日起，作為該協議一方的特別決議接受方將不再享有本協議項下的任何服務或工作產品的權利。

6.1公司應就適用訂單中規定的本協議項下提供的服務向供應商付款。賣方應在違約前全額支付賣方使用的與服務相關的任何代表或分包商，並應賠償、辯護並使公司不因賣方未能支付任何此類款項而受到損害，包括賣方應立即解除賣方代表或分包商對公司任何財產提起的任何留置權或評估的任何留置權。如果賣方在公司向賣方提出書面付款要求後十(10)個工作日後仍未向任何代表或分包商付款，則公司可(但沒有義務)直接向該代表或分包商付款，賣方應應公司的要求立即向公司償還該等付款的金額。如果供應商未能按要求及時償還公司款項，公司可根據本協議衝抵公司欠供應商的一筆或多筆款項。為免生疑問，賣方未能根據本節向任何代表或分包商付款或向公司償還費用，應構成對本協議的實質性違反。

6.2對於符合以下條件的服務，公司不應被要求支付費用：(A)未經公司要求，並記錄在本協議第1頁中指定的公司簽字人或通知收件人簽署的訂單中(但是，在這種情況下，公司可以酌情支付此類服務，但不放棄其在本節下關於未來違規行為的權利)，但公司可酌情為此類服務支付25%(25%)的折扣，並且供應商應接受此類金額，以完全滿足此類服務的補償和補償)。或(B)不符合本協議和本協議的所有相關時間表和附件的要求，或不符合適用訂單中規定的任何服務級別、規格、性能測量和時間範圍。未列在名為“服務費”的附表或適用訂單中的附加服務的費用應在履行之前由公司和供應商以書面形式共同商定。除非該等服務和費用在供應商履行之前得到公司的書面同意，否則無需支付任何額外服務的費用。

6.3[故意遺漏]

6.4[故意遺漏]

7.1供應商應根據公司當時規定的要求，包括但不限於使用Ariba網絡(除非訂單或本地參與協議中另有規定)，以電子方式進行採購訂單和發票交易。供應商應確保供應商有能力利用Ariba網絡(如果適用於供應商)或公司指定的其他處理器網絡進行交易，無需向公司支付額外費用。供應商應負責支付Ariba或任何其他處理器為註冊、參與或使用Ariba網絡或任何其他處理器網絡而評估的任何費用。在任何情況下，公司都不對供應商使用Ariba或公司指定的任何其他處理器產生的或與之相關的任何成本、費用或其他責任負責。

7.2供應商應按月提交發票，或按適用訂單中的規定提交發票，發票應包含公司可能不時合理要求的細節，包括參考本協議頂部的協議編號和任何訂單編號。公司要求供應商對服務和有形個人財產分別收費。公司還要求供應商在發票面上註明購買任何有形個人財產的“收貨”地址和提供服務的地點。在完成服務或交付工作成果後，應立即開具發票。供應商在根據本協議首次開具發票後三(3)個月內未向公司開具發票的金額此後不得開具發票，公司也無需支付此類金額。

7.3付款將根據公司當時的現行付款政策進行。除非在當地參與協議中另有規定，否則公司要求供應商通過電子媒體接受以下商定方法之一的付款：使用公司ePayables流程的信用卡、ACH或電子支票。如果商定的付款方法是通過使用購物卡的公司ePayables流程，供應商應確保供應商在向公司提交發票之前，有能力處理購物卡，而公司不承擔任何額外費用。

7.4公司應向供應商支付所有服務和適用税，包括但不限於所有銷售税、使用税和消費税，還包括在美國境外徵收的任何税，如增值税、商品及服務税、銷售税、購置税、營業税或現在或將來適用的類似税，包括但不限於根據1994年增值税法案和議會指令2006/112/EC及其任何替代措施應徵收的增值税(所有前述税種在美國以外的地區均為外交服務税)，並根據本協議的條款開具拖欠發票。在公司收到有效發票之日起六十(60)個日曆日內。公司保留在六十(60)天期限屆滿前付款的權利。

7.5發票應包括並列出作為公司法定義務的所有適用的銷售税、使用税或消費税和外交服務税，作為單獨的分項，以標識每個單獨的税種和徵税機關。公司將向供應商償還根據一般法規或税務機關其他權威指令就公司根據本協議應向供應商支付的金額徵收的所有銷售税、使用税或消費税和外交服務税；但公司不負責將該等税款匯給適用的税務機關。

7.6因根據本協議向供應商支付的任何費用或其他付款而對公司施加的任何預扣或其他税收要求完全由供應商承擔責任。如果任何相關司法管轄區的法律要求本公司扣留本協議項下本公司向供應商支付的任何款項，本公司將應供應商的書面要求，盡商業上合理的努力向供應商提供税務憑證，記錄該等款項向相關税務機關的匯款。或者，供應商應在付款日期前至少十(10)個工作日，在適用法律規定的範圍內，向公司提供有效簽署的、令公司合理滿意的證書，證明供應商免除任何預扣或其他税收要求。

7.7公司不對供應商的任何從價、收入、毛收入、特許經營權、特權、增值税或職業税負責。公司和供應商應各自承擔對其自有或租賃的不動產或個人財產徵收的所有税款、評估和其他與不動產或個人財產有關的税款。如果適用，供應商必須確保加州、密蘇裏州、弗吉尼亞州、馬裏蘭州、南卡羅來納州或其他州給予金融機構的商業個人財產税豁免得到正確應用。

7.8賣方應負責支付與本節所述税務機關的任何評估有關的所有税款(包括外交服務税)、利息和罰款，前提是供應商未能準確、及時地向公司開具此類税款的發票，並將此類税款直接匯至適用的税務機關。如果税務機關對公司進行抽樣和預測審計，則供應商應負責支付所有預計税額，包括因該税務機關在供應商發票上發現的徵税錯誤而評估的任何預計税款的所有利息和罰款，但前提是供應商應及時收到通知，該發票包括在税務機關的審計中，並且供應商有權出示文件證明已繳納税款。如果供應商自願登記在未來某個日期徵收銷售税，並希望匯回供應商認為應繳的歷史税款，公司將只負責公司在法律上對各州税務機關負有義務的期間的應繳税款。

7.9供應商應全力配合公司的努力，根據本協議確定應付金額的應税和非應税部分(包括髮票上這些部分的分離)，並在適當的情況下獲得已支付税款的退還。公司可向供應商提供證書或其他證據，以支持適用的銷售、使用、消費税或外交服務税的豁免。如果公司根據本節向供應商支付或報銷，供應商特此轉讓並轉讓其對任何已支付税款的所有權利、所有權和利益以及退還給公司的任何税款。任何針對評估機構的退税要求，可由公司選擇以公司或供應商的名義提出，或以兩者的名義提出。公司可以發起和管理以公司或供應商或兩者的名義提起的訴訟，以獲得根據本節支付的金額的退款。供應商應與公司充分合作，尋求任何退款要求，包括任何相關的訴訟或行政程序。

7.10賣方應按照一貫適用的公認會計原則保存和維護完整、準確的會計記錄，以支持和記錄本合同項下應向賣方支付的所有金額。根據公司的請求並在提出請求後的合理時間內，供應商應向公司(或公司指定的代表)提供訪問此類記錄的權限，以便在正常營業時間內審核此類記錄。在記錄中記錄的金額到期後，賣方應按照本協議的“審計”一節保留本節要求的所有記錄。供應商應與公司和任何涉及銷售、使用或消費税或外交服務税審計的税務機關充分合作。應公司要求，供應商將提供已選定供任何税務機關審查的電子形式發票的副本，以及支持識別本節所述發票上反映的應税和非應税部分金額的文件。

8.1每一方均表示並保證：(A)各方簽署、交付和履行本協議：(I)經所有必要的公司行動授權，(Ii)不違反任何法律、法規或法院命令的條款，或任何一方或其任何資產可能受到的任何重要協議的條款，以及(Iii)不受任何第三方的同意或批准；(B)本協議是代表方的有效和具有約束力的義務，可根據其條款對該方強制執行；

以及(C)該締約方不受任何未決或威脅的訴訟或政府行動的影響，這些訴訟或政府行動可能幹擾該締約方履行本協議規定的義務。

9.1在履行本協議項下的義務時，在不限制其他適用的履約保證的情況下，供應商向公司作出如下陳述和擔保：(A)供應商在其註冊狀態良好，並有資格在其提供本協議項下服務的其他每個州作為外國公司開展業務；(B)供應商應確保或已經獲得提供本協議規定的服務所需的所有許可證、執照、監管批准和登記，包括但不限於向適當的税務機關登記匯款；和(C)供應商代表和分包商不是任何政府或政府機構的僱員或代理人，或以其他方式與任何政府或政府機構有關聯。關於9.1(C)項，供應商應將狀態的任何變化通知公司。

9.2賣方聲明並保證，其應使用具有適合其任務的專業知識的稱職人員，以及時和專業的方式履行服務。供應商聲明並保證，服務應在所有實質性方面符合或超過本文所述的規格，以及行業中對類似服務普遍遵守的標準。供應商聲明並保證本合同項下提供的服務在工藝、設計和材料方面不存在缺陷。賣方聲明並保證，根據本協議提供的工作產品和服務不會、也不會侵犯、挪用或以其他方式侵犯任何第三方的任何知識產權或任何其他權利。

9.3截至生效日期，沒有任何針對供應商、供應商代表和分包商的訴訟、訴訟或程序懸而未決，或據供應商所知，對供應商、供應商代表和分包商指控侵犯、挪用或以其他方式侵犯與本協議預期的任何工作產品或服務相關的任何知識產權。

9.4(A)賣方應並負責確保賣方代表和分包商履行本協議項下賣方的所有義務，遵守適用於賣方以及適用於公司的所有法律、規則、法規和其他法律要求，並在該等法律、規則、監管指導、法規和與服務有關的法律要求的範圍內(所有該等法律、規則、監管指導、法規和法律要求在下文中稱為“適用法律”)。在遵守適用法律方面，供應商承認，公司對其客户有義務禁止違反《聯邦貿易委員會法》第15編第45(A)(1)節第5(A)(1)節的不公平或欺騙性行為，並遵守所有適用的無人認領財產州監管要求以及其他適用法律。根據本協議接受服務的公司、其附屬公司或其客户提供或訪問的所有軟件、網站、基於網絡的應用程序、在線內容和其他電子或信息技術，應符合萬維網聯盟的網站內容可訪問性指南2.1、符合AA級成功標準，或萬維網聯盟可能採用的修訂、更新或後續指南。適用法律應包括但不限於在供應商或其附屬公司開展業務的司法管轄區內適用於供應商的所有勞工和就業法律，包括但不限於針對勞動力中的童工、強迫勞動、奴役、人口販運、同工同酬和不歧視的法律。就本協議下的童工而言，兒童是指任何未滿15歲的人，除非適用法律規定了更高的年齡。賣方不得從事或鼓勵他人從事販賣人口或使用童工, 強迫勞動或奴役。此外，供應商應並應負責確保供應商代表和分包商按照公司或其關聯公司的所有政策、程序、標準和其他指示履行供應商在本協議項下的所有義務，這些政策、程序、標準和其他指示可由公司或其關聯公司全權酌情修改。公司將向供應商提供適用的政策、程序和其他説明。此外，供應商確認，供應商的適當代表已經或將閲讀並正在或將熟悉公司不時修訂的供應商行為準則，因為該準則已提供給供應商。

(B)供應商應執行政策、程序、培訓和指導方針，以確保遵守適用法律。此外，供應商應確保所有供應商代表和分包商每年成功完成並實施公司可能要求的與適用法律合規性相關的培訓。所需培訓可能包括公司提供的培訓計劃和材料。如果公司不提供培訓計劃和材料，供應商及其分包商應自行承擔成本和費用，提供或採購符合公司要求的培訓。公司對培訓計劃或內容的要求可隨時修改、替換或終止，由公司自行決定。應公司要求，賣方應向公司提供賣方代表和分包商完成此類培訓的證明。供應商及其代表和分包商應遵循公司提供的任何培訓中概述的所有程序、流程和指導方針。根據公司的要求並根據本協議的“供應商人員”一節的規定，任何供應商代表或分包商如未能成功完成公司每年所要求的培訓，應立即停止為公司工作。上述規定不適用於服務過程中的過程服務器，也不適用於註冊律師在與公司客户一起出庭的過程中出庭受審。

9.5供應商代表並保證其熟悉的所有適用的國內和國外反賄賂或反腐敗法律，包括但不限於英國《2010年反賄賂法》、美國《反海外腐敗法》和其他法律，禁止公司和/或供應商，以及(如果適用)其高級管理人員、員工、代理人和代表其工作的其他人採取行動，促進要約、付款、承諾付款或授權支付任何有價值的東西，包括但不限於現金、支票、電匯、有形和無形禮物、優惠、(I)政府部門、機構或機構的行政人員、官員、僱員或代理人，(Ii)完全或部分由政府擁有或控制的公司或企業的董事、官員、僱員或代理人，(Iii)其政黨或官員、或政治職位候選人，或(Iv)國際公共組織的行政人員、官員、僱員或代理人(例如，國際貨幣基金組織或世界銀行)(“政府官員”)或任何其他人；明知或合理相信全部或部分將用於獎勵或：(A)影響政府官員以公職身份行事的任何行為、決定或不作為；(B)誘使政府官員利用其對政府或工具的影響力來影響該政府或實體的任何行為或決定；(C)誘使任何人利用其影響力以不正當方式影響其僱主的任何行為或決定；或(D)獲取不正當利益，以獲取、保留, 或直接交易(《反賄賂和貪污法》)。供應商同意，如果它意識到任何可能違反反賄賂和腐敗法的行為，或者任何政府機構正在調查它可能違反反賄賂和腐敗法的行為，它將立即以書面形式通知公司。

9.6賣方聲明並保證其目前遵守反賄賂和腐敗法，並將繼續遵守所有適用的法律；它不會授權、提供或直接或間接向任何政府官員付款；其從公司收到的任何款項(無論是否補償)都不會用於任何可能構成違反任何反賄賂和腐敗法的目的。

9.7賣方代表並保證其本人及其代表和/或分包商不受美國財政部外國資產管制辦公室(OFAC)、聯合國安全理事會(UNSC)、歐盟(EU)、英國財政部(HMT)或其他相關制裁機構(統稱為“制裁”)實施或執行的任何制裁，供應商、其代表或分包商也不是位於、組織或居住在制裁對象的國家或地區的任何制裁對象。賣方表示並保證其及其代表和/或分包商均未違反任何制裁，且在本協議期限內不會違反或導致公司違反任何制裁。

9.8本協議中包含的保證取代所有其他明示或默示的保證，包括但不限於適銷性和對特定目的的適用性。

應要求，供應商應提供其欺詐政策，該政策涉及以下部分：與為公司提供的產品和/或服務相關的欺詐風險清單、預防、檢測、監控和補救此類欺詐風險的控制措施，包括在發現可疑活動後立即進行記錄和跟蹤。如果供應商或分包商發現與產品和/或服務有關的任何異常或潛在可疑活動，包括但不限於可能表明欺詐、洗錢、恐怖分子融資或其他金融犯罪的活動，供應商應將此類信息視為機密信息，並：(A)通過推薦管理系統(“TRMS”)為公司提交在線轉介；或(B)如果供應商無法訪問公司TRMS系統，立即通知並與適當的關係經理合作，以確保在公司內部正確報告和上報此類活動。供應商不應通知涉嫌此類活動的人員該活動正在接受審查或公司已收到通知。

10.1應公司要求，賣方應立即提交其由賣方或為其編制的經審計的英文財務報表或翻譯成英文(如適用)，包括但不限於供應商的資產負債表、損益表和留存收益表以及財務狀況變動表和審計師信函。如適用，此類財務報表可與供應商關聯公司的財務報表合併。所有財務報表應按照公認會計程序編制。如果供應商受美國證券交易委員會(“美國證券交易委員會”)法律法規的約束，則本文包含的財務報告和通知要求應僅限於適用於供應商的證券法律、規則和法規允許提供的所有信息以及在法律允許提供的時間內提供的信息。本協議項下提供的財務信息僅用於確定供應商是否有能力履行本協議項下的義務。如果任何此類財務信息不是以其他方式公開的，則應被視為供應商的保密信息(定義見“保密”一節)。如果公司對財務報表的審查導致公司質疑供應商履行本協議項下職責的能力，公司可以要求，供應商應在收到公司請求後十(10)個工作日內向公司提供供應商履行本協議規定職責能力的合理保證。如果供應商未能在該十(10)個工作日內作出迴應，或者如果公司合理地認為供應商的保證不足以解決公司的擔憂, 公司可發出書面通知，指出供應商未能提供本節要求的合理保證，並列出公司確定的依據；但是，公司未提供此類通知並不妨礙或限制公司根據本協議對供應商未能提供合理保證的補救措施的行使，且無論是否發出通知，均應被視為對本協議的實質性違反，並構成本協議中題為“終止”一節所規定的終止事件。此外，在不放棄公司在“終止”一節下的權利的情況下，如果供應商的業務或財務狀況發生控制權變更或重大不利變化的可能性很大，或根據當時的情況，供應商應立即通知公司。

11.1定義：

業務連續性計劃-是制定業務連續性計劃的過程，該計劃使供應商能夠以使關鍵業務功能在計劃的中斷水平內繼續運行的方式對事件做出響應。

業務連續性管理計劃-由執行管理層支持並獲得適當資源的持續管理和治理流程，以協調業務連續性規劃和災難恢復規劃的工作，並確定潛在損失的影響，維持可行的恢復戰略和計劃，並通過培訓、測試、維護和審查確保服務的連續性。

業務連續性計劃-供應商的政策和程序以及在發生中斷或災難時維持或恢復業務的預先安排，包括技術恢復能力和業務單位恢復能力。就本協議而言，業務連續性計劃還應包括應急演練和測試時間表以及應急演練最終報告，包括但不限於災害情景描述、應急演練範圍和目標、詳細任務、演練問題清單和補救計劃以及演練結果。

災難恢復計劃-制定業務連續性計劃的過程，使供應商能夠在發生災難時將損失降至最低，並確保其關鍵業務職能的連續性，包括供應商的信息技術基礎設施和電信的持續可用性和恢復。

11.2供應商應在生效日期之前建立業務連續性管理計劃，並在有效期內保持該計劃，該計劃包括業務連續性計劃和災難恢復計劃的所有方面。業務連續性管理計劃和由此產生的業務連續性計劃應涵蓋本協議項下提供的所有服務，並滿足名為“恢復”的附表中描述的適用業務連續性要求和銀行安全要求。業務連續性管理計劃必須在生效日期前十二(12)個月內以及之後至少每年一次獲得供應商董事會或適用的董事會授權的執行管理層或管理委員會的批准。在生效日期之前和之後每年，供應商應向公司提供審查和評估業務連續性管理計劃(包括業務連續性計劃)的機會，並應對任何發現進行補救。此類審查和評估可包括參與公司的(A)第三方評估計劃(或任何後續計劃)，包括酌情完成在線和/或現場評估，以及(B)對雙方商定的範圍和頻率進行恢復測試。公司承認並同意，供應商根據本款向公司提供的信息是並且應該是本協議中定義的保密信息，並且是供應商的寶貴專有信息。

11.3供應商應持續評估其業務連續性管理計劃以及供應商及其代理和分包商購買或維護的與服務相關的系統的服務中斷風險，包括(A)識別和監控可能導致服務中斷的事件，(B)評估此類事件的可能性和潛在損害，以及(C)評估供應商及其代理和分包商的政策、程序和系統以及控制此類風險的其他安排是否足夠。供應商應及時通知公司與服務有關的供應商業務連續性管理計劃和/或業務連續性計劃的任何重大變更，並根據要求向公司提供審查和評估供應商業務連續性管理計劃和業務連續性計劃變更的機會。

11.4如果發生阻止或損害供應商提供服務的災難或任何其他中斷事件，供應商應通知公司並立即實施其業務連續性計劃，以恢復並繼續提供服務，以滿足題為“恢復”的時間表中包含的恢復目標。災難或中斷事件停止後，供應商應在合理可行的情況下儘快向公司提供事故報告，詳細説明災難或中斷的原因以及供應商為解決災難或中斷而採取的所有行動。此外，供應商還應立即向指揮中心報告任何影響服務的技術事件和/或業務運營事件，電話號碼為1-804-593-2552。“技術事件”是應用程序、技術基礎設施組件或IT服務的任何實際或潛在的技術中斷。“業務運營事件”是指由於內部流程不充分或失敗、人為錯誤、故意行為或外部事件而導致的正常業務運營的失敗或中斷。

11.5如果供應商未能在規定的期限內重新開始提供服務，則只要損害或中斷持續，公司除有權保留第三方提供該等服務或自行履行受影響的服務外，還有權保留該權利。如果供應商或公司保留第三方來提供受影響的服務，則供應商同意向第三方支付或向公司補償該第三方的額外成本(成本高於根據本協議應支付給供應商的金額)，轉讓給該第三方的成本應由供應商承擔。如果公司自己履行受影響的服務，則供應商同意償還公司因履行受影響的服務而產生的任何成本或開支，減去根據本協議應支付給供應商的任何金額。

11.6在下列情況下，未能、延遲或違約履行本協議或任何訂單的任何一方的義務，均不構成違約或違反本協議或該訂單的事件：(I)由於不可抗力事件(下文定義)，(Ii)該一方無法控制且無疏忽，(Iii)受影響的一方迅速並在此後努力處理，以儘量減少後果，以及(Iv)在供應商的情況下，不是由於供應商不遵守本協議或任何順序中規定的業務連續性要求造成的。“不可抗力事件”是指火災、洪水、地震、風或其他自然災害；戰爭、暴亂或內亂；罷工、停工或其他勞動爭議；以及禁運、檢疫或類似的政府行動。一方當事人如欲以前述規定為理由不履行義務，應立即以書面形式通知另一方履行義務的事實，包括這些事實最初發生的時間。當該等事實不復存在時，要求免除履行責任的一方應立即通知另一方。如果不可抗力事件導致供應商連續五(5)個日曆日以上無法提供全部或部分服務，公司可根據其選擇，除根據本協議和任何命令或法律或衡平法享有的任何其他權利外，從替代來源採購受影響或類似的服務，或自行執行受影響或類似的服務，直至供應商再次能夠提供受影響的服務。公司應繼續按照本協議或任何訂單的規定向供應商付款, 減去公司支付給替代來源的任何款項，或減去公司本身執行受影響或類似服務所產生的任何成本或支出，但供應商無權因不可抗力事件而獲得任何額外付款。

12.1雙方均為獨立承包人。本協議或雙方在本協議項下設想的活動中的任何內容均不得被視為在雙方或其任何分包商或代表之間建立代理、夥伴關係、僱傭或合資關係。

13.1公司應在必要時，在雙方商定的時間內，根據公司現有的安全規定，向供應商提供合理的訪問權限，以提供其服務。

13.2供應商的人員沒有資格參加公司的任何員工福利或類似計劃。賣方應通知其根據本協議提供服務的所有人員，無論出於任何目的，他們都不會被視為公司的僱員，公司不對他們中的任何人因其任務引起或與之相關的任何索賠或訴訟理由承擔僱主責任。賣方應獨自負責確定其員工/獨立承包商的類別，並應根據本協議中名為“賠償”的章節，就與員工類別相關的任何索賠向公司及其附屬公司進行賠償。

13.3應公司的要求並在與公司協商後，供應商應迅速解決公司對履行本協議項下服務的任何供應商代表或分包商提出的任何合理關切或問題。如果任何該等關注或問題未由公司全權酌情處理，供應商應立即將任何適用的供應商代表或分包商從公司的賬户中刪除，並在可行的情況下儘快由公司進行替換。在不限制賣方在“賣方的陳述和保證”一節下的義務的情況下，賣方應遵守並應促使其代表和分包商遵守公司對根據本協議提供服務的人員進行培訓的所有要求，並應根據要求向公司提供完成此類培訓的證明。

13.4在賣方：(A)聘用任何分包商從事本協議項下的任何工作或服務，(B)用新的分包商取代以前批准的分包商，(C)賦予以前批准的分包商新的工作範圍，(D)實質性改變以前批准的分包商的工作範圍，或(E)授權分包商在美國境外開始執行工作或服務之前，賣方應事先徵得公司的書面同意。在分包商開始使用公司賬户進行任何工作或服務之前，供應商必須獲得此類同意。公司的同意不得被無理拒絕，也不應免除供應商在本協議項下的任何義務。賣方應對其分包商的履約或不履約負責，將其視為賣方的履約或不履約。賣方應要求所有分包商同意接受與本協議中的條款基本相同的條款的約束，特別是“賣方人員”、“保險”、“機密性”、“信息保護”、“審計”和“業務連續性”條款的約束。

13.5在公司設施或訪問任何公司系統或數據時，供應商應遵守並應促使其代表和分包商遵守公司的所有人員、設施、安全和安保政策、規則和法規以及其他指示，並應以避免危及公司代表或客户的安全或幹擾其便利性的方式在公司設施或公司系統上開展工作。供應商瞭解，公司根據安全敏感型銀行業獨有的各種法律和法規運營。因此，與其他行業或商業企業相比，供應商聘用的根據本協議提供服務的人員受到更高的行為標準和審查。賣方表示，在本合同項下提供服務的其代表和分包商應對他們所從事的服務具有適當的品格、品性和誠信。在下列情況下，賣方不得故意允許代表或分包商被指派為公司提供服務：(A)代表或分包商已被判犯有、同意或參與了與《聯邦存款保險法》第12卷第1829(A)節所述不誠實或違反信託的重罪或輕罪有關的重罪或輕罪；(B)除非賣方事先獲得公司的書面同意，否則已被判犯有任何其他重罪；或(C)使用非法藥物。對於需要公司資質才能使用公司數據或系統執行工作的供應商或分包商員工，公司保留審查此類供應商或分包商員工過去在公司的僱傭情況(如果有)的權利，並以其唯一和絕對的酌情權確定, 是否授予或拒絕此類憑據。如果公司根據其審查結果決定拒絕此類憑證，則供應商或分包商不得將此類供應商或分包商員工分配到需要此類憑證的服務部分。

13.6對於供應商或任何分包商指派為公司提供服務的員工或合同工，供應商應(I)在法律允許的範圍內，自費對供應商的員工和合同工進行背景調查和其他調查，(Ii)確保供應商的分包商對分包商的員工和合同工進行背景調查。所有此類背景調查和其他調查均應遵守本協議標題為“背景調查”的附表中所列的公司程序和要求，並以書面形式不時更新給供應商，所有這些均以適用法律為準。賣方應向公司報告在指派員工或合同工履行服務之前進行的背景調查和其他調查。賣方應保留背景篩選和其他調查的文件副本，並在賣方或分包商員工或合同工提供任何服務期間提出要求時，向公司提供竣工證明。此外，供應商應根據“審核”一節的要求，允許公司審核篩選文件和合規性。

13.7公司和供應商均應將通知方知悉的、可能涉及供應商代表或分包商的針對公司的任何已知或懷疑的不誠實或失信行為通知對方。在發出通知後，在公司的要求下，在法律允許的範圍內，供應商應配合公司或代表公司進行的調查。

13.8在行政命令13496適用於本協議或根據本協議進行的工作的範圍內，29 CFR471部分A分部附錄A(經不時修訂、修改、重述或補充)的文本在此通過引用併入本協議，如同在本協議中全面闡述一樣。賣方應遵守29 CFR第471部分A分部分附錄A中提出的所有要求，以及適用於該部分的所有頒佈的法規(統稱為“EO 13496要求”)。供應商應至少每年一次，並以公司確定的更頻繁的方式，以公司可接受的形式以書面形式證明供應商已完全遵守所有EO 13496要求。不遵守EO 13496要求或書面認證要求應被視為實質性違反本協議。

13.9賣方應就任何第三方或政府機構提出或威脅的任何及所有索賠或任何性質的索賠或法律行動，以及所有相關損失、開支、損害、成本和責任，包括合理的律師費和調查、辯護或和解所產生的開支，向賣方及其代表、繼承人和允許受讓人提供賠償，並使其不受損害，這些索賠或法律行動是由賣方未能遵守《執行條例13496》的要求引起的，或與之有關。根據本款規定，賣方的責任不受“責任限制”一節規定的限制或以任何方式限制。

13.10供應商應遵守並促使其分包商(如果適用)遵守經2010年《醫療保健和教育協調法案》(統稱為《ACA》)修訂的《患者保護和平價醫療法案》的相關條款，包括但不限於避免根據該法規第4980H條評估僱主分擔責任付款或支付由美國國税局評估的任何此類付款。如果供應商和/或其分包商未能避免根據本規範第4980H條對僱主分擔責任付款進行評估，則供應商和/或其分包商應賠償、辯護並使公司不受任何此類不履行所導致的所有索賠、訴訟、罰款、處罰和責任的損害，包括但不限於任何索賠、訴訟、罰款、由於賣方未能避免根據守則第4980H條對其全職員工進行僱主分擔責任付款評估，或供應商未能要求其分包商避免根據守則第4980H條對分包商員工進行僱主分擔責任付款評估，因此對公司施加的關於供應商全職員工的處罰和責任。

14.1賣方應自費保證並持續維護，並要求其分包商在整個期限內向有資格在提供服務的司法管轄區開展業務的公司保證並持續維護以下保險，並在A.M.Best Company發佈的當前Best‘s保險報告中評級A-VII或更高。如該等保險只承保在保單人壽期間提出的索償，則該等保險須維持於[六]任期屆滿或終止後數年。賣方應在生效之日起三十(30)個日曆日內、開工前以及此後應公司要求，向公司提供證明此類保險的證書和所需的背書。公司應被指定為下文(C)、(D)和(E)分段所述保險的“附加被保險人”，以保護公司免受因供應商和/或其分包商提供的服務而產生、聲稱產生、與之相關或與之相關的任何費用和/或責任。證明應註明所有免賠額和自保保證金的金額。賣方應至少提前三十(30)天以書面形式通知公司，或應促使其保險人提前至少三十(30)天通知公司取消或重大更改保單。賣方及其分包商應支付公司因任何此類免賠額或自保保留而產生的任何和所有費用，只要公司被指定為“附加被保險人”，並且在保單中不包含免賠額或自保保留的情況下支付。供應商及其分包商必須維護的保險範圍和限額應是公司維護的保險範圍(如果有)的主要和非繳費部分。賣方及其分包商及其承保人應放棄對公司的代位求償，並應促使其保險人放棄對公司的代位求償。

承保範圍

(A)工人補償保險，應完全符合所有適用的州和聯邦法律的法定要求。

(B)僱主責任保險，人身傷害的限額為每個事故100萬美元(1,000,000美元)，每個僱員/疾病的限額為100萬美元(1,000,000美元)。

(C)商業一般責任保險，每次事故的最低合併單一責任限額為100萬美元(100萬美元)，人身傷害、死亡、財產損失和人身傷害的總責任限額為200萬美元(200萬美元)。該保單應包括產品/已完成的運營保險，還應包括合同責任保險。

(D)商業汽車責任保險，涵蓋供應商使用的所有自有、租用和非自有車輛和設備，受傷和/或死亡和/或財產損失的最低綜合單一責任限額為100萬美元(1,000,000美元)。

(E)上文(B)、(C)和(D)分段的超額/保護傘承保，每次發生限額為500萬美元(5 000 000 000美元)。這些小節中所要求的責任限額可通過將這些保單與保護傘/超額責任保單相結合來滿足。

(F)差錯和疏漏保險，最低限額為500萬美元(500萬美元)。

(G)忠實保證金或犯罪保險：供應商應直接或間接對銀行財產和客户財產的損失負責，並應維持對其員工不誠實行為的忠實保證金或犯罪保險，最低金額為500萬美元(500萬美元)。

14.2公司未能從供應商及其分包商那裏獲得證書、背書或其他形式的保險證據，並不代表公司放棄要求供應商及其分包商確保並持續維持規定的承保範圍。賣方應通知其分包商，並建議其將本合同規定的保險範圍通知保險公司。公司接受在任何方面都不符合本節要求的證書和/或背書，並不免除供應商及其分包商遵守本條款的義務。如果供應商和/或其分包商未能確保並持續維持本協議所要求的保險範圍，供應商本身應就該保險範圍所提供的所有利益和保護對公司負責，包括但不限於防禦和賠償保護。

15.1“保密信息”一詞應指本協議以及所有任何類型的數據、商業祕密、商業信息、專有和其他任何形式的信息，包括通過獲取保密信息而開發或產生的數據，披露方(“披露方”)以書面、口頭、視覺或任何其他媒介向另一方(“接收方”)披露，或接收方獲得訪問權限，並且與披露方或其關聯公司、代表、客户、第三方供應商或許可方有關。機密信息包括關聯信息、個人信息、客户信息和消費者信息。“書面”應包括通過電子郵件、互聯網或其他方式進行的信息電子傳輸。公司披露的所有保密信息以及處理此類保密信息的任何結果或以任何方式從中得出的任何結果，在任何時候都應屬於公司的財產。儘管有上述規定，供應商或其代表在本協議項下向公司提供服務時產生的任何機密或專有信息、報告或文件應被視為公司的保密信息。

15.2根據以下15.8節的例外情況，作為接受方的每一方特此同意，在本協議期限內或之後，其代表、顧問、關聯公司和獨立承包商不會、也將不會披露另一方的機密信息，除非是在“需要知道”的基礎上，並且僅限於：(A)向公司或供應商的關聯公司；(B)向接受方的員工、高級管理人員或董事；(C)受方的關聯公司、分包商、各級獨立承包商、代理人、顧問、顧問、會計師和保險人，但所有此等人員須遵守不低於本節規定的書面保密協議，其證據應應要求向公司提供；(D)在適用的情況下，根據《美國法典》第15篇第6802(E)條和相關條例中規定的例外情況，在正常業務過程中進行披露；(E)銀行外部監管者和審查員、税務審核員、經濟發展控制員或對公司和/或其關聯公司具有合法執法和監督權力的其他人(“外部審查員”)；和(F)法律要求或本協議或命令明確允許的其他方式。除非本協議另有授權，否則接收方不得出於履行本協議以外的任何目的使用或披露另一方的保密信息。接收方對待另一方的保密信息的謹慎程度不低於其對其自身保密信息的謹慎程度，但在任何情況下不得低於商業合理的謹慎程度。當(I)本協議到期或因任何原因終止，或(Ii)在本協議期限內應公司的書面要求隨時終止, 供應商應根據《信息安全》附表中所述的信息銷燬和退貨要求，在公司選擇的情況下，按照本協議的條款和規定，迅速歸還或銷燬供應商或供應商分包商擁有的所有公司機密信息和數據。儘管本協議有任何相反規定，但僅在法律、法規、檔案或其他政府合規目的所需的範圍內，供應商有權保留公司機密信息的副本，前提是該保留符合本協議和銀行安全要求(下文定義)，並且當該保留期結束時，應根據《信息安全》附表中所述的信息銷燬和返還要求，立即銷燬應保留的公司機密信息。

15.3在法律允許的範圍內，除以下第15.8節中的例外情況外，接收方應在收到機密信息的實際信息後，立即通知披露方任何實際或可能的法律要求，並應配合披露方抵制、限制或推遲披露的合理、合法努力。本節中的任何規定均不要求公司就外部審查員要求或要求提供保密信息而發出任何通知或採取任何其他行動。

15.4未經公司授權代表事先書面同意，供應商不得從公司場所或系統中刪除或下載包含公司機密信息的任何數據、筆記、備忘錄、文件、記錄或其他文件的原件或任何複製品，或由供應商或其代表編制的包含公司機密信息或基於公司機密信息的任何文件。除公司代表另有説明外，授權公司代表為供應商保留的任何文件或媒體，或供應商代表為記錄與公司代表就與本協議項下執行的服務相關的具體指示或澄清而進行的討論而記錄的任何文件或媒體，將被視為不屬於本同意要求。

155除《數據保護法》規定的聯營信息、客户信息和消費者信息或其他個人信息外，本節中的保密義務不適用於以下任何信息：(I)接收方在向其披露時合法地掌握其信息，沒有披露方保密的義務；(Ii)接收方獨立開發而沒有獲取披露方的保密信息；(Iii)除違反本節規定外，公眾知曉或被公眾知曉；或(Iv)接收方合法地從第三方那裏獲得而沒有保密義務。機密信息與非如此分類的信息披露的任何組合不應僅僅因為此類組合的個別部分沒有任何保密義務或在公共領域中單獨已知而被視為屬於上述排除範圍之一。所有保密義務均須遵守下文第15.8節中的例外情況。

15.6公司可以向獨立承包商披露供應商的保密信息，以便進一步處理、處理、修改和調整服務，以供公司使用或為公司使用，或用於開發銀行流程、進行分析和類似的內部目的，前提是這些獨立承包商已同意實質上遵守本節規定的公司義務。

15.7賣方承認，公司必須遵守《格拉姆-利奇-布萊利法案》(15 U.S.C.6801,6805(B)(1))所要求的信息安全標準及其頒佈的法規(12 C.F.R.1016)、《公平信用報告法》(15 U.S.C.1681等)。序列號。)經《公平和準確信用交易法》(15 U.S.C.1681,1681w)及其下發布的法規(12 C.F.R.第30和41部分)修訂，以及適用於公司有關個人信息保護和隱私的所有其他聯邦或州法規、法律和法規要求，包括但不限於1996年的《健康保險可攜帶性和責任法案》(HIPAA)和《馬薩諸塞州保護英聯邦居民個人信息的馬薩諸塞州標準》(201 CMR 17.00)(統稱為“美國隱私法”)。如果適用於服務，並在公司提出要求時，供應商應採取商業上合理的努力，協助公司遵守適用的美國隱私法。此外，如果供應商在任何時候可以訪問美國隱私法涵蓋的公司機密信息，供應商應遵守並遵守不時修訂的此類適用的美國隱私法和適用的銀行安全要求。

15.8儘管如此，本保密條款並不阻止代表、顧問、附屬公司和獨立承包人應有效和可強制執行的傳票或法律或法規的其他要求提供信息、財務報告或使用本協議執行其條款，或就根據此類法律、法規、財務報告要求必須提供的信息發表聲明，從而公開信息。此外，本協議中的任何條款都不禁止代表、顧問、附屬公司和獨立承包商或其他個人就涉嫌違法行為的任何報告、調查或訴訟直接與美國證券交易委員會、司法部、金融業監管局、任何其他自律組織或任何其他政府、執法或監管機構進行溝通，迴應來自美國證券交易委員會、司法部、金融業監管局、Inc.、任何其他自律組織或任何其他政府、執法或監管機構的任何詢問，或向其提供信息或提供證詞，任何個人在參與任何此類活動之前，均不需要向公司提供建議或尋求公司的許可。對於上述允許的任何此類活動，個人應識別任何機密信息，並要求政府機構對此類信息進行保密處理。儘管如此，個人不得向任何第三方，包括任何政府、執法或監管機構透露個人在根據本協議提供服務的過程中瞭解到的信息，這些信息受到任何適用特權的保護，包括但不限於律師-委託人特權, 律師工作產品原則和/或其他適用的法律特權。公司不放棄任何適用的特權或繼續保護其享有特權的律師-委託人信息、律師工作產品和其他享有特權的信息的權利。此外，個人披露信息的能力可能受到適用法律的限制或禁止，公司不同意違反適用法律的披露。此類適用法律包括但不限於限制披露機密監管信息或受《銀行保密法》約束的披露的法律和條例(《美國法典》第31編第5311-5330節)，包括可能揭示存在或計劃提交可疑活動報告的信息。

15.9如果違反本第15條規定的與供應商關於公司的聲明有關的供應商責任[***]，但尚未獲本公司批准，本公司保留向[***]賣方在本公司開具發票後30天內到期並應支付的罰款，但本公司須在所稱違約發生後九十(90)天內以書面形式通知賣方其徵收罰款的意圖。

161根據第15條，供應商可以：僅出於提供本協議中概述的服務的目的使用、複製和保留聚合的用户信息，包括與以下內容相關的內容：[***]除本協議授予的有限權利和使用匯總的消費者信息外，供應商不得以其他方式使用或保留任何客户信息或消費者信息。即使有任何與本協議相反的規定，供應商在任何情況下都不得[***].

17.1公司的信息安全和業務連續性實踐和標準在名為“信息安全”的附表中的信息安全計劃功能一節中進行了描述，並在單獨提供的公司服務提供商安全要求文檔(“SPSRD”)中闡述，並通過引用併入本協議。公司還可以根據所提供的服務類型或提供服務的地點，向供應商提供包含附加信息安全實踐和標準的文檔(“附加安全文檔”)。供應商應遵守SPSRD和適用於所提供服務的附加安全文件以及供應商將訪問、存儲或處理的保密信息的分類(“銀行安全要求”)中“信息安全計劃特徵”一節所述的公司信息安全和業務連續性做法和標準。供應商承認並同意，銀行安全要求是公司的保密信息，是公司的寶貴專有信息。公司可隨時自行決定修改銀行安全要求，並將此類修改後的銀行安全要求提供給供應商。在收到任何更改的銀行安全要求的通知後，供應商應對其信息安全計劃或其下的供應商安全控制進行商業上合理的修改，以至少符合該等銀行安全要求。

17.2作為獲取公司保密信息的條件之一，供應商應向公司提供審查和評估供應商和供應商分包商書面信息安全計劃副本的機會。供應商的信息安全計劃應設計為：

確保公司機密信息的安全性、完整性和機密性；

B.防止此類保密信息的安全或完整性受到任何預期的威脅或危害；

C.防止未經授權訪問或使用此類機密信息，這可能會對作為此類機密信息主體的個人或實體造成重大傷害或不便；

D.確保妥善處理此類保密信息；以及

具備保護公司機密信息的網絡基礎設施、物理和電子安全程序和控制，滿足或超過銀行安全要求。

17.3公司在向供應商發出書面通知後，可在本協議期限內的任何時間，自行決定暫停、撤銷或終止供應商獲取公司機密信息的權利。收到此類通知後，供應商應(I)立即停止訪問和/或接受公司機密信息，並(Ii)根據《信息安全》附表中所述的信息銷燬和返回要求，立即退還或銷燬供應商或供應商的分包商擁有的所有公司機密信息和數據，並遵守本協議的條款和規定。如果公司根據本節行使其權利，並直接導致供應商無法履行服務，則如果該事件不是由於供應商違反協議的行為或不作為所致，則只要供應商因其訪問保密信息的權利被暫停、撤銷或終止而仍然無法履行服務，則供應商的履行應被放棄。儘管本協議有任何相反規定，但僅在法律、法規、檔案或其他政府合規目的所需的範圍內，供應商有權保留公司機密信息的副本，只要該保留符合本協議和銀行安全要求，並且當該保留期結束時，應根據《信息安全》附表中所述的信息銷燬和返還要求，立即銷燬受該保留的公司機密信息。

17.4供應商應對因供應商、其代表或分包商的疏忽或故意不當行為而導致的公司機密信息處理不當或不準確而造成的公司機密信息丟失或損壞的所有風險負責並承擔所有風險。賣方還應採取商業最佳措施，防止賣方或其分包商收到和持有的公司文件、機密信息、軟件和其他財產的意外或惡意丟失、破壞或更改。賣方應保存其備份文件(包括場外備份副本)及其輸出，以便在發生此類丟失、破壞或更改時進行重建，以確保按照本協議的條款、其時間表、銀行安全要求和供應商的業務連續性計劃提供不間斷的服務。

17.5對於向供應商提供服務以便直接或間接交付給公司的任何分包商或其他個人或實體，或持有、處理或訪問公司機密信息的任何分包商或其他個人或實體，供應商應：

A.要求這些分包商或其他個人或實體實施和管理符合銀行安全要求的信息保護計劃和計劃；

B.在與該等分包商或其他個人或實體的書面協議中包括或應促使包括與本節條款和附表中題為“信息安全”的條款基本相似的條款，並應在公司提出合理要求時向其提供證明；

C.要求該分包商或其他個人或實體根據公司的要求，允許公司檢查其物理系統設備、運行環境和數據處理程序；

D.根據公司的要求，確保獲得該分包商或其他實體的許可，允許公司對該分包商或與所提供的服務相關的其他實體進行安全漏洞和/或滲透測試；

E.要求此類分包商或其他個人或實體制定安全意識計劃，向其所有可以訪問公司機密信息的人員傳達安全政策；以及

F.要求此類分包商或其他個人或實體在發現此類分包商或其他個人或實體發生任何重大安全事件後，按照《信息安全》附表中所述的檢測和響應要求通知供應商。然後，賣方應根據附表中標題為“信息安全”的檢測和響應部分中的通知要求，立即將此類分包商或其他個人或實體發生的重大安全事件通知公司。

17.6確定供應商是否遵守銀行安全要求的一個方面是審查供應商安全控制。作為履行本協議的前提條件，供應商同意滿足以下驗證要求：

A.參與公司的供應商測試和評估流程，包括酌情完成在線和/或現場評估，並對任何發現進行補救；

B.根據供應商合理的安全政策和程序，許可公司或其第三方代表檢查物理系統設備、運行環境和數據處理程序；

C.根據事先通知，(I)允許公司或其第三方代表對供應商進行與服務相關的安全漏洞和/或滲透測試，包括但不限於應用程序和網絡測試；和(Ii)允許公司或其第三方代表在發生重大安全事件後對供應商的系統進行安全漏洞和/或滲透測試，以測試供應商在發生此類重大安全事件後實施的補救措施。應用漏洞和/或滲透測試應在具有相當於生產的安全控制的非生產環境中進行；

D.公司代表和供應商信息技術安全人員之間的定期討論，以審查供應商安全控制措施；以及

E.向公司提供機會，以審查和評估(I)描述供應商周邊控制以及與保護公司機密信息相關的安全政策和流程的網絡圖，(Ii)在題為“信息安全”的附表中描述的有關信息安全計劃功能的詳細信息，以及(Iii)由供應商或本服務的合格第三方提供商進行的任何漏洞和/或滲透測試的結果。安全策略的示例包括但不限於訪問控制、物理安全、補丁管理、密碼標準、加密標準和更改控制。公司承認並同意，供應商根據本款提供的信息是本協議中定義的供應商保密信息，是供應商的寶貴專有信息。

17.7在履行本協議的過程中，供應商應確保下列事項：

答：有完善的治理和風險評估流程，以維持對機密信息的控制。必須制定或實施安全意識計劃，將安全策略傳達給所有有權訪問機密信息的供應商人員。

B.通知公司關係經理：(I)可能影響公司機密信息安全的變化，包括但不限於計算機網絡、數據存儲、管理和處理或其他信息技術功能或設施的外包，實現對公司機密信息的外部網絡(互聯網)訪問，以及在雲或多租户環境中存儲或處理公司機密信息；(Ii)任何計劃中的系統配置更改或其他影響適用於公司機密信息安全和保護的信息安全計劃或供應商安全控制的更改，説明此類更改將如何影響公司機密信息的安全和保護；(Iii)可能影響公司系統、客户或客户的任何其他計劃的更新、升級或服務中斷，提供足夠的細節以使公司能夠評估和測試更改，並提供足夠的準備時間以使公司為任何更改做好準備，以及(Iv)使用或計劃使用與服務相關的任何模型，包括以下文檔：(A)解釋產品組件和模型用途和設計的開發證據；(B)模型將支持的產品、流程或應用程序；(C)方法分析和支持；(D)用於測試或驗證模型輸出和這些程序的結果的程序；(E)顯示模型性能的相關測試；(F)對模型輸出的適當應用和任何限制的討論；(G)供公司使用的供應商模型的任何定製，以及支持理由；(H)概述模型的目的、其限制和主要假設的執行摘要；和(I)在適用時, 相關的變更控制程序。未經公司關係經理事先書面同意，不得實施公司有理由預期會對公司保密信息的安全和保護產生重大不利影響的此類更改，不得無理扣留或拖延此類批准。供應商只有在遵守評估和測試此類變更的嚴格流程後才能實施變更，並且供應商應在實施此類變更後立即將任何變更的結果通知公司關係經理。如果以上第(I)項中確定的變更是由於供應商使用第三方雲或多租户環境而導致的，則供應商應遵守並遵守題為“使用雲服務”的時間表中規定的要求。

C.在供應商發現任何重大安全事件後，按照《信息安全》附表中描述的檢測和響應要求向公司發出通知。

安裝和使用變更控制流程，以確保對供應商系統和公司機密信息的訪問受到控制和記錄。

E.按照題為“信息安全”的附表中描述的保護要求，監視和修復新發現的系統漏洞。

F.如果適用，遵守有關保護和緩解拒絕服務(DoS)和分佈式拒絕服務(DDoS)攻擊的銀行安全要求。

G.使用強的、行業標準的公司機密信息加密(I)通過公共網絡(例如，互聯網、非專用租用線路)傳輸，或(Ii)包含在任何電子/磁性介質上，包括駐留在非現場存儲設施的任何介質。

H.公司的保密信息不得存儲在任何便攜式媒體或設備上，包括但不限於筆記本/筆記本電腦、平板電腦、智能手機、USB存儲設備、外部驅動器、個人數字助理(如Blackberry)或類似設備。使用此類設備存儲公司機密信息應經公司批准(但是，如果供應商需要在筆記本電腦/筆記本電腦、平板電腦、智能手機或個人數字助理(例如Blackberry)上存儲公司機密信息，則未經公司批准允許使用此類設備存儲公司機密信息，前提是此類筆記本電腦/筆記本電腦、平板電腦、智能手機和個人數字助理的配置旨在保護機密信息，包括但不限於使用強大的行業標準加密和開機密碼或PIN，公司機密信息在不再需要時立即從此類移動設備中刪除)，並且必須在供應商的信息安全計劃中解決諸如數據加密和遠程網絡連接等安全預防措施。

實施記錄保留流程和控制及其他措施，以確保從公司轉移到供應商的所有記錄(包括但不限於本票、抵押文件和其他客户信息的正本)或由供應商代表公司創建的所有記錄在期限內仍由供應商保管和控制，直到轉移回公司為止。

17.8公司保留監控駐留在公司網絡上的供應商維護平臺的權利。供應商可能被要求協助安裝、支持和解決公司擁有的設備或流程，或從供應商維護的平臺向公司監控流程提供信息，費用由公司承擔。

1.34信息安全計劃必須在生效日期前十二(12)個月內以及之後至少每年一次獲得供應商董事會或同等執行管理層的批准。供應商應持續評估其書面信息安全計劃以及供應商及其代理和分包商獲取或維護的與服務相關的公司機密信息和系統的安全風險，包括：(A)識別可能導致安全漏洞的內部和外部威脅；(B)考慮到公司機密信息的敏感性，評估此類威脅的可能性和潛在損害；以及(C)評估供應商及其代理和分包商的政策、程序和信息系統以及其他安排是否足以控制風險；並針對此類風險採取適當的保護措施。供應商應及時通知公司供應商信息安全計劃的任何重大變化，並根據要求向公司提供審查和評估供應商信息安全計劃變化的機會。

17.1供應商應在用於向公司提供軟件和服務的所有工作站和服務器上使用最新的商業可用病毒和惡意代碼檢測和保護產品。供應商應儘快向公司通報供應商在此類工作站或服務器上發現的任何高級威脅，這些威脅以前未被供應商部署的任何病毒和惡意代碼檢測和保護措施檢測到。作為示例而非限制，“高級威脅”可以是旨在執行未經授權的過程的軟件、固件、代碼或腳本，可能實施欺詐或其他犯罪活動，或通過後門、惡意活動內容、蠕蟲、按鍵記錄器或被設計為造成不期望的影響或連續監視和提取數據的其他過程來對信息系統的機密性、完整性或可用性產生不利影響。

17.2除非法律禁止，否則，如果供應商成為任何監管或其他調查的對象，或成為任何與其數據處理做法有關的政府或其他執法或私人訴訟的對象，供應商應立即通知公司。

18.1賣方應賠償、保護公司及其代表、繼承人和允許受讓人免受任何第三方提出或威脅的任何和所有種類或性質的索賠或法律行動，以及所有相關損失、費用、損害、成本和責任，包括合理的律師費和調查、辯護或和解所產生的費用(“損害”)，或與下列各項有關：(A)賣方、其代表或賣方在履行本協議項下的義務時從事的任何分包商的任何疏忽、疏忽或疏忽或故意不當行為；或(B)違反本協議中包含的供應商的陳述、契約或義務。

18.2賣方應為因侵犯、挪用或以其他方式侵犯任何第三方的知識產權或與本協議項下提供的工作產品或服務相關的任何其他權利而引起或指控的任何威脅、索賠、訴訟或訴訟進行辯護或和解，費用由賣方承擔。賣方應賠償公司、其附屬公司及其每一位代表和客户不受損害，並支付任何損害，包括可歸因於此類威脅、索賠、訴訟或訴訟的版税和許可費。

A.如果根據本協議提供的任何工作產品或服務，包括但不限於軟件、系統設計、設備或文檔，成為或根據公司或供應商的合理意見很可能成為任何索賠、訴訟或訴訟的標的，而這些索賠、訴訟或訴訟是由或聲稱事實引起的，如果屬實，將構成侵權、挪用或其他違反，或者在任何裁決該工作產品或服務侵犯、挪用或以其他方式違反任何知識產權或第三方的任何其他權利的情況下，供應商自費，應按列出的優先順序採取下列行動：(A)確保公司有權繼續使用工作產品或服務；或在商業上合理的努力無效的情況下，(B)替換或修改工作產品或服務以使其不受侵權；但是，該修改或替換不應降低工作產品或服務的操作或性能。

B.前款規定的賠償不適用於僅因公司未經授權修改或使用工作產品或服務而引起的任何侵權索賠。

18.3公司應就任何此類索賠、訴訟或訴訟的抗辯向供應商發出通知，雙方應予以合作，包括上訴、談判及其任何和解或妥協，但公司必須批准可能向公司施加任何無賠償或非金錢責任或要求公司承認任何不當行為或責任的任何和解或妥協的條款。

19.1任何一方均不對另一方承擔任何特殊的、間接的、附帶的、後果性的、懲罰性的或懲罰性的損害賠償，包括但不限於利潤損失，即使被指控負有責任的一方知道此類損害的可能性，但本節規定的限制不適用於或以任何方式限制“賠償”部分、“保密”部分和“信息保護”部分的義務，或供應商的嚴重疏忽或故意不當行為。

201賣方表示，這是一個平等機會的僱主，在僱用人員或授予分包合同方面不會因為一個人的種族、性別、年齡、宗教、國籍、性取向、性別認同、退伍軍人身份、殘疾狀況或任何其他與向公司提供產品或服務的能力無關的因素而歧視，並且提供一個沒有歧視或騷擾的工作場所。供應商應維護、實施並應要求向公司提供招聘、培養和留住各類不同代表的政策和程序，並應公司要求提供按性別和種族劃分的員工人數報告。

20.2供應商承認並支持公司供應商多元化努力，支持少數族裔、女性、退伍軍人、殘疾退伍軍人、服務殘疾退伍軍人、殘疾人所有的企業、女同性戀者、男同性戀者、雙性戀者或變性人擁有的企業和歷史上未得到充分利用的商業區商業企業(也稱為HUBZone商業企業)，並支持公司承諾讓此類商業企業參與其商品和服務的採購。

20.3定義：就本協議而言，以下是“少數人所有的企業”、“少數羣體”、“婦女擁有的企業”、“退伍軍人、殘疾退伍軍人、服役殘疾的退伍軍人擁有的企業”、“殘疾擁有的企業”、“女同性戀者、同性戀者、雙性戀者或變性人擁有的企業”和“HUBZone企業”的定義。

答：“少數人所有的企業”被認為是一種“盈利”企業，無論大小，實際位於美國或其託管地區，至少51%(51%)由一個或多個保持美國公民身份的少數羣體成員擁有、經營和控制。

B.“少數羣體”是指非裔美國人、西班牙裔美國人、美洲原住民(美國印第安人、愛斯基摩人、阿留申人和夏威夷原住民)、亞太裔美國人以及美國少數族裔小企業和資本所有制發展辦公室承認的其他少數羣體。

C.“婦女所有的企業”被認為是位於美國或其託管領土的“盈利”企業，不論規模大小，至少51%(51%)的企業由一名具有美國公民身份的女性擁有、經營和控制。所有權和控制權應該是真實的和持續的，而不是僅僅為了利用旨在實現供應商多樣性的特殊計劃而創建的。

D.“退伍軍人、傷殘退伍軍人和傷殘退伍軍人企業”被認為是位於美國或其信託地區的“營利性”企業，不論規模大小，至少51%(51%)的股份由退伍軍人、傷殘退伍軍人或傷殘退伍軍人擁有、運營和控制。所有權和控制權應該是真實的和持續的，而不是僅僅為了利用旨在實現供應商多樣性的特殊計劃而創建的。

E.“殘疾人所有的商業企業”被認為是位於美國或其信託地區的“營利性”企業，不論規模大小，至少51%(51%)由具有永久性精神或身體損傷的美國公民個人擁有、經營和控制，這大大限制了一項或多項主要生活活動，並對公司的成功競爭能力產生了重大負面影響。所有權和控制權應該是真實的和持續的，而不是僅僅為了利用旨在實現供應商多樣性的特殊計劃而創建的。

F.“女同性戀者、男同性戀者、雙性戀者或變性人擁有的商業企業”或“LGBT擁有的商業企業”是一家位於美國或其託管領土的“營利性”企業，不論規模大小，至少51%(51%)由持有LGBT認證的美國公民個人擁有、經營和控制。LGBT企業的認證可以通過全國同性戀商會(www.NGLCC.org)獲得。所有權和控制權應該是真實的和持續的，而不是僅僅為了利用旨在實現供應商多樣性的特殊計劃而創建的。

G.“歷史上未得到充分利用的商業區或HUBZone商業企業”是根據美國小企業管理局(“SBA”)或其繼承者不時制定的標準確定的小型企業，並且(I)由美國公民、社區發展公司、農業合作社或聯邦承認的印第安人部落擁有和控制至少51%(51%)的股份，(Ii)根據SBA不時確定的此類區域在HUBZone內維持其主要辦事處，以及(Iii)證明其至少35%(35%)的員工居住在HUBZone內。

20.4除上述標準外，根據本協議，只有少數人擁有、女性擁有、“退伍軍人、殘疾退伍軍人和服務殘疾退伍軍人”、殘疾人所有、LGBT所有的企業或HUBZone商業企業才有資格成為少數人所有、女性擁有、退伍軍人、殘疾退伍軍人、LGBT所有的企業或HUBZone企業。

20.5參與代表：供應商代表其不是少數民族、女性、殘疾人、退伍軍人、殘疾退伍軍人、服務殘疾退伍軍人、LGBT所有或HUBZone企業。賣方聲明，本協議簽署後，該公司即為上市公司。

A.在本協議期限內，不向公司收取額外費用，並與本協議的有效履行一致，供應商應從少數人所有的企業、婦女擁有的企業、殘疾人擁有的企業、退伍軍人、殘疾退伍軍人、服務殘疾的退伍軍人所有的企業以及LGBT擁有的商業企業和HUBZone商業企業獲得供應商或分包商的身份，金額等於或大於等於本協議項下公司總收入的5%(5%)的商品和服務數量。

B.報告。賣方應以公司可接受的格式向公司提供一份日曆年度報告，其中規定了賣方匯出發票的上一個日曆年度由少數族裔所有、女性所有、殘疾人所有、LGBT所有、退伍軍人、殘疾退伍軍人、服務殘疾退伍軍人所有的企業開出的發票和向其集體支付的總金額。供應商應報告從2023年第一季度開始的上一年支出。但賣方未能履行第19.12(A)-(B)節所述的多樣性支出承諾並不構成違反本協議。

C.殘疾包容性評估。應要求，供應商應向公司報告其參與由國家認可的評估員對其殘疾納入表現進行或管理的年度評估的結果，例如來自殘疾：IN和美國殘疾人協會的殘疾平等指數，來自國家殘疾組織的殘疾就業跟蹤™，或來自康奈爾大學的基準能力工具。本節的規定僅適用於在美國提供的服務；適用於在美國境外提供的服務的任何多樣性要求

21.1供應商應使用有益的做法，控制和減少其經營活動對環境和社會的影響，以符合供應商行業在供應商經營地點的最佳實踐。供應商應根據要求維護、實施並向公司提供其針對高級管理層的環境、社會和治理(ESG)政策和程序。

21.2供應商應建立環境管理程序和倡議，以衡量和減輕與其運營、產品和服務相關的任何潛在的負面環境影響，包括能源和水消耗、温室氣體排放、廢物和危險材料(如適用)。

21.3供應商應公佈減少其運營、產品和服務對環境影響的公共目標，並公開披露其與這些承諾相關的進展情況。

21.4除確保遵守適用法律外，供應商還應維護政策和程序，這些政策和程序應根據要求提供給公司，以有效解決以下主題：

(A)申訴機制。供應商應向其代表提供透明和保密的流程，以提出工作場所的關切。賣方應公平調查此類關切，提供明確的解決方案，並防止對此類代表進行報復。

(B)公平的工資和福利。賣方應向代表提供符合或超過適用法律要求的公平和有競爭力的補償和福利，或在沒有法律要求的情況下，為所有代表提供適當的生活水平。

(C)自由選擇就業。供應商不得扣留工資或保證金、沒收身份證件、允許代表支付招聘費或限制代表的行動。賣方應在書面協議中記錄僱傭條款，包括補償和福利。不允許任何類型的非自願勞動，包括但不限於：強迫或強制勞動、販賣勞動、契約勞動、抵押勞動、非自願監獄勞動或強迫加班。

(D)童工。供應商應具有年齡驗證程序和政策，以防止18歲以下的工人從事危險工作。

(E)安全工作場所條件。供應商應維護和實施職業健康和安全計劃，並提供適當的個人防護設備、飲用水、乾淨的廁所設施、充足的照明、温度、通風和衞生設施，如果適用，還應提供安全和健康的工人住宿。

21.5供應商應滿足驗證要求，以確保其符合本節的要求，包括提供其相關政策、程序和參與公司評估問卷、現場審計、報告或公司要求的其他盡職調查手段的副本。

21.6對於至少有五十(50)名員工的供應商及其分包商，供應商應向供應商人員支付工資，並應確保分包商向在美國工作並根據本協議專門向公司提供服務的分包商人員支付每小時15美元(15美元)的最低工資。如果人員在任何支付期內在美國為供應商工作的所有時間都專門用於向公司提供服務，則視為僅向公司提供服務。

22.1公司可自費對供應商和供應商代表及分包商的政策、程序、控制和運營的所有方面進行保密審計、測試和檢查，這些政策、程序、控制和運營與本協議項下提供的服務和供應商的義務、契諾和陳述有關，包括但不限於供應商遵守適用法律的流程和程序，提供用於檢測和防止洗錢、恐怖分子融資和其他金融犯罪的信息，以及識別和防止欺詐行為。此類審計、測試或檢查是對本協議其他地方允許的任何其他審計、測試或檢查的補充，而不是替代。此類審核應在雙方商定的日期進行(不得超過公司書面通知時間、地點和持續時間後的十(10)個工作日)，但供應商應供應商的合理要求合理推遲審核，但此類延遲不得超過二十(20)個工作日，且應在正常營業時間內進行，但頻率不得超過一年一次，除非(I)公司對運營或合規風險有合理擔憂，或瞭解需要額外審核、測試或檢查的重大法規變更，或(Ii)年度審計結果發現本款規定的不符合規定的情況。公司將向供應商提供與任何此類審計相關的每份報告的調查結果摘要，並討論結果，包括任何補救計劃。如果審計結果發現供應商沒有嚴格遵守本協議的要求，則公司有權由供應商承擔費用, 根據本節規定的程序，在該年度內進行最多兩(2)次額外的此類審計。供應商同意立即採取行動，糾正在任何此類審計中發現的需要更正的事項或項目，費用由其承擔。未能糾正此類問題應被視為對本協議的實質性違反。對公司根據本節執行的審計頻率的任何限制不適用於公司合理地認為必要的任何此類審計，以確保供應商的服務履行符合本協議中題為“供應商的陳述和保證”一節中規定的陳述和保證。

22.2供應商應在合理可訪問的位置保存與其根據本協議向公司提供的服務有關的所有記錄，而不向公司收取任何額外費用。對於由供應商擁有的記錄，此類保留的期限應不少於適用法律所要求的期限，或者，如果不存在法律要求，則保留期限應不少於審慎商業慣例或公司另有指示的期限。對於由本公司擁有並由供應商代表本公司持有的與服務相關的記錄，此類保留應由本公司指示進行。上述供應商記錄可由公司、其代表或對公司有管轄權的聯邦或州機構在正常營業時間內以及公司和供應商決定的合理時間內進行檢查、審計和複製。可供審查的記錄應排除與被視為專有和機密的供應商其他客户有關的任何記錄，以及與本協議項下提供的服務無關的供應商機密和專有記錄。如果聯邦或州當局要求檢查供應商的公司記錄，供應商應事先通知公司。應公司的書面要求，供應商應與公司合理合作，尋求有關此類記錄的保護令。

22.3供應商應提供本協議項下用於提供服務的非公司管理設施的最新運營審計副本。如有必要，供應商將自行承擔費用，聘請合同國管轄範圍內的一家國家認可的註冊會計師事務所進行審計並編寫適用的報告。每一份報告將涵蓋期限內每個日曆年至少連續六(6)個日曆月的期間。此類審計可以在向公司提供的供應商服務的運營和程序位於多個地點的現場輪流進行，以確認供應商在協議的所有方面都合規。供應商應在收到報告後三十(30)個日曆日內向公司提供與每次此類審計相關的每份報告的副本。

22.4在事先書面通知後，公司人員或其代表(例如獨立和外部審計顧問)可在雙方均可接受的時間審計、測試或檢查供應商的信息安全計劃及其實踐、系統、設備、硬件和設施，以確保公司的數據和保密信息得到充分保護。此審核權是對本協議授予的其他審核權的補充。公司將確定此類審核、測試或檢查的範圍，可能延伸至供應商的分包商和其他供應商資源(其他系統、環境支持、恢復流程等)。用於支持保密信息的系統和處理。上述審計權利可能包括但不限於：(A)實踐和程序；(B)系統；(C)一般和特定控制及安全實踐和程序；(D)災難恢復和備份程序；(E)任何命令下的收費；(F)使公司能夠滿足適用的法規要求所必需的；以及(G)公司確定的任何其他合理目的。供應商應向此類審計員、檢查員、監管者和代表提供充分合作，包括安裝和運行審計、調查和取證軟件。供應商應將其擁有的任何內部審計能力告知公司，並允許公司人員或其代表在任何合理時間與該等審計師進行保密協商。公司可向供應商提供與任何此類審計相關的每份報告的調查結果摘要，並討論結果, 包括任何補救計劃。獨立外聘審計員須遵守本協議“保密”一節所載的規定。在任何情況下，代表都不需要簽署與執行此類審計相關的單獨保密或保密協議。即使本協議有任何相反規定，如果供應商違反或以其他方式不遵守本協議中“機密性”和“信息保護”部分和/或“信息安全”附表中規定的任何規定，則公司可進行額外的審計。

22.5供應商將向公司的聯邦和州政府監管機構提供合理的訪問權限(至少在法律要求的範圍內)，費用由公司承擔，查閲供應商持有的公司記錄以及供應商與本協議項下提供的服務相關的程序和設施。根據美國聯邦法典第12編第1867(C)款，此類服務的履行將受到適當的聯邦銀行機構的監管和審查，就像這些服務是由公司自己執行的一樣。供應商承認並同意，監管機構可以在正常營業時間內的任何時間對供應商的服務績效進行審計，並且此類審計可能包括本協議規定的方法和結果。

22.6除本節規定的要求外，如果公司提出要求，供應商應在其董事會或高級管理層收到後三十(30)個日曆日內，向公司提交(I)供應商聘請的任何第三方審計師對供應商的任何最終審計報告，包括該審計師提交的任何管理信函，(Ii)審查供應商在提供服務時採用的反洗錢流程和/或程序的任何內部審計，以及(Iii)公司和供應商可能達成一致的任何其他審計或檢查的副本。

22.7要求供應商保存的記錄應包括但不限於供應商遵守與投訴處理流程、質量保證、質量控制、記錄保留、人員培訓、遵守法律要求、處理客户投訴以及確定供應商遵守本協議要求所需的其他文件(包括但不限於“供應商的陳述和保證”一節所述的陳述和保證)相關的政策、標準和法規要求的文件，以及本協議的所有相關時間表和展品以及任何適用的訂單。

22.8賣方應在賣方所在地向公司和公司以書面指定的審計師和檢查員提供空間、辦公傢俱(包括可上鎖的櫃子)、電話和傳真服務、公用事業和辦公相關設備以及複製服務，由公司或該等審計師和檢查員合理地要求執行本文所述的審計。

231未經另一方事先書面同意，任何一方不得轉讓本協議或本協議項下的任何權利或轉讓其在本協議項下的任何義務，任何此類轉讓均屬無效，除非本公司或任何獲準的公司受讓人可將其在本協議下的任何權利和義務(包括但不限於任何個別命令)轉讓給任何公司聯屬公司、本公司或該受讓人可與其合併或合併的尚存的公司、或本公司或該受讓人將其全部或實質全部業務及資產或任何聯屬公司、附屬公司或部門的全部或實質所有業務及資產轉讓至的實體。

23.2即使本協議有任何相反規定，公司仍有權在未經供應商事先書面同意的情況下，將其在本協議項下的任何權利和義務(包括但不限於任何個別訂單)全部或部分轉讓、轉讓(包括但不限於更新)或其他處置，在任何情況下，僅限於與任何特別決議事件相關的任何特別決議接收方。本協議中任何規定轉讓違反該規定的規定均無效，不適用於公司根據本節規定行使其權利。

24.1.本協議應受紐約州國內法律的管轄，而不受有關法律衝突的法律管轄。每一締約國特此接受該州法院的專屬管轄權，並放棄對在此類法院提起的訴訟地點的任何異議。本規定不得解釋為與“調解/仲裁”一節的規定相沖突。

25.1在本協議項下產生的、雙方無法通過其關係經理非正式解決的所有爭議，將遵循以下程序。受害方應將爭端的性質以書面形式通知另一方，儘可能詳細地説明另一方的履約不足。關係經理應在書面通知發出之日起十四(14)個日曆日(或其他雙方商定的日期)內(親自或通過電話)會面，就缺陷的性質和雙方應採取的糾正措施達成協議。如果關係經理沒有開會或不能就糾正行動達成一致，有權在未經任何其他人(“管理層”)進一步同意的情況下解決爭議的各方高級經理應在書面通知發出之日起十四(14)個日曆日(或雙方商定的其他日期)內開會或以其他方式採取行動促成協議的達成。如果管理層在初次會議或其他行動後七(7)個日曆日(或其他雙方商定的日期)內未能滿足或不能解決爭議或就書面糾正行動計劃達成一致，或者如果超出書面糾正行動計劃中商定的完成日期，任何一方均可根據本協議的規定請求調解和/或仲裁。除非另有特別規定，任何一方均不得提起仲裁、調解或訴訟，除非或直到本爭議解決程序實質上得到遵守或放棄。一方未能履行其在本節中的義務，包括未能在另一方通知後及時履行義務，應視為此類豁免。

26.1如果雙方不能按照“爭端解決”一節解決因本協定引起或與本協定有關的爭端，雙方將真誠地嘗試通過不具約束力的調解來解決此類爭端。調解應在雙方都能接受的調解人面前進行，調解人應是在銀行和/或信息技術法律領域執業的律師或退休法官。調解將在紐約州的紐約舉行。

26.2未根據前款規定通過調解解決的當事各方之間或當事各方之間的任何爭議或主張，除特別排除的爭議或主張外，應應當事一方的請求通過仲裁予以裁決。仲裁應由一名獨立仲裁員進行，該仲裁員應是在銀行和/或信息技術法律領域執業的律師或退休法官。仲裁應根據《美國仲裁法》(《美國仲裁法》第9編第1節及其後的規定)在紐約州的紐約進行，儘管本協議中有任何法律規定，並受美國仲裁協會的主持和《商業仲裁規則》的約束。

26.3根據仲裁的快速性，每一方當事人應另一方的書面請求，迅速向另一方提供與任何索賠或反索賠所提出的問題有關的文件副本，生產方可依據這些文件支持或反對任何索賠或抗辯。應當事一方的請求，仲裁員有權在仲裁員認為有關和適當的範圍內下令以證人的書面證詞進行訊問。每一締約方的證詞最多不得超過三(3)次，並應在提出請求後三十(30)個日曆日內進行。只有在仲裁員允許的情況下，並在有充分理由的情況下，才能安排額外的證詞。每次作證的持續時間最長不得超過三(3)小時。除基於特權和專有或機密信息的異議外，所有異議均保留用於仲裁聽證會。關於證據開示的任何爭議，或其關聯性或範圍，應由仲裁員裁定，該裁定應為終局性的。所有證據開示應在指定仲裁員後六十(60)個日曆日內完成。

26.4仲裁員在確定任何請求時應執行訴訟時效，有關爭議是否可仲裁的任何爭議應由仲裁員裁決。仲裁員在作出合理決定時應遵守法律，並應提交書面意見，説明事實調查結果、法律結論和作出決定的理由。一旦提出動議，仲裁員應立即重新考慮該決定，費用由當事一方承擔。本協議中“保密”一節應適用於仲裁程序、所採集的所有證據和仲裁員的意見，這些內容應為雙方的保密信息。對仲裁員所作決定的判決可以在任何有管轄權的法院進行。

26.5本節的規定不限制當事一方在任何仲裁待決之前、之後或期間從有管轄權的法院獲得臨時或輔助補救的權利。行使補救措施並不放棄任何一方訴諸仲裁的權利。提起和維持尋求司法救濟或尋求臨時或輔助補救的訴訟，不應構成放棄任何一方在另一方對這種司法救濟訴訟提出異議時將爭議或主張提交仲裁的權利。

27.1賣方同意，它不應被視為本合同項下提供的任何貨物或服務的獨家供應商。除非在訂單中另有説明，否則公司保留無條件使用其他供應商提供類似服務的權利。

28.1公司將獨家擁有所有工作產品，供應商在此將工作產品的所有權利、所有權和利益(包括所有知識產權)轉讓給公司。在法律允許的範圍內，作品應被視為“出租作品”(該詞在美國版權法中有定義)。賣方應應要求向公司提供登記、完善或執行該權利、所有權和權益所需的一切合理協助，包括提供相關信息，並執行公司認為必要的所有申請、規範、宣誓、轉讓和所有其他文書。賣方應與其所有代表和分包商簽訂協議，以確立公司對工作產品的獨家所有權。公司承認賣方及其許可人對賣方根據本協議在其作品中使用的原作者作品和其他知識產權(“原IP”)的所有權主張。公司不主張在該預先存在的IP中未由本協議明確授予的任何權利，該權利不應被視為工作產品，即使在供應商提供給公司的服務中與工作產品合併。除非在訂單中另有約定，否則供應商向公司授予永久的、全球範圍的、不可撤銷的、非排他性的、免版税的許可，允許公司和公司的任何受讓人或再被許可人在符合本協議限制的情況下製作、使用、進口、複製、展示、分發、製作衍生作品，並根據使用工作產品的需要或需要修改該預先存在的知識產權。

28.2賣方應立即以書面形式通知公司下列情況：(I)聲稱侵犯、挪用或以其他方式侵犯與本協議項下提供的任何工作產品或服務有關的任何知識產權，或(Ii)合理預期不利的決定將對賣方或公司使用本協議項下提供的工作產品或服務產生重大不利影響，或對賣方、其關聯公司、分包商或代表的任何威脅或提起任何訴訟、訴訟或訴訟。

28.3在(A)供應商或其任何關聯公司轉讓、出售或授予專利或專利申請的獨家許可，或(B)供應商或其任何關聯公司成為專利主張實體之前，供應商代表其自身及其關聯公司，在此立即授予公司及其關聯公司以下權利：(I)根據該供應商或其關聯公司的專利和專利申請，製造、製造、使用(包括分銷產品或服務)、銷售、要約銷售、進口或以其他方式分銷產品和服務的全球、非獨家、免版税、永久、不可撤銷的許可，當專利主張實體針對公司或其附屬公司主張此類專利時，單獨或與其他產品或服務相結合；及(Ii)免除及保證在專利主張實體針對公司或其聯屬公司主張供應商或其聯屬公司的專利後，不會就該等客户單獨或與其他產品或服務結合使用公司或其聯屬公司的產品或服務而就該等客户單獨或與其他產品或服務一起使用公司或其聯屬公司的產品或服務而對公司及其聯屬公司或其直接及間接客户所指稱的侵權行為所涉及的任何及所有過往損害賠償提起訴訟。這些許可、發佈和契諾應約束和適用於隨後獲得任何權利以強制執行與這些許可和契諾有關的任何專利的所有實體。“專利主張實體”是指包括所有附屬公司在內的任何實體，該實體主要從(I)通過基於主張和/或基於主張或基於主張威脅的許可將專利或專利申請貨幣化，或(Ii)將專利或專利申請轉讓給完成第(I)部分的實體。

29.1賣方同意，如果(I)根據本協議接受服務的任何公司單位、部門或附屬公司成為資產出售、股票出售、業務出售、剝離、重組、剝離或類似交易的標的(該單位、部門或附屬公司在下文中稱為“受讓方”)，則公司有權在不收取任何額外費用的情況下自行決定行使該權利，要求賣方在交易結束之日起十二(12)個月內繼續向受讓人提供服務，受讓人在此期間被剝離(“受讓過渡期”)，猶如受讓人繼續是公司的一部分。公司承認，供應商在轉讓過渡期內向受讓方提供的任何服務必須在本協議有效期間執行(除非供應商另有書面同意)。如果任何轉讓過渡期超過本協議當時的剩餘期限，本協議應自動延長一段時間，即續訂期限，以滿足本協議規定的當時有效價格的轉讓過渡期。

29.2在轉讓過渡期內，公司應繼續負責就向受讓人提供的服務或為受讓人的利益向供應商支付的所有費用，除非公司向供應商提供由取得受讓人的一方履行的該等責任的書面承擔，在此情況下，公司或公司的任何關聯公司此後均不承擔任何與供應商向受讓人提供的服務有關的費用。

29.3在轉讓過渡期內或之後儘快，如果受讓方提出要求，賣方應與受讓方真誠協商一份單獨的協議，以便在轉讓過渡期後繼續向受讓方提供服務。如果在轉讓過渡期內，受讓人與賣方簽訂了單獨的協議，則本公司及其任何關聯公司均不以任何方式承擔該單獨協議項下的任何相關成本或費用。

29.4在轉讓過渡期結束時，(A)賣方應停止向受讓方提供服務；及(B)此後，本公司及其任何關聯公司均不承擔與賣方向受讓方提供的服務有關的任何服務費。本協議中對公司使用服務的所有限制應被視為也適用於任何被剝離的附屬公司或部門對服務的使用。在任何情況下，對於轉讓過渡期結束後被剝離的關聯公司或部門對服務的任何此類使用，公司均不向供應商負責。

30.1賣方意識到並充分了解供應商的責任，並同意下列規定：(A)11246號行政命令，經全部或部分修訂或取代，載於《行政命令》第202節，見第41 C.F.R.第60-1.4(A)(1-7)節；(B)《1973年康復法》第503節，見第41 C.F.R.第60-741.5節；和(C)《1974年越戰退伍軍人調整援助法》，載於《美國聯邦法規》第41編第60-300.5(1)節。本承包商和分包商應遵守《美國聯邦法規》第41編第60-1.4(A)、第60-300.5(A)和第60-741.5(A)節的要求。這些條例禁止基於受保護退伍軍人或殘疾人身份對合格個人的歧視，並禁止基於種族、膚色、宗教、性別或民族血統的所有個人歧視。此外，這些規定要求涵蓋的主承包商和分包商採取平權行動，僱用和促進個人就業，而不考慮種族、膚色、宗教、性別、民族血統、受保護的退伍軍人身份或殘疾。(2)本承建商及分包商須遵守29 CFR第471部A分部附錄A的規定。[注：就上述目的而言，承包商是指供應商]

30.2章節標題僅為方便或參考而包含，並不旨在定義或限制本協議任何條款的範圍，不應用於解釋或解釋本協議。

30.3任何一方對本協議項下任何權利或補救措施的行使或部分行使的延遲、失敗或放棄，不得限制、損害、排除、取消、放棄或以其他方式影響此類權利或補救措施。任何一方對本協議任何條款的放棄並不意味着隨後放棄該條款或本協議的任何其他條款。

30.4如果本協議的任何條款被認定為無效、非法或不可執行，則其餘條款的有效性、合法性或可執行性不應因此而受到影響或損害。

30.5除非雙方簽署書面文件明確提及本協議，否則對本協議任何條款的修改均無效。本協議的任何命令或附表的條款應補充、而非取代或修訂本協議的條款和條件，如果與任何該等命令或時間表有任何衝突，應以本協議的條款和條件為準，並且此類衝突應按以下優先順序解決：1)條款和條件，然後是2)本協議的附表，然後是3)本協議下的命令，然後是本協議所附的所有其他文件。本協議的條款和條件應以參考方式併入本協議下的任何訂單。

30.6儘管本協議中有任何相反的規定，雙方特此同意，公司為遵守影響金融服務公司或金融服務公司供應商的聯邦法律、規則或法規的變化而對本協議作出任何修訂的書面通知後三十(30)個日曆日，本協議應由該通知及其中所載的修訂予以修訂，而無需雙方採取進一步行動，由此修訂的協議可對雙方、其繼承人和受讓人強制執行。本協議項下提供的通知應列出該變更，並提供對本協議的相關修訂。如果供應商未能遵守對協議的任何此類修訂的條款和條件，公司有權立即終止協議，而不對供應商承擔進一步的責任。

30.7本協議可由雙方簽署一份或多份副本，簽署時每份副本應為正本，但所有副本應構成一份相同的文書。

30.8本協定項下的補救措施應是累積性的，不是排他性的。選擇一種補救措施不排除尋求根據本協定或在法律或衡平法上可獲得的其他補救措施。在仲裁中，一方當事人可尋求管轄法律普遍適用的任何補救辦法。

30.9儘管有一般的解釋規則，但公司和供應商都承認，雙方都有平等的機會談判本協議中的條款和條件，並同意本協議起草人的身份與本協議的條款和條件的任何解釋無關。

30.10本協議規定的所有通知或其他通信應以書面形式發送給雙方，發送至簽字頁上規定的適用地址，或雙方可按本節規定的方式以書面通知替代的其他地址：(A)通過頭等艙、掛號或掛號的美國郵件、要求的回執和預付郵資，(B)夜間快遞或(C)以專人遞送的方式發送到該等地址。該等通知應被視為已在(I)上述郵寄日期後五(5)個營業日、(Ii)在營業時間內由快遞收到後一(1)個營業日、或(Iii)以專人遞送方式送達的同一日正式送達。對時間敏感的通知只能通過上文(B)或(C)項所述的方法交付。

30.11無論本協議要求任何一方批准或同意，此類批准或同意不得無理拒絕或拖延。

30.12本協議對雙方及其各自允許的繼承人和受讓人具有約束力，並符合其利益。除公司的關聯公司外，雙方不打算將本協議的利益賦予任何第三方，本協議中包含的任何內容不得被解釋為對本協議的任何一方產生有利於任何其他第三方的任何權利、索賠或訴訟理由。

30.13根據本協議進行的供應商提供服務的任何交易應受《統一商法典》第2條的管轄，如同服務是商品一樣，除非適用法律所在州的法律另有明確規定。

30.14除非本協議另有允許，未經另一方明確書面同意，任何一方或其任何關聯公司均不得(I)發佈與本協議有關的任何媒體新聞稿、公開披露或公開公告(就本節而言，“公開公告”是指向一方組織以外的個人或實體發佈信息的任何公告或發佈)，或(Ii)在促銷或營銷材料或客户名單上使用另一方或其關聯公司的名稱、徽標、商標或服務標誌，或(Iii)除非作為服務的一部分，在任何通信中使用另一方的名稱、徽標、商標或服務標記，而該通信因意圖或推斷而暗示該另一方贊助、批准或推薦或參與任何人、地點或活動，或者(Iv)除非作為服務的一部分，否則在任何用户名、句柄、檔案名稱或其他對象標識符中使用另一方的名稱、徽標、商標或服務標記，在(I)-(Iv)、(I)-(Iv)、包括(I)-(Iv)、(I)-(Iv)(包括)中的每一項中使用另一方的名稱、徽標、商標或服務標誌，無論是否出現在主流媒體、社交媒體、虛擬現實、增強現實、遊戲、個人設備應用程序或任何形式中。本款規定不得將法律、會計或法規要求的任何披露限制在釋放方或其關聯方的合理控制範圍之外。出於監控目的，在[***]，賣方應向公司提供[***]提前幾天書面通知本節涵蓋的所有供應商公開演講活動或公開披露的細節，包括主題和談話要點，包括但不限於會議和投資者電話會議。

30.15根據下文規定的條款和條件，公司特此向供應商和供應商授予有限的、非排他性的、不可轉讓的、可撤銷的許可，以便僅為提供服務而使用商標。在第30.15節中，“商標”指的是美國銀行和條紋標誌，公司擁有並在其中建立了廣泛的商譽。

在使用商標之前，供應商應向公司提交商標的所有建議用途。未經公司事先書面批准，賣方不得使用商標。

供應商對公司標誌的所有使用應包括公司指示的任何名稱，例如“(R)”、“(TM)”或“(SM)”。公司有權修改指定要求，並要求發出其認為合理必要的其他通知。

公司可以通知供應商使用公司擁有的不同商標，也可以隨時要求供應商停止使用所有商標。在收到該通知後，供應商應根據該通知停止使用商標或使用不同的商標。

供應商承認，其對商標的使用不會在供應商中產生對商標的任何權利、所有權或利益，供應商對商標的所有使用均應使公司受益。

供應商承認，其不遵守第30.15條的規定可能會對公司造成法律上沒有適當補救措施的直接和不可補救的損害，供應商同意，如果發生這種情況，公司有權通過臨時和永久禁令以及任何有管轄權的法院認為公正和適當的其他進一步救濟來尋求公平救濟。

30.16[故意遺漏]

30.17雙方特此放棄在任何一方對另一方提起的訴訟、訴訟或反索賠中的陪審團審判，這些訴訟、訴訟或反索賠涉及本協議的解釋、履行、執行和其他方面，以及與本協議項下的服務、雙方之間的關係，或因本協議項下或與本協議有關而產生的任何傷害或損害索賠，或以任何方式與本協議項下的解釋、履行、執行和運營相關的任何事項。

31.1本協議、附表和通過引用併入本協議的其他文件是雙方協議的最終、完整和排他性的表述，並取代任何一方先前就本協議主題和本協議擬進行的交易達成的所有協議、諒解、書面文件、提案、陳述和溝通，無論是口頭還是書面的。雙方同意接受本協議簽署時的數字圖像，作為真實和正確的原件，並在具有適當司法管轄權的法院允許的範圍內作為最佳證據接受。

32.1本節中題為“個人數據保護-歐洲經濟區”的規定僅適用於下列情況之一：(I)接受服務的公司或公司附屬公司在歐洲經濟區設立，或(Ii)接受服務的公司或公司附屬公司在歐洲經濟區以外設立，但向歐洲經濟區內的個人提供商品或服務，或正在監控歐洲經濟區內的個人。這些規定是對在提供服務的地區適用的數據保護法的補充，而不是取代。如果當地數據保護法與《一般數據保護條例》(下稱《一般數據保護條例》)發生衝突，供應商應履行為個人數據提供最大保護的義務。

32.2適用於本節“個人數據保護--歐洲經濟區”對服務的適用定義以及供應商和公司在本協議項下的權利和義務：

(F)“公司”應包括公司的關聯公司，在適用的情況下，“供應商”指幷包括供應商的關聯公司。

(G)就題為“個人數據保護--歐洲經濟區”的本節而言，“數據保護法”應包括“一般數據保護條例”(EU 2016/679)。

32.3根據本協議或任何命令，供應商的服務包括或要求處理由公司交付或提供給供應商的個人數據，或由供應商代表公司處理的個人數據，且即使本協議或任何命令中有任何相反規定，供應商同意如下：

(H)雙方的意向是，本公司將成為數據控制人，而供應商將成為數據處理者。除非適用法律另有要求，否則供應商將僅在以下情況下處理公司提供給供應商的個人數據：(I)為向公司提供合同產品或服務而需要；以及(Ii)根據供應商和/或其關聯公司從公司收到的具體書面指示，包括本協議以及任何相關訂單、時間表、工作説明書或項目文件中所述的指令(在這種情況下，供應商將事先通知公司此類法律要求，除非法律以重要的公共利益為由禁止這種披露)。

(I)供應商應應公司的要求，向公司提供關於其隱私和數據保護政策、做法和流程的足夠信息，以便公司對其進行評估。

(J)供應商應遵守公司維持的任何相關程序和程序，並向公司提供公司所需的一切協助，以履行公司根據數據保護法承擔的義務。

(K)考慮到技術水平、實施成本和供應商處理個人數據的性質、範圍、背景和目的，以及侵犯個人權利和自由的不同可能性和嚴重程度的風險，供應商將實施適當的技術和組織安全措施，以確保其擁有和/或由供應商傳輸的個人數據具有適當的安全水平。供應商將酌情在其安全措施中包括：(A)個人數據的假名和加密；(B)確保處理系統和服務的持續保密性、完整性、可用性和復原力的能力；(C)在發生物理或技術事故時及時恢復個人數據可獲得性和訪問的能力；(D)定期測試、評估和評價確保處理安全的技術和組織措施的有效性的程序。如果數據保護法要求，此類要求可能超出《銀行安全要求》中規定的適用信息安全和業務連續性做法和標準，以及“業務連續性”和“信息保護”部分以及“信息安全”和“恢復”附表中規定的要求。

(L)公司將被允許根據題為“審計”的章節對供應商遵守數據保護法的所有方面進行審計和檢查。供應商應向公司提供所有必要信息，以證明遵守和履行任何相關數據保護法規定的所有義務。在迴應公司授權的審計或信息請求時，如果供應商認為公司關於個人數據的任何指示違反了適用法律，供應商將通知公司。

(M)考慮到個人資料處理的性質和賣方可獲得的信息。供應商應遵守並協助公司按照相關的數據保護法和本協議其他地方可能明確規定的有關個人數據泄露、數據保護影響評估和事先諮詢的義務和要求，包括根據名為“信息安全”的附表中的規定，包括根據“信息安全”附表中“檢測和響應”部分中規定的時間表或相關數據保護法中規定的任何時間表(以較短的時間為準)，通知公司任何違反數據保護法的行為。

(N)供應商將確保獲授權處理個人資料的人士已承諾保密或負有適當的法定保密義務，而任何此等人士均須遵守“保密”及“資料保護”一節所載的要求。未經公司事先書面同意，賣方不得向任何第三方(包括賣方的關聯公司和分包商)披露或轉移個人數據，或允許第三方處理個人數據，除非雙方另有書面授權。賣方將對該等第三方就個人資料採取的一切行動負責，猶如該等行動是賣方的行動一樣。

(O)在任何相關數據保護法要求的範圍內，供應商將使用適當的技術和組織措施，在考慮到供應商處理此類個人數據的性質的情況下，協助公司履行其對行使個人權利的請求做出迴應的義務。如果賣方收到：(I)根據本協議或任何命令處理數據當事人個人數據的請求，包括但不限於退出請求、訪問和/或更正、刪除、限制、數據可移植請求以及所有類似請求；或(Ii)任何與處理個人數據有關的投訴，包括有關處理侵犯個人權利的指控，則賣方：(A)應迅速將請求通知公司；(B)除非公司明確授權，否則不得對任何此類請求或投訴作出迴應；(C)應就與該請求或投訴有關的任何行動向公司提供協助和合作；以及(D)應在提出請求後的較短五(5)個工作日內或根據任何相關數據保護法規定的時間表提供公司要求的任何信息。

(P)未經公司事先書面同意，供應商不得在歐洲經濟區或任何其他相關司法管轄區以外提供服務或以其他方式轉移任何個人數據，這可能受供應商簽訂公司可能要求的其他數據轉移協議的約束，以確保其遵守適用的數據保護法。

(Q)在適用於供應商為公司提供的服務的範圍內，供應商將(A)按照數據保護法的要求保存所有具體記錄，包括供應商及其關聯公司和分包商處理的與服務相關的所有個人數據的性質和用途，(B)應要求迅速向公司和/或其監管機構提供此類記錄，以及(C)在(I)終止本協議或任何命令時；或(Ii)在公司的書面要求下，賣方應按照附表中標題為“信息保護”、“信息安全”的“信息銷燬和返還要求”部分以及任何附加的銀行安全要求中規定的義務，迅速、安全地將賣方根據本協議持有的所有此類個人數據(包括任何副本和存儲在何種介質上)歸還給公司，或在公司的書面指示下銷燬此類個人數據。應要求，供應商應提供書面證明，證明相關個人數據已根據本協議退回或安全銷燬，除非任何法律或法律行動阻止其這樣做，在這種情況下，供應商應將該等個人數據和副本保持安全和保密，不再處理它們，並應在該等法律或法律行動不再阻止其這樣做時，儘快歸還或在公司的書面指示下銷燬該等個人數據和副本(並證明其已經這樣做)。

保留供應商以提供本附表或每個訂單中所述的服務。

服務費用應在每一訂單中列出。

[由採購主管/採購經理填寫]

除非訂單中另有規定，否則所有服務應符合以下標準：

本附表中規定的任何履約衡量是對本協議中題為“賣方的陳述和保證”一節第9.2節所規定的賣方的陳述和履約保證的補充，而不是替代。

對供應商未能滿足特定服務級別、規格、時間範圍或性能測量的財務或其他處罰，在本協議或本協議的其他地方明確規定，或以任何順序規定：

(A)不是也不應限制公司的任何終止權，這些權利可能在本協議的其他地方或以任何順序提供，無論是出於方便、原因或其他原因，此類終止可能是基於適用的供應商未能滿足特定的服務級別、規格、時間範圍或性能衡量；和

(B)不得禁止、禁止公司尋求公平補救措施的保護，例如(但不限於)特定履約和禁令救濟，以解決適用的供應商未能滿足特定服務級別、規格、時間範圍或業績衡量的問題，或作為針對該能力的辯護。

就供應商未能滿足特定服務級別、規格、時間範圍或績效衡量標準而在本附表或本協議其他地方或以任何順序明確規定的任何罰款或其他處罰，不適用於(1)公司的損失，這些損失也不適用於根據“責任限制”一節也可以免除的損失，以及(2)如果供應商在任何連續十二(12)個月期間未能滿足服務水平、規格、期限或績效衡量標準三(3)次以上。在第(1)和(2)項的情況下，公司應有權根據法律或衡平法上向其提供的所有權利和要求尋求賠償。

信息安全計劃的特點

以下主題應在供應商的信息安全計劃中適用：

1.圖表。圖表應顯示系統架構的詳細信息，包括但不限於路由器、交換機、互聯網防火牆、管理或監控防火牆、服務器(Web、應用程序和數據庫)、入侵檢測系統、網絡和平臺宂餘的邏輯拓撲。圖表應包括所有託管環境，包括供應商分包商提供的託管環境。

2.防火牆。説明正在使用的防火牆的規格以及由誰來管理它們。指定管理防火牆所需的服務、工具和連接。

3.入侵檢測系統。描述入侵檢測系統(“入侵檢測系統”)環境以及安全漏洞和事件升級流程。指明誰來管理該入侵檢測系統環境。指定管理入侵檢測系統環境所需的服務、工具和連接，以及入侵檢測系統網絡是否基於主機。

4.變革管理。描述用於提供服務的自動化系統的變更管理流程。描述信息處理政策和實踐的流程。

5.業務連續性。描述業務連續性管理計劃。

6.系統管理訪問控制。描述在應用程序和網絡基礎設施內的服務器、防火牆或其他設備上執行管理職能的職位。執行功能所需的詳細訪問級別。描述如何設計和維護應用程序訪問權限以確保職責分離。解釋訪問控制機制。描述定期對系統進行訪問審查的頻率和流程，以確保在需要了解的基礎上授予權限。詳細説明生成的訪問報告以及定期查看報告的時間。描述用於跟蹤/記錄/監控每個帳户的使用情況的方法。

7.客户/員工訪問控制。描述公司客户和員工為獲得對公司提供的服務的訪問權限而遵循的每個登錄流程。描述此類客户和員工的初始註冊流程。描述供應商系統實施的密碼策略和程序，包括但不限於密碼過期、密碼長度、密碼撤銷、無效登錄嘗試閾值等。描述用於跟蹤/記錄/監控每個帳户使用情況的方法。供應商應演示客户、員工或最終用户如何對每個應用程序進行身份驗證。

(A)系統管理訪問控制和客户/員工訪問控制的要求(訪問管理要求)。

確保滿足公司最低要求的標準，包括但不限於以下項目：提供有關授予應用程序訪問權限的流程的文檔。提供有關訪問權限刪除流程的文檔，以確保滿足所有公司吊銷時間表。描述定期對系統進行訪問審查的頻率和流程，以確保在需要了解的基礎上授予權限(包括職責分離)。同意供應商應公司要求向公司提供所有公司員工權利信息的文件上傳，包括用户帳户、服務帳户和訪問權利級別。描述供應商系統執行的ID和密碼策略和程序，包括但不限於密碼過期、密碼長度、密碼撤銷、無效登錄嘗試閾值、身份驗證、非活動超時、ID強度等。

8.以人類可感知的形式獲取機密信息。描述用於保護印刷或其他可察覺形式的機密信息的政策、程序和控制措施；如何以及多久審查和測試這些政策和程序；以及使用什麼方法確保銷燬硬拷貝上的機密信息。

9.操作系統基線。描述供應商的操作系統安全控制和配置。例如：由於供應商對公司的服務不需要而被刪除的操作系統服務。確定並提供尚未應用的當前操作系統修復程序(如果有)。

10.加密。詳細描述在傳輸過程中以及在供應商或其分包商可能存儲機密信息的所有形式和位置中保護機密信息(包括密碼和驗證信息)的加密技術和使用方法。

11.應用和網絡管理。指定管理應用程序和網絡環境所需的服務、工具和連接；由誰執行管理職能；以及託管設備適用的物理安全級別。

12.物理安全。對於供應商將處理或存儲保密信息或為公司提供服務的每個位置，請詳細説明物理安全方面的安排。

13.隱私：描述供應商的隱私和安全政策。

14.服務器的位置。描述供應商網絡中Web服務器的位置。如果不在與應用程序和數據庫服務器不同的網段上，請解釋未執行此操作的原因。在公司的要求下，供應商應作出合理努力以實現這種分離。

保護

供應商應監控行業標準信息渠道，以發現與向公司提供的技術和服務有關的新發現的系統或安全漏洞。此類要監控的信息渠道必須包括以下來源：

供應商應立即報告影響向公司提供的技術和服務的所有已知和已驗證的信息安全漏洞，方法是聯繫美國銀行的InfoSafe團隊，電子郵件：infosafe@bank ofamerica.com，或致電1.800.207-2322(美國國內)或1.704.317.5350(全球)，並選擇選項1。此類通知應包括以下信息：

CVE-從Mitre獲取的漏洞的唯一標識符。

摘要-對漏洞的描述

利用結果-如果成功利用，會發生什麼情況？(即代碼執行、拒絕服務、提升權限等)

該漏洞是由供應商還是第三方識別的？

供應商是否知道有人利用此漏洞進行攻擊？

受影響的產品/服務的標識，包括版本號

CVSS 3.0基本和時態指標。有關CVSS 3.0的詳細信息，請參閲-CVSS 3.0網站

如果在通知時不知道信息，則供應商應在此類信息已知時立即更新公司，並提供對以前提供的信息的更新。

此外，供應商應通過Mitre的CVE報告流程迅速報告所有此類漏洞，並根據行業最佳實踐採取所有其他通知措施，包括在供應商網站上及時報告漏洞。除本協議規定的任何其他通知義務外，供應商應在供應商網站上公佈後1小時內通過電子郵件通知InfoSafe團隊：infosafe@bank ofamerica.com。

供應商應以適當和及時的方式修復或修補任何此類漏洞，並應在實施此類修復或補丁之前向公司提供任何建議的修復或補丁的所有測試結果。如果公司通知供應商任何新發現的系統或安全漏洞，供應商應立即確定其系統是否受到此類漏洞的影響，如果是，應遵守本節的通知和修復/補丁要求。除非另有明確的書面約定，否則“及時”是指在供應商意識到安全問題後，一旦商業上合理，供應商應立即推出此類補丁或補丁。這一義務延伸到構成供應商系統的所有設備，例如應用軟件、數據庫、服務器、防火牆、路由器和交換機、集線器等，以及供應商的所有其他機密信息處理做法。

檢測和響應

在發現(1)公司根據本協議向供應商提供的任何數據對象(“受影響人員”)的個人數據遭到任何實際或疑似泄露的情況，包括適用法律要求向受影響的人或針對此類情況的其他活動發出通知的任何情況；(2)公司根據本協議向供應商提供的公司保密信息的安全性、保密性或完整性受到任何實際或懷疑的違反或損害時，供應商應按照以下通知時間表通知公司；或(3)任何實際的、企圖的、懷疑的、威脅的或合理可預見的情況，其危害或可合理預期的危害物理安全或系統安全的方式，使得或可合理預期允許未經授權地處理、使用、披露、銷燬或獲取或訪問由供應商或其代理或分包商開發、維護、處理或傳輸的與服務相關的任何公司軟件、工作產品或任何公司機密信息(統稱為“安全違反”)。對供應商網絡或系統的ping或掃描不應被視為本款規定的可疑違規或泄露行為，除非且直到供應商合理地懷疑此類ping或掃描導致任何受影響個人或公司機密信息的非公開個人信息的安全性、保密性或完整性遭到破壞或危害。

通知一(1)：供應商應立即通知公司，但不得遲於發現任何安全漏洞後二十四(24)小時。除相關執法部門外，向公司發出違反安全規定的通知應先於通知任何其他方。

通知二(2)：供應商應每四(4)小時向公司提供有關安全違規當前狀態的最新信息，或根據安全違規的嚴重程度或供應商為解決安全違規所採取的補救措施而更頻繁地向公司提供更新。

通知三(3)：一旦安全違規行為得到緩解，供應商應向公司提供最終通知，但不得超過補救工作完成後的四(4)小時。

供應商還應在發現對服務的可用性或完整性有重大影響的任何安全事件或事件後一(1)小時內通知公司，包括但不限於DoS或DDoS攻擊(“安全事件”；安全違規和安全事件統稱為“重大安全事件”)，並應在服務恢復到安全事件前級別時立即通知公司。

上述所有通知應通過撥打(800)207-2322選項1或公司不時規定的其他方式通知公司事故響應團隊(“InfoSafe”)。來電者將被要求表明自己是供應商。

公司保留根據聯邦指導方針(包括但不限於未經授權訪問客户信息和客户通知的跨部門應對計劃的跨部門指導方針)和/或州法律或法規向受影響人員和監管機構發出適當的隱私侵犯通知的權利。為了在此類通知中幫助公司，供應商應包括可用事實的簡要摘要、任何調查的狀態，以及受影響的潛在人數(如果知道)。除與適用執法機構的溝通外，供應商同意，未經公司明確書面同意，不得就涉及公司機密信息的任何安全違規行為與任何第三方進行溝通，包括但不限於媒體、供應商、消費者和受影響人員；但是，如果供應商需要就此類安全違規行為與第三方進行溝通，則供應商可在未經公司同意的情況下與該第三方進行溝通，前提是供應商不得披露或提供任何信息，告知、建議、暗示或導致該第三方相信此類違規行為涉及公司或公司的保密信息，或者該第三方受與供應商的保密協議的約束。

供應商同意全額償還公司向受影響人員提供適當信用監控服務的費用，為期兩(2)年。此外，與任何安全違規相關的所有成本，包括但不限於向受影響人員發出通知和對其進行信用監控、準備和郵寄或以其他方式傳輸法律要求的通知、準備和郵寄或以其他方式向客户、代理商或其他人發送公司認為合理合適的其他通信、針對此類安全違規行為建立呼叫中心或其他通信程序(例如，客户服務常見問題解答、談話要點和培訓)、公共關係和其他類似的危機管理服務、以及與公司調查和應對此類事件相關的法律和會計費用以及費用，均由供應商自行承擔。

供應商應全力配合與任何重大安全事件相關的所有公司安全調查活動。供應商應根據銀行安全要求，保存供應商網絡中存儲或處理公司機密信息的部分的所有記錄和日誌。發生重大安全事件後，供應商應在雙方商定的額外時間內保留此類記錄和日誌，並在提出請求時允許公司合理訪問此類記錄和日誌。如有合理的事先通知，公司可審查和檢查系統活動或公司機密信息處理的任何記錄。供應商承認並同意，在發生重大安全事件或其他不當活動時，系統活動和機密信息處理的記錄可能是證據(受適當的保管鏈程序約束)。應公司要求，供應商應向公司交付此類記錄的正本或經適當認證的副本，以用於任何法律、調查或監管程序。

信息銷燬和返還要求

總體要求

除非指示供應商返還公司機密信息和數據，否則供應商應銷燬所有存儲位置的所有公司機密信息和數據，這些信息和數據在根據本協議履行或滿足法規或保留要求後不再需要。供應商必須制定或制定符合銀行安全要求的信息銷燬時間表和流程，並且必須在不再需要公司機密信息和數據的所有情況下使用這些時間表和流程。這些信息銷燬要求適用於包含公司機密信息和數據的紙張、縮微膠片、磁盤、磁盤驅動器、磁帶和其他可銷燬的電子或數字介質。

紙和其他可粉碎的介質

紙和其他可粉碎介質包括紙張、縮微膠片、縮微膠片、光盤(CD)和任何其他可以粉碎的介質。必須使用粉碎技術或機器粉碎該介質，以便當供應商使用完該介質上包含的公司機密信息和數據並且不再需要時，該介質中的公司機密信息和數據將按照本文所述完全銷燬。該介質可以立即粉碎，也可以臨時存儲在高度安全、上了鎖的容器中。介質可以在供應商設施以外的位置粉碎，但必須放在高度安全、上了鎖的容器中進行轉移。無論粉碎活動發生在哪裏以及由誰執行粉碎，供應商都有責任監督粉碎。本媒體中的公司機密信息和數據必須通過粉碎完全銷燬，以使結果不可讀或不可用於任何目的。

電子媒體

電子媒體包括但不限於磁盤驅動器、磁盤、磁帶、通用串行總線(USB)和用於電子記錄和存儲的其他媒體。應使用符合銀行安全要求的擦除或消磁工具擦除或消磁該介質。擦除使用的程序會重複向介質寫入數據，從而銷燬原始內容。消磁會產生一個電場，以電子方式消除原始數據並清除介質。這些技術必須滿足銀行安全要求。生成的介質必須不受任何機器或計算機內容的影響，這些內容可用於任何目的。

認證

供應商必須將這些過程作為程序進行記錄，並應概述要使用的技術和方法。該程序還必須指明銷燬公司機密信息和數據的時間和地點。供應商應保存完成的所有公司機密信息和數據銷燬記錄，並應要求向公司提供此類記錄。

機密信息的返還

當公司指示供應商返回公司機密信息和數據時，此類機密信息和數據應以公司合理可接受的格式返回給公司或公司指定的其他方，(I)不向公司支付額外費用，以及(Ii)除非公司要求特定格式。

背景篩選指南

1.如“供應商人員”一節所規定的，在將供應商或分包商僱員或合同工(本附表中的“合同人”)分配給服務之前，供應商應管理並遵守並確保供應商的分包商管理並遵守以下規定的背景篩選要求或與在美國境外執行和/或交付的服務有關的“當地參與協議”或“訂單”中規定的其他要求。

(A)確認在美國工作的美國公民身份和/或證書。如果供應商或分包商無法確認美國公民身份或無法獲得在美國工作的適當證明，則不得將供應商或分包商合同人分配到公司賬户。

(B)查詢合同人的社會安全號碼，以核實個人身份的準確性。根據美國聯邦合同向美國銀行提供服務的供應商必須在E-Verify中註冊，並在提出要求時，必須在E-Verify中向美國銀行提供其“公司信息簡介”頁面的副本，作為註冊的證明。E-Verify是一個基於互聯網的系統，它將員工的I-9表格(就業資格驗證)中的信息與美國國土安全部和社會保障管理局記錄中的數據進行比較，以確認就業資格。如果供應商或分包商無法核實個人身份的準確性，則不應將供應商或分包商合同人員分配到公司賬户。

(C)對供應商或分包商合同人在被指派提供任何服務之日之前十(10)年內每個地點的所有刑事法庭記錄(聯邦法院和州法院的輕罪和重罪)進行或獲取全面的刑事背景調查，除非當地或州法律或法規要求較短的期限。根據“供應商人員”一節的規定，如果供應商或分包商的刑事背景調查披露了第13.5(A)-(C)節(含)中“供應商人員”一節所列事項，則供應商或分包商合同人員不得被分配到公司賬户。

2.如果供應商或分包商合同人在供應商或分包商的連續服務中斷超過連續九十(90)天，則在將合同人重新分配到服務之前，供應商或分包商應根據上述第一項要求進行新的背景調查。

3.如果角色或服務需要，並應提供服務的適用公司業務部門的要求，供應商或分包商將核實完成任何高中後教育或學位(即，B.A.、B.S.、Associate或專業認證)。

4.公司可能要求的任何其他額外檢查將提交給供應商進行審查，供應商將被允許在合理且雙方同意的時間框架內對供應商和分包商合同人實施此類額外檢查。如果公司自行決定需要對當前聘用的供應商或分包商合同人進行額外檢查，則檢查費用應由公司根據雙方商定的程序和時間表進行，並以書面形式加以證明。

(A)供應商或分包商的合同人，如被置於消費房地產/抵押貸款業務和任何其他可能有類似要求的業務範圍內，可應公司要求並在公司酌情決定的情況下檢查額外的數據庫，作為財務制裁搜索的一部分，此類檢查將由公司首選的服務提供商進行管理。

(B)如果公司自行決定要求金融行業監管機構(FINRA)指紋篩查和/或FBI指紋篩查，此類指紋篩查將由公司管理和支付費用，但供應商有義務以各方合理接受並符合任何適用法律的形式，從每個受影響的供應商或分包商合同人那裏獲得完整的背景調查和指紋授權。

1.供應商的業務連續性管理計劃(“BCM計劃”)應包括但不限於持續的適當風險識別和控制、計劃、測試、響應和恢復戰略程序以及執行治理。業務連續性計劃應包括但不限於恢復和應急計劃、恢復戰略、關鍵人員的損失以及涵蓋供應商根據本協議提供服務所必需的所有運營領域的重要記錄保護。業務連續性計劃還應提供但不限於關鍵數據文件、機密信息、軟件、文檔、表格和用品的非現場備份，以及傳輸和處理機密信息的替代方法。業務連續性計劃必須包含對業務連續性計劃的測試和驗證，以及響應和恢復程序。

2.恢復戰略應規定在短期和長期災害以及設施、環境支助、勞動力供應和數據處理設備中斷後進行恢復。雖然短期停機可以通過宂餘資源和網絡多樣性來保護，但長期戰略必須允許供應商的業務運營在六(6)個月或更長時間內完全銷燬，並制定恢復戰略。如果供應商提供關鍵產品或服務(由公司自行決定)，則供應商的恢復策略還必須提供在供應商員工中多達50%(50%)的潛在不可用三(3)個月期間的可恢復性。

3.在任何恢復期間，供應商的恢復目標不得超過以下各項：

A.恢復時間目標(RTO)(在發生災難或中斷事件後必須恢復服務的時間段)：10.5小時

B.恢復點目標(RPO)(可接受的最大數據丟失量，以災難或中斷事件發生前的小時或分鐘為單位衡量)：1小時

如果公司要求更改，公司同意與供應商合作，確定雙方都同意的日期，以便供應商在必要時達到新的恢復目標。

4.如果公司啟動了應急計劃或轉移到臨時地點開展業務，包括在測試公司的應急運營計劃期間，供應商應繼續在既定的恢復目標範圍內向公司提供服務。

5.如有要求，供應商應允許公司根據供應商合理的安全政策和程序，自費觀察並參與供應商BCM計劃和適用的業務連續性計劃的預定測試。

6.供應商必須讓公司有機會審查和評估是否有能力滿足有關供應商BCM計劃和業務連續性計劃的任何適用法規要求的證據。

7.如果公司提出要求，供應商應參與公司的應用程序彈性計劃。參與包括通過全面測試驗證供應商的恢復戰略，在該測試中，應用程序必須將生產工作負載故障切換到備用站點，持續時間至少為連續五(5)天。

以下規定應適用於供應商使用雲服務(定義如下)存儲或處理與本協議項下服務履行相關的公司機密信息的要求。雲提供商(定義如下)應被視為本協議項下的分包商，本附表中題為“使用雲服務”的條款應是對本協議中任何分包商要求的補充；但是，如果與本協議中適用於供應商一般使用分包商的任何信息保護條款發生任何明示衝突，應以本附表中題為“使用雲服務”的條款為準。

1.就題為“雲服務的使用”的本附表而言，下列定義適用：

A.雲提供商是指公司根據下文第三節的規定批准的向供應商提供雲服務的第三方。

B.雲服務是指通過互聯網從雲服務平臺提供或提供的信息技術服務，包括軟件即服務(SaaS)、基礎設施即服務(IaaS)和平臺即服務(PaaS)。

C.雲服務平臺是指雲提供商用來提供雲服務的硬件、軟件、基礎設施、設施和運行環境。

2.供應商同意在供應商向新的、額外的或替代的第三方雲服務提供商存儲或處理任何公司機密信息之前，至少提前三(3)個月向公司發出書面通知。該通知應包括第三方的名稱、該第三方根據本協議將提供的雲服務以及存儲或處理公司保密信息的地理位置。供應商還同意迅速提供公司要求的有關雲提供商、雲服務和雲服務平臺的任何信息，包括但不限於有關雲提供商的信息安全計劃的信息。

3.供應商確認並同意，在收到上述第2節所要求的通知後，未經公司關係經理事先書面同意，供應商不得使用第三方的雲服務平臺存儲或處理公司機密信息。在供應商收到公司的此類書面同意後，上述第2節中所要求的通知中確定的第三方應被視為本《使用雲服務》附表下的雲提供商。賣方同意，公司在第3條下的同意應由公司自行決定，並可能受公司要求的某些附加條款和條件的約束。

4.如果出現以下情況，供應商同意立即通知公司：

D.供應商收到雲提供商的通知，雲提供商正在收購、合併或被另一實體收購；

E.雲提供商(I)因任何原因停止運營，或(Ii)破產(通常無法在到期時償還債務)或破產、託管、接管或類似程序的標的，或為債權人的利益進行一般轉讓；

F.雲提供商出於任何原因拒絕供應商訪問雲服務和/或存儲在雲服務平臺上的任何公司機密信息；

G.供應商收到雲提供商根據以下第6.F節規定違反或泄露公司機密信息的通知，或以其他方式獲悉此類事件；

H.供應商收到雲提供商的通知，説明任何實際或威脅的法律要求或根據下文第6.G節提出的任何政府數據請求，可能要求雲提供商扣押或披露公司機密信息；或

供應商收到或提供任何終止供應商與雲提供商協議的通知。

5.供應商應：

答：擁有主動管理雲提供商並評估雲提供商如何保護其雲服務平臺上存儲或處理的信息和數據的計劃，包括但不限於：

(1)至少每年獲取和審查雲提供商最新的SOC 2、第二類審計報告(或後續審計報告)和/或其他可用的同等獨立第三方審計報告(統稱為《雲提供商審計報告》)；

(2)將供應商的信息安全計劃映射到雲提供商審核報告中的控制和相關測試結果。在測繪過程中發現的任何差距(每個“控制差距”)應在評估報告(“評估報告”)中列出，並解釋與每個控制差距相關的風險。供應商應盡商業上合理的努力，解決與雲提供商之間的每一項控制差距。供應商應在評估報告中説明如何補救每個控制差距，包括任何補償和減輕控制措施；

(3)驗證雲提供商對《雲提供商審核報告》中包含的任何測試異常的補救；

(四)經雲服務提供商許可，至少每年檢查雲服務提供商的雲服務平臺和數據處理程序；

(5)根據銀行安全要求，對雲提供商在其雲服務平臺上託管並由供應商用於存儲或處理公司機密信息的任何應用程序進行定期漏洞和/或滲透測試(以下簡稱“漏洞評估”)。

J.應公司要求，向公司提供關於供應商根據上文第5.A.節管理和評估雲提供商的計劃的信息，包括有機會審查評估報告的副本和根據上文第5.a(5)節執行的任何漏洞評估的結果。如果公司確定任何控制差距對公司保密信息或系統的機密性、可用性或完整性構成嚴重風險，並且該控制差距未得到充分補救，或無法在雙方商定的時間段內補救，則公司可立即終止本協議，無需額外費用或處罰。

K.確保雲提供商在美國五十(50)個州或哥倫比亞特區的一個(1)或多個州存儲或處理所有公司機密信息，除非公司事先書面同意。

L.Upon公司合理的書面請求：

(6)如果得到雲提供商的許可，確保雲提供商允許公司審查和評估雲提供商的信息安全計劃，並直觀地檢查雲提供商的雲服務平臺和數據處理程序。在公司選擇的情況下，供應商應向公司提供一份評估報告副本以及根據上述第5.a(5)節執行的任何漏洞評估的結果，以代替此類審查和檢查。

(7)如果雲提供商在其雲服務平臺上託管供應商用來存儲或處理公司機密信息的應用程序，請確保獲得雲提供商的許可，以便公司對此類應用程序執行漏洞評估。儘管如此，如果雲提供商僅允許第三方安全評估公司進行漏洞評估，則供應商應與從公司最新認可安全評估公司名單中選擇的第三方安全評估公司簽訂合同，以進行漏洞評估。此類脆弱性評估應在非生產環境中進行，使用與生產同等的安全控制措施。由第三方進行的任何漏洞評估應使用符合公司最新道德黑客指南(或任何後續指南)的方法和範圍，供應商應向公司提供審查該第三方安全評估公司編寫的結果報告的機會。

6.供應商與雲提供商的協議應：

B.規定：(I)在供應商和雲提供商之間，供應商為自己或代表其客户擁有供應商在雲服務平臺上存儲或處理的所有信息和數據，以及(Ii)雲提供商無權在未經供應商事先書面同意的情況下使用、訪問或披露此類信息和數據，包括聚合或非身份數據，除非適用法律要求。

C.包含允許供應商滿足本協議所附任何適用服務級別的性能級別要求。

D.包含業務連續性和災難恢復條款，這些條款將允許供應商達到或超過本協議所附“恢復”附表中所列的恢復目標(恢復時間目標和恢復點目標)。

E.允許供應商和公司立即訪問、檢索和銷燬供應商在雲服務平臺上存儲或處理的所有信息和數據(根據下文第9節)。

F.請求雲提供商向所有有權訪問雲提供商的雲服務平臺上的信息和數據提供商存儲或流程的雲提供商人員傳達雲提供商的安全和隱私政策。

G.要求雲提供商制定安全事件響應計劃，該計劃(I)要求雲提供商在發現雲提供商的雲服務平臺上的任何信息或數據存儲或流程，包括但不限於雲提供商人員對此類信息或數據的任何未經授權的訪問、更改、破壞或濫用，包括但不限於任何此類違規或泄露後，立即及時通知供應商，以及(Ii)要求雲提供商定期向供應商提供有關此類違規或泄露的最新情況。

H.要求雲提供商在收到信息或數據提供商在雲服務平臺上存儲或處理的信息或數據之前，及時通知供應商任何實際或威脅的法律要求(例如傳票)或任何可能要求雲提供商在雲服務平臺上披露或沒收信息或數據的任何政府數據請求，並配合供應商抵制、限制或延遲披露的合理、合法努力。

允許供應商指定必須在哪些國家或哪些國家存儲或處理供應商的信息或數據。

J.要求有權訪問雲服務平臺或在雲服務平臺上存儲或處理的信息的雲提供商分包商擁有由雲提供商定期評估的信息安全計劃。

K.要求雲提供商制定漏洞管理計劃，以便根據風險及時修復或修補新發現的漏洞。

7.供應商確認並同意，供應商在雲服務平臺上存儲或處理的所有公司機密信息以及處理該等公司機密信息的任何結果或以任何方式從中派生的任何結果，在任何時候都應屬於公司的財產。

8.供應商同意確保在雲服務平臺上存儲或處理的所有公司機密信息(A)使用滿足或超過銀行安全要求的加密方法和標準在傳輸中、移動中和靜止時進行加密；以及(B)在邏輯上與供應商和雲提供商的其他客户的信息和數據分開。供應商必須確保雲提供商使用硬件安全模塊(“HSM”)進行密鑰管理(I)符合銀行安全要求，以及(Ii)供應商或公司控制主密鑰。

9.供應商同意，應公司要求，允許公司立即訪問和檢索存儲在雲服務平臺上的任何公司機密信息。供應商同意在收到此類請求後，立即向公司提供必要的説明，包括任何必需的訪問代碼，以允許公司從雲服務平臺訪問和檢索公司機密信息。

10.根據公司要求銷燬存儲在雲服務平臺上的公司機密信息，供應商應確保所有此類公司機密信息按照銀行安全要求完全銷燬，並且雲提供商或任何其他方無法以任何方式從雲服務平臺恢復這些信息。銷燬完成後，供應商應向公司提供其遵守本第10條規定的證明。

11.在本協議期限內，供應商與雲服務提供商的協議因任何原因到期或終止，並且在雲服務平臺上存儲的所有公司機密信息轉移到(A)公司根據上述第3條批准的新的雲服務提供商、(B)供應商或(C)公司後，供應商應確保根據銀行安全要求從雲服務平臺完全銷燬所有公司機密信息，並且雲提供商或任何其他方無法通過任何方式從雲服務平臺恢復所有公司機密信息。完成轉讓和銷燬後，賣方應證明其符合第11條的規定。

12.雲提供商因任何原因(包括但不限於不可抗力事件)未能向供應商提供雲服務，應在供應商的業務連續性計劃中處理。