本文档中包含的某些机密信息,标有[****],已被省略,因为它既不是实质性的,也是注册人视为私人或机密的类型。
修正案编号38
至
特别商业条款(SBP)BCA-MS-65530-0019.
在两者之间
波音公司
和
SPIRIT航空系统公司
对BCA-MS-65530-0019BCA-MS-65530-0019号特别商业条款的第38号修正案是由精神航空系统公司(总部设在堪萨斯州威奇托的特拉华州公司)和波音公司(特拉华州公司)之间作出的,该修正案由波音商用飞机公司(波音)通过其分支机构波音商用飞机公司(波音)执行,生效日期如下。下文中,精神航空公司和波音公司可统称为“双方”。
背景
A.双方已订立日期为2005年6月16日并经不时修订的《一般条款协议》(GTA BCA-65520-0032)和日期为2005年6月16日并经不时修订的《特别商业条款》(BCA-MS-65530-0019),现希望再次修订《通用条款协议》。
B.本修正案第38号删除了SBP第12.4节“通过电信进行电子访问、通信和数据交换”,代之以新的SBP第12.4节“电子访问/使用条款”。
协议书
因此,现在,考虑到前述和本协议所包含的相互协议,并出于其他良好和有价值的对价,在此确认其价值、收据和充分性,双方同意如下:
1.现对SBP进行修订,增加SBP修订表第5页,作为附件1附于本文件。
2.现对SBP进行修正,删除SBP第12.4节“通过电信进行电子访问、通信和数据交换”,代之以新的SBP第12.4节,作为附件2附于本文件。
3.完整协议。除本修正案第38号另有说明外,GTA或SBP中定义的所有术语在本第38号修正案中使用时具有相同的含义。第38号修正案构成了双方就第38号修正案的标的达成的完整和排他性的协议,而第38号修正案取代了双方以前就第38号修正案的标的达成的所有协议,无论是书面的还是口头的。GTA和SBP应保持全面效力,除本修正案第38号特别规定外,不得修改、撤销或取代。
双方正式授权的代表已于下述最后执行日期执行本修正案第35号,特此为证。
| | | | | | | | | | | | | | |
| 波音公司 | | 精神航空系统公司。 |
| | | | |
| 通过其部门采取行动 | | | |
| | | | |
| 波音商用飞机 | | | |
| | | | |
| 发信人: | 撰稿S/尤金·查尼茨基 | | 发信人: | /S/克里斯塔·克拉克 |
| | | | |
| 姓名: | 尤金·查内茨基 | | 姓名: | 克里斯塔·克拉克 |
| | | | |
| 标题: | 采购代理 | | 标题: | 波音合同部经理 |
| | | | |
| 日期: | 7/10/2023 | | 日期: | 2/2/2023 |
SBP BCA-MS-65530-0019,第35号修正案附件1
修正案
第5页
| | | | | | | | | | | |
数
30
31
32
33
34
35
36
37
38
| 描述
通过线号进行年度船舶价格调整[****] 1.更新了SBP第7.2.1节和SBP 附件1和2
配置控制 1.更新SBP第21条 2.加入新订的第21.1条[****]
供应链整合 1.更新SBP第12.8节 2.增加新的第12.8.8节[****]
付款条件 1.更新SBP第5.2.1节
通过线号进行年度船舶价格调整[****] 1.更新SBP附件1和2 波音公司进行返工和维修 1.更新SBP附件16 A节
通过线号进行年度船舶价格调整[****] 1.更新SBP附件1和2
波音维修站的行业协助(S) 1.增加新的第8.3.1节
通过线号进行年度船舶价格调整[****] 1.更新SBP附件1和2
电子接入、通信和数据 通过电信进行交换 1.更新SBP第12.4节“电子产品” 访问权限/使用条款“
| 日期
8/12/19
10/3/19
4/15/20
1/19/21
6/30/21
12/22/21
2/9/22
8/24/22
| 批准
H·朗戈夫斯基 R·格兰特
H·朗戈夫斯基 E.博斯勒
H·朗戈夫斯基 R·格兰特
H·朗戈夫斯基 E.博斯勒
H·朗戈夫斯基 R·格兰特
H·朗戈夫斯基 R·格兰特
H·朗戈夫斯基 R·格兰特
H·朗戈夫斯基 R·格兰特
查尔涅茨基 K·克拉克 |
| | | |
| | | |
| | | |
SBP BCA-MS-65530-0019,第38号修正案附件2
12.4电子访问/使用条款
本第12.4节中的下列条款规定了SPIRIT公司以电子方式访问波音系统的要求。
12.4.1定义
下列定义仅适用于本第12.4节(包括其所有小节)。
答:“访问控制”被定义为限制授权人员或应用程序访问波音系统的程序、机制和/或措施。
B.“波音系统”是指由波音公司运营或由第三方代表波音公司运营的任何电子信息系统,包括但不限于:设施、网络通信系统、电信系统、软件和应用程序。
C.互换使用的“合同”或“协议”是指SPIRIT和波音之间的任何协议,其中包含这些波音电子系统(“TOU”)的使用条款。
D.“电子访问”被定义为授权的SPIRIT人员能够或通过必要的手段访问波音系统,以读取、写入、修改或交流信息,或以其他方式使用授权的系统资源。
E.“恶意软件”是指干扰正常计算机功能或导致信息泄露给未经授权方的恶意计算机软件。
F.“材料”是指SPIRIT根据合同存储或托管的所有信息和数据、文本、图形、动画、音频和/或数字视频组件,或可通过波音系统访问的所有信息和数据。
G.“安全漏洞”是指对信息系统的任何已确认的危害,包括意外或未经授权使用、披露、销毁、丢失、更改、传输或访问SPIRITY根据协议存储或以其他方式处理的波音材料。
H.“精神人员”是指精神公司的任何雇员、合同工、顾问、顾问或其他代表,他们需要访问波音系统,以便精神公司根据合同履行职责。
一.“精神系统”的定义是指由精神公司运营或由第三方代表精神公司运营的任何和所有电子信息系统,包括但不限于:设施、网络通信系统和电信
系统,包括其中包含的软件、应用程序、信息和数据。
J.未经授权的使用是指未经《技术使用条例》明确授权的任何涉及材料的使用、复制、分发、转移、处置、披露、占有、记忆输入、更改、删除、损坏或其他活动。
12.4.2访问权
波音公司授予SPIRIT公司有限的、不可转让的、非排他性的、可撤销的权利(由波音公司酌情决定),仅在合同期限内以及仅在波音公司书面授权的范围内以电子方式访问波音系统,以支持SPIRIT公司根据合同执行的工作。在不限制上述规定的情况下,SPIRIT人员不得(I)故意将任何恶意软件(无论是通过笔记本电脑或其他访问设备或其他方式)引入波音系统;(Ii)将波音系统用于非商业目的,包括但不限于未经授权的使用;和/或(Iii)采取旨在扰乱波音系统的行动。
12.4.3隐私和监控权
在波音系统上传输或存储的任何通信或数据可在任何时间出于任何合法目的被监控、拦截、记录和搜索,并可根据适用法律的要求使用或披露。
12.4.4电子访问要求
SPIRIT公司可能会要求,波音公司可能会自行决定是否支持SPIRIT公司的合同,允许SPIRIT公司的人员在“需要知道”的基础上进行电子访问。当向SPIRIT提供电子访问时,这些第4节条款适用:
12.4.4.1帐户和访问控制
在获得电子访问之前,授权的SPIRIT人员将被要求从波音公司获得每个人的电子访问帐户,包括可能来自波音、波音指定的第三方或波音批准的替代控制的波音访问控制。波音公司保留自行决定终止和/或阻止任何个人或实体访问波音系统的权利,恕不另行通知。勇气号承认,访问控制仅供勇气号人员的特定个人使用,不可转让,并应由勇气号保密。精神应该:
(I)确保所有SPIRIT人员在获得电子访问权限之前审查并同意遵守本TU;
(Ii)指定一个单一联络人,为精神号人员提出电子访问请求,并保存获得电子访问许可的精神号人员的记录,可应波音公司的要求进行验证;
(3)防止丢失、披露、反向工程、与未经授权的SPIRIT人员共享或损害访问控制;
(Iv)对所有SPIRIT人员在电子访问方面的行为和不作为负责,包括但不限于SPIRIT人员使用或披露通过此类电子访问获得的专有信息和材料,或SPIRIT人员在拥有此类专有信息和材料时的行为;
(V)如果任何访问控制遭到破坏,应立即通知波音公司;
(Vi)至少每三(3)个月审查每名精神人员的电子访问要求;以及
(Vii)立即向波音公司提交书面请求,并附上姓名和BEMS ID(S),要求在任何重新分配导致SPIRIT人员不再需要电子访问时终止电子访问,并在辞职后终止任何使用电子访问的SPIRIT人员。
12.4.4.2精神系统保护
在连接到波音公司的内部网络之前(直接在波音公司的现场,通过SSLVPN或Connect.boeing.com远程连接,或波音公司批准的其他安全方法),SPIRIT应采取合理步骤,通过对用于连接到波音系统的所有SPIRIT设备实施和维护行业最佳实践控制来保护波音系统和信息的机密性、完整性和可用性,包括但不限于:
(I)应评估已打补丁的和当前的操作系统和应用程序的兼容性,并减轻对生产系统的负面潜在影响--SPIRIT应订阅并应用供应商的相关更新;
(Ii)防恶意软件-SPIRIT设备应具有使用最新签名文件运行的最新防病毒保护;
(Iii)入侵检测/防御技术-SPIRIT应使用入侵检测/防御技术来管理当前版本的软件、特征码文件和防火墙配置,以仅将端口/协议限制为必要的端口/协议;
访问控制--SPIRIT应使用帐户和密码或令牌和个人识别码来访问或解锁计算设备;以及
(V)加密-应使用整个磁盘或文件和文件夹加密来保护存储在SPIRIT移动设备本地的材料。
12.4.4.3虚拟办公室工作
SPIRIT人员可以通过SPIRIT网络访问波音系统,只要SPIRIT人员可以访问。
12.4.5出口管制(美国贸易管制)
12.4.5.1为了遵守适用的美国出口管制法规和条例,波音应被要求获取有关身份和公民身份的信息,包括双重或第三国国民身份(如果适用),或具有电子访问权限的SPIRIT人员的出生地。在获得许可的情况下,SPIRIT应负责获得所需的所有出口授权,包括与SPIRIT人员相关的出口授权(如适用)。如果需要与电子访问相关的出口授权(S)才能允许SPIRIT人员执行分配给他或她的工作,SPIRIT必须获得此类授权,并且SPIRIT应遵守适用的美国出口管制法规所要求的任何额外出口管制限制。
12.4.5.2从波音电子系统访问的技术数据和软件可能受美国政府出口管制法规的约束,根据美国国务院、国际军火贸易法规(“ITAR”)或商务部的出口管理法规(“EAR”),未经美国政府事先批准,不得出口、发布或披露给位于美国境内或境外的外国人。违反出口法的行为会对个人及其代表的公司处以严厉的罚款和处罚。
12.4.6出口管制(非美国贸易管制)
12.4.6.1为了遵守适用的国际贸易管制法规和条例,波音公司应被要求获得有关身份和公民身份的信息,包括双重或第三国
具有电子访问权限的精神人员的国家身份(如果适用)或出生地。在准予进入的情况下,SPIRIT应负责获得所有SPIRIT人员所需的所有贸易控制授权(如适用),包括允许SPIRIT人员执行所分配的工作,并且SPIRIT应遵守适用司法管辖区出口管制法规所要求的任何额外贸易管制限制。
12.4.6.2根据受影响司法管辖区的进出口法规,从波音电子系统访问的技术数据和软件可能受到政府贸易管制,未经受影响政府事先批准,不得进口、出口、发布或向未经授权的人披露。违反贸易管制法律会对个人和他们所代表的公司处以严厉的罚款和处罚。
12.4.7精神安全控制
SPIRIT应实施并保持合理的控制,以防止任何未经授权的使用、安全漏洞或材料丢失。在不限制前述规定的情况下,精神应:
(I)已根据NIST 800-53为SPIRIT系统实施了采用信息安全管理原则的政策;
(2)实施和维持不低于https://www.cisecurity.org/critical-controls.cfm;发现的独联体有效网络防御控制的最新两个版本的任何一个的安全控制
(Iii)在加密的使用和强度方面遵守波音的要求,但根据合同所涉及材料的敏感性,使用不低于法律、法规或政府标准所要求的;
(4)对SPIRIT人员进行背景调查;
(V)就其根据本协议承担的义务,向SPIRIT人员提供最新和相关的安全教育;以及
(Vi)至少使用SPIRIT用于保护其专有和机密信息的相同努力,并且在任何情况下不得少于合理的努力,以执行SPIRIT根据第12.4.7节对现任和前任员工承担的义务。
12.4.8信息安全评估
12.4.8.1在TU生效之日起三十(30)天内,SPIRIT应(I)通过SupplierCyberSecurity@boeing.com联系波音信息安全部门,以获取www.exostar.com/pim/CyberSecurity上描述的Exostar网络安全调查问卷(“CSQ”);(Ii)完成CSQ;以及(Iii)授权波音公司审查SPIRIT完成的任何CSQ。
12.4.8.2 SPIRIT允许波音及其授权代表每历年查看一次与SPIRIT系统安全有关的报告、记录、程序和信息,或在涉及波音材料的安全违规事件发生后一百八十(180)天内,在合理的事先通知下,以评估SPIRIT系统遵守本TU的情况(“评估”)。
12.4.8.3如果(I)波音公司在任何评估中确定SPIRIT设施或SPIRIT系统存在重大漏洞,或SPIRIT未能以其他方式履行其在TOU下的任何义务;以及(Ii)波音以书面形式通知SPIRIT此类漏洞或SPIRIT违反TOU,则SPIRIT应立即制定纠正行动计划。任何此类纠正行动计划应与波音公司合作制定,并须得到波音公司的书面批准,不得无理扣留、附加条件或拖延。SPIRIT应自费执行整改行动计划。
12.4.9禁止使用
SPIRIT特此保证,除非根据合同提供的产品或服务得到支持(或除非得到波音公司的书面特别授权),否则SPIRIT和SPIRIT的人员不得:
(I)从波音系统出口或保存任何材料;
(Ii)对波音系统或材料进行任何衍生用途;
(3)使用任何恶意或未经授权的“数据挖掘”、机器人或类似的数据收集和提取方法;
(Iv)使用任何框架或框架技术将在波音系统上提供或发现的任何材料围起来;
(5)允许与指定的访问凭证没有明确关联的任何人使用该凭证;
(Vi)取用或企图取用任何波音材料;
(Vii)进入或企图进入波音系统的任何受限部分;
(Viii)删除波音材料上的任何限制性标记;
(Ix)通过授权访问控制以外的任何机制访问波音系统。
12.4.10安全事件和违规通知
SPIRIT特此声明,本公司保证并将继续遵守所有要求通知安全违规行为的适用法律。
12.4.10.1 SPIRIT将指派一名SPIRIT信息安全专员与波音公司就安全事件(此处定义为超出正常日志监控范围的调查)或已确认的安全违规事件进行协调。
12.4.10.2对于任何安全违规行为,SPIRIT应立即通知波音公司此类安全违规行为,并通知波音公司所涉及的材料(如果知道)。
12.4.10.3如果当SPIRIT发现或收到安全漏洞通知时,SPIRIT公司的材料由SPIRIT拥有,SPIRIT应:
(I)调查并采取合理步骤纠正违反保安规定的情况;
(Ii)向波音公司提供双方都同意的缓解行动计划,但波音公司造成的安全漏洞除外;
(Iii)采取精神航空公司和波音公司共同决定的与该事件有关的任何其他合理步骤;及
(Iv)协助波音公司调查、补救和采取波音公司合理认为必要的任何其他双方商定的行动,以解决此类安全违规行为,包括与此类安全违规行为相关的任何争议、调查或索赔。
12.4.10.4 SPIRIT应立即遵守合同中的通知要求,并向abuse@boeing.com发送电子邮件,列出第12.4.10节所要求的信息,从而发出第12.4.10节所要求的通知。勇气号应在所有相关电子邮件通知上复制波音采购代理。
12.4.10.5精神航空公司对本条款12.4.10的任何重大违反可被视为波音公司可能暂停或撤销电子通道的违约行为。
12.4.10.6 SPIRIT承认,SPIRIT或任何SPIRIT人员规避旨在防止未经授权访问波音系统的任何安全措施的任何企图,都可能受到美国联邦计算机欺诈和滥用法案及其他适用法律和法规的刑事或民事处罚。除了根据合同或根据法律或衡平法向波音公司提供的任何其他补救措施外,SPIRIT和波音公司特此同意,波音公司应有权获得禁制令救济,因为违反与电子访问相关的任何条款可能会对波音公司或其附属公司造成不可弥补的损害,而金钱赔偿可能无法提供足够的补救措施。
12.4.11 SPIRIT软件/代码安全
SPIRIT软件/代码安全适用于在波音系统上提供代码的所有形式的网络服务。勇气号同意以下观点:
(I)在代码评估完成之前,SPIRIT不得向波音交付任何代码;
(Ii)SPIRIT应在应用程序开发工具内进行本地评估,以确保检测并解决交付给波音的所有代码、软件和小程序的代码缺陷;
(Iii)SPIRIT不得交付包含超过通用漏洞评分系统(CVSS)、中等或更高分数的缺陷的代码;
(Iv)SPIRIT应自自我发现、公开披露或波音通知SPIRIT时(以先发生者为准)开始对SPIRIT代码缺陷进行补救。
(V)在初始产品交付后发现的安全缺陷将在软件合同有效期内使用以下时间表或通过波音书面批准的替代时间表进行补救:
·七十二(72)小时为任何严重的CVSS评分提供补丁
·为任何关键的远程代码执行(RCE)漏洞提供补丁程序的时间为72小时
·三十(30)天内为CVSS评分高的漏洞提供补丁
12.4.12担保免责声明
SPIRIT明确同意,波音对电子访问的可靠性不作任何明示或默示的保证。对于因无法使用或中断使用波音系统而导致的使用损失、收入或利润或任何附带或后果性损害,波音公司不承担合同(包括保修)或侵权行为所产生的义务或责任。本条款在本协议终止或取消后继续有效。
12.4.12.1就本第12.4节而言,“波音”包括波音公司、其分公司、子公司、各分公司的受让人、分包商、供应商和关联公司,以及他们各自的董事、高级管理人员、雇员和代理人。