本文檔中包含的某些機密信息,標有[****],已被省略,因為它既不是實質性的,也是註冊人視為私人或機密的類型。
修正案編號38
至
特別商業條款(SBP)BCA-MS-65530-0019.
在兩者之間
波音公司
和
SPIRIT航空系統公司
對BCA-MS-65530-0019BCA-MS-65530-0019號特別商業條款的第38號修正案是由精神航空系統公司(總部設在堪薩斯州威奇托的特拉華州公司)和波音公司(特拉華州公司)之間作出的,該修正案由波音商用飛機公司(波音)通過其分支機構波音商用飛機公司(波音)執行,生效日期如下。下文中,精神航空公司和波音公司可統稱為“雙方”。
背景
A.雙方已訂立日期為2005年6月16日並經不時修訂的《一般條款協議》(GTA BCA-65520-0032)和日期為2005年6月16日並經不時修訂的《特別商業條款》(BCA-MS-65530-0019),現希望再次修訂《通用條款協議》。
B.本修正案第38號刪除了SBP第12.4節“通過電信進行電子訪問、通信和數據交換”,代之以新的SBP第12.4節“電子訪問/使用條款”。
協議書
因此,現在,考慮到前述和本協議所包含的相互協議,並出於其他良好和有價值的對價,在此確認其價值、收據和充分性,雙方同意如下:
1.現對SBP進行修訂,增加SBP修訂表第5頁,作為附件1附於本文件。
2.現對SBP進行修正,刪除SBP第12.4節“通過電信進行電子訪問、通信和數據交換”,代之以新的SBP第12.4節,作為附件2附於本文件。
3.完整協議。除本修正案第38號另有説明外,GTA或SBP中定義的所有術語在本第38號修正案中使用時具有相同的含義。第38號修正案構成了雙方就第38號修正案的標的達成的完整和排他性的協議,而第38號修正案取代了雙方以前就第38號修正案的標的達成的所有協議,無論是書面的還是口頭的。GTA和SBP應保持全面效力,除本修正案第38號特別規定外,不得修改、撤銷或取代。
雙方正式授權的代表已於下述最後執行日期執行本修正案第35號,特此為證。
| | | | | | | | | | | | | | |
| 波音公司 | | 精神航空系統公司。 |
| | | | |
| 通過其部門採取行動 | | | |
| | | | |
| 波音商用飛機 | | | |
| | | | |
| 發信人: | 撰稿S/尤金·查尼茨基 | | 發信人: | /S/克里斯塔·克拉克 |
| | | | |
| 姓名: | 尤金·查內茨基 | | 姓名: | 克里斯塔·克拉克 |
| | | | |
| 標題: | 採購代理 | | 標題: | 波音合同部經理 |
| | | | |
| 日期: | 7/10/2023 | | 日期: | 2/2/2023 |
SBP BCA-MS-65530-0019,第35號修正案附件1
修正案
第5頁
| | | | | | | | | | | |
數
30
31
32
33
34
35
36
37
38
| 描述
通過線號進行年度船舶價格調整[****] 1.更新了SBP第7.2.1節和SBP 附件1和2
配置控制 1.更新SBP第21條 2.加入新訂的第21.1條[****]
供應鏈整合 1.更新SBP第12.8節 2.增加新的第12.8.8節[****]
付款條件 1.更新SBP第5.2.1節
通過線號進行年度船舶價格調整[****] 1.更新SBP附件1和2 波音公司進行返工和維修 1.更新SBP附件16 A節
通過線號進行年度船舶價格調整[****] 1.更新SBP附件1和2
波音維修站的行業協助(S) 1.增加新的第8.3.1節
通過線號進行年度船舶價格調整[****] 1.更新SBP附件1和2
電子接入、通信和數據 通過電信進行交換 1.更新SBP第12.4節“電子產品” 訪問權限/使用條款“
| 日期
8/12/19
10/3/19
4/15/20
1/19/21
6/30/21
12/22/21
2/9/22
8/24/22
| 批准
H·朗戈夫斯基 R·格蘭特
H·朗戈夫斯基 E.博斯勒
H·朗戈夫斯基 R·格蘭特
H·朗戈夫斯基 E.博斯勒
H·朗戈夫斯基 R·格蘭特
H·朗戈夫斯基 R·格蘭特
H·朗戈夫斯基 R·格蘭特
H·朗戈夫斯基 R·格蘭特
查爾涅茨基 K·克拉克 |
| | | |
| | | |
| | | |
SBP BCA-MS-65530-0019,第38號修正案附件2
12.4電子訪問/使用條款
本第12.4節中的下列條款規定了SPIRIT公司以電子方式訪問波音系統的要求。
12.4.1定義
下列定義僅適用於本第12.4節(包括其所有小節)。
答:“訪問控制”被定義為限制授權人員或應用程序訪問波音系統的程序、機制和/或措施。
B.“波音系統”是指由波音公司運營或由第三方代表波音公司運營的任何電子信息系統,包括但不限於:設施、網絡通信系統、電信系統、軟件和應用程序。
C.互換使用的“合同”或“協議”是指SPIRIT和波音之間的任何協議,其中包含這些波音電子系統(“TOU”)的使用條款。
D.“電子訪問”被定義為授權的SPIRIT人員能夠或通過必要的手段訪問波音系統,以讀取、寫入、修改或交流信息,或以其他方式使用授權的系統資源。
E.“惡意軟件”是指幹擾正常計算機功能或導致信息泄露給未經授權方的惡意計算機軟件。
F.“材料”是指SPIRIT根據合同存儲或託管的所有信息和數據、文本、圖形、動畫、音頻和/或數字視頻組件,或可通過波音系統訪問的所有信息和數據。
G.“安全漏洞”是指對信息系統的任何已確認的危害,包括意外或未經授權使用、披露、銷燬、丟失、更改、傳輸或訪問SPIRITY根據協議存儲或以其他方式處理的波音材料。
H.“精神人員”是指精神公司的任何僱員、合同工、顧問、顧問或其他代表,他們需要訪問波音系統,以便精神公司根據合同履行職責。
一.“精神系統”的定義是指由精神公司運營或由第三方代表精神公司運營的任何和所有電子信息系統,包括但不限於:設施、網絡通信系統和電信
系統,包括其中包含的軟件、應用程序、信息和數據。
J.未經授權的使用是指未經《技術使用條例》明確授權的任何涉及材料的使用、複製、分發、轉移、處置、披露、佔有、記憶輸入、更改、刪除、損壞或其他活動。
12.4.2訪問權
波音公司授予SPIRIT公司有限的、不可轉讓的、非排他性的、可撤銷的權利(由波音公司酌情決定),僅在合同期限內以及僅在波音公司書面授權的範圍內以電子方式訪問波音系統,以支持SPIRIT公司根據合同執行的工作。在不限制上述規定的情況下,SPIRIT人員不得(I)故意將任何惡意軟件(無論是通過筆記本電腦或其他訪問設備或其他方式)引入波音系統;(Ii)將波音系統用於非商業目的,包括但不限於未經授權的使用;和/或(Iii)採取旨在擾亂波音系統的行動。
12.4.3隱私和監控權
在波音系統上傳輸或存儲的任何通信或數據可在任何時間出於任何合法目的被監控、攔截、記錄和搜索,並可根據適用法律的要求使用或披露。
12.4.4電子訪問要求
SPIRIT公司可能會要求,波音公司可能會自行決定是否支持SPIRIT公司的合同,允許SPIRIT公司的人員在“需要知道”的基礎上進行電子訪問。當向SPIRIT提供電子訪問時,這些第4節條款適用:
12.4.4.1帳户和訪問控制
在獲得電子訪問之前,授權的SPIRIT人員將被要求從波音公司獲得每個人的電子訪問帳户,包括可能來自波音、波音指定的第三方或波音批准的替代控制的波音訪問控制。波音公司保留自行決定終止和/或阻止任何個人或實體訪問波音系統的權利,恕不另行通知。勇氣號承認,訪問控制僅供勇氣號人員的特定個人使用,不可轉讓,並應由勇氣號保密。精神應該:
(I)確保所有SPIRIT人員在獲得電子訪問權限之前審查並同意遵守本TU;
(Ii)指定一個單一聯絡人,為精神號人員提出電子訪問請求,並保存獲得電子訪問許可的精神號人員的記錄,可應波音公司的要求進行驗證;
(3)防止丟失、披露、反向工程、與未經授權的SPIRIT人員共享或損害訪問控制;
(Iv)對所有SPIRIT人員在電子訪問方面的行為和不作為負責,包括但不限於SPIRIT人員使用或披露通過此類電子訪問獲得的專有信息和材料,或SPIRIT人員在擁有此類專有信息和材料時的行為;
(V)如果任何訪問控制遭到破壞,應立即通知波音公司;
(Vi)至少每三(3)個月審查每名精神人員的電子訪問要求;以及
(Vii)立即向波音公司提交書面請求,並附上姓名和BEMS ID(S),要求在任何重新分配導致SPIRIT人員不再需要電子訪問時終止電子訪問,並在辭職後終止任何使用電子訪問的SPIRIT人員。
12.4.4.2精神系統保護
在連接到波音公司的內部網絡之前(直接在波音公司的現場,通過SSLVPN或Connect.boeing.com遠程連接,或波音公司批准的其他安全方法),SPIRIT應採取合理步驟,通過對用於連接到波音系統的所有SPIRIT設備實施和維護行業最佳實踐控制來保護波音系統和信息的機密性、完整性和可用性,包括但不限於:
(I)應評估已打補丁的和當前的操作系統和應用程序的兼容性,並減輕對生產系統的負面潛在影響--SPIRIT應訂閲並應用供應商的相關更新;
(Ii)防惡意軟件-SPIRIT設備應具有使用最新簽名文件運行的最新防病毒保護;
(Iii)入侵檢測/防禦技術-SPIRIT應使用入侵檢測/防禦技術來管理當前版本的軟件、特徵碼文件和防火牆配置,以僅將端口/協議限制為必要的端口/協議;
訪問控制--SPIRIT應使用帳户和密碼或令牌和個人識別碼來訪問或解鎖計算設備;以及
(V)加密-應使用整個磁盤或文件和文件夾加密來保護存儲在SPIRIT移動設備本地的材料。
12.4.4.3虛擬辦公室工作
SPIRIT人員可以通過SPIRIT網絡訪問波音系統,只要SPIRIT人員可以訪問。
12.4.5出口管制(美國貿易管制)
12.4.5.1為了遵守適用的美國出口管制法規和條例,波音應被要求獲取有關身份和公民身份的信息,包括雙重或第三國國民身份(如果適用),或具有電子訪問權限的SPIRIT人員的出生地。在獲得許可的情況下,SPIRIT應負責獲得所需的所有出口授權,包括與SPIRIT人員相關的出口授權(如適用)。如果需要與電子訪問相關的出口授權(S)才能允許SPIRIT人員執行分配給他或她的工作,SPIRIT必須獲得此類授權,並且SPIRIT應遵守適用的美國出口管制法規所要求的任何額外出口管制限制。
12.4.5.2從波音電子系統訪問的技術數據和軟件可能受美國政府出口管制法規的約束,根據美國國務院、國際軍火貿易法規(“ITAR”)或商務部的出口管理法規(“EAR”),未經美國政府事先批准,不得出口、發佈或披露給位於美國境內或境外的外國人。違反出口法的行為會對個人及其代表的公司處以嚴厲的罰款和處罰。
12.4.6出口管制(非美國貿易管制)
12.4.6.1為了遵守適用的國際貿易管制法規和條例,波音公司應被要求獲得有關身份和公民身份的信息,包括雙重或第三國
具有電子訪問權限的精神人員的國家身份(如果適用)或出生地。在准予進入的情況下,SPIRIT應負責獲得所有SPIRIT人員所需的所有貿易控制授權(如適用),包括允許SPIRIT人員執行所分配的工作,並且SPIRIT應遵守適用司法管轄區出口管制法規所要求的任何額外貿易管制限制。
12.4.6.2根據受影響司法管轄區的進出口法規,從波音電子系統訪問的技術數據和軟件可能受到政府貿易管制,未經受影響政府事先批准,不得進口、出口、發佈或向未經授權的人披露。違反貿易管制法律會對個人和他們所代表的公司處以嚴厲的罰款和處罰。
12.4.7精神安全控制
SPIRIT應實施並保持合理的控制,以防止任何未經授權的使用、安全漏洞或材料丟失。在不限制前述規定的情況下,精神應:
(I)已根據NIST 800-53為SPIRIT系統實施了採用信息安全管理原則的政策;
(2)實施和維持不低於https://www.cisecurity.org/critical-controls.cfm;發現的獨聯體有效網絡防禦控制的最新兩個版本的任何一個的安全控制
(Iii)在加密的使用和強度方面遵守波音的要求,但根據合同所涉及材料的敏感性,使用不低於法律、法規或政府標準所要求的;
(4)對SPIRIT人員進行背景調查;
(V)就其根據本協議承擔的義務,向SPIRIT人員提供最新和相關的安全教育;以及
(Vi)至少使用SPIRIT用於保護其專有和機密信息的相同努力,並且在任何情況下不得少於合理的努力,以執行SPIRIT根據第12.4.7節對現任和前任員工承擔的義務。
12.4.8信息安全評估
12.4.8.1在TU生效之日起三十(30)天內,SPIRIT應(I)通過SupplierCyberSecurity@boeing.com聯繫波音信息安全部門,以獲取www.exostar.com/pim/CyberSecurity上描述的Exostar網絡安全調查問卷(“CSQ”);(Ii)完成CSQ;以及(Iii)授權波音公司審查SPIRIT完成的任何CSQ。
12.4.8.2 SPIRIT允許波音及其授權代表每歷年查看一次與SPIRIT系統安全有關的報告、記錄、程序和信息,或在涉及波音材料的安全違規事件發生後一百八十(180)天內,在合理的事先通知下,以評估SPIRIT系統遵守本TU的情況(“評估”)。
12.4.8.3如果(I)波音公司在任何評估中確定SPIRIT設施或SPIRIT系統存在重大漏洞,或SPIRIT未能以其他方式履行其在TOU下的任何義務;以及(Ii)波音以書面形式通知SPIRIT此類漏洞或SPIRIT違反TOU,則SPIRIT應立即制定糾正行動計劃。任何此類糾正行動計劃應與波音公司合作制定,並須得到波音公司的書面批准,不得無理扣留、附加條件或拖延。SPIRIT應自費執行整改行動計劃。
12.4.9禁止使用
SPIRIT特此保證,除非根據合同提供的產品或服務得到支持(或除非得到波音公司的書面特別授權),否則SPIRIT和SPIRIT的人員不得:
(I)從波音系統出口或保存任何材料;
(Ii)對波音系統或材料進行任何衍生用途;
(3)使用任何惡意或未經授權的“數據挖掘”、機器人或類似的數據收集和提取方法;
(Iv)使用任何框架或框架技術將在波音系統上提供或發現的任何材料圍起來;
(5)允許與指定的訪問憑證沒有明確關聯的任何人使用該憑證;
(Vi)取用或企圖取用任何波音材料;
(Vii)進入或企圖進入波音系統的任何受限部分;
(Viii)刪除波音材料上的任何限制性標記;
(Ix)通過授權訪問控制以外的任何機制訪問波音系統。
12.4.10安全事件和違規通知
SPIRIT特此聲明,本公司保證並將繼續遵守所有要求通知安全違規行為的適用法律。
12.4.10.1 SPIRIT將指派一名SPIRIT信息安全專員與波音公司就安全事件(此處定義為超出正常日誌監控範圍的調查)或已確認的安全違規事件進行協調。
12.4.10.2對於任何安全違規行為,SPIRIT應立即通知波音公司此類安全違規行為,並通知波音公司所涉及的材料(如果知道)。
12.4.10.3如果當SPIRIT發現或收到安全漏洞通知時,SPIRIT公司的材料由SPIRIT擁有,SPIRIT應:
(I)調查並採取合理步驟糾正違反保安規定的情況;
(Ii)向波音公司提供雙方都同意的緩解行動計劃,但波音公司造成的安全漏洞除外;
(Iii)採取精神航空公司和波音公司共同決定的與該事件有關的任何其他合理步驟;及
(Iv)協助波音公司調查、補救和採取波音公司合理認為必要的任何其他雙方商定的行動,以解決此類安全違規行為,包括與此類安全違規行為相關的任何爭議、調查或索賠。
12.4.10.4 SPIRIT應立即遵守合同中的通知要求,並向abuse@boeing.com發送電子郵件,列出第12.4.10節所要求的信息,從而發出第12.4.10節所要求的通知。勇氣號應在所有相關電子郵件通知上覆制波音採購代理。
12.4.10.5精神航空公司對本條款12.4.10的任何重大違反可被視為波音公司可能暫停或撤銷電子通道的違約行為。
12.4.10.6 SPIRIT承認,SPIRIT或任何SPIRIT人員規避旨在防止未經授權訪問波音系統的任何安全措施的任何企圖,都可能受到美國聯邦計算機欺詐和濫用法案及其他適用法律和法規的刑事或民事處罰。除了根據合同或根據法律或衡平法向波音公司提供的任何其他補救措施外,SPIRIT和波音公司特此同意,波音公司應有權獲得禁制令救濟,因為違反與電子訪問相關的任何條款可能會對波音公司或其附屬公司造成不可彌補的損害,而金錢賠償可能無法提供足夠的補救措施。
12.4.11 SPIRIT軟件/代碼安全
SPIRIT軟件/代碼安全適用於在波音系統上提供代碼的所有形式的網絡服務。勇氣號同意以下觀點:
(I)在代碼評估完成之前,SPIRIT不得向波音交付任何代碼;
(Ii)SPIRIT應在應用程序開發工具內進行本地評估,以確保檢測並解決交付給波音的所有代碼、軟件和小程序的代碼缺陷;
(Iii)SPIRIT不得交付包含超過通用漏洞評分系統(CVSS)、中等或更高分數的缺陷的代碼;
(Iv)SPIRIT應自自我發現、公開披露或波音通知SPIRIT時(以先發生者為準)開始對SPIRIT代碼缺陷進行補救。
(V)在初始產品交付後發現的安全缺陷將在軟件合同有效期內使用以下時間表或通過波音書面批准的替代時間表進行補救:
·七十二(72)小時為任何嚴重的CVSS評分提供補丁
·為任何關鍵的遠程代碼執行(RCE)漏洞提供補丁程序的時間為72小時
·三十(30)天內為CVSS評分高的漏洞提供補丁
12.4.12擔保免責聲明
SPIRIT明確同意,波音對電子訪問的可靠性不作任何明示或默示的保證。對於因無法使用或中斷使用波音系統而導致的使用損失、收入或利潤或任何附帶或後果性損害,波音公司不承擔合同(包括保修)或侵權行為所產生的義務或責任。本條款在本協議終止或取消後繼續有效。
12.4.12.1就本第12.4節而言,“波音”包括波音公司、其分公司、子公司、各分公司的受讓人、分包商、供應商和關聯公司,以及他們各自的董事、高級管理人員、僱員和代理人。