欧度利方将网络安全及隐私保护作为最高纲领,并将网络安全和隐私保护致力于商业利益之上,欧度利方要求全球供应商遵从相关国家或地区的安全法律法规,遵从行业安全标准,满足客户网络安全要求。禁止植入含有任何形式的木马、后门、蠕虫、病毒、恶意代码及未知功能的交付件,所有端口须对欧度利方公开,禁止隐藏端口,无用的端口须关闭。欧度利方对供应商的网络安全政策是no security no business,所有涉及网络安全的供应商必须签署网络安全协议;所有涉及网络安全的新供应商都必须通过网络安全体系认证;所有涉及网络安全的物料必须通过物料安全选型认证。只有通过欧度利方安全选型测试认证的产品才能采购,只有网络安全体系认证合格的供应商才能正式合作。



       欧度利方要求供应商建立PSIRT(产品安全应急响应团队)与欧度利方PSIRT对接,按欧度利方供应商漏洞通知SLA要求,及时给欧度利方发布漏洞通知和补丁。同时欧度利方要求供应商建立可追溯性及应急响应机制,及时处理任何产品的安全问题。


       欧度利方每年对供应商实施网络安全风险等级评估和现场稽查,与供应商广泛交流,推动供应商提升软硬件安全工程能力和安全技术能力,减少输入性安全风险。对供应商实施网络安全年度ScoreCard考核,对ScoreCard得分不满足要求的供应商采取降级或停止合作处理。


       供应商需严格遵从GDPR(涉及)或相关国家隐私保护法规,与欧度利方签署数据处理协议(DPA),反馈尽职调查表(DD)。严格按照合规要求补齐短板,持续提升隐私保护能力,包括人员专业能力,流程规范、基线要求、IT技术防护能力等。杜绝隐私保护违规事件发生。