Условия за информационна сигурност (Information Security Terms)
ДОСТАВЧИКЪТ (PROVIDER) ще предоставя Услугите и ще изпълнява задълженията си по Споразумението в съответствие с:
a. (I) настоящите Условия за информационна сигурност b. (ii) Добра практика за сигурност (Good Security Practice)
1. ДЕФИНИЦИИ (DEFINITIONS)
a. „Активи“ (Asset) означава всеки елемент или част от хардуер и софтуер, който се или може да се използва за целите на създаване, достъп, обработка, защита, мониторинг, съхранение, извличане, показване или предаване на данни на КЛИЕНТА (CLIENT).
b. „Данни на КЛИЕНТА“ (CLIENT Data) означава всякакви данни, които КЛИЕНТЪТ или лице, действащо от негово име, предоставя на ДОСТАВЧИКА или позволява на ДОСТАВЧИКА достъп и обработка във връзка със Споразумението.
c. „Криптиране“ (Encryption) означава процесът на преобразуване на информация или данни в код, особено за предотвратяване на неоторизиран достъп.
d. „Кърпене (Patching)“ означава всякакъв софтуер и актуализации на операционната система (ОС), които адресират уязвимости в сигурността в програма или продукт.
e. „Тестване за проникване“ (Penetration Testing) означава оторизирана симулирана кибератака срещу компютърна система, извършена за оценка на сигурността на системата.
f. „Система на ДОСТАВЧИКА“ (PROVIDER System) означава всяка система или актив, който е собственост или се управлява (изцяло или частично) за опериране от или от името на ДОСТАВЧИКА или негов филиал (Affiliate).
g. „Инцидент със сигурността“ (Security Incident) означава инцидент, събитие и/или проблем, който е довел до действително компрометиране на поверителността, целостта и/или наличността на данните на КЛИЕНТА и/или Услугата.
h. „Производствена среда“ (Production Environment) означава среда, в която данните на КЛИЕНТА се съхраняват и обработват.
i. „Среда за тестване“ (Testing Environment) означава среда, предоставена за тестване на наскоро разработени програми или софтуерни продукти преди да бъдат пуснати в производствена среда.
j. „Уязвимост“ (Vulnerability) означава наличието на слабост/недостатък, открита в системата.
k. „Изкуствено завишен трафик“ (Artificially Inflated Traffic - AIT) означава всеки трафик, генериран чрез автоматизирани или измамни средства, включително, но не само ботове (bots), ферми за кликвания (click farms) или други средства, предназначени за изкуствено увеличаване на обема на трафика.
2. ОРГАНИЗАЦИЯ НА ИНФОРМАЦИОННАТА СИГУРНОСТ
ДОСТАВЧИКЪТ трябва да:
2.1. дефинира, документира, внедрява и поддържа политики за сигурност, съвместими с индустриалните стандарти, докато: - гарантира, че поверителността, целостта и наличността на данните и информационните системи се поддържат. - спазва законовите и регулаторните изисквания, на които КЛИЕНТЪТ и Данните на КЛИЕНТА могат да бъдат обект.
2.2. преразглежда своите политики и процедури ежегодно и/или в отговор на всяка съществена промяна.
2.3. гарантира, че политиките за сигурност са документирани и одобрени от ръководството на ДОСТАВЧИКА и публикувани и съобщени на съответните заинтересовани страни.
2.4. гарантира, че разполагат с необходимия брой специалисти по сигурността, които ще бъдат отговорни за координирането и наблюдението на всички функции, политики и процедури за информационна сигурност.
2.5. поддържа процес за периодична вътрешна и външна проверка (валидиране) на ефективността на своите контроли за сигурност. ДОСТАВЧИКЪТ своевременно ще адресира и разрешава всякакви недостатъци до степента, необходима за спазване на задълженията на ДОСТАВЧИКА по Споразумението и тези Условия.
3. ЧОВЕШКИ РЕСУРСИ И ОБУЧЕНИЕ ЗА СИГУРНОСТ
ДОСТАВЧИКЪТ трябва да:
3.1. дефинира, документира, прилага и поддържа подходяща политика и процедура за проверка на миналото (background checking). Проверките могат да включват образованието на лицето и предишна трудова история, криминално досие, проверки на референции и всякакви допълнителни изисквания за проверка на миналото по индустриален стандарт в съответствие със съответните и приложими закони и разпоредби.
3.2. извършва проверки на миналото на всички настоящи и нови служители, включително служители по договор.
3.3. гарантира, че всички служители са обвързани с подходящо споразумение за поверителност (confidentiality agreement).
3.4. дефинира, документира, прилага и поддържа официално обучение за информираност относно сигурността и поверителността за всички служители. ДОСТАВЧИКЪТ гарантира, че такива обучения се предоставят преди предоставяне на разрешение за достъп или използване на чувствителна информация и непрекъснато след това.
4. УПРАВЛЕНИЕ НА АКТИВИ (ASSET MANAGEMENT)
ДОСТАВЧИКЪТ трябва да:
4.1. дефинира, документира, внедрява и поддържа точен и актуален инвентар, който записва целия хардуер и софтуер, с информация за собственика и местоположението на всеки.
4.2. гарантира, че само софтуерни приложения и/или операционни системи, поддържани в момента и/или получаващи актуализации от доставчици (vendor updates), се добавят към инвентара на оторизирания софтуер на ДОСТАВЧИКА.
4.3. гарантира, че всички софтуерни и хардуерни продукти, които поддържат EOL (End-of-life / Край на жизнения цикъл), биват премахнати от употреба и инвентарът се актуализира своевременно.
4.4. дефинира правила за приемливо използване на информация и на активи(asset), свързани с информация и обработка на информация.
4.5. гарантира, че цялата информация е класифицирана по отношение на правни изисквания, стойност, критичност и чувствителност, и се обработва в съответствие с нейния класификационен етикет.
4.6. осигури правилно боравене и унищожаване на данните на КЛИЕНТА от системите на ДОСТАВЧИКА: - унищожаването на записи с данни на КЛИЕНТА трябва да се извърши по сигурен начин, за да се гарантира, че данните са направени невъзстановими. - сертификат за изтриване трябва да бъде наличен за всякакви ad hoc искания на КЛИЕНТИ за изтриване на данни.
5. КОНТРОЛ НА ДОСТЪПА (ACCESS CONTROL)
5.1. Общи разпоредби
ДОСТАВЧИКЪТ трябва да:
5.1.1. дефинира, документира, прилага и поддържа политика и процедури за контрол на достъпа въз основа на бизнес нуждите и принципа на „Най-малка привилегия“ (Least Privilege) и да гарантира, че само оторизирани служители имат достъп до системите на ДОСТАВЧИКА.
5.1.2. гарантира, че се използват само уникални идентификатори (Unique IDs) и документира всички изключения и използване на споделени акаунти.
5.1.3. гарантира, че всеки достъп до системи на ДОСТАВЧИК, които съхраняват или обработват данни на КЛИЕНТА, е обект на многофакторно удостоверяване (MFA).
5.1.4. периодично, най-малко веднъж годишно, да преразглежда целесъобразността на предоставените потребителски привилегии.
5.1.5. гарантира, че дейностите по управление на потребителите (добавяне, промяна или премахване на потребителски права) се извършват въз основа на валидна официална заявка и своевременно.
5.2. СИГУРНОСТ НА ОТДАЛЕЧЕНИЯ ДОСТЪП (REMOTE ACCESS SECURITY)
ДОСТАВЧИКЪТ трябва да:
5.2.1. гарантира, че е въведен подходящ набор от контроли за сигурност, за да се предотврати неоторизиран отдалечен достъп до системите на ДОСТАВЧИКА. Такива контроли трябва да включват най-малко: - Всеки отдалечен достъп до системите и/или мрежата на ДОСТАВЧИКА трябва да бъде само чрез VPN и многофакторно удостоверяване (MFA). - Всички данни, пътуващи през механизъм за отдалечен достъп, трябва да бъдат криптирани от крайната точка (напр. лаптоп) до мрежата. - Всички опити за свързване към системите на ДОСТАВЧИКА с помощта на неоторизиран механизъм за отдалечен достъп трябва да бъдат отхвърлени и регистрирани. - Подозрителната дейност трябва да се обработва в съответствие със съответните протоколи за сигурност.
5.3. УПРАВЛЕНИЕ НА ПАРОЛИ (PASSWORD MANAGEMENT)
ДОСТАВЧИКЪТ трябва да:
5.3.1. дефинира, документира, прилага и поддържа политика за пароли в съответствие с най-добрите индустриални практики и вътрешните бизнес нужди.
5.3.2. гарантира, че паролите са с достатъчна дължина, сложност, не съдържат лесни за отгатване думи и се сменят на редовни интервали.
5.3.3. гарантира, че потребителските акаунти са заключени след определен брой неуспешни опити за въвеждане на грешна парола и че акаунтът е заключен за определен период от време.
5.3.4. гарантира, че паролите се съхраняват по сигурен начин, който ги прави неразбираеми, докато остават валидни.
6. КРИПТОГРАФИЯ (CRYPTOGRAPHY)
ДОСТАВЧИКЪТ трябва да:
6.1. дефинира, документира, внедрява и поддържа съответни политики и процедури, които регулират използването на подходящи криптографски контроли и процесите за управление на ключове, определящи правилата за използване, защита и продължителност на живота на криптографските ключове и материалите за ключове (keying material).
6.2. Гарантира, че Данните на КЛИЕНТА са защитени по време на транзит или в покой (at rest) с помощта на сигурни протоколи (напр. TLS 1.2, AES-256 или други препоръчани от индустрията стандарти).
6.3. управлява всички ключове за криптиране в система за управление на ключове, която е собственост и се управлява от ДОСТАВЧИКА.
6.4. гарантира правилното разделяне на задълженията (segregation of duties) в рамките на процеса за управление на ключовете за криптиране.
7. ФИЗИЧЕСКА И ЕКОЛОГИЧНА СИГУРНОСТ
ДОСТАВЧИКЪТ трябва да:
7.1. дефинира, документира, внедрява и поддържа политики и процедури за физическа сигурност за предотвратяване на неоторизиран физически достъп, повреда и намеса в информационните и съоръженията за обработка на информация на организацията, които съхраняват данни на КЛИЕНТА.
7.2. внедрява процеси и контроли за физическа и екологична сигурност в съответствие с дефинираните политики и процедури. ДОСТАВЧИКЪТ може да възложи някои или всички контроли за физическа сигурност на трета страна (outsourcing) и трябва да гарантира, че са въведени контроли от същото ниво и редовно да оценява третата страна за съответствие.
7.3. гарантира, че защитените зони са защитени от подходящи контроли на входа и само оторизиран персонал има достъп.
7.4. гарантира, че всички посетители са оторизирани, имат подходяща идентификация и им се дава достъп само до необходимите зони.
7.5. гарантира, че заключващите се шкафове се използват за осигуряване на поверителна информация.
7.6. гарантира, че оборудването, съдържащо носители за съхранение, е сигурно презаписано (securely overwritten) преди изхвърляне или повторна употреба.
7.7. гарантира, че политиката за чисто бюро (clear desk policy) и политиката за чист екран (clear screen policy) се прилагат за съоръженията за обработка на информация.
8. ОПЕРАТИВНА СИГУРНОСТ (OPERATIONS SECURITY)
ДОСТАВЧИКЪТ трябва да:
8.1. дефинира, документира, прилага и поддържа оперативни процедури за сигурност за архивиране, защита на крайни точки (endpoint protection), управление на уязвимостите, антивирусна програма и защита срещу зловреден софтуер, прилагане на кръпки (patching), втвърдяване на системата (system hardening) и регистриране (logging).
8.2. извършва оценки на уязвимостта (vulnerability assessments) и тестове за проникване на редовна база в съответствие с най-добрите индустриални практики и вътрешните бизнес нужди. ДОСТАВЧИКЪТ трябва също да извърши оценка на риска, последвана от отстраняване на идентифицираните проблеми.
8.3. гарантира, че с уязвимостите се работи в съответствие с дефинираното приоритизиране и в рамките на изискваните срокове за разрешаване (resolution timelines).
8.4. прилага пачове (patches) и надстройки (upgrades) към всички нива на инфраструктурата в съответствие с дефинираното предварително приоритизиране.
8.5. гарантира, че крайни точки, сървъри, устройства за съхранение, шлюзове за поща/мрежа и пощенски трафик са защитени с активни инструменти против милуер (anti-malware), където е технически осъществимо да се открият и, където е възможно, да се предотвратят инфекции със зловреден софтуер.
8.6. създава резервни копия на информация, софтуер и системни изображения и да ги тества редовно в съответствие с най-добрите индустриални практики и вътрешните бизнес нужди.
8.7. гарантира, че се извършва подходящо регистриране (logging) с достатъчно подробности и се поддържа в съответствие с определените периоди на запазване (retention periods), като същевременно е защитено срещу подправяне и неоторизиран достъп.
8.8. дефинира, документира, внедрява и поддържа правила, уреждащи инсталирането на софтуер от потребители.
8.9. дефинира, документира, внедрява и поддържа стандарти за сигурна конфигурация на крайни точки (endpoints), включително, но не само лаптопи, сървъри, виртуални машини, бази данни и мрежови устройства за защита срещу загуба на поверителност, цялост и наличност на данни на КЛИЕНТИ в покой (at rest) и при транзит (in transit).
9. МРЕЖОВА И КОМУНИКАЦИОННА СИГУРНОСТ (NETWORK AND COMMUNICATION SECURITY)
ДОСТАВЧИКЪТ трябва да:
9.1. дефинира, документира, внедрява и поддържа механизми за сигурност и изисквания за управление на всички мрежови услуги.
9.2. дефинира, документира, внедрява и поддържа стандарти за силно криптиране и конфигуриране на сигурност за осигуряване на комуникация през обществени и непублични мрежи.
9.3. гарантира, че часовниците на всички съответни системи за обработка на информация са синхронизирани с единен референтен източник на време (single reference time source).
9.4. следи уеб трафика и периметъра на мрежата за откриване на кибератаки и блокиране на злонамерени услуги, уеб страници и трафик.
9.5. гарантира, че промените в правилата на защитната стена (firewall rules) се контролират чрез процес на официална заявка/одобрение и редовно се преглеждат.
9.6. ограничава и контролира достъпа до организации в съответствие с най-добрите индустриални практики и вътрешните бизнес нужди.
9.7. гарантира прилагането на модел на зониране (zoning model) и това, че мрежата е подходящо сегментирана, като само одобрен достъп и трафик са разрешени във всеки сегмент.
10. ЖИЗНЕН ЦИКЪЛ НА РАЗРАБОТКА НА СОФТУЕР (SDLC)
ДОСТАВЧИКЪТ трябва да:
10.1. създаде жизнения цикъл на сигурна разработка (secure development lifecycle), за да гарантира, че Услугите се разработват и поддържат по сигурен начин.
10.2. контролира съответните промени в системите в рамките на жизнения цикъл на разработката чрез официални процедури за контрол на промените (change control).
10.3. гарантира, че средата за разработка (development), тестване (testing) и производство (production) са разделени (segregated), за да се намалят рисковете от неупълномощен достъп или промени в производствената среда (production environment).
10.4. гарантира, че изискванията, свързани с информационната сигурност, са включени в изискванията за нови услуги или подобрения (enhancements) на съществуващи услуги.
10.5. гарантира, че тестовите данни се създават внимателно и по контролиран начин и че производствените данни не се използват за целите на тестването.
11. ОТНОШЕНИЯ С ДОСТАВЧИЦИТЕ (SUPPLIER RELATIONSHIPS)
ДОСТАВЧИКЪТ трябва да:
11.1. дефинира, документира, прилага и поддържа политики и процедури за управление на връзките с доставчици, които определят основни принципи и правила за управление на връзките с доставчици, които отговарят на изискванията на бизнеса, сигурността, както и приложимите разпоредби, най-добрите практики и международни стандарти.
11.2. за всеки доставчик, който може да има достъп, да обработва или да съхранява данни на КЛИЕНТ, ДОСТАВЧИКЪТ трябва да оцени и документира съответствието на решението на доставчика. За критичните доставчици (critical suppliers), включително подизпълнители (sub-processors), преоценката се извършва ежегодно.
11.3. гарантира, че всички съответни изисквания за информационна сигурност трябва да бъдат установени и съгласувани с всеки доставчик, който може да има достъп, да обработва или съхранява данни на КЛИЕНТИ.
11.4. гарантира, че е налице валидно споразумение (agreement), което определя обхвата на работата, поверителността, сигурността и техническото изискване (ако е приложимо) на бизнес отношенията с всеки доставчик, който може да има достъп, да обработва или съхранява данни на КЛИЕНТИ.
12. УПРАВЛЕНИЕ НА ИНЦИДЕНТИ В СФЕРАТА НА ИНФОРМАЦИОННАТА СИГУРНОСТ
ДОСТАВЧИКЪТ трябва да:
12.1. дефинира, документира, прилага и поддържа официален процес за докладване, реагиране и управление на инциденти в областта на информационната сигурност (information security incidents). Това трябва да включва като минимум: - Процедура за докладване на подобни инциденти/нарушения на съответното ръководство в организацията на ДОСТАВЧИКА. - Процес на идентифициране, оценяване и обработка на инциденти със сигурността на информацията. - Ясно определен екип за управление и координиране на реакцията при инцидент. - Документиран и тестван процес за управление на реакцията при инцидент, включително изискването да се водят съответните записи на проблеми (issues and action logs) и действия, които да включват времето, в което е възникнал инцидентът, лицето, докладващо за инцидента, на кого е докладвано и ефектите от него. - Изискването за уведомяване на КЛИЕНТА своевременно и не по-късно от 72 часа след потвърждаване на инцидента с информационната сигурност и отрицателното въздействие върху услугите, предоставяни на КЛИЕНТА. Ще се приложи по-кратък срок за уведомяване, ако такова изискване се основава на приложимото законодателство и/или подзаконов акт. - Екипът за управление на инциденти на ДОСТАВЧИК, когато е уместно, работи заедно с представителите по сигурността на КЛИЕНТА, докато инцидентът с информационната сигурност бъде удовлетворително разрешен. - ДОСТАВЧИКЪТ трябва да се съобрази с всички национални разпоредби и законодателства по отношение на уведомяването за инциденти с информационната сигурност към правоприлагащите органи, регулаторните (regulatory) или други национални органи.
13. УПРАВЛЕНИЕ НА НЕПРЕКЪСНАТОСТТА НА БИЗНЕСА (BUSINESS CONTINUITY MANAGEMENT)
ДОСТАВЧИКЪТ трябва да:
13.1. дефинира, документира, внедрява и поддържа програма за непрекъсваемост на бизнеса (Business Continuity Program).
13.2. идентифицира и приоритизира критичните продукти и услуги на SMSBAT с помощта на процес за анализ на въздействието върху бизнеса (Business Impact Analysis - BIA).
13.3. използва информацията и методите за оценка на риска (Risk Assessment) за оценка на заплахата от прекъсване.
13.4. въз основа на резултатите от анализа на въздействието върху бизнеса и оценката на риска, да разработи стратегии за реакция и възстановяване за смекчаване на въздействието върху критичните услуги по време на разрушителен инцидент (disruptive incident).
13.5. разработи планове за непрекъснатост на бизнеса и възстановяване, които са подходящи за целта, редовно преразглеждани, достъпни и лесни за следване и разбиране.
13.6. разработи планове за управление на кризи и комуникации за ефективно управление на кризи, приоритизиране в комуникацията и начини за предупреждаване за инциденти.
13.7. да осигури обучение и упражнения, разработени спрямо изискваните компетенции (competencies), и да бъдат доставени на служителите, които имат пряка отговорност за непрекъснатост на бизнеса.
13.8. да подобрява непрекъснато програмата за непрекъсваемост на бизнеса на SMSBAT чрез редовна оценка (evaluation) и вземане под внимание на всякакви промени в законовите и регулаторни изисквания.
14. СЪОТВЕТСТВИЕ (COMPLIANCE)
ДОСТАВЧИКЪТ трябва да:
14.1. Подлага на редовни одити спрямо индустриалните стандарти на годишна база. По писмено искане на КЛИЕНТА ДОСТАВЧИКЪТ ще предостави на КЛИЕНТА пълно или обобщено копие, според случая, на текущите му отчети. ДОСТАВЧИКЪТ също така трябва да предостави в срок не по-късно от десет (10) работни дни писмени отговори на всички разумни искания (въпросници, формуляри и др.), направени от КЛИЕНТА, за да провери дали ДОСТАВЧИКА спазва изискванията съгласно тези Условия.
14.2. До степента, изисквана от приложимото законодателство, веднъж годишно след предварително уведомление от най-малко 30 календарни дни, ДОСТАВЧИКЪТ трябва да позволи на КЛИЕНТА, на неговите съответните одитори или други агенти (всеки наричан „Одитираща страна“), достъп до помещенията, записите, и документи на Доставчика (Supplier), както се изисква разумно от Одитиращата страна, за да се провери дали ДОСТАВЧИКА спазва изискванията съгласно тези Условия. Всеки преглед и ревизия (review) в съответствие с този параграф не изисква преглед на данни на трети страни и от Одитиращата страна може да се изиска да сключи споразумение за поверителност (confidentiality agreement) с ДОСТАВЧИКА, което може да е разумно необходимо за спазване на поверителността на информацията, за която Одитиращата страна може да узнае в хода на извършване на прегледа. Всяка страна поема собствените си разходи във връзка с този одит. В случай че одитът разкрие неспазване на задълженията на ДОСТАВЧИКА съгласно тези Условия, ДОСТАВЧИКЪТ ще отстрани такова неспазване в рамките на взаимно договорения срок и ще поеме разходите за такива действия.
14.3. ДОСТАВЧИКЪТ си запазва правото да налага ограничения и рестрикции върху показването на вътрешна поверителна информация и правенето на копия на всякакви доказателства заявени в точки 14.1 и 14.2.
15. ИЗИСКВАНИЯ ЗА СИГУРНОСТТА НА КЛИЕНТА
15.1. Общи мерки за сигурност
ДОСТАВЧИКЪТ трябва да:
15.1.1. ДОСТАВЧИКЪТ е дефинирал, документирал, приложил и поддържа препоръки за сигурност за КЛИЕНТИ, използващи неговите облачни комуникационни услуги. КЛИЕНТЪТ следва да прегледа посочените препоръки и да ги приложи в съответствие със своите бизнес нужди, технически възможности и апетит към риск (risk appetite).
15.1.2. КЛИЕНТЪТ носи пълна отговорност за правилното инсталиране на мерките за сигурност от своя страна и не налага никаква отговорност на ДОСТАВЧИКА в случай на инцидент със сигурността, произтичащ от неправилно инсталиране на сигурност и технически мерки или небрежност за прилагане на мерки като препоръчано от ДОСТАВЧИКА.
15.2. Мерки за намаляване на сигурността на AIT (Изкуствено завишен трафик)
ДОСТАВЧИКЪТ трябва да:
15.2.1. ДОСТАВЧИКЪТ е дефинирал, документирал и поддържа насоки за сигурност за предотвратяване на случаи на измама.
15.2.2. Потенциален риск може да възникне на уебсайта или мобилното приложение на КЛИЕНТА, интегрирано със системите на ДОСТАВЧИКА, ако регистрация или друга форма, която изпълнява SMS MT с OTP (еднократни пароли), не е защитена с анти-бот механизъм като CAPTCHA. Уязвимостите в такива приложения могат да доведат до атаки чрез изкуствено увеличен трафик (AIT). Механизъм срещу ботове (като CAPTCHA) е от съществено значение за защита на канала за регистриране на потребители от автоматизирани фалшиви регистрации, които изпълняват SMS MT с еднократни пароли (OTP).
15.2.3. Когато възникнат AIT атаки, трафикът се изпраща към инфраструктурата на ДОСТАВЧИКА с изходния IP адрес, използван от КЛИЕНТА по време на подаването. Съдържанието на SMS MT на този трафик е неразличимо от истинския трафик на КЛИЕНТА. При липса на обратна връзка от КЛИЕНТА, ДОСТАВЧИКЪТ не е в състояние да направи разлика между AIT приложението на КЛИЕНТА и истинския трафик от същото приложение. В резултат на това ДОСТАВЧИКЪТ не може да носи отговорност за сигурността на уеб или мобилното приложение(я) на КЛИЕНТА. Освен това КЛИЕНТЪТ потвърждава, че целият трафик, получен от инфраструктурата на КЛИЕНТА, ще бъде насочен към мрежовите оператори (Network Operators) и ще бъде таксуван на КЛИЕНТА в съответствие с условията на Споразумението.
15.2.4. Блокирането на засегнатите мрежи не би попречило на възникването на подобен проблем отново в активирани мрежи, тъй като основната причина на проблема е в инфраструктурата на КЛИЕНТА. Следователно е наложително за КЛИЕНТА да адресира всички форми (forms) на своя уебсайт или мобилно приложение, които изпълняват SMS MT OTP кодове.
15.3. Искане (Request) за увеличаване на кредитния лимит
ДОСТАВЧИКЪТ трябва да:
15.3.1. Лимитът (на кредита) може бързо да се изчерпи, ако уязвимостите на уебсайта на КЛИЕНТ не бъдат адресирани. Следователно ДОСТАВЧИКЪТ изисква потвърждение на КЛИЕНТА, че осъзнава рисковете и разбира потенциалните последици от увеличаването на кредитния лимит.
15.3.2. Изисквайки увеличение на кредитния лимит, КЛИЕНТЪТ признава отговорността за всяка потенциална загуба поради атаки чрез AIT и се задължава да плати всички разходи, които биха могли да възникнат в резултат на това.