Uslovi sigurnosti informacija
PROVAJALAC će pružati Usluge i izvršavati svoje obaveze iz Ugovora u skladu sa:
a. (I) ove Uslove o sigurnosti informacija
b. (ii) Dobra bezbednosna praksa
1. DEFINICIJE
a. “Imovina” označava bilo koju stavku ili element hardvera i softvera koji se koristi ili se može koristiti u svrhu kreiranja, pristupa, obrade, zaštite, nadgledanja, skladištenja, preuzimanja, prikazivanja ili prenošenja podataka KLIJENTA.
b. “Podaci KLIJENTA” označavaju sve podatke koje KLIJENT, ili lice koje djeluje u njegovo ime, daje PROVAJATELJU ili dozvoljava PRUŽATELJU da pristupi i obradi, u vezi sa Ugovorom.
c. “Šifrovanje” znači proces pretvaranja informacija ili podataka u kod, posebno radi sprečavanja neovlašćenog pristupa.
d. “Zakrpa” znači bilo koje ažuriranje softvera i operativnog sistema (OS) koje se bavi sigurnosnim ranjivostima unutar programa ili proizvoda.
e. „Testiranje penetracije“ označava ovlašćeni simulirani sajber napad na računarski sistem, koji se izvodi radi procene bezbednosti sistema.
f. “Sistem PRUŽATELJA” označava bilo koji Sistem ili Imovina koja je u vlasništvu ili kojom se upravlja (u cjelini ili djelimično) za rad od strane ili u ime PROVAJDERA ili bilo kojeg njegovog Pridruženog lica.
g. “Sigurnosni incident” označava incident, događaj i/ili problem koji je doveo do stvarnog ugrožavanja povjerljivosti, integriteta i/ili dostupnosti podataka KLIJENTA i/ili usluge.
h. “Proizvodno okruženje” označava okruženje u kojem se podaci KLIJENTA čuvaju i obrađuju.
i. “Okruženje za testiranje” znači okruženje koje je dostupno za testiranje nedavno razvijenih programa ili softverskih proizvoda prije nego što se puste u proizvodno okruženje.
j. “Ranjivost” znači postojanje slabosti/propusta koji se nalazi unutar sistema.
k. “Vještački napuhan saobraćaj” označava svaki saobraćaj generisan automatizovanim ili lažnim sredstvima, uključujući, ali ne ograničavajući se na botove, farme klikova ili bilo koja druga sredstva namenjena veštačkom povećanju obima saobraćaja.
2. ORGANIZACIJA SIGURNOSTI INFORMACIJA
PROvajder će:
2.1. definirati, dokumentirati, implementirati i održavati sigurnosne politike u skladu sa industrijskim standardima, dok: - obezbjeđivanje povjerljivosti, integriteta i dostupnosti podataka i informacionih sistema. - usklađenost sa zakonskim i regulatornim zahtjevima kojima KLIJENT i Podaci KLIJENTA mogu biti podvrgnuti.
2.2. revidirati svoje politike i procedure na godišnjoj osnovi i/ili kao odgovor na bilo koju značajnu promjenu.
2.3. osigurati da su sigurnosne politike dokumentirane i odobrene od strane menadžmenta DOBAVLJAČA i objavljene i saopštene relevantnim dionicima.
2.4. osigurati da imaju potreban broj sigurnosnih profesionalaca koji će biti odgovorni za koordinaciju i praćenje svih funkcija, politika i procedura za sigurnost informacija.
2.5. održava proces za periodičnu internu i eksternu validaciju efektivnosti svojih sigurnosnih kontrola. PROVAJALAC će odmah otkloniti i otkloniti sve nedostatke u mjeri u kojoj je to potrebno da bi se pridržavao obaveza DOBAVLJAČA prema Ugovoru i ovim Uslovima.
3. OBUKA LJUDSKIH RESURSA I SIGURNOSTI
PROvajder će:
3.1. definirati, dokumentirati, implementirati i održavati odgovarajuću politiku i proceduru provjere prošlosti. Provjere mogu uključivati obrazovanje i prethodni radni odnos pojedinca, krivični dosije, provjere referenci i sve dodatne zahtjeve za provjeru pozadine u skladu sa relevantnim i primjenjivim zakonima i propisima.
3.2. izvršiti provjere pozadine svih postojećih i novih zaposlenika, uključujući i zaposlene po ugovoru.
3.3. osigurati da svi zaposleni budu vezani odgovarajućim ugovorom o povjerljivosti.
3.4. definirati, dokumentirati, implementirati i održavati formalnu obuku o svijesti o sigurnosti i privatnosti za sve zaposlene. PROVAJALAC će osigurati da se takve obuke pružaju prije davanja dozvole za pristup ili korištenje osjetljivih informacija i kontinuirano nakon toga.
4. UPRAVLJANJE IMOVINOM
PROvajder će:
4.1. definirati, dokumentirati, implementirati i održavati tačan i ažuran inventar koji evidentira sav hardver i softver, sa informacijama o vlasniku i lokaciji svakog od njih.
4.2. osigurati da se samo softverske aplikacije i/ili operativni sistemi koji su trenutno podržani i/ili koji primaju ažuriranja dobavljača dodaju u ovlašteni softverski inventar DOBAVLJAČA.
4.3. osigurajte da se sav softver i hardver koji podržava EOL (End-of-life) ukloni iz upotrebe i da se inventar blagovremeno ažurira.
4.4. definirati pravila za prihvatljivo korištenje informacija i sredstava povezanih sa informacijama i obradom informacija.
4.5. osigurati da su sve informacije klasifikovane u smislu zakonskih zahtjeva, vrijednosti, kritičnosti i osjetljivosti i da se njima rukuje u skladu sa oznakom klasifikacije.
4.6. osigurati pravilno rukovanje i odlaganje podataka KLIJENTA iz sistema PROVIDERA: - raspolaganje zapisima podataka KLIJENTA mora biti obavljeno na bezbedan način kako bi se osiguralo da podaci postanu nepovratni. - potvrda o brisanju treba biti dostupna za sve ad hoc zahtjeve KLIJENTA za brisanje podataka.
5. KONTROLA PRISTUPA
5.1. Opće odredbe
PROvajder će:
5.1.1. definirati, dokumentirati, implementirati i održavati politiku i procedure kontrole pristupa na osnovu poslovnih potreba i principa „najmanje privilegije“ i osigurati da samo ovlašteni zaposleni imaju pristup sistemima PROVAJDERA.
5.1.2. osigurati da se koriste samo jedinstveni ID-ovi i dokumentirati svaki izuzetak i korištenje zajedničkih računa.
5.1.3. osigurajte da svaki pristup sistemima PROVIDERA koji pohranjuju ili obrađuju podatke KLIJENTA podliježu višefaktorskoj autentifikaciji (MFA).
5.1.4. periodično, najmanje na godišnjem nivou, provjeravati prikladnost dodijeljenih korisničkih privilegija.
5.1.5. osigurati da se aktivnosti upravljanja korisnicima (dodavanje, modifikacija ili uklanjanje korisničkih privilegija) izvode na osnovu valjanog formalnog zahtjeva i na blagovremen način.
5.2. SIGURNOST DALJINSKOG PRISTUPA
PROvajder će:
5.2.1. osigurati da je postavljen odgovarajući skup sigurnosnih kontrola kako bi se spriječio neovlašteni daljinski pristup sistemima PROVIDER. Takve kontrole će uključivati najmanje: - Svaki daljinski pristup sistemima i/ili mreži PROVIDERA bit će samo putem VPN-a i višefaktorske autentifikacije (MFA). - Svi podaci koji putuju preko mehanizma udaljenog pristupa biće šifrovani od krajnje tačke (npr. laptop) do mreže. - Svi pokušaji povezivanja na sisteme PROVAJDERA korištenjem mehanizma neovlaštenog udaljenog pristupa će biti odbijeni i evidentirani. - Sumnjivom aktivnošću će se postupati u skladu sa relevantnim sigurnosnim protokolima.
5.3. UPRAVLJANJE LOZINKOM
PROvajder će:
5.3.1. definirati, dokumentirati, implementirati i održavati politiku lozinki u skladu s najboljom industrijskom praksom i internim poslovnim potrebama.
5.3.2. osigurati da su lozinke dovoljne dužine, složenosti, da ne sadrže riječi koje je lako pogoditi i da se mijenjaju u redovnim intervalima.
5.3.3. osigurajte da su korisnički nalozi zaključani nakon određenog broja neuspješnih pokušaja unosa pogrešne lozinke i da je račun zaključan na određeno vrijeme.
5.3.4. osigurajte da se lozinke pohranjuju na siguran način koji ih čini nerazumljivim dok ostaju važeće.
6. KRIPTOGRAFIJA
PROvajder će:
6.1. definišu, dokumentuju, implementiraju i održavaju relevantne politike i procedure koje regulišu upotrebu odgovarajućih kriptografskih kontrola i procesa upravljanja ključevima postavljajući pravila upotrebe, zaštite i životnog veka kriptografskih ključeva i materijala za ključeve.
6.2. Osigurajte da su podaci KLIJENTA zaštićeni dok su u tranzitu ili u mirovanju koristeći sigurne protokole (npr. TLS 1.2, AES-256 ili drugi industrijski preporučeni standardi).
6.3. upravljati svim ključevima za šifriranje u sistemu za upravljanje ključevima koji je u vlasništvu i kojim upravlja PROVAJER.
6.4. osigurati odgovarajuću podjelu dužnosti unutar procesa upravljanja ključem za šifriranje.
7. FIZIČKA I OKOLIŠNA SIGURNOST
PROvajder će:
7.1. definirati, dokumentirati, implementirati i održavati politike i procedure fizičke sigurnosti kako bi se spriječio neovlašteni fizički pristup, oštećenje i ometanje informacija i objekata za obradu informacija organizacije koji pohranjuju podatke KLIJENTA.
7.2. implementirati fizičke i ekološke sigurnosne procese i kontrole u skladu sa definisanim politikama i procedurama. PROVAJALAC može prepustiti neke ili sve fizičke sigurnosne kontrole trećem licu i on će osigurati da su kontrole na istom nivou postavljene i redovno će procjenjivati treću stranu za usklađenost.
7.3. osigurajte da su bezbedne oblasti zaštićene odgovarajućim kontrolama ulaska i da je pristup dozvoljen samo ovlašćenom osoblju.
7.4. osigurati da su svi posjetitelji ovlašteni, da imaju ispravnu identifikaciju i da im je omogućen pristup samo potrebnim područjima.
7.5. osigurati da se ormarići za zaključavanje koriste za osiguranje povjerljivih informacija.
7.6. osigurajte da oprema koja sadrži medij za skladištenje bude sigurno prepisana prije odlaganja ili ponovne upotrebe.
7.7. osigurati da se jasna politika stola i politika jasnog ekrana primjenjuju na objekte za obradu informacija.
8. SIGURNOST OPERACIJE
PROvajder će:
8.1. definirati, dokumentirati, implementirati i održavati sigurnosne operativne procedure za sigurnosno kopiranje, zaštitu krajnjih tačaka, upravljanje ranjivostima, antivirusni i antimalware, zakrpe, jačanje sistema i evidentiranje.
8.2. redovno obavljati procjenu ranjivosti i testove penetracije u skladu s najboljom industrijskom praksom i internim poslovnim potrebama. PONUĐAČ će također izvršiti procjenu rizika, nakon čega slijedi sanacija identifikovanih problema.
8.3. osigurati da se ranjivosti tretiraju u skladu sa definisanim prioritetima iu potrebnim rokovima rješavanja.
8.4. primijeniti zakrpe i nadogradnje na svim nivoima infrastrukture u skladu sa definisanim prioritetima.
8.5. osigurajte da su krajnje točke, serveri, uređaji za pohranu, mail/web pristupnici i mail promet zaštićeni aktivnim anti-malware alatima gdje je to tehnički izvodljivo za otkrivanje i gdje god je moguće spriječiti infekcije zlonamjernim softverom.
8.6. kreirati rezervne kopije informacija, softvera i sistemskih slika i redovno ih testirati u skladu s najboljom praksom industrije i internim poslovnim potrebama.
8.7. osigurati da se vrši odgovarajuća evidencija, sa dovoljno detalja i održava u skladu sa definisanim periodima zadržavanja, dok je zaštićena od neovlaštenog pristupa i neovlaštenog pristupa.
8.8. definišu, dokumentuju, implementiraju i održavaju pravila koja regulišu instalaciju softvera od strane korisnika.
8.9. definirati, dokumentirati, implementirati i održavati standarde za sigurnu konfiguraciju krajnjih tačaka, uključujući, ali ne ograničavajući se na prijenosna računala, servere, virtuelne mašine, baze podataka i mrežne uređaje za zaštitu od gubitka povjerljivosti, integriteta i dostupnosti KLIJENTSKIH podataka u mirovanju i u tranzitu.
9. SIGURNOST MREŽE I KOMUNIKACIJE
PROvajder će:
9.1. definirati, dokumentirati, implementirati i održavati sigurnosne mehanizme i zahtjeve upravljanja svim mrežnim uslugama.
9.2. definirati, dokumentirati, implementirati i održavati jake standarde enkripcije i sigurnosne konfiguracije za sigurnu komunikaciju preko javnih i nejavnih mreža.
9.3. osigurati da su satovi svih relevantnih sistema za obradu informacija sinhronizovani sa jednim referentnim izvorom vremena.
9.4. nadzire web promet i perimetar mreže kako bi otkrio sajber napade i blokirao zlonamjerne usluge, web stranice i promet.
9.5. osigurati da se promjene pravila zaštitnog zida kontroliraju kroz formalni proces zahtjeva/odobrenja i da se redovno pregledavaju.
9.6. ograničiti i kontrolirati pristup organizacijama u skladu s najboljom industrijskom praksom i internim poslovnim potrebama.
9.7. osigurati da se primjenjuje model zoniranja i da je mreža na odgovarajući način segmentirana dok su u svakom segmentu dozvoljeni samo odobreni pristup i promet.
10. ŽIVOTNI CIKLUS RAZVOJA SOFTVERA (SDLC)
PROvajder će:
10.1. uspostaviti siguran životni ciklus razvoja kako bi se osiguralo da se Usluge razvijaju i održavaju na siguran način.
10.2. kontrolirati promjene sistema unutar životnog ciklusa razvoja formalnim procedurama kontrole promjena.
10.3. osigurati da su razvojna, testiranje i proizvodna okruženja odvojena kako bi se smanjili rizici od neovlaštenog pristupa ili promjena u proizvodnom okruženju.
10.4. osigurati da su zahtjevi vezani za sigurnost informacija uključeni u zahtjeve za nove Usluge ili poboljšanja postojećih Usluga.
10.5. osigurati da se podaci o testiranju kreiraju pažljivo i na kontroliran način, te da se proizvodni podaci ne koriste u svrhe testiranja.
11. ODNOSI S DOBAVLJAČIMA
PROvajder će:
11.1. definišu, dokumentuju, implementiraju i održavaju politike i procedure upravljanja odnosima sa dobavljačima koje definišu osnovne principe i pravila za upravljanje odnosima sa dobavljačima koji su u skladu sa poslovnim, bezbednosnim zahtevima, kao i važećim propisima, najboljim praksama i međunarodnim standardima.
11.2. za svakog dobavljača koji može pristupiti, obraditi ili pohraniti podatke KLIJENTA, DOBAVLJAČ će procijeniti i dokumentirati usklađenost rješenja dobavljača. Za kritične dobavljače, uključujući podprocesore, ponovna procena će se vršiti na godišnjem nivou.
11.3. osigurati da svi relevantni zahtjevi za sigurnost informacija budu uspostavljeni i dogovoreni sa svakim dobavljačem koji može pristupiti, obrađivati ili pohranjivati podatke KLIJENTA.
11.4. osigurati da je važeći ugovor koji definiše obim posla, povjerljivost, sigurnost i tehničke zahtjeve (ako je primjenjivo) poslovnog odnosa na snazi sa svakim dobavljačem koji može pristupiti, obrađivati ili čuvati podatke KLIJENTA.
12. UPRAVLJANJE INCIDENTIMA BEZBEDNOSTI INFORMACIJA
PROvajder će:
12.1. definisati, dokumentovati, implementirati i održavati formalni proces za izvještavanje, reagovanje i upravljanje incidentima sigurnosti informacija. Ovo uključuje minimalno: - Procedura za prijavljivanje ovakvih incidenata/kršenja odgovarajućem menadžmentu unutar organizacije PROVAJDER. - Proces identifikacije, procjene i rukovanja incidentima sigurnosti informacija. - Jasno određen tim za upravljanje i koordinaciju odgovora na incident. - Dokumentovan i testiran proces za upravljanje odgovorom na incident, uključujući zahtjev za vođenje odgovarajućih problema i evidencija akcija koje uključuju vrijeme u kojem se incident dogodio, osobu koja je prijavila incident, kome je prijavljen i njegove posljedice. - Potvrđuje se zahtjev da se KLIJENT blagovremeno obavijesti, a najkasnije u roku od 72 sata nakon incidenta u informacionoj sigurnosti i negativnog uticaja na usluge pružene KLIJENTU. Kraći period obavještavanja će se primjenjivati ako je takav zahtjev zasnovan na važećim zakonima i/ili propisima. - Tim za upravljanje incidentima DOBAVLJAČA će, gdje je to prikladno, raditi zajedno sa predstavnicima sigurnosti KLIJENTA sve dok se incident sigurnosti informacija ne riješi na zadovoljavajući način. - PROVAJER će uskladiti sa svim nacionalnim propisima i zakonima koji se odnose na obavještavanje o incidentima u vezi sa sigurnošću informacija prema organima za provođenje zakona, regulatornim ili bilo kojim drugim nacionalnim vlastima.
13. UPRAVLJANJE KONTINUITETOM POSLOVANJA
PROvajder će:
13.1. definirati, dokumentirati, implementirati i održavati Program kontinuiteta poslovanja.
13.2. identificirati i dati prioritet SMSBAT-ovim kritičnim proizvodima i uslugama koristeći proces analize poslovnog utjecaja (BIA).
13.3. koristiti informacije i metode procjene rizika za procjenu opasnosti od poremećaja.
13.4. na osnovu rezultata analize poslovnog uticaja i procene rizika, razviti strategije reagovanja i oporavka kako bi se ublažio uticaj na kritične usluge tokom incidenta koji izaziva poremećaj.
13.5. razviti planove za kontinuitet poslovanja i oporavak koji odgovaraju svrsi, koji se redovno pregledavaju, dostupni i jednostavni za praćenje i razumijevanje.
13.6. razviti planove upravljanja krizom i komunikacije za efikasno upravljanje krizom, određivanje prioriteta u komunikaciji i načine upozoravanja na incidente.
13.7. pružaju obuku i vježbe, razvijene u skladu sa potrebnim kompetencijama i isporučuju se zaposlenima s direktnom odgovornošću za kontinuitet poslovanja.
13.8. kontinuirano poboljšavati SMSBAT-ov Program kontinuiteta poslovanja kroz redovnu evaluaciju i uzimajući u obzir sve promjene zakonskih i regulatornih zahtjeva.
14. USKLAĐENOST
PROvajder će:
14.1. Podvrgavajte se redovnim revizijama u skladu sa industrijskim standardima na godišnjoj osnovi. Na pisani zahtjev KLIJENTA, PRUŽAC će dostaviti KLIJENTU potpunu ili sažetu kopiju, prema potrebi, svojih tada aktuelnih izvještaja. PROvajder će takođe, najkasnije u roku od deset (10) radnih dana, dostaviti pismene odgovore na sve razumne zahtjeve (upitnike, formulare, itd.) KLIJENTA kako bi provjerio da li DOBAVLJAČ ispunjava zahtjeve iz ovih Uslova.
14.2. U mjeri u kojoj to zahtijeva primjenjiva regulativa, jednom godišnje, nakon najmanje 30 kalendarskih dana prije obavještenja, DOBAVITELJ će dozvoliti KLIJENTU, njegovim odgovarajućim revizorima ili drugim agentima (svako „Strana za reviziju“) da pristupe prostorijama Dobavljača, evidenciji i dokumentima kako to razumno zahtijeva Stranka koja vrši reviziju kako bi provjerila da li DOBAVITELJ ispunjava ove zahtjeve. Bilo koja revizija u skladu sa ovim stavom neće zahtijevati pregled podataka trećih strana, a od Strane koja vrši reviziju može se zahtijevati da sklopi ugovor o povjerljivosti sa PRUŽATELJOM, što može biti razumno potrebno za poštovanje povjerljivosti informacija o kojima Revizorska strana može postati svjesna tokom obavljanja revizije. Svaka Strana će snositi svoje troškove u vezi sa takvom revizijom. U slučaju da revizija otkrije nepoštivanje obaveza DOBAVLJAČA prema ovim Uslovima, DOBAVLJAČ će otkloniti takvu neusklađenost u međusobno dogovorenom roku i snositi troškove takvih radnji.
14.3. PROvajder zadržava pravo da nametne ograničenja i ograničenja za prikazivanje internih povjerljivih informacija i uzimanje kopija bilo kojeg dokaza traženog u tačkama 14.1 i 14.2.
15. SIGURNOSNI ZAHTJEVI KLIJENTA
15.1. Opšte mjere sigurnosti
PROvajder će:
15.1.1. PROVIDER je definirao, dokumentirao, implementirao i održava sigurnosne preporuke za KLIJENTE koji koriste svoje usluge komunikacije u oblaku. KLIJENT će pregledati navedene preporuke i implementirati ih u skladu sa svojim poslovnim potrebama, tehničkim mogućnostima i sklonošću riziku.
15.1.2. KLIJENT je u potpunosti odgovoran za pravilno postavljanje sigurnosnih mjera sa svoje strane i neće nametati bilo kakvu odgovornost PROvajderu u slučaju sigurnosnog incidenta koji je nastao kao posljedica nepravilnog postavljanja sigurnosnih i tehničkih mjera ili nemara za provođenje mjera prema preporuci PROvajdera.
15.2. Mjere ublažavanja sigurnosti AIT-a
PROvajder će:
15.2.1. PROVAJDER je definisao, dokumentovao i održava bezbednosne smernice za sprečavanje slučajeva prevare.
15.2.2. Potencijalni rizik može nastati na web stranici KLIJENTA ili mobilnoj aplikaciji integriranoj sa PROVIDER Systems ako registracija ili drugi obrazac koji izvršava SMS MT sa OTP-ovima nije zaštićen anti-bot mehanizmom kao što je CAPTCHA. Ranjivosti u takvim aplikacijama mogu dovesti do napada umjetno napuhanog prometa (AIT). Mehanizam protiv robota kao što je CAPTCHA je neophodan za zaštitu toka registracije korisnika od automatizovanih lažnih registracija koje izvršavaju SMS MT sa OTP-ovima.
15.2.3. Kada dođe do AIT napada, saobraćaj se šalje na infrastrukturu PROVAJDERA sa izvornom IP adresom koju koristi KLIJENT u trenutku podnošenja. SMS MT sadržaj saobraćaja se ne razlikuje od stvarnog saobraćaja KLIJENTA. U nedostatku bilo kakve povratne informacije od KLIJENTA, DOBAVITELJ nije u mogućnosti da napravi razliku između AIT-a na KLIJENTOVOJ aplikaciji i stvarnog prometa iz iste aplikacije. Kao rezultat toga, DOBAVITELJ se ne može smatrati odgovornim za sigurnost web ili mobilnih aplikacija(a) KLIJENTA. KLIJENT dalje potvrđuje da će sav promet primljen od KLIJENTOVE infrastrukture biti usmjeren do mrežnih operatera i naplaćen od KLIJENTA u skladu sa uslovima Ugovora.
15.2.4. Blokiranje pogođenih mreža ne bi spriječilo da se sličan problem ponovo pojavi na omogućenim mrežama, jer osnovni uzrok problema leži u infrastrukturi KLIJENTA. Stoga je imperativ da KLIJENT adresira sve obrasce na svojoj web stranici ili mobilnoj aplikaciji koji izvršavaju SMS MT OTP kodove.
15.3. Zahtjev za povećanje kreditnog limita
PROvajder će:
15.3.1. Ograničenje se može brzo iscrpiti ako se ranjivosti na web stranici KLIJENTA ne adresiraju. Stoga, PROvajder traži potvrdu KLIJENTA o svijesti o rizicima i razumijevanju potencijalnih posljedica povećanja kreditnog limita.
15.3.2. Zahtjevom za povećanje kreditnog limita, KLIJENT priznaje odgovornost za svaki potencijalni gubitak zbog AIT napada i obavezuje se da će platiti sve troškove koji mogu nastati kao rezultat.