Information Security Terms
POSKYTOVATEL bude poskytovat Služby a plnit své povinnosti podle Smlouvy v souladu s:
a. (I) these Information Security Terms
b. (ii) Good Security Practice
1. DEFINICE
a. „Aktivem“ se rozumí jakákoli položka nebo prvek hardwaru a softwaru, který je nebo může být použit pro účely vytváření, přístupu, zpracování, ochrany, sledování, ukládání, získávání, zobrazování nebo přenosu KLIENTSKÝCH dat.
b. „Údaje KLIENTA“ znamenají jakákoli data, která KLIENT nebo osoba jednající jeho jménem poskytne POSKYTOVATELI nebo k nim umožní POSKYTOVATELI přístup a zpracování v souvislosti se Smlouvou.
C. „Šifrování“ znamená proces převodu informací nebo dat do kódu, zejména za účelem zabránění neoprávněnému přístupu.
d. „Patching“ znamená jakékoli aktualizace softwaru a operačního systému (OS), které řeší slabá místa zabezpečení v programu nebo produktu.
E. „Penetační testování“ znamená autorizovaný simulovaný kybernetický útok na počítačový systém, prováděný za účelem vyhodnocení bezpečnosti systému.
F. „Systém POSKYTOVATELE“ znamená jakýkoli systém nebo aktivum, které je vlastněno nebo spravováno (zcela nebo zčásti) pro provozování POSKYTOVATELEM nebo kteroukoli z jeho Přidružených společností nebo jejich jménem.
G. „Bezpečnostní incident“ znamená incident, událost a/nebo problém, který vedl ke skutečnému ohrožení důvěrnosti, integrity a/nebo dostupnosti údajů KLIENTA a/nebo Služby.
h. „Produkční prostředí“ znamená prostředí, kde jsou uložena a zpracovávána data KLIENTA.
i. „Testovací prostředí“ znamená prostředí zpřístupněné pro testování nedávno vyvinutých programů nebo softwarových produktů před jejich vydáním do produkčního prostředí.
j. „Chyba zabezpečení“ znamená existenci slabé stránky/chyby nalezené v systému.
k. „Uměle nafouknutý provoz“ znamená jakýkoli provoz generovaný automatizovanými nebo podvodnými prostředky, mimo jiné včetně robotů, klikacích farem nebo jakýchkoli jiných prostředků určených k umělému navyšování objemů provozu.
2. ORGANIZATION OF INFORMATION SECURITY
POSKYTOVATEL:
2.1. definovat, dokumentovat, implementovat a udržovat bezpečnostní zásady v souladu s průmyslovými standardy, přičemž: - zajištění zachování důvěrnosti, integrity a dostupnosti údajů a informačních systémů. - dodržování zákonných a regulačních požadavků, kterým mohou KLIENT a KLIENTSKÉ údaje podléhat.
2.2. přezkoumávat své zásady a postupy na roční bázi a/nebo v reakci na jakoukoli významnou změnu.
2.3. zajistit, aby bezpečnostní zásady byly zdokumentovány a schváleny vedením POSKYTOVATELE a zveřejněny a sděleny příslušným zainteresovaným stranám.
2.4. zajistit, aby měli požadovaný počet bezpečnostních odborníků, kteří budou zodpovědní za koordinaci a monitorování všech funkcí, zásad a postupů v oblasti bezpečnosti informací.
2.5. udržovat proces pravidelného interního a externího ověřování účinnosti svých bezpečnostních kontrol. POSKYTOVATEL bude neprodleně řešit a řešit jakékoli nedostatky v rozsahu nezbytném pro splnění povinností POSKYTOVATELE podle Smlouvy a těchto Podmínek.
3. HUMAN RESOURCE AND SECURITY TRAINING
POSKYTOVATEL:
3.1. definovat, dokumentovat, implementovat a udržovat vhodné zásady a postupy pro ověřování pozadí. Kontroly mohou zahrnovat vzdělání jednotlivce a jeho předchozí zaměstnání, záznam v trestním rejstříku, prověrky referencí a jakékoli další standardní požadavky na prověření serióznosti v souladu s příslušnými a platnými zákony a předpisy.
3.2. provádět prověrky všech stávajících i nových zaměstnanců včetně smluvních zaměstnanců.
3.3. zajistit, aby všichni zaměstnanci byli vázáni vhodnou dohodou o mlčenlivosti.
3.4. definovat, dokumentovat, implementovat a udržovat formální školení o bezpečnosti a ochraně soukromí pro všechny zaměstnance. POSKYTOVATEL zajistí, aby tato školení byla poskytována před udělením povolení k přístupu k citlivým informacím nebo jejich používání a následně průběžně.
4. SPRÁVA MAJETKU
POSKYTOVATEL:
4.1. definovat, dokumentovat, implementovat a udržovat přesný a aktuální inventář, který zaznamenává veškerý hardware a software, s informacemi o majiteli a umístění každého z nich.
4.2. zajistit, aby do autorizovaného softwarového inventáře POSKYTOVATELE byly přidány pouze softwarové aplikace a/nebo operační systémy aktuálně podporované a/nebo přijímající aktualizace dodavatele.
4.3. zajistit, aby veškerý software a hardware podporující EOL (End-of-life) byl odstraněn z používání a aby byl inventář včas aktualizován.
4.4. definovat pravidla pro přijatelné použití informací a aktiv spojených s informacemi a zpracováním informací.
4.5. zajistit, aby všechny informace byly klasifikovány z hlediska právních požadavků, hodnoty, kritičnosti a citlivosti a aby se s nimi zacházelo v souladu s jejich klasifikačním štítkem.
4.6. zajistit správné nakládání a likvidaci údajů KLIENTŮ ze systémů PROVIDER: - likvidace datových záznamů KLIENTA musí být prováděna bezpečným způsobem, aby bylo zajištěno, že data budou nenávratná. - certifikát o výmazu by měl být k dispozici pro všechny žádosti KLIENTA ad hoc o výmaz dat.
5. ŘÍZENÍ PŘÍSTUPU
5.1. Obecná ustanovení
POSKYTOVATEL:
5.1.1. definovat, dokumentovat, implementovat a udržovat politiku a postupy řízení přístupu na základě obchodních potřeb a principu „nejmenšího privilegia“ a zajistit, aby do systémů POSKYTOVATELE měli přístup pouze oprávnění zaměstnanci.
5.1.2. zajistit, aby byla používána pouze jedinečná ID, a zdokumentovat všechny výjimky a použití sdílených účtů.
5.1.3. zajistit, aby jakýkoli přístup k systémům POSKYTOVATELE, které uchovávají nebo zpracovávají KLIENTOVÁ data, podléhal Multi-Factor Authentication (MFA).
5.1.4. pravidelně, alespoň jednou ročně, kontrolovat vhodnost přidělených uživatelských práv.
5.1.5. zajistit, aby činnosti správy uživatelů (přidání, úprava nebo odebrání uživatelských oprávnění) byly prováděny na základě platné formální žádosti a včas.
5.2. ZABEZPEČENÍ VZDÁLENÉHO PŘÍSTUPU
POSKYTOVATEL:
5.2.1. zajistit, aby byla zavedena vhodná sada bezpečnostních kontrol, aby se zabránilo neoprávněnému vzdálenému přístupu k systémům PROVIDER. Tyto kontroly zahrnují alespoň: - Jakýkoli vzdálený přístup k systémům a/nebo síti POSKYTOVATELE bude probíhat pouze prostřednictvím VPN a vícefaktorové autentizace (MFA). - Všechna data putující přes mechanismus vzdáleného přístupu musí být zašifrována od koncového bodu (např. notebooku) do sítě. - Všechny pokusy o připojení k systémům POSKYTOVATELE pomocí mechanismu neoprávněného vzdáleného přístupu budou odmítnuty a zaznamenány. - Podezřelá činnost bude řešena v souladu s příslušnými bezpečnostními protokoly.
5.3. SPRÁVA HESEL
POSKYTOVATEL:
5.3.1. definovat, dokumentovat, implementovat a udržovat politiku hesel v souladu s osvědčenými postupy v oboru a interními obchodními potřebami.
5.3.2. zajistit, aby hesla byla dostatečně dlouhá, složitá, neobsahovala snadno uhodnutelná slova a byla v pravidelných intervalech měněna.
5.3.3. zajistit, aby byly uživatelské účty uzamčeny po určitém počtu neúspěšných pokusů o zadání nesprávného hesla a aby byl účet uzamčen na určitou dobu.
5.3.4. zajistit, aby hesla byla uložena bezpečným způsobem, který je činí nesrozumitelnými, dokud zůstávají v platnosti.
6. KRYPTOGRAFIE
POSKYTOVATEL:
6.1. definovat, dokumentovat, implementovat a udržovat příslušné zásady a postupy, které regulují používání vhodných kryptografických kontrol a procesy správy klíčů stanovující pravidla používání, ochrany a životnosti kryptografických klíčů a klíčovacího materiálu.
6.2. Zajistěte, aby data KLIENTA byla během přenosu nebo v klidu chráněna pomocí zabezpečených protokolů (např. TLS 1.2, AES-256 nebo jiných průmyslových standardů).
6.3. spravovat všechny šifrovací klíče v systému správy klíčů, který vlastní a provozuje POSKYTOVATEL.
6.4. zajistit řádné oddělení povinností v rámci procesu správy šifrovacího klíče.
7. FYZICKÁ A ENVIRONMENTÁLNÍ BEZPEČNOST
POSKYTOVATEL:
7.1. definovat, dokumentovat, implementovat a udržovat zásady a postupy fyzické bezpečnosti, aby se zabránilo neoprávněnému fyzickému přístupu, poškození a zásahům do informací organizace a zařízení pro zpracování informací, která uchovávají data KLIENTŮ.
7.2. implementovat fyzické a environmentální bezpečnostní procesy a kontroly v souladu s definovanými politikami a postupy. POSKYTOVATEL může zadávat některé nebo všechny kontroly fyzické bezpečnosti třetí straně a musí zajistit, aby byly zavedeny kontroly na stejné úrovni, a bude pravidelně posuzovat, zda třetí strana vyhovuje.
7.3. zajistit, aby bezpečné oblasti byly chráněny vhodnými vstupními kontrolami a přístup byl povolen pouze oprávněným osobám.
7.4. zajistit, aby všichni návštěvníci byli oprávněni, měli řádnou identifikaci a měli přístup pouze do nezbytných prostor.
7.5. zajistit, aby se k zabezpečení důvěrných informací používaly uzamykatelné skříně.
7.6. zajistěte, aby bylo zařízení obsahující paměťová média před likvidací nebo opětovným použitím bezpečně přepsáno.
7.7. zajistit, aby byla u zařízení pro zpracování informací uplatňována jasná zásada pro oddělení a zásady jasné obrazovky.
8. ZABEZPEČENÍ PROVOZU
POSKYTOVATEL:
8.1. definovat, dokumentovat, implementovat a udržovat bezpečnostní operační postupy pro zálohování, ochranu koncových bodů, správu zranitelnosti, antivirus a antimalware, opravy, upevňování systému a protokolování.
8.2. pravidelně provádět hodnocení zranitelnosti a penetrační testy v souladu s osvědčenými postupy v oboru a interními obchodními potřebami. POSKYTOVATEL rovněž provede posouzení rizik, po kterém následuje náprava zjištěných problémů.
8.3. zajistit, aby byly zranitelnosti řešeny v souladu s definovanou prioritou a v požadovaných lhůtách řešení.
8.4. aplikovat záplaty a upgrady na všechny úrovně infrastruktury v souladu s definovanou prioritou.
8.5. zajistit, aby koncové body, servery, úložná zařízení, pošta/webové brány a poštovní provoz byly chráněny aktivními nástroji proti malwaru, kde je to technicky proveditelné k detekci a kdekoli je to možné, k prevenci malwarových infekcí.
8.6. vytvářet záložní kopie informací, softwaru a obrazů systému a pravidelně je testovat v souladu s osvědčenými postupy v oboru a interními obchodními potřebami.
8.7. zajistit, aby bylo prováděno náležité protokolování s dostatečnými podrobnostmi a udržováno v souladu s definovanými dobami uchovávání, přičemž je chráněno proti manipulaci a neoprávněnému přístupu.
8.8. definovat, dokumentovat, implementovat a udržovat pravidla upravující instalaci softwaru uživateli.
8.9. definovat, dokumentovat, implementovat a udržovat standardy pro bezpečnou konfiguraci koncových bodů, včetně, ale nikoli výhradně, notebooků, serverů, virtuálních strojů, databází a síťových zařízení pro ochranu před ztrátou důvěrnosti, integrity a dostupnosti dat KLIENTA v klidu a při přenosu.
9. ZABEZPEČENÍ SÍTĚ A KOMUNIKACE
POSKYTOVATEL:
9.1. definovat, dokumentovat, implementovat a udržovat bezpečnostní mechanismy a požadavky na správu všech síťových služeb.
9.2. definovat, dokumentovat, implementovat a udržovat silné šifrovací a bezpečnostní konfigurační standardy pro bezpečnou komunikaci přes veřejné i neveřejné sítě.
9.3. zajistit, aby hodiny všech příslušných systémů zpracování informací byly synchronizovány s jediným referenčním zdrojem času.
9.4. monitorovat webový provoz a perimetr sítě za účelem detekce kybernetických útoků a blokování škodlivých služeb, webových stránek a provozu.
9.5. zajistit, aby změny pravidel brány firewall byly řízeny prostřednictvím formálního procesu žádosti/schvalování a byly pravidelně kontrolovány.
9.6. omezit a řídit přístup k organizacím v souladu s osvědčenými postupy v oboru a interními obchodními potřebami.
9.7. zajistit, aby byl použit zónový model a že síť je vhodně segmentována, přičemž v každém segmentu je povolen pouze schválený přístup a provoz.
10. ŽIVOTNÍ CYKLUS VÝVOJE SOFTWARU (SDLC)
POSKYTOVATEL:
10.1. vytvořit bezpečný životní cyklus vývoje, aby bylo zajištěno, že služby jsou vyvíjeny a udržovány bezpečným způsobem.
10.2. řídit změny systémů v rámci životního cyklu vývoje pomocí formálních postupů řízení změn.
10.3. zajistit, aby vývojová, testovací a produkční prostředí byla oddělena, aby se snížilo riziko neoprávněného přístupu nebo změn produkčního prostředí.
10.4. zajistit, aby požadavky týkající se bezpečnosti informací byly zahrnuty do požadavků na nové služby nebo vylepšení stávajících služeb.
10.5. zajistit, aby testovací data byla vytvářena pečlivě a kontrolovaným způsobem a aby data z výroby nebyla používána pro testovací účely.
11. VZTAHY S DODAVATELI
POSKYTOVATEL:
11.1. definovat, dokumentovat, implementovat a udržovat zásady a postupy řízení vztahů s dodavateli, které definují základní principy a pravidla pro řízení vztahů s dodavateli, které jsou v souladu s obchodními, bezpečnostními požadavky a také platnými předpisy, osvědčenými postupy a mezinárodními standardy.
11.2. u každého dodavatele, který může přistupovat, zpracovávat nebo uchovávat data KLIENTA, POSKYTOVATEL posoudí a zdokumentuje shodu řešení dodavatele. U kritických dodavatelů, včetně dílčích zpracovatelů, se přehodnocení provádí každoročně.
11.3. zajistit, aby všechny příslušné požadavky na bezpečnost informací byly stanoveny a dohodnuty s každým dodavatelem, který může přistupovat, zpracovávat nebo ukládat údaje KLIENTA.
11.4. zajistit, aby s každým dodavatelem, který může přistupovat k údajům KLIENTŮ, zpracovávat je nebo je uchovávat, byla uzavřena platná smlouva, která definuje rozsah práce, důvěrnost, zabezpečení a technické požadavky (pokud jsou použitelné).
12. ŘÍZENÍ INCIDENTŮ BEZPEČNOSTI INFORMACÍ
POSKYTOVATEL:
12.1. definovat, dokumentovat, implementovat a udržovat formální proces pro hlášení, reakci a řízení incidentů bezpečnosti informací. To zahrnuje minimálně: - Postup pro hlášení takových incidentů/porušení příslušnému vedení v rámci organizace POSKYTOVATELE. - Proces identifikace, hodnocení a řešení incidentů bezpečnosti informací. - Jasně určený tým pro řízení a koordinaci reakce na incident. - Zdokumentovaný a otestovaný proces pro řízení reakce na incident, včetně požadavku na vedení příslušných protokolů o problémech a akcích, které zahrnují čas, kdy k incidentu došlo, osobu, která incident nahlásila, komu byl nahlášen, a jeho důsledky. - Potvrzení požadavku na včasné oznámení KLIENTA, nejpozději do 72 hodin od incidentu informační bezpečnosti a negativního dopadu na služby poskytované KLIENTOVI. Kratší oznamovací lhůta bude platit, pokud takový požadavek vychází z platné legislativy a/nebo nařízení. - Tým řízení incidentů POSKYTOVATELE bude tam, kde je to vhodné, spolupracovat s bezpečnostními zástupci KLIENTA, dokud nebude incident bezpečnosti informací uspokojivě vyřešen. - POSKYTOVATEL je povinen uvést do souladu se všemi vnitrostátními předpisy a právními předpisy týkajícími se oznamování incidentů v oblasti bezpečnosti informací orgánům činným v trestním řízení, regulačním nebo jiným vnitrostátním orgánům.
13. ŘÍZENÍ BUSINESS CONTINUITY MANAGEMENT
POSKYTOVATEL:
13.1. definovat, dokumentovat, implementovat a udržovat Program kontinuity podnikání.
13.2. identifikovat a upřednostnit kritické produkty a služby SMSBAT pomocí procesu analýzy obchodního dopadu (BIA).
13.3. používat informace a metody hodnocení rizik k vyhodnocení hrozby narušení.
13.4. na základě výsledků analýzy obchodního dopadu a hodnocení rizik vyvinout strategie reakce a obnovy ke zmírnění dopadu na kritické služby během rušivého incidentu.
13.5. vyvíjet plány kontinuity podnikání a obnovy, které jsou vhodné pro daný účel, pravidelně revidované, dostupné a snadno sledovatelné a pochopitelné.
13.6. rozvíjet krizové řízení a komunikační plány pro efektivní řízení krizí, stanovení priorit v komunikaci a způsoby, jak upozornit na incidenty.
13.7. poskytovat školení a cvičení, vyvinuté na základě požadovaných kompetencí a poskytované zaměstnancům s přímou odpovědností za kontinuitu podnikání.
13.8. neustále zlepšovat program kontinuity podnikání SMSBAT prostřednictvím pravidelného hodnocení a zohlednění jakýchkoli změn právních a regulačních požadavků.
14. SOULADU
POSKYTOVATEL:
14.1. Každý rok podstupujte pravidelné audity podle průmyslových standardů. Na písemnou žádost KLIENTA POSKYTOVATEL poskytne KLIENTOVI úplnou nebo souhrnnou kopii svých aktuálně aktuálních zpráv. POSKYTOVATEL rovněž poskytne nejpozději do deseti (10) pracovních dnů písemné odpovědi na všechny přiměřené požadavky (dotazníky, formuláře atd.) ze strany KLIENTA za účelem kontroly, zda POSKYTOVATEL plní požadavky podle těchto Podmínek.
14.2. POSKYTOVATEL v rozsahu požadovaném platným nařízením jednou ročně po oznámení alespoň 30 kalendářních dnů předem povolí KLIENTOVI, jeho příslušným auditorům nebo jiným zástupcům (každá „strana auditu“) přístup do prostor Dodavatele, záznamů a dokumentů, jak to přiměřeně vyžaduje strana provádějící audit za účelem kontroly, zda POSKYTOVATEL plní požadavky podle těchto podmínek. Jakákoli kontrola v souladu s tímto odstavcem nebude vyžadovat kontrolu jakýchkoli údajů třetích stran a auditorská strana může být požádána, aby uzavřela s POSKYTOVATELEM dohodu o mlčenlivosti, jak to může být přiměřeně nutné k respektování důvěrnosti informací, o kterých se auditorská strana může dozvědět v průběhu provádění kontroly. Každá strana ponese své vlastní náklady v souvislosti s takovým auditem. V případě, že audit odhalí nedodržení závazků DODAVATELE podle těchto Podmínek, DODAVATEL toto nedodržení napraví ve vzájemně dohodnutém termínu a ponese náklady na taková opatření.
14.3. POSKYTOVATEL si vyhrazuje právo zavést omezení a omezení týkající se zobrazování interních důvěrných informací a pořizování kopií jakýchkoli důkazů požadovaných v bodech 14.1 a 14.2.
15. BEZPEČNOSTNÍ POŽADAVKY KLIENTA
15.1. Obecná bezpečnostní opatření
POSKYTOVATEL:
15.1.1. PROVIDER definoval, zdokumentoval, implementoval a spravuje bezpečnostní doporučení pro KLIENTY využívající jeho cloudové komunikační služby. KLIENT přezkoumá uvedená doporučení a provede je v souladu se svými obchodními potřebami, technickými možnostmi a ochotou riskovat.
15.1.2. KLIENT je plně odpovědný za správné nastavení bezpečnostních opatření na své straně a nenese žádnou odpovědnost POSKYTOVATELE v případě bezpečnostního incidentu způsobeného nesprávným nastavením bezpečnostních a technických opatření nebo nedbalostí při implementaci opatření doporučených POSKYTOVATELEM.
15.2. Opatření na zmírnění bezpečnosti AIT
POSKYTOVATEL:
15.2.1. PROVIDER definoval, zdokumentoval a udržuje bezpečnostní pokyny pro prevenci případů podvodů.
15.2.2. Potenciální riziko může nastat na webových stránkách KLIENTA nebo v mobilní aplikaci integrované se systémy PROVIDER, pokud registrace nebo jiný formulář, který provádí SMS MT s OTP, není chráněn mechanismem proti botům, jako je CAPTCHA. Zranitelnosti v takových aplikacích mohou vést k útokům na uměle nafouknutý provoz (AIT). Mechanismus proti botům, jako je CAPTCHA, je nezbytný pro ochranu procesu registrace uživatele před automatickými falešnými registracemi, které provádějí SMS MT s jednorázovými hesly.
15.2.3. Když dojde k útokům AIT, provoz je odeslán do infrastruktury POSKYTOVATELE se zdrojovou IP adresou, kterou KLIENT používá v době odeslání. Obsah SMS MT provozu je k nerozeznání od skutečného provozu KLIENTA. Při absenci jakékoli zpětné vazby od KLIENTA není POSKYTOVATEL schopen rozlišit mezi AIT v KLIENTSKÉ aplikaci a skutečným provozem ze stejné aplikace. V důsledku toho nemůže POSKYTOVATEL nést odpovědnost za bezpečnost webové nebo mobilní aplikace (aplikací) KLIENTA. KLIENT dále bere na vědomí, že veškerý provoz přijatý z infrastruktury KLIENTA bude směrován k operátorům sítí a účtován KLIENTOVI v souladu s podmínkami smlouvy.
15.2.4. Blokování dotčených sítí nezabrání tomu, aby se podobný problém znovu vyskytl v povolených sítích, protože hlavní příčina problému spočívá v infrastruktuře KLIENTA. Proto je nutné, aby KLIENT adresoval všechny formuláře na svém webu nebo mobilní aplikaci, které spouštějí SMS MT OTP kódy.
15.3. Žádost o navýšení úvěrového limitu
POSKYTOVATEL:
15.3.1. Limit může být rychle vyčerpán, pokud se neřeší zranitelnosti na webu KLIENT. POSKYTOVATEL proto žádá KLIENTA o potvrzení, že si je vědom rizik a rozumí potenciálním důsledkům zvýšení úvěrového limitu.
15.3.2. Žádostí o zvýšení úvěrového limitu KLIENT uznává odpovědnost za jakoukoli potenciální ztrátu v důsledku útoků AIT a zavazuje se uhradit veškeré náklady, které v důsledku toho mohou vzniknout.