Gå til indholdet

Vilkår for informationssikkerhed

UDBYDER skal levere Tjenesterne og udføre sine forpligtelser i henhold til Aftalen i overensstemmelse med:

a. (I) disse vilkår for informationssikkerhed

b. (ii) God sikkerhedspraksis

1. DEFINITIONER

a. "Aktiv" skal betyde ethvert element eller element af hardware og software, der er eller kan bruges med det formål at skabe, få adgang til, behandle, beskytte, overvåge, lagre, hente, vise eller transmittere KLIENTdata.

b. “KLIENTdata” skal betyde enhver data, som KLIENT, eller en person, der handler på dennes vegne, leverer til UDBYDEREN eller tillader UDBYDEREN at få adgang til og behandle i forbindelse med Aftalen.

c. “Kryptering” skal betyde processen med at konvertere information eller data til en kode, især for at forhindre uautoriseret adgang.

d. “Patching” skal betyde enhver software- og operativsystemopdatering (OS), der adresserer sikkerhedssårbarheder i et program eller et produkt.

e. "Penetration Testing" betyder et autoriseret simuleret cyberangreb på et computersystem, udført for at evaluere systemets sikkerhed.

f. "UDBYDER-system" skal betyde ethvert system eller aktiv, som ejes eller administreres (helt eller delvist) til drift af eller på vegne af UDBYDER eller en af ​​dennes tilknyttede virksomheder.

g. "Sikkerhedshændelse" betyder en hændelse, hændelse og/eller et problem, der resulterede i et faktisk kompromittering af fortroligheden, integriteten og/eller tilgængeligheden af ​​KLIENTdata og/eller Tjenesten.

h. “Produktionsmiljø” betyder miljø, hvor KLIENTdata opbevares og behandles.

jeg. “Testmiljø” betyder miljø, der er stillet til rådighed for test af nyligt udviklede programmer eller softwareprodukter, før de frigives til et produktionsmiljø.

j. "Sårbarhed" skal betyde eksistensen af ​​en svaghed/defekt fundet i systemet.

k. "Kunstlig oppustet trafik" betyder al trafik genereret af automatiserede eller svigagtige midler, inklusive men ikke begrænset til bots, klikfarme eller andre midler, der er beregnet til kunstigt at øge trafikmængden.

2. ORGANISATION AF INFORMATIONSSIKKERHED

UDBYDER skal:

2.1. definere, dokumentere, implementere og vedligeholde sikkerhedspolitikker i overensstemmelse med industristandarder, mens: - at sikre, at fortroligheden, integriteten og tilgængeligheden af data og informationssystemer opretholdes. - at overholde lovmæssige og regulatoriske krav, som KLIENTEN og KLIENTdataene kan være underlagt.

2.2. gennemgå sine politikker og procedurer på årsbasis og/eller som reaktion på enhver væsentlig ændring.

2.3. sikre, at sikkerhedspolitikkerne er dokumenteret og godkendt af UDBYDERENS ledelse og offentliggjort og kommunikeret til relevante interessenter.

2.4. sikre, at de har det nødvendige antal sikkerhedsprofessionelle, som vil være ansvarlige for at koordinere og overvåge alle informationssikkerhedsfunktioner, -politikker og -procedurer.

2.5. opretholde en proces for periodisk intern og ekstern validering af effektiviteten af ​​dens sikkerhedskontrol. UDBYDER skal omgående adressere og afhjælpe eventuelle mangler i det omfang, det er nødvendigt for at overholde UDBYDERS forpligtelser i henhold til Aftalen og disse Vilkår.

3. MENNESKELIGE RESSOURCER OG SIKKERHEDSTRÆNING

UDBYDER skal:

3.1. definere, dokumentere, implementere og vedligeholde passende baggrundstjekpolitik og procedure. Kontrollerne kan omfatte den enkeltes uddannelse og tidligere ansættelseshistorik, straffeattest, referencetjek og eventuelle yderligere branchestandardkrav til baggrundstjek i overensstemmelse med relevante og gældende love og regler.

3.2. udføre baggrundsverifikationstjek på alle eksisterende og nye medarbejdere, herunder kontraktansatte.

3.3. sikre, at alle medarbejdere er bundet af en passende fortrolighedsaftale.

3.4. definere, dokumentere, implementere og vedligeholde en formel sikkerheds- og fortrolighedsuddannelse for alle medarbejdere. UDBYDEREN skal sikre, at sådanne træninger gives, før der gives tilladelse til adgang til eller brug af følsomme oplysninger og løbende derefter.

4. AKTIEFORVALTNING

UDBYDER skal:

4.1. definere, dokumentere, implementere og vedligeholde en nøjagtig og opdateret opgørelse, som registrerer al hardware og software, med oplysninger om ejer og placering af hver.

4.2. sikre, at kun softwareapplikationer og/eller operativsystemer, der i øjeblikket understøttes i og/eller modtager leverandøropdateringer, føjes til UDBYDERENS autoriserede softwarebeholdning.

4.3. sikre, at al software og hardware, der understøtter EOL (End-of-life), fjernes fra brug, og at beholdningen opdateres rettidigt.

4.4. definere regler for acceptabel brug af oplysninger og af aktiver i forbindelse med information og informationsbehandling.

4.5. sikre, at alle oplysninger er klassificeret med hensyn til lovkrav, værdi, kritikalitet og følsomhed og håndteres i overensstemmelse med deres klassifikationsmærke.

4.6. sikre korrekt håndtering og bortskaffelse af KLIENTdata fra PROVIDER-systemer: - Bortskaffelse af KLIENT-dataposter skal udføres på en sikker måde for at sikre, at data gøres uigenkaldelige. - Sletningscertifikat bør være tilgængeligt for alle ad hoc-KLIENT-anmodninger om datasletning.

5. ADGANGSKONTROL

5.1. Generelle bestemmelser

UDBYDER skal:

5.1.1. definere, dokumentere, implementere og vedligeholde adgangskontrolpolitik og -procedurer på baggrund af forretningsbehov og princippet om "mindst privilegium" og sikre, at kun autoriserede medarbejdere har adgang til PROVIDER-systemerne.

5.1.2. sikre, at der kun bruges unikke ID'er, og skal dokumentere enhver undtagelse og brug af delte konti.

5.1.3. sikre, at enhver adgang til PROVIDER-systemer, der lagrer eller behandler KLIENT-data, er underlagt Multi-Factor Authentication (MFA).

5.1.4. regelmæssigt, på mindst årlig basis, gennemgå passendeheden af ​​tildelte brugerrettigheder.

5.1.5. sikre, at brugeradministrationsaktiviteter (tilføjelse, ændring eller fjernelse af brugerrettigheder) udføres baseret på en gyldig formel anmodning og rettidigt.

5.2. SIKKERHED FJERNADGANG

UDBYDER skal:

5.2.1. sikre, at passende sæt sikkerhedskontroller er på plads for at forhindre uautoriseret fjernadgang til PROVIDER-systemer. Sådanne kontroller skal mindst omfatte: - Enhver fjernadgang til PROVIDER-systemer og/eller netværk må kun ske via VPN og Multi-Factor Authentication (MFA). - Alle data, der rejser gennem en fjernadgangsmekanisme, skal være krypteret fra slutpunktet (f.eks. den bærbare computer) til netværket. - Alle forsøg på at oprette forbindelse til PROVIDER-systemerne ved hjælp af en uautoriseret fjernadgangsmekanisme skal afvises og logges. - Mistænkelig aktivitet skal håndteres i overensstemmelse med relevante sikkerhedsprotokoller.

5.3. ADGANGSKODEHÅNDTERING

UDBYDER skal:

5.3.1. definere, dokumentere, implementere og vedligeholde adgangskodepolitik i overensstemmelse med industriens bedste praksis og interne forretningsbehov.

5.3.2. sikre, at adgangskoder er af tilstrækkelig længde, kompleksitet, ikke indeholder let gættelige ord og ændres med jævne mellemrum.

5.3.3. sikre, at brugerkonti låses ude efter et vist antal mislykkede forsøg på at indtaste den forkerte adgangskode, og at kontoen er låst ude i et vist tidsrum.

5.3.4. sikre, at adgangskoder opbevares på en sikker måde, der gør dem uforståelige, mens de forbliver gyldige.

6. KRYPTOGRAFI

UDBYDER skal:

6.1. definere, dokumentere, implementere og vedligeholde relevante politikker og procedurer, der regulerer brugen af ​​passende kryptografiske kontroller og nøglehåndteringsprocesserne, der fastsætter reglerne for brug, beskyttelse og levetid for kryptografiske nøgler og nøglemateriale.

6.2. Sørg for, at KLIENTdata er beskyttet under transport eller i hvile ved hjælp af sikre protokoller (f.eks. TLS 1.2, AES-256 eller andre industrianbefalede standarder).

6.3. administrere alle krypteringsnøgler i et nøglestyringssystem, der ejes og drives af UDBYDER.

6.4. sikre korrekt adskillelse af opgaver inden for krypteringsnøglehåndteringsprocessen.

7. FYSISK OG MILJØSIKKERHED

UDBYDER skal:

7.1. definere, dokumentere, implementere og vedligeholde fysiske sikkerhedspolitikker og -procedurer for at forhindre uautoriseret fysisk adgang, beskadigelse og interferens til organisationens informations- og informationsbehandlingsfaciliteter, der gemmer KLIENTdata.

7.2. implementere fysiske og miljømæssige sikkerhedsprocesser og kontroller i overensstemmelse med definerede politikker og procedurer. UDBYDER kan outsource nogle eller alle fysiske sikkerhedskontroller til en 3. part, og den skal sikre, at kontrol på samme niveau er på plads og skal regelmæssigt vurdere 3. part for overholdelse.

7.3. sikre, at sikre områder er beskyttet af passende adgangskontroller, og at kun autoriseret personale har adgang.

7.4. sikre, at alle besøgende er autoriserede, har korrekt identifikation og kun får adgang til de nødvendige områder.

7.5. sikre, at låseskabe bruges til at sikre fortrolige oplysninger.

7.6. sikre, at udstyr, der indeholder lagermedier, er sikkert overskrevet før bortskaffelse eller genbrug.

7.7. sikre en klar skrivebordspolitik, og der anvendes en klar skærmpolitik for informationsbehandlingsfaciliteter.

8. DRIFTSSIKKERHED

UDBYDER skal:

8.1. definere, dokumentere, implementere og vedligeholde sikkerhedsoperationsprocedurer for backup, endpoint-beskyttelse, sårbarhedshåndtering, antivirus og antimalware, patching, systemhærdning og logning.

8.2. udføre sårbarhedsvurderinger og penetrationstests på regelmæssig basis i overensstemmelse med branchens bedste praksis og interne forretningsbehov. UDBYDER skal også udføre en risikovurdering efterfulgt af en udbedring af identificerede problemer.

8.3. sikre, at sårbarheder håndteres i overensstemmelse med defineret prioritering og inden for de nødvendige tidsfrister for løsning.

8.4. anvende patches og opgraderinger til alle niveauer af infrastruktur i overensstemmelse med defineret prioritering.

8.5. sikre, at slutpunkter, servere, lagerenheder, mail/webgateways og mailtrafik er beskyttet med aktive anti-malware-værktøjer, hvor det er teknisk muligt at opdage og hvor det er muligt forhindre malwareinfektioner.

8.6. oprette sikkerhedskopier af information, software og systembilleder og skal teste disse regelmæssigt i overensstemmelse med branchens bedste praksis og interne forretningsbehov.

8.7. sikre, at der udføres passende logning, med tilstrækkelige detaljer og vedligeholdes i overensstemmelse med definerede opbevaringsperioder, samtidig med at den er beskyttet mod manipulation og uautoriseret adgang.

8.8. definere, dokumentere, implementere og vedligeholde regler for brugernes installation af software.

8.9. definere, dokumentere, implementere og vedligeholde standarder for sikker konfiguration af slutpunkter, herunder, men ikke begrænset til, bærbare computere, servere, virtuelle maskiner, databaser og netværksenheder for at beskytte mod tab af fortrolighed, integritet og tilgængelighed af KLIENTdata i hvile og under transport.

9. NETVÆRKS- OG KOMMUNIKATIONSSIKKERHED

UDBYDER skal:

9.1. definere, dokumentere, implementere og vedligeholde sikkerhedsmekanismer og styringskrav for alle netværkstjenester.

9.2. definere, dokumentere, implementere og vedligeholde stærke krypterings- og sikkerhedskonfigurationsstandarder for at sikre kommunikation over offentlige og ikke-offentlige netværk.

9.3. sikre, at urene for alle relevante informationsbehandlingssystemer er synkroniseret med en enkelt referencetidskilde.

9.4. overvåge webtrafikken og netværkets perimeter for at opdage cyberangreb og blokere ondsindede tjenester, websider og trafik.

9.5. sikre, at ændringer af firewall-regler kontrolleres gennem en formel anmodnings-/godkendelsesproces og regelmæssigt gennemgås.

9.6. begrænse og kontrollere adgangen til organisationerne i overensstemmelse med industriens bedste praksis og interne forretningsbehov.

9.7. sikre, at zoneinddelingsmodellen anvendes, og at netværket er passende segmenteret, mens kun godkendt adgang og trafik er tilladt i hvert segment.

10. SOFTWAREUDVIKLING LIVSCYKLUS (SDLC)

UDBYDER skal:

10.1. etablere en sikker udviklingslivscyklus for at sikre, at tjenester udvikles og vedligeholdes på en sikker måde.

10.2. styre ændringer af systemer inden for udviklingslivscyklussen ved formelle ændringskontrolprocedurer.

10.3. sikre, at udviklings-, test- og produktionsmiljøerne er adskilt for at reducere risikoen for uautoriseret adgang eller ændringer i produktionsmiljøet.

10.4. sikre, at informationssikkerhedsrelaterede krav er inkluderet i kravene til nye tjenester eller forbedringer af eksisterende tjenester.

10.5. sikre, at testdata oprettes omhyggeligt og kontrolleret, og at produktionsdata ikke bruges til testformål.

11. LEVERANDØRRELATIONER

UDBYDER skal:

11.1. definere, dokumentere, implementere og vedligeholde politikker og procedurer for styring af leverandørforhold, som definerer grundlæggende principper og regler for styring af leverandørforhold, der overholder forretningsmæssige, sikkerhedskrav samt gældende regler, bedste praksis og internationale standarder.

11.2. for hver leverandør, der kan få adgang til, behandle eller gemme KLIENTdata, skal LEVERANDØREN vurdere og dokumentere overholdelse af leverandørens løsning. For kritiske leverandører, herunder underdatabehandlere, skal der foretages revurdering på årsbasis.

11.3. sikre, at alle relevante informationssikkerhedskrav skal etableres og aftales med hver leverandør, der kan få adgang til, behandle eller opbevare KLIENTdata.

11.4. sikre, at en gyldig aftale, der definerer arbejdsomfanget, fortroligheden, sikkerheden og tekniske krav (hvis relevant) til forretningsforholdet er på plads med hver leverandør, der kan få adgang til, behandle eller gemme KLIENTdata.

12. HYNDELSE AF INFORMATIONSSIKKERHED

UDBYDER skal:

12.1. definere, dokumentere, implementere og vedligeholde en formel proces til rapportering, reaktion på og håndtering af informationssikkerhedshændelser. Dette skal som minimum omfatte: - En procedure for rapportering af sådanne hændelser/brud til passende ledelse i LEVERANDØR-organisationen. - En proces til at identificere, vurdere og håndtere informationssikkerhedshændelser. - Et klart udpeget team til at styre og koordinere reaktionen på en hændelse. - En dokumenteret og afprøvet proces til styring af reaktionen på en hændelse, herunder kravet om at føre passende problemer og handlingslogfiler for at inkludere det tidspunkt, hvor hændelsen opstod, den person, der rapporterede hændelsen, til hvem den blev rapporteret og virkningerne heraf. - Kravet om at underrette KLIENT rettidigt og senest 72 timer efter informationssikkerhedshændelsen og negativ indvirkning på tjenester leveret til KLIENT er bekræftet. Kortere anmeldelsesfrist vil gælde, hvis et sådant krav er baseret på gældende lovgivning og/eller regulering. - PROVIDER hændelsesstyringsteamet skal, hvor det er relevant, arbejde sammen med KLIENTENS sikkerhedsrepræsentanter, indtil informationssikkerhedshændelsen er blevet løst tilfredsstillende. - UDBYDER skal tilpasse sig alle de nationale forskrifter og love vedrørende underretning af hændelser vedrørende informationssikkerhed over for de retshåndhævende myndigheder, tilsynsmyndigheder eller andre nationale myndigheder.

13. VIRKSOMHEDS KONTINUITETSLEDELSE

UDBYDER skal:

13.1. definere, dokumentere, implementere og vedligeholde et Business Continuity Program.

13.2. identificere og prioritere SMSBAT's kritiske produkter og tjenester ved hjælp af en Business Impact Analysis (BIA) proces.

13.3. bruge risikovurderingsoplysninger og metoder til at evaluere truslen om forstyrrelse.

13.4. baseret på resultaterne af Business Impact Analysis og Risk Assessment, udvikle respons- og genopretningsstrategier for at afbøde påvirkningen af ​​de kritiske tjenester under en forstyrrende hændelse.

13.5. udvikle forretningskontinuitets- og genopretningsplaner, der er egnede til formålet, regelmæssigt gennemgået, tilgængelige og enkle at følge og forstå.

13.6. udvikle krisestyrings- og kommunikationsplaner for effektiv krisestyring, prioritering i kommunikation og måder at alarmere hændelser på.

13.7. levere træning og motion, udviklet mod krævede kompetencer og leveret til medarbejdere med et direkte forretningskontinuitetsansvar.

13.8. løbende forbedre SMSBAT's Business Continuity Program gennem regelmæssig evaluering og under hensyntagen til eventuelle ændringer i lov- og reguleringskrav.

14. OVERHOLDELSE

UDBYDER skal:

14.1. Gennemgå regelmæssige audits i forhold til industristandarder på årsbasis. På KLIENT's skriftlige anmodning skal UDBYDEREN give KLIENT en fuldstændig eller sammenfattende kopi, alt efter hvad der er relevant, af sine på det tidspunkt aktuelle rapporter. UDBYDER skal også senest ti (10) arbejdsdage give skriftlige svar på alle rimelige anmodninger (spørgeskemaer, formularer osv.) fremsat af KUNDEN for at kontrollere, at LEVERANDØREN overholder kravene i disse Vilkår.

14.2. I det omfang det kræves af gældende regulering, skal LEVERANDØREN én gang om året efter mindst 30 kalenderdages forudgående meddelelse tillade KLIENT, dennes respektive revisorer eller andre agenter (hver "revisionspart") at få adgang til Leverandørens lokaler, optegnelser og dokumenter, som med rimelighed kræves af Revisionsparten for at kontrollere, at LEVERANDØREN overholder kravene i disse Vilkår. Enhver gennemgang i overensstemmelse med dette stykke kræver ikke gennemgang af nogen tredjepartsdata, og revisionsparten kan blive forpligtet til at indgå en fortrolighedsaftale med UDBYDER, som det med rimelighed kan være nødvendigt for at respektere fortroligheden af ​​de oplysninger, som revisionsparten kan blive bekendt med i løbet af gennemgangen. Hver part afholder sine egne omkostninger i forbindelse med sådan revision. I tilfælde af at revisionen afslører manglende overholdelse af LEVERANDØRens forpligtelser i henhold til disse vilkår, skal LEVERANDØREN rette en sådan manglende overholdelse inden for gensidigt aftalt tidsplan og afholde omkostningerne ved sådanne handlinger.

14.3. UDBYDEREN forbeholder sig retten til at pålægge begrænsninger og restriktioner for at vise intern fortrolig information og tage kopier af ethvert bevis, der anmodes om i punkt 14.1 og 14.2.

15. KUNDENS SIKKERHEDSKRAV

15.1. Generelle sikkerhedsforanstaltninger

UDBYDER skal:

15.1.1. PROVIDER har defineret, dokumenteret, implementeret og vedligeholder sikkerhedsanbefalinger for KLIENTER, der bruger deres cloud-kommunikationstjenester. KLIENT skal gennemgå nævnte anbefalinger og implementere dem i overensstemmelse med dens forretningsbehov, tekniske kapacitet og risikovillighed.

15.1.2. KLIENT er fuldt ud ansvarlig for korrekt opsætning af sikkerhedsforanstaltninger på deres side og skal ikke pålægge LEVERANDØREN noget ansvar i tilfælde af en sikkerhedshændelse som følge af ukorrekt opsætning af sikkerhedsforanstaltninger og tekniske foranstaltninger eller forsømmelighed med at implementere foranstaltninger som anbefalet af UDBYDER.

15.2. AIT sikkerhedsreducerende foranstaltninger

UDBYDER skal:

15.2.1. PROVIDER har defineret, dokumenteret og vedligeholder sikkerhedsretningslinjer for forebyggelse af svigsager.

15.2.2. Potentiel risiko kan opstå på KLIENT's hjemmeside eller mobilapplikation integreret med PROVIDER Systems, hvis en registrering eller anden form, der udfører SMS MT med OTP'er, ikke er beskyttet med en anti-bot-mekanisme som CAPTCHA. Sårbarheder i sådanne applikationer kan føre til kunstigt opustede trafikangreb (AIT). En anti-bot-mekanisme såsom CAPTCHA er essentiel for at beskytte brugertilmeldingsflowet mod automatiske falske registreringer, der udfører SMS MT med OTP'er.

15.2.3. Når AIT-angreb forekommer, sendes trafik til UDBYDERENS infrastruktur med den kilde-IP-adresse, der blev brugt af KLIENT på tidspunktet for indsendelsen. SMS MT-indholdet i trafikken kan ikke skelnes fra KLIENTENS ægte trafik. I mangel af feedback fra KLIENT, er UDBYDER ikke i stand til at skelne mellem AIT på KLIENT's applikation og ægte trafik fra den samme applikation. Som følge heraf kan LEVERANDØREN ikke holdes ansvarlig for sikkerheden på KLIENTENS web eller mobilapplikation(er). KLIENT anerkender endvidere, at al trafik modtaget fra KLIENT’s infrastruktur skal dirigeres til netværksoperatører og debiteres KLIENT i overensstemmelse med vilkårene i Aftalen.

15.2.4. Blokering af påvirkede netværk ville ikke forhindre et lignende problem i at opstå igen på aktiverede netværk, da årsagen til problemet ligger i KLIENTENS infrastruktur. Derfor er det bydende nødvendigt for KLIENT at adressere alle formularer på deres hjemmeside eller mobilapplikation, der udfører SMS MT OTP-koder.

15.3. Anmodning om at forhøje kreditgrænsen

UDBYDER skal:

15.3.1. Grænsen kan hurtigt opbruges, hvis sårbarhederne på KLIENT-webstedet ikke bliver løst. Derfor anmoder LEVERANDØREN KLIENT om bekræftelse af bevidsthed om risici og forståelse for de potentielle konsekvenser af at øge kreditgrænsen.

15.3.2. Ved at anmode om en forhøjelse af kreditgrænsen anerkender KLIENTEN ansvaret for ethvert potentielt tab som følge af AIT-angreb og forpligter sig til at betale for eventuelle udgifter, der måtte opstå som følge heraf.