Bedingungen zur Informationssicherheit
Der ANBIETER stellt die Dienste bereit und erfüllt seine Verpflichtungen aus der Vereinbarung gemäß:
a. (I) diese Informationssicherheitsbedingungen
b. (ii) Gute Sicherheitspraxis
1. DEFINITIONEN
a. „Vermögenswert“ bezeichnet jedes Element oder Element der Hardware und Software, das zum Zweck der Erstellung, des Zugriffs, der Verarbeitung, des Schutzes, der Überwachung, der Speicherung, des Abrufs, der Anzeige oder der Übertragung von KUNDENdaten verwendet wird oder verwendet werden kann.
B. „KUNDENDATEN“ bezeichnet alle Daten, die der KUNDE oder eine in seinem Namen handelnde Person dem ANBIETER im Zusammenhang mit der Vereinbarung zur Verfügung stellt oder dem ANBIETER den Zugriff und die Verarbeitung gestattet.
C. „Verschlüsselung“ bezeichnet den Vorgang der Umwandlung von Informationen oder Daten in einen Code, insbesondere um unbefugten Zugriff zu verhindern.
D. „Patching“ bezeichnet alle Software- und Betriebssystem-Updates, die Sicherheitslücken innerhalb eines Programms oder Produkts beheben.
e. „Penetrationstest“ bezeichnet einen autorisierten simulierten Cyberangriff auf ein Computersystem, der durchgeführt wird, um die Sicherheit des Systems zu bewerten.
F. „ANBIETER-System“ bezeichnet jedes System oder jeden Vermögenswert, der (ganz oder teilweise) Eigentum des ANBIETER oder eines seiner verbundenen Unternehmen ist oder von diesem oder im Namen des ANBIETERs oder eines seiner verbundenen Unternehmen betrieben wird.
G. „Sicherheitsvorfall“ bezeichnet einen Vorfall, ein Ereignis und/oder ein Problem, das zu einer tatsächlichen Gefährdung der Vertraulichkeit, Integrität und/oder Verfügbarkeit der Daten des KUNDEN und/oder des Dienstes geführt hat.
H. „Produktionsumgebung“ bezeichnet eine Umgebung, in der KUNDENdaten gespeichert und verarbeitet werden.
ich. „Testumgebung“ bezeichnet eine Umgebung, die zum Testen kürzlich entwickelter Programme oder Softwareprodukte vor der Veröffentlichung in einer Produktionsumgebung zur Verfügung gestellt wird.
J. „Schwachstelle“ bezeichnet das Vorhandensein einer Schwachstelle/eines Fehlers im System.
k. „Künstlich erhöhter Datenverkehr“ bezeichnet jeglichen Datenverkehr, der durch automatisierte oder betrügerische Mittel generiert wird, einschließlich, aber nicht beschränkt auf Bots, Klickfarmen oder andere Mittel, die darauf abzielen, das Datenverkehrsvolumen künstlich zu erhöhen.
2. ORGANISATION DER INFORMATIONSSICHERHEIT
Der ANBIETER muss:
2.1. Definieren, dokumentieren, implementieren und pflegen Sie Sicherheitsrichtlinien, die den Industriestandards entsprechen, während: - Sicherstellung, dass die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationssystemen gewahrt bleibt. - Einhaltung gesetzlicher und behördlicher Anforderungen, denen der KUNDE und die KUNDENdaten unterliegen können.
2.2. Überprüfen Sie seine Richtlinien und Verfahren jährlich und/oder als Reaktion auf wesentliche Änderungen.
2.3. Stellen Sie sicher, dass die Sicherheitsrichtlinien dokumentiert und von der Geschäftsführung des ANBIETERs genehmigt sowie veröffentlicht und den relevanten Interessengruppen kommuniziert werden.
2.4. Stellen Sie sicher, dass sie über die erforderliche Anzahl von Sicherheitsexperten verfügen, die für die Koordinierung und Überwachung aller Informationssicherheitsfunktionen, -richtlinien und -verfahren verantwortlich sind.
2.5. Aufrechterhaltung eines Prozesses zur regelmäßigen internen und externen Validierung der Wirksamkeit seiner Sicherheitskontrollen. Der ANBIETER wird etwaige Mängel umgehend beheben und beheben, soweit dies zur Erfüllung der Verpflichtungen des ANBIETER aus der Vereinbarung und diesen Bedingungen erforderlich ist.
3. PERSONAL- UND SICHERHEITSSCHULUNG
Der ANBIETER muss:
3.1. Definieren, dokumentieren, implementieren und pflegen Sie geeignete Richtlinien und Verfahren zur Hintergrundüberprüfung. Die Überprüfungen können die Ausbildung und den bisherigen Beschäftigungsverlauf der Person, das Vorstrafenregister, Referenzprüfungen und alle zusätzlichen branchenüblichen Hintergrundüberprüfungsanforderungen gemäß relevanten und geltenden Gesetzen und Vorschriften umfassen.
3.2. Führen Sie Hintergrundüberprüfungen aller bestehenden und neuen Mitarbeiter durch, einschließlich Vertragsmitarbeitern.
3.3. Stellen Sie sicher, dass alle Mitarbeiter an eine entsprechende Vertraulichkeitsvereinbarung gebunden sind.
3.4. Definieren, dokumentieren, implementieren und pflegen Sie eine formelle Sicherheits- und Datenschutzschulung für alle Mitarbeiter. Der ANBIETER stellt sicher, dass solche Schulungen vor der Erteilung der Erlaubnis zum Zugriff auf oder zur Nutzung sensibler Informationen und danach kontinuierlich durchgeführt werden.
4. VERMÖGENSVERWALTUNG
Der ANBIETER muss:
4.1. Definieren, dokumentieren, implementieren und pflegen Sie ein genaues und aktuelles Inventar, das die gesamte Hardware und Software mit Angaben zu Eigentümer und Standort erfasst.
4.2. Stellen Sie sicher, dass nur Softwareanwendungen und/oder Betriebssysteme, die derzeit unterstützt werden und/oder Updates von Anbietern erhalten, zum autorisierten Softwarebestand des ANBIETERs hinzugefügt werden.
4.3. Stellen Sie sicher, dass sämtliche Software und Hardware, die EOL (End-of-Life) unterstützt, außer Betrieb genommen wird und der Bestand rechtzeitig aktualisiert wird.
4.4. Definieren Sie Regeln für die akzeptable Nutzung von Informationen und Vermögenswerten im Zusammenhang mit Informationen und Informationsverarbeitung.
4.5. Stellen Sie sicher, dass alle Informationen hinsichtlich rechtlicher Anforderungen, Wert, Kritikalität und Sensibilität klassifiziert und entsprechend ihrer Klassifizierungskennzeichnung behandelt werden.
4.6. Gewährleistung einer ordnungsgemäßen Handhabung und Entsorgung von KUNDEN-Daten aus ANBIETER-Systemen: - Die Entsorgung von KUNDEN-Datensätzen muss auf sichere Weise erfolgen, um sicherzustellen, dass die Daten unwiederbringlich sind. - Für alle Ad-hoc-Anfragen des KUNDEN zur Datenlöschung sollte ein Löschzertifikat verfügbar sein.
5. ZUGRIFFSKONTROLLE
5.1. Allgemeine Bestimmungen
Der ANBIETER muss:
5.1.1. Definieren, dokumentieren, implementieren und pflegen Sie Zugriffskontrollrichtlinien und -verfahren auf der Grundlage der Geschäftsanforderungen und des „Least Privilege“-Prinzips und stellen Sie sicher, dass nur autorisierte Mitarbeiter Zugriff auf die Systeme des ANBIETERS haben.
5.1.2. Stellen Sie sicher, dass nur eindeutige IDs verwendet werden, und dokumentieren Sie alle Ausnahmen und die Nutzung gemeinsamer Konten.
5.1.3. Stellen Sie sicher, dass jeder Zugriff auf ANBIETER-Systeme, die KUNDEN-Daten speichern oder verarbeiten, einer Multi-Faktor-Authentifizierung (MFA) unterliegt.
5.1.4. Überprüfen Sie regelmäßig, mindestens einmal jährlich, die Angemessenheit der zugewiesenen Benutzerrechte.
5.1.5. Stellen Sie sicher, dass Benutzerverwaltungsaktivitäten (Hinzufügen, Ändern oder Entfernen von Benutzerrechten) auf der Grundlage einer gültigen formellen Anfrage und rechtzeitig durchgeführt werden.
5.2. SICHERHEIT DES FERNZUGRIFFS
Der ANBIETER muss:
5.2.1. Stellen Sie sicher, dass geeignete Sicherheitskontrollen eingerichtet sind, um unbefugten Fernzugriff auf die Systeme des ANBIETERS zu verhindern. Zu diesen Kontrollen gehören mindestens: - Jeglicher Fernzugriff auf die Systeme und/oder das Netzwerk des ANBIETERS erfolgt ausschließlich über VPN und Multi-Faktor-Authentifizierung (MFA). - Alle Daten, die über einen Fernzugriffsmechanismus übertragen werden, müssen vom Endpunkt (z. B. Laptop) zum Netzwerk verschlüsselt werden. - Alle Versuche, über einen nicht autorisierten Fernzugriffsmechanismus eine Verbindung zu den Systemen des ANBIETER herzustellen, werden zurückgewiesen und protokolliert. - Verdächtige Aktivitäten werden im Einklang mit den einschlägigen Sicherheitsprotokollen behandelt.
5.3. PASSWORTVERWALTUNG
Der ANBIETER muss:
5.3.1. Definieren, dokumentieren, implementieren und pflegen Sie Passwortrichtlinien im Einklang mit branchenüblichen Best Practices und internen Geschäftsanforderungen.
5.3.2. Stellen Sie sicher, dass Passwörter ausreichend lang und komplex sind, keine leicht zu erratenden Wörter enthalten und in regelmäßigen Abständen geändert werden.
5.3.3. Stellen Sie sicher, dass Benutzerkonten nach einer bestimmten Anzahl erfolgloser Versuche, ein falsches Passwort einzugeben, gesperrt werden und dass das Konto für einen bestimmten Zeitraum gesperrt wird.
5.3.4. Stellen Sie sicher, dass Passwörter auf sichere Weise gespeichert werden, sodass sie unleserlich bleiben, während sie gültig bleiben.
6. KRYPTOGRAPHIE
Der ANBIETER muss:
6.1. Definieren, dokumentieren, implementieren und pflegen Sie relevante Richtlinien und Verfahren, die die Verwendung geeigneter kryptografischer Kontrollen und der Schlüsselverwaltungsprozesse regeln und die Regeln für die Verwendung, den Schutz und die Lebensdauer kryptografischer Schlüssel und Schlüsselmaterial festlegen.
6.2. Stellen Sie sicher, dass KUNDENdaten während der Übertragung oder im Ruhezustand durch sichere Protokolle (z. B. TLS 1.2, AES-256 oder andere von der Industrie empfohlene Standards) geschützt sind.
6.3. Verwalten Sie alle Verschlüsselungsschlüssel in einem Schlüsselverwaltungssystem, das dem ANBIETER gehört und von ihm betrieben wird.
6.4. Stellen Sie eine ordnungsgemäße Aufgabentrennung innerhalb des Verschlüsselungsschlüsselverwaltungsprozesses sicher.
7. PHYSIKALISCHE UND UMWELTSICHERHEIT
Der ANBIETER muss:
7.1. Definieren, dokumentieren, implementieren und pflegen Sie physische Sicherheitsrichtlinien und -verfahren, um unbefugten physischen Zugriff, Schäden und Störungen der Informationen und Informationsverarbeitungseinrichtungen der Organisation, in denen KUNDENdaten gespeichert sind, zu verhindern.
7.2. Implementierung physischer und umgebungsbezogener Sicherheitsprozesse und -kontrollen im Einklang mit definierten Richtlinien und Verfahren. Der ANBIETER kann einige oder alle physischen Sicherheitskontrollen an einen Dritten auslagern und muss sicherstellen, dass Kontrollen auf demselben Niveau vorhanden sind, und den Dritten regelmäßig auf Einhaltung prüfen.
7.3. Stellen Sie sicher, dass sichere Bereiche durch geeignete Zutrittskontrollen geschützt sind und nur autorisiertem Personal Zutritt gewährt wird.
7.4. Stellen Sie sicher, dass alle Besucher autorisiert sind, über einen ordnungsgemäßen Ausweis verfügen und nur Zutritt zu den erforderlichen Bereichen erhalten.
7.5. Stellen Sie sicher, dass zur Sicherung vertraulicher Informationen Schließschränke verwendet werden.
7.6. Stellen Sie sicher, dass Geräte mit Speichermedien vor der Entsorgung oder Wiederverwendung sicher überschrieben werden.
7.7. Stellen Sie sicher, dass für Einrichtungen zur Informationsverarbeitung eine klare Schreibtischrichtlinie und eine klare Bildschirmrichtlinie angewendet wird.
8. BETRIEBSICHERHEIT
Der ANBIETER muss:
8.1. Definieren, dokumentieren, implementieren und pflegen Sie Sicherheitsbetriebsabläufe für Backup, Endpunktschutz, Schwachstellenmanagement, Antivirus und Antimalware, Patching, Systemhärtung und Protokollierung.
8.2. Führen Sie regelmäßig Schwachstellenbewertungen und Penetrationstests gemäß den Best Practices der Branche und internen Geschäftsanforderungen durch. Der ANBIETER führt außerdem eine Risikobewertung durch, gefolgt von einer Behebung der festgestellten Probleme.
8.3. Stellen Sie sicher, dass Schwachstellen gemäß der definierten Priorisierung und innerhalb der erforderlichen Lösungsfristen behandelt werden.
8.4. Wenden Sie Patches und Upgrades gemäß der festgelegten Priorisierung auf allen Ebenen der Infrastruktur an.
8.5. Stellen Sie sicher, dass Endpunkte, Server, Speichergeräte, E-Mail-/Web-Gateways und E-Mail-Verkehr mit aktiven Anti-Malware-Tools geschützt werden, sofern dies technisch möglich ist, um Malware-Infektionen zu erkennen und wo immer möglich zu verhindern.
8.6. Erstellen Sie Sicherungskopien von Informationen, Software und Systemabbildern und testen Sie diese regelmäßig im Einklang mit branchenüblichen Best Practices und internen Geschäftsanforderungen.
8.7. Stellen Sie sicher, dass eine ordnungsgemäße Protokollierung mit ausreichenden Details durchgeführt und gemäß definierten Aufbewahrungsfristen aufrechterhalten wird, während Sie gleichzeitig vor Manipulation und unbefugtem Zugriff geschützt sind.
8.8. Regeln definieren, dokumentieren, implementieren und pflegen, die die Installation von Software durch Benutzer regeln.
8.9. Definieren, dokumentieren, implementieren und pflegen Sie Standards für die sichere Konfiguration von Endpunkten, einschließlich, aber nicht beschränkt auf Laptops, Server, virtuelle Maschinen, Datenbanken und Netzwerkgeräte, um vor dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von KUNDENdaten im Ruhezustand und während der Übertragung zu schützen.
9. NETZWERK- UND KOMMUNIKATIONSSICHERHEIT
Der ANBIETER muss:
9.1. Definieren, dokumentieren, implementieren und pflegen Sie Sicherheitsmechanismen und Verwaltungsanforderungen für alle Netzwerkdienste.
9.2. Definieren, dokumentieren, implementieren und pflegen Sie strenge Verschlüsselungs- und Sicherheitskonfigurationsstandards, um die Kommunikation über öffentliche und nicht öffentliche Netzwerke zu sichern.
9.3. Stellen Sie sicher, dass die Uhren aller relevanten Informationsverarbeitungssysteme mit einer einzigen Referenzzeitquelle synchronisiert sind.
9.4. Überwachen Sie den Webverkehr und den Netzwerkperimeter, um Cyberangriffe zu erkennen und schädliche Dienste, Webseiten und Datenverkehr zu blockieren.
9.5. Stellen Sie sicher, dass Änderungen an Firewall-Regeln durch einen formellen Antrags-/Genehmigungsprozess kontrolliert und regelmäßig überprüft werden.
9.6. Beschränken und kontrollieren Sie den Zugriff auf die Organisationen im Einklang mit branchenüblichen Best Practices und internen Geschäftsanforderungen.
9.7. Stellen Sie sicher, dass das Zonenmodell angewendet wird und dass das Netzwerk entsprechend segmentiert ist, während in jedem Segment nur genehmigter Zugriff und Datenverkehr zulässig sind.
10. SOFTWARE-ENTWICKLUNGS-LEBENSZYKLUS (SDLC)
Der ANBIETER muss:
10.1. Richten Sie einen sicheren Entwicklungslebenszyklus ein, um sicherzustellen, dass Dienste auf sichere Weise entwickelt und gewartet werden.
10.2. Kontrollieren Sie Änderungen an Systemen innerhalb des Entwicklungslebenszyklus durch formale Änderungskontrollverfahren.
10.3. Stellen Sie sicher, dass die Entwicklungs-, Test- und Produktionsumgebungen getrennt sind, um das Risiko unbefugter Zugriffe oder Änderungen an der Produktionsumgebung zu verringern.
10.4. Stellen Sie sicher, dass Anforderungen im Zusammenhang mit der Informationssicherheit in die Anforderungen für neue Dienste oder Verbesserungen bestehender Dienste einbezogen werden.
10.5. Stellen Sie sicher, dass Testdaten sorgfältig und kontrolliert erstellt werden und dass Produktionsdaten nicht für Testzwecke verwendet werden.
11. LIEFERANTENBEZIEHUNGEN
Der ANBIETER muss:
11.1. Definieren, dokumentieren, implementieren und pflegen Sie Richtlinien und Verfahren für das Lieferantenbeziehungsmanagement, die grundlegende Prinzipien und Regeln für die Verwaltung von Lieferantenbeziehungen definieren, die den Geschäfts- und Sicherheitsanforderungen sowie den geltenden Vorschriften, Best Practices und internationalen Standards entsprechen.
11.2. Für jeden Lieferanten, der auf KUNDENdaten zugreifen, diese verarbeiten oder speichern darf, muss der ANBIETER die Konformität der Lösung des Lieferanten bewerten und dokumentieren. Für kritische Lieferanten, einschließlich Unterauftragsverarbeiter, muss jährlich eine Neubewertung durchgeführt werden.
11.3. Stellen Sie sicher, dass alle relevanten Informationssicherheitsanforderungen festgelegt und mit jedem Lieferanten vereinbart werden, der auf KUNDENdaten zugreifen, diese verarbeiten oder speichern darf.
11.4. Stellen Sie sicher, dass mit jedem Lieferanten, der auf KUNDENdaten zugreifen, diese verarbeiten oder speichern darf, eine gültige Vereinbarung besteht, die den Arbeitsumfang, die Vertraulichkeit, die Sicherheit und die technischen Anforderungen (falls zutreffend) der Geschäftsbeziehung festlegt.
12. Management von Informationssicherheitsvorfällen
Der ANBIETER muss:
12.1. Definieren, dokumentieren, implementieren und pflegen Sie einen formellen Prozess für die Meldung, Reaktion auf und Verwaltung von Informationssicherheitsvorfällen. Dazu gehören mindestens: - Ein Verfahren zur Meldung solcher Vorfälle/Verstöße an das zuständige Management innerhalb der ANBIETER-Organisation. - Ein Prozess zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsvorfällen. - Ein klar benanntes Team für die Verwaltung und Koordinierung der Reaktion auf einen Vorfall. - Ein dokumentierter und getesteter Prozess zur Verwaltung der Reaktion auf einen Vorfall, einschließlich der Anforderung, geeignete Problem- und Aktionsprotokolle zu führen, die den Zeitpunkt des Vorfalls, die Person, die den Vorfall gemeldet hat, an wen er gemeldet wurde und die Auswirkungen enthalten. - Die Verpflichtung, den KUNDEN rechtzeitig und spätestens 72 Stunden nach Bestätigung des Informationssicherheitsvorfalls und der negativen Auswirkungen auf die für den KUNDEN erbrachten Dienstleistungen zu benachrichtigen. Es gilt eine kürzere Benachrichtigungsfrist, wenn diese Anforderung auf geltenden Gesetzen und/oder Vorschriften beruht. - Das Incident-Management-Team des ANBIETER arbeitet gegebenenfalls mit den Sicherheitsbeauftragten des KUNDEN zusammen, bis der Informationssicherheitsvorfall zufriedenstellend gelöst wurde. - Der ANBIETER muss alle nationalen Vorschriften und Gesetze zur Meldung von Informationssicherheitsvorfällen an die Strafverfolgungsbehörden, Regulierungsbehörden oder andere nationale Behörden einhalten.
13. GESCHÄFTSKONTINUITÄTSMANAGEMENT
Der ANBIETER muss:
13.1. Definieren, dokumentieren, implementieren und pflegen Sie ein Geschäftskontinuitätsprogramm.
13.2. Identifizieren und priorisieren Sie die kritischen Produkte und Dienstleistungen des SMSBAT mithilfe eines Business Impact Analysis (BIA)-Prozesses.
13.3. Verwenden Sie Informationen und Methoden zur Risikobewertung, um die Gefahr einer Störung einzuschätzen.
13.4. Entwickeln Sie auf der Grundlage der Ergebnisse der Geschäftsauswirkungsanalyse und Risikobewertung Reaktions- und Wiederherstellungsstrategien, um die Auswirkungen auf die kritischen Dienste während eines störenden Vorfalls abzuschwächen.
13.5. Entwickeln Sie Geschäftskontinuitäts- und Wiederherstellungspläne, die zweckmäßig, regelmäßig überprüft, verfügbar und einfach zu befolgen und zu verstehen sind.
13.6. Entwickeln Sie Krisenmanagement- und Kommunikationspläne für eine effektive Krisenbewältigung, Priorisierung in der Kommunikation und Möglichkeiten zur Alarmierung bei Vorfällen.
13.7. Bereitstellung von Schulungen und Übungen, die anhand der erforderlichen Kompetenzen entwickelt und an Mitarbeiter mit direkter Verantwortung für die Geschäftskontinuität weitergegeben werden.
13.8. Kontinuierliche Verbesserung des Geschäftskontinuitätsprogramms des SMSBAT durch regelmäßige Evaluierung und Berücksichtigung etwaiger Änderungen der gesetzlichen und behördlichen Anforderungen.
14. COMPLIANCE
Der ANBIETER muss:
14.1. Lassen Sie sich jährlich regelmäßigen Audits anhand von Industriestandards unterziehen. Auf schriftliche Anfrage des KUNDEN stellt der ANBIETER dem KUNDEN je nach Fall eine vollständige bzw. zusammenfassende Kopie seiner jeweils aktuellen Berichte zur Verfügung. Der ANBIETER muss außerdem spätestens zehn (10) Werktage lang schriftlich auf alle angemessenen Anfragen (Fragebögen, Formulare usw.) des KUNDEN antworten, um zu überprüfen, ob der ANBIETER die Anforderungen dieser Bedingungen einhält.
14.2. Soweit dies durch die geltenden Vorschriften erforderlich ist, gewährt der ANBIETER dem KUNDEN, seinen jeweiligen Prüfern oder anderen Vertretern (jeweils eine „Prüfungspartei“) einmal im Jahr nach einer Benachrichtigung mit einer Frist von mindestens 30 Kalendertagen Zugang zu den Räumlichkeiten, Aufzeichnungen und Dokumenten des Lieferanten, sofern dies von der Prüfpartei angemessenerweise verlangt wird, um zu überprüfen, ob der ANBIETER die Anforderungen dieser Bedingungen einhält. Eine Überprüfung gemäß diesem Absatz erfordert nicht die Überprüfung von Daten Dritter und die prüfende Partei kann aufgefordert werden, eine Vertraulichkeitsvereinbarung mit dem ANBIETER abzuschließen, soweit dies vernünftigerweise erforderlich ist, um die Vertraulichkeit der Informationen zu wahren, von denen die prüfende Partei im Laufe der Durchführung der Überprüfung Kenntnis erlangen kann. Jede Partei trägt ihre eigenen Kosten im Zusammenhang mit einer solchen Prüfung. Sollte bei der Prüfung eine Nichteinhaltung der Verpflichtungen des LIEFERANTEN gemäß diesen Bedingungen festgestellt werden, muss der LIEFERANT diese Nichteinhaltung innerhalb der einvernehmlich vereinbarten Frist beheben und die Kosten dieser Maßnahmen tragen.
14.3. Der ANBIETER behält sich das Recht vor, Beschränkungen und Beschränkungen für die Offenlegung interner vertraulicher Informationen und die Anfertigung von Kopien der in den Punkten 14.1 und 14.2 geforderten Beweismittel festzulegen.
15. Client-Sicherheitsanforderungen
15.1. Allgemeine Sicherheitsmaßnahmen
Der ANBIETER muss:
15.1.1. Der ANBIETER hat Sicherheitsempfehlungen für KUNDEN, die seine Cloud-Kommunikationsdienste nutzen, definiert, dokumentiert, implementiert und pflegt diese. Der KUNDE prüft diese Empfehlungen und setzt sie entsprechend seinen Geschäftsanforderungen, technischen Fähigkeiten und seiner Risikobereitschaft um.
15.1.2. Der KUNDE trägt die volle Verantwortung für die ordnungsgemäße Einrichtung der Sicherheitsmaßnahmen auf seiner Seite und übernimmt gegenüber dem ANBIETER keine Haftung für den Fall eines Sicherheitsvorfalls, der auf eine unsachgemäße Einrichtung von Sicherheits- und technischen Maßnahmen oder auf Versäumnisse bei der Umsetzung der vom ANBIETER empfohlenen Maßnahmen zurückzuführen ist.
15.2. AIT-Sicherheitsminderungsmaßnahmen
Der ANBIETER muss:
15.2.1. Der ANBIETER hat Sicherheitsrichtlinien zur Verhinderung von Betrugsfällen definiert, dokumentiert und pflegt diese.
15.2.2. Auf der Website oder mobilen Anwendung des KUNDEN, die in die Systeme des ANBIETERS integriert ist, kann ein potenzielles Risiko entstehen, wenn eine Registrierung oder ein anderes Formular, das SMS MT mit OTPs ausführt, nicht durch einen Anti-Bot-Mechanismus wie CAPTCHA geschützt ist. Schwachstellen in solchen Anwendungen können zu Angriffen mit künstlich aufgeblasenem Datenverkehr (AIT) führen. Ein Anti-Bot-Mechanismus wie CAPTCHA ist unerlässlich, um den Benutzeranmeldungsfluss vor automatisierten gefälschten Registrierungen zu schützen, die SMS MT mit OTPs ausführen.
15.2.3. Bei AIT-Angriffen wird der Datenverkehr mit der vom KUNDEN zum Zeitpunkt der Übermittlung verwendeten Quell-IP-Adresse an die Infrastruktur des ANBIETERs gesendet. Der SMS-MT-Inhalt des Datenverkehrs ist vom echten Datenverkehr des KUNDEN nicht zu unterscheiden. Mangels jeglicher Rückmeldung des KUNDEN ist der ANBIETER nicht in der Lage, zwischen dem AIT auf der Anwendung des KUNDEN und echtem Datenverkehr von derselben Anwendung zu unterscheiden. Daher kann der ANBIETER nicht für die Sicherheit der Web- oder Mobilanwendung(en) des KUNDEN verantwortlich gemacht werden. Der KUNDE erkennt ferner an, dass der gesamte von der Infrastruktur des KUNDEN empfangene Datenverkehr an Netzwerkbetreiber weitergeleitet und dem KUNDEN gemäß den Bedingungen der Vereinbarung in Rechnung gestellt wird.
15.2.4. Das Blockieren betroffener Netzwerke würde nicht verhindern, dass ein ähnliches Problem in aktivierten Netzwerken erneut auftritt, da die Ursache des Problems in der Infrastruktur des KUNDEN liegt. Daher ist es für den KUNDEN zwingend erforderlich, alle Formulare auf seiner Website oder mobilen Anwendung zu adressieren, die SMS MT OTP-Codes ausführen.
15.3. Antrag auf Erhöhung des Kreditlimits
Der ANBIETER muss:
15.3.1. Das Limit kann schnell ausgeschöpft sein, wenn die Schwachstellen auf der CLIENT-Website nicht behoben werden. Daher verlangt der ANBIETER vom KUNDEN eine Bestätigung, dass er sich der Risiken bewusst ist und die möglichen Folgen einer Erhöhung des Kreditlimits versteht.
15.3.2. Mit der Beantragung einer Erhöhung des Kreditlimits erkennt der KUNDE die Verantwortung für etwaige Verluste aufgrund von AIT-Angriffen an und verpflichtet sich, für etwaige dadurch entstehende Kosten aufzukommen.