Όροι ασφάλειας πληροφοριών
Ο ΠΑΡΟΧΟΣ θα παρέχει τις Υπηρεσίες και θα εκτελεί τις υποχρεώσεις του βάσει της Συμφωνίας σύμφωνα με:
α. (I) αυτούς τους Όρους Ασφάλειας Πληροφοριών
β. (ii) Ορθή πρακτική ασφάλειας
1. ΟΡΙΣΜΟΙ
α. "Περιουσιακό στοιχείο" σημαίνει οποιοδήποτε στοιχείο ή στοιχείο υλικού και λογισμικού που χρησιμοποιείται ή μπορεί να χρησιμοποιηθεί με σκοπό τη δημιουργία, την πρόσβαση, την επεξεργασία, την προστασία, την παρακολούθηση, την αποθήκευση, την ανάκτηση, την εμφάνιση ή τη μετάδοση δεδομένων ΠΕΛΑΤΗ.
σι. **«Δεδομένα ΠΕΛΑΤΗ» ** σημαίνει οποιαδήποτε δεδομένα που ο ΠΕΛΑΤΗΣ, ή ένα πρόσωπο που ενεργεί για λογαριασμό του, παρέχει στον ΠΑΡΟΧΟ ή επιτρέπει στον ΠΑΡΟΧΟ να έχει πρόσβαση και να επεξεργάζεται, σε σχέση με τη Συμφωνία.
ντο. "Κρυπτογράφηση" σημαίνει τη διαδικασία μετατροπής πληροφοριών ή δεδομένων σε κωδικό, ειδικά για την αποτροπή μη εξουσιοδοτημένης πρόσβασης.
ρε. "Ενδιόρθωση" σημαίνει οποιεσδήποτε ενημερώσεις λογισμικού και λειτουργικού συστήματος (OS) που αντιμετωπίζουν ευπάθειες ασφαλείας σε ένα πρόγραμμα ή προϊόν.
μι. "Δοκιμή διείσδυσης" σημαίνει εξουσιοδοτημένη προσομοίωση κυβερνοεπίθεσης σε σύστημα υπολογιστή, που εκτελείται για την αξιολόγηση της ασφάλειας του συστήματος.
φά. «Σύστημα ΠΑΡΟΧΟΥ» σημαίνει οποιοδήποτε Σύστημα ή Περιουσιακό Στοιχείο που ανήκει ή διαχειρίζεται (εν όλω ή εν μέρει) για λειτουργία από ή για λογαριασμό του ΠΑΡΟΧΟΥ ή οποιουδήποτε από τους Συνεργάτες του.
σολ. "Συμβάν Ασφαλείας" σημαίνει ένα περιστατικό, συμβάν ή/και πρόβλημα που οδήγησε σε πραγματικό συμβιβασμό της εμπιστευτικότητας, της ακεραιότητας ή/και της διαθεσιμότητας των δεδομένων του ΠΕΛΑΤΗ ή/και της Υπηρεσίας.
η. «Περιβάλλον Παραγωγής» σημαίνει περιβάλλον όπου αποθηκεύονται και υφίστανται επεξεργασία τα δεδομένα του ΠΕΛΑΤΗ.
εγώ. "Περιβάλλον Δοκιμών" σημαίνει περιβάλλον που διατίθεται για τη δοκιμή προγραμμάτων ή προϊόντων λογισμικού που αναπτύχθηκαν πρόσφατα πριν από την κυκλοφορία τους σε Περιβάλλον Παραγωγής.
ι. "Τρωτότητα" σημαίνει την ύπαρξη αδυναμίας/ελαττώματος που εντοπίζεται στο σύστημα.
κ. "Τεχνητά διογκωμένη επισκεψιμότητα" σημαίνει οποιαδήποτε επισκεψιμότητα που δημιουργείται με αυτοματοποιημένα ή δόλια μέσα, συμπεριλαμβανομένων, ενδεικτικά, των bots, των click farms ή οποιουδήποτε άλλου μέσου που αποσκοπεί στην τεχνητή διόγκωση του όγκου της κυκλοφορίας.
2. ΟΡΓΑΝΙΣΜΟΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ
Ο ΠΑΡΟΧΟΣ θα:
2.1. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν πολιτικές ασφαλείας σύμφωνα με τα πρότυπα του κλάδου, ενώ: - διασφάλιση της τήρησης του απορρήτου, της ακεραιότητας και της διαθεσιμότητας δεδομένων και συστημάτων πληροφοριών. - συμμόρφωση με νομικές και κανονιστικές απαιτήσεις στις οποίες ενδέχεται να υπόκεινται ο ΠΕΛΑΤΗΣ και τα Δεδομένα ΠΕΛΑΤΗ.
2.2. αναθεωρεί τις πολιτικές και τις διαδικασίες της σε ετήσια βάση ή/και ως απάντηση σε οποιαδήποτε σημαντική αλλαγή.
2.3. βεβαιωθείτε ότι οι πολιτικές ασφαλείας τεκμηριώνονται και εγκρίνονται από τη διοίκηση του ΠΑΡΟΧΟΥ και δημοσιεύονται και κοινοποιούνται στα σχετικά ενδιαφερόμενα μέρη.
2.4. διασφαλίζουν ότι διαθέτουν τον απαιτούμενο αριθμό επαγγελματιών ασφάλειας που θα είναι υπεύθυνοι για το συντονισμό και την παρακολούθηση όλων των λειτουργιών, πολιτικών και διαδικασιών ασφάλειας πληροφοριών.
2.5. διατηρεί μια διαδικασία περιοδικής εσωτερικής και εξωτερικής επικύρωσης της αποτελεσματικότητας των ελέγχων ασφαλείας της. Η PROVIDER θα αντιμετωπίσει και θα επιλύσει αμέσως τυχόν ελλείψεις στο βαθμό που είναι απαραίτητο για τη συμμόρφωση με τις υποχρεώσεις της PROVIDER βάσει της Συμφωνίας και των παρόντων Όρων.
3. ΕΚΠΑΙΔΕΥΣΗ ΑΝΘΡΩΠΙΝΟΥ ΔΥΝΑΜΙΚΟΥ ΚΑΙ ΑΣΦΑΛΕΙΑΣ
Ο ΠΑΡΟΧΟΣ θα:
3.1. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν την κατάλληλη πολιτική και διαδικασία ελέγχου ιστορικού. Οι έλεγχοι μπορεί να περιλαμβάνουν το μορφωτικό και προηγούμενο εργασιακό ιστορικό του ατόμου, το ποινικό μητρώο, τους ελέγχους αναφοράς και τυχόν πρόσθετες τυπικές απαιτήσεις ελέγχου ιστορικού του κλάδου σύμφωνα με τους σχετικούς και ισχύοντες νόμους και κανονισμούς.
3.2. διενεργούν ελέγχους επαλήθευσης ιστορικού σε όλους τους υφιστάμενους και νέους υπαλλήλους, συμπεριλαμβανομένων των συμβασιούχων.
3.3. διασφαλίζει ότι όλοι οι εργαζόμενοι δεσμεύονται από κατάλληλη συμφωνία εμπιστευτικότητας.
3.4. να ορίσει, να τεκμηριώσει, να εφαρμόσει και να διατηρήσει μια επίσημη εκπαίδευση ευαισθητοποίησης για την ασφάλεια και το απόρρητο για όλους τους υπαλλήλους. Ο ΠΑΡΟΧΟΣ διασφαλίζει ότι αυτές οι εκπαιδεύσεις παρέχονται πριν από τη χορήγηση άδειας πρόσβασης ή χρήσης ευαίσθητων πληροφοριών και στη συνέχεια σε συνεχή βάση.
4. ΔΙΑΧΕΙΡΙΣΗ ΣΤΟΙΧΕΙΩΝ
Ο ΠΑΡΟΧΟΣ θα:
4.1. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν ένα ακριβές και ενημερωμένο απόθεμα που καταγράφει όλο το υλικό και το λογισμικό, με πληροφορίες για τον ιδιοκτήτη και την τοποθεσία του καθενός.
4.2. βεβαιωθείτε ότι μόνο εφαρμογές λογισμικού ή/και λειτουργικά συστήματα που υποστηρίζονται επί του παρόντος ή/και λαμβάνουν ενημερώσεις προμηθευτή προστίθενται στο εξουσιοδοτημένο απόθεμα λογισμικού του ΠΑΡΟΧΟΥ.
4.3. βεβαιωθείτε ότι όλο το λογισμικό και το υλικό που υποστηρίζει το EOL (End-of-life) αφαιρείται από τη χρήση και ότι το απόθεμα ενημερώνεται έγκαιρα.
4.4. καθορίζει κανόνες για την αποδεκτή χρήση πληροφοριών και περιουσιακών στοιχείων που σχετίζονται με πληροφορίες και επεξεργασία πληροφοριών.
4.5. βεβαιωθείτε ότι όλες οι πληροφορίες ταξινομούνται από άποψη νομικών απαιτήσεων, αξίας, κρισιμότητας και ευαισθησίας και ότι αντιμετωπίζονται σύμφωνα με την ετικέτα διαβάθμισής τους.
4.6. διασφαλίστε τον σωστό χειρισμό και διάθεση των δεδομένων ΠΕΛΑΤΩΝ από συστήματα PROVIDER: - η απόρριψη των αρχείων δεδομένων ΠΕΛΑΤΩΝ πρέπει να πραγματοποιείται με ασφαλή τρόπο ώστε να διασφαλίζεται ότι τα δεδομένα καθίστανται μη ανακτήσιμα. - το πιστοποιητικό διαγραφής θα πρέπει να είναι διαθέσιμο για τυχόν ad hoc αιτήματα ΠΕΛΑΤΩΝ για διαγραφή δεδομένων.
5. ΕΛΕΓΧΟΣ ΠΡΟΣΒΑΣΗΣ
5.1. Γενικές διατάξεις
Ο ΠΑΡΟΧΟΣ θα:
5.1.1. καθορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν την πολιτική και τις διαδικασίες ελέγχου πρόσβασης με βάση τις επιχειρηματικές ανάγκες και την αρχή του «Λιγότερου Προνομίου» και διασφαλίζουν ότι μόνο εξουσιοδοτημένοι υπάλληλοι έχουν πρόσβαση στα συστήματα PROVIDER.
5.1.2. βεβαιωθείτε ότι χρησιμοποιούνται μόνο μοναδικά αναγνωριστικά και θα τεκμηριώνουν κάθε εξαίρεση και χρήση κοινόχρηστων λογαριασμών.
5.1.3. βεβαιωθείτε ότι οποιαδήποτε πρόσβαση στα συστήματα PROVIDER που αποθηκεύουν ή επεξεργάζονται Δεδομένα ΠΕΛΑΤΗ υπόκειται σε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
5.1.4. περιοδικά, τουλάχιστον σε ετήσια βάση, να ελέγχει την καταλληλότητα των εκχωρημένων προνομίων χρήστη.
5.1.5. βεβαιωθείτε ότι οι δραστηριότητες διαχείρισης χρηστών (προσθήκη, τροποποίηση ή αφαίρεση δικαιωμάτων χρήστη) εκτελούνται με βάση έγκυρο επίσημο αίτημα και έγκαιρα.
5.2. ΑΣΦΑΛΕΙΑ ΑΠΟΣΤΟΛΗΣ ΠΡΟΣΒΑΣΗΣ
Ο ΠΑΡΟΧΟΣ θα:
5.2.1. βεβαιωθείτε ότι έχει τεθεί σε εφαρμογή το κατάλληλο σύνολο ελέγχων ασφαλείας για την αποτροπή μη εξουσιοδοτημένης απομακρυσμένης πρόσβασης στα συστήματα PROVIDER. Οι έλεγχοι αυτοί περιλαμβάνουν τουλάχιστον: - Οποιαδήποτε απομακρυσμένη πρόσβαση στα συστήματα και/ή στο δίκτυο PROVIDER θα γίνεται μόνο μέσω VPN και ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). - Όλα τα δεδομένα που ταξιδεύουν μέσω ενός μηχανισμού απομακρυσμένης πρόσβασης θα κρυπτογραφούνται από το τελικό σημείο (π.χ. φορητός υπολογιστής) στο δίκτυο. - Όλες οι προσπάθειες σύνδεσης στα Συστήματα PROVIDER χρησιμοποιώντας μη εξουσιοδοτημένο μηχανισμό απομακρυσμένης πρόσβασης θα απορρίπτονται και θα καταγράφονται. - Η ύποπτη δραστηριότητα θα αντιμετωπίζεται σύμφωνα με τα σχετικά πρωτόκολλα ασφαλείας.
5.3. ΔΙΑΧΕΙΡΙΣΗ ΚΩΔΙΚΟΥ
Ο ΠΑΡΟΧΟΣ θα:
5.3.1. ορίζει, τεκμηριώνει, εφαρμόζει και διατηρεί την πολιτική κωδικών πρόσβασης σύμφωνα με τις βέλτιστες πρακτικές του κλάδου και τις εσωτερικές επιχειρηματικές ανάγκες.
5.3.2. βεβαιωθείτε ότι οι κωδικοί πρόσβασης είναι επαρκούς έκτασης, πολυπλοκότητας, δεν περιέχουν λέξεις που μπορούν εύκολα να μαντέψουν και αλλάζουν σε τακτά χρονικά διαστήματα.
5.3.3. βεβαιωθείτε ότι οι λογαριασμοί χρηστών κλειδώνονται μετά από συγκεκριμένο αριθμό αποτυχημένων προσπαθειών εισαγωγής λανθασμένου κωδικού πρόσβασης και ότι ο λογαριασμός είναι κλειδωμένος για ορισμένο χρονικό διάστημα.
5.3.4. βεβαιωθείτε ότι οι κωδικοί πρόσβασης αποθηκεύονται με ασφαλή τρόπο που τους καθιστά ακατανόητους όσο παραμένουν έγκυροι.
6. ΚΡΥΠΤΟΓΡΑΦΙΑ
Ο ΠΑΡΟΧΟΣ θα:
6.1. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν σχετικές πολιτικές και διαδικασίες που ρυθμίζουν τη χρήση των κατάλληλων κρυπτογραφικών ελέγχων και τις διαδικασίες διαχείρισης κλειδιών, καθορίζοντας τους κανόνες χρήσης, προστασίας και διάρκειας ζωής των κρυπτογραφικών κλειδιών και του υλικού πληκτρολόγησης.
6.2. Βεβαιωθείτε ότι τα δεδομένα ΠΕΛΑΤΩΝ προστατεύονται κατά τη μεταφορά ή την ηρεμία χρησιμοποιώντας ασφαλή πρωτόκολλα (π.χ. TLS 1.2, AES-256 ή άλλα πρότυπα που συνιστώνται από τον κλάδο).
6.3. διαχείριση όλων των κλειδιών κρυπτογράφησης σε ένα σύστημα διαχείρισης κλειδιών που ανήκει και διαχειρίζεται ο ΠΑΡΟΧΟΣ.
6.4. διασφαλίζει τον κατάλληλο διαχωρισμό των καθηκόντων στο πλαίσιο της διαδικασίας διαχείρισης κλειδιών κρυπτογράφησης.
7. ΦΥΣΙΚΗ ΚΑΙ ΠΕΡΙΒΑΛΛΟΝΤΙΚΗ ΑΣΦΑΛΕΙΑ
Ο ΠΑΡΟΧΟΣ θα:
7.1. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν πολιτικές και διαδικασίες φυσικής ασφάλειας για την αποτροπή μη εξουσιοδοτημένης φυσικής πρόσβασης, ζημιάς και παρεμβολής στις πληροφορίες και τις εγκαταστάσεις επεξεργασίας πληροφοριών του οργανισμού που αποθηκεύουν δεδομένα ΠΕΛΑΤΩΝ.
7.2. εφαρμόζει διαδικασίες και ελέγχους φυσικής και περιβαλλοντικής ασφάλειας σύμφωνα με καθορισμένες πολιτικές και διαδικασίες. Η PROVIDER μπορεί να αναθέσει ορισμένους ή όλους τους ελέγχους φυσικής ασφάλειας σε τρίτο μέρος και θα διασφαλίζει ότι υπάρχουν έλεγχοι ίδιου επιπέδου και θα αξιολογεί τακτικά το τρίτο μέρος για συμμόρφωση.
7.3. βεβαιωθείτε ότι οι ασφαλείς περιοχές προστατεύονται με κατάλληλους ελέγχους εισόδου και επιτρέπεται η πρόσβαση μόνο σε εξουσιοδοτημένο προσωπικό.
7.4. βεβαιωθείτε ότι όλοι οι επισκέπτες είναι εξουσιοδοτημένοι, διαθέτουν κατάλληλη ταυτότητα και έχουν πρόσβαση μόνο στις απαραίτητες περιοχές.
7.5. βεβαιωθείτε ότι τα ερμάρια κλειδώματος χρησιμοποιούνται για την ασφάλεια των εμπιστευτικών πληροφοριών.
7.6. βεβαιωθείτε ότι ο εξοπλισμός που περιέχει μέσα αποθήκευσης έχει αντικατασταθεί με ασφάλεια πριν από την απόρριψη ή την εκ νέου χρήση.
7.7. διασφαλίστε ότι μια πολιτική καθαρού γραφείου και μια πολιτική καθαρής οθόνης εφαρμόζεται για τις εγκαταστάσεις επεξεργασίας πληροφοριών.
8. ΑΣΦΑΛΕΙΑ ΛΕΙΤΟΥΡΓΙΩΝ
Ο ΠΑΡΟΧΟΣ θα:
8.1. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν λειτουργικές διαδικασίες ασφαλείας για δημιουργία αντιγράφων ασφαλείας, προστασία τελικού σημείου, διαχείριση ευπάθειας, προστασία από ιούς και κακόβουλο λογισμικό, επιδιορθώσεις, σκλήρυνση συστήματος και καταγραφή.
8.2. εκτελούν αξιολογήσεις τρωτότητας και δοκιμές διείσδυσης σε τακτική βάση σύμφωνα με τις βέλτιστες πρακτικές του κλάδου και τις εσωτερικές επιχειρηματικές ανάγκες. Ο ΠΑΡΟΧΟΣ θα πραγματοποιήσει επίσης αξιολόγηση κινδύνου, ακολουθούμενη από αποκατάσταση των εντοπισμένων ζητημάτων.
8.3. Διασφαλίστε ότι τα τρωτά σημεία αντιμετωπίζονται σύμφωνα με καθορισμένη ιεράρχηση και εντός των απαιτούμενων χρονοδιαγραμμάτων επίλυσης.
8.4. εφαρμόζει διορθώσεις και αναβαθμίσεις σε όλα τα επίπεδα υποδομής σύμφωνα με καθορισμένη ιεράρχηση προτεραιοτήτων.
8.5. Βεβαιωθείτε ότι τα τελικά σημεία, οι διακομιστές, οι συσκευές αποθήκευσης, οι πύλες αλληλογραφίας / ιστού και η κυκλοφορία αλληλογραφίας προστατεύονται με ενεργά εργαλεία κατά του κακόβουλου λογισμικού όπου είναι τεχνικά εφικτό να εντοπιστούν και όπου είναι δυνατόν να αποτραπούν μολύνσεις από κακόβουλο λογισμικό.
8.6. δημιουργεί αντίγραφα ασφαλείας πληροφοριών, λογισμικού και εικόνων συστήματος και θα τα δοκιμάζει τακτικά σύμφωνα με τις βέλτιστες πρακτικές του κλάδου και τις εσωτερικές επιχειρηματικές ανάγκες.
8.7. βεβαιωθείτε ότι εκτελείται η κατάλληλη καταγραφή, με επαρκείς λεπτομέρειες και διατηρείται σύμφωνα με καθορισμένες περιόδους διατήρησης, ενώ παράλληλα προστατεύεται από παραβιάσεις και μη εξουσιοδοτημένη πρόσβαση.
8.8. ορίζει, τεκμηριώνει, εφαρμόζει και διατηρεί κανόνες που διέπουν την εγκατάσταση λογισμικού από τους χρήστες.
8.9. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν πρότυπα για την ασφαλή διαμόρφωση των τελικών σημείων, συμπεριλαμβανομένων, ενδεικτικά, φορητών υπολογιστών, διακομιστών, εικονικών μηχανών, βάσεων δεδομένων και συσκευών δικτύων για προστασία από απώλεια εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας δεδομένων ΠΕΛΑΤΩΝ σε κατάσταση ηρεμίας και μεταφοράς.
9. ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ
Ο ΠΑΡΟΧΟΣ θα:
9.1. ορίζει, τεκμηριώνει, εφαρμόζει και διατηρεί μηχανισμούς ασφαλείας και απαιτήσεις διαχείρισης όλων των υπηρεσιών δικτύου.
9.2. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν ισχυρά πρότυπα διαμόρφωσης κρυπτογράφησης και ασφάλειας για την ασφαλή επικοινωνία στα δημόσια και μη δημόσια δίκτυα.
9.3. βεβαιωθείτε ότι τα ρολόγια όλων των σχετικών συστημάτων επεξεργασίας πληροφοριών συγχρονίζονται σε μια ενιαία πηγή χρόνου αναφοράς.
9.4. παρακολουθεί την κυκλοφορία Ιστού και την περίμετρο του δικτύου για να ανιχνεύει επιθέσεις στον κυβερνοχώρο και να αποκλείει κακόβουλες υπηρεσίες, ιστοσελίδες και επισκεψιμότητα.
9.5. βεβαιωθείτε ότι οι αλλαγές στους κανόνες του τείχους προστασίας ελέγχονται μέσω επίσημης διαδικασίας αιτήματος/έγκρισης και επανεξετάζονται τακτικά.
9.6. περιορισμός και έλεγχος της πρόσβασης στους οργανισμούς σύμφωνα με τις βέλτιστες πρακτικές του κλάδου και τις εσωτερικές επιχειρηματικές ανάγκες.
9.7. βεβαιωθείτε ότι εφαρμόζεται το μοντέλο ζωνών και ότι το δίκτυο είναι κατάλληλα τμηματοποιημένο, ενώ επιτρέπεται μόνο η εγκεκριμένη πρόσβαση και κίνηση σε κάθε τμήμα.
10. ΚΥΚΛΟΣ ΖΩΗΣ ΑΝΑΠΤΥΞΗΣ ΛΟΓΙΣΜΙΚΟΥ (SDLC)
Ο ΠΑΡΟΧΟΣ θα:
10.1. δημιουργήστε έναν ασφαλή κύκλο ζωής ανάπτυξης για να διασφαλίσετε ότι οι Υπηρεσίες αναπτύσσονται και διατηρούνται με ασφαλή τρόπο.
10.2. έλεγχος των αλλαγών στα συστήματα εντός του κύκλου ζωής ανάπτυξης με επίσημες διαδικασίες ελέγχου αλλαγών.
10.3. Διασφαλίστε ότι τα περιβάλλοντα ανάπτυξης, δοκιμών και παραγωγής είναι διαχωρισμένα για να μειωθούν οι κίνδυνοι μη εξουσιοδοτημένης πρόσβασης ή αλλαγών στο περιβάλλον παραγωγής.
10.4. βεβαιωθείτε ότι οι απαιτήσεις που σχετίζονται με την ασφάλεια των πληροφοριών περιλαμβάνονται στις απαιτήσεις για νέες Υπηρεσίες ή βελτιώσεις σε υπάρχουσες Υπηρεσίες.
10.5. βεβαιωθείτε ότι τα δεδομένα δοκιμών δημιουργούνται προσεκτικά και με ελεγχόμενο τρόπο και ότι τα δεδομένα παραγωγής δεν χρησιμοποιούνται για σκοπούς δοκιμών.
11. ΣΧΕΣΕΙΣ ΠΡΟΜΗΘΕΥΤΩΝ
Ο ΠΑΡΟΧΟΣ θα:
11.1. ορίζουν, τεκμηριώνουν, εφαρμόζουν και διατηρούν πολιτικές και διαδικασίες διαχείρισης σχέσεων προμηθευτών που καθορίζουν βασικές αρχές και κανόνες για τη διαχείριση των σχέσεων προμηθευτών που συμμορφώνονται με τις επιχειρηματικές απαιτήσεις, τις απαιτήσεις ασφάλειας, καθώς και τους ισχύοντες κανονισμούς, τις βέλτιστες πρακτικές και τα διεθνή πρότυπα.
11.2. για κάθε προμηθευτή που μπορεί να έχει πρόσβαση, να επεξεργάζεται ή να αποθηκεύει δεδομένα ΠΕΛΑΤΩΝ, ο ΠΑΡΟΧΟΣ θα αξιολογεί και θα τεκμηριώνει τη συμμόρφωση της λύσης του προμηθευτή. Για τους κρίσιμους προμηθευτές, συμπεριλαμβανομένων των υπο-επεξεργαστών, η επαναξιολόγηση πραγματοποιείται σε ετήσια βάση.
11.3. διασφαλίζει ότι όλες οι σχετικές απαιτήσεις ασφάλειας πληροφοριών θα καθορίζονται και θα συμφωνούνται με κάθε προμηθευτή που μπορεί να έχει πρόσβαση, να επεξεργάζεται ή να αποθηκεύει δεδομένα ΠΕΛΑΤΩΝ.
11.4. βεβαιωθείτε ότι υπάρχει μια έγκυρη συμφωνία που καθορίζει το εύρος της εργασίας, την εμπιστευτικότητα, την ασφάλεια και τις τεχνικές απαιτήσεις (εάν υπάρχουν) της επιχειρηματικής σχέσης με κάθε προμηθευτή που μπορεί να έχει πρόσβαση, να επεξεργάζεται ή να αποθηκεύει δεδομένα ΠΕΛΑΤΩΝ.
12. ΔΙΑΧΕΙΡΙΣΗ ΣΥΜΒΑΝΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ
Ο ΠΑΡΟΧΟΣ θα:
12.1. ορίζει, τεκμηριώνει, εφαρμόζει και διατηρεί μια επίσημη διαδικασία για την αναφορά, την απόκριση και τη διαχείριση περιστατικών ασφάλειας πληροφοριών. Αυτό περιλαμβάνει τουλάχιστον: - Διαδικασία αναφοράς τέτοιων περιστατικών/παραβάσεων στην κατάλληλη διοίκηση εντός του οργανισμού PROVIDER. - Μια διαδικασία εντοπισμού, αξιολόγησης και χειρισμού συμβάντων ασφάλειας πληροφοριών. - Μια σαφώς καθορισμένη ομάδα για τη διαχείριση και τον συντονισμό της απόκρισης σε ένα περιστατικό. - Μια τεκμηριωμένη και δοκιμασμένη διαδικασία για τη διαχείριση της απόκρισης σε ένα περιστατικό, συμπεριλαμβανομένης της απαίτησης να τηρούνται κατάλληλα θέματα και αρχεία καταγραφής ενεργειών, ώστε να συμπεριλαμβάνεται η ώρα κατά την οποία συνέβη το συμβάν, το άτομο που αναφέρει το συμβάν, στο οποίο αναφέρθηκε και οι επιπτώσεις του. - Επιβεβαιώνεται η απαίτηση έγκαιρης ενημέρωσης του ΠΕΛΑΤΗ και το αργότερο 72 ώρες μετά το περιστατικό ασφάλειας πληροφοριών και τις αρνητικές επιπτώσεις στις υπηρεσίες που παρέχονται στον ΠΕΛΑΤΗ. Θα ισχύει μικρότερη περίοδος κοινοποίησης εάν η απαίτηση αυτή βασίζεται στην ισχύουσα νομοθεσία ή/και κανονισμό. - Η ομάδα διαχείρισης συμβάντων ΠΑΡΟΧΟΥ συνεργάζεται, όπου χρειάζεται, με τους εκπροσώπους ασφαλείας του ΠΕΛΑΤΗ έως ότου επιλυθεί ικανοποιητικά το περιστατικό ασφάλειας πληροφοριών. - Ο ΠΑΡΟΧΟΣ θα ευθυγραμμιστεί με όλους τους εθνικούς κανονισμούς και νομοθεσία σχετικά με την κοινοποίηση περιστατικών ασφάλειας πληροφοριών προς τις αρχές επιβολής του νόμου, τις ρυθμιστικές ή άλλες εθνικές αρχές.
13. ΔΙΑΧΕΙΡΙΣΗ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗΣ ΣΥΝΕΧΕΙΑΣ
Ο ΠΑΡΟΧΟΣ θα:
13.1. ορίζει, τεκμηριώνει, εφαρμόζει και διατηρεί ένα Πρόγραμμα Επιχειρησιακής Συνέχειας.
13.2. Προσδιορίστε και ιεραρχήστε τα κρίσιμα προϊόντα και τις υπηρεσίες του SMSBAT χρησιμοποιώντας μια διαδικασία Ανάλυσης Επιπτώσεων Επιχειρήσεων (BIA).
13.3. χρησιμοποιήστε πληροφορίες και μεθόδους αξιολόγησης κινδύνου για την αξιολόγηση της απειλής διακοπής.
13.4. με βάση τα αποτελέσματα της Ανάλυσης Επιπτώσεων Επιχειρήσεων και της Αξιολόγησης Κινδύνων, αναπτύξτε στρατηγικές απόκρισης και ανάκτησης για να μετριαστεί ο αντίκτυπος στις κρίσιμες υπηρεσίες κατά τη διάρκεια ενός περιστατικού που προκαλεί αναστάτωση.
13.5. αναπτύξτε σχέδια επιχειρηματικής συνέχειας και ανάκαμψης που να είναι κατάλληλα για το σκοπό, να επανεξετάζονται τακτικά, να είναι διαθέσιμα και απλά να ακολουθούνται και να κατανοούνται.
13.6. ανάπτυξη σχεδίων διαχείρισης κρίσεων και επικοινωνίας για αποτελεσματική διαχείριση κρίσεων, ιεράρχηση προτεραιοτήτων στην επικοινωνία και τρόπους ειδοποίησης για τα περιστατικά.
13.7. παρέχει εκπαίδευση και άσκηση, που αναπτύχθηκε σύμφωνα με τις απαιτούμενες ικανότητες και παραδίδεται σε εργαζόμενους με άμεση ευθύνη για τη συνέχεια της επιχείρησης.
13.8. να βελτιώνει συνεχώς το Πρόγραμμα Επιχειρηματικής Συνέχειας του SMSBAT μέσω τακτικής αξιολόγησης και λαμβάνοντας υπόψη τυχόν αλλαγές στις νομικές και κανονιστικές απαιτήσεις.
14. ΣΥΜΜΟΡΦΩΣΗ
Ο ΠΑΡΟΧΟΣ θα:
14.1. Υποβάλλονται σε τακτικούς ελέγχους σύμφωνα με τα πρότυπα του κλάδου σε ετήσια βάση. Κατόπιν γραπτού αιτήματος του ΠΕΛΑΤΗ, ο ΠΑΡΟΧΟΣ θα παράσχει στον ΠΕΛΑΤΗ ένα πλήρες ή συνοπτικό αντίγραφο, ανάλογα με την περίπτωση, των υφιστάμενων αναφορών του. Ο ΠΑΡΟΧΟΣ θα παρέχει επίσης, το αργότερο δέκα (10) εργάσιμες ημέρες, γραπτές απαντήσεις σε όλα τα εύλογα αιτήματα (ερωτηματολόγια, έντυπα κ.λπ.) που υποβάλλονται από τον ΠΕΛΑΤΗ προκειμένου να ελεγχθεί ότι ο ΠΑΡΟΧΟΣ συμμορφώνεται με τις απαιτήσεις των παρόντων Όρων.
14.2. Στο βαθμό που απαιτείται από τον ισχύοντα κανονισμό, μία φορά το χρόνο μετά από ειδοποίηση τουλάχιστον 30 ημερολογιακών ημερών πριν, ο ΠΑΡΟΧΟΣ θα επιτρέπει στον ΠΕΛΑΤΗ, τους αντίστοιχους ελεγκτές του ή άλλους αντιπροσώπους (ο καθένας από "Έλεγχο Μέρος"), να έχουν πρόσβαση στις εγκαταστάσεις, τα αρχεία και τα έγγραφα του Προμηθευτή, όπως εύλογα απαιτείται από το Ελεγκτικό Μέρος για να ελέγξει ότι ο PROVIDER συμμορφώνεται με αυτούς τους όρους. Οποιαδήποτε επανεξέταση σύμφωνα με την παρούσα παράγραφο δεν απαιτεί την επανεξέταση οποιωνδήποτε δεδομένων τρίτων και ενδέχεται να ζητηθεί από το Ελεγκτικό Μέρος να συνάψει συμφωνία εμπιστευτικότητας με τον ΠΑΡΟΧΟ, όπως είναι εύλογα απαραίτητο για τον σεβασμό της εμπιστευτικότητας των πληροφοριών τις οποίες ενδέχεται να λάβει γνώση του Ελεγκτικού Μέρους κατά τη διεξαγωγή της επανεξέτασης. Κάθε μέρος επιβαρύνεται με τα δικά του έξοδα σε σχέση με τον έλεγχο αυτό. Σε περίπτωση που ο έλεγχος αποκαλύψει μη συμμόρφωση με τις υποχρεώσεις του ΠΡΟΜΗΘΕΥΤΗ σύμφωνα με τους παρόντες Όρους, ο ΠΡΟΜΗΘΕΥΤΗΣ θα διορθώσει τη μη συμμόρφωση εντός κοινά συμφωνηθέντος χρονοδιαγράμματος και θα αναλάβει το κόστος τέτοιων ενεργειών.
14.3. Ο ΠΑΡΟΧΟΣ διατηρεί το δικαίωμα να επιβάλλει περιορισμούς και περιορισμούς στην εμφάνιση εσωτερικών εμπιστευτικών πληροφοριών και στη λήψη αντιγράφων οποιωνδήποτε αποδεικτικών στοιχείων που ζητούνται στα σημεία 14.1 και 14.2.
15. ΑΠΑΙΤΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ ΠΕΛΑΤΗ
15.1. Γενικά μέτρα ασφαλείας
Ο ΠΑΡΟΧΟΣ θα:
15.1.1. Ο PROVIDER έχει ορίσει, τεκμηριώσει, εφαρμόσει και διατηρεί προτάσεις ασφαλείας για ΠΕΛΑΤΕΣ που χρησιμοποιούν τις υπηρεσίες επικοινωνίας cloud του. Ο ΠΕΛΑΤΗΣ θα επανεξετάσει τις εν λόγω συστάσεις και θα τις εφαρμόσει σύμφωνα με τις επιχειρηματικές του ανάγκες, τις τεχνικές του δυνατότητες και την ανάληψη κινδύνου.
15.1.2. Ο ΠΕΛΑΤΗΣ θα είναι πλήρως υπεύθυνος για τη σωστή ρύθμιση των μέτρων ασφαλείας από την πλευρά του και δεν θα επιβάλλει καμία ευθύνη στον ΠΑΡΟΧΟ σε περίπτωση συμβάντος ασφαλείας που οφείλεται σε ακατάλληλη ρύθμιση των μέτρων ασφαλείας και τεχνικών μέτρων ή αμέλειας για την εφαρμογή μέτρων όπως προτείνονται από τον ΠΑΡΟΧΟ.
15.2. Μέτρα μετριασμού της ασφάλειας του ΑΙΤ
Ο ΠΑΡΟΧΟΣ θα:
15.2.1. Η PROVIDER έχει ορίσει, τεκμηριώσει και διατηρεί κατευθυντήριες γραμμές ασφαλείας για την πρόληψη περιπτώσεων απάτης.
15.2.2. Ενδέχεται να προκύψει πιθανός κίνδυνος στον ιστότοπο ή την εφαρμογή για κινητά του ΠΕΛΑΤΗ που είναι ενσωματωμένη στα συστήματα PROVIDER, εάν μια εγγραφή ή άλλη φόρμα που εκτελεί SMS MT με OTP δεν προστατεύεται με έναν μηχανισμό anti-bot όπως το CAPTCHA. Τα τρωτά σημεία σε τέτοιες εφαρμογές μπορεί να οδηγήσουν σε επιθέσεις τεχνητά διογκωμένης κυκλοφορίας (AIT). Ένας μηχανισμός anti-bot, όπως το CAPTCHA είναι απαραίτητος για την προστασία της ροής Εγγραφής Χρήστη από αυτοματοποιημένες πλαστές εγγραφές που εκτελούν SMS MT με OTP.
15.2.3. Όταν συμβαίνουν επιθέσεις AIT, η κίνηση αποστέλλεται στην υποδομή του ΠΑΡΟΧΟΥ με τη διεύθυνση IP προέλευσης που χρησιμοποιείται από τον ΠΕΛΑΤΗ κατά τη στιγμή της υποβολής. Το περιεχόμενο SMS MT της κίνησης δεν διακρίνεται από την πραγματική κίνηση του ΠΕΛΑΤΗ. Ελλείψει οποιασδήποτε ανατροφοδότησης από τον ΠΕΛΑΤΗ, ο ΠΑΡΟΧΟΣ δεν μπορεί να κάνει διαφοροποίηση μεταξύ του AIT στην εφαρμογή του ΠΕΛΑΤΗ και της πραγματικής κίνησης από την ίδια εφαρμογή. Ως αποτέλεσμα, ο ΠΑΡΟΧΟΣ δεν μπορεί να θεωρηθεί υπεύθυνος για την ασφάλεια του ιστού ή των εφαρμογών για κινητά του ΠΕΛΑΤΗ. Ο ΠΕΛΑΤΗΣ αναγνωρίζει περαιτέρω ότι όλη η κίνηση που λαμβάνεται από την υποδομή του ΠΕΛΑΤΗ θα δρομολογείται στους Διαχειριστές Δικτύων και θα χρεώνεται στον ΠΕΛΑΤΗ σύμφωνα με τους όρους της Συμφωνίας.
15.2.4. Ο αποκλεισμός των επηρεαζόμενων δικτύων δεν θα αποτρέψει την επανεμφάνιση παρόμοιου ζητήματος σε ενεργοποιημένα δίκτυα, καθώς η βασική αιτία του προβλήματος έγκειται στην υποδομή του ΠΕΛΑΤΗ. Ως εκ τούτου, είναι επιτακτική ανάγκη για τον ΠΕΛΑΤΗ να απευθύνεται σε όλες τις φόρμες στον ιστότοπο ή στην εφαρμογή για κινητά που εκτελούν κωδικούς SMS MT OTP.
15.3. Αίτημα για αύξηση του πιστωτικού ορίου
Ο ΠΑΡΟΧΟΣ θα:
15.3.1. Το όριο μπορεί να εξαντληθεί γρήγορα εάν δεν αντιμετωπιστούν τα τρωτά σημεία στον ιστότοπο του CLIENT. Ως εκ τούτου, ο ΠΑΡΟΧΟΣ ζητά την επιβεβαίωση του ΠΕΛΑΤΗ για την επίγνωση των κινδύνων και την κατανόηση των πιθανών συνεπειών της αύξησης του πιστωτικού ορίου.
15.3.2. Ζητώντας αύξηση του πιστωτικού ορίου, ο ΠΕΛΑΤΗΣ αναγνωρίζει την ευθύνη για οποιαδήποτε πιθανή απώλεια λόγω επιθέσεων AIT και δεσμεύεται να πληρώσει για τυχόν έξοδα που μπορεί να προκύψουν ως αποτέλεσμα.