Tietoturvaehdot
TARJOAJA tarjoaa Palvelut ja täyttää Sopimuksen mukaiset velvoitteensa seuraavasti:
a. (I) nämä tietoturvaehdot
b. (ii) Hyvä turvallisuuskäytäntö
1. MÄÄRITELMÄT
a. "Omaisuus" tarkoittaa mitä tahansa laitteiston ja ohjelmiston osaa tai elementtiä, jota käytetään tai voidaan käyttää ASIAKKAAN tietojen luomiseen, pääsyyn, käsittelyyn, suojaamiseen, valvontaan, tallentamiseen, hakemiseen, näyttämiseen tai lähettämiseen.
b. "ASIAKAStiedot" tarkoittaa kaikkia tietoja, joita ASIAKAS tai sen puolesta toimiva henkilö toimittaa TARJOAJAlle tai sallii TARJOAJAN käyttää ja käsitellä Sopimuksen yhteydessä.
c. "Salaus" tarkoittaa tietojen tai tietojen muuntamista koodiksi, erityisesti luvattoman käytön estämiseksi.
d. "Paikkaus" tarkoittaa mitä tahansa ohjelmiston ja käyttöjärjestelmän (OS) päivityksiä, jotka korjaavat ohjelman tai tuotteen tietoturva-aukkoja.
e. "Petkeytymistesti" tarkoittaa valtuutettua simuloitua kyberhyökkäystä tietokonejärjestelmään, joka suoritetaan järjestelmän turvallisuuden arvioimiseksi.
f. "TARJOAJAJÄRJESTELMÄ" tarkoittaa mitä tahansa järjestelmää tai omaisuutta, joka on (kokonaan tai osittain) omistuksessa tai hallinnassa TARJOAJAN tai minkä tahansa sen Tytäryhtiön toimesta tai sen puolesta.
g. "Turvallisuushäiriö" tarkoittaa tapahtumaa, tapahtumaa ja/tai ongelmaa, joka on johtanut ASIAKKAAN tietojen ja/tai Palvelun luottamuksellisuuden, eheyden ja/tai saatavuuden todelliseen vaarantumiseen.
h. "Tuotantoympäristö" tarkoittaa ympäristöä, jossa ASIAKAStietoja tallennetaan ja käsitellään.
i. "Testausympäristö" tarkoittaa ympäristöä, joka on asetettu saataville äskettäin kehitettyjen ohjelmien tai ohjelmistotuotteiden testaamista varten ennen niiden julkaisua tuotantoympäristöön.
j. "Haavoittuvuus" tarkoittaa, että järjestelmässä on havaittu heikkous/puute.
k. "Keinotekoisesti lisätty liikenne" tarkoittaa mitä tahansa liikennettä, joka on tuotettu automaattisilla tai vilpillisillä keinoilla, mukaan lukien, mutta ei rajoittuen, robotit, klikkausfarmit tai muut keinot, joiden tarkoituksena on lisätä liikennemääriä keinotekoisesti.
2. TIETOTURVALLISUUDEN ORGANISAATIO
TARJOAJAN tulee:
2.1. määritellä, dokumentoida, toteuttaa ja ylläpitää alan standardien mukaisia suojauskäytäntöjä samalla kun: - varmistaa, että tietojen ja tietojärjestelmien luottamuksellisuus, eheys ja saatavuus säilyvät. - noudattaa lakisääteisiä vaatimuksia, joita ASIAKAS ja ASIAKKAAN tiedot voivat kohdistaa.
2.2. tarkistaa politiikkansa ja menettelynsä vuosittain ja/tai vastauksena merkittäviin muutoksiin.
2.3. varmistaa, että TARJOAJAN johto dokumentoi ja hyväksyy tietoturvakäytännöt ja että ne julkaistaan ja niistä tiedotetaan asianmukaisille sidosryhmille.
2.4. varmistaa, että heillä on tarvittava määrä tietoturva-ammattilaisia, jotka ovat vastuussa kaikkien tietoturvatoimintojen, -käytäntöjen ja -menettelyjen koordinoinnista ja valvonnasta.
2.5. ylläpitää prosessia turvavalvonnan tehokkuuden säännöllistä sisäistä ja ulkoista validointia varten. TARJOAJAN tulee viipymättä korjata ja korjata kaikki puutteet siinä määrin kuin se on tarpeen TARJOAJAN Sopimuksen ja näiden Ehtojen mukaisten velvoitteiden noudattamiseksi.
3. HENKILÖSTÖ- JA TURVALLISUUSKOULUTUS
TARJOAJAN tulee:
3.1. määritellä, dokumentoida, toteuttaa ja ylläpitää asianmukaista taustantarkistuspolitiikkaa ja -menettelyä. Tarkistukset voivat sisältää henkilön koulutuksen ja aiemman työhistorian, rikosrekisterin, viitetarkastukset ja kaikki muut alan standardit taustatarkistusvaatimukset asiaankuuluvien ja sovellettavien lakien ja määräysten mukaisesti.
3.2. suorittaa taustatarkistuksia kaikille nykyisille ja uusille työntekijöille, mukaan lukien sopimustyöntekijät.
3.3. varmistaa, että kaikkia työntekijöitä sitoo asianmukainen salassapitosopimus.
3.4. määritellä, dokumentoida, toteuttaa ja ylläpitää muodollista turvallisuus- ja yksityisyystietoisuuskoulutusta kaikille työntekijöille. TARJOAJA varmistaa, että tällaista koulutusta järjestetään ennen luvan myöntämistä arkaluonteisten tietojen saamiseen tai käyttöön ja jatkuvasti sen jälkeen.
4. VARAINHOITO
TARJOAJAN tulee:
4.1. määritellä, dokumentoida, toteuttaa ja ylläpitää tarkkaa ja ajan tasalla olevaa luetteloa, joka tallentaa kaikki laitteistot ja ohjelmistot sekä tiedot omistajasta ja sijainnista.
4.2. varmista, että vain ohjelmistosovellukset ja/tai käyttöjärjestelmät, joita tällä hetkellä tuetaan ja/tai jotka saavat toimittajan päivityksiä, lisätään TARJOAJAN valtuutettuun ohjelmistovalikoimaan.
4.3. varmista, että kaikki EOL:a (End-of-life) tukevat ohjelmistot ja laitteistot poistetaan käytöstä ja luettelo päivitetään ajoissa.
4.4 määritellä säännöt tiedon ja tietojen käsittelyyn liittyvien varojen hyväksyttävälle käytölle.
4.5. varmistaa, että kaikki tiedot luokitellaan lakisääteisten vaatimusten, arvon, kriittisyyden ja herkkyyden perusteella ja että niitä käsitellään sen luokitusmerkinnän mukaisesti.
4.6. varmistaa TARJOAJAN järjestelmien ASIAKAStietojen asianmukainen käsittely ja hävittäminen: - ASIAKKAAN tietueiden hävittäminen on suoritettava turvallisella tavalla, jotta varmistetaan tietojen palauttaminen. - Poistovarmenteen tulee olla saatavilla kaikissa ad hoc CLIENT -pyynnöissä tietojen poistamiseksi.
5. KÄYTÖN HALLINTA
5.1. Yleiset määräykset
TARJOAJAN tulee:
5.1.1. määritellä, dokumentoida, toteuttaa ja ylläpitää kulunvalvontapolitiikkaa ja -menettelyjä liiketoiminnan tarpeiden ja "vähiten etuoikeus" -periaatteen perusteella ja varmistaa, että vain valtuutetuilla työntekijöillä on pääsy PROVIDER-järjestelmiin.
5.1.2. varmistaa, että käytetään vain yksilöllisiä tunnuksia, ja dokumentoitava kaikki poikkeukset ja jaettujen tilien käyttö.
5.1.3. varmistaa, että kaikki pääsy TARJOAJAN järjestelmiin, jotka tallentavat tai käsittelevät ASIAKAStietoja, ovat monivaiheisen todennuksen (MFA) alaisia.
5.1.4. tarkista määräajoin, vähintään vuosittain, myönnettyjen käyttäjäoikeuksien asianmukaisuus.
5.1.5. varmistaa, että käyttäjien hallintatoimet (käyttäjäoikeuksien lisääminen, muuttaminen tai poistaminen) suoritetaan pätevän muodollisen pyynnön perusteella ja oikea-aikaisesti.
5.2. ETÄKÄYTTÖTURVALLISUUS
TARJOAJAN tulee:
5.2.1. varmistaa, että asianmukaiset suojaustoiminnot on otettu käyttöön estämään luvaton etäkäyttö PROVIDER-järjestelmiin. Tällaisiin valvontatoimiin on sisällyttävä ainakin: - Kaikki etäkäyttö PROVIDER-järjestelmiin ja/tai verkkoon saa tapahtua vain VPN:n ja monitekijätodennuksen (MFA) kautta. - Kaikki etäkäyttömekanismin kautta kulkevat tiedot on salattava päätepisteestä (esim. kannettava tietokone) verkkoon. - Kaikki yritykset muodostaa yhteys PROVIDER-järjestelmiin luvattoman etäkäyttömekanismin avulla on hylättävä ja kirjattava lokiin. - Epäilyttävä toiminta on käsiteltävä asiaankuuluvien suojauskäytäntöjen mukaisesti.
5.3. SALASANAN HALLINTA
TARJOAJAN tulee:
5.3.1. määritellä, dokumentoida, toteuttaa ja ylläpitää salasanapolitiikkaa alan parhaiden käytäntöjen ja sisäisten liiketoiminnan tarpeiden mukaisesti.
5.3.2. Varmista, että salasanat ovat riittävän pitkiä, monimutkaisia, eivät sisällä helposti arvattavia sanoja ja että ne vaihdetaan säännöllisin väliajoin.
5.3.3. varmistaa, että käyttäjätilit lukitaan tietyn määrän epäonnistuneita yrityksiä syöttää väärä salasana ja että tili on lukittu tietyksi ajaksi.
5.3.4. varmista, että salasanat tallennetaan turvallisesti, jotta ne eivät ole ymmärrettäviä, vaikka ne pysyvät voimassa.
6. KRYPTOGRAFIA
TARJOAJAN tulee:
6.1. määritellä, dokumentoida, toteuttaa ja ylläpitää asiaankuuluvia käytäntöjä ja menettelyjä, jotka säätelevät asianmukaisten salausohjaimien käyttöä ja avaintenhallintaprosesseja, jotka määrittävät salausavainten ja avainmateriaalin käyttöä, suojaa ja elinikää koskevat säännöt.
6.2. Varmista, että CLIENT Data on suojattu siirron aikana tai lepotilassa käyttämällä suojattuja protokollia (esim. TLS 1.2, AES-256 tai muita alan suosittelemia standardeja).
6.3. hallita kaikkia salausavaimia avaintenhallintajärjestelmässä, jonka TARJOAJA omistaa ja jota ylläpitää.
6.4 varmistaa tehtävien asianmukainen erottelu salausavainten hallintaprosessissa.
7. FYYSINEN JA YMPÄRISTÖTURVALLISUUS
TARJOAJAN tulee:
7.1. määritellä, dokumentoida, toteuttaa ja ylläpitää fyysisiä turvakäytäntöjä ja -menettelyjä estääkseen luvattoman fyysisen pääsyn, vahingoittumisen ja häiriöitä organisaation tietoihin ja tietojenkäsittelylaitteisiin, jotka tallentavat ASIAKAStietoja.
7.2. toteuttaa fyysisiä ja ympäristöturvallisuusprosesseja ja -valvontaa määriteltyjen politiikkojen ja menettelytapojen mukaisesti. TARJOAJA voi ulkoistaa osan tai kaikki fyysiset turvatarkastukset kolmannelle osapuolelle, ja sen on varmistettava, että samantasoiset tarkastukset ovat käytössä ja arvioitava säännöllisesti kolmannen osapuolen vaatimustenmukaisuutta.
7.3. Varmista, että turvalliset alueet on suojattu asianmukaisilla sisäänpääsyrajoittimilla ja vain valtuutetut henkilöt pääsevät sisään.
7.4 varmistaa, että kaikki vierailijat ovat valtuutettuja, heillä on asianmukainen henkilöllisyystodistus ja että heillä on pääsy vain tarpeellisille alueille.
7.5 varmista, että lukittavia kaappeja käytetään luottamuksellisten tietojen suojaamiseen.
7.6 varmista, että tallennusvälineitä sisältävät laitteet on kirjoitettu turvallisesti päälle ennen hävittämistä tai uudelleenkäyttöä.
7.7. Varmista, että tietojenkäsittelytiloihin sovelletaan selkeää työpöytäpolitiikkaa ja selkeää näyttöpolitiikkaa.
8. TOIMINNAN TURVALLISUUS
TARJOAJAN tulee:
8.1. määrittää, dokumentoida, toteuttaa ja ylläpitää suojaustoimintamenettelyjä varmuuskopiointia, päätepisteiden suojausta, haavoittuvuuden hallintaa, virusten ja haittaohjelmien torjuntaa, korjauksia, järjestelmän vahvistamista ja kirjaamista varten.
8.2. suorittaa haavoittuvuusarviointeja ja penetraatiotestejä säännöllisesti alan parhaiden käytäntöjen ja sisäisten liiketoiminnan tarpeiden mukaisesti. TARJOAJAN tulee myös suorittaa riskiarviointi, jonka jälkeen tunnistetut ongelmat korjataan.
8.3 varmistaa, että haavoittuvuudet käsitellään määritellyn tärkeysjärjestyksen mukaisesti ja vaadittujen ratkaisuaikataulujen mukaisesti.
8.4 käyttää korjaustiedostoja ja päivityksiä kaikille infrastruktuurin tasoille määritellyn priorisoinnin mukaisesti.
8.5 varmistaa, että päätepisteet, palvelimet, tallennuslaitteet, sähköposti-/verkkoyhdyskäytävät ja sähköpostiliikenne suojataan aktiivisilla haittaohjelmien torjuntatyökaluilla, jos se on teknisesti mahdollista havaita ja mahdollisuuksien mukaan estää haittaohjelmatartunnat.
8.6. luoda varmuuskopioita tiedoista, ohjelmistoista ja järjestelmäkuvista ja testata niitä säännöllisesti alan parhaiden käytäntöjen ja sisäisten liiketoimintatarpeiden mukaisesti.
8.7 varmistaa, että asianmukainen kirjaaminen suoritetaan riittävän yksityiskohtaisesti ja ylläpidetään määriteltyjen säilytysaikojen mukaisesti, samalla kun se on suojattu manipuloinnilta ja luvattomalta käytöltä.
8.8 määrittää, dokumentoida, toteuttaa ja ylläpitää sääntöjä, jotka koskevat käyttäjien asentamia ohjelmistoja.
8.9. määrittää, dokumentoida, toteuttaa ja ylläpitää standardeja päätepisteiden suojatulle konfiguroinnille, mukaan lukien, mutta ei rajoittuen, kannettavat tietokoneet, palvelimet, virtuaalikoneet, tietokannat ja verkkolaitteet suojatakseen CLIENT Datan luottamuksellisuuden, eheyden ja käytettävyyden katoamista lepotilassa ja siirron aikana.
9. VERKKO- JA VIESTINTURVALLISUUS
TARJOAJAN tulee:
9.1. määritellä, dokumentoida, toteuttaa ja ylläpitää kaikkien verkkopalvelujen turvamekanismit ja hallintavaatimukset.
9.2. määritellä, dokumentoida, toteuttaa ja ylläpitää vahvoja salaus- ja suojausmääritysstandardeja turvatakseen tiedonsiirron julkisissa ja ei-julkisissa verkoissa.
9.3. varmistaa, että kaikkien asiaankuuluvien tietojenkäsittelyjärjestelmien kellot synkronoidaan yhteen viiteaikalähteeseen.
9.4 tarkkaile verkkoliikennettä ja verkon kehää havaitaksesi kyberhyökkäykset ja estääksesi haitalliset palvelut, verkkosivut ja liikenteen.
9.5 varmistaa, että palomuurisääntöjen muutoksia valvotaan virallisen pyyntö-/hyväksyntäprosessin kautta ja että ne tarkistetaan säännöllisesti.
9.6. rajoittaa ja valvoa pääsyä organisaatioihin alan parhaiden käytäntöjen ja sisäisten liiketoiminnan tarpeiden mukaisesti.
9.7 Varmista, että vyöhykemallia sovelletaan ja että verkko on segmentoitu asianmukaisesti, kun taas kussakin segmentissä sallitaan vain hyväksytty pääsy ja liikenne.
10. OHJELMISTON KEHITYKSEN ELINKAARI (SDLC)
TARJOAJAN tulee:
10.1. luo turvallisen kehityksen elinkaari varmistaaksesi, että Palvelut kehitetään ja ylläpidetään turvallisesti.
10.2. hallita järjestelmien muutoksia kehityksen elinkaaren sisällä muodollisilla muutoksenhallintamenettelyillä.
10.3. varmistaa, että kehitys-, testaus- ja tuotantoympäristöt erotetaan toisistaan, jotta voidaan vähentää luvattoman käytön tai tuotantoympäristön muutosten riskiä.
10.4 varmistaa, että tietoturvaan liittyvät vaatimukset sisältyvät uusien Palveluiden tai olemassa olevien Palveluiden parannuksiin liittyviin vaatimuksiin.
10.5. varmistaa, että testidata luodaan huolellisesti ja hallitusti ja että tuotantotietoja ei käytetä testaustarkoituksiin.
11. TOIMITTAJASUHTEET
TARJOAJAN tulee:
11.1. määritellä, dokumentoida, toteuttaa ja ylläpitää toimittajasuhteiden hallinnan periaatteita ja menettelytapoja, jotka määrittelevät perusperiaatteet ja säännöt toimittajasuhteiden hallintaan, jotka ovat liiketoiminnan, turvallisuusvaatimusten sekä sovellettavien säädösten, parhaiden käytäntöjen ja kansainvälisten standardien mukaisia.
11.2. TARJOAJAN tulee arvioida ja dokumentoida toimittajan ratkaisun vaatimustenmukaisuus jokaisen toimittajan osalta, joka voi käyttää, käsitellä tai tallentaa ASIAKAStietoja. Kriittisten toimittajien osalta, mukaan lukien alikäsittelijät, uudelleenarviointi on tehtävä vuosittain.
11.3. varmistaa, että kaikki asiaankuuluvat tietoturvavaatimukset määritellään ja niistä sovitaan jokaisen toimittajan kanssa, joka voi käyttää, käsitellä tai tallentaa ASIAKAStietoja.
11.4. varmistaa, että jokaisen toimittajan kanssa, joka voi käyttää, käsitellä tai tallentaa ASIAKKAAN tietoja, on voimassa oleva sopimus, jossa määritellään liikesuhteen työn laajuus, luottamuksellisuus, turvallisuus ja tekniset vaatimukset (jos sovellettavissa).
12. TIETOTURVALLISUUSTAPAHTUMAN HALLINTA
TARJOAJAN tulee:
12.1. määritellä, dokumentoida, toteuttaa ja ylläpitää muodollista prosessia tietoturvaloukkausten raportoimiseksi, niihin reagoimiseksi ja hallintaan. Tähän tulee sisältyä vähintään: - Menettely tällaisten tapausten/loukkausten raportoimiseksi TARJOAJAN organisaation asianmukaiselle johdolle. - Prosessi tietoturvahäiriöiden tunnistamiseksi, arvioimiseksi ja käsittelemiseksi. - Selkeästi nimetty tiimi johtamaan ja koordinoimaan reagointia tapahtumaan. - Dokumentoitu ja testattu prosessi, jolla hallitaan reagointia tapahtumaan, mukaan lukien vaatimus pitää asianmukaisia asioita ja toimintalokeja, joista käy ilmi tapahtumaajankohta, tapahtumasta ilmoittanut henkilö, jolle se on raportoitu ja sen vaikutukset. - Vaatimus ilmoittaa ASIAKKAALLE hyvissä ajoin ja viimeistään 72 tunnin kuluttua tietoturvaloukkauksesta ja kielteisestä vaikutuksesta ASIAKKAALLE tarjottaviin palveluihin vahvistetaan. Lyhyempi ilmoitusaika on voimassa, jos tällainen vaatimus perustuu sovellettavaan lainsäädäntöön ja/tai määräykseen. - TARJOAJAN tapahtumanhallintatiimin tulee tarvittaessa työskennellä yhdessä ASIAKKAAN turvallisuusedustajien kanssa, kunnes tietoturvaloukkaus on ratkaistu tyydyttävästi. - TARJOAJAN tulee noudattaa kaikkia kansallisia säädöksiä ja lakeja, jotka koskevat tietoturvaloukkausten ilmoittamista lainvalvonta-, valvonta- tai muille kansallisille viranomaisille.
13. LIIKETOIMINNAN JATKUVUUDEN HALLINTA
TARJOAJAN tulee:
13.1. määritellä, dokumentoida, toteuttaa ja ylläpitää liiketoiminnan jatkuvuusohjelmaa.
13.2. tunnistaa ja priorisoida SMSBAT:n kriittiset tuotteet ja palvelut käyttämällä Business Impact Analysis (BIA) -prosessia.
13.3. käyttää riskinarviointitietoja ja menetelmiä häiriön uhan arvioimiseen.
13.4. Liiketoimintavaikutusten analysoinnin ja riskinarvioinnin tulosten perusteella kehittää reagointi- ja toipumisstrategioita, joilla vähennetään kriittisiin palveluihin kohdistuvia vaikutuksia häiritsevän tapahtuman aikana.
13.5. kehittää liiketoiminnan jatkuvuus- ja elvytyssuunnitelmia, jotka sopivat tarkoitukseen, tarkistetaan säännöllisesti, ovat saatavilla ja joita on helppo seurata ja ymmärtää.
13.6. kehittää kriisinhallinta- ja viestintäsuunnitelmia tehokkaaseen kriisinhallintaan, priorisointiin viestinnässä ja tapoja varoittaa tapauksista.
13.7. tarjota koulutusta ja harjoittelua, joka on kehitetty vaadittua osaamista vastaan ja toimitettu työntekijöille, joilla on suora vastuu liiketoiminnan jatkuvuudesta.
13.8. Paranna jatkuvasti SMSBAT:n liiketoiminnan jatkuvuusohjelmaa säännöllisen arvioinnin avulla ja ottamalla huomioon kaikki muutokset lakisääteisissä ja sääntelyvaatimuksissa.
14. VAATIMUSTENMUKAISUUS
TARJOAJAN tulee:
14.1. Käy läpi säännölliset auditoinnit alan standardien mukaisesti vuosittain. ASIAKKAAN kirjallisesta pyynnöstä TARJOAJAN on toimitettava ASIAKKAALLE soveltuvin osin koko tai tiivistelmä kopion senhetkisistä raporteistaan. TARJOAJAN tulee myös toimittaa viimeistään kymmenen (10) työpäivän kuluessa kirjalliset vastaukset kaikkiin ASIAKKAAN tekemiin kohtuullisiin pyyntöihin (kyselylomakkeet, lomakkeet jne.) varmistaakseen, että TARJOAJA noudattaa näiden Ehtojen vaatimuksia.
14.2. Sovellettavien määräysten edellyttämässä laajuudessa TARJOAJAN on kerran vuodessa vähintään 30 kalenteripäivää etukäteen ilmoittamalla ASIAKKAALLE, sen vastaaville tilintarkastajille tai muille edustajille (kukin "Tarkastusosapuoli") pääsy Toimittajan tiloihin, asiakirjoihin ja asiakirjoihin tarkastavan osapuolen kohtuudella vaatimalla varmistaakseen, että TARJOAJA noudattaa näiden Ehtojen vaatimuksia. Tämän kappaleen mukainen tarkastelu ei edellytä minkään kolmannen osapuolen tietojen tarkistamista, ja Tarkastusosapuoli voidaan vaatia tekemään luottamuksellisuussopimus TARJOAJAN kanssa, jos se on kohtuudella tarpeen niiden tietojen luottamuksellisuuden kunnioittamiseksi, jotka tilintarkastusosapuoli voi saada tietoonsa tarkastelun aikana. Kumpikin osapuoli vastaa omista kustannuksistaan, jotka liittyvät tällaiseen tarkastukseen. Mikäli tarkastuksessa havaitaan, että TOIMITTAJAN näiden Ehtojen mukaisia velvoitteita ei noudateta, TOIMITTAJAN on korjattava tällainen laiminlyönti yhteisesti sovitussa aikataulussa ja vastattava tällaisten toimien kustannuksista.
14.3. TARJOAJA varaa oikeuden asettaa rajoituksia sisäisten luottamuksellisten tietojen näyttämiselle ja kopioiden ottamiselle kohdissa 14.1 ja 14.2 vaadituista todisteista.
15. ASIAKKAAN TURVALLISUUSVAATIMUKSET
15.1. Yleiset turvatoimenpiteet
TARJOAJAN tulee:
15.1.1. PROVIDER on määritellyt, dokumentoinut, toteuttanut ja ylläpitää tietoturvasuosituksia pilviviestintäpalveluitaan käyttäville ASIAKASILLE. ASIAKKAAN tulee tarkastella suosituksia ja toteuttaa ne liiketoimintatarpeidensa, teknisen valmiutensa ja riskinottohalunsa mukaisesti.
15.1.2. ASIAKAS on täysin vastuussa turvatoimenpiteiden asianmukaisesta käyttöönotosta omalla puolellaan, eikä se aseta TARJOAJAlle mitään vastuuta, jos tietoturvahäiriö johtuu turvallisuus- ja teknisten toimenpiteiden virheellisestä asettamisesta tai TARJOAJAN suosittelemien toimenpiteiden toteuttamisen laiminlyönnistä.
15.2. AIT-turvallisuuden lieventämistoimenpiteet
TARJOAJAN tulee:
15.2.1. PROVIDER on määrittänyt, dokumentoinut ja ylläpitää tietoturvaohjeita petostapausten estämiseksi.
15.2.2. Mahdollinen riski voi syntyä ASIAKKAAN verkkosivustolla tai PROVIDER-järjestelmiin integroidussa mobiilisovelluksessa, jos rekisteröintiä tai muuta lomaketta, joka suorittaa SMS MT:n OTP:illä, ei ole suojattu antibottimekanismilla, kuten CAPTCHA. Tällaisten sovellusten haavoittuvuudet voivat johtaa keinotekoisesti lisättyihin liikennehyökkäyksiin (AIT). Botin vastainen mekanismi, kuten CAPTCHA, on välttämätön suojaamaan käyttäjän kirjautumisvirtaa automaattisilta väärennetyiltä rekisteröinneiltä, jotka suorittavat SMS MT:n OTP:illä.
15.2.3. Kun AIT-hyökkäystä tapahtuu, liikenne lähetetään TARJOAJAN infrastruktuuriin ASIAKAS käyttämän lähde-IP-osoitteen avulla. Liikenteen SMS MT -sisältöä ei voi erottaa ASIAKKAAN todellisesta liikenteestä. Koska ASIAKKAALTA ei ole saatu palautetta, TARJOAJA ei pysty erottamaan ASIAKKAAN sovelluksen AIT:tä samasta sovelluksesta tulevasta aidosta liikenteestä. Tämän seurauksena TARJOAJAA ei voida pitää vastuullisena ASIAKKAAN verkko- tai mobiilisovellusten turvallisuudesta. ASIAKAS tiedostaa lisäksi, että kaikki ASIAKKAAN infrastruktuurista vastaanotettu liikenne reititetään verkko-operaattoreille ja veloitetaan ASIAKKAALTA Sopimuksen ehtojen mukaisesti.
15.2.4. Vaikutuksen kohteena olevien verkkojen estäminen ei estäisi samanlaisen ongelman toistumista käytössä olevissa verkoissa, koska ongelman perimmäinen syy on ASIAKAS infrastruktuurissa. Siksi ASIAKKAAN on ehdottomasti osoitettava kaikki verkkosivustollaan tai mobiilisovelluksessaan olevat lomakkeet, jotka suorittavat SMS MT OTP -koodeja.
15.3. Luottorajan korotuspyyntö
TARJOAJAN tulee:
15.3.1. Raja voi kulua nopeasti loppuun, jos CLIENT-sivuston haavoittuvuuksia ei korjata. Siksi TARJOAJA pyytää ASIAKKAALTA vahvistusta tietoisuudesta riskeistä ja ymmärrystä luottolimiitin korottamisen mahdollisista seurauksista.
15.3.2. Pyytämällä luottolimiitin korotusta ASIAKAS tunnustaa vastuun AIT-hyökkäyksistä mahdollisesti aiheutuvista menetyksistä ja sitoutuu maksamaan niistä mahdollisesti aiheutuvat kulut.