תנאי אבטחת מידע
הספק יספק את השירותים ויבצע את התחייבויותיו על פי ההסכם בהתאם ל:
א. (א) תנאי אבטחת מידע אלה
ב. (ii) נוהלי אבטחה טובים
1. הגדרות
א. "נכס" פירושו כל פריט או רכיב של חומרה ותוכנה שנמצאים או עשויים לשמש לצורך יצירה, גישה, עיבוד, הגנה, ניטור, אחסון, אחזור, הצגה או שידור של נתוני לקוח.
ב. "נתוני הלקוח" פירושו כל מידע שהלקוח, או אדם הפועל מטעמו, מספק לספק, או מאפשר לספק לגשת ולעבד, בקשר עם ההסכם.
ג. "הצפנה" פירושה תהליך של המרת מידע או נתונים לקוד, במיוחד כדי למנוע גישה בלתי מורשית.
ד. "תיקון" פירושו כל עדכוני תוכנה ומערכת הפעלה (OS) המטפלים בפרצות אבטחה בתוך תוכנית או מוצר.
ה. "בדיקת חדירה" פירושה התקפת סייבר מדומה מורשית על מערכת מחשב, שבוצעה כדי להעריך את אבטחת המערכת.
ו. "מערכת ספקית" פירושה כל מערכת או נכס הנמצאים בבעלות או מנוהלים (כולל או חלקי) לתפעול על ידי או מטעם הספק או כל אחד מהשותפים שלו.
ז. "אירוע אבטחה" פירושו תקרית, אירוע ו/או בעיה שהביאו לפגיעה ממשית של הסודיות, השלמות ו/או הזמינות של נתוני הלקוח ו/או השירות.
ח. "סביבת ייצור" פירושה סביבה שבה נתוני לקוח מאוחסנים ומעובדים.
אֲנִי. "סביבת בדיקה" פירושה סביבה שזמינה לבדיקה של תוכניות או מוצרי תוכנה שפותחו לאחרונה לפני השחרור לסביבת ייצור.
י. "פגיעות" פירושה קיומו של חולשה/פגם שנמצא במערכת.
ק. "תנועה מנופחת באופן מלאכותי" פירושה כל תנועה שנוצרת באמצעים אוטומטיים או הונאה, לרבות אך לא רק בוטים, חוות קליקים או כל אמצעי אחר שנועד לנפח באופן מלאכותי את נפחי התנועה.
2. ארגון אבטחת המידע
הספק י:
2.1. להגדיר, לתעד, להטמיע ולתחזק מדיניות אבטחה התואמת לתקנים בתעשייה, תוך: - הקפדה על שמירת הסודיות, השלמות והזמינות של מערכות מידע ומידע. - עמידה בדרישות החוקיות והרגולטוריות שאליהן עשויים להיות נתונים של הלקוח והלקוח.
2.2. לבדוק את המדיניות והנהלים שלה על בסיס שנתי, ו/או בתגובה לכל שינוי משמעותי.
2.3. להבטיח שמדיניות האבטחה מתועדת ומאושרת על ידי הנהלת הספק ומפורסמת ומועברת לבעלי עניין רלוונטיים.
2.4. להבטיח שיש להם את המספר הנדרש של אנשי אבטחה שיהיו אחראים על תיאום ומעקב אחר כל פונקציות אבטחת המידע, המדיניות והנהלים.
2.5. לשמור על תהליך לאימות פנימי וחיצוני תקופתי של יעילות בקרות האבטחה שלו. הספק יטפל באופן מיידי ויפתור כל ליקוי במידת הצורך כדי לעמוד בהתחייבויות של הספק לפי ההסכם ותנאים אלה.
3. אימון משאבי אנוש ואבטחה
הספק י:
3.1. להגדיר, לתעד, ליישם ולשמור על מדיניות ונוהל בדיקת רקע מתאימים. הבדיקות עשויות לכלול את ההשכלה וההיסטוריה התעסוקתית הקודמת של האדם, רישום פלילי, בדיקות התייחסות וכל דרישות נוספות לבדיקת רקע בתעשייה בהתאם לחוקים ולתקנות הרלוונטיים והחלים.
3.2. לבצע בדיקות אימות רקע על כל העובדים הקיימים והחדשים כולל עובדי חוזה.
3.3. לוודא שכל העובדים מחויבים בהסכם סודיות מתאים.
3.4. להגדיר, לתעד, ליישם ולתחזק הדרכה רשמית למודעות אבטחה ופרטיות לכל העובדים. הספק יבטיח שהדרכות כאלה יינתנו לפני מתן הרשאה לגישה או שימוש במידע רגיש ובאופן רציף לאחר מכן.
4. ניהול נכסים
הספק י:
4.1. להגדיר, לתעד, ליישם ולשמור על מלאי מדויק ועדכני אשר מתעד את כל החומרה והתוכנה, עם מידע על הבעלים והמיקום של כל אחד.
4.2. ודא שרק יישומי תוכנה ו/או מערכות הפעלה הנתמכים כעת ו/או מקבלים עדכוני ספק מתווספים למלאי התוכנה המורשה של הספק.
4.3. לוודא שכל התוכנה והחומרה התומכים ב-EOL (סוף חיים) יוסרו משימוש והמלאי יעודכן בזמן.
4.4. להגדיר כללים לשימוש מקובל במידע ובנכסים הקשורים למידע ולעיבוד מידע.
4.5. לוודא שכל המידע מסווג במונחים של דרישות משפטיות, ערך, קריטיות ורגישות, ומטופל בהתאם לתווית הסיווג שלו.
4.6. להבטיח טיפול וסילוק נאותים של נתוני CLIENT ממערכות PROVIDER: - סילוק רשומות נתוני CLIENT חייב להתבצע בצורה מאובטחת כדי להבטיח שהנתונים יהיו בלתי ניתנים לאחזור. - אישור המחיקה צריך להיות זמין עבור כל בקשות אד-הוק של לקוח למחיקת נתונים.
5. בקרת גישה
5.1. הוראות כלליות
הספק י:
5.1.1. להגדיר, לתעד, להטמיע ולתחזק מדיניות ונהלים בקרת גישה על בסיס הצרכים העסקיים ועקרון ה"Least Privilege" ולהבטיח שרק לעובדים מורשים תהיה גישה למערכות PROVIDER.
5.1.2. ודא כי נעשה שימוש רק במזהים ייחודיים ותעד כל חריגה ושימוש בחשבונות משותפים.
5.1.3. להבטיח שכל גישה למערכות PROVIDER המאחסנות או מעבדות נתוני לקוח כפופה לאימות רב-גורמי (MFA).
5.1.4. מעת לעת, על בסיס שנתי לפחות, סקור את התאמתם של הרשאות המשתמש שהוקצו.
5.1.5. להבטיח שפעילויות ניהול משתמשים (הוספה, שינוי או הסרה של הרשאות משתמש) מבוצעות על סמך בקשה רשמית חוקית ובזמן.
5.2. אבטחת גישה מרחוק
הספק י:
5.2.1. ודא שמערכת בקרות אבטחה מתאימה הוקמה כדי למנוע גישה מרחוק בלתי מורשית למערכות PROVIDER. בקרות כאלה יכללו לפחות: - כל גישה מרחוק למערכות PROVIDER ו/או לרשת תהיה רק באמצעות VPN ואימות רב-גורמי (MFA). - כל הנתונים העוברים על פני מנגנון גישה מרחוק יהיו מוצפנים מנקודת הקצה (לדוגמה, מחשב נייד) לרשת. - כל הניסיונות להתחבר ל-PROVIDER Systems באמצעות מנגנון גישה מרחוק לא מורשית יידחו ויירשמו. - פעילות חשודה תטופל בהתאם לפרוטוקולי אבטחה רלוונטיים.
5.3. ניהול סיסמאות
הספק י:
5.3.1. להגדיר, לתעד, ליישם ולשמור על מדיניות סיסמאות בהתאם לשיטות העבודה המומלצות בתעשייה ולצרכים העסקיים הפנימיים.
5.3.2. ודא שהסיסמאות באורך מספיק, מורכבות, אינן מכילות מילים ניתנות לניחוש והן מוחלפות במרווחי זמן קבועים.
5.3.3. ודא שחשבונות משתמש ננעלים לאחר מספר מסוים של ניסיונות לא מוצלחים של הזנת סיסמה שגויה ושהחשבון ננעל למשך פרק זמן מסוים.
5.3.4. ודא שסיסמאות מאוחסנות בצורה מאובטחת שתהפוך אותן לבלתי מובנות בזמן שהן נשארות תקפות.
6. קריפטוגרפיה
הספק י:
6.1. להגדיר, לתעד, ליישם ולתחזק מדיניות ונהלים רלוונטיים המסדירים את השימוש בבקרות הצפנה מתאימות ואת תהליכי ניהול המפתחות הקובעים את כללי השימוש, ההגנה ואורך החיים של מפתחות הצפנה וחומרי מפתח.
6.2. ודא שנתוני CLIENT מוגנים בזמן מעבר או במנוחה באמצעות פרוטוקולים מאובטחים (לדוגמה, TLS 1.2, AES-256 או תקנים אחרים המומלצים בתעשייה).
6.3. לנהל את כל מפתחות ההצפנה במערכת ניהול מפתחות בבעלות ה-PROVIDER ובניהולו.
6.4. להבטיח הפרדה נכונה של התפקידים בתהליך ניהול מפתחות ההצפנה.
7. אבטחה פיזית וסביבתית
הספק י:
7.1. להגדיר, לתעד, ליישם ולתחזק מדיניות ונהלי אבטחה פיזיים כדי למנוע גישה פיזית, נזק והפרעה לא מורשית למתקני המידע ועיבוד המידע של הארגון המאחסנים נתוני CLIENT.
7.2. ליישם תהליכי אבטחה פיזיים וסביבתיים ובקרות בהתאם למדיניות ונהלים מוגדרים. הספק רשאי לבצע מיקור חוץ של חלק מהבקרות האבטחה הפיזיות או את כולן לצד שלישי והוא יבטיח בקרות באותה רמה ויעריך באופן קבוע את הצד השלישי לעמידה בדרישות.
7.3. ודא שאזורים מאובטחים מוגנים על ידי בקרות כניסה מתאימות ורק לצוות מורשה מתאפשרת גישה.
7.4. לוודא שכל המבקרים מורשים, בעלי זיהוי מתאים, ושניתנת להם גישה רק לאזורים הדרושים.
7.5. להבטיח כי נעשה שימוש בארונות נעילה לאבטחת מידע סודי.
7.6. ודא שציוד המכיל אמצעי אחסון מוחלף בצורה מאובטחת לפני השלכה או שימוש חוזר.
7.7. להבטיח מדיניות שולחן ברורה ומדיניות מסך ברורה המיושמת עבור מתקני עיבוד מידע.
8. אבטחת פעולות
הספק י:
8.1. להגדיר, לתעד, להטמיע ולתחזק נהלי תפעול אבטחה לגיבוי, הגנת נקודות קצה, ניהול נקודות תורפה, אנטי וירוס ואנטי תוכנות זדוניות, תיקון, הקשחת מערכות ורישום.
8.2. לבצע הערכות פגיעות ובדיקות חדירה על בסיס קבוע בהתאם לשיטות העבודה המומלצות בתעשייה ולצרכים העסקיים הפנימיים. הספק יבצע גם הערכת סיכונים, ולאחריה תיקון של בעיות שזוהו.
8.3. להבטיח שפגיעויות מטופלות בהתאם לסדר עדיפויות מוגדר ובתוך לוחות הזמנים הנדרשים לפתרון.
8.4. להחיל תיקונים ושדרוגים לכל רמות התשתית בהתאם לתעדוף מוגדר.
8.5. ודא שנקודות קצה, שרתים, התקני אחסון, שערי דואר/אינטרנט ותעבורת דואר מוגנים באמצעות כלים פעילים נגד תוכנות זדוניות, היכן שניתן מבחינה טכנית לזהות ולמנוע הידבקות בתוכנה זדונית.
8.6. ליצור עותקי גיבוי של מידע, תוכנות ותמונות מערכת ויבדוק אותם באופן קבוע בהתאם לשיטות העבודה המומלצות בתעשייה ולצרכים העסקיים הפנימיים.
8.7. להבטיח רישום מתאים מבוצע, עם פרטים מספקים ומתוחזק בהתאם לתקופות שמירה מוגדרות, תוך הגנה מפני שיבוש וגישה לא מורשית.
8.8. להגדיר, לתעד, ליישם ולתחזק כללים המסדירים את התקנת התוכנה על ידי משתמשים.
8.9. להגדיר, לתעד, להטמיע ולתחזק תקנים לתצורה מאובטחת של נקודות קצה, לרבות, אך לא רק למחשבים ניידים, שרתים, מכונות וירטואליות, מסדי נתונים והתקני רשת כדי להגן מפני אובדן סודיות, שלמות וזמינות של נתוני CLIENT בזמן מנוחה ובמעבר.
9. אבטחת רשת ותקשורת
הספק י:
9.1. להגדיר, לתעד, להטמיע ולתחזק מנגנוני אבטחה ודרישות ניהול של כל שירותי הרשת.
9.2. להגדיר, לתעד, להטמיע ולתחזק תקני הצפנה ותצורת אבטחה חזקים כדי לאבטח תקשורת ברשתות הציבוריות והלא ציבוריות.
9.3. לוודא שהשעונים של כל מערכות עיבוד המידע הרלוונטיות מסונכרנות למקור זמן התייחסות יחיד.
9.4. לפקח על תעבורת האינטרנט והיקף הרשת כדי לזהות התקפות סייבר ולחסום שירותים זדוניים, דפי אינטרנט ותעבורה.
9.5. ודא ששינויים בכללי חומת האש נשלטים באמצעות תהליך בקשה/אישור רשמי ונבדקים באופן קבוע.
9.6. להגביל ולשלוט בגישה לארגונים בהתאם לשיטות העבודה המומלצות בתעשייה ולצרכים העסקיים הפנימיים.
9.7. ודא שמודל ייעוד מיושם ושרשת מפולחת כראוי, בעוד שרק גישה ותעבורה מאושרים מותרות בכל פלח.
10. מחזור חיים לפיתוח תוכנה (SDLC)
הספק י:
10.1. ליצור מחזור חיים של פיתוח מאובטח כדי להבטיח שהשירותים מפותחים ומתוחזקים בצורה מאובטחת.
10.2. לשלוט בשינויים במערכות בתוך מחזור החיים של הפיתוח על ידי נהלי בקרת שינויים פורמליים.
10.3. להבטיח שסביבות הפיתוח, הבדיקות והייצור מופרדות כדי להפחית את הסיכונים של גישה לא מורשית או שינויים בסביבת הייצור.
10.4. להבטיח שדרישות הקשורות לאבטחת מידע כלולות בדרישות עבור שירותים חדשים או שיפורים לשירותים קיימים.
10.5. לוודא שנתוני הבדיקה נוצרים בקפידה ובצורה מבוקרת, ושנתוני הייצור אינם משמשים למטרות בדיקה.
11. קשרי ספקים
הספק י:
11.1. להגדיר, לתעד, ליישם ולתחזק מדיניות ונהלים לניהול קשרי ספקים המגדירים עקרונות וכללים בסיסיים לניהול קשרי ספקים התואמים את דרישות העסק, דרישות האבטחה, כמו גם תקנות ישימות, שיטות עבודה מומלצות ותקנים בינלאומיים.
11.2. עבור כל ספק שעשוי לגשת, לעבד או לאחסן נתוני לקוח, הספק יעריך ויתעד את תאימות הפתרון של הספק. עבור ספקים קריטיים, לרבות מעבדי משנה, תבוצע הערכה מחדש על בסיס שנתי.
11.3. להבטיח שכל דרישות אבטחת המידע הרלוונטיות ייקבעו ויסוכמו עם כל ספק שעשוי לגשת, לעבד או לאחסן נתוני לקוח.
11.4. ודא שהסכם תקף המגדיר את היקף העבודה, הסודיות, האבטחה והדרישה הטכנית (אם רלוונטי) של הקשר העסקי קיים עם כל ספק שעשוי לגשת, לעבד או לאחסן נתוני לקוח.
12. ניהול אירועי אבטחת מידע
הספק י:
12.1. להגדיר, לתעד, ליישם ולתחזק תהליך רשמי לדיווח, תגובה וניהול אירועי אבטחת מידע. זה יכלול לפחות: - נוהל דיווח על תקריות/הפרות מסוג זה להנהלה המתאימה בתוך ארגון ה-PROVIDER. - תהליך של זיהוי, הערכה וטיפול באירועי אבטחת מידע. - צוות ייעודי ברור לניהול ותיאום התגובה לאירוע. - תהליך מתועד ובדוק לניהול התגובה לאירוע כולל הדרישה לשמור נושאים ויומני פעולה מתאימים שיכלול את המועד בו התרחש האירוע, המדווח על האירוע, אליו דווח וההשפעות שלו. - אישור הדרישה להודיע ללקוח במועד, ולא יאוחר מ-72 שעות לאחר אירוע אבטחת המידע והשפעה שלילית על השירותים הניתנים ללקוח. תקופת הודעה קצרה יותר תחול אם דרישה כזו מבוססת על חקיקה ו/או תקנה החלים. - צוות ניהול תקריות הספק יעבוד, במידת הצורך, יחד עם נציגי האבטחה של ה-CLIENT עד שאירוע אבטחת המידע ייפתר בצורה משביעת רצון. - הספק יתיישר עם כל התקנות והחקיקה הלאומית לגבי הודעות על אירועי אבטחת מידע כלפי רשויות אכיפת החוק, הרגולציה או כל רשויות לאומיות אחרות.
13. ניהול המשכיות עסקית
הספק י:
13.1. להגדיר, לתעד, ליישם ולתחזק תוכנית המשכיות עסקית.
13.2. לזהות ולתעדף את המוצרים והשירותים הקריטיים של SMSBAT באמצעות תהליך של ניתוח השפעה עסקית (BIA).
13.3. השתמש במידע ובשיטות של הערכת סיכונים כדי להעריך איום בשיבוש.
13.4. בהתבסס על תוצאות של ניתוח ההשפעה העסקית והערכת סיכונים, פתח אסטרטגיות תגובה והתאוששות כדי לצמצם את ההשפעה על השירותים הקריטיים במהלך אירוע משבש.
13.5. לפתח תוכניות המשכיות עסקית והתאוששות שמתאימות למטרה, נבדקות בקביעות, זמינות ופשוטות לביצוע והבנה.
13.6. לפתח תוכניות ניהול משברים ותקשורת לניהול אפקטיבי של משבר, תעדוף בתקשורת ודרכי התרעה על האירועים.
13.7. לספק הכשרה ופעילות גופנית, שפותחה מול כישורים נדרשים, ומועברת לעובדים עם אחריות ישירה להמשכיות עסקית.
13.8. לשפר ללא הרף את תוכנית ההמשכיות העסקית של SMSBAT באמצעות הערכה שוטפת ולקחת בחשבון כל שינוי בדרישות החוק והרגולציה.
14. תאימות
הספק י:
14.1. לעבור ביקורת קבועה על בסיס תקני תעשיה על בסיס שנתי. על פי בקשת הלקוח בכתב, הספק יספק ללקוח עותק מלא או מסכם, לפי העניין, של הדוחות הנוכחיים שלו. הספק ימסור גם, לא יאוחר מעשרה (10) ימי עבודה, תשובות בכתב לכל הבקשות הסבירות (שאלונים, טפסים וכו') שנשלחו על ידי הלקוח על מנת לבדוק שהספק עומד בדרישות לפי תנאים אלה.
14.2. במידה הנדרשת על פי הרגולציה החלה, פעם בשנה עם הודעה מוקדמת של 30 ימים קלנדריים לפחות, הספק יאפשר ללקוח, למבקריו בהתאמה, או לסוכנים אחרים (כל אחד "צד בודק"), לגשת למתחמים, לרישומים ולמסמכים של הספק כפי שנדרש באופן סביר על ידי הצד המבקר כדי לבדוק שהספק עומד בדרישות לפי תנאים אלה. כל סקירה בהתאם לפסקה זו לא תדרוש סקירה של נתוני צד שלישי כלשהם, והצד המבקר עשוי להידרש להתקשר בהסכם סודיות עם ה-PROVIDER ככל שיהיה נחוץ באופן סביר כדי לכבד את סודיות המידע שהצד המבקר עשוי להיות מודע לו במהלך ביצוע הסקירה. כל צד ישא בעלויות שלו ביחס לביקורת כזו. במקרה שהביקורת תגלה אי עמידה בהתחייבויות הספק על פי תנאים אלה, הספק יתקן אי ציות כאמור תוך ציר זמן מוסכם ויישא בעלויות של פעולות אלו.
14.3. הספק שומר לעצמו את הזכות להטיל מגבלות והגבלות על הצגת מידע סודי פנימי ולקחת עותקים של כל ראיה המתבקשת בסעיפים 14.1 ו-14.2.
15. דרישות אבטחת לקוח
15.1. אמצעי אבטחה כלליים
הספק י:
15.1.1. PROVIDER הגדירה, תיעדה, הטמיעה ומתחזקת המלצות אבטחה עבור לקוחות המשתמשים בשירותי התקשורת בענן שלה. לקוח יבדוק את ההמלצות האמורות ויישם אותן בהתאם לצרכיו העסקיים, ליכולתו הטכנית ולתיאבון הסיכון שלו.
15.1.2. הלקוח יהיה אחראי באופן מלא להגדרה נכונה של אמצעי אבטחה בצדו ולא יטיל אחריות כלשהי על הספק במקרה של אירוע אבטחה הנובע מהגדרה לא נכונה של אמצעי אבטחה וטכניים או רשלנות ביישום אמצעים כפי שהומלץ על ידי הספק.
15.2. אמצעים להפחתת אבטחת AIT
הספק י:
15.2.1. PROVIDER הגדיר, תיעד ושומר על הנחיות אבטחה למניעת מקרי הונאה.
15.2.2. סיכון פוטנציאלי עשוי להיווצר באתר האינטרנט של CLIENT או באפליקציה הניידת המשולבת ב-PROVIDER Systems אם רישום או טופס אחר המבצע SMS MT עם OTPs אינו מוגן באמצעות מנגנון אנטי-בוט כמו CAPTCHA. פגיעויות ביישומים כאלה עלולות להוביל להתקפות תעבורה מנופחות באופן מלאכותי (AIT). מנגנון אנטי-בוט כגון CAPTCHA חיוני כדי להגן על זרימת ההרשמה למשתמש מפני רישומים מזויפים אוטומטיים המבצעים SMS MT עם OTPs.
15.2.3. כאשר מתרחשות התקפות AIT, תעבורה נשלחת לתשתית של הספק עם כתובת ה-IP המקור המשמשת את הלקוח בזמן ההגשה. לא ניתן להבחין בין תוכן ה-SMS MT של התעבורה לבין התעבורה האמיתית של הלקוח. בהיעדר משוב כלשהו מהלקוח, הספק אינו מסוגל להבדיל בין ה-AIT באפליקציה של הלקוח לבין תעבורה אמיתית מאותה אפליקציה. כתוצאה מכך, הספק אינו יכול לשאת באחריות לאבטחת האינטרנט או האפליקציות הניידות של הלקוח. CLIENT מאשר כי כל התעבורה שתתקבל מהתשתית של CLIENT תנותב למפעילי רשת ותחויב ללקוח בהתאם לתנאי ההסכם.
15.2.4. חסימת רשתות מושפעות לא תמנע מבעיה דומה להתרחש שוב ברשתות מופעלות, מכיוון ששורש הבעיה נעוץ בתשתית של CLIENT. לפיכך, הכרחי עבור הלקוח לטפל בכל הטפסים באתר האינטרנט או באפליקציה הסלולרית שלו המבצעים קודי SMS MT OTP.
15.3. בקשה להגדלת מסגרת האשראי
הספק י:
15.3.1. ניתן למצות את המגבלה במהירות אם לא מטפלים בפגיעויות באתר CLIENT. לפיכך, הספק מבקש את אישורו של CLIENT למודעות לסיכונים ולהבנה של ההשלכות הפוטנציאליות של הגדלת מסגרת האשראי.
15.3.2. על ידי בקשת הגדלת מסגרת האשראי, הלקוח מכיר באחריות לכל הפסד פוטנציאלי עקב התקפות AIT ומתחייב לשלם עבור כל הוצאות שעלולות להיווצר כתוצאה מכך.