Uvjeti informacijske sigurnosti
DAVATELJ usluga će pružati usluge i izvršavati svoje obveze prema Ugovoru u skladu sa:
a. (I) ove Uvjete informacijske sigurnosti
b. (ii) Dobra sigurnosna praksa
1. DEFINICIJE
a. “Imovina” će značiti bilo koju stavku ili element hardvera i softvera koji se koristi ili se može koristiti u svrhu stvaranja, pristupa, obrade, zaštite, praćenja, pohrane, dohvaćanja, prikazivanja ili prijenosa podataka KLIJENTA.
b. “Podaci KLIJENTA” će značiti sve podatke koje KLIJENT, ili osoba koja djeluje u njegovo ime, pruži DAVATELJU USLUGE ili dopušta DUŽITELJU da ih pristupi i obradi, u vezi s Ugovorom.
c. "Šifriranje" će značiti proces pretvaranja informacija ili podataka u kod, posebno za sprječavanje neovlaštenog pristupa.
d. “Zakrpe” će značiti sva ažuriranja softvera i operativnog sustava (OS) koja rješavaju sigurnosne propuste unutar programa ili proizvoda.
e. “Testiranje prodora” znači ovlašteni simulirani kibernetički napad na računalni sustav, koji se provodi radi procjene sigurnosti sustava.
f. “Sustav DAVATELJA” znači bilo koji sustav ili imovinu koja je u vlasništvu ili kojom upravlja (u cijelosti ili djelomično) radi rada od strane ili u ime DAVATELJA ili bilo koje njegove podružnice.
g. “Sigurnosni incident” znači incident, događaj i/ili problem koji je rezultirao stvarnim ugrožavanjem povjerljivosti, integriteta i/ili dostupnosti podataka KLIJENTA i/ili usluge.
h. “Proizvodno okruženje” znači okruženje u kojem se podaci KLIJENTA pohranjuju i obrađuju.
ja “Okruženje za testiranje” znači okruženje dostupno za testiranje nedavno razvijenih programa ili softverskih proizvoda prije nego što budu pušteni u proizvodno okruženje.
j. “Ranjivost” će značiti postojanje slabosti/propusta pronađenog unutar sustava.
k. “Umjetno povećan promet” znači bilo koji promet generiran automatiziranim ili lažnim sredstvima, uključujući ali ne ograničavajući se na robote, farme klikova ili bilo koji drugi način namijenjen umjetnom povećanju količine prometa.
2. ORGANIZACIJA INFORMACIJSKE SIGURNOSTI
DAVATELJ usluga će:
2.1. definirati, dokumentirati, implementirati i održavati sigurnosne politike u skladu s industrijskim standardima, dok: - osiguravanje održavanja povjerljivosti, cjelovitosti i dostupnosti podataka i informacijskih sustava. - usklađenost sa zakonskim i regulatornim zahtjevima kojima KLIJENT i podaci KLIJENTA mogu biti podvrgnuti.
2.2. pregledati svoje politike i postupke na godišnjoj osnovi i/ili kao odgovor na bilo koju značajnu promjenu.
2.3. osigurati da su sigurnosne politike dokumentirane i odobrene od strane uprave DAVATELJA te objavljene i priopćene relevantnim dionicima.
2.4. osigurati da imaju potreban broj sigurnosnih stručnjaka koji će biti odgovorni za koordinaciju i nadzor svih funkcija, politika i postupaka informacijske sigurnosti.
2.5. održavati proces za periodičnu unutarnju i vanjsku provjeru učinkovitosti svojih sigurnosnih kontrola. DAVATELJ usluga će se odmah pozabaviti i riješiti sve nedostatke u mjeri u kojoj je to potrebno za usklađivanje s DAVATELJEVIM obvezama prema Ugovoru i ovim Uvjetima.
3. OBUKA LJUDSKIH POTENCIJALA I SIGURNOSTI
DAVATELJ usluga će:
3.1. definirati, dokumentirati, implementirati i održavati odgovarajuću politiku i postupak provjere prošlosti. Provjere mogu uključivati obrazovanje i prethodnu povijest zaposlenja pojedinca, kazneni dosje, provjere preporuka i sve dodatne standardne zahtjeve za provjeru prošlosti u skladu s relevantnim i primjenjivim zakonima i propisima.
3.2. provoditi provjere pozadine svih postojećih i novih zaposlenika, uključujući ugovorne zaposlenike.
3.3. osigurati da su svi zaposlenici vezani odgovarajućim ugovorom o povjerljivosti.
3.4. definirati, dokumentirati, implementirati i održavati formalnu obuku o sigurnosti i privatnosti za sve zaposlenike. DAVATELJ usluga će osigurati da se takve obuke pruže prije davanja dopuštenja za pristup ili korištenje osjetljivih informacija i kontinuirano nakon toga.
4. UPRAVLJANJE IMOVINOM
DAVATELJ usluga će:
4.1. definirati, dokumentirati, implementirati i održavati točan i ažuran inventar koji bilježi sav hardver i softver, s podacima o vlasniku i lokaciji svakog od njih.
4.2. osigurati da samo softverske aplikacije i/ili operativni sustavi koji su trenutno podržani i/ili primaju ažuriranja dobavljača budu dodani u ovlašteni inventar softvera DAVATELJA.
4.3. osigurati da se sav softver i hardver koji podržava EOL (End-of-life) ukloni iz upotrebe i da se inventar ažurira na vrijeme.
4.4. definirati pravila za prihvatljivu upotrebu informacija i sredstava povezanih s informacijama i obradom informacija.
4.5. osigurati da su sve informacije klasificirane u smislu pravnih zahtjeva, vrijednosti, kritičnosti i osjetljivosti te da se njima postupa u skladu s oznakom klasifikacije.
4.6. osigurati pravilno rukovanje i raspolaganje podacima KLIJENTA iz sustava PROVIDER-a: - zbrinjavanje evidencije podataka KLIJENTA mora se provoditi na siguran način kako bi se osiguralo da su podaci nepovratni. - potvrda o brisanju treba biti dostupna za sve ad hoc zahtjeve KLIJENTA za brisanje podataka.
5. KONTROLA PRISTUPA
5.1. Opće odredbe
DAVATELJ usluga će:
5.1.1. definirati, dokumentirati, implementirati i održavati politiku i procedure kontrole pristupa na temelju poslovnih potreba i načela “najmanje privilegije” i osigurati da samo ovlašteni zaposlenici imaju pristup sustavima PROVIDER-a.
5.1.2. osigurati da se koriste samo jedinstveni ID-ovi i dokumentirati sve iznimke i korištenje zajedničkih računa.
5.1.3. osigurati da svaki pristup sustavima DAVATELJA koji pohranjuju ili obrađuju podatke KLIJENTA podliježe višefaktorskoj autentifikaciji (MFA).
5.1.4. povremeno, najmanje jednom godišnje, pregledati primjerenost dodijeljenih korisničkih privilegija.
5.1.5. osigurati da se aktivnosti upravljanja korisnicima (dodavanje, izmjena ili uklanjanje korisničkih privilegija) provode na temelju valjanog formalnog zahtjeva i pravodobno.
5.2. SIGURNOST UDALJENOG PRISTUPA
DAVATELJ usluga će:
5.2.1. osigurati da je postavljen odgovarajući skup sigurnosnih kontrola kako bi se spriječio neovlašteni daljinski pristup sustavima PROVIDER-a. Takve kontrole uključuju najmanje: - Svaki udaljeni pristup sustavima i/ili mreži PROVIDER-a bit će samo putem VPN-a i višefaktorske provjere autentičnosti (MFA). - Svi podaci koji putuju kroz mehanizam daljinskog pristupa moraju biti šifrirani od krajnje točke (npr. prijenosno računalo) do mreže. - Svi pokušaji povezivanja sa sustavima PROVIDER-a korištenjem mehanizma neovlaštenog daljinskog pristupa bit će odbijeni i zabilježeni. - Sa sumnjivim aktivnostima postupat će se u skladu s relevantnim sigurnosnim protokolima.
5.3. UPRAVLJANJE LOZINKOM
DAVATELJ usluga će:
5.3.1. definirati, dokumentirati, implementirati i održavati politiku lozinki u skladu s najboljom praksom u industriji i internim poslovnim potrebama.
5.3.2. osigurati da su lozinke dovoljno dugačke, složene, da ne sadrže riječi koje je lako pogoditi i da se mijenjaju u redovitim intervalima.
5.3.3. osigurati da se korisnički računi zaključaju nakon određenog broja neuspješnih pokušaja unosa pogrešne lozinke i da račun bude zaključan na određeno vrijeme.
5.3.4. osigurati da su lozinke pohranjene na siguran način koji ih čini nerazumljivima dok ostaju važeće.
6. KRIPTOGRAFIJA
DAVATELJ usluga će:
6.1. definirati, dokumentirati, implementirati i održavati relevantne politike i procedure koje reguliraju korištenje odgovarajućih kriptografskih kontrola i procesa upravljanja ključevima postavljajući pravila upotrebe, zaštite i životnog vijeka kriptografskih ključeva i materijala za ključeve.
6.2. Osigurajte da su podaci KLIJENTA zaštićeni tijekom prijenosa ili mirovanja pomoću sigurnih protokola (npr. TLS 1.2, AES-256 ili drugih industrijski preporučenih standarda).
6.3. upravljati svim ključevima za enkripciju u sustavu za upravljanje ključevima koji je u vlasništvu i kojim upravlja DAVATELJ.
6.4. osigurati odgovarajuću podjelu dužnosti unutar procesa upravljanja ključem za šifriranje.
7. FIZIČKA I SIGURNOST OKOLIŠA
DAVATELJ usluga će:
7.1. definirati, dokumentirati, implementirati i održavati politike i postupke fizičke sigurnosti za sprječavanje neovlaštenog fizičkog pristupa, oštećenja i ometanja informacija organizacije i objekata za obradu informacija koji pohranjuju podatke KLIJENTA.
7.2. implementirati fizičke i ekološke sigurnosne procese i kontrole u skladu s definiranim politikama i procedurama. DAVATELJ može prepustiti neke ili sve fizičke sigurnosne kontrole trećoj strani i osigurati će kontrolu iste razine te će redovito procjenjivati usklađenost treće strane.
7.3. osigurajte da su sigurna područja zaštićena odgovarajućim kontrolama ulaza i da je pristup dopušten samo ovlaštenom osoblju.
7.4. osigurati da su svi posjetitelji ovlašteni, da imaju ispravnu identifikaciju i da imaju pristup samo potrebnim područjima.
7.5. osigurati da se ormarići za zaključavanje koriste za osiguranje povjerljivih informacija.
7.6. osigurajte da je oprema koja sadrži medije za pohranu sigurno prepisana prije odlaganja ili ponovne uporabe.
7.7. osigurati primjenu politike jasnog stola i jasnog zaslona za objekte za obradu informacija.
8. SIGURNOST RADA
DAVATELJ usluga će:
8.1. definirati, dokumentirati, implementirati i održavati sigurnosne operativne procedure za sigurnosno kopiranje, zaštitu krajnjih točaka, upravljanje ranjivostima, antivirus i antimalware, krpanje, očvršćavanje sustava i bilježenje.
8.2. redovito provoditi procjene ranjivosti i testove prodora u skladu s najboljom praksom u industriji i internim poslovnim potrebama. PRUŽATELJ usluga će također izvršiti procjenu rizika, nakon čega će uslijediti sanacija identificiranih problema.
8.3. osigurati da se s ranjivostima postupa u skladu s definiranim prioritetima i unutar potrebnih rokova rješavanja.
8.4. primijeniti zakrpe i nadogradnje na svim razinama infrastrukture u skladu s definiranim prioritetima.
8.5. osigurati da su krajnje točke, poslužitelji, uređaji za pohranu, pošta/web pristupnici i promet e-pošte zaštićeni aktivnim anti-malware alatima gdje je to tehnički izvedivo za otkrivanje i gdje god je to moguće spriječiti infekcije zlonamjernim softverom.
8.6. stvarati sigurnosne kopije informacija, softvera i slika sustava te će ih redovito testirati u skladu s najboljom praksom u industriji i internim poslovnim potrebama.
8.7. osigurati da se provede odgovarajuće bilježenje, s dovoljno detalja i da se održava u skladu s definiranim razdobljima čuvanja, dok je zaštićeno od petljanja i neovlaštenog pristupa.
8.8. definirati, dokumentirati, implementirati i održavati pravila koja reguliraju instaliranje softvera od strane korisnika.
8.9. definirati, dokumentirati, implementirati i održavati standarde za sigurnu konfiguraciju krajnjih točaka, uključujući, ali ne ograničavajući se na prijenosna računala, poslužitelje, virtualne strojeve, baze podataka i mrežne uređaje za zaštitu od gubitka povjerljivosti, integriteta i dostupnosti podataka KLIJENTA u mirovanju i prijenosu.
9. SIGURNOST MREŽE I KOMUNIKACIJA
DAVATELJ usluga će:
9.1. definirati, dokumentirati, implementirati i održavati sigurnosne mehanizme i zahtjeve upravljanja svim mrežnim uslugama.
9.2. definirati, dokumentirati, implementirati i održavati snažnu enkripciju i sigurnosne konfiguracijske standarde za sigurnu komunikaciju preko javnih i nejavnih mreža.
9.3. osigurati da su satovi svih relevantnih sustava za obradu informacija sinkronizirani s jednim izvorom referentnog vremena.
9.4. nadzirite web promet i mrežni perimetar kako biste otkrili kibernetičke napade i blokirali zlonamjerne usluge, web stranice i promet.
9.5. osigurati da se promjene pravila vatrozida kontroliraju putem službenog zahtjeva/procesa odobravanja i da se redovito pregledavaju.
9.6. ograničiti i kontrolirati pristup organizacijama u skladu s najboljom industrijskom praksom i internim poslovnim potrebama.
9.7. osigurati da se primjenjuje model zoniranja i da je mreža odgovarajuće segmentirana dok su u svakom segmentu dopušteni samo odobreni pristup i promet.
10. ŽIVOTNI CIKLUS RAZVOJA SOFTVERA (SDLC)
DAVATELJ usluga će:
10.1. uspostaviti siguran životni ciklus razvoja kako bi se osiguralo da se Usluge razvijaju i održavaju na siguran način.
10.2. kontrolirati promjene sustava unutar životnog ciklusa razvoja formalnim postupcima kontrole promjena.
10.3. osigurati da su okruženja za razvoj, testiranje i proizvodnju odvojena kako bi se smanjio rizik od neovlaštenog pristupa ili promjena proizvodnog okruženja.
10.4. osigurati da zahtjevi koji se odnose na informacijsku sigurnost budu uključeni u zahtjeve za nove usluge ili poboljšanja postojećih usluga.
10.5. osigurati da se testni podaci kreiraju pažljivo i na kontroliran način, te da se proizvodni podaci ne koriste u svrhu testiranja.
11. ODNOSI S DOBAVLJAČIMA
DAVATELJ usluga će:
11.1. definirati, dokumentirati, implementirati i održavati politike i postupke upravljanja odnosima s dobavljačima koji definiraju osnovna načela i pravila za upravljanje odnosima s dobavljačima koji su u skladu s poslovnim, sigurnosnim zahtjevima, kao i primjenjivim propisima, najboljom praksom i međunarodnim standardima.
11.2. za svakog dobavljača koji može pristupiti, obrađivati ili pohranjivati podatke KLIJENTA, DAVATELJ će procijeniti i dokumentirati usklađenost dobavljačevog rješenja. Za kritične dobavljače, uključujući podobrađivače, ponovna procjena provodi se jednom godišnje.
11.3. osigurati da se svi relevantni zahtjevi za sigurnost informacija utvrde i dogovore sa svakim dobavljačem koji može pristupiti, obrađivati ili pohranjivati podatke KLIJENTA.
11.4. osigurati da važeći ugovor koji definira opseg rada, povjerljivost, sigurnost i tehničke zahtjeve (ako je primjenjivo) poslovnog odnosa postoji sa svakim dobavljačem koji može pristupiti, obrađivati ili pohranjivati podatke KLIJENTA.
12. UPRAVLJANJE INCIDENTIMA U SIGURNOSTI INFORMACIJA
DAVATELJ usluga će:
12.1. definirati, dokumentirati, implementirati i održavati formalni proces za izvješćivanje, reagiranje i upravljanje incidentima informacijske sigurnosti. To uključuje najmanje: - Procedura za prijavu takvih incidenata/kršenja odgovarajućoj upravi unutar organizacije PRUŽATELJA. - Proces identificiranja, procjene i rukovanja incidentima informacijske sigurnosti. - Jasno određen tim za upravljanje i koordinaciju odgovora na incident. - Dokumentiran i testiran proces za upravljanje odgovorom na incident uključujući zahtjev za vođenje odgovarajućih evidencija problema i radnji kako bi se uključilo vrijeme kada se incident dogodio, osoba koja je prijavila incident, kojoj je prijavljen i njegove učinke. - Potvrđuje se obveza pravodobnog obavještavanja KLIJENTA, a najkasnije u roku od 72 sata nakon informacijsko sigurnosnog incidenta i negativnog utjecaja na usluge pružene KLIJENTU. Primjenjivat će se kraći rok obavijesti ako se takav zahtjev temelji na važećim zakonima i/ili propisima. - Tim za upravljanje incidentima DAVATELJA će, gdje je to prikladno, raditi zajedno sa sigurnosnim predstavnicima KLIJENTA dok se incident informacijske sigurnosti ne riješi na zadovoljavajući način. - DAVATELJ usluga će se uskladiti sa svim nacionalnim propisima i zakonodavstvom u vezi s obavještavanjem o incidentima u vezi s informacijskom sigurnošću tijelima za provedbu zakona, regulatornim ili bilo kojim drugim nacionalnim tijelima.
13. UPRAVLJANJE KONTINUITETOM POSLOVANJA
DAVATELJ usluga će:
13.1. definirati, dokumentirati, implementirati i održavati Program kontinuiteta poslovanja.
13.2. identificirati i odrediti prioritet SMSBAT-ovih kritičnih proizvoda i usluga koristeći proces analize utjecaja na poslovanje (BIA).
13.3. koristiti podatke i metode procjene rizika za procjenu prijetnje poremećaja.
13.4. na temelju rezultata analize utjecaja na poslovanje i procjene rizika, razviti strategije odgovora i oporavka za ublažavanje utjecaja na kritične usluge tijekom remetilačkog incidenta.
13.5. razviti planove za kontinuitet poslovanja i oporavak koji odgovaraju svrsi, redovito se pregledavaju, dostupni su i jednostavni za praćenje i razumijevanje.
13.6. razviti krizni menadžment i komunikacijske planove za učinkovito upravljanje krizom, određivanje prioriteta u komunikaciji i načine upozoravanja na incidente.
13.7. pružiti obuku i vježbu, razvijenu prema potrebnim kompetencijama i isporučenu zaposlenicima s izravnom odgovornošću za kontinuitet poslovanja.
13.8. kontinuirano poboljšavati Program kontinuiteta poslovanja SMSBAT-a kroz redovitu evaluaciju i uzimajući u obzir sve promjene zakonskih i regulatornih zahtjeva.
14. SUKLADNOST
DAVATELJ usluga će:
14.1. Podvrgnuti se redovitim revizijama prema industrijskim standardima na godišnjoj bazi. Na pisani zahtjev KLIJENTA, DAVATELJ će KLIJENTU osigurati cjelovitu kopiju ili sažetak, prema potrebi, svojih tada aktualnih izvješća. PRUŽATELJ usluga će također dostaviti, najkasnije u roku od deset (10) radnih dana, pisane odgovore na sve razumne zahtjeve (upitnike, obrasce itd.) koje je KLIJENT postavio kako bi provjerio ispunjava li PRUŽATELJ zahtjeve prema ovim Uvjetima.
14.2. U mjeri u kojoj to zahtijeva primjenjiva regulativa, jednom godišnje uz prethodnu obavijest od najmanje 30 kalendarskih dana, DAVATELJ će dopustiti KLIJENTU, njegovim odgovarajućim revizorima ili drugim agentima (svaki je "Strana za reviziju") da pristupe prostorijama, evidenciji i dokumentima Dobavljača kako to razumno zahtijeva Strana za reviziju kako bi provjerila ispunjava li DAVATELJ zahtjeve prema ovim Uvjetima. Svaki pregled u skladu s ovim stavkom neće zahtijevati pregled bilo kojih podataka trećih strana, a od strane koja vrši reviziju može se tražiti da sklopi ugovor o povjerljivosti s PRUŽATELJEM ako to može biti razumno potrebno za poštivanje povjerljivosti informacija koje bi strana za reviziju mogla saznati tijekom provođenja pregleda. Svaka će stranka snositi vlastite troškove u vezi s takvom revizijom. U slučaju da revizija otkrije nepoštivanje obveza DOBAVLJAČA prema ovim Uvjetima, DOBAVLJAČ će ispraviti takvo nepoštivanje unutar zajednički dogovorenog roka i snositi troškove takvih radnji.
14.3. DAVATELJ ZADRŽAVA pravo nametnuti ograničenja i restrikcije na prikazivanje internih povjerljivih informacija i uzimanje kopija bilo kojeg dokaza traženog u točkama 14.1 i 14.2.
15. KLIJENTOVI SIGURNOSNI ZAHTJEVI
15.1. Opće sigurnosne mjere
DAVATELJ usluga će:
15.1.1. PROVIDER je definirao, dokumentirao, implementirao i održava sigurnosne preporuke za KLIJENTE koji koriste svoje usluge komunikacije u oblaku. KLIJENT će pregledati navedene preporuke i implementirati ih u skladu sa svojim poslovnim potrebama, tehničkim mogućnostima i sklonošću riziku.
15.1.2. KLIJENT je u potpunosti odgovoran za pravilno postavljanje sigurnosnih mjera na svojoj strani i neće nametnuti nikakvu odgovornost DUŽITELJU u slučaju sigurnosnog incidenta koji je rezultat nepravilnog postavljanja sigurnosnih i tehničkih mjera ili nemara u provedbi mjera prema preporukama PRUŽATELJA.
15.2. AIT sigurnosne mjere za ublažavanje
DAVATELJ usluga će:
15.2.1. PROVIDER je definirao, dokumentirao i održava sigurnosne smjernice za sprječavanje slučajeva prijevare.
15.2.2. Potencijalni rizik može se pojaviti na KLIJENTOVOM web-mjestu ili mobilnoj aplikaciji integriranoj sa sustavima DAVATELJA ako registracija ili drugi obrazac koji izvršava SMS MT s OTP-ovima nije zaštićen mehanizmom protiv robota kao što je CAPTCHA. Ranjivosti u takvim aplikacijama mogu dovesti do napada umjetno povećanog prometa (AIT). Anti-bot mehanizam kao što je CAPTCHA ključan je za zaštitu tijeka registracije korisnika od automatskih lažnih registracija koje izvršavaju SMS MT s OTP-ovima.
15.2.3. Kada dođe do AIT napada, promet se šalje infrastrukturi DAVATELJA s izvornom IP adresom koju je KLIJENT koristio u trenutku podnošenja. Sadržaj SMS MT prometa ne razlikuje se od stvarnog prometa KLIJENTA. U nedostatku bilo kakve povratne informacije od KLIJENTA, DAVATELJ usluga ne može razlikovati AIT na aplikaciji KLIJENTA od stvarnog prometa iz iste aplikacije. Kao rezultat toga, DAVATELJ usluga se ne može smatrati odgovornim za sigurnost web ili mobilnih aplikacija KLIJENTA. KLIJENT nadalje potvrđuje da će sav promet primljen od KLIJENTOVE infrastrukture biti usmjeren mrežnim operaterima i naplaćen KLIJENTU u skladu s uvjetima Ugovora.
15.2.4. Blokiranje zahvaćenih mreža ne bi spriječilo ponovnu pojavu sličnog problema na omogućenim mrežama, budući da glavni uzrok problema leži u infrastrukturi KLIJENTA. Stoga je neophodno da KLIJENT adresira sve obrasce na svojoj web stranici ili mobilnoj aplikaciji koji izvršavaju SMS MT OTP kodove.
15.3. Zahtjev za povećanje kreditnog limita
DAVATELJ usluga će:
15.3.1. Ograničenje se može brzo potrošiti ako se ne riješe ranjivosti na web stranici KLIJENTA. Stoga DAVATELJ zahtijeva potvrdu KLIJENTA o svjesnosti o rizicima i razumijevanju mogućih posljedica povećanja kreditnog limita.
15.3.2. Podnošenjem zahtjeva za povećanjem kreditnog limita, KLIJENT prihvaća odgovornost za sve potencijalne gubitke uzrokovane AIT napadima i obvezuje se platiti sve troškove koji mogu nastati kao posljedica toga.