Információbiztonsági feltételek
A SZOLGÁLTATÓ a Szolgáltatásokat és a Szerződés szerinti kötelezettségeit az alábbiak szerint biztosítja:
a. (I) jelen információbiztonsági feltételek
b. (ii) Helyes biztonsági gyakorlat
1. FOGALOMMEGHATÁROZÁSOK
a. „Eszköz” minden olyan hardver- és szoftverelemet vagy elemet jelent, amelyet az ÜGYFÉL adatok létrehozása, elérése, feldolgozása, védelme, megfigyelése, tárolása, visszakeresése, megjelenítése vagy továbbítása céljából használnak vagy használhatnak.
b. „ÜGYFÉL Adatok”: minden olyan adat, amelyet az ÜGYFÉL vagy a nevében eljáró személy a SZOLGÁLTATÓ rendelkezésére bocsát, illetve hozzáférést és kezelést engedélyez a SZOLGÁLTATÓ számára a Szerződéssel összefüggésben.
c. "Titkosítás": az információk vagy adatok kóddá alakításának folyamata, különösen az illetéktelen hozzáférés megakadályozása érdekében.
d. A „Javítás” minden olyan szoftver- és operációs rendszer-frissítést jelent, amely a programon vagy terméken belüli biztonsági réseket orvosolja.
e. „Behatolási tesztelés”: egy számítógépes rendszeren végzett engedélyezett szimulált kibertámadás, amelyet a rendszer biztonságának értékelése céljából hajtanak végre.
f. "SZOLGÁLTATÓI rendszer" minden olyan Rendszert vagy Eszközt jelent, amelyet (részben vagy egészben) a SZOLGÁLTATÓ vagy bármely Leányvállalata vagy annak nevében vagy nevében kezelnek vagy kezelnek.
g. „Biztonsági incidens” olyan incidenst, eseményt és/vagy problémát jelent, amely az ÜGYFÉL adatai és/vagy a Szolgáltatás titkosságának, integritásának és/vagy elérhetőségének tényleges veszélyeztetéséhez vezetett.
h. A „Termelési környezet” azt a környezetet jelenti, ahol az ÜGYFÉL adatait tárolják és feldolgozzák.
én. A „Tesztelési környezet” olyan környezetet jelent, amelyet a közelmúltban kifejlesztett programok vagy szoftvertermékek tesztelésére tesznek elérhetővé a Termelési környezetbe való kiadás előtt.
j. A „sebezhetőség” a rendszeren belül talált gyengeség/hiba meglétét jelenti.
k. „Mesterségesen felfújt forgalom”: minden olyan forgalom, amelyet automatizált vagy csalárd eszközökkel generálnak, beleértve, de nem kizárólagosan a botokat, kattintási farmokat vagy bármely más olyan eszközt, amelynek célja a forgalom mesterséges növelése.
2. AZ INFORMÁCIÓBIZTONSÁG SZERVEZÉSE
A SZOLGÁLTATÓ:
2.1. az iparági szabványoknak megfelelő biztonsági szabályzatok meghatározása, dokumentálása, megvalósítása és karbantartása, miközben: - az adatok és információs rendszerek titkosságának, integritásának és elérhetőségének megőrzésének biztosítása. - az ÜGYFÉL és az ÜGYFÉL Adataira vonatkozó jogszabályi és szabályozási követelmények betartása.
2.2. irányelveit és eljárásait évente és/vagy bármely jelentős változásra reagálva felülvizsgálja.
2.3. gondoskodik arról, hogy a biztonsági szabályzatokat a SZOLGÁLTATÓ vezetése dokumentálja és jóváhagyja, valamint közzétegye és közölje az érintettekkel.
2.4. gondoskodjanak arról, hogy rendelkezzenek a szükséges számú biztonsági szakemberrel, akik az információbiztonsági funkciók, szabályzatok és eljárások koordinálásáért és felügyeletéért felelnek.
2.5. fenntart egy folyamatot a biztonsági ellenőrzései hatékonyságának időszakos belső és külső validálására. A SZOLGÁLTATÓ haladéktalanul orvosolja és orvosolja a hiányosságokat a SZOLGÁLTATÓ Szerződésben és jelen Feltételekben vállalt kötelezettségeinek teljesítéséhez szükséges mértékben.
3. EMBERI ERŐFORRÁS ÉS BIZTONSÁGI KÉPZÉS
A SZOLGÁLTATÓ:
3.1. megfelelő háttér-ellenőrzési szabályzat és eljárás meghatározása, dokumentálása, végrehajtása és karbantartása. Az ellenőrzések magukban foglalhatják az egyén iskolai végzettségét és korábbi foglalkoztatási előzményeit, büntetlen előéletét, referenciaellenőrzéseket, valamint a vonatkozó és alkalmazandó törvényekkel és rendelkezésekkel összhangban bármely további iparági szabványos háttérellenőrzési követelményt.
3.2. háttérellenőrzést végez minden meglévő és új alkalmazottnál, beleértve a szerződéses alkalmazottakat is.
3.3. biztosítsa, hogy minden alkalmazottat megfelelő titoktartási megállapodás köt.
3.4. definiáljon, dokumentáljon, hajtson végre és tartson fenn egy formális biztonsági és adatvédelmi képzést minden alkalmazott számára. A SZOLGÁLTATÓ gondoskodik arról, hogy az ilyen képzéseket az érzékeny információkhoz való hozzáférésre vagy felhasználásra vonatkozó engedély megadása előtt és azt követően folyamatosan biztosítsák.
4. VAGYONKEZELÉS
A SZOLGÁLTATÓ:
4.1. pontos és naprakész leltár meghatározása, dokumentálása, megvalósítása és karbantartása, amely rögzíti az összes hardvert és szoftvert, mindegyik tulajdonosának és helyének adataival.
4.2. gondoskodjon arról, hogy a SZOLGÁLTATÓ engedélyezett szoftverkészletéhez csak a jelenleg támogatott szoftveralkalmazások és/vagy operációs rendszerek, és/vagy a szállítói frissítéseket fogadják.
4.3. gondoskodjon arról, hogy az EOL-t (End-of-life) támogató összes szoftvert és hardvert eltávolítsák a használatból, és a leltárt kellő időben frissítsék.
4.4. szabályokat határoz meg az információk és az információkkal és információfeldolgozással kapcsolatos eszközök elfogadható felhasználására vonatkozóan.
4.5. gondoskodjon arról, hogy minden információt a jogi követelmények, az érték, a kritikusság és az érzékenység szempontjából minősítsenek, és az osztályozási címkével összhangban kezeljék.
4.6. a SZOLGÁLTATÓ rendszereiből származó ÜGYFÉL adatok megfelelő kezelésének és selejtezésének biztosítása: - az ÜGYFÉL adatnyilvántartásait biztonságos módon kell selejtezni, hogy az adatok visszakereshetetlenné váljanak. - a törlési tanúsítványnak rendelkezésre kell állnia minden eseti ÜGYFÉL adattörlési kérelméhez.
5. HOZZÁFÉRÉS
5.1. Általános rendelkezések
A SZOLGÁLTATÓ:
5.1.1. az üzleti igények és a „Legkisebb privilégium” elve alapján határozza meg, dokumentálja, hajtsa végre és tartsa karban a hozzáférés-szabályozási szabályzatot és eljárásokat, és gondoskodjon arról, hogy csak az arra jogosult alkalmazottak férhessenek hozzá a SZOLGÁLTATÓ rendszereihez.
5.1.2. gondoskodjon arról, hogy csak egyedi azonosítók kerüljenek felhasználásra, és minden kivételt és a megosztott fiókok használatát dokumentálja.
5.1.3. biztosítja, hogy az ÜGYFÉLadatokat tároló vagy feldolgozó SZOLGÁLTATÓ Rendszerekhez való minden hozzáférés többtényezős hitelesítés (MFA) hatálya alá tartozik.
5.1.4. rendszeresen, legalább évente felülvizsgálja a hozzárendelt felhasználói jogosultságok megfelelőségét.
5.1.5. biztosítsa, hogy a felhasználókezelési tevékenységek (felhasználói jogosultságok hozzáadása, módosítása vagy eltávolítása) érvényes hivatalos kérés alapján és kellő időben történjenek.
5.2. TÁVHOZ ELÉRHETŐ BIZTONSÁG
A SZOLGÁLTATÓ:
5.2.1. gondoskodjon a megfelelő biztonsági ellenőrzések bevezetéséről a PROVIDER rendszerekhez való jogosulatlan távoli hozzáférés megelőzése érdekében. Az ilyen ellenőrzéseknek legalább a következőket kell tartalmazniuk: - A SZOLGÁLTATÓ rendszereihez és/vagy hálózatához való távoli hozzáférés csak VPN-en és többtényezős hitelesítésen (MFA) keresztül történhet. - A távoli hozzáférési mechanizmuson áthaladó összes adatot titkosítani kell a végponttól (például laptop) a hálózatig. - Minden olyan kísérletet, amely a SZOLGÁLTATÓ Rendszerekhez illetéktelen távoli hozzáférési mechanizmussal csatlakozik, el kell utasítani és naplózni kell. - A gyanús tevékenységet a vonatkozó biztonsági protokolloknak megfelelően kell kezelni.
5.3. JELSZÓKEZELÉS
A SZOLGÁLTATÓ:
5.3.1. jelszószabályzat meghatározása, dokumentálása, bevezetése és karbantartása az iparág legjobb gyakorlatával és a belső üzleti igényekkel összhangban.
5.3.2. gondoskodjon arról, hogy a jelszavak megfelelő hosszúságúak, bonyolultak legyenek, ne tartalmazzanak könnyen kitalálható szavakat, és rendszeres időközönként megváltozzanak.
5.3.3. győződjön meg arról, hogy a felhasználói fiókok bizonyos számú sikertelen hibás jelszó megadására tett kísérlet után zárolva vannak, és a fiók egy bizonyos ideig zárolva van.
5.3.4. gondoskodjon arról, hogy a jelszavakat biztonságos módon tárolják, hogy azok érthetetlenek legyenek, amíg érvényesek maradnak.
6. KRIPTOGRÁFIA
A SZOLGÁLTATÓ:
6.1. meghatározza, dokumentálja, végrehajtja és fenntartja a vonatkozó irányelveket és eljárásokat, amelyek szabályozzák a megfelelő kriptográfiai vezérlők használatát és a kulcskezelési folyamatokat, meghatározva a kriptográfiai kulcsok és a kulcsanyag használatának, védelmének és élettartamának szabályait.
6.2. Biztonságos protokollok (pl. TLS 1.2, AES-256 vagy más iparági szabványok) segítségével gondoskodjon arról, hogy az ÜGYFÉL-adatok átvitel közben vagy nyugalmi állapotban védve legyenek.
6.3. az összes titkosítási kulcsot a SZOLGÁLTATÓ tulajdonában lévő és üzemeltetett kulcskezelő rendszerben kezelheti.
6.4. biztosítsa a feladatok megfelelő elkülönítését a titkosítási kulcskezelési folyamaton belül.
7. FIZIKAI ÉS KÖRNYEZETI BIZTONSÁG
A SZOLGÁLTATÓ:
7.1. fizikai biztonsági szabályzatok és eljárások meghatározása, dokumentálása, végrehajtása és fenntartása a szervezet információs és információfeldolgozó létesítményeiben, amelyek az ÜGYFÉL adatait tárolják, a jogosulatlan fizikai hozzáférést, sérülést és beavatkozást megakadályozzák.
7.2. fizikai és környezeti biztonsági folyamatok és ellenőrzések végrehajtása a meghatározott politikákkal és eljárásokkal összhangban. A SZOLGÁLTATÓ kiszervezheti a fizikai biztonsági ellenőrzések egy részét vagy mindegyikét egy harmadik félre, és gondoskodnia kell arról, hogy ugyanolyan szintű ellenőrzések legyenek érvényben, és rendszeresen értékeli a harmadik fél megfelelőségét.
7.3. gondoskodjon arról, hogy a biztonságos területeket megfelelő belépés-ellenőrzőkkel védjék, és csak az arra feljogosított személyek léphessenek be.
7.4. gondoskodjon arról, hogy minden látogató jogosult legyen, megfelelő azonosítóval rendelkezzen, és csak a szükséges területekre jusson be.
7.5. gondoskodjon arról, hogy zárható szekrényeket használjanak a bizalmas információk védelmére.
7.6. győződjön meg arról, hogy az adathordozót tartalmazó berendezést biztonságosan felülírja, mielőtt ártalmatlanná vagy újrafelhasználná.
7.7. biztosítsa az egyértelmű asztali szabályzatot, és egyértelmű képernyőszabályozást alkalmazzon az információfeldolgozó létesítményekre.
8. ÜZEMELTETÉSI BIZTONSÁG
A SZOLGÁLTATÓ:
8.1. biztonsági műveleti eljárások meghatározása, dokumentálása, megvalósítása és karbantartása a biztonsági mentéshez, a végpontvédelemhez, a sebezhetőség-kezeléshez, a vírus- és kártevőirtókhoz, a javításokhoz, a rendszer megerősítéséhez és a naplózáshoz.
8.2. rendszeresen végezzen sebezhetőségi felméréseket és penetrációs teszteket az iparág legjobb gyakorlatának és a belső üzleti igényeknek megfelelően. A SZOLGÁLTATÓ kockázatértékelést is végez, amelyet az azonosított problémák orvoslása követ.
8.3. biztosítja a sebezhetőségek kezelését a meghatározott prioritásoknak megfelelően és a szükséges megoldási határidőn belül.
8.4. javításokat és frissítéseket alkalmazhat az infrastruktúra minden szintjén a meghatározott prioritásoknak megfelelően.
8.5. biztosítsa a végpontok, a szerverek, a tárolóeszközök, a levelező/web átjárók és a levelezési forgalom védelmét aktív kártevőirtó eszközökkel, ahol technikailag megvalósítható a rosszindulatú programok észlelése, és ahol csak lehetséges, megelőzhető.
8.6. biztonsági másolatot készíteni az információkról, a szoftverekről és a rendszerképekről, és rendszeresen tesztelni kell ezeket az iparág legjobb gyakorlatának és a belső üzleti igényeknek megfelelően.
8.7. gondoskodni kell arról, hogy megfelelő naplózás történjen, kellő részletességgel és a meghatározott megőrzési időszakokkal összhangban, miközben védve van a manipuláció és az illetéktelen hozzáférés ellen.
8.8. meghatározza, dokumentálja, végrehajtja és fenntartja a szoftver felhasználók általi telepítésére vonatkozó szabályokat.
8.9. szabványok meghatározása, dokumentálása, megvalósítása és karbantartása a végpontok biztonságos konfigurálásához, beleértve, de nem kizárólagosan a laptopokat, szervereket, virtuális gépeket, adatbázisokat és hálózati eszközöket, hogy megvédje magát az ÜGYFÉL adatok bizalmasságának, integritásának és elérhetőségének elvesztése ellen nyugalmi és átvitel közben.
9. HÁLÓZATI ÉS KOMMUNIKÁCIÓS BIZTONSÁG
A SZOLGÁLTATÓ:
9.1. meghatározza, dokumentálja, megvalósítja és fenntartja az összes hálózati szolgáltatás biztonsági mechanizmusait és felügyeleti követelményeit.
9.2. erős titkosítási és biztonsági konfigurációs szabványok meghatározása, dokumentálása, megvalósítása és fenntartása a nyilvános és nem nyilvános hálózatokon keresztüli biztonságos kommunikáció érdekében.
9.3. biztosítsa, hogy az összes releváns információfeldolgozó rendszer órája egyetlen referencia időforráshoz legyen szinkronizálva.
9.4. figyeli a webes forgalmat és a hálózat kerületét, hogy észlelje a kibertámadásokat, és blokkolja a rosszindulatú szolgáltatásokat, weboldalakat és forgalmat.
9.5. gondoskodjon arról, hogy a tűzfalszabályok módosításait hivatalos kérés/jóváhagyási folyamat során ellenőrizzék, és rendszeresen felülvizsgálják.
9.6. korlátozza és szabályozza a szervezetekhez való hozzáférést az iparág legjobb gyakorlatának és a belső üzleti igényeknek megfelelően.
9.7. Győződjön meg arról, hogy a zónázási modellt alkalmazzák, és a hálózat megfelelően szegmentált, miközben minden szegmensben csak jóváhagyott hozzáférés és forgalom engedélyezett.
10. SZOFTVERFEJLESZTÉS ÉLETCIKLUSA (SDLC)
A SZOLGÁLTATÓ:
10.1. biztonságos fejlesztési életciklus kialakítása a Szolgáltatások biztonságos fejlesztése és karbantartása érdekében.
10.2. a fejlesztési életcikluson belül a rendszerek változásainak ellenőrzése formális változásellenőrzési eljárásokkal.
10.3. gondoskodjon arról, hogy a fejlesztési, tesztelési és éles környezet elkülönítve legyen, hogy csökkentse a jogosulatlan hozzáférés vagy a termelési környezet megváltoztatásának kockázatát.
10.4. gondoskodjon arról, hogy az információbiztonsággal kapcsolatos követelmények szerepeljenek az új Szolgáltatások vagy a meglévő Szolgáltatások továbbfejlesztéseinek követelményei között.
10.5. gondoskodjon arról, hogy a tesztadatokat gondosan és ellenőrzött módon hozzák létre, és hogy a gyártási adatokat ne használják fel tesztelési célokra.
11. BESZÁLLÍTÓI KAPCSOLATOK
A SZOLGÁLTATÓ:
11.1. beszállítói kapcsolatkezelési szabályzatok és eljárások meghatározása, dokumentálása, bevezetése és fenntartása, amelyek meghatározzák az üzleti, biztonsági követelményeknek, valamint a vonatkozó szabályozásoknak, legjobb gyakorlatoknak és nemzetközi szabványoknak megfelelő beszállítói kapcsolatok kezelésének alapelveit és szabályait.
11.2. Minden olyan szállító esetében, amely hozzáférhet, feldolgozhatja vagy tárolhatja az ÜGYFÉL adatait, a SZOLGÁLTATÓ értékeli és dokumentálja a beszállítói megoldás megfelelőségét. A kritikus beszállítók esetében, beleértve az alfeldolgozókat is, évente újraértékelést kell végezni.
11.3. gondoskodjon arról, hogy minden vonatkozó információbiztonsági követelményt megállapítsanak és megállapodjanak minden olyan szállítóval, amely hozzáférhet, feldolgozhatja vagy tárolhatja az ÜGYFÉL adatait.
11.4. gondoskodjon arról, hogy minden olyan szállítóval legyen érvényes megállapodás, amely meghatározza a munkakört, a titoktartást, a biztonságot és az üzleti kapcsolat műszaki követelményeit (adott esetben), amely hozzáférhet, feldolgozhatja vagy tárolhatja az ÜGYFÉL adatait.
12. INFORMÁCIÓBIZTONSÁGI ESEMÉNYKEZELÉS
A SZOLGÁLTATÓ:
12.1. formális folyamat meghatározása, dokumentálása, megvalósítása és karbantartása az információbiztonsági incidensek jelentésére, reagálására és kezelésére. Ennek legalább a következőket kell tartalmaznia: - Eljárás az ilyen események/sértések bejelentésére a SZOLGÁLTATÓ szervezetén belüli megfelelő vezetőség felé. - Az információbiztonsági események azonosításának, értékelésének és kezelésének folyamata. - Egyértelműen kijelölt csapat az incidensre adott válaszok irányítására és koordinálására. - Dokumentált és tesztelt folyamat az incidensre adott válaszok kezelésére, beleértve a megfelelő problémák és cselekvési naplók vezetésének követelményét, amelyek tartalmazzák az incidens bekövetkezésének időpontját, az eseményt bejelentő személyt, akinek jelentették, valamint annak hatásait. - Megerősítik az ÜGYFÉL időben, de legkésőbb 72 órán belüli értesítését az információbiztonsági incidens és az ÜGYFÉL részére nyújtott szolgáltatásokra gyakorolt negatív hatás után. Rövidebb értesítési határidő érvényes, ha ez a követelmény a vonatkozó jogszabályokon és/vagy rendeleteken alapul. - A SZOLGÁLTATÓ incidenskezelési csapatának adott esetben együtt kell működnie az ÜGYFÉL biztonsági képviselőivel mindaddig, amíg az információbiztonsági incidenst kielégítő módon meg nem oldják. - A SZOLGÁLTATÓ az információbiztonsági incidensek rendészeti, szabályozói vagy bármely más nemzeti hatóság felé történő bejelentésére vonatkozó összes nemzeti előíráshoz és jogszabályhoz igazodik.
13. ÜZLETI FOLYAMATOSSÁG MENEDZSMENT
A SZOLGÁLTATÓ:
13.1. Üzletmenet-folytonossági Program meghatározása, dokumentálása, végrehajtása és karbantartása.
13.2. azonosítsa és rangsorolja az SMSBAT kritikus termékeit és szolgáltatásait egy Business Impact Analysis (BIA) folyamat segítségével.
13.3. kockázatértékelési információkat és módszereket használjon a megszakítás veszélyének értékelésére.
13.4. az Üzleti hatáselemzés és kockázatértékelés eredményei alapján reagálási és helyreállítási stratégiákat dolgozzon ki a kritikus szolgáltatásokra gyakorolt hatások mérséklésére egy zavaró incidens során.
13.5. olyan üzletmenet-folytonossági és helyreállítási terveket dolgozzon ki, amelyek megfelelnek a célnak, rendszeresen felülvizsgálják, elérhetőek és egyszerűen követhetők és érthetők.
13.6. válságkezelési és kommunikációs tervek kidolgozása a hatékony válságkezeléshez, a kommunikáció prioritásainak meghatározásához és az események riasztásának módjaihoz.
13.7. képzést és gyakorlatokat tartanak, amelyeket a szükséges kompetenciákhoz képest fejlesztettek ki, és eljuttatnak az üzletmenet folytonosságáért közvetlenül felelős alkalmazottakhoz.
13.8. az SMSBAT üzletmenet-folytonossági programjának folyamatos fejlesztése rendszeres értékeléssel és a jogi és szabályozási követelmények változásainak figyelembevételével.
14. MEGFELELÉS
A SZOLGÁLTATÓ:
14.1. Évente rendszeresen végezzen auditot az ipari szabványok szerint. Az ÜGYFÉL írásbeli kérésére a SZOLGÁLTATÓ az ÜGYFÉL rendelkezésére bocsátja az aktuális jelentéseinek teljes vagy összefoglaló másolatát. A SZOLGÁLTATÓ továbbá legkésőbb tíz (10) munkanapon belül írásban válaszol az ÜGYFÉL minden ésszerű kérésére (kérdőívek, űrlapok stb.) annak ellenőrzésére, hogy a SZOLGÁLTATÓ megfelel-e a jelen Feltételekben foglalt követelményeknek.
14.2. A vonatkozó szabályozás által megkövetelt mértékig a SZOLGÁLTATÓ évente egyszer, legalább 30 naptári napos előzetes értesítéssel engedélyezi AZ ÜGYFÉLnek, annak megfelelő könyvvizsgálóinak vagy más ügynökeinek (mindegyik „ellenőrző fél”), hogy az Ellenőrző Fél ésszerűen megkívánt módon hozzáférjenek a Szállító helyiségeihez, nyilvántartásaihoz és dokumentumaihoz annak ellenőrzésére, hogy a SZOLGÁLTATÓ megfelel-e a jelen Feltételekben foglalt követelményeknek. A jelen bekezdéssel összhangban végzett bármely felülvizsgálat nem követeli meg harmadik fél adatainak áttekintését, és az Ellenőrző Fél köteles titoktartási megállapodást kötni a SZOLGÁLTATÓVAL, amennyiben az ésszerűen szükséges azon információk titkosságának tiszteletben tartása érdekében, amelyekről az Ellenőrző Fél a felülvizsgálat elvégzése során szerezhet tudomást. Mindegyik Fél viseli saját költségeit az ilyen ellenőrzéssel kapcsolatban. Amennyiben az audit során kiderül, hogy a BESZÁLLÍTÓ nem teljesíti a jelen Feltételek szerinti kötelezettségeit, a BESZÁLLÍTÓ köteles a meg nem felelést a kölcsönösen megállapított határidőn belül orvosolni, és viselni az ilyen intézkedések költségeit.
14.3. A SZOLGÁLTATÓ fenntartja a jogot, hogy a 14.1. és 14.2. pontban megkívánt belső bizalmas információk bemutatására és a bizonyítékokról másolat készítésére vonatkozó korlátozásokat és korlátozásokat írjon elő.
15. ÜGYFÉL BIZTONSÁGI KÖVETELMÉNYEI
15.1. Általános biztonsági intézkedések
A SZOLGÁLTATÓ:
15.1.1. A PROVIDER meghatározta, dokumentálta, megvalósította és fenntartja a biztonsági ajánlásokat a felhőkommunikációs szolgáltatásait használó KLIENSEK számára. AZ ÜGYFÉL köteles felülvizsgálni az említett ajánlásokat, és üzleti igényeinek, műszaki képességeinek és kockázatvállalási hajlandóságának megfelelően végrehajtja azokat.
15.1.2. Az ÜGYFÉL teljes mértékben felelős a saját oldalán alkalmazott biztonsági intézkedések megfelelő kialakításáért, és semmilyen felelősséget nem ró a SZOLGÁLTATÓRA olyan biztonsági esemény esetén, amely a biztonsági és műszaki intézkedések nem megfelelő beállításából vagy a SZOLGÁLTATÓ által javasolt intézkedések végrehajtásának hanyagságából ered.
15.2. AIT biztonsági intézkedések
A SZOLGÁLTATÓ:
15.2.1. A PROVIDER meghatározta, dokumentálta és fenntartja a biztonsági irányelveket a csalási esetek megelőzésére.
15.2.2. Potenciális kockázat merülhet fel az ÜGYFÉL honlapján vagy a SZOLGÁLTATÓ rendszerekkel integrált mobilalkalmazásában, ha egy regisztrációs vagy egyéb űrlap, amely SMS MT-t hajt végre OTP-kkel, nincs védve olyan anti-bot mechanizmussal, mint a CAPTCHA. Az ilyen alkalmazások sérülékenységei mesterségesen megnövelt forgalmi (AIT) támadásokhoz vezethetnek. Egy anti-bot mechanizmus, például a CAPTCHA elengedhetetlen a felhasználói regisztrációs folyamat védelméhez az olyan automatizált hamis regisztrációkkal szemben, amelyek SMS MT-t hajtanak végre OTP-kkel.
15.2.3. AIT támadások esetén a forgalom a SZOLGÁLTATÓ infrastruktúrájába kerül az ÜGYFÉL által a beküldéskor használt forrás IP-címmel. A forgalom SMS MT tartalma megkülönböztethetetlen az ÜGYFÉL valódi forgalmától. Az ÜGYFÉL visszajelzésének hiányában a SZOLGÁLTATÓ nem tud különbséget tenni az ÜGYFÉL alkalmazásán lévő AIT és az ugyanabból az alkalmazásból származó valódi forgalom között. Ennek következtében a SZOLGÁLTATÓ nem tehető felelőssé az ÜGYFÉL webes vagy mobilalkalmazásának biztonságáért. AZ ÜGYFÉL tudomásul veszi továbbá, hogy az ÜGYFÉL infrastruktúrájáról érkező összes forgalmat a hálózatüzemeltetőkhöz kell irányítani, és az ÜGYFÉL terhére kell fizetni a Szerződés feltételeinek megfelelően.
15.2.4. Az érintett hálózatok blokkolása nem akadályozza meg a hasonló probléma ismételt előfordulását az engedélyezett hálózatokon, mivel a probléma kiváltó oka az ÜGYFÉL infrastruktúrájában keresendő. Ezért az ÜGYFÉLnek feltétlenül meg kell címeznie a weboldalán vagy mobilalkalmazásában található összes olyan űrlapot, amely SMS MT OTP kódokat hajt végre.
15.3. Kérelem a hitelkeret emelését
A SZOLGÁLTATÓ:
15.3.1. A korlát gyorsan kimerülhet, ha az ÜGYFÉL weboldalán található sebezhetőségeket nem kezelik. Ezért a SZOLGÁLTATÓ kéri az ÜGYFÉL igazolását arról, hogy tisztában van a kockázatokkal és megérti a hitelkeret emelésének lehetséges következményeit.
15.3.2. A hitelkeret emelésének igénylésével az ÜGYFÉL elismeri a felelősségét az AIT támadásokból eredő esetleges veszteségekért, és vállalja, hogy az ebből eredően felmerülő költségeket megfizeti.