Անցնել պարունակությանը

Տեղեկատվական անվտանգության պայմաններ

Մատակարարը պետք է մատուցի Ծառայությունները և կատարի Պայմանագրով նախատեսված իր պարտավորությունները՝ համաձայն.

ա. (I) Տեղեկատվական անվտանգության այս պայմանները

բ. (ii) Լավ անվտանգության պրակտիկա

1. ՍԱՀՄԱՆՈՒՄՆԵՐ

ա. «Ակտիվ» նշանակում է ապարատային և ծրագրային ապահովման ցանկացած տարր կամ տարր, որը կամ կարող է օգտագործվել ՀԱՃԱԽՈՐԴԻ տվյալների ստեղծման, մուտքի, մշակման, պաշտպանության, մոնիտորինգի, պահպանման, առբերման, ցուցադրման կամ փոխանցման նպատակով:

բ. «ՀԱՃԱԽՈՐԴԻ ՏՎՅԱԼՆԵՐ» նշանակում է ցանկացած տվյալ, որը ՀԱՃԱԽՈՐԴԸ կամ նրա անունից հանդես եկող անձը տրամադրում է ՄԱՐՏԱԴՐողին կամ թույլատրում է ՄԱՏՈՒՑՈՂԻՆ մուտք գործել և մշակել՝ կապված Համաձայնագրի հետ:

գ. «Կոդավորումը» նշանակում է տեղեկատվությունը կամ տվյալները ծածկագրի վերածելու գործընթաց, հատկապես չարտոնված մուտքը կանխելու համար:

դ. «Patching» նշանակում է ծրագրային ապահովման և օպերացիոն համակարգի (ՕՀ) ցանկացած թարմացում, որը վերաբերում է ծրագրի կամ արտադրանքի անվտանգության խոցելիությանը:

ե. «Ներթափանցման փորձարկում» նշանակում է թույլատրված նմանակված կիբերհարձակում համակարգչային համակարգի վրա, որն իրականացվում է համակարգի անվտանգության գնահատման համար:

զ. «ՄԱՏԱԿԱՐԱՐՈՂ Համակարգ» նշանակում է ցանկացած Համակարգ կամ Ակտիվ, որը պատկանում կամ կառավարվում է (ամբողջովին կամ մասամբ)՝ ՄԱՏՈՒՑՈՂԻ կամ նրա Դուստր կազմակերպության կողմից կամ նրա անունից շահագործման համար:

է. «Անվտանգության միջադեպ» նշանակում է միջադեպ, իրադարձություն և/կամ խնդիր, որը հանգեցրել է ՀԱՃԱԽՈՐԴԻ տվյալների և/կամ Ծառայության գաղտնիության, ամբողջականության և/կամ հասանելիության փաստացի խախտումների:

հ. «Արտադրական միջավայր» նշանակում է միջավայր, որտեղ պահվում և մշակվում են ՀԱՃԱԽՈՐԴՆԵՐԻ տվյալները:

ես. «Փորձարկման միջավայր» նշանակում է միջավայր, որը հասանելի է վերջերս մշակված ծրագրերի կամ ծրագրային արտադրանքների փորձարկման համար, նախքան արտադրական միջավայր դուրս գալը:

ժ. «Խոցելիություն» նշանակում է համակարգում հայտնաբերված թուլության/թերության առկայություն:

կ. «Արհեստականորեն ուռճացված երթևեկություն» նշանակում է ցանկացած երթևեկություն, որը ստեղծվել է ավտոմատացված կամ խարդախ միջոցներով, ներառյալ, բայց չսահմանափակվելով բոտերով, սեղմելով ֆերմերներով կամ ցանկացած այլ միջոցներով, որոնք նախատեսված են երթևեկության ծավալներն արհեստականորեն մեծացնելու համար:

2. ՏԵՂԵԿԱՏՎԱԿԱՆ ԱՆՎՏԱՆԳՈՒԹՅԱՆ ԿԱԶՄԱԿԵՐՊՈՒԹՅՈՒՆ

Մատակարարը պարտավոր է՝

2.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել անվտանգության քաղաքականությունը՝ համապատասխան արդյունաբերության չափանիշներին, մինչդեռ. - ապահովելով տվյալների և տեղեկատվական համակարգերի գաղտնիությունը, ամբողջականությունը և մատչելիությունը: - համապատասխան իրավական և կարգավորող պահանջներին, որոնց կարող են ենթարկվել ՀԱՃԱԽՈՐԴԻ և ՀԱՃԱԽՈՐԴԻ Տվյալները:

2.2. վերանայել իր քաղաքականությունն ու ընթացակարգերը տարեկան կտրվածքով և/կամ՝ ի պատասխան ցանկացած էական փոփոխության:

2.3. ապահովել, որ անվտանգության քաղաքականությունը փաստաթղթավորվի և հաստատվի ՄԱՏՈՒՑՈՂԻ ղեկավարության կողմից և հրապարակվի և փոխանցվի համապատասխան շահագրգիռ կողմերին:

2.4. ապահովել, որ նրանք ունենան անհրաժեշտ թվով անվտանգության մասնագետներ, ովքեր պատասխանատու կլինեն համակարգելու և վերահսկելու տեղեկատվական անվտանգության բոլոր գործառույթները, քաղաքականությունները և ընթացակարգերը:

2.5. պահպանել իր անվտանգության վերահսկողության արդյունավետության պարբերական ներքին և արտաքին վավերացման գործընթաց: PROVIDER-ը պետք է անհապաղ անդրադառնա և լուծի ցանկացած թերություն այնքանով, որքանով դա անհրաժեշտ է ՊՐԱՅԴԵՐԻ Պայմանագրով և սույն Պայմաններով ստանձնած պարտավորություններին համապատասխանելու համար:

3. Մարդկային ռեսուրսների և ԱՆՎՏԱՆԳՈՒԹՅԱՆ ՈՒՍՈՒՑՈՒՄ

Մատակարարը պարտավոր է՝

3.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել ֆոնային ստուգման համապատասխան քաղաքականությունը և ընթացակարգը: Ստուգումները կարող են ներառել անհատի կրթությունը և նախկին աշխատանքային պատմությունը, քրեական գրառումը, տեղեկանքների ստուգումները և արդյունաբերության ստանդարտ ստանդարտների ստուգման ցանկացած լրացուցիչ պահանջ՝ համապատասխան և կիրառելի օրենքներին և կանոնակարգերին համապատասխան:

3.2. իրականացնել ֆոնային ստուգումներ բոլոր առկա և նոր աշխատողների, ներառյալ պայմանագրային աշխատողների նկատմամբ:

3.3. ապահովել, որ բոլոր աշխատակիցները կապված են համապատասխան գաղտնիության համաձայնագրով:

3.4. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել անվտանգության և գաղտնիության իրազեկման պաշտոնական ուսուցում բոլոր աշխատակիցների համար: Մատակարարողը պետք է ապահովի, որ նման ուսուցումներն անցկացվեն նախքան զգայուն տեղեկատվության հասանելիության կամ օգտագործման թույլտվություն տալը և դրանից հետո շարունակական հիմունքներով:

4. ԱՍՏԻՎՆԵՐԻ ԿԱՌԱՎԱՐՈՒՄ

Մատակարարը պարտավոր է՝

4.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել ճշգրիտ և արդիական գույքագրում, որը գրանցում է բոլոր ապարատային և ծրագրային ապահովումը՝ յուրաքանչյուրի սեփականատիրոջ և գտնվելու վայրի մասին տեղեկություններով:

4.2. համոզվեք, որ միայն ծրագրային ապահովման հավելվածները և/կամ օպերացիոն համակարգերը, որոնք ներկայումս աջակցվում են և/կամ ստացող վաճառողներից թարմացումներ են, ավելացվեն ՄԱՐՏԱԴՐողի լիազորված ծրագրաշարի գույքագրմանը:

4.3. համոզվեք, որ EOL-ը (աշխատանքի ավարտը) աջակցող բոլոր ծրագրաշարերն ու ապարատները հեռացվեն օգտագործումից և գույքագրումը ժամանակին թարմացվի:

4.4. սահմանել տեղեկատվության և տեղեկատվության մշակման հետ կապված տեղեկատվության և ակտիվների ընդունելի օգտագործման կանոններ:

4.5. ապահովել, որ ամբողջ տեղեկատվությունը դասակարգվի իրավական պահանջների, արժեքի, կարևորության և զգայունության տեսանկյունից և մշակվի իր դասակարգման պիտակի համաձայն:

4.6. ապահովել CLIENT-ի տվյալների պատշաճ մշակումը և հեռացումը PROVIDER համակարգերից. - ՀԱՃԱԽՈՐԴՆԵՐԻ տվյալների գրառումների հեռացումը պետք է իրականացվի անվտանգ եղանակով, որպեսզի ապահովվի, որ տվյալները դարձնեն անվերադարձ: - Ջնջման վկայականը պետք է հասանելի լինի ՀԱՃԱԽՈՐԴԻ կողմից տվյալների ջնջման ցանկացած ժամանակավոր պահանջի դեպքում:

5. ՄՈՒՏՔԻ ՎԵՐԱՀՍԿՈՂՈՒԹՅՈՒՆ

5.1. Ընդհանուր դրույթներ

Մատակարարը պարտավոր է՝

5.1.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել մուտքի վերահսկման քաղաքականությունը և ընթացակարգերը՝ հիմնվելով բիզնեսի կարիքների և «Ամենափոքր արտոնության» սկզբունքի վրա և ապահովել, որ միայն լիազորված աշխատակիցները մուտք ունենան ՊՐՈՎԻԴԵՐ համակարգեր:

5.1.2. ապահովել, որ օգտագործվում են միայն եզակի ID-ներ և պետք է փաստագրեն ընդհանուր հաշիվների ցանկացած բացառություն և օգտագործում:

5.1.3. համոզվեք, որ ցանկացած մուտք դեպի PROVIDER համակարգեր, որոնք պահում կամ մշակում են CLIENT Տվյալները, ենթակա են Multi-Factor Authentication-ի (MFA):

5.1.4. պարբերաբար, առնվազն տարեկան կտրվածքով, վերանայել օգտատերերի կողմից տրված արտոնությունների համապատասխանությունը:

5.1.5. ապահովել, որ օգտատերերի կառավարման գործողությունները (օգտատիրոջ արտոնությունների ավելացում, փոփոխություն կամ հեռացում) իրականացվեն վավերական պաշտոնական պահանջի հիման վրա և ժամանակին:

5.2. ՀԵՌԱԿԱ ՄՈՒՏՔԻ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ

Մատակարարը պարտավոր է՝

5.2.1. Ապահովել, որ համապատասխան անվտանգության հսկողություն է սահմանվել՝ կանխելու ՊՐՈՎԻԴԵՐ համակարգերի չարտոնված հեռահար մուտքը: Նման վերահսկողությունը պետք է ներառի առնվազն. - PROVIDER համակարգերի և/կամ ցանցի ցանկացած հեռավոր մուտք պետք է լինի միայն VPN-ի և Multi-Factor Authentication-ի (MFA) միջոցով: - Հեռակա մուտքի մեխանիզմով շրջող բոլոր տվյալները պետք է գաղտնագրվեն վերջնակետից (օրինակ՝ նոութբուքից) դեպի ցանց: - ՊՐՈՎԻԴԵՐ համակարգերին միանալու բոլոր փորձերը՝ օգտագործելով չթույլատրված հեռահար մուտքի մեխանիզմը, պետք է մերժվեն և գրանցվեն: - Կասկածելի գործողությունները պետք է վարվեն համապատասխան անվտանգության արձանագրություններին համապատասխան:

5.3. գաղտնաբառի կառավարում

Մատակարարը պարտավոր է՝

5.3.1. սահմանել, փաստաթղթավորել, կիրառել և պահպանել գաղտնաբառերի քաղաքականությունը՝ ոլորտի լավագույն փորձին և ներքին բիզնեսի կարիքներին համապատասխան:

5.3.2. ապահովել, որ գաղտնաբառերը լինեն բավարար երկարությամբ, բարդությամբ, չպարունակեն հեշտությամբ կռահելի բառեր և փոխվեն կանոնավոր պարբերականությամբ:

5.3.3. համոզվեք, որ օգտվողների հաշիվները արգելափակված են սխալ գաղտնաբառ մուտքագրելու որոշակի անհաջող փորձերից հետո, և որ հաշիվը արգելափակված է որոշակի ժամանակով:

5.3.4. համոզվեք, որ գաղտնաբառերը պահվում են անվտանգ եղանակով, որը դրանք դարձնում է անհասկանալի, քանի դեռ դրանք վավեր են:

6. ԳՐԻՊՏՈԳՐԱՖԻԱ

Մատակարարը պարտավոր է՝

6.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել համապատասխան քաղաքականություններ և ընթացակարգեր, որոնք կարգավորում են համապատասխան գաղտնագրման հսկիչ սարքերի օգտագործումը և բանալիների կառավարման գործընթացները, որոնք սահմանում են ծածկագրային բանալիների և բանալիների օգտագործման, պաշտպանության և օգտագործման կանոնները:

6.2. Համոզվեք, որ CLIENT-ի տվյալները պաշտպանված են տրանսպորտում կամ հանգստի ժամանակ՝ օգտագործելով անվտանգ արձանագրությունները (օրինակ՝ TLS 1.2, AES-256 կամ ոլորտի այլ առաջարկվող ստանդարտներ):

6.3. կառավարել բոլոր գաղտնագրման բանալիները բանալիների կառավարման համակարգում, որը պատկանում և շահագործվում է PROVIDER-ի կողմից:

6.4. ապահովել գաղտնագրման բանալիների կառավարման գործընթացում պարտականությունների պատշաճ տարանջատում:

7. ՖԻԶԻԿԱԿԱՆ ԵՎ ԲՆԱՊԱՀՊԱՆՈՒԹՅԱՆ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ

Մատակարարը պարտավոր է՝

7.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել ֆիզիկական անվտանգության քաղաքականություններ և ընթացակարգեր՝ կանխելու Չլիազորված ֆիզիկական մուտքը, վնասը և միջամտությունը կազմակերպության տեղեկատվության և տեղեկատվության մշակման օբյեկտներին, որոնք պահում են ՀԱՃԱԽՈՐԴԻ տվյալները:

7.2. իրականացնել ֆիզիկական և բնապահպանական անվտանգության գործընթացներ և հսկողություն՝ սահմանված քաղաքականություններին և ընթացակարգերին համապատասխան: ՊՐՈՎԱՅԴԵՐ-ը կարող է ֆիզիկական անվտանգության վերահսկողության մի մասը կամ բոլորը փոխանցել երրորդ կողմին, և նա պետք է ապահովի նույն մակարդակի հսկողությունը և պետք է պարբերաբար գնահատի երրորդ կողմին համապատասխանությունը:

7.3. ապահովել անվտանգ տարածքները պաշտպանված են մուտքի համապատասխան հսկողությամբ, և միայն լիազորված անձնակազմին թույլատրվում է մուտք գործել:

7.4. համոզվեք, որ բոլոր այցելուները լիազորված են, ունենան համապատասխան նույնականացում և միայն անհրաժեշտ տարածքներ մուտք գործելու հնարավորություն:

7.5. համոզվեք, որ կողպեքի պահարաններն օգտագործվում են գաղտնի տեղեկատվության ապահովման համար:

7.6. համոզվեք, որ պահեստային մեդիա պարունակող սարքավորումները ապահով կերպով վերագրված են մինչև հեռացումը կամ նորից օգտագործումը:

7.7. ապահովել հստակ գրասեղանի քաղաքականություն և հստակ էկրանի քաղաքականություն կիրառել տեղեկատվության մշակման օբյեկտների համար:

8. ԳՈՐԾԱՌՆՈՒԹՅԱՆ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ

Մատակարարը պարտավոր է՝

8.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել անվտանգության գործառնական ընթացակարգերը պահուստավորման, վերջնակետի պաշտպանության, խոցելիության կառավարման, հակավիրուսային և հակավիրուսային ծրագրերի, կարկատման, համակարգի կարծրացման և գրանցման համար:

8.2. կանոնավոր կերպով կատարել խոցելիության գնահատումներ և ներթափանցման թեստեր՝ համապատասխան ոլորտի լավագույն փորձին և բիզնեսի ներքին կարիքներին: Մատակարարողը պետք է նաև իրականացնի ռիսկերի գնահատում, որին կհաջորդի հայտնաբերված խնդիրների վերացումը:

8.3. ապահովել, որ խոցելիությունները կարգավորվեն սահմանված առաջնահերթություններին համապատասխան և լուծման պահանջվող ժամկետներում:

8.4. կիրառել պատչակներ և արդիականացումներ ենթակառուցվածքների բոլոր մակարդակներում՝ սահմանված առաջնահերթություններին համապատասխան:

8.5. Ապահովել, որ վերջնակետերը, սերվերները, պահեստավորման սարքերը, փոստի/վեբ դարպասները և փոստի տրաֆիկը պաշտպանված են հակավիրուսային ակտիվ գործիքներով, որտեղ տեխնիկապես հնարավոր է հայտնաբերել և, որտեղ հնարավոր է, կանխել չարամիտ ծրագրերի վարակումները:

8.6. ստեղծել տեղեկատվության, ծրագրաշարի և համակարգի պատկերների կրկնօրինակներ և պետք է պարբերաբար փորձարկի դրանք՝ համապատասխան ոլորտի լավագույն փորձին և ներքին բիզնեսի կարիքներին:

8.7. ապահովել համապատասխան հատումների իրականացումը՝ բավարար մանրամասներով և պահպանված պահպանման սահմանված ժամկետներին համապատասխան՝ պաշտպանված լինելով կեղծումից և չարտոնված մուտքից:

8.8. սահմանել, փաստաթղթավորել, կիրառել և պահպանել օգտագործողների կողմից ծրագրային ապահովման տեղադրման կանոնները:

8.9. սահմանել, փաստաթղթավորել, կիրառել և պահպանել վերջնական կետերի անվտանգ կազմաձևման ստանդարտներ, ներառյալ, բայց չսահմանափակվելով նոութբուքերի, սերվերների, վիրտուալ մեքենաների, տվյալների բազաների և ցանցային սարքերի համար՝ պաշտպանելու գաղտնիության, ամբողջականության և ՀԱՃԱԽՈՐԴԻ Տվյալների հասանելիությունից հանգստի և տարանցման ժամանակ:

9. ՑԱՆՑԱՅԻՆ ԵՎ ԿԱՊԻ ԱՆՎՏԱՆԳՈՒԹՅՈՒՆ

Մատակարարը պարտավոր է՝

9.1. սահմանել, փաստաթղթավորել, կիրառել և պահպանել բոլոր ցանցային ծառայությունների անվտանգության մեխանիզմները և կառավարման պահանջները:

9.2. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել գաղտնագրման և անվտանգության կոնֆիգուրացիայի ուժեղ ստանդարտներ՝ հանրային և ոչ հանրային ցանցերում հաղորդակցությունն ապահովելու համար:

9.3. ապահովել, որ բոլոր համապատասխան տեղեկատվության մշակման համակարգերի ժամացույցները համաժամանակացվեն մեկ հղման ժամանակի աղբյուրի հետ:

9.4. վերահսկել վեբ տրաֆիկը և ցանցի պարագծը՝ կիբերհարձակումները հայտնաբերելու և վնասակար ծառայությունները, վեբ էջերը և տրաֆիկը արգելափակելու համար:

9.5. ապահովել, որ firewall-ի կանոնների փոփոխությունները վերահսկվեն պաշտոնական հարցման/հաստատման գործընթացի միջոցով և պարբերաբար վերանայվեն:

9.6. սահմանափակել և վերահսկել մուտքը կազմակերպություններ՝ համապատասխան ոլորտի լավագույն փորձին և ներքին բիզնեսի կարիքներին:

9.7. ապահովել գոտիավորման մոդելի կիրառումը, և որ ցանցը պատշաճ կերպով բաժանված է, մինչդեռ յուրաքանչյուր հատվածում թույլատրվում է միայն հաստատված մուտքն ու երթևեկությունը:

10. ԾՐԱԳՐԵՐԻ ԶԱՐԳԱՑՄԱՆ ԿՅԱՆՔԻ ՑԻԿԼ (SDLC)

Մատակարարը պարտավոր է՝

10.1. ստեղծել անվտանգ զարգացման ցիկլ՝ ապահովելու համար, որ Ծառայությունները մշակվեն և պահպանվեն անվտանգ ձևով:

10.2. վերահսկել համակարգերի փոփոխությունները զարգացման կյանքի ցիկլի շրջանակներում՝ փոփոխությունների վերահսկման պաշտոնական ընթացակարգերով:

10.3. ապահովել, որ մշակման, փորձարկման և արտադրական միջավայրերը առանձնացված են՝ նվազեցնելու չարտոնված մուտքի կամ արտադրական միջավայրի փոփոխության ռիսկերը:

10.4. ապահովել, որ տեղեկատվական անվտանգության հետ կապված պահանջները ներառված են նոր Ծառայությունների կամ առկա Ծառայությունների կատարելագործման պահանջներում:

10.5. ապահովել, որ թեստային տվյալները ստեղծվեն ուշադիր և վերահսկվող, և որ արտադրության տվյալները չօգտագործվեն թեստավորման նպատակով:

11. ՄԱՏԱԿԱՐԱՐՆԵՐԻ ՀԱՐԱԲԵՐՈՒԹՅՈՒՆՆԵՐ

Մատակարարը պարտավոր է՝

11.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել մատակարարների հարաբերությունների կառավարման քաղաքականությունը և ընթացակարգերը, որոնք սահմանում են մատակարարների հարաբերությունների կառավարման հիմնական սկզբունքներն ու կանոնները, որոնք համապատասխանում են բիզնեսին, անվտանգության պահանջներին, ինչպես նաև կիրառելի կանոնակարգերին, լավագույն փորձին և միջազգային չափանիշներին:

11.2. յուրաքանչյուր մատակարարի համար, որը կարող է մուտք գործել, մշակել կամ պահել ՀԱՃԱԽՈՐԴՆԵՐԻ տվյալներ, ՄԱՐՏԱԴՐողը պետք է գնահատի և փաստաթղթավորի մատակարարի լուծման համապատասխանությունը: Կարևոր մատակարարների, ներառյալ ենթամշակողների համար, վերագնահատումը պետք է իրականացվի տարեկան կտրվածքով:

11.3. ապահովել, որ տեղեկատվական անվտանգության բոլոր համապատասխան պահանջները պետք է հաստատվեն և համաձայնեցվեն յուրաքանչյուր մատակարարի հետ, որը կարող է մուտք գործել, մշակել կամ պահել ՀԱՃԱԽՈՐԴՆԵՐԻ տվյալները:

11.4. ապահովել, որ վավեր համաձայնագիր, որը սահմանում է աշխատանքային հարաբերությունների շրջանակը, գաղտնիությունը, անվտանգությունը և տեխնիկական պահանջները (եթե կիրառելի է) յուրաքանչյուր մատակարարի հետ, որը կարող է մուտք գործել, մշակել կամ պահել ՀԱՃԱԽՈՐԴԻ տվյալները:

12. ՏԵՂԵԿԱՏՎԱԿԱՆ ԱՆՎՏԱՆԳՈՒԹՅԱՆ ԴԵՊՔԵՐԻ ԿԱՌԱՎԱՐՈՒՄ

Մատակարարը պարտավոր է՝

12.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել տեղեկատվական անվտանգության միջադեպերի հաշվետվությունների, դրանց արձագանքման և կառավարման պաշտոնական գործընթաց: Սա նվազագույնը պետք է ներառի. - ՊՐՈՎԻԴԵՐ կազմակերպության համապատասխան ղեկավարությանը նման միջադեպերի/խախտումների մասին հաղորդման ընթացակարգ: - Տեղեկատվական անվտանգության միջադեպերի բացահայտման, գնահատման և հետաքննության գործընթաց: - Հստակ նշանակված թիմ՝ միջադեպի արձագանքման կառավարման և համակարգման համար: - Միջադեպին արձագանքման կառավարման փաստաթղթավորված և փորձարկված գործընթաց, ներառյալ՝ համապատասխան հարցեր և գործողությունների մատյաններ պահելու պահանջը՝ ներառելու միջադեպի տեղի ունեցած ժամանակը, միջադեպի մասին զեկուցող անձը, ում հաղորդվել է և դրա հետևանքները: - ՀԱՃԱԽՈՐԴԻՆ ժամանակին ծանուցելու պահանջը և ոչ ուշ, քան տեղեկատվական անվտանգության միջադեպից և ՀԱՃԱԽՈՐԴԻՆ մատուցվող ծառայությունների վրա բացասական ազդեցությունից հետո ոչ ուշ, քան 72 ժամվա ընթացքում հաստատվում է: Ծանուցման ավելի կարճ ժամկետը կկիրառվի, եթե նման պահանջը հիմնված է գործող օրենսդրության և/կամ կանոնակարգի վրա: - ՄԱՐՏԱԴՐՈՂԻ միջադեպերի կառավարման թիմը, անհրաժեշտության դեպքում, պետք է համագործակցի ՀԱՃԱԽՈՐԴԻ անվտանգության ներկայացուցիչների հետ, մինչև տեղեկատվական անվտանգության միջադեպը բավարար կերպով լուծվի: - Մատակարարը պետք է համապատասխանի բոլոր ազգային կանոնակարգերին և օրենսդրություններին, որոնք վերաբերում են տեղեկատվական անվտանգության միջադեպերի ծանուցմանը իրավապահ մարմիններին, կարգավորող մարմիններին կամ այլ ազգային մարմիններին:

13. ԲԻԶՆԵՍԻ ՇԱՐՈՒՆԱԿԱԿԱՆ ԿԱՌԱՎԱՐՈՒՄ

Մատակարարը պարտավոր է՝

13.1. սահմանել, փաստաթղթավորել, իրականացնել և պահպանել բիզնեսի շարունակականության ծրագիր:

13.2. բացահայտել և առաջնահերթություն տալ SMSBAT-ի կարևոր ապրանքներն ու ծառայությունները՝ օգտագործելով Բիզնեսի ազդեցության վերլուծության (BIA) գործընթացը:

13.3. օգտագործել ռիսկերի գնահատման տեղեկատվությունը և մեթոդները՝ խափանման սպառնալիքը գնահատելու համար:

13.4. Հիմնվելով բիզնեսի ազդեցության վերլուծության և ռիսկերի գնահատման արդյունքների վրա՝ մշակել արձագանքման և վերականգնման ռազմավարություններ՝ խանգարող միջադեպի ժամանակ կարևոր ծառայությունների վրա ազդեցությունը մեղմելու համար:

13.5. մշակել բիզնեսի շարունակականության և վերականգնման ծրագրեր, որոնք համապատասխանում են նպատակին, պարբերաբար վերանայվում են, հասանելի են և պարզ՝ հետևելու և հասկանալու համար:

13.6. մշակել ճգնաժամային կառավարման և հաղորդակցության ծրագրեր՝ ճգնաժամի արդյունավետ կառավարման, հաղորդակցության առաջնահերթությունների և միջադեպերի մասին ահազանգելու ուղիների համար:

13.7. իրականացնել վերապատրաստումներ և վարժություններ, որոնք մշակվել են ըստ պահանջվող իրավասությունների և մատուցվում են աշխատակիցներին, ովքեր անմիջականորեն պատասխանատու են բիզնեսի շարունակականության համար:

13.8. շարունակաբար կատարելագործել SMSBAT-ի բիզնեսի շարունակականության ծրագիրը կանոնավոր գնահատման միջոցով և հաշվի առնելով իրավական և կարգավորող պահանջների ցանկացած փոփոխություն:

14. Համապատասխանություն

Մատակարարը պարտավոր է՝

14.1. Տարեկան կտրվածքով պարբերաբար ստուգումներ անցկացրեք արդյունաբերության ստանդարտներին համապատասխան: ՀԱՃԱԽՈՐԴԻ գրավոր խնդրանքով Մատակարարողը ՀԱՃԱԽՈՐԴԻՆ տրամադրում է իր այն ժամանակվա ընթացիկ հաշվետվությունների ամբողջական կամ ամփոփ պատճենը, ինչպես կիրառելի է: ՄԱՐՏԱԴՐողը պետք է նաև տրամադրի ոչ ուշ, քան տասը (10) աշխատանքային օրվա ընթացքում, գրավոր պատասխաններ ՀԱՃԱԽՈՐԴԻ կողմից արված բոլոր ողջամիտ հարցումներին (հարցաթերթիկներ, ձևաթղթեր և այլն)՝ ստուգելու համար, որ ՄԱՐՏԱԴՐողը համապատասխանում է սույն Պայմանների պահանջներին:

14.2. Կիրառելի կանոնակարգով պահանջվող չափով, տարին մեկ անգամ, առնվազն 30 օրացուցային օր առաջ ծանուցման դեպքում, ՄԱՐՏԱԴՐողը պետք է թույլատրի ՀԱՃԱԽՈՐԴԻՆ, իր համապատասխան աուդիտորներին կամ այլ գործակալներին (յուրաքանչյուրը «Աուդիտ իրականացնող կողմ») մուտք գործել Մատակարարի տարածքներ, գրառումներ և փաստաթղթեր, ինչպես ողջամտորեն պահանջվում է Աուդիտորական Կողմի կողմից՝ ստուգելու համար, որ ՄԱՐՏԱԴԻՐԸ համապատասխանում է այս պայմաններին համապատասխան պահանջներին: Սույն պարբերության համաձայն ցանկացած վերանայում չի պահանջում երրորդ կողմի որևէ տվյալների վերանայում, և Աուդիտորական Կողմին կարող է պահանջվել ՄԱՏՈՒՑՈՂԻ հետ կնքել գաղտնիության համաձայնագիր, ինչպես դա կարող է ողջամտորեն անհրաժեշտ լինել՝ հարգելու այն տեղեկատվության գաղտնիությունը, որի մասին աուդիտորական կողմը կարող է տեղեկացված լինել վերանայումը իրականացնելու ընթացքում: Յուրաքանչյուր Կողմ կրում է իր ծախսերը՝ կապված այդ աուդիտի հետ: Այն դեպքում, երբ աուդիտը բացահայտի Սույն Պայմաններով ՄԱՏԱԿԱՐԱՐողի պարտավորություններին անհամապատասխանությունը, Մատակարարը պետք է շտկի այդ անհամապատասխանությունը փոխադարձ համաձայնեցված ժամկետներում և կրի նման գործողությունների ծախսերը:

14.3. ՄԱՐՏԱԴՐՈՂն իրեն իրավունք է վերապահում սահմանափակումներ և սահմանափակումներ դնել ներքին գաղտնի տեղեկատվության ցուցադրման և 14.1 և 14.2 կետերով պահանջվող ցանկացած ապացույցի պատճենահանման հարցում:

15. ՀԱՃԱԽՈՐԴԻ ԱՆՎՏԱՆԳՈՒԹՅԱՆ ՊԱՀԱՆՋՆԵՐ

15.1. Անվտանգության ընդհանուր միջոցառումներ

Մատակարարը պարտավոր է՝

15.1.1. PROVIDER-ը սահմանել, փաստաթղթավորել, ներդրել և պահպանում է անվտանգության առաջարկներ CLIENT-ների համար, ովքեր օգտագործում են իր ամպային հաղորդակցման ծառայությունները: ՀԱՃԱԽՈՐԴԸ պետք է վերանայի նշված առաջարկությունները և կիրառի դրանք իր բիզնես կարիքներին, տեխնիկական հնարավորություններին և ռիսկի ախորժակին համապատասխան:

15.1.2. ՀԱՃԱԽՈՐԴԸ լիովին պատասխանատվություն է կրում իր կողմից անվտանգության միջոցների պատշաճ ստեղծման համար և որևէ պատասխանատվություն չի կրում ՄԱՏՈՒՑՈՂԻ վրա անվտանգության և տեխնիկական միջոցների ոչ պատշաճ ձևակերպման հետևանքով առաջացած անվտանգության միջադեպի կամ ՄԱՏՈՒՑՈՂԻ առաջարկած միջոցառումների իրականացման անփութության հետևանքով:

15.2. AIT անվտանգության մեղմացման միջոցառումներ

Մատակարարը պարտավոր է՝

15.2.1. PROVIDER-ը սահմանել, փաստաթղթավորել և պահպանում է անվտանգության ուղեցույցները՝ խարդախության դեպքերը կանխելու համար:

15.2.2. Պոտենցիալ ռիսկ կարող է առաջանալ CLIENT-ի կայքում կամ PROVIDER Systems-ի հետ ինտեգրված բջջային հավելվածում, եթե գրանցումը կամ այլ ձևը, որն իրականացնում է SMS MT OTP-ներով, պաշտպանված չէ հակաբոտային մեխանիզմով, ինչպիսին է CAPTCHA-ն: Նման հավելվածների խոցելիությունը կարող է հանգեցնել արհեստականորեն ուռճացված տրաֆիկի (AIT) գրոհների: Հակաբոտային մեխանիզմը, ինչպիսին է CAPTCHA-ն, կարևոր է Օգտատիրոջ գրանցման հոսքը ավտոմատացված կեղծ գրանցումներից պաշտպանելու համար, որոնք SMS MT են իրականացնում OTP-ներով:

15.2.3. Երբ AIT-ի հարձակումները տեղի են ունենում, երթևեկությունն ուղարկվում է ՄԱՏՈՒՑՈՂԻ ենթակառուցվածք՝ սկզբնաղբյուրի IP հասցեով, որն օգտագործվում է ՀԱՃԱԽՈՐԴԻ կողմից ներկայացման պահին: Երթևեկության SMS MT բովանդակությունը չի տարբերվում ՀԱՃԱԽՈՐԴԻ իրական տրաֆիկից: ՀԱՃԱԽՈՐԴԻ կողմից որևէ հետադարձ կապի բացակայության դեպքում ՄԱՐՏԱԴՐողը չի կարող տարբերակել ՀԱՃԱԽՈՐԴԻ հավելվածի AIT-ը և նույն հավելվածի իրական տրաֆիկը: Արդյունքում, ՄԱՏՈՒՑՈՂԸ չի կարող պատասխանատվություն կրել ՀԱՃԱԽՈՐԴԻ վեբ կամ բջջային հավելված(ներ)ի անվտանգության համար: ՀԱՃԱԽՈՐԴԸ նաև ընդունում է, որ ՀԱՃԱԽՈՐԴԻ ենթակառուցվածքից ստացված ողջ երթևեկությունը պետք է ուղղորդվի դեպի ցանցի օպերատորներ և Գանձվի ՀԱՃԱԽՈՐԴԻ վրա՝ համաձայն Պայմանագրի պայմանների:

15.2.4. Ազդեցության ենթարկված ցանցերի արգելափակումը չի խանգարի, որ նմանատիպ խնդիր նորից առաջանա միացված ցանցերում, քանի որ խնդրի հիմնական պատճառը ՍԱՂԱԴՐՈՂԻ ենթակառուցվածքն է: Հետևաբար, ՀԱՃԱԽՈՐԴԻ համար հրամայական է հասցեագրել բոլոր ձևերը իրենց կայքում կամ բջջային հավելվածում, որոնք կատարում են SMS MT OTP կոդերը:

15.3. Վարկային սահմանաչափը բարձրացնելու խնդրանք

Մատակարարը պարտավոր է՝

15.3.1. Սահմանաչափը կարող է արագ սպառվել, եթե CLIENT կայքի խոցելիությունները չլուծվեն: Հետևաբար, ՄԱՐՏԱԴՐողը պահանջում է ՀԱՃԱԽՈՐԴԻ կողմից ռիսկերի իրազեկվածության և վարկային սահմանաչափի ավելացման հնարավոր հետևանքների ըմբռնման հաստատումը:

15.3.2. Վարկային սահմանաչափի ավելացում պահանջելով՝ ՀԱՃԱԽՈՐԴԸ ընդունում է պատասխանատվությունը ցանկացած հնարավոր կորստի համար՝ կապված AIT-ի հարձակումների հետ և պարտավորվում է վճարել դրա արդյունքում առաջացող ցանկացած ծախսի համար: