Informacijos saugumo sąlygos
TEIKĖJAS teikia Paslaugas ir vykdo savo įsipareigojimus pagal Sutartį vadovaudamasis:
a. (I) šios informacijos saugos sąlygos
b. (ii) Gera saugumo praktika
1. APIBRĖŽIMAI
a. „Turtas“ reiškia bet kokį aparatinės ir programinės įrangos elementą arba elementą, kuris yra arba gali būti naudojamas kuriant, pasiekiant, apdorojant, apsaugant, stebint, kaupiant, išgaunant, atvaizduojant arba perduodant KLIENTO duomenis.
b. „KLIENTO duomenys“ reiškia bet kokius duomenis, kuriuos KLIENTAS arba jo vardu veikiantis asmuo pateikia TEIKĖJUI arba leidžia TEIKĖJUI prieiti ir apdoroti, susiję su Sutartimi.
c. „Šifravimas“ reiškia informacijos arba duomenų konvertavimo į kodą procesą, ypač siekiant užkirsti kelią neteisėtai prieigai.
d. Pataisymas reiškia bet kokius programinės įrangos ir operacinės sistemos (OS) naujinimus, kurie pašalina programos ar produkto saugos spragas.
e. „Įsiskverbimo bandymas“ reiškia patvirtintą imituojamą kibernetinę ataką kompiuterinėje sistemoje, atliekamą sistemos saugumui įvertinti.
f. „TEIKĖJO sistema“ reiškia bet kokią Sistemą arba Turtą, kuris priklauso arba yra valdomas (visa ar iš dalies), kad jį veiktų TEIKĖJAS arba bet kuri jo patronuojamoji įmonė arba jo vardu.
g. „Saugumo incidentas“ reiškia incidentą, įvykį ir (arba) problemą, dėl kurios buvo iš tikrųjų pažeistas KLIENTO duomenų ir (arba) Paslaugos konfidencialumas, vientisumas ir (arba) prieinamumas.
h. „Gamybos aplinka“ reiškia aplinką, kurioje saugomi ir apdorojami KLIENTO duomenys.
i. „Testavimo aplinka“ reiškia aplinką, kuri yra prieinama neseniai sukurtoms programoms arba programinės įrangos produktams išbandyti prieš išleidžiant juos į gamybos aplinką.
j. „Pažeidžiamumas“ reiškia, kad sistemoje yra nustatytas trūkumas / trūkumas.
k. „Dirbtinai padidintas srautas“ reiškia bet kokį srautą, sugeneruotą automatizuotomis arba apgaulingomis priemonėmis, įskaitant, bet neapsiribojant, robotus, paspaudimų fermas ar bet kokias kitas priemones, skirtas dirbtinai padidinti srautą.
2. INFORMACIJOS SAUGUMO ORGANIZAVIMAS
TEIKĖJAS:
2.1. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti saugos politiką, atitinkančią pramonės standartus, kartu: - užtikrinti, kad būtų išlaikytas duomenų ir informacinių sistemų konfidencialumas, vientisumas ir prieinamumas. - laikytis teisės aktų reikalavimų, kurie gali būti taikomi KLIENTUI ir KLIENTO duomenims.
2.2. peržiūrėti savo politiką ir procedūras kasmet ir (arba) reaguoti į bet kokius reikšmingus pokyčius.
2.3. užtikrinti, kad saugos politika būtų dokumentuota ir patvirtinta TEIKĖJO vadovybės, paskelbta ir perduota atitinkamoms suinteresuotosioms šalims.
2.4. užtikrinti, kad jie turėtų reikiamą skaičių saugos specialistų, kurie bus atsakingi už visų informacijos saugos funkcijų, politikos ir procedūrų koordinavimą ir stebėjimą.
2.5. palaiko periodiško vidaus ir išorės saugumo kontrolės veiksmingumo patvirtinimo procesą. TEIKĖJAS turi nedelsdamas pašalinti ir pašalinti visus trūkumus tiek, kiek tai būtina, kad būtų laikomasi TEIKĖJO įsipareigojimų pagal Sutartį ir šias Sąlygas.
3. ŽMOGIŠKŲJŲ IŠTEKLIŲ IR SAUGUMO MOKYMAS
TEIKĖJAS:
3.1. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti tinkamą biografijos patikrinimo politiką ir procedūrą. Patikrinimai gali apimti asmens išsilavinimą ir ankstesnę darbo istoriją, teistumą, nuorodų patikrinimus ir bet kokius papildomus pramonės standartinius asmens patikrinimo reikalavimus pagal atitinkamus ir taikomus įstatymus ir reglamentus.
3.2. atlikti visų esamų ir naujų darbuotojų, įskaitant pagal sutartis dirbančius darbuotojus, asmens patikrinimus.
3.3. užtikrinti, kad visi darbuotojai būtų saistomi atitinkamos konfidencialumo sutarties.
3.4. apibrėžti, dokumentuoti, įgyvendinti ir palaikyti oficialius saugos ir privatumo suvokimo mokymus visiems darbuotojams. TEIKĖJAS užtikrina, kad tokie mokymai būtų rengiami prieš suteikiant leidimą susipažinti su neskelbtina informacija arba ją naudoti, o vėliau ir nuolat.
4. TURTO VALDYMAS
TEIKĖJAS:
4.1. apibrėžti, dokumentuoti, įdiegti ir palaikyti tikslią ir atnaujintą inventorių, kuriame registruojama visa techninė ir programinė įranga su informacija apie savininką ir kiekvienos vietos vietą.
4.2. užtikrinti, kad į TEIKĖJO įgaliotą programinės įrangos sąrašą būtų įtrauktos tik šiuo metu palaikomos programinės įrangos ir (arba) operacinės sistemos ir (arba) gaunantys tiekėjo naujinimus.
4.3. užtikrinti, kad visa programinė ir techninė įranga, palaikanti EOL (End-of-life), būtų pašalinta iš naudojimo ir inventorius būtų atnaujintas laiku.
4.4. apibrėžti priimtino informacijos ir su informacija bei informacijos apdorojimu susijusio turto naudojimo taisykles.
4.5. užtikrinti, kad visa informacija būtų įslaptinta pagal teisinius reikalavimus, vertę, kritiškumą ir jautrumą ir tvarkoma pagal klasifikavimo etiketę.
4.6. užtikrinti tinkamą KLIENTO duomenų tvarkymą ir šalinimą iš TEIKĖJO sistemų: - KLIENTO duomenų įrašų naikinimas turi būti atliekamas saugiai, siekiant užtikrinti, kad duomenys būtų neatkuriami. - ištrynimo sertifikatas turėtų būti prieinamas bet kokiems ad hoc KLIENTO prašymams ištrinti duomenis.
5. PRIEIGOS KONTROLĖ
5.1. Bendrosios nuostatos
TEIKĖJAS:
5.1.1. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti prieigos kontrolės politiką ir procedūras, remiantis verslo poreikiais ir „mažiausios privilegijos“ principu, ir užtikrinti, kad tik įgalioti darbuotojai turėtų prieigą prie TEIKĖJO sistemų.
5.1.2. užtikrinti, kad būtų naudojami tik unikalūs ID, ir dokumentuoti visas išimtis ir bendrinamų paskyrų naudojimą.
5.1.3. užtikrinti, kad bet kokiai prieigai prie TEIKĖJO sistemų, kuriose saugomi arba apdorojami KLIENTO duomenys, būtų taikomas daugiafaktorinis autentifikavimas (MFA).
5.1.4. periodiškai, bent kartą per metus, peržiūrėti priskirtų vartotojo teisių tinkamumą.
5.1.5. užtikrinti, kad vartotojų valdymo veiksmai (vartotojo teisių papildymas, keitimas ar pašalinimas) būtų atliekami remiantis galiojančiu formaliu prašymu ir laiku.
5.2. NUOTOLINĖS PRIEIGOS SAUGA
TEIKĖJAS:
5.2.1. užtikrinti, kad būtų įdiegtas tinkamas saugos kontrolės priemonių rinkinys, kad būtų išvengta neteisėtos nuotolinės prieigos prie PROVIDER sistemų. Tokia kontrolė apima bent: - Bet kokia nuotolinė prieiga prie PROVIDER sistemų ir (arba) tinklo turi būti teikiama tik naudojant VPN ir daugiafaktorinį autentifikavimą (MFA). - Visi duomenys, keliaujantys per nuotolinės prieigos mechanizmą, turi būti užšifruoti nuo galutinio taško (pvz., nešiojamojo kompiuterio) iki tinklo. - Visi bandymai prisijungti prie TEIKĖJO sistemų naudojant neleistiną nuotolinės prieigos mechanizmą turi būti atmesti ir registruojami. - Įtartina veikla turi būti tvarkoma pagal atitinkamus saugumo protokolus.
5.3. SLAPTAŽODŽIO VALDYMAS
TEIKĖJAS:
5.3.1. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti slaptažodžių politiką, atitinkančią geriausią pramonės praktiką ir vidinius verslo poreikius.
5.3.2. užtikrinti, kad slaptažodžiai būtų pakankamai ilgi, sudėtingi, juose nebūtų lengvai atspėjamų žodžių ir būtų reguliariai keičiami.
5.3.3. užtikrinti, kad naudotojų paskyros būtų užblokuotos po tam tikro skaičiaus nesėkmingų bandymų įvesti neteisingą slaptažodį ir kad paskyra būtų užblokuota tam tikrą laiką.
5.3.4. užtikrinti, kad slaptažodžiai būtų saugomi taip, kad jie būtų nesuprantami, kol jie galioja.
6. KRIPTOGRAFIJOS
TEIKĖJAS:
6.1. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti atitinkamą politiką ir procedūras, reglamentuojančias atitinkamų kriptografinių valdiklių naudojimą ir raktų valdymo procesus, nustatančius kriptografinių raktų ir raktų įvedimo medžiagos naudojimo, apsaugos ir naudojimo trukmės taisykles.
6.2. Naudodami saugius protokolus (pvz., TLS 1.2, AES-256 ar kitus pramonės rekomenduojamus standartus), užtikrinkite, kad KLIENTO duomenys būtų apsaugoti gabenant arba ramybės būsenoje.
6.3. tvarkyti visus šifravimo raktus raktų valdymo sistemoje, kuri priklauso TEIKĖJUI ir kurią valdo.
6.4. užtikrinti tinkamą pareigų atskyrimą šifravimo rakto valdymo procese.
7. FIZINĖ IR APLINKOS SAUGA
TEIKĖJAS:
7.1. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti fizinės saugos politiką ir procedūras, kad būtų išvengta neteisėtos fizinės prieigos, žalos ir trukdymo organizacijos informacijai ir informacijos apdorojimo priemonėms, kuriose saugomi KLIENTO duomenys.
7.2. įgyvendinti fizinio ir aplinkos apsaugos procesus ir kontrolę pagal apibrėžtą politiką ir procedūras. TEIKĖJAS gali perduoti kai kurias arba visas fizinės saugos kontrolės priemones trečiajai šaliai ir užtikrinti, kad būtų taikomos to paties lygio kontrolės priemonės, ir reguliariai vertinti, ar trečioji šalis atitinka.
7.3. užtikrinti, kad saugios zonos būtų apsaugotos atitinkamomis įėjimo kontrolėmis ir į ją būtų leidžiama patekti tik įgaliotiems darbuotojams.
7.4. užtikrinti, kad visi lankytojai būtų įgalioti, tinkamai identifikuoti ir patekti tik į reikiamas vietas.
7.5. užtikrinti, kad būtų naudojamos užrakinamos spintelės, siekiant apsaugoti konfidencialią informaciją.
7.6. įsitikinkite, kad įranga, kurioje yra laikmenos, būtų saugiai perrašyta prieš išmetant arba naudojant pakartotinai.
7.7. užtikrinti, kad informacijos apdorojimo įrenginiams būtų taikoma aiški stalo politika ir aiški ekrano politika.
8. OPERACIJŲ SAUGUMAS
TEIKĖJAS:
8.1. apibrėžti, dokumentuoti, įdiegti ir prižiūrėti saugos veikimo procedūras, skirtas atsarginėms kopijoms, galinių taškų apsaugai, pažeidžiamumo valdymui, antivirusinėms ir kenkėjiškoms programoms, pataisymui, sistemos tvirtinimui ir registravimui.
8.2. reguliariai atlikti pažeidžiamumo vertinimus ir skverbties testus pagal geriausią pramonės praktiką ir vidinius verslo poreikius. TEIKĖJAS taip pat atlieka rizikos vertinimą, po kurio ištaiso nustatytas problemas.
8.3. užtikrinti, kad pažeidžiamumas būtų tvarkomas laikantis nustatytų prioritetų ir reikalaujamo sprendimo terminų.
8.4. taikyti pataisas ir atnaujinimus visiems infrastruktūros lygiams pagal apibrėžtą prioritetą.
8.5. užtikrinti, kad galutiniai taškai, serveriai, saugojimo įrenginiai, pašto / žiniatinklio šliuzai ir pašto srautas būtų apsaugoti aktyviais kovos su kenkėjiškomis programomis įrankiais, jei tai techniškai įmanoma aptikti ir, kur įmanoma, užkirsti kelią kenkėjiškų programų užkrėtimui.
8.6. sukurti atsargines informacijos, programinės įrangos ir sistemos vaizdų kopijas ir reguliariai jas tikrinti pagal geriausią pramonės praktiką ir vidinius verslo poreikius.
8.7. užtikrinti, kad būtų atliktas tinkamas registravimas, turintis pakankamai išsamios informacijos ir palaikomas laikantis nustatytų saugojimo laikotarpių, kartu apsaugotas nuo klastojimo ir neteisėtos prieigos.
8.8. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti taisykles, reglamentuojančias vartotojų atliekamą programinės įrangos diegimą.
8.9. apibrėžti, dokumentuoti, įgyvendinti ir palaikyti saugios galinių taškų konfigūracijos standartus, įskaitant, bet neapsiribojant, nešiojamuosius kompiuterius, serverius, virtualias mašinas, duomenų bazes ir tinklų įrenginius, kad apsaugotų nuo konfidencialumo, vientisumo ir prieinamumo praradimo KLIENTO duomenims ramybės būsenos ir gabenimo metu.
9. TINKLŲ IR RYŠIŲ SAUGA
TEIKĖJAS:
9.1. apibrėžti, dokumentuoti, įdiegti ir prižiūrėti visų tinklo paslaugų saugumo mechanizmus ir valdymo reikalavimus.
9.2. apibrėžti, dokumentuoti, įdiegti ir palaikyti tvirtus šifravimo ir saugos konfigūravimo standartus, kad būtų užtikrintas ryšys viešaisiais ir neviešaisiais tinklais.
9.3. užtikrinti, kad visų svarbių informacijos apdorojimo sistemų laikrodžiai būtų sinchronizuoti su vienu atskaitos laiko šaltiniu.
9.4. stebėti žiniatinklio srautą ir tinklo perimetrą, kad aptiktų kibernetines atakas ir blokuotų kenkėjiškas paslaugas, tinklalapius ir srautą.
9.5. užtikrinti, kad ugniasienės taisyklių pakeitimai būtų kontroliuojami pateikiant oficialų prašymą / patvirtinimo procesą ir būtų reguliariai peržiūrimi.
9.6. apriboti ir kontroliuoti prieigą prie organizacijų pagal geriausią pramonės praktiką ir vidinius verslo poreikius.
9.7. užtikrinti, kad būtų taikomas zonavimo modelis ir kad tinklas būtų tinkamai segmentuotas, o kiekviename segmente leidžiama tik patvirtinta prieiga ir srautas.
10. PROGRAMINĖS ĮRANGOS KŪRIMO GYVENIMO CIKLAS (SDLC)
TEIKĖJAS:
10.1. nustatyti saugų kūrimo gyvavimo ciklą, siekiant užtikrinti, kad Paslaugos būtų kuriamos ir prižiūrimos saugiai.
10.2. kontroliuoti sistemų pakeitimus kūrimo ciklo metu taikant formalias pakeitimų kontrolės procedūras.
10.3. užtikrinti, kad kūrimo, testavimo ir gamybos aplinkos būtų atskirtos, kad būtų sumažinta neteisėtos prieigos arba gamybos aplinkos pakeitimų rizika.
10.4. užtikrinti, kad su informacijos saugumu susiję reikalavimai būtų įtraukti į naujų paslaugų arba esamų Paslaugų patobulinimų reikalavimus.
10.5. užtikrinti, kad bandymų duomenys būtų kuriami kruopščiai ir kontroliuojamai, o gamybos duomenys nebūtų naudojami bandymo tikslais.
11. TIEKĖJO SANTYKIAI
TEIKĖJAS:
11.1. apibrėžti, dokumentuoti, įgyvendinti ir palaikyti santykių su tiekėjais valdymo politiką ir procedūras, kurios apibrėžia pagrindinius verslo, saugumo reikalavimus, taip pat galiojančius reglamentus, geriausią praktiką ir tarptautinius standartus atitinkančių santykių su tiekėjais valdymo principus ir taisykles.
11.2. kiekvienam tiekėjui, kuris gali pasiekti, apdoroti ar saugoti KLIENTO duomenis, TEIKĖJAS įvertina ir dokumentuoja tiekėjo sprendimo atitiktį. Svarbių tiekėjų, įskaitant antrinius tvarkytojus, pakartotinis vertinimas atliekamas kasmet.
11.3. užtikrinti, kad visi atitinkami informacijos saugumo reikalavimai būtų nustatyti ir suderinti su kiekvienu tiekėju, galinčiu pasiekti, apdoroti ar saugoti KLIENTO duomenis.
11.4. užtikrinti, kad su kiekvienu tiekėju, galinčiu pasiekti, apdoroti ar saugoti KLIENTO duomenis, būtų sudaryta galiojanti sutartis, apibrėžianti darbo apimtį, konfidencialumą, saugumą ir techninius verslo santykių reikalavimus (jei taikoma).
12. INFORMACIJOS SAUGUMO INCIDENTO VALDYMAS
TEIKĖJAS:
12.1. apibrėžti, dokumentuoti, įgyvendinti ir palaikyti formalų informacijos saugumo incidentų teikimo, reagavimo į juos ir valdymo procesą. Tai apima bent: - Pranešimo apie tokius incidentus / pažeidimus atitinkamai TEIKĖJO organizacijos vadovybei procedūra. - Informacijos saugumo incidentų nustatymo, įvertinimo ir tvarkymo procesas. - Aiškiai paskirta komanda, kuri valdytų ir koordinuotų reagavimą į incidentą. – dokumentais patvirtintas ir patikrintas reagavimo į incidentą valdymo procesas, įskaitant reikalavimą vesti atitinkamas problemas ir veiksmų žurnalus, kuriuose būtų nurodytas incidento laikas, apie incidentą pranešęs asmuo, kuriam apie jį buvo pranešta ir jo padariniai. - Patvirtintas reikalavimas informuoti KLIENTĄ laiku ir ne vėliau kaip per 72 valandas po informacijos saugumo incidento ir neigiamo poveikio KLIENTUI teikiamoms paslaugoms. Jei toks reikalavimas grindžiamas galiojančiais teisės aktais ir (arba) reglamentu, bus taikomas trumpesnis pranešimo laikotarpis. - TEIKĖJO incidentų valdymo komanda, jei reikia, dirbs kartu su KLIENTO saugumo atstovais, kol informacijos saugumo incidentas bus tinkamai išspręstas. - TEIKĖJAS turi suderinti visus nacionalinius teisės aktus ir teisės aktus, susijusius su informacijos saugumo incidentų pranešimu teisėsaugos, reguliavimo ar bet kurioms kitoms nacionalinėms institucijoms.
13. VERSLO TĘSTINUMO VALDYMAS
TEIKĖJAS:
13.1. apibrėžti, dokumentuoti, įgyvendinti ir prižiūrėti veiklos tęstinumo programą.
13.2. nustatyti ir nustatyti svarbiausius SMSBAT produktus ir paslaugas, naudojant verslo poveikio analizės (BIA) procesą.
13.3. naudoti rizikos vertinimo informaciją ir metodus sutrikimo grėsmei įvertinti.
13.4. remdamiesi poveikio verslui analizės ir rizikos vertinimo rezultatais, sukurkite reagavimo ir atkūrimo strategijas, kurios sumažintų poveikį svarbiausioms tarnyboms per trikdantį incidentą.
13.5. parengti veiklos tęstinumo ir atkūrimo planus, kurie atitiktų paskirtį, būtų reguliariai peržiūrimi, prieinami ir kuriuos paprasta laikytis bei suprasti.
13.6. parengti krizių valdymo ir komunikacijos planus efektyviam krizių valdymui, komunikacijos prioritetų nustatymui ir perspėjimo apie incidentus būdus.
13.7. rengti mokymus ir pratimus, parengtus pagal reikalaujamas kompetencijas ir pristatytus darbuotojams, kurie yra tiesiogiai atsakingi už veiklos tęstinumą.
13.8. nuolat tobulinti SMSBAT veiklos tęstinumo programą reguliariai vertinant ir atsižvelgiant į bet kokius teisinių ir reguliavimo reikalavimų pakeitimus.
14. ATITIKTIS
TEIKĖJAS:
14.1. Reguliariai kasmet atlikite pramonės standartų auditą. Gavęs KLIENTO raštišką prašymą, TEIKĖJAS pateikia KLIENTUI visą arba santrauką, jei taikoma, tuo metu galiojančių ataskaitų. TEIKĖJAS taip pat ne vėliau kaip per dešimt (10) darbo dienų pateikia rašytinius atsakymus į visus pagrįstus KLIENTO pateiktus prašymus (anketas, formas ir pan.), siekdamas patikrinti, ar TEIKĖJAS laikosi šiose Sąlygose nustatytų reikalavimų.
14.2. Tiek, kiek reikalaujama pagal galiojančius teisės aktus, kartą per metus, ne vėliau kaip prieš 30 kalendorinių dienų, TEIKĖJAS leidžia KLIENTUI, jo atitinkamiems auditoriams ar kitiems agentams (kiekviena „Auditro šalis“) patekti į Tiekėjo patalpas, įrašus ir dokumentus, kaip pagrįstai reikalauja audituojanti šalis, kad patikrintų, ar TEIKĖJAS laikosi šių Sąlygų reikalavimų. Bet kokia peržiūra pagal šią dalį nereikalaujama peržiūrėti jokių trečiosios šalies duomenų, o iš audituojančios šalies gali būti reikalaujama sudaryti konfidencialumo sutartį su TEIKĖJU, jei to pagrįstai reikia, kad būtų laikomasi informacijos, kurią audituojanti šalis gali sužinoti atlikdama peržiūrą, konfidencialumui. Kiekviena Šalis padengia savo išlaidas, susijusias su tokiu auditu. Jei audito metu nustatomas TIEKĖJO įsipareigojimų pagal šias Sąlygas nesilaikymas, TIEKĖJAS privalo ištaisyti tokį neatitikimą per abipusiai sutartą terminą ir padengti tokių veiksmų išlaidas.
14.3. TEIKĖJAS pasilieka teisę nustatyti apribojimus ir apribojimus rodyti vidinę konfidencialią informaciją ir daryti bet kokių 14.1 ir 14.2 punktuose reikalaujamų įrodymų kopijas.
15. KLIENTO SAUGUMO REIKALAVIMAI
15.1. Bendrosios saugumo priemonės
TEIKĖJAS:
15.1.1. PROVIDER apibrėžė, dokumentavo, įdiegė ir palaiko saugos rekomendacijas KLIENTAMS, naudojantiems debesies ryšio paslaugas. KLIENTAS turi peržiūrėti minėtas rekomendacijas ir jas įgyvendinti atsižvelgdamas į savo verslo poreikius, technines galimybes ir rizikos apetitą.
15.1.2. KLIENTAS yra visiškai atsakingas už tinkamą saugumo priemonių nustatymą iš savo pusės ir neprisiima jokios atsakomybės TEIKĖJUI, jei saugumo incidentas kilo dėl netinkamo saugumo ir techninių priemonių nustatymo arba aplaidumo įgyvendinti TEIKĖJO rekomenduotas priemones.
15.2. AIT saugumo mažinimo priemonės
TEIKĖJAS:
15.2.1. PROVIDER apibrėžė, dokumentavo ir palaiko saugos gaires, skirtas sukčiavimo atvejų prevencijai.
15.2.2. Galima rizika gali kilti KLIENTO svetainėje arba mobiliojoje programėlėje, integruotoje su TEIKĖJO sistemomis, jei registracija ar kita forma, kuri vykdo SMS MT su OTP, nėra apsaugota anti-bot mechanizmu, tokiu kaip CAPTCHA. Tokių programų pažeidžiamumas gali sukelti dirbtinai padidinto srauto (AIT) atakas. Anti-bot mechanizmas, pvz., CAPTCHA, yra būtinas norint apsaugoti naudotojo registracijos srautą nuo automatizuotų netikrų registracijų, kurios vykdo SMS MT su OTP.
15.2.3. Kai įvyksta AIT atakos, srautas siunčiamas į TEIKĖJO infrastruktūrą su šaltinio IP adresu, kurį KLIENTAS naudojo pateikimo metu. SMS MT srauto turinys nesiskiria nuo tikrojo KLIENTO srauto. Nesant jokio atsiliepimo iš KLIENTO, TEIKĖJAS negali atskirti AIT KLIENTO programoje ir tikro srauto iš tos pačios programos. Dėl to TEIKĖJAS negali būti laikomas atsakingas už KLIENTO žiniatinklio ar mobiliosios programėlės (-ių) saugumą. KLIENTAS taip pat pripažįsta, kad visas srautas, gaunamas iš KLIENTO infrastruktūros, bus nukreipiamas tinklo operatoriams ir apmokestinamas KLIENTAS pagal Sutarties sąlygas.
15.2.4. Užblokavus paveiktus tinklus, panašiai problemai nepasikartotų įgalintuose tinkluose, nes pagrindinė problemos priežastis yra KLIENTO infrastruktūra. Todėl KLIENTAS privalo užpildyti visas savo svetainėje arba mobiliojoje programėlėje esančias formas, kurios vykdo SMS MT OTP kodus.
15.3. Prašymas padidinti kredito limitą
TEIKĖJAS:
15.3.1. Limitas gali būti greitai išnaudotas, jei nepašalinami pažeidžiamumai KLIENTO svetainėje. Todėl TEIKĖJAS prašo KLIENTO patvirtinimo, kad jis suvokia riziką ir supranta galimas kredito limito padidinimo pasekmes.
15.3.2. Prašydamas padidinti kredito limitą, KLIENTAS pripažįsta atsakomybę už bet kokius galimus nuostolius dėl AIT atakų ir įsipareigoja apmokėti visas išlaidas, kurios gali atsirasti dėl to.