Informācijas drošības noteikumi
SNIEGTĀJS sniedz Pakalpojumus un pilda Līgumā noteiktās saistības saskaņā ar:
a. (I) šie Informācijas drošības noteikumi
b. (ii) laba drošības prakse
1. DEFINĪCIJAS
a. “Aktīvs” ir jebkurš aparatūras un programmatūras vienums vai elements, kas tiek vai var tikt izmantots, lai izveidotu, piekļūtu, apstrādātu, aizsargātu, uzraudzītu, uzglabātu, izgūtu, parādītu vai pārsūtītu KLIENTA datus.
b. “KLIENTA dati” ir jebkuri dati, ko KLIENTS vai persona, kas rīkojas tā vārdā, sniedz NODROŠINĀTĀJAM vai ļauj NODROŠINĀTĀJAM piekļūt un apstrādāt saistībā ar Līgumu.
c. “Šifrēšana” ir process, kurā informācija vai dati tiek pārveidoti kodā, jo īpaši, lai novērstu nesankcionētu piekļuvi.
d. “Laipošana” ir programmatūras un operētājsistēmas (OS) atjauninājumi, kas novērš programmas vai produkta drošības ievainojamības.
e. “Izplatīšanās pārbaude” ir atļauts simulēts kiberuzbrukums datorsistēmai, kas tiek veikts, lai novērtētu sistēmas drošību.
f. “Nodrošinātāja sistēma” ir jebkura sistēma vai aktīvs, kas pieder vai tiek pārvaldīts (pilnībā vai daļēji), lai to darbinātu NODROŠINĀTĀJS vai kāds no tā saistītajiem uzņēmumiem vai tā vārdā.
g. “Drošības incidents” ir incidents, notikums un/vai problēma, kuras rezultātā ir faktiski apdraudēta KLIENTA datu un/vai Pakalpojuma konfidencialitāte, integritāte un/vai pieejamība.
h. “Ražošanas vide” ir vide, kurā tiek glabāti un apstrādāti KLIENTA dati.
i. “Testēšanas vide” ir vide, kas ir pieejama nesen izstrādātu programmu vai programmatūras produktu testēšanai pirms to izlaišanas ražošanas vidē.
j. “Neaizsargātība” ir sistēmā konstatēta nepilnība/trūkums.
k. “Mākslīgi palielināta datplūsma” ir jebkura datplūsma, ko rada automatizēti vai krāpnieciski līdzekļi, tostarp, bet ne tikai, robotprogrammatūras, klikšķu fermas vai citi līdzekļi, kas paredzēti, lai mākslīgi palielinātu trafika apjomu.
2. INFORMĀCIJAS DROŠĪBAS ORGANIZĀCIJA
NODROŠINĀTĀJS:
2.1. definēt, dokumentēt, ieviest un uzturēt drošības politikas, kas atbilst nozares standartiem, vienlaikus: - datu un informācijas sistēmu konfidencialitātes, integritātes un pieejamības nodrošināšana. - tiesību aktu un normatīvo aktu prasību ievērošana, kurām var tikt pakļautas KLIENTA un KLIENTA dati.
2.2. pārskatīt savu politiku un procedūras katru gadu un/vai reaģējot uz jebkādām būtiskām izmaiņām.
2.3. nodrošina, ka drošības politikas ir dokumentētas un apstiprinātas NODROŠINĀTĀJA vadībai, kā arī publicētas un paziņotas attiecīgajām ieinteresētajām personām.
2.4. nodrošina, ka viņiem ir nepieciešamais drošības speciālistu skaits, kas būs atbildīgi par visu informācijas drošības funkciju, politiku un procedūru koordinēšanu un uzraudzību.
2.5. uzturēt periodiskas iekšējās un ārējās drošības kontroles efektivitātes apstiprināšanas procesu. NODROŠINĀTĀJS nekavējoties novērsīs un atrisina visus trūkumus, ciktāl tas nepieciešams, lai izpildītu NODROŠINĀTĀJA saistības saskaņā ar Līgumu un šiem Noteikumiem.
3. CILVĒKRESURSU UN DROŠĪBAS APMĀCĪBAS
NODROŠINĀTĀJS:
3.1. definēt, dokumentēt, ieviest un uzturēt atbilstošu iepriekšējās darbības pārbaudes politiku un procedūru. Pārbaudēs var ietvert personas izglītību un iepriekšējo nodarbinātības vēsturi, sodāmību, atsauces pārbaudes un jebkādas papildu nozares standarta pagātnes pārbaudes prasības saskaņā ar attiecīgajiem un piemērojamiem tiesību aktiem un noteikumiem.
3.2. veikt iepriekšējās darbības pārbaudes visiem esošajiem un jaunajiem darbiniekiem, tostarp līgumdarbiniekiem.
3.3. nodrošināt, ka visiem darbiniekiem ir saistošs atbilstošs konfidencialitātes līgums.
3.4. definēt, dokumentēt, ieviest un uzturēt oficiālu drošības un privātuma izpratnes apmācību visiem darbiniekiem. NODROŠINĀTĀJS nodrošina, ka šādas apmācības tiek nodrošinātas pirms atļaujas piešķiršanas piekļuvei sensitīvai informācijai vai tās izmantošanai un nepārtraukti pēc tam.
4. LĪDZEKĻU PĀRVALDĪBA
NODROŠINĀTĀJS:
4.1. definēt, dokumentēt, ieviest un uzturēt precīzu un atjauninātu uzskaiti, kurā tiek reģistrēta visa aparatūra un programmatūra, norādot katra īpašnieka informāciju un atrašanās vietu.
4.2. nodrošināt, ka NODROŠINĀTĀJA autorizētajam programmatūras krājumam tiek pievienotas tikai programmatūras lietojumprogrammas un/vai operētājsistēmas, kuras pašlaik atbalsta un/vai saņem piegādātāja atjauninājumus.
4.3. nodrošināt, ka visa programmatūra un aparatūra, kas atbalsta EOL (dzīves beigas), tiek izņemta no lietošanas un inventārs tiek savlaicīgi atjaunināts.
4.4. definēt noteikumus par pieņemamu informācijas un ar informāciju un informācijas apstrādi saistīto līdzekļu izmantošanu.
4.5. nodrošina, ka visa informācija ir klasificēta juridisko prasību, vērtības, kritiskuma un jutīguma ziņā un tiek apstrādāta saskaņā ar tās klasifikācijas etiķeti.
4.6. nodrošināt pareizu KLIENTA datu apstrādi un iznīcināšanu no PROVIDER sistēmām: - KLIENTA datu ierakstu iznīcināšana jāveic drošā veidā, lai nodrošinātu, ka dati tiek padarīti neatgriezeniski. - dzēšanas sertifikātam jābūt pieejamam visiem ad hoc KLIENTA pieprasījumiem par datu dzēšanu.
5. PIEKĻUVES KONTROLE
5.1. Vispārīgi noteikumi
NODROŠINĀTĀJS:
5.1.1. definēt, dokumentēt, ieviest un uzturēt piekļuves kontroles politiku un procedūras, pamatojoties uz biznesa vajadzībām un “vismazāko privilēģiju” principu, un nodrošināt, ka PROVIDER sistēmām ir piekļuve tikai pilnvarotiem darbiniekiem.
5.1.2. nodrošina, ka tiek izmantoti tikai unikāli ID, un dokumentē visus izņēmumus un koplietoto kontu izmantošanu.
5.1.3. nodrošināt, ka jebkura piekļuve PROVIDER Sistēmām, kas glabā vai apstrādā KLIENTA datus, tiek pakļauta daudzfaktoru autentifikācijai (MFA).
5.1.4. periodiski, vismaz reizi gadā, pārskatiet piešķirto lietotāja privilēģiju atbilstību.
5.1.5. nodrošināt, lai lietotāju pārvaldības darbības (lietotāja privilēģiju pievienošana, modificēšana vai noņemšana) tiktu veiktas, pamatojoties uz derīgu oficiālu pieprasījumu un laicīgi.
5.2. TĀLĀS PIEKĻUVES DROŠĪBA
NODROŠINĀTĀJS:
5.2.1. nodrošināt, lai tiktu ieviests atbilstošs drošības kontroles kopums, lai novērstu nesankcionētu attālo piekļuvi PROVIDER sistēmām. Šādas kontroles ietver vismaz: - Jebkāda attālā piekļuve PROVIDER sistēmām un/vai tīklam jāveic tikai, izmantojot VPN un daudzfaktoru autentifikāciju (MFA). - Visi dati, kas pārvietojas pa attālās piekļuves mehānismu, ir šifrēti no galapunkta (piemēram, klēpjdatora) uz tīklu. - Visi mēģinājumi izveidot savienojumu ar PROVIDER Sistēmām, izmantojot nesankcionētu attālās piekļuves mehānismu, ir jānoraida un jāreģistrē. - Aizdomīgas darbības apstrādā saskaņā ar attiecīgajiem drošības protokoliem.
5.3. PAROLES PĀRVALDĪBA
NODROŠINĀTĀJS:
5.3.1. definēt, dokumentēt, ieviest un uzturēt paroļu politiku atbilstoši nozares labākajai praksei un iekšējām biznesa vajadzībām.
5.3.2. nodrošināt, ka paroles ir pietiekami garas, sarežģītas, nesatur viegli uzminējamus vārdus un tiek regulāri mainītas.
5.3.3. nodrošināt, lai lietotāju konti tiktu bloķēti pēc noteikta skaita neveiksmīgiem mēģinājumiem ievadīt nepareizu paroli un ka konts tiek bloķēts uz noteiktu laiku.
5.3.4. nodrošināt, ka paroles tiek glabātas drošā veidā, kas padara tās nesaprotamas, kamēr tās ir derīgas.
6. KRIPTOGRAFIJA
NODROŠINĀTĀJS:
6.1. definēt, dokumentēt, ieviest un uzturēt attiecīgas politikas un procedūras, kas regulē atbilstošu kriptogrāfijas vadīklu izmantošanu un atslēgu pārvaldības procesus, nosakot kriptogrāfisko atslēgu un atslēgu materiālu lietošanas, aizsardzības un kalpošanas laika noteikumus.
6.2. Nodrošiniet KLIENTA datu aizsardzību sūtīšanas vai atpūtas laikā, izmantojot drošus protokolus (piemēram, TLS 1.2, AES-256 vai citus nozares ieteiktos standartus).
6.3. pārvaldīt visas šifrēšanas atslēgas atslēgu pārvaldības sistēmā, kas pieder un to pārvalda NODROŠINĀTĀJS.
6.4. nodrošināt pareizu pienākumu nošķiršanu šifrēšanas atslēgas pārvaldības procesā.
7. FIZISKĀ UN VIDES DROŠĪBA
NODROŠINĀTĀJS:
7.1. definēt, dokumentēt, ieviest un uzturēt fiziskās drošības politikas un procedūras, lai novērstu nesankcionētu fizisku piekļuvi, bojājumus un iejaukšanos organizācijas informācijai un informācijas apstrādes iekārtām, kas glabā KLIENTA datus.
7.2. īstenot fiziskās un vides drošības procesus un kontroles saskaņā ar noteiktām politikām un procedūrām. NODROŠINĀTĀJS var uzticēt dažas vai visas fiziskās drošības kontroles trešai pusei, un tam ir jānodrošina tāda paša līmeņa kontroles un regulāri jānovērtē trešās puses atbilstība.
7.3. nodrošiniet, lai drošās zonas būtu aizsargātas ar atbilstošām ieejas kontroles ierīcēm, un tiem ir atļauts piekļūt tikai pilnvarotam personālam.
7.4. nodrošināt, ka visi apmeklētāji ir pilnvaroti, viņiem ir atbilstoša identifikācija un viņiem tiek nodrošināta piekļuve tikai nepieciešamajām zonām.
7.5. nodrošināt, lai konfidenciālas informācijas aizsardzībai tiktu izmantoti slēdzamie skapji.
7.6. pirms iznīcināšanas vai atkārtotas izmantošanas pārliecinieties, ka aprīkojums, kas satur datu nesēju, ir droši pārrakstīts.
7.7. nodrošināt skaidru galda politiku un skaidras ekrāna politikas piemērošanu informācijas apstrādes iekārtām.
8. OPERĀCIJAS DROŠĪBA
NODROŠINĀTĀJS:
8.1. definēt, dokumentēt, ieviest un uzturēt drošības darbības procedūras dublēšanai, galapunktu aizsardzībai, ievainojamības pārvaldībai, pretvīrusu un ļaunprātīgas programmatūras novēršanai, ielāpu, sistēmas nostiprināšanai un reģistrēšanai.
8.2. regulāri veikt ievainojamības novērtējumus un iespiešanās testus saskaņā ar nozares labāko praksi un iekšējām biznesa vajadzībām. NODROŠINĀTĀJS veic arī riska novērtējumu, kam seko konstatēto problēmu novēršana.
8.3. nodrošināt, ka ievainojamības tiek apstrādātas saskaņā ar noteikto prioritāti un noteiktajā atrisināšanas termiņā.
8.4. lietot ielāpus un jauninājumus visos infrastruktūras līmeņos saskaņā ar noteikto prioritāti.
8.5. nodrošināt galapunktu, serveru, datu glabāšanas ierīču, pasta/tīmekļa vārtejas un pasta trafika aizsardzību ar aktīviem pretļaundabīgo programmu rīkiem, ja tas ir tehniski iespējams atklāt un, kur vien iespējams, novērst ļaunprātīgas programmatūras inficēšanos.
8.6. izveidot informācijas, programmatūras un sistēmas attēlu rezerves kopijas un regulāri tās pārbaudīt saskaņā ar nozares labāko praksi un iekšējām uzņēmējdarbības vajadzībām.
8.7. nodrošināt, ka tiek veikta atbilstoša reģistrēšana ar pietiekamu informāciju un uzturēta saskaņā ar noteiktiem saglabāšanas periodiem, vienlaikus aizsargājot pret manipulācijām un nesankcionētu piekļuvi.
8.8. definēt, dokumentēt, ieviest un uzturēt noteikumus, kas regulē programmatūras instalēšanu, ko veic lietotāji.
8.9. definēt, dokumentēt, ieviest un uzturēt galapunktu drošas konfigurācijas standartus, tostarp, bet neaprobežojoties ar klēpjdatoriem, serveriem, virtuālajām mašīnām, datu bāzēm un tīkla ierīcēm, lai aizsargātu pret KLIENTA datu konfidencialitātes, integritātes un pieejamības zudumu miera stāvoklī un pārvietošanas laikā.
9. TĪKLA UN KOMUNIKĀCIJAS DROŠĪBA
NODROŠINĀTĀJS:
9.1. definēt, dokumentēt, ieviest un uzturēt visu tīkla pakalpojumu drošības mehānismus un pārvaldības prasības.
9.2. definēt, dokumentēt, ieviest un uzturēt spēcīgus šifrēšanas un drošības konfigurācijas standartus, lai nodrošinātu saziņu publiskajos un nepubliskos tīklos.
9.3. nodrošina, ka visu attiecīgo informācijas apstrādes sistēmu pulksteņi tiek sinhronizēti ar vienu atsauces laika avotu.
9.4. pārraugiet tīmekļa trafiku un tīkla perimetru, lai atklātu kiberuzbrukumus un bloķētu ļaunprātīgus pakalpojumus, tīmekļa lapas un trafiku.
9.5. nodrošināt, ka ugunsmūra noteikumu izmaiņas tiek kontrolētas, izmantojot oficiālu pieprasījuma/apstiprināšanas procesu, un tiek regulāri pārskatītas.
9.6. ierobežot un kontrolēt piekļuvi organizācijām saskaņā ar nozares labāko praksi un iekšējām biznesa vajadzībām.
9.7. nodrošināt, ka tiek piemērots zonējuma modelis un ka tīkls ir atbilstoši segmentēts, bet katrā segmentā ir atļauta tikai apstiprināta piekļuve un trafika.
10. PROGRAMMATŪRAS IZSTRĀDES DZĪVES CIKLS (SDLC)
NODROŠINĀTĀJS:
10.1. izveidot drošu izstrādes dzīves ciklu, lai nodrošinātu, ka Pakalpojumi tiek izstrādāti un uzturēti drošā veidā.
10.2. kontrolēt izmaiņas sistēmās izstrādes dzīves cikla ietvaros, izmantojot oficiālas izmaiņu kontroles procedūras.
10.3. nodrošināt izstrādes, testēšanas un ražošanas vides nošķiršanu, lai samazinātu nesankcionētas piekļuves vai izmaiņu risku ražošanas videi.
10.4. nodrošināt, lai prasības attiecībā uz jauniem pakalpojumiem vai esošo pakalpojumu uzlabojumiem tiktu iekļautas ar informācijas drošību saistītās prasības.
10.5. nodrošināt, lai testa dati tiktu izveidoti rūpīgi un kontrolēti un ka ražošanas dati netiktu izmantoti testēšanas nolūkos.
11. PIEGĀDĀTĀJU ATTIECĪBAS
NODROŠINĀTĀJS:
11.1. definēt, dokumentēt, ieviest un uzturēt piegādātāju attiecību pārvaldības politikas un procedūras, kas nosaka pamatprincipus un noteikumus piegādātāju attiecību pārvaldībai, kas atbilst biznesa, drošības prasībām, kā arī piemērojamiem noteikumiem, paraugpraksei un starptautiskajiem standartiem.
11.2. attiecībā uz katru piegādātāju, kas var piekļūt, apstrādāt vai uzglabāt KLIENTA datus, NODROŠINĀTĀJS novērtē un dokumentē piegādātāja risinājuma atbilstību. Svarīgiem piegādātājiem, tostarp apakšapstrādātājiem, atkārtotu novērtēšanu veic katru gadu.
11.3. nodrošina, ka visas attiecīgās informācijas drošības prasības tiek noteiktas un saskaņotas ar katru piegādātāju, kas var piekļūt, apstrādāt vai uzglabāt KLIENTA datus.
11.4. nodrošina, ka ar katru piegādātāju, kas var piekļūt, apstrādāt vai uzglabāt KLIENTA datiem, ir spēkā derīgs līgums, kurā ir noteikts darba apjoms, konfidencialitāte, drošība un tehniskās prasības (ja piemērojams).
12. INFORMĀCIJAS DROŠĪBAS INTICIENTU PĀRVALDĪBA
NODROŠINĀTĀJS:
12.1. definēt, dokumentēt, ieviest un uzturēt formālu procesu ziņošanai par informācijas drošības incidentiem, reaģēšanai uz tiem un to pārvaldībai. Tas ietver vismaz: - Procedūra ziņošanai par šādiem incidentiem/pārkāpumiem atbilstošajai vadībai NODROŠINĀTĀJA organizācijā. - Informācijas drošības incidentu identificēšanas, novērtēšanas un apstrādes process. - Skaidri iecelta komanda, lai vadītu un koordinētu reaģēšanu uz incidentu. - dokumentēts un pārbaudīts process, lai pārvaldītu reaģēšanu uz incidentu, tostarp prasība saglabāt atbilstošus jautājumus un darbību žurnālus, lai iekļautu incidenta laiku, personu, kas ziņo par incidentu, kurai par to ziņots, un tā sekas. - Tiek apstiprināta prasība savlaicīgi, bet ne vēlāk kā 72 stundu laikā pēc informācijas drošības incidenta un negatīvās ietekmes uz KLIENTAM sniegtajiem pakalpojumiem informēt KLIENTU. Tiks piemērots īsāks paziņošanas termiņš, ja šāda prasība ir balstīta uz piemērojamiem tiesību aktiem un/vai noteikumiem. - NODROŠINĀTĀJA incidentu vadības komanda, ja nepieciešams, strādā kopā ar KLIENTA drošības pārstāvjiem, līdz informācijas drošības incidents ir apmierinoši atrisināts. - NODROŠINĀTĀJAM ir jāsaskaņo ar visiem nacionālajiem normatīvajiem aktiem un tiesību aktiem attiecībā uz informācijas drošības incidentu paziņošanu tiesībaizsardzības, regulējošām vai citām valsts iestādēm.
13. UZŅĒMĒJDARBĪBAS NEPĀRTRAUKTĪBAS VADĪBA
NODROŠINĀTĀJS:
13.1. definēt, dokumentēt, ieviest un uzturēt darbības nepārtrauktības programmu.
13.2. identificēt un noteikt prioritāti SMSBAT kritiskos produktus un pakalpojumus, izmantojot biznesa ietekmes analīzes (BIA) procesu.
13.3. izmantot riska novērtējuma informāciju un metodes, lai novērtētu traucējumu draudus.
13.4. pamatojoties uz uzņēmējdarbības ietekmes analīzes un riska novērtējuma rezultātiem, izstrādājiet reaģēšanas un atkopšanas stratēģijas, lai mazinātu ietekmi uz kritiskajiem pakalpojumiem traucējoša incidenta laikā.
13.5. izstrādāt darbības nepārtrauktības un atveseļošanas plānus, kas atbilst mērķim, tiek regulāri pārskatīti, pieejami un vienkārši izpildāmi un saprotami.
13.6. izstrādāt krīzes vadības un komunikācijas plānus efektīvai krīzes pārvarēšanai, prioritāšu noteikšana saziņā un veidi, kā brīdināt par incidentiem.
13.7. nodrošināt apmācību un vingrinājumus, kas izstrādāti atbilstoši nepieciešamajām kompetencēm un piegādāti darbiniekiem, kuriem ir tieša atbildība par darbības nepārtrauktību.
13.8. pastāvīgi uzlabot SMSBAT darbības nepārtrauktības programmu, regulāri novērtējot un ņemot vērā visas izmaiņas juridiskajos un normatīvajos aktos.
14. ATBILSTĪBA
NODROŠINĀTĀJS:
14.1. Katru gadu veiciet regulāras revīzijas atbilstoši nozares standartiem. Pēc KLIENTA rakstiska pieprasījuma NODROŠINĀTĀJS sniedz KLIENTA pilnu vai kopsavilkuma kopiju, ja nepieciešams, tā tobrīd aktuālo pārskatu. PIEDĀVĀTĀJS arī ne vēlāk kā desmit (10) darba dienu laikā sniedz rakstiskas atbildes uz visiem pamatotajiem PASŪTĪTĀJA pieprasījumiem (aptaujas lapas, veidlapas utt.), lai pārbaudītu, vai PIEŅĒMĒJS atbilst šo Noteikumu prasībām.
14.2. Ciktāl to prasa piemērojamie noteikumi, reizi gadā, vismaz 30 kalendārās dienas iepriekš paziņojot, NODROŠINĀTĀJS ļauj KLIENTAM, tā attiecīgajiem revidentiem vai citiem aģentiem (katra “Revīzijas puse”) piekļūt Piegādātāja telpām, ierakstiem un dokumentiem, kā to pamatoti pieprasa Revīzijas puse, lai pārbaudītu, vai NODROŠINĀTĀJS atbilst šajos Noteikumos noteiktajām prasībām. Jebkāda pārskatīšana saskaņā ar šo punktu neprasa nekādu trešās puses datu pārskatīšanu, un Revīzijas pusei var tikt prasīts noslēgt konfidencialitātes līgumu ar NODROŠINĀTĀJU, kas var būt saprātīgi nepieciešams, lai ievērotu tās informācijas konfidencialitāti, par kuru Revīzijas puse var uzzināt pārskatīšanas laikā. Katra Puse sedz savas izmaksas saistībā ar šādu revīziju. Gadījumā, ja auditā tiek atklāta neatbilstība PIEGĀDĀTĀJA saistībām saskaņā ar šiem Noteikumiem, PIEGĀDĀTĀJA pienākums ir novērst šo neatbilstību abpusēji saskaņotā termiņā un segt šādu darbību izmaksas.
14.3. NODROŠINĀTĀJS patur tiesības noteikt ierobežojumus un ierobežojumus iekšējās konfidenciālās informācijas parādīšanai un jebkādu 14.1. un 14.2. punktā pieprasīto pierādījumu kopiju iegūšanai.
15. KLIENTA DROŠĪBAS PRASĪBAS
15.1. Vispārējie drošības pasākumi
NODROŠINĀTĀJS:
15.1.1. PROVIDER ir definējis, dokumentējis, ieviesis un uztur drošības ieteikumus KLIENTIEM, kuri izmanto savus mākoņa sakaru pakalpojumus. KLIENTS izskata minētos ieteikumus un ievieš tos atbilstoši savām biznesa vajadzībām, tehniskajām iespējām un riska apetītei.
15.1.2. KLIENTS ir pilnībā atbildīgs par pareizu drošības pasākumu noteikšanu savā pusē un neuzliek nekādu atbildību PIEŅĒMĒJĀM gadījumā, ja drošības incidents ir radies nepareizas drošības un tehnisko pasākumu iestatīšanas vai nolaidības dēļ, īstenojot pasākumus, kā to ieteicis NODROŠINĀTĀJS.
15.2. AIT drošības mazināšanas pasākumi
NODROŠINĀTĀJS:
15.2.1. PROVIDER ir definējis, dokumentējis un uztur drošības vadlīnijas krāpšanas gadījumu novēršanai.
15.2.2. Potenciāls risks var rasties KLIENTA tīmekļa vietnē vai mobilajā lietojumprogrammā, kas integrēta ar PROVIDER sistēmām, ja reģistrācija vai cita veidlapa, kas izpilda SMS MT ar OTP, nav aizsargāta ar anti-bot mehānismu, piemēram, CAPTCHA. Šādu lietojumprogrammu ievainojamības var izraisīt mākslīgi palielinātas satiksmes (AIT) uzbrukumus. Anti-bot mehānisms, piemēram, CAPTCHA, ir būtisks, lai aizsargātu lietotāja reģistrēšanās plūsmu no automātiskas viltus reģistrācijas, kas izpilda SMS MT ar OTP.
15.2.3. Kad notiek AIT uzbrukumi, datplūsma tiek nosūtīta uz NODROŠINĀTĀJA infrastruktūru ar avota IP adresi, ko KLIENTS izmantoja iesniegšanas brīdī. SMS MT trafika saturs nav atšķirams no patiesās KLIENTA trafika. Ja no KLIENTA nav saņemtas nekādas atsauksmes, SNIEGTĀJS nevar atšķirt AIT KLIENTA lietojumprogrammā un patieso trafiku no tās pašas lietojumprogrammas. Tā rezultātā NODROŠINĀTĀJS nevar būt atbildīgs par KLIENTA tīmekļa vai mobilās lietojumprogrammas(-u) drošību. KLIENTS turklāt atzīst, ka visa datplūsma, kas saņemta no KLIENTA infrastruktūras, tiks novirzīta tīkla operatoriem un iekasēta no KLIENTA saskaņā ar Līguma noteikumiem.
15.2.4. Ietekmēto tīklu bloķēšana nenovērsīs līdzīgas problēmas atkārtošanos iespējotajos tīklos, jo problēmas galvenais iemesls ir KLIENTA infrastruktūrā. Līdz ar to KLIENTAM ir obligāti jāadresē visas veidlapas savā tīmekļa vietnē vai mobilajā aplikācijā, kas izpilda SMS MT OTP kodus.
15.3. Lūgums palielināt kredītlimitu
NODROŠINĀTĀJS:
15.3.1. Ierobežojumu var ātri izsmelt, ja netiek novērstas KLIENTA vietnes ievainojamības. Tāpēc SNIEGTĀJS pieprasa KLIENTA apstiprinājumu par risku apzināšanos un izpratni par iespējamām kredītlimita palielināšanas sekām.
15.3.2. Pieprasot kredītlimita palielināšanu, KLIENTS atzīst atbildību par iespējamiem zaudējumiem AIT uzbrukumu dēļ un apņemas apmaksāt visus izdevumus, kas varētu rasties tā rezultātā.