Termenii de securitate a informațiilor
FURNIZORUL va furniza Serviciile și își va îndeplini obligațiile conform Acordului în conformitate cu:
a. (I) acești Termeni de securitate a informațiilor
b. (ii) Bună practică de securitate
1. DEFINIȚII
a. „Activ” înseamnă orice element sau element de hardware și software care este sau poate fi utilizat în scopul creării, accesării, procesării, protejării, monitorizării, stocării, extragerii, afișarii sau transmiterii datelor CLIENTULUI.
b. „Datele CLIENTULUI” înseamnă orice date pe care CLIENTUL sau o persoană care acționează în numele său, le furnizează FURNIZORULUI sau îi permite FURNIZORULUI să le acceseze și să le prelucreze, în legătură cu Acordul.
c. „Criptare” înseamnă procesul de conversie a informațiilor sau a datelor într-un cod, în special pentru a preveni accesul neautorizat.
d. „Corectare” înseamnă orice actualizări ale software-ului și ale sistemului de operare (OS) care abordează vulnerabilitățile de securitate dintr-un program sau produs.
e. „Testarea de penetrare” înseamnă un atac cibernetic simulat autorizat asupra unui sistem informatic, efectuat pentru a evalua securitatea sistemului.
f. „Sistem FURNIZOR” înseamnă orice sistem sau activ care este deținut sau gestionat (în totalitate sau parțial) pentru a fi operat de către sau în numele FURNIZORULUI sau a oricăruia dintre afiliații acestuia.
g. „Incident de securitate” înseamnă un incident, eveniment și/sau problemă care a dus la o compromitere reală a confidențialității, integrității și/sau disponibilității datelor CLIENT și/sau a Serviciului.
h. „Mediul de producție” înseamnă mediul în care sunt stocate și procesate datele CLIENTULUI.
i. „Mediul de testare” înseamnă mediul pus la dispoziție pentru testarea programelor sau produselor software recent dezvoltate înainte de a fi lansate într-un mediu de producție.
j. „Vulnerabilitate” înseamnă existența unei slăbiciuni/defecțiuni găsite în sistem.
k. „Trafic umflat artificial” înseamnă orice trafic generat prin mijloace automate sau frauduloase, inclusiv, dar fără a se limita la roboți, fermele de clic sau orice alte mijloace destinate să umfle artificial volumele de trafic.
2. ORGANIZAREA SECURITATII INFORMATIILOR
Furnizorul va:
2.1. definește, documentează, implementează și menține politici de securitate în conformitate cu standardele din industrie, în timp ce: - asigurarea menținerii confidențialității, integrității și disponibilității datelor și a sistemelor informatice. - respectarea cerințelor legale și de reglementare la care pot fi supuse CLIENTUL și Datele CLIENTULUI.
2.2. revizuiește politicile și procedurile sale anual și/sau ca răspuns la orice schimbare semnificativă.
2.3. asigurați-vă că politicile de securitate sunt documentate și aprobate de conducerea FURNIZORULUI și publicate și comunicate părților interesate relevante.
2.4. asigurați-vă că au numărul necesar de profesioniști în securitate care vor fi responsabili pentru coordonarea și monitorizarea tuturor funcțiilor, politicilor și procedurilor de securitate a informațiilor.
2.5. menține un proces de validare periodică internă și externă a eficacității controalelor sale de securitate. FURNIZORUL va aborda și va rezolva cu promptitudine orice deficiențe în măsura în care este necesar pentru a se conforma cu obligațiile FURNIZORULUI în temeiul Acordului și a acestor Termeni.
3. FORMARE DE RESURSE UMANE ŞI SECURITATE
Furnizorul va:
3.1. definirea, documentarea, implementarea și menținerea unei politici și proceduri adecvate de verificare a antecedentelor. Verificările pot include educația persoanei și istoricul de angajare anterior, cazierul judiciar, verificările referințelor și orice cerințe suplimentare standard de verificare a antecedentelor în conformitate cu legile și reglementările relevante și aplicabile.
3.2. efectuați verificări de verificare a antecedentelor pentru toți angajații existenți și noi, inclusiv angajații contractuali.
3.3. asigurați-vă că toți angajații sunt legați de un acord de confidențialitate adecvat.
3.4. să definească, să documenteze, să implementeze și să mențină o formare formală de conștientizare a securității și confidențialității pentru toți angajații. Furnizorul se va asigura că astfel de instruiri sunt furnizate înainte de a acorda permisiunea de acces sau de utilizare a informațiilor sensibile și în mod continuu ulterior.
4. GESTIONAREA ACTIVELOR
Furnizorul va:
4.1. să definească, să documenteze, să implementeze și să mențină un inventar precis și actualizat care înregistrează toate componentele hardware și software, cu informații despre proprietar și locația fiecăruia.
4.2. asigurați-vă că numai aplicațiile software și/sau sistemele de operare acceptate în prezent și/sau care primesc actualizări ale furnizorului sunt adăugate la inventarul de software autorizat al FURNIZORULUI.
4.3. asigurați-vă că toate programele și hardware-ul care acceptă EOL (Sfârșitul vieții) sunt scoase din utilizare și că inventarul este actualizat în timp util.
4.4. definirea regulilor de utilizare acceptabilă a informațiilor și a activelor asociate cu informațiile și prelucrarea informațiilor.
4.5. asigurați-vă că toate informațiile sunt clasificate în termeni de cerințe legale, valoare, criticitate și sensibilitate și tratate în conformitate cu eticheta de clasificare.
4.6. asigurați manipularea și eliminarea corespunzătoare a datelor CLIENT din sistemele FURNIZOR: - eliminarea înregistrărilor de date ale CLIENTULUI trebuie efectuată într-o manieră sigură pentru a se asigura că datele sunt irecuperabile. - certificatul de ștergere ar trebui să fie disponibil pentru orice solicitare ad-hoc a CLIENTULUI de ștergere a datelor.
5. CONTROLUL ACCESULUI
5.1. Prevederi generale
Furnizorul va:
5.1.1. să definească, să documenteze, să implementeze și să mențină politica și procedurile de control al accesului pe baza nevoilor afacerii și a principiului „Cel mai mic privilegiu” și să se asigure că numai angajații autorizați au acces la sistemele FURNIZOR.
5.1.2. asigurați-vă că sunt utilizate numai ID-uri unice și va documenta orice excepție și utilizare a conturilor partajate.
5.1.3. asigurați-vă că orice acces la sistemele FURNIZOR care stochează sau prelucrează Datele CLIENTULUI este supus Autentificării Multi-Factor (MFA).
5.1.4. periodic, cel puțin anual, revizuiți caracterul adecvat al privilegiilor de utilizator atribuite.
5.1.5. asigurați-vă că activitățile de gestionare a utilizatorilor (adăugarea, modificarea sau eliminarea privilegiilor utilizatorului) sunt efectuate pe baza unei cereri oficiale valide și în timp util.
5.2. SECURITATEA ACCESULUI DE LA DISTANTA
Furnizorul va:
5.2.1. asigurați-vă că este pus în aplicare un set adecvat de controale de securitate pentru a preveni accesul neautorizat de la distanță la sistemele PROVIDER. Aceste controale includ cel puțin: - Orice acces la distanță la sistemele și/sau la rețea PROVIDER se va face numai prin VPN și autentificare multifactor (MFA). - Toate datele care călătoresc printr-un mecanism de acces la distanță vor fi criptate de la punctul final (de exemplu, laptop) la rețea. - Toate încercările de conectare la Sistemele FURNIZORUL folosind un mecanism de acces la distanță neautorizat vor fi respinse și înregistrate. - Activitatea suspectă trebuie gestionată în conformitate cu protocoalele de securitate relevante.
5.3. MANAGEMENTUL PAROLEI
Furnizorul va:
5.3.1. definiți, documentați, implementați și mențineți politica de parole în conformitate cu cele mai bune practici din industrie și cu nevoile interne de afaceri.
5.3.2. asigurați-vă că parolele sunt de lungime, complexitate suficientă, nu conțin cuvinte ușor de ghicit și sunt schimbate la intervale regulate.
5.3.3. asigurați-vă că conturile de utilizator sunt blocate după un anumit număr de încercări nereușite de introducere a parolei greșite și că contul este blocat pentru o anumită perioadă de timp.
5.3.4. asigurați-vă că parolele sunt stocate într-un mod sigur, care le face de neînțeles cât timp rămân valabile.
6. CRIPTOGRAFIE
Furnizorul va:
6.1. să definească, să documenteze, să implementeze și să mențină politici și proceduri relevante care reglementează utilizarea controalelor criptografice adecvate și procesele de gestionare a cheilor care stabilesc regulile de utilizare, protecție și durata de viață a cheilor criptografice și a materialului de chei.
6.2. Asigurați-vă că Datele CLIENT sunt protejate în timpul tranzitului sau în repaus folosind protocoale securizate (de exemplu, TLS 1.2, AES-256 sau alte standarde recomandate de industrie).
6.3. gestionați toate cheile de criptare într-un sistem de gestionare a cheilor care este deținut și operat de FURNIZOR.
6.4. asigura o segregare adecvată a sarcinilor în cadrul procesului de gestionare a cheilor de criptare.
7. SECURITATE FIZICĂ ȘI DE MEDIU
Furnizorul va:
7.1. să definească, să documenteze, să implementeze și să mențină politici și proceduri de securitate fizică pentru a preveni accesul fizic neautorizat, deteriorarea și interferența la informațiile organizației și la facilitățile de procesare a informațiilor care stochează datele CLIENT.
7.2. implementează procese și controale de securitate fizică și de mediu în conformitate cu politicile și procedurile definite. Furnizorul poate externaliza unele sau toate controalele de securitate fizică către o terță parte și se va asigura că există controale de același nivel și va evalua în mod regulat terța parte pentru conformitate.
7.3. asigurați-vă că zonele securizate sunt protejate prin controale adecvate de intrare și numai personalului autorizat i se permite accesul.
7.4. asigurați-vă că toți vizitatorii sunt autorizați, au o identificare adecvată și au acces doar în zonele necesare.
7.5. asigurați-vă că sunt folosite dulapuri cu încuietori pentru a securiza informațiile confidențiale.
7.6. asigurați-vă că echipamentul care conține medii de stocare este suprascris în siguranță înainte de eliminare sau reutilizare.
7.7. asigurați-vă că pentru facilitățile de procesare a informațiilor se aplică o politică clară de birou și o politică de ecran clară.
8. SECURITATEA OPERAȚIUNILOR
Furnizorul va:
8.1. definiți, documentați, implementați și mențineți procedurile de operare de securitate pentru backup, protecția punctelor terminale, gestionarea vulnerabilităților, antivirus și antimalware, corecție, consolidarea sistemului și înregistrarea în jurnal.
8.2. efectuează evaluări de vulnerabilitate și teste de penetrare în mod regulat, în conformitate cu cele mai bune practici din industrie și cu nevoile interne de afaceri. Furnizorul va efectua, de asemenea, o evaluare a riscurilor, urmată de o remediere a problemelor identificate.
8.3. asigurați-vă că vulnerabilitățile sunt gestionate în conformitate cu prioritizarea definită și în termenele de rezoluție necesare.
8.4. aplicați corecții și upgrade-uri la toate nivelurile de infrastructură în conformitate cu prioritizarea definită.
8.5. asigurați-vă că punctele finale, serverele, dispozitivele de stocare, gateway-urile de e-mail/web și traficul de e-mail sunt protejate cu instrumente active anti-malware acolo unde este fezabil din punct de vedere tehnic pentru a detecta și, ori de câte ori este posibil, a preveni infecțiile cu malware.
8.6. creați copii de rezervă ale informațiilor, software-ului și imaginilor de sistem și le va testa în mod regulat în conformitate cu cele mai bune practici din industrie și cu nevoile interne de afaceri.
8.7. asigurați-vă că se efectuează înregistrarea adecvată, cu suficiente detalii și menținută în conformitate cu perioadele de păstrare definite, fiind în același timp protejat împotriva falsificării și accesului neautorizat.
8.8. definirea, documentarea, implementarea și menținerea regulilor care guvernează instalarea software-ului de către utilizatori.
8.9. să definească, să documenteze, să implementeze și să mențină standarde pentru configurarea securizată a punctelor finale, inclusiv, dar fără a se limita la laptopuri, servere, mașini virtuale, baze de date și dispozitive de rețea pentru a proteja împotriva pierderii confidențialității, integrității și disponibilității Datelor CLIENT în repaus și în tranzit.
9. SECURITATEA REȚELEI ȘI A COMUNICĂRILOR
Furnizorul va:
9.1. definirea, documentarea, implementarea și menținerea mecanismelor de securitate și a cerințelor de management ale tuturor serviciilor de rețea.
9.2. definiți, documentați, implementați și mențineți standarde puternice de criptare și configurare de securitate pentru a securiza comunicarea prin rețelele publice și non-publice.
9.3. asigurați-vă că ceasurile tuturor sistemelor relevante de procesare a informațiilor sunt sincronizate cu o singură sursă de timp de referință.
9.4. monitorizați traficul web și perimetrul rețelei pentru a detecta atacurile cibernetice și pentru a bloca serviciile, paginile web și traficul rău intenționat.
9.5. asigurați-vă că modificările aduse regulilor firewall-ului sunt controlate printr-un proces formal de solicitare/aprobare și sunt revizuite în mod regulat.
9.6. restricționați și controlați accesul la organizații în conformitate cu cele mai bune practici din industrie și cu nevoile interne de afaceri.
9.7. asigurați-vă că modelul de zonare este aplicat și că rețeaua este segmentată corespunzător, în timp ce numai accesul și traficul aprobat sunt permise în fiecare segment.
10. CICLU DE VIAȚĂ DEZVOLTARE A SOFTWARE (SDLC)
Furnizorul va:
10.1. să stabilească un ciclu de viață de dezvoltare securizat pentru a se asigura că Serviciile sunt dezvoltate și menținute într-o manieră sigură.
10.2. controlați modificările aduse sistemelor în cadrul ciclului de viață al dezvoltării prin proceduri formale de control al schimbărilor.
10.3. asigurați-vă că mediile de dezvoltare, testare și producție sunt separate pentru a reduce riscurile de acces neautorizat sau modificări ale mediului de producție.
10.4. asigurați-vă că cerințele legate de securitatea informațiilor sunt incluse în cerințele pentru Servicii noi sau îmbunătățiri ale Serviciilor existente.
10.5. asigurați-vă că datele de testare sunt create cu atenție și într-o manieră controlată și că datele de producție nu sunt utilizate în scopuri de testare.
11. RELAȚII CU FURNIZORI
Furnizorul va:
11.1. să definească, să documenteze, să implementeze și să mențină politici și proceduri de gestionare a relațiilor cu furnizorii care definesc principiile și regulile de bază pentru gestionarea relațiilor cu furnizorii care respectă cerințele de afaceri, de securitate, precum și reglementările aplicabile, cele mai bune practici și standardele internaționale.
11.2. pentru fiecare furnizor care poate accesa, procesa sau stoca datele CLIENTULUI, FURNIZORUL va evalua și documenta conformitatea cu soluția furnizorului. Pentru furnizorii critici, inclusiv subprocesorii, reevaluarea va fi efectuată anual.
11.3. asigurați-vă că toate cerințele relevante de securitate a informațiilor vor fi stabilite și convenite cu fiecare furnizor care poate accesa, procesa sau stoca datele CLIENTULUI.
11.4. asigurați-vă că există un acord valid care definește domeniul de activitate, confidențialitatea, securitatea și cerințele tehnice (dacă este cazul) ale relației de afaceri cu fiecare furnizor care poate accesa, procesa sau stoca datele CLIENTULUI.
12. MANAGEMENTUL INCIDENTELOR DE SECURITATE A INFORMAȚIILOR
Furnizorul va:
12.1. să definească, să documenteze, să implementeze și să mențină un proces formal de raportare, de răspuns și de gestionare a incidentelor de securitate a informațiilor. Aceasta include cel puțin: - O procedură de raportare a unor astfel de incidente/încălcări către conducerea corespunzătoare din cadrul organizației FURNIZOR. - Un proces de identificare, evaluare și tratare a incidentelor de securitate a informațiilor. - O echipă desemnată în mod clar pentru gestionarea și coordonarea răspunsului la un incident. - Un proces documentat și testat pentru gestionarea răspunsului la un incident, inclusiv cerința de a păstra problemele și jurnalele de acțiuni adecvate pentru a include momentul la care a avut loc incidentul, persoana care a raportat incidentul, căreia i-a fost raportat și efectele acestuia. - Se confirmă cerința de a notifica CLIENTUL în timp util și în cel mult 72 de ore de la incidentul de securitate a informațiilor și impactul negativ asupra serviciilor furnizate CLIENTULUI. Se va aplica o perioadă mai scurtă de notificare dacă o astfel de cerință se bazează pe legislația și/sau reglementările aplicabile. - Echipa de gestionare a incidentelor FURNIZORULUI va lucra, acolo unde este cazul, împreună cu reprezentanții de securitate ai CLIENTULUI până când incidentul de securitate a informațiilor a fost rezolvat în mod satisfăcător. - FURNIZORUL se va alinia la toate reglementările și legislațiile naționale privind notificarea incidentelor de securitate a informațiilor către autoritățile de aplicare a legii, de reglementare sau orice alte autorități naționale.
13. MANAGEMENTUL CONTINUITĂȚII AFACERILOR
Furnizorul va:
13.1. definirea, documentarea, implementarea și menținerea unui program de continuitate a afacerii.
13.2. identificați și prioritizați produsele și serviciile critice ale SMSBAT utilizând un proces de analiză a impactului asupra afacerii (BIA).
13.3. utilizați informațiile și metodele de evaluare a riscurilor pentru a evalua amenințarea de întrerupere.
13.4. pe baza rezultatelor analizei impactului asupra afacerii și evaluării riscurilor, dezvoltați strategii de răspuns și recuperare pentru a atenua impactul asupra serviciilor critice în timpul unui incident perturbator.
13.5. să dezvolte planuri de continuitate a afacerii și de recuperare care sunt adecvate scopului, revizuite în mod regulat, disponibile și simplu de urmat și înțeles.
13.6. elaborarea de planuri de gestionare a crizelor și de comunicare pentru gestionarea eficientă a crizelor, prioritizarea în comunicare și modalități de alertare a incidentelor.
13.7. oferă instruire și exerciții, dezvoltate pe baza competențelor cerute și oferite angajaților cu responsabilitate directă de continuitate a activității.
13.8. să îmbunătățească continuu Programul de Continuitate a Afacerii al SMSBAT prin evaluări regulate și luând în considerare orice modificări aduse cerințelor legale și de reglementare.
14. CONFORMITATE
Furnizorul va:
14.1. Faceți anual audituri regulate conform standardelor din industrie. La solicitarea scrisă a CLIENTULUI, FURNIZORUL va furniza CLIENTULUI o copie completă sau rezumată, după caz, a rapoartelor sale curente. Furnizorul va furniza, de asemenea, în cel mult zece (10) zile lucrătoare, răspunsuri scrise la toate solicitările rezonabile (chestionare, formulare etc.) făcute de CLIENT pentru a verifica dacă FURNIZORUL îndeplinește cerințele din acești Termeni.
14.2. În măsura cerută de reglementările aplicabile, o dată pe an cu o notificare prealabilă cu cel puțin 30 de zile calendaristice, FURNIZORUL va permite CLIENTULUI, auditorii săi respectivi sau alți agenți (fiecare o „Parte de audit”) să acceseze sediul, înregistrările și documentele Furnizorului, așa cum este necesar în mod rezonabil de partea de audit, pentru a verifica dacă FURNIZORUL respectă cerințele din acești Termeni. Orice revizuire în conformitate cu prezentul alineat nu necesită revizuirea datelor de la terți, iar Părții de Audit i se poate cere să încheie un acord de confidențialitate cu FURNIZORUL, așa cum ar fi necesar în mod rezonabil pentru a respecta confidențialitatea informațiilor de care Partea de Audit poate lua cunoștință în cursul efectuării revizuirii. Fiecare parte își suportă propriile costuri legate de un astfel de audit. În cazul în care auditul dezvăluie nerespectarea obligațiilor FURNIZORULUI în temeiul acestor Termeni, FURNIZORUL va rectifica această nerespectare în termenul convenit de comun acord și va suporta costurile acestor acțiuni.
14.3. Furnizorul își rezervă dreptul de a impune limitări și restricții privind afișarea informațiilor confidențiale interne și luarea de copii a oricăror probe solicitate la punctele 14.1 și 14.2.
15. CERINȚE DE SECURITATE A CLIENTULUI
15.1. Măsuri generale de securitate
Furnizorul va:
15.1.1. PROVIDER a definit, documentat, implementat și menține recomandări de securitate pentru CLIENȚII care folosesc serviciile sale de comunicare în cloud. CLIENTUL va revizui recomandările menționate și le va implementa în conformitate cu nevoile sale de afaceri, capacitatea tehnică și apetitul pentru risc.
15.1.2. CLIENTUL va fi pe deplin responsabil pentru stabilirea corectă a măsurilor de securitate din partea sa și nu va impune nicio răspundere Furnizorului în cazul unui incident de securitate rezultat din configurarea necorespunzătoare a măsurilor de securitate și tehnice sau din neglijența de a implementa măsurile recomandate de FURNIZOR.
15.2. Măsuri de atenuare a securității AIT
Furnizorul va:
15.2.1. PROVIDER a definit, documentat și menține linii directoare de securitate pentru prevenirea cazurilor de fraudă.
15.2.2. Un risc potențial poate apărea pe site-ul web sau aplicația mobilă a CLIENTULUI integrată cu sistemele PROVIDER dacă o înregistrare sau un alt formular care execută SMS MT cu OTP nu este protejat cu un mecanism anti-bot precum CAPTCHA. Vulnerabilitățile din astfel de aplicații pot duce la atacuri de trafic artificial (AIT). Un mecanism anti-bot, cum ar fi CAPTCHA, este esențial pentru a proteja fluxul de înregistrare a utilizatorului de înregistrările automate false care execută SMS MT cu OTP.
15.2.3. Când apar atacuri AIT, traficul este trimis către infrastructura FURNIZORULUI cu adresa IP sursă folosită de CLIENT în momentul trimiterii. Conținutul SMS MT al traficului nu se distinge de traficul real al CLIENTULUI. În absența oricărui feedback din partea CLIENTULUI, FURNIZORUL nu poate face diferența între AIT din aplicația CLIENTULUI și traficul real din aceeași aplicație. Ca urmare, FURNIZORUL nu poate fi făcut responsabil pentru securitatea aplicațiilor web sau mobile ale CLIENTULUI. CLIENTUL recunoaște, de asemenea, că tot traficul primit de la infrastructura CLIENTULUI va fi direcționat către Operatorii de Rețea și va fi taxat către CLIENT în conformitate cu termenii Acordului.
15.2.4. Blocarea rețelelor afectate nu ar împiedica o problemă similară să apară din nou pe rețelele activate, deoarece cauza principală a problemei constă în infrastructura CLIENTULUI. Prin urmare, este imperativ ca CLIENTUL să abordeze toate formularele de pe site-ul sau aplicația mobilă care execută coduri SMS MT OTP.
15.3. Solicitare de majorare a limitei de credit
Furnizorul va:
15.3.1. Limita poate fi epuizată rapid dacă vulnerabilitățile de pe site-ul CLIENT nu sunt abordate. Prin urmare, FURNIZORUL solicită confirmarea CLIENTULUI de conștientizare a riscurilor și înțelegere a potențialelor consecințe ale creșterii limitei de credit.
15.3.2. Prin solicitarea unei creșteri a limitei de credit, CLIENTUL recunoaște responsabilitatea pentru orice pierdere potențială datorată atacurilor AIT și se angajează să plătească orice cheltuieli care ar putea apărea ca urmare.