Skip to content

Termini tas-Sigurtà tal-Informazzjoni

FORNITUR għandu jipprovdi s-Servizzi u jwettaq l-obbligi tiegħu taħt il-Ftehim skont:

a. (I) dawn it-Termini dwar is-Sigurtà tal-Informazzjoni

b. (ii) Prattika Tajba ta' Sigurtà

1. DEFINIZZJONIJIET

a. “Assi” għandha tfisser kwalunkwe oġġett jew element ta’ ħardwer u softwer li huwa jew jista’ jintuża għall-iskop tal-ħolqien, l-aċċess, l-ipproċessar, il-protezzjoni, il-monitoraġġ, il-ħażna, l-irkupru, il-wiri jew it-trażmissjoni tad-dejta tal-KLIJENT.

b. “Dejta tal-KLIJENT” għandha tfisser kwalunkwe data li l-KLIJENT, jew persuna li taġixxi f’ismu, tipprovdi lill-PROVDITUR, jew tippermetti lill-PROVDITUR jaċċessa u jipproċessa, b’rabta mal-Ftehim.

c. “Encryption” għandha tfisser il-proċess ta' konverżjoni ta' informazzjoni jew data f'kodiċi, speċjalment biex jiġi evitat aċċess mhux awtorizzat.

d. “Patching” għandha tfisser kwalunkwe aġġornamenti tas-softwer u tas-sistema operattiva (OS) li jindirizzaw il-vulnerabbiltajiet tas-sigurtà fi ħdan programm jew prodott.

e. “Ittestjar tal-Penetrazzjoni” għandha tfisser attakk ċibernetiku simulat awtorizzat fuq sistema tal-kompjuter, imwettaq biex tiġi evalwata s-sigurtà tas-sistema.

f. “Sistema TAL-PROVDITUR” għandha tfisser kwalunkwe Sistema jew Assi li hija proprjetà ta’ jew ġestita (kompletament jew parzjalment) għall-operat minn jew f’isem il-PROVDITOR jew kwalunkwe Affiljat tiegħu.

g. “Inċident ta’ Sigurtà” għandha tfisser inċident, avveniment u/jew problema li rriżulta f’kompromess attwali tal-kunfidenzjalità, l-integrità u/jew id-disponibbiltà tad-dejta tal-KLIJENT u/jew is-Servizz.

h. “Ambjent tal-Produzzjoni” għandha tfisser ambjent fejn id-dejta tal-KLIJENT tiġi maħżuna u pproċessata.

i. “Ambjent tal-Ittestjar” għandha tfisser ambjent magħmul disponibbli għall-ittestjar ta' programmi żviluppati reċentement jew prodotti ta' softwer qabel ma jiġu rilaxxati f'Ambjent ta' Produzzjoni.

j. “Vulnerabilità” għandha tfisser l-eżistenza ta’ dgħjufija/difett misjuba fis-sistema.

k. “Traffiku Minfuħ Artifiċjalment” tfisser kwalunkwe traffiku ġġenerat b'mezzi awtomatizzati jew frawdolenti, inklużi iżda mhux limitati għal bots, click farms, jew kwalunkwe mezz ieħor maħsub biex jintefaħ b'mod artifiċjali l-volumi tat-traffiku.

2. ORGANIZZAZZJONI TAS-SIGURTÀ TAL-INFORMAZZJONI

FORNITUR għandu:

2.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm politiki tas-sigurtà konformi mal-istandards tal-industrija, filwaqt li: - l-iżgurar li jinżammu l-kunfidenzjalità, l-integrità u d-disponibbiltà tad-dejta u s-sistemi tal-informazzjoni. - il-konformità mar-rekwiżiti legali u regolatorji li għalihom il-KLIJENT u d-Data tal-KLIJENT jistgħu jkunu soġġetti.

2.2. tirrevedi l-politiki u l-proċeduri tagħha fuq bażi annwali, u/jew bi tweġiba għal kwalunkwe bidla sinifikanti.

2.3. tiżgura li l-politiki tas-sigurtà jkunu dokumentati u approvati mill-maniġment tal-PROVDITOR u ppubblikati u kkomunikati lill-partijiet interessati rilevanti.

2.4. jiżguraw li jkollhom in-numru meħtieġ ta’ professjonisti tas-sigurtà li jkunu responsabbli għall-koordinazzjoni u l-monitoraġġ tal-funzjonijiet, il-politiki u l-proċeduri kollha tas-sigurtà tal-informazzjoni.

2.5. iżżomm proċess għal validazzjoni interna u esterna perjodika tal-effettività tal-kontrolli tas-sigurtà tagħha. IL-PROVDITUR għandu jindirizza u jsolvi fil-pront kwalunkwe defiċjenza sal-punt meħtieġ biex jikkonforma mal-obbligi tal-PROVDITUR taħt il-Ftehim u dawn it-Termini.

3. TAĦRIĠ GĦAR-RIŻORSI UMANI U SIGURTÀ

FORNITUR għandu:

3.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm politika u proċedura xierqa ta' verifika tal-isfond. Il-kontrolli jistgħu jinkludu l-edukazzjoni tal-individwu u l-istorja tal-impjieg preċedenti, ir-rekord kriminali, il-kontrolli ta’ referenza, u kwalunkwe rekwiżit addizzjonali ta’ verifika tal-isfond standard tal-industrija skont il-liġijiet u r-regolamenti rilevanti u applikabbli.

3.2. twettaq kontrolli ta' verifika tal-isfond fuq l-impjegati kollha eżistenti u ġodda inklużi l-impjegati b'kuntratt.

3.3. tiżgura li l-impjegati kollha huma marbuta bi ftehim ta’ kunfidenzjalità xieraq.

3.4. tiddefinixxi, tiddokumenta, timplimenta, u żżomm taħriġ formali ta' għarfien dwar is-sigurtà u l-privatezza għall-impjegati kollha. IL-PROVDITUR għandu jiżgura li tali taħriġ jiġi pprovdut qabel ma jingħata permess għall-aċċess jew l-użu ta' informazzjoni sensittiva u fuq bażi kontinwa wara dan.

4. ĠESTJONI TAL-ASSI

FORNITUR għandu:

4.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm inventarju preċiż u aġġornat li jirreġistra l-ħardwer u s-softwer kollu, bl-informazzjoni tas-sid u l-post ta’ kull wieħed.

4.2. tiżgura li l-applikazzjonijiet tas-softwer u/jew is-sistemi operattivi li bħalissa huma appoġġjati fi, u/jew li jirċievu aġġornamenti tal-bejjiegħ biss huma miżjuda mal-inventarju tas-software awtorizzat tal-PROVDITOR.

4.3. tiżgura li s-softwer u l-ħardwer kollu li jappoġġa l-EOL (Tmiem tal-ħajja) jitneħħa mill-użu u l-inventarju jiġi aġġornat fil-ħin.

4.4. jiddefinixxi regoli għall-użu aċċettabbli tal-informazzjoni u tal-assi assoċjati mal-ipproċessar tal-informazzjoni u tal-informazzjoni.

4.5. tiżgura li l-informazzjoni kollha tkun ikklassifikata f'termini ta' rekwiżiti legali, valur, kritikità u sensittività, u ttrattata f'konformità mat-tikketta ta' klassifikazzjoni tagħha.

4.6. tiżgura t-tqandil u r-rimi xierqa tad-dejta tal-KLIJENT mis-sistemi tal-PROVVIDUR: - ir-rimi tar-rekords tad-dejta tal-KLIJENT għandu jsir b'mod sikur biex jiġi żgurat li d-dejta ssir irrekuperabbli. - ċertifikat tat-tħassir għandu jkun disponibbli għal kwalunkwe talba ad hoc KLIJENT għat-tħassir tad-dejta.

5. KONTROLL AĊĊESS

5.1. Dispożizzjonijiet ġenerali

FORNITUR għandu:

5.1.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm politika u proċeduri ta' kontroll tal-aċċess fuq il-bażi tal-ħtiġijiet tan-negozju u l-prinċipju ta' "L-Inqas Privileġġ" u tiżgura li l-impjegati awtorizzati biss ikollhom aċċess għas-sistemi tal-PROVIDUR.

5.1.2. jiżguraw li jintużaw biss IDs uniċi u għandhom jiddokumentaw kwalunkwe eċċezzjoni u użu ta' kontijiet kondiviżi.

5.1.3. tiżgura li kwalunkwe aċċess għal Sistemi PROVIDER li jaħżnu, jew jipproċessaw id-Data tal-KLIJENT ikun soġġett għal Awtentikazzjoni Multi-Fatturi (MFA).

5.1.4. perjodikament, mill-inqas fuq bażi annwali, tirrevedi l-adegwatezza tal-privileġġi tal-utent assenjati.

5.1.5. tiżgura li l-attivitajiet ta' ġestjoni tal-utenti (żieda, modifika jew tneħħija tal-privileġġi tal-utent) jitwettqu abbażi ta' talba formali valida u f'waqtha.

5.2. SIGURTÀ TA' AĊĊESS DWAR IL-BOGĦOD

FORNITUR għandu:

5.2.1. tiżgura li sett xieraq ta' kontrolli tas-sigurtà jiġi stabbilit biex jipprevjeni aċċess mill-bogħod mhux awtorizzat għas-Sistemi PROVIDER. Tali kontrolli għandhom jinkludu mill-inqas: - Kwalunkwe aċċess mill-bogħod għas-Sistemi u/jew in-Netwerk tal-PROVVIDUR għandu jsir biss permezz ta’ VPN u Awtentikazzjoni Multi-Fatturi (MFA). - Id-dejta kollha li tivvjaġġa minn mekkaniżmu ta’ aċċess mill-bogħod għandha tkun encrypted mill-endpoint (eż., laptop) għan-netwerk. - It-tentattivi kollha ta' konnessjoni mas-Sistemi tal-PROVDITUR bl-użu ta' mekkaniżmu ta' aċċess mill-bogħod mhux awtorizzat għandhom jiġu rrifjutati u rreġistrati. - Attività suspettuża għandha tiġi ttrattata f'konformità mal-protokolli ta' sigurtà rilevanti.

5.3. ĠESTJONI TAL- PASSWORD

FORNITUR għandu:

5.3.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm politika tal-passwords f'konformità mal-aħjar prattika tal-industrija u l-ħtiġijiet tan-negozju interni.

5.3.2. tiżgura li l-passwords huma ta’ tul, kumplessità suffiċjenti, ma fihomx kliem li jista’ jinduna faċilment u jinbidlu f’intervalli regolari.

5.3.3. tiżgura li l-kontijiet tal-utent jiġu msakkra wara ċertu numru ta’ attentati bla suċċess biex tiddaħħal il-password ħażina u li l-kont jiġi msakkar għal ċertu ammont ta’ żmien.

5.3.4. tiżgura li l-passwords huma maħżuna b'mod sikur li jagħmilhom inkomprensibbli waqt li jibqgħu validi.

6. KRIPTOGRAFIA

FORNITUR għandu:

6.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm politiki u proċeduri rilevanti li jirregolaw l-użu ta’ kontrolli kriptografiċi xierqa u l-proċessi ta’ ġestjoni taċ-ċavetta li jistabbilixxu r-regoli tal-użu, il-protezzjoni u l-ħajja taċ-ċwievet kriptografiċi u l-materjal ta’ ċavetta.

6.2. Żgura li d-Data tal-KLIJENT tkun protetta waqt it-tranżitu jew waqt il-mistrieħ billi tuża protokolli sikuri (eż., TLS 1.2, AES-256 jew standards oħra rakkomandati mill-industrija).

6.3. jimmaniġġja ċ-ċwievet kollha tal-kriptaġġ f'sistema ta' ġestjoni taċ-ċwievet li hija proprjetà u mħaddma mill-PROVDITUR.

6.4. tiżgura segregazzjoni xierqa tad-dmirijiet fi ħdan il-proċess tal-ġestjoni taċ-ċavetta tal-kriptaġġ.

7. SIGURTÀ FIŻIKA U AMBJENTALI

FORNITUR għandu:

7.1. jiddefinixxu, jiddokumentaw, jimplimentaw u jżommu politiki u proċeduri ta’ sigurtà fiżika biex jipprevjenu aċċess fiżiku mhux awtorizzat, ħsara, u interferenza għall-informazzjoni tal-organizzazzjoni u l-faċilitajiet tal-ipproċessar tal-informazzjoni li jaħżnu d-dejta tal-KLIJENT.

7.2. timplimenta proċessi u kontrolli ta' sigurtà fiżika u ambjentali f'konformità ma' politiki u proċeduri definiti. IL-PROVDITUR jista' jesternalizza xi wħud jew il-kontrolli kollha tas-sigurtà fiżika lil parti terza u għandu jiżgura li jkunu fis-seħħ kontrolli tal-istess livell u għandu jivvaluta regolarment lill-parti terza għall-konformità.

7.3. tiżgura li ż-żoni sikuri jkunu protetti minn kontrolli xierqa tad-dħul u li l-persunal awtorizzat biss ikollu aċċess.

7.4. jiżguraw li l-viżitaturi kollha jkunu awtorizzati, ikollhom identifikazzjoni xierqa, u jingħataw biss aċċess għaż-żoni meħtieġa.

7.5. tiżgura li l-kabinetti li jissakkru jintużaw biex jiżguraw informazzjoni kunfidenzjali.

7.6. tiżgura li t-tagħmir li jkun fih il-midja tal-ħażna jinkiteb mill-ġdid b'mod sigur qabel ir-rimi jew l-użu mill-ġdid.

7.7. tiżgura politika ċara ta' l-iskrivanija u politika ċara ta' l-iskrin hija applikata għall-faċilitajiet ta' l-ipproċessar ta' l-informazzjoni.

8. SIGURTÀ TAL-OPERAZZJONIJIET

FORNITUR għandu:

8.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm proċeduri operattivi tas-sigurtà għal backup, protezzjoni tal-endpoint, ġestjoni tal-vulnerabbiltà, antivirus u antimalware, patching, twebbis tas-sistema u logging.

8.2. twettaq valutazzjonijiet tal-vulnerabbiltà u testijiet tal-penetrazzjoni fuq bażi regolari skont l-aħjar prattika tal-industrija u l-ħtiġijiet tan-negozju interni. IL-PROVDITUR għandu jwettaq ukoll valutazzjoni tar-riskju, segwita minn rimedju tal-kwistjonijiet identifikati.

8.3. tiżgura li l-vulnerabbiltajiet jiġu ttrattati skont il-prijoritizzazzjoni definita u fil-kalendarji ta’ riżoluzzjoni meħtieġa.

8.4. japplikaw irqajja u titjib fil-livelli kollha tal-infrastruttura skont il-prijoritizzazzjoni definita.

8.5. tiżgura li l-endpoints, is-servers, it-tagħmir tal-ħażna, il-bibien tal-posta/web u t-traffiku tal-posta jkunu protetti b’għodod attivi kontra l-malware fejn teknikament fattibbli biex jinstabu u kull fejn ikun possibbli jipprevjenu infezzjonijiet malware.

8.6. toħloq kopji ta' backup ta' informazzjoni, softwer u immaġini tas-sistema u għandha tittestjahom regolarment skont l-aħjar prattika tal-industrija u l-ħtiġijiet tan-negozju interni.

8.7. tiżgura li jsir illoggjar xieraq, b'dettalji suffiċjenti u miżmuma skont perjodi ta' żamma definiti, filwaqt li tkun protetta kontra t-tbagħbis u aċċess mhux awtorizzat.

8.8. tiddefinixxi, tiddokumenta, timplimenta u żżomm regoli li jirregolaw l-installazzjoni tas-softwer mill-utenti.

8.9. tiddefinixxi, tiddokumenta, timplimenta u żżomm standards għall-konfigurazzjoni sigura ta’ endpoints, inklużi, iżda mhux limitati għal laptops, servers, magni virtwali, databases, u tagħmir tan-netwerks biex jipproteġu kontra telf ta’ kunfidenzjalità, integrità, u disponibbiltà tad-Data tal-KLIJENT waqt il-mistrieħ u fi tranżitu.

9. NETWERK U SIGURTÀ TAL-KOMUNIKAZZJONI

FORNITUR għandu:

9.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm mekkaniżmi ta' sigurtà u rekwiżiti ta' ġestjoni tas-servizzi kollha tan-netwerk.

9.2. tiddefinixxi, tiddokumenta, timplimenta u żżomm standards b'saħħithom ta' encryption u konfigurazzjoni tas-sigurtà biex tiżgura l-komunikazzjoni fuq in-netwerks pubbliċi u mhux pubbliċi.

9.3. tiżgura li l-arloġġi tas-sistemi rilevanti kollha tal-ipproċessar tal-informazzjoni jkunu sinkronizzati ma’ sors wieħed ta’ ħin ta’ referenza.

9.4. timmonitorja t-traffiku tal-web u l-perimetru tan-netwerk biex tiskopri attakki ċibernetiċi u timblokka servizzi, paġni web u traffiku malizzjużi.

9.5. tiżgura li l-bidliet fir-regoli tal-firewall jiġu kkontrollati permezz ta’ proċess ta’ talba/approvazzjoni formali u jiġu riveduti regolarment.

9.6. jirrestrinġu u jikkontrollaw l-aċċess għall-organizzazzjonijiet skont l-aħjar prattika tal-industrija u l-ħtiġijiet tan-negozju interni.

9.7. tiżgura li jiġi applikat il-mudell ta' tqassim f'żoni u li n-netwerk ikun segmentat b'mod xieraq filwaqt li l-aċċess approvat u t-traffiku biss huma permessi f'kull segment.

10. ĊIKLU TAL-ĦAJJA TAL-IŻVILUPP TA' SOFTWARE (SDLC)

FORNITUR għandu:

10.1. tistabbilixxi ċiklu ta’ ħajja ta’ żvilupp sikur biex tiżgura li s-Servizzi jiġu żviluppati u miżmuma b’mod sigur.

10.2. tikkontrolla l-bidliet fis-sistemi fi ħdan iċ-ċiklu tal-ħajja tal-iżvilupp permezz ta’ proċeduri formali ta’ kontroll tal-bidla.

10.3. tiżgura li l-ambjenti ta 'żvilupp, ittestjar u produzzjoni huma segregati biex jitnaqqsu r-riskji ta' aċċess mhux awtorizzat jew bidliet fl-ambjent tal-produzzjoni.

10.4. tiżgura li r-rekwiżiti relatati mas-sigurtà tal-informazzjoni jkunu inklużi fir-rekwiżiti għal Servizzi ġodda jew titjib fis-Servizzi eżistenti.

10.5. tiżgura li d-dejta tat-test tinħoloq bir-reqqa u b'mod ikkontrollat, u li d-dejta tal-produzzjoni ma tintużax għal skopijiet ta' ttestjar.

11. RELAZZJONIJIET TAL-FORNITUR

FORNITUR għandu:

11.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm politiki u proċeduri ta’ ġestjoni tar-relazzjoni tal-fornituri li jiddefinixxu prinċipji u regoli bażiċi għall-ġestjoni tar-relazzjonijiet tal-fornituri li jikkonformaw mar-rekwiżiti tan-negozju, tas-sigurtà, kif ukoll regolamenti applikabbli, l-aħjar prattiki u standards internazzjonali.

11.2. għal kull fornitur li jista’ jaċċessa, jipproċessa, jew jaħżen id-dejta tal-KLIJENT, IL-PROVDITUR għandu jivvaluta, u jiddokumenta l-konformità tas-soluzzjoni tal-fornitur. Għal fornituri kritiċi, inklużi sottoproċessuri, valutazzjoni mill-ġdid għandha titwettaq fuq bażi annwali.

11.3. jiżguraw li r-rekwiżiti kollha rilevanti tas-sigurtà tal-informazzjoni għandhom jiġu stabbiliti u miftiehma ma' kull fornitur li jista' jaċċessa, jipproċessa jew jaħżen id-dejta tal-KLIJENT.

11.4. jiżgura li jkun hemm ftehim validu li jiddefinixxi l-ambitu tax-xogħol, il-kunfidenzjalità, is-sigurtà u r-rekwiżit tekniku (jekk applikabbli) tar-relazzjoni ta’ negozju ma’ kull fornitur li jista’ jaċċessa, jipproċessa jew jaħżen id-dejta tal-KLIJENT.

12. ĠESTJONI TA' INĊIDENTI TAS-SIGURTÀ TA' INFORMAZZJONI

FORNITUR għandu:

12.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm proċess formali għar-rappurtar, ir-rispons għal u l-ġestjoni tal-inċidenti tas-sigurtà tal-informazzjoni. Dan għandu jinkludi bħala minimu: - Proċedura għar-rappurtar ta' tali inċidenti/ksur lill-maniġment xieraq fi ħdan l-organizzazzjoni tal-PROVDITUR. - Proċess ta' identifikazzjoni, valutazzjoni u ġestjoni ta' inċidenti ta' sigurtà tal-informazzjoni. - Tim maħtur b'mod ċar għall-ġestjoni u l-koordinazzjoni tar-rispons għal inċident. - Proċess dokumentat u ttestjat għall-ġestjoni tar-rispons għal inċident inkluż ir-rekwiżit li jinżammu kwistjonijiet xierqa u reġistri ta’ azzjoni biex jinkludu l-ħin li fih seħħ l-inċident, il-persuna li tirrapporta l-inċident, lil min ġie rrappurtat u l-effetti tiegħu. - Ir-rekwiżit li jinnotifika lill-KLIJENT fil-ħin, u mhux aktar tard minn 72 siegħa wara l-inċident tas-sigurtà tal-informazzjoni u l-impatt negattiv għas-servizzi pprovduti lill-KLIJENT huma kkonfermati. Perjodu ta' notifika iqsar japplika jekk tali rekwiżit ikun ibbażat fuq leġiżlazzjoni u/jew regolament applikabbli. - It-tim tal-immaniġġjar tal-inċidenti tal-PROVDITUR għandu, fejn xieraq, jaħdem flimkien mar-rappreżentanti tas-sigurtà tal-KLIJENT sakemm l-inċident tas-sigurtà tal-informazzjoni jkun ġie solvut b’mod sodisfaċenti. - IL-PROVDITUR għandu jallinja mar-regolamenti u l-leġiżlazzjonijiet nazzjonali kollha dwar in-notifika ta' inċidenti ta' sigurtà tal-informazzjoni lejn l-infurzar tal-liġi, awtoritajiet regolatorji jew kwalunkwe awtorità nazzjonali oħra.

13. ĠESTJONI TAL-KONTINWITÀ NEGOZJU

FORNITUR għandu:

13.1. tiddefinixxi, tiddokumenta, timplimenta u żżomm Programm ta' Kontinwità tan-Negozju.

13.2. tidentifika u tipprijoritizza l-prodotti u s-servizzi kritiċi tal-SMSBAT billi tuża proċess tal-Analiżi tal-Impatt tan-Negozju (BIA).

13.3. uża l-informazzjoni u l-metodi tal-Valutazzjoni tar-Riskju biex tevalwa theddida ta’ tfixkil.

13.4. ibbażat fuq ir-riżultati tal-Analiżi tal-Impatt tan-Negozju u l-Valutazzjoni tar-Riskju, tiżviluppa strateġiji ta’ rispons u rkupru biex itaffu l-impatt fuq is-servizzi kritiċi waqt inċident ta’ tfixkil.

13.5. tiżviluppa pjanijiet ta' kontinwità tan-negozju u ta' rkupru li huma tajbin għall-iskop, riveduti regolarment, disponibbli u sempliċi biex isegwu u jinftiehmu.

13.6. tiżviluppa pjanijiet ta' ġestjoni ta' kriżi u komunikazzjoni għal ġestjoni effettiva ta' kriżi, prijoritizzazzjoni fil-komunikazzjoni u modi ta' twissija dwar l-inċidenti.

13.7. jagħti taħriġ u eżerċizzju, żviluppati kontra l-kompetenzi meħtieġa, u mogħtija lill-impjegati b'responsabbiltà diretta ta 'kontinwità tan-negozju.

13.8. ittejjeb kontinwament il-Programm ta’ Kontinwità tan-Negozju tal-SMSBAT permezz ta’ evalwazzjoni regolari u b’kont meħud ta’ kwalunkwe tibdil fir-rekwiżiti legali u regolatorji.

14. KONFORMITÀ

FORNITUR għandu:

14.1. Tgħaddi minn verifiki regolari kontra l-istandards tal-industrija fuq bażi annwali. Fuq talba bil-miktub tal-KLIJENT, il-PROVDITOR għandu jipprovdi lill-KLIJENT b’kopja sħiħa jew fil-qosor, kif applikabbli, tar-rapporti attwali tiegħu dak iż-żmien. IL-PROVDITUR għandu jipprovdi wkoll, mhux aktar tard minn għaxart (10) ijiem tax-xogħol, tweġibiet bil-miktub għat-talbiet raġonevoli kollha (kwestjonarji, formoli, eċċ.) magħmula mill-KLIJENT sabiex jiċċekkja li l-PROVDITUR qed jikkonforma mar-rekwiżiti taħt dawn it-Termini.

14.2. Sal-punt meħtieġ mir-regolament applikabbli, darba fis-sena fuq mill-inqas 30 jum kalendarju notifika minn qabel, IL-PROVDITUR għandu jippermetti lill-KLIJENT, lill-awdituri rispettivi tiegħu, jew aġenti oħra (kull waħda "Parti tal-Awditjar"), biex jaċċessaw il-bini, ir-rekords u d-dokumenti tal-Fornitur kif raġonevolment meħtieġ mill-Parti tal-Awditjar biex jiċċekkja li l-PROVDITUR qed jikkonforma mar-rekwiżiti taħt dawn it-Termini. Kwalunkwe reviżjoni skont dan il-paragrafu m'għandhiex teħtieġ ir-reviżjoni ta' kwalunkwe dejta ta' parti terza u l-Parti tal-Awditjar tista' tkun meħtieġa tidħol fi ftehim ta' kunfidenzjalità mal-PROVDITUR kif jista' jkun raġonevolment meħtieġ biex tiġi rispettata l-kunfidenzjalità tal-informazzjoni li l-Parti tal-Awditjar tista' ssir taf biha matul it-twettiq tar-reviżjoni. Kull Parti għandha tħallas l-ispejjeż tagħha fir-rigward ta' tali verifika. F’każ li l-awditjar jiżvela nuqqas ta’ konformità mal-obbligi tal-FORNITUR taħt dawn it-Termini, il-FORNITUR għandu jirrettifika tali nuqqas ta’ konformità fi żmien miftiehem b’mod reċiproku u jġorr l-ispejjeż ta’ tali azzjonijiet.

14.3. Il-PROVDITOR jirriserva d-dritt li jimponi limitazzjonijiet u restrizzjonijiet fuq il-wiri ta' informazzjoni kunfidenzjali interna u fuq it-teħid ta' kopji ta' kwalunkwe evidenza mitluba fil-punti 14.1 u 14.2.

15. REKWIŻITI TAS-SIGURTÀ TAL-KLIJENT

15.1. Miżuri ta' sigurtà ġenerali

FORNITUR għandu:

15.1.1. PROVIDER iddefinixxa, iddokumenta, implimenta, u qed iżomm rakkomandazzjonijiet tas-sigurtà għall-KLIENTI li jużaw is-servizzi ta' komunikazzjoni cloud tiegħu. IL-KLIJENT għandu jirrevedi dawk ir-rakkomandazzjonijiet u jimplimentahom skont il-ħtiġijiet tan-negozju tiegħu, il-kapaċità teknika, u l-aptit għar-riskju tiegħu.

15.1.2. IL-KLIJENT għandu jkun kompletament responsabbli għat-twaqqif xieraq tal-miżuri ta’ sigurtà min-naħa tiegħu u m’għandu jimponi l-ebda responsabbiltà fuq il-PRODITTOR f’każ ta’ inċident ta’ sigurtà li jirriżulta minn twaqqif mhux xieraq ta’ miżuri ta’ sigurtà u tekniċi jew negliġenza biex jiġu implimentati miżuri kif rakkomandat mill-PRODITTOR.

15.2. Miżuri ta' mitigazzjoni tas-sigurtà tal-AIT

FORNITUR għandu:

15.2.1. PROVIDER iddefinixxa, iddokumenta, u qed iżomm linji gwida ta’ sigurtà għall-prevenzjoni ta’ każijiet ta’ frodi.

15.2.2. Jista’ jinqala’ riskju potenzjali fuq il-websajt tal-KLIJENT jew l-applikazzjoni mobbli integrata mas-Sistemi PROVIDER jekk reġistrazzjoni jew forma oħra li tkun qed tesegwixxi SMS MT b’OTPs ma tkunx protetta b’mekkaniżmu anti-bot bħal CAPTCHA. Vulnerabbiltajiet f'dawn l-applikazzjonijiet jistgħu jwasslu għal attakki tat-traffiku minfuħ artifiċjalment (AIT). Mekkaniżmu kontra l-bot bħal CAPTCHA huwa essenzjali biex jipproteġi l-fluss tal-User Sign Up minn reġistrazzjonijiet foloz awtomatizzati li jeżegwixxu SMS MT b'OTPs.

15.2.3. Meta jseħħu l-attakki tal-AIT, it-traffiku jintbagħat lill-infrastruttura tal-PROVDITUR bl-indirizz IP tas-sors użat mill-KLIJENT fil-ħin tas-sottomissjoni. Il-kontenut tal-SMS MT tat-traffiku ma jistax jiġi distint mit-traffiku ġenwin tal-KLIJENT. Fin-nuqqas ta’ xi feedback mill-KLIJENT, il-PROVDITUR ma jistax jagħmel differenza bejn l-AIT fuq l-applikazzjoni tal-KLIJENT u t-traffiku ġenwin mill-istess applikazzjoni. B'riżultat ta' dan, il-PROVDITOR ma jistax jinżamm responsabbli għas-sigurtà tal-applikazzjoni(jiet) tal-web jew tal-mowbajl tal-KLIJENT. IL-KLIJENT jirrikonoxxi wkoll li t-traffiku kollu riċevut mill-infrastruttura tal-KLIJENT għandu jiġi mgħoddi lill-Operaturi tan-Netwerk u ċċarġjat lill-KLIJENT skont it-termini tal-Ftehim.

15.2.4. L-imblukkar tan-netwerks milquta ma jipprevjenix li kwistjoni simili terġa’ sseħħ fuq netwerks attivati, peress li l-kawża ewlenija tal-kwistjoni tinsab fl-infrastruttura tal-KLIJENT. Għalhekk, huwa imperattiv li l-KLIJENT jindirizza l-formoli kollha fuq il-websajt jew l-applikazzjoni tal-mowbajl tiegħu li jesegwixxi kodiċijiet SMS MT OTP.

15.3. Talba biex jiżdied il-limitu tal-kreditu

FORNITUR għandu:

15.3.1. Il-limitu jista' jiġi eżawrit malajr jekk il-vulnerabbiltajiet fuq il-websajt tal-KLIJENT ma jiġux indirizzati. Għalhekk, il-PROVDITUR jitlob il-konferma tal-KLIJENT dwar l-għarfien tar-riskji u l-fehim tal-konsegwenzi potenzjali taż-żieda fil-limitu tal-kreditu.

15.3.2. Billi jitlob żieda fil-limitu tal-kreditu, il-KLIJENT jirrikonoxxi r-responsabbiltà għal kwalunkwe telf potenzjali minħabba attakki tal-AIT u jimpenja ruħu li jħallas għal kwalunkwe spejjeż li jistgħu jinqalgħu bħala riżultat.