सूचना सुरक्षा सर्तहरू
PROVIDER ले सेवाहरू प्रदान गर्नेछ र सम्झौता अन्तर्गत आफ्ना दायित्वहरू निम्न अनुसार पूरा गर्नेछ:
a (I) यी सूचना सुरक्षा सर्तहरू
b (ii) राम्रो सुरक्षा अभ्यास
१. परिभाषाहरू
a "सम्पत्ति" भन्नाले क्लाइन्ट डाटा सिर्जना, पहुँच, प्रशोधन, सुरक्षा, अनुगमन, भण्डारण, पुन: प्राप्ति, प्रदर्शन, वा प्रसारण गर्ने उद्देश्यका लागि प्रयोग गर्न सकिने हार्डवेयर र सफ्टवेयरको कुनै पनि वस्तु वा तत्व सम्झनु पर्छ।
b "ग्राहक डेटा" भन्नाले कुनै पनि डाटा जुन ग्राहक, वा यसको तर्फबाट कार्य गर्ने व्यक्तिले प्रदायकलाई प्रदान गर्दछ, वा सम्झौताको सम्बन्धमा प्रदायकलाई पहुँच र प्रक्रिया गर्न अनुमति दिन्छ।
ग "इन्क्रिप्शन" भन्नाले सूचना वा डाटालाई कोडमा रूपान्तरण गर्ने प्रक्रियालाई बुझाउँछ, विशेष गरी अनधिकृत पहुँचलाई रोक्नको लागि।
d "प्याचिङ" भन्नाले कुनै पनि सफ्टवेयर र अपरेटिङ सिस्टम (OS) अद्यावधिकहरू जुन कार्यक्रम वा उत्पादन भित्रको सुरक्षा कमजोरीहरूलाई सम्बोधन गर्दछ।
e "पेनिट्रेशन टेस्टिङ" भन्नाले प्रणालीको सुरक्षा मूल्याङ्कन गर्न गरिएको कम्प्युटर प्रणालीमा अधिकृत सिमुलेटेड साइबर आक्रमणलाई जनाउँछ।
f "प्रदायक प्रणाली" भन्नाले प्रदायक वा यसको कुनै पनि सम्बद्ध संस्थाको तर्फबाट वा तर्फबाट सञ्चालनको लागि स्वामित्व वा व्यवस्थापन गरिएको (पूरै वा आंशिक रूपमा) कुनै पनि प्रणाली वा सम्पत्तिलाई जनाउँछ।
g "सुरक्षा घटना" भन्नाले ग्राहकको डेटा र/वा सेवाको गोपनीयता, अखण्डता र/वा उपलब्धतामा वास्तविक सम्झौताको परिणाम स्वरूप घटना, घटना र/वा समस्यालाई जनाउँछ।
h। "उत्पादन वातावरण" भन्नाले ग्राहकको डाटा भण्डारण र प्रशोधन गरिएको वातावरणलाई जनाउँछ।
i "परीक्षण वातावरण" भन्नाले उत्पादन वातावरणमा रिलिज हुनु अघि भर्खरै विकसित कार्यक्रमहरू वा सफ्टवेयर उत्पादनहरूको परीक्षणको लागि उपलब्ध गराइएको वातावरण सम्झनु पर्छ।
j "असुरक्षा" भन्नाले प्रणाली भित्र पाइने कमजोरी/त्रुटिको अस्तित्वलाई जनाउँछ।
k। "कृत्रिम रूपमा बढेको ट्राफिक" भनेको स्वचालित वा जालसाजी माध्यमबाट उत्पन्न हुने कुनै पनि ट्राफिक हो, जसमा बटहरू, क्लिक फार्महरू, वा ट्राफिकको मात्रालाई कृत्रिम रूपमा बढाउने उद्देश्यका अन्य कुनै पनि माध्यमहरूमा सीमित छैन।
२. सूचना सुरक्षाको संगठन
प्रदायकले:
२.१। उद्योग मापदण्ड अनुरूप सुरक्षा नीतिहरू परिभाषित, कागजात, कार्यान्वयन र कायम राख्ने, जबकि: - डाटा र सूचना प्रणालीहरूको गोपनीयता, अखण्डता र उपलब्धता कायम राखिएको सुनिश्चित गर्दै। - कानुनी र नियामक आवश्यकताहरूको पालना गर्दै जसमा ग्राहक र ग्राहक डेटाको अधीनमा हुन सक्छ।
२.२। यसको नीति र प्रक्रियाहरूको वार्षिक आधारमा समीक्षा गर्नुहोस्, र/वा कुनै महत्त्वपूर्ण परिवर्तनको प्रतिक्रियामा।
२.३ सुरक्षा नीतिहरू PROVIDER को व्यवस्थापनद्वारा दस्तावेजीकरण र अनुमोदित छन् र प्रकाशित र सम्बन्धित सरोकारवालाहरूलाई सञ्चार गरिएको छ भनी सुनिश्चित गर्नुहोस्।
२.४ सुनिश्चित गर्नुहोस् कि तिनीहरूसँग आवश्यक संख्यामा सुरक्षा पेशेवरहरू छन् जसले सबै सूचना सुरक्षा कार्यहरू, नीतिहरू, र प्रक्रियाहरूको समन्वय र निगरानीको लागि जिम्मेवार हुनेछन्।
२.५ यसको सुरक्षा नियन्त्रणहरूको प्रभावकारिताको आवधिक आन्तरिक र बाह्य प्रमाणीकरणको लागि प्रक्रिया कायम राख्ने। PROVIDER ले सम्झौता र यी सर्तहरू अन्तर्गत PROVIDER को दायित्वहरूको पालना गर्न आवश्यक हदसम्म कुनै पनि कमजोरीहरूलाई तुरुन्तै सम्बोधन र समाधान गर्नेछ।
3. मानव संसाधन र सुरक्षा प्रशिक्षण
प्रदायकले:
३.१। उपयुक्त पृष्ठभूमि जाँच नीति र प्रक्रिया परिभाषित, कागजात, कार्यान्वयन र कायम राख्न। चेकहरूले व्यक्तिको शिक्षा र अघिल्लो रोजगार इतिहास, आपराधिक रेकर्ड, सन्दर्भ जाँचहरू, र सान्दर्भिक र लागू कानून र नियमहरू अनुसार कुनै पनि अतिरिक्त उद्योग मानक पृष्ठभूमि जाँच आवश्यकताहरू समावेश गर्न सक्छन्।
३.२। अनुबंध कर्मचारीहरू सहित सबै अवस्थित र नयाँ कर्मचारीहरूको पृष्ठभूमि प्रमाणिकरण जाँचहरू गर्नुहोस्।
३.३। सुनिश्चित गर्नुहोस् कि सबै कर्मचारीहरू उपयुक्त गोपनीयता सम्झौता द्वारा बाध्य छन्।
३.४। सबै कर्मचारीहरूको लागि औपचारिक सुरक्षा र गोपनीयता जागरूकता प्रशिक्षण परिभाषित, कागजात, कार्यान्वयन र कायम राख्न। PROVIDER ले सुनिश्चित गर्नेछ कि त्यस्ता प्रशिक्षणहरू संवेदनशील जानकारीको पहुँच वा प्रयोगको लागि अनुमति दिनु अघि र त्यसपछि निरन्तर रूपमा प्रदान गरिन्छ।
४. सम्पत्ति व्यवस्थापन
प्रदायकले:
४.१। प्रत्येकको मालिक र स्थानको जानकारी सहित सबै हार्डवेयर र सफ्टवेयर रेकर्ड गर्ने सही र अप-टु-डेट सूचीलाई परिभाषित, कागजात, कार्यान्वयन र मर्मत गर्नुहोस्।
४.२। सुनिश्चित गर्नुहोस् कि सफ्टवेयर अनुप्रयोगहरू र/वा अपरेटिङ सिस्टमहरू हाल समर्थित छन्, र/वा विक्रेता अद्यावधिकहरू PROVIDER को आधिकारिक सफ्टवेयर सूचीमा थपिएका छन्।
४.३। EOL (End-of-life) लाई समर्थन गर्ने सबै सफ्टवेयर र हार्डवेयरलाई प्रयोगबाट हटाइयो र समयमै सूची अद्यावधिक गरिएको छ भनी सुनिश्चित गर्नुहोस्।
४.४। जानकारी र सूचना प्रशोधनसँग सम्बन्धित सम्पत्तिहरूको स्वीकार्य प्रयोगको लागि नियमहरू परिभाषित गर्नुहोस्।
४.५ सुनिश्चित गर्नुहोस् कि सबै जानकारीलाई कानूनी आवश्यकताहरू, मूल्य, आलोचनात्मकता, र संवेदनशीलताका आधारमा वर्गीकृत गरिएको छ, र यसको वर्गीकरण लेबल अनुरूप ह्यान्डल गरिएको छ।
४.६। PROVIDER प्रणालीहरूबाट ग्राहक डेटाको उचित ह्यान्डलिङ र डिस्पोजल सुनिश्चित गर्नुहोस्: - क्लाइन्ट डाटा रेकर्डहरूको डिस्पोजल सुरक्षित रूपमा सञ्चालन गरिनुपर्दछ कि डाटा अपरिवर्तनीय बनाइएको छ। - डेटा मेटाउने कुनै पनि तदर्थ ग्राहक अनुरोधहरूको लागि मेटाउने प्रमाणपत्र उपलब्ध हुनुपर्छ।
५. पहुँच नियन्त्रण
५.१। सामान्य प्रावधान
प्रदायकले:
५.१.१। व्यवसायिक आवश्यकता र "न्यूनतम विशेषाधिकार" को सिद्धान्तको आधारमा पहुँच नियन्त्रण नीति र प्रक्रियाहरूलाई परिभाषित, कागजात, कार्यान्वयन र कायम राख्ने र PROVIDER प्रणालीहरूमा आधिकारिक कर्मचारीहरूको मात्र पहुँच छ भनी सुनिश्चित गर्ने।
५.१.२। सुनिश्चित गर्नुहोस् कि केवल अद्वितीय आईडीहरू मात्र प्रयोग गरिन्छ र साझा खाताहरूको कुनै अपवाद र प्रयोग कागजात हुनेछ।
५.१.३। सुनिश्चित गर्नुहोस् कि PROVIDER प्रणालीहरूमा कुनै पनि पहुँच जसले भण्डारण गर्दछ, वा ग्राहक डेटालाई प्रक्रिया गर्दछ बहु-कारक प्रमाणीकरण (MFA) को अधीनमा छ।
५.१.४। आवधिक रूपमा, कम्तिमा वार्षिक आधारमा, तोकिएको प्रयोगकर्ता विशेषाधिकारहरूको उपयुक्तताको समीक्षा गर्नुहोस्।
५.१.५। प्रयोगकर्ता व्यवस्थापन गतिविधिहरू (अतिरिक्त, परिमार्जन, वा प्रयोगकर्ता विशेषाधिकारहरू हटाउने) वैध औपचारिक अनुरोधको आधारमा र समयमै गरिन्छ भनी सुनिश्चित गर्नुहोस्।
५.२। रिमोट पहुँच सुरक्षा
प्रदायकले:
५.२.१। PROVIDER प्रणालीहरूमा अनाधिकृत रिमोट पहुँच रोक्नको लागि उपयुक्त सुरक्षा नियन्त्रणहरू राखिएको छ भनी सुनिश्चित गर्नुहोस्। त्यस्ता नियन्त्रणहरूले कम्तिमा समावेश गर्नुपर्छ: - PROVIDER प्रणाली र/वा नेटवर्कमा कुनै पनि टाढाको पहुँच VPN र बहु-कारक प्रमाणीकरण (MFA) मार्फत मात्र हुनेछ। - रिमोट पहुँच मेकानिजममा यात्रा गर्ने सबै डेटालाई एन्डपोइन्ट (जस्तै, ल्यापटप) बाट नेटवर्कमा इन्क्रिप्ट गरिनेछ। - अनाधिकृत रिमोट पहुँच मेकानिजम प्रयोग गरी PROVIDER प्रणालीहरूमा जडान गर्ने सबै प्रयासहरू अस्वीकार गरिनेछ र लग इन गरिनेछ। - संदिग्ध गतिविधिलाई सान्दर्भिक सुरक्षा प्रोटोकल अनुसार ह्यान्डल गरिनेछ।
५.३। पासवर्ड व्यवस्थापन
प्रदायकले:
५.३.१। उद्योगको उत्कृष्ट अभ्यास र आन्तरिक व्यापार आवश्यकताहरू अनुरूप पासवर्ड नीति परिभाषित, कागजात, कार्यान्वयन र मर्मत गर्नुहोस्।
५.३.२। सुनिश्चित गर्नुहोस् कि पासवर्डहरू पर्याप्त लम्बाइ, जटिलताका छन्, सजिलै अनुमान गर्न सकिने शब्दहरू छैनन् र नियमित अन्तरालहरूमा परिवर्तन हुन्छन्।
५.३.३। निश्चित संख्यामा गलत पासवर्ड प्रविष्ट गर्ने असफल प्रयासहरू पछि प्रयोगकर्ता खाताहरू लक आउट भएका छन् र निश्चित समयको लागि खाता बन्द गरिएको छ भनी सुनिश्चित गर्नुहोस्।
५.३.४। सुनिश्चित गर्नुहोस् कि पासवर्डहरू सुरक्षित तरिकामा भण्डार गरिएको छ जसले तिनीहरूलाई मान्य रहँदा बुझ्न नसकिने बनाउँछ।
६. क्रिप्टोग्राफी
प्रदायकले:
६.१। उपयुक्त क्रिप्टोग्राफिक नियन्त्रणहरू र क्रिप्टोग्राफिक कुञ्जीहरू र कुञ्जी सामग्रीको प्रयोग, सुरक्षा, र जीवनकालका नियमहरू सेट गर्ने कुञ्जी व्यवस्थापन प्रक्रियाहरूको प्रयोगलाई विनियमित गर्ने सान्दर्भिक नीतिहरू र प्रक्रियाहरूलाई परिभाषित, कागजात, कार्यान्वयन र कायम राख्ने।
६.२। सुरक्षित प्रोटोकलहरू (जस्तै, TLS 1.2, AES-256 वा अन्य उद्योगले सिफारिस गरिएका मापदण्डहरू) प्रयोग गरेर ट्रान्जिटमा वा आराम गर्दा ग्राहक डेटा सुरक्षित छ भनी सुनिश्चित गर्नुहोस्।
६.३। PROVIDER द्वारा स्वामित्व र सञ्चालन गरिएको कुञ्जी व्यवस्थापन प्रणालीमा सबै इन्क्रिप्सन कुञ्जीहरू व्यवस्थापन गर्नुहोस्।
६.४। इन्क्रिप्शन कुञ्जी व्यवस्थापन प्रक्रिया भित्र कर्तव्यहरूको उचित विभाजन सुनिश्चित गर्नुहोस्।
७. भौतिक र वातावरणीय सुरक्षा
प्रदायकले:
७.१। क्लाइन्ट डेटा भण्डारण गर्ने संस्थाको सूचना र सूचना प्रशोधन सुविधाहरूमा अनधिकृत भौतिक पहुँच, क्षति, र हस्तक्षेप रोक्न भौतिक सुरक्षा नीतिहरू र प्रक्रियाहरूलाई परिभाषित, कागजात, कार्यान्वयन र कायम राख्ने।
७.२। परिभाषित नीति र प्रक्रियाहरू अनुरूप भौतिक र वातावरणीय सुरक्षा प्रक्रियाहरू र नियन्त्रणहरू लागू गर्नुहोस्। PROVIDER ले केही वा सबै भौतिक सुरक्षा नियन्त्रणहरू तेस्रो पक्षलाई आउटसोर्स गर्न सक्छ र यसले समान स्तरको नियन्त्रणहरू रहेको सुनिश्चित गर्नेछ र नियमित रूपमा तेस्रो पक्षलाई अनुपालनको लागि मूल्याङ्कन गर्नेछ।
७.३। सुनिश्चित गर्नुहोस् कि सुरक्षित क्षेत्रहरू उपयुक्त प्रवेश नियन्त्रणहरूद्वारा सुरक्षित छन् र केवल अधिकृत कर्मचारीहरूलाई पहुँच अनुमति दिइएको छ।
७.४। सुनिश्चित गर्नुहोस् कि सबै आगन्तुकहरू अधिकृत छन्, उचित पहिचान छ, र केवल आवश्यक क्षेत्रहरूमा पहुँच दिइन्छ।
७.५ लकिङ क्याबिनेटहरू गोप्य जानकारी सुरक्षित गर्न प्रयोग गरिन्छ भनी सुनिश्चित गर्नुहोस्।
७.६। भण्डारण मिडिया भएको उपकरणहरू डिस्पोजल वा पुन: प्रयोग गर्नु अघि सुरक्षित रूपमा ओभरराइट गरिएको छ भनी सुनिश्चित गर्नुहोस्।
७.७। स्पष्ट डेस्क नीति सुनिश्चित गर्नुहोस् र सूचना प्रशोधन सुविधाहरूको लागि स्पष्ट स्क्रिन नीति लागू गरिएको छ।
8. सञ्चालन सुरक्षा
प्रदायकले:
८.१। ब्याकअप, एन्डपोइन्ट सुरक्षा, जोखिम व्यवस्थापन, एन्टिभाइरस र एन्टिमालवेयर, प्याचिङ, प्रणाली कडा र लगिङका लागि सुरक्षा अपरेटिङ प्रक्रियाहरू परिभाषित, कागजात, कार्यान्वयन र मर्मत गर्नुहोस्।
८.२। उद्योगको उत्कृष्ट अभ्यास र आन्तरिक व्यापार आवश्यकताहरू अनुसार नियमित आधारमा जोखिम मूल्याङ्कन र प्रवेश परीक्षणहरू प्रदर्शन गर्नुहोस्। PROVIDER ले जोखिम मूल्याङ्कन पनि गर्नेछ, त्यसपछि पहिचान गरिएका समस्याहरूको समाधान गर्नेछ।
८.३। सुनिश्चित गर्नुहोस् कि कमजोरीहरूलाई परिभाषित प्राथमिकता अनुसार र आवश्यक समाधान समयरेखा भित्र ह्यान्डल गरिएको छ।
८.४। परिभाषित प्राथमिकता अनुसार पूर्वाधारका सबै तहहरूमा प्याचहरू र अपग्रेडहरू लागू गर्नुहोस्।
८.५ सुनिश्चित गर्नुहोस् कि अन्तिम बिन्दुहरू, सर्भरहरू, भण्डारण उपकरणहरू, मेल / वेब गेटवेहरू र मेल ट्राफिक सक्रिय एन्टि-मालवेयर उपकरणहरू द्वारा सुरक्षित छन् जहाँ प्राविधिक रूपमा पत्ता लगाउन सम्भव छ र जहाँ सम्भव छ मालवेयर संक्रमणहरू रोक्न।
८.६। सूचना, सफ्टवेयर र प्रणाली छविहरूको जगेडा प्रतिलिपिहरू सिर्जना गर्नुहोस् र उद्योगको उत्कृष्ट अभ्यास र आन्तरिक व्यापार आवश्यकताहरू अनुसार नियमित रूपमा परीक्षण गर्नेछ।
८.७। छेडछाड र अनाधिकृत पहुँचबाट सुरक्षित रहँदा, पर्याप्त विवरणहरू सहित र परिभाषित अवधारण अवधिहरू अनुसार उचित लगिङ गरिएको छ भनी सुनिश्चित गर्नुहोस्।
८.८। प्रयोगकर्ताहरूद्वारा सफ्टवेयर स्थापना गर्ने नियमहरू परिभाषित, कागजात, कार्यान्वयन र कायम राख्ने।
८.९। ल्यापटप, सर्भर, भर्चुअल मेसिन, डाटाबेस, र नेटवर्क उपकरणहरू सहित, गोप्यता, अखण्डता, र आराम र ट्रान्जिटमा क्लाइन्ट डाटाको उपलब्धताको हानिबाट जोगाउनको लागि सीमित नभई अन्त्यबिन्दुहरूको सुरक्षित कन्फिगरेसनका लागि मानकहरू परिभाषित, कागजात, कार्यान्वयन र कायम राख्ने।
९. नेटवर्क र सञ्चार सुरक्षा
प्रदायकले:
९.१। सबै नेटवर्क सेवाहरूको सुरक्षा संयन्त्र र व्यवस्थापन आवश्यकताहरू परिभाषित, कागजात, कार्यान्वयन र मर्मत गर्नुहोस्।
९.२। सार्वजनिक र गैर-सार्वजनिक नेटवर्कहरूमा सञ्चार सुरक्षित गर्न बलियो इन्क्रिप्सन र सुरक्षा कन्फिगरेसन मानकहरू परिभाषित, कागजात, कार्यान्वयन र कायम राख्न।
९.३। सुनिश्चित गर्नुहोस् कि सबै सान्दर्भिक सूचना प्रशोधन प्रणालीहरूको घडीहरू एकल सन्दर्भ समय स्रोतमा सिङ्क्रोनाइज गरिएको छ।
९.४। साइबर हमलाहरू पत्ता लगाउन र मालिसियस सेवाहरू, वेबपेजहरू, र ट्राफिकहरू ब्लक गर्न वेब ट्राफिक र नेटवर्क परिधिको निगरानी गर्नुहोस्।
९.५ सुनिश्चित गर्नुहोस् कि फायरवाल नियमहरूमा परिवर्तनहरू औपचारिक अनुरोध / अनुमोदन प्रक्रिया मार्फत नियन्त्रण गरिन्छ र नियमित रूपमा समीक्षा गरिन्छ।
९.६। उद्योगको उत्तम अभ्यास र आन्तरिक व्यापार आवश्यकताहरू अनुरूप संगठनहरूमा पहुँचलाई प्रतिबन्ध र नियन्त्रण गर्नुहोस्।
९.७। सुनिश्चित गर्नुहोस् कि जोनिङ मोडेल लागू गरिएको छ र त्यो नेटवर्क उचित रूपमा विभाजन गरिएको छ जबकि प्रत्येक खण्डमा केवल अनुमोदित पहुँच र ट्राफिक अनुमति छ।
१०. सफ्टवेयर डेभलपमेन्ट लाइफ साइकल (SDLC)
प्रदायकले:
१०.१। सेवाहरू सुरक्षित रूपमा विकसित र मर्मत गरिएको सुनिश्चित गर्न एक सुरक्षित विकास जीवनचक्र स्थापना गर्नुहोस्।
१०.२। औपचारिक परिवर्तन नियन्त्रण प्रक्रियाहरूद्वारा विकास जीवनचक्र भित्र प्रणालीहरूमा परिवर्तनहरू नियन्त्रण गर्नुहोस्।
१०.३। सुनिश्चित गर्नुहोस् कि विकास, परीक्षण, र उत्पादन वातावरणहरू उत्पादन वातावरणमा अनधिकृत पहुँच वा परिवर्तनहरूको जोखिम कम गर्नको लागि अलग गरिएको छ।
१०.४। सुनिश्चित गर्नुहोस् कि जानकारी सुरक्षा सम्बन्धी आवश्यकताहरू नयाँ सेवाहरूको आवश्यकताहरूमा समावेश छन् वा अवस्थित सेवाहरूमा परिवर्द्धनहरू।
१०.५ सुनिश्चित गर्नुहोस् कि परीक्षण डाटा सावधानीपूर्वक र नियन्त्रित रूपमा सिर्जना गरिएको छ, र उत्पादन डाटा परीक्षण उद्देश्यका लागि प्रयोग गरिएको छैन।
११. आपूर्तिकर्ता सम्बन्धहरू
प्रदायकले:
११.१। व्यापार, सुरक्षा आवश्यकताहरू, साथै लागू नियमहरू, उत्तम अभ्यासहरू, र अन्तर्राष्ट्रिय मापदण्डहरूको पालना गर्ने आपूर्तिकर्ता सम्बन्ध व्यवस्थापनका लागि आधारभूत सिद्धान्तहरू र नियमहरू परिभाषित गर्ने आपूर्तिकर्ता सम्बन्ध व्यवस्थापन नीतिहरू र प्रक्रियाहरूलाई परिभाषित, कागजात, कार्यान्वयन र कायम राख्न।
११.२। ग्राहक डेटा पहुँच गर्न, प्रशोधन गर्न वा भण्डारण गर्न सक्ने प्रत्येक आपूर्तिकर्ताको लागि, PROVIDER ले आपूर्तिकर्ताको समाधानको अनुपालनको मूल्याङ्कन र कागजात गर्नेछ। सब-प्रोसेसरहरू सहित महत्वपूर्ण आपूर्तिकर्ताहरूको लागि, वार्षिक आधारमा पुन: मूल्याङ्कन गरिनेछ।
११.३। सुनिश्चित गर्नुहोस् कि सबै सान्दर्भिक जानकारी सुरक्षा आवश्यकताहरू स्थापित हुनेछन् र ग्राहक डेटा पहुँच गर्न, प्रक्रिया गर्न वा भण्डारण गर्न सक्ने प्रत्येक आपूर्तिकर्तासँग सहमत छन्।
११.४। कामको दायरा, गोपनीयता, सुरक्षा, र व्यावसायिक सम्बन्धको प्राविधिक आवश्यकता (यदि लागू भएमा) परिभाषित गर्ने मान्य सम्झौता प्रत्येक आपूर्तिकर्तासँग छ जसले ग्राहक डेटा पहुँच, प्रक्रिया वा भण्डारण गर्न सक्छ।
१२. सूचना सुरक्षा घटना व्यवस्थापन
प्रदायकले:
१२.१। रिपोर्टिङ, प्रतिक्रिया र सूचना सुरक्षा घटनाहरूको व्यवस्थापनको लागि औपचारिक प्रक्रिया परिभाषित, दस्तावेज, कार्यान्वयन र कायम राख्न। यसले न्यूनतम रूपमा समावेश गर्नुपर्छ: - PROVIDER संगठन भित्र उपयुक्त व्यवस्थापनमा त्यस्ता घटनाहरू/उल्लंघनहरू रिपोर्ट गर्ने प्रक्रिया। - सूचना सुरक्षा घटनाहरूको पहिचान, मूल्याङ्कन र व्यवस्थापन गर्ने प्रक्रिया। - घटनाको प्रतिक्रिया व्यवस्थापन र समन्वयको लागि स्पष्ट रूपमा नामित टोली। - घटना भएको समय, घटना रिपोर्ट गर्ने व्यक्ति, जसलाई रिपोर्ट गरिएको थियो र त्यसका प्रभावहरू समावेश गर्न उपयुक्त मुद्दाहरू र कार्य लगहरू राख्नको लागि आवश्यकता सहित घटनाको प्रतिक्रिया प्रबन्ध गर्नको लागि एक दस्तावेज र परीक्षण प्रक्रिया। - ग्राहकलाई समयमै सूचित गर्ने आवश्यकता, र सूचना सुरक्षा घटना र ग्राहकलाई प्रदान गरिएका सेवाहरूमा नकारात्मक प्रभाव पुष्टि भएको ७२ घण्टा पछि। यदि यस्तो आवश्यकता लागू कानून र/वा नियममा आधारित छ भने छोटो सूचना अवधि लागू हुनेछ। - PROVIDER घटना व्यवस्थापन टोलीले उपयुक्त भएमा, सूचना सुरक्षा घटनाको सन्तोषजनक समाधान नभएसम्म ग्राहकका सुरक्षा प्रतिनिधिहरूसँग मिलेर काम गर्नेछ। - प्रदायकले कानून प्रवर्तन, नियामक वा अन्य कुनै पनि राष्ट्रिय अधिकारीहरू तर्फ सूचना सुरक्षा घटना सूचना सम्बन्धी सबै राष्ट्रिय नियमहरू र कानूनहरूसँग पङ्क्तिबद्ध हुनेछ।
13. व्यापार निरन्तरता व्यवस्थापन
प्रदायकले:
१३.१। परिभाषित, कागजात, कार्यान्वयन र व्यापार निरन्तरता कार्यक्रम कायम राख्न।
१३.२। बिजनेस इम्प्याक्ट एनालिसिस (BIA) प्रक्रिया प्रयोग गरेर SMSBAT का महत्वपूर्ण उत्पादन र सेवाहरूलाई पहिचान र प्राथमिकता दिने।
१३.३। अवरोधको खतरा मूल्याङ्कन गर्न जोखिम मूल्याङ्कन जानकारी र विधिहरू प्रयोग गर्नुहोस्।
१३.४। व्यापार प्रभाव विश्लेषण र जोखिम मूल्याङ्कन को नतिजाहरु को आधार मा, एक विघटनकारी घटना को समयमा महत्वपूर्ण सेवाहरु मा प्रभाव कम गर्न प्रतिक्रिया र रिकभरी रणनीतिहरु को विकास।
१३.५ व्यापार निरन्तरता र रिकभरी योजनाहरू विकास गर्नुहोस् जुन उद्देश्यका लागि उपयुक्त छन्, नियमित रूपमा समीक्षा गरिएको, उपलब्ध र पछ्याउन र बुझ्न सरल।
१३.६। संकटको प्रभावकारी व्यवस्थापनका लागि सङ्कट व्यवस्थापन र सञ्चार योजनाहरू विकास गर्ने, सञ्चारमा प्राथमिकता र घटनाहरूबाट सचेत गराउने तरिकाहरू।
१३.७। प्रशिक्षण र व्यायाम प्रदान गर्नुहोस्, आवश्यक दक्षताहरू विरुद्ध विकसित, र प्रत्यक्ष व्यापार निरन्तरता जिम्मेवारीका साथ कर्मचारीहरूलाई डेलिभर गर्नुहोस्।
१३.८। नियमित मूल्याङ्कन र कानुनी र नियामक आवश्यकताहरूमा कुनै पनि परिवर्तनलाई ध्यानमा राखेर SMSBAT को व्यापार निरन्तरता कार्यक्रमलाई निरन्तर सुधार गर्नुहोस्।
14. अनुपालन
प्रदायकले:
१४.१। वार्षिक आधारमा उद्योग मापदण्डहरू विरुद्ध नियमित लेखा परीक्षण गर्नुहोस्। ग्राहकको लिखित अनुरोधमा, PROVIDER ले ग्राहकलाई त्यसको हालको रिपोर्टहरूको पूर्ण वा सारांश प्रतिलिपि प्रदान गर्नेछ। PROVIDER ले यी सर्तहरू अन्तर्गतका आवश्यकताहरू पूरा गरिरहेको छ भनी जाँच गर्न ग्राहकले गरेका सबै उचित अनुरोधहरू (प्रश्नावली, फारमहरू, आदि) को लिखित जवाफहरू दस (10) कार्य दिनहरू भन्दा पछि पनि उपलब्ध गराउनु पर्छ।
१४.२। लागू हुने नियमले आवश्यक पर्ने हदसम्म, वर्षमा एक पटक कम्तिमा 30 क्यालेन्डर दिन अघिको सूचनामा, PROVIDER ले ग्राहक, यसका सम्बन्धित लेखा परीक्षकहरू, वा अन्य एजेन्टहरू (प्रत्येक "अडिटिङ पार्टी") लाई आपूर्तिकर्ताको परिसर, रेकर्डहरू, र कागजातहरू पहुँच गर्न अनुमति दिनेछ। यस अनुच्छेद बमोजिमको कुनै पनि समीक्षालाई तेस्रो-पक्ष डेटाको समीक्षाको आवश्यकता पर्दैन र लेखापरीक्षण पक्षले PROVIDER सँग गोप्यता सम्झौतामा प्रवेश गर्न आवश्यक हुन सक्छ जुन जानकारीको गोपनीयतालाई सम्मान गर्न उचित रूपमा आवश्यक पर्न सक्छ जसको समीक्षा गर्ने क्रममा लेखापरीक्षण पक्ष सचेत हुन सक्छ। यस्तो लेखापरीक्षणको सम्बन्धमा प्रत्येक पक्षले आफ्नै खर्च वहन गर्नेछ। यदि लेखापरीक्षणले यी सर्तहरू अन्तर्गत आपूर्तिकर्ताको दायित्वहरूको पालना नगरेको देखाउँछ भने, आपूर्तिकर्ताले यस्तो गैर-अनुपालनलाई पारस्परिक रूपमा सहमत टाइमलाइन भित्र सुधार गर्नेछ र त्यस्ता कार्यहरूको लागत वहन गर्नेछ।
१४.३। PROVIDER ले आन्तरिक गोप्य जानकारी देखाउन र बिन्दु 14.1 र 14.2 मा अनुरोध गरिएको कुनै पनि प्रमाणको प्रतिलिपिहरू लिनमा सीमितता र प्रतिबन्ध लगाउने अधिकार सुरक्षित गर्दछ।
१५. ग्राहक सुरक्षा आवश्यकताहरू
१५.१। सामान्य सुरक्षा उपायहरू
प्रदायकले:
१५.१.१। PROVIDER ले यसको क्लाउड संचार सेवाहरू प्रयोग गरी ग्राहकहरूका लागि सुरक्षा सिफारिसहरू लाई परिभाषित, दस्तावेजीकरण, कार्यान्वयन र कायम राखेको छ। CLIENT ले उक्त सिफारिसहरूको समीक्षा गर्नेछ र तिनीहरूलाई यसको व्यावसायिक आवश्यकता, प्राविधिक क्षमता, र जोखिम भूख अनुसार लागू गर्नेछ।
१५.१.२। ग्राहक आफ्नो पक्षमा सुरक्षा उपायहरूको उचित सेटअपको लागि पूर्ण रूपमा जिम्मेवार हुनेछ र सुरक्षा र प्राविधिक उपायहरूको अनुचित सेटअप वा PROVIDER द्वारा सिफारिस गरिएका उपायहरू कार्यान्वयन गर्न लापरवाहीको कारणले सुरक्षा घटनाको स्थितिमा PROVIDER मा कुनै दायित्व थोपर्दैन।
१५.२। AIT सुरक्षा न्यूनीकरण उपायहरू
प्रदायकले:
१५.२.१। PROVIDER ले धोखाधडीका घटनाहरूको रोकथामका लागि सुरक्षा मार्गनिर्देशनहरू परिभाषित गरेको, अभिलेखीकरण गरेको र कायम राखेको छ।
१५.२.२। ग्राहकको वेबसाइटमा वा PROVIDER प्रणालीहरूसँग एकीकृत मोबाइल अनुप्रयोगमा सम्भावित जोखिम उत्पन्न हुन सक्छ यदि OTP मार्फत SMS MT कार्यान्वयन गर्ने दर्ता वा अन्य फारम क्याप्चा जस्ता एन्टी-बोट मेकानिज्मद्वारा सुरक्षित गरिएको छैन। त्यस्ता अनुप्रयोगहरूमा कमजोरीहरूले कृत्रिम रूपमा बढेको ट्राफिक (AIT) आक्रमणहरू निम्त्याउन सक्छ। प्रयोगकर्ता साइन अप प्रवाहलाई OTP मार्फत SMS MT कार्यान्वयन गर्ने स्वचालित नक्कली दर्ताहरूबाट सुरक्षित गर्न क्याप्चा जस्ता एन्टी-बोट मेकानिजम आवश्यक छ।
१५.२.३। जब AIT आक्रमणहरू हुन्छन्, ट्राफिकलाई PROVIDER को पूर्वाधारमा पठाइन्छ स्रोत IP ठेगानाको साथ क्लाइन्टले सबमिशनको समयमा प्रयोग गरेको थियो। ट्राफिकको SMS MT सामग्री ग्राहकको वास्तविक ट्राफिकबाट अलग गर्न सकिँदैन। CLIENT बाट कुनै प्रतिक्रियाको अभावमा, PROVIDER ले CLIENT को एप्लिकेसनमा रहेको AIT र एउटै एप्लिकेसनबाट हुने वास्तविक ट्राफिक बीचको भिन्नता छुट्याउन सक्दैन। नतिजाको रूपमा, PROVIDER लाई ग्राहकको वेब वा मोबाइल अनुप्रयोग(हरू) को सुरक्षाको लागि जिम्मेवार ठहराउन सकिँदैन। CLIENT ले थप स्वीकार गर्दछ कि CLIENT को पूर्वाधारबाट प्राप्त सबै ट्राफिकहरू नेटवर्क अपरेटरहरूमा पठाइनेछ र सम्झौताका सर्तहरू अनुसार CLIENT लाई शुल्क लगाइनेछ।
१५.२.४। प्रभावित सञ्जालहरू अवरुद्ध गर्नाले सक्षम नेटवर्कहरूमा पुन: उत्पन्न हुनबाट समान समस्यालाई रोक्न सक्दैन, किनकि समस्याको मूल कारण ग्राहकको पूर्वाधारमा छ। तसर्थ, ग्राहकले आफ्नो वेबसाइट वा मोबाइल एप्लिकेसनमा SMS MT OTP कोडहरू कार्यान्वयन गर्ने सबै फारमहरूलाई सम्बोधन गर्न अनिवार्य छ।
१५.३। क्रेडिट सीमा बढाउन अनुरोध
प्रदायकले:
१५.३.१। यदि CLIENT वेबसाइटमा रहेका कमजोरीहरूलाई सम्बोधन गरिएन भने सीमा चाँडै समाप्त हुन सक्छ। तसर्थ, PROVIDER ले जोखिमहरू बारे जागरूकता र क्रेडिट सीमा बढाउने सम्भावित परिणामहरूको बुझाइको पुष्टि गर्न ग्राहकलाई अनुरोध गर्दछ।
१५.३.२। क्रेडिट सीमामा वृद्धिको अनुरोध गरेर, ग्राहकले AIT आक्रमणका कारण हुन सक्ने सम्भावित हानिको जिम्मेवारी स्वीकार गर्दछ र परिणाम स्वरूप उत्पन्न हुन सक्ने कुनै पनि खर्च तिर्न प्रतिबद्ध हुन्छ।