Warunki bezpieczeństwa informacji
DOSTAWCA będzie świadczył Usługi i wykonywał swoje obowiązki wynikające z Umowy zgodnie z:
a. (I) niniejsze Warunki Bezpieczeństwa Informacji
b. (ii) Dobra Praktyka Bezpieczeństwa
1. DEFINICJE
a. „Zasób” oznacza dowolny element lub element sprzętu i oprogramowania, który jest lub może być używany w celu tworzenia, uzyskiwania dostępu, przetwarzania, ochrony, monitorowania, przechowywania, odzyskiwania, wyświetlania lub przesyłania danych KLIENTA.
B. „Dane KLIENTA” oznaczają wszelkie dane, które KLIENT lub osoba działająca w jego imieniu udostępnia DOSTAWCY lub umożliwia DOSTAWCY dostęp i przetwarzanie w związku z Umową.
C. „Szyfrowanie” oznacza proces przekształcania informacji lub danych w kod, w szczególności mający na celu uniemożliwienie nieuprawnionego dostępu.
D. „Łatanie” oznacza wszelkie aktualizacje oprogramowania i systemu operacyjnego (OS), które usuwają luki w zabezpieczeniach programu lub produktu.
mi. „Test penetracyjny” oznacza autoryzowany symulowany cyberatak na system komputerowy, przeprowadzany w celu oceny bezpieczeństwa systemu.
F. „System DOSTAWCY” oznacza dowolny System lub Zasób, który jest własnością lub jest zarządzany (w całości lub w części) w celu obsługi przez lub w imieniu DOSTAWCY lub któregokolwiek z jego Podmiotów Stowarzyszonych.
G. „Incydent dotyczący bezpieczeństwa” oznacza incydent, wydarzenie i/lub problem, który spowodował faktyczne naruszenie poufności, integralności i/lub dostępności danych KLIENTA i/lub Usługi.
H. „Środowisko produkcyjne” oznacza środowisko, w którym przechowywane i przetwarzane są dane KLIENTA.
I. „Środowisko Testowe” oznacza środowisko udostępnione do testowania niedawno opracowanych programów lub produktów oprogramowania przed ich udostępnieniem w Środowisku Produkcyjnym.
J. „Luka” oznacza istnienie słabości/wady wykrytej w systemie.
k. „Sztucznie zawyżony ruch” oznacza wszelki ruch generowany w sposób zautomatyzowany lub oszukańczy, w tym między innymi boty, farmy kliknięć lub inne środki mające na celu sztuczne zawyżanie natężenia ruchu.
2. ORGANIZACJA BEZPIECZEŃSTWA INFORMACJI
DOSTAWCA powinien:
2.1. definiować, dokumentować, wdrażać i utrzymywać polityki bezpieczeństwa zgodne ze standardami branżowymi, przy jednoczesnym: - zapewnienie zachowania poufności, integralności i dostępności danych i systemów informatycznych. - przestrzeganie wymogów prawnych i regulacyjnych, jakim może podlegać KLIENT i Dane KLIENTA.
2.2. dokonuje corocznego przeglądu swoich zasad i procedur i/lub w odpowiedzi na wszelkie istotne zmiany.
2.3. upewnić się, że zasady bezpieczeństwa są udokumentowane i zatwierdzone przez kierownictwo DOSTAWCY oraz opublikowane i przekazane odpowiednim interesariuszom.
2.4. upewnić się, że dysponują wymaganą liczbą specjalistów ds. bezpieczeństwa, którzy będą odpowiedzialni za koordynację i monitorowanie wszystkich funkcji, zasad i procedur związanych z bezpieczeństwem informacji.
2.5. utrzymuje proces okresowej wewnętrznej i zewnętrznej walidacji skuteczności swoich środków kontroli bezpieczeństwa. DOSTAWCA niezwłocznie usunie i usunie wszelkie braki w zakresie niezbędnym do wywiązania się z obowiązków DOSTAWCY wynikających z Umowy i niniejszych Warunków.
3. SZKOLENIA Z ZASOBÓW LUDZKICH I BEZPIECZEŃSTWA
DOSTAWCA powinien:
3.1. zdefiniować, udokumentować, wdrożyć i utrzymywać odpowiednią politykę i procedurę sprawdzania przeszłości. Kontrole mogą obejmować wykształcenie danej osoby i jej poprzednią historię zatrudnienia, karalności, sprawdzenie referencji oraz wszelkie dodatkowe wymagania dotyczące sprawdzania przeszłości zgodne ze standardami branżowymi, zgodnie z odpowiednimi i obowiązującymi przepisami i regulacjami.
3.2. przeprowadzać kontrole weryfikacyjne przeszłości wszystkich obecnych i nowych pracowników, w tym pracowników kontraktowych.
3.3. zapewnić, że wszyscy pracownicy są związani odpowiednią umową o zachowaniu poufności.
3.4. zdefiniować, udokumentować, wdrożyć i utrzymywać formalne szkolenie uświadamiające w zakresie bezpieczeństwa i prywatności dla wszystkich pracowników. DOSTAWCA zapewni, że takie szkolenia zostaną przeprowadzone przed udzieleniem pozwolenia na dostęp do poufnych informacji lub ich wykorzystanie, a następnie w sposób ciągły.
4. ZARZĄDZANIE AKTYWAMI
DOSTAWCA powinien:
4.1. definiować, dokumentować, wdrażać i utrzymywać dokładny i aktualny spis, w którym rejestruje się cały sprzęt i oprogramowanie, wraz z informacjami o właścicielu i lokalizacji każdego z nich.
4.2. upewnić się, że do autoryzowanego spisu oprogramowania DOSTAWCY dodawane są wyłącznie aplikacje i/lub systemy operacyjne aktualnie obsługiwane i/lub otrzymujące aktualizacje dostawców.
4.3. zapewnić, że całe oprogramowanie i sprzęt obsługujący EOL (koniec okresu eksploatacji) zostanie wycofane z użytku, a stan zapasów zostanie zaktualizowany w odpowiednim czasie.
4.4. określić zasady dopuszczalnego wykorzystania informacji i aktywów związanych z informacją oraz przetwarzaniem informacji.
4,5. zapewnia, że wszystkie informacje są sklasyfikowane pod względem wymogów prawnych, wartości, ważności i wrażliwości oraz że są obsługiwane zgodnie z etykietą klasyfikacyjną.
4.6. zapewnić właściwą obsługę i utylizację danych KLIENTA z systemów DOSTAWCY: - usuwanie danych KLIENTA musi odbywać się w sposób bezpieczny, zapewniający nieodwracalność danych. - certyfikat usunięcia powinien być dostępny dla wszelkich doraźnych wniosków KLIENTA o usunięcie danych.
5. KONTROLA DOSTĘPU
5.1. Postanowienia ogólne
DOSTAWCA powinien:
5.1.1. definiować, dokumentować, wdrażać i utrzymywać politykę i procedury kontroli dostępu w oparciu o potrzeby biznesowe i zasadę „najmniejszych uprawnień” oraz zapewniać, że dostęp do systemów DOSTAWCY mają wyłącznie upoważnieni pracownicy.
5.1.2. zapewnia stosowanie wyłącznie unikalnych identyfikatorów oraz dokumentuje wszelkie wyjątki i korzystanie ze wspólnych kont.
5.1.3. upewnić się, że wszelki dostęp do Systemów DOSTAWCY przechowujących lub przetwarzających Dane KLIENTA podlega uwierzytelnianiu wieloczynnikowemu (MFA).
5.1.4. okresowo, przynajmniej raz w roku, sprawdzaj stosowność przyznanych uprawnień użytkownika.
5.1.5. zapewnić, że czynności związane z zarządzaniem użytkownikami (dodawanie, modyfikacja lub usuwanie uprawnień użytkowników) są wykonywane na podstawie ważnego formalnego wniosku i terminowo.
5.2. BEZPIECZEŃSTWO ZDALNEGO DOSTĘPU
DOSTAWCA powinien:
5.2.1. upewnić się, że wprowadzono odpowiedni zestaw zabezpieczeń, aby zapobiec nieautoryzowanemu zdalnemu dostępowi do Systemów PROVIDER. Kontrole takie obejmują co najmniej: - Wszelki zdalny dostęp do systemów i/lub sieci DOSTAWCY będzie możliwy wyłącznie za pośrednictwem sieci VPN i uwierzytelniania wieloskładnikowego (MFA). - Wszystkie dane przesyłane poprzez mechanizm zdalnego dostępu powinny być szyfrowane od punktu końcowego (np. laptopa) do sieci. - Wszelkie próby połączenia się z Systemami PROVIDER przy użyciu nieautoryzowanego mechanizmu zdalnego dostępu będą odrzucane i rejestrowane. - Podejrzane działania należy traktować zgodnie z odpowiednimi protokołami bezpieczeństwa.
5.3. ZARZĄDZANIE HASŁAMI
DOSTAWCA powinien:
5.3.1. definiować, dokumentować, wdrażać i utrzymywać politykę haseł zgodnie z najlepszymi praktykami branżowymi i wewnętrznymi potrzebami biznesowymi.
5.3.2. dbaj o to, aby hasła były odpowiedniej długości, złożoności, nie zawierały słów łatwych do odgadnięcia i były zmieniane w regularnych odstępach czasu.
5.3.3. zapewnić blokadę kont użytkowników po określonej liczbie nieudanych prób wprowadzenia błędnego hasła oraz zablokowanie konta na określony czas.
5.3.4. zapewnić, że hasła są przechowywane w bezpieczny sposób, uniemożliwiający ich zrozumiałość, dopóki zachowują ważność.
6. KRYPTOGRAFIA
DOSTAWCA powinien:
6.1. definiować, dokumentować, wdrażać i utrzymywać odpowiednie zasady i procedury regulujące stosowanie odpowiednich kontroli kryptograficznych oraz procesy zarządzania kluczami ustalające zasady użytkowania, ochrony i czasu życia kluczy kryptograficznych i materiału klucza.
6.2. Upewnij się, że dane KLIENTA są chronione podczas transportu lub przechowywania, przy użyciu bezpiecznych protokołów (np. TLS 1.2, AES-256 lub inne standardy zalecane w branży).
6.3. zarządzać wszystkimi kluczami szyfrującymi w systemie zarządzania kluczami, którego właścicielem i operatorem jest DOSTAWCA.
6.4. zapewnić właściwy podział obowiązków w ramach procesu zarządzania kluczami szyfrującymi.
7. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE
DOSTAWCA powinien:
7.1. definiować, dokumentować, wdrażać i utrzymywać zasady i procedury bezpieczeństwa fizycznego, aby zapobiec nieautoryzowanemu dostępowi fizycznemu, uszkodzeniom i ingerencji w informacje organizacji oraz urządzenia do przetwarzania informacji, w których przechowywane są dane KLIENTA.
7.2. wdrażać procesy i kontrole bezpieczeństwa fizycznego i środowiskowego zgodnie z określonymi politykami i procedurami. DOSTAWCA może zlecić część lub całość kontroli bezpieczeństwa fizycznego stronie trzeciej i zapewni stosowanie kontroli tego samego poziomu oraz będzie regularnie oceniać stronę trzecią pod kątem zgodności.
7.3. upewnić się, że bezpieczne obszary są chronione przez odpowiednie kontrole wejścia i że dostęp mają wyłącznie upoważnieni pracownicy.
7.4. upewnić się, że wszyscy odwiedzający są upoważnieni, mają odpowiednią identyfikację i mają dostęp tylko do niezbędnych obszarów.
7,5. upewnij się, że szafki zamykane są używane do zabezpieczania poufnych informacji.
7.6. zapewnić bezpieczne nadpisanie sprzętu zawierającego nośniki danych przed wyrzuceniem lub ponownym użyciem.
7.7. zapewnić stosowanie polityki czystego biurka i polityki czystego ekranu w obiektach przetwarzających informacje.
8. BEZPIECZEŃSTWO DZIAŁANIA
DOSTAWCA powinien:
8.1. definiować, dokumentować, wdrażać i utrzymywać procedury operacyjne bezpieczeństwa dotyczące tworzenia kopii zapasowych, ochrony punktów końcowych, zarządzania lukami w zabezpieczeniach, oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, łatania, wzmacniania systemu i rejestrowania.
8.2. regularnie przeprowadzać oceny podatności i testy penetracyjne zgodnie z najlepszymi praktykami branżowymi i wewnętrznymi potrzebami biznesowymi. DOSTAWCA przeprowadzi również ocenę ryzyka, a następnie naprawi zidentyfikowane problemy.
8.3. upewnij się, że luki w zabezpieczeniach są obsługiwane zgodnie z określonym priorytetem i w wymaganych ramach czasowych rozwiązywania problemów.
8.4. wdrażaj poprawki i aktualizacje na wszystkich poziomach infrastruktury zgodnie z określonym priorytetem.
8,5. zapewnia ochronę punktów końcowych, serwerów, urządzeń pamięci masowej, bram pocztowych/internetowych i ruchu pocztowego za pomocą aktywnych narzędzi chroniących przed złośliwym oprogramowaniem, jeśli jest to technicznie wykonalne w celu wykrycia infekcji złośliwym oprogramowaniem i, tam gdzie to możliwe, zapobiegania infekcjom złośliwym oprogramowaniem.
8.6. tworzyć kopie zapasowe informacji, oprogramowania i obrazów systemów oraz regularnie je testować zgodnie z najlepszymi praktykami branżowymi i wewnętrznymi potrzebami biznesowymi.
8.7. zapewnić odpowiednie rejestrowanie, z wystarczającą ilością szczegółów i utrzymywane zgodnie z określonymi okresami przechowywania, przy jednoczesnej ochronie przed manipulacją i nieuprawnionym dostępem.
8.8. definiować, dokumentować, wdrażać i utrzymywać zasady regulujące instalację oprogramowania przez użytkowników.
8.9. definiować, dokumentować, wdrażać i utrzymywać standardy bezpiecznej konfiguracji punktów końcowych, w tym między innymi laptopów, serwerów, maszyn wirtualnych, baz danych i urządzeń sieciowych w celu ochrony przed utratą poufności, integralności i dostępności Danych KLIENTA w stanie spoczynku i podczas przesyłania.
9. BEZPIECZEŃSTWO SIECI I KOMUNIKACJI
DOSTAWCA powinien:
9.1. definiować, dokumentować, wdrażać i utrzymywać mechanizmy bezpieczeństwa i wymagania dotyczące zarządzania wszystkimi usługami sieciowymi.
9.2. definiować, dokumentować, wdrażać i utrzymywać silne standardy szyfrowania i konfiguracji zabezpieczeń w celu zabezpieczenia komunikacji w sieciach publicznych i niepublicznych.
9.3. zapewnić synchronizację zegarów wszystkich odpowiednich systemów przetwarzania informacji z jednym źródłem czasu odniesienia.
9.4. monitoruj ruch internetowy i obwód sieci w celu wykrywania cyberataków i blokowania złośliwych usług, stron internetowych i ruchu.
9,5. upewnij się, że zmiany w regułach zapory sieciowej są kontrolowane w drodze formalnego procesu żądania/zatwierdzenia i są regularnie przeglądane.
9.6. ograniczać i kontrolować dostęp do organizacji zgodnie z najlepszymi praktykami branżowymi i wewnętrznymi potrzebami biznesowymi.
9.7. upewnij się, że stosowany jest model podziału na strefy i że sieć jest odpowiednio podzielona na segmenty, a w każdym segmencie dozwolony jest wyłącznie zatwierdzony dostęp i ruch.
10. CYKL ŻYCIA ROZWOJU OPROGRAMOWANIA (SDLC)
DOSTAWCA powinien:
10.1. ustanowić bezpieczny cykl rozwoju, aby zapewnić bezpieczne opracowywanie i utrzymywanie Usług.
10.2. kontrolować zmiany w systemach w cyklu życia oprogramowania za pomocą formalnych procedur kontroli zmian.
10.3. zapewnić oddzielenie środowisk programistycznych, testowych i produkcyjnych, aby zmniejszyć ryzyko nieautoryzowanego dostępu lub zmian w środowisku produkcyjnym.
10.4. zapewnić, że wymagania związane z bezpieczeństwem informacji zostaną uwzględnione w wymaganiach dotyczących nowych Usług lub udoskonaleń istniejących Usług.
10,5. zapewnić, że dane testowe są tworzone ostrożnie i w kontrolowany sposób oraz że dane produkcyjne nie są wykorzystywane do celów testowych.
11. RELACJE Z DOSTAWCAMI
DOSTAWCA powinien:
11.1. definiować, dokumentować, wdrażać i utrzymywać polityki i procedury zarządzania relacjami z dostawcami, które definiują podstawowe zasady i zasady zarządzania relacjami z dostawcami, zgodne z wymogami biznesowymi, bezpieczeństwa, a także obowiązującymi przepisami, najlepszymi praktykami i standardami międzynarodowymi.
11.2. dla każdego dostawcy, który może uzyskiwać dostęp do danych KLIENTA, je przetwarzać lub przechowywać, DOSTAWCA oceni i udokumentuje zgodność rozwiązania dostawcy. W przypadku kluczowych dostawców, w tym podwykonawców przetwarzania, ponowną ocenę przeprowadza się raz w roku.
11.3. upewnić się, że wszystkie odpowiednie wymogi bezpieczeństwa informacji zostaną ustalone i uzgodnione z każdym dostawcą, który może uzyskać dostęp do danych KLIENTA, je przetwarzać lub przechowywać.
11.4. upewnić się, że z każdym dostawcą, który może uzyskiwać dostęp do danych KLIENTA, przetwarzać je lub przechowywać, obowiązuje ważna umowa określająca zakres pracy, poufność, bezpieczeństwo i wymagania techniczne (jeśli dotyczy) relacji biznesowej.
12. ZARZĄDZANIE INCYDENTAMI BEZPIECZEŃSTWA INFORMACJI
DOSTAWCA powinien:
12.1. zdefiniować, udokumentować, wdrożyć i utrzymywać formalny proces raportowania, reagowania i zarządzania incydentami związanymi z bezpieczeństwem informacji. Obejmuje to co najmniej: - Procedura zgłaszania takich incydentów/naruszeń odpowiedniemu kierownictwu w organizacji DOSTAWCY. - Proces identyfikacji, oceny i postępowania z incydentami związanymi z bezpieczeństwem informacji. - Jasno wyznaczony zespół do zarządzania i koordynowania reakcji na incydent. - Udokumentowany i sprawdzony proces zarządzania reakcją na incydent, obejmujący wymóg prowadzenia odpowiednich dzienników problemów i działań, obejmujący czas, w którym doszło do zdarzenia, osobę zgłaszającą incydent, komu został on zgłoszony i jego skutki. - Potwierdził się wymóg terminowego powiadomienia KLIENTA, nie później niż w ciągu 72 godzin od zdarzenia związanego z bezpieczeństwem informacji i negatywnego wpływu na usługi świadczone na rzecz KLIENTA. Krótszy okres powiadomienia będzie miał zastosowanie, jeśli taki wymóg opiera się na obowiązującym ustawodawstwie i/lub przepisach. - Zespół zarządzający incydentami DOSTAWCY powinien, w stosownych przypadkach, współpracować z przedstawicielami ds. bezpieczeństwa KLIENTA do czasu zadowalającego rozwiązania incydentu związanego z bezpieczeństwem informacji. - DOSTAWCA dostosuje się do wszystkich krajowych przepisów i ustawodawstwa dotyczących powiadamiania organów ścigania, organów regulacyjnych lub innych organów krajowych o incydentach związanych z bezpieczeństwem informacji.
13. ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁALNOŚCI
DOSTAWCA powinien:
13.1. zdefiniować, udokumentować, wdrożyć i utrzymywać Program ciągłości działania.
13.2. identyfikować i ustalać priorytety kluczowych produktów i usług SMSBAT za pomocą procesu analizy wpływu na biznes (BIA).
13.3. wykorzystywać informacje i metody oceny ryzyka do oceny zagrożenia zakłóceniami.
13.4. w oparciu o wyniki analizy wpływu na działalność biznesową i oceny ryzyka opracować strategie reagowania i odzyskiwania danych w celu złagodzenia wpływu zakłócającego zdarzenia na usługi krytyczne.
13,5. opracowywać plany ciągłości działania i przywracania działania, które są adekwatne do celu, regularnie przeglądane, dostępne oraz łatwe do naśladowania i zrozumienia.
13.6. opracować plany zarządzania kryzysowego i komunikacji w celu skutecznego zarządzania kryzysem, ustalania priorytetów w komunikacji i sposobów ostrzegania o incydentach.
13,7. zapewniać szkolenia i ćwiczenia opracowane w oparciu o wymagane kompetencje i dostarczane pracownikom bezpośrednio odpowiedzialnym za ciągłość działania.
13.8. ciągłe doskonalenie Programu ciągłości działania SMSBAT poprzez regularną ocenę i uwzględnianie wszelkich zmian w wymaganiach prawnych i regulacyjnych.
14. ZGODNOŚĆ
DOSTAWCA powinien:
14.1. Co roku poddawaj się regularnym audytom pod kątem standardów branżowych. Na pisemne żądanie KLIENTA DOSTAWCA przekaże KLIENTOWI pełną lub skróconą kopię, w zależności od przypadku, jego bieżących raportów. DOSTAWCA przekaże również, nie później niż dziesięć (10) dni roboczych, pisemne odpowiedzi na wszystkie uzasadnione żądania (kwestionariusze, formularze itp.) złożone przez KLIENTA w celu sprawdzenia, czy DOSTAWCA spełnia wymagania określone w niniejszych Warunkach.
14.2. W zakresie wymaganym przez obowiązujące przepisy, raz w roku, po powiadomieniu z co najmniej 30-dniowym wyprzedzeniem, DOSTAWCA zezwoli KLIENTOWI, jego odpowiednim audytorom lub innym agentom (każdy z nich zwany „Stroną Audytującą”) na dostęp do pomieszczeń, rejestrów i dokumentów Dostawcy, zgodnie z uzasadnionymi wymaganiami Strony Audytującej w celu sprawdzenia, czy DOSTAWCA spełnia wymagania określone w niniejszych Warunkach. Jakikolwiek przegląd zgodnie z niniejszym paragrafem nie będzie wymagał przeglądu jakichkolwiek danych stron trzecich, a Strona Audytująca może być zobowiązana do zawarcia umowy o zachowaniu poufności z DOSTAWCĄ, jeśli może to być zasadnie konieczne w celu poszanowania poufności informacji, o których Strona Audytująca może dowiedzieć się w trakcie przeprowadzania przeglądu. Każda ze Stron pokrywa własne koszty związane z takim audytem. W przypadku, gdy audyt wykaże nieprzestrzeganie obowiązków DOSTAWCY wynikających z niniejszych Warunków, DOSTAWCA naprawi taką niezgodność we wspólnie uzgodnionym terminie i poniesie koszty takich działań.
14.3. DOSTAWCA zastrzega sobie prawo do nałożenia ograniczeń i restrykcji w zakresie okazywania wewnętrznych informacji poufnych oraz wykonywania kopii wszelkich dowodów wymaganych w punktach 14.1 i 14.2.
15. WYMOGI BEZPIECZEŃSTWA KLIENTA
15.1. Ogólne środki bezpieczeństwa
DOSTAWCA powinien:
15.1.1. PROVIDER zdefiniował, udokumentował, wdrożył i utrzymuje zalecenia dotyczące bezpieczeństwa dla KLIENTÓW korzystających z jego usług komunikacji w chmurze. KLIENT dokona przeglądu wspomnianych zaleceń i wdroży je zgodnie ze swoimi potrzebami biznesowymi, możliwościami technicznymi i apetytem na ryzyko.
15.1.2. KLIENT ponosi pełną odpowiedzialność za prawidłowe ustanowienie środków bezpieczeństwa po swojej stronie i nie może nakładać na DOSTAWCĘ żadnej odpowiedzialności w przypadku zdarzenia związanego z bezpieczeństwem wynikającego z nieprawidłowego skonfigurowania środków bezpieczeństwa i technicznych lub zaniedbania we wdrożeniu środków zalecanych przez DOSTAWCĘ.
15.2. Środki łagodzące bezpieczeństwo AIT
DOSTAWCA powinien:
15.2.1. DOSTAWCA zdefiniował, udokumentował i utrzymuje wytyczne dotyczące bezpieczeństwa w celu zapobiegania przypadkom oszustw.
15.2.2. Potencjalne ryzyko może powstać na stronie internetowej KLIENTA lub aplikacji mobilnej zintegrowanej z Systemami PROVIDER w przypadku, gdy rejestracja lub inny formularz wykonujący SMS MT z OTP nie jest chroniony mechanizmem antybotowym typu CAPTCHA. Luki w takich aplikacjach mogą prowadzić do ataków na sztucznie zawyżony ruch (AIT). Mechanizm chroniący przed botami, taki jak CAPTCHA, jest niezbędny do ochrony procesu rejestracji użytkownika przed automatycznymi fałszywymi rejestracjami, które wykonują SMS MT z hasłami jednorazowymi.
15.2.3. W przypadku wystąpienia ataków AIT ruch jest wysyłany do infrastruktury DOSTAWCY ze źródłowym adresem IP używanym przez KLIENTA w momencie przesyłania. Treść SMS MT ruchu jest nie do odróżnienia od prawdziwego ruchu KLIENTA. W przypadku braku jakiejkolwiek informacji zwrotnej od KLIENTA, DOSTAWCA nie jest w stanie odróżnić AIT w aplikacji KLIENTA od prawdziwego ruchu z tej samej aplikacji. W rezultacie DOSTAWCA nie może ponosić odpowiedzialności za bezpieczeństwo aplikacji internetowej lub mobilnej KLIENTA. KLIENT potwierdza ponadto, że cały ruch otrzymany z infrastruktury KLIENTA będzie kierowany do Operatorów Sieci i obciążany KLIENTEM zgodnie z warunkami Umowy.
15.2.4. Zablokowanie dotkniętych sieci nie zapobiegnie ponownemu wystąpieniu podobnego problemu w włączonych sieciach, ponieważ pierwotna przyczyna problemu leży w infrastrukturze KLIENTA. Dlatego też konieczne jest, aby KLIENT zaadresował wszystkie formularze na swojej stronie internetowej lub w aplikacji mobilnej, które realizują kody SMS MT OTP.
15.3. Wniosek o zwiększenie limitu kredytowego
DOSTAWCA powinien:
15.3.1. Limit może zostać szybko wyczerpany, jeżeli nie zostaną usunięte luki w zabezpieczeniach serwisu KLIENTA. W związku z tym DOSTAWCA zwraca się do KLIENTA o potwierdzenie świadomości zagrożeń i zrozumienia potencjalnych konsekwencji zwiększenia limitu kredytowego.
15.3.2. Żądając zwiększenia limitu kredytowego, KLIENT przyjmuje do wiadomości odpowiedzialność za wszelkie potencjalne straty spowodowane atakami AIT i zobowiązuje się pokryć wszelkie wydatki, które mogą z tego wyniknąć.