Skoči na vsebino

Pogoji informacijske varnosti

PONUDNIK zagotavlja storitve in izpolnjuje svoje obveznosti iz pogodbe v skladu z:

a. (I) te Pogoje informacijske varnosti

b. (ii) Dobra varnostna praksa

1. DEFINICIJE

a. »Sredstvo« pomeni kateri koli predmet ali element strojne in programske opreme, ki se uporablja ali se lahko uporablja za ustvarjanje, dostopanje, obdelavo, zaščito, spremljanje, shranjevanje, pridobivanje, prikazovanje ali prenos podatkov STRANKE.

b. »Podatki STRANKE« pomeni vse podatke, ki jih STRANKA ali oseba, ki deluje v njenem imenu, posreduje PONUDNIKU ali dovoli PONUDNIKU dostop in obdelavo v zvezi s pogodbo.

c. »Šifriranje« pomeni postopek pretvorbe informacij ali podatkov v kodo, zlasti za preprečevanje nepooblaščenega dostopa.

d. »Popravek« pomeni vse posodobitve programske opreme in operacijskega sistema (OS), ki odpravljajo varnostne ranljivosti v programu ali izdelku.

e. “Penetration Testing” pomeni pooblaščeni simulirani kibernetski napad na računalniški sistem, ki se izvede za oceno varnosti sistema.

f. »sistem PONUDNIKA« pomeni vsak sistem ali sredstvo, ki je v lasti ali upravljanju (v celoti ali delno) za delovanje s strani PONUDNIKA ali katerega koli njegovega pridruženega podjetja ali v njegovem imenu.

g. »Varnostni incident« pomeni incident, dogodek in/ali težavo, ki je povzročil dejansko ogrožanje zaupnosti, celovitosti in/ali razpoložljivosti podatkov STRANKE in/ali storitve.

h. “Proizvodno okolje” pomeni okolje, kjer se podatki STRANKE shranjujejo in obdelujejo.

i. “Testno okolje” pomeni okolje, ki je na voljo za testiranje nedavno razvitih programov ali izdelkov programske opreme, preden se sprostijo v produkcijsko okolje.

j. »Ranljivost« pomeni obstoj slabosti/pomanjkljivosti, ki je bila najdena v sistemu.

k. »Umetno povečan promet« pomeni vsak promet, ustvarjen z avtomatiziranimi ali goljufivimi sredstvi, vključno z roboti, kmetijami klikov ali drugimi sredstvi, namenjenimi umetnemu povečanju obsega prometa, vendar ne omejeno nanje.

2. ORGANIZACIJA INFORMACIJSKE VARNOSTI

PONUDNIK bo:

2.1. definirati, dokumentirati, izvajati in vzdrževati varnostne politike v skladu z industrijskimi standardi, medtem ko: - zagotavljanje ohranjanja zaupnosti, celovitosti in razpoložljivosti podatkov in informacijskih sistemov. - skladnost z zakonskimi in regulativnimi zahtevami, ki lahko veljajo za STRANKO in STRANČINE podatke.

2.2. vsako leto pregleda svoje politike in postopke in/ali kot odgovor na kakršne koli pomembne spremembe.

2.3. zagotoviti, da so varnostne politike dokumentirane in odobrene s strani PONUDNIKOVEGA vodstva ter objavljene in sporočene ustreznim zainteresiranim stranem.

2.4. zagotoviti, da imajo zahtevano število varnostnih strokovnjakov, ki bodo odgovorni za usklajevanje in spremljanje vseh funkcij, politik in postopkov za varnost informacij.

2.5. vzdržuje postopek za periodično notranjo in zunanjo validacijo učinkovitosti svojih varnostnih kontrol. PONUDNIK bo nemudoma obravnaval in razrešil morebitne pomanjkljivosti v obsegu, ki je potreben za izpolnjevanje obveznosti PONUDNIKA v skladu s pogodbo in temi pogoji.

3. USPOSABLJANJE NA PODROČJU ČLOVEŠKIH VIROV IN VARNOSTI

PONUDNIK bo:

3.1. opredeliti, dokumentirati, izvajati in vzdrževati ustrezno politiko in postopek preverjanja preteklosti. Preverjanja lahko vključujejo posameznikovo izobrazbo in prejšnjo zgodovino zaposlitve, kazensko evidenco, preverjanje referenc in morebitne dodatne standardne zahteve za preverjanje preteklosti v skladu z ustreznimi in veljavnimi zakoni in predpisi.

3.2. izvajati preverjanje preteklosti vseh obstoječih in novih zaposlenih, vključno s pogodbenimi zaposlenimi.

3.3. zagotoviti, da so vsi zaposleni zavezani ustrezni pogodbi o zaupnosti.

3.4. opredeliti, dokumentirati, izvajati in vzdrževati formalno usposabljanje za ozaveščanje o varnosti in zasebnosti za vse zaposlene. PONUDNIK zagotovi, da se taka usposabljanja izvajajo pred izdajo dovoljenja za dostop ali uporabo občutljivih informacij in nato neprekinjeno.

4. UPRAVLJANJE PREMOŽENJA

PONUDNIK bo:

4.1. definirati, dokumentirati, izvajati in vzdrževati natančen in posodobljen inventar, ki beleži vso strojno in programsko opremo, s podatki o lastniku in lokaciji vsakega.

4.2. zagotoviti, da so v pooblaščeni inventar PONUDNIKA dodane samo programske aplikacije in/ali operacijski sistemi, ki so trenutno podprti in/ali prejemajo posodobitve prodajalca.

4.3. zagotoviti, da se vsa programska in strojna oprema, ki podpira EOL (End-of-life), odstrani iz uporabe in da se inventar pravočasno posodobi.

4.4. opredeliti pravila za sprejemljivo uporabo informacij in sredstev, povezanih z informacijami in obdelavo informacij.

4.5. zagotoviti, da so vse informacije razvrščene glede na zakonske zahteve, vrednost, kritičnost in občutljivost ter da se z njimi ravna v skladu z oznako tajnosti.

4.6. zagotoviti pravilno ravnanje in razpolaganje s podatki STRANKE iz sistemov PONUDNIKA: - odstranjevanje zapisov podatkov STRANKE mora potekati na varen način, da se zagotovi nepovratnost podatkov. - potrdilo o izbrisu mora biti na voljo za morebitne ad hoc zahteve STRANKE za izbris podatkov.

5. KONTROLA PRISTOPA

5.1. Splošne določbe

PONUDNIK bo:

5.1.1. definirati, dokumentirati, izvajati in vzdrževati politiko in postopke nadzora dostopa na podlagi poslovnih potreb in načela »najmanjše pravice« ter zagotoviti, da imajo samo pooblaščeni zaposleni dostop do sistemov PONUDNIKA.

5.1.2. zagotoviti, da se uporabljajo samo edinstveni ID-ji, in dokumentirati vse izjeme in uporabo skupnih računov.

5.1.3. zagotoviti, da je vsak dostop do sistemov PONUDNIKA, ki shranjujejo ali obdelujejo podatke ODJEMALCA, predmet večfaktorske avtentikacije (MFA).

5.1.4. periodično, vsaj enkrat letno, pregleda ustreznost dodeljenih uporabniških privilegijev.

5.1.5. zagotoviti, da se dejavnosti upravljanja uporabnikov (dodajanje, spreminjanje ali odvzem uporabniških privilegijev) izvajajo na podlagi veljavne uradne zahteve in pravočasno.

5.2. VARNOST ODDALJENEGA DOSTOPA

PONUDNIK bo:

5.2.1. zagotoviti, da je vzpostavljen ustrezen nabor varnostnih kontrol za preprečevanje nepooblaščenega oddaljenega dostopa do sistemov PONUDNIKA. Takšen nadzor vključuje vsaj: - Kakršen koli oddaljeni dostop do sistemov in/ali omrežja PONUDNIKA bo mogoč samo prek VPN in večfaktorske avtentikacije (MFA). - Vsi podatki, ki potujejo prek mehanizma za oddaljeni dostop, morajo biti šifrirani od končne točke (npr. prenosnika) do omrežja. - Vsi poskusi povezave s sistemi PONUDNIKA z uporabo nepooblaščenega mehanizma za oddaljeni dostop bodo zavrnjeni in zabeleženi. - S sumljivo dejavnostjo se ravna v skladu z ustreznimi varnostnimi protokoli.

5.3. UPRAVLJANJE GESEL

PONUDNIK bo:

5.3.1. definirati, dokumentirati, izvajati in vzdrževati politiko gesel v skladu z najboljšo prakso v industriji in notranjimi poslovnimi potrebami.

5.3.2. zagotoviti, da so gesla dovolj dolga, kompleksna, da ne vsebujejo zlahka uganljivih besed in da se redno spreminjajo.

5.3.3. zagotoviti, da se uporabniški računi zaklenejo po določenem številu neuspešnih poskusov vnosa napačnega gesla in da se račun zaklene za določen čas.

5.3.4. zagotovite, da so gesla shranjena na varen način, da so nerazumljiva, medtem ko ostanejo veljavna.

6. KRIPTOGRAFIJA

PONUDNIK bo:

6.1. definirati, dokumentirati, izvajati in vzdrževati ustrezne politike in postopke, ki urejajo uporabo ustreznih kriptografskih kontrol in procesov upravljanja ključev, ki določajo pravila uporabe, zaščite in življenjske dobe kriptografskih ključev in materiala za ključe.

6.2. Zagotovite, da so podatki CLIENT med prenosom ali mirovanjem zaščiteni z varnimi protokoli (npr. TLS 1.2, AES-256 ali drugi standardi, ki jih priporoča industrija).

6.3. upravljanje vseh šifrirnih ključev v sistemu za upravljanje ključev, ki je v lasti in upravljanju PONUDNIKA.

6.4. zagotoviti ustrezno ločitev dolžnosti v procesu upravljanja šifrirnih ključev.

7. FIZIČNA IN OKOLJSKA VARNOST

PONUDNIK bo:

7.1. definirati, dokumentirati, izvajati in vzdrževati fizične varnostne politike in postopke za preprečevanje nepooblaščenega fizičnega dostopa, poškodb in motenj v informacijah organizacije in obratih za obdelavo informacij, ki shranjujejo podatke STRANKE.

7.2. izvajanje fizičnih in okoljskih varnostnih procesov in kontrol v skladu z opredeljenimi politikami in postopki. PONUDNIK lahko nekatere ali vse fizične varnostne kontrole prenese na tretjo osebo in zagotovi, da so vzpostavljene kontrole na enaki ravni, ter redno ocenjuje skladnost tretje osebe.

7.3. zagotoviti, da so varovana območja zaščitena z ustreznimi vstopnimi kontrolami in da je dostop dovoljen le pooblaščenemu osebju.

7.4. zagotoviti, da so vsi obiskovalci pooblaščeni, da imajo ustrezno identifikacijo in da jim je omogočen dostop le do potrebnih območij.

7.5. zagotoviti, da se za varovanje zaupnih informacij uporabljajo omarice za zaklepanje.

7.6. zagotovite, da je oprema, ki vsebuje medije za shranjevanje, varno prepisana pred odlaganjem ali ponovno uporabo.

7.7. zagotoviti, da se za zmogljivosti za obdelavo informacij uporablja politika pregledne mize in politika preglednega zaslona.

8. VARNOST DELOVANJA

PONUDNIK bo:

8.1. definirati, dokumentirati, izvajati in vzdrževati varnostne operativne postopke za varnostno kopiranje, zaščito končne točke, upravljanje ranljivosti, protivirusno in zlonamerno programsko opremo, popravke, utrjevanje sistema in beleženje.

8.2. redno izvajati ocene ranljivosti in penetracijske teste v skladu z najboljšo prakso v industriji in notranjimi poslovnimi potrebami. PONUDNIK izvede tudi oceno tveganja, ki ji sledi sanacija ugotovljenih težav.

8.3. zagotoviti, da se ranljivosti obravnavajo v skladu z opredeljeno prednostno razvrstitvijo in v zahtevanih časovnih okvirih za reševanje.

8.4. uporabljati popravke in nadgradnje na vseh ravneh infrastrukture v skladu z opredeljeno prioriteto.

8.5. zagotoviti, da so končne točke, strežniki, naprave za shranjevanje, pošta/spletni prehodi in poštni promet zaščiteni z aktivnimi orodji proti zlonamerni programski opremi, kjer je tehnično izvedljivo odkriti in preprečiti okužbe z zlonamerno programsko opremo, kjer koli je to mogoče.

8.6. ustvariti varnostne kopije informacij, programske opreme in slik sistema ter jih redno testirati v skladu z najboljšo prakso v industriji in internimi poslovnimi potrebami.

8.7. zagotoviti, da se izvaja ustrezno beleženje z zadostnimi podrobnostmi in vzdrževanje v skladu z opredeljenimi obdobji hrambe, hkrati pa je zaščiteno pred posegi in nepooblaščenim dostopom.

8.8. definirati, dokumentirati, izvajati in vzdrževati pravila, ki urejajo namestitev programske opreme s strani uporabnikov.

8.9. definirati, dokumentirati, izvajati in vzdrževati standarde za varno konfiguracijo končnih točk, vključno z, vendar ne omejeno na prenosne računalnike, strežnike, virtualne stroje, podatkovne baze in omrežne naprave za zaščito pred izgubo zaupnosti, celovitosti in razpoložljivosti ODJEMALNIH podatkov med mirovanjem in prenosom.

9. VARNOST OMREŽJA IN KOMUNIKACIJ

PONUDNIK bo:

9.1. definirati, dokumentirati, izvajati in vzdrževati varnostne mehanizme in zahteve za upravljanje vseh omrežnih storitev.

9.2. definirati, dokumentirati, implementirati in vzdrževati močne standarde šifriranja in varnostne konfiguracije za varno komunikacijo prek javnih in nejavnih omrežij.

9.3. zagotoviti, da so ure vseh ustreznih sistemov za obdelavo informacij sinhronizirane z enim virom referenčnega časa.

9.4. spremljajte spletni promet in omrežni obseg, da odkrijete kibernetske napade in blokirate zlonamerne storitve, spletne strani in promet.

9.5. zagotoviti, da so spremembe pravil požarnega zidu nadzorovane prek formalnega postopka zahteve/odobritve in da se redno pregledujejo.

9.6. omejiti in nadzorovati dostop do organizacij v skladu z najboljšo prakso v panogi in notranjimi poslovnimi potrebami.

9.7. zagotoviti, da se uporablja model coniranja in da je omrežje ustrezno segmentirano, medtem ko sta v vsakem segmentu dovoljena samo odobren dostop in promet.

10. ŽIVLJENJSKI CIKLES RAZVOJA PROGRAMSKE OPREME (SDLC)

PONUDNIK bo:

10.1. vzpostaviti varen življenjski cikel razvoja, da se zagotovi, da se storitve razvijajo in vzdržujejo na varen način.

10.2. nadzirati spremembe sistemov znotraj življenjskega cikla razvoja s formalnimi postopki nadzora sprememb.

10.3. zagotoviti, da so razvojno, preskusno in produkcijsko okolje ločeno, da se zmanjšajo tveganja nepooblaščenega dostopa ali sprememb produkcijskega okolja.

10.4. zagotoviti, da so zahteve v zvezi z varnostjo informacij vključene v zahteve za nove storitve ali izboljšave obstoječih storitev.

10.5. zagotoviti, da so testni podatki ustvarjeni skrbno in nadzorovano ter da se proizvodni podatki ne uporabljajo za namene testiranja.

11. ODNOSI DO DOBAVITELJEV

PONUDNIK bo:

11.1. definirati, dokumentirati, izvajati in vzdrževati politike in postopke upravljanja odnosov z dobavitelji, ki določajo osnovna načela in pravila za upravljanje odnosov z dobavitelji, ki so v skladu s poslovnimi, varnostnimi zahtevami ter veljavnimi predpisi, najboljšimi praksami in mednarodnimi standardi.

11.2. za vsakega dobavitelja, ki lahko dostopa, obdeluje ali shranjuje podatke STRANKE, PONUDNIK oceni in dokumentira skladnost dobaviteljeve rešitve. Za kritične dobavitelje, vključno s podobdelovalci, se ponovno ocenjevanje izvaja vsako leto.

11.3. zagotoviti, da bodo vse ustrezne zahteve glede varnosti informacij določene in dogovorjene z vsakim dobaviteljem, ki lahko dostopa do podatkov STRANKE, jih obdeluje ali shranjuje.

11.4. zagotoviti, da je z vsakim dobaviteljem, ki lahko dostopa, obdeluje ali shranjuje podatke STRANKE, sklenjen veljaven sporazum, ki opredeljuje obseg dela, zaupnost, varnost in tehnične zahteve (če je primerno) poslovnega odnosa.

12. UPRAVLJANJE INCIDENTOV NA VARNOSTI INFORMACIJ

PONUDNIK bo:

12.1. opredeliti, dokumentirati, izvajati in vzdrževati formalni postopek za poročanje, odzivanje in upravljanje incidentov informacijske varnosti. To vključuje najmanj: - Postopek za poročanje takšnih incidentov/kršitev ustreznemu vodstvu znotraj organizacije PONUDNIKA. - Postopek prepoznavanja, ocenjevanja in ravnanja z varnostnimi incidenti informacij. - Jasno določena ekipa za vodenje in usklajevanje odziva na incident. - Dokumentiran in preizkušen postopek za upravljanje odziva na incident, vključno z zahtevo po vodenju ustreznih dnevnikov težav in dejanj, ki vključujejo čas, ko se je incident zgodil, osebo, ki je incident prijavila, kateri je bil prijavljen in njegove učinke. - Potrjena je zahteva po pravočasnem obveščanju NAROČNIKA, najkasneje v 72 urah po informacijsko varnostnem incidentu in negativnem vplivu na storitve, ki jih nudi NAROČNIKU. Krajši rok za obvestilo bo veljal, če taka zahteva temelji na veljavni zakonodaji in/ali uredbi. - Ponudnik ekipa za upravljanje incidentov bo, kjer je to primerno, sodelovala z NAROČNIKOVImi varnostnimi predstavniki, dokler incident informacijske varnosti ni zadovoljivo rešen. - PONUDNIK se bo uskladil z vsemi nacionalnimi predpisi in zakonodajo v zvezi z obveščanjem o incidentih v zvezi z varnostjo informacij organom kazenskega pregona, regulativnim ali drugim nacionalnim organom.

13. UPRAVLJANJE KONTINUITETE POSLOVANJA

PONUDNIK bo:

13.1. opredeliti, dokumentirati, izvajati in vzdrževati program neprekinjenega poslovanja.

13.2. identificirati in prednostno razvrstiti ključne izdelke in storitve SMSBAT z uporabo procesa analize vpliva na poslovanje (BIA).

13.3. uporabite informacije in metode ocene tveganja za oceno nevarnosti motenj.

13.4. na podlagi rezultatov analize vpliva na poslovanje in ocene tveganja razviti odzivne in obnovitvene strategije za ublažitev vpliva na kritične storitve med motečim incidentom.

13.5. razviti načrte za neprekinjeno poslovanje in obnovitev, ki ustrezajo namenu, se redno pregledujejo, so na voljo in so enostavni za sledenje in razumevanje.

13.6. razvoj kriznega upravljanja in komunikacijskih načrtov za učinkovito obvladovanje krize, določanje prioritet v komunikaciji in načine opozarjanja na incidente.

13.7. zagotoviti usposabljanje in vadbo, razvito glede na zahtevane kompetence in zagotovljeno zaposlenim z neposredno odgovornostjo za neprekinjeno poslovanje.

13.8. nenehno izboljševati program neprekinjenega poslovanja SMSBAT z rednim ocenjevanjem in upoštevanjem morebitnih sprememb pravnih in regulativnih zahtev.

14. SKLADNOST

PONUDNIK bo:

14.1. Vsako leto opravite redne revizije glede na industrijske standarde. PONUDNIK bo STRANKI na pisno zahtevo STRANKE zagotovil celotno kopijo ali povzetek svojih takrat aktualnih poročil, kot je ustrezno. PONUDNIK najkasneje v desetih (10) delovnih dneh posreduje tudi pisne odgovore na vse razumne zahteve (vprašalnike, obrazce ipd.), ki jih poda NAROČNIK, da bi preveril, ali PONUDNIK izpolnjuje zahteve iz teh pogojev.

14.2. V obsegu, ki ga zahtevajo veljavni predpisi, PONUDNIK enkrat na leto po predhodnem obvestilu vsaj 30 koledarskih dni dovoli NAROČNIKU, njegovim ustreznim revizorjem ali drugim agentom (vsak je »revizijska stranka«) dostop do dobaviteljevih prostorov, evidenc in dokumentov, kot razumno zahteva revizijska stranka, da preveri, ali PONUDNIK izpolnjuje zahteve iz teh pogojev. Vsak pregled v skladu s tem odstavkom ne zahteva pregleda kakršnih koli podatkov tretjih oseb in od revizijske stranke se lahko zahteva, da s PONUDNIKOM sklene pogodbo o zaupnosti, če je to razumno potrebno za spoštovanje zaupnosti informacij, ki jih revizijska stranka lahko izve med izvajanjem pregleda. Vsaka stranka krije svoje stroške v zvezi s tako revizijo. V primeru, da revizija razkrije neizpolnjevanje obveznosti DOBAVITELJA v skladu s temi pogoji, DOBAVITELJ to neskladnost odpravi v medsebojno dogovorjenem roku in krije stroške takšnih ukrepov.

14.3. PONUDNIK si pridržuje pravico do uvedbe omejitev in omejitev prikazovanja notranjih zaupnih informacij in kopiranja kakršnih koli dokazil, zahtevanih v točkah 14.1 in 14.2.

15. VARNOSTNE ZAHTEVE STRANKE

15.1. Splošni varnostni ukrepi

PONUDNIK bo:

15.1.1. PONUDNIK je opredelil, dokumentiral, implementiral in vzdržuje varnostna priporočila za STRANKE, ki uporabljajo svoje komunikacijske storitve v oblaku. STRANKA bo navedena priporočila pregledala in jih izvajala v skladu s svojimi poslovnimi potrebami, tehničnimi zmožnostmi in nagnjenostjo k tveganju.

15.1.2. STRANKA je v celoti odgovorna za pravilno nastavitev varnostnih ukrepov na svoji strani in ne nalaga nobene odgovornosti PONUDNIKU v primeru varnostnega incidenta, ki je posledica neustrezne nastavitve varnostnih in tehničnih ukrepov ali malomarnega izvajanja ukrepov, ki jih priporoča PONUDNIK.

15.2. Ukrepi za zmanjšanje varnosti AIT

PONUDNIK bo:

15.2.1. PONUDNIK je določil, dokumentiral in vzdržuje varnostne smernice za preprečevanje primerov goljufij.

15.2.2. Potencialno tveganje se lahko pojavi na NAROČALNIKOVEM spletnem mestu ali mobilni aplikaciji, integrirani s sistemi PONUDNIKA, če registracija ali drug obrazec, ki izvaja SMS MT z OTP-ji, ni zaščiten z mehanizmom proti robotom, kot je CAPTCHA. Ranljivosti v takih aplikacijah lahko povzročijo napade z umetno povečanim prometom (AIT). Mehanizem proti botom, kot je CAPTCHA, je bistvenega pomena za zaščito toka prijave uporabnika pred avtomatiziranimi lažnimi registracijami, ki izvajajo SMS MT z OTP-ji.

15.2.3. Ko pride do napadov AIT, se promet pošlje v infrastrukturo PONUDNIKA z izvornim naslovom IP, ki ga je STRANKA uporabila v času oddaje. Vsebina SMS MT prometa se ne razlikuje od pristnega prometa STRANKE. V odsotnosti kakršnih koli povratnih informacij s strani NAROČNIKA PONUDNIK ne more razlikovati med AIT na NAROČNIKOVI aplikaciji in resničnim prometom iz iste aplikacije. Posledično PONUDNIK ne more biti odgovoren za varnost spletne ali mobilne aplikacije STRANKE. STRANKA nadalje potrjuje, da bo ves promet, prejet iz NAROČNIKOVE infrastrukture, usmerjen k omrežnim operaterjem in zaračunan STRANKI v skladu s pogoji pogodbe.

15.2.4. Blokiranje prizadetih omrežij ne bi preprečilo ponovnega pojava podobne težave v omogočenih omrežjih, saj je glavni vzrok težave v infrastrukturi STRANKE. Zato je nujno, da STRANKA naslovi vse obrazce na svoji spletni strani ali mobilni aplikaciji, ki izvajajo kode SMS MT OTP.

15.3. Zahteva za povečanje kreditnega limita

PONUDNIK bo:

15.3.1. Omejitev se lahko hitro izčrpa, če se ne odpravijo ranljivosti na spletnem mestu STRANKE. Zato PONUDNIK od NAROČNIKA zahteva potrditev zavedanja tveganj in razumevanja možnih posledic povečanja kreditnega limita.

15.3.2. Z zahtevo po povečanju kreditnega limita STRANKA priznava odgovornost za kakršno koli morebitno izgubo zaradi napadov AIT in se zavezuje, da bo plačala vse stroške, ki lahko nastanejo zaradi tega.