Kushtet e sigurisë së informacionit
Ofruesi do të ofrojë Shërbimet dhe do të kryejë detyrimet e tij sipas Marrëveshjes në përputhje me:
a. (I) këto Kushte të Sigurisë së Informacionit
b. (ii) Praktika e mirë e sigurisë
1. PËRKUFIZIMET
a. "Aktiv" do të thotë çdo artikull ose element i harduerit dhe softuerit që përdoret ose mund të përdoret për qëllimin e krijimit, aksesit, përpunimit, mbrojtjes, monitorimit, ruajtjes, marrjes, shfaqjes ose transmetimit të të dhënave të KLIENTIT.
b. "Të dhënat e KLIENTIT" do të thotë çdo të dhënë që KLIENTI, ose një person që vepron në emër të tij, i jep FURNUESIT, ose i lejon FRUHËSIT të aksesojë dhe përpunojë, në lidhje me Marrëveshjen.
c. "Kriptim" do të thotë procesi i konvertimit të informacionit ose të dhënave në një kod, veçanërisht për të parandaluar aksesin e paautorizuar.
d. “Patching” do të thotë çdo përditësim i softuerit dhe sistemit operativ (OS) që adreson dobësitë e sigurisë brenda një programi ose produkti.
e. “Testimi i depërtimit” do të thotë një sulm kibernetik i autorizuar i simuluar në një sistem kompjuterik, i kryer për të vlerësuar sigurinë e sistemit.
f. “Sistemi i OFRUESIT” do të thotë çdo Sistem ose Aset i cili është në pronësi ose menaxhim (në tërësi ose pjesërisht) për operim nga ose në emër të OFRUESIT ose ndonjë prej Filialeve të tij.
g. “Incidenti i Sigurisë” do të thotë një incident, ngjarje dhe/ose problem që rezultoi në një kompromis aktual të konfidencialitetit, integritetit dhe/ose disponueshmërisë së të dhënave të KLIENTIT dhe/ose Shërbimit.
h. “Mjedisi i prodhimit” do të thotë mjedisi ku ruhen dhe përpunohen të dhënat e KLIENTIT.
i. “Mjedis testimi” do të thotë mjedis i vënë në dispozicion për testimin e programeve ose produkteve softuerike të zhvilluara së fundmi përpara se të lëshohen në një mjedis prodhimi.
j. “Cenueshmëri” do të thotë ekzistenca e një dobësie/të mete që gjendet brenda sistemit.
k. "Trafik i fryrë artificialisht" do të thotë çdo trafik i krijuar nga mjete të automatizuara ose mashtruese, duke përfshirë, por pa u kufizuar në robotët, fermat e klikimeve ose çdo mjet tjetër që synon të fryjë artificialisht vëllimet e trafikut.
2. ORGANIZIMI I SIGURISË SË INFORMACIONIT
Ofruesi do të:
2.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë politikat e sigurisë në përputhje me standardet e industrisë, ndërsa: - sigurimi që ruhet konfidencialiteti, integriteti dhe disponueshmëria e të dhënave dhe sistemeve të informacionit. - pajtueshmëria me kërkesat ligjore dhe rregullatore të cilave mund t'u nënshtrohen të dhënat KLIENTI dhe KLIENTI.
2.2. rishikojë politikat dhe procedurat e tij në baza vjetore dhe/ose në përgjigje të çdo ndryshimi të rëndësishëm.
2.3. sigurohuni që politikat e sigurisë të dokumentohen dhe miratohen nga menaxhmenti i OFRUESIT dhe të publikohen e t'u komunikohen palëve përkatëse të interesit.
2.4. sigurojnë që ata të kenë numrin e kërkuar të profesionistëve të sigurisë, të cilët do të jenë përgjegjës për koordinimin dhe monitorimin e të gjitha funksioneve, politikave dhe procedurave të sigurisë së informacionit.
2.5. të mbajë një proces për verifikimin periodik të brendshëm dhe të jashtëm të efektivitetit të kontrolleve të tij të sigurisë. PROVIDER do të adresojë dhe zgjidhë menjëherë çdo mangësi në masën e nevojshme për të përmbushur detyrimet e PROVIDER sipas Marrëveshjes dhe këtyre Kushteve.
3. TRAJNIM PËR BURIMET NJERËZORE DHE SIGURIA
Ofruesi do të:
3.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë politikën dhe procedurën e duhur të kontrollit të sfondit. Kontrollet mund të përfshijnë arsimimin e individit dhe historinë e mëparshme të punësimit, të dhënat kriminale, kontrollet e referencës dhe çdo kërkesë shtesë për kontrollin e historikut të standardeve të industrisë në përputhje me ligjet dhe rregulloret përkatëse dhe të zbatueshme.
3.2. të kryejë kontrolle të verifikimit të historikut për të gjithë punonjësit ekzistues dhe të rinj, duke përfshirë punonjësit me kontratë.
3.3. sigurohuni që të gjithë punonjësit të jenë të lidhur me një marrëveshje të përshtatshme konfidencialiteti.
3.4. të përcaktojë, dokumentojë, zbatojë dhe mbajë një trajnim formal të ndërgjegjësimit për sigurinë dhe privatësinë për të gjithë punonjësit. Ofruesi do të sigurojë që trajnime të tilla të ofrohen përpara dhënies së lejes për akses ose përdorim të informacionit të ndjeshëm dhe në mënyrë të vazhdueshme më pas.
4. MENAXHIMI I ASETEVE
Ofruesi do të:
4.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë një inventar të saktë dhe të përditësuar i cili regjistron të gjithë harduerin dhe softuerin, me informacionin e pronarit dhe vendndodhjen e secilit.
4.2. sigurohuni që vetëm aplikacionet softuerike dhe/ose sistemet operative të mbështetura aktualisht dhe/ose që marrin përditësime të shitësit të shtohen në inventarin e softuerit të autorizuar të PROVIDER.
4.3. sigurohuni që i gjithë softueri dhe hardueri që mbështesin EOL (Fundi i jetës) të hiqet nga përdorimi dhe inventari të përditësohet në kohën e duhur.
4.4. të përcaktojë rregullat për përdorimin e pranueshëm të informacionit dhe të aseteve që lidhen me informacionin dhe përpunimin e informacionit.
4.5. të sigurojë që i gjithë informacioni të klasifikohet për sa i përket kërkesave ligjore, vlerës, kritikitetit dhe ndjeshmërisë dhe të trajtohet në përputhje me etiketën e tij të klasifikimit.
4.6. siguroni trajtimin dhe asgjësimin e duhur të të dhënave të KLIENTIT nga sistemet e PROVIDER: - asgjësimi i të dhënave të KLIENTIT duhet të kryhet në një mënyrë të sigurt për të siguruar që të dhënat të bëhen të pakthyeshme. - certifikata e fshirjes duhet të jetë e disponueshme për çdo kërkesë ad hoc të KLIENTIT për fshirje të të dhënave.
5. KONTROLLI I QASJES
5.1. Dispozitat e përgjithshme
Ofruesi do të:
5.1.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë politikën dhe procedurat e kontrollit të aksesit në bazë të nevojave të biznesit dhe parimit të “privilegjit më të vogël” dhe të sigurojë që vetëm punonjësit e autorizuar të kenë akses në sistemet e PROVIDER.
5.1.2. sigurohuni që të përdoren vetëm ID unike dhe do të dokumentojnë çdo përjashtim dhe përdorim të llogarive të përbashkëta.
5.1.3. sigurohuni që çdo akses në sistemet e PROVIDER që ruajnë ose përpunojnë të dhënat e KLIENTIT i nënshtrohet vërtetimit me shumë faktorë (MFA).
5.1.4. periodikisht, të paktën në baza vjetore, rishikoni përshtatshmërinë e privilegjeve të caktuara të përdoruesit.
5.1.5. sigurohuni që aktivitetet e menaxhimit të përdoruesit (shtimi, modifikimi ose heqja e privilegjeve të përdoruesit) të kryhen bazuar në një kërkesë zyrtare të vlefshme dhe në kohën e duhur.
5.2. SIGURIA E QASJES REMOTE
Ofruesi do të:
5.2.1. sigurohuni që grupi i duhur i kontrolleve të sigurisë është vendosur për të parandaluar aksesin e paautorizuar në distancë në Sistemet PROVIDER. Kontrolle të tilla duhet të përfshijnë të paktën: - Çdo akses në distancë në sistemet dhe/ose rrjetin e PROVIDER do të bëhet vetëm nëpërmjet VPN dhe Autentifikimit me shumë faktorë (MFA). - Të gjitha të dhënat që udhëtojnë nëpër një mekanizëm aksesi në distancë do të kodohen nga pika përfundimtare (p.sh. laptop) në rrjet. - Të gjitha përpjekjet për t'u lidhur me Sistemet PROVIDER duke përdorur një mekanizëm të paautorizuar të aksesit në distancë do të refuzohen dhe regjistrohen. - Aktiviteti i dyshimtë do të trajtohet në përputhje me protokollet përkatëse të sigurisë.
5.3. MENAXHIMI I FJALEVE
Ofruesi do të:
5.3.1. përcaktoni, dokumentoni, zbatoni dhe mirëmbani politikën e fjalëkalimit në përputhje me praktikat më të mira të industrisë dhe nevojat e brendshme të biznesit.
5.3.2. sigurohuni që fjalëkalimet të jenë me gjatësi të mjaftueshme, komplekse, të mos përmbajnë fjalë lehtësisht të mendueshme dhe të ndryshohen në intervale të rregullta.
5.3.3. sigurohuni që llogaritë e përdoruesve të jenë të bllokuara pas një numri të caktuar përpjekjesh të pasuksesshme për të futur fjalëkalimin e gabuar dhe që llogaria të jetë e bllokuar për një kohë të caktuar.
5.3.4. sigurohuni që fjalëkalimet të ruhen në një mënyrë të sigurt që i bën ato të pakuptueshme përderisa ato mbeten të vlefshme.
6. KRIPTOGRAFIA
Ofruesi do të:
6.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë politikat dhe procedurat përkatëse që rregullojnë përdorimin e kontrolleve të përshtatshme kriptografike dhe proceset e menaxhimit të çelësave, duke vendosur rregullat e përdorimit, mbrojtjes dhe jetëgjatësisë së çelësave kriptografikë dhe materialit të çelësave.
6.2. Sigurohuni që të dhënat e KLIENTIT të mbrohen gjatë transportit ose në pushim duke përdorur protokolle të sigurta (p.sh. TLS 1.2, AES-256 ose standarde të tjera të rekomanduara nga industria).
6.3. menaxhoni të gjithë çelësat e enkriptimit në një sistem të menaxhimit të çelësave që zotërohet dhe operohet nga PROVIDER.
6.4. të sigurojë ndarjen e duhur të detyrave brenda procesit të menaxhimit të çelësave të enkriptimit.
7. SIGURIA FIZIKE DHE MJEDISORE
Ofruesi do të:
7.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë politikat dhe procedurat e sigurisë fizike për të parandaluar aksesin e paautorizuar fizik, dëmtimin dhe ndërhyrjen në mjediset e përpunimit të informacionit dhe informacionit të organizatës që ruajnë të dhënat e KLIENTIT.
7.2. zbatojnë proceset dhe kontrollet e sigurisë fizike dhe mjedisore në përputhje me politikat dhe procedurat e përcaktuara. PROVIDER mund të transferojë disa ose të gjitha kontrollet fizike të sigurisë tek një palë e tretë dhe do të sigurojë që kontrollet e nivelit të njëjtë janë të vendosura dhe do të vlerësojë rregullisht palën e tretë për pajtueshmërinë.
7.3. sigurohuni që zonat e sigurta të mbrohen nga kontrollet e duhura të hyrjes dhe vetëm personeli i autorizuar të lejohet qasja.
7.4. sigurohuni që të gjithë vizitorët të jenë të autorizuar, të kenë identifikimin e duhur dhe t'u jepet akses vetëm në zonat e nevojshme.
7.5. sigurohuni që dollapët e kyçjes të përdoren për të siguruar informacione konfidenciale.
7.6. sigurohuni që pajisjet që përmbajnë media ruajtëse të jenë mbishkruar në mënyrë të sigurt përpara asgjësimit ose ripërdorimit.
7.7. Sigurohuni që të zbatohet një politikë e qartë e tavolinës dhe një politikë e qartë e ekranit për pajisjet e përpunimit të informacionit.
8. SIGURIA E OPERACIONIT
Ofruesi do të:
8.1. përcaktojnë, dokumentojnë, zbatojnë dhe mirëmbajnë procedurat e funksionimit të sigurisë për rezervimin, mbrojtjen e pikës fundore, menaxhimin e cenueshmërisë, antivirus dhe antimalware, korrigjimin, forcimin e sistemit dhe regjistrimin.
8.2. të kryejë vlerësime të cenueshmërisë dhe teste të depërtimit në baza të rregullta në përputhje me praktikat më të mira të industrisë dhe nevojat e brendshme të biznesit. Ofruesi gjithashtu do të kryejë një vlerësim të rrezikut, i ndjekur nga një korrigjim i çështjeve të identifikuara.
8.3. Sigurohuni që dobësitë të trajtohen në përputhje me prioritetet e përcaktuara dhe brenda afateve kohore të kërkuara të zgjidhjes.
8.4. aplikoni arnime dhe përmirësime në të gjitha nivelet e infrastrukturës në përputhje me prioritetet e përcaktuara.
8.5. sigurohuni që pikat fundore, serverët, pajisjet e ruajtjes, portat e postës / ueb-it dhe trafiku i postës të mbrohen me mjete aktive anti-malware aty ku është teknikisht e mundur të zbulohen dhe kudo që është e mundur të parandalohen infeksionet e malware.
8.6. krijoni kopje rezervë të informacionit, softuerit dhe imazheve të sistemit dhe do t'i testojë ato rregullisht në përputhje me praktikat më të mira të industrisë dhe nevojat e brendshme të biznesit.
8.7. Sigurohuni që të kryhen prerjet e duhura, me detaje të mjaftueshme dhe të mirëmbahen në përputhje me periudhat e përcaktuara të ruajtjes, duke qenë i mbrojtur nga ndërhyrjet dhe aksesi i paautorizuar.
8.8. të përcaktojë, dokumentojë, zbatojë dhe mbajë rregullat që rregullojnë instalimin e softuerit nga përdoruesit.
8.9. të përcaktojë, dokumentojë, zbatojë dhe mbajë standardet për konfigurimin e sigurt të pikave fundore, duke përfshirë, por pa u kufizuar në laptopë, serverë, makina virtuale, baza të të dhënave dhe pajisje rrjeti për të mbrojtur kundër humbjes së konfidencialitetit, integritetit dhe disponueshmërisë së të dhënave të KLIENTIT në pushim dhe në tranzit.
9. SIGURIA E RRJETIVE DHE KOMUNIKIMIT
Ofruesi do të:
9.1. definojnë, dokumentojnë, zbatojnë dhe mirëmbajnë mekanizmat e sigurisë dhe kërkesat e menaxhimit të të gjitha shërbimeve të rrjetit.
9.2. përcaktojnë, dokumentojnë, zbatojnë dhe mirëmbajnë standarde të forta të konfigurimit të enkriptimit dhe sigurisë për të siguruar komunikimin në rrjetet publike dhe jopublike.
9.3. sigurohuni që orët e të gjitha sistemeve përkatëse të përpunimit të informacionit të jenë të sinkronizuara me një burim të vetëm të kohës referuese.
9.4. monitoroni trafikun e internetit dhe perimetrin e rrjetit për të zbuluar sulmet kibernetike dhe për të bllokuar shërbimet, faqet e internetit dhe trafikun me qëllim të keq.
9.5. sigurohuni që ndryshimet në rregullat e murit të zjarrit të kontrollohen përmes një procesi kërkese/miratimi formal dhe të rishikohen rregullisht.
9.6. kufizojnë dhe kontrollojnë aksesin tek organizatat në përputhje me praktikat më të mira të industrisë dhe nevojat e brendshme të biznesit.
9.7. sigurohuni që modeli i zonimit të zbatohet dhe që rrjeti të jetë i segmentuar siç duhet, ndërkohë që vetëm aksesi dhe trafiku i miratuar lejohen në secilin segment.
10. CIKLI JETËSOR I ZHVILLIMIT TË SOFTWAREVE (SDLC)
Ofruesi do të:
10.1. krijoni një cikël jete të sigurt zhvillimi për të siguruar që Shërbimet zhvillohen dhe mirëmbahen në një mënyrë të sigurt.
10.2. kontrolloni ndryshimet në sisteme brenda ciklit jetësor të zhvillimit nëpërmjet procedurave formale të kontrollit të ndryshimeve.
10.3. sigurohuni që mjediset e zhvillimit, testimit dhe prodhimit të jenë të ndara për të reduktuar rreziqet e aksesit të paautorizuar ose ndryshimeve në mjedisin e prodhimit.
10.4. sigurohuni që kërkesat për sigurinë e informacionit të përfshihen në kërkesat për Shërbimet e reja ose përmirësimet e Shërbimeve ekzistuese.
10.5. Sigurohuni që të dhënat e testimit të krijohen me kujdes dhe në mënyrë të kontrolluar dhe që të dhënat e prodhimit të mos përdoren për qëllime testimi.
11. MARRËDHËNIET E FURNIZUESVE
Ofruesi do të:
11.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë politikat dhe procedurat e menaxhimit të marrëdhënieve me furnitorët të cilat përcaktojnë parimet dhe rregullat bazë për menaxhimin e marrëdhënieve me furnitorët që përputhen me kërkesat e biznesit, të sigurisë, si dhe me rregulloret e aplikueshme, praktikat më të mira dhe standardet ndërkombëtare.
11.2. për secilin furnizues që mund të aksesojë, përpunojë ose ruajë të dhënat e KLIENTIT, OFRIDER do të vlerësojë dhe dokumentojë përputhshmërinë e zgjidhjes së furnizuesit. Për furnizuesit kritikë, duke përfshirë nën-përpunuesit, rivlerësimi do të kryhet në baza vjetore.
11.3. të sigurojë që të gjitha kërkesat përkatëse të sigurisë së informacionit do të vendosen dhe bien dakord me secilin furnizues që mund të aksesojë, përpunojë ose ruajë të dhënat e KLIENTIT.
11.4. të sigurojë që një marrëveshje e vlefshme që përcakton fushëveprimin e punës, konfidencialitetin, sigurinë dhe kërkesat teknike (nëse është e aplikueshme) të marrëdhënies së biznesit është në fuqi me çdo furnizues që mund të ketë akses, përpunim ose ruajtjen e të dhënave të KLIENTIT.
12. MENAXHIMI I INCIDENTIT TË SIGURISË TË INFORMACIONIT
Ofruesi do të:
12.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë një proces formal për raportimin, reagimin dhe menaxhimin e incidenteve të sigurisë së informacionit. Kjo do të përfshijë minimalisht: - Një procedurë për raportimin e incidenteve/shkeljeve të tilla tek menaxhmenti përkatës brenda organizatës PROVIDER. - Një proces i identifikimit, vlerësimit dhe trajtimit të incidenteve të sigurisë së informacionit. - Një ekip i përcaktuar qartë për menaxhimin dhe koordinimin e reagimit ndaj një incidenti. - Një proces i dokumentuar dhe i testuar për menaxhimin e përgjigjes ndaj një incidenti, duke përfshirë kërkesën për të mbajtur çështjet dhe regjistrat e duhur të veprimeve për të përfshirë kohën në të cilën ndodhi incidenti, personin që raporton incidentin, të cilit iu raportua dhe efektet e tij. - Konfirmohet kërkesa për njoftimin e KLIENTIT në kohën e duhur dhe jo më vonë se 72 orë pas incidentit të sigurisë së informacionit dhe ndikimit negativ në shërbimet e ofruara për KLIENTIN. Periudha më e shkurtër e njoftimit do të zbatohet nëse një kërkesë e tillë bazohet në legjislacionin dhe/ose rregulloren në fuqi. - Ekipi i menaxhimit të incidentit të ofruesit, sipas rastit, do të punojë së bashku me përfaqësuesit e sigurisë së KLIENTIT derisa incidenti i sigurisë së informacionit të jetë zgjidhur në mënyrë të kënaqshme. - Ofruesi duhet të përputhet me të gjitha rregulloret dhe legjislacionet kombëtare në lidhje me njoftimin e incidentit të sigurisë së informacionit drejt zbatimit të ligjit, autoriteteve rregullatore ose autoriteteve të tjera kombëtare.
13. MENAXHIMI I VAZHDIMIT TË BIZNESIT
Ofruesi do të:
13.1. të përcaktojë, dokumentojë, zbatojë dhe mbajë një Program për vazhdimësinë e biznesit.
13.2. identifikoni dhe jepni përparësi produkteve dhe shërbimeve kritike të SMSBAT duke përdorur një proces të Analizës së Ndikimit të Biznesit (BIA).
13.3. përdorni informacionin dhe metodat e Vlerësimit të Riskut për të vlerësuar kërcënimin e ndërprerjes.
13.4. bazuar në rezultatet e analizës së ndikimit të biznesit dhe vlerësimit të rrezikut, zhvilloni strategji reagimi dhe rikuperimi për të zbutur ndikimin në shërbimet kritike gjatë një incidenti përçarës.
13.5. zhvilloni plane të vazhdimësisë së biznesit dhe rimëkëmbjes që janë të përshtatshme për qëllimin, të rishikuara rregullisht, të disponueshme dhe të thjeshta për t'u ndjekur dhe kuptuar.
13.6. zhvillimi i planeve të menaxhimit të krizave dhe komunikimit për menaxhimin efektiv të krizës, përcaktimin e prioriteteve në komunikim dhe mënyrat e alarmimit të incidenteve.
13.7. të ofrojë trajnime dhe ushtrime, të zhvilluara kundrejt kompetencave të kërkuara dhe t'u jepet punonjësve me përgjegjësi të drejtpërdrejtë për vazhdimësinë e biznesit.
13.8. përmirësoni vazhdimisht Programin e Vazhdimësisë së Biznesit të SMSBAT përmes vlerësimit të rregullt dhe duke marrë parasysh çdo ndryshim në kërkesat ligjore dhe rregullatore.
14. Pajtueshmëria
Ofruesi do të:
14.1. Nënshtrohen auditimeve të rregullta kundrejt standardeve të industrisë në baza vjetore. Me kërkesën me shkrim të KLIENTIT, OFRUESI do t'i sigurojë KLIENTIT një kopje të plotë ose të përmbledhur, sipas rastit, të raporteve të tij aktuale. Ofruesi gjithashtu do të japë, jo më vonë se dhjetë (10) ditë pune, përgjigje me shkrim për të gjitha kërkesat e arsyeshme (pyetësorë, formularë, etj.) të bëra nga KLIENTI, në mënyrë që të kontrollohet nëse FURNIZUESI është në përputhje me kërkesat sipas këtyre Kushteve.
14.2. Në masën e kërkuar nga rregullorja në fuqi, një herë në vit pas njoftimit të paktën 30 ditë kalendarike përpara, FRUHËSI do të lejojë KLIENTIN, auditorët e tij përkatës ose agjentë të tjerë (secili një "Palë audituese"), të hyjnë në mjediset, të dhënat dhe dokumentet e Furnizuesit siç kërkohet në mënyrë të arsyeshme nga Pala e Auditimit për të kontrolluar nëse PROVIDER është në përputhje me kërkesat sipas këtyre kushteve. Çdo rishikim në përputhje me këtë paragraf nuk do të kërkojë rishikimin e të dhënave të palëve të treta dhe Palës së Auditimit mund t'i kërkohet të lidhë një marrëveshje konfidencialiteti me OFRUESIN, siç mund të jetë e nevojshme në mënyrë të arsyeshme për të respektuar konfidencialitetin e informacionit për të cilin Pala e Auditimit mund të vihet në dijeni gjatë ndërmarrjes së rishikimit. Çdo Palë do të përballojë kostot e veta në lidhje me një auditim të tillë. Në rast se auditimi zbulon mospërputhje me detyrimet e FURNIZUESIT sipas këtyre Kushteve, FURNIZUESI do ta korrigjojë këtë mospërputhje brenda afatit kohor të rënë dakord reciprokisht dhe do të përballojë kostot e veprimeve të tilla.
14.3. Ofruesi rezervon të drejtën të vendosë kufizime dhe kufizime në shfaqjen e informacionit të brendshëm konfidencial dhe marrjen e kopjeve të çdo prove të kërkuar në pikat 14.1 dhe 14.2.
15. KËRKESAT PËR SIGURINË E KLIENTIT
15.1. Masat e përgjithshme të sigurisë
Ofruesi do të:
15.1.1. PROVIDER ka përcaktuar, dokumentuar, zbatuar dhe po mirëmban rekomandimet e sigurisë për KLIENTët që përdorin shërbimet e tij të komunikimit në renë kompjuterike. KLIENTI do t'i shqyrtojë rekomandimet e përmendura dhe do t'i zbatojë ato në përputhje me nevojat e tij të biznesit, aftësitë teknike dhe oreksin e rrezikut.
15.1.2. KLIENTI do të jetë plotësisht përgjegjës për vendosjen e duhur të masave të sigurisë nga ana e tij dhe nuk do të imponojë asnjë përgjegjësi ndaj OFRUESIT në rast të një incidenti sigurie që rezulton nga konfigurimi i papërshtatshëm i masave të sigurisë dhe teknike ose neglizhenca për zbatimin e masave siç rekomandohet nga OFRUESI.
15.2. Masat zbutëse të sigurisë së AIT
Ofruesi do të:
15.2.1. PROVIDER ka përcaktuar, dokumentuar dhe po mban udhëzime sigurie për parandalimin e rasteve të mashtrimit.
15.2.2. Rreziku i mundshëm mund të lindë në faqen e internetit të KLIENTIT ose aplikacionin celular të integruar me sistemet PROVIDER nëse një regjistrim ose një formë tjetër që po ekzekuton SMS MT me OTP nuk mbrohet me një mekanizëm anti-bot si CAPTCHA. Dobësitë në aplikacione të tilla mund të çojnë në sulme të trafikut të fryrë artificialisht (AIT). Një mekanizëm anti-bot si CAPTCHA është thelbësor për të mbrojtur rrjedhën e Regjistrimit të Përdoruesit nga regjistrimet e automatizuara të rreme që ekzekutojnë SMS MT me OTP.
15.2.3. Kur ndodhin sulmet AIT, trafiku dërgohet në infrastrukturën e OFRUESIT me adresën IP të burimit të përdorur nga KLIENTI në momentin e paraqitjes. Përmbajtja SMS MT e trafikut nuk dallohet nga trafiku i vërtetë i KLIENTIT. Në mungesë të ndonjë reagimi nga KLIENTI, OFRUESI nuk është në gjendje të bëjë dallimin midis AIT në aplikacionin e KLIENTIT dhe trafikut të vërtetë nga i njëjti aplikacion. Si rezultat, OFRUESI nuk mund të mbahet përgjegjës për sigurinë e ueb-it ose aplikacioneve celulare të KLIENTIT. KLIENTI pranon më tej se i gjithë trafiku i marrë nga infrastruktura e KLIENTIT do t'i drejtohet operatorëve të rrjetit dhe do t'i tarifohet KLIENTIT në përputhje me kushtet e Marrëveshjes.
15.2.4. Bllokimi i rrjeteve të prekura nuk do të parandalonte që një problem i ngjashëm të ndodhte përsëri në rrjetet e aktivizuara, pasi shkaku kryesor i problemit qëndron në infrastrukturën e KLIENTIT. Prandaj, është e domosdoshme që KLIENTI të adresojë të gjitha formularët në faqen e tyre të internetit ose aplikacionin celular që ekzekutojnë kodet SMS MT OTP.
15.3. Kërkesa për rritjen e limitit të kredisë
Ofruesi do të:
15.3.1. Kufiri mund të shterohet shpejt nëse dobësitë në faqen e internetit të KLIENTIT nuk adresohen. Prandaj, OFRIDERI kërkon konfirmimin e KLIENTIT për ndërgjegjësimin për rreziqet dhe kuptimin e pasojave të mundshme të rritjes së limitit të kredisë.
15.3.2. Duke kërkuar një rritje të limitit të kredisë, KLIENTI pranon përgjegjësinë për çdo humbje të mundshme për shkak të sulmeve të AIT dhe angazhohet të paguajë për çdo shpenzim që mund të lindë si rezultat.