Иди на текст

Услови безбедности информација

ПРОвајдер ће пружати Услуге и извршавати своје обавезе из Уговора у складу са:

а. (И) ове Услове безбедности информација

б. (ии) Добра безбедносна пракса

1. ДЕФИНИЦИЈЕ

а. „Средство“ означава било коју ставку или елемент хардвера и софтвера који се користи или може да се користи у сврху креирања, приступа, обраде, заштите, надгледања, чувања, преузимања, приказивања или преношења података КЛИЈЕНТА.

б. „Подаци КЛИЈЕНТА“ подразумевају све податке које КЛИЈЕНТ, или лице које делује у његово име, пружи ДОБАВЉАЧУ, или дозвољава ДОБАВЉАЧУ приступ и обраду, у вези са Уговором.

ц. „Шифровање“ означава процес претварања информација или података у код, посебно ради спречавања неовлашћеног приступа.

д. „Закрпе“ означавају било које ажурирање софтвера и оперативног система (ОС) које се баве безбедносним рањивостима у оквиру програма или производа.

е. „Тестирање пенетрације“ означава овлашћени симулирани сајбер напад на рачунарски систем, који се изводи ради процене безбедности система.

ф. „Систем ДОБАВЉАЧА“ означава било који Систем или Имовина која је у власништву или којом се управља (у целини или делимично) за рад од стране или у име ДОБАВЉАЦА или било ког његовог Филијала.

г. „Безбедносни инцидент“ означава инцидент, догађај и/или проблем који је довео до стварног угрожавања поверљивости, интегритета и/или доступности података КЛИЈЕНТА и/или Услуге.

х. „Производно окружење“ означава окружење у којем се подаци КЛИЈЕНТА чувају и обрађују.

и. „Окружење за тестирање“ означава окружење које је доступно за тестирање недавно развијених програма или софтверских производа пре пуштања у производно окружење.

ј. „Рањивост“ означава постојање слабости/мане која се налази у систему.

к. „Вештачки надуван саобраћај“ означава сваки саобраћај генерисан аутоматизованим или лажним средствима, укључујући, али не ограничавајући се на ботове, фарме кликова или било која друга средства намењена вештачком повећању обима саобраћаја.

2. ОРГАНИЗАЦИЈА БЕЗБЕДНОСТИ ИНФОРМАЦИЈА

ПРОвајдер ће:

2.1. дефинишу, документују, имплементирају и одржавају безбедносне политике у складу са индустријским стандардима, док: - обезбеђивање одржавања поверљивости, интегритета и доступности података и информационих система. - усклађеност са законским и регулаторним захтевима којима КЛИЈЕНТ и Подаци КЛИЈЕНТА могу бити подвргнути.

2.2. прегледати своје политике и процедуре на годишњем нивоу и/или као одговор на било коју значајну промену.

2.3. осигурати да су безбедносне политике документоване и одобрене од стране менаџмента ДОБАВЉАЧА и објављене и саопштене релевантним заинтересованим странама.

2.4. обезбедити да имају потребан број безбедносних професионалаца који ће бити одговорни за координацију и праћење свих функција, политика и процедура безбедности информација.

2.5. одржава процес периодичне интерне и екстерне валидације ефективности својих безбедносних контрола. ПРОВАЈЕР ће одмах отклонити и отклонити све недостатке у мери која је неопходна да би испунио обавезе ДОБАВЉАЧА према Уговору и овим Условима.

3. ОБУКА ЉУДСКИХ РЕСУРСА И БЕЗБЕДНОСТИ

ПРОвајдер ће:

3.1. дефинишу, документују, имплементирају и одржавају одговарајућу политику и процедуру провере прошлости. Провере могу укључивати образовање и историју претходног запослења појединца, кривични досије, провере референци и све додатне стандардне захтеве за проверу прошлости у складу са релевантним и примењивим законима и прописима.

3.2. изврши проверу позадине свих постојећих и нових запослених, укључујући запослене по уговору.

3.3. обезбедити да сви запослени буду везани одговарајућим уговором о поверљивости.

3.4. дефинишу, документују, имплементирају и одржавају формалну обуку о безбедности и приватности за све запослене. ПРОвајдер ће обезбедити да се такве обуке обезбеде пре давања дозволе за приступ или коришћење осетљивих информација и на континуираној основи након тога.

4. УПРАВЉАЊЕ ИМОВИНОМ

ПРОвајдер ће:

4.1. дефинишу, документују, имплементирају и одржавају тачан и ажуран инвентар који бележи сав хардвер и софтвер, са информацијама о власнику и локацији сваког од њих.

4.2. обезбедите да се само софтверске апликације и/или оперативни системи који су тренутно подржани и/или који примају ажурирања добављача додају у овлашћени инвентар софтвера ДОБАВЉАЧА.

4.3. обезбедити да се сав софтвер и хардвер који подржава ЕОЛ (Енд-оф-лифе) уклони из употребе и да се инвентар благовремено ажурира.

4.4. дефинишу правила за прихватљиво коришћење информација и средстава повезаних са информацијама и обрадом информација.

4.5. обезбедити да све информације буду класификоване у смислу законских захтева, вредности, критичности и осетљивости и да се њима рукује у складу са ознаком класификације.

4.6. обезбедити правилно руковање и одлагање података КЛИЈЕНТА из система ПРОВАЈДЕРА: - располагање записима података КЛИЈЕНТА мора бити обављено на безбедан начин како би се осигурало да подаци постану неповратни. - сертификат о брисању треба да буде доступан за све ад хоц захтеве КЛИЈЕНТА за брисање података.

5. КОНТРОЛА ПРИСТУПА

5.1. Опште одредбе

ПРОвајдер ће:

5.1.1. дефинише, документује, имплементира и одржава политику и процедуре контроле приступа на основу пословних потреба и принципа „најмање привилегије“ и обезбеди да само овлашћени запослени имају приступ системима ПРОВАЈДЕРА.

5.1.2. осигурати да се користе само јединствени ИД-ови и документовати сваки изузетак и употребу заједничких налога.

5.1.3. обезбедите да сваки приступ системима ПРОВИДЕРА који чувају или обрађују податке КЛИЈЕНТА подлеже вишефакторској аутентификацији (МФА).

5.1.4. периодично, најмање на годишњем нивоу, прегледати прикладност додељених корисничких привилегија.

5.1.5. обезбедити да се активности управљања корисницима (додавање, измена или уклањање привилегија корисника) обављају на основу ваљаног формалног захтева и на благовремен начин.

5.2. БЕЗБЕДНОСТ ДАЉИНСКОГ ПРИСТУПА

ПРОвајдер ће:

5.2.1. обезбедите да је постављен одговарајући скуп безбедносних контрола како би се спречио неовлашћени даљински приступ системима ПРОВИДЕР. Такве контроле ће укључивати најмање: - Сваки даљински приступ системима и/или мрежи ПРОВИДЕРА биће само путем ВПН-а и вишефакторске аутентификације (МФА). - Сви подаци који путују преко механизма удаљеног приступа биће шифровани од крајње тачке (нпр. лаптоп) до мреже. - Сви покушаји повезивања на системе ПРОВАЈДЕРА коришћењем механизма неовлашћеног удаљеног приступа биће одбијени и евидентирани. - Сумњивом активношћу ће се поступати у складу са релевантним безбедносним протоколима.

5.3. УПРАВЉАЊЕ ЛОЗИНКОМ

ПРОвајдер ће:

5.3.1. дефинишу, документују, имплементирају и одржавају политику лозинки у складу са најбољом праксом у индустрији и интерним пословним потребама.

5.3.2. обезбедити да лозинке буду довољне дужине, сложене, да не садрже речи које је лако погодити и да се мењају у редовним интервалима.

5.3.3. осигурајте да су кориснички налози закључани након одређеног броја неуспешних покушаја уношења погрешне лозинке и да је налог закључан на одређено време.

5.3.4. осигурајте да се лозинке чувају на безбедан начин који их чини неразумљивим док остају важеће.

6. КРИПТОГРАФИЈА

ПРОвајдер ће:

6.1. дефинишу, документују, имплементирају и одржавају релевантне политике и процедуре које регулишу употребу одговарајућих криптографских контрола и процеса управљања кључевима постављајући правила коришћења, заштите и животног века криптографских кључева и материјала за кључеве.

6.2. Уверите се да су подаци КЛИЈЕНТА заштићени док су у транзиту или у мировању помоћу безбедних протокола (нпр. ТЛС 1.2, АЕС-256 или других стандарда које препоручује индустрија).

6.3. управља свим кључевима за шифровање у систему за управљање кључевима који је у власништву и којим управља ПРОВАЈЕР.

6.4. обезбедити одговарајућу сегрегацију дужности у процесу управљања кључем за шифровање.

7. ФИЗИЧКА И ЖИВОТНА БЕЗБЕДНОСТ

ПРОвајдер ће:

7.1. дефинишу, документују, имплементирају и одржавају политике и процедуре физичке безбедности како би се спречио неовлашћени физички приступ, оштећење и ометање информација и објеката за обраду информација организације који чувају податке КЛИЈЕНТА.

7.2. имплементирати процесе и контроле физичке и еколошке безбедности у складу са дефинисаним политикама и процедурама. ПРОВАЈЕР може да препусти неке или све физичке безбедносне контроле трећем лицу и он ће обезбедити да су контроле на истом нивоу на месту и редовно ће процењивати трећу страну за усклађеност.

7.3. обезбедити да су безбедне области заштићене одговарајућим контролама уласка и да је приступ дозвољен само овлашћеном особљу.

7.4. обезбедити да сви посетиоци буду овлашћени, да имају одговарајућу идентификацију и да имају приступ само неопходним областима.

7.5. обезбедити да се ормарићи за закључавање користе за обезбеђење поверљивих информација.

7.6. обезбедите да опрема која садржи медијуме за складиштење буде безбедно преписана пре одлагања или поновне употребе.

7.7. обезбедити јасну политику стола и јасну политику екрана да се примењује на објекте за обраду информација.

8. БЕЗБЕДНОСТ ОПЕРАЦИЈЕ

ПРОвајдер ће:

8.1. дефинишу, документују, имплементирају и одржавају безбедносне оперативне процедуре за прављење резервних копија, заштиту крајњих тачака, управљање рањивостима, антивирусни и антималвер, закрпе, учвршћивање система и евидентирање.

8.2. редовно обављају процене рањивости и тестове пенетрације у складу са најбољом праксом у индустрији и интерним пословним потребама. ПРОвајдер ће такође извршити процену ризика, након чега следи отклањање идентификованих проблема.

8.3. обезбедити да се рањивости третирају у складу са дефинисаним приоритетима иу потребним роковима за решавање.

8.4. применити закрпе и надоградње на свим нивоима инфраструктуре у складу са дефинисаним приоритетима.

8.5. обезбедите да крајње тачке, сервери, уређаји за складиштење, пошта/веб гејтвејеви и поштански саобраћај буду заштићени активним анти-малвер алатима где је технички изводљиво да се открију и где год је могуће спрече инфекције малвером.

8.6. креирати резервне копије информација, софтвера и системских слика и редовно их тестирати у складу са најбољом праксом у индустрији и интерним пословним потребама.

8.7. обезбедити да се врши одговарајућа евиденција, са довољно детаља и да се одржава у складу са дефинисаним периодима задржавања, док буде заштићена од неовлашћеног приступа и неовлашћеног приступа.

8.8. дефинишу, документују, имплементирају и одржавају правила која регулишу инсталацију софтвера од стране корисника.

8.9. дефинишу, документују, имплементирају и одржавају стандарде за безбедну конфигурацију крајњих тачака, укључујући, али не ограничавајући се на лаптоп рачунаре, сервере, виртуелне машине, базе података и мрежне уређаје за заштиту од губитка поверљивости, интегритета и доступности КЛИЈЕНТСКИХ података у мировању и у транзиту.

9. БЕЗБЕДНОСТ МРЕЖЕ И КОМУНИКАЦИЈА

ПРОвајдер ће:

9.1. дефинишу, документују, имплементирају и одржавају безбедносне механизме и захтеве управљања свим мрежним услугама.

9.2. дефинишу, документују, имплементирају и одржавају јаке стандарде енкрипције и безбедносне конфигурације за безбедну комуникацију преко јавних и нејавних мрежа.

9.3. обезбедити да сатови свих релевантних система за обраду информација буду синхронизовани са једним референтним извором времена.

9.4. надгледају веб саобраћај и периметар мреже да бисте открили сајбер нападе и блокирали злонамерне услуге, веб странице и саобраћај.

9.5. обезбедити да се промене правила заштитног зида контролишу кроз формални процес захтева/одобрења и да се редовно прегледају.

9.6. ограничавају и контролишу приступ организацијама у складу са најбољом индустријском праксом и интерним пословним потребама.

9.7. обезбедити да се примењује модел зонирања и да је мрежа на одговарајући начин сегментирана док су у сваком сегменту дозвољени само одобрени приступ и саобраћај.

10. ЖИВОТНИ ЦИКЛУС РАЗВОЈА СОФТВЕРА (СДЛЦ)

ПРОвајдер ће:

10.1. успоставити сигуран животни циклус развоја како би се осигурало да се Услуге развијају и одржавају на безбедан начин.

10.2. контролишу промене система у оквиру животног циклуса развоја формалним процедурама контроле промена.

10.3. обезбедити да окружење за развој, тестирање и производњу буде одвојено како би се смањили ризици од неовлашћеног приступа или промена у производном окружењу.

10.4. обезбедите да захтеви који се односе на безбедност информација буду укључени у захтеве за нове Услуге или побољшања постојећих Услуга.

10.5. обезбедити да се тестни подаци креирају пажљиво и на контролисан начин и да се производни подаци не користе у сврхе тестирања.

11. ОДНОСИ С ДОБАВЉАЧИМА

ПРОвајдер ће:

11.1. дефинишу, документују, имплементирају и одржавају политике и процедуре управљања односима са добављачима које дефинишу основне принципе и правила за управљање односима са добављачима који су у складу са пословним, безбедносним захтевима, као и важећим прописима, најбољим праксама и међународним стандардима.

11.2. за сваког добављача који може да приступа, обрађује или складишти податке КЛИЈЕНТА, ДОБАВЉАЧ ће проценити и документовати усклађеност решења добављача. За критичне добављаче, укључујући подпроцесоре, поновна процена ће се вршити на годишњем нивоу.

11.3. обезбедити да сви релевантни захтеви за безбедност информација буду успостављени и договорени са сваким добављачем који може да приступа, обрађује или чува податке КЛИЈЕНТА.

11.4. обезбедити да је важећи споразум који дефинише обим посла, поверљивост, безбедност и техничке захтеве (ако је примењиво) пословног односа на снази са сваким добављачем који може да приступа, обрађује или чува податке КЛИЈЕНТА.

12. УПРАВЉАЊЕ ИНЦИДЕНТИМА БЕЗБЕДНОСТИ ИНФОРМАЦИЈА

ПРОвајдер ће:

12.1. дефинишу, документују, имплементирају и одржавају формални процес за извештавање, реаговање и управљање инцидентима безбедности информација. Ово ће укључивати као минимум: - Процедура за пријављивање оваквих инцидената/кршења одговарајућем руководству унутар организације ПРОВАЈЕРА. - Процес идентификовања, процене и руковања инцидентима безбедности информација. - Јасно одређен тим за управљање и координацију одговора на инцидент. - Документован и тестиран процес за управљање одговором на инцидент, укључујући захтев за вођење одговарајућих проблема и евиденција акција које укључују време када се инцидент догодио, особу која је пријавила инцидент, коме је пријављен и његове последице. - Потврђује се захтев да се КЛИЈЕНТ благовремено обавести, а најкасније у року од 72 сата након инцидента у вези са безбедношћу информација и негативног утицаја на услуге пружене КЛИЈЕНТУ. Краћи период обавештења ће се примењивати ако је такав захтев заснован на важећим законима и/или прописима. - Тим за управљање инцидентима ДОБАВЉАЧА ће, по потреби, радити заједно са представницима безбедности КЛИЈЕНТА све док инцидент у вези са безбедносном информацијом не буде на задовољавајући начин решен. - ПРОВАЈЕР ће ускладити са свим националним прописима и законима у вези са обавештавањем о инцидентима безбедности информација према органима за спровођење закона, регулаторним или било којим другим националним властима.

13. УПРАВЉАЊЕ КОНТИНУИТЕТОМ ПОСЛОВАЊА

ПРОвајдер ће:

13.1. дефинишу, документују, имплементирају и одржавају Програм континуитета пословања.

13.2. идентификују и дају приоритет СМСБАТ-овим критичним производима и услугама користећи процес анализе пословног утицаја (БИА).

13.3. користите информације и методе процене ризика за процену опасности од поремећаја.

13.4. на основу резултата анализе пословног утицаја и процене ризика, развити стратегије реаговања и опоравка како би се ублажио утицај на критичне услуге током инцидента који изазива поремећај.

13.5. развити планове за континуитет пословања и опоравак који одговарају сврси, који се редовно прегледају, доступни и једноставни за праћење и разумевање.

13.6. развити планове управљања кризом и комуникације за ефикасно управљање кризом, одређивање приоритета у комуникацији и начине упозоравања на инциденте.

13.7. пружају обуку и вежбе, развијене у складу са потребним компетенцијама и испоручене запосленима са директном одговорношћу за континуитет пословања.

13.8. континуирано побољшавати СМСБАТ-ов Програм континуитета пословања кроз редовну евалуацију и узимајући у обзир све промене законских и регулаторних захтева.

14. УСКЛАЂЕНОСТ

ПРОвајдер ће:

14.1. Подвргавајте се редовним ревизијама у складу са индустријским стандардима на годишњем нивоу. На писани захтев КЛИЈЕНТА, ПРУЖАЦ ће доставити КЛИЈЕНТУ потпуну или сажету копију, према потреби, својих тада актуелних извештаја. ПРОвајдер ће такође доставити, најкасније у року од десет (10) радних дана, писане одговоре на све разумне захтеве (упитнике, формуларе, итд.) КЛИЈЕНТА како би проверио да ли ПРОвајдер испуњава услове из ових Услова.

14.2. У мери у којој то захтевају важећи прописи, једном годишње након најмање 30 календарских дана пре обавештења, ДОБАВЉАЧ ће дозволити КЛИЈЕНТУ, његовим одговарајућим ревизорима или другим агентима (свако „Страна за ревизију“), да приступе просторијама Добављача, евиденцији и документима како то разумно захтева Страна која врши ревизију како би проверио да ли ДОБАВЉАЧ испуњава услове према овим условима. Било која ревизија у складу са овим ставом неће захтевати ревизију података треће стране и од стране која врши ревизију може се захтевати да склопи уговор о поверљивости са ПРУЖАЛОМ, што може бити разумно неопходно да би се поштовала поверљивост информација о којима страна која врши ревизију може постати свесна током предузимања ревизије. Свака Страна ће сносити своје трошкове у вези са таквом ревизијом. У случају да ревизија открије неусаглашеност са обавезама ДОБАВЉАЧА према овим Условима, ДОБАВЉАЧ ће отклонити такву неусаглашеност у међусобно договореном року и сносити трошкове таквих радњи.

14.3. ПРОвајдер задржава право да наметне ограничења и ограничења приказивања интерних поверљивих информација и узимања копија било ког доказа захтеваног у тачкама 14.1 и 14.2.

15. БЕЗБЕДНОСНИ ЗАХТЕВИ КЛИЈЕНТА

15.1. Опште мере безбедности

ПРОвајдер ће:

15.1.1. ПРОВИДЕР је дефинисао, документовао, имплементирао и одржава безбедносне препоруке за КЛИЈЕНТЕ који користе своје комуникационе услуге у облаку. КЛИЈЕНТ ће прегледати наведене препоруке и применити их у складу са својим пословним потребама, техничким могућностима и склоношћу ризику.

15.1.2. КЛИЈЕНТ је у потпуности одговоран за правилно постављање безбедносних мера на својој страни и неће наметати никакву одговорност ПРОвајдеру у случају безбедносног инцидента који је настао услед неправилног постављања безбедносних и техничких мера или немара за спровођење мера према препоруци ПРОвајдера.

15.2. АИТ мере за ублажавање безбедности

ПРОвајдер ће:

15.2.1. ПРОВАЈДЕР је дефинисао, документовао и одржава безбедносне смернице за спречавање случајева преваре.

15.2.2. Потенцијални ризик може настати на веб страници КЛИЈЕНТА или мобилној апликацији интегрисаној са ПРОВИДЕР Системс ако регистрација или други образац који извршава СМС МТ са ОТП-овима није заштићен анти-бот механизмом као што је ЦАПТЦХА. Рањивости у таквим апликацијама могу довести до напада вештачки надуваног саобраћаја (АИТ). Механизам против робота као што је ЦАПТЦХА је неопходан за заштиту тока регистрације корисника од аутоматизованих лажних регистрација које извршавају СМС МТ са ОТП-овима.

15.2.3. Када дође до АИТ напада, саобраћај се шаље инфраструктури ПРОВАЈДЕРА са изворном ИП адресом коју користи КЛИЈЕНТ у време подношења. СМС МТ садржај саобраћаја се не разликује од стварног саобраћаја КЛИЈЕНТА. У недостатку било каквих повратних информација од КЛИЈЕНТА, ПРОвајдер није у могућности да направи разлику између АИТ-а на КЛИЈЕНТОВОЈ апликацији и стварног саобраћаја из исте апликације. Као резултат тога, ДОБАВИТЕЉ се не може сматрати одговорним за безбедност веб или мобилних апликација(а) КЛИЈЕНТА. КЛИЈЕНТ даље потврђује да ће сав саобраћај примљен од КЛИЈЕНТОВЕ инфраструктуре бити преусмерен до мрежних оператера и наплаћен од КЛИЈЕНТА у складу са условима Уговора.

15.2.4. Блокирање погођених мрежа не би спречило да се сличан проблем поново појави на омогућеним мрежама, јер основни узрок проблема лежи у инфраструктури КЛИЈЕНТА. Стога је императив да КЛИЈЕНТ адресира све обрасце на својој веб страници или мобилној апликацији који извршавају СМС МТ ОТП кодове.

15.3. Захтев за повећање кредитног лимита

ПРОвајдер ће:

15.3.1. Ограничење може брзо да се исцрпи ако се рањивости на веб страници КЛИЈЕНТА не адресирају. Због тога, ПОНУЂАЧ тражи потврду КЛИЈЕНТА о свести о ризицима и разумевању потенцијалних последица повећања кредитног лимита.

15.3.2. Захтевајући повећање кредитног лимита, КЛИЈЕНТ признаје одговорност за сваки потенцијални губитак услед АИТ напада и обавезује се да ће платити све трошкове који могу настати као резултат.