Villkor för informationssäkerhet
LEVERANTÖREN ska tillhandahålla tjänsterna och utföra sina skyldigheter enligt avtalet i enlighet med:
a. (I) dessa villkor för informationssäkerhet
b. (ii) God säkerhetspraxis
1. DEFINITIONER
a. "Tillgång" avser alla föremål eller element av hårdvara och mjukvara som används eller kan användas för att skapa, komma åt, bearbeta, skydda, övervaka, lagra, hämta, visa eller överföra KLIENTdata.
b. ”KLIENTdata” avser all data som KLIENT, eller en person som agerar på dess vägnar, tillhandahåller TILLVERKAREN, eller tillåter TILLVERKAREN att få tillgång till och bearbeta, i samband med Avtalet.
c. “Kryptering” avser processen att konvertera information eller data till en kod, särskilt för att förhindra obehörig åtkomst.
d. “Patchning” avser alla uppdateringar av programvara och operativsystem (OS) som åtgärdar säkerhetssårbarheter inom ett program eller produkt.
e. “Penetrationstestning” avser en auktoriserad simulerad cyberattack på ett datorsystem, utförd för att utvärdera systemets säkerhet.
f. ”LEVERANTÖRENssystem” avser alla system eller tillgångar som ägs eller förvaltas (helt eller delvis) för drift av eller på uppdrag av LEVERANTÖREN eller någon av dess dotterbolag.
g. ”Säkerhetsincident” avser en incident, händelse och/eller problem som resulterade i en faktisk kompromiss av konfidentialitet, integritet och/eller tillgänglighet för KLIENTdata och/eller Tjänsten.
h. ”Produktionsmiljö” avser miljö där KLIENTdata lagras och bearbetas.
i. ”Testmiljö” avser miljö som görs tillgänglig för testning av nyligen utvecklade program eller mjukvaruprodukter innan de släpps till en produktionsmiljö.
j. ”Sårbarhet” ska betyda förekomsten av en svaghet/brist som finns i systemet.
k. “Artificiellt uppblåst trafik” avser all trafik som genereras på automatiserade eller bedrägliga sätt, inklusive men inte begränsat till bots, klickfarmar eller andra sätt som är avsedda att på konstgjord väg öka trafikvolymerna.
2. ORGANISATION AV INFORMATIONSSÄKERHET
LEVERANTÖREN ska:
2.1. definiera, dokumentera, implementera och underhålla säkerhetspolicyer i enlighet med industristandarder, samtidigt som: - se till att sekretessen, integriteten och tillgängligheten för data och informationssystem upprätthålls. - att följa lagar och regler som KLIENT- och KLIENTdata kan utsättas för.
2.2. granska sina policyer och rutiner på årsbasis och/eller som svar på någon betydande förändring.
2.3. se till att säkerhetspolicyerna är dokumenterade och godkända av LEVERANTÖRENS ledning och publiceras och kommuniceras till relevanta intressenter.
2.4. se till att de har det erforderliga antalet säkerhetspersonal som kommer att ansvara för att samordna och övervaka alla informationssäkerhetsfunktioner, policyer och procedurer.
2.5. upprätthålla en process för periodisk intern och extern validering av effektiviteten av dess säkerhetskontroller. LEVERANTÖREN ska omedelbart åtgärda och åtgärda eventuella brister i den utsträckning det är nödvändigt för att uppfylla LEVERANTÖRENs skyldigheter enligt Avtalet och dessa Villkor.
3. UTBILDNING AV MÄNNISKA RESURSER OCH SÄKERHET
LEVERANTÖREN ska:
3.1. definiera, dokumentera, implementera och underhålla lämplig policy och procedur för bakgrundskontroll. Kontrollerna kan inkludera individens utbildning och tidigare anställningshistorik, kriminalregistret, referenskontroller och eventuella ytterligare krav på bakgrundskontroll i branschen i enlighet med relevanta och tillämpliga lagar och förordningar.
3.2. utföra bakgrundskontroller av alla befintliga och nya anställda inklusive kontraktsanställda.
3.3. se till att alla anställda är bundna av ett lämpligt sekretessavtal.
3.4. definiera, dokumentera, implementera och underhålla en formell säkerhets- och integritetsmedvetenhetsutbildning för alla anställda. LEVERANTÖREN ska säkerställa att sådan utbildning tillhandahålls innan man beviljar tillstånd att få tillgång till eller användning av känslig information och på kontinuerlig basis därefter.
4. TILLGÅNGSFÖRVALTNING
LEVERANTÖREN ska:
4.1. definiera, dokumentera, implementera och underhålla en korrekt och uppdaterad inventering som registrerar all hårdvara och mjukvara, med information om ägare och plats för var och en.
4.2. se till att endast programvaruapplikationer och/eller operativsystem som för närvarande stöds i och/eller tar emot leverantörsuppdateringar läggs till LEVERANTÖRENs auktoriserade programvarulager.
4.3. se till att all mjukvara och hårdvara som stöder EOL (end-of-life) tas bort från användning och att inventeringen uppdateras i tid.
4.4. definiera regler för acceptabel användning av information och tillgångar i samband med information och informationsbehandling.
4.5. se till att all information klassificeras i termer av lagkrav, värde, kritik och känslighet och hanteras i enlighet med dess klassificeringsetikett.
4.6. säkerställa korrekt hantering och kassering av KLIENTdata från PROVIDER-system: - Kassering av KLIENTdataposter måste utföras på ett säkert sätt för att säkerställa att data görs oåterkallelig. - raderingscertifikat bör finnas tillgängligt för alla ad hoc-KLIENT-förfrågningar om dataradering.
5. ÅTKOMSTKONTROLL
5.1. Allmänna bestämmelser
LEVERANTÖREN ska:
5.1.1. definiera, dokumentera, implementera och underhålla åtkomstkontrollpolicy och -procedurer utifrån affärsbehov och principen om "Minsta privilegium" och säkerställa att endast auktoriserade anställda har tillgång till PROVIDER-systemen.
5.1.2. se till att endast unika ID används och ska dokumentera eventuella undantag och användning av delade konton.
5.1.3. se till att all åtkomst till PROVIDER-system som lagrar eller bearbetar KLIENTdata är föremål för multifaktorautentisering (MFA).
5.1.4. regelbundet, åtminstone på årsbasis, granska lämpligheten av tilldelade användarbehörigheter.
5.1.5. se till att användarhanteringsaktiviteter (tillägg, ändring eller borttagning av användarbehörigheter) utförs baserat på en giltig formell begäran och i rätt tid.
5.2. SÄKERHET FÖR FJÄRRÅTKOMST
LEVERANTÖREN ska:
5.2.1. se till att lämplig uppsättning säkerhetskontroller är på plats för att förhindra obehörig fjärråtkomst till PROVIDER-system. Sådana kontroller ska omfatta åtminstone: - All fjärråtkomst till PROVIDER-system och/eller nätverk ska endast ske via VPN och Multi-Factor Authentication (MFA). - All data som färdas över en fjärråtkomstmekanism ska krypteras från slutpunkten (t.ex. en bärbar dator) till nätverket. - Alla försök att ansluta till PROVIDER-systemen med hjälp av en obehörig fjärråtkomstmekanism ska avvisas och loggas. - Misstänkt aktivitet ska hanteras i enlighet med relevanta säkerhetsprotokoll.
5.3. HANTERING AV LÖSENORD
LEVERANTÖREN ska:
5.3.1. definiera, dokumentera, implementera och underhålla lösenordspolicyn i linje med branschens bästa praxis och interna affärsbehov.
5.3.2. se till att lösenorden är tillräckligt långa, komplexa, inte innehåller lätt gissa ord och ändras med jämna mellanrum.
5.3.3. se till att användarkonton låses ute efter ett visst antal misslyckade försök att ange fel lösenord och att kontot låses ute under en viss tid.
5.3.4. se till att lösenord lagras på ett säkert sätt som gör dem obegripliga medan de förblir giltiga.
6. KRYPTOGRAFI
LEVERANTÖREN ska:
6.1. definiera, dokumentera, implementera och underhålla relevanta policyer och procedurer som reglerar användningen av lämpliga kryptografiska kontroller och nyckelhanteringsprocesserna som anger reglerna för användning, skydd och livslängd för kryptografiska nycklar och nyckelmaterial.
6.2. Se till att KLIENTdata skyddas under transport eller vila med hjälp av säkra protokoll (t.ex. TLS 1.2, AES-256 eller andra industrirekommenderade standarder).
6.3. hantera alla krypteringsnycklar i ett nyckelhanteringssystem som ägs och drivs av LEVERANTÖREN.
6.4. säkerställa korrekt åtskillnad av uppgifterna inom krypteringsnyckelhanteringsprocessen.
7. FYSISK OCH MILJÖSÄKERHET
LEVERANTÖREN ska:
7.1. definiera, dokumentera, implementera och underhålla fysiska säkerhetspolicyer och -procedurer för att förhindra obehörig fysisk åtkomst, skada och störning av organisationens informations- och informationsbehandlingsanläggningar som lagrar KLIENTdata.
7.2. implementera fysiska och miljömässiga säkerhetsprocesser och kontroller i linje med definierade policyer och procedurer. LEVERANTÖREN kan lägga ut vissa eller alla fysiska säkerhetskontroller till en tredje part och den ska säkerställa att kontroller på samma nivå finns på plats och ska regelbundet utvärdera den tredje parten för efterlevnad.
7.3. se till att säkra områden skyddas av lämpliga inträdeskontroller och att endast behörig personal tillåts tillträde.
7.4. se till att alla besökare är auktoriserade, har korrekt identifikation och endast ges tillgång till nödvändiga områden.
7.5. se till att låsskåp används för att säkra konfidentiell information.
7.6. se till att utrustning som innehåller lagringsmedia skrivs över på ett säkert sätt före kassering eller återanvändning.
7.7. säkerställa en tydlig skrivbordspolicy och en tydlig skärmpolicy tillämpas för informationsbehandlingsanläggningar.
8. DRIFTSSÄKERHET
LEVERANTÖREN ska:
8.1. definiera, dokumentera, implementera och underhålla säkerhetsoperationsprocedurer för säkerhetskopiering, slutpunktsskydd, sårbarhetshantering, antivirus och antimalware, patchning, systemhärdning och loggning.
8.2. utföra sårbarhetsbedömningar och penetrationstester regelbundet i enlighet med branschens bästa praxis och interna affärsbehov. LEVERANTÖREN ska också göra en riskbedömning följt av en åtgärd av identifierade problem.
8.3. säkerställa att sårbarheter hanteras i enlighet med definierade prioriteringar och inom erforderliga tidsfrister för upplösning.
8.4. tillämpa patchar och uppgraderingar på alla nivåer av infrastruktur i enlighet med definierad prioritering.
8.5. se till att slutpunkter, servrar, lagringsenheter, e-post-/webgateways och e-posttrafik är skyddade med aktiva anti-malware-verktyg där det är tekniskt möjligt att upptäcka och där så är möjligt förhindra infektioner med skadlig programvara.
8.6. skapa säkerhetskopior av information, programvara och systembilder och ska testa dessa regelbundet i enlighet med branschens bästa praxis och interna affärsbehov.
8.7. se till att lämplig loggning utförs, med tillräckliga detaljer och underhålls i enlighet med definierade lagringsperioder, samtidigt som den skyddas mot manipulering och obehörig åtkomst.
8.8. definiera, dokumentera, implementera och underhålla regler som styr användarnas installation av programvara.
8.9. definiera, dokumentera, implementera och underhålla standarder för säker konfiguration av slutpunkter, inklusive men inte begränsat till bärbara datorer, servrar, virtuella maskiner, databaser och nätverksenheter för att skydda mot förlust av konfidentialitet, integritet och tillgänglighet av KLIENTdata i vila och under transport.
9. NÄTVERK OCH KOMMUNIKATIONSSÄKERHET
LEVERANTÖREN ska:
9.1. definiera, dokumentera, implementera och underhålla säkerhetsmekanismer och hanteringskrav för alla nätverkstjänster.
9.2. definiera, dokumentera, implementera och underhålla starka krypterings- och säkerhetskonfigurationsstandarder för att säkra kommunikation över offentliga och icke-offentliga nätverk.
9.3. se till att klockorna för alla relevanta informationsbehandlingssystem är synkroniserade med en enda referenstidskälla.
9.4. övervaka webbtrafiken och nätverkets omkrets för att upptäcka cyberattacker och blockera skadliga tjänster, webbsidor och trafik.
9.5. se till att ändringar av brandväggsregler kontrolleras genom en formell begäran/godkännandeprocess och att de ses över regelbundet.
9.6. begränsa och kontrollera åtkomsten till organisationerna i linje med branschens bästa praxis och interna affärsbehov.
9.7. se till att zonindelningsmodellen tillämpas och att nätverket är lämpligt segmenterat medan endast godkänd åtkomst och trafik tillåts i varje segment.
10. LIVSCYKEL FÖR PROGRAMVARUUTVECKLING (SDLC)
LEVERANTÖREN ska:
10.1. upprätta en säker utvecklingslivscykel för att säkerställa att tjänster utvecklas och underhålls på ett säkert sätt.
10.2. kontrollera förändringar av system inom utvecklingslivscykeln genom formella förändringskontrollprocedurer.
10.3. se till att utvecklings-, test- och produktionsmiljöerna är åtskilda för att minska riskerna för obehörig åtkomst eller förändringar av produktionsmiljön.
10.4. säkerställa att informationssäkerhetsrelaterade krav ingår i kraven för nya tjänster eller förbättringar av befintliga tjänster.
10.5. säkerställa att testdata skapas noggrant och på ett kontrollerat sätt och att produktionsdata inte används för teständamål.
11. LEVERANTÖRSRELATIONER
LEVERANTÖREN ska:
11.1. definiera, dokumentera, implementera och underhålla policyer och procedurer för hantering av leverantörsrelationer som definierar grundläggande principer och regler för hantering av leverantörsrelationer som överensstämmer med affärskrav, säkerhetskrav, såväl som tillämpliga förordningar, bästa praxis och internationella standarder.
11.2. För varje leverantör som kan komma åt, behandla eller lagra KLIENTdata ska LEVERANTÖREN bedöma och dokumentera överensstämmelse med leverantörens lösning. För kritiska leverantörer, inklusive underbehandlare, ska omvärdering göras på årsbasis.
11.3. säkerställa att alla relevanta informationssäkerhetskrav ska fastställas och överenskommas med varje leverantör som kan komma åt, bearbeta eller lagra KLIENTdata.
11.4. se till att ett giltigt avtal som definierar omfattningen av arbetet, konfidentialitet, säkerhet och tekniska krav (om tillämpligt) för affärsrelationen finns på plats med varje leverantör som kan komma åt, behandla eller lagra KLIENTdata.
12. HANTERING AV INFORMATIONSSÄKERHETSHANTERING
LEVERANTÖREN ska:
12.1. definiera, dokumentera, implementera och underhålla en formell process för att rapportera, svara på och hantera informationssäkerhetsincidenter. This shall include as a minimum: - En procedur för att rapportera sådana incidenter/överträdelser till lämplig ledning inom PROVIDER-organisationen. - En process för att identifiera, bedöma och hantera informationssäkerhetsincidenter. - Ett tydligt utsett team för att hantera och samordna insatserna på en incident. - En dokumenterad och testad process för att hantera responsen på en incident inklusive kravet att föra lämpliga frågor och åtgärdsloggar för att inkludera tidpunkten då incidenten inträffade, personen som rapporterade incidenten, till vem den rapporterades och effekterna av den. - Kravet på att meddela KLIENT i tid och senast 72 timmar efter informationssäkerhetsincidenten och negativ påverkan på tjänster som tillhandahålls KLIENT bekräftas. Kortare anmälningsperiod kommer att gälla om ett sådant krav baseras på tillämplig lagstiftning och/eller förordning. - LEVERANTÖRENS incidenthanteringsteam ska, där så är lämpligt, arbeta tillsammans med KLIENTENS säkerhetsrepresentanter tills informationssäkerhetsincidenten har lösts på ett tillfredsställande sätt. - LEVERANTÖREN ska anpassa sig till alla nationella bestämmelser och lagstiftningar om informationssäkerhetsincidenter till brottsbekämpande myndigheter, tillsynsmyndigheter eller andra nationella myndigheter.
13. KONTINUITETSSTYRNING AV AFFÄREN
LEVERANTÖREN ska:
13.1. definiera, dokumentera, implementera och underhålla ett Business Continuity Program.
13.2. identifiera och prioritera SMSBAT:s kritiska produkter och tjänster med hjälp av en Business Impact Analysis (BIA) process.
13.3. använda riskbedömningsinformation och metoder för att utvärdera hot om störning.
13.4. baserat på resultat från Business Impact Analysis och Risk Assessment, utveckla respons- och återställningsstrategier för att mildra påverkan på de kritiska tjänsterna under en störande incident.
13.5. utveckla affärskontinuitet och återhämtningsplaner som är lämpliga för syftet, regelbundet granskade, tillgängliga och enkla att följa och förstå.
13.6. utveckla krishanterings- och kommunikationsplaner för effektiv krishantering, prioritering i kommunikation och sätt att larma om incidenterna.
13.7. leverera utbildning och träning, utvecklad mot erforderlig kompetens, och levereras till medarbetare med ett direkt affärskontinuitetsansvar.
13.8. ständigt förbättra SMSBAT:s Business Continuity Program genom regelbunden utvärdering och med hänsyn till eventuella ändringar av juridiska och regulatoriska krav.
14. EFTERLEV
LEVERANTÖREN ska:
14.1. Genomgå regelbundna revisioner mot branschstandarder på årsbasis. På KLIENT:s skriftliga begäran ska LEVERANTÖREN förse KUNDEN med en fullständig eller sammanfattande kopia, beroende på vad som är tillämpligt, av dess då aktuella rapporter. LEVERANTÖREN ska också, senast tio (10) arbetsdagar, tillhandahålla skriftliga svar på alla rimliga förfrågningar (frågeformulär, formulär, etc.) som görs av KUNDEN för att kontrollera att LEVERANTÖREN uppfyller kraven enligt dessa villkor.
14.2. I den utsträckning som krävs av tillämpliga regleringar, en gång per år efter minst 30 kalenderdagars föregående meddelande, ska LEVERANTÖREN tillåta KLIENT, dess respektive revisorer eller andra ombud (var och en "revisionspart") att få tillgång till Leverantörens lokaler, register och dokument som rimligen krävs av Revisionsparten för att kontrollera att TILLHANDAHÅLLARE följer kraven enligt dessa Villkor. Varje granskning i enlighet med detta stycke ska inte kräva granskning av någon tredje parts data och den granskande parten kan bli skyldig att ingå ett sekretessavtal med LEVERANTÖREN som rimligen kan vara nödvändigt för att respektera sekretessen för den information som den granskande parten kan få kännedom om under loppet av granskningen. Varje part ska bära sina egna kostnader i samband med sådan revision. Om revisionen avslöjar bristande efterlevnad av LEVERANTÖRENs skyldigheter enligt dessa villkor, ska LEVERANTÖREN åtgärda sådan bristande efterlevnad inom ömsesidigt överenskommen tidslinje och stå för kostnaderna för sådana åtgärder.
14.3. LEVERANTÖREN förbehåller sig rätten att införa begränsningar och restriktioner för att visa intern konfidentiell information och ta kopior av eventuella bevis som begärs i punkterna 14.1 och 14.2.
15. KUNDENS SÄKERHETSKRAV
15.1. Allmänna säkerhetsåtgärder
LEVERANTÖREN ska:
15.1.1. PROVIDER har definierat, dokumenterat, implementerat och underhåller säkerhetsrekommendationer för KLIENTER som använder sina molnkommunikationstjänster. KLIENT ska granska nämnda rekommendationer och implementera dem i enlighet med dess affärsbehov, tekniska kapacitet och riskaptit.
15.1.2. KLIENT ska vara fullt ansvarig för korrekt uppsättning av säkerhetsåtgärder på sin sida och ska inte ålägga LEVERANTÖREN något ansvar i händelse av en säkerhetsincident som är ett resultat av felaktig installation av säkerhetsåtgärder och tekniska åtgärder eller försummelse att implementera åtgärder som rekommenderas av LEVERANTÖREN.
15.2. AIT säkerhetsreducerande åtgärder
LEVERANTÖREN ska:
15.2.1. PROVIDER har definierat, dokumenterat och upprätthåller säkerhetsriktlinjer för att förebygga bedrägerifall.
15.2.2. Potentiell risk kan uppstå på KLIENTs webbplats eller mobilapplikation integrerad med PROVIDER Systems om en registrering eller annan form som exekverar SMS MT med OTP:er inte skyddas med en antibot-mekanism som CAPTCHA. Sårbarheter i sådana applikationer kan leda till artificiellt uppblåsta trafikattacker (AIT). En anti-bot-mekanism som CAPTCHA är väsentlig för att skydda användarregistreringsflödet från automatiska falska registreringar som exekverar SMS MT med OTP.
15.2.3. När AIT-attacker inträffar skickas trafik till LEVERANTÖRENs infrastruktur med käll-IP-adressen som användes av KLIENTEN vid tidpunkten för inlämningen. SMS MT-innehållet i trafiken går inte att skilja från KLIENTENS äkta trafik. I avsaknad av feedback från KLIENT kan LEVERANTÖREN inte skilja mellan AIT på KLIENTens applikation och äkta trafik från samma applikation. Till följd av detta kan LEVERANTÖREN inte hållas ansvarig för säkerheten för KLIENTENS webb- eller mobilapplikation(er). KLIENT bekräftar vidare att all trafik som tas emot från KLIENTs infrastruktur ska dirigeras till Nätverksoperatörer och debiteras KUNDEN i enlighet med villkoren i Avtalet.
15.2.4. Blockering av påverkade nätverk skulle inte förhindra att ett liknande problem uppstår igen på aktiverade nätverk, eftersom grundorsaken till problemet ligger i KLIENTENS infrastruktur. Därför är det absolut nödvändigt för KLIENT att adressera alla formulär på sin webbplats eller mobilapplikation som exekverar SMS MT OTP-koder.
15.3. Begäran om att höja kreditgränsen
LEVERANTÖREN ska:
15.3.1. Gränsen kan snabbt förbrukas om sårbarheterna på KLIENT-webbplatsen inte åtgärdas. Därför begär LEVERANTÖREN KUNDENS bekräftelse på medvetenhet om riskerna och förståelse för de potentiella konsekvenserna av att öka kreditgränsen.
15.3.2. Genom att begära en höjning av kreditgränsen, erkänner KUNDEN ansvaret för eventuella förluster på grund av AIT-attacker och förbinder sig att betala för eventuella utgifter som kan uppstå som ett resultat.