I-skip tungo sa nilalaman

Mga Tuntunin sa Seguridad ng Impormasyon

Ibibigay ng PROVIDER ang Mga Serbisyo at gagawin ang mga obligasyon nito sa ilalim ng Kasunduan alinsunod sa:

a. (I) ang Mga Tuntuning ito sa Seguridad ng Impormasyon

b. (ii) Magandang Kasanayan sa Seguridad

1. MGA KAHULUGAN

a. Ang "Asset" ay nangangahulugang anumang item o elemento ng hardware at software na o maaaring gamitin para sa layunin ng paglikha, pag-access, pagproseso, pagprotekta, pagsubaybay, pag-iimbak, pagkuha, pagpapakita, o pagpapadala ng data ng CLIENT.

b. Ang "Data ng CLIENT" ay nangangahulugang anumang data na ibinibigay ng CLIENT, o isang taong kumikilos sa ngalan nito, sa PROVIDER, o pinahihintulutan ang PROVIDER na i-access at iproseso, kaugnay ng Kasunduan.

c. Ang “Encryption” ay nangangahulugan ng proseso ng pag-convert ng impormasyon o data sa isang code, lalo na upang maiwasan ang hindi awtorisadong pag-access.

d. Ang “Patching” ay nangangahulugang anumang mga update sa software at operating system (OS) na tumutugon sa mga kahinaan sa seguridad sa loob ng isang programa o produkto.

e. Ang "Pagsubok sa Pagpasok" ay nangangahulugang isang awtorisadong simulate na cyberattack sa isang computer system, na ginawa upang suriin ang seguridad ng system.

f. Ang “System ng PROVIDER” ay nangangahulugang anumang System o Asset na pagmamay-ari o pinamamahalaan (sa kabuuan o bahagi) para sa operasyon ng o sa ngalan ng PROVIDER o alinman sa Affiliate nito.

g. Ang "Insidente sa Seguridad" ay nangangahulugang isang insidente, kaganapan at/o problema na nagresulta sa isang aktwal na kompromiso sa pagiging kumpidensyal, integridad at/o pagkakaroon ng data ng CLIENT at/o ng Serbisyo.

h. Ang "Kapaligiran sa Produksyon" ay nangangahulugang kapaligiran kung saan iniimbak at pinoproseso ang data ng CLIENT.

i. Ang “Kapaligiran sa Pagsubok” ay nangangahulugang kapaligirang ginawang available para sa pagsubok ng mga kamakailang binuong programa o produkto ng software bago ilabas sa isang Production Environment.

j. Ang “Vulnerability” ay nangangahulugan ng pagkakaroon ng kahinaan/kapintasan na makikita sa loob ng system.

k. Ang ibig sabihin ng "Artificially Inflated Traffic" ay anumang trapikong nabuo sa pamamagitan ng awtomatiko o mapanlinlang na paraan, kabilang ngunit hindi limitado sa mga bot, click farm, o anumang iba pang paraan na nilayon upang artipisyal na palakihin ang dami ng trapiko.

2. ORGANISASYON NG SEGURIDAD NG IMPORMASYON

Ang PROVIDER ay dapat:

2.1. tukuyin, idokumento, ipatupad at panatilihin ang mga patakaran sa seguridad na sumusunod sa mga pamantayan ng industriya, habang: - pagtiyak na ang pagiging kumpidensyal, integridad at pagkakaroon ng data at mga sistema ng impormasyon ay pinananatili. - pagsunod sa mga legal at regulasyong kinakailangan kung saan maaaring isailalim ang CLIENT at ang CLIENT Data.

2.2. suriin ang mga patakaran at pamamaraan nito sa taunang batayan, at/o bilang tugon sa anumang makabuluhang pagbabago.

2.3. tiyakin na ang mga patakaran sa seguridad ay dokumentado at inaprubahan ng pamamahala ng PROVIDER at inilathala at ipinapaalam sa mga nauugnay na stakeholder.

2.4. tiyaking mayroon silang kinakailangang bilang ng mga propesyonal sa seguridad na magiging responsable sa pag-uugnay at pagsubaybay sa lahat ng mga function, patakaran, at pamamaraan ng seguridad ng impormasyon.

2.5. mapanatili ang isang proseso para sa pana-panahong panloob at panlabas na pagpapatunay ng pagiging epektibo ng mga kontrol sa seguridad nito. Dapat agad na tutugunan at lutasin ng PROVIDER ang anumang mga pagkukulang sa lawak na kinakailangan upang makasunod sa mga obligasyon ng PROVIDER sa ilalim ng Kasunduan at sa Mga Tuntuning ito.

3. HUMAN RESOURCE AT SECURITY TRAINING

Ang PROVIDER ay dapat:

3.1. tukuyin, idokumento, ipatupad at panatilihin ang naaangkop na patakaran at pamamaraan sa pagsusuri sa background. Maaaring kasama sa mga tseke ang edukasyon ng indibidwal at nakaraang kasaysayan ng trabaho, rekord ng kriminal, mga pagsusuri sa sanggunian, at anumang karagdagang mga kinakailangan sa pagsusuri sa background sa pamantayan ng industriya alinsunod sa mga nauugnay at naaangkop na batas at regulasyon.

3.2. magsagawa ng background verification check sa lahat ng umiiral at bagong empleyado kabilang ang mga empleyadong kontrata.

3.3. tiyakin na ang lahat ng empleyado ay napapailalim sa isang naaangkop na kasunduan sa pagiging kumpidensyal.

3.4. tukuyin, idokumento, ipatupad, at panatilihin ang isang pormal na pagsasanay sa kaalaman sa seguridad at privacy para sa lahat ng empleyado. Dapat tiyakin ng PROVIDER na ang mga naturang pagsasanay ay ibinibigay bago magbigay ng pahintulot na ma-access o gumamit ng sensitibong impormasyon at sa tuluy-tuloy na batayan pagkatapos noon.

4. PAMAMAHALA NG ASSET

Ang PROVIDER ay dapat:

4.1. tukuyin, idokumento, ipatupad at panatilihin ang isang tumpak at napapanahon na imbentaryo na nagtatala ng lahat ng hardware at software, na may impormasyon ng may-ari at lokasyon ng bawat isa.

4.2. tiyaking tanging ang mga software application at/o operating system na kasalukuyang sinusuportahan, at/o pagtanggap ng mga update ng vendor ang idinaragdag sa awtorisadong imbentaryo ng software ng PROVIDER.

4.3. tiyakin na ang lahat ng software at hardware na sumusuporta sa EOL (End-of-life) ay aalisin sa paggamit at ang imbentaryo ay ina-update sa isang napapanahong paraan.

4.4. tukuyin ang mga panuntunan para sa katanggap-tanggap na paggamit ng impormasyon at ng mga asset na nauugnay sa impormasyon at pagproseso ng impormasyon.

4.5. tiyakin na ang lahat ng impormasyon ay inuri ayon sa mga legal na kinakailangan, halaga, pagiging kritikal, at pagiging sensitibo, at hinahawakan alinsunod sa label ng pag-uuri nito.

4.6. tiyakin ang wastong paghawak at pagtatapon ng data ng CLIENT mula sa mga sistema ng PROVIDER: - Ang pagtatapon ng mga talaan ng data ng CLIENT ay dapat isagawa sa isang ligtas na paraan upang matiyak na ang data ay gagawing hindi na mababawi. - Ang sertipiko ng pagtanggal ay dapat na magagamit para sa anumang ad hoc na kahilingan ng CLIENT para sa pagtanggal ng data.

5. ACCESS CONTROL

5.1. Pangkalahatang probisyon

Ang PROVIDER ay dapat:

5.1.1. tukuyin, idokumento, ipatupad at panatilihin ang patakaran at mga pamamaraan sa pagkontrol sa pag-access batay sa mga pangangailangan ng negosyo at prinsipyo ng "Least Privilege" at tiyakin na ang mga awtorisadong empleyado lamang ang may access sa mga sistema ng PROVIDER.

5.1.2. tiyaking mga natatanging ID lamang ang ginagamit at dapat magdokumento ng anumang pagbubukod at paggamit ng mga nakabahaging account.

5.1.3. tiyakin na ang anumang access sa PROVIDER Systems na nag-iimbak, o nagpoproseso ng CLIENT Data ay napapailalim sa Multi-Factor Authentication (MFA).

5.1.4. pana-panahon, sa hindi bababa sa taunang batayan, suriin ang pagiging angkop ng mga nakatalagang pribilehiyo ng user.

5.1.5. tiyakin na ang mga aktibidad sa pamamahala ng user (pagdaragdag, pagbabago, o pag-aalis ng mga pribilehiyo ng user) ay isinasagawa batay sa isang wastong pormal na kahilingan at sa isang napapanahong paraan.

5.2. REMOTE ACCESS SECURITY

Ang PROVIDER ay dapat:

5.2.1. tiyakin na ang naaangkop na hanay ng mga kontrol sa seguridad ay inilalagay upang maiwasan ang hindi awtorisadong malayuang pag-access sa PROVIDER Systems. Ang nasabing mga kontrol ay dapat magsama ng hindi bababa sa: - Anumang malayuang pag-access sa PROVIDER System at/o Network ay sa pamamagitan lamang ng VPN at Multi-Factor Authentication (MFA). - Ang lahat ng data na naglalakbay sa isang remote na mekanismo ng pag-access ay dapat i-encrypt mula sa endpoint (hal., laptop) hanggang sa network. - Lahat ng mga pagtatangka na kumonekta sa PROVIDER Systems gamit ang isang hindi awtorisadong mekanismo ng malayuang pag-access ay dapat tanggihan at i-log. - Ang kahina-hinalang aktibidad ay dapat pangasiwaan alinsunod sa mga nauugnay na protocol ng seguridad.

5.3. PASSWORD MANAGEMENT

Ang PROVIDER ay dapat:

5.3.1. tukuyin, idokumento, ipatupad at panatilihin ang patakaran ng password alinsunod sa pinakamahusay na kasanayan sa industriya at panloob na mga pangangailangan sa negosyo.

5.3.2. tiyakin na ang mga password ay may sapat na haba, kumplikado, hindi naglalaman ng mga salitang madaling mahulaan at binabago sa mga regular na pagitan.

5.3.3. tiyakin na ang mga user account ay naka-lock out pagkatapos ng ilang bilang ng mga hindi matagumpay na pagtatangka ng pagpasok ng maling password at na ang account ay naka-lock out para sa isang tiyak na tagal ng panahon.

5.3.4. tiyakin na ang mga password ay nakaimbak sa isang secure na paraan na ginagawang hindi maintindihan ang mga ito habang nananatiling wasto ang mga ito.

6. CRYPTOGRAPHY

Ang PROVIDER ay dapat:

6.1. tukuyin, idokumento, ipatupad at panatilihin ang mga kaugnay na patakaran at pamamaraan na kumokontrol sa paggamit ng naaangkop na mga kontrol sa cryptographic at ang mga pangunahing proseso ng pamamahala na nagtatakda ng mga panuntunan sa paggamit, proteksyon, at habang-buhay ng mga cryptographic na key at materyal ng keying.

6.2. Tiyaking protektado ang Data ng CLIENT habang nasa transit o nagpapahinga gamit ang mga secure na protocol (hal., TLS 1.2, AES-256 o iba pang mga inirerekomendang pamantayan sa industriya).

6.3. pamahalaan ang lahat ng encryption key sa isang key management system na pagmamay-ari at pinapatakbo ng PROVIDER.

6.4. tiyakin ang wastong paghihiwalay ng mga tungkulin sa loob ng proseso ng pamamahala ng susi ng pag-encrypt.

7. PISIKAL AT KAPALIGIRAN SEGURIDAD

Ang PROVIDER ay dapat:

7.1. tukuyin, idokumento, ipatupad at panatilihin ang mga patakaran at pamamaraan ng pisikal na seguridad upang maiwasan ang hindi awtorisadong pisikal na pag-access, pinsala, at panghihimasok sa impormasyon ng organisasyon at mga pasilidad sa pagproseso ng impormasyon na nag-iimbak ng data ng CLIENT.

7.2. ipatupad ang mga proseso at kontrol sa pisikal at pangkalikasan na seguridad alinsunod sa tinukoy na mga patakaran at pamamaraan. Maaaring i-outsource ng PROVIDER ang ilan o lahat ng pisikal na kontrol sa seguridad sa isang 3rd party at dapat nitong tiyakin na ang mga kontrol sa parehong antas ay nasa lugar at dapat na regular na tasahin ang 3rd party para sa pagsunod.

7.3. tiyaking ang mga ligtas na lugar ay protektado ng naaangkop na mga kontrol sa pagpasok at tanging mga awtorisadong tauhan lamang ang pinapayagang makapasok.

7.4. siguraduhin na ang lahat ng mga bisita ay awtorisado, may tamang pagkakakilanlan, at binibigyan lamang ng access sa mga kinakailangang lugar.

7.5. tiyaking ginagamit ang mga locking cabinet para ma-secure ang kumpidensyal na impormasyon.

7.6. tiyakin na ang kagamitan na naglalaman ng storage media ay ligtas na na-overwrite bago itapon o muling gamitin.

7.7. tiyakin ang isang malinaw na patakaran sa desk at ang isang malinaw na patakaran sa screen ay inilalapat para sa mga pasilidad sa pagpoproseso ng impormasyon.

8. SEGURIDAD NG OPERASYON

Ang PROVIDER ay dapat:

8.1. tukuyin, idokumento, ipatupad at panatilihin ang mga pamamaraan sa pagpapatakbo ng seguridad para sa backup, proteksyon ng endpoint, pamamahala ng kahinaan, antivirus at antimalware, pag-patching, pagpapatigas ng system at pag-log.

8.2. magsagawa ng mga vulnerability assessment at penetration test sa regular na batayan alinsunod sa pinakamahuhusay na kasanayan sa industriya at mga panloob na pangangailangan ng negosyo. Magsasagawa rin ang PROVIDER ng pagtatasa ng panganib, na sinusundan ng remediation ng mga natukoy na isyu.

8.3. tiyaking ang mga kahinaan ay pinangangasiwaan alinsunod sa tinukoy na prioritization at sa loob ng kinakailangang mga timeline ng paglutas.

8.4. maglapat ng mga patch at upgrade sa lahat ng antas ng imprastraktura alinsunod sa tinukoy na prioritization.

8.5. tiyaking protektado ang mga endpoint, server, storage device, mail / web gateway at trapiko ng mail gamit ang mga aktibong tool na anti-malware kung saan teknikal na magagawang matukoy at hangga't maaari ay maiwasan ang mga impeksyon ng malware.

8.6. lumikha ng mga backup na kopya ng impormasyon, software at mga imahe ng system at dapat itong regular na subukan alinsunod sa pinakamahusay na kasanayan sa industriya at panloob na mga pangangailangan ng negosyo.

8.7. tiyaking isinasagawa ang naaangkop na pag-log, na may sapat na mga detalye at pinananatili alinsunod sa tinukoy na mga panahon ng pagpapanatili, habang pinoprotektahan laban sa pakikialam at hindi awtorisadong pag-access.

8.8. tukuyin, idokumento, ipatupad at panatilihin ang mga panuntunang namamahala sa pag-install ng software ng mga user.

8.9. tukuyin, idokumento, ipatupad at panatilihin ang mga pamantayan para sa secure na configuration ng mga endpoint, kabilang ang, ngunit hindi limitado sa mga laptop, server, virtual machine, database, at mga device sa network upang maprotektahan laban sa pagkawala ng pagiging kumpidensyal, integridad, at availability ng CLIENT Data sa pamamahinga at nasa transit.

9. SEGURIDAD NG NETWORK AT KOMUNIKASYON

Ang PROVIDER ay dapat:

9.1. tukuyin, idokumento, ipatupad at panatilihin ang mga mekanismo ng seguridad at mga kinakailangan sa pamamahala ng lahat ng serbisyo sa network.

9.2. tukuyin, idokumento, ipatupad at mapanatili ang malakas na pag-encrypt at mga pamantayan sa pagsasaayos ng seguridad upang ma-secure ang komunikasyon sa publiko at hindi pampublikong network.

9.3. tiyakin na ang mga orasan ng lahat ng nauugnay na sistema ng pagpoproseso ng impormasyon ay naka-synchronize sa isang pinagmumulan ng oras ng sanggunian.

9.4. subaybayan ang trapiko sa web at perimeter ng network upang matukoy ang mga cyber-attack at harangan ang mga nakakahamak na serbisyo, webpage, at trapiko.

9.5. tiyakin na ang mga pagbabago sa mga panuntunan sa firewall ay kinokontrol sa pamamagitan ng isang pormal na proseso ng kahilingan/pag-apruba at regular na sinusuri.

9.6. paghigpitan at kontrolin ang pag-access sa mga organisasyon alinsunod sa pinakamahusay na kasanayan sa industriya at mga panloob na pangangailangan ng negosyo.

9.7. tiyaking inilapat ang modelo ng pag-zoning at ang network ay naaangkop na naka-segment habang ang aprubadong access at trapiko lang ang pinapayagan sa bawat segment.

10. SOFTWARE DEVELOPMENT LIFE-CYCLE (SDLC)

Ang PROVIDER ay dapat:

10.1. magtatag ng secure na development lifecycle upang matiyak na ang mga Serbisyo ay binuo at pinapanatili sa isang secure na paraan.

10.2. kontrolin ang mga pagbabago sa mga system sa loob ng development lifecycle sa pamamagitan ng mga pormal na pamamaraan ng pagkontrol sa pagbabago.

10.3. tiyakin na ang pagbuo, pagsubok, at mga kapaligiran ng produksyon ay pinaghihiwalay upang mabawasan ang mga panganib ng hindi awtorisadong pag-access o mga pagbabago sa kapaligiran ng produksyon.

10.4. tiyakin na ang mga kinakailangan sa seguridad ng impormasyon ay kasama sa mga kinakailangan para sa mga bagong Serbisyo o pagpapahusay sa mga kasalukuyang Serbisyo.

10.5. tiyakin na ang data ng pagsubok ay ginawa nang maingat at sa isang kontroladong paraan, at ang data ng produksyon ay hindi ginagamit para sa mga layunin ng pagsubok.

11. MGA KAUGNAYAN NG SUPPLIER

Ang PROVIDER ay dapat:

11.1. tukuyin, idokumento, ipatupad at panatilihin ang mga patakaran at pamamaraan sa pamamahala ng relasyon ng supplier na tumutukoy sa mga pangunahing prinsipyo at panuntunan para sa pamamahala ng mga relasyon ng supplier na sumusunod sa negosyo, mga kinakailangan sa seguridad, pati na rin ang mga naaangkop na regulasyon, pinakamahusay na kasanayan, at internasyonal na pamantayan.

11.2. para sa bawat supplier na maaaring mag-access, magproseso, o mag-imbak ng data ng CLIENT, dapat tasahin ng PROVIDER, at idokumento ang pagsunod sa solusyon ng supplier. Para sa mga kritikal na supplier, kabilang ang mga sub-processor, ang muling pagtatasa ay isasagawa taun-taon.

11.3. tiyakin na ang lahat ng may-katuturang kinakailangan sa seguridad ng impormasyon ay dapat itatag at sumang-ayon sa bawat supplier na maaaring mag-access, magproseso, o mag-imbak ng data ng CLIENT.

11.4. tiyakin na ang isang wastong kasunduan na tumutukoy sa saklaw ng trabaho, pagiging kompidensiyal, seguridad, at teknikal na kinakailangan (kung naaangkop) ng relasyon sa negosyo ay nasa lugar sa bawat supplier na maaaring mag-access, magproseso, o mag-imbak ng data ng CLIENT.

12. IMPORMASYON SECURITY INSIDENTE MANAGEMENT

Ang PROVIDER ay dapat:

12.1. tukuyin, idokumento, ipatupad at panatilihin ang isang pormal na proseso para sa pag-uulat, pagtugon sa at pamamahala ng mga insidente ng seguridad ng impormasyon. Kabilang dito ang pinakamababa: - Isang pamamaraan para sa pag-uulat ng mga naturang insidente/paglabag sa naaangkop na pamamahala sa loob ng organisasyon ng PROVIDER. - Isang proseso ng pagtukoy, pagtatasa, at paghawak ng mga insidente sa seguridad ng impormasyon. - Isang malinaw na itinalagang pangkat para sa pamamahala at pag-uugnay ng tugon sa isang insidente. - Isang dokumentado at nasubok na proseso para sa pamamahala sa pagtugon sa isang insidente kabilang ang pangangailangang panatilihin ang mga naaangkop na isyu at log ng pagkilos upang isama ang oras kung kailan nangyari ang insidente, ang taong nag-uulat ng insidente, kung kanino ito iniulat at ang mga epekto nito. - Ang pangangailangan na abisuhan ang CLIENT sa isang napapanahong paraan, at hindi lalampas sa 72 oras pagkatapos makumpirma ang insidente sa seguridad ng impormasyon at negatibong epekto sa mga serbisyong ibinigay sa CLIENT. Malalapat ang mas maikling panahon ng pag-abiso kung ang naturang pangangailangan ay batay sa naaangkop na batas at/o regulasyon. - Ang pangkat ng pamamahala ng insidente ng PROVIDER ay dapat, kung naaangkop, makipagtulungan sa mga kinatawan ng seguridad ng CLIENT hanggang sa kasiya-siyang naresolba ang insidente sa seguridad ng impormasyon. - Dapat umayon ang PROVIDER sa lahat ng pambansang regulasyon at batas tungkol sa abiso sa insidente ng seguridad ng impormasyon patungo sa pagpapatupad ng batas, regulasyon o anumang iba pang pambansang awtoridad.

13. PANGANGASIWA NG PAGPAPATULOY NG NEGOSYO

Ang PROVIDER ay dapat:

13.1. tukuyin, idokumento, ipatupad at panatilihin ang isang Business Continuity Program.

13.2. tukuyin at bigyang-priyoridad ang mga kritikal na produkto at serbisyo ng SMSBAT gamit ang proseso ng Business Impact Analysis (BIA).

13.3. gumamit ng impormasyon at pamamaraan ng Pagtatasa ng Panganib upang suriin ang banta ng pagkagambala.

13.4. batay sa mga resulta ng Business Impact Analysis at Risk Assessment, bumuo ng mga diskarte sa pagtugon at pagbawi upang mabawasan ang epekto sa mga kritikal na serbisyo sa panahon ng nakakagambalang insidente.

13.5. bumuo ng pagpapatuloy ng negosyo at mga plano sa pagbawi na angkop para sa layunin, regular na sinusuri, magagamit at madaling sundin at maunawaan.

13.6. bumuo ng pamamahala ng krisis at mga plano sa komunikasyon para sa epektibong pamamahala ng krisis, pagbibigay-priyoridad sa komunikasyon at mga paraan upang alertuhan ang mga insidente.

13.7. maghatid ng pagsasanay at pag-eehersisyo, binuo laban sa mga kinakailangang kakayahan, at inihatid sa mga empleyado na may direktang pananagutan sa pagpapatuloy ng negosyo.

13.8. patuloy na pagbutihin ang Business Continuity Program ng SMSBAT sa pamamagitan ng regular na pagsusuri at pagsasaalang-alang sa anumang mga pagbabago sa legal at regulasyong kinakailangan.

14. PAGSUNOD

Ang PROVIDER ay dapat:

14.1. Sumailalim sa mga regular na pag-audit laban sa mga pamantayan ng industriya taun-taon. Sa nakasulat na kahilingan ng CLIENT, bibigyan ng PROVIDER ang CLIENT ng buo o buod na kopya, kung naaangkop, ng mga kasalukuyang ulat nito noon. Magbibigay din ang PROVIDER, hindi lalampas sa sampung (10) araw ng trabaho, ng mga nakasulat na tugon sa lahat ng makatwirang kahilingan (kwestyoner, mga form, atbp.) na ginawa ng CLIENT upang matiyak na sumusunod ang PROVIDER sa mga kinakailangan sa ilalim ng Mga Tuntuning ito.

14.2. Sa lawak na kinakailangan ng naaangkop na regulasyon, isang beses bawat taon sa hindi bababa sa 30 araw sa kalendaryo na paunang abiso, pahihintulutan ng PROVIDER ang CLIENT, kani-kanilang mga auditor, o iba pang ahente (bawat isa ay "Partido sa Pag-audit"), na i-access ang lugar, mga talaan, at mga dokumento ng Supplier ayon sa makatwirang hinihiling ng Partido sa Pag-audit upang suriin kung sumusunod ang PROVIDER sa mga kinakailangan sa ilalim ng Mga Tuntuning ito. Ang anumang pagsusuri alinsunod sa talatang ito ay hindi nangangailangan ng pagsusuri ng anumang data ng third-party at ang Partido sa Pag-audit ay maaaring kailanganin na pumasok sa isang kasunduan sa pagiging kumpidensyal kasama ang PROVIDER na maaaring makatwirang kinakailangan upang igalang ang pagiging kompidensiyal ng impormasyon kung saan maaaring malaman ng Partido ng Pag-audit sa kurso ng pagsasagawa ng pagsusuri. Bawat Partido ay sasagutin ang sarili nitong mga gastos kaugnay sa naturang pag-audit. Kung sakaling ang pag-audit ay magpahayag ng hindi pagsunod sa mga obligasyon ng SUPPLIER sa ilalim ng Mga Tuntuning ito, ang SUPPLIER ay dapat itama ang naturang hindi pagsunod sa loob ng pinagkasunduang timeline at sasagutin ang mga gastos sa naturang mga aksyon.

14.3. Inilalaan ng PROVIDER ang karapatang magpataw ng mga limitasyon at paghihigpit sa pagpapakita ng panloob na kumpidensyal na impormasyon at pagkuha ng mga kopya ng anumang ebidensya na hiniling sa mga punto 14.1 at 14.2.

15. MGA KINAKAILANGAN SA SEGURIDAD NG CLIENT

15.1. Pangkalahatang mga hakbang sa seguridad

Ang PROVIDER ay dapat:

15.1.1. Tinukoy, naidokumento, ipinatupad, at pinapanatili ng PROVIDER ang mga rekomendasyon sa seguridad para sa mga CLIENT na gumagamit ng mga serbisyo ng komunikasyon sa cloud nito. Dapat suriin ng CLIENT ang mga nasabing rekomendasyon at ipatupad ang mga ito alinsunod sa mga pangangailangan nito sa negosyo, kakayahan sa teknikal, at gana sa panganib.

15.1.2. Ang CLIENT ay dapat na ganap na mananagot para sa wastong pag-set up ng mga hakbang sa seguridad sa kanilang panig at hindi magpapataw ng anumang pananagutan sa PROVIDER kung sakaling magkaroon ng insidente sa seguridad na nagresulta mula sa hindi tamang pag-setup ng mga hakbang sa seguridad at teknikal o kapabayaan sa pagpapatupad ng mga hakbang gaya ng inirerekomenda ng PROVIDER.

15.2. Mga hakbang sa pagpapagaan ng seguridad ng AIT

Ang PROVIDER ay dapat:

15.2.1. Tinukoy, naidokumento, at pinapanatili ng PROVIDER ang mga alituntunin sa seguridad para sa pag-iwas sa mga kaso ng panloloko.

15.2.2. Ang potensyal na panganib ay maaaring lumabas sa website ng CLIENT o mobile application na isinama sa PROVIDER Systems kung ang isang pagpaparehistro o iba pang form na nagsasagawa ng SMS MT na may mga OTP ay hindi protektado ng isang anti-bot na mekanismo tulad ng CAPTCHA. Ang mga kahinaan sa naturang mga application ay maaaring humantong sa mga pag-atake ng artificially inflated traffic (AIT). Ang mekanismong anti-bot tulad ng CAPTCHA ay mahalaga upang maprotektahan ang daloy ng Pag-sign Up ng User mula sa mga awtomatikong pekeng pagpaparehistro na nagpapatupad ng SMS MT gamit ang mga OTP.

15.2.3. Kapag nangyari ang mga pag-atake sa AIT, ipinapadala ang trapiko sa imprastraktura ng PROVIDER kasama ang pinagmulang IP address na ginamit ng CLIENT sa oras ng pagsusumite. Ang nilalaman ng SMS MT ng trapiko ay hindi nakikilala mula sa tunay na trapiko ng CLIENT. Sa kawalan ng anumang feedback mula sa CLIENT, hindi matukoy ng PROVIDER ang pagkakaiba sa pagitan ng AIT sa application ng CLIENT at ng tunay na trapiko mula sa parehong application. Bilang resulta, hindi maaaring panagutin ang PROVIDER para sa seguridad ng web o (mga) mobile application ng CLIENT. Kinikilala pa ng CLIENT na ang lahat ng trapikong natatanggap mula sa imprastraktura ng CLIENT ay dadalhin sa Mga Network Operator at sisingilin sa CLIENT alinsunod sa mga tuntunin ng Kasunduan.

15.2.4. Ang pag-block sa mga apektadong network ay hindi mapipigilan ang isang katulad na isyu na mangyari muli sa mga pinaganang network, dahil ang ugat ng isyu ay nakasalalay sa imprastraktura ng CLIENT. Samakatuwid, kinakailangan para sa CLIENT na tugunan ang lahat ng mga form sa kanilang website o mobile application na nagpapatupad ng mga SMS MT OTP code.

15.3. Kahilingan na taasan ang limitasyon ng kredito

Ang PROVIDER ay dapat:

15.3.1. Ang limitasyon ay maaaring mabilis na maubos kung ang mga kahinaan sa CLIENT website ay hindi natugunan. Samakatuwid, hinihiling ng PROVIDER ang kumpirmasyon ng CLIENT ng kamalayan sa mga panganib at pag-unawa sa mga potensyal na kahihinatnan ng pagtaas ng limitasyon sa kredito.

15.3.2. Sa pamamagitan ng paghiling ng pagtaas sa limitasyon ng kredito, kinikilala ng CLIENT ang responsibilidad para sa anumang potensyal na pagkalugi dahil sa mga pag-atake ng AIT at nangangakong babayaran ang anumang mga gastos na maaaring mangyari bilang resulta.