Умови інформаційної безпеки
ПОСТАЧАЛЬНИК (PROVIDER) надає Послуги та виконує свої зобов'язання за Договором відповідно до:
a. (I) цих Умов інформаційної безпеки
b. (ii) Належної практики безпеки
1. ВИЗНАЧЕННЯ
a. «Актив» (Asset) означає будь-який елемент апаратного та програмного забезпечення, який використовується або може використовуватися для цілей створення, доступу, обробки, захисту, моніторингу, зберігання, отримання, відображення або передачі даних КЛІЄНТА.
b. «Дані КЛІЄНТА» (CLIENT Data) означає будь-які дані, які КЛІЄНТ або особа, що діє від його імені, надає ПОСТАЧАЛЬНИКУ або дозволяє ПОСТАЧАЛЬНИКУ отримати доступ та обробляти у зв'язку з Договором.
c. «Шифрування» (Encryption) означає процес перетворення інформації або даних у код, зокрема для запобігання несанкціонованому доступу.
d. «Встановлення патчів» (Patching) означає будь-які оновлення програмного забезпечення та операційної системи (ОС), які усувають вразливості безпеки в програмі або продукті.
e. «Тестування на проникнення» (Penetration Testing) означає санкціоновану імітацію кібератаки на комп'ютерну систему, яка проводиться для оцінки безпеки системи.
f. «Система ПОСТАЧАЛЬНИКА» (PROVIDER System) означає будь-яку Систему або Актив, які належать або керуються (повністю або частково) для роботи ПОСТАЧАЛЬНИКОМ або його Афілійованою особою.
g. «Інцидент безпеки» (Security Incident) означає інцидент, подію та/або проблему, яка призвела до фактичного порушення конфіденційності, цілісності та/або доступності даних КЛІЄНТА та/або Послуги.
h. «Виробниче середовище» (Production Environment) означає середовище, де зберігаються та обробляються дані КЛІЄНТА.
i. «Тестове середовище» (Testing Environment) означає середовище, доступне для тестування нещодавно розроблених програм або програмних продуктів до їх випуску у Виробниче середовище.
j. «Вразливість» (Vulnerability) означає наявність слабкості/недоліку, виявленого в системі.
k. «Штучно роздутий трафік» (Artificially Inflated Traffic / AIT) означає будь-який трафік, згенерований автоматизованими або шахрайськими засобами, включаючи, але не обмежуючись, ботів, клік-ферми або будь-які інші засоби, призначені для штучного збільшення обсягів трафіку.
2. ОРГАНІЗАЦІЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
ПОСТАЧАЛЬНИК повинен:
2.1. визначати, документувати, впроваджувати та підтримувати політики безпеки, що відповідають галузевим стандартам, при цьому: - забезпечуючи збереження конфіденційності, цілісності та доступності даних та інформаційних систем. - дотримуючись правових та нормативних вимог, яким можуть підлягати КЛІЄНТ та Дані КЛІЄНТА.
2.2. переглядати свої політики та процедури щорічно та/або у відповідь на будь-які значні зміни.
2.3. забезпечити, щоб політики безпеки були задокументовані та затверджені керівництвом ПОСТАЧАЛЬНИКА, а також опубліковані та доведені до відома відповідних зацікавлених сторін.
2.4. забезпечити наявність необхідної кількості фахівців з безпеки, які будуть відповідати за координацію та моніторинг усіх функцій, політик та процедур інформаційної безпеки.
2.5. підтримувати процес періодичної внутрішньої та зовнішньої перевірки ефективності своїх засобів контролю безпеки. ПОСТАЧАЛЬНИК повинен оперативно усувати будь-які недоліки в тій мірі, в якій це необхідно для виконання зобов'язань ПОСТАЧАЛЬНИКА за Договором та цими Умовами.
3. ЛЮДСЬКІ РЕСУРСИ ТА НАВЧАННЯ З ПИТАНЬ БЕЗПЕКИ
ПОСТАЧАЛЬНИК повинен:
3.1. визначати, документувати, впроваджувати та підтримувати відповідну політику та процедуру перевірки анкетних даних. Перевірки можуть включати освіту та попередню історію працевлаштування особи, наявність судимості, перевірку рекомендацій та будь-які додаткові вимоги до перевірки анкетних даних за галузевими стандартами відповідно до чинних і застосовних законів і правил.
3.2. здійснювати перевірку анкетних даних усіх існуючих і нових співробітників, у тому числі працівників за контрактом.
3.3. забезпечити, щоб усі працівники були пов'язані відповідною угодою про нерозголошення конфіденційної інформації (NDA).
3.4. визначати, документувати, впроваджувати та підтримувати офіційне навчання з питань безпеки та конфіденційності для всіх співробітників.
4. УПРАВЛІННЯ АКТИВАМИ
ПОСТАЧАЛЬНИК повинен:
4.1. визначати, документувати, впроваджувати та підтримувати точний та актуальний інвентар, в якому фіксується все апаратне та програмне забезпечення з інформацією про власника та місцезнаходження кожного з них.
4.2. забезпечити, щоб до авторизованого інвентарю програмного забезпечення ПОСТАЧАЛЬНИКА додавалися лише програмні додатки та/або операційні системи, які наразі підтримуються та/або отримують оновлення від постачальника.
4.3. забезпечити, щоб усе програмне та апаратне забезпечення, яке підтримує EOL (завершення терміну експлуатації), вилучалося з використання, а інвентар своєчасно оновлювався.
4.4. визначати правила допустимого використання інформації та активів, пов'язаних з інформацією та обробкою інформації.
4.5. забезпечити правильне поводження та видалення даних КЛІЄНТА з систем ПОСТАЧАЛЬНИКА: - видалення записів даних КЛІЄНТА повинно здійснюватися безпечним способом, щоб гарантувати, що дані не підлягають відновленню. - сертифікат про видалення має бути доступним для будь-яких спеціальних запитів КЛІЄНТА на видалення даних.
5. КОНТРОЛЬ ДОСТУПУ
5.1. Загальні положення
ПОСТАЧАЛЬНИК повинен:
5.1.1. визначати, документувати, впроваджувати та підтримувати політику та процедури контролю доступу на основі бізнес-потреб та принципу «Найменших привілеїв» (Least Privilege) та гарантувати, що лише авторизовані співробітники мають доступ до систем ПОСТАЧАЛЬНИКА.
5.1.2. гарантувати, що будь-який доступ до Систем ПОСТАЧАЛЬНИКА, які зберігають або обробляють Дані КЛІЄНТА, підлягає Багатофакторній Автентифікації (MFA).
5.1.3. періодично, щонайменше раз на рік, переглядати доцільність призначених привілеїв користувачів.
5.2. БЕЗПЕКА ВІДДАЛЕНОГО ДОСТУПУ
ПОСТАЧАЛЬНИК повинен:
5.2.1. забезпечити впровадження відповідного набору засобів контролю безпеки для запобігання несанкціонованому віддаленому доступу до Систем ПОСТАЧАЛЬНИКА. Такі контролі повинні включати принаймні: - Будь-який віддалений доступ до Систем та/або Мережі ПОСТАЧАЛЬНИКА повинен здійснюватися лише через VPN та Багатофакторну Автентифікацію (MFA). - Усі дані, що передаються через механізм віддаленого доступу, повинні бути зашифровані від кінцевої точки (наприклад, ноутбука) до мережі.
5.3. КЕРУВАННЯ ПАРОЛЯМИ
ПОСТАЧАЛЬНИК повинен:
5.3.1. визначати, документувати, впроваджувати та підтримувати політику паролів відповідно до найкращих галузевих практик та внутрішніх бізнес-потреб.
5.3.2. гарантувати, що паролі зберігаються у безпечний спосіб, який робить їх незрозумілими, поки вони залишаються дійсними.
6. КРИПТОГРАФІЯ
ПОСТАЧАЛЬНИК повинен:
6.2. Гарантувати, що Дані КЛІЄНТА захищені під час транзиту або в стані спокою за допомогою безпечних протоколів (наприклад, TLS 1.2, AES-256 або інших рекомендованих галуззю стандартів).
6.3. управляти всіма ключами шифрування в системі управління ключами, яка належить та експлуатується ПОСТАЧАЛЬНИКОМ.
7. ФІЗИЧНА БЕЗПЕКА ТА БЕЗПЕКА НАВКОЛИШНЬОГО СЕРЕДОВИЩА
ПОСТАЧАЛЬНИК повинен:
7.1. визначати, документувати, впроваджувати та підтримувати політики та процедури фізичної безпеки для запобігання несанкціонованому фізичному доступу, пошкодженню та втручанню в інформацію організації та засоби обробки інформації, які зберігають дані КЛІЄНТА.
8. БЕЗПЕКА ОПЕРАЦІЙ
ПОСТАЧАЛЬНИК повинен:
8.2. проводити оцінку вразливостей та тестування на проникнення на регулярній основі відповідно до найкращих галузевих практик та внутрішніх бізнес-потреб. ПОСТАЧАЛЬНИК також повинен провести оцінку ризиків з подальшим усуненням виявлених проблем.
8.6. створювати резервні копії інформації, програмного забезпечення та образів системи та регулярно їх тестувати відповідно до найкращих галузевих практик та внутрішніх бізнес-потреб.
9. БЕЗПЕКА МЕРЕЖ ТА КОМУНІКАЦІЙ
ПОСТАЧАЛЬНИК повинен:
9.4. відстежувати веб-трафік і периметр мережі для виявлення кібератак і блокування шкідливих служб, веб-сторінок і трафіку.
10. ЖИТТЄВИЙ ЦИКЛ РОЗРОБКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ (SDLC)
ПОСТАЧАЛЬНИК повинен:
10.3. гарантувати, що середовища розробки, тестування та виробниче середовище розділені, щоб зменшити ризики несанкціонованого доступу або змін у виробничому середовищі.
11. ВІДНОСИНИ З ПОСТАЧАЛЬНИКАМИ
ПОСТАЧАЛЬНИК повинен:
11.4. переконатися, що з кожним постачальником, який може здійснювати доступ, обробляти або зберігати дані КЛІЄНТА, укладено чинну угоду, яка визначає обсяг робіт, конфіденційність, безпеку та технічні вимоги.
12. УПРАВЛІННЯ ІНЦИДЕНТАМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
ПОСТАЧАЛЬНИК повинен:
12.1. визначати, документувати, впроваджувати та підтримувати формальний процес повідомлення, реагування та управління інцидентами інформаційної безпеки. Це має включати як мінімум: - Процедуру повідомлення про такі інциденти/порушення відповідному керівництву організації ПОСТАЧАЛЬНИКА. - Вимогу своєчасно повідомляти КЛІЄНТА, але не пізніше ніж через 72 години після того, як буде підтверджено інцидент інформаційної безпеки та негативний вплив на послуги, що надаються КЛІЄНТУ.
13. УПРАВЛІННЯ БЕЗПЕРЕРВНІСТЮ БІЗНЕСУ
ПОСТАЧАЛЬНИК повинен:
13.1. визначати, документувати, впроваджувати та підтримувати Програму Безперервності Бізнесу.
14. ВІДПОВІДНІСТЬ ВИМОГАМ (КОМПЛАЄНС)
ПОСТАЧАЛЬНИК повинен:
14.1. Проходити регулярні аудити на відповідність галузевим стандартам на щорічній основі. На письмовий запит КЛІЄНТА, ПОСТАЧАЛЬНИК надає КЛІЄНТУ повну або скорочену копію своїх поточних звітів.
15. ВИМОГИ ДО БЕЗПЕКИ КЛІЄНТА
15.1. Загальні заходи безпеки
ПОСТАЧАЛЬНИК повинен:
15.1.1. ПОСТАЧАЛЬНИК визначив, задокументував, впровадив та підтримує рекомендації з безпеки для КЛІЄНТІВ, які використовують його послуги хмарних комунікацій. КЛІЄНТ розглядає зазначені рекомендації та впроваджує їх відповідно до своїх бізнес-потреб, технічних можливостей та схильності до ризику.
15.2. Заходи безпеки щодо AIT
ПОСТАЧАЛЬНИК повинен:
15.2.2. Потенційний ризик може виникнути на веб-сайті або в мобільному додатку КЛІЄНТА, інтегрованому з Системами ПОСТАЧАЛЬНИКА, якщо реєстрація або інша форма, що виконує розсилку SMS з OTP (одноразовими паролями), не захищена антибот-механізмом, таким як CAPTCHA. Вразливості в таких додатках можуть призвести до атак зі штучно роздутим трафіком (AIT). Антибот-механізм, такий як CAPTCHA, є необхідним для захисту процесу реєстрації користувача від автоматизованих фейкових реєстрацій.