Điều khoản bảo mật thông tin
NHÀ CUNG CẤP sẽ cung cấp Dịch vụ và thực hiện các nghĩa vụ của mình theo Thỏa thuận theo:
một. (I) các Điều khoản bảo mật thông tin này
b. (ii) Thực hành an ninh tốt
1. ĐỊNH NGHĨA
một. “Tài sản” có nghĩa là bất kỳ hạng mục hoặc thành phần nào của phần cứng và phần mềm đang hoặc có thể được sử dụng cho mục đích tạo, truy cập, xử lý, bảo vệ, giám sát, lưu trữ, truy xuất, hiển thị hoặc truyền dữ liệu KHÁCH HÀNG.
b. “Dữ liệu KHÁCH HÀNG” có nghĩa là bất kỳ dữ liệu nào mà KHÁCH HÀNG hoặc người đại diện cho KHÁCH HÀNG cung cấp cho NHÀ CUNG CẤP hoặc cho phép NHÀ CUNG CẤP truy cập và xử lý liên quan đến Thỏa thuận.
c. “Mã hóa” có nghĩa là quá trình chuyển đổi thông tin hoặc dữ liệu thành mã, đặc biệt là để ngăn chặn truy cập trái phép.
d. “Bản vá” có nghĩa là mọi bản cập nhật phần mềm và hệ điều hành (HĐH) nhằm giải quyết các lỗ hổng bảo mật trong một chương trình hoặc sản phẩm.
đ. “Thử nghiệm thâm nhập” có nghĩa là một cuộc tấn công mạng mô phỏng được ủy quyền trên hệ thống máy tính, được thực hiện để đánh giá tính bảo mật của hệ thống.
f. “Hệ thống CỦA NHÀ CUNG CẤP” có nghĩa là bất kỳ Hệ thống hoặc Tài sản nào được sở hữu hoặc quản lý (toàn bộ hoặc một phần) để vận hành bởi hoặc thay mặt cho NHÀ CUNG CẤP hoặc bất kỳ Chi nhánh nào của NHÀ CUNG CẤP.
g. “Sự cố bảo mật” có nghĩa là một sự cố, sự kiện và/hoặc vấn đề dẫn đến sự xâm phạm thực sự về tính bảo mật, tính toàn vẹn và/hoặc tính sẵn có của dữ liệu KHÁCH HÀNG và/hoặc Dịch vụ.
h. “Môi trường sản xuất” có nghĩa là môi trường nơi dữ liệu KHÁCH HÀNG được lưu trữ và xử lý.
Tôi. “Môi trường thử nghiệm” có nghĩa là môi trường có sẵn để thử nghiệm các chương trình hoặc sản phẩm phần mềm được phát triển gần đây trước khi được phát hành vào Môi trường sản xuất.
j. “Lỗ hổng” có nghĩa là sự tồn tại của một điểm yếu/lỗ hổng được tìm thấy trong hệ thống.
k. “Lưu lượng truy cập tăng cao giả tạo” có nghĩa là bất kỳ lưu lượng truy cập nào được tạo bằng các phương tiện tự động hoặc gian lận, bao gồm nhưng không giới hạn ở bot, trang trại nhấp chuột hoặc bất kỳ phương tiện nào khác nhằm mục đích tăng lưu lượng truy cập một cách giả tạo.
2. TỔ CHỨC BẢO MẬT THÔNG TIN
NHÀ CUNG CẤP sẽ:
2.1. xác định, lập tài liệu, triển khai và duy trì các chính sách bảo mật tuân thủ các tiêu chuẩn ngành, đồng thời: - đảm bảo duy trì tính bảo mật, tính toàn vẹn và tính sẵn có của hệ thống dữ liệu và thông tin. - tuân thủ các yêu cầu pháp lý và quy định mà KHÁCH HÀNG và Dữ liệu KHÁCH HÀNG có thể phải tuân theo.
2.2. xem xét các chính sách và thủ tục của mình hàng năm và/hoặc để ứng phó với bất kỳ thay đổi đáng kể nào.
2.3. đảm bảo rằng các chính sách bảo mật được ban quản lý của CUNG CẤP ghi lại và phê duyệt, đồng thời được công bố và truyền đạt cho các bên liên quan.
2.4. đảm bảo rằng họ có đủ số lượng chuyên gia bảo mật cần thiết, những người sẽ chịu trách nhiệm điều phối và giám sát tất cả các chức năng, chính sách và quy trình bảo mật thông tin.
2.5. duy trì một quy trình để xác nhận định kỳ nội bộ và bên ngoài về tính hiệu quả của các biện pháp kiểm soát bảo mật của mình. NHÀ CUNG CẤP sẽ nhanh chóng giải quyết và giải quyết mọi thiếu sót trong phạm vi cần thiết để tuân thủ các nghĩa vụ của NHÀ CUNG CẤP theo Thỏa thuận và các Điều khoản này.
3. ĐÀO TẠO NGUỒN NHÂN LỰC VÀ AN NINH
NHÀ CUNG CẤP sẽ:
3.1. xác định, lập tài liệu, thực hiện và duy trì chính sách và thủ tục kiểm tra lý lịch phù hợp. Việc kiểm tra có thể bao gồm trình độ học vấn và quá trình làm việc trước đây của cá nhân, hồ sơ tội phạm, kiểm tra thông tin tham khảo và bất kỳ yêu cầu kiểm tra lý lịch tiêu chuẩn ngành bổ sung nào theo luật và quy định hiện hành và có liên quan.
3.2. thực hiện kiểm tra xác minh lý lịch đối với tất cả nhân viên hiện tại và nhân viên mới, bao gồm cả nhân viên hợp đồng.
3.3. đảm bảo rằng tất cả nhân viên đều bị ràng buộc bởi một thỏa thuận bảo mật thích hợp.
3.4. xác định, lập tài liệu, triển khai và duy trì chương trình đào tạo chính thức về nhận thức về bảo mật và quyền riêng tư cho tất cả nhân viên. NHÀ CUNG CẤP phải đảm bảo rằng các khóa đào tạo đó được cung cấp trước khi cấp quyền truy cập hoặc sử dụng thông tin nhạy cảm và liên tục sau đó.
4. QUẢN LÝ TÀI SẢN
NHÀ CUNG CẤP sẽ:
4.1. xác định, lập tài liệu, triển khai và duy trì bản kiểm kê chính xác và cập nhật, ghi lại tất cả phần cứng và phần mềm, cùng với thông tin về chủ sở hữu và vị trí của từng phần.
4.2. đảm bảo rằng chỉ các ứng dụng phần mềm và/hoặc hệ điều hành hiện được hỗ trợ và/hoặc nhận các bản cập nhật của nhà cung cấp mới được thêm vào kho phần mềm được ủy quyền của NHÀ CUNG CẤP.
4.3. đảm bảo rằng tất cả phần mềm và phần cứng hỗ trợ EOL (Hết vòng đời) sẽ bị loại bỏ khỏi sử dụng và kho hàng được cập nhật kịp thời.
4.4. xác định các quy tắc cho việc sử dụng thông tin và tài sản liên quan đến thông tin và xử lý thông tin ở mức chấp nhận được.
4.5. đảm bảo rằng tất cả thông tin được phân loại theo các yêu cầu pháp lý, giá trị, mức độ quan trọng và độ nhạy cảm và được xử lý theo nhãn phân loại của nó.
4.6. đảm bảo xử lý và loại bỏ đúng cách dữ liệu KHÁCH HÀNG từ hệ thống NHÀ CUNG CẤP: - việc xử lý hồ sơ dữ liệu KHÁCH HÀNG phải được tiến hành một cách an toàn để đảm bảo rằng dữ liệu không thể phục hồi được. - phải có sẵn chứng chỉ xóa cho bất kỳ yêu cầu đặc biệt nào của KHÁCH HÀNG về việc xóa dữ liệu.
5. KIỂM SOÁT TRUY CẬP
5.1. Quy định chung
NHÀ CUNG CẤP sẽ:
5.1.1. xác định, lập tài liệu, thực hiện và duy trì chính sách và quy trình kiểm soát quyền truy cập trên cơ sở nhu cầu kinh doanh và nguyên tắc “Đặc quyền tối thiểu” và đảm bảo rằng chỉ những nhân viên được ủy quyền mới có quyền truy cập vào hệ thống CUNG CẤP.
5.1.2. đảm bảo rằng chỉ những ID duy nhất được sử dụng và phải ghi lại mọi trường hợp ngoại lệ và cách sử dụng tài khoản dùng chung.
5.1.3. đảm bảo rằng mọi quyền truy cập vào Hệ thống NHÀ CUNG CẤP lưu trữ hoặc xử lý Dữ liệu KHÁCH HÀNG đều phải tuân theo Xác thực đa yếu tố (MFA).
5.1.4. định kỳ, ít nhất là hàng năm, xem xét tính phù hợp của các đặc quyền của người dùng được chỉ định.
5.1.5. đảm bảo rằng các hoạt động quản lý người dùng (thêm, sửa đổi hoặc xóa đặc quyền của người dùng) được thực hiện dựa trên yêu cầu chính thức hợp lệ và kịp thời.
5.2. BẢO MẬT TRUY CẬP TỪ XA
NHÀ CUNG CẤP sẽ:
5.2.1. đảm bảo rằng bộ biện pháp kiểm soát bảo mật thích hợp được áp dụng để ngăn chặn truy cập từ xa trái phép vào Hệ thống NHÀ CUNG CẤP. Các biện pháp kiểm soát như vậy phải bao gồm ít nhất: - Mọi quyền truy cập từ xa vào Hệ thống và/hoặc Mạng của NHÀ CUNG CẤP sẽ chỉ thông qua VPN và Xác thực đa yếu tố (MFA). - Tất cả dữ liệu truyền qua cơ chế truy cập từ xa sẽ được mã hóa từ điểm cuối (ví dụ: máy tính xách tay) tới mạng. - Mọi nỗ lực kết nối với Hệ thống NHÀ CUNG CẤP bằng cơ chế truy cập từ xa trái phép sẽ bị từ chối và ghi lại. - Hoạt động đáng ngờ sẽ được xử lý theo các giao thức bảo mật có liên quan.
5.3. QUẢN LÝ MẬT KHẨU
NHÀ CUNG CẤP sẽ:
5.3.1. xác định, lập tài liệu, triển khai và duy trì chính sách mật khẩu phù hợp với thông lệ tốt nhất trong ngành và nhu cầu kinh doanh nội bộ.
5.3.2. đảm bảo mật khẩu đủ dài, phức tạp, không chứa các từ dễ đoán và được thay đổi định kỳ.
5.3.3. đảm bảo rằng tài khoản người dùng sẽ bị khóa sau một số lần nhập sai mật khẩu không thành công và tài khoản đó sẽ bị khóa trong một khoảng thời gian nhất định.
5.3.4. đảm bảo rằng mật khẩu được lưu trữ theo cách an toàn khiến chúng không thể hiểu được trong khi chúng vẫn hợp lệ.
6. MẬT MÃ
NHÀ CUNG CẤP sẽ:
6.1. xác định, lập thành văn bản, thực hiện và duy trì các chính sách và thủ tục có liên quan nhằm điều chỉnh việc sử dụng các biện pháp kiểm soát mật mã thích hợp và các quy trình quản lý khóa thiết lập các quy tắc sử dụng, bảo vệ và thời gian tồn tại của khóa mật mã và tài liệu khóa.
6.2. Đảm bảo Dữ liệu KHÁCH HÀNG được bảo vệ khi đang di chuyển hoặc ở trạng thái lưu trữ bằng các giao thức bảo mật (ví dụ: TLS 1.2, AES-256 hoặc các tiêu chuẩn được ngành khác khuyến nghị).
6.3. quản lý tất cả các khóa mã hóa trong hệ thống quản lý khóa do NHÀ CUNG CẤP sở hữu và vận hành.
6.4. đảm bảo phân chia nhiệm vụ hợp lý trong quy trình quản lý khóa mã hóa.
7. AN NINH VẬT LÝ VÀ MÔI TRƯỜNG
NHÀ CUNG CẤP sẽ:
7.1. xác định, lập tài liệu, thực hiện và duy trì các chính sách và quy trình bảo mật vật lý để ngăn chặn truy cập vật lý trái phép, làm hỏng và can thiệp vào thông tin của tổ chức và các phương tiện xử lý thông tin lưu trữ dữ liệu KHÁCH HÀNG.
7.2. thực hiện các quy trình và biện pháp kiểm soát an ninh vật lý và môi trường phù hợp với các chính sách và thủ tục đã xác định. NHÀ CUNG CẤP có thể thuê ngoài một số hoặc tất cả các biện pháp kiểm soát bảo mật vật lý cho bên thứ 3 và phải đảm bảo áp dụng các biện pháp kiểm soát ở cùng cấp độ và sẽ thường xuyên đánh giá sự tuân thủ của bên thứ ba.
7.3. đảm bảo các khu vực an toàn được bảo vệ bằng các biện pháp kiểm soát ra vào thích hợp và chỉ những nhân viên có thẩm quyền mới được phép truy cập.
7.4. đảm bảo rằng tất cả du khách đều được ủy quyền, có giấy tờ tùy thân phù hợp và chỉ được cấp quyền truy cập vào các khu vực cần thiết.
7.5. đảm bảo rằng tủ khóa được sử dụng để bảo mật thông tin bí mật.
7.6. đảm bảo rằng thiết bị chứa phương tiện lưu trữ được ghi đè an toàn trước khi thải bỏ hoặc tái sử dụng.
7.7. đảm bảo áp dụng chính sách bàn làm việc rõ ràng và chính sách sàng lọc rõ ràng cho các cơ sở xử lý thông tin.
8. AN NINH HOẠT ĐỘNG
NHÀ CUNG CẤP sẽ:
8.1. xác định, lập tài liệu, triển khai và duy trì các quy trình vận hành bảo mật để sao lưu, bảo vệ điểm cuối, quản lý lỗ hổng, chống vi-rút và chống phần mềm độc hại, vá lỗi, tăng cường hệ thống và ghi nhật ký.
8.2. thực hiện đánh giá lỗ hổng bảo mật và kiểm tra thâm nhập một cách thường xuyên theo thông lệ tốt nhất của ngành và nhu cầu kinh doanh nội bộ. NHÀ CUNG CẤP cũng phải thực hiện đánh giá rủi ro, sau đó là khắc phục các vấn đề đã được xác định.
8.3. đảm bảo các lỗ hổng được xử lý theo mức độ ưu tiên đã xác định và trong khoảng thời gian giải quyết cần thiết.
8.4. áp dụng các bản vá và nâng cấp cho tất cả các cấp độ cơ sở hạ tầng theo mức độ ưu tiên đã xác định.
8,5. đảm bảo các điểm cuối, máy chủ, thiết bị lưu trữ, cổng thư/web và lưu lượng thư được bảo vệ bằng các công cụ chống phần mềm độc hại tích cực ở nơi khả thi về mặt kỹ thuật để phát hiện và ngăn chặn lây nhiễm phần mềm độc hại bất cứ khi nào có thể.
8.6. tạo bản sao dự phòng của thông tin, phần mềm và hình ảnh hệ thống, đồng thời phải kiểm tra chúng thường xuyên theo thông lệ tốt nhất trong ngành và nhu cầu kinh doanh nội bộ.
8.7. đảm bảo việc ghi nhật ký thích hợp được thực hiện, với đầy đủ chi tiết và được duy trì theo khoảng thời gian lưu giữ đã xác định, đồng thời được bảo vệ khỏi sự giả mạo và truy cập trái phép.
8,8. xác định, lập tài liệu, thực hiện và duy trì các quy tắc quản lý việc cài đặt phần mềm của người dùng.
8,9. xác định, lập tài liệu, triển khai và duy trì các tiêu chuẩn cho cấu hình an toàn của điểm cuối, bao gồm nhưng không giới hạn ở máy tính xách tay, máy chủ, máy ảo, cơ sở dữ liệu và thiết bị mạng để bảo vệ khỏi mất tính bảo mật, tính toàn vẹn và tính khả dụng của Dữ liệu KHÁCH HÀNG khi nghỉ ngơi và đang truyền.
9. AN NINH MẠNG VÀ TRUYỀN THÔNG
NHÀ CUNG CẤP sẽ:
9.1. xác định, lập tài liệu, thực hiện và duy trì các cơ chế bảo mật và yêu cầu quản lý của tất cả các dịch vụ mạng.
9.2. xác định, lập tài liệu, triển khai và duy trì các tiêu chuẩn cấu hình bảo mật và mã hóa mạnh mẽ để bảo mật thông tin liên lạc qua mạng công cộng và mạng không công cộng.
9.3. đảm bảo rằng đồng hồ của tất cả các hệ thống xử lý thông tin liên quan được đồng bộ hóa với một nguồn thời gian tham chiếu duy nhất.
9.4. giám sát lưu lượng truy cập web và chu vi mạng để phát hiện các cuộc tấn công mạng và chặn các dịch vụ, trang web và lưu lượng truy cập độc hại.
9,5. đảm bảo rằng các thay đổi đối với quy tắc tường lửa được kiểm soát thông qua quy trình phê duyệt/yêu cầu chính thức và được xem xét thường xuyên.
9.6. hạn chế và kiểm soát quyền truy cập vào các tổ chức phù hợp với thông lệ tốt nhất trong ngành và nhu cầu kinh doanh nội bộ.
9,7. đảm bảo mô hình phân vùng được áp dụng và mạng được phân đoạn phù hợp trong khi chỉ cho phép truy cập và lưu lượng truy cập đã được phê duyệt trong mỗi phân đoạn.
10. VÒNG ĐỜI PHÁT TRIỂN PHẦN MỀM (SDLC)
NHÀ CUNG CẤP sẽ:
10.1. thiết lập vòng đời phát triển an toàn để đảm bảo Dịch vụ được phát triển và duy trì một cách an toàn.
10.2. kiểm soát các thay đổi đối với hệ thống trong vòng đời phát triển bằng các thủ tục kiểm soát thay đổi chính thức.
10.3. đảm bảo rằng môi trường phát triển, thử nghiệm và sản xuất được tách biệt để giảm rủi ro truy cập trái phép hoặc thay đổi môi trường sản xuất.
10.4. đảm bảo rằng các yêu cầu liên quan đến bảo mật thông tin được đưa vào các yêu cầu đối với Dịch vụ mới hoặc các cải tiến đối với Dịch vụ hiện có.
10,5. đảm bảo rằng dữ liệu thử nghiệm được tạo cẩn thận và có kiểm soát, đồng thời dữ liệu sản xuất không được sử dụng cho mục đích thử nghiệm.
11. MỐI QUAN HỆ NHÀ CUNG CẤP
NHÀ CUNG CẤP sẽ:
11.1. xác định, lập tài liệu, thực hiện và duy trì các chính sách và thủ tục quản lý mối quan hệ với nhà cung cấp nhằm xác định các nguyên tắc và quy tắc cơ bản để quản lý mối quan hệ với nhà cung cấp tuân thủ các yêu cầu kinh doanh, bảo mật cũng như các quy định hiện hành, thông lệ tốt nhất và tiêu chuẩn quốc tế.
11.2. đối với mỗi nhà cung cấp có thể truy cập, xử lý hoặc lưu trữ dữ liệu KHÁCH HÀNG, NHÀ CUNG CẤP phải đánh giá và ghi lại sự tuân thủ giải pháp của nhà cung cấp. Đối với các nhà cung cấp quan trọng, bao gồm cả nhà chế biến phụ, việc đánh giá lại sẽ được thực hiện hàng năm.
11.3. đảm bảo rằng tất cả các yêu cầu bảo mật thông tin liên quan phải được thiết lập và thống nhất với từng nhà cung cấp có thể truy cập, xử lý hoặc lưu trữ dữ liệu KHÁCH HÀNG.
11.4. đảm bảo rằng có một thỏa thuận hợp lệ xác định phạm vi công việc, tính bảo mật, an ninh và yêu cầu kỹ thuật (nếu có) của mối quan hệ kinh doanh với mỗi nhà cung cấp có thể truy cập, xử lý hoặc lưu trữ dữ liệu KHÁCH HÀNG.
12. QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
NHÀ CUNG CẤP sẽ:
12.1. xác định, lập thành văn bản, thực hiện và duy trì quy trình chính thức để báo cáo, ứng phó và quản lý các sự cố an toàn thông tin. Điều này phải bao gồm tối thiểu: - Quy trình báo cáo các sự cố/vi phạm đó cho ban quản lý thích hợp trong tổ chức CUNG CẤP. - Quy trình xác định, đánh giá và xử lý các sự cố an toàn thông tin. - Một nhóm được chỉ định rõ ràng để quản lý và điều phối ứng phó với sự cố. - Một quy trình được ghi lại và thử nghiệm để quản lý hoạt động ứng phó với một sự cố, bao gồm yêu cầu lưu giữ các vấn đề và nhật ký hành động thích hợp để bao gồm thời gian xảy ra sự cố, người báo cáo sự cố, người được báo cáo và ảnh hưởng của chúng. - Yêu cầu thông báo kịp thời cho KHÁCH HÀNG và không muộn hơn 72 giờ sau khi xảy ra sự cố an toàn thông tin và tác động tiêu cực đến dịch vụ cung cấp cho KHÁCH HÀNG được xác nhận. Thời gian thông báo ngắn hơn sẽ được áp dụng nếu yêu cầu đó dựa trên luật pháp và/hoặc quy định hiện hành. - Nhóm quản lý sự cố của NHÀ CUNG CẤP, khi thích hợp, sẽ làm việc cùng với đại diện bảo mật của KHÁCH HÀNG cho đến khi sự cố bảo mật thông tin được giải quyết thỏa đáng. - NHÀ CUNG CẤP phải tuân thủ tất cả các quy định và pháp luật quốc gia về thông báo sự cố an toàn thông tin đối với cơ quan thực thi pháp luật, cơ quan quản lý hoặc bất kỳ cơ quan quốc gia nào khác.
13. QUẢN LÝ KINH DOANH LIÊN TỤC
NHÀ CUNG CẤP sẽ:
13.1. xác định, lập tài liệu, thực hiện và duy trì Chương trình kinh doanh liên tục.
13.2. xác định và ưu tiên các sản phẩm và dịch vụ quan trọng của SMSBAT bằng quy trình Phân tích tác động kinh doanh (BIA).
13.3. sử dụng thông tin và phương pháp Đánh giá Rủi ro để đánh giá nguy cơ gián đoạn.
13.4. dựa trên kết quả Phân tích tác động kinh doanh và Đánh giá rủi ro, phát triển các chiến lược ứng phó và phục hồi để giảm thiểu tác động đến các dịch vụ quan trọng khi xảy ra sự cố gián đoạn.
13,5. phát triển các kế hoạch phục hồi và duy trì hoạt động kinh doanh phù hợp với mục đích, được xem xét thường xuyên, sẵn có và đơn giản để làm theo và hiểu.
13.6. phát triển các kế hoạch quản lý khủng hoảng và truyền thông để quản lý khủng hoảng hiệu quả, ưu tiên truyền thông và các cách cảnh báo về các sự cố.
13.7. cung cấp đào tạo và tập luyện, phát triển dựa trên năng lực cần thiết và giao cho nhân viên chịu trách nhiệm trực tiếp về tính liên tục trong kinh doanh.
13.8. liên tục cải tiến Chương trình kinh doanh liên tục của SMSBAT thông qua đánh giá thường xuyên và tính đến mọi thay đổi đối với các yêu cầu pháp lý và quy định.
14. TUÂN THỦ
NHÀ CUNG CẤP sẽ:
14.1. Thực hiện kiểm toán thường xuyên theo tiêu chuẩn ngành hàng năm. Theo yêu cầu bằng văn bản của KHÁCH HÀNG, NHÀ CUNG CẤP sẽ cung cấp cho KHÁCH HÀNG bản sao đầy đủ hoặc tóm tắt, nếu có, của các báo cáo hiện tại của mình. NHÀ CUNG CẤP cũng phải cung cấp, không quá mười (10) ngày làm việc, phản hồi bằng văn bản cho tất cả các yêu cầu hợp lý (bảng câu hỏi, biểu mẫu, v.v.) do KHÁCH HÀNG đưa ra để kiểm tra xem NHÀ CUNG CẤP có tuân thủ các yêu cầu theo các Điều khoản này hay không.
14.2. Trong phạm vi được quy định hiện hành yêu cầu, mỗi năm một lần vào thời điểm thông báo trước ít nhất 30 ngày theo lịch, NHÀ CUNG CẤP sẽ cho phép KHÁCH HÀNG, kiểm toán viên tương ứng hoặc các đại lý khác (mỗi “Bên kiểm tra”) truy cập vào cơ sở, hồ sơ và tài liệu của Nhà cung cấp theo yêu cầu hợp lý của Bên kiểm tra để kiểm tra xem NHÀ CUNG CẤP có tuân thủ các yêu cầu theo các Điều khoản này hay không. Mọi hoạt động xem xét theo đoạn này sẽ không yêu cầu xem xét bất kỳ dữ liệu nào của bên thứ ba và Bên kiểm toán có thể phải ký kết thỏa thuận bảo mật với NHÀ CUNG CẤP nếu cần thiết một cách hợp lý để tôn trọng tính bảo mật của thông tin mà Bên kiểm toán có thể biết được trong quá trình thực hiện đánh giá. Mỗi Bên sẽ chịu chi phí riêng của mình liên quan đến việc kiểm toán đó. Trong trường hợp quá trình kiểm tra cho thấy sự không tuân thủ các nghĩa vụ của NHÀ CUNG CẤP theo các Điều khoản này, NHÀ CUNG CẤP sẽ khắc phục việc không tuân thủ đó trong khoảng thời gian đã được hai bên thống nhất và chịu chi phí cho những hành động đó.
14.3. NHÀ CUNG CẤP có quyền áp đặt các giới hạn và hạn chế trong việc hiển thị thông tin bí mật nội bộ và lấy bản sao của bất kỳ bằng chứng nào được yêu cầu tại điểm 14.1 và 14.2.
15. YÊU CẦU BẢO MẬT KHÁCH HÀNG
15.1. Các biện pháp an ninh chung
NHÀ CUNG CẤP sẽ:
15.1.1. PROVIDER đã xác định, ghi lại, triển khai và đang duy trì khuyến nghị bảo mật cho KHÁCH HÀNG sử dụng dịch vụ liên lạc đám mây của mình. KHÁCH HÀNG sẽ xem xét các khuyến nghị nói trên và triển khai chúng phù hợp với nhu cầu kinh doanh, năng lực kỹ thuật và khẩu vị rủi ro của mình.
15.1.2. KHÁCH HÀNG phải hoàn toàn chịu trách nhiệm về việc thiết lập đúng các biện pháp bảo mật về phía mình và sẽ không áp đặt bất kỳ trách nhiệm pháp lý nào lên NHÀ CUNG CẤP trong trường hợp xảy ra sự cố bảo mật do việc thiết lập các biện pháp an ninh và kỹ thuật không đúng cách hoặc sơ suất thực hiện các biện pháp theo khuyến nghị của NHÀ CUNG CẤP.
15.2. Các biện pháp giảm thiểu an ninh AIT
NHÀ CUNG CẤP sẽ:
15.2.1. PROVIDER đã xác định, ghi chép và duy trì các nguyên tắc bảo mật để ngăn chặn các trường hợp gian lận.
15.2.2. Rủi ro tiềm ẩn có thể phát sinh trên trang web hoặc ứng dụng di động của KHÁCH HÀNG được tích hợp với Hệ thống NHÀ CUNG CẤP nếu đăng ký hoặc hình thức khác thực thi SMS MT bằng OTP không được bảo vệ bằng cơ chế chống bot như CAPTCHA. Các lỗ hổng trong các ứng dụng như vậy có thể dẫn đến các cuộc tấn công tăng lưu lượng truy cập giả tạo (AIT). Cơ chế chống bot như CAPTCHA là cần thiết để bảo vệ luồng Đăng ký của Người dùng khỏi các đăng ký giả mạo tự động thực thi SMS MT bằng OTP.
15.2.3. Khi các cuộc tấn công AIT xảy ra, lưu lượng truy cập sẽ được gửi đến cơ sở hạ tầng của CUNG CẤP với địa chỉ IP nguồn được KHÁCH HÀNG sử dụng tại thời điểm gửi. Nội dung SMS MT của lưu lượng truy cập không thể phân biệt được với lưu lượng truy cập thực sự của KHÁCH HÀNG. Trong trường hợp không có bất kỳ phản hồi nào từ KHÁCH HÀNG, NHÀ CUNG CẤP không thể phân biệt giữa AIT trên ứng dụng của KHÁCH HÀNG và lưu lượng truy cập thực sự từ cùng một ứng dụng. Do đó, NHÀ CUNG CẤP không thể chịu trách nhiệm về tính bảo mật của (các) trang web hoặc ứng dụng di động của KHÁCH HÀNG. KHÁCH HÀNG xác nhận thêm rằng tất cả lưu lượng truy cập nhận được từ cơ sở hạ tầng của KHÁCH HÀNG sẽ được chuyển đến Nhà điều hành mạng và được tính phí cho KHÁCH HÀNG theo các điều khoản của Thỏa thuận.
15.2.4. Việc chặn các mạng bị ảnh hưởng sẽ không ngăn được sự cố tương tự xảy ra lần nữa trên các mạng đã bật vì nguyên nhân sâu xa của sự cố nằm ở cơ sở hạ tầng của KHÁCH HÀNG. Do đó, KHÁCH HÀNG bắt buộc phải giải quyết tất cả các biểu mẫu trên trang web hoặc ứng dụng di động thực thi mã SMS MT OTP của họ.
15.3. Yêu cầu tăng hạn mức tín dụng
NHÀ CUNG CẤP sẽ:
15.3.1. Giới hạn có thể nhanh chóng cạn kiệt nếu các lỗ hổng trên trang web KHÁCH HÀNG không được giải quyết. Vì vậy, NHÀ CUNG CẤP yêu cầu KHÁCH HÀNG xác nhận về nhận thức về rủi ro và hiểu biết về hậu quả tiềm ẩn của việc tăng hạn mức tín dụng.
15.3.2. Bằng cách yêu cầu tăng hạn mức tín dụng, KHÁCH HÀNG thừa nhận trách nhiệm đối với mọi tổn thất tiềm ẩn do các cuộc tấn công AIT và cam kết thanh toán mọi chi phí có thể phát sinh do đó.