Podstawowe wymagania bezpieczeństwa informacji dla podwykonawców

Każdorazowo przed nawiązaniem współpracy oraz przynajmniej raz w roku podwykonawca (kontrahent) powinien zapoznać się z poniższymi informacjami.

Bezpieczeństwo pracowników

Podwykonawca zobowiązuje się posiadać, realizować i poświadczyć posiadanie zasad, które obejmują:

  • przekazanie swojemu personelowi, realizującemu zadania na rzecz Euvic, informacji o wymaganiach bezpieczeństwa współpracy z Euvic;
  • zapewnienie, poprzez szkolenia, odpowiedniego poziomu informacji o wymaganiach bezpieczeństwa;
  • zadeklarowanie zapoznania się przez pracowników realizujących zadania na rzecz Euvic z wymaganiami bezpieczeństwa.

Urządzenia mobilne

Podwykonawca zapewnia, że bezpieczeństwo pracy wykonywanej na rzecz Euvic realizowanej przy użyciu urządzeń mobilnych jest zgodne z zasadami, które w zależności od charakteru współpracy mogą zawierać:

  • wymagania ochrony fizycznej urządzeń przenośnych (smartfony/tablety/notebooki);
  • możliwość kontroli instalowanego oprogramowania na urządzeniach mobilnych;
  • zarządzanie uprawnieniami dostępu do urządzeń mobilnych;
  • ochronę urządzeń mobilnych przed ingerencją zewnętrzną oraz szkodliwym oprogramowaniem;
  • odpowiednie szyfrowanie, które zapewnia bezpieczeństwo przechowywanych danych;
  • możliwość bezpiecznego zarządzania zdalnego urządzeniami mobilnymi.

Bezpieczeństwo systemów informatycznych

Zabezpieczenia środowisk systemów informatycznych powinny uwzględniać:

  • kontrolę przepływu danych zapewniającą brak wycieku oraz nieautoryzowanego dostępu do systemów;
  • separację środowisk w zależności od wykonywanych prac z rozbiciem na środowiska (produkcyjne, developerskie i testowe);
  • ochronę fizyczną systemów;
  • zapewnienie bezpieczeństwa danych udostępnionych lub wynoszonych poza obszar chroniony.

Przesyłanie informacji

Dostęp do systemów i transakcje w nich realizowane powinny spełniać dwa podstawowe wymagania bezpieczeństwa:

  • szyfrowanie połączenia za pomocą certyfikatu SSL (HTTPS) lub innego mechanizmu zapewniającego bezpieczny transfer informacji;
  • mechanizmy uwierzytelniania i autoryzacji oraz polityki i zasady przydzielania uprawnień użytkownikom.

Ponadto wymiana informacji powinna odbywać się przy użyciu odpowiednio zabezpieczonych kanałów. Zabrania się, aby Podwykonawca wykonywał zadania wymagające dostępu i przetwarzania danych chronionych wykorzystując niezabezpieczone sieci publiczne.

Zewnętrzne nośniki

Podwykonawca powinien:

  • posiadać i realizować polityki zapewniające bezpieczne i skuteczne usuwanie danych z nośników zawierających dane chronione;
  • posiadać i realizować polityki zapewniające bezpieczne przekazywanie nośników zawierających dane chronione i skuteczną ich ochronę.

Aktywa

Podwykonawca zobowiązuje się zapewnić właściwe użycie aktywów powierzonych przez Euvic oraz zapewnia, że:

  • użytkownicy tych aktywów posiadają umiejętność bezpiecznego korzystania z udostępnionych aktywów, danych na nich przechowywanych lub możliwości dostępu do danych chronionych;
  • po zakończeniu realizacji zleconych zadań użytkownicy zwrócą aktywa, a w przypadku danych usuną je w skuteczny sposób.

Praca zdalna

  • zdalny dostęp do zasobów może być wykorzystywany tylko w celach i zakresie uzgodnionym z Euvic;
  • zdalny dostęp jest imienny i wydawany każdemu pracownikowi podwykonawcy indywidualnie;
  • osoby korzystające z zasobów nie mogą ich udostępniać ani przekazywać innym osobom;
  • zabrania się przesyłać dane chronione przekazane przez Euvic za pośrednictwem niezabezpieczonych sieci publicznych;
  • osoby korzystające ze zdalnego dostępu muszą zapewnić, że zdalny komputer posiada aktualne oprogramowanie antywirusowe oraz nie jest jednocześnie podłączony do sieci komputerowej niespełniającej wymagań bezpieczeństwa.

Incydenty bezpieczeństwa

W przypadku zaistnienia incydentu bezpieczeństwa, podwykonawca musi niezwłocznie poinformować o tym fakcie Euvic oraz podjąć wszelkie niezbędne działania, aby zminimalizować wpływ tego incydentu na działanie i wizerunek Euvic. Podwykonawca powinien wykorzystywać odpowiednie narzędzia pozwalające na monitoring zdarzeń/logów oraz kontrolę dostępu do nich tak, aby umożliwić gromadzenie materiału dowodowego.

Incydenty należy zgłaszać na adres: abuse@euvic.pl

Zarządzanie uprawnieniami

  • przyznawanie uprawnień dostępu do systemów musi być dokumentowane i kontrolowane;
  • Podwykonawca musi zapewniać możliwość wglądu i kontroli osób posiadających dostęp do systemów Euvic;
  • konieczne jest stosowanie mechanizmów pozwalających na odbieranie przyznanych wcześniej uprawnień.

Kopie bezpieczeństwa

Podwykonawca powinien zapewnić wykonywanie oraz ochronę kopii zapasowych przetwarzanych informacji i fizyczne zabezpieczenie tych kopii. W przypadku systemów chmurowych powinien udokumentować, że kopie są wykonywane, wskazać częstotliwość i (jeśli to możliwe) miejsce ich przechowywania.

Zakończenie współpracy

Podwykonawca jest zobowiązany do:

  • zwrotu wszystkich aktywów powierzonych przez Euvic;
  • zapewnienia bezpieczeństwa wszystkich informacji chronionych;
  • skutecznego zniszczenia informacji, która powinny zostać usunięte po zakończeniu umowy;
  • innych działań wyszczególnionych w umowie odnoszących się do gwarancji bezpieczeństwa.
totop