Strona głównaPodstawowe wymagania bezpieczeństwa informacji dla podwykonawców

Podstawowe wymagania bezpieczeństwa informacji dla podwykonawców

Każdorazowo przed nawiązaniem współpracy oraz przynajmniej raz w roku podwykonawca (kontrahent) powinien zapoznać się z poniższymi informacjami.

Bezpieczeństwo pracowników

  • Podwykonawca zobowiązuje się posiadać, realizować i poświadczyć posiadanie zasad, które obejmują:

    • przekazanie swojemu personelowi, realizującemu zadania na rzecz Euvic, informacji o wymaganiach bezpieczeństwa współpracy z Euvic;
    • zapewnienie, poprzez szkolenia, odpowiedniego poziomu informacji o wymaganiach bezpieczeństwa;
    • zadeklarowanie zapoznania się przez pracowników realizujących zadania na rzecz Euvic z wymaganiami bezpieczeństwa.

Bezpieczeństwo systemów informatycznych

  • Zabezpieczenia środowisk systemów informatycznych powinny uwzględniać:

    • kontrolę przepływu danych zapewniającą brak wycieku oraz nieautoryzowanego dostępu do systemów;
    • separację środowisk w zależności od wykonywanych prac z rozbiciem na środowiska (produkcyjne, developerskie i testowe);
    • ochronę fizyczną systemów;
    • zapewnienie bezpieczeństwa danych udostępnionych lub wynoszonych poza obszar chroniony.

Zewnętrzne nośniki

  • Podwykonawca powinien:

    • posiadać i realizować polityki zapewniające bezpieczne i skuteczne usuwanie danych z nośników zawierających dane chronione;
    • posiadać i realizować polityki zapewniające bezpieczne przekazywanie nośników zawierających dane chronione i skuteczną ich ochronę.

Praca zdalna

    • zdalny dostęp do zasobów może być wykorzystywany tylko w celach i zakresie uzgodnionym z Euvic;
    • zdalny dostęp jest imienny i wydawany każdemu pracownikowi podwykonawcy indywidualnie;
    • osoby korzystające z zasobów nie mogą ich udostępniać ani przekazywać innym osobom;
    • zabrania się przesyłać dane chronione przekazane przez Euvic za pośrednictwem niezabezpieczonych sieci publicznych;
    • osoby korzystające ze zdalnego dostępu muszą zapewnić, że zdalny komputer posiada aktualne oprogramowanie antywirusowe oraz nie jest jednocześnie podłączony do sieci komputerowej niespełniającej wymagań bezpieczeństwa.

Zarządzanie uprawnieniami

    • przyznawanie uprawnień dostępu do systemów musi być dokumentowane i kontrolowane;
    • Podwykonawca musi zapewniać możliwość wglądu i kontroli osób posiadających dostęp do systemów Euvic;
    • konieczne jest stosowanie mechanizmów pozwalających na odbieranie przyznanych wcześniej uprawnień.

Zakończenie współpracy

  • Podwykonawca jest zobowiązany do:

    • zwrotu wszystkich aktywów powierzonych przez Euvic;
    • zapewnienia bezpieczeństwa wszystkich informacji chronionych;
    • skutecznego zniszczenia informacji, która powinny zostać usunięte po zakończeniu umowy;
    • innych działań wyszczególnionych w umowie odnoszących się do gwarancji bezpieczeństwa.

Urządzenia mobilne

  • Podwykonawca zapewnia, że bezpieczeństwo pracy wykonywanej na rzecz Euvic realizowanej przy użyciu urządzeń mobilnych jest zgodne z zasadami, które w zależności od charakteru współpracy mogą zawierać:

    • wymagania ochrony fizycznej urządzeń przenośnych (smartfony/tablety/notebooki);
    • możliwość kontroli instalowanego oprogramowania na urządzeniach mobilnych;
    • zarządzanie uprawnieniami dostępu do urządzeń mobilnych;
    • ochronę urządzeń mobilnych przed ingerencją zewnętrzną oraz szkodliwym oprogramowaniem;
    • odpowiednie szyfrowanie, które zapewnia bezpieczeństwo przechowywanych danych;
    • możliwość bezpiecznego zarządzania zdalnego urządzeniami mobilnymi.

Przesyłanie informacji

  • Dostęp do systemów i transakcje w nich realizowane powinny spełniać dwa podstawowe wymagania bezpieczeństwa:

    • szyfrowanie połączenia za pomocą certyfikatu SSL (HTTPS) lub innego mechanizmu zapewniającego bezpieczny transfer informacji;
    • mechanizmy uwierzytelniania i autoryzacji oraz polityki i zasady przydzielania uprawnień użytkownikom.
  • Ponadto wymiana informacji powinna odbywać się przy użyciu odpowiednio zabezpieczonych kanałów. Zabrania się, aby Podwykonawca wykonywał zadania wymagające dostępu i przetwarzania danych chronionych wykorzystując niezabezpieczone sieci publiczne.

Aktywa

  • Podwykonawca zobowiązuje się zapewnić właściwe użycie aktywów powierzonych przez Euvic oraz zapewnia, że:

    • użytkownicy tych aktywów posiadają umiejętność bezpiecznego korzystania z udostępnionych aktywów, danych na nich przechowywanych lub możliwości dostępu do danych chronionych;
    • po zakończeniu realizacji zleconych zadań użytkownicy zwrócą aktywa, a w przypadku danych usuną je w skuteczny sposób.

Incydenty bezpieczeństwa

  • W przypadku zaistnienia incydentu bezpieczeństwa, podwykonawca musi niezwłocznie poinformować o tym fakcie Euvic oraz podjąć wszelkie niezbędne działania, aby zminimalizować wpływ tego incydentu na działanie i wizerunek Euvic. Podwykonawca powinien wykorzystywać odpowiednie narzędzia pozwalające na monitoring zdarzeń/logów oraz kontrolę dostępu do nich tak, aby umożliwić gromadzenie materiału dowodowego.

    Incydenty należy zgłaszać na adres: abuse@euvic.pl

Kopie bezpieczeństwa

  • Podwykonawca powinien zapewnić wykonywanie oraz ochronę kopii zapasowych przetwarzanych informacji i fizyczne zabezpieczenie tych kopii. W przypadku systemów chmurowych powinien udokumentować, że kopie są wykonywane, wskazać częstotliwość i (jeśli to możliwe) miejsce ich przechowywania.

logo Fundusze Europejskie Program Regionalnylogo Rzeczpospolita Polskalogo Śląskie