You are here

hr-hr-min-sec-cont-annex

Primary tabs

Aneks o minimalnim sigurnosnim kontrolama

Sljedeći minimalni sigurnosni zahtjevi namijenjeni su služiti kao smjernice za razinu zaštite koju Nike očekuje od bilo kojeg sustava informacijske tehnologije Ugovaratelja koji Obrađuje Nike Podatke. Ovi sigurnosni zahtjevi temelje se na: općeprihvaćenim praksama informacijske sigurnosti i upravljanja informacijskom sigurnošću.

Ovi sigurnosni uvjeti primjenjuju se na (1) sve Ugovarateljeve sustave i mreže, uključujući sve sustave i mreže Podizvršitelja obrade, koji su integrirani s Nike sustavima i mrežama ili se koriste radi Obrađivanja Nike Podataka; i (2) Nike Podatke u bilo kojem obliku. Ugovaratelj izjavljuje i jamči da je završio Nike-ev postupak procjene rizika dobavljača te da će održavati sve zaštitne mjere i kontrole koje Ugovaratelj identificira tijekom procjene i poduzeti bilo koje daljnje korake potrebne prema ovom Aneksu o minimalnim sigurnosnim kontrolama.  

1. Politika i postupci

1.1. Ugovaratelj će održavati uspostavljeni proces životnog ciklusa za stvaranje politike, održavanje, provjeru, odobrenje i komunikaciju s relevantnim stranama. Oni uključuju standarde razvoja aplikacija i infrastrukture, politika sigurnosti, pohranu podataka, upravljanje incidentima te upravljanje IT operacijama.

1.2. Ugovaratelj će uspostaviti i održavati politike i postupke za definiranje i održavanje osnovnih sigurnosnih konfiguracija koji se dokumentiraju, odobravaju i provjeravaju na godišnjoj osnovi te prenose relevantnom Osoblju Ugovaratelja.

1.3. Ugovaratelj će uspostaviti i održavati sustav za upravljanje informacijskom sigurnošću poduzeća („SUIS“) i politiku sigurnosti koja definira: (a) odvojene uloge i dužnosti informacijske sigurnosti („IS“), (b) ulogu i važnosti IS, (c) ciljeve politike, (d) sigurnosne dužnosti zaposlenika i trećih strana, (e) regulatorne zahtjeve, uključujući tajnost i sigurnost podataka. Ugovaratelj će osigurati da je takva politika odobrena od strane odgovarajuće razine višeg rukovodstva i da je prenesena relevantnom Osoblju Ugovaratelja. 

1.4. Ugovaratelj će uspostaviti i održavati postupke za izradu, distribuciju i pohranu enkripcijskih ključeva koji uključuju: izradu snažnih ključeva, distribuciju korištenjem sigurnih metoda, sigurnu pohranu ključeva, povremenu rotaciju ključeva (kriptoperiodi), upravljanje životnim vijekom, i povlačenje ili zamjena ključeva u slučaju sumnje na kompromitaciju. 

2. Upravljanje imovinom. Ugovaratelj će uspostaviti i održavati politike i postupke vezane uz identifikaciju imovine, klasifikaciju i upravljanje (od nabave do odlaganja) koje politike i postupci su dokumentirani, implementirani i preneseni Osoblju Ugovaratelja.

3. Kontinuitet poslovanja i oporavak od kriznih situacija

3.1. Ugovaratelj će uspostaviti i održavati politike i procedure za kontinuitet poslovanja i oporavak od kriznih situacija koje su dokumentirane, odobrene, provjerene na godišnjoj osnovi i prenesene Osoblju Ugovaratelja.

3.2. Ugovaratelj će osigurati identifikaciju i dokumentiranje ključnih sustava te uspostavljanje postupaka održavanja operacija u slučaju štetnih događaja.

3.3. Ugovaratelj će uspostaviti i održavati: (a) sigurnosne kopije (backups) koje su automatizirane i prate unaprijed utvrđeni i odobreni raspored; (b) uzbune koje se stvaraju u slučaju grešaka prilikom izrade sigurnosne kopije (backup job errors) i koje se pravovremeno prikazuju i (c) postupke izrade sigurnosne kopije (backup processes) koji se periodički testiraju kako bi se jamčila mogućnost oporavka u slučaju pada sustava ili oštećenja podataka.

4. Upravljanje promjenama (Change Management)

4.1. Ugovaratelj će uspostaviti i održavati sveobuhvatnu politiku upravljanja promjenama koja je dokumentirana, odobrena, provjerena na godišnjoj osnovi i prenesena Osoblju Ugovaratelja. Za svaki sloj sustava (aplikacija, baza podataka, operacijski sustav, virtualizacijske tehnologije i mikroservisi (microservices)) politika će definirati: vrste promjena, uvjete odobrenja, i uvjete testiranja.

4.2. Ugovaratelj će primijeniti promjene sustava/aplikacije koje slijede uspostavljeni postupak kontrole promjena vezan uz provjeru, odobrenje i testiranje prije nego se promjene izvrše u sustavu proizvodnje.

4.3. Ugovaratelj će primijeniti hitne promjene koje su zatražene, odobrene i uspostavljene te kojima su čuvani dokazi  u skladu s, politikom upravljanja promjenama.

5. Sigurnost vezana uz Osoblje Ugovaratelja (Human Resource Security)

5.1. Ugovaratelj će provoditi odgovarajuću pozadinsku provjeru (background screening), uključujući pozadinsku provjeru kaznene osuđivanosti/kaznenih postupaka svog Osoblja Ugovaratelja (u mjeri u kojoj mu to dopušta mjerodavno pravo), prije nego bilo kojem članu Osoblja Ugovaratelja odobri Obradu Nike Podataka ili pristup Nike informacijskom sustavu računalne mreže, bazama podataka, sigurnim aplikacijama ili nejavnim područjima Nike objekta. Ugovaratelj će osigurati da niti jedan član Osoblja Ugovaratelja koji je bio osuđen za kazneno djelo ili određene ponovljene prekršaje koji uključuju nasilje ili uznemiravanje neće pružati usluge u nejavnim područjima Nike prostora.

5.2. Ugovaratelj će osigurati da svo Osoblje Ugovaratelja uspješno završi odgovarajuću i primjerenu obuku o privatnosti i informacijskoj sigurnosti prije Obrađivanja Nike Podataka, te su Podizvršitelji dužni redovito pružati odgovarajuće i primjerene obuke o privatnosti i informacijskoj sigurnosti svojem osoblju.

5.3. Svo Osoblje Ugovaratelja je dužno čuvati Nike Podatke povjerljivima i pridržavati se Ugovarateljevih politika i postupaka informacijske sigurnosti. Ugovaratelj je dužan osigurati (a) rukovoditeljski nadzor radi zahtijevanja pridržavanja Upraviteljevim politikama i postupcima informacijske sigurnosti i (b) disciplinski postupak (uključujući otkaz) u slučaju povreda Ugovarateljevih politika i postupaka informacijsk sigurnosti.

6. Informacijska sigurnost

6.1. Ugovaratelj će osigurati sigurnost svoje mreže, aplikacije (uključujući baze podataka), infrastrukture i platforme.

6.2. Ugovaratelj će osigurati da se na razini aplikacije proturječne aktivnosti odvoje i periodički provjeravaju, uključujući:

6.2.1. Da Ugovaratelj obavlja aktivnosti razvoja u razvojnoj okolini odvojenoj od proizvodne okoline,

6.2.2. Da je administracija aplikacije odvojena od administracije prava pristupa,

6.2.3. Da je administracija baze podataka (i bilo koja druga vrsta prava izravnog ažuriranja podataka) odvojena od administracije aplikacije, od administracije sigurnosti i od Osoblja Ugovaratelja koji pružaju usluge razvoja, te

6.2.4. Da je Osoblje Ugovaratelja koje odobrava prava na pristup odvojeno od osobe koja dodjeljuje prava na pristup u sustavu Ugovaratelja. 

6.3. Ugovaratelj će na godišnjoj osnovi provesti opsežnu kontrolu rizika za ključne sustave i mreže, uključujući aplikaciju, bazu podataka, sustav upravljanja bazom podataka, operacijski sustav, prateće sustave i odgovarajuće mreže. Ugovaratelj će u skladu s nalazima prilagoditi postupke ili konfiguracije te će Ugovaratelj periodički preispitati nalaze.

6.4. Ugovaratelj će implementirati i održavati politike i postupke kako bi osigurao da su podaci osigurani u skladu s njihovom razinom osjetljivosti.

6.5. Ugovaratelj će pohraniti sustavne podatke (system files) i izvorni kod (source code) na sigurnoj lokaciji s ograničenim pristupom.

6.6. Ugovaratelj će osigurati da odgovarajuće Ugovarateljevo rukovodstvo pregleda i odobri sve zahtjeve za pristup informacijskim tehnologijama na razini aplikacije, baze podataka ili operacijskog sustava.

6.7. Ugovaratelj će osigurati da u slučaju kada se status (otkazan, prenesen) određenog člana Osoblja Ugovaratelja ili Podizvršitelja promijeni, sustav upozori Ugovarateljevo rukovodstvo, kako bi se mogle poduzeti prikladne radnje.

6.8. Ugovaratelj će osigurati da se, u slučaju kada bilo koji poslovni zadaci Osoblja Ugovaratelja ili Podizvršitelja više ne iziskuju pristup sustavu (na razini aplikacije, baze podataka i operacijskog sustava), na vrijeme ukine njihov pristup.

6.9. Ugovaratelj će redovito provoditi provjere ovlasti, pritom koristeći potpunu i točnu ukupnost korisničkih računa, za korisničke račune i za račune sustava (system accounts).

6.10. Ugovaratelj će uspostaviti i održavati sigurnosne kontrole perimetra (perimeter security controls) i, gdje je primjenjivo, unutarnje sigurnosne kontrole (federated security controls), koje ispunjavaju standarde industrije za sigurnu konfiguraciju u skladu s arhitekturom sustava koju pruža i/ili koristi Ugovaratelj (uključujući pohranu u oblaku ili infrastrukturu oblaka).

6.11. Ugovaratelj će implementirati i održavati najbolje prakse sigurnosti resursa u oblaku, Softvera kao Usluge i web aplikacija, u skladu sa standardima industrije i preporukama pružatelja usluga oblaka. Ne ograničavajući glavni dio Ugovarateljevih sigurnosnih obveza, ako Nike za takve resurse odredi minimalne zahtjeve upravljanja konfiguracijom, Ugovaratelj je dužan udovoljiti takvim zahtjevima.

6.12. Ugovaratelj provodi ili izdvaja trećima (outsources) redovne procjene kontrola perimetra (npr. društveni inženjering, etičko hakiranje) u skladu sa arhitekturom sustava koju Ugovaratelj pruža  i/ili koristi, uključujući testiranja probijanja (penetration) na godišnjoj osnovi te kvartalne provjere ranjivosti (vulnerability scans).

6.13. Ugovaratelj provodi redovnu procjenu i nadziranje konfiguracija sustava, uključujući operacijske sustave, baze podataka, mrežne uređaje i sustave kontrole perimetra (npr. vatrozidi). 6.14. Ugovaratelj će održavati antivirusne i/ili anti-malware softvere koji su instalirani i ažurirani.

6.15. Ugovarateljeva administracija sigurnosti informacijskih tehnologija prati i bilježi sigurnosne aktivnosti na razini operacijskog sustava, aplikacije i baze podataka. Utvrđene sigurnosne povrede prijavljuju se Ugovarateljevom višem rukovodstvu.

6.16. Ugovaratelj (ili njegov(i) Podizvršitelj(i)) će implementirati i održavati fizičke i okolinske sigurnosne kontrole u građevinama i podatkovnim centrima koji Obrađuju Nike Podatke, uključujući prikladne elektroničke sustave za kontrolu pristupa, sigurnosno nadziranje i otkrivanje topline/dima.

6.17. Ugovaratelj će osigurati fizičku sigurnost svojih prostora gdje se drže isprave u papirnatom obliku, poslužitelji (serveri), računalna oprema i sustavi sigurnosnog kopiranja.

6.18. Ugovaratelj će čuvati od gubitka ili krađe osobno računalo, laptop, stolno računalo ili bilo koji drugi uređaj za pohranu, uključujući mobilne uređaje.

6.19. Ugovaratelj će čuvati i Obrađivati Nike Podatke u skladu s Primjenjivim Pravilima.

6.20. Ugovaratelj će, gdje je to tehnički izvedivo i utvrđeno zahtjevima poslovanja, implementirati i održavati kontrolu pristupa temeljenu na ulogama (role) koja dodjeljuje prava Osoblju Ugovaratelja na temelju klasifikacije poslova i funkcija te ograničiti pristup na temelju nužnosti informiranja te osobe.

6.21. Ugovarateljev korisnik, privilegirani i servisni korisnički računi će osigurati da isključivo Osoblje Ugovaratelja ima pristup Nike Podacima i Ugovarateljevim komponentama sustava kojima se Obrađuju Nike Podaci te da su zaštićeni najboljim praksama zaštite lozinkom, uključujući: (i) minimalnu duljinu lozinke, (ii) zaključavanje nakon neispravnih pokušaja prijave i odsutnosti tijekom sesije (idle session), (iii) minimalna trajanja zaključavanja, (iv) ponovna upotreba lozinka (password re-use), i (v) složenost lozinke.

6.22. Ugovaratelj neće koristiti zajedničke, generičke ili sustavom generirane identifikacije (IDs) radi pružanja privilegiranog pristupa ili radi upravljanja bilo kojim komponentama sustava.

6.23. Ugovaratelj neće dijeliti lozinke s bilo kime osim utvrđenog vlasnika identifikacije sustava (system ID) ili korisničkog računa.

6.24. Ugovaratelj će zahtijevati od svoje Službe za IT podršku poduzimanje prikladnih koraka radi zaštite protiv društvenog inženjeringa kojim se dobiva pristup bilo kojem korisničkom računu Osoblja Ugovaratelja, uključujući potvrdu identiteta radi ponovnih postavljanja lozinka ili otkrivanja problema pristupa.

6.25. Ugovaratelj će zaštititi daljinska povezivanja na način da će dokumentirati dozvoljene metode daljinskog pristupa Nike Podacima, uspostaviti ograničenja korištenja, nadzirati neodobrene daljinske pristupe, koristiti kriptografiju sa svrhom zaštite povjerljivosti i integriteta sesija daljinskog pristupa te automatski prekinuti sesiju daljinskog pristupa u slučaju perioda neaktivnosti.

6.26. Ugovaratelj će, kad koristi kriptografiju, koristiti snažnu kriptografiju i sigurnosne protokole koji se temelje na enkripcijskim standardima Nacionalnog Instituta za Standarde i Tehnologiju („NIST“). Pristup kriptografskim ključevima biti će omogućen što manjem broju potrebnih čuvara i sigurno pohranjeni na što je manje moguće lokacija i u što je manje moguće formata. Kriptografski ključevi biti će enkriptirani korištenjem ključa za enkripciju ključeva koji je pohranjen odvojeno od ključeva za enkripciju podataka te će ključevi biti rotirani u skladu s NIST najboljim praksama za kriptoperiode. 

6.27. Ugovaratelj će osigurati da su svi Nike Podaci zaštićeni enkripcijom prema industrijskim standardima ili jačom dok su u mirovanju ili u prijenosu. Osim ako je to potrebno radi pružanja Usluga, Ugovaratelj neće otključati, izvršiti obrnuto inženjerstvo ili na drugi način izložiti sažete, kriptirane, ili anonimizirane Nike Podatke.

6.28. Ugovaratelj će implementirati i održavati najbolje prakse za sigurnosno evidentiranje na prikladnim sustavima, uređajima i postupcima, uključujući nadziranje sumnjivih i neodobrenih aktivnosti, odvajanje i zaštitu evidencija te vremensku korelaciju (time-based correlation). Ugovaratelj će implementirati i održavati postupak pravodobnog pregleda i instalacije zakrpa sigurnosnog softvera te nadogradnji za sustave, uređaje i aplikacije.

6.29. Ugovaratelj će implementirati i održavati postupak pravodobnog ispravljanja ranjivosti uočenih u sklopu poslovanja i aktivnosti upravljanja ranjivostima.

6.30. Ugovaratelj će štititi Nike Podatke tijekom prijenosa putem otvorenih mreža, uključivo koristeći snažnu kriptografiju i sigurnosne protokole radi zaštite Nike Podataka tijekom prijenosa putem otvorene, javne mreže i najbolje prakse industrije kod uspostavljanja snažne enkripcije radi utvrđivanja vjerodostojnosti i prijenosa Nike Podataka putem bežične mreže ili veze s osjetljivim mrežama. 

6.31. Ugovaratelj će uspostaviti i održavati politike i mjere zaštite vezane uz sigurnost bilo kojeg uređaja na kojem se pohranjuju Nike Podaci ili ih se Obrađuje, uključujući laptope, mobitele i medije za pohranu. Ugovaratelj neće pohranjivati Nike Podatke na bilo koji laptop, tablet, flash disk, mobilni telefon, ili drugi takav mobilni uređaj osim ako je Ugovaratelj dobio Nike-ev pisani pristanak, te ako je uređaj zaštićen enkripcijom prema industrijskim standardima.

6.32. Ugovaratelj će implementirati i održavati mehanizme autentifikacije i kontrole pristupa na medijima, aplikacijama, operativnim sustavima, i opremi, uključujući bilježenje svakog pristupa i izvlačenja, te zadržavanje takvih zapisa o pristupu tijekom razdoblja ne kraćeg od dvanaest mjeseci.

6.33. Ugovaratelj će uspostaviti i održavati sustave prevencije i detekcije ulaska koristeći mrežne mehanizme prevencije i prepoznavanja ulaska. 

6.34. Ugovaratelj će osigurati strogo fizičko ili logičko odvajanje Nike Podataka od podataka koji nisu Nike Podaci, tako da obje vrste podataka nisu pomiješane ni u jednom sustavu.

7. Upravljanje projektima

7.1. Ugovaratelj će uspostaviti i održavati životni ciklus razvoja sustava koji uključuje razvoj sigurnog softvera, koji je odobren od strane rukovodstva i koji je prenesen Osoblju Ugovaratelja.  

7.2. Ugovaratelj će upotrijebiti prakse sigurnog razvoja kod dizajna, razvoja, održavanja, poboljšanja i povlačenja (a) svojih vlastitih proizvoda i usluga, i (b) bilo kojih usluga pruženih i proizvoda dostavljenih Nike-u. Takve prakse sigurnog razvoja biti će usklađene s standardima industrije poput OWASP Top Ten, ISO 27002 i smjernicama za sigurno programiranje koje pružaju organizacije poput CERT Odjel Instituta Softverskog Inženjeringa. Bez ograničavanja općenitosti ranije navedenog, takve prakse sigurnog razvoja uključuju: (1) razdvajanje sigurnosnih uloga i odgovornosti; (2) razdvajanje okolina razvoja, testiranja i proizvodnje, (3) sigurnosno testiranje u testnoj okolini prije implementacije u proizvodnoj okolini; (4) zabranu korištenja osjetljivih podataka i Nike Podataka u testnoj okolini; (5) razvijanje politike sigurnog razvoja; (6) razvijanje metodologije sigurnog razvoja i smjernica za sigurno kodiranje specifičnih za programski jezik; (7) implementiranje promjena formalnih kontrolnih postupaka koji uključuju sigurnosno testiranje i verifikaciju; (8) obuku sigurnog programiranja za razvojne programere; i (9) razmatranje osjetljivosti podataka ili sustava.

7.3. Ugovaratelj će uspostaviti i održavati prikladna jamstva kvalitete, testiranje prihvatljivosti za korisnike i sigurne provjere koda aplikacije.

8. Odgovor na incidente

8.1. Ugovaratelj će uspostaviti i održavati uspostavljene politike odgovora na incidente i postupke koji pokrivaju procese otkrivanja, obuzdavanja, oporavka, eskalacije i obavještavanja.

8.2. Ugovaratelj povremeno testira aktivnosti odgovora na incidente, uključujući kod primjerenih Podizvršitelja (npr. pružatelji usluga oblaka).

9. Upravljanje Ugovarateljima

9.1. Ugovaratelj će koristiti razumnu pažnju u vezi s praksama sigurnosti svojih Podizvršitelja prije angažiranja i održavati ugovore s Podizvršiteljima koji uključuju odredbe kojima se propisuje podizvršiteljeva dužnost zaštite i osiguranja Nike Podataka u skladu s ovim Ugovorom i Primjenjivim Pravilima. 

9.2. U slučaju da Ugovaratelj koristi trećeg pružatelja usluge oblaka (cloud) kako bi pružao Usluge, takav treći pružatelj usluga oblaka smatrat će se Podizvršiteljem. Ugovaratelj potvrđuje i suglasan je da korištenje trećeg pružatelja usluga oblaka podrazumijeva podijeljenu odgovornost za sigurnost između Ugovaratelja i trećeg pružatelja usluga. Ugovaratelj će zadovoljiti sve najbolje sigurnosne prakse koje preporuči pružatelj usluga oblaka, ili više od njih, te primijeniti gore navedeni minimum zahtjeva u odnosu na Nike Podatke koji su pohranjeni u oblaku.

 

Agreement Type: 
Locales: 
UxIDs: 

User login