Príloha – Minimálne požiadavky na bezpečnosť
Účelom nižšie uvedených minimálnych požiadaviek pre bezpečnosť je poskytnúť návod pre úroveň ochrany, ktorú spoločnosť Nike očakáva od systémov informačnej technológie ktoréhokoľvek Zmluvného dodávateľa, kde sú Spracovávané Údaje spoločnosti Nike. Tieto bezpečnostné požiadavky sú založené na všeobecne prijímaných postupoch v oblasti informačnej bezpečnosti a na systémovej organizácii ochrany informácií:
Tieto požiadavky pre bezpečnosť platia pre (1) všetky systémy a siete Zmluvného dodávateľa, vrátane systémov a sietí zmluvne zabezpečeného Čiastkového dodávateľa, ktoré sú prepojené so systémami a sieťami spoločnosti Nike alebo ktoré sa používajú na Spracovanie Údajov spoločnosti Nike; a pre (2) Údaje spoločnosti Nike v akejkoľvek forme. Zmluvný dodávateľ s vyhlasuje a zaručuje, že prešiel procesom hodnotenia rizík u Čiastkových spracovávateľov spoločnosti Nike a že bude dodržiavať všetky bezpečnostné opatrenia a nastavenia určené Zmluvným dodávateľom v rámci hodnotenia a uskutoční akékoľvek ďalšie kroky stanovené v tejto Prílohe, stanovujúcej minimálne bezpečnostné požiadavky.
1. Stratégie a postupy
1.1. Zmluvný dodávateľ používa zavedený komplexný systém pre vytváranie stratégií/postupov, ich udržovanie, revízie, schválenie a oznamovanie príslušným stranám. Súčasťou tohto komplexného systému sú najmä vývoj štandardov pre aplikácie infraštruktúry, pravidlá bezpečnosti, uchovávanie údajov, riadenie incidentov a IT operácií.
1.2. Zmluvný dodávateľ zavedie do praxe a bude udržiavať stratégie a postupy zabezpečujúce, že definície a udržovanie základných bezpečnostných konfigurácií, ktoré budú zdokumentované, schvaľované, každoročne revidované a následne oznamované príslušným Pracovníkom Zmluvného dodávateľa.
1.3. Zmluvný dodávateľ zavedie do praxe a bude udržovať systém riadenia bezpečnosti informácií („ISMS“) a bezpečnostné pravidlá, ktoré určia:
(a) úlohy a zodpovednosť pri zabezpečení vybraných (segregovaných) informácií („IS“),
(b) úlohy a význam zabezpečenia vybraných informácií (IS),
(c) ciele pravidiel,
(d) zodpovednosť zamestnancov a tretích strán v oblasti bezpečnosti, a
(e) regulatórne požiadavky vrátane ochrany súkromia a bezpečnosti osobných údajov.
Zmluvný dodávateľ zabezpečí, že tieto pravidlá budú schválené na príslušnej úrovni seniorného managementu a informácie o nich budú poskytnuté príslušným Pracovníkom Zmluvného dodávateľa.
1.4 Zmluvný dodávateľ zavedie do praxe a bude udržovať postupy pre tvorbu, šírenie a uloženie v pamäti šifrovacích kľúčov, najmä tvorbu silných kľúčov, distribúciu s využitím bezpečných ciest, bezpečného uloženia kľúčov, pravidelných rotácií kľúčov (tzv. krypto-periódy), riadenia konca životného cyklu, a v prípade podozrenia z prelomenia ochrany, vyradenia či výmeny kľúčov.
2. Riadenie aktív (Asset Management)
2.1. Zmluvný dodávateľ zavedie do praxe a bude udržovať stratégie a postupy súvisiace s identifikáciou aktív, ich klasifikáciou a konaním (od zabezpečenia/získania až po likvidáciu), pričom tieto stratégie a postupy budú dokumentované, implementované a oznamované Pracovníkom Zmluvného dodávateľa.
3. Pokračovanie v chode podnikania a obnova pri haváriách
3.1. Zmluvný dodávateľ zavedie do praxe a bude udržovať stratégie a postupy pre zabezpečenie pokračovania v chode podnikania a obnovu pri haváriách, pričom takéto stratégie a postupy budú dokumentované, schvaľované, každoročne revidované a oznamované Pracovníkom Zmluvného dodávateľa.
3.2. Zmluvný dodávateľ zabezpečí, že budú identifikované a dokumentované kritické systémy a že budú zavedené postupy na riadenie prevádzky v prípade nepriaznivej udalosti.
3.3. Zmluvný dodávateľ zavedie do praxe a bude udržiavať: (a) zálohy (backups), ktoré sú automatizované a riadia sa vopred určeným a schváleným rozvrhom/harmonogramom; (b) varovanie (alerts), ktoré sa vytvárajú v prípade, že v zálohovaní nastane chyba, a ktoré sa včas odosielajú; (c) zálohovacie procesy (backups), ktoré budú pravidelne testované za účelom potvrdenia, že existuje schopnosť obnovy v prípade zlyhania systému či poškodenia dát.
4. Management zmien
4.1 Zmluvný dodávateľ zavedie do praxe a bude udržovať zastrešujúci systém managementu zmien, pričom takýto systém bude dokumentovaný, schvaľovaný, každoročne revidovaný a oznamovaný Pracovníkom Zmluvného dodávateľa. Pre každú vrstvu systému (aplikácia, databáza, operačný systém, virtualizačná technológia a mikro-služby) bude postup definovať typy zmien, požiadavky na schválenie, a testovacie požiadavky.
4.2 Predtým, než budú uskutočnené zmeny v produkčnom systéme, aplikuje Zmluvný dodávateľ také zmeny systému/aplikácií, ktoré sa riadia zavedeným postupom pre zmenu kontroly v oblasti revízie, schvaľovania a testovania.
4.3 Zmluvný dodávateľ použije krízové zmeny, ktoré sú vyžiadané, schválené a implementované postupom pre management zmien, pričom doklady o takých krízových zmenách budú vedené v súlade s postupom pre management zmien.
5. Bezpečnosť ľudských zdrojov
5.1. Predtým, ako Zmluvný dodávateľ umožní Pracovníkovi Zmluvného dodávateľa Spracovávať Údaje spoločnosti Nike alebo vstúpiť do počítačových sietí, informačných systémov, databáz, zabezpečených aplikácií či neverejných zón na zariadeniach spoločnosti Nike, uskutoční Zmluvný dodávateľ vhodné preverovanie minulosti všetkých Pracovníkov Zmluvného dodávateľa, a to vrátane preverenia trestnoprávnej minulosti (v rozsahu povolenom platnými právnymi predpismi). Zmluvný dodávateľ zabezpečí, že žiadny Pracovník Zmluvného dodávateľa, ktorý bol odsúdený za závažný trestný čin alebo bol odsúdený opakovane za určité druhy menej závažných trestných činov vrátane násilia alebo obťažovania, nebude poskytovať služby v neverejných častiach prevádzok spoločnosti Nike.
5.2. Zmluvný dodávateľ zabezpečí, že všetci Pracovníci Zmluvného dodávateľa pred začatím Spracovania Údajov spoločnosti Nike úspešne absolvujú zodpovedajúce a vhodné školenie v oblasti ochrany súkromia a informačnej bezpečnosti; od Čiastkových spracovateľov sa vyžaduje, aby svojím vlastným pracovníkom pravidelne poskytovali zodpovedajúce a vhodné školenia v oblasti ochrany súkromia a informačnej bezpečnosti.
5.3. Od všetkých Pracovníkov Zmluvného dodávateľa sa bude vyžadovať, aby zachovávali dôverný charakter Údajov spoločnosti Nike a aby dodržiavali pravidlá a postupy Zmluvného dodávateľa pre zabezpečenie bezpečnosti informácií.
5.4. Zmluvný dodávateľ zabezpečí (a) manažérsky dohľad nad Pracovníkmi Zmluvného dodávateľa, aby vyžadoval dodržovanie pravidiel a postupov Zmluvného dodávateľa v oblasti bezpečnosti informácií, a (b) disciplinárny postih (vrátane ukončenia pracovného pomeru/spolupráce) v prípade porušenia pravidiel a postupov Zmluvného dodávateľa v oblasti bezpečnosti informácií.
6. Bezpečnosť informácií
6.1. Zmluvný dodávateľ zabezpečí bezpečnosť svojej siete, aplikácie (vrátane databáz), infraštruktúry a platformy.
6.2. Zmluvný dodávateľ zabezpečí, že na aplikačnej úrovni budú konfliktné aktivity oddelené a pravidelne kontrolované, vrátane toho, že:
6.2.1. Zmluvný dodávateľ vykonáva vývoj vo vývojovom prostredí oddelenom od výrobného prostredia,
6.2.2. Správa aplikácií je oddelená od správy prístupových práv,
6.2.3. Správa databáz (a akákoľvek iná forma výsady priamej aktualizácie údajov) je oddelená od správy aplikácií, od správy bezpečnosti a od Pracovníka Zmluvného dodávateľa, ktorý poskytuje vývojárske služby, a
6.2.4. Pracovník Zmluvného dodávateľa, ktorý schvaľuje prístupové práva, je oddelený od osoby udeľujúcej prístupové práva do systému Zmluvného dodávateľa.
6.3. Zmluvný dodávateľ bude každoročne vykonávať komplexné hodnotenie rizík kritických systémov a sietí, vrátane aplikácie, databázy, systému managementu databáz, operačného systému, podporných systémov a súvisiacich sietí. Zmluvný dodávateľ prispôsobí procesy a konfigurácie podľa zistení, ku ktorým sa Zmluvný dodávateľ bude pravidelne vracať.
6.4. Zmluvný dodávateľ zavedie do praxe a bude udržovať stratégie a postupy na zabezpečenie toho, aby boli dáta zabezpečené tak, ako to zodpovedá úrovni ich citlivosti.
6.5. Zmluvný dodávateľ bude uchovávať systémové súbory a zdrojový kód na bezpečnom mieste s obmedzeným prístupom.
6.6. Zmluvný dodávateľ zabezpečí, že žiadosti o prístup na aplikačnú a databázovú úroveň informačnej technológie a na úroveň operačného systému informačnej technológie sú kontrolované a schvaľované príslušnými pracovníkmi managementu Zmluvného dodávateľa.
6.7. Zmluvný dodávateľ zabezpečí, že po zmene statusu konkrétneho Pracovníka Zmluvného dodávateľa alebo pracovníka Čiastkového dodávateľa (ukončené, prevedené) odošle systém varovanie managementu Zmluvného dodávateľa tak, aby mohli byť podniknuté príslušné kroky.
6.8. Zmluvný dodávateľ zabezpečí, že akonáhle pracovné povinnosti ktoréhokoľvek Pracovníka Zmluvného dodávateľa alebo pracovníka Čiastkového dodávateľa naďalej nevyžadujú prístup do systému (na úrovni aplikácie, databázy a operačného systému), bude prístup pre týchto Pracovníkov Zmluvného dodávateľa včas ukončený.
6.9. Zmluvný dodávateľ bude pravidelne uskutočňovať kontroly oprávnení (entitlement reviews) s využitím komplexnej úplnej a presnej populácie účtov, a to z hľadiska užívateľských účtov Zdroja aj z hľadiska systémových účtov.
6.10. Zmluvný dodávateľ zavedie do praxe a bude udržovať obvodové bezpečnostné kontroly; a v nevyhnutných prípadoch tiež federované bezpečnostné kontroly, ktoré spĺňajú odvetvové štandardy v oblasti bezpečnej konfigurácie, konzistentné s architektúrou systémov poskytovanou a/alebo používanou Zmluvným dodávateľom (vrátane cloudových úložísk či infraštruktúry).
6.11. Zmluvný dodávateľ zavedie do praxe a bude udržovať osvedčené opatrenia na zabezpečenie cloudových úložísk, aplikácie „Software as a Service“ a webových aplikácií, a to v súlade s odvetvovými štandardmi a odporučeniami poskytovateľa cloudových služieb. Bez toho, aby bola akokoľvek obmedzená všeobecný charakter zodpovednosti Zmluvného dodávateľa za bezpečnosť, platí, že
ak stanoví spoločnosť Nike minimálne požiadavky na riadenie konfigurácie vo vzťahu k takým úložiskám, je Zmluvný dodávateľ povinný také požiadavky dodržať.
6.12. Zmluvný dodávateľ sám alebo prostredníctvom externého poskytovateľa Služieb uskutočňuje pravidelné vyhodnotenie obvodových kontrol (napr. sociálne inžinierstvo, eticky prijateľný hacking) konzistentných s architektúrou systému poskytovanou a/alebo používanou Zmluvným dodávateľom, najmä vrátane každoročného testovania penetrácie a štvrťročného testovania zraniteľných miest.
6.13. Zmluvný dodávateľ uskutočňuje pravidelne hodnotenie a monitoring konfigurácií systémov, najmä vrátane operačných systémov, databáz, sieťových zariadení a systémov obvodovej kontroly (napr. firewaly).
6.14. Zmluvný dodávateľ bude udržiavať v prevádzke antivírusový a/alebo anti-malwarový software, ktorý je nainštalovaný a aktualizovaný.
6.15. Zmluvný dodávateľ správy bezpečnosti informačnej technológie monitoruje a zaznamenáva aktivity na úrovni operačného systému, aplikácií a databáz. Zistené porušenia bezpečnosti sú hlásené seniornému managementu Zmluvného dodávateľa.
6.16. Zmluvný dodávateľ (alebo jeho Čiastkový(í) dodávateľ(ia) zavedie do praxe a bude udržovať fyzické a environmentálne bezpečnostne kontroly v budovách a dátových centrách, kde sú Spracovávané Údaje spoločnosti Nike, vrátane vhodných elektronických systémov pre kontrolu prístupu, monitoring zabezpečenia a čidiel pre detekciu výskytu tepla/dymu.
6.17. Zmluvný dodávateľ zabezpečí fyzickú bezpečnosť svojich prevádzkarní kde sú uložené súbory v papierovej forme, servery, počítačové vybavenie a záložné systémy-
6.18. Zmluvný dodávateľ sa bude chrániť proti strate alebo krádeži osobného počítača, laptopu, desktopu alebo akéhokoľvek iného úložného zariadenia, vrátane mobilných prístrojov.
6.19. Zmluvný dodávateľ bude Údaje spoločnosti Nike chrániť a Spracovávať ich v súlade s Platnými predpismi.
6.20. V prípadoch, kedy je to technicky možné a kedy to vyžadujú obchodné okolnosti, Zmluvný dodávateľ zavedie do praxe a bude udržovať kontrolu prístupu založenú na úlohe/funkcii, ktorá prideľuje Pracovníkom Zmluvného dodávateľa výsady (privilégiá) na základe pozície/pracovného zaradenia a funkcia obmedzuje prístup k údajom na základe potreby takej osoby byť oboznámený s danými údajmi.
6.21. Zmluvným dodávateľom riadené užívateľské, privilegované a obslužné účty zabezpečia, že prístup k Údajom spoločnosti Nike je poskytovaný len Pracovníkom Zmluvného dodávateľa a že systémové komponenty Zmluvného dodávateľa spracovávajúceho Údaje spoločnosti Nike sú chránené pomocou postupov osvedčenej praxe na ochranu hesiel, najmä vrátane nižšie uvedených prvkov:
(a) minimálna dĺžka hesla,
(b) Blokácia po neplatnom pokuse o prihlásenie alebo po období nečinnosti v rámci prihlásenia sa,
(c) minimálne trvanie blokácie,
(d) opakované použitie rovnakého hesla, a
(e) zložitosť hesla.
6.22. Zmluvný dodávateľ nebude používať zdieľané, generické či systémom generované identifikačne mená /čísla (ID) pre poskytnutie privilegovaného prístupu k akýmkoľvek komponentom systému alebo správe akýchkoľvek komponentov systému.
6.23. Zmluvný dodávateľ nebude zdieľať heslá s nikým mimo určeného vlastníka systémového ID alebo účtu.
6.24. Zmluvný dodávateľ bude vyžadovať, aby jeho tým podporných služieb IT používal vhodné kroky na zabezpečenie ochrany pred sociálnym inžinierstvom a zabránilo sociálnemu inžinierstvu v prístupe k účtu ktoréhokoľvek Pracovníka Zmluvného dodávateľa, vrátane overovania identity pri prenastavovaní hesla alebo prístupu k riešeniu problémov (troubleshooting).
6.25. Zmluvný dodávateľ bude chrániť vzdialené pripojenia tak, že bude dokumentovať vzdialený prístup k Údajom spoločnosti Nike, zavedením obmedzení používania, monitorovaním neoprávneného vzdialeného prístupu, použitím kryptografie na ochranu dôveryhodnosti a integrity vzťahov vzdialeného prístupu a automatickým odpojením relácií vzdialeného prístupu po uplynutí období nečinnosti.
6.26. Zmluvný dodávateľ bude pri využití šifrovania používať silné šifrovacie a bezpečnostné protokoly založené na štandardoch Národného inštitútu pre štandardy a technológie (National Institute of Standards and Technology) („NIST“) pre šifrovanie. Prístup k šifrovacím kľúčom sa obmedzí na čo najmenší počet potrebných správcov; a na bezpečné uloženie na čo najmenšom počte miest a v čo najmenšom možnom počte foriem. Šifrovacie kľúče budú zašifrované pomocou kľúča pre šifrovanie, ktorý je uložený zvlášť od kľúča pre šifrovanie údajov; kľúče sa budú obmieňať v súlade s osvedčenou praxou NIST pre kryptoperiódy.
6.27. Zmluvný dodávateľ zabezpečí, aby všetky Údaje spoločnosti Nike boli v kľude a pri presune chránené šifrovaním, ktoré je v odbore štandardné alebo vyššie. Ak to nebude potrebné kvôli poskytovaniu Služieb, Zmluvný dodávateľ neodomkne Údaje spoločnosti Nike, neuskutoční spätný inžiniering Údajov spoločnosti Nike, ani inak nevystaví hašované, zašifrované alebo anonymizované Údaje spoločnosti Nike.
6.28. Zmluvný dodávateľ zavedie do praxe a bude udržiavať osvedčené postupy pre bezpečné prihlasovanie k príslušným systémom, prístrojom a procesom, vrátane monitorovania podozrivých a neoprávnených aktivít, oddelenia a ochrany prístupov a korelácie založenej na čase. Zmluvný dodávateľ zavedie do praxe a bude udržovať postup pre včasnú kontrolu a inštaláciu bezpečnostných záplat a aktualizácií softwaru pre systémy, prístroje a aplikácie.
6.29. Zmluvný dodávateľ zavedie do praxe a bude udržiavať postup pre včasnú opravu priebežne identifikovaných zraniteľných miest a pre aktivity v oblasti riadenia zraniteľnosti.
6.30. Zmluvný dodávateľ bude strážiť Údaje spoločnosti Nike počas prenosu dát naprieč otvorenými sieťami, najmä s využitím: silných šifrovacích a bezpečnostných protokolov určených na ochranu Údajov spoločnosti Nike prenosu dát v otvorených verejných sieťach, a osvedčených postupov používaných v odbore na zavedenie silného šifrovania pre autentifikáciu a prenos Údajov spoločnosti Nike v bezdrôtových sieťach alebo pripojenia k citlivým sieťam.
6.31. Zmluvný dodávateľ zavedie do praxe a bude udržiavať v platnosti postupy a ochranné opatrenia ohľadom bezpečnosti akýchkoľvek prístrojov, na ktorých sú uložené či Spracovávané Údaje spoločnosti Nike, vrátane laptopov, mobilov a úložných médií. Zmluvný dodávateľ nebude uchovávať Údaje spoločnosti Nike na žiadnom laptope, tablete, flash disku, mobilnom telefóne ani inom podobnom mobilnom prístroji, iba ak by Zmluvný dodávateľ dostal písomný súhlas spoločnosti Nike a prístroj je chránený v odbore štandardným šifrovaním.
6.32. Zmluvný dodávateľ zavedie do prax a bude udržiavať mechanizmy pre overenie identity a kontrolu prístupu v rámci médií, aplikácií, operačných systémov a zariadení vrátane logovania všetkých prístupov a exfiltrácie a uchovávania záznamov o takých logovaných prístupoch po dobu najmenej dvanástich mesiacov.
6.33. Zmluvný dodávateľ zavedie do praxe a bude udržiavať systémy na prevenciu a detekciu narušenia prostredia s využitím sieťových mechanizmov na prevenciu a detekciu narušenia prostredia.
6.34. Zmluvný dodávateľ zabezpečí prísne fyzické či logické oddelenie Údajov spoločnosti Nike od údajov iných subjektov (non-Nike), tak aby v žiadnom systéme nedošlo k pomiešaniu oboch druhov informácií.
7. Projektové riadenie
7.1. Zmluvný dodávateľ zavedie do praxe a bude udržiavať systém komplexného vývoja, ktorý zahŕňa bezpečný vývoj softwaru, bol schválený zo strany managementu a informácie o ňom boli poskytnuté Pracovníkom Zmluvného dodávateľa.
7.2. Zmluvný dodávateľ bude používať bezpečné postupy vývoja v oblasti navrhovania, vývoja, údržby/servisu, podpory/posilnenia a vyradenia z prevádzky (a) vlastných produktov a služieb a (b) akýchkoľvek Služieb a predmetov plnenia pre spoločnosť Nike. Tieto bezpečné postupy vývoja budú ďalej v súlade odvetvovými štandardami ako je napr. OWASP Top Ten, ISO 27002 a bezpečné postupy programovania poskytované organizáciami ako je napr. divíziou CERT Inštitútu pre softwarový inžiniering (CERT Division of the Software Engineering Institute). Bez ohľadu na všeobecný charakter vyššie uvedeného, tieto bezpečné postupy vývoja zahŕňajú: (1) oddelenie bezpečnostných rolí a zodpovedností; (2) oddelenie vývojových, testovacích a výrobných prostredí; (3) testovanie bezpečnosti v testovacom prostredí pred tým, ako dôjde k umiestneniu do výrobného prostredia; (4) zákaz používania citlivých údajov a Údajov spoločnosti Nike v testovacom prostredí; (5) vývoj súboru pravidiel pre bezpečný vývoj; (6) vývoj bezpečnej vývojovej metodiky a návodov na bezpečné programovanie špecifické pre daný jazyk; (7) zavedenie do praxe formálnych procesov kontroly zmien, ktoré zahŕňajú testovanie bezpečnosti a verifikáciu; (8) školenie vývojárov v oblasti bezpečného vývoja; a (9) zohľadňovanie citlivosti údajov či systémov.
7.3. Zmluvný dodávateľ zavedie do praxe a bude uskutočňovať vhodné previerky v oblasti zabezpečenia kvality, testovania užívateľskej akceptácie a bezpečnostných kódov k aplikáciám.
8. Reakcie na incidenty
8.1. Zmluvný dodávateľ zavedie do praxe a bude udržiavať zavedené stratégie a postupy pre reakcie na incidenty, ktoré zahŕňajú procesy detekcie, ohraničenia (containment), obnovy (recovery), predania na ďalšiu úroveň (escalation) a notifikácie.
8.2. Zmluvný dodávateľ pravidelne testuje aktivity reakcie na incident, vrátane testovanie u príslušných Čiastkových spracovateľov Zmluvného dodávateľa (napr. poskytovateľa cloudových služieb).
9. Management Zmluvného dodávateľa
9.1. Zmluvný dodávateľ pred angažovaním Čiastkových spracovateľov vykoná v primeranom rozsahu previerku bezpečnostných postupov používaných týmito Čiastkovými spracovateľmi a bude udržovať s Čiastkovými dodávateľmi dohody, ktoré obsahujú ustanovenia riadiace zodpovednosť daného Čiastkového dodávateľa za ochranu a zabezpečenie Údajov spoločnosti Nike, ktorá sú v súlade s touto Zmluvou a Platnými predpismi.
9.2. V prípade, že Zmluvný dodávateľ na poskytovanie Služieb využíva tretiu stranu ako poskytovateľa cloudu, potom sa taká tretia strana – poskytovateľ cloudu považuje za Čiastkového spracovateľa. Zmluvný dodávateľ berie na vedomie a súhlasí, že použitie tretej strany – poskytovateľa cloudu implikuje nerozlučnú zodpovednosť Zmluvného dodávateľa a danej tretej strany – poskytovateľa za bezpečnosť. Zmluvný dodávateľ splní alebo prekročí všetky najlepšie bezpečnostné postupy doporučené poskytovateľom cloudu a bude na Údaje spoločnosti Nike uložené v danom cloudovom prostredí aplikovať vyššie uvedené minimálne požiadavky.