Clone Agreement Document
Body Content
Asgari Güvenlik Kontrolleri Eki
Aşağıdaki asgari güvenlik gereklilikleri Nike Verilerini İşleyen herhangi bir Yüklenici bilgi teknolojisi sisteminden Nike'ın beklediği koruma seviyesi için rehber olarak tasarlanmıştır. Bu güvenlik gereklilikleri yaygın olarak kabul edilen bilgi güvenliği uygulamalarına ve bilgi güvenliği yönetişim uygulamalarına dayanmaktadır.
Bu güvenlik gereklilikleri (1) Nike sistemleri ve ağları ile bütünleştirilen veya Nike Verilerini İşlemek için kullanılan, Alt-İşleyen sistemleri ve ağları dahil tüm Yüklenici sistem ve ağları ve (2) herhangi bir biçimdeki Nike Verisi. Yüklenici Nike’ın risk değerlendirme prosedürünü tamamladığını ve Yüklenici tarafından değerlendirmede belirlenen tüm güvenlik önlemlerini ve kontrolleri sağlayacağını veişbu Asgari Güvenlik Kontrolleri ekinde yer alan diğer adımları atmayı beyan ve garanti eder.
1. Politika ve Prosedürler
1.1. Yüklenici politika oluşturma, devam ettirme, gözden geçirme, onay ve ilgili taraflara iletim için saptanmış bir yaşam döngüsü sürecine sahip olacaktır. Bunlar, uygulama ve alt yapı geliştirme standartları, güvenlik politikası, veri depolama, olay yönetimi ve BT operasyonları yönetimini içerecektir.
1.2. Yüklenici temel güvenlik yapılandırmalarının tanımı ve bakımının belgelenmiş, onaylanmış, yıllık olarak gözden geçirilmiş ve ilgili Yüklenici Personeline iletilmiş olması için politika ve prosedürler uygulayacak ve bunları devam ettirecektir.
1.3. Yüklenici bunları ihtiva eden bir kurumsal bilgi güvenliği yönetimi sistemi (“BGYS”) uygulayacak ve devam ettirecektir: (a) ayrılmış bilgi güvenliği (“BG”) rolleri ve sorumlulukları, (b) BG'nin rolü ve önemi, (c) politikanın amaçları, (d) çalışan ve üçüncü taraf güvenlik sorumlulukları ve (e) gizlilik ve veri güvenliği dahil düzenleyici gereklilikler. Yüklenici bu politikanın uygun kıdemli yönetim seviyesinde onaylanmış olmasını ve ilgili Yüklenici Personeline iletilmiş olmasını sağlayacaktır.
1.4. Yüklenici, güçlü anahtarların oluşturulması, güvenli yöntemler kullanarak dağıtım, anahtarların güvenli muhafazası, , periyodik olarak döner anahtarlar (kripto periyotlar), yaşam sonunun yönetilmesi, ve Tehlike şüphesi halinde anahtarların geri çekilmesi veya değiştirilmesi dahil şifre anahtarlarının oluşturulması, dağıtımı ve depolanması için prosedürler uygulayacak ve devam ettirecektir:
2. Varlık Yönetimi Yüklenici varlık tespiti, sınıflandırması ve yönetimi (tedarikten imhaya kadar) ile ilgili, belgeye dayanan, uygulanan ve Yüklenici Personeline iletilen politika ve prosedürler uygulayacak ve devam ettirecektir.
3. İşin Devamlılığı ve Felaketten Kurtarma
3.1. Yüklenici işin devamlılığı ve felaketten kurtarma için belgeye dayanan, onaylanan, yıllık olarak gözden geçirilen ve Yüklenici Personeline iletilen politika ve prosedürler uygulayacak ve devam ettirecektir.
3.2. Yüklenici kritik sistemlerin tespit edilmiş ve belgelendirilmiş olmasından ve olumsuz bir olay halinde operasyonların devam etmesi için prosedürlerin olmasını sağlayacaktır.
3.3. Yüklenici aşağıdakileri uygulayacak ve devam ettirecektir (a) otomatik ve önceden belirlenmiş ve onaylanmış bir planı takip eden yedeklemeler (b) Yüklenici yedekleme işi hataları halinde oluşturulan ve zamanında kullanılan uyarılar ve (c) Yüklenici sistem hatası veya veri bozulması halinde kurtarma kabiliyetinde güvence elde etmek için periyodik olarak test edilen yedekleme süreçleri
4. Değişiklik Yönetimi
4.1. Yüklenici belgeye dayanan, onaylanan, yıllık olarak gözden geçirilen ve Yüklenici Personeline iletilen, çok yönlü bir değişiklik yönetimi politikası uygulayacak ve devam ettirecektir. Sistemin her katmanı için (uygulama, veri tabanı, işletim sistemi, sanallaştırma teknolojileri ve mikro hizmetler) politika değişiklik çeşitlerini, onay gerekliliklerini ve test gerekliliklerini tanımlayacaktır:
4.2. Yüklenici gözden geçirme, onay ve test etmek için değişiklikler prodüksiyon sisteminde yapılmadan önce yerleşik bir değişiklik kontrol sürecini takip eden sistem/uygulama değişiklikleri uygulayacaktır.
4.3. Yüklenici talep edilen, onaylanan ve uygulanan acil değişiklikleri uygulayacak ve değişiklik yönetim politikası doğrultusunda delilleri tutacaktır.
5. İnsan Kaynakları Güvenliği
5.1. Yüklenici herhangi bir Yüklenici Personelinin Nike Verilerini İşlemesineveya Nike bilgisayar ağı bilgi sistemleri, veri tabanları, güvenli uygulamalar ve Nike tesisinin halka açık olmayan alanlarına erişmesine izin vermeden önce yürürlükteki kanunların izin verdiği, tüm Yüklenici Personeli’ne ilişkin adli sicil kontrolleri de dahil, uygun geçmiş taramalarını gerçekleştirecektir Yüklenici, ağır bir suç veya şiddet veya taciz içeren tekrar eden bir kabahat sebebiyle cezalandırılmış herhangi bir Yüklenici Personelinin, Nike tesisinin halka açık olmayan alanlarında hizmet vermemesinden temin etmelidir.
5.2. Yüklenici, tüm Yüklenici Personelinin, Nike Verilerini İşlemeye başlamadan evvel yeterli ve uygun bir gizlilik ve bilgi güvenliği eğitimi aldığından ve Alt İşeyenlerin çalışanlarına düzenli olarak yeterli ve uygun bir gizlilik ve bilgi güvenliği eğitimi verdiğinden emin olmalıdır.
5.3. Tüm Yüklenici Personeli Nike Verilerini gizli tutmakla yükümlü olup Yüklenicinin bilgi güvenliği politika ve prosedürlerine uyacaktır. Yüklenici (a) Yüklenicinin bilgi güvenliği politika ve prosedürlerine bağlılığı şart kılmak için yönetim denetimi ve (b) Yüklenicinin bilgi güvenliği politika ve prosedürlerinin ihlalleri için disiplin süreci (fesih dahil) sağlayacaktır.
6. Bilgi Güvenliği
6.1. Yüklenici ağının, uygulamalarının (veritabanları dahil) altyapısının ve platformunun güvenli olduğundan emin olacaktır.
6.2. Yüklenici aşağıdakiler dahil uygulama seviyesinde çatışan faaliyetlerin ayrılmış ve periyodik olarak gözden geçirilmiş olmasını sağlayacaktır:
6.2.1 Yüklenici üretim ortamından ayrı bir geliştirme ortamında geliştirme faaliyetleri yürütecektir,
6.2.2 Uygulama idaresi erişim hakları idaresinden ayrıdır,
6.2.3 Veri tabanı idaresi (ve diğer doğrudan veri güncelleme imtiyazı biçimi) uygulama idaresinden, güvenlik idaresinden ve geliştirme hizmetleri sağlayan Yüklenici Personeli ayrıdır ve
6.2.4 Erişim haklarını onaylayan Yüklenici Personeli Yüklenici sisteminde erişim haklarını veren kişiden ayrıdır.
6.3. Yüklenici uygulama, veri tabanı, veri tabanı yönetim sistemi, işletim sistemi, destekleyici sistemler ve ilgili ağlar dahil kritik sistem ve ağlar için yıllık olarak kapsamlı risk değerlendirme gerçekleştirecektir. Yüklenici bulgulara göre süreçleri veya yapılandırmaları ayarlayacak ve bulguları periyodik olarak yeniden gözden geçirecektir.
6.4. Yüklenici verilerin hassasiyet seviyelerine uygun olarak güvenceye alınmasını sağlayan politika ve prosedürler uygulayacak ve devam ettirecektir.
6.5. Yüklenici sistem dosyalarını ve güvenli kodu erişim sınırlı olacak şekilde güvenli bir yerde muhafaza edecektir.
6.6. Yüklenici, uygulama, veri tabanı ve işletim sistemi seviyesinde bilgi teknolojisine erişim taleplerinin uygun Yüklenici yönetimi tarafından gözden geçirilmiş ve onaylanmış olmasını sağlayacaktır.
6.7. Yüklenici spesifik bir Yüklenici Personeli veya Alt İşeyenin statüsü değiştiğinde (feshedilmiş, nakledilmiş) uygun adımın atılması için sistemin Yüklenici yönetimini uyarmasını sağlayacaktır.
6.8. Yüklenici herhangi bir Yüklenici Personeli veya Alt İşleyenini iş sorumlulukları artık sisteme erişmesini gerektirmediğinde (uygulama, veri tabanı ve işletim sistemi seviyelerinde) bunların erişim yetkisinin zamanında kaldırılmış olmasını sağlayacaktır.
6.9. Yüklenici hem kullanıcı hesapları hem de sistem hesapları için düzenli olarak tam ve doğru hesap popülasyonlarını kullanarak hak ediş incelemeleri gerçekleştirecektir.
6.10. Yüklenici, Yüklenici tarafından sağlanan ve/veya kullanılan sistem mimarisi (bulut depolama ve alt yapı dahil) ile tutarlı güvenli yapılandırma için sektör standartlarına uygun çevresel güvenlik kontrolleri ve uygunsa federe güvenlik kontrolleri uygulayacak ve devam ettirecektir.
6.11. Yüklenici bulut kaynaklarının, Hizmet olarak Yazılımı ve web uygulamalarının güvenliği için sektör standartları ve bulut sağlayıcıların tavsiyelerine uygun en iyi uygulamaları uygulayacak ve devam ettirecektir. Yüklenicinin güvenlik yükümlülüklerinin genelliğini sınırlamadan eğer Nike bu kaynaklar için asgari yapılandırma yönetim gereklilikleri sağlarsa Yüklenici bu gerekliliklere uyacaktır.
6.12. Yüklenici yıllık olarak dış ve iç nüfuz testleri ve üçer aylık zafiyet taramaları dahil Yüklenici tarafından sağlanan ve/veya kullanılan sistem mimarisi ile tutarlı çevresel kontrollerin (ör. sosyal mühendislik, etik hack'leme) düzenli değerlendirmelerini yapar veya yaptırır.
6.13. Yüklenici işletim sistemleri, veri tabanları, ağ araçları ve çevresel kontrol sistemleri (ör. güvenlik duvarları) dahil sistem yapılandırmalarını düzenli olarak değerlendirecek ve izleyecektir.
6.14. Yüklenici yüklenmiş ve güncel bir antivirüs ve/veya kötü yazılım karşıtı yazılıma sahip olacaktır.
6.15. Yüklenici bilgi teknolojisi güvenliği idaresi işletim sistemi, uygulama ve veri tabanı seviyelerinde güvenlik faaliyetini izler ve günlüğünü tutar. Tespit edilen güvenlik ihlalleri Yüklenici kıdemli yönetimine rapor edilir.
6.16. Yüklenici (veya Alt İşleyenler) Nike Verilerini İşleyen bina ve veri merkezlerinde erişim kontrolü, güvenlik izleme ve ısı/duman algılama için uygun elektronik sistemler dahil fiziksel ve çevresel güvenlik kontrolleri uygulayacak ve devam ettirecektir.
6.17. Yüklenici basılı dokümaların, sunucuların, bilgisayar ekipmanının ve yedekleme sistemlerinin barındırıldığı tesislerin fiziki güvenliğinden emin olacaktır.
6.18. Yüklenici, bir kişisel bilgisayar, diz üstü bilgisayar, masaüstü bilgisayar veya mobil cihazlar dahil herhangi bir diğer depolama cihazının çalınması veya kaybolmasına karlı önlem alacaktır.
6.19. Yüklenici Nike Verilerini Uygulanabilir Kurallara göre koruyacak ve İşleyecektir.
6.20. Yüklenici, teknik olarak mümkün olduğunda ve iş gerekliliklerince belirlendiğinde Yüklenici Personeline iş sınıflandırması ve işlevine dayanan imtiyazlar veren ve Yüklenici Personelinin bilme ihtiyacına göre erişimi kısıtlayan, rol tabanlı erişim kontrolü uygulayacak ve devam ettirecektir.
6.21. Yüklenici tarafından yönetilen kullanıcı, imtiyazlı ve hizmet hesapları yalnız Yüklenici Personelinin Nike Verilerine ve Nike Verilerini İşleyen Yüklenici sistemi bileşenlerine erişim sağlamasını ve sınırlı olmamak kaydıyla aşağıdakileri içeren şifre koruma için en iyi uygulamalar ile korunmasını güvence altına alacaktır: (i) asgari şifre uzunlukları, (ii) geçersiz giriş teşebbüsleri ve boşta oturumlardan sonra kilitlenme, (iii) asgari kilitleme süreleri, (iv) şifre yeniden kullanımı ve (v) şifre karmaşıklığı.
6.22. Yüklenici imtiyazlı erişim sağlamak veya herhangi bir sistem bileşenini idare etmek için ortak, genel veya sistem tarafından üretilmiş ID'ler kullanamayacaktır.
6.23. Yüklenici şifreleri sistem ID'sinin veya hesabının belirtilen sahibi dışında herhangi bir kişi ile paylaşmayacaktır.
6.24. Yüklenici BT destek hizmetlerinin şifre sıfırlamalar veya erişim sorunlarını gidermek için kimlik doğrulama dahil herhangi bir Yüklenici Personelinin hesaba erişim kazanması için sosyal mühendisliğe karşı korunmak için uygun adımları kullanmasını şart kılacaktır.
6.25. Yüklenici Nike Verilerine uzaktan erişimin izin verilen yöntemlerini belgeleyerek, kullanım kısıtlamaları saptayarak, yetkisiz uzaktan erişimler için izleme yaparak, uzaktan erişim oturumlarının gizliliğini ve bütünlüğünü korumak için kriptografiyi kullanarak ve hareketsizlik döneminden sonra uzaktan erişim oturumlarının bağlantısını otomatik olarak keserek uzaktan bağlantıları koruyacaktır.
6.26. Yüklenici şifreleme kullanırken Ulusal Standartlar ve Teknoloji Enstitüsünün (“NIST”) şifreleme standartlarına göre güçlü kriptografi ve güvenlik protokolleri kullanacaktır. Kriptografik anahtar erişimi gerekli olan en az sayıda emanetçi ile sınırlı olacak ve mümkün olan en az yer ve biçimde güvenli bir şekilde muhafaza edilecektir. Kriptografik anahtarlar veri şifreleme anahtarından ayrı olarak muhafaza edilen bir anahtar şifreleme anahtarı kullanılarak şifrelenecek ve anahtarların kripto dönemler için NIST en iyi uygulamalarına göre değiştirilecektir.
6.27. Yüklenici, tüm Nike Verilerinin harekette olmadığı anlarda ve transit halindeyken endüstri standardı veya daha yüksek bir şifreleme ile korunmasını sağlayacaktır. Hizmetleri sağlamak için gerekli olmadıkça, Yüklenici, karma, şifreli veya anonimleştirilmiş Nike Verilerinin kilidini açmayacak, tersine mühendislik yapmayacak veya başka şekilde ifşa etmeyecektir
6.28. Yüklenici uygun sistemlerde, cihazlarda ve süreçlerde güvenli oturum açma için en iyi uygulamaları uygulayacaktır, şüpheli ve yetkisiz faaliyet bakımından izleme, günlüklerin ayrılması ve korunması ve zaman tabanlı bağdaşıklık dahil. Yüklenici güvenlik yazılım yamaları ve sistemler, cihazlar ve uygulamalar için güncellemeleri zamanında incelemek ve yüklemek için bir süreç uygulayacak ve devam ettirecektir.
6.29. Yüklenici işin seyri sırasında ve hassasiyet yönetim faaliyetleri sırasında tespit edilen zafiyetlerin zamanında düzeltilmesi için bir süreç uygulayacak ve devam ettirecektir.
6.30. Yüklenici açık ağlarda iletim sırasında Nike Verilerini açık, halka açık ağlarda iletim sırasında Nike Verilerini korumak için güçlü kriptografi ve güvenlik protokolleri ve Nike Verilerinin kablosuz ağlar üzerinde veya hassas ağlara bağlanmış olduğunda doğrulanması ve iletimi için güçlü şifreleme kullanmak için sektörün en iyi uygulamalarını kullanarak koruyacaktır.
6.31. Yüklenici diz üstü bilgisayarlar, mobil telefonlar ve depolama medyaları dahil Nike Verilerinin depolandığı veya işlendiği cihazların güvenliğine dair politika ve önlemler uygulayacak ve devam ettirecektir. Yüklenici, Nike’in yazılı onayını almadığı ve cihaz endüstri standardı şifreleme ile korunmadığı sürece, Nike Verisini hiçbir dizüstü bilgisayarda, tablette, flash sürücüde, cep telefonunda veya benzeri bir mobil cihazda saklayamaz.
6.32. Yüklenici, medya, uygulamalar, işletim sistemleri ve ekipman içinde, tüm erişim ve sızma kayıtlarının tutulması ve bu erişim kontrol kayıtlarının on iki aydan daha kısa olmayan bir süre için saklanması dahil doğrulama ve erişim kontrol mekanizmalarını uygulayacak ve sürdürecektir.
6.33. Yüklenici, ağ tabanlı izinsiz girişi önleme ve saptama mekanizmalarını kullanarak izinsiz girişi önleme ve saptama sistemlerini uygulayacak ve sürdürecektir.
6.34. Yüklenici, Nike Verilerinin Nike Dışı Veriden fiziksel veya mantıksal olarak ayrılmasını sağlayacaktır; böylece her iki bilgi türü de hiçbir sistemde birleştirilmeyecektir.
7. Proje Yönetimi
7.1. Yüklenici güvenli yazılım geliştirmeyi içeren, yönetimi tarafından onaylanmış ve Yüklenici Personelineiletilmiş bir sistem geliştirme yaşam döngüsü uygulayacak ve devam ettirecektir.
7.2. Yüklenici (a) kendi ürünleri ve hizmetleri ve (b) Nike için hizmetler ve çalışma ürünlerinin tasarımı, geliştirilmesi, bakımı, iyileştirilmesi ve sonlandırılmasında güvenli geliştirme uygulamaları kullanacaktır. Bu güvenli geliştirme uygulamaları OWASP Top Ten, ISO 27002 gibi sektör standartları ve Yazılım Mühendisliği Enstitüsünün CERT Bölümü gibi organizasyonlarca sağlanan güvenli kodlama rehberi ile tutarlı olacaktır. Yukarıda belirtilenlerin genelliğini sınırlamaksızın, bu tür güvenli geliştirme uygulamaları şunları içerir: (1) güvenlik rollerinin ve sorumluluklarının ayrılması; (2) geliştirme, test ve üretim ortamlarının ayrılması; (3) üretim ortamlarına dağıtılmadan önce test ortamlarında güvenlik testi; (4) test ortamlarında hassas verilerin ve Nike Verilerinin kullanımına ilişkin yasaklar; (5) güvenli bir kalkınma politikası geliştirmek; (6) güvenli bir geliştirme metodolojisi ve dile özgü güvenli kodlama kuralları geliştirmek; (7) güvenlik testi ve doğrulamasını içeren değişiklik resmi kontrol süreçlerini uygulamak; (8) geliştiriciler için güvenli gelişim eğitimi; ve (9) veri veya sistemlerin hassasiyetini göz önünde bulundurmak.
7.3. Yüklenici uygun kalite güvence, kullanıcı kabul testi ve güvenli uygulama kod incelemeleri uygulayacak ve devam ettirecektir.
8. Olay Müdahale
8.1. Yüklenici algılama, sınırlama, kurtarma, üst seviyeye iletme ve bildirim süreçlerini kapsayan, yerleşik olay müdahale politika ve prosedürleri uygulayacak ve devam ettirecektir.
8.2. Yüklenici ilgili Alt İşleyenler (yani, bulut sağlayıcılar) ile olay müdahale faaliyetlerini periyodik olarak test eder.
9. Yüklenici Yönetimi
9.1. Yüklenici Alt İşleyenlerle anlaşmadan önce Alt İşleyenler’in güvenlik uygulamalarına ilişkin makul denetimler düzenleyecek olup, Alt İşleyenler ile Alt İşeyenlerin Nike Verilerini bu Sözleşmeye ve İlgili Gizlilik Kurallarına göre koruma ve güvenceye alma sorumluluğunu düzenleyen hükümler içeren sözleşmelere sahip olacaktır.
9.2. Yüklenici, Hizmetleri sağlamak için bir üçüncü taraf bulut sağlayıcı kullanması durumunda, bu üçüncü taraf bulut sağlayıcı, Alt İşleyen olarak kabul edilecektir. Yüklenici, üçüncü taraf bulut sağlayıcıların kullanımının yüklenici ile üçüncü taraf bulut sağlayıcısı arasında ortak bir güvenlik sorumluluğu olduğunu kabul ve beyan eder. Yüklenici, bulut sağlayıcı tarafından önerilen tüm güvenlik en iyi uygulamalarını karşılamalı veya aşmalıdır ve yukarıdaki minimum gereklilikleri o bulut ortamında depolanan Nike Verilerine uygulamalıdır.