You are here

pl-pl-min-sec-cont-annex

Primary tabs

Clone Agreement Document

Body Content

Dodatek dotyczący minimalnej kontroli bezpieczeństwa

Następujące minimalne wymagania w zakresie bezpieczeństwa mają na celu wytyczenie poziomu ochrony oczekiwanego przez Nike od wszystkich Wykonawców zajmujących się systemem informatycznym, który Przetwarza Dane Nike. Niniejsze wymagania w zakresie bezpieczeństwa są oparte na ogólnie akceptowanych praktykach w zakresie bezpieczeństwa informacji i zarządzania ochroną informacji.

Niniejsze wymagania w zakresie bezpieczeństwa mają zastosowanie do (1) wszystkich systemów i sieci Wykonawcy, w tym do systemów i sieci podwykonawców przetwarzania, które są wykorzystywane do Przetwarzania Danych Nike; oraz (2) Danych Nike w każdej formie. Wykonawca oświadcza, że przeprowadził proces oceny ryzyka dostawcy Nike i zapewni wszystkie środki bezpieczeństwa i kontroli zidentyfikowane przez Wykonawcę podczas tej oceny, a także podejmie dodatkowe kroki wymagane na mocy niniejszego Dodatku.

1.  Polityka i procedury

1.1.  Wykonawca utrzymuje opracowany proces tworzenia polityki, utrzymania, weryfikacji, zatwierdzania i przekazywania jej odpowiednim podmiotom. Powyższe obejmuje standardy tworzenia aplikacji i rozwoju infrastruktury, politykę bezpieczeństwa, przechowywanie danych, zarządzanie incydentami i zarządzanie działalnością w zakresie IT.

1.2.  Wykonawca wdroży i będzie utrzymywać polityki i procedury definiowania i utrzymania podstawowych ustawień bezpieczeństwa, które są dokumentowane, zatwierdzane i weryfikowane raz do roku oraz przekazywane odpowiednim Pracownikom Wykonawcy.

1.3.  Wykonawca wdroży i będzie utrzymywać system zarządzania bezpieczeństwem informacji przedsiębiorstwa („ISMS”) oraz politykę bezpieczeństwa, które określą:

(a) posegregowane role i zakres odpowiedzialności w zakresie bezpieczeństwa informacji („IS”);

(b)  rolę i wagę IS;

(c)  cele polityki;

(d)  zakres odpowiedzialności pracowników i osób trzecich; oraz

(e)  wymagania regulacyjne obejmujące ochronę prywatności i danych.

Wykonawca zapewni, aby polityka ta została zatwierdzona przez kadrę kierowniczą odpowiedniego szczebla i zakomunikowana odpowiednim Pracownikom Wykonawcy.

Wykonawca wprowadzi i będzie utrzymywać procedury dotyczące generowania, dystrybucji i przechowywania kluczy do szyfrowania, które obejmują generowanie silnych kluczy, dystrybucję przy użyciu bezpiecznych metod, bezpieczne przechowywanie kluczy, okresową rotację kluczy (okres ważności kluczy kryptograficznych), zarządzanie końcem okresu użytkowania oraz wycofywanie lub wymianę kluczy, jeśli podejrzewa się naruszenie ich bezpieczeństwa.

2.  Zarządzanie aktywami

Wykonawca wprowadzi i będzie utrzymywać polityki i procedury dotyczące identyfikacji aktywów, ich klasyfikacji i zarządzania (od nabycia do zbycia), które zostaną udokumentowane, wdrożone i przekazane Pracownikom Wykonawcy.

3.  Zarządzanie ciągłością działania i zarządzanie odtwarzaniem awaryjnym

3.1.  Wykonawca wprowadzi i będzie utrzymywać polityki i procedury w zakresie zarządzania ciągłością działania i zarządzania odtwarzaniem awaryjnym, które zostaną udokumentowane, zatwierdzone i co roku weryfikowane oraz przekazywane Pracownikom Wykonawcy.

3.2.  Wykonawca zapewni, aby systemy o kluczowym znaczeniu zostały zidentyfikowane i udokumentowane, a procedury podtrzymujące działania operacyjne w przypadku niekorzystnych zdarzeń zostały wdrożone.

3.3.  Wykonawca wykona i będzie utrzymywać (a) kopie zapasowe, które będą tworzone zgodnie z wcześniej ustalonym i zatwierdzonym harmonogramem, (b) system powiadomień, które będą generowane w przypadku błędów przy tworzeniu kopii zapasowych, i które będą przekazywane w odpowiednim terminie, (c) procesy kopii zapasowych, które będą okresowo testowane, aby uzyskać pewność, że zapewniona została możliwość odtworzenia danych w przypadku awarii systemu lub uszkodzenia danych.

4.  Zarządzanie zmianą

4.1. Wykonawca wprowadzi i będzie utrzymywać nadrzędną politykę zarządzania zmianą, która zostanie udokumentowana, zatwierdzona i będzie co roku weryfikowana oraz przekazywana Pracownikom Wykonawcy. Polityka ta określi typy zmian, wymagania związane z zatwierdzaniem i wymagania związane z testowaniem dla każdej warstwy systemu (aplikacji, bazy danych, systemu operacyjnego, technologii wirtualizacji i mikrousług).

4.2. Wykonawca wprowadzi zmiany w systemie/aplikacji, które wynikają z ustalonego procesu kontrolowania zmian w związku z weryfikacją, zatwierdzaniem i testowaniem, zanim zmiany te zostaną przekazane do systemu produkcyjnego.

4.3. Wykonawca będzie wprowadzać zmiany wynikające z sytuacji awaryjnej, które zostaną zawnioskowane, zatwierdzone i wdrożone, a ich udokumentowanie będzie utrzymywane zgodnie z polityką zarządzania zmianą.

5.  Bezpieczeństwo zasobów ludzkich

5.1.  Wykonawca wykona odpowiednią kontrolę bezpieczeństwa (background screening), w tym kontrolę przeszłości kryminalnej dla wszystkich Pracowników Wykonawcy (w zakresie dopuszczonym obowiązującymi przepisami prawa) przed zezwoleniem Pracownikom Wykonawcy na Przetwarzanie Danych Nike lub dostęp do systemów informacyjnych sieci komputerowych, baz danych, zabezpieczonych aplikacji Nike lub obszarów niepublicznych w placówce Nike. Wykonawca zapewni, że żaden Pracownik Wykonawcy, który został skazany za przestępstwo lub wielokrotne wykroczenia obejmujące użycie przemocy i nękanie nie będzie świadczyć usług w niepublicznych obszarach obiektu Nike.

5.2.  Wykonawca zapewni, że Pracownicy Wykonawcy ukończą odpowiednie szkolenie w zakresie prywatności i bezpieczeństwa informacji przed rozpoczęciem Przetwarzania Danych Nike, a Podwykonawcy Przetwarzania mają obowiązek regularnie zapewniać odpowiednie szkolenia w zakresie prywatności i bezpieczeństwa informacji dla swoich pracowników.

5.3.  Wszyscy Pracownicy Wykonawcy podlegają wymaganiom w zakresie zachowania poufności Danych Nikei muszą stosować się do polityk i procedur bezpieczeństwa Wykonawcy.

Wykonawca będzie zapewniać (a) nadzór kierowniczy mający na celu egzekwowanie stosowania się do polityk i procedur bezpieczeństwa Wykonawcy; oraz (b) przeprowadzenie postępowania dyscyplinarnego (w tym rozwiązania stosunku pracy lub współpracy) w przypadku naruszenia polityk i procedur bezpieczeństwa Wykonawcy.

6.  Bezpieczeństwo informacji

6.1.  Wykonawca zapewni bezpieczeństwo swojej sieci, aplikacji (w tym baz danych), infrastruktury i platformy.

6.2.  Wykonawca zapewni, aby na poziomie aplikacji wszelkie czynności, które mogą powodować niezgodność, zostały posegregowane i były okresowo weryfikowane. Powyższe obejmuje następujące elementy:

6.2.1. Wykonawca będzie przeprowadzać prace programistyczne w środowisku programistycznym odrębnym od środowiska produkcyjnego;

6.2.2.  administracja aplikacjami będzie prowadzona oddzielnie od administracji prawami dostępu;

6.2.3.  administracja bazami danych (i wszelkie inne formy bezpośrednich praw dostępu związanych z aktualizacją danych) będzie odrębna od administracji aplikacjami, administracji bezpieczeństwem oraz Pracowników Wykonawcy świadczących usługi programistyczne; oraz

6.2.4. Pracownicy Wykonawcy zajmujący się zatwierdzaniem praw dostępu muszą być niezależni od osoby nadającej prawa dostępu w systemie Wykonawcy.

6.3.  Wykonawca co roku przeprowadzi kompleksową ocenę ryzyka dla systemów i sieci o kluczowym znaczeniu, w tym dla aplikacji, baz danych, systemu zarządzania bazami danych, systemu operacyjnego, systemów wsparcia i powiązanych sieci. Wykonawca dostosuje procesy i konfiguracje zgodnie z wynikami oceny i będzie okresowo dokonywać weryfikacji wyników oceny.

6.4.  Wykonawca wprowadzi i będzie utrzymywać polityki i procedury, które zapewnią zabezpieczenie danych odpowiednio do poziomu ich wrażliwości.

6.5.  Wykonawca będzie przechowywać pliki systemu i kod źródłowy w bezpiecznej lokalizacji z ograniczonym dostępem. .

6.6.  Wykonawca zapewnia, że żądania dostępu na poziomie aplikacji, baz danych i systemu operacyjnego będą weryfikowane i zatwierdzane przez odpowiednich kierowników Wykonawcy.

6.7.  Wykonawca zapewnia, że w przypadku zmiany statusu Pracownika Wykonawcy lub Podwykonawcy Przetwarzania (rozwiązanie umowy, przeniesienie), system powiadomi kierowników Wykonawcy, aby umożliwić im podjęcie odpowiednich działań.

6.8.  Wykonawca zapewnia, że w przypadku, gdy obowiązki danego Pracownika Wykonawcy  lub Podwykonawcy Przetwarzania przestaną wymagać dostępu do systemu (na poziomie aplikacji, baz danych i systemu operacyjnego), jego dostęp do nich zostanie niezwłocznie zablokowany.

6.9.  Wykonawca będzie regularnie wykonywać weryfikację uprawnień przy wykorzystaniu kompletnej i dokładnej listy kont, zarówno dla kont użytkowników i kont systemowych.

6.10.  Wykonawca wprowadzi i będzie utrzymywać środki kontroli w zakresie ochrony obwodowej, a tam, gdzie to konieczne, połączone środki kontroli, które spełniają standardy branżowe bezpiecznej konfiguracji zgodne z architekturą systemu dostarczanego i/albo wykorzystywanego przez Wykonawcę (w tym z systemem przechowywania w chmurze lub infrastrukturą).

6.11.  Wykonawca wprowadzi i będzie utrzymywać dobre praktyki w zakresie bezpieczeństwa zasobów w chmurze, oprogramowania w modelu SaaS i aplikacji internetowych, które są zgodne ze standardami branżowymi i zaleceniami dostawcy usług chmurowych. W przypadku gdy Nike przedstawi minimalne wymagania dotyczące zarządzania tymi zasobami, Wykonawca zastosuje się do nich. Powyższe nie ogranicza ogólnych zobowiązań Wykonawcy w zakresie bezpieczeństwa.

6.12.  Wykonawca będzie regularnie wykonywać lub zlecać wykonanie oceny środków kontroli w zakresie ochrony obwodowej (np. w związku z inżynierią społeczną, etycznym hackingiem), które są zgodne z architekturą systemu dostarczanego i/albo wykorzystywanego przez Wykonawcę, w tym coroczne testy penetracyjne oraz kwartalne skanowanie podatności.

6.13.  Wykonawca będzie regularnie wykonywać ocenę i monitoring konfiguracji systemu, w tym systemów operacyjnych, baz danych, urządzeń sieciowych oraz środków kontroli w zakresie ochrony obwodowej (np. firewalli).

6.14.  Wykonawca będzie dbać o to, żeby oprogramowanie antywirusowe i/albo zabezpieczające przed złośliwym oprogramowaniem, które zostało zainstalowane, było aktualne.

6.15.  Dział Administracji Bezpieczeństwem Informatycznym Wykonawcy będzie monitorować i zapisywać działania związane z bezpieczeństwem na poziomie systemu operacyjnego, aplikacji i baz danych. Stwierdzone naruszenia w zakresie bezpieczeństwa będą zgłaszane kadrze kierowniczej wyższego szczebla Wykonawcy.

6.16.  Wykonawca (lub Podwykonawca Przetwarzania) wdroży i będzie utrzymywać fizyczne i środowiskowe środki kontroli w budynkach i centrach danych, w których odbywa się Przetwarzanie Danych Nike, w tym odpowiednie systemy elektroniczne kontroli dostępu, monitoringu bezpieczeństwa oraz wykrywania dymu i ciepła.

6.17.  Wykonawca zapewni fizyczne bezpieczeństwo swojego obiektu, gdzie przechowywane są dokumenty papierowe, serwery, komputery i kopie zapasowe.

6.18.  Wykonawca zapewni ochronę przed utratą i kradzieżą komputerów, laptopów i innych urządzeń do przechowywania danych, w tym urządzeń mobilnych.

6.19.  Wykonawca zapewni Przetwarzanie Danych Nike  zgodnie z postanowieniami Obowiązujących Polityk.

6.20.  Wykonawca, jeśli będzie taka możliwość techniczna i będzie to zgodne z potrzebami biznesowymi, wprowadzi i będzie utrzymywać system kontroli dostępu oparty na rolach, który będzie przydzielać prawa Pracownikom Wykonawcy w oparciu o klasyfikację stanowiska pracy i funkcji oraz ograniczać dostęp zależnie od zakresu informacji, do którego dany Pracownik powinien posiadać dostęp.

6.21.  Wykonawca zapewnia, że jedynie Pracownicy Wykonawcy będą mieć dostęp do Danych Nike i elementów systemu Wykonawcy Przetwarzających Dane Nike, wykorzystując w tym celu konta użytkowników, konta uprzywilejowane i konta usług zarządzane przez Wykonawcę, które będą chronione zgodnie z dobrymi praktykami w zakresie ochrony haseł, w tym:

(i)  minimalnej długości hasła;

(ii)  blokady po określonej liczbie prób uzyskania dostępu lub okresie bezczynności w trakcie sesji;

(iii)  minimalnej długości trwania blokady;

(iv)  ponownego wykorzystywania hasła; oraz

(v)  złożoności hasła.

6.22.  Wykonawca nie będzie korzystać z identyfikatorów współdzielonych, standardowych lub generowanych przez system do umożliwiania dostępu lub administracji jakimikolwiek elementami systemu.

6.23.  Wykonawca nie będzie udostępniać haseł nikomu oprócz użytkownika, do którego dany identyfikator lub konto są przypisane.

6.24.  Wykonawca zobowiąże osoby świadczące usługi wsparcia IT do stosowania odpowiednich kroków w celu ochrony przed stosowaniem inżynierii społecznej do uzyskania dostępu do kont Pracowników Wykonawcy, w tym do weryfikacji tożsamości w przypadku resetowania hasła lub rozwiązywania problemów z dostępem do konta.

6.25.  Wykonawca będzie chronić połączenia zdalne poprzez udokumentowanie dopuszczonych metod dostępu zdalnego do Danych Nike, ustalenie ograniczeń korzystania z nich, monitorowanie pod kątem nieuprawnionego dostępu zdalnego przy użyciu metod kryptograficznych, aby chronić poufność i integralność sesji zdalnego dostępu oraz automatycznie rozłączać sesje zdalnego dostępu po odpowiednim okresie bezczynności.

6.26.  Podczas korzystania z szyfrowania Wykonawca będzie stosować silne protokoły kryptograficzne i bezpieczeństwa oparte na standardach szyfrowania amerykańskiego Narodowego Instytutu Standaryzacji i Technologii (ang. National Institute of Standards and Technology, NIST). Dostęp do kluczy kryptograficznych powinien zostać ograniczony do jak najmniejszej liczby powierników, a same klucze powinny być przechowywane w jak najmniejszej liczbie egzemplarzy i form. Klucze kryptograficzne zostaną zaszyfrowane przy pomocy klucza do szyfrowania kluczy, który będzie przechowywany oddzielnie, w innym miejscu niż klucz do szyfrowania danych, a klucze będą przemieszczane zgodnie z dobrymi praktykami NIST w zakresie okresu ważności kluczy kryptograficznych.

6.27.  Wykonawca zapewni, że wszystkie Dane Nike są chronione przy pomocy zwyczajowo stosowanego lub wyższego poziomu szyfrowania podczas przechowywania i transferu. Jeżeli nie jest to wymagane w celu świadczenia Usług, Wykonawca nie może odblokować, stosować inżynierii wstecznej ani w inny sposób narażać zaszyfrowanych lub zanonimizowanych Danych Nike.

6.28.  Wykonawca wprowadzi i będzie utrzymywać dobre praktyki w zakresie rejestracji zdarzeń związanych z bezpieczeństwem w odpowiednich systemach, na odpowiednich urządzeniach i procesach, w tym monitorowania podejrzanych i nieautoryzowanych działań, oddzielania i ochrony dzienników oraz korelacji w czasie.

Wykonawca wprowadzi i będzie utrzymywać procedurę w zakresie terminowej weryfikacji i instalacji poprawek bezpieczeństwa oprogramowania i aktualizacji systemów, urządzeń oraz aplikacji.

6.29.  Wykonawca wprowadzi i będzie utrzymywać procedurę w zakresie terminowej naprawy podatności stwierdzonych w trakcie normalnego prowadzenia działalności operacyjnej oraz działań związanych z zarządzaniem podatnościami.

6.30. Wykonawca będzie chronić Dane Nike w trakcie przesyłania ich przez otwarte sieci, w tym przy użyciu:

(i)  silnych protokołów kryptograficznych, aby chronić Dane Nike w trakcie przesyłania przez otwarte, publiczne sieci; oraz

(ii)  dobrych praktyk branżowych w celu wprowadzania silnego szyfrowania do uwierzytelniania i transmisji Danych Nike przez sieci bezprzewodowe lub w przypadku połączenia z wrażliwymi sieciami.

6.31.  Wykonawca wprowadzi i będzie utrzymywać polityki i zabezpieczenia w zakresie bezpieczeństwa wszelkich urządzeń, na których przechowywane lub przetwarzane są Dane Nike, w tym laptopów, telefonów komórkowych i nośników danych. Wykonawca będzie przechowywał Dane Nike na laptopach, tabletach, nośnikach pamięci, smartfonach i innych urządzeniach przenośnych wyłącznie po otrzymaniu pisemnej zgody Nike oraz zapewnieniu zwyczajowo stosowanego poziomu szyfrowania dla urządzenia.

6.32.  Wykonawca zobowiązany jest wdrożyć i utrzymywać mechanizmy uwierzytelniania i kontroli dostępu dla mediów, aplikacji, systemów operacyjnych i sprzętu, w tym logowanie dostępu i eksfiltrację, a także przechowywać takie zapisy dostępu przez okres co najmniej dwunastu miesięcy.

6.33.  Wykonawca zobowiązany jest wdrożyć i utrzymać systemy zapobiegania i wykrywania włamań przy użyciu sieciowych mechanizmów zapobiegania i wykrywania włamań.

6.34.  Wykonawca zapewni ścisły podział fizyczny i logiczny Danych Nike od innych danych, aby tego rodzaju informacje nie były łączone w ramach jednego systemu.

7.  Zarządzanie projektami

7.1. Wykonawca wprowadzi i będzie utrzymywać cykl produkcyjny systemów, który obejmuje bezpieczne tworzenie oprogramowania, który zostanie zatwierdzony przez kierownictwo i zostanie przekazany Pracownikom Wykonawcy.

7.2.  Wykonawca będzie korzystać z bezpiecznych praktyk w zakresie programowania przy projektowaniu, tworzeniu, utrzymaniu, ulepszaniu i likwidacji (a) własnych produktów i usług; oraz (b) usług i produktów dla Nike. Powyższe praktyki bezpiecznego tworzenia oprogramowania będą zgodne ze standardami branżowymi, takimi jak opracowanie „Top 10” OWASP (Open Web Application Security Project), ISO 27002 oraz wytycznymi w zakresie bezpiecznego programowania opracowanymi przez organizacje takie jak Dział CERT w Software Engineering Institute (SEI). Bez uszczerbku dla ogólnego zakresu powyższych postanowień, takie bezpieczne praktyki obejmują (1) podział ról i odpowiedzialności w zakresie bezpieczeństwa, (2) podział środowisk tworzenia, testowania i produkcji, (3) testowanie bezpieczeństwa w środowisku testowym przed przeniesieniem do środowiska produkcji, (4) zakaz wykorzystania danych wrażliwych i Danych Nike w środowiskach testowych, (5) opracowanie polityki bezpiecznego opracowania, (6) opracowanie metodologii bezpiecznego opracowania i wytycznych bezpiecznego kodowania dla danego języka, (7) wdrożenie procesów formalnej kontroli zmian obejmujących weryfikację i  testy bezpieczeństwa, (8) szkolenia z zakresu bezpiecznej pracy dla deweloperów, (9) uwzględnienie wrażliwości danych lub systemów.

7.3.  Wykonawca wprowadzi i będzie utrzymywać odpowiednie środki w zakresie kontroli jakości, testowania przyjęcia przez użytkowników oraz weryfikacji bezpieczeństwa kodu aplikacji.

8.  Reagowanie na incydenty

8.1. Wykonawca wprowadzi i będzie utrzymywać określone polityki i procedury reagowania na incydenty, które obejmują wykrywanie, izolację, odzyskiwanie, eskalację i powiadamianie.

8.2.  Wykonawca będzie okresowo testować reakcję na incydenty, w tym dla znaczących Podwykonawców Przetwarzania (tj. dostawcy usług chmurowych).

9.  Zarządzanie wykonawcami

9.1.  Wykonawca wykona uzasadnioną ocenę diligence dla praktyk bezpieczeństwa swoich Podwykonawców Przetwarzania przez ich zaangażowaniem i będzie utrzymywać umowy z Podwykonawcami Przetwarzania, które będą zawierać postanowienia dotyczące odpowiedzialności podwykonawcy w zakresie ochrony Danych Nike zgodnie z postanowieniami niniejszej Umowy i Obowiązujących Polityk.

9.2.  Jeżeli Wykonawca korzysta z usług zewnętrznych dostawców usług chmurowych w celu świadczenia Usług, taki zewnętrzny dostawca będzie uznawany za Podwykonawcę Przetwarzania. Wykonawca potwierdza, że korzystanie z usług zewnętrznego dostawcy usług chmurowych oznacza wspólną odpowiedzialność za bezpieczeństwo pomiędzy Wykonawcą i takim dostawcą zewnętrznym. Wykonawca zobowiązany jest spełnić lub przewyższyć najlepsze praktyki w zakresie bezpieczeństwa rekomendowane przez dostawcę usług chmurowych oraz stosować wyższe niż minimalne wymagania dla Danych Nike przechowywanych w chmurze.

 

Locales *

User login