Clone Agreement Document
Body Content
Anlage zu Mindestsicherheitskontrollen
Die folgenden Mindestsicherheitsanforderungen dienen als Leitlinien für das Schutzniveau, das Nike von einem Nike-Daten verarbeitenden Informationstechnologiesystem eines Auftragnehmers erwartet. Diese Sicherheitsanforderungen basieren auf allgemein anerkannten Informationssicherheits- und Informationsschutz-Governance-Praktiken.
Diese Sicherheitsanforderungen betreffen (1) alle Systeme und Netzwerke des Auftragnehmers, einschließlich unterauftragsverarbeitende Systeme und Netzwerke von Unterauftragnehmern, die in die Systeme und Netzwerke von Nike integriert sind oder der Verarbeitung von Nike-Daten dienen; und (2) Nike-Daten in jeder Form. Der Auftragnehmer sichert zu und garantiert, dass er den Prozess der Risikobewertung durch Nike abgeschlossen hat und alle bei der Bewertung ermittelten Sicherheitsvorkehrungen und Kontrollen aufrechterhält und alle weiteren in diesem Anhang zu den Mindestsicherheitskontrollen erforderlichen Schritte unternimmt..
1. Richtlinien und Verfahren
1.1. Der Auftragnehmer unterhält einen festgelegten Lebenszyklus-Prozess für die Erstellung, Pflege, Überarbeitung, Genehmigung und Kommunikation von Richtlinien an relevante Parteien. Diese befassen sich unter anderem mit Applikations- und Infrastrukturentwicklungsstandards, Sicherheitsbestimmungen, Datenspeicherung, Störfallmanagement und IT- Betriebsmanagement.
1.2. Der Auftragnehmer implementiert und unterhält Richtlinien und Verfahren zur Definition und Pflege von Basis-Sicherheitskonfigurationen, die dokumentiert, genehmigt, jährlich überarbeitet und an das relevante Personal des Auftragnehmers kommuniziert werden.
1.3. Der Auftragnehmer implementiert und unterhält ein Unternehmensinformationssicherheits-Managementsystem („ISMS”) und eine Sicherheitsrichtlinie, die Folgendes abdeckt: (a) separate Informationssicherheits-(„IS-”)Rollen und -Verantwortlichkeiten, (b) die Rolle und Bedeutung der IS, (c) die Ziele der Richtlinie, (d) die Sicherheitspflichten der Belegschaft und von Dritten und (e) aufsichtsrechtliche Anforderungen bezüglich Datenschutz und Datensicherheit. Der Auftragnehmer stellt sicher, dass die Richtlinie von der entsprechenden Geschäftsführungsebene genehmigt wurde und an die relevanten Ressourcen des Auftragnehmers kommuniziert wurde.
1.4. Der Auftragnehmer implementiert und unterhält Verfahren zur Generierung, Verteilung und Speicherung von Kodierungsschlüsseln, darunter z. B.: Generierung von starken Schlüssel, Verteilung mittels sicherer Methoden, sichere Speicherung von Schlüsseln, periodisch rotierende Schlüssel (Kryptoperioden), End-of-Life-Management und Ausmusterung oder Austausch verdächtiger Schlüssel.
2. -Management
Der Auftragnehmer implementiert und unterhält Richtlinien und Verfahren bezüglich der Identifizierung, Klassifizierung und Management von Vermögenswerten (von der Beschaffung bis zur Veräußerung), die dokumentiert, implementiert und dem Personal des Auftragnehmers mitgeteilt werden.
3. Betriebskontinuität und Notfallwiederherstellung
3.1. Der Auftragnehmer implementiert und unterhält Richtlinien und Verfahren zur Sicherstellung der Betriebskontinuität und Notfallwiederherstellung, die dokumentiert, genehmigt, jährlich überarbeitet und an das entsprechende Personal des Auftragnehmers kommuniziert werden.
3.2. Der Auftragnehmer stellt sicher, dass kritische Systeme identifiziert und dokumentiert werden und dass Verfahren bereitstehen, um im Fall eines unerwünschten Zwischenfalls die Betriebskontinuität zu sichern.
3.3. Der Auftragnehmer implementiert und unterhält (a) automatisierte Backups, die einem vorbestimmten und genehmigten Zeitplan folgen; (b) Alarme, die im Fall eines Backup-Fehlers rechtzeitig ausgelöst werden; und (c) Backup-Prozesse, die regelmäßig getestet werden, um sicherzustellen, dass bei Systemabstürzen oder Datenverfälschung eine Wiederherstellung möglich ist.
4. Änderungsmanagement
4.1. Der Auftragnehmer implementiert und unterhält eine übergreifende Änderungsmanagement-Richtlinie, die dokumentiert, genehmigt, jährlich überarbeitet und an das Personal des Auftragnehmers kommuniziert wird. Für jede Systemschicht (Applikation, Datenbank, Betriebssystem, Virtualisierungstechnologien und Microservices) definiert die Richtlinie die Änderungstypen, Genehmigungsanforderungen und Testanforderungen.
4.2. Bei System-/Applikationsänderungen durchläuft der Auftragnehmer einen etablierten Änderungskontrollprozess für die Überprüfung, Genehmigung und Prüfung, bevor Änderungen am Produktionssystem vorgenommen werden.
4.3. Bei Notfalländerungen hält sich der Auftragnehmer hinsichtlich Beantragung, Genehmigung, Implementierung und Beweissicherung an die Änderungsmanagement-Richtlinie.
5. Personalsicherheit
5.1. Soweit nach dem anwendbaren Recht zulässig, führt der Auftragnehmer eine angemessene Hintergrundüberprüfung durch, einschließlich einer Prüfung des Strafregisters in Bezug auf das gesamte Personal des Auftragnehmers, bevor dem Personal des Auftragnehmers erlaubt wird, Nike-Daten zu verarbeiten oder auf Rechnernetze, Informationssysteme, Datenbanken und sichere Anwendungen von Nike oder auf nichtöffentliche Bereiche einer Nike-Einrichtung zuzugreifen. Der Auftragnehmer stellt sicher, dass kein Personal des Auftragnehmers, das wegen eines Verbrechens oder bestimmter wiederholter Vergehen im Zusammenhang mit Gewalt oder Belästigung verurteilt wurde, Dienstleistungen in nicht öffentlichen Bereichen einer Nike-Einrichtung erbringt.
5.2. Der Auftragnehmer stellt sicher, dass das gesamte Personal des Auftragnehmers vor der Verarbeitung von Nike-Daten erfolgreich ein angemessenes Datenschutz- und Informationssicherheitstraining absolviert, und Unterauftragsverarbeiter sind verpflichtet, regelmäßig ein angemessenes Datenschutz- und Informationssicherheitstraining für ihr Personal durchzuführen.
5.3. Das gesamte Personal des Auftragnehmers ist verpflichtet, Nike-Daten vertraulich zu behandeln und die Informationssicherheitsrichtlinien und -verfahren des Auftragnehmers einhalten. Der Auftragnehmer hat (a) die Aufsicht zu übernehmen, um die Einhaltung der Informationssicherheitsrichtlinien und -verfahren des Auftragnehmers sicherzustellen, und (b) ein Disziplinarverfahren (bis hin zur Kündigung) für Zuwiderhandlungen gegen die Informationssicherheitsrichtlinien und -verfahren des Auftragnehmers einzurichten.
6. Informationssicherheit
6.1. Der Auftragnehmer gewährleistet die Sicherheit seines Netzwerks, seiner Anwendung (einschließlich Datenbanken), seiner Infrastruktur und Plattform.
6.2. Der Auftragnehmer stellt sicher, dass auf der Applikationsebene einander widersprechende Tätigkeiten getrennt werden und regelmäßig überprüft werden; u. a. ist sicherzustellen, dass:
6.2.1. der Auftragnehmer Entwicklungen in einer von der Produktionsumgebung getrennten Entwicklungsumgebung vornimmt,
6.2.2. die Verwaltung der Applikationen von der Verwaltung der Zugriffsrechte getrennt ist,
6.2.3. die Datenbank-Verwaltung (und jede andere Form von direkten Daten-Update-Privilegien) von der Verwaltung der Applikationen, von der Sicherheitsverwaltung und vom Personal des Auftragnehmers, die Entwicklungsdienste bereitstellen, getrennt ist und
6.2.4. das Personal des Auftragnehmers, das die Zugriffsrechte genehmigt, von der Person, welche die Zugriffsrechte im System des Auftragnehmers erteilt, unterschiedlich ist.
6.3. Der Auftragnehmer unternimmt jährlich umfassende Risikobewertungen für kritische Systeme und Netzwerke, darunter Applikation, Datenbank, Datenbankmanagementsystem, Betriebssystem, unterstützende Systeme und zugehörige Netzwerke. Der Auftragnehmer adaptiert Prozesse und Konfigurationen in Abhängigkeit von den Befunden und nimmt eine regelmäßige Neubewertung der Befunde vor.
6.4. Der Auftragnehmer implementiert und unterhält Richtlinien und Verfahren, um sicherzustellen, dass die Sicherheit der Daten dem Grad ihrer Sensibilität entspricht.
6.5. Der Auftragnehmer speichert Systemdateien und Quellcode an einem sicheren Ort mit begrenztem Zugang.
6.6. Der Auftragnehmer stellt sicher, dass IT-Zugriffsanfragen auf Applikations-, Datenbank- und Betriebssystemebene durch geeignete Führungskräfte des Auftragnehmers geprüft und genehmigt werden.
6.7. Der Auftragnehmer stellt sicher, dass bei Statusänderungen (Kündigung, Transfer) von bestimmten Personal des Auftragnehmers oder eines Unterauftragverarbeiters das System eine Warnung an die Auftragnehmer-Geschäftsführung ausgibt, sodass entsprechende Maßnahmen ergriffen werden können.
6.8. Der Auftragnehmer stellt sicher, dass der Zugriff des Personals des Auftragnehmers oder des Unterauftragverarbeiters zeitnah gesperrt wird, wenn ihre Aufgaben einen Zugriff auf das System (Applikations-, Datenbank- und Betriebssystemebene) nicht mehr erfordern.
6.9. Der Auftragnehmer unternimmt regelmäßige Berechtigungsüberprüfungen unter sorgfältiger Einbeziehung sämtlicher Accounts für Benutzer- und Systemkonten.
6.10. Der Auftragnehmer implementiert und unterhält Sicherheitskontrollen auf der Netzwerkschicht und auf den Geräten sowie gegebenenfalls verbundene Sicherheitskontrollen in Übereinstimmung mit den Industriestandards für sichere Konfiguration je nach der durch den Auftragnehmer bereitgestellten und/oder genutzten Systemarchitektur (z. B. Cloud-Speicherung bzw. -Infrastruktur).
6.11. Der Auftragnehmer implementiert und unterhält Best Practices für die Sicherheit von Cloud-Ressourcen, Software as a Service und Web-Applikationen in Übereinstimmung mit Industriestandards und Cloud-Provider-Empfehlungen. Ohne Einschränkung der umfassenden Sicherheitspflichten des Auftragnehmers hat der Auftragnehmer die eventuell von Nike mitgeteilten Mindestanforderungen an das Konfigurationsmanagement für solche Ressourcen zu erfüllen.
6.12. Der Auftragnehmer unternimmt die Durchführung oder Untervergabe von regelmäßigen Bewertungen der Perimeterkontrollen (z.B. Social Engineering, ethisches Hacking etc.) je nach der durch den Auftragnehmer bereitgestellten und/oder genutzten Systemarchitektur (u. a. jährliche Penetrationstests und vierteljährliches Sicherheitslücken-Scanning).
6.13. Der Auftragnehmer unternimmt eine regelmäßige Bewertung und Überwachung der Systemkonfigurationen, u. a. im Hinblick auf Betriebssysteme, Datenbanken, Netzwerk-Geräte und Perimeterkontrollsysteme (z. B. Firewalls).
6.14. Der Auftragnehmer setzt installierte und aktuelle Antivirus- und/oder Anti-Malware-Software ein.
6.15. Die IT-Sicherheitsadministration des Auftragnehmers überwacht und protokolliert sicherheitsrelevante Aktivitäten auf Betriebssystem-, Applikations- und Datenbankebene. Festgestellte Sicherheitsverletzungen sind der Geschäftsführung des Auftragnehmers zu melden.
6.16. Der Auftragnehmer (oder sein(e) Unterauftragsverarbeiter) implementiert und unterhält physische und umfeldbezogene Sicherheitskontrollen in Gebäuden und Rechenzentren, in denen Nike-Daten verarbeitet werden, darunter geeignete elektronische Systeme für Zugangskontrolle, Sicherheitsüberwachung sowie Wärme- und Raucherkennung.
6.17. Der Auftragnehmer stellt die physische Sicherheit seiner Einrichtungen sicher, in denen Papierakten, Server, Computerausrüstung und Sicherungssysteme aufbewahrt werden.
6.18. Soweit technisch machbar und geschäftlich erforderlich, implementiert und unterhält der Auftragnehmer rollenbasierte Zugangskontrollen, die Auftragnehmer-Ressourcen Privilegien je nach beruflicher Einstufung und Funktion zuteilen, wobei ein Zugang nur in dem Maße zu gewähren ist, in dem die Auftragnehmer-Ressource notwendigerweise Kenntnis von den betreffenden Informationen haben muss.
6.19. Der Auftragnehmer wird Nike-Daten in Übereinstimmung mit den geltenden Datenschutzbestimmungen schützen und verarbeiten.
6.20. Soweit technisch machbar und geschäftlich erforderlich, implementiert und unterhält der Auftragnehmer rollenbasierte Zugangskontrollen, die dem Personal des Auftragnehmers Privilegien je nach beruflicher Einstufung und Funktion zuteilen, wobei ein Zugang nur in dem Maße zu gewähren ist, in dem „diese Person“ notwendigerweise Kenntnis von den betreffenden Informationen haben muss.
6.21. Vom Auftragnehmer verwaltete Nutzer- und Servicekonten sowie privilegierte Accounts haben sicherzustellen, dass ausschließlich Personal des Auftragnehmers Zugang zu Nike-Daten und zu Nike-Daten verarbeitenden Systemkomponenten des Auftragnehmers erhält, wobei Best Practices zum Passwortschutz anzuwenden sind, wie z. B.: (i) Mindestpasswortlängen, (ii) Sperren nach ungültigen Login-Versuchen und einer inaktiven Session, (iii) Mindestsperrdauern, (iv) Passwort-Wiederverwendungen und (v) Passwort-Komplexität.
6.22. Der Auftragnehmer nutzt bei der Gewährung von privilegierten Zugriffsrechten und bei der Verwaltung von Systemkomponenten keine gemeinsamen, generischen oder systemgenerierten IDs.
6.23. Der Auftragnehmer teilt niemandem außer dem rechtmäßigen System-ID- oder Account-Inhaber ein Passwort mit.
6.24. Der Auftragnehmer weist seinen IT-Support-Services an, durch geeignete Maßnahmen (z. B. Identitätsprüfung bei Passwort- Reset oder bei Beseitigung von Zugriffsproblemen) zu verhindern, dass durch Social Engineering Zugang zu einem Account einer Person aus dem Personal des Auftragnehmers erlangt wird.
6.25. Der Auftragnehmer schützt Fernverbindungen durch die Dokumentation zulässiger Methoden des Fernzugriffs auf Nike-Daten, die Vorgabe von Nutzungsbeschränkungen, die Identifizierung unberechtigter Fernzugriffe, die Nutzung von Kryptographie zum Schutz der Vertraulichkeit und Integrität von Fernzugriffssitzungen sowie die automatische Beendigung von Fernzugriffssitzungen nach längerer Inaktivität.
6.26. Bei der Nutzung von Verschlüsselung verwendet der Auftragnehmer starke Kryptographie und Sicherheitsprotokolle nach NIST-Verschlüsselungsstandards (National Institute of Standards and Technology). Der Zugang zu kryptographischen Schlüsseln ist auf die geringstmögliche Anzahl erforderlicher Verwalter zu beschränken, und die Schlüssel sind an so wenigen Orten und in so wenigen Formen wie möglich zu verwahren. Die Verschlüsselung kryptographischer Schlüssel erfolgt mittels eines eigens für die Verschlüsselung von Schlüsseln bereitgestellten Schlüssels, der getrennt von dem Datenverschlüsselungsschlüssel aufzubewahren ist, und die Schlüssel sind gemäß den NIST Best Practices für Kryptoperioden zu wechseln.
6.27. Der Auftragnehmer stellt sicher, dass alle Nike-Daten durch eine branchenübliche oder höhere Verschlüsselung während der Ruhephase und während der Übertragung geschützt sind. Sofern es für die Bereitstellung der Dienste nicht erforderlich ist, wird der Auftragnehmer keine gehashten, verschlüsselten oder anonymisierten Nike-Daten freischalten, rückentwickeln oder anderweitig freigeben.
6.28. Der Auftragnehmer implementiert und unterhält Best Practices zur Sicherheitsprotokollierung mittels geeigneter Systeme, Geräte und Prozesse, z. B. Überwachung auf verdächtige und unberechtigte Aktivitäten, Trennung und Schutz von Protokollen und zeitbasierte Korrelation. Der Auftragnehmer implementiert und unterhält einen Prozess zur zeitnahen Prüfung und Installation von Sicherheitssoftware-Patches und -Updates für Systeme, Geräte und Applikationen.
6.29. Der Auftragnehmer implementiert und unterhält einen Prozess zur zeitnahen Behebung von Schwachstellen, die im Zuge der Betriebs- und Sicherheitslücken-Management-Aktivitäten identifiziert wurden.
6.30. Der Auftragnehmer sichert Nike-Daten während der Übertragung über offene Netze, u. a. durch: starke Kryptographie und Sicherheitsprotokolle zum Schutz von Nike-Daten bei Übertragung über offene, öffentliche Netze und branchenweit anerkannte Best Practices zur Implementierung von starker Verschlüsselung für die Authentifizierung und Übertragung von Nike-Daten über drahtlose Netze oder in Verbindung mit sensiblen Netzwerken.
6.31. Der Auftragnehmer implementiert und unterhält Richtlinien und Sicherheitsmechanismen hinsichtlich der Sicherheit von Geräten, auf denen Nike-Daten gespeichert oder verarbeitet werden, z. B. Laptops, Mobiltelefone oder Speichermedien. Der Auftragnehmer darf Nike-Daten nicht auf Laptops, Tablets, Flash-Laufwerken, Mobiltelefonen oder anderen solchen mobilen Geräten speichern, es sei denn, der Auftragnehmer hat die schriftliche Zustimmung von Nike eingeholt und das Gerät ist durch branchenübliche Verschlüsselung geschützt.
6.32. Der Auftragnehmer implementiert und erhält aufrecht Authentifizierungs- und Zugriffskontrollmechanismen in Medien, Anwendungen, Betriebssystemen und Geräten, einschließlich der Protokollierung aller Zugriffe und Ausleitungen sowie der Aufbewahrung solcher Zugriffskontrollprotokolle für einen Zeitraum von nicht weniger als zwölf Monaten.
6.33. Der Auftragnehmer implementiert Intrusion-Prevention- und Intrusion-Detection-Systeme unter Verwendung netzwerkbasierter Intrusion-Prevention- und Intrusion-Detection-Mechanismen.
6.34. Der Auftragnehmer stellt eine strikte physische oder logische Trennung von Nike-Daten und Nicht-Nike-Daten sicher, so dass beide Arten von Informationen nicht auf einem einzigen System vermischt werden..
7. Projektmanagement
7.1. Der Auftragnehmer implementiert und unterhält einen Systementwicklungs-Lebenszyklus, der eine sichere Softwareentwicklung beinhaltet, von seiner Geschäftsführung genehmigt ist und an das Personal des Auftragnehmers kommuniziert wurde.
7.2. Der Auftragnehmer nutzt sichere Entwicklungspraktiken bei der Konzeption, Entwicklung, Wartung, Verbesserung und Außerbetriebnahme von (a) seinen eigenen Produkten und Diensten und (b) Diensten und Leistungen für Nike, und zwar in Einklang mit Industriestandards wie OWASP Top Ten oder ISO 27002 und den Leitlinien für sichere Programmierung (z.B. herausgegeben von der CERT Division des Software Engineering Institute). Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, umfassen solche sicheren Entwicklungspraktiken: (1) Trennung von Sicherheitsrollen und -verantwortlichkeiten; (2) Trennung von Entwicklungs-, Test- und Produktionsumgebungen; (3) Sicherheitstests in Testumgebungen vor dem Einsatz in Produktionsumgebungen; (4) Verbot der Verwendung sensibler Daten und Nike-Daten in Testumgebungen; (5) Entwicklung einer sicheren Entwicklungspolitik; (6) Entwicklung einer sicheren Entwicklungsmethodik und sprachspezifischer sicherer Codierrichtlinien; (7) Implementierung von formalen Änderungskontrollverfahren, die Sicherheitstests und -überprüfungen beinhalten; (8) sichere Entwicklungstrainings für Entwickler; und (9) Berücksichtigung der Empfindlichkeit von Daten oder Systemen.
7.3. Der Auftragnehmer implementiert und unterhält eine angemessene Qualitätssicherung, Benutzerakzeptanztests und Reviews im Hinblick auf sichere Anwendungsprogrammierung.
8. Störfallbehandlung
8.1. Der Auftragnehmer implementiert und unterhält festgelegte Störfallbehandlungsrichtlinien und -verfahren zur Abdeckung von Detektions-, Eindämmungs-, Behebungs-, Eskalations- und Benachrichtigungsprozessen.
8.2. Der Auftragnehmer testet regelmäßig die Störfallbehandlungsmechanismen, unter anderem bei einschlägigen Unterauftragsverarbeitern (z.B. Cloud-Provider).
9. Auftragnehmer-Management
9.1. Der Auftragnehmer wendet vor der Beauftragung eine angemessene Sorgfalt in Bezug auf die Sicherheitspraktiken seiner Unterauftragsverarbeiter an und unterhält Verträge mit Unterauftragsverarbeitern mit Bestimmungen über die Pflichten des Unterauftragsverarbeiter im Zusammenhang mit dem Schutz und der Sicherung von Nike-Daten gemäß diesem Vertrag und den geltenden Vorschriften.
9.2. Für den Fall, dass der Auftragnehmer einen Drittanbieter für die Erbringung der Dienstleistungen einsetzt, gilt dieser Drittanbieter als Unterauftragsverarbeiter. Der Auftragnehmer erkennt an und stimmt zu, dass die Nutzung von Drittanbieter-Cloud-Providern eine gemeinsame Sicherheitsverantwortung zwischen dem Auftragnehmer und dem Drittanbieter beinhaltet. Der Auftragnehmer ist verpflichtet, alle vom Cloud-Anbieter empfohlenen Sicherheits-Best-Practices einzuhalten oder zu übertreffen und die oben genannten Mindestanforderungen auf die in dieser Cloud-Umgebung gespeicherten Nike-Daten anzuwenden.