Clone Agreement Document
Body Content
Příloha - Minimální požadavky na bezpečnost
Účelem níže uvedených minimálních požadavků na bezpečnost je poskytnout návod pro úroveň ochrany, kterou společnost Nike očekává od systému informační technologie kteréhokoli Smluvního dodavatele, kde jsou Zpracovávány Údaje společnosti Nike. Tyto bezpečnostní požadavky jsou založeny na všeobecně přijímaných postupech v oblasti informační bezpečnosti a na systémové organizaci ochrany informací.
Tyto požadavky na bezpečnost platí pro (1) všechny systémy a sítě Smluvního dodavatele, včetně systémů a sítí smluvně zajištěného Dílčího dodavatele, které jsou propojeny se systémy a sítěmi společnosti Nike nebo které se používají ke Zpracování Údajů společnosti Nike; a pro (2) Údaje společnosti Nike v jakékoli formě. Smluvní dodavatel prohlašuje a zaručuje, že prošel procesem hodnocení rizik u Dílčích zpracovatelů společnosti Nike a že bude dodržovat veškerá bezpečnostní opatření a nastavení určená Smluvním dodavatelem v rámci hodnocení a podnikne jakékoli další kroky stanovené v této Příloze stanovíc minimální bezpečnostní požadavky.
1. Strategie a postupy
1.1. Smluvní dodavatel používá zavedený komplexní systém pro vytváření strategií/postupů, jejich udržování, revize, schválení a sdělování příslušných stranám. Součástí tohoto komplexního systému jsou zejména vývoj standardů pro aplikace infrastrukturu, pravidla bezpečnosti, uchovávání údajů, řízení incidentů a IT operací.
1.2. Smluvní dodavatel zavede do praxe a bude udržovat strategie a postupy zajišťující, že definice a udržování základních bezpečnostních konfigurací, jež budou zdokumentovány, schvalovány, každoročně revidovány a následně sdělovány příslušným Pracovníkům Smluvního dodavatele.
1.3. Smluvní dodavatel zavede do praxe a bude udržovat systém řízení bezpečnosti informací („ISMS“) a bezpečnostní pravidla, která určí:
(a) úlohy a odpovědnost u zabezpečení vybraných (segregovaných) informací („IS“),
(b) úlohy a význam zabezpečení vybraných informací (IS),
(c) cíle pravidel,
(d) odpovědnost zaměstnanců a třetích stran v oblasti bezpečnosti, a
(e) regulatorní požadavky včetně ochrany soukromí a bezpečnosti osobních údajů.
Smluvní dodavatel zajistí, že tato pravidla budou schválena na příslušné úrovni seniorního managementu a informace o nich budou poskytnuty příslušným Pracovníkům Smluvního dodavatele.
1.4. Smluvní dodavatel zavede do praxe a bude udržovat postupy pro tvorbu, šíření a uložení v paměti šifrovacích klíčů, zejména včetně tvorby silných klíčů, distribuce s využitím bezpečných cest, bezpečného uložení klíčů, pravidelné rotace klíčů (tzv. krypto-periody); řízení konce životního cyklu, a v případě podezření z prolomení ochrany vyřazení či výměnu klíčů.
2. Řízení aktiv (Asset Management)
2.1. Smluvní dodavatel zavede do praxe a bude udržovat strategie a postupy související s identifikací aktiv, jejich klasifikací a řízením (od zajištění/získání až k likvidaci), kteréžto strategie a postupy budou dokumentovány, implementovány a sdělovány Pracovníkům Smluvního dodavatele.
3. Pokračování v chodu podnikání a obnova při haváriích
3.1. Smluvní dodavatel zavede do praxe a bude udržovat strategie a postupy pro zajištění pokračování v chodu podnikání a obnovu při haváriích, kteréžto strategie a postupy budou dokumentovány, schvalovány, každoročně revidovány a sdělovány Pracovníkům Smluvního dodavatele.
3.2. Smluvní dodavatel zajistí, že budou identifikovány a dokumentovány kritické systémy a že budou zavedeny postupy k řízení provozu v případě nepříznivé události.
3.3. Smluvní dodavatel zavede do praxe a bude udržovat: (a) zálohy (backups), které jsou automatizované a řídí se předem určeným a schváleným rozvrhem/harmonogramem; (b) varování (alerts), která se vytvářejí v případě, že v zálohování dojde k chybě, a která se včas odesílají; a (c) zálohovací procesy (backups), které budou pravidelně testovány za účelem potvrzení, že existuje schopnost obnovy v případě selhání systému či poškození dat.
4. Management změn
4.1. Smluvní dodavatel zavede do praxe a bude udržovat zastřešující systém managementu změn, kterýžto systém bude dokumentován, schvalován, každoročně revidován a sdělován Pracovníkům Smluvního dodavatele. Pro každou vrstvu systému (aplikace, databáze, operační systém, virtualizační technologie a mikro-služby) bude postup definovat typy změn, požadavky na schválení, a testovací požadavky.
4.2. Předtím, než budou provedeny změny v produkčním systému, aplikuje Smluvní dodavatel takové změny systému/aplikací, které se řídí zavedeným postupem pro změnu kontroly v oblasti revize, schvalování a testování.
4.3. Smluvní dodavatel použije krizové změny, které jsou vyžádány, schváleny a implementovány postupem pro management změn, přičemž doklady o takových krizových změnách budou vedeny v souladu s postupem pro management změn.
5. Bezpečnost lidských zdrojů
5.1. Před tím, než Smluvní dodavatel umožní Pracovníkovi Smluvního dodavatele Zpracovávat Údaje společnosti Nike nebo vstoupit do počítačových sítí, informačních systémů, databází, zabezpečených aplikací či neveřejných zón na zařízeních společnosti Nike, provede Smluvní dodavatel vhodné prověřování minulosti všech Pracovníků Smluvního dodavatele, a to včetně prověření trestněprávní minulosti (v rozsahu povoleném platnými právními předpisy). Smluvní dodavatel zajistí, že žádný Pracovník Smluvního dodavatele, jenž byl odsouzen za závažný trestný čin nebo odsouzen opakovaně za určité druhy méně závažných trestných činů včetně násilí nebo obtěžování, nebude poskytovat služby v neveřejných částech provozoven společnosti Nike.
5.2. Smluvní dodavatel zajistí, že všichni Pracovníci Smluvního dodavatele před zahájením Zpracování Údajů společnosti Nike úspěšně absolvují odpovídající a vhodné školení v oblasti ochrany soukromí a informační bezpečnosti; od Dílčích zpracovatelů se vyžaduje, aby svým vlastním pracovníkům pravidelně poskytovali odpovídající a vhodné školení v oblasti ochrany soukromí a informační bezpečnosti.
5.3. Od všech Pracovníků Smluvního dodavatele bude vyžadováno, aby uchovávali důvěrný charakter Údajů společnosti Nike a aby dodržovali pravidla a postupy Smluvního dodavatele k zajištění bezpečnosti informací.
5.4. Smluvní dodavatel zajistí (a) manažerský dohled nad Pracovníky Smluvního dodavatele, aby vyžadoval dodržování pravidel a postupů Smluvního dodavatele v oblasti bezpečnosti informací, a (b) kázeňský postih (včetně ukončení pracovního poměru/spolupráce) v případě porušení pravidel a postupů Smluvního dodavatele v oblasti bezpečnosti informací.
6. Bezpečnost informací
6.1. Smluvní dodavatel zajistí bezpečnost své sítě, aplikace (včetně databází), infrastruktury a platformy.
6.2. Smluvní dodavatel zajistí, že na aplikační úrovni budou konfliktní aktivity odděleny a pravidelně kontrolovány, včetně toho, že:
6.2.1. Smluvní dodavatel provádí vývoj ve vývojovém prostředí odděleném od produkčního prostředí,
6.2.2. Administrace aplikací je oddělena od administrace přístupových práv,
6.2.3. Administrace databází (a jakákoli jiná forma výsady přímé aktualizace údajů) je oddělena od administrace aplikací, od administrace bezpečnosti a od Pracovníka Smluvního dodavatele, jenž poskytuje vývojářské služby, a
6.2.4. Pracovník Smluvního dodavatele, jenž schvaluje přístupová práva, je oddělen od osoby udělující přístupová práva do systému Smluvního dodavatele.
6.3. Smluvní dodavatel bude každoročně provádět komplexní hodnocení rizik u kritických systémů a sítí, včetně aplikace, databáze, systému managementu databází, operačního systému, podpůrných systémů a souvisejících sítí. Smluvní dodavatel přizpůsobí procesy a konfigurace podle zjištění, k nimž se Smluvní dodavatel bude pravidelně vracet.
6.4. Smluvní dodavatel zavede do praxe a bude udržovat strategie a postupy k zajištění toho, aby data byla zabezpečena tak, jak odpovídá jejich úrovni citlivosti.
6.5. Smluvní dodavatel bude uchovávat systémové soubory a zdrojový kód na bezpečném místě s omezeným přístupem .
6.6. Smluvní dodavatel zajistí, že žádosti o přístup na aplikační a databázovou úroveň informační technologie a na úroveň operačního systému informační technologie jsou kontrolovány a schvalovány příslušnými pracovníky managementu Smluvního dodavatele.
6.7. Smluvní dodavatel zajistí, že po změně statutu konkrétního Pracovníka Smluvního dodavatele nebo pracovníka Dílčího dodavatele (ukončeno, převedeno) odešle systém varování managementu Smluvního dodavatele tak, aby mohly být podniknuty příslušné kroky.
6.8. Smluvní dodavatel zajistí, že jakmile pracovní povinnosti kteréhokoli Pracovníka Smluvního dodavatele nebo pracovníka Dílčího dodavatele nadále nevyžadují přístup do systému (na úrovni aplikace, databáze a operačního systému), bude přístup pro tyto Pracovníky Smluvního dodavatele včas ukončen.
6.9. Smluvní dodavatel bude pravidelně provádět kontroly oprávnění (entitlement reviews) s využitím komplexní úplné a přesné populace účtů, a to z hlediska uživatelských účtů i z hlediska systémových účtů.
6.10. Smluvní dodavatel zavede do praxe a bude udržovat obvodové bezpečnostní kontroly; a v nezbytných případech také federované bezpečnostní kontroly, které splňují oborové standardy v oblasti bezpečné konfigurace, konzistentní s architekturou systému poskytovanou a/nebo používanou Smluvním dodavatelem (včetně cloudových úložišť či infrastruktury).
6.11. Smluvní dodavatel zavede do praxe a bude udržovat osvědčená opatření k zajištění cloudových úložišť, aplikace „Software as a Service“ a webových aplikací, a to v souladu s oborovými standardy a doporučeními poskytovatele cloudových služeb. Aniž by byla jakkoli omezena obecná povaha odpovědnosti Smluvního dodavatele za bezpečnost, platí, že
stanoví-li společnost Nike minimální požadavky na řízení konfigurace ve vztahu k takovým úložištím, je Smluvní dodavatel povinen takové požadavky dodržet.
6.12. Smluvní dodavatel sám nebo prostřednictvím externího poskytovatele služeb provádí pravidelné vyhodnocení obvodových kontrol (např. sociální inženýrství, eticky přijatelný hacking) konzistentní s architekturou systému poskytovanou a/nebo používanou Smluvním dodavatelem, zejména včetně každoročního testování penetrace a čtvrtletního testování zranitelných míst.
6.13. Smluvní dodavatel provádí pravidelně hodnocení a monitoring konfigurací systému, zejména včetně operačních systémů, databází, síťových zařízení a systémů obvodové kontroly (např. firewalů).
6.14. Smluvní dodavatel bude udržovat v provozu antivirový a/nebo anti-malwarový software, který je nainstalovaný a aktualizovaný.
6.15. Smluvní dodavatel administrace bezpečnosti informační technologie monitoruje a zaznamenává aktivity na úrovni operačního systému, aplikací a databází. Zjištěná porušení bezpečnosti jsou hlášena seniornímu managementu Smluvního dodavatele.
6.16. Smluvní dodavatel (nebo jeho Dílčí dodavatel(é) ) zavede do praxe a bude udržovat fyzické a environmentální bezpečnostní kontroly v budovách a datových centrech, kde jsou Zpracovávány Údaje společnosti Nike, včetně vhodných elektronických systémů pro kontrolu přístupu, monitoring zabezpečení a čidel pro detekci výskytu tepla/kouře.
6.17. Smluvní dodavatel zajistí fyzickou bezpečnost svých provozoven, kde jsou uloženy soubory v papírové formě, servery, počítačové vybavení a záložní systémy.
6.18. Smluvní dodavatel se bude chránit proti ztrátě či krádeži osobního počítače, laptopu, desktopu či jakéhokoli jiného úložného zařízení, včetně mobilních přístrojů.
6.19. Smluvní dodavatel bude Údaje společnosti Nike chránit a Zpracovávat je v souladu s Platnými předpisy.
6.20. V případech, kdy je to technicky možné a kdy to vyžadují obchodní okolnosti, Smluvní dodavatel zavede do praxe a bude udržovat kontrolu přístupu založenou na úloze/funkci, která přiděluje Pracovníkům Smluvního dodavatele výsady (privilegia) na základě pozice/pracovního zařazení a funkce omezuje přístup k údajům na základě potřeby ´takové osoby být obeznámen s danými údaji.
6.21. Smluvním dodavatelem řízené uživatelské, privilegované a obslužné účty zajistí, že přístup k Údajům společnosti Nike je poskytován pouze Pracovníkům Smluvního dodavatele a že systémové komponenty Smluvního dodavatele zpracovávajícího Údaje společnosti Nike jsou chráněny pomocí postupů osvědčené praxe k ochraně hesel, zejména včetně níže uvedených prvků:
(i) minimální délka hesla,
(ii) blokace po neplatném pokusu o přihlášení nebo po období nečinnosti v rámci přihlášení se,
(iii) minimální trvání blokace,
(iv) opakované použití stejného hesla, a
(v) složitost hesla.
6.22. Smluvní dodavatel nebude používat sdílená, generická či systémem generovaná identifikační jména/čísla (ID) pro poskytnutí privilegovaného přístupu k jakýmkoli komponentám systému nebo administraci jakýchkoli komponent systému.
6.23. Smluvní dodavatel nebude sdílet hesla s nikým mimo určeného vlastníka systémového ID či účtu.
6.24. Smluvní dodavatel bude vyžadovat, aby jeho tým podpůrných služeb IT používal vhodné kroky k zajištění ochrany před sociálním inženýrstvím a zabránilo sociálnímu inženýrství v přístupu k účtu kteréhokoli Pracovníka Smluvního dodavatele, včetně ověřování identity při přenastavení hesla nebo přístupu k řešení problém (troubleshooting).
6.25. Smluvní dodavatel bude chránit vzdálená připojení tak, že bude dokumentovat vzdálený přístup k Údajům společnosti Nike, zavedením omezení používání, monitorováním neoprávněného vzdáleného přístupu, použitím kryptografie k ochraně důvěrnosti a integrity relací vzdáleného přístupu a automatickým odpojením relací vzdáleného přístupu po uplynutí období nečinnosti.
6.26. Smluvní dodavatel bude při využití šifrování používat silné šifrovací a bezpečnostní protokoly založené na standardech Národního institutu pro standardy a technologie (National Institute of Standards and Technology) („NIST“) pro šifrování. Přístup k šifrovacím klíčům se omezí na co nejmenší počet potřebných správců; a na bezpečné uložení na co nejmenším počtu míst a v co nejmenším možném počtu forem. Šifrovací klíče budou zašifrovány pomocí klíče pro šifrování, který je uložen zvlášť od klíče pro šifrování údajů; klíče se budou obměňovat v souladu s osvědčenou praxí NIST pro kryptoperiody.
6.27. Smluvní dodavatel zajistí, aby všechny Údaje společnosti Nike byly v klidu i při přesunu chráněny šifrováním, které je v oboru standardní nebo vyšší. Nebude-li to nutné kvůli poskytování Služeb, Smluvní dodavatel neodemkne Údaje společnosti Nike, neprovede zpětný inženýring Údajů společnosti Nike, ani jinak nevystaví hašované, zašifrované či anonymizované Údaje společnosti Nike.
6.28. Smluvní dodavatel zavede do praxe a bude udržovat osvědčené postupy pro bezpečné přihlašování k příslušným systémům, přístrojům a procesům, včetně monitorování podezřelých a neoprávněných aktivit, oddělení a ochrany přístupů a korelace založené na čase. Smluvní dodavatel zavede do praxe a bude udržovat postup pro včasnou kontrolu a instalaci bezpečnostních záplat a aktualizací softwaru pro systémy, přístroje a aplikace.
6.29. Smluvní dodavatel zavede do praxe a bude udržovat postup pro včasnou opravu zranitelných míst průběžně identifikovaných a pro aktivity v oblasti řízení zranitelnosti.
6.30. Smluvní dodavatel bude střežit Údaje společnosti Nike během přenosu dat napříč otevřenými sítěmi, zejména s využitím: silných šifrovacích a bezpečnostních protokolů určených k ochraně Údajů společnosti Nike přenosu dat v otevřených veřejných sítí, a osvědčených postupů používaných v oboru k zavedení silného šifrování pro autentifikaci a přenos Údajů společnosti Nike v bezdrátových sítích nebo připojení k citlivým sítím.
6.31. Smluvní dodavatel zavede do praxe a bude udržovat v platnosti postupy a ochranná opatření ohledně bezpečnosti jakýchkoli přístrojů, na kterých jsou uloženy či Zpracovávány Údaje společnosti Nike, včetně laptopů, mobilů a úložných médií. Smluvní dodavatel nebude uchovávat Údaje společnosti Nike na žádném laptopu, tabletu, flash disku, mobilním telefonu ani jiném podobném mobilním přístroji, leda pokud Smluvní dodavatel obdržel písemný souhlas společnosti Nike a přístroj je chráněn oborově standardním šifrováním.
6.32. Smluvní dodavatel zavede do praxe a bude udržovat mechanismy pro ověření identity a kontrolu přístupu v rámci médií, aplikací, operačních systémů a zařízení včetně logování všech přístupů a exfiltrace a uchovávání záznamů o takových logovaných přístupech po dobu nejméně dvanácti měsíců.
6.33. Smluvní dodavatel zavede do praxe a bude udržovat systémy pro prevenci a detekci narušení prostředí s využitím síťových mechanismů pro prevenci a detekci narušení prostředí.
6.34. Smluvní dodavatel zajistí přísné fyzické či logické oddělení Údajů společnosti Nike od údajů jiných subjektů (non-Nike), tak, aby v žádném systému nedošlo k promíchání obou druhů informací.
7. Projektové řízení
7.1. Smluvní dodavatel zavede do praxe a bude udržovat systém komplexního vývoje, jenž zahrnuje bezpečný vývoj softwaru, byl schválen ze strany managementu a informace o něm byly poskytnuty Pracovníkům Smluvního dodavatele.
7.2. Smluvní dodavatel bude používat bezpečné postupy vývoje v oblasti navrhování, vývoje, údržby/servisu, podpory/posílení a vyřazení z provozu (a) vlastních produktů a služeb a (b) jakýchkoli služeb a předmětů plnění pro společnost Nike. Tyto bezpečné postupy vývoje budou dále v souladu oborovými standardy jako je např. OWASP Top Ten, ISO 27002 a bezpečné postupy programování poskytované organizacemi jako je např. divize CERT Institutu pro softwarový inženýring (CERT Division of the Software Engineering Institute). Aniž by byl omezen obecný charakter výše uvedeného, tyto bezpečné postupy vývoje zahrnují: (1) oddělení bezpečnostních rolí a odpovědností; (2) oddělení vývojových, testovacích a produkčních prostředí; (3) testování bezpečnosti v testovacím prostředí před tím, než dojde k umístění do produkčního prostředí; (4) zákaz používání citlivých údajů a Údajů společnosti Nike v testovacím prostředí; (5) vývoj souboru pravidel pro bezpečné vyvíjení; (6) vývoj bezpečné vývojové metodiky a návodů pro bezpečné programování specifické pro daný jazyk; (7) zavedení do praxe formální procesy kontroly změn, které zahrnují testování bezpečnosti a verifikaci; (8) školení vývojářů v oblasti bezpečného vývoje; a (9) zohledňování citlivosti údajů či systémů.
7.3. Smluvní dodavatel zavede do praxe a bude provádět vhodné prověrky v oblasti zajištění kvality, testování uživatelské akceptace a bezpečnostních kódů k aplikacím.
8. Reakce na incidenty
8.1. Smluvní dodavatel zavede do praxe a bude udržovat zavedené strategie a postupy pro reakci na incidenty, které zahrnují procesy detekce, ohraničení (containment), obnovy (recovery), předání na další úroveň (escalation) a notifikace.
8.2. Smluvní dodavatel pravidelně testuje aktivity reakce na incident, včetně testování u příslušných Dílčích zpracovatelů Smluvního dodavatele (např. poskytovatele cloudových služeb).
9. Management Smluvního dodavatele
9.1. Smluvní dodavatel před angažováním Dílčích zpracovatelů provede v přiměřeném rozsahu prověrku bezpečnostních postupů používaných těmito Dílčími zpracovateli a bude udržovat s Dílčími dodavateli dohody, které obsahují ustanovení řídící odpovědnost daného Dílčího dodavatele za ochranu a zabezpečení Údajů společnosti Nike, která jsou v souladu s touto Smlouvou a Platnými předpisy.
9.2. V případě, že Smluvní dodavatel k poskytování Služeb využívá třetí stranu jako poskytovatele cloudu, pak se taková třetí strana – poskytovatel cloudu považuje za Dílčího zpracovatele. Smluvní dodavatel bere na vědomí a souhlasí, že použití třetí strany – poskytovatele cloudu implikuje sdílenou odpovědnost Smluvního dodavatel a dané třetí strany – poskytovatele cloudu za bezpečnost. Smluvní dodavatel splní nebo překročí všechny nejlepší bezpečnostní postupy doporučené poskytovatelem cloudu a bude na Údaje společnosti Nike uložené v daném cloudovém prostředí aplikovat výše uvedené minimální požadavky.