1.Исполнитель обязуется при оказании Услуг соблюдать законодательство Республики Узбекистан в области защиты информации и персональных данных, а также Политику кибербезопасности ООО “Unitel” и иные требования Заказчика в части кибербезопасности.
1.2. Исполнитель использует доступ к информационным системам Заказчика исключительно в целях исполнения настоящего Договора. Любое иное использование, в том числе в тестовых, демонстрационных и личных целях сотрудников Исполнителя, строго запрещено.
1.3. Доступ сотрудников Исполнителя к информационным системам и ресурсам Заказчика предоставляется по принципу «минимально необходимого доступа» (least privilege) и только на основании заявок, согласованных уполномоченными представителями Заказчика. Исполнитель обязуется предоставить.
1.4. При работе с системами Заказчика Исполнитель и его сотрудники обязаны использовать предоставляемые учетные записи в соответствии со следующими требованиями.
1.4.1. Учетные записи являются персонифицированными (запрещены общие/групповые логины).
1.4.2. Учетные записи защищены сложными паролями и, при наличии технической возможности, двухфакторной аутентификацией (MFA).
1.4.3. Учетные записи ограничены по сроку действия и правам доступа в соответствии с ролью сотрудника Исполнителя.
1.5. В случае изменения персональных данных сотрудников, увольнения или смены сотрудников, получивших доступ к информационным системам и ресурсам Заказчика, Исполнитель обязан проинформировать Заказчика о таких изменениях в течение 3 (трех) рабочих дней с даты изменения.
1.6. Заказчик вправе заблокировать доступы сотрудников.
Использование PAM
1.5 Все привилегированные доступы сотрудников Исполнителя к инфраструктуре и информационным системам Заказчика (включая доступ к операционным системам, СУБД, сетевому оборудованию, системам виртуализации и средствам безопасности) подлежат управлению через систему управления привилегированным доступом (PAM) Заказчика или иную согласованную Сторонами PAM-систему.
1.6. В рамках использования PAM-системы Заказчика:
1.6.1. Пароли привилегированных учетных записей хранятся и используются только через PAM и не передаются сотрудникам Исполнителя в неявном виде.
1.6.2. Все сессии привилегированного доступа сотрудников Исполнителя подлежат обязательной регистрации и, при наличии функционала, хранятся (запись экрана, команд и действий), посредством системы PAM Заказчика.
1.6.3. Запрещается обход PAM-системы, а исключением аварийных ситуаций, отдельно согласованных с Заказчиком и подлежащих последующему документированию.
1.7. Исполнитель обязуется не хранить учётные данные Заказчика (логины, пароли, ключи, токены доступа) вне защищённой инфраструктуры Заказчика и/или PAM-системы и не передавать их третьим лицам.
Обработка и хранение данных
1.8. Копирование, выгрузка и хранение данных Заказчика (включая журналы, дампы баз данных, конфигурации, исходные коды и иные артефакты) допускается только в объёме, необходимом для исполнения настоящего Договора и при условии согласования с Заказчиком.
1.9. Все данные Заказчика, временно размещаемые в инфраструктуре Исполнителя, подлежат:
1.9.1. Хранению в зашифрованном виде.
1.9.2. Защите от несанкционированного доступа, модификации и уничтожения.
1.9.3. Уничтожению или возврату Заказчику по окончании срока действия Договора или по письменному требованию Заказчика с предоставлением соответствующих документов.
Информационная безопасность подключений
1.10. В случае необходимости предоставления удалённого доступа, такой доступ сотрудников Исполнителя к системам Заказчика осуществляется только:
1.10.1. Через согласованный с Заказчиком защищённый канал связи (VPN, защищённый шлюз удалённого доступа и др.).
1.10.2. С использованных Исполнителем рабочих станций/серверов, соответствующих требованиям информационной безопасности Заказчика (актуальные обновления безопасности, антивирусная защита, шифрование дисков и т. д.
1.11. Использование съёмных носителей информации (USB-накопителей, внешних дисков и пр.) при работе с системами и данными Заказчика допускается только с предварительного письменного согласования с Заказчиком.
Инциденты ИБ
1.12. Исполнитель обязуется незамедлительно, но в любом случае не позднее 2 (двух) часов с момента обнаружения, уведомить Заказчика о любых инцидентах информационной безопасности, связанных с системами и/или данными Заказчика, включая, но не ограничиваясь: несанкционированным доступом, утечкой данных, подозрительной активностью в привилегированных сессиях, компрометацией учетных записей и т. п.
1.13. Исполнитель оказывает полное содействие Заказчику в расследовании инцидентов информационной безопасности, связанных с деятельностью Исполнителя по настоящему Договору, включая предоставление логов PAM-систем, журналов доступа, технической информации и пояснений.
1.14. Нарушение требований настоящего раздела рассматривается как существенное нарушение условий Договора и может являться основанием для его досрочного расторжения по инициативе Заказчика, а также возложения на Исполнителя обязанности по возмещению причиненных убытков.
1.15. Заказчик вправе приостанавливать доступ Исполнителя к своим системам при выявлении или подозрений на нарушения требований информационной безопасности до их полного устранения.
1.16. Обязательства по защите и возврату/уничтожению данных, сохранности логов и конфиденциальности сохраняют силу и после прекращения настоящего Договора в течение 1 (одного) года с даты его прекращения.