მოვაჭრის უსაფრთხოების პოლიტიკა
1. მიზანი
უსაფრთხოების პოლიტიკის მიზანია მოვაჭრის კონტროლს ქვეშ არსებული ინფორმაციის დასაცავად კონტროლის მექანიზმების შექმნა და მისი მეშვეობით კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველყოფა.
პოლიტიკა მიზნად ისახავს შიდა და გარე საფრთხეების მიმართ ინფორმაციული უსაფრთხოების დამცავი მექანიზმების, კრიზისული სიტუაციებისა და განზრახ დაზიანებების წინააღმდეგ ქცევის ძირითადი წესების შექმნას.
2. უსაფრთხოების პოლიტიკის სუბიექტები
2.1. უსაფრთხოების პოლიტიკის მოთხოვნები ვრცელდება:
ა) მოვაჭრის მიერ დაქირავებულ პირებზე – შემდგომში „სუბიექტები“;
ბ) ყველა პირზე, რომელსაც შესაძლოა ჰქონდეს წვდომა მოვაჭრის მიერ დაცულ ინფორმაციასთან.
2.2. სუბიექტები ვალდებულნი არიან დაიცვან პოლიტიკის მოთხოვნები და აიღონ პასუხისმგებლობა მათთვის დაწესებული სტანდარტებისა და წესების სრულყოფილად და ზედმიწევნით შესრულებაზე.
3. უსაფრთხოების მიზნით გასატარებელი ღონისძიებები
3.1. მოვაჭრე ახორციელებს მუდმივ კონტროლს ინფორმაციის დამამუშავებელ მოწყობილობებზე მათი სწორი და უსაფრთხო სარგებლობის უზრუნველყოფის მიზნით.
3.2. მოვაჭრე უზრუნველყოფს ინფორმაციის დამამუშვებელი სისტემების დოკუმენტაციის შექმნას, მათ შორის, გამოყენებული ტექნოლოგიების კონფიგურაციების ჩათვლით. ინფორმაცია, რომელიც შეიცავს ინფორმაციული უსაფრთხოებისათვის მნიშვნელოვან მონაცემებს, შეინახება უსაფრთხო ადგილას და ინფორმაციის მიღების აუცილებლობის მიხედვით შეიზღუდება მასზე წვდომა.
3.3. ინფორმაციული მატარებლები, რომლებიც შეიცავენ ინფორმაციული კლასიფიკაციიდან გამომდინარე მაღალი კრიტიკულობის მქონე ინფორმაციას, აღიწერება და მათი გამოყენება, შენახვა და განადგურება დაექვემდებარება მკაცრ კონტროლს.
3.4. სუბიექტები ვალდებულნი არიან ნებისმიერი კომპიუტერული პროგრამის გამოყენებამდე დარწმუნდნენ, რომ პროგრამების გამოყენება არ გამოიწვევს ვირუსების გავრცელებას და ტექნიკური მოწყობილობების იმგვარ დაზიანებას, რაც საფრთხის ქვეშ დააყენებს ინფორმაციის დაცულობას.
3.5. მოვაჭრის მიერ მუდმივად უნდა ხორციელდებოდეს სუბიექტების სწავლება/დატრენინგება, რათა თავიდან იქნას აცილებული ნებისმიერი შეცდომა ინფორმაციის უსაფრთხოებასთან დაკავშირებით.
3. რისკის შეფასება და მართვა
3.1. რისკის შეფასება არის ამოსავალი წერტილი უსაფრთხოების მართვის ნებისმიერი გეგმის შემუშავებამდე. რისკის შეფასება განსაზღვრავს არსებული და პროგნოზირებადი უსაფრთხოების რისკებს, რომლებიც დაკავშირებულია პროექტთან/ ოპერაციებთან.
3.2. რისკების შეფასების გადახედვა მოხდება ყოველწლიურად ან რაიმე მნიშვნელოვანი უსაფრთხოებასთან დაკავშირებული შემთხვევისას. რისკების შეფასება ასევე გადაიხედება მასთან დაკავშირებული კანონმდებლობის ნებისმიერი ცვლილებისას.
რისკების შეფასებისას გათვალისწინებული/დაცული უნდა იყოს შემდეგი საკითხები:
3.3 რეგულარულად ჩატარდეს ვებ-საიტის დაცვის სისტემების შეფასება, რათა დროულად გამოვლინდეს ნებისმიერი სისტემური ხარვეზი და აღმოიფხვრას იგი.
3.4. დარწმუნდეს, რომ საგადახდო სერვისის პროვაიდერი შეესაბამება PCI DSS-ს, რომელიც მოიცავს უსაფრთხო ქსელის შენარჩუნებას, ბარათის მფლობელის მონაცემების დაცვას, ქსელების რეგულარულ მონიტორინგს და ტესტირებას და წვდომის კონტროლის ძლიერი ზომების განხორციელებას.
3.5. დაინერგოს უსაფრთხო პროტოკოლები, როგორიცაა HTTPS, ბარათის მფლობელის მონაცემების ინტერნეტით გადასაცემად, რათა დაიცვათ არაავტორიზებული ჩარევისგან ან წვდომისგან.
3.6. გამოყენებულ იქნას დაშიფვრის ძლიერი მექანიზმები (მაგ. SSL/TLS) სენსიტიური მონაცემების, მათ შორის საკრედიტო ბარათის ინფორმაციის დაშიფვრისთვის, როგორც ტრანსპორტირებისას, ასევე დასვენების დროს, რათა თავიდან აცილებულ იქნას არაავტორიზებული წვდომა ან მონაცემთა ქურდობა.
3.7. განხორციელდეს მკაცრი წვდომის კონტროლი, რათა შეზღუდულ იქნას წვდომა ვებსაიტის მგრძნობიარე არეაზე, გადახდის დამუშავების სისტემების ჩათვლით, მხოლოდ ავტორიზებული პერსონალისთვის. ეს მოიცავს პაროლების დაცვის ძლიერ პოლიტიკას.
3.8. დარწმუნდით, რომ ვებსაიტების ყველა პროგრამული უზრუნველყოფა, კონტენტის მართვის სისტემების და დანამატების ჩათვლით, განახლებულია უსაფრთხოების უახლესი პატჩებითა და განახლებებით რისკების შესამცირებლად.
3.9. გამოყენებულ იქნას შეჭრის აღმოჩენისა და პრევენციის სისტემები (IDS/IPS) ქსელის ტრაფიკის მონიტორინგისთვის და პოტენციური თავდასხმების ან საეჭვო აქტივობების იდენტიფიცირებისთვის. განახორციელეთ ზომები ამ საფრთხეების დაბლოკვის ან შესამცირებლად რეალურ დროში.
3.10. უზრუნველყოფილ იქნას ვებსაიტის და მასთან დაკავშირებული მონაცემთა ბაზების განთავსება უსაფრთხო და რეპუტაციის მქონე ჰოსტინგის პროვაიდერზე, რომელიც ახორციელებს უსაფრთხოების მძლავრ ზომებს, როგორიცაა firewalls, შეჭრის აღმოჩენის სისტემები და რეგულარული უსაფრთხოების აუდიტი.
3.11. ჩატარდეს პერიოდული უსაფრთხოების აუდიტი დამოუკიდებელი მესამე მხარის შემფასებლების მიერ, რათა შეაფასონ უსაფრთხოების კონტროლის ეფექტურობა და გამოავლინონ ნებისმიერი პოტენციური სისუსტე ან გაუმჯობესების სფერო.
4. პასუხისმგებლობა
4.1. უსაფრთხოების პოლიტიკაზე და უსაფრთხოების პოლიტიკით დადგენილი მოთხოვნების შესრულებაზე პასუხისმგებელია მოვაჭრე.
5. სხვა დებულებები
5.1. უსაფრთხოების პოლიტიკა არის საჯარო და ხელმისაწვდომი მოვაჭრის ნებისმიერი მომხმარებლისთვის.