服務商必須根據下述資料安全要求(以下簡稱為“本要求”)保護其處理、傳輸、存儲或以其他方式接觸到的鄧白氏資料。就本要求而言,鄧白氏向服務商披露的以及服務商向鄧白氏提供服務過程中所接觸到的任何資訊(包括企業等組織實體的資訊和個人資訊)統稱為 “鄧白氏資料”

  1. 安全體系
    1. 維護並遵守書面的全面安全政策以及支持性的管理框架,並基於該政策制定標準和指南,以保護資料(包括鄧白氏資料)的機密性、完整性和可用性(CIA)。
      1. 服務商理解並承認,與鄧白氏資料的CIA相關的風險環境可能會不時發生變化,並且可能需要修改實際的安全做法以解決和減輕該等風險,包括執行比已實施的和/或本協議所述的更加嚴格的安全做法。服務商同意採取合理措施修改鄧白氏本著誠意確定和要求的安全措施。
    2. 服務商應明確規定與保護資料機密性、完整性和可用性(CIA)並維護當前資訊安全性或等效的組織結構圖相關的職務和職責。
    3. 確保服務商員工在入職時及其後每年接受一次安全意識培訓。安全意識培訓課程內容應該包括但不限於與符合要求的使用、資料分類和社會工程(包括網路釣魚)有關的資訊和最佳實踐。
    4. 定期評估由於組織資訊系統的運行以及相關的鄧白氏資料處理、存儲和傳輸工作而給服務商組織運營(包括使命、職能、形象或聲譽)、組織資產和個人造成的風險。
    5. 如果發生了實際的或者可疑的安全事件,請立即通知鄧白氏。
    6. 未經鄧白氏書面同意,禁止向第三方披露鄧白氏資料或與鄧白氏資料結構有關的信息(例如記錄和現場資訊)。
    7. 服務商應建立並維護組織資訊系統的有效事件處理能力,概述報告安全事件的準備、檢測、分析、遏制、恢復和報告序和協議。
    8. 在資訊系統的外部邊界和關鍵內部邊界監控、控制和保護組織通信(即服務商資訊系統發送或接收的資訊)。
    9. 服務商將實施技術措施,以防止螢幕抓取或機器人收集資訊(例如驗證碼設備)。
    10. 如果服務商要利用分包商來支援向鄧白氏提供的服務,則必須提前通知鄧白氏。通知中將包括服務商對該等分包商進行的最新盡職調查評估。
    11. 作為審核工作的一部分,鄧白氏服務商有權在合理通知的情況下檢查和檢驗服務商的安全政策、程式和其他相關證據,以確定是否符合本要求的規定。服務商同意在雙方同意的期限內解決所有指出的缺陷。
  2. 訪問管理
    1. 僅允許需要訪問(“需要瞭解”)鄧白氏資料以按本協定的條款和條件執行行動的人士訪問鄧白氏資料。
    2. 存取權限僅應基於最小特權來提供。
    3. 對系統的訪問必須基於有效的唯一用戶身份,以確保可追溯性和問責制。共用帳戶不得用於系統維護或相關活動以外的任何目的。
    4. 至少每180天一次,審查所有擁有鄧白氏資料訪問權(包括管理員/特權存取權限)的人員(包括系統和資料庫管理員)的名單,以確保每個人的存取權限以及該等存取權限的級別和功能一直符合對本協議條款和條件的執行要求。
      1. (i) 確保在人員變動(如離職和調職)期間和之後保護儲存、處理或以其他形式載有鄧白氏資料的IT資產。
    5. 制定職責分離原則,以減少惡意活動風險。
    6. 配置在閒置時間超過15分鐘後自動會話超時功能。
    7. 禁止訪問失效時間不超過30天的任何服務商使用者帳戶中鄧白氏資料。
    8. 確保沒有任何個人的身份或身份驗證資訊被用於從多個地點同時發起連接或會話,無論是物理上還是邏輯上。
    9. 在任何網路上僅傳輸加密的帳戶身份驗證和授權資訊,並採用技術來確保通過兩個因素對遠端存取進行身份驗證,例如使用一次性密碼生成器權杖或生物特徵識別設備。
    10. 收集並保留所有涉及訪問鄧白氏資料的事件的訪問日誌,且期限不少於1年。
    11. 確保可以將個別資訊系統使用者的操作唯一地追溯到該等用戶,以便使他們對其操作負責。
    12. 檢測並警告未經授權試圖即時訪問鄧白氏資料的相關服務商人員,並及時進行調查、記錄和解決。
    13. 保留所有有關可能存在的未經授權訪問企圖的審查和調查的檔,並應要求立即將其提供給鄧白氏。為避免疑問,服務商共用系統上的報告不能與客戶共用,因為這將(i)違反服務商對其他客戶的保密義務,並且(ii)對其他客戶構成安全風險。
    14. 強制實施密碼策略要素並同意以下有關任何載有鄧白氏資料的系統的條件:
      1. 定期(至少一年一次)讓使用者瞭解共用密碼的風險,不要將其密碼洩露給他人或共用密碼。
      2. 定期(至少一年一次)讓用戶瞭解以任何容易察覺的方式(例如,將密碼寫到便箋上並貼到顯示器上)記錄密碼的風險。
      3. 新發佈的系統預設密碼必須在首次使用時失效。
      4. 密碼檔必須以單向加密狀態(例如不可逆)加密存儲。
      5. 向系統鍵入和輸入密碼時,必須加以遮蓋。
      6. 密碼的最小長度為8個字元。
      7. 密碼必須是複雜的,最低要求是必須包含字母和數位或符號字元。
      8. 在最長使用90天后,密碼必須自動過期,而使用者必須創建新密碼。
      9. 防止重複使用前12個月內使用過的密碼。
      10. 只有在用戶符合預定義的身份驗證標準後,才解鎖鎖定的用戶帳戶。
      11. 密碼更改程式必須強制重新進行身份認證。
      12. 針對通過網路對特權帳戶和非特權帳戶的訪問,採用抗重放身份驗證機制。
    15. 對存儲和傳輸的密碼採用行業標準的增強式加密方法。
    16. 限制登錄失敗的次數,對於在最多五次的訪問嘗試中未能提供正確登錄憑據的個人,在至少半小時的時間內禁止其訪問。
  3. 資料保護
    1. 針對鄧白氏資料所在的系統,建立並維護與行業標準(例如CIS、NIST、DISA STIG、COBIT或PCI)一致的系統加固程式。
      1. 在各個系統開發生命週期中,建立和維護服務商IT資產的基準配置和清單。
      2. 服務商應維護和操作工具,以至少每月一次的頻率掃描伺服器、網路設備等,以確認服務商的計算資產是否符合系統強化要求。
    2. 用通用名稱標記在服務商控制下的任何載有鄧白氏資料的存儲媒體,該通用名稱應不會向讀者暗示該媒體中包含鄧白氏數據。
    3. 使用業界領先的加密方法來保護靜態資料(即AES 256)和傳輸中的資料(即TLS 1.2)。
    4. 針對鄧白氏資料所在的系統,使用業界普遍認可的工具(例如Qualys、Nessus 等)掃描該等系統以識別並糾正可能影響鄧白氏資料的機密性、完整性和可用性(CIA)的安全性漏洞。該等掃描應至少每月進行一次。在服務商系統上發現的性質嚴重的漏洞必須在發現後7天內予以糾正。發現的高風險漏洞應在發現後30天內予以糾正。發現的中風險漏洞應在發現後120天內予以糾正。
    5. 若服務商負責為鄧白氏託管技術環境,服務商應維護一個最新的網路圖,其中顯示處理或存儲鄧白氏資料的所有設備、工具、資料流程和媒體,並且服務商應遵守有關該環境的適用PCI規定。
    6. 鄧白氏資料將僅駐留在一個子網上的服務商內部網路的一部分上,該子網由最新的防火牆保護,而該防火牆配置為拒絕所有訪問(授權流量除外),以最好地提供鄧白氏資料的機密性、完整性和可用性(CIA)。
    7. 在會話結束時或在規定的非活動時間段之後斷開與通信會話關聯的網路連接。
    8. 限制、禁用和阻止使用非必要的程式、功能、埠、協定和服務。
    9. 在必要的範圍內創建、保護和保留資訊系統審核記錄,以實現對非法、未經授權或不適當的資訊系統活動的監控、分析、調查和報告。
      1. 保護審核資訊和審核工具免於遭到未經授權的訪問、修改和刪除,並將審核功能的管理權僅限提供給一部分特權用戶。
    10. 資料不得存儲在行動計算裝置上。如果有必要使用行動計算裝置,則必須制定移動設備管理(MDM)政策,並為服務商提供使用遠端擦除設備的能力。
    11. 通過使用管理和技術控制,禁止使用可移動媒體(即USB設備)。如果需要可移動媒體,則該等設備應由服務商提供和管理(即加密)。
    12. 運用在例外情況下拒絕(黑名單)策略以防止使用未經授權的軟體,即,運用(全部拒絕,僅在例外情況下允許)策略以允許執行授權的軟體或網路通信流量。
    13. 在使用資料之後或在鄧白氏的合理要求下或根據協定的其他規定,按照美國國家標準 與技術研究院(NIST)或美國國防部(DoD)規定的程式,將資料返回給鄧白氏或證明資料已銷毀。
    14. 對於對存儲鄧白氏資料的系統或物理環境擁有物理或邏輯存取權限的所有個人,包括員工,進行全面的背景檢查,並確保那些背景檢查結果與所聲明的檔案和工作經歷不一致的個人無權訪問鄧白氏資料。
    15. 業務委託或雇用關係終止時,將鄧白氏擁有或發放給服務商人員的所有資產退還鄧白氏。
    16. 採用能夠通過對資訊系統進行定期掃描以及在下載、打開或執行檔時即時掃描來自外 部源頭的檔來維護檔的完整性的控制和過程。
  4. 系統開發服務商開發的軟體(即原始程式碼)應在設計、架構和實施方面滿足安全性要求,包括但不限於以下內容:
    1. 在鄧白氏提出要求時,提供證據證明產品的測試/評估和驗證一直是服務商軟體發展生命週期(SDLC)的一部分。
    2. 服務商將基於CIS、NIST、DISA STIG和/或類似標準以及供應商最佳實踐提供和維護安全架構和軟體發展專用的生命週期程式。服務商應向鄧白氏提供由適當的高級經理或具有同等資格的人員簽署的信函,以確認本條中所述的服務商程式。
    3. 服務商將提供軟體中所包含的開源庫或元件的清單及其版本號。
      1. 使用商業產品對所有開源庫執行軟體元件掃描。在將軟體升級到生產之前,必須解決所有已確定的問題。
    4. 所有應用程式原始程式碼都必須保留在經過批准並獲得行業認可的原始程式碼存儲庫中。該存儲庫應由服務商通過適當的存取控制和監控進行管理。這包括開放源碼和內部自訂的任何第三方套裝程式。
    5. 使用信譽良好的商業產品執行靜態和動態代碼分析,該產品將掃描所有通用弱點枚舉(CWE),表明所有軟體均已掃描且沒有弱點。
    6. 聘請獨立第三方對任何已開發的Web或移動軟體進行應用程式滲透測試(由服務商承擔費用),並分析所有可能存在的漏洞。
    7. 如果服務商提供包括硬體和軟體在內的整體解決方案,則服務商還將提供配置和平臺漏洞掃描報告,表明不存在配置或平臺問題。
    8. 對於被評定為高風險的應用程式/產品/解決方案(應由鄧白氏在與服務商協商後,採用鄧白氏資訊安全標準,逐案或逐個項目地進行評估),在發佈任何主要版本之前,鄧白氏希望服務商執行端到端滲透測試並提供報告,表明應用程式/產品/解決方案中不存在安全問題。
    9. 鄧白氏保留審查服務商軟體或要求重新掃描服務商軟體以確認軟體安全品質的權利。發現的任何漏洞都將被視為軟體錯誤,並且,如果問題出在服務商提供的代碼中,則在服務商收到最終付款(若適用)之前由服務商更正。
  5. 物理安全
    1. 在所有訪問、處理、存儲或以其他方式處理鄧白氏資料的設施(包括遠端辦公網站)上,實施和執行旨在保護鄧白氏資料的政策和程式。
    2. 存儲、處理或以其他方式處理鄧白氏資料的系統必須放在上鎖的房間和設施中以確保安全,而該等房間和設施的存取權限應僅限於提供給那些需要物理訪問以執行其工作職能的人員。
    3. 在未授權人員與存儲或處理鄧白氏資料的系統之間創建適當數量的物理安全層。對於大多數目的而言,適當的物理安全層數將是三層,例如,保安或旋轉門、上鎖的伺服器室,上鎖的伺服器機櫃。
      1. 必須維護物理訪問日誌,記錄日期、時間和訪問特定區域的個人。
    4. 保持以上至少一層,在其中應可以採用、跟蹤和查看監控(例如,即時閉路電視監控系統(CCTV)監控錄影的24x7x365監控)。
    5. 將監控錄影和安全監控日誌至少保留一年。
    6. 建立在訪問期間管理服務商訪客的程式(即在服務商場所附近由員工陪同)。
    7. 服務商應實施和監控適當的環境安全控制措施(即火災探測和滅火系統)。未經事先通知鄧白氏,不得將包含鄧白氏資料的媒體或設備移出服務商場所。應對該等媒體和/或設備進行適當的保護,並應建立監管鏈以確保問責。
  6. 員工擴充/第三方開發人員 為了在服務商提供人員的擴充期間和/或在服務商提供的開發人員用於開發和/或維護鄧白氏應用程式和系統的情況下確保鄧白氏軟體和資料的安全、責任和完整性,服務商將:
    1. 在鄧白氏機構中工作的服務商人員應遵守(i)提供給服務商的所有鄧白氏物理安全規定,以及(ii)適用的工作說明書中所述的鄧白氏邏輯安全規定。
    2. 對服務商簽約的進行系統開發、管理、維護需訪問鄧白氏資料的個人執行背景調查並記錄其結果。
    3. 確保對組織人員進行充分的培訓,以履行分配給他們的資訊安全相關職責。
    4. 確保使服務商資訊系統的開發人員、管理人員、系統管理員和使用者瞭解與其工作相關的安全風險以及與組織資訊系統的安全相關的適用政策、標準和程式。
    5. 確保由服務商開發並提供給鄧白氏的代碼不存在任何已知缺陷。這意味著由服務商開發人員開發並由服務商提供給鄧白氏的代碼不應直接或間接引入任何已知的漏洞,並且這些代碼不應對應用程式/專案的整體安全性產生負面影響。
    6. 如果服務商為鄧白氏提供應用程式或軟體發展、軟體增強或定制、資料庫管理、系統管理或代碼開發服務,則服務商的員工和分包商必須(i)遵守鄧白氏規定的安全代碼開發規範,並且(ii)通過適當的基於開發項目、基於供應商或基於服務的行業認證。所需的特定安全開發實踐和行業認證應在適用的工作說明書中列出。
    7. 賠償
      1. 除本協議中的任何其他賠償規定外(並在遵守本協議正文第9條中規定的賠償程式條件下),服務商應就因(i)違反服務商在本協定或適用的工作說明書項下的義務,(ii)違反適用于服務商或所提供服務的法律,或(iii)服務商或其任何雇員或分包商的故意不當行為而導致的安全事件而產生或與之有關的,或基於與安全事件有關的任何第三方指控而產生的任何損失或可能產生的損失,自費賠償鄧白氏及其關聯服務商及其各自的高級管理人員、董事、雇員、代理人、代表、繼任人和受讓人,為之辯護並使之不受損害。
TOP