1. 安全體系
1.1 維護並遵守書面的全面安全政策以及支持性的管理框架,並基於該政策制定標準和指南,以保護數據(包括鄧白氏數據)的機密性、完整性和可用性(CIA)。
1.1.1 服務商理解並承認,與鄧白氏數據的CIA相關的風險環境可能會不時發生變化,並可能需要修改實際的安全做法以解決和減輕該等風險,包括執行比已實施的和/或雙方協議所述的更加嚴格的安全做法。服務商同意採取合理措施修改鄧白氏本著誠意確定和要求的安全措施。
1.2 服務商應明確規定與保護數據機密性、完整性和可用性(CIA)並維護當前信息安全性或等效的組織結構圖相關的職務和職責。
1.3 確保服務商員工在入職時及其後每年接受一次安全意識培訓。安全意識培訓課程內容應包括但不限於與符合要求的使用、數據分類和社會工程(包括網絡釣魚)有關的信息和最佳實踐。
1.4 定期評估由於組織信息系統的運行以及相關的鄧白氏數據處理、儲存和傳輸工作而給服務商組織運營(包括使命、職能、形象或聲譽)、組織資產和個人造成的風險。
1.5 如發生實際或可疑的安全事件,須立即通知鄧白氏。
1.6 未經鄧白氏書面同意,禁止向第三方披露鄧白氏數據或與鄧白氏數據結構有關的信息(例如記錄和現場信息)。
1.7 服務商應建立並維護組織信息系統的有效事件處理能力,概述報告安全事件的準備、檢測、分析、遏制、恢復和報告程序和協議。
1.8 在信息系統的外部邊界和關鍵內部邊界監控、控制和保護組織通信(即服務商信息系統發送或接收的信息)。
1.9 服務商將實施技術措施,以防止屏幕抓取或機器人收集信息(例如驗證碼設備)。
1.10 如服務商需利用分包商支持向鄧白氏提供的服務,則必須提前通知鄧白氏。通知中將包括服務商對該等分包商進行的最新盡職調查評估。
1.11 作為審計工作的一部分,鄧白氏有權在合理通知的情況下檢查和檢驗服務商的安全政策、程序和其他相關證據,以確定是否符合本要求的規定。服務商同意在雙方同意的期限內解決所有指出的缺陷。
2. 訪問管理
2.1 僅允許需要訪問(「需要了解」)鄧白氏數據以按雙方協議的條款和條件執行行動的人員訪問鄧白氏數據。
2.2 訪問權限僅應基於最小特權原則提供。
2.3 對系統的訪問必須基於有效的唯一用戶身份標識,以確保可追溯性和問責制。共享帳戶不得用於系統維護或相關活動以外的任何目的。
2.4 至少每180天一次,審查所有擁有鄧白氏數據訪問權(包括管理員/特權訪問權限)的人員(包括系統和數據庫管理員)的名單,以確保每個人的訪問權限以及該等訪問權限的級別和功能一直符合對雙方協議條款和條件的執行要求。
2.4.1 確保在人員變動(如離職和調職)期間和之後保護儲存、處理或以其他形式載有鄧白氏數據的IT資產。
2.5 制定職責分離原則,以減少惡意活動風險。
2.6 配置在閒置時間超過15分鐘後自動會話超時功能。
2.7 禁止訪問失效時間超過30天的任何服務商用戶帳戶中的鄧白氏數據。
2.8 確保沒有任何個人的身份或身份驗證信息被用於從多個地點同時發起連接或會話,無論是物理上還是邏輯上。
2.9 在任何網絡上僅傳輸加密的帳戶身份驗證和授權信息,並採用技術確保通過兩個因素對遠程訪問進行身份驗證,例如使用一次性密碼生成器令牌或生物特徵識別設備。
2.10 收集並保留所有涉及訪問鄧白氏數據的事件的訪問日誌,且期限不少於1年。
2.11 確保可將個別信息系統用戶的操作唯一地追溯到該等用戶,以便使其對其操作負責。
2.12 檢測並警告未經授權試圖實時訪問鄧白氏數據的相關服務商人員,並及時進行調查、記錄和解決。
2.13 保留所有有關可能存在的未經授權訪問企圖的審查和調查文件,並應要求立即將其提供給鄧白氏。為避免疑問,服務商共享系統上的報告不得與客戶共享,因為這將(i)違反服務商對其他客戶的保密義務,並且(ii)對其他客戶構成安全風險。
2.14 強制實施密碼策略要素並同意以下有關任何載有鄧白氏數據的系統的條件:
2.14.1 定期(至少一年一次)讓用戶了解共享密碼的風險,不要將其密碼洩露給他人或共享密碼。
2.14.2 定期(至少一年一次)讓用戶了解以任何容易察覺的方式(例如將密碼寫到便箋上並貼到顯示器上)記錄密碼的風險。
2.14.3 新發布的系統默認密碼必須在首次使用時失效。
2.14.4 密碼文件必須以單向加密狀態(例如不可逆)加密儲存。
2.14.5 向系統鍵入和輸入密碼時,必須加以遮蓋。
2.14.6 密碼的最小長度為8個字符。
2.14.7 密碼必須是複雜的,最低要求是必須包含字母和數字或符號字符。
2.14.8 在最長使用90天後,密碼必須自動過期,而用戶必須創建新密碼。
2.14.9 防止重複使用前12個月內使用過的密碼。
2.14.10 只有在用戶符合預定義的身份驗證標準後,才解鎖鎖定的用戶帳戶。
2.14.11 密碼更改程序必須強制重新進行身份認證。
2.14.12 針對通過網絡對特權帳戶和非特權帳戶的訪問,採用抗重放身份驗證機制。
2.15 對儲存和傳輸的密碼採用行業標準的強加密方法。
2.16 限制登錄失敗的次數,對於在最多五次的訪問嘗試中未能提供正確登錄憑據的個人,在至少半小時的時間內禁止其訪問。
3. 數據保護
3.1 針對鄧白氏數據所在的系統,建立並維護與行業標準(例如CIS、NIST、DISA STIG、COBIT或PCI)一致的系統加固程序。
3.1.1 在各個系統開發生命週期中,建立和維護服務商IT資產的基準配置和清單。
3.1.2 服務商應維護和操作工具,以至少每月一次的頻率掃描伺服器、網絡設備等,以確認服務商的計算資產是否符合系統強化要求。
3.2 用通用名稱標記在服務商控制下的任何載有鄧白氏數據的儲存媒體,該通用名稱應不會向讀者暗示該媒體中包含鄧白氏數據。
3.3 使用業界領先的加密方法保護靜態數據(即AES 256)和傳輸中的數據(即TLS 1.2)。
3.4 針對鄧白氏數據所在的系統,使用業界普遍認可的工具(例如Qualys、Nessus等)掃描該等系統以識別並糾正可能影響鄧白氏數據的機密性、完整性和可用性(CIA)的安全漏洞。該等掃描應至少每月進行一次。在服務商系統上發現的性質嚴重的漏洞必須在發現後7天內予以糾正。發現的高風險漏洞應在發現後30天內予以糾正。發現的中風險漏洞應在發現後120天內予以糾正。
3.5 若服務商負責為鄧白氏託管技術環境,服務商應維護一個最新的網絡圖,其中顯示處理或儲存鄧白氏數據的所有設備、工具、數據流和媒體,並且服務商應遵守有關該環境的適用PCI規定。
3.6 鄧白氏數據將僅駐留在一個子網上的服務商內部網絡的一部分上,該子網由最新的防火牆保護,而該防火牆配置為拒絕所有訪問(授權流量除外),以最好地提供鄧白氏數據的機密性、完整性和可用性(CIA)。
3.7 在會話結束時或在規定的非活動時間段之後斷開與通信會話關聯的網絡連接。
3.8 限制、禁用和阻止使用非必要的程序、功能、端口、協議和服務。
3.9 在必要的範圍內創建、保護和保留信息系統審計記錄,以實現對非法、未經授權或不適當的信息系統活動的監控、分析、調查和報告。
3.9.1 保護審計信息和審計工具免於遭到未經授權的訪問、修改和刪除,並將審計功能的管理權僅限提供給一部分特權用戶。
3.10 數據不得儲存在移動計算設備上。如有必要使用移動計算設備,則必須制定移動設備管理(MDM)政策,並為服務商提供使用遠程擦除設備的能力。
3.11 通過使用管理和技術控制,禁止使用可移動媒體(即USB設備)。如需要可移動媒體,則該等設備應由服務商提供和管理(即加密)。
3.12 運用在例外情況下拒絕(黑名單)策略以防止使用未經授權的軟件,即,運用(全部拒絕,僅在例外情況下允許)策略以允許執行授權的軟件或網絡通信流量。
3.13 在使用數據之後或在鄧白氏的合理要求下或根據協議的其他規定,按照美國國家標準與技術研究院(NIST)或美國國防部(DoD)規定的程序,將數據返回給鄧白氏或證明數據已銷毀。
3.14 對於對儲存鄧白氏數據的系統或物理環境擁有物理或邏輯訪問權限的所有個人,包括員工,進行全面的背景檢查,並確保那些背景檢查結果與所聲明的檔案和工作經歷不一致的個人無權訪問鄧白氏數據。
3.15 業務委託或僱用關係終止時,將鄧白氏擁有或發放給服務商人員的所有資產退還鄧白氏。
3.16 採用能夠通過對信息系統進行定期掃描以及在下載、打開或執行文件時實時掃描來自外部源頭的文件來維護文件完整性的控制和過程。
4. 系統開發
服務商開發的軟件(即源代碼)應在設計、架構和實施方面滿足安全性要求,包括但不限於以下內容:
4.1 在鄧白氏提出要求時,提供證據證明產品的測試/評估和驗證一直是服務商軟件開發生命週期(SDLC)的一部分。
4.2 服務商將基於CIS、NIST、DISA STIG和/或類似標準以及供應商最佳實踐提供和維護安全架構和軟件開發專用的生命週期程序。服務商應向鄧白氏提供由適當的高級經理或具有同等資格的人員簽署的信函,以確認本條中所述的服務商程序。
4.3 服務商將提供軟件中所包含的開源庫或組件的列表及其版本號。
4.3.1 使用商業產品對所有開源庫執行軟件組件掃描。在將軟件升級到生產之前,必須解決所有已確定的問題。
4.4 所有應用程序源代碼都必須保留在經過批准並獲得行業認可的源代碼存儲庫中。該存儲庫應由服務商通過適當的訪問控制和監控進行管理。這包括開放源碼和內部定製的任何第三方程序包。
4.5 使用信譽良好的商業產品執行靜態和動態代碼分析,該產品將掃描所有通用弱點枚舉(CWE),表明所有軟件均已掃描且沒有弱點。
4.6 聘請獨立第三方對任何已開發的Web或移動軟件進行應用程序滲透測試(由服務商承擔費用),並分析所有可能存在的漏洞。
4.7 如果服務商提供包括硬件和軟件在內的整體解決方案,則服務商還將提供配置和平台漏洞掃描報告,表明不存在配置或平台問題。
4.8 對於被評定為高風險的應用程序/產品/解決方案(應由鄧白氏在與服務商協商後,採用鄧白氏信息安全標準,逐案或逐個項目地進行評估),在發布任何主要版本之前,鄧白氏希望服務商執行端到端滲透測試並提供報告,表明應用程序/產品/解決方案中不存在安全問題。
4.9 鄧白氏保留審查服務商軟件或要求重新掃描服務商軟件以確認軟件安全質量的權利。發現的任何漏洞都將被視為軟件錯誤,並且,如果問題出在服務商提供的代碼中,則在服務商收到最終付款(若適用)之前由服務商更正。
5. 物理安全
5.1 在所有訪問、處理、儲存或以其他方式處理鄧白氏數據的設施(包括遠程辦公站點)上,實施和執行旨在保護鄧白氏數據的政策和程序。
5.2 儲存、處理或以其他方式處理鄧白氏數據的系統必須放在上鎖的房間和設施中以確保安全,而該等房間和設施的訪問權限應僅限於提供給那些需要物理訪問以執行其工作職能的人員。
5.3 在未授權人員與儲存或處理鄧白氏數據的系統之間創建適當數量的物理安全層。對於大多數目的而言,適當的物理安全層數將是三層,例如,保安或旋轉門、上鎖的服務器室,上鎖的服務器機櫃。
5.3.1 必須維護物理訪問日誌,記錄日期、時間和訪問特定區域的個人。
5.4 保持以上至少一層,在其中應可以採用、跟踪和查看監控(例如,實時閉路電視監控系統(CCTV)監控錄像的24x7x365監控)。
5.5 將監控錄像和安全監控日誌至少保留一年。
5.6 建立在訪問期間管理服務商訪客的程序(即在服務商場所附近由員工陪同)。
5.7 服務商應實施和監控適當的環境安全控制措施(即火災探測和滅火系統)。未經事先通知鄧白氏,不得將包含鄧白氏數據的媒體或設備移出服務商場所。應對該等媒體和/或設備進行適當的保護,並應建立監管鏈以確保問責。
6. 員工擴充/第三方開發人員
為了在服務商提供人員的擴充期間和/或在服務商提供的開發人員用於開發和/或維護鄧白氏應用程序和系統的情況下確保鄧白氏軟件和數據的安全、責任和完整性,服務商將:
6.1 在鄧白氏機構中工作的服務商人員應遵守(i)提供給服務商的所有鄧白氏物理安全規定,以及(ii)適用的工作說明書中所述的鄧白氏邏輯安全規範。
6.2 對服務商簽約的進行系統開發、管理、維護需訪問鄧白氏數據的個人執行背景調查並記錄其結果。
6.3 確保對組織人員進行充分的培訓,以履行分配給他們的信息安全相關職責。
6.4 確保使服務商信息系統的開發人員、管理人員、系統管理員和用戶了解與其工作相關的安全風險以及與組織信息系統的安全相關的適用政策、標準和程序。
6.5 確保由服務商開發並提供給鄧白氏的代碼不存在任何已知缺陷。這意味著由服務商開發人員開發並由服務商提供給鄧白氏的代碼不應直接或間接引入任何已知的漏洞,並且這些代碼不應對應用程序/項目的整體安全性產生負面影響。
6.6 如果服務商為鄧白氏提供應用程序或軟件開發、軟件增強或定製、數據庫管理、系統管理或代碼開發服務,則服務商的員工和分包商必須(i)遵守鄧白氏規定的安全代碼開發規範,並且(ii)通過適當的基於開發項目、基於供應商或基於服務的行業認證。所需的特定安全開發實踐和行業認證應在適用的工作說明書中列出。
7. 軟件開發服務
如果服務商提供軟件開發服務,則服務商應遵守以下義務:
7.1 服務商應使用信譽良好的商業產品執行靜態和動態代碼分析,掃描應包括所有通用弱點枚舉(CWE)所包含的漏洞,並證明所有軟件均被掃描且沒有弱點。
7.2 服務商應自擔費用聘請獨立第三方對已開發的Web或移動軟件進行應用滲透測試,並分析所有可能的漏洞。
7.3 若服務商提供包括硬件和軟件在內的完整解決方案,服務商還應提供有關配置和平台漏洞掃描的報告,表明配置和平台沒有安全問題。
7.4 依據鄧白氏信息安全標準,被評定為高風險的應用程序/產品/解決方案,在任何重要版本發布之前,服務商應進行端到端滲透測試並提供報告,表明應用程序/產品/解決方案中不存在安全問題。
8. 賠償
除雙方協議涉及的任何其他賠償規定外,服務商應就因(i)違反服務商在雙方協議項下的義務,(ii)違反適用於服務商或所提供服務的法律,或(iii)服務商或其任何雇員或分包商的故意不當行為而導致的安全事件而產生或與之有關的,或基於與安全事件有關的任何第三方指控而產生的任何損失或可能產生的損失,自費賠償鄧白氏及其關聯服務商及其各自的高級管理人員、董事、雇員、代理人、代表、繼任人和受讓人,為之辯護並使之不受損害。