Wymogi IT dla kontrahentów

 

  1. Dostarczany sprzęt komputerowy:
  • preferowany standard serwera, komputera typu desktop, laptopa lub innego urządzenia komputerowego zgodny z obowiązującą aktualnie konfiguracją dla korporacji UTC (informacja dostępna na bieżąco do wglądu w dziale IT PWK);
  • preferowany system operacyjny zgodny z polityką korporacji UTC (informacja dostępna na bieżąco do wglądu w dziale IT PWK);
  • dostawca dostarczy potwierdzenie legalności (certyfikat licencyjny, faktura) na każdy z typów zainstalowanego, dostarczanego oprogramowania;
  • dostawca sprecyzuje warunki gwarancji i serwisowania dostarczanego sprzętu komputerowego;
  • PWK nie udziela prawa Dostawcy do wywożenia dysków twardych i innych nośników informacji wykorzystywanych w celach testowych i/lub produkcyjnych (w dostarczonym systemie) poza teren przedsiębiorstwa.
  1.  W przypadku wyposażenia komputera/urządzenia w modem lub kartę sieciową Dostawca:
  • określi precyzyjnie cel wykorzystywania modemu oraz przedstawi jego preferowaną konfigurację;
  • określi precyzyjnie cel wykorzystywania karty sieciowej oraz przedstawi jej preferowaną konfigurację.
  1. Zakres uprawnień na dostarczanym sprzęcie komputerowym:
  • prawa pracowników Dostawcy do konfiguracji sprzętu komputerowego są ograniczone do najmniejszych możliwych uprawnień umożliwiających naprawę usterki, ustawienie konfiguracji podczas wdrożenia itp. jeśli tego typu elementy są częścią zamówienia, kontraktu i zostały tam sprecyzowane;
  • podczas odbioru końcowego urządzenia/projektu itp. Dostawca zobowiązuje się przekazać wszystkie prawa, hasła dostępu itp. do systemów, aplikacji dostarczanych w ramach realizacji usługi, zamówienia itp.;
  • uprawnienia należy przekazać w formie pisemnej w zalakowanej kopercie przedstawicielowi IT PWK za pokwitowaniem odbioru;
  • prawa dostępu podlegają weryfikacji przez pracowników PWK (IT);
  • dostawca nie ma możliwości uzyskać praw użytkownika uprzywilejowanego (administrator, root, itp.) na dostarczanym sprzęcie komputerowym w trakcie jego użytkowania w procesie produkcyjnym.
  1. Łączenie zdalne do systemów komputerowych PWK jest możliwe wyłącznie przy spełnieniu następujących warunków:
  • dostawca złoży pisemne poświadczenie o akceptacji warunków Umowy o Zachowaniu Poufności, która jest wymagana przed rozpoczęciem współpracy;
  • dostawca oświadcza, zapewnia, zobowiązuje się i wyraża zgodę, iż możliwość dostępu do systemów komputerowych PWK zostaje udzielona na czas nie dłuższy, niż okres obowiązywanie niniejszej Umowy;
  • dostawca zobowiązuje się do spełniania warunków kontroli eksportu dotyczących przekazywanych danych (jeśli dane tego wymagają).
  1. PWK pozostawia sobie prawo do oceny możliwości spełnienia wymogów polityki bezpieczeństwa UTC przez Dostawcę.
  2. PWK zastrzega sobie prawo odmowy dostępu pracowników Dostawcy do systemu informatycznego PWK, podłączenia modemu i/lub karty sieciowej do sieci zewnętrznej, łącza zewnętrznego, linii telefonicznej itp. bez spełnienia powyższych warunków.
  3. Wszelkie produkty wytworzone na rzecz PWK w ramach Umowy są własnością PWK. PWK posiada prawa do użytkowania, tworzenia kopii oraz modyfikowania kopii dostarczanych Towarów i/lub Usług.
  4. Dostawca gwarantuje, że posiada odpowiednie prawa do narzędzi oraz oprogramowania, przy użyciu, którego zostały wytworzone Towary i/lub Usługi na rzecz PWK będące przedmiotem Umowy.
  5. Dostawca pokrywa wszystkie koszty związane z odszkodowaniami, w przypadku, gdy sposób tworzenia Towaru i/lub Usługi naruszy prawo własności innych podmiotów.
  6. Jeśli elementem umowy jest tworzenie i/lub modyfikowanie serwisu WWW wówczas:
  • zawartość umieszczona na stronie WWW jest chroniona przez prawo autorskie; prawa te należą do PWK. Implementowanie i wykorzystywanie narzędzi służących do wyszukiwania treści musi być zgodne z polityką UTC. Jeśli narzędzia służące do wyszukiwania treści tworzą kopie danych źródłowych, wówczas kopie te podlegają takiej samej ochronie jak dane źródłowe;
  • dostawca zapewni regularne aktualizacje strony WWW zawierającej dane PWK poprzez interfejs elektroniczny. Za określenie zakresu danych i częstotliwość aktualizacji jest odpowiedzialne PWK.
  1. Wszystkie aplikacje muszą wykorzystywać standardowe narzędzia autoryzacji i kontroli dostępu (aktualne narzędzie: SiteMinder firmy Netegrity, Inc) lub aplikacje te muszą mieć zaimplementowaną funkcjonalność zapewniającą bezpieczeństwo i zgodność z polityką bezpieczeństwa UTC w tym między innymi:
  • hasła użytkowników systemu komputerowego muszą być trudne do zgadnięcia; zabronione są wszelkiego rodzaju słowa słownikowe, wyrazy podobne do posiadanego identyfikatora, uporządkowane ciągi znaków z klawiatury np. 123456, asdfgh, dane personalne osoby (np. data urodzin), powszechnie znane akronimy, nazwy własne miejsc itp.;
  • hasła muszą być minimum 6-cio znakowe oraz muszą być zmieniane przynajmniej raz na 90 dni;
  • dla identyfikatorów związanych z automatyzacją pracy obowiązują następujące restrykcje dotyczące haseł
  • 3 reguł takich jak: znaki specjalne, małe i duże litery oraz znaki alfanumeryczne); 
    • hasła muszą być dłuższe niż 14 znaków
    • hasła muszą być skomplikowane (co najmniej wykorzystanie 3 reguł takich jak: znaki specjalne, małe i duże litery oraz znaki alfanumeryczne);
  • hasła nie mogą być wyświetlane ani przechowywane w jakimkolwiek otwartym pliku (bez szyfrowania);
  • identyfikatory użytkowników, którzy nie używali danego konta przez 3 miesiące muszą zostać zablokowane; po 6 miesiącach nieaktywności konta użytkowników są usuwane;
  • gdzie jest to możliwe, musi występować zaaprobowana przez UTC informacja przed uzyskaniem dostępu do systemów tzw. baner.
  1. Odpowiedzialnością Dostawcy jest zapewnienie zgodności Towaru i/lub Usługi z obowiązującą polityką bezpieczeństwa UTC.
  2. Dostawca musi dostarczyć kopię aktualnej polityki bezpieczeństwa dotyczącej przechowywania i przetwarzania danych oraz politykę dotyczącą fizycznego dostępu do urządzeń, na których są przechowywane i/lub przetwarzane dane PWK. Dostawca powinien raz na rok dostarczać PWK aktualną politykę bezpieczeństwa i wskazać plan wraz z datami planowanych aktualizacji.
  3. PWK lub strona trzecia wskazana przez PWK ma prawo przeprowadzić audit bezpieczeństwa bez wcześniejszego powiadamiania w obiekcie Dostawcy. Jeśli dane PWK są przechowywane w środowisku współdzielonym, PWK może powołać się na stronę trzecią, aby przeprowadziła taki audit. Audit może uwzględniać wszystkie obiekty, urządzenia, na których przechowywane są dane PWK, włączając backup tych danych, a także może weryfikować, czy wszystkie niezbędne kontrole zostały wprowadzone zgodnie z polityką bezpieczeństwa UTC.
  4. Zaleca się, aby Dostawca segregował dane PWK i przechowywał w oddzielnych bazach danych, do których dostęp ma jedynie PWK, uprawnione strony oraz pracownicy Dostawcy niezbędni do utrzymania danego środowiska.
  5. Dostawca dołoży wszelkich starań, aby zapobiec przed nieautoryzowanym dostępem do danych PWK.
  6. Dane PWK muszą być przez cały okres realizacji Umowy archiwizowane. Minimalne wymogi to backup przyrostowy, co 24 godziny oraz pełny backup, co 7 dni. Okres przechowywania kopii w archiwum to 30 dni.
  7. Niepowodzenie przebiegu auditu bezpieczeństwa lub ochrony informacji będzie podstawą do rozwiązania Umowy z Dostawcą. PWK może wskazać na „słabe punkty” Dostawcy, natomiast Dostawca powinien w ciągu 30 dni dostarczyć PWK plan usunięcia tych nieprawidłowości i jeśli PWK sobie tego zażyczy Dostawca powinien zastosować rozwiązania tymczasowe do momentu usunięcia wszelkich nieprawidłowości. Jeśli ryzyka zidentyfikowane przez PWK nie zostaną usunięte w ciągu zadanego czasu lub, jeśli Dostawca odmówi usunięcia nieprawidłowości PWK może rozwiązać Umowę ze skutkiem natychmiastowym.
  8. Zgodnie z polityką IT UTC IT011, informacja stanowiąca własność firmy i transferowana poprzez sieci publiczne takie, jak Internet musi być szyfrowana. Zastosowane technologie szyfrowania muszą zostać zatwierdzone przez PWK i być zgodne z obowiązującymi przepisami prawnymi.
  9. Dostawca zapewni odpowiedni poziom weryfikacji dla pracowników niepodlegających PWK i mających dostęp do środowiska lub danych PWK i na podstawie wyników kontroli zatwierdzi tych pracowników do współpracy z PWK. Dostawca musi ujawnić PWK procedury stosowane dla w/w pracowników mających dostęp do danych PWK. Ponadto na podstawie procedury IT006 „Virus Protection”, Dostawca przed rozpoczęciem prac z wykorzystaniem własnych nośników danych (m.in.: Pamięć Flash / USB, płyta CDR/RW, DVDR/RW, dysk laptopowi itp.) bezwzględnie udostępni te nośniki Działowi IT PWK celem weryfikacji zatwierdzonym oprogramowaniem antywirusowym PWK.
  10. Przed lub w momencie podpisania Umowy Dostawca musi przedstawić do PWK plan, który uwzględnia sposób przekazania do PWK przy zakończeniu okresu Umowy wszelkich danych, włączając backup i dane archiwalne, a także sposób trwałego usunięcia danych z systemu Dostawcy. Plan ten musi uwzględniać dostarczenie danych do PWK w bazie danych zgodnej ze standardami PWK, w przeciwnym wypadku Dostawca musi dostarczyć licencję na odpowiednie oprogramowanie umożliwiające korzystanie z danych przekazanych do PWK.
  11. Przed lub w momencie podpisania Umowy Dostawca musi zadeklarować, w jaki sposób spełni wymagania PWK odnośnie autoryzacji dostępu do towarów i/lub usług, które realizuje.
  12. Dostawca musi powiadomić PWK o jakichkolwiek próbach dotyczących pozyskania informacji PWK przez strony trzecie. Dostawca musi niezwłocznie poinformować PWK o każdej prośbie o podanie danych PWK stronom trzecim.
  13. Dostawca musi zapewnić aktualizację swoich procedur w ciągu określonego okresu czasu, do zgodności z polityką UTC odnośnie ochrony informacji. Polityka ta jest na bieżąco aktualizowana.
  14. Dostawca powinien być zdolny na żądanie PWK do zapewnienia zgodności z poniższymi wymaganiami polityki bezpieczeństwa. Jednocześnie PWK pozostawia sobie prawo oceny możliwości Dostawcy do świadczenia usług i dostarczania towarów zgodnie z wymogami polityki bezpieczeństwa i ochrony danych obowiązujących w PWK (UTC) na każdym etapie realizacji Zamówienia/Umowy/Usługi itp.:
  • Dostawca oświadcza, że polityki i praktyki UTC dotyczące bezpieczeństwa będą podstawą przy realizacji Zamówienia/Umowy/Usługi itp.;
  • Dostawca zobowiązuje się do postępowania zgodnie z warunkami kontroli eksportu;
  • Dostawca zobowiązuje się do sprawdzania przeszłości osób włączonych w komunikację z PWK;
  • Dostawca zapewnia, że posiada właściwe procedury sprawdzania i monitorowania funkcji informatycznych;
  • Dostawca zapewnia, że jest zdolny do wykrywania włamań i usiłowań włamań do systemów komputerowych;
  • Dostawca potwierdza wykorzystywanie autoryzacji użytkowników w przypadku uzyskania dostępu zdalnego do urządzeń PWK;
  • Dostawca zapewnia procedury integralności oprogramowania;
  • Dostawca potwierdza, że posiada zabezpieczenia przeciwko złośliwym procedurom (np. wirusy, detekcja włamań);
  • Dostawca potwierdza, że uczestniczy w usługach uzyskiwania alertów bezpieczeństwa;
  • Dostawca potwierdza, że w przypadku połączenia zdalnego korzysta z bezpiecznych kanałów komunikacji;
  • Dostawca zapewnia zabezpieczenia od istotnych znanych form ataków informatycznych;
  • Dostawca zapewnia fizyczną i logiczną segregację dostępu do informacji PWK/UTC;
  • Dostawca zapewnia właściwe bezpieczeństwo fizyczne;
  • Dostawca zapewnia działania korekcyjne na wszelkie usterki i funkcjonowania procedur w przypadku powstania usterek.
  1. Każdy zewnętrzny użytkownik musi postępować zgodnie ze wszystkimi politykami i standardami PWK/UTC. Dostawca jest zobowiązany realizować program podnoszenia świadomości odnośnie bezpieczeństwa oraz dokumentować w formie pisemnej oświadczenie o podnoszeniu odpowiedzialności za zdalny dostęp.

    2.  

© PWK "Pratt & Whitney Kalisz" 2008 | Wszelkie prawa zastrzeżone.