Taikomųjų aplikacijų sąsajų (API) naudojimo sutartis

1. 1. Bendrosios nuostatos

   1. Sąvokos:
      1. 2FA – dviejų veiksnių autentiškumo patvirtinimas, naudojamas pažangiai Sąskaitos apsaugai ir saugesniam prisijungimui užtikrinti.
      2. API – taikomųjų aplikacijų programavimo sąsaja, naudojama kaip papildoma funkcija Kliento Sąskaitai, pasiekiamai per Svetainę, integruoti į Kliento sistemą.
      3. API raktas – užšifruotas unikalus vartotojo identifikatorius, sukuriamas Kliento prašymu, kuriam priskiriami konkretūs Kliento Sąskaitos naudojimo įgaliojimai.
      4. API techninės specifikacijos – išsamios API funkcijų, elgsenos, laukiamų rezultatų, struktūros ir instrukcijų, nurodančių, kaip API turėtų būti integruota ir efektyviai naudojama, specifikacijos, kurios yra pasiekiamos per nuorodą https://bankera.com/api-documentation/ ar bet kurią kitą Įstaigos pateiktą nuorodą.
      5. IP adresas – IP adresas, nurodytas Kliento ir priskirtas jam kaip pagrindinis IP adresas, naudojamas prieigai prie Kliento Sąskaitos per API.
      6. Klientas – juridinis asmuo, sudaręs šią Sutartį.
      7. Kliento ID – unikalus Klientui priskirtas kodas, kuris pateikiamas užšifruotoje rinkmenoje.
      8. Kliento paslaptis – autentifikavimo atpažinimo žymuo, naudojamas kartu su API raktu, skirtas Klientui identifikuoti, kad būtų išvengta apsimetinėjimo Klientu, pateikiamas Klientui užšifruotoje rinkmenoje.
      9. Sutartis – ši taikomųjų aplikacijų programavimo sąsajų naudojimo sutartis.
      10. Kitos Sutartyje vartojamos sąvokos atitinka Taisyklėse ir Sąskaitos sutartyje, Lietuvos Respublikos mokėjimų įstatyme, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatyme ir kituose teisės aktuose vartojamas sąvokas.
   2. Taisyklės ir Sąskaitos sutartis yra sudėtinė ir neatskiriama šios Sutarties dalis. Taisyklių ir Sąskaitos sutarties nuostatos taikomos tiek Sutartyje tiesiogiai aptartais (pvz., Sutarties nutraukimas), tiek neaptartais (pvz., taikytina teisė ir ginčų sprendimas) atvejais, priklausomai nuo konteksto. Jeigu tarp šios Sutarties sąlygų ir Taisyklių ir (ar) Sąskaitos sutarties nuostatų yra prieštaravimų ar neatitikimų, taikomos šios Sutarties sąlygos, nebent pati Sutartis nurodytų kitaip.

2. 2. Sutarties dalykas, API sąranka ir funkcionalumai

   1. API funkcionalumai skirti Klientui, kuris nori lengviau pasiekti savo Sąskaitą, esančią Įstaigoje, ir ja naudotis, integruojant API į Kliento jau naudojamą programinę įrangą.
   2. Kliento, norinčio naudotis API funkcionalumais, tapatybė turi būti nustatyta tvarka patikrinta ir patvirtinta.
   3. API integravimo tvarka:
      1. Klientas, norintis naudotis API, turi prisijungti prie savo Sąskaitos Svetainėje ir Sąskaitos nustatymuose pasirinkti „API“.
      2. Klientas, gavęs pranešimą dėl API, atsako į šį pranešimą, nurodydamas IP adresą (adresus), kurį (kuriuos) jis planuoja naudoti, norėdamas prisijungti prie savo Sąskaitos Svetainėje per API. Klientas gali nurodyti kelis IP adresus. Pats Klientas gali vėliau redaguoti nurodytus adresus, patvirtindamas tokį savo veiksmą taikant 2FA.
      3. Pats Klientas diegia API funkcionalumus, vadovaudamasis API techninėmis specifikacijomis. Įstaiga turi teisę bet kuriuo metu savo nuožiūra keisti API technines specifikacijas, pranešusi Klientui apie tokius pakeitimus prieš 2 (dvi) savaites iki jų įsigaliojimo.
      4. Klientas, siekdamas tinkamai integruoti API funkcionalumus, privalo:
         1. žinoti savo Kliento ID;
         2. žinoti API raktą;
         3. prisijungti prie API, naudodamasis patvirtintu IP adresu (Sutarties 2.3.2 punktas).
   4. API funkcionalumai yra numatyti API techninėse specifikacijose, kurios gali būti keičiamos, priklausomai nuo Įstaigos palaikomų funkcionalumų. Įstaiga neprisiima atsakomybės dėl API funkcionalumų pakeitimų, kurie gali būti atliekami vien tik Įstaigos nuožiūra. Klientas privalo sekti visus API techninių specifikacijų pakeitimus ir atnaujinimus ir atitinkamai pritaikyti savo sistemas prie tokių pakeitimų ir atnaujinimų. Klientas prisiima visą riziką, susijusią su jo sistemų suderinamumu su API techninių specifikacijų pakeitimais ir atnaujinimais.
   5. Įstaiga gali bet kuriuo metu tiek pranešdama, tiek nepranešdama nutraukti API paslaugos teikimą, apriboti galimybę prisijungti prie API.
   6. Klientas žino ir supranta, kad visi mokėjimai, inicijuoti per API, atliekami, netaikant 2FA ir Saugesnio autentiškumo patvirtinimo, ir prisiima bet kokią riziką, galinčią kilti atliekant tokius mokėjimus.
   7. API funkcijos Klientui yra nemokamai teikiamos.
   8. Įstaiga neatsako už jokią žalą, atsiradusią dėl prieigos prie API ar naudojimosi ja, įskaitant, bet neapsiribojant, Sąskaitos valdymą per API, vadovaujantis nurodymais ir (arba) kodais, pateiktais API techninėse specifikacijose.
   9. Įstaiga neatsako už jokius nuostolius (tiek tiesioginius, tiek netiesioginius), kuriuos Klientas gali patirti dėl API ar bet kokio jos funkcionalumo veikimo trikdžių, negalėjimo pasiekti ir (ar) naudotis API ar tam tikromis paslaugomis, prieinamomis per API, pagal API technines specifikacijas (įskaitant, bet neapsiribojant, Sutarties 2.5 punkte nurodytus atvejus).

3. 3. Šalių įsipareigojimai

   1. Klientas įsipareigoja:
      1. diegti API pagal Sutarties 2.3 punkte pateiktus nurodymus ir sąžiningai bei nustatyta tvarka naudotis API funkcionalumais;
      2. jungtis prie API, naudojantis tik patvirtintu IP adresu;
      3. nepiktnaudžiauti API funkcionalumais;
      4. užtikrinti Sąskaitos ir kompiuterio ar sąsajos, prie kurios prisijungiama per API, saugumą ir vientisumą;
      5. prisiimti atsakomybę už visus veiksmus, atliekamus Kliento Sąskaitoje naudojantis API funkcionalumais, įskaitant, bet neapsiribojant, mokėjimų inicijavimą, prisijungimus, naudojimąsi Sąskaita, informacijos Sąskaitoje tvarkymą;
      6. prisiimti atsakomybę už Kliento naudojamų techninių priemonių, programinės įrangos, duomenų ir kitų sistemų apsaugą nuo virusų, kenkėjiškos programinės įrangos ir kitokių interneto saugumo pavojų;
      7. užtikrinti, kad Klientas, naudodamasis API funkcionalumais, nekels Įstaigai kenkėjiškos programinės įrangos ar saugumo rizikos, įskaitant riziką, susijusią su kenkėjiškomis programomis, trojanais, virusais, ir bet kokią kitą riziką, technologiškai žalingą API, Įstaigai ar kitiems Įstaigos klientams;
      8. reguliariai, ne rečiau kaip kartą per mėnesį, peržiūrėti API technines specifikacijas, kad Klientas būtų susipažinęs su planuojamais keitimais ir, jeigu tokių yra, pats galėtų nedelsdamas atlikti būtinus keitimus Klientui priklausančioje API integravimo srityje;
      9. laikytis visų Sutarties 4 punkte išdėstytų saugumo reikalavimų.
   2. Įstaiga įsipareigoja:
      1. prižiūrėti API funkcionalumus, koreguoti ir daryti API atnaujinimus ir pakeitimus, kurie yra būtini, kad būtų užtikrintas tinkamas API funkcionavimas;
      2. užtikrinti pagrindinių Taisyklėse, Sąskaitos sutartyje ir kituose Šalių susitarimuose nurodytų paslaugų teikimą, kai paslaugos Klientui teikiamos per API.

4. 4. Saugumo priemonės

   1. Kiekvienas Klientas, nusprendęs integruoti API, įsipareigoja tinkamai laikytis žemiau nurodytų minimalių organizacinių ir techninių duomenų saugumo reikalavimų. Tokie saugumo reikalavimai skirti duomenims, kurie tvarkomi naudojantis API, apsaugoti nuo sugadinimo, praradimo ar neleistinos trečiųjų asmenų prieigos.
   2. Organizacinės saugumo priemonės:
      1. Asmens duomenų apsaugos politika ir procedūros
         1. Klientas turi dokumentuoti atskirą saugumo politiką, susijusią su asmens duomenų tvarkymu. Politika turi būti patvirtinta vadovybės ir su ja turi būti supažindinti visi darbuotojai bei atitinkami išorės subjektai.
         2. Saugumo politika turi būti kasmet peržiūrima ir koreguojama.
      2. Pareigos ir atsakomybė
         1. Pareigos ir atsakomybė, susijusios su asmens duomenų tvarkymu, turi būti aiškiai apibrėžtos.
         2. Turi būti paskirti asmenys, atsakingi už konkrečias saugumo užduotis.
      3. Prieigos kontrolės politika
         1. Kiekvienai pareigybei, susijusiai su asmens duomenų tvarkymu, turi būti suteiktos konkrečios prieigos kontrolės teisės pagal „būtina žinoti“ principą.
         2. Prieigos kontrolės politika turi būti išsamiai dokumentuota. Klientas tokiame dokumente turi apibrėžti atitinkamas prieigos kontrolės taisykles, prieigos teises ir apribojimus konkrečioms vartotojų pareigybėms (konkretiems vartotojų vaidmenims) su asmens duomenimis susijusiuose procesuose ir procedūrose.
         3. Prieigos teisės turi būti kasmet peržiūrimos ir nedelsiant atšaukiamos, kai tampa nereikalingomis.
         4. (Didelės rizikos atvejais) Pareigybės, kurioms priskirtos išskirtinai didelės prieigos teisės, turi būti aiškiai apibrėžtos ir priskirtos tik ribotam konkrečių darbuotojų skaičiui.
      4. Turto valdymas
         1. Klientas turi turėti IT išteklių, naudojamų asmens duomens tvarkyti (techninės, programinės įrangos ir tinklo), registrą. Registre turi būti fiksuojama bent jau tokia informacija: IT išteklius, jo rūšis (pvz., serveris, kompiuterizuota darbo vieta), vieta (fizinė arba elektroninė). Registras turi būti tvarkomas ir jo duomenys atnaujinami konkrečiai paskirto asmens.
         2. Pareigybės, kurioms priskirtos prieigos prie tam tikrų išteklių, turi būti aiškiai apibrėžtos ir dokumentuotos.
         3. IT ištekliai turi būti kasmet peržiūrimi ir atnaujinami.
      5. Pakeitimų valdymas
         1. Klientas, siekdamas užtikrinti, kad visi pakeitimai būtų užfiksuoti, ištirti, įvertinti, patvirtinti ir įgyvendinti, turi įdiegti ir įgyvendinti pakeitimų valdymo tvarką (procesą). Klientas turi įvertinti, ar dabartinės operacinės aplinkos pokyčiai gali turėti įtakos esamoms saugumo priemonėms, ar reikalingos papildomos rizikos mažinimo priemonės. Tokie pakeitimai turi būti įgyvendinti, vadovaujantis Kliento dokumentuota pakeitimų valdymo tvarka.
         2. Programinės įrangos kūrimas turi būti atliekamas specialioje aplinkoje, kuri nėra prijungta prie IT sistemos, naudojamos asmens duomenims tvarkyti. Tais atvejais, kai yra reikalingas testavimas, turi būti naudojami fiktyvūs (netikri) duomenys. Tais atvejais, kai tas yra neįmanoma, turi būti nustatytos specialios asmens duomenų, naudojamų atliekant testavimą, apsaugos procedūros.
      6. Duomenų tvarkytojai
         1. Prieš pradedant duomenų tvarkymo veiklą, duomenų valdytojas ir tvarkytojas turi apibrėžti, dokumentuoti ir suderinti oficialias gaires ir procedūras, taikomas asmens duomenų tvarkymui. Tokiose gairėse ir procedūrose privalo būti nustatytas toks pat asmens duomenų apsaugos lygis, koks yra nustatytas organizacijos saugumo politikoje.
         2. Duomenų tvarkytojas, nustatęs asmens duomenų pažeidimą, turi nedelsdamas informuoti apie tai duomenų valdytoją.
         3. Duomenų valdytojas ir duomenų tvarkytojas turi oficialiai susitarti dėl reikalavimų ir įsipareigojimų. Duomenų valdytojas turi pateikti pakankamai atitikties įrodymų, pagrįstų dokumentais.
         4. Duomenų valdytojo organizacija turi reguliariai tikrinti (audituoti), ar duomenų tvarkytojas laikosi sutarto lygio reikalavimų ir įsipareigojimų.
         5. (Didelės rizikos atvejais) Duomenų tvarkytojo darbuotojams, kurie tvarko asmens duomenis, turi būti taikomi konfidencialumo / neatskleidimo reikalavimai ir jie turi pasirašyti atitinkamus susitarimus.
      7. Incidentų valdymas / asmens duomenų pažeidimai
         1. Turi būti apibrėžtas reagavimo į incidentus planas su išsamiai aprašytomis procedūromis, kad būtų užtikrintas veiksmingas ir tvarkingas reagavimas į incidentus, susijusius su asmens duomenimis.
         2. Apie asmens duomenų pažeidimus turi būti nedelsiant pranešta vadovybei. Turi būti nustatyta pranešimo apie pažeidimus kompetentingoms institucijoms ir duomenų subjektams tvarka, atitinkanti BDAR 33 ir 34 straipsnių nuostatas.
         3. Reagavimo į incidentus planas, įskaitant galimų padarinių šalinimo veiksmų sąrašą ir aiškų vaidmenų pasiskirstymą, turi būti dokumentuotas.
         4. (Didelės rizikos atvejais) Incidentai ir asmens duomenų pažeidimai turi būti registruojami, kartu fiksuojant visą informaciją apie įvykį ir veiksmus, kurių imtasi jo pasekmėms šalinti.
      8. Veiklos tęstinumas
         1. Organizacija turi nustatyti pagrindines procedūras ir kontrolės priemones, kurios būtų taikomos, siekiant užtikrinti reikiamą IT sistemos, tvarkančios asmens duomenis, nepertraukiamumo ir prieinamumo lygį (incidento ir (arba) asmens duomenų saugumo pažeidimo atveju).
         2. Veiklos tęstinumo planas turi būti išsamus ir dokumentuotas (kartu turi atitikti bendrą saugumo politiką). Jame turi būti numatyti aiškūs veiksmai ir priskirti konkretūs vaidmenys.
         3. Veiklos tęstinumo planas turi būti kasmet testuojamas ir atnaujinamas, remiantis testavimo rezultatais, gautais iš surinktų duomenų apie grėsmes ir ankstesnių įvykių patirties, taip pat pasikeitusiais atkūrimo tikslais ir (arba) pasikeitusiomis veiklos funkcijomis, pagalbiniais procesais ir informacijos ištekliais.
      9. Personalo konfidencialumo laikymasis
         1. Klientas turi užtikrinti, kad visi darbuotojai suprastų savo atsakomybę ir įsipareigojimus, susijusius su asmens duomenų tvarkymu. Supažindinimas su uždaviniais ir pareigomis turi būti atliktas prieš įdarbinant ir (arba) darbo santykių pradžioje.
         2. Darbuotojai, prieš pradėdami vykdyti savo pareigas, turi peržiūrėti ir susipažinti su organizacijos saugumo politika, turi būti gautas darbuotojų sutikimas laikytis šios politikos nuostatų, taip pat turi būti pasirašyti atitinkami konfidencialumo / neatskleidimo susitarimai.
         3. (Didelės rizikos atvejais) Darbuotojai, vykdantys didelę riziką keliantį asmens duomenų tvarkymą, turi būti įpareigoti laikytis specialių konfidencialumo sąlygų (pagal darbo sutartį ar kitą teisės aktą).
      10. **Mokymai **
          1. Klientas turi užtikrinti, kad visi jo darbuotojai būtų tinkamai informuoti apie IT sistemos saugumo kontrolę, susijusią su jų kasdieniu darbu. Darbuotojai, dalyvaujantys tvarkant asmens duomenis, taip pat turi būti tinkamai informuoti apie atitinkamus duomenų apsaugos reikalavimus ir įsipareigojimus, reguliariai rengiant jiems informuotumo didinimo kampanijas.
          2. Klientas turi turėti struktūrizuotas ir reguliarias mokymų programas darbuotojams, įskaitant specialias programas, skirtas naujokams supažindinti (su duomenų apsaugos klausimais).
          3. Klientas turi užtikrinti, kad visi jo darbuotojai bent vieną kartą per metus dalyvautų mokymuose.
   3. Techninio saugumo priemonės:
      1. Prieigos kontrolė ir autentifikavimas
         1. Turi būti vengiama naudoti bendrąsias vartotojų paskyras. Tais atvejais, kai tas yra būtina, turi būti užtikrinta, kad visi bendrosios paskyros vartotojai turėtų tuos pačius vaidmenis (pareigas) ir funkcijas.
         2. Turi būti įdiegtas tapatybės nustatymo (autentifikavimo) mechanizmas, suteikiantis prieigą prie IT sistemos (pagrįstas prieigos kontrolės politika ir sistema). Turi būti naudojamas bent jau vartotojo vardo ir slaptažodžio derinys. Slaptažodžiai turi atitikti tam tikrą (konfigūruojamą) sudėtingumo lygį.
         3. Turi būti apibrėžta ir dokumentuota konkreti slaptažodžių politika. Politika turi nustatyti bent jau slaptažodžio ilgį, sudėtingumą, galiojimo laikotarpį ir priimtiną nesėkmingų bandymų prisijungti skaičių.
         4. Vartotojo slaptažodžiai turi būti saugomi tokiu pavidalu, koks gaunamas naudojant maišos (angl. hash) funkciją.
      2. Registravimas ir stebėjimas
         1. Kiekvienoje sistemoje / programoje, naudojamoje asmens duomenims tvarkyti, turi būti aktyvuoti žurnalo failai. Jie turi apimti visų tipų prieigą prie duomenų (peržiūra, keitimas, ištrynimas).
         2. Žurnalo failai turi būti pažymėti laiko žymomis ir tinkamai apsaugoti nuo klastojimo ir neteisėtos prieigos. Laikrodžiai turi būti sinchronizuoti su vienu atskaitos laiko šaltiniu.
         3. Sistemos administratorių ir sistemos operatorių veiksmai, įskaitant vartotojų teisių papildymą, pakeitimą, ištrynimą, turi būti registruojami.
         4. Neturi būti galimybės ištrinti ar pakeisti žurnalo failų turinio. Siekiant nustatyti neįprastą veiklą, be stebėsenos vykdymo, turi būti registruojama prieiga prie žurnalo failų.
         5. Stebėsenos sistema turi apdoroti žurnalo failus ir rengti ataskaitas apie sistemos būklę bei pranešti apie galimus pavojus.
      3. Serverio / duomenų bazės saugumas
         1. Serveriai turi būti sukonfigūruoti pagal dokumentuotus standartus / procedūras.
         2. Serverio atvaizdai turi būti peržiūrimi, testuojami ir atnaujinami (t. y. su naujausiais pataisymais ir kūrimo / konfigūracijos pakeitimais).
         3. Serveriai turi būti sukonfigūruoti taip, kad užtikrintų apsaugą nuo atakų: išjungdami nereikalingas arba nesaugias vartotojų paskyras, pakeisdami svarbius parametrus, susijusius su saugumu, iš numatytųjų nustatymų, apribodami fizinę prieigą tik ribotam įgaliotų asmenų skaičiui, palaikydami atnaujintą apsaugos nuo kenkėjiškų programų programinę įrangą, stebėdami ir reguliariai ją peržiūrėdami.
         4. Duomenų bazių ir taikomųjų programų serveriai turi tvarkyti tik tuos asmens duomenis, kuriuos iš tikrųjų reikia tvarkyti, kad būtų pasiekti duomenų tvarkymo tikslai.
         5. (Didelės rizikos atvejais) Turi būti apgalvoti konkrečių failų ar įrašų šifravimo sprendimai diegiant programinę ar techninę įrangą.
         6. (Didelės rizikos atvejais) Turi būti apsvarstyta saugojimo diskų šifravimo galimybė.
      4. Kompiuterizuotos darbo vietos saugumas
         1. Vartotojai neturi turėti galimybės išjungti saugumo nustatymus ar juos apeiti.
         2. Vartotojai neturi turėti teisių diegti arba deaktyvuoti neteisėtą programinę įrangą.
         3. Sistemoje turi būti numatytas seanso pabaigos laikas, kai vartotojas tam tikrą laiką nebuvo aktyvus.
         4. Operacinės sistemos kūrėjo išleisti svarbūs saugumo atnaujinimai turi būti reguliariai diegiami.
         5. (Didelės rizikos atvejais) Turi būti neleidžiama perkelti asmens duomenų iš kompiuterizuotų darbo vietų į išorines duomenų saugojimo laikmenas (pvz., USB, DVD, išoriniai standieji diskai).
         6. (Didelės rizikos atvejais) Kompiuterizuotos darbo vietos operacinės sistemos diskuose turi būti įjungtas viso disko programinės įrangos šifravimas.
      5. Tinklo / ryšių saugumas
         1. Tais atvejais, kai prieiga yra suteikiama internetu, ryšys turi būti užšifruotas kriptografiniais protokolais (TLS).
         2. Bevielė prieiga prie IT sistemos turi būti apsaugota šifravimo priemonėmis.
         3. Apskritai turi būti vengiama nuotolinės prieigos prie IT sistemos. Tais atvejais, kai tas yra neišvengiamai būtina, ji turi būti užtikrinama, tik kontroliuojant ir stebint konkrečiam Kliento atstovui (pvz., IT administratoriui / saugumo pareigūnui) per iš anksto nustatytus įrenginius.
         4. Informacinės sistemos tinklas turi būti atskirtas nuo kitų duomenų valdytojo tinklų.
      6. Atsarginės kopijos
         1. Atsarginių kopijų kūrimo ir duomenų atkūrimo procedūros turi būti apibrėžtos, dokumentuotos ir aiškiai susietos su konkrečiomis pareigybėmis ir funkcijomis.
         2. Atsarginėms kopijoms turi būti suteiktas atitinkamas fizinės ir aplinkos apsaugos lygis, atitinkantis pirminiams duomenims taikomus standartus.
         3. Atsarginių kopijų darymas turi būti stebimas, kad būtų užtikrintas jų išsamumas.
         4. Atsarginių kopijų laikmenos turėtų būti reguliariai tikrinamos, siekiant užtikrinti, kad jomis būtų galima pasinaudoti skubiais atvejais.
         5. Atsarginės kopijos turėtų būti saugiai laikomos skirtingose vietose.
         6. Tais atvejais, kai atsarginėms kopijoms saugoti pasitelkiamas trečiasis asmuo, kopijos turi būti užšifruotos, prieš perduodant jas iš duomenų valdytojo.
      7. Mobilieji / nešiojamieji įrenginiai
         1. Mobiliųjų ir nešiojamųjų prietaisų valdymo procedūros turi būti apibrėžtos ir dokumentuotos, nustatant aiškias jų tinkamo naudojimo taisykles.
         2. Mobilieji įrenginiai, iš kurių leidžiama prisijungti prie informacinės sistemos, turėtų būti iš anksto užregistruoti ir autorizuoti.
         3. Mobiliesiems įrenginiams turi būti taikomos tokio paties lygio prieigos (prie duomenų apdorojimo sistemos) kontrolės procedūros kaip ir kitiems galiniams įrenginiams.
         4. Mobiliajame įrenginyje saugomi asmens duomenys (kaip organizacijos duomenų tvarkymo veiklos dalis) turi būti užšifruoti.
      8. Programos gyvavimo ciklo saugumas
         1. Programos kūrimo ciklo metu turi būti laikomasi geriausios praktikos pavyzdžių, pažangiausių ir gerai pripažintų saugaus kūrimo praktikų, sistemų ar standartų.
         2. Konkretūs saugumo reikalavimai turi būti nustatyti ankstyvaisiais kūrimo ciklo etapais.
         3. Specialiosios technologijos ir metodai, skirti privatumui ir duomenų apsaugai užtikrinti (dar vadinami privatumą didinančiomis technologijomis (angl. PET)), turi būti taikomi analogiškai saugumo reikalavimams.
         4. Turi būti laikomasi saugaus kodavimo standartų ir praktikos.
         5. Programos kūrimo metu turi būti atliekamas testavimas ir patvirtinimas pagal pradinius saugumo reikalavimus.
         6. Prieš pradedant naudoti programą operacinėje aplinkoje, turi būti atliktas pažeidžiamumo vertinimas, taikomųjų programų ir infrastruktūros skverbties testavimas. Taikomoji programa turi būti nepriimama, jeigu nepasiektas reikiamas saugumo lygis.
         7. Turi būti atliekami periodiniai skverbties testai.
         8. Turi būti gauta informacija apie techninius naudojamų informacinių sistemų pažeidžiamumus.
         9. Programinės įrangos pakeitimai turi būti testuojami ir įvertinamo, prieš įdiegiant juos operacinėje aplinkoje.
      9. Duomenų trynimas / šalinimas
         1. Prieš sunaikinant visas laikmenas, programinė įranga turi būti perrašyta kelis kartus. Tais atvejais, kai tas neįmanoma (CD, DVD ir pan.), jos turi būti fiziškai sunaikintos.
         2. Popierinės ir nešiojamos laikmenos, naudojamos asmens duomenims saugoti, turi būti susmulkintos.
         3. (Didelės rizikos atvejais) Jeigu, siekiant saugiai sunaikinti laikmenas ar popierinius įrašus, yra naudojamasi trečiojo asmens paslaugomis, turi būti sudaryta paslaugų teikimo sutartis ir atitinkamai pateiktas įrašų sunaikinimo protokolas. Procesas turėtų vykti duomenų valdytojo patalpose (turi būti vengiama asmens duomenų perdavimo ne duomenų valdytojo patalpose).
      10. Fizinis saugumas
          1. IT sistemos infrastruktūros fizinis perimetras turi būti neprieinamas neįgaliotiems darbuotojams. Jeigu taikoma, turi būti įrengtos fizinės užtvaros, kad būtų užkirstas kelias neteisėtai fizinei prieigai.
          2. Tinkamomis priemonėmis, pvz., asmens tapatybės pažymėjimais, turi būti nustatytos visų darbuotojų ir lankytojų, patenkančių į organizacijos patalpas, tapatybės.
          3. Turi būti apibrėžtos saugumo zonos ir nustatyta tinkama patekimo į jas kontrolė. Turi būti vedamas ir stebimas fizinis registracijos žurnalas ar elektroninė kontrolės sistema, fiksuojanti patekimą į saugumo zonas.
          4. Įsilaužimo aptikimo sistemos turi būti įrengtos visose apsaugos zonose.
          5. Nenaudojamos saugumo zonos turi būti fiziškai užrakintos ir reguliariai tikrinamos.
          6. Serverio patalpoje turi būti įdiegta automatinė gaisro apsaugos sistema, tikslios kontrolės oro kondicionavimo sistema ir nepertraukiamo elektros energijos tiekimo šaltinis (UPS).
   4. Įstaiga gali tikrinti Klientą ir paprašyti pateikti įrodymus, kad Klientas laikosi pirmiau nurodytų saugumo reikalavimų. Jeigu Įstaiga nustato, kad Klientas nesilaiko bet kurio saugumo reikalavimo, Klientui, be kitų priemonių, gali būti taikomos šios Sutarties 6 punkte reglamentuotos teisinės priemonės.

5. 5. Autorizavimo elementų pažeidimas

   1. Jeigu Klientas praranda bet kurios Sutarties 2 punkte nurodytos autorizavimo priemonės, kurią jis naudoja, norėdamas pasiekti ir naudotis savo Sąskaita per API, konfidencialumą arba kyla rimta grėsmė ar įtarimas, kad tokie autorizavimo elementai tapo žinomi neįgaliotam trečiajam asmeniui (pvz., buvo įsilaužta į Kliento sistemą), jis privalo nedelsdamas pranešti apie tai Įstaigai.
   2. Įstaiga, gavusi Kliento pranešimą, deaktyvuoja API raktą ir (arba) pašalina atitinkamą IP adresą (Sutarties 2.3.2 punktas), priskirtą Klientui, iš patvirtintų IP adresų sąrašo, kad būtų neįmanoma toliau pasiekti ir naudotis Sąskaita per API. Naudoti API raktai daugiau niekada nebenaudojami. Klientui pareikalavus, Įstaiga taip pat gali laikinai arba visam laikui užblokuoti Kliento Sąskaitą.
   3. Įstaiga turi teisę savo iniciatyva užblokuoti API raktą ir (arba) Kliento sąskaitą, jeigu ji turi pagrindą įtarti, kad Kliento naudojamas API raktas yra pažeistas (praradęs konfidencialumą). Įstaiga tokiais atvejais nedelsdama, bet ne vėliau kaip per 3 (tris) darbo dienas, informuoja Klientą apie API rakto ir (ar) Kliento Sąskaitos blokavimą, o Klientas savo ruožtu įsipareigoja nedelsdamas, bet ne vėliau kaip 3 (tris) darbo dienas, pateikti Įstaigos reikalaujamą informaciją, reikalingą kilusiems įtarimams išsiaiškinti. Tol, kol Klientas nepateikia Įstaigai reikalaujamos informacijos, sustabdomas naujo API rakto kūrimas. Įstaiga tokiais atvejais neatsako už jokius Kliento nuostolius (tiek tiesioginius, tiek netiesioginius), kuriuos jis gali patirti dėl API rakto ir (ar) Kliento Sąskaitos blokavimo. Jeigu Klientas nustatytu terminu nepateikia Įstaigos reikalaujamos informacijos, Įstaiga turi teisę nedelsdama ir be jokio įspėjimo nutraukti šią Sutartį.
   4. Įstaiga imasi visų būtinų priemonių, kurias ji laiko tinkamomis ir naudingomis, kad užkirstų kelią bet kokioms galimoms pasekmėms, kylančioms dėl Kliento autorizavimo elementų pažeidimo, tačiau tik pats Klientas yra atsakingas už jo naudojamų autorizavimo elementų, prieigos prie API, programinės įrangos, interneto ryšio ir bet kokių kitų Kliento naudojamų techninių priemonių konfidencialumo ir saugumo užtikrinimą. Klientas prisiima visas pasekmes, kylančias dėl autorizavimo elementų konfidencialumo ir saugumo praradimo.

6. 6. Atsakomybė

   1. Klientas prisiima visą riziką, atsakomybę ir įsipareigojimą padengti visus galimus nuostolius, jeigu jis nevykdo savo įsipareigojimų, išdėstytų šios Sutarties 3.1 punkte, ir (arba) nesilaiko šios Sutarties 4 punkte nurodytų saugumo priemonių. Klientas yra visiškai atsakingas Įstaigai ir bet kuriam trečiajam asmeniui, jeigu yra nutekinami ar pažeidžiami jo duomenys ar atsiranda bet koks kitas trūkumas. Įstaiga tokiais atvejais neprisiima jokios atsakomybės prieš Klientą ir trečiuosius asmenis, jeigu buvo padaryta žala dėl duomenų nutekėjimo, paslaugų pažeidimo ar kitų trūkumų.
   2. Tais atvejais, kai Klientas nevykdo savo įsipareigojimų pagal šią Sutartį, įskaitant įsipareigojimą laikytis ir įgyvendinti šios Sutarties 4 punkte nustatytas saugumo priemones, jis privalo padengti visus Įstaigos nuostolius, atsiradusius dėl Kliento padaryto Sutarties pažeidimo, ir sumokėti Įstaigai 50 000 EUR (penkiasdešimties tūkstančių eurų) baudą (kiekvienu atveju, kai nustatomas Sutarties pažeidimas). Be to, Įstaiga tokiais atvejais gali sustabdyti API paslaugos teikimą, nutraukti šią Sutartį.

7. 7. Nutraukimas

   1. Ši Sutartis gali būti nutraukta Taisyklėse ir (ar) Sąskaitos sutartyje įtvirtintais pagrindais.
   2. Įstaiga be išankstinio įspėjimo gali sustabdyti arba nutraukti Kliento prieigą prie API ir naudojimąsi ja, taip pat nutraukti ir šią Sutartį, jeigu yra akivaizdus pagrindas manyti, kad Klientas pažeidė šios Sutarties sąlygas.