Taikomųjų aplikacijų sąsajų (API) naudojimo sutartis
Bendrųjų mokėjimo paslaugų teikimo taisyklių
5 priedas
-
1. Bendrosios nuostatos
- Sąvokos:
- 2FA – dviejų veiksnių autentiškumo patvirtinimas, naudojamas
pažangiai Sąskaitos apsaugai ir saugesniam prisijungimui
užtikrinti.
- API – taikomųjų aplikacijų programavimo sąsaja, naudojama
kaip papildoma funkcija Kliento Sąskaitai, pasiekiamai per
Svetainę, integruoti į Kliento sistemą.
- API raktas – užšifruotas unikalus vartotojo identifikatorius,
sukuriamas Kliento prašymu, kuriam priskiriami konkretūs Kliento
Sąskaitos naudojimo įgaliojimai.
- API techninės specifikacijos – išsamios API funkcijų, elgsenos,
laukiamų rezultatų, struktūros ir instrukcijų, nurodančių, kaip
API turėtų būti integruota ir efektyviai naudojama,
specifikacijos, kurios yra pasiekiamos per nuorodą
https://bankera.com/api-documentation/ ar bet kurią kitą Įstaigos
pateiktą nuorodą.
- IP adresas – IP adresas, nurodytas Kliento ir priskirtas jam
kaip pagrindinis IP adresas, naudojamas prieigai prie Kliento
Sąskaitos per API.
- Klientas – juridinis asmuo, sudaręs šią Sutartį.
- Kliento ID – unikalus Klientui priskirtas kodas, kuris
pateikiamas užšifruotoje rinkmenoje.
- Kliento paslaptis – autentifikavimo atpažinimo žymuo,
naudojamas kartu su API raktu, skirtas Klientui identifikuoti,
kad būtų išvengta apsimetinėjimo Klientu, pateikiamas Klientui
užšifruotoje rinkmenoje.
- Sutartis – ši taikomųjų aplikacijų programavimo sąsajų
naudojimo sutartis.
- Kitos Sutartyje vartojamos sąvokos atitinka Taisyklėse ir
Sąskaitos sutartyje, Lietuvos Respublikos mokėjimų įstatyme,
Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų
įstaigų įstatyme ir kituose teisės aktuose vartojamas sąvokas.
- Taisyklės ir Sąskaitos sutartis yra sudėtinė ir neatskiriama šios
Sutarties dalis. Taisyklių ir Sąskaitos sutarties nuostatos taikomos
tiek Sutartyje tiesiogiai aptartais (pvz., Sutarties nutraukimas),
tiek neaptartais (pvz., taikytina teisė ir ginčų sprendimas) atvejais,
priklausomai nuo konteksto. Jeigu tarp šios Sutarties sąlygų ir
Taisyklių ir (ar) Sąskaitos sutarties nuostatų yra prieštaravimų
ar neatitikimų, taikomos šios Sutarties sąlygos, nebent pati
Sutartis nurodytų kitaip.
-
2. Sutarties dalykas, API sąranka ir funkcionalumai
- API funkcionalumai skirti Klientui, kuris nori lengviau pasiekti
savo Sąskaitą, esančią Įstaigoje, ir ja naudotis, integruojant API į
Kliento jau naudojamą programinę įrangą.
- Kliento, norinčio naudotis API funkcionalumais, tapatybė turi būti
nustatyta tvarka patikrinta ir patvirtinta.
- API integravimo tvarka:
- Klientas, norintis naudotis API, turi prisijungti prie savo
Sąskaitos Svetainėje ir Sąskaitos nustatymuose pasirinkti „API“.
- Klientas, gavęs pranešimą dėl API, atsako į šį pranešimą,
nurodydamas IP adresą (adresus), kurį (kuriuos) jis planuoja
naudoti, norėdamas prisijungti prie savo Sąskaitos Svetainėje
per API. Klientas gali nurodyti kelis IP adresus. Pats Klientas
gali vėliau redaguoti nurodytus adresus, patvirtindamas tokį
savo veiksmą taikant 2FA.
- Pats Klientas diegia API funkcionalumus, vadovaudamasis API
techninėmis specifikacijomis. Įstaiga turi teisę bet kuriuo metu
savo nuožiūra keisti API technines specifikacijas, pranešusi
Klientui apie tokius pakeitimus prieš 2 (dvi) savaites iki jų
įsigaliojimo.
- Klientas, siekdamas tinkamai integruoti API funkcionalumus,
privalo:
- žinoti savo Kliento ID;
- žinoti API raktą;
- prisijungti prie API, naudodamasis patvirtintu IP adresu
(Sutarties 2.3.2 punktas).
- API funkcionalumai yra numatyti API techninėse specifikacijose,
kurios gali būti keičiamos, priklausomai nuo Įstaigos palaikomų
funkcionalumų. Įstaiga neprisiima atsakomybės dėl API funkcionalumų
pakeitimų, kurie gali būti atliekami vien tik Įstaigos nuožiūra.
Klientas privalo sekti visus API techninių specifikacijų pakeitimus
ir atnaujinimus ir atitinkamai pritaikyti savo sistemas prie tokių
pakeitimų ir atnaujinimų. Klientas prisiima visą riziką, susijusią
su jo sistemų suderinamumu su API techninių specifikacijų pakeitimais
ir atnaujinimais.
- Įstaiga gali bet kuriuo metu tiek pranešdama, tiek nepranešdama
nutraukti API paslaugos teikimą, apriboti galimybę prisijungti
prie API.
- Klientas žino ir supranta, kad visi mokėjimai, inicijuoti per API,
atliekami, netaikant 2FA ir Saugesnio autentiškumo patvirtinimo, ir
prisiima bet kokią riziką, galinčią kilti atliekant tokius mokėjimus.
- API funkcijos Klientui yra nemokamai teikiamos.
- Įstaiga neatsako už jokią žalą, atsiradusią dėl prieigos prie API
ar naudojimosi ja, įskaitant, bet neapsiribojant, Sąskaitos valdymą
per API, vadovaujantis nurodymais ir (arba) kodais, pateiktais API
techninėse specifikacijose.
- Įstaiga neatsako už jokius nuostolius (tiek tiesioginius, tiek
netiesioginius), kuriuos Klientas gali patirti dėl API ar bet kokio
jos funkcionalumo veikimo trikdžių, negalėjimo pasiekti ir (ar)
naudotis API ar tam tikromis paslaugomis, prieinamomis per API,
pagal API technines specifikacijas (įskaitant, bet neapsiribojant,
Sutarties 2.5 punkte nurodytus atvejus).
-
3. Šalių įsipareigojimai
- Klientas įsipareigoja:
- diegti API pagal Sutarties 2.3 punkte pateiktus nurodymus ir
sąžiningai bei nustatyta tvarka naudotis API funkcionalumais;
- jungtis prie API, naudojantis tik patvirtintu IP adresu;
- nepiktnaudžiauti API funkcionalumais;
- užtikrinti Sąskaitos ir kompiuterio ar sąsajos, prie kurios
prisijungiama per API, saugumą ir vientisumą;
- prisiimti atsakomybę už visus veiksmus, atliekamus Kliento
Sąskaitoje naudojantis API funkcionalumais, įskaitant, bet
neapsiribojant, mokėjimų inicijavimą, prisijungimus, naudojimąsi
Sąskaita, informacijos Sąskaitoje tvarkymą;
- prisiimti atsakomybę už Kliento naudojamų techninių priemonių,
programinės įrangos, duomenų ir kitų sistemų apsaugą nuo virusų,
kenkėjiškos programinės įrangos ir kitokių interneto saugumo
pavojų;
- užtikrinti, kad Klientas, naudodamasis API funkcionalumais,
nekels Įstaigai kenkėjiškos programinės įrangos ar saugumo rizikos,
įskaitant riziką, susijusią su kenkėjiškomis programomis,
trojanais, virusais, ir bet kokią kitą riziką, technologiškai
žalingą API, Įstaigai ar kitiems Įstaigos klientams;
- reguliariai, ne rečiau kaip kartą per mėnesį, peržiūrėti API
technines specifikacijas, kad Klientas būtų susipažinęs su
planuojamais keitimais ir, jeigu tokių yra, pats galėtų
nedelsdamas atlikti būtinus keitimus Klientui priklausančioje
API integravimo srityje;
- laikytis visų Sutarties 4 punkte išdėstytų saugumo reikalavimų.
- Įstaiga įsipareigoja:
- prižiūrėti API funkcionalumus, koreguoti ir daryti API
atnaujinimus ir pakeitimus, kurie yra būtini, kad būtų
užtikrintas tinkamas API funkcionavimas;
- užtikrinti pagrindinių Taisyklėse, Sąskaitos sutartyje ir
kituose Šalių susitarimuose nurodytų paslaugų teikimą, kai
paslaugos Klientui teikiamos per API.
-
4. Saugumo priemonės
- Kiekvienas Klientas, nusprendęs integruoti API, įsipareigoja
tinkamai laikytis žemiau nurodytų minimalių organizacinių ir techninių
duomenų saugumo reikalavimų. Tokie saugumo reikalavimai skirti
duomenims, kurie tvarkomi naudojantis API, apsaugoti nuo sugadinimo,
praradimo ar neleistinos trečiųjų asmenų prieigos.
- Organizacinės saugumo priemonės:
- Asmens duomenų apsaugos politika ir procedūros
- Klientas turi dokumentuoti atskirą saugumo politiką,
susijusią su asmens duomenų tvarkymu. Politika turi būti
patvirtinta vadovybės ir su ja turi būti supažindinti visi
darbuotojai bei atitinkami išorės subjektai.
- Saugumo politika turi būti kasmet peržiūrima ir koreguojama.
- Pareigos ir atsakomybė
- Pareigos ir atsakomybė, susijusios su asmens duomenų
tvarkymu, turi būti aiškiai apibrėžtos.
- Turi būti paskirti asmenys, atsakingi už konkrečias
saugumo užduotis.
- Prieigos kontrolės politika
- Kiekvienai pareigybei, susijusiai su asmens duomenų
tvarkymu, turi būti suteiktos konkrečios prieigos kontrolės
teisės pagal „būtina žinoti“ principą.
- Prieigos kontrolės politika turi būti išsamiai dokumentuota.
Klientas tokiame dokumente turi apibrėžti atitinkamas prieigos
kontrolės taisykles, prieigos teises ir apribojimus konkrečioms
vartotojų pareigybėms (konkretiems vartotojų vaidmenims) su
asmens duomenimis susijusiuose procesuose ir procedūrose.
- Prieigos teisės turi būti kasmet peržiūrimos ir nedelsiant
atšaukiamos, kai tampa nereikalingomis.
- (Didelės rizikos atvejais) Pareigybės, kurioms
priskirtos išskirtinai didelės prieigos teisės, turi būti
aiškiai apibrėžtos ir priskirtos tik ribotam konkrečių
darbuotojų skaičiui.
- Turto valdymas
- Klientas turi turėti IT išteklių, naudojamų asmens duomens
tvarkyti (techninės, programinės įrangos ir tinklo), registrą.
Registre turi būti fiksuojama bent jau tokia informacija:
IT išteklius, jo rūšis (pvz., serveris, kompiuterizuota
darbo vieta), vieta (fizinė arba elektroninė). Registras
turi būti tvarkomas ir jo duomenys atnaujinami konkrečiai
paskirto asmens.
- Pareigybės, kurioms priskirtos prieigos prie tam tikrų
išteklių, turi būti aiškiai apibrėžtos ir dokumentuotos.
- IT ištekliai turi būti kasmet peržiūrimi ir atnaujinami.
- Pakeitimų valdymas
- Klientas, siekdamas užtikrinti, kad visi pakeitimai būtų
užfiksuoti, ištirti, įvertinti, patvirtinti ir įgyvendinti,
turi įdiegti ir įgyvendinti pakeitimų valdymo tvarką
(procesą). Klientas turi įvertinti, ar dabartinės
operacinės aplinkos pokyčiai gali turėti įtakos esamoms
saugumo priemonėms, ar reikalingos papildomos rizikos
mažinimo priemonės. Tokie pakeitimai turi būti įgyvendinti,
vadovaujantis Kliento dokumentuota pakeitimų valdymo tvarka.
- Programinės įrangos kūrimas turi būti atliekamas
specialioje aplinkoje, kuri nėra prijungta prie IT sistemos,
naudojamos asmens duomenims tvarkyti. Tais atvejais, kai yra
reikalingas testavimas, turi būti naudojami fiktyvūs (netikri)
duomenys. Tais atvejais, kai tas yra neįmanoma, turi būti
nustatytos specialios asmens duomenų, naudojamų atliekant
testavimą, apsaugos procedūros.
- Duomenų tvarkytojai
- Prieš pradedant duomenų tvarkymo veiklą, duomenų
valdytojas ir tvarkytojas turi apibrėžti, dokumentuoti ir
suderinti oficialias gaires ir procedūras, taikomas asmens
duomenų tvarkymui. Tokiose gairėse ir procedūrose privalo
būti nustatytas toks pat asmens duomenų apsaugos lygis, koks
yra nustatytas organizacijos saugumo politikoje.
- Duomenų tvarkytojas, nustatęs asmens duomenų pažeidimą,
turi nedelsdamas informuoti apie tai duomenų valdytoją.
- Duomenų valdytojas ir duomenų tvarkytojas turi oficialiai
susitarti dėl reikalavimų ir įsipareigojimų. Duomenų
valdytojas turi pateikti pakankamai atitikties įrodymų,
pagrįstų dokumentais.
- Duomenų valdytojo organizacija turi reguliariai tikrinti
(audituoti), ar duomenų tvarkytojas laikosi sutarto lygio
reikalavimų ir įsipareigojimų.
- (Didelės rizikos atvejais) Duomenų tvarkytojo
darbuotojams, kurie tvarko asmens duomenis, turi būti taikomi
konfidencialumo / neatskleidimo reikalavimai ir jie turi
pasirašyti atitinkamus susitarimus.
- Incidentų valdymas / asmens duomenų pažeidimai
- Turi būti apibrėžtas reagavimo į incidentus planas su
išsamiai aprašytomis procedūromis, kad būtų užtikrintas
veiksmingas ir tvarkingas reagavimas į incidentus, susijusius
su asmens duomenimis.
- Apie asmens duomenų pažeidimus turi būti nedelsiant
pranešta vadovybei. Turi būti nustatyta pranešimo apie
pažeidimus kompetentingoms institucijoms ir duomenų
subjektams tvarka, atitinkanti BDAR 33 ir 34 straipsnių
nuostatas.
- Reagavimo į incidentus planas, įskaitant galimų padarinių
šalinimo veiksmų sąrašą ir aiškų vaidmenų pasiskirstymą,
turi būti dokumentuotas.
- (Didelės rizikos atvejais) Incidentai ir asmens
duomenų pažeidimai turi būti registruojami, kartu fiksuojant
visą informaciją apie įvykį ir veiksmus, kurių imtasi jo
pasekmėms šalinti.
- Veiklos tęstinumas
- Organizacija turi nustatyti pagrindines procedūras ir
kontrolės priemones, kurios būtų taikomos, siekiant užtikrinti
reikiamą IT sistemos, tvarkančios asmens duomenis,
nepertraukiamumo ir prieinamumo lygį (incidento ir (arba)
asmens duomenų saugumo pažeidimo atveju).
- Veiklos tęstinumo planas turi būti išsamus ir dokumentuotas
(kartu turi atitikti bendrą saugumo politiką). Jame turi būti
numatyti aiškūs veiksmai ir priskirti konkretūs vaidmenys.
- Veiklos tęstinumo planas turi būti kasmet testuojamas ir
atnaujinamas, remiantis testavimo rezultatais, gautais iš
surinktų duomenų apie grėsmes ir ankstesnių įvykių patirties,
taip pat pasikeitusiais atkūrimo tikslais ir (arba)
pasikeitusiomis veiklos funkcijomis, pagalbiniais procesais
ir informacijos ištekliais.
- Personalo konfidencialumo laikymasis
- Klientas turi užtikrinti, kad visi darbuotojai suprastų
savo atsakomybę ir įsipareigojimus, susijusius su asmens
duomenų tvarkymu. Supažindinimas su uždaviniais ir pareigomis
turi būti atliktas prieš įdarbinant ir (arba) darbo santykių
pradžioje.
- Darbuotojai, prieš pradėdami vykdyti savo pareigas, turi
peržiūrėti ir susipažinti su organizacijos saugumo politika,
turi būti gautas darbuotojų sutikimas laikytis šios politikos
nuostatų, taip pat turi būti pasirašyti atitinkami
konfidencialumo / neatskleidimo susitarimai.
- (Didelės rizikos atvejais) Darbuotojai, vykdantys
didelę riziką keliantį asmens duomenų tvarkymą, turi būti
įpareigoti laikytis specialių konfidencialumo sąlygų (pagal
darbo sutartį ar kitą teisės aktą).
- **Mokymai **
- Klientas turi užtikrinti, kad visi jo darbuotojai būtų
tinkamai informuoti apie IT sistemos saugumo kontrolę,
susijusią su jų kasdieniu darbu. Darbuotojai, dalyvaujantys
tvarkant asmens duomenis, taip pat turi būti tinkamai
informuoti apie atitinkamus duomenų apsaugos reikalavimus ir
įsipareigojimus, reguliariai rengiant jiems informuotumo
didinimo kampanijas.
- Klientas turi turėti struktūrizuotas ir reguliarias mokymų
programas darbuotojams, įskaitant specialias programas,
skirtas naujokams supažindinti (su duomenų apsaugos
klausimais).
- Klientas turi užtikrinti, kad visi jo darbuotojai bent
vieną kartą per metus dalyvautų mokymuose.
- Techninio saugumo priemonės:
- Prieigos kontrolė ir autentifikavimas
- Turi būti vengiama naudoti bendrąsias vartotojų paskyras.
Tais atvejais, kai tas yra būtina, turi būti užtikrinta, kad
visi bendrosios paskyros vartotojai turėtų tuos pačius
vaidmenis (pareigas) ir funkcijas.
- Turi būti įdiegtas tapatybės nustatymo (autentifikavimo)
mechanizmas, suteikiantis prieigą prie IT sistemos (pagrįstas
prieigos kontrolės politika ir sistema). Turi būti naudojamas
bent jau vartotojo vardo ir slaptažodžio derinys.
Slaptažodžiai turi atitikti tam tikrą (konfigūruojamą)
sudėtingumo lygį.
- Turi būti apibrėžta ir dokumentuota konkreti slaptažodžių
politika. Politika turi nustatyti bent jau slaptažodžio ilgį,
sudėtingumą, galiojimo laikotarpį ir priimtiną nesėkmingų
bandymų prisijungti skaičių.
- Vartotojo slaptažodžiai turi būti saugomi tokiu pavidalu,
koks gaunamas naudojant maišos (angl. hash) funkciją.
- Registravimas ir stebėjimas
- Kiekvienoje sistemoje / programoje, naudojamoje asmens
duomenims tvarkyti, turi būti aktyvuoti žurnalo failai. Jie
turi apimti visų tipų prieigą prie duomenų (peržiūra,
keitimas, ištrynimas).
- Žurnalo failai turi būti pažymėti laiko žymomis ir
tinkamai apsaugoti nuo klastojimo ir neteisėtos prieigos.
Laikrodžiai turi būti sinchronizuoti su vienu atskaitos
laiko šaltiniu.
- Sistemos administratorių ir sistemos operatorių veiksmai,
įskaitant vartotojų teisių papildymą, pakeitimą, ištrynimą,
turi būti registruojami.
- Neturi būti galimybės ištrinti ar pakeisti žurnalo failų
turinio. Siekiant nustatyti neįprastą veiklą, be stebėsenos
vykdymo, turi būti registruojama prieiga prie žurnalo failų.
- Stebėsenos sistema turi apdoroti žurnalo failus ir rengti
ataskaitas apie sistemos būklę bei pranešti apie galimus
pavojus.
- Serverio / duomenų bazės saugumas
- Serveriai turi būti sukonfigūruoti pagal dokumentuotus
standartus / procedūras.
- Serverio atvaizdai turi būti peržiūrimi, testuojami ir
atnaujinami (t. y. su naujausiais pataisymais ir kūrimo /
konfigūracijos pakeitimais).
- Serveriai turi būti sukonfigūruoti taip, kad užtikrintų
apsaugą nuo atakų: išjungdami nereikalingas arba nesaugias
vartotojų paskyras, pakeisdami svarbius parametrus,
susijusius su saugumu, iš numatytųjų nustatymų, apribodami
fizinę prieigą tik ribotam įgaliotų asmenų skaičiui,
palaikydami atnaujintą apsaugos nuo kenkėjiškų programų
programinę įrangą, stebėdami ir reguliariai ją peržiūrėdami.
- Duomenų bazių ir taikomųjų programų serveriai turi tvarkyti
tik tuos asmens duomenis, kuriuos iš tikrųjų reikia tvarkyti,
kad būtų pasiekti duomenų tvarkymo tikslai.
- (Didelės rizikos atvejais) Turi būti apgalvoti
konkrečių failų ar įrašų šifravimo sprendimai diegiant
programinę ar techninę įrangą.
- (Didelės rizikos atvejais) Turi būti apsvarstyta
saugojimo diskų šifravimo galimybė.
- Kompiuterizuotos darbo vietos saugumas
- Vartotojai neturi tur ėti galimybės išjungti saugumo
nustatymus ar juos apeiti.
- Vartotojai neturi turėti teisių diegti arba deaktyvuoti
neteisėtą programinę įrangą.
- Sistemoje turi būti numatytas seanso pabaigos laikas, kai
vartotojas tam tikrą laiką nebuvo aktyvus.
- Operacinės sistemos kūrėjo išleisti svarbūs saugumo
atnaujinimai turi būti reguliariai diegiami.
- (Didelės rizikos atvejais) Turi būti neleidžiama
perkelti asmens duomenų iš kompiuterizuotų darbo vietų į
išorines duomenų saugojimo laikmenas (pvz., USB, DVD,
išoriniai standieji diskai).
- (Didelės rizikos atvejais) Kompiuterizuotos darbo
vietos operacinės sistemos diskuose turi būti įjungtas viso
disko programinės įrangos šifravimas.
- Tinklo / ryšių saugumas
- Tais atvejais, kai prieiga yra suteikiama internetu, ryšys
turi būti užšifruotas kriptografiniais protokolais (TLS).
- Bevielė prieiga prie IT sistemos turi būti apsaugota
šifravimo priemonėmis.
- Apskritai turi būti vengiama nuotolinės prieigos prie IT
sistemos. Tais atvejais, kai tas yra neišvengiamai būtina,
ji turi būti užtikrinama, tik kontroliuojant ir stebint
konkrečiam Kliento atstovui (pvz., IT administratoriui /
saugumo pareigūnui) per iš anksto nustatytus įrenginius.
- Informacinės sistemos tinklas turi būti atskirtas nuo
kitų duomenų valdytojo tinklų.
- Atsarginės kopijos
- Atsarginių kopijų kūrimo ir duomenų atkūrimo procedūros
turi būti apibrėžtos, dokumentuotos ir aiškiai susietos su
konkrečiomis pareigybėmis ir funkcijomis.
- Atsarginėms kopijoms turi būti suteiktas atitinkamas
fizinės ir aplinkos apsaugos lygis, atitinkantis pirminiams
duomenims taikomus standartus.
- Atsarginių kopijų darymas turi būti stebimas, kad būtų
užtikrintas jų išsamumas.
- Atsarginių kopijų laikmenos turėtų būti reguliariai
tikrinamos, siekiant užtikrinti, kad jomis būtų galima
pasinaudoti skubiais atvejais.
- Atsarginės kopijos turėtų būti saugiai laikomos
skirtingose vietose.
- Tais atvejais, kai atsarginėms kopijoms saugoti
pasitelkiamas trečiasis asmuo, kopijos turi būti užšifruotos,
prieš perduodant jas iš duomenų valdytojo.
- Mobilieji / nešiojamieji įrenginiai
- Mobiliųjų ir nešiojamųjų prietaisų valdymo procedūros turi
būti apibrėžtos ir dokumentuotos, nustatant aiškias jų
tinkamo naudojimo taisykles.
- Mobilieji įrenginiai, iš kurių leidžiama prisijungti prie
informacinės sistemos, turėtų būti iš anksto užregistruoti
ir autorizuoti.
- Mobiliesiems įrenginiams turi būti taikomos tokio paties
lygio prieigos (prie duomenų apdorojimo sistemos) kontrolės
procedūros kaip ir kitiems galiniams įrenginiams.
- Mobiliajame įrenginyje saugomi asmens duomenys (kaip
organizacijos duomenų tvarkymo veiklos dalis) turi būti
užšifruoti.
- Programos gyvavimo ciklo saugumas
- Programos kūrimo ciklo metu turi būti laikomasi geriausios
praktikos pavyzdžių, pažangiausių ir gerai pripažintų saugaus
kūrimo praktikų, sistemų ar standartų.
- Konkretūs saugumo reikalavimai turi būti nustatyti
ankstyvaisiais kūrimo ciklo etapais.
- Specialiosios technologijos ir metodai, skirti privatumui
ir duomenų apsaugai užtikrinti (dar vadinami privatumą
didinančiomis technologijomis (angl. PET)), turi būti taikomi
analogiškai saugumo reikalavimams.
- Turi būti laikomasi saugaus kodavimo standartų ir praktikos.
- Programos kūrimo metu turi būti atliekamas testavimas ir
patvirtinimas pagal pradinius saugumo reikalavimus.
- Prieš pradedant naudoti programą operacinėje aplinkoje,
turi būti atliktas pažeidžiamumo vertinimas, taikomųjų
programų ir infrastruktūros skverbties testavimas. Taikomoji
programa turi būti nepriimama, jeigu nepasiektas reikiamas
saugumo lygis.
- Turi būti atliekami periodiniai skverbties testai.
- Turi būti gauta informacija apie techninius naudojamų
informacinių sistemų pažeidžiamumus.
- Programinės įrangos pakeitimai turi būti testuojami ir
įvertinamo, prieš įdiegiant juos operacinėje aplinkoje.
- Duomenų trynimas / šalinimas
- Prieš sunaikinant visas laikmenas, programinė įranga turi
būti perrašyta kelis kartus. Tais atvejais, kai tas neįmanoma
(CD, DVD ir pan.), jos turi būti fiziškai sunaikintos.
- Popierinės ir nešiojamos laikmenos, naudojamos asmens
duomenims saugoti, turi būti susmulkintos.
- (Didelės rizikos atvejais) Jeigu, siekiant saugiai
sunaikinti laikmenas ar popierinius įrašus, yra naudojamasi
trečiojo asmens paslaugomis, turi būti sudaryta paslaugų
teikimo sutartis ir atitinkamai pateiktas įrašų sunaikinimo
protokolas. Procesas turėtų vykti duomenų valdytojo patalpose
(turi būti vengiama asmens duomenų perdavimo ne duomenų
valdytojo patalpose).
- Fizinis saugumas
- IT sistemos infrastruktūros fizinis perimetras turi būti
neprieinamas neįgaliotiems darbuotojams. Jeigu taikoma, turi
būti įrengtos fizinės užtvaros, kad būtų užkirstas kelias
neteisėtai fizinei prieigai.
- Tinkamomis priemonėmis, pvz., asmens tapatybės pažymėjimais,
turi būti nustatytos visų darbuotojų ir lankytojų,
patenkančių į organizacijos patalpas, tapatybės.
- Turi būti apibrėžtos saugumo zonos ir nustatyta tinkama
patekimo į jas kontrolė. Turi būti vedamas ir stebimas fizinis
registracijos žurnalas ar elektroninė kontrolės sistema,
fiksuojanti patekimą į saugumo zonas.
- Įsilaužimo aptikimo sistemos turi būti įrengtos visose
apsaugos zonose.
- Nenaudojamos saugumo zonos turi būti fiziškai užrakintos
ir reguliariai tikrinamos.
- Serverio patalpoje turi būti įdiegta automatinė gaisro
apsaugos sistema, tikslios kontrolės oro kondicionavimo
sistema ir nepertraukiamo elektros energijos tiekimo šaltinis
(UPS).
- Įstaiga gali tikrinti Klientą ir paprašyti pateikti įrodymus,
kad Klientas laikosi pirmiau nurodytų saugumo reikalavimų. Jeigu
Įstaiga nustato, kad Klientas nesilaiko bet kurio saugumo reikalavimo,
Klientui, be kitų priemonių, gali būti taikomos šios Sutarties 6
punkte reglamentuotos teisinės priemonės.
-
5. Autorizavimo elementų pažeidimas
- Jeigu Klientas praranda bet kurios Sutarties 2 punkte nurodytos
autorizavimo priemonės, kurią jis naudoja, norėdamas pasiekti ir
naudotis savo Sąskaita per API, konfidencialumą arba kyla rimta
grėsmė ar įtarimas, kad tokie autorizavimo elementai tapo žinomi
neįgaliotam trečiajam asmeniui (pvz., buvo įsilaužta į Kliento
sistemą), jis privalo nedelsdamas pranešti apie tai Įstaigai.
- Įstaiga, gavusi Kliento pranešimą, deaktyvuoja API raktą ir (arba)
pašalina atitinkamą IP adresą (Sutarties 2.3.2 punktas), priskirtą
Klientui, iš patvirtintų IP adresų sąrašo, kad būtų neįmanoma toliau
pasiekti ir naudotis Sąskaita per API. Naudoti API raktai daugiau
niekada nebenaudojami. Klientui pareikalavus, Įstaiga taip pat gali
laikinai arba visam laikui užblokuoti Kliento Sąskaitą.
- Įstaiga turi teisę savo iniciatyva užblokuoti API raktą ir (arba)
Kliento sąskaitą, jeigu ji turi pagrindą įtarti, kad Kliento
naudojamas API raktas yra pažeistas (praradęs konfidencialumą).
Įstaiga tokiais atvejais nedelsdama, bet ne vėliau kaip per 3 (tris)
darbo dienas, informuoja Klientą apie API rakto ir (ar) Kliento
Sąskaitos blokavimą, o Klientas savo ruožtu įsipareigoja nedelsdamas,
bet ne vėliau kaip 3 (tris) darbo dienas, pateikti Įstaigos
reikalaujamą informaciją, reikalingą kilusiems įtarimams
išsiaiškinti. Tol, kol Klientas nepateikia Įstaigai reikalaujamos
informacijos, sustabdomas naujo API rakto kūrimas. Įstaiga tokiais
atvejais neatsako už jokius Kliento nuostolius (tiek tiesioginius,
tiek netiesioginius), kuriuos jis gali patirti dėl API rakto ir
(ar) Kliento Sąskaitos blokavimo. Jeigu Klientas nustatytu terminu
nepateikia Įstaigos reikalaujamos informacijos, Įstaiga turi teisę
nedelsdama ir be jokio įspėjimo nutraukti šią Sutartį.
- Įstaiga imasi visų būtinų priemonių, kurias ji laiko tinkamomis
ir naudingomis, kad užkirstų kelią bet kokioms galimoms pasekmėms,
kylančioms dėl Kliento autorizavimo elementų pažeidimo, tačiau tik
pats Klientas yra atsakingas už jo naudojamų autorizavimo elementų,
prieigos prie API, programinės įrangos, interneto ryšio ir bet
kokių kitų Kliento naudojamų techninių priemonių konfidencialumo
ir saugumo užtikrinimą. Klientas prisiima visas pasekmes, kylančias
dėl autorizavimo elementų konfidencialumo ir saugumo praradimo.
-
6. Atsakomybė
- Klientas prisiima visą riziką, atsakomybę ir įsipareigojimą
padengti visus galimus nuostolius, jeigu jis nevykdo savo
įsipareigojimų, išdėstytų šios Sutarties 3.1 punkte, ir (arba)
nesilaiko šios Sutarties 4 punkte nurodytų saugumo priemonių.
Klientas yra visiškai atsakingas Įstaigai ir bet kuriam trečiajam
asmeniui, jeigu yra nutekinami ar pažeidžiami jo duomenys ar
atsiranda bet koks kitas trūkumas. Įstaiga tokiais atvejais
neprisiima jokios atsakomybės prieš Klientą ir trečiuosius asmenis,
jeigu buvo padaryta žala dėl duomenų nutekėjimo, paslaugų pažeidimo
ar kitų trūkumų.
- Tais atvejais, kai Klientas nevykdo savo įsipareigojimų pagal
šią Sutartį, įskaitant įsipareigojimą laikytis ir įgyvendinti šios
Sutarties 4 punkte nustatytas saugumo priemones, jis privalo
padengti visus Įstaigos nuostolius, atsiradusius dėl Kliento
padaryto Sutarties pažeidimo, ir sumokėti Įstaigai 50 000 EUR
(penkiasdešimties tūkstančių eurų) baudą (kiekvienu atveju, kai
nustatomas Sutarties pažeidimas). Be to, Įstaiga tokiais atvejais
gali sustabdyti API paslaugos teikimą, nutraukti šią Sutartį.
-
7. Nutraukimas
- Ši Sutartis gali būti nutraukta Taisyklėse ir (ar) Sąskaitos
sutartyje įtvirtintais pagrindais.
- Įstaiga be išankstinio įspėjimo gali sustabdyti arba nutraukti
Kliento prieigą prie API ir naudojimąsi ja, taip pat nutraukti ir
šią Sutartį, jeigu yra akivaizdus pagrindas manyti, kad Klientas
pažeidė šios Sutarties sąlygas.