Information for Suppliers
The attached information on export control requirements for suppliers, replaces the previous requirements described in Instruction WI-PR02-16.
Konfiguracja dostarczonego sprzętu komputerowego
- Preferowana konfiguracja serwerów, komputerów typu desktop, laptopów lub innych urządzeń komputerowych zgodna z obowiązującym aktualnie standardem PWT (informacja ta jest dostępna na bieżąco do wglądu w dziale IT PWT);
- Preferowany system operacyjny zgodny z obecnym standardem PWT (informacja ta jest dostępna na bieżąco do wglądu w dziale IT PWT);
- Dostawca zobowiązany jest dostarczyć potwierdzenie legalności (certyfikat licencyjny, faktura) na każde zainstalowane i/lub dostarczone oprogramowanie;
- Warunki gwarancji i serwisowania dostarczanego sprzętu komputerowego muszą być jasno zdefiniowane przez Dostawcę;
- Dostawca nie jest upoważniony do wywożenia dysków twardych i/lub innych nośników informacji wykorzystywanych w celach testowych i/lub produkcyjnych (w dostarczonym systemie) poza teren przedsiębiorstwa PWT bez wcześniejszej, pisemnej zgody IT PWT.
Zakres uprawnień na dostarczanym sprzęcie komputerowym
- Dostawca posiada prawo do konfiguracji sprzętu komputerowego jedynie przed odbiorem końcowym tego sprzętu. Uprawnienia do wykonywania czynności serwisowych, konfiguracyjnych i innych po uruchomieniu maszyny lub aplikacji muszą być zatwierdzone przez dział IT PWT;
- Podczas odbioru końcowego urządzenia/projektu itp. Dostawca zobowiązany jest przekazać wszystkie prawa, hasła dostępu itp. do systemów, kont oraz aplikacji dostarczanych w ramach realizacji Umowy;
- Hasła dostępu należy przekazać w formie pisemnej pracownikowi działu IT PWT;
- Dostawca nie ma możliwości uzyskać praw użytkownika uprzywilejowanego (konta typu administrator, root, itp.) na dostarczanym sprzęcie komputerowym w trakcie jego użytkowania w procesie produkcyjnym. Uprawnienia takie mogą być nadane wyłącznie za zgodą działu IT PWT w uzasadnionym przypadku potrzeby wykonania usługi serwisowej, konfiguracyjnej lub innej.
Podłączenia modemu i/lub karty sieciowej do sieci zewnętrznej
Łączenie zdalne do systemów komputerowych PWT jest możliwe wyłącznie przy spełnieniu następujących warunków:
- Dostawca musi złożyć pisemne poświadczenie o akceptacji warunków umowy o ochronę informacji, która jest wymagana przed rozpoczęciem współpracy;
- Dostawca oświadcza, zapewnia, zobowiązuje się i wyraża zgodę, iż możliwość dostępu zdalnego do systemów komputerowych PWT zostaje udzielona na czas nie dłuższy, niż okres realizacji Umowy;
- Dostawca zobowiązuje się do spełniania przepisów kontroli eksportu mających zastosowanie do przekazywanych danych, (jeśli dane tego wymagają);
- Dostawca potwierdza, że w przypadku połączenia zdalnego korzysta z bezpiecznych kanałów komunikacji;
PWT zastrzega sobie prawo odmowy dostępu pracowników Dostawcy do systemu informatycznego PWT, podłączenia modemu i/lub karty sieciowej do sieci zewnętrznej, łącza zewnętrznego, linii telefonicznej itp., jeśli powyższe warunki nie są spełnione.
Kod źródłowy aplikacji
Jeżeli przedmiotem Umowy jest aplikacja opracowana na potrzeby PWT to kody źródłowe użyte do jej opracowania stają się własnością PWT. Dostawca zobowiązany jest przekazać kody źródłowe aplikacji tworzonych na rzecz PWT. PWT posiada prawa do użytkowania, tworzenia kopii oraz modyfikowania dostarczanych kodów źródłowych.
Prawo własności do narzędzi i oprogramowania
- Dostawca gwarantuje, że posiada odpowiednie prawa własności do narzędzi oraz oprogramowania, przy użyciu których, zostały wytworzone towary i/lub usługi na rzecz PWT będące przedmiotem Umowy.
- Dostawca pokrywa wszystkie koszty związane z odszkodowaniami i/lub karami, w przypadku, gdy sposób tworzenia towaru i/lub usługi naruszy prawo własności innych podmiotów.
Tworzenie i/lub modyfikowanie serwisu www
- Zawartość umieszczona na stronie WWW jest chroniona przez prawo autorskie; prawa te należą do PWT. Implementowanie i wykorzystywanie narzędzi służących do wyszukiwania treści musi być zgodne z polityką UTC. Jeśli narzędzia służące do wyszukiwania treści tworzą kopie danych źródłowych, wówczas kopie te podlegają takiej samej ochronie jak dane źródłowe;
- Dostawca zapewni regularne aktualizacje strony WWW zawierającej dane PWT poprzez interfejs elektroniczny. Za określenie zakresu danych i częstotliwość aktualizacji odpowiedzialne jest PWT;
Autoryzacja i kontrola dostępu
Wszystkie aplikacje muszą wykorzystywać narzędzia autoryzacji i kontroli dostępu lub aplikacje te muszą mieć zaimplementowaną funkcjonalność zapewniającą bezpieczeństwo i zgodność z polityką bezpieczeństwa UTC, a w tym między innymi:
- Hasła dostępu do systemów muszą być odpowiednio trudne do złamania. System nie powinien przyjmować zbyt łatwych haseł jak np. wyrazów podobnych do posiadanego identyfikatora, uporządkowanych ciągów znaków z klawiatury (np. 123456, asdfgh) powszechnie znanych akronimów itp.;
- System powinien mieć możliwość wymuszenia, aby hasła miały co najmniej 8 znaków oraz były zmieniane przynajmniej raz na 60 dni;
- Hasła muszą być złożone – tzn. składać się ze znaków z co najmniej trzech z wymienionych grup: małe litery, duże litery, cyfry, znaki specjalne;
- Dla kont serwisowych i komunikacyjnych (tzw. service ID) hasła muszą składać się z co najmniej 15 znaków;
- Minimalny okres życia hasła to 1 dzień; hasła powinny być dozwolone do użycia powtórnie dopiero po 6-ciu miesiącach lub powinno być pamiętane i zablokowane do powtórnego użycia przynajmniej 5 ostatnich haseł;
- Hasła nie mogą być wyświetlane ani przechowywane w jakimkolwiek pliku w postaci niezaszyfrowanej;
- System powinien być tak skonfigurowany, aby konta użytkowników, na które nie było logowania przez okres trzech miesięcy były automatycznie blokowane. Po 6 miesiącach braku aktywności konta użytkowników będą ręcznie usuwane;
Ochrona danych PWT w systemach Dostawcy
- Jeśli w ramach Umowy Dostawca otrzymuje a następnie przechowuje i/lub przetwarza wrażliwe dane PWT (jak np. dane osobowe, finansowe, dane techniczne jak np. rysunki, technologie itp.), wówczas Dostawca musi dostarczyć kopię aktualnej polityki bezpieczeństwa dotyczącej przechowywania i przetwarzania danych oraz politykę dotyczącą fizycznego dostępu do urządzeń, na których są przechowywane i/lub przetwarzane dane PWT. Dostawca powinien raz na rok dostarczać PWT aktualną politykę bezpieczeństwa;
- Wymaga się, aby Dostawca wydzielił przekazane dane PWT i przechowywał w oddzielnych bazach danych, do których dostęp ma jedynie PWT, uprawnione strony oraz autoryzowani pracownicy Dostawcy, odpowiedzialni za utrzymanie danego środowiska;
- Dostawca zobowiązuje się, że dostęp do danych PWT będzie ograniczony wyłącznie do osób niekaranych;
- Dostawca jest odpowiedzialny za zapewnienie ochrony przed nieautoryzowanym dostępem do przechowywanych w systemach Dostawcy danych PWT;
- Wobec danych PWT muszą być przez cały okres realizacji Umowy wykonywane kopie bezpieczeństwa. Minimalne wymogi to backup przyrostowy, realizowany co 24 godziny oraz pełen backup, wykonywany co 7 dni. Okres przechowywania kopii bezpieczeństwa to minimum 30 dni;
- PWT lub strona trzecia wskazana przez PWT ma prawo przeprowadzić audyt bezpieczeństwa w obiekcie Dostawcy bez wcześniejszego powiadamiania Dostawcy. Jeśli dane PWT są przechowywane w środowisku współdzielonym, PWT może powołać się na stronę trzecią, aby przeprowadziła taki audyt. Audyt może uwzględniać wszystkie obiekty oraz urządzenia, na których przechowywane są dane PWT, włączając w to kopie bezpieczeństwa tych danych, a także może obejmować weryfikację, czy wszystkie niezbędne kontrole są prowadzone u Dostawcy zgodnie z polityką bezpieczeństwa UTC;
- Niepowodzenie przebiegu audytu bezpieczeństwa i/lub ochrony informacji określonych niniejszych wymaganiach u Dostawcy może być podstawą do rozwiązania Umowy z Dostawcą. PWT może wskazać na „słabe punkty” Dostawcy, natomiast Dostawca powinien w ciągu 30 dni dostarczyć PWT plan usunięcia tych nieprawidłowości i jeśli PWT sobie tego zażyczy Dostawca powinien zastosować rozwiązania tymczasowe do momentu usunięcia wszelkich nieprawidłowości. Jeśli ryzyka zidentyfikowane przez PWT nie zostaną usunięte w ciągu zadanego czasu lub jeśli Dostawca odmówi usunięcia nieprawidłowości, wówczas PWT może rozwiązać Umowę ze skutkiem natychmiastowym;
- Zgodnie z polityką bezpieczeństwa UTC, wrażliwe dane PWT muszą być szyfrowane w przypadku przesyłania ich poprzez sieci publiczne takie jak np. Internet. Zastosowane technologie szyfrowania muszą zostać zatwierdzone przez dział IT PWT i być zgodne z obowiązującymi przepisami prawa. Dostawca akceptuje fakt, że dane wrażliwe będą ze strony PWT przekazywane w formie zaszyfrowanej w przypadku przesyłania ich np. pocztą elektroniczną, zgodnie z obowiązującym standardem szyfrowania UTC. Przed lub w momencie podpisania Umowy Dostawca musi przedstawić PWT plan, który opisuje sposób przekazania do PWT wszelkich posiadanych i przechowywanych przez Dostawcę danych PWT, włączając w to kopie bezpieczeństwa i dane archiwalne, a także sposób trwałego usunięcia tych danych z systemu Dostawcy w przypadku zakończenia Umowy.
Ochrona danych PWT w systemach Dostawcy c.d.
Plan ten musi uwzględniać przekazanie danych do PWT w postaci zgodnej ze standardem oprogramowania PWT, w przeciwnym wypadku Dostawca zobowiązany jest dostarczyć licencję na odpowiednie oprogramowanie umożliwiające korzystanie i odtworzenie przekazanych danych;
- Dostawca potwierdza, że posiada procedury i zabezpieczenia przeciwko znanym zagrożeniom bezpieczeństwa danych (np. stosuje i regularnie aktualizuje oprogramowanie AV, jest zdolny do wykrywania włamań i prób włamań do swoich systemów komputerowych itp.);
- Dostawca zobowiązany jest powiadomić PWT o jakichkolwiek próbach dotyczących pozyskania informacji PWT przez strony trzecie i/lub włamaniach lub próbach włamań do systemów informatycznych Dostawcy;
Aktualizacja procedur
Dostawca zobowiązany jest zapewnić aktualizację swoich procedur w przypadku zmian w polityce bezpieczeństwa UTC tak, aby zapewnić zgodność z tą polityką.
Postanowienia końcowe
Każdy zewnętrzny użytkownik musi postępować zgodnie z wymogami polityk bezpieczeństwa i standardów PWT/UTC. Dostawca jest zobowiązany realizować program podnoszenia świadomości odnośnie bezpieczeństwa.