Bezpečnosť. 4.4.2.1.1. Autentifikácia
4.4.2.1.2. Riadenie prístupových práv
4.4.2.1.3. Autorizácia
Bezpečnosť. 1. Vzhľadom na to, že Slovenská republika nesie celkovú zodpovednosť za bezpečnosť na svojom území, prijme opatrenia potrebné na zaistenie ochrany, bezpečnosti a zabezpečenia ozbrojených síl USA, dodávateľov USA, závislých osôb a rozmiestneného materiálu a na ochranu a zabezpečenie úradných informácií USA. Na podporu tejto zodpovednosti budú Ozbrojené sily Slovenskej republiky a USA úzko spolupracovať na zaručení bezpečnosti a ochrany.
2. Ozbrojené sily USA sú oprávnené vykonávať všetky práva a právomoci nevyhnutné pre operačné riadenie ozbrojenými silami USA na účel ich prístupu a využívania dohodnutých zariadení a priestorov vrátane prijímania vhodných opatrení na obranu, udržanie alebo obnovenie poriadku a na ochranu ozbrojených síl USA, dodávateľov USA a závislých osôb. Spojené štáty by mali koordinovať tieto opatrenia a vždy koordinujú plány ochrany síl s príslušnými slovenskými orgánmi.
Bezpečnosť. 3.9.1. Zákazník je povinný s Xxxxxxxx kartou s aktivovaným prístupom k Platobnej funkcionalite zaobchádzať rovnako bezpečne ako s hotovosťou, najmä nenechávať ju voľne položenú v čase svojej neprítomnosti. Pri Platbách Zákazník odovzdá Poštovú kartu s aktivovaným prístupom k Xxxxxxxxx funkcionalite zodpovednému zamestnancovi SP za účelom jej spracovania, pričom je povinný dbať na to, aby sa mu dotknutý zamestnanec, ktorý s danou Xxxxxxxx kartou disponuje, nevzdialil z dohľadu. Porušenie týchto bezpečnostných pravidiel Zákazníkom, spolu alebo jednotlivo (aj neúmyselne), SPPS považuje za hrubú nedbanlivosť.
3.9.2. PIN je ochranný prvok známy výlučne Zákazníkovi ako Držiteľovi Poštovej karty s aktivovaným prístupom k Platobnej funkcionalite. Zákazník berie na vedomie, že SPPS nevydáva potvrdenie o zvolenom PIN, a nastavenie zvoleného PIN k Poštovej karte je výlučne na zodpovednosti Zákazníka. V záujme zachovania bezpečnosti peňažných prostriedkov uchovávaných elektronicky v rámci Platobnej funkcionality je Zákazník povinný uchovať svoj PIN v tajnosti. Nezaznamená si ho na Poštovej karte a aktivovaným prístupom k Platobnej funkcionalite, neuchováva ho spoločne s takouto Poštovou kartou na jednom mieste, ani ho neoznamuje iným osobám, a to ani rodinným príslušníkom. Poštovú kartu a aktivovaným prístupom k Platobnej funkcionalite je potrebné uschovať oddelene od osobných dokladov. Použitie Poštovej karty s aktivovaným prístupom k Platobnej funkcionalite so správnym PIN inou osobou ako Zákazníkom považuje SPPS za hrubú nedbanlivosť Zákazníka pri uchovaní PIN.
3.9.3. Zákazník berie na vedomie, že riziko zneužitia Xxxxxxxx karty s aktivovaným prístupom k Platobnej funkcionalite je vyššie v prípade Platieb, ktoré sú realizované bez zadania PIN.
3.9.4. Za neautorizované Finančné transakcie, ktoré boli vykonané prostredníctvom Poštovej karty v dôsledku podvodného konania Zákazníka, úmyselného nesplnenia zmluvných alebo zákonných povinností v dôsledku hrubej nedbanlivosti Zákazníka a za straty s nimi súvisiace, je Zákazník zodpovedný v plnej výške.
3.9.5. Od okamihu nahlásenia straty alebo krádeže Poštovej karty a aktivovaným prístupom k Platobnej funkcionalite nesie zodpovednosť za Zákazníkom neautorizované Finančné transakcie SPPS.
3.9.6. Ak Zákazník konal preukázateľne podvodným spôsobom alebo v prípade, že je dôvodné podozrenie na zneužitie Poštovej karty, SPPS je oprávnená okamžite zablokovať a/alebo zrušiť Poštovú kartu, pričom o tejto skutočnosti Zákazníka infor...
Bezpečnosť. 5.1 Bezpečnosť pred aktiváciou metódy – strata, odcudzenie. Pokiaľ dôjde k strate alebo odcudzeniu mobilného telefónu alebo k zneužitiu či zneprístupneniu e-mailovej adresy, ktoré sú určené na doručenie jednorazového hesla pred vytvorením Certifikátu, alebo pokiaľ dôjde k strate alebo odcudzeniu mobilného telefónu určeného na doručenie jednorazového hesla pred aktiváciou metódy, je Držiteľ Certifikátu povinný Banku o tejto skutočnosti bezodkladne informovať na telefónnom čísle +000 000 000 000 a dohodnúť s Bankou náhradný spôsob doručenia nového jednorazového hesla. Pôvodné jednorazové heslo následne Banka zablokuje. V prípade Certifikátu môže Banka použiť pre náhradné doručenie jednorazového hesla aj e-mailovú adresu Držiteľa Certifikátu, ak je v Zmluve uvedená.
Bezpečnosť. Informačná bezpečnosť eJustice je jedným zo základných kritérií pri rozpracovávaní eJustice. Cieľom implementácie prvkov bezpečnosti v rámci návrhu koncepcie informačného systému eJustice je garantovať jeho dôvernosť, stabilitu, dostupnosť, odolnosť a integritu informačného systému ako celku. Tento cieľ je dosahovaný prostredníctvom implementovania vhodných bezpečnostných mechanizmov a technologických opatrení na úrovni infraštruktúry ako aj na úrovni komponentov informačného systému. Z hľadiska bezpečnosti ide predovšetkým o zabezpečenie systémovej bezpečnosti, prevádzkovej bezpečnosti a informačnej bezpečnosti. Cieľom implementácie prvkov bezpečnosti v rámci koncepcie IS eJustice je garantovať jeho dôvernosť, stabilitu, dostupnosť, odolnosť a integritu informačného systému ako celku. Tento cieľ bude zabezpečený prostredníctvom implementovania vhodných bezpečnostných mechanizmov a technologických opatrení na úrovni infraštruktúry ako aj na úrovni komponentov informačného systému. Koncept bezpečnosti počíta s možnosťou, že v blízkom horizonte sa stanú advokáti, notári, exekútori, správcovia, mediátori, pracovníci polície, prokuratúr účastníkmi spoločnej komunikačnej platformy podobne ako justičný pracovníci súdov a pracovníci rezortu. Návrh spoločnej komunikačnej platformy musí byť odolný voči vonkajším útokom spočívajúcom v neoprávnenom získavaní dát alebo voči neoprávnenému pozmeňovaniu prenášaných údajov, prípadne útokom smerujúcim k ich odstráneniu. Budú realizované viacúrovňové bezpečnostné opatrenia spočívajúce vo fyzickej eliminácii rizík (fyzické zabezpečenie infraštruktúrnych a technologických komponentov), ako aj elektronické zabezpečenie na softvérovej úrovni. Bezpečnostná architektúra bude obsahovať prvky tvoriace prepojený celok chrániaci systém do hĺbky a vo viacerých vrstvách v celom jeho životnom cykle. Bezpečnostný projekt musí spĺňať požiadavky podľa ISO 27002:2005, ale taktiež podľa zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „Zákon o ochrane osobných údajov“). Bezpečnostný projekt sa zameria na otázky fyzickej (objektovej), dátovej, personálnej bezpečnosti, pričom pre každý jeden samostatný informačný systém by mal byť vypracovaný bezpečnostný projekt a zároveň by mal sa mal spracovať bezpečnostný projekt, ktorého predmetom je komplexný informačný systém aj z pohľadu integrácie existujúcich informačných systémov. Bezpečnostný bude zahŕňať: - Bezpečnostný zámer - Analýzu bezpečnostných rizík...
Bezpečnosť. Poskytovateľ sa v súvislosti s plnením predmetu Zmluvy zaväzuje dodržiavať bezpečnostnú politiku Objednávateľa, ďalšie Objednávateľom vydané bezpečnostné smernice a štandardy, požiadavky na bezpečnosť definované Zákonom o KB, Zákonom o ITVS, Vyhláškou o štandardoch pre ITVS, Vyhláškou o BOITVS, Vyhláškou o IKPS, Vyhláškou o KBI, Vyhláškou o OBO, ostatnou legislatívou a súvisiacimi dokumentmi, ako aj bezpečnostné požiadavky uvedené v tejto Zmluve Oprávnené osoby a pracovníci Poskytovateľa, ktorí budú vykonávať pre Objednávateľa činnosti súvisiace s plnením tejto Zmluvy, musia byť poučení o povinnostiach podľa predchádzajúceho bodu a o tomto poučení musí Poskytovateľ vytvoriť záznam, ktorý bude podpísaný poučenou osobou a osobou, ktorá poučenie vykonala. Za riadne poučenie zodpovedá Poskytovateľ. Poskytovateľ sa zaväzuje zaistiť bezpečnosť a odolnosť APV voči aktuálne známym typom útokov a pred odovzdaním akejkoľvek zmeny APV vykonať testovanie na prítomnosť známych zraniteľnosti. V prípade zistenia zraniteľností sa Poskytovateľ zaväzuje tieto zraniteľnosti odstrániť, vykonať opätovné testovanie a zdokumentovaný výsledok testovania odovzdať Objednávateľovi spolu s dodávaným riešením. Poskytovateľ sa zaväzuje v rozsahu poskytovaných služieb implementovať minimálne nasledovné bezpečnostné opatrenia a zásady: všetky nastavené bezpečnostné pravidlá, politiky a koncepty APV; všetky vstupy aplikácií tvoriacich APV sú kontrolované na validitu a sú sanované; je zapnutá len nutne potrebná funkcionalita, porty a IP adresy a všetky ostatné sú vypnuté; v prípade, že je nevyhnutné vykonávať správu APV na diaľku, je to možné vykonávať výhradne prostredníctvom šifrovaných protokolov a každý vzdialený zásah musí byť odsúhlasený Objednávateľom, zdokumentovaný a záznam o zásahu je odovzdaný Objednávateľovi najneskôr v posledný deň daného mesiaca; všetky pôvodné a administrátorské účty sú zdokumentované a majú unikátne prvotné heslo zložené z náhodnej postupnosti aspoň 14 znakov; všetky administrátorské heslá a prístupové údaje a dokumentácia sú k dispozícií aj Objednávateľovi (minimálne v zalepenej obálke); systém disponuje funkcionalitou pre zmenu používateľských a administrátorských zmien a hesiel a funkcionalitou vypnutia používateľského účtu; všetky komponenty APV sú aktuálne a podporované výrobcom a postup pre aktualizácie a aplikáciu záplat je zdokumentovaný a dodržiavaný; poskytovateľ umožní Objednávateľovi vykonať skeny zraniteľností alebo penetračné testy každého dod...
Bezpečnosť. 5.1 Obchodník musí vždy uplatňovať vhodné technické a organizačné opatrenia proti nepovolenému alebo nezákonnému spracúvaniu, prístup, zverejneniu, kopírovaniu, úprave, skladovaniu, reprodukcii, zobrazeniu alebo distribúcii Osobných údajov a proti náhodnej alebo nezákonnej strate, zničeniu, pozmeneniu, zverejneniu alebo poškodeniu Osobných údajov, vrátane nie však výlučne bezpečnostných opatrení stanovených v Prílohe B.
5.2 Obchodník musí uplatňovať takéto opatrenia v záujme zabezpečenia vhodnej úrovne bezpečnosti vzhľadom na príslušné riziko, vrátane aj ak je to relevantné (ak sa to hodí):
a) pseudonymizácie a šifrovania osobných údajov;
b) schopnosti zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov a služieb spracúvania;
c) schopnosti včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu; a
d) procesu pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.
Bezpečnosť. Certifikované mazanie dát a mazanie diskov podľa súladu s európskymi normami, Ochrana zariadení na úrovni BIOS podľa ISO/IEC 19678:2015 (predtým NIST 800-147) TPM 2.0 (Trusted Platform Module) Certifikácie Manažment informácií, udalostí a monitoring IT infraštruktúry musí spĺňať štandardy ISO 27001 na zvýraznenie ovládacích prvkov na ochranu údajov zákazníkov. Administrátor systému manažmentu informácií, udalostí a monitoringu spracovávajúci tieto údaje musí spĺňať medzinárodné štandardy systému riadenia kvality ISO 9001 a štandardy v oblasti riadenia informačnej bezpečnosti ISO/IEC 27001 Podpora Zriadenie HelpDesku a Calldesku pre hlásenie incidentov dodávateľom služieb dostupný podľa SLA zmluvy.: Systém prevádzkovaný a dostupný nonstop, 24 hodín denne, 7 dní v týždni, 365 dní v roku s dostupnosťou 99%. Výluky sú definované po pracovnej dobe od 17:00 do 5:00, t.j. max. 87,5h výpadok ročne vrátane plánovaných odstávok (výluk). Call desk v režime 8x5 počas pracovných dní od 8:00 do 16:00 Podpora dohľadu na diaľku. Servisné krytie po dobu 5 rokov (60 mesiacov) v režime 8x5 počas pracovných dní od 8:00 do 16:00, CTR (Call to repair), garantovaná oprava do 8 pracovných hodín. Požadujeme plnohodnotnú opravu alebo výmenu zariadenia do 8 pracovných hodín, podstatou služieb je sprevádzkovanie pracovného miesta za rovnakých podmienok. Obstarávateľ akceptuje aj náhradné zariadenie pri zachovaní plnení povinnosti kybernetickej bezpečnosti, výmenu HW tak, aby bol funkčný a pod. Licencie Komplexné licenčné pokrytie všetkých definovaných požiadaviek na funkcionalitu riešenia po celú dobu trvania služby Riadenie Dedikovaný Projektový manažér Enviromentálna podpora Ekologická likvidácia zariadení Prenos dát Úspešný uchádzač vykoná bezpečný prenos aktívnych dát označených užívateľom zaradenia (kde je relevantné). Evidencia a aktualizácia potrebných údajov o HW Zariadení pre účely inventarizácie, majetkovej správy ako aj pre účely zabezpečenia prevádzky, údržby a servisu dodaných zariadení, ktorá bude obsahovať najmä údaje o: Sériovom čísle resp. inom identifikačnom údaji HW zariadenia aktuálnej hardwarovej a softwarovej konfigurácii HW zariadenia mieste umiestnenia HW zariadenia dátume inštalácie HW zariadenia a jeho prevzatia do používania dátume vyradenia HW zariadenia z prevádzky používateľovi HW zariadenia a kontakte na takého používateľa aktuálnom prehľade použitých licencií prehľade HW zariadení v zásobe Install - Inštalácia Zariadenia - V rámci tejto služby budú zab...
Bezpečnosť. Okrem vyššie uvedených bezpečnostných požiadaviek verejný obstarávateľ požaduje, aby úspešný uchádzač dodržiaval bezpečnostné požiadavky špecifikované v Metodike pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (dostupná na xxxxx://xxx.xxxxx.xxx.xx/xxx/XxxxxxxxXxxxxxxxxxxxXXX_x0.0.xxx ). Verejný obstarávateľ ďalej požaduje, aby úspešný uchádzač pri plnení predmetu zákazky dodržiaval bezpečnostnú politiku a bezpečnostný projekt ITMS21+ Verejného obstarávateľa (bude poskytnuté len úspešnému uchádzačovi), požiadavky na bezpečnosť definované Zákonom o kybernetickej bezpečnosti, Zákonom o ITVS a Vyhláškou o štandardoch pre ITVS a ďalšou relevantnou legislatívou Nasledujúca tabuľka obsahuje popis vlastností monitorovacích schopností ITMS21+. Monitorovacie možnosti je potrebné dodržať pri plnení predmetu zákazky.
Bezpečnosť. Požaduje sa, aby bol projekt implementácie CRM realizovaný v súlade so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a aby bol zabezpečený jeho súlad s požiadavkami zákona č. 18/2018 Z. z. o ochrane osobných údajov a nariadenia GDPR. Prístup používateľov do CRM musí byť riadený na základe funkčných a dátových oprávnení. CRM musí byť integrovaný s centrálnym systémom riadenia identít BBSK LDAP, v rámci ktorého sú evidovaní všetci zamestnanci a ich zaradenie do príslušných rolí a pracovných pozícií. Priradenie oprávnení na prístup k údajom, prípadne modulom CRM, alebo ich funkcionalitám musia byť riadené na základe príslušnosti zamestnanca do určených užívateľských skupín v rámci centrálneho LDAP BBSK. Aktivita používateľov musí byť zaznamenávaná formou auditného žurnálu tak, aby bolo možné kedykoľvek získať prehľad o tom, kto, kedy a aké aktivity v systémy vykonal.