Common use of Netzwerksicherheit Clause in Contracts

Netzwerksicherheit. (i) Der Lieferant verwaltet die Übertragung der Bestellerdaten in einer Netz- werkumgebung unter der direkten Kontrolle des Lieferanten (oder eines Un- terauftragnehmers). Das Netzwerk muss verwaltet und vor externen Bedro- hungen geschützt werden, einschließlich, aber nicht beschränkt auf Zu- gangskontrollen auf der physischen, Netzwerk- und Anwendungsebene, um nur denjenigen Zugang zu den Bestellerdaten zu gewähren, die vom Lieferan- ten rechtmäßig autorisiert wurden. Das Netz ist abzutrennen, um den Zu- gang von öffentlichen oder nicht vertrauenswürdigen Netzen zu verweigern, einschließlich der Netze von Dritten, mit denen der Lieferant keinen Vertrag mit Klauseln, die den Klauseln in diesen Geschäftsbedingungen entspre- chen, und keine separate Datenverarbeitungsvereinbarung (DPA) geschlos- sen hat. (ii) Der Lieferant stellt sicher, dass die Systeme regelmäßig und recht- zeitig mit der neuesten und relevanten Sicherheitssoftware sowie mit vorab getesteten und genehmigten Sicherheitssoftware-Patches und Korrekturen von anderen vom Lieferanten bereitgestellten Systemen aktualisiert wer- den. Der Lieferant führt monatlich Schwachstellenbewertungen durch, um den Status der Konfiguration und der Softwarepatches der Systeme zu beurteilen. (iii) Der Lieferant stellt sicher, dass alle Netzwerkverbindungen des Bestellers zum Netzwerk des Lieferanten, die als "VERTRAULICH" eingestufte Kun- dendaten über ein nicht vertrauenswürdiges Netzwerk, wie z.B. das Internet, transportieren, über eine verschlüsselte Netzwerkverbindung in Überein- stimmung mit den Sicherheitsrichtlinien des Bestellers oder veröffentlichten Standards wie ISO oder NIST erfolgen. (iv) Der Lieferant stellt sicher, dass prüfbare Ereignisse erzeugt werden, ein- schließlich, aber nicht beschränkt auf sicherheitsspezifische Ereignisse, alle erfolgreichen und fehlgeschlagenen Zugriffsversuche auf das Netz, und führt ein Protokoll über alle Änderungen an den Sicherheitskonfigurationen des Netzes. (v) Der Lieferant muss Verfahren und ein Sicherheitsinformations- und Ereignisverwaltungssystem (Security Information and Event Management, SIEM) einrichten, umsetzen und verwalten, um die Sicherheit des Netzes bei Verdacht auf Eindringen oder unbefugten Zugriff zu überwachen. (vi) Der Lieferant muss sicherstellen, dass das Verfahren und die Kontrollen, die zur Durchführung der Sicherheitsüberwachung eingesetzt werden, so implementiert werden, dass die Integrität, Vertraulichkeit und Verfügbarkeit der gesammelten sicherheitsüberwachungsbezogenen Ereignisse gewahrt bleibt. (vii) Der Lieferant muss die Trennung von Entwicklungs- und Testumgebun- gen von den Produktionsumgebungen aufrechterhalten. Alle Live- Bestellerdaten, die personenbezogene Daten enthalten, müssen anonymisiert werden (d.h. in eine Form umgewandelt werden, die keine Identifizierung von Personen ermöglicht oder die es erlaubt, Daten zur Erleichterung der Identi- fizierung wiederherzustellen), bevor sie für Tests verwendet werden, und müssen die ausdrückliche schriftliche Genehmigung des Bestellers haben. (viii) Wenn das System oder Netz eines Lieferanten mit dem Netz des Kun- den verbunden ist, muss das System oder Netz des Lieferanten den Sicher- heitsrichtlinien des Bestellers entsprechen.

Netzwerksicherheit. (i) Der Lieferant verwaltet die Übertragung der Bestellerdaten Kundendaten in einer Netz- werkumgebung unter der direkten Kontrolle des Lieferanten (oder eines Un- terauftragnehmers). Das Netzwerk muss verwaltet und vor externen Bedro- hungen geschützt werden, einschließlich, aber nicht beschränkt auf Zu- gangskontrollen auf der physischen, Netzwerk- und Anwendungsebene, um nur denjenigen Zugang zu den Bestellerdaten Kundendaten zu gewähren, die vom Lieferan- ten rechtmäßig autorisiert wurden. Das Netz ist abzutrennen, um den Zu- gang von öffentlichen oder nicht vertrauenswürdigen Netzen zu verweigern, einschließlich der Netze von Dritten, mit denen der Lieferant keinen Vertrag mit Klauseln, die den Klauseln in diesen Geschäftsbedingungen entspre- chen, und keine separate Datenverarbeitungsvereinbarung (DPA) geschlos- sen hat. (ii) Der Lieferant Auftragnehmer stellt sicher, dass die Systeme regelmäßig und recht- zeitig mit der neuesten und relevanten Sicherheitssoftware sowie mit vorab getesteten und genehmigten Sicherheitssoftware-Patches und Korrekturen von anderen vom Lieferanten Auftragnehmer bereitgestellten Systemen aktualisiert wer- den. Der Lieferant Auftragnehmer führt monatlich Schwachstellenbewertungen durch, um den Status der Konfiguration und der Softwarepatches der Systeme zu beurteilen. (iii) Der Lieferant stellt sicher, dass alle Netzwerkverbindungen des Bestellers Kunden zum Netzwerk des Lieferanten, die als "VERTRAULICH" eingestufte Kun- dendaten über ein nicht vertrauenswürdiges Netzwerk, wie z.B. das Internet, transportieren, über eine verschlüsselte Netzwerkverbindung in Überein- stimmung mit den Sicherheitsrichtlinien des Bestellers Kunden oder veröffentlichten Standards wie ISO oder NIST erfolgen. (iv) Der Lieferant stellt sicher, dass prüfbare Ereignisse erzeugt werden, ein- schließlich, aber nicht beschränkt auf sicherheitsspezifische Ereignisse, alle erfolgreichen und fehlgeschlagenen Zugriffsversuche auf das Netz, und führt ein Protokoll über alle Änderungen an den Sicherheitskonfigurationen des Netzes. (v) Der Lieferant Auftragnehmer muss Verfahren und ein Sicherheitsinformations- und Ereignisverwaltungssystem (Security Information and Event Management, SIEM) einrichten, umsetzen und verwalten, um die Sicherheit des Netzes bei Verdacht auf Eindringen oder unbefugten Zugriff zu überwachen. (vi) Der Lieferant muss Auftragnehmer muß sicherstellen, dass daß das Verfahren und die KontrollenKon- trollen, die zur Durchführung der Sicherheitsüberwachung eingesetzt werdenwer- den, so implementiert werden, dass daß die Integrität, Vertraulichkeit und Verfügbarkeit Verfüg- barkeit der gesammelten sicherheitsüberwachungsbezogenen Ereignisse gewahrt bleibt. (vii) Der Lieferant muss die Trennung von Entwicklungs- und Testumgebun- gen von den Produktionsumgebungen aufrechterhalten. Alle Live- BestellerdatenKundendaten, die personenbezogene Daten enthalten, müssen anonymisiert werden (d.h. in eine Form umgewandelt werden, die keine Identifizierung von Personen ermöglicht oder die es erlaubt, Daten zur Erleichterung der Identi- fizierung wiederherzustellen), bevor sie für Tests verwendet werden, und müssen die ausdrückliche schriftliche Genehmigung des Bestellers Kunden haben. (viii) Wenn das System oder Netz eines Lieferanten mit dem Netz des Kun- den verbunden ist, muss das System oder Netz des Lieferanten den Sicher- heitsrichtlinien des Bestellers Kunden entsprechen.