Contract
ДОГОВІР
про конфіденційність
Україна, місто , (дата прописом)
Акціонерне товариство «КРЕДОБАНК», що надалі іменується – Сторона «1»,в особі Заступника Директора Центру інформаційної безпеки Xxxxxxx Xxxxxxx Романівни, що діє на підставі довіреності
№ 11194 від 28.01.2020 року, з однієї сторони, та
, що надалі іменується - Сторона «2», в особі
, який діє на підставі , з іншої сторони, що надалі називатимуться разом "Сторони", а окремо - "Сторона", уклали цей Договір про наступне:
Стаття 1.
ПРЕДМЕТ ДОГОВОРУ
1.1. Інформація (будь-які відомості/дані (або набір відомостей/даних), які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді та мають будь-яку форму запису (текст, зображення, числа, звук, цифровий запис, тощо)), яка на законних підставах знаходиться у володінні, користуванні або розпорядженні Сторони "1" і стає відомою Стороні "2" у зв'язку з вступом останньою в господарські відносини з Стороною "1" з метою побудови відмовостійкого рішення для захисту серверів процесингу АТ «Кредобанк» на платформі Cisco Firepower 4110 NGIPS Appliance .
(зазначити мету вступу Сторін у господарські відносини )
так само як і будь-яка інформація, яка при вступі в господарські відносини на законних підставах знаходяться у володінні, користуванні або розпорядженні Сторони "2" і стає відомою Стороні "1", вважатиметься конфіденційною інформацією (надалі - Конфіденційна інформація), порядок одержання, використання, поширення і зберігання (надалі - Режим доступу) якої визначаються цим Договором.
1.2. До Конфіденційної інформації відноситься інформація, визначена в Додатку 1 до цього Договору.
1.3. Під вступом в господарські відносини Сторони, зокрема, розуміють переговори та зустрічі між представниками Сторін, обмін документами та інформацією, доступ до інформації, переддоговірні відносини Сторін, укладення угод (договорів) між Сторонами, виконання укладених договорів, а також будь-які інші види господарських зв’язків, які виникатимуть між Сторонами, з метою, зазначеною в п.
1.1 цього Договору.
1.4. За Режимом доступу Конфіденційна інформація вважається інформацією з обмеженим доступом.
1.5. Обмін Конфіденційною інформацією проходить та\або доступ до Конфіденційної інформації надається виключно у наступному порядку:
- Сторона «1» надає Стороні «2» Конфіденційну інформацію в запаролених архівах *.ZIP;
- Сторона «1» надає Стороні «2» доступ до Конфіденційної інформації в корпоративній мережі Сторони «1» засобами персонального VPN-доступу з комп’ютеру Контактної особи Сторони «2», визначеної в п. 8.2 даного Договору та/або з комп’ютеру іншої особи залученої Стороною «2», у порядку передбаченому цим Договором, для досягнення мети вступу Сторін у господарські відносини (п. 1.1. та п. 1.3. цього Договору),
- або в іншому порядку, який буде погоджено Стороною «2» із підрозділом безпеки Сторони «1».
1.6. Інформація, яка становить банківську таємницю, надається Сторонами в межах та з дотриманням порядку визначених ст. ст. 61 та 62 Закону України «Про банки і банківську діяльність».
2.1. Будь-яка з Сторін зобов’язана:
Стаття 2.
ОБОВ’ЯЗКИ СТОРІН
2.1.1. не вчиняти дій, що роблять Конфіденційну інформацію доступною для 3-х осіб, (крім випадків, передбачених цим Договором), якими б засобами це не досягалося, та не опубліковувати (не випускати в світ) Конфіденційну інформацію;
2.1.2. вживати відповідних заходів для збереження конфіденційності (нерозкритості) Конфіденційної інформації ( в т.ч. використовувати засоби, що забезпечують захист Конфіденційної інформації) при її обробленні), при цьому забезпечивши такий стан зберігання Конфіденційної інформації, за якого повністю була б усунута можливість несанкціонованого поширення та використання Конфіденційної інформації (в т.ч. за допомогою комп’ютерних вірусів);
2.1.3. надавати Конфіденційну інформацію працівникам Сторін, третім особам (субпідрядники, субвиконавці, тощо), в тому числі контрагентам за правочинами (договорами) , лише після письмової
згоди на те іншої Сторони та за умови, що працівники Сторін, представники/працівники третіх осіб, в тому числі контрагентів за правочинами (договорами), які в силу своїх трудових чи інших обов’язків матимуть доступ до Конфіденційної інформації, підпишуть «Зобов’язання про нерозголошення конфіденційної інформації», відповідно до Додатку 2 до даного Договору;
2.1.4. не використовувати Конфіденційну інформацію з метою недобросовісної конкуренції з іншою Стороною, яка надала відповідну Конфіденційну інформацію, зокрема з метою заподіяння шкоди діловій репутації або майну такої Сторони;
2.1.5. використовувати Конфіденційну інформацію лише з метою, з якою була пов'язана передача Конфіденційної інформації;
2.1.6. виготовляти примірники матеріальних, в тому числі електронних, носіїв Конфіденційної інформації винятково при виникненні виробничої потреби, пов'язаної з метою, з якою була пов'язана передача Конфіденційної інформації;
2.1.7. вчиняти будь-які інші дії або утримуватися від вчинення будь-яких дій з метою усунення можливості несанкціонованого доступу до Конфіденційної інформації;
2.1.8. негайно повідомляти іншу Сторону про будь-які інциденти, що становлять реальну або потенційну загрозу для безпеки оброблювальної Конфіденційної інформації, зокрема, про всі спроби (в т.ч. підозри) несанкціонованого доступу до Конфіденційної інформації та про втрату (повністю або частково) Конфіденційної інформації;
2.1.9. знищити отриману від іншої Сторони Конфіденційну інформацію зі всіх носіїв та\або відключити доступ до Конфіденційної інформації у разі відсутності потреби в її використанні, але не пізніше дня припинення дії цього Договору, та повідомити про знищення\відключення іншу Сторону. Дане зобов’язання не діє в разі якщо така інформація має зберігатися згідно з законодавством України або якщо її використання є необхідним для нормального використання Стороною результату виконання Договору іншою Стороною. Конфіденційної інформації, яка не може бути знищена, або не є необхідною для подальшого нормального використання Стороною, підлягає поверненню не пізніше дня припинення дії цього Договору, про що Сторони підписують акт прийому-передачі такої Конфіденційної інформації.
2.1.10. здійснювати обмін Конфіденційною інформацією та\або давати доступ до Конфіденційної інформації контактним особам, вказаним в статті 8 цього Договору, надалі разом – Контактні особи, а окремо - Контактна особа.
2.2. Сторона «2» зобов’язана:
2.2.1. допускати на першу вимогу Сторони «1», протягом робочого часу Сторони «2», представників Сторони «1», для проведення перевірки дотримання Стороною «2» зобов’язань, що випливають з цього Договору у т. ч. у зв'язку з підозрою не дотримання Стороню «2» цих зобов’язань і всіляко сприяти представникам Сторони «1» у проведенні такої перевірки.
2.2.2. дотримуватися, зазначених у Додатку 3 до цього Договору, встановлених Стороною «1» вимог Політики інформаційної безпеки в АТ «КРЕДОБАНК».
2.2.3. у разі залучення Стороною «2» до виконання своїх зобов`язань перед Стороною «1», які виникли в наслідок вступу у господарські відносини (п. 1.1. та п. 1.3. цього Договору) будь-яких третіх осіб (субпідрядників, субвиконавців тощо) – резидентів України, якщо таке залучення здійснено за згодою Сторони «1», вираженою у письмовій формі, Конфіденційна інформація за цим Договором може надаватися виключно після надання Стороною «2» копії договору, між Стороною «2» і такими третіми особами, на підставі якого дані особи залучаються, та за умови дотримання усіх наступних вимог:
2.2.3.1. надання Стороною «2» Стороні «1» інформації про таких третіх осіб (субпідрядників, субвиконавців тощо), а саме:
- для юридичних осіб – найменування, місцезнаходження, код ЄДРПОУ, копію виписки (інформаційної довідки) з ЄДРПОУ;
- для фізичних осіб (в тому числі ФОП) – прізвище, ім`я та по батькові; адреса реєстрації та фактичного проживання; копію паспорта та ідентифікаційного коду (якщо ФОП, додатково – копію виписки (інформаційної довідки) з ЄДРПОУ);
2.2.3.2. визначення Сторонами цього Договору переліку та обсягу Конфіденційної інформації, яка буде передана або доступ до якої буде наданий третім особам (субпідрядникам, субвиконавцями тощо), залученими Стороною «2»;
2.2.3.3. укладення Стороною «1» з кожною третьою особою (субпідрядником, субвиконавцем тощо), залученою Стороною «2», договору про конфіденційність відповідно до типової форми, затвердженої Стороною «1»;
2.2.3.4. підписання фізичними особами, які є третіми особами (субпідрядниками, субвиконавцями тощо), залученими Стороною «2» або працівниками таких третіх осіб (субпідрядників, субвиконавців тощо) «Зобов’язання про нерозголошення конфіденційної інформації», відповідно до Додатку 2 до даного Договору.
2.3. Залучення Стороною «2» до виконання своїх зобов`язань перед Стороною «1», які виникли внаслідок вступу у господарські відносини (п. 1.1. та п. 1.3. цього Договору) третіх осіб (субпідрядників, субвиконавців тощо) – нерезидентів України і надання їм Конфіденційної інформації
– забороняється.
Стаття 3.
ОСОБЛИВІ УМОВИ
3.1. Будь-які відомості не будуть вважатися Конфіденційною інформацією і Сторона, яка володіє Конфіденційною інформацією іншої Сторони, не нестиме будь-яких обов'язків стосовно Конфіденційної інформації за цим Договором, якщо вони задовольняють одну з таких вимог:
3.1.1. відомості вже відомі Стороні, яка їх отримує, і така Сторона має належні докази, що підтверджують законність отримання відомостей;
3.1.2. відомості отримані Стороною на законних підставах від третьої особи без обмеження або без порушення цього Договору, що підтверджується належними доказами.
3.1.3. відомості, що на момент передавання були або згодом стали доступними третім особам або стали загальновідомими (але не в результаті порушення зобов’язання Сторін згідно з цим Договором).
Стаття 4.
ОПРИЛЮДНЕННЯ ІНФОРМАЦІЇ ПРО ДОГОВІР
4.1. Кожна Сторона за цим Договором зобов’язується не оприлюднювати в будь-який спосіб, будь- якими засобами та будь-яким особам факт існування цього Договору без попередньої письмової згоди іншої Сторони.
Стаття5.
ВІДПОВІДАЛЬНІСТЬ СТОРІН
5.1. У разі невиконання або неналежного виконання Стороною своїх обов'язків за цим Договором вона зобов'язана відшкодувати іншій Стороні завдані цим збитки.
5.2. Відшкодування збитків, завданих невиконанням або неналежним виконанням, не звільняє Сторону від виконання своїх обов’язків за цим Договором.
5.3. У разі залучення Стороною «2» третіх осіб (субпідрядників, субвиконавців тощо) – резидентів України до виконання своїх зобов`язань перед Стороною «1», які виникли внаслідок вступу у господарські відносини (п. 1.1. та п. 1.3. цього Договору), Сторона «2» несе повну відповідальність за дії третіх осіб, у випадку не виконання ними вимог договору про конфіденційність укладеного між Стороною «2» і такими третіми особами, відповідно до типової форми, затвердженої Стороною «1».
Стаття 6.
НЕПЕРЕБОРНА СИЛА
6.1. Жодна з Сторін не нестиме відповідальності за цим Договором у разі невиконання або неналежного виконання своїх обов'язків за цим Договором внаслідок настання обставини непереборної сили, як-то: пожежа, повінь, землетрус або інші стихійні лиха, війна, військові дії будь-якого виду, а також будь- які обставини, що знаходяться поза контролем Сторони, зокрема, прийняття закону або іншого нормативного акту, що забороняє будь-яку дію, передбачену цим Договором; вчинення неправомірних дій третіми особами щодо будь-якої з Сторін, яким не можна було запобігти виконуючи умови Договору та внаслідок яких настає розголошення Конфіденційної інформації.
6.2. Сторона, яка знаходиться під дією обставини непереборної сили, повинна повідомити про це іншу Сторону протягом 3 (трьох) днів з моменту настання обставини непереборної сили.
6.3. Після припинення обставини непереборної сили Сторона, яка знаходилася під дією обставини непереборної сили, повинна повідомити про це іншу Сторону протягом 3 (трьох) днів з моменту припинення обставини непереборної сили.
6.4. Протягом строку дії обставини непереборної сили Сторона, яка знаходиться під дією обставини непереборної сили, зобов'язана вживати всіх необхідних заходів з метою усунення поширення Конфіденційної інформації серед третіх осіб та обмеження доступу третіх осіб до Конфіденційної інформації.
6.5. Настання обставини непереборної сили у момент невиконання або неналежного виконання Стороною своїх обов'язків за цим Договором позбавляє таку Сторону права посилатися на обставину непереборної сили як на підставу звільнення від відповідальності.
6.6. Настання, дія і припинення обставини непереборної сили повинні підтверджуватися документом, виданим відповідним уповноваженим органом чи відповідною уповноваженою організацією.
6.7. У разі порушення вимог пунктів 6.2., 6.3. цього Договору Стороною, яка знаходилася під дією обставини непереборної сили, вона втрачає право посилатися на обставину непереборної сили як на підставу звільнення від відповідальності.
Стаття 7.
СТРОК ДОГОВОРУ
7.1. Цей Договір визначає єдині вимоги щодо захисту Конфіденційної інформації і поширює свою дію на всі договори, укладені Сторонами одне з одним, протягом строку дії цього Договору.
7.2. Цей Договір вважається укладеним з моменту його підписання та діє до моменту досягнення, визначеної п. 1.1. цього Договору, мети вступу Сторін у господарські відносини, а також протягом 5 (п’яти) наступних років після цього, незалежно від повернення, знищення Сторонами Конфіденційної інформації або будь-яких її копій.
7.3. Припинення дії Договору не звільняє Сторони від обов’язку дотримання законодавчих вимог щодо збереження Конфіденційної інформації, яка становить банківську таємницю.
Стаття 8.
КОНТАКТНІ ОСОБИ ТА ПОВІДОМЛЕННЯ
8.1. Контактними особами за цим Договором від Сторони «1» є виключно:
8.1.1. з питань змісту Конфіденційної інформації – , електронна пошта , мобільний телефон .
8.1.2. з питань надання логінів та паролів доступу до Конфіденційної інформації -
, електронна пошта , мобільний телефон
.
8.2. Контактними особами за цим Договором від Сторони «2» є виключно:
8.2.1. з питань змісту Конфіденційної інформації – , електронна пошта
, мобільний телефон ;
8.2.2. з питань отримання логінів та паролів доступу до Конфіденційної інформації –
, електронна пошта , мобільний телефон
.
8.3. Будь-які повідомлення (крім вказаних в п.8.5. цього Договору) за цим Договором повинні надсилатися однією Стороною іншій кур'єром (повинен мати посвідчення), рекомендованим листом або іншим реєстрованим поштовим відправленням за адресою, вказаною в статті 10 цього Договору, на ім’я Контактних осіб.
8.4. Повідомлення вважається отриманим Стороною:
8.4.1. в день його доставки кур'єром, що підтверджується квитанцією про вручення одержувачу, підписаною Контактною особою Сторони-одержувача; та/або
8.4.2. в день доставки рекомендованого листа або іншого реєстрованого поштового відправлення, що підтверджується квитанцією про вручення одержувачу або іншим повідомленням про вручення одержувачу, підписаним Контактною особою Сторони-одержувача.
8.5 Логіни та паролі для доступу до Конфіденційної інформації (в т.ч. віддаленого доступу до ресурсів корпоративних мереж Сторін, на архів, на вхід в програмне забезпечення та ін.) надаються виключно у наступному порядку:
- Контактна особа Сторони «2», вказана в п.8.2. цього Договору, засобами електронної пошти направляє запит на надання логіну та паролю особисто собі та/або іншій особі залученій Стороною «2» у порядку передбаченому цим Договором, для досягнення мети вступу Сторін у господарські відносини (п. 1.1. та п. 1.3. цього Договору), вказуючи мету їх використання, на Контактну особу Сторони «1», вказану в п.8.1.2. цього Договору;
- Контактна особа Сторони «1» ідентифікує відправника по його адресі електронної пошти та ініціює створення запиту відповідним службам для створення логіну та паролю, для надсилання логіну засобами електронної пошти на адресу безпосередніх виконавців Сторони «2», зазначених в запиті надісланому Контактною собою Сторони «2» з, а пароль надсилається засобами SMS на мобільний телефон виконавців Сторони «2» після підтвердження отримання логіна;
- У разі неотримання на протязі 1 (однієї) години підтвердження отримання логіна та\або пароля Контактна особа Сторони «1» блокує\видаляє логін та інформує про це Контактну особу Сторони «2».
Стаття 9.
РІЗНЕ
9.1. Жодна з Сторін не вправі відмовитися в односторонньому порядку від виконання цього Договору або в односторонньому порядку змінити умови цього Договору.
9.2. Всі зміни і доповнення до цього Договору мають юридичну силу і є невід'ємною частиною цього Договору, якщо вони вчинені в письмовій формі і підписані належним чином уповноваженими на те представниками Сторін.
9.3. З моменту укладення цього Договору Сторонами всі попередні переговори між ними по цьому Договору, листування, попередні угоди, а також протоколи про наміри з питань, що будь-яким чином стосуються цього Договору, втрачають юридичну силу в частині, що стосується цього Договору, і вважатимуться Конфіденційною інформацією з усіма наслідками, передбаченими цим Договором.
9.4. У випадках, не передбачених цим Договором, Сторони керуються чинним законодавством України. Розкриття будь-якою Стороною Конфіденційної інформації органам державної влади та/або управління України на їх законні вимоги не є порушенням цього Договору. Розкриття Стороною уповноваженим державним органам чи органам управління, їх уповноваженим посадовим особам, Конфіденційної інформації, що стосується виключно іншої Сторони чи її діяльності, або з метою реалізації свого права на захист не буде порушенням цього Договору.
9.5. Недійсність частини цього Договору не тягне за собою недійсності інших його частин, оскільки можна припустити, що цей Договір було б укладено і без включення недійсної його частини.
9.6. У разі правонаступництва прав та обов'язків будь-якої з Сторін за цим Договором зазначені права та обов'язки будуть розповсюджуватися на правонаступників Сторін.
9.7. У разі зміни юридичної адреси, а також банківських реквізитів, Сторона, у якої мали місце такі зміни, зобов'язана повідомити про це іншу Сторону протягом 3 (трьох) днів з моменту настання таких змін.
9.8. У разі зміни Контактних осіб, вказаних в статті 8 цього Договору (в т.ч. при звільненні), Сторона, у якої мали місце такі зміни, зобов'язана негайно (не пізніше наступного робочого дня з моменту настання таких змін) повідомити про це іншу Сторону. Повідомлення відправляється засобами електронної пошти тією Контактною особою, що залишилася, на адреси всіх інших Контактних осіб обох Сторін. Відразу після отримання такого повідомленні доступ змінених (в т.ч. звільнених) Контактних осіб повинен бути відключеним. Нові Контактні особи призначаються згідно з правилами п.9.2 цього Договору
9.9. Договір укладено у двох примірниках українською мовою, по одному примірнику - для кожної Сторони. Обидва примірники мають однакову юридичну силу.
9.10. Кожна із Сторін може збирати, використовувати, передавати, зберігати або в інший спосіб обробляти (далі разом – «Обробляти») інформацію, що передається за цим Договором від іншої Сторони і яка може бути пов’язана з конкретною фізичною особою («Персональні дані»). Кожна Сторона буде Обробляти Персональні дані у відповідності до законодавства, яким тлумачиться регулюється цей Договір. Кожна Сторона вимагатиме, щоб треті особи, які отримали доступ до Конфіденційної інформації в порядку передбаченому цим Договором, Обробляли Персональні дані з дотриманням таких вимог.
9.11. Кожна із Сторін цим заявляє і гарантує, що вона має законне право і повноваження на розголошення Конфіденційної інформації іншій Стороні.
9.12. Цей Договір тлумачиться та регулюється згідно з матеріальним правом України.
9.13. Усі спірні питання, які можуть виникнути у зв’язку з виконанням цього Договору та/або розбіжності у тлумаченні його положень Сторони попередньо розглядають і вирішують шляхом переговорів з метою прийняття рішення, що задовольнить обидві Сторони, а в разі неможливості їх вирішити шляхом переговорів – в судовому порядку відповідно до законодавства України.
Стаття 10.
ЮРИДИЧНІ АДРЕСИ ТА БАНКІВСЬКІ РЕКВІЗИТИ СТОРІН
Сторона "1": | Сторона "2": |
АТ “КРЕДОБАНК” 79026, м. Львів, вул. Xxxxxxxx, 78 п/р: 3619000000001 в АТ «КРЕДОБАНК» МФО 325365 Код ЄДРПОУ 09807862 Свідоцтво платника ПДВ № 100270710 ІПН 098078613028 |
Стаття 11.
ПІДПИСИ СТОРІН
Від Сторони «1»: | Від Сторони «2»: |
/ / | / / |
Додаток 1 до Договору про конфіденційність від « » 2019 р.
ПЕРЕЛІК КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ
К онфіденційною інформацією в розумінні Договору про конфіденційність є:
І. Відомості, які становлять Конфіденційну інформацію Сторін:
1. Відомості, які складають Конфіденційну інформацію клієнтів та партнерів Сторін;
2. Відомості про клієнтів та партнерів Сторін, що не підпадають під поняття банківської чи комерційної таємниці, в тому числі:
• систематизовані відомості про клієнтів Сторін за договорами;
• відомості про відносини Сторін з іноземними партнерами.
3. Відомості про систему матеріально-технічного забезпечення Сторін:
• відомості про майновий стан Сторін;
• відомості про транспортні і енергетичні потреби Сторін;
• відомості про маршрути та цілі поїздок транспорту;
• відомості про розташування складських та підсобних приміщень, режим надходження цінностей, обладнання та інше, а також про систему їх охорони.
• відомості про порядок і стан організації захисту банківської чи комерційної таємниці та Конфіденційної інформації Сторін;
4. Відомості про персональні дані працівників та партнерів Сторін, а також дані про фізичну особу, які ідентифікують або за якими може бути конкретно ідентифікована фізична особа:
• відомості, які містяться в особових справах працівників Сторін;
• відомості, які містяться в особових справах клієнтів Сторін;
• відомості, які містяться у базах та/або в картотеках персональних даних Сторін;
• відомості про зміни в кадровій політиці Сторін;
• персональні дані, які не належать до банківської таємниці;
• відомості про зарплату працівників Сторін.
ІI. Поняття про Комерційну таємницю Сторін:
1. Комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з тим видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
2. Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру.
ІІI. Поняття про Персональні дані:
1. Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, що стали відомі іншій Стороні під час господарських відносин з іншою Стороною.
2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є Конфіденційною інформацією.
Додаток 2 До Договору про конфіденційність від « » 2019 р.
ЗОБОВ'ЯЗАННЯ ПРО НЕРОЗГОЛОШЕННЯ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ
Я,
ознайомився (лась) з Переліком відомостей, що становлять конфіденційну інформацію згідно додатку 1 Договору про конфіденційність № від , укладеного між
(надалі - Виконавець) та АТ «КРЕДОБАНК» (надалі - Банк). Надалі вказаний Договір про конфіденційність – Договір.
Враховуючи зазначене зобов’язуюсь:
1. Зберігати в таємниці і не розголошувати Конфіденційну інформацію та банківську таємницю Сторони «1».
2. Суворо дотримуватися порядку роботи з Конфіденційною інформацією, визначеного в Договорі.
3. Надавати відомості, що становлять Конфіденційну інформацію будь-яким особам в порядку передбаченому чинним законодавством та Договором.
4. Не використовувати Конфіденційну інформацію під час виконання роботи не пов’язаної безпосередньо з реалізацією завдань Виконавця щодо господарських відносин з Стороною «1», в тому числі не використовувати в науковій чи педагогічній діяльності.
5. Не цікавитися і не збирати Конфіденційну інформацію, до якої не маю доступу.
6. Негайно, як тільки стане мені відомо, повідомити Банк про всі спроби неуповноважених осіб отримати доступ до Конфіденційної інформації.
7. Повідомити Банк про всі випадки про будь-які інциденти, що становлять реальну або потенційну загрозу для безпеки оброблювальної інформації, зокрема втрати, розкрадання, нестачі носіїв, що містять Конфіденційну інформацію, а також посвідчень, перепусток, ключів від приміщень, сховищ, сейфів, штампів та печаток, а також інших фактів, що можуть привести до розголошення конфіденційної інформації, а також про причини і умови можливого витоку такої інформації.
8. Дотримуватися зобов'язання про нерозголошення Конфіденційної інформації і після завершення співпраці.
Я надаю згоду на проведення контролю та моніторингу усіх моїх дій в інформаційно- телекомунікаційній системі Сторони «1» (в разі наявності такого доступу), для виявлення загроз чи порушень інформаційної безпеки Сторони «1».
Я зобов’язуюсь давати пояснення про втрату або нестачу документів, що містять Конфіденційну інформацію, посвідчень, перепусток, ключів від режимних приміщень, сховищ, сейфів, особистих печаток (в разі їх отримання від «Сторони «1»), а також про причини та умови можливої втрати конфіденційної інформації негайно повідомляти Банк.
Я попереджений (на), що в разі виявлення в моїх діях ознак складу злочину (ст. 231 Кримінального кодексу України – «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю», ст. 232 Кримінального кодексу України – «Розголошення комерційної або банківської таємниці») Сторона «1» направляє відповідні матеріали у правоохоронні органи для вирішення питання про притягнення мене до кримінальної відповідальності.
« » рік
Додаток 3 До договору про конфіденційність від « » 2019 р.
ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В АТ «КРЕДОБАНК»
1. ВСТУП
З метою забезпечення максимально можливого рівня безпеки надання банківських та фінансових послуг/проведення господарських операцій Стороною «1», а також наявних у Сторони «1» внутрішніх процесів, інфраструктури, інформаційно-телекомунікаційної системи та інформації, що в ній обробляється, Стороною «1» впроваджено Систему Управління Інформаційною Безпекою (СУІБ) відповідно до вимог стандартів Національного банку України та міжнародного стандарту ISO/IEC 27001:2013. Складовою частиною Системи Управління Інформаційною Безпекою Сторони «1» є Політика інформаційної безпеки в АТ «КРЕДОБАНК», вимоги якої наведені у цьому Додатку до Договору.
Підписанням цього Додатку до Договору, Сторона «2» приймає на себе зобов’язання забезпечити збереження Конфіденційної інформації протягом строку дії Договору дотримуючись при цьому нижченаведених вимог Політики інформаційної безпеки в АТ «КРЕДОБАНК».
2. ЦІЛІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
2.1. Реалізовані Стороною «1» принципи, що випливають з Системи Управління Інформаційною Безпекою, повинні забезпечити досягнення наступних цілей інформаційної безпеки:
✓ Відповідність до вимог законодавства. Під час опрацювання інформації Стороною «2»,
зокрема організація її захисту, повинна відповідати чинному законодавству України.
✓ Доступність інформації. Інформація та засоби її опрацювання є доступні для уповноважених осіб. Сторона «2» забезпечує прийнятний рівень доступності інформації, враховуючи вимоги законодавства та операційної діяльності Сторони «1».
✓ Конфіденційність інформації. Інформація є доступною виключно для осіб і процесів, що мають відповідні права доступу до них. Ці права випливають, зокрема, з приналежності інформації (інформація Клієнтів/Контрагентів Сторони «1»), а також обов'язків і завдань, що виконуються
Строною «2» на користь Сторони «1».
✓ Цілісність інформації. Сторона «2» застосовує організаційні та технічні заходи, що забезпечують захист точності та повноти інформації, та захист коректної роботи механізмів, що опрацьовують інформацію. Зокрема, інформація захищена від несанкціонованої зміни.
✓ Спостережність. Сторона «2» Забезпечує можливості встановлення визначення користувачів і процесів, а також фіксації дій користувачів і процесів над цією інформацією з метою
запобігання та/або розслідування порушень Політики інформаційної безпеки Сторони «1».
✓ Застосування принципів захищеної обробки інформації. Обробка інформації та експлуатація засобів її обробки відбувається, відповідно до визначених Стороною «1» принципів. Принципи, які є діючими для Сторони «2», виконуються на підставі договорів, укладених з Стороною
«1».
✓ Нагляд за захистом інформації. Сторона «1» контролює, чи відповідає спосіб обробки Стороною «2» інформації вимогам щодо захисту інформації. У випадку підтвердження
невідповідності, Стороною «2» своєчасно приймаються заходи щодо їх виправлення.
✓ Адекватний захист інформації і засобів її обробки щодо рівня ризику. Підбір засобів захисту випливає з управління інформаційним ризиком Сторони «1». Такий підхід робить можливим забезпечення ефективності інформаційних процесів.
✓ Адекватна оптимізація засобів захисту відповідно до поточних потреб Сторони «1». Шляхом управління ризиком, аудиту, перегляду та вимірювання ефективності, Сторона «1» визначає чи організаційні та технічні засоби захисту Сторони «2» є оптимальними вимогам безпеки та
операційної діяльності Сторони «1».
✓ Забезпечення швидкої та ефективної реакції на порушення інформаційної безпеки. Сторона «2» оперативно реагує на будь-які ознаки порушення Політики інформаційної безпеки, що уможливлює мінімізацію ймовірних негативних наслідків події та прийняття негайних коригувальних дій.
3. ОСНОВНІ ПРИНЦИПИ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
3.1. Організація інформаційної безпеки Сторони «1» базується на таких фундаментальних принципах :
✓ Принцип мінімальності повноважень: доступ працівників Сторони «2» та користувачів інформаційних систем до інформаційних ресурсів обчислювальної мережі Сторони «1» повинен бути організований таким чином, щоб надавати тільки ті повноваження, які необхідні для виконання
службових завдань.
✓ Принцип необхідних знань: кожен працівник Сторони «2», або особа, що залучена до співпраці Сторін , володіє лише тією інформацією про інформаційні ресурси Сторони «1», засоби їх обробки та способи їх захисту, яка є необхідною для виконання поставлених завдань та обов’язків. Сторонні особи мають доступ виключно до тієї інформації, яку Банк визначив як публічну (відкриту).
✓ Принцип розподілу обов’язків: виконання завдань, що є критичними з точки зору безпеки
фінансових та інформаційних ресурсів Сторони «1», інформаційно-телекомунікаційних систем та банківських послуг організовуються Стороно «2» таким чином, щоб їх реалізація вимагала участі більше, ніж однієї особи («правило двох рук»).
✓ Принцип санкціонування дій: ті дії працівників Сторони «2», які явно не дозволені законодавством, нормативними документами НБУ, внутрішніми розпорядчими або нормативними документами, є забороненими.
✓ Принцип законності: СУІБ враховує вимоги чинного законодавства України, а також вимоги міжнародних нормативних вимог в галузі інформаційної безпеки.
✓ Принцип узгодженості та єдності: цілі і завдання Політики інформаційної безпеки відповідають стратегічним цілям та бізнес-завданням Сторін, а управління інформаційною безпекою є невід’ємною частиною управління Сторони «1».
✓ Принцип адекватності і ефективності: засоби захисту інформаційних ресурсів впроваджуються Стороною «2» відповідно до їх критичності, тобто категорії класифікації та рівня ризику інформаційного ресурсу, ґрунтуючись на засадах оцінки ризику, прийнятого Стороною «1».
✓ Принцип практичності: засоби захисту Сторони «2» інформаційних ресурсів повинні бути практичними та підтримувати баланс між працездатністю та захищеністю інформаційних систем.
✓ Принцип безперервності: інформаційна безпека є безперервним процесом протистояння загрозам та управління ризиками, характерними для сфери діяльності Сторони «1».
✓ Принцип відповідальності: керівництво Сторони «2» всіх рівнів, працівники Сторони «2», та інші особи, залучені до співпраці між Сторонами, які мають доступ до інформаційних ресурсів Сторони-«1», повинні дотримуватися вимог внутрішніх документів Сторони «1» в сфері інформаційної безпеки та нести персональну відповідальність за їх виконання.
✓ Принцип постійного вдосконалення: впроваджена Стороною «1» Система управління інформаційною безпекою містить механізми та показники для вимірювання і контролю ефективності системи управління та впроваджених Стороною «2» забезпечень для раціонального планування і
реалізації дій для вдосконалення.
✓ Принцип багаторівневого захисту: організація інформаційної безпеки Сторони «1» передбачає створення наступного ряду послідовних рівнів захисту інформаційних ресурсів та персоналу Сторони «1» від ймовірних загроз:
• організаційно-правовий рівень, який визначає правові та нормативні вимоги та зобов’язання персоналу, користувачів інформаційних ресурсів та контрагентів Сторони «1» щодо інформаційної безпеки;
• фізичний рівень захисту, який запобігає неавторизованому фізичному доступу, ушкодженню чи вторгненню до службових приміщень Сторони «1» з метою несанкціонованого доступу до інформації;
• рівень прикладного програмного забезпечення, який відповідає за взаємодію з користувачем інформаційних ресурсів;
• рівень системи управління базами даних, який відповідає за зберігання та опрацювання даних;
• рівень операційної системи, який відповідає за безпечне та надійне обслуговування прикладного програмного забезпечення та систем управління базами даних;
• рівень мережі, який відповідає за взаємодію вузлів інформаційної системи Сторони «1».
✓ Принцип комплексності i системності: інформаційна безпека Сторони «1» будується комплексно, враховуючи всі аспекти захисту інформації, зокрема:
• стратегію та цілі безпеки,
• управління інформаційними ресурсами та носіями інформації,
• безпеку людських ресурсів,
• управління фізичною безпекою та безпекою навколишнього середовища,
• безпеку відносин з Стороною «2»,
• безпеку процесів внутрішніх та зовнішніх комунікацій,
• управління відповідністю до правових, нормативних та договірних вимог,
• управління інцидентами інформаційної безпеки,
• управління безперервністю бізнесу,
• безпеку у процесах проектування, пошуку, розвитку, впровадження та підтримки ІТ систем,
• безпеку у процесах експлуатації ІТ систем.
3.2. Прийнята Стороною «1» системність підходу до управління інформаційною безпекою, означає, зокрема, забезпечення узгодженості процесів та дій здійснених в сфері безпеки:
• з умовами середовища, у якому функціонує Сторона «1»,
• зі стратегією та бізнес-цілями Сторони «1»,
• з результатами оцінки ризиків та можливостей,
• з результатами оцінки ефективності системи управління та впровадження засобів захисту,
• зі всіма аспектами управління операційною діяльністю та інформаційними технологіями Сторони «1».
3.3. Сторона «1» сприяє діяльності щодо досягнення та підтримання Стороною «2» відповідного рівня інформаційної безпеки Сторони «1» в обсязі, визначеному Стороною «1».