1. მიზანი
უსაფრთხოების პოლიტიკის მიზანია მოვაჭრის კონტროლს ქვეშ არსებული ინფორმაციის დასაცავად კონტროლის მექანიზმების შექმნა და მისი მეშვეობით კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის უზრუნველყოფა.
პოლიტიკა მიზნად ისახავს შიდა და გარე საფრთხეების მიმართ ინფორმაციული უსაფრთხოების დამცავი მექანიზმების, კრიზისული სიტუაციებისა და განზრახ დაზიანებების წინააღმდეგ ქცევის ძირითადი წესების შექმნას.
2. უსაფრთხოების პოლიტიკის სუბიექტები
2.1. უსაფრთხოების პოლიტიკის მოთხოვნები ვრცელდება:
ა) მოვაჭრის მიერ დაქირავებულ პირებზე – შემდგომში „სუბიექტები“;
ბ) ყველა პირზე, რომელსაც შესაძლოა ჰქონდეს წვდომა მოვაჭრის მიერ დაცულ ინფორმაციასთან.
2.2. სუბიექტები ვალდებულნი არიან დაიცვან პოლიტიკის მოთხოვნები და აიღონ პასუხისმგებლობა მათთვის დაწესებული სტანდარტებისა და წესების სრულყოფილად და ზედმიწევნით შესრულებაზე.
3. რისკის შეფასება და მართვა
3.1. რისკის შეფასება არის ამოსავალი წერტილი უსაფრთხოების მართვის ნებისმიერი გეგმის შემუშავებამდე. რისკის შეფასება განსაზღვრავს არსებული და პროგნოზირებადი უსაფრთხოების რისკებს, რომლებიც დაკავშირებულია პროექტთან/ ოპერაციებთან.
3.2. რისკების შეფასების გადახედვა მოხდება ყოველწლიურად ან რაიმე მნიშვნელოვანი უსაფრთხოებასთან დაკავშირებული შემთხვევისას. რისკების შეფასება ასევე გადაიხედება მასთან დაკავშირებული კანონმდებლობის ნებისმიერი ცვლილებისას. რისკების შეფასებისას გათვალისწინებული/დაცული უნდა იყოს შემდეგი საკითხები:
3.3 რეგულარულად ჩატარდეს ვებ-საიტის დაცვის სისტემების შეფასება, რათა დროულად გამოვლინდეს ნებისმიერი სისტემური ხარვეზი და აღმოიფხვრას იგი.
3.4. დარწმუნდეს, რომ საგადახდო სერვისის პროვაიდერი შეესაბამება PCI DSS-ს, რომელიც მოიცავს უსაფრთხო ქსელის შენარჩუნებას, ბარათის მფლობელის მონაცემების დაცვას, ქსელების რეგულარულ მონიტორინგს და
ტესტირებას და წვდომის კონტროლის ძლიერი ზომების განხორციელებას.
3.5. დაინერგოს უსაფრთხო პროტოკოლები, როგორიცაა HTTPS, ბარათის მფლობელის მონაცემების ინტერნეტით გადასაცემად, რათა დაიცვათ არაავტორიზებული ჩარევისგან ან წვდომისგან.
3.6. გამოყენებულ იქნას დაშიფვრის ძლიერი მექანიზმები (მაგ. SSL/TLS) სენსიტიური მონაცემების, მათ შორის საკრედიტო ბარათის ინფორმაციის დაშიფვრისთვის, როგორც ტრანსპორტირებისას, ასევე დასვენების დროს, რათა თავიდან აცილებულ იქნას არაავტორიზებული წვდომა ან მონაცემთა ქურდობა.
3.7. განხორციელდეს მკაცრი წვდომის კონტროლი, რათა შეზღუდულ იქნას წვდომა ვებსაიტის მგრძნობიარე არეაზე, გადახდის დამუშავების სისტემების ჩათვლით, მხოლოდ ავტორიზებული პერსონალისთვის. ეს მოიცავს პაროლების დაცვის ძლიერ პოლიტიკას.
3.8. დარწმუნდით, რომ ვებსაიტების ყველა პროგრამული უზრუნველყოფა, კონტენტის მართვის სისტემების და დანამატების ჩათვლით, განახლებულია უსაფრთხოების უახლესი პატჩებითა და განახლებებით რისკების შესამცირებლად.
3.9. გამოყენებულ იქნას შეჭრის აღმოჩენისა და პრევენციის სისტემები (IDS/IPS) ქსელის ტრაფიკის მონიტორინგისთვის და პოტენციური თავდასხმების ან საეჭვო აქტივობების იდენტიფიცირებისთვის. განახორციელეთ ზომები ამ საფრთხეების დაბლოკვის ან შესამცირებლად რეალურ დროში.
3.10. უზრუნველყოფილ იქნას ვებსაიტის და მასთან დაკავშირებული მონაცემთა ბაზების განთავსება უსაფრთხო და რეპუტაციის მქონე ჰოსტინგის პროვაიდერზე, რომელიც
4. პასუხისმგებლობა
4.1. უსაფრთხოების პოლიტიკაზე და უსაფრთხოების პოლიტიკით დადგენილი მოთხოვნების შესრულებაზე პასუხისმგებელია მოვაჭრე.
5. სხვა დებულებები
5.1. უსაფრთხოების პოლიტიკა არის საჯარო და ხელმისაწვდომი მოვაჭრის ნებისმიერი მომხმარებლისთვის.