Mapa serwisu Pomoc techniczna Drukuj Strona główna
 

Wybierz stronę

70 lat WSK

Wymogi IT dla kontrahentów

1. Dostarczany sprzęt komputerowy:

 

  • preferowany standard serwera, komputera typu desktop, laptopa lub innego urządzenia komputerowego zgodny z obowiązującą aktualnie konfiguracją dla korporacji UTC (informacja dostępna na bieżąco do wglądu w dziale IT WSK);
  • preferowany system operacyjny zgodny z polityką korporacji UTC (informacja dostępna na bieżąco do wglądu w dziale IT WSK);
  • Dostawca dostarczy potwierdzenie legalności (certyfikat licencyjny, faktura) na każdy z typów zainstalowanego, dostarczanego oprogramowania;
  • Dostawca sprecyzuje warunki gwarancji i serwisowania dostarczanego sprzętu komputerowego;
  • WSK nie udziela prawa Dostawcy do wywożenia dysków twardych i innych nośników informacji wykorzystywanych w celach testowych i/lub produkcyjnych (w dostarczonym systemie) poza teren przedsiębiorstwa.

 

2. W przypadku wyposażenia komputera/urządzenia w modem lub kartę sieciową Dostawca:

  • określi precyzyjnie cel wykorzystywania modemu oraz przedstawi jego preferowaną konfigurację;
  • określi precyzyjnie cel wykorzystywania karty sieciowej oraz przedstawi jej preferowaną konfigurację.


3. Zakres uprawnień na dostarczanym sprzęcie komputerowym:

 

  • prawa pracowników Dostawcy do konfiguracji sprzętu komputerowego są ograniczone do najmniejszych możliwych uprawnień umożliwiających naprawę usterki, ustawienie konfiguracji podczas wdrożenia itp. jeśli tego typu elementy są częścią zamówienia, kontraktu i zostały tam sprecyzowane;
  • podczas odbioru końcowego urządzenia/projektu itp. Dostawca zobowiązuje się przekazać wszystkie prawa, hasła dostępu itp. do systemów, aplikacji dostarczanych w ramach realizacji usługi, zamówienia itp.;
  • uprawnienia należy przekazać w formie pisemnej w zalakowanej kopercie przedstawicielowi IT WSK za pokwitowaniem odbioru;
  • prawa dostępu podlegają weryfikacji przez pracowników WSK (IT, W74);
  • Dostawca nie ma możliwości uzyskać praw użytkownika uprzywilejowanego (administrator, root, itp.) na dostarczanym sprzęcie komputerowym w trakcie jego użytkowania w procesie produkcyjnym.


4. Łączenie zdalne do systemów komputerowych WSK jest możliwe wyłącznie przy spełnieniu następujących warunków:

 

  • Dostawca złoży pisemne poświadczenie o akceptacji warunków Umowy o Zachowaniu Poufności, która jest wymagana przed rozpoczęciem współpracy;
  • Dostawca oświadcza, zapewnia, zobowiązuje się i wyraża zgodę, iż możliwość dostępu do systemów komputerowych WSK zostaje udzielona na czas nie dłuższy, niż okres obowiązywanie niniejszej Umowy;
  • Dostawca zobowiązuje się do spełniania warunków kontroli eksportu dotyczących przekazywanych danych (jeśli dane tego wymagają).


5. WSK pozostawia sobie prawo do oceny możliwości spełnienia wymogów polityki bezpieczeństwa UTC przez Dostawcę.


6. WSK zastrzega sobie prawo odmowy dostępu pracowników Dostawcy do systemu informatycznego WSK, podłączenia modemu i/lub karty sieciowej do sieci zewnętrznej, łącza zewnętrznego, linii telefonicznej itp. bez spełnienia powyższych warunków.


7. Wszelkie produkty wytworzone na rzecz WSK w ramach Umowy są własnością WSK. WSK posiada prawa do użytkowania, tworzenia kopii oraz modyfikowania kopii dostarczanych Towarów i/lub Usług.

8. Dostawca gwarantuje, że posiada odpowiednie prawa do narzędzi oraz oprogramowania, przy użyciu, którego zostały wytworzone Towary i/lub Usługi na rzecz WSK będące przedmiotem Umowy.


9. Dostawca pokrywa wszystkie koszty związane z odszkodowaniami, w przypadku, gdy sposób tworzenia Towaru i/lub Usługi naruszy prawo własności innych podmiotów.


10. Jeśli elementem umowy jest tworzenie i/lub modyfikowanie serwisu WWW wówczas:

 

  • zawartość umieszczona na stronie WWW jest chroniona przez prawo autorskie; prawa te należą do WSK. Implementowanie i wykorzystywanie narzędzi służących do wyszukiwania treści musi być zgodne z polityką UTC. Jeśli narzędzia służące do wyszukiwania treści tworzą kopie danych źródłowych, wówczas kopie te podlegają takiej samej ochronie jak dane źródłowe;
  • Dostawca zapewni regularne aktualizacje strony WWW zawierającej dane WSK poprzez interfejs elektroniczny. Za określenie zakresu danych i częstotliwość aktualizacji jest odpowiedzialne WSK.


11. Wszystkie aplikacje muszą wykorzystywać standardowe narzędzia autoryzacji i kontroli dostępu (aktualne narzędzie: SiteMinder, Netegrity, Inc) lub aplikacje te muszą mieć zaimplementowaną funkcjonalność zapewniającą bezpieczeństwo i zgodność z polityką bezpieczeństwa UTC w tym między innymi:

  • hasła użytkowników systemu komputerowego muszą być trudne do zgadnięcia; zabronione są wszelkiego rodzaju słowa słownikowe, wyrazy podobne do posiadanego identyfikatora, uporządkowane ciągi znaków z klawiatury np. 123456, asdfgh, dane personalne osoby (np. data urodzin), powszechnie znane akronimy, nazwy własne miejsc itp.;
  • hasła muszą być minimum 6-cio znakowe oraz muszą być zmieniane przynajmniej raz na 60 dni;
  • dla identyfikatorów związanych z automatyzacją pracy obowiązują następujące restrykcje dotyczące haseł:
    a) hasła muszą być dłuższe niż 14 znaków;
    b) hasła muszą być skomplikowane (co najmniej wykorzystanie 2 reguł takich jak: znaki specjalne, małe i duże litery oraz znaki alfanumeryczne);
  • minimalny okres życia hasła to 1 dzień; hasła powinny być użyte powtórnie dopiero po 6-ciu miesiącach;
  • hasła nie mogą być wyświetlane ani przechowywane w jakimkolwiek otwartym pliku (bez szyfrowania);
  • identyfikatory użytkowników, którzy nie używali danego konta przez 3 miesiące muszą zostać zablokowane; po 6 miesiącach nieaktywności konta użytkowników są usuwane;
  • gdzie jest to możliwe, musi występować zaaprobowana przez UTC informacja przed uzyskaniem dostępu do systemów tzw. baner.


12. Odpowiedzialnością Dostawcy jest zapewnienie zgodności Towaru i/lub Usługi z obowiązującą polityką bezpieczeństwa UTC.


13. Dostawca musi dostarczyć kopię aktualnej polityki bezpieczeństwa dotyczącej przechowywania i przetwarzania danych oraz politykę dotyczącą fizycznego dostępu do urządzeń, na których są przechowywane i/lub przetwarzane dane WSK. Dostawca powinien raz na rok dostarczać WSK aktualną politykę bezpieczeństwa i wskazać plan wraz z datami planowanych aktualizacji.


14. WSK lub strona trzecia wskazana przez WSK ma prawo przeprowadzić audit bezpieczeństwa bez wcześniejszego powiadamiania w obiekcie Dostawcy. Jeśli dane WSK są przechowywane w środowisku współdzielonym, WSK może powołać się na stronę trzecią, aby przeprowadziła taki audit. Audit może uwzględniać wszystkie obiekty, urządzenia, na których przechowywane są dane WSK, włączając backup tych danych, a także może weryfikować, czy wszystkie niezbędne kontrole zostały wprowadzone zgodnie z polityką bezpieczeństwa UTC.

 

15. Zaleca się, aby Dostawca segregował dane WSK i przechowywał w oddzielnych bazach danych, do których dostęp ma jedynie WSK, uprawnione strony oraz pracownicy Dostawcy niezbędni do utrzymania danego środowiska.


16. Dostawca dołoży wszelkich starań, aby zapobiec przed nieautoryzowanym dostępem do danych WSK.


17. Dane WSK muszą być przez cały okres realizacji Umowy archiwizowane. Minimalne wymogi to backup przyrostowy, co 24 godziny oraz pełny backup, co 7 dni. Okres przechowywania kopii w archiwum to 30 dni.


18. Niepowodzenie przebiegu auditu bezpieczeństwa lub ochrony informacji będzie podstawą do rozwiązania Umowy z Dostawcą. WSK może wskazać na „słabe punkty” Dostawcy, natomiast Dostawca powinien w ciągu 30 dni dostarczyć WSK plan usunięcia tych nieprawidłowości i jeśli WSK sobie tego zażyczy Dostawca powinien zastosować rozwiązania tymczasowe do momentu usunięcia wszelkich nieprawidłowości. Jeśli ryzyka zidentyfikowane przez WSK nie zostaną usunięte w ciągu zadanego czasu lub, jeśli Dostawca odmówi usunięcia nieprawidłowości WSK może rozwiązać Umowę ze skutkiem natychmiastowym.


19. Zgodnie z polityką IT UTC IT011, informacja stanowiąca własność firmy i transferowana poprzez sieci publiczne takie, jak Internet musi być szyfrowana. Zastosowane technologie szyfrowania muszą zostać zatwierdzone przez WSK i być zgodne z obowiązującymi przepisami prawnymi.


20. Dostawca zapewni odpowiedni poziom weryfikacji dla pracowników niepodlegających WSK i mających dostęp do środowiska lub danych WSK i na podstawie wyników kontroli zatwierdzi tych pracowników do współpracy z WSK. Dostawca musi ujawnić WSK procedury stosowane dla w/w pracowników mających dostęp do danych WSK.


21. Przed lub w momencie podpisania Umowy Dostawca musi przedstawić do WSK plan, który uwzględnia sposób przekazania do WSK przy zakończeniu okresu Umowy wszelkich danych, włączając backup i dane archiwalne, a także sposób trwałego usunięcia danych z systemu Dostawcy. Plan ten musi uwzględniać dostarczenie danych do WSK w bazie danych zgodnej ze standardami WSK, w przeciwnym wypadku Dostawca musi dostarczyć licencję na odpowiednie oprogramowanie umożliwiające korzystanie z danych przekazanych do WSK.


22. Przed lub w momencie podpisania Umowy Dostawca musi zadeklarować, w jaki sposób spełni wymagania WSK odnośnie autoryzacji dostępu do towarów i/lub usług, które realizuje.


23. Dostawca musi powiadomić WSK o jakichkolwiek próbach dotyczących pozyskania informacji WSK przez strony trzecie. Dostawca musi niezwłocznie poinformować WSK o każdej prośbie o podanie danych WSK stronom trzecim.


24. Dostawca musi zapewnić aktualizację swoich procedur w ciągu określonego okresu czasu, do zgodności z polityką UTC odnośnie ochrony informacji. Polityka ta jest na bieżąco aktualizowana.


25. Dostawca powinien być zdolny na żądanie WSK do zapewnienia zgodności z poniższymi wymaganiami polityki bezpieczeństwa. Jednocześnie WSK pozostawia sobie prawo oceny możliwości Dostawcy do świadczenia usług i dostarczania towarów zgodnie z wymogami polityki bezpieczeństwa i ochrony danych obowiązujących w WSK (UTC) na każdym etapie realizacji Zamówienia/Umowy/Usługi itp.:

 

  • Dostawca oświadcza, że polityki i praktyki UTC dotyczące bezpieczeństwa będą podstawą przy realizacji Zamówienia/Umowy/Usługi itp.;
  • Dostawca zobowiązuje się do postępowania zgodnie z warunkami kontroli eksportu;
  • Dostawca zobowiązuje się do sprawdzania przeszłości osób włączonych w komunikację z WSK;
  • Dostawca zapewnia, że posiada właściwe procedury sprawdzania i monitorowania funkcji informatycznych;
  • Dostawca zapewnia, że jest zdolny do wykrywania włamań i usiłowań włamań do systemów komputerowych;
  • Dostawca potwierdza wykorzystywanie autoryzacji użytkowników w przypadku uzyskania dostępu zdalnego do urządzeń WSK;
  • Dostawca zapewnia procedury integralności oprogramowania;
  • Dostawca potwierdza, że posiada zabezpieczenia przeciwko złośliwym procedurom (np. wirusy, detekcja włamań);
  • Dostawca potwierdza, że uczestniczy w usługach uzyskiwania alertów bezpieczeństwa;
  • Dostawca potwierdza, że w przypadku połączenia zdalnego korzysta z bezpiecznych kanałów komunikacji;
  • Dostawca zapewnia zabezpieczenia od istotnych znanych form ataków informatycznych;
  • Dostawca zapewnia fizyczną i logiczną segregację dostępu do informacji WSK/UTC;
  • Dostawca zapewnia właściwe bezpieczeństwo fizyczne;
  • Dostawca zapewnia działania korekcyjne na wszelkie usterki i funkcjonowania procedur w przypadku powstania usterek.


26. Każdy zewnętrzny użytkownik musi postępować zgodnie ze wszystkimi politykami i standardami WSK/UTC. Dostawca jest zobowiązany realizować program podnoszenia świadomości odnośnie bezpieczeństwa oraz dokumentować w formie pisemnej oświadczenie o podnoszeniu odpowiedzialności za zdalny dostęp.

© WSK "PZL-RZESZÓW" S. A. 2003 | Wszelkie prawa zastrzeżone.
CMS   powered by Edito