服务商数据安全要求

1.1 维护并遵守书面的全面安全政策以及支持性的管理框架，并基于该政策制定标准和指南，以保护数据（包括邓白氏数据）的机密性、完整性和可用性（CIA）。

1.2 服务商应明确规定与保护数据机密性、完整性和可用性（CIA）并维护当前信息安全性或等效的组织结构图相关的职务和职责。

1.3 确保服务商员工在入职时及其后每年接受一次安全意识培训。安全意识培训课程内容应该包括但不限于与符合要求的使用、数据分类和社会工程（包括网络钓鱼）有关的信息和最佳实践。

1.4 定期评估由于组织信息系统的运行以及相关的邓白氏数据处理、存储和传输工作而给服务商组织运营（包括使命、职能、形象或声誉）、组织资产和个人造成的风险。

1.5 如果发生了实际的或者可疑的安全事件，请立即通知邓白氏。

1.6 未经邓白氏书面同意，禁止向第三方披露邓白氏数据或与邓白氏数据结构有关的信 息（例如记录和现场信息）。

1.7 服务商应建立并维护组织信息系统的有效事件处理能力，概述报告安全事件的准备、检测、分析、遏制、恢复和报告序和协议。

1.8 在信息系统的外部边界和关键内部边界监控、控制和保护组织通信（即服务商信息系统发送或接收的信息）。

1.9 服务商将实施技术措施，以防止屏幕抓取或机器人收集信息（例如验证码设备）。

1.10 如果服务商要利用分包商来支持向邓白氏提供的服务，则必须提前通知邓白氏。通知中将包括服务商对该等分包商进行的最新尽职调查评估。

1.11 作为审核工作的一部分，邓白氏服务商有权在合理通知的情况下检查和检验服务商的安全政策、程序和其他相关证据，以确定是否符合本要求的规定。服务商同意在双方同意的期限内解决所有指出的缺陷。

2.1 仅允许需要访问（“需要了解”）邓白氏数据以按双方协议的条款和条件执行行动的人士访问邓白氏数据。

2.2 访问权限仅应基于最小特权来提供。

2.3 对系统的访问必须基于有效的唯一用户身份标识，以确保可追溯性和问责制。共享账户不得用于系统维护或相关活动以外的任何目的。

2.4 至少每180天一次，审查所有拥有邓白氏数据访问权（包括管理员/特权访问权限）的人员（包括系统和数据库管理员）的名单，以确保每个人的访问权限以及该等访问权限的级别和功能一直符合对双方协议条款和条件的执行要求。

2.5 制定职责分离原则，以减少恶意活动风险。

2.6 配置在闲置时间超过15分钟后自动会话超时功能。

2.7 禁止访问失效时间不超过30天的任何服务商用户账户中邓白氏数据。

2.8 确保没有任何个人的身份或身份验证信息被用于从多个地点同时发起连接或会话，无论是物理上还是逻辑上。

2.9 在任何网络上仅传输加密的账户身份验证和授权信息，并采用技术来确保通过两个因素对远程访问进行身份验证，例如使用一次性密码生成器令牌或生物特征识别设备。

2.10 收集并保留所有涉及访问邓白氏数据的事件的访问日志，且期限不少于1年。

2.11 确保可以将个别信息系统用户的操作唯一地追溯到该等用户，以便使他们对其操作负责。

2.12 检测并警告未经授权试图实时访问邓白氏数据的相关服务商人员，并及时进行调查、记录和解决。

2.13 保留所有有关可能存在的未经授权访问企图的审查和调查的文件，并应要求立即将其提供给邓白氏。为避免疑问，服务商共享系统上的报告不能与客户共享，因为这将（i）违反服务商对其他客户的保密义务，并且（ii）对其他客户构成安全风险。

2.14 强制实施密码策略要素并同意以下有关任何载有邓白氏数据的系统的条件：

2.15 对存储和传输的密码采用行业标准的强加密方法。

2.16 限制登录失败的次数，对于在最多五次的访问尝试中未能提供正确登录凭据的个人，在至少半小时的时间内禁止其访问。

3.1 针对邓白氏数据所在的系统，建立并维护与行业标准（例如CIS、NIST、DISA STIG、COBIT或PCI）一致的系统加固程序。

3.2 用通用名称标记在服务商控制下的任何载有邓白氏数据的存储媒体，该通用名称应不会向读者暗示该媒体中包含邓白氏数据。

3.3 使用业界领先的加密方法来保护静态数据（即AES 256）和传输中的数据（即TLS 1.2）。

3.4 针对邓白氏数据所在的系统，使用业界普遍认可的工具（例如Qualys、Nessus 等）扫描该等系统以识别并纠正可能影响邓白氏数据的机密性、完整性和可用性（CIA）的安全漏洞。该等扫描应至少每月进行一次。在服务商系统上发现的性质严重的漏洞必须在发现后7天内予以纠正。发现的高风险漏洞应在发现后30天内予以纠正。发现的中风险漏洞应在发现后120天内予以纠正。

3.5 若服务商负责为邓白氏托管技术环境，服务商应维护一个最新的网络图，其中显示处理或存储邓白氏数据的所有设备、工具、数据流和媒体，并且服务商应遵守有关该环境的适用PCI规定。

3.6 邓白氏数据将仅驻留在一个子网上的服务商内部网络的一部分上，该子网由最新的防火墙保护，而该防火墙配置为拒绝所有访问（授权流量除外），以最好地提供邓白氏数据的机密性、完整性和可用性（CIA）。

3.7 在会话结束时或在规定的非活动时间段之后断开与通信会话关联的网络连接。

3.8 限制、禁用和阻止使用非必要的程序、功能、端口、协议和服务。

3.9 在必要的范围内创建、保护和保留信息系统审核记录，以实现对非法、未经授权或不适当的信息系统活动的监控、分析、调查和报告。

3.10 数据不得存储在移动计算设备上。如果有必要使用移动计算设备，则必须制定移动设备管理（MDM）政策，并为服务商提供使用远程擦除设备的能力。

3.11 通过使用管理和技术控制，禁止使用可移动媒体（即USB设备）。如果需要可移动媒体，则该等设备应由服务商提供和管理（即加密）。

3.12 运用在例外情况下拒绝（黑名单）策略以防止使用未经授权的软件，即，运用（全部拒绝，仅在例外情况下允许）策略以允许执行授权的软件或网络通信流量。

3.13 在使用数据之后或在邓白氏的合理要求下或根据协议的其他规定，按照美国国家标准 与技术研究院（NIST）或美国国防部（DoD）规定的程序，将数据返回给邓白氏或证明数据已销毁。

3.14 对于对存储邓白氏数据的系统或物理环境拥有物理或逻辑访问权限的所有个人，包括员工，进行全面的背景检查，并确保那些背景检查结果与所声明的档案和工作经历不一致的个人无权访问邓白氏数据。

3.15 业务委托或雇用关系终止时，将邓白氏拥有或发放给服务商人员的所有资产退还邓白氏。

3.16 采用能够通过对信息系统进行定期扫描以及在下载、打开或执行文件时实时扫描来自外 部源头的文件来维护文件的完整性的控制和过程。

服务商开发的软件（即源代码）应在设计、架构和实施方面满足安全性要求，包括但不限于以下内容：

4.1 在邓白氏提出要求时，提供证据证明产品的测试/评估和验证一直是服务商软件开发生命周期（SDLC）的一部分。

4.2 服务商将基于CIS、NIST、DISA STIG和/或类似标准以及供应商最佳实践提供和维护安全架构和软件开发专用的生命周期程序。服务商应向邓白氏提供由适当的高级经理或具有同等资格的人员签署的信函，以确认本条中所述的服务商程序。

4.3 服务商将提供软件中所包含的开源库或组件的列表及其版本号。

4.4 所有应用程序源代码都必须保留在经过批准并获得行业认可的源代码存储库中。该存储库应由服务商通过适当的访问控制和监控进行管理。这包括开放源码和内部自定义的任何第三方程序包。

4.5 使用信誉良好的商业产品执行静态和动态代码分析，该产品将扫描所有通用弱点枚举（CWE），表明所有软件均已扫描且没有弱点。

4.6 聘请独立第三方对任何已开发的Web或移动软件进行应用程序渗透测试（由服务商承担费用），并分析所有可能存在的漏洞。

4.7 如果服务商提供包括硬件和软件在内的整体解决方案，则服务商还将提供配置和平台漏洞扫描报告，表明不存在配置或平台问题。

4.8 对于被评定为高风险的应用程序/产品/解决方案（应由邓白氏在与服务商协商后，采用邓白氏信息安全标准，逐案或逐个项目地进行评估），在发布任何主要版本之前，邓白氏希望服务商执行端到端渗透测试并提供报告，表明应用程序/产品/解决方案中不存在安全问题。

4.9 邓白氏保留审查服务商软件或要求重新扫描服务商软件以确认软件安全质量的权利。发现的任何漏洞都将被视为软件错误，并且，如果问题出在服务商提供的代码中，则在服务商收到最终付款（若适用）之前由服务商更正。

5.1 在所有访问、处理、存储或以其他方式处理邓白氏数据的设施（包括远程办公站点）上，实施和执行旨在保护邓白氏数据的政策和程序。

5.2 存储、处理或以其他方式处理邓白氏数据的系统必须放在上锁的房间和设施中以确保安全，而该等房间和设施的访问权限应仅限于提供给那些需要物理访问以执行其工作职能的人员。

5.3 在未授权人员与存储或处理邓白氏数据的系统之间创建适当数量的物理安全层。对于大多数目的而言，适当的物理安全层数将是三层，例如，保安或旋转门、上锁的服务器室，上锁的服务器机柜。

5.4 保持以上至少一层，在其中应可以采用、跟踪和查看监控（例如，实时闭路电视监控系统（CCTV）监控录像的24x7x365监控）。

5.5 将监控录像和安全监控日志至少保留一年。

5.6 建立在访问期间管理服务商访客的程序（即在服务商场所附近由员工陪同）。

5.7 服务商应实施和监控适当的环境安全控制措施（即火灾探测和灭火系统）。未经事先通知邓白氏，不得将包含邓白氏数据的媒体或设备移出服务商场所。应对该等媒体和/或设备进行适当的保护，并应建立监管链以确保问责。

为了在服务商提供人员的扩充期间和/或在服务商提供的开发人员用于开发和/或维护邓白氏应用程序和系统的情况下确保邓白氏软件和数据的安全、责任和完整性，服务商将：

6.1 在邓白氏机构中工作的服务商人员应遵守（i）提供给服务商的所有邓白氏物理安全规定，以及（ii）适用的工作说明书中所述的邓白氏逻辑安全规定。

6.2 对服务商签约的进行系统开发、管理、维护需访问邓白氏数据的个人执行背景调查并记录其结果。

6.3 确保对组织人员进行充分的培训，以履行分配给他们的信息安全相关职责。

6.4 确保使服务商信息系统的开发人员、管理人员、系统管理员和用户了解与其工作相关的安全风险以及与组织信息系统的安全相关的适用政策、标准和程序。

6.5 确保由服务商开发并提供给邓白氏的代码不存在任何已知缺陷。这意味着由服务商开发人员开发并由服务商提供给邓白氏的代码不应直接或间接引入任何已知的漏洞，并且这些代码不应对应用程序/项目的整体安全性产生负面影响。

6.6 如果服务商为邓白氏提供应用程序或软件开发、软件增强或定制、数据库管理、系统管理或代码开发服务，则服务商的员工和分包商必须（i）遵守邓白氏规定的安全代码开发规范，并且（ii）通过适当的基于开发项目、基于供应商或基于服务的行业认证。所需的特定安全开发实践和行业认证应在适用的工作说明书中列出。

如果服务商提供软件开发服务，则服务商应遵守以下义务：

7.1 服务商应使用信誉良好的商业产品执行静态和动态代码分析，扫描应包括所有通用弱点枚举（CWE）所包含的漏洞，并证明所有软件均被扫描且没有弱点。

7.2 服务商应自担费用聘请独立第三方对已开发的Web或移动软件进行应用渗透测试，并分析所有可能的漏洞。

7.3 若服务商提供包括硬件和软件在内的完整的解决方案，服务商还应提供有关配置和平台漏洞扫描的报告，表明配置和平台没有安全问题。

7.4 依据邓白氏信息安全标准，被评定为高风险的应用程序/产品/解决方案，在任何重要版本发布之前，服务商应进行端到端渗透测试并提供报告，表明应用程序/产品/解决方案中不存在安全问题。

除双方协议涉及的任何其他赔偿规定外，服务商应就因（i）违反服务商在双方协议项下的义务，（ii）违反适用于服务商或所提供服务的法律，或（iii）服务商或其任何雇员或分包商的故意不当行为而导致的安全事件而产生或与之有关的，或基于与安全事件有关的任何第三方指控而产生的任何损失或可能产生的损失，自费赔偿邓白氏及其关联服务商及其各自的高级管理人员、董事、雇员、代理人、代表、继任人和受让人，为之辩护并使之不受损害。