Оговорка об информационной безопасности
1. Каждая Сторона обязуется соблюдать следующие требования по информационной безопасности, применять необходимые и достаточные меры по защите данных, в том числе получаемых от другой Стороны, а также регулярно проводить соответствующие мероприятия в течение срока действия Договора для обеспечения надлежащего исполнения своих обязательств в области информационной безопасности.
2. Взаимодействие информационных систем Сторон, в том числе с использованием API- или аналогичных способов интеграции (при наличии технической возможности), допускается только с предварительного согласия каждой из Сторон. Порядок выражения такого согласия определяется по соглашению Сторон, а в отсутствии соответствующего соглашения – каждой из Сторон по своему усмотрению.
3. Взаимодействие с информационной системой Стороны (далее – «Владелец») осуществляется другой Стороной (далее – «Пользователь») только в соответствии с инструкциями, указаниями и требованиями Владельца. Осуществляя разрешенное Владельцем взаимодействие с информационной системой, Пользователь признает и соглашается, что ознакомился с инструкциями, указаниями и требованиями, установленными Владельцем в отношении конкретной информационной системы, и обязуется соблюдать их в полном объеме. При этом, если иное прямо не предусмотрено Договором или отдельными соглашениями Сторон, такие инструкции, указания и требования размещаются и доводятся PicknPack (как Владельцем) до сведения Контрагента PicknPack (как Пользователя) любым способом, определяемым PicknPack, в том числе путем размещения документации соответствующей информационной системы в сети «Интернет» на Сайте.
4. Осуществляя разрешенное Владельцем взаимодействие с информационной системой, Пользователь обязуется:
- обеспечивать конфиденциальность в отношении компонентов и содержимого информационной системы и не раскрывать их третьим лицам, кроме случаев, когда это необходимо для исполнения Договора или требуется применимым к соответствующей Стороне законодательством;
- не предпринимать действий по обходу ограничений для доступа к такой системе, ее компонентам и содержимому, установленным Владельцем;
- не предпринимать действий, которые вызывают или могут вызвать неоправданно или несоразмерно большую нагрузку на любые информационные системы Владельца;
- не использовать стороннее программное обеспечение и другие технические средства, влияющие или могущие повлиять любым образом на работу информационной системы;
- не обходить, не отключать и иным образом не прерывать работу защитных средств или функций, в том числе технических средств защиты авторских и смежных прав, которые предотвращают/ограничивают использование или копирование компонентов и содержимого информационной системы;
- не скачивать компоненты и содержимое информационной системы, которые прямо не были предоставлены Владельцем для скачивания;
- не предоставлять третьим лицам, в том числе привлекаемым Пользователем на основании трудовых и/или гражданско-правовых договоров, доступа к Информационной системе без предварительного согласия Владельца. Порядок выражения такого согласия определяется по соглашению Сторон, а в отсутствии соответствующего соглашения – Владельцем по своему усмотрению.
5. Осуществляя разрешенное PicknPack взаимодействие с информационной системой, Контрагент PicknPack также обязуется принимать следующие меры в отношении такого взаимодействия:
- наличие у Контрагента удаленного защищенного доступа, организованного в соответствии с требованиями PicknPack;
- организация информационного взаимодействия Контрагента PicknPack с PicknPack по сетевым протоколам с обязательным шифрованием трафика;
- удаленное подключение Контрагента PicknPack к информационной системе PicknPack только по защищенному каналу с применением криптографических средств защиты. PicknPack также вправе предъявлять конкретные требования к настройкам сетевого оборудования Контрагента, посредством которого осуществляется взаимодействие с информационной системой PicknPack;
- серверы Контрагента PicknPack, посредством которого осуществляется взаимодействие с информационной системой PicknPack, должны быть защищены межсетевым экраном (локальным или сетевым), а взаимодействие с внутренней сетью PicknPack должно осуществляться только в рамках описанной схемы взаимодействия, предварительно согласованной с PicknPack и зафиксированной в Договоре или отдельном соглашении Сторон;
- регулярное, но не реже 1 (одного) раза в месяц, сканирование периметра локальной вычислительной сети (ЛВС), включая сканирование публичных IP-адресов, принадлежащих Контрагенту PicknPack, по всем портам, а также уязвимостей на критичных портах и веб-приложений, прямо или косвенно взаимодействующих с информационной системой PicknPack.
6. PicknPack вправе устанавливать для Контрагента PicknPack дополнительные требования, касающиеся разрешенного PicknPack взаимодействия с его информационными системами, при условии предварительного уведомления Контрагента.
7. В случае, если Владелец обрабатывает в своей информационной системе ПД, полученные от Пользователя или собранные по поручению Пользователя, он также обязуется:
- соблюдать все требования по обеспечению им конфиденциальности и безопасности ПД, предусмотренные применимым законодательством о ПД и защите информации;
- ограничивать работникам и/или третьим лицам, привлекаемым им на основании гражданско-правовых договоров, а также своим сторонним информационным системам разрешенный доступ к информационной системе, в которой обрабатываются ПД, с использованием межсетевого экрана (локального или сетевого) и в объеме, который необходим Владельцу для исполнения своих обязательств по Договору («need-to-know»).
8. Стороны обязуются не осуществлять в отношении информационных систем друг друга каких-либо действий, которые могут нарушать целостность таких систем (например, обходить системы защиты), конфиденциальность содержащихся в них данных, влиять на работоспособность и доступность систем, создавать в них скрытые функциональные возможности (например, внедрять программные закладки) и заражать их компьютерными вирусами. Стороны также обязуются не совершать действий по внесению изменений, декомпилированию, дизассемблированию, дешифровке, исправлению ошибок и не производить иных действий в отношении информационных систем, их компонентов и содержимого с целью получения информации о реализации принципов, алгоритмов и процессов, используемых в таких системах.
9. В случае нарушения Пользователем любых положений настоящей Оговорки по информационной безопасности Владелец вправе в одностороннем порядке ограничить, приостановить или полностью прекратить взаимодействие Пользователя с Информационной системой Владельца, направив Пользователю соответствующее уведомление. При этом такие действия не являются нарушением Владельцем положений Договора, в том числе в случае, когда взаимодействие Пользователя с информационной системой Владельца необходимо для исполнения Договора.
10. Каждая Сторона обязуется незамедлительно (в течение 24 (двадцати четырёх) часов с даты обнаружения) уведомлять другую Сторону о возникновении любых инцидентов информационной безопасности в отношении ее информационных систем, если такие системы взаимодействуют с информационными системами другой Стороны или в них обрабатываются ПД, полученные от другой Стороны или собранные по поручению другой Стороны. Такое уведомление должно включать информацию о причинах инцидента, его последствиях (как имеющихся, так и предполагаемых), в том числе в отношении ПД, а также о принятых мерах по устранению (минимизации последствий) инцидента. Если иное прямо не предусмотрено Договором или отдельными соглашениями Сторон, Контрагент PicknPack обязуется уведомлять PicknPack о таких инцидентах по адресу электронной почты PicknPack, указанному на Сайте https://picknpack.ru/requisites/.
11. Каждая Сторона, предоставляя своим работникам и/или третьим лицам, привлекаемым ею на основании гражданско-правовых договоров, разрешенный доступ к информационной системе другой Стороны, обязуется устанавливать для таких работников и/или третьих лиц обязательства, аналогичные указанным в Оговорке по информационной безопасности.