Załącznik nr



Pobieranie 40,44 Kb.
Data03.03.2018
Rozmiar40,44 Kb.

Załącznik nr 3
Warunki dostępu Osoby Trzeciej do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.”

Warunki dostępu Osoby Trzeciej do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.”



I. Definicje

Użytym poniżej wyrażeniom nadaje się poniższe znaczenie wyłącznie na potrzeby niniejszego załącznika:



Bezpieczeństwo Informacji – stan, w którym na każdym etapie Przetwarzania, zapewnione są równocześnie: poufność, integralność, rozliczalność, dostępność i autentyczność w rozumieniu Normy PN-I-13335-2 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych.

Dostęp lokalny – dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. realizowany w budynkach użytkowanych przez OPL z urządzeń podłączonych bezpośrednio do Sieci Korporacyjnej Orange Polska S.A. lub dostęp realizowany bezpośrednio do Systemów Teleinformatycznych.

Dostęp zdalny - dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. realizowany spoza Sieci Korporacyjnej Orange Polska S.A.

Incydent Bezpieczeństwa – każde wykryte naruszenie lub wykryta próba naruszenia Bezpieczeństwa Informacji. Źródłem Incydentu Bezpieczeństwa może być zarówno przypadkowe, jak i celowe działanie albo jego zaniechanie przez Użytkowników.

Informacje – dane Przetwarzane przy użyciu Systemów Teleinformatycznych, niezależnie od ich formy (pliki, rekordy bazy danych, e-mail, obrazy dokumentów, zapis na taśmach DDS/DLT itp.) i celu Przetwarzania.

Kontrahent – strona umowy, osoba fizyczna, osoba prawna lub jednostka organizacyjna nie posiadająca osobowości prawnej współpracująca z Orange Polska S.A. na podstawie odrębnej umowy, z wyjątkiem osób, które zawarły z Orange Polska S.A. wyłącznie umowy w formie pisemnej o świadczenie usług, w rozumieniu ustawy prawo telekomunikacyjne, z Kontrahentem publicznie dostępnych usług telekomunikacyjnych; w wewnętrznych aktach normatywnych zwany Osobą Trzecią.

Przetwarzanie – jakiekolwiek operacje wykonywane na danych przy użyciu Systemów Teleinformatycznych, w szczególności takie jak ich zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie, przesyłanie i usuwanie.

Sieć Korporacyjna Orange Polska S.A. - sieć teleinformatyczna, składająca się z sieci rozległej (WAN) oraz sieci lokalnych (LAN), stanowiąca własność Orange Polska S.A., wykorzystywana na potrzeby Orange Polska S.A..

System Teleinformatyczny (System) – zespół środków technicznych wraz z oprogramowaniem, stanowiący integralną i logiczną całość wyodrębnioną ze względu na dostarczaną funkcjonalność przy założeniu, że głównym jego celem jest Przetwarzanie Informacji.

Użytkownik – każda osoba zaangażowana ze strony Kontrahenta w realizację umowy, mająca uprawniony dostęp do Systemu Teleinformatycznego lub Zasobu Teleinformatycznego Orange Polska S.A.

Zasób Teleinformatyczny – Informacje oraz przetwarzający je System Teleinformatyczny wraz z procesami zaangażowanymi w jego zarządzanie, rozwój, utrzymanie, bezpieczeństwo i eksploatację.

Warunki - Warunki dostępu Kontrahenta do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

II. Ogólne zasady dostępu Kontrahenta do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

  1. Dostęp Kontrahenta do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. może odbywać się wyłącznie na zasadach określonych w niniejszych Warunkach oraz zgodnie z zasadami obowiązującymi w Orange Polska S.A.

  2. Kontrahent zobowiązany jest wykorzystywać przyznany dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. wyłącznie w celach i w zakresie uzasadnionym realizacją zadań wynikających z przedmiotu umowy, zgodnie z umową oraz obowiązującymi przepisami prawa.

  3. Kontrahent zobowiązany jest zapewnić właściwą ochronę udostępnionych mu Systemów lub Zasobów Teleinformatycznych Orange Polska S.A., polegającą w szczególności na zapewnieniu zespołu środków organizacyjnych, technicznych i prawnych stosowanych w celu zapewnienia Bezpieczeństwa Informacji.

  4. Kontrahent w związku z dostępem do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. ma obowiązek stosować się do zaleceń oraz wymagań Orange Polska S.A. mających na celu zapewnienie Bezpieczeństwa Informacji, w tym m.in. zapoznać Użytkowników i zapewnić przestrzeganie wskazanych przez Orange Polska S.A. zasad bezpiecznego użytkowania Systemu Teleinformatycznego oraz zasad bezpiecznego użytkowania środowiska biurowego Kontrahent jednocześnie zapewnia, że dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. będą posiadać wyłącznie uprawnieni i przeszkoleni Użytkownicy, w zakresie i na czas niezbędny do realizacji przez nich przedmiotu Umowy,

  5. Orange Polska S.A. wyznacza Opiekuna Kontrahenta (zwanego Opiekunem Osoby Trzeciej w wewnętrznych aktach normatywnych Orange Polska S.A.), który sprawuje nadzór nad korzystaniem przez Kontrahenta z dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

Opiekunem Kontrahenta dla potrzeb realizacji zadań określonych w niniejszym załączniku jest

zbigniew.kloszewski@orange.com

Po stronie Kontrahenta rolę opiekuna Użytkowników i osobą wskazaną do kontaktów z Orange Polska S.A. jest …………...

Zmiana osób pełniących obowiązki ww. opiekunów może być dokonana poprzez złożenie przez każdą ze stron umowy stosownych pisemnych oświadczeń na adres wskazany przez strony do korespondencji i nie wymaga konieczności sporządzania pisemnego aneksu.



  1. Wszelkie oprogramowanie wykorzystywane w ramach realizacji przedmiotu umowy musi być użytkowane z poszanowaniem praw własności intelektualnej, w szczególności zgodnie z ustawą o prawie autorskim i prawach pokrewnych.

  2. Kontrahent ponosi pełną odpowiedzialność za działania Użytkowników w Systemach lub Zasobach Teleinformatycznych Orange Polska S.A. oraz za wszelkie szkody powstałe w związku z korzystaniem przez Kontrahenta z dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. w sposób sprzeczny z niniejszymi Warunkami.

  3. W sytuacji korzystania przez Kontrahenta przy realizacji Umowy z usług podwykonawców, Kontrahent zapewnia przestrzeganie przez te podmioty oraz osoby realizujące w ich imieniu Umowę wszystkich wymagań bezpieczeństwa OPL, o których mowa w niniejszych Warunkach i ponosi w tym zakresie pełną odpowiedzialność względem OPL.

  4. Brak dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. po stronie Kontrahenta nie może być podstawą do dochodzenia od OPL jakichkolwiek roszczeń.

III. Tryb przyznawania i odbierania Kontrahentowi dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

  1. Dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. przyznaje się Kontrahentowi jedynie na czas i w zakresie niezbędnym do właściwego wykonywania przedmiotu umowy.

  2. Dostęp do Zasobów Teleinformatycznych Orange Polska S.A. odbywa się jedynie na podstawie „Wniosku o Dostęp Osoby Trzeciej do Zasobów Teleinformatycznych Orange Polska S.A.”. Na żądanie Orange Polska S.A. Kontrahent ma obowiązek udzielić wszelkich informacji niezbędnych dla przyznania mu dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. Niekompletność wniosku będzie stanowić podstawę do zwrotu wniosku bez rozpatrzenia do wnioskodawcy, w celu jego uzupełnienia.

  3. Kontrahentowi przyznaje się dostęp do Zasobów Teleinformatycznych Orange Polska S.A. na czas określony, nie dłuższy niż 12 miesięcy na warunkach określonych w obowiązujących w Orange Polska S.A. „Zasadach dostępu osób trzecich do systemów lub zasobów teleinformatycznych Orange Polska S.A. Po upływie tego czasu, przedłużenie dostępu Kontrahenta do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. może nastąpić wyłącznie po ponownej weryfikacji zakresu oraz warunków jego przyznania, z zachowaniem procedur, o których mowa w niniejszych Warunkach.

  4. Dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. jest odbierany Kontrahentowi niezwłocznie w następujących przypadkach:

  1. z upływem czasu, na który dostęp został przyznany,

  2. jeśli dalszy dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. nie jest niezbędny Kontrahentowi do realizacji umowy,

  3. w wyniku decyzji osób upoważnionych do wyrażenia zgody na dostęp,

  4. w wyniku decyzji dyrektora odpowiedzialnego za zarządzanie bezpieczeństwem Systemów Teleinformatycznych w Orange Polska S.A. lub osoby przez niego upoważnionej o zablokowaniu Kontrahentowi lub Użytkownikowi, ze skutkiem natychmiastowym, przyznanego dostępu w przypadku, gdy dalszy dostęp Kontrahenta do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. zagraża Bezpieczeństwu Informacji lub w przypadku stwierdzenia rażącego naruszenia przez Kontrahenta lub Użytkowników postanowień niniejszych Warunków.

IV. Incydenty bezpieczeństwa

  1. Kontrahent zobowiązany jest do niezwłocznego zgłaszania wszelkich zauważonych zdarzeń, które noszą znamiona lub są Incydentami Bezpieczeństwa do Opiekuna Kontrahenta oraz udzielania wszelkich niezbędnych informacji oraz wsparcia pracownikom Orange Polska S.A. zaangażowanym, z racji pełnionych obowiązków, w proces obsługi Incydentów Bezpieczeństwa.

  2. Orange Polska S.A. zastrzega sobie prawo do zbierania i zabezpieczania wszelkich dowodów wskazujących na wystąpienie i powstanie skutków Incydentu Bezpieczeństwa, w szczególności prawo do wystąpienia do każdego z Użytkowników z pisemnym żądaniem niezwłocznego włączenia się w obsługę Incydentu Bezpieczeństwa, w tym niezwłocznego podania wszelkich niezbędnych informacji w zakresie badanego Incydentu Bezpieczeństwa. O fakcie takiego wystąpienia wraz ze wskazaniem osób upoważnionych do żądania ww. informacji Orange Polska S.A. zobowiązana jest niezwłocznie powiadomić Kontrahenta.

V. Uprawnienia kontrolne Orange Polska S.A.

  1. Orange Polska S.A. zastrzega sobie prawo do przeprowadzenia kontroli zastosowanych przez Kontrahenta rozwiązań organizacyjno-technicznych, zgodności zaimplementowanych mechanizmów bezpieczeństwa z obowiązującym prawem i niniejszymi Warunkami oraz sposobu korzystania przez Użytkowników z udostępnionych im Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

  2. Kontrola może być przeprowadzona w dniach roboczych w godz. 8.00 – 17.00, w terminie ustalonym przez Orange Polska S.A. i przekazanym pisemnie do wiadomości Kontrahenta, z co najmniej 2 - dniowym wyprzedzeniem.

  3. Kontrahent zobowiązany jest do umożliwienia przeprowadzenia kontroli w szczególności poprzez:

  1. umożliwienie osobom kontrolującym wstępu do pomieszczeń, w których jest wykonywana działalność związana z umową,

  2. zapewnienie osobom kontrolującym dostępu do wszelkich wymaganych informacji, urządzeń oraz Systemów Teleinformatycznych wykorzystywanych do realizacji umowy oraz Użytkowników i dokumentów Kontrahenta w zakresie wynikającym z niniejszej Umowy,

  3. udzielanie osobom kontrolującym przez osoby zaangażowane w realizację umowy ze strony Kontrahenta wyjaśnień w żądanej formie - pisemnej lub ustnej w zakresie wynikającym z realizacji przedmiotu niniejszej Umowy.

  1. W przypadku stwierdzenia uchybień w zakresie objętym kontrolą, Orange Polska S.A. ma prawo wezwać Kontrahenta do podjęcia działań w celu ich usunięcia w wyznaczonym terminie. Nie usunięcie uchybień w wyznaczonym terminie, może stanowić podstawę do wypowiedzenia umowy.


VI. Realizacja dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

  1. Kontrahent jest zobowiązany do zapewnienia, przy dochowaniu najwyższej staranności, właściwej ochrony udostępnionych przez Orange Polska S.A. Systemów lub Zasobów Teleinformatycznych, w tym w szczególności wdrożenia po stronie Kontrahenta organizacyjno – technicznych mechanizmów gwarantujących:

  • dostęp do Systemów lub Zasobów Teleinformatycznych wyłącznie dla Użytkowników;

  • rozliczalność Użytkowników, rozumianą jako możliwość jednoznacznego przypisania działań prowadzonych w Systemie lub Zasobie Teleinformatycznym Orange Polska S.A. do konkretnego Użytkownika.

  1. Realizując wymagania, o których mowa w pkt 1 Kontrahent zapewni w szczególności:

  1. ochronę wszelkich udostępnionych mu przez Orange Polska S.A. urządzeń, a także wszystkich komponentów sprzętowych (np. karty PKI, tokeny) oraz programowych (np. dedykowanej aplikacji) oraz wszelkich informacji (np. loginy i hasła) przed dostępem osób nieuprawnionych;

  2. skuteczne mechanizmy organizacyjne i techniczne uniemożliwiające Użytkownikom:

  1. dokonywanie ominięć, wyłączeń, usunięć czy też innych działań powodujących nieskuteczność zastosowanych przez Orange Polska S.A. technicznych mechanizmów bezpieczeństwa Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.;

  2. podejmowanie działań, które pośrednio lub bezpośrednio mogą prowadzić do naruszenia bezpieczeństwa udostępnionych Systemów lub Zasobów, w tym m.in. bieżące informowanie Opiekuna Kontrahenta o wszelkich zmianach w liście Użytkowników, które mają lub mogą mieć wpływ na prawo ich dostępu do Systemów / Zasobów Teleinformatycznych OPL oraz zakres przyznanego im dostępu.

  1. W przypadku rozpoznanych i ujawnionych do publicznej wiadomości luk bezpieczeństwa w systemie teleinformatycznym lub oprogramowaniu działającym na jego dowolnym komponencie, Kontrahent zobowiązany jest do niezwłocznego wprowadzenia odpowiedniej aktualizacji (poprawki bezpieczeństwa) eliminującej rozpoznaną lukę bezpieczeństwa w jego systemie teleinformatycznym lub oprogramowaniu. W sytuacji, gdy Kontrahent o wystąpieniu luki bezpieczeństwa, o której mowa w zadaniu poprzednim, zostanie zawiadomiony przez Orange Polska S.A., jest on zobowiązany niezwłocznie wprowadzić odpowiednią aktualizację w systemie lub oprogramowaniu .

  2. Standardy zabezpieczeń dla urządzeń wykorzystywanych przy realizacji dostępu Kontrahenta do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

4.1 Standardy zabezpieczeń dla urządzeń będących własnością Orange Polska S.A.

  1. Zabrania się Kontrahentowi samodzielnego dokonywania zmian w konfiguracji i oprogramowaniu urządzeń udostępnionych przez Orange Polska S.A. do realizacji dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A., w tym w szczególności podejmowania jakichkolwiek działań powodujących nieskuteczność zastosowanych środków technicznych służących zapewnienia bezpieczeństwa Zasobów Teleinformatycznych.

  2. Orange Polska S.A. zastrzega sobie prawo do pełnej kontroli udostępnionych Kontrahentowi urządzeń, z których jest umożliwiony dostęp Kontrahenta do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

4.2 Standardy zabezpieczeń dla urządzeń nie będących własnością Orange Polska S.A.

  1. Urządzenia Kontrahenta, wykorzystywane przez niego do realizacji dostępu do Zasobów Teleinformatycznych Orange Polska S.A. nie mogą zagrażać bezpieczeństwu Systemów lub Zasobów Teleinformatycznych udostępnionych przez Orange Polska S.A. W szczególności Kontrahent zobowiązany jest do zastosowania odpowiednich zabezpieczeń chroniących Systemy lub Zasoby Teleinformatyczne Orange Polska S.A. przed oprogramowaniem złośliwym (np. wirusami, robakami, itd.).

  2. Urządzenia Kontrahenta, o których mowa w ust. 1 muszą być chronione w sposób uniemożliwiający bezpośrednie lub pośrednie pozyskanie przez osoby nieupoważnione dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. Kontrahent w szczególności ma obowiązek wyeliminować możliwość przejęcia kontroli nad tymi urządzeniami lub ich wykorzystanie w trakcie komunikacji z Systemami / Zasobami Teleinformatycznymi Orange Polska S.A.

  3. Urządzenia oraz oprogramowanie, z których korzysta Kontrahenta nie mogą powodować wykorzystania Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. (w tym zasobów sieciowych) ponad zakres niezbędny do wykonywania działań niezbędnych do realizacji przedmiotu umowy oraz wynikających z zakresu przyznanego dostępu oraz powodować niedostępność Zasobów Teleinformatycznych Spółki.

  1. Warunki realizacji Dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

5.1 Warunki realizacji Dostępu zdalnego do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

  1. Zdalny Dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. może odbywać się wyłącznie za pośrednictwem bezpiecznego punktu styku kontrolowanego i administrowanego przez Orange Polska S.A. ,

  2. komunikacja z siecią Orange Polska S.A. musi być chroniona kryptograficznie,

  3. dostęp do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. wymaga zastosowania mechanizmów uwierzytelniających do sieci Orange Polska S.A.,

  4. kanały komunikacyjne zestawiane na potrzeby dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. mogą być wykorzystywane tylko i wyłącznie przez Użytkowników w zakresie zarówno czasowym, jak i funkcjonalnym nie wykraczającym poza zakres wynikający z przedmiotu umowy.

5.2. Warunki realizacji Dostępu lokalnego do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.

  1. Dostęp lokalny do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. może odbywać się wyłącznie w miejscach do tego przeznaczonych i wskazanych przez Orange Polska S.A.

  2. Orange Polska S.A. zastrzega sobie prawo do kontroli urządzeń nie będących własnością Orange Polska S.A., a wykorzystywanych przez Osobę Trzecią do realizacji dostępu do Systemów lub Zasobów Teleinformatycznych Orange Polska S.A. w celu stwierdzenia, czy ich podłączenie nie spowoduje zagrożenia dla bezpieczeństwa Systemów lub Zasobów Teleinformatycznych Orange Polska S.A.. Negatywna ocena skutkuje zakazem wykorzystania danego urządzenia do realizacji Dostępu lokalnego do czasu usunięcia stwierdzonych w trakcie kontroli zagrożeń.









©operacji.org 2019
wyślij wiadomość

    Strona główna