Podmínky bezpečnosti pro Dodavatele společnosti Honeywell stanovené níže („Podmínky bezpečnosti“) byly vymezeny na základě předpokládaného rozsahu Služeb a Výstupů. Pokud dojde k následné změně rozsahu Služeb a Výstupů, které mají být poskytnuty v rámci této Dohody, a tato změna bude mít vliv na předešlé dohodnuté Podmínky bezpečnosti, Strany se dohodnou na úpravě těchto Podmínek bezpečnosti tak, aby se v nich změna odpovídajícím způsobem odrazila.

Účel

Účelem těchto podmínek bezpečnosti je prosadit fyzickou i technickou bezpečnost, řízení, podporu, přístup, monitorování a požadavky na dodržování předpisů Honeywellu pro práci, která je prováděna jeho jménem. Je naprosto nezbytné, aby veškeré vztahy s dodavateli byly formalizovány a byla tak zajištěna kontinuita služeb a auditů těchto služeb.

Rozsah

Dodavatel je právní subjekt definovaný jako takový v Dohodě, nebo, pokud není explicitně definován, právní subjekt, který uzavírá Dohodu o poskytnutí zboží nebo služeb Honeywellu, na níž se vztahují tyto podmínky Bezpečnosti. Dodavatel je zodpovědný za zajištění dodržování těchto Podmínek bezpečnosti, včetně jejich dodržování všemi jeho dceřinými a přidruženými společnostmi a (sub)dodavateli, kteří se účastní na poskytování zboží nebo služeb Honeywellu. 

Kategorie

Zabezpečení vývoje produktů

Příslušné požadavky

6.0 Zabezpečení vývoje produktů Pokud jakékoli zboží, produkty, software, služby nebo výstupy (souhrnně „Produkty“) dodávané podle této Dohody zahrnují spustitelný kód, dodavatel souhlasí s tím, že bude dodržovat požadavky stanovené v tomto oddílu.

6.1 Dodavatel prostředí pro vývoj produktů zavede a bude udržovat bezpečnostní opatření v oblasti kybernetické bezpečnosti splňující aktuální osvědčené postupy v oboru, aby zajistil důvěrnost, integritu a dostupnost vývojových a výrobních prostředí podporujících Produkt (např. IEC62443, CSA).

6.1.1 Prostředí pro vývoj softwaru dodavatele používané k vývoji, nasazení a podpoře Produktů musí zahrnovat bezpečnostní kontroly, které dokáží detekovat a zabránit jakýmkoli útokům pomocí firewallů hostitelské, aplikační a síťové vrstvy a systémů detekce/prevence narušení (IDS/IPS).

6.1.2 Vývojové a testovací prostředí aplikací musí být fyzicky nebo logicky odděleno od výrobních prostředí (sítí, serverů nebo databází).

6.2. Vývoj produktů

6.2.1 Dodavatel zajistí, aby všechny Produkty byly vyvinuty v souladu se zásadami bezpečného vývoje softwaru v souladu s osvědčenými postupy vývoje softwaru, jako jsou OWASP, CSA, IEC62443 a regulačními požadavky, včetně kontroly návrhu zabezpečení, postupů bezpečného kódování, testování založeného na rizicích a požadavků na nápravu.

6.2.1.1 Dodavatel odstraní zbytečné funkce, komponenty, soubory, protokoly a porty.

6.2.1.2 Dodavatel zaregistruje veškerý Open Source software, verze dokumentů a bude používat pouze OSS, který je aktuální, má příslušnou licenci k použití společností Honeywell a je bez vad.

6.2.1.3 Dodavatel vyplní a poskytne společnosti Honeywell model hrozeb založený na metodě STRIDE, diagram toku dat a posouzení rizik pro jakýkoli produkt dodaný společnosti Honeywell na vyžádání do 45 dnů.

6.2.1.4 Dodavatel bude sledovat tvorbu, čtení, aktualizace a odstraňování (CRUD) událostí pro běžné protokoly.

6.2.1.5 Dodavatel bude zaznamenávat všechny relevantní události týkající se zabezpečení, včetně minimálně: Neúspěšných přihlášení, uzamčení účtu, časů přihlášení, manipulací a odstranění protokolu a neúspěšných událostí přístupu k objektům, událostí vysokého zabezpečení v průběhu času. Tyto protokoly budou uchovávány v souladu s oborovými a/nebo právními standardy stanovenými pro prostředí a účel, a to po dobu nejméně 90 dnů.

6.2.2 Dodavatel poskytne pracovníkům zapojeným do vývoje a kódování Produktů školení o zásadách bezpečného kódování a povědomí o průmyslových standardech. Školení musí být prováděno alespoň jednou ročně pracovníkům dodavatele a subdodavatelům a musí zahrnovat ověření porozumění jeho obsahu.

6.2.3 Dodavatel se v maximální možné míře vyhne uchovávání osobně identifikovatelných údajů (PII) v kontextu aplikace, jako je webový server, protokoly, databáze atd. Abyste splnili regulační požadavky, podle potřeby využijte šifrování, maskování a anonymizaci. Pro všechna uvolnění a dodávky společnosti Honeywell musí být vyplněn slovník PII identifikující, jaká data jsou zahrnuta (všechny typy), metodu uložení/přenosu a dotazník PII společnosti Honeywell.

6.2.4 Dodavatel musí poskytnout mechanismy k šifrování všech přenášených a staticky uložených údajů na základě citlivosti údajů, v rámci produktu a pro všechny metody připojení.

6.2.5 Dodavatel vytvoří a bude udržovat aktuální plán řízení zranitelností kybernetické bezpečnosti navržený tak, aby neprodleně identifikoval, předcházel, vyšetřoval a zmírňoval jakákoli zranitelná místa kybernetické bezpečnosti, a provede analýzu zranitelností (automatickou i manuální) a podnikne veškerá požadovaná opatření k nápravě dopadu.

6.2.6 Dodavatel zajistí, aby byl zaveden proces zahrnující reakci na incidenty a reakci na nouzové situace, pokud je tento proces v souladu s aktuálním průmyslovým standardem (např. ISO/IEC 30111, ISO/IEC 29147).

6.2.6.1 Dodavatel je povinen informovat společnost Honeywell do pěti (5) pracovních dnů o zjištění jakékoli potenciální zranitelnosti kybernetické bezpečnosti, nebo pokud to vyžadují platné zákony nebo předpisy, do kratší doby.

6.3 Testování produktů

6.3.1 Dodavatel musí dokumentovat a provádět kontroly a testování kvality a kybernetické bezpečnosti, včetně skenování zranitelností zahrnujících testování statického, dynamického a bezpečného kódu pomocí současných nejlepších oborových postupů.