De algemene voorwaarden voor leveranciers van Honeywell Security zoals hieronder uiteengezet (“Algemene voorwaarden beveiliging”) zijn bepaald op basis van de verwachte omvang van de diensten en te leveren materialen. Als er een latere wijziging is in de reikwijdte van de diensten en te leveren materialen onder deze overeenkomst die van invloed is op de eerder overeengekomen algemene voorwaarden inzake beveiliging, dan komen de partijen overeen om deze algemene voorwaarden inzake beveiliging te wijzigen om een dergelijke wijziging op de juiste manier weer te geven.

Doel

Het doel van deze algemene voorwaarden inzake beveiliging is het bevorderen van de technische en fysieke beveiligings-, beheer-, ondersteunings-, toegangs-, controle- en nalevingsvereisten van Honeywell voor werkzaamheden die namens Honeywell worden uitgevoerd. Het is van groot belang dat alle leveranciersrelaties worden geformaliseerd, omwille van de continuïteit en de controle van de diensten.

Bereik

Leverancier betekent de rechtspersoon die als zodanig is gedefinieerd in de overeenkomst of, indien niet uitdrukkelijk gedefinieerd, de rechtspersoon die de overeenkomst aangaat om goederen of diensten te leveren aan Honeywell waarop deze algemene voorwaarden inzake beveiliging van toepassing zijn. De leverancier is verantwoordelijk voor de naleving van deze voorwaarden inzake beveiliging, inclusief de naleving van al zijn dochterondernemingen, gelieerde ondernemingen en (onder)aannemers die door de leverancier zijn betrokken bij het leveren van de goederen of diensten aan Honeywell. 

Categorie

Productontwikkelingsbeveiliging

Toepasselijke vereisten

6.0 Productontwikkelingsbeveiliging Indien goederen, producten, software, diensten of te leveren materialen (gezamenlijk “Producten”) geleverd onder deze overeenkomst inclusief uitvoerbare code, gaat de leverancier ermee akkoord om te voldoen aan de vereisten die in dit artikel uiteen worden gezet.

6.1 De leverancier van de productontwikkelingsomgeving moet cyberbeveiligingswaarborgen vaststellen en handhaven die voldoen aan de huidige beste praktijken in de sector om ervoor te zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van de ontwikkelings- en productieomgevingen die het product ondersteunen (bijv. IEC62443, CSA) worden gewaarborgd.

6.1.1 De softwareontwikkelingsomgeving van de leverancier die wordt gebruikt voor het ontwikkelen, implementeren en ondersteunen van de producten, moet beveiligingscontroles hebben die aanvallen kunnen detecteren en voorkomen door gebruik te maken van host-, toepassing- en netwerklaagfirewalls en inbraakdetectie-/-preventiesystemen (intrusion detection/prevention systems, IDS/IPS).

6.1.2 Toepassingsontwikkelings- en testomgevingen moeten fysiek of logisch gescheiden zijn van de productieomgevingen (netwerk, servers of databases).

6.2. Productontwikkeling

6.2.1 De Leverancier zorgt ervoor dat alle producten zijn ontwikkeld in overeenstemming met de principes van veilige softwareontwikkeling in overeenstemming met de beste praktijken in de softwareontwikkelingsindustrie, zoals OWASP, CSA, IEC62443 en wettelijke vereisten, waaronder beoordeling van beveiligingsontwerpen, veilige coderingspraktijken, op risico gebaseerde tests en herstelvereisten.

6.2.1.1 De leverancier verwijdert onnodige functies, componenten, bestanden, protocollen en poorten.

6.2.1.2 De leverancier dient alle opensourcesoftware en documentversies te registreren en uitsluitend OSS te gebruiken die actueel is, naar behoren is gelicentieerd voor gebruik door Honeywell en vrij van defecten is.

6.2.1.3 De leverancier moet een dreigingsmodel voltooien en aan Honeywell verstrekken op basis van de STRIDE-methode, een gegevensstroomdiagram en een risicobeoordeling voor elk product dat binnen 45 dagen op verzoek aan Honeywell wordt geleverd.

6.2.1.4 De leverancier volgt het aanmaken, lezen, bijwerken en verwijderen (creation, reading, updating and deletion, CRUD) van gebeurtenissen voor algemene logboeken.

6.2.1.5 De leverancier dient alle beveiligingsgerelateerde gebeurtenissen te registreren, waaronder ten minste: Mislukte aanmeldingen, accountvergrendelingen, aanmeldingstijden, sabotage en verwijdering van logboeken en mislukte objecttoegangsgebeurtenissen Beveiligingsgebeurtenissen met hoog risico, in de loop van de tijd. Deze logboekbestanden worden bewaard volgens de industrie- en/of wettelijke normen die zijn vastgesteld voor de omgeving en het doel, en mogen niet minder dan 90 dagen bedragen.

6.2.2 De leverancier dient training te geven over veilige coderingsprincipes en bewustzijn van industrienormen aan personeel dat betrokken is bij de ontwikkeling en codering van producten. De training wordt ten minste jaarlijks gegeven aan personeel en onderaannemers van de leverancier en omvat een begripsvalidatie.

6.2.3 De leverancier vermijdt, voor zover mogelijk, de opslag van Persoonlijk Identificeerbare Informatie (PII) binnen toepassingscontext zoals webserver, logboeken, database, etc. Gebruik waar nodig versleuteling, maskering en anonimisering om te voldoen aan wettelijke vereisten. Voor alle releases en leveringen aan Honeywell moet een PII-gegevenswoordenboek worden ingevuld waarin wordt aangegeven welke gegevens zijn opgenomen (alle typen), de opslag-/transmissiemethode en een PII-vragenlijst van Honeywell.

6.2.4 De leverancier dient mechanismen te voorzien om alle gegevens in transit en in rust, op basis van de gevoeligheid van gegevens, binnen het product en voor alle aansluitmethoden te versleutelen.

6.2.5 De Leverancier ontwikkelt en onderhoudt een up-to-date beheerplan voor cyberbeveiligingskwetsbaarheid dat is opgesteld om eventuele cyberbeveiligingskwetsbaarheden onmiddellijk te identificeren, te voorkomen, te onderzoeken en te beperken. Ook voert hij een kwetsbaarheidsanalyse uit (zowel geautomatiseerd als handmatig) en voert hij alle vereiste herstelacties uit om de impact te verhelpen

6.2.6 De leverancier zorgt ervoor dat er een proces voorhanden is om incidentrespons en noodrespons op te nemen waar dat proces is afgestemd op de huidige industrienorm (bijv. ISO/IEC 30111, ISO/IEC 29147).

6.2.6.1 De Leverancier dient Honeywell binnen vijf (5) werkdagen na ontdekking, of korter indien vereist door de toepasselijke wet- of regelgeving, op de hoogte te stellen van mogelijke kwetsbaarheden in cyberbeveiliging.

6.3 Product testen

6.3.1 De Leverancier documenteert en voert kwaliteits- en cyberbeveiligingsbeoordelingen en -tests uit, inclusief kwetsbaarheidsscanning met statische, dynamische en veilige codetests waarbij gebruik wordt gemaakt van de beste praktijken die binnen de branche beschikbaar zijn