Piegādātāja izcelsme, sankcijas un vadība
Piegādātājam jāatbilst dokumentā noteiktajām reģistrācijas, pilsonības, valdes un padomes, kā arī sankciju prasībām. Par sankciju riskiem jāpaziņo divu dienu laikā.
Vadlīnijas piegādātājiem pirms līguma noslēgšanas un pakalpojuma izpildes
Šīs prasības attiecas uz piegādātājiem, kuri apstrādā Pasūtītāja konfidenciālu informāciju vai kuriem var būt tieša vai netieša piekļuve tai, tostarp informācijas sistēmām, ierīcēm, iekārtām, mēbelēm, mantām.
1 hmaksimālais paziņošanas termiņš par drošības vai datu incidentu
ES/EEZkonfidenciālas informācijas apstrādes un glabāšanas teritorija
A/B/Cžurnālfailu glabāšana atbilstoši informācijas sistēmas drošības klasei
Piekrišanaapakšuzņēmēju piesaistei vai nomaiņai nepieciešama Pasūtītāja rakstiska piekrišana
Kritiskais princips
Ja starp šīm Prasībām un līguma noteikumiem ir pretrunas, piemērojami tie noteikumi, kas nodrošina augstāku informācijas un personas datu aizsardzības līmeni saskaņā ar Pasūtītāja interpretāciju.
Kritiskie līguma punkti
Šie punkti jāņem vērā jau pirms sadarbības uzsākšanas, jo tie ietekmē piegādātāja atbilstību, pakalpojuma izpildi un Pasūtītāja uzraudzības tiesības.
Pasūtītājam ir tiesības uzraudzīt pakalpojumu
Pasūtītājs var pastāvīgi uzraudzīt pakalpojuma kvalitāti, saņemt nepieciešamo informāciju, tostarp žurnālfailus, un dot obligāti izpildāmus norādījumus.
Incidenti jāpaziņo ne vēlāk kā 1 stundas laikā
Drošības incidents vai personas datu aizsardzības pārkāpums jāpaziņo Pasūtītājam bez nepamatotas kavēšanās, bet ne vēlāk kā vienas stundas laikā no brīža, kad tas kļuvis zināms.
Personas dati tikai pakalpojuma izpildei
Personas datus drīkst apstrādāt tikai pakalpojuma izpildei un saskaņā ar Pasūtītāja rakstveida norādījumiem, ja vien tiesību akti neprasa citādi.
Apakšuzņēmēji tikai ar rakstisku piekrišanu
Jaunu apakšuzņēmēju piesaiste vai nomaiņa pieļaujama tikai pēc Pasūtītāja rakstiskas piekrišanas; piegādātājs pilnībā atbild par apakšuzņēmēja darbību.
Dati jānodod vai jādzēš
Līguma izbeigšanas gadījumā vai pēc Pasūtītāja pieprasījuma visi pakalpojuma izpildei izmantotie Pasūtītāja dati droši jānodod vai jādzēš.
Uz ko prasības attiecas?
Prasības piemērojamas, ciktāl tās ir piemērojamas, nepārkāpjot tiesību aktos noteikto nozares speciālo regulējumu.
i
Konfidenciāla informācija
Jebkāda Pasūtītāja pārziņā esoša informācija, tai skaitā personas dati, tehniskā informācija, sistēmu piekļuves dati, tehniskie un informācijas resursi un rezerves kopijas, izņemot publiski pieejamu informāciju.
↔
Pakalpojums vai sadarbība
Prasības attiecas uz pakalpojuma sniegšanu vai saņemšanu, IKT resursu piegādi, ārpakalpojumu IKT resursam, būvdarbiem, preču piegādi un citu sadarbību līguma ietvaros.
⚙
IKT un informācijas resursi
IKT resursi ietver tehnisko un informācijas resursu kopumu; informācijas resurss ir strukturēts digitālo datu kopums, bet tehniskais resurss ietver aparatūru un programmatūru.
Pirms līguma noslēgšanas pārbaudiet
Praktisks kontrolsaraksts piegādātājam, lai laikus sagatavotu informāciju un izvairītos no neatbilstībām.
✓
Atbilstības apliecinājumiPārbaudīta reģistrācija/pilsonība, vadības sastāvs un sankciju neesamība.
✓
ApakšuzņēmējiNoskaidrots, vai tiks piesaistīti apakšuzņēmēji, un sagatavota informācija Pasūtītāja piekrišanai.
✓
Iesaistītās fiziskās personasInformācijas sistēmu izstrādes, uzturēšanas vai IKT apkopes gadījumā sagatavots iesaistīto personu saraksts ar iesaistes skaidrojumu.
✓
Incidentu paziņošanaNodrošināta spēja paziņot par drošības vai datu incidentu ne vēlāk kā 1 stundas laikā.
✓
RPO/RTOInformācijas sistēmas vai IKT resursa gadījumā zināms, kā tiks nodrošināts līgumā noteiktais RPO un RTO.
✓
Datu nodošana vai dzēšanaIr process Pasūtītāja datu drošai nodošanai vai dzēšanai līguma izbeigšanas gadījumā vai pēc pieprasījuma.
Informācijas sistēmu izstrāde, uzturēšana un IKT apkope
Īpaši svarīgi, ja piegādātājs izstrādā jaunu sistēmu, veic izmaiņas, uztur sistēmu vai apkalpo IKT resursus.
Personas un piekļuve
- Līdz līguma noslēgšanai iesniedz iesaistīto fizisko personu sarakstu.
- Pakalpojuma izpildei nedrīkst pielaist personas, kas nav rakstiski saskaņotas ar Pasūtītāju.
- Par iesaistīto personu izmaiņām jāinformē līguma izpildes laikā.
Sistēmas drošība un dati
- Jānodrošina līgumā noteiktais RPO un RTO.
- A un B konfidencialitātes klases sistēmu testa vidē izmanto tikai sintētiskus datus.
- A un B konfidencialitātes klases sistēmu pakalpojuma izpildi neveic produkcijas vidē.
Pirmkods un savietojamība
- Sistēmas datorprogrammu pirmkods un izmantošanas tiesības jānodod Pasūtītājam līgumā noteiktajā termiņā un pēc katrām izmaiņām vai uzlabojumiem.
- Jānodrošina iespēja turpināt sistēmas ekspluatēšanu ar obligāti nepieciešamā programmnodrošinājuma jaunākām versijām.
Žurnālfailu glabāšana
Žurnālfaili jāglabā mašīnlasāmā formā atbilstoši informācijas sistēmas drošības klasei.
| Informācijas sistēmas drošības klase | Žurnālfailu glabāšanas termiņš | Uzsvars piegādātājam |
|---|---|---|
| A klase | 18 mēneši | Žurnālfailu ieraksti saglabājami mašīnlasāmā formā. |
| B klase | 12 mēneši | Žurnālfailu ieraksti saglabājami mašīnlasāmā formā. |
| C klase | 6 mēneši | Žurnālfailu ieraksti saglabājami mašīnlasāmā formā. |
Personas datu apstrāde
Piegādātājs apstrādā Pasūtītāja personas datus tikai pakalpojuma izpildei un ievēro Pasūtītāja norādījumus.
Apstrādes robežas
- Dati izmantojami tikai pakalpojuma izpildei nepieciešamajā apjomā.
- Datus nedrīkst izmantot no pakalpojuma neizrietošiem nolūkiem.
- Nosūtīšana uz trešo valsti vai starptautisku organizāciju iespējama tikai ar Pasūtītāja iepriekšēju rakstveida saskaņojumu.
Drošība un pierādāmība
- Jānodrošina konfidencialitāte, integritāte un pieejamība.
- Jāuztur personas datu apstrādes veikto darbību reģistrs un trīs darba dienu laikā pēc pamatota pieprasījuma tas jāuzrāda Pasūtītājam.
- Jāpalīdz Pasūtītājam ar revīziju vai pārbaudi saistītās informācijas sniegšanā.
Datu subjekti un incidenti
- Trīs darba dienu laikā jāinformē Pasūtītājs par datu subjekta pieprasījumu.
- Piegādātājs pats nesniedz atbildi, ja Pasūtītājs to nav atļāvis.
- Datu incidents jāpaziņo ne vēlāk kā 1 stundas laikā no brīža, kad tas kļuvis zināms.
Konfidenciālas informācijas drošība
Šīs prasības attiecas gan uz fizisko, gan loģisko piekļuvi un dokumentiem papīra formā.
Piekļuve tikai nepieciešamajā apjomā
Konfidenciāla informācija nav pieejama trešajām personām, izņemot apakšuzņēmēju pienākumu veikšanai nepieciešamajā apjomā.
Izsekojamība
Jābūt dokumentētam procesam, kas ļauj noteikt, kurš un kad piekļuvis konfidenciālai informācijai.
Fiziskā un loģiskā aizsardzība
Jānodrošina aizsardzība ar fiziskiem un loģiskiem aizsardzības līdzekļiem.
Glabāšana ES/EEZ
Konfidenciālu informāciju, arī rezerves kopijās, drīkst apstrādāt un glabāt tikai resursos, kas atrodas ES vai EEZ valstu teritorijā.
Personāls un apmācība
Piegādātājs nodrošina, ka iesaistītie darbinieki saprot un ievēro prasības.
Konfidencialitātes saistības
Ar darbiniekiem, kas var piekļūt vai apstrādāt konfidenciālu informāciju, jābūt noslēgtiem rakstveida līgumiem par konfidencialitāti, integritāti, pieejamību un neizpaušanu arī pēc darba attiecību izbeigšanas.
Apmācība
Pakalpojuma sniegšanā vai saņemšanā iesaistītajiem darbiniekiem jābūt apmācītiem datu aizsardzības un informācijas drošības jautājumos.
Izmaiņas
Par personāla izmaiņām, kas saistītas ar pakalpojumu sniegšanu Pasūtītājam vai darbu ar Pasūtītāja informāciju, jāinformē Pasūtītājs.
Iekārtu un IKT resursu uzturēšana
Uzturēšanas darbiem jābūt kontrolētiem, dokumentētiem un veicamiem pilnvarotam personālam.
| Prasību joma | Kas jānodrošina |
|---|---|
| Servisa intervāli | Iekārtas uztur saskaņā ar ražotāja ieteiktajiem servisa intervāliem un specifikācijām. |
| Personāls | Remontdarbus un apkalpošanu veic tikai pilnvarots personāls; apkopes personālam jābūt pietiekami identificētam. |
| Reģistrācijas žurnāls | Uztur ierakstus par bojājumiem, profilaktiskajiem un korektīvajiem apkopes darbiem, kā arī personām, kuras veic tehnisko apkopi. |
| Garantija | Ievēro iekārtu garantijas nosacījumus. |
Apakšuzņēmēja piesaiste vai nomaiņa
Piegādātājs nevar apakšuzņēmēju piesaisti uztvert kā formālu jautājumu — prasības ir jānodrošina arī apakšuzņēmēju līmenī.
Rakstiska piekrišana
Jaunu apakšuzņēmēju piesaiste vai nomaiņa notiek tikai pēc Pasūtītāja rakstiskas piekrišanas.
Informācija un apliecinājums
Pirms piesaistes iesniedz Pasūtītāja pieprasīto informāciju un apakšuzņēmēja apliecinājumu par atbilstību prasībām.
Pilna atbildība
Piegādātājs pilnībā atbild par apakšuzņēmēju, tā darbību un personas datu apstrādi.
Audita iespēja
Piegādātājs nodrošina apakšuzņēmēja informācijas pārvaldības un apstrādes auditu/revīziju pēc Pasūtītāja pieprasījuma.
Aktuālā redakcija un izmaiņas
Piegādātājam un apakšuzņēmējam jāseko aktuālajai prasību redakcijai.
Dokumenta izmaiņas
Pasūtītājam ir tiesības reizi kalendārajā mēnesī vienpusēji veikt izmaiņas šajās Prasībās.
Iepazīšanās pirms pakalpojuma
Piegādātājam un apakšuzņēmējam pirms katra kalendārā mēneša ietvaros sniedzamā vai saņemamā pakalpojuma vai piegādes jāiepazīstas ar aktuālo redakciju.
Pieejamība tīmekļvietnē
Aktuālā redakcija pieejama Pasūtītāja tīmekļvietnē: csp.gov.lv/lv/informacijas-drosibas-pamatnostadnes. Piegādātājam jāiepazīstas arī ar Pasūtītāja privātuma politiku: csp.gov.lv/lv/privatuma-politika.