花旗桌面清理工具

2020CITIGROUPINC.
花旗供应商要求(之前称为"花旗供应商准则")第2部分:(根据为各个主题指定的条件确定适用性)负责人:全球资源管理组织主管(RMO)签发日期:2015年1月修订:2020年3月版本:4.
0花旗供应商要求第2部分总体概览第2页(共27页)目录1总体概览32记录管理13全球投诉/疑问管理标准14业务连续性15全球背景筛查标准16费用17信息安全(IS)18安全工作场所指引1花旗供应商要求第2部分总体概览第3页(共27页)1总体概览1.
1目的花旗供应商要求("要求")第II部分的目的是根据为每个政策领域确定的适用条件促使供应商遵守花旗政策要求.
本"要求"的第II部分提供有关花旗政策要求的具体信息.
每个花旗业务部门和法律实体也可在交易文件(工作订单或许可证)中指明其他供应商要求.
这些规定和限制还将在其特定的业务政策中得以体现,包括适用于供应商的任何政策.
如果该等特定实体的政策与本"要求"存在差异;须按照更严格的政策来进行解释.
供应商必须积极主动地向花旗主要业务联系人(或其指定人员)咨询可能产生的任何疑问,以确保遵守当前的花旗政策或任何通知的变更.
请参考花旗供应商要求第I部分,了解适用于所有供应商的政策要求的总体概览.
1.
2适用条件章节编号章节标题适用性2记录管理有权访问/处理/存储花旗信息的供应商3全球投诉/疑问管理标准代表花旗从事面向客户的活动的供应商.
4业务连续性为花旗业务部门提供包含在恢复计划中的产品/服务的供应商.
5全球背景筛查标准其人员有权访问花旗系统/网络及/或有权独自进入花旗办公地点(此类人员必须具有GEID,并且已在花旗的非员工管理系统中登记)的供应商6费用按合同规定有资格要求报销业务费用的供应商7信息安全(IS)有权访问/处理/管理/存储花旗信息的供应商,及/或负责托管面向互联网的花旗品牌应用程序的供应商,及/或可连接花旗网络资源的供应商,及/或需要独自进入花旗设施的供应商8安全工作场所指引花旗供应商要求第2部分总体概览第4页(共27页)花旗供应商要求第2部分记录管理第5页(共27页)2记录管理花旗要求保管花旗信息的所有供应商与其业务活动负责人(BAO)或主要花旗业务联系人合作,以(i)出于花旗的记录管理目的将信息归类为记录或暂时保留内容;(ii)按照花旗主记录目录(MRC)对记录进行归类;(ii)根据保留要求保留信息;(iv)如无"记录保存"要求,在信息生命周期结束时妥善处理信息.
供应商必须与其主要花旗业务联系人或BAO合作,以确保根据MRC中的花旗记录代码识别记录库存中的记录,并至少每年更新一次.
供应商有义务遵守BAO传达的记录管理要求.
已经满足了MRC中列明的保留义务而不在"记录保存"中的记录和信息,必须根据花旗信息安全标准于满足销毁条件后12个月内销毁.
经花旗确认的符合《欧盟通用数据保护条例(GDPR)》的记录和信息必须于满足销毁条件后6个月内销毁.
当接到记录保存通知时,供应商必须暂停销毁或更改花旗信息.
暂时保留的信息必须在其最后一次使用后两年内销毁,前提是无须保留该记录.
如果有任何不确定,供应商须与其主要花旗业务联系人或BAO进行核实.
未经其主要花旗业务联系人或BAO批准(其中必须包含下列确认信息:针对到期处置的信息并无有效的"记录保存"要求),供应商不得处置任何花旗信息,不论其分类(如机密、非机密)如何.
除非明确同意,否则记录管理和保留要求及所有其他的信息处理要求应在合同终止或到期后继续有效.
供应商应保留列明负责监督供应商保管的花旗信息管理的所有供应商人员的文件,并与其主要花旗业务联系人或RMO定期举行会议,审查和更新联系人姓名、程序细节、角色和责任,以及供应商记录库存.
*适用于有权访问/处理/管理/存储花旗信息的供应商花旗供应商要求第2部分全球投诉/疑问管理标准第6页(共27页)3全球投诉/疑问管理标准3.
1概览花旗全球投诉政策规定了制定投诉/疑问管理标准/程序的最低要求,以解决投诉/疑问的识别、分类、处理和治理问题.
花旗面向消费者的供应商与消费者进行互动的模式不同;因此,第三方供应商管理可能会利用以下方法来做到合规:如果供应商亲自处理投诉/疑问,他们必须遵守美国消费者投诉/疑问准则.
如果供应商选择不处理投诉/疑问,则供应商必须:采纳花旗的投诉/疑问定义(以确保他们了解如何识别).
实施程序/实践以将投诉/疑问提供给花旗处理,无须给消费者带来联系花旗的不必要负担.
各地区都有负责及时解决和回复投诉/疑问的标准/程序.
请参阅您所在地区的标准/程序,其包括服务水平标准的实施和定义.
涵盖的业务部门将从下列开始日期起计算时限:对于电话和个人互动,服务水平标准从组织收到投诉/疑问当日开始实施.
对于书面和电子通讯及社交媒体,服务水平标准从发现不满当日开始实施.
3.
2通话录音和通话留存除非当地法规要求另有指示,否则供应商须实施相关流程,将与投诉/疑问相关的所有通话的录音自通话之日起保留至少12个月.
*适用于代表花旗从事面向客户的活动的供应商花旗供应商要求第2部分业务连续性第7页(共27页)4业务连续性4.
1概览花旗制订了业务连续性计划,以便在发生任何人为或自然灾祸、危机、中断或紧急状况时,能尽量减少财务损失,并满足市场和客户需求.
花旗必须做好准备应对任何可能影响正常业务运营的事件.
4.
2恢复资源供应商的业务连续性计划须提供备用资源,以便在供应商的主要地点中断经营时向花旗提供所有产品和服务.
恢复资源所在的地理位置必须与主要地点相距足够远,以最大限度地减少或消除同一灾难事件同时影响主要地点和恢复地点的威胁.
恢复资源不只限于信息系统,还包括向花旗继续提供产品和服务所需的所有资源,包括员工、建筑物、业务设备、数据中心、数据和语音网络以及运输服务.
4.
3恢复服务级别供应商的业务连续性计划必须符合设定的服务级别,才能对花旗生效.
供应商的业务连续性计划应确定以下各项的具体值:(1)恢复时间目标;(2)恢复点目标;(3)恢复能力;以及(4)恢复期间.
4.
4灾难恢复计划花旗业务连续性政策要求花旗业务恢复计划涉及的供应商制定应急计划和相关流程或控制措施以继续开展业务("灾难恢复计划"),帮助确保花旗将能在不迟于适用的"恢复时间目标"(RTO)的时间内继续从备用地点或替代人员处获得服务.
供应商须咨询相关的主要花旗业务联系人,以了解是否需要制定灾难恢复计划,以及花旗的哪些要求适用于其灾难恢复计划,包括与RTO相关的要求.
如果未在适用的合同中另外定义,重要等级被花旗定为"1"的流程,RTO为4小时或更短;重要等级被花旗定为"2"的流程,RTO为24小时或更短;重要等级被花旗定为"3"的流程,RTO为72小时或更短.
4.
5危机通知供应商应及时向主要花旗业务联系人通知供应商或其分包商面临的、很可能对向花旗提供的服务或产品产生不利影响的任何危机、威胁、前兆警报或网络事件.
4.
6测试供应商的所有恢复资源和计划每年必须至少进行一次测试,恢复测试的结果应在测试之日起一周内提供给花旗.
测试应证明,供应商能达到向花旗提供的所有产品和服务的恢复服务水平.
如要测试向花旗提供的服务的恢复情况,供应商须至少提前30天通知花旗.
花旗可参与或监督供应商的恢复测试.
供应商须测试以下中断情境:1.
拒绝访问(DOA)*如果供应商提供的产品/服务包含在花旗业务部门的恢复计划中,则适用.
花旗业务部(BAO)负责向供应商传达适用性和业务连续性要求.
花旗供应商要求第2部分业务连续性第8页(共27页)2.
拒绝服务(DOS)A.
花旗参与/审查供应商的测试对于供应商执行的任何灾难恢复计划测试(包括重新测试),花旗将参与对应流程重要性/RTO的活动:1.
对花旗专营权最重要的应用程序/流程.
花旗将参与或监督供应商针对花旗定义为"对专营权重要"的所有流程和/或应用程序执行的测试活动.
对于此类流程和/或应用程序,供应商授权花旗审查涉及业务和/或技术(如适用)的恢复计划、测试脚本、测试结果和证据.
2.
RTO24小时和<72小时的流程.
除非花旗另行提出要求,否则花旗将要求供应商证实涉及业务和/或技术(如适用)的恢复计划、测试脚本和测试结果.
B.
处理测试结果如果供应商测试的结果表明未达到任何测试目标或任何适用的RTO,供应商将承诺执行原因分析并及时纠正发现的任何缺陷.
在实施此类纠正后,供应商应在最初测试失败后的一百二十(120)个日历日(或相关工作订单中指定的时限)内进行重新测试.
4.
7危机管理供应商应维持一项危机管理计划,使之与其业务连续性计划共同控制及管理复原操作.
供应商的危机管理计划至少应能够识别具有充分权限的特定人士启动复原操作,界定收集及传播危机信息的通讯和上报方案,以及制定于危机时与花旗进行沟通的通知和上报方案.
花旗供应商要求第2部分全球背景筛查标准第9页(共27页)5全球背景筛查标准5.
1概览必须根据所有适用当地法律和法规进行背景筛查.
供应商人员必须以适当的方式提供本文件载列的所有信息和自我披露.
不论在简历、面试期间、在入职表上或在入职过程中伪造或隐瞒信息,亦不论何时发现,根据当地法律均可构成花旗拒绝或终止任命的理由.
若执行的任何筛查发现不良结果,则不论何时发现,根据当地法律亦构成花旗拒绝或终止任命的理由.
*有关背景筛查完成时间、各国特有要求及本标准的例外情况的其他信息,可点击此处.
5.
2基本信息的收集和身份验证在任何供应商人员开始执行花旗任务之前,供应商须收集该人员的姓名、邮寄地址和永久地址(如两者不同)、电话号码和电子邮件地址(如适用).
5.
3制裁筛查所有供应商人员均须根据美国财政部海外资产控制办公室(OFAC)特别指定国民和被冻结人员(SDN)名单以及受美国制裁的地区和司法辖区名单("美国制裁")接受筛查.
OFAC名单可在以下网站公开查阅:https://www.
treasury.
gov/resource-center/sanctions/SDN-List/Pages/default.
aspx.
必须在第一天执行任务之前,对使用验证过程中提供的姓名、地址、别名和出生日期进行筛查(当地法律禁止的情况除外).
与制裁名单条目明确吻合的供应商人员应禁止参与花旗任务.
任何可疑迹象或虚假陈述都可能导致丧失任命资格或任命终止.
5.
4移民合规供应商须证明其制定了用于验证其人员有权在任命所在国家从事工作的方案,并且供应商已根据所有适用法律和法规对工作资格进行了核实.
供应商还须证明其制定了用于确保其人员符合适用的所有其他移民法律和法规的方案,并且其人员持有相应类型的签证,可从事指派的任务和活动.
5.
5工作经历如果法律要求,供应商须核实其人员在过去七(7)年或10年内的工作经历.
必须核实人员的工作经历,确保雇主、职位、日期和职责信息真实准确.
供应商人员还须披露自己以顾问或临时工作人员身份为花旗或花旗的任何前身公司(包括但不限于:花旗银行、花旗集团、旅行家集团、所罗门兄弟和/或美邦)工作或执行任务的经历.
他们亦须披露自己是否曾在接受花旗或花旗的任何前身公司录用后被终止、要求离职或拒绝雇佣或任命.
5.
6教育经历供应商必须核实其人员的最高学历.
须核实的信息包括入学日期、教育机构名称、地址以及获得的学位.
*适用于其人员有权访问花旗系统/网络及/或有权独自进入花旗办公地点(此类人员必须具有GEID,并且已在花旗的非员工管理系统中登记)的供应商花旗供应商要求第2部分全球背景筛查标准第10页(共27页)5.
7犯罪背景在法律允许的范围内,供应商人员必须披露自己在任何法院对任何刑事犯罪的任何刑事定罪、有罪答辩或无争辩答辩(包括任何审前分流方案).
对犯罪记录和/或指纹验证的行政审查必须在供应商人员开始执行任务之日前完成,并在法律允许且适用的情况下进行.
对于和盗窃、诈骗、欺诈或背信有关的犯罪行为的刑事定罪,除非法律另行禁止,否则可导致被拒绝和/或丧失执行花旗任务的资格.
根据适用的当地法律和法规,其他定罪可能导致被拒绝和/或丧失执行任务的资格.
5.
8药物筛查在法律允许的范围内,供应商须确保其人员在开始执行花旗任务之前完成药物筛查测试.
药物筛查须至少进行"5种固定样本"测试,测试是否含有苯丙胺、大麻素(THC)、可卡因、阿片剂和苯西克定(PCP).
若判定为阳性结果,无论在供应商人员开始工作之前或之后收到结果,均可依此拒绝其工作,当地法律禁止的情况除外.
在遵守当地法律法规的情况下,出于职位(例如驾驶员、飞行员)要求或其他原因,某些供应商人员可能会被要求在其任命期间完成药物筛查测试.
5.
9重新筛查被终止任命的供应商员工如被重新指派至花旗,则须对其进行重新筛查.
欲了解有关重新筛查要求的其他信息,请参阅此处提供的各国特有要求及例外情况.
5.
10国际转移所有筛查须根据任命所在国家的法规完成.
如供应商人员转调至另一个国家且为花旗提供的服务出现中断,则须根据该国规定对相关个人进行重新筛查.
花旗供应商要求第2部分费用第11页(共27页)6费用6.
1概览花旗仅会根据适用合约的条款及收据,报销供应商承担的与向花旗提供产品和服务有关且已获得花旗事先书面批准的合理业务相关费用.
此类费用须予以适当记录,并根据花旗的发票开具要求向花旗开具发票.
供应商费用不得为花旗员工代表供应商产生的费用.
为报销有效和经批准的费用项目,向花旗提交用于费用报销的任何发票必须包括(除其他发票开具要求外):1.
费用的业务目的;2.
费用金额和说明;3.
费用地点和日期;4.
供应商所提供服务的项目名称/说明;5.
申请发生此类费用的服务的花旗代表姓名及业务关系;6.
采购订单编号(如适用).
关于可报销业务费用的信息,请联系您的主要花旗业务联系人.
完整的差旅行程和发票必须与报销申请表一并提交,并由适当的业务赞助人及/或花旗主要业务联系人批准.
不合规的申请将不予报销.
6.
2概述1.
当使用花旗差旅管理公司("TMC")时,供应商及其人员必须向TMC提供花旗非员工ID(NEMSID)(如适用)或其花旗"赞助人"(与其开展业务的花旗员工)的花旗员工ID(GEID).
2.
预订项目包括:(1)酒店(2)租赁车辆(3)航空旅行(4)火车旅行.
3.
所有旅行必须归类为客户/创收或非客户/非创收.
4.
供应商及其人员不得对服务等级进行降级(如将商务舱降为经济舱),以便将节省的开支用于个人用途或支付超过折扣票价的金额以获得额外的里程奖励或其他福利.
5.
供应商及其人员不得将花旗的全球差旅计划用于个人旅行.
6.
仅报销与业务有关的地面交通费用:7.
通行费票据、折扣代币所购物、无限制火车和公共汽车通票,仅在专用于花旗业务相关差旅时才可报销.
8.
配偶旅行不予报销.
9.
旅行时发生的互联网接入费用仅在互联网接入专用于花旗相关业务用途时才予以报销.
10.
如果由于恶劣天气(如暴风雪)、业务连续性系统激活或已报告旅行事件(例如机场破坏或关闭)造成紧急旅行变更,并且供应商及其人员无法联系差旅管理公司,则此类紧急旅行变更可直接与商业航空公司、酒店、租赁代理或符合条件的火车旅行供应商联系.
6.
3商业航空旅行1.
供应商及其人员必须预订花旗首选航空公司的合乎逻辑的最低价机票.
2.
TMC会提供适用旅行窗口内的航班信息,并提供合理的最低价机票.
3.
从请求的起飞时间起,国际航班的旅行窗口为两小时,国内和EMEA内航班为一小时.
4.
航空旅行必须使用经济舱.
5.
供应商及其人员必须在预计起飞时间前取消任何不会使用的预订,以确保退款得到处理.
6.
报销:a.
如果通过差旅管理公司(TMC)预订航班*适用于按合同规定有资格要求报销业务费用的供应商花旗供应商要求第2部分费用第12页(共27页)b.
如果接受合乎逻辑的最低价机票,供应商及其人员将获得全额报销,否则超出的费用不予报销.
c.
供应商及其人员必须同时提交TMC发票和旅行行程(包括符合/违反花旗政策备注),以进行报销.
d.
如果由于进行更改而导致票价较高,须在报销申请表上附加变更后且已标注新票价及任何其他更改的旅行社所开具发票.
e.
如果未通过TMC预订航班(如需要),则不会为供应商及其人员报销.
6.
4地面交通1.
租赁车辆:a.
核准的租赁车辆级别为标准及以下.
b.
仅当四名或以上乘客需要使用车辆时,才能租赁全尺寸车或运动型多用途车(SUV).
c.
特种/豪华车辆不予报销.
d.
交通或停车违章罚款不予报销.
e.
租赁车辆的燃油费用可予报销.
2.
个人车辆:a.
对于使用个人车辆进行商务旅行的供应商及其人员,将根据当地税法,基于记载行驶距离、旅行出发地和目的地以及适当业务目的的相关文件,对其进行报销.
b.
停车费、通行费和里程数可予报销.
c.
交通或停车违章罚款不予报销.
d.
在办理花旗业务时,供应商及其人员的车辆遭窃或损坏招致的费用(包括保险免赔额付款)不予报销.
e.
作为正常通勤部分的停车费和往返工作的日常通勤费不予报销.
3.
私家车——班车服务:a.
当公共交通不可用或不适用时,必须使用出租车、核准的私家车服务或可报销的私家车服务(如可用).
如需了解核准的私家车服务及可报销的私家车服务提供商名单,请联系您的主要花旗业务联系人.
只有用于业务相关用途的费用才可报销.
b.
需要在花旗办公地点之间往返的供应商及其人员,应使用公共交通或花旗运营的班车服务(如可用).
登上花旗运营的班车时必须出示花旗ID或有效的访客通行证.
c.
供应商及其人员应使用航空公司/酒店提供的往返机场的免费接送服务.
d.
停靠站费用不予报销,但在商务旅行中用于拼车用途时除外.
费用报销申请须包括出发/到达地点、日期、车辆类型、业务目的以及同行者姓名.
e.
车载电话、个人驾乘及违约费用不予报销.
f.
使用私家车服务时,按需使用的高级轿车类别不予报销,除非花旗在该地点没有核准的私家车服务供应商.
使用可报销的私家车服务时,建议您选择可供选用的最低费用的车辆.
在使用可报销的私家车服务时,小费(如该地允许)可予以报销.
g.
供应商及其人员必须根据费用管理可接受的收据文件格式提交收据,以获得报销.
h.
禁止使用六客座或加长型礼车.
4.
火车旅行:a.
所有火车旅行必须使用经济座、二等座或可用的最低舱等的捷运服务.
b.
放弃更昂贵但符合政策的机票而采用火车旅行时,允许使用一等座(包括公务级和定制级).
c.
火车旅行使用一等座时,书面说明须附于报销申请上.
6.
5酒店1.
如客户相关差旅要求供应商或其人员与客户入住同一家酒店,则供应商必须通过差旅管理公司预订差旅.
花旗供应商要求第2部分费用第13页(共27页)2.
供应商及其人员必须在最便于开展花旗业务的花旗首选酒店以最低花旗协议价格进行预订.
3.
在没有花旗首选酒店的城市,供应商及其人员将在花旗差旅管理公司的指导下,以核准的价格入住核准的酒店.
4.
如果需要住宿酒店超过5晚,则必须入住被认定为花旗首选长住酒店或酒店式公寓(如有)的酒店.
5.
对于所有不会使用的预订,供应商及其人员必须按照酒店无违约取消政策予以取消,并获得取消编号.
6.
报销1.
如果通过花旗TMC预订酒店.
如果选择以核准的价格入住核准的酒店,供应商或其人员将获得全额报销.
任何超支费用均不予报销.
2.
如需通过花旗TMC预订住宿,供应商及其工作人员必须向花旗RMO提交长住和酒店式公寓审批表.
3.
未通过花旗TMC预订的酒店住宿仅限以下情况才可报销:i.
客户相关差旅要求供应商住在由客户或为客户相关差旅处理差旅后勤事务的外部公司直接预订的酒店.
ii.
参加在会议地点或靠近会议地点的酒店提供特殊团体或折扣价格的外部研讨会、会议、协会会议或集会不需要通过TMC进行预订.
会议登记副本必须与报销申请一并提交,作为出席的证明.
6.
6差旅餐费1.
一人或多人在差旅期间产生餐费的情况下,允许报销差旅餐费.
2.
差旅餐费每日限额由花旗规定,用于确定每人每天的最高报销限额(即每日限额应该与就餐人数相乘),并且此限额会根据差旅餐费的产生地点确定.
如需了解差旅餐费每日限额,请联系您的主要花旗业务联系人.
3.
不允许对差旅期间的餐费进行平均.
任何超出差旅餐费每日限额的金额均不予报销.
花旗供应商要求第2部分信息安全(IS)第14页(共27页)7信息安全(IS)7.
1概览本节介绍了针对花旗期望的信息保护控制措施,对存储、处理、管理或访问花旗信息及/或托管花旗应用程序的花旗供应商的要求,以确保按照适用的法律和法规要求以及花旗与其供应商业务开展地点的最高行业标准(例如ISO/IEC27002)对信息加以保护.
这些要求仅仅规定了最低要求.
如果当地法律、法规或相关行业标准确立了比本文的规定更高的准则,供应商必须遵守此类法律、法规或标准.
此外,供应商可能需要结合其他信息安全实践和程序,作为其遵守其他花旗政策及合同条款和条件的一部分.
如果供应商决定针对信息安全实施其他安全实践或详细程序,则供应商必须确保此类实践和程序不与本节规定的最低控制措施相抵触.
7.
2信息安全政策和管治供应商须设置记录在案的信息安全政策和标准.
本政策管治必须包含明确定义的角色和职责、政策和标准的年度审查及更新,以符合技术状态、行业标准、法律和法规要求.
7.
3组织信息安全7.
3.
1职责分离供应商须设置流程,确保任何人员都无法同时兼任两种业务职能、IT职能或受控信息系统职能,并且无法在未经授权或未被察觉的情况下持续访问相同的活动、变更、信息系统或交易,除非有充分的补偿控制措施降低这种风险.
目前只认可以下例外情况:1.
用户在发起或批准真实交易时,仍可在非生产环境中参与测试同一花旗信息系统的新要求.
2.
履行开发职能的用户可提供生产支持,但其若需持续访问花旗信息系统,则必须满足这一前提:仅授予只读或仅可查看访问权限,且不包括机密受限数据的访问权限.
3.
履行开发或验证职能、需要利用实施职能提供中断/修复支持的人员须使用受控信息系统的临时特权访问权.
4.
需更新应用程序控制措施以外的生产数据的人员须使用临时特权访问权.
5.
需在应用程序控制措施以外查看包含机密PII数据或受限数据/受限PII数据的人员须使用临时特权访问权.
6.
履行开发或验证职能的人员不得在受控信息系统中修改或安装操作系统或数据库基础结构软件.
7.
3.
2移动设备政策1.
如果供应商管理的用于存储、处理和/或传输花旗信息的笔记本电脑和所有台式机器在本地存储/处理花旗机密或受限信息时使用远程访问,则其均须使用符合行业标准的加密工具加密.
*适用于访问/处理/存储/管理花旗信息的供应商,及/或托管面向互联网的花旗品牌应用程序的供应商,及/或连接到花旗网络资源的供应商,及/或需要独自进入花旗设施的供应商花旗供应商要求第2部分信息安全(IS)第15页(共27页)2.
供应商管理的机器直接连于互联网时(即,不是通过供应商管理的防火墙或代理服务器连接),须启用个人防火墙.
3.
任何花旗移动应用程序均须由花旗签署,并由花旗向移动市场(例如iTunes)发布.
7.
3.
3电子办公1.
与花旗网络的所有连接均须使用花旗批准的远程连接解决方案.
2.
使用远程访问的非花旗管理的设备必须仅使用不在花旗网络之外提供存储的基于网络的门户解决方案.
3.
花旗管理的设备必须定期接入花旗网络,以接收和安装软件定期更新、软件补丁(包括防病毒软件)和病毒特征更新.
必须及时应用此类更新.
7.
4管理层对信息安全/评估的承诺1.
托管花旗品牌面向互联网的应用程序及/或有权访问归类为机密或更高级别的花旗信息的供应商,须遵守花旗的第三方信息安全评估流程(TPISA),此流程会针对与信息安全相关的花旗要求以及任何法律及/或监管要求(适用于花旗或供应商)的遵守情况对供应商政策、程序和控制措施进行评估.
该评估包括要求供应商回复并提供证据的安全问卷调查,还包括对第三方出于满足花旗及其客户业务需求而存储、处理、管理或访问花旗机密或更高级别信息的地点进行造访.
如果TPISA的调查结果披露或表明存在安全问题或疑虑,花旗会向供应商书面通知调查结果,并与供应商合作确定纠正问题的方法.
供应商必须尽快做出必要的纠正或增加必要的补偿控制措施,以使花旗满意;在任何情况下,高风险问题均须在180天内得到纠正,中等风险问题须在240天内得到纠正,低风险问题须在执行下一次评估之前得到纠正.
2.
供应商必须依照自己的信息安全标准、政策和程序,定期对其业务经营及相关控制措施进行评估.
定期评估必须至少包括:a.
评估供应商使用的流程,确保符合IS政策和标准.
b.
评估辅助资源,例如供应商使用的应用程序和基础结构,以及供应商分包商(如适用)为支持业务经营使用的IS流程,或者允许花旗执行此类评估.
如果第三方与访问、处理、管理或处置被归类为机密或更高级别的花旗信息的分包商签订新合同或续签现有合同,必须遵守相关规定.
3.
必须记录并跟踪在执行任何信息安全风险评估的过程中发现的问题,直至问题得到解决.
4.
如果供应商的信息安全管理职能部门被迁往境外,则在进行此类搬迁前,供应商必须获得花旗的书面批准.
5.
如果供应商收购了新的实体,则供应商必须对所收购的实体开展评估,以确保其符合这些标准.
6.
除非事先获得花旗书面批准,否则供应商不得外包安全管理职能,包括但不限于:针对用于存储、处理和/或传输花旗信息的系统的防火墙管理、安全配置管理、补丁管理或信息安全管理(ISA)职能.
7.
如果供应商托管包含花旗信息或者带有花旗品牌标记的软件或网站,则必须按照花旗系统安全测试(SST)标准定期对软件或网站进行漏洞评估,并在花旗SST标准指定的时间内纠正评估过程中发现的任何重大问题.
*适用于存储、处理、管理或访问划分为机密或更高级别的花旗信息及/或托管面向互联网的花旗品牌应用程序的供应商花旗供应商要求第2部分信息安全(IS)第16页(共27页)8.
如果需要连接花旗内部网络上的服务器和/或信息系统,则供应商必须通知其主要的花旗业务联系人,以便遵循现行的连接流程.
9.
如果花旗信息在未经授权的情况下被访问或获取,或者花旗信息丢失、损坏或被删除,或者用于存储、处理和/或传输花旗信息的信息系统受到任何其他损害,供应商必须及时通知相关的花旗联系人.
10.
供应商必须确保对所有高风险活动以及敏感数据的更改进行审核追踪,以便说明谁执行了哪些活动或更改了哪些数据.
11.
供应商必须确保在屏幕和书面文件上隐藏所有敏感数据(例如:监控、例外情况和监管报告以及其他报告).
12.
供应商必须限制打印、记录或复制敏感数据,包括通过"自带的设备".
供应商须尽一切合理努力,在协议期间的议定时间或协议结束时归还或销毁所有花旗信息.
7.
5外部相关方——分包商信息安全风险1.
如果供应商计划使用分包商支持涉及花旗信息的业务,供应商须书面通知花旗,并且除非获得花旗书面同意,否则不得使用任何分包商.
如果花旗同意引入分包商:a.
在讨论或交流任何花旗信息前,供应商须与各潜在分包商签立保密协议(NDA)或载有相关潜在分包商保密义务的协议;只要相关潜在分包商能获提供任何花旗信息,相关协议即须有效.
b.
需按照美国制裁名单、适用的非美国制裁名单以及遭受制裁的司法辖区对分包商进行筛查.
c.
供应商须与完全满足花旗要求、可访问花旗信息的分包商签订书面协议(记录在案),并设立机制确保任何相关分包商遵守相关协议和要求.
2.
有权访问归类为机密或更高级别的花旗信息及/或托管面向互联网的花旗品牌应用程序的供应商,须确保妥善保护分包商访问、处理、处置或管理的花旗信息和信息系统的安全.
a.
供应商须确保引入分包商提供的产品或服务,不会威胁花旗信息和信息系统的安全.
b.
对于托管面向互联网的花旗品牌应用程序或可访问花旗信息的分包商,其信息安全控制措施须由供应商定期审核.
c.
供应商须按年评估其与满足上述指定标准的分包商的关系,确定是否需要审核这些分包商的安全控制措施.
3.
如果需要在供应商设施和管理层监督以外向第三方、分包商提供花旗信息的访问权,供应商须与其他相关方订立协议并记录在案,强调如下信息安全要求(如合适):a.
按花旗评估供应商的方式定期评估信息安全的权利;根据要求纠正评估中发现的任何重大问题,或制定相应补偿控制措施的义务.
b.
如他人未经授权访问或获取花旗信息,或存储、处理或传输花旗信息的信息系统受到任何威胁,相关方须通知供应商.
c.
相关方须尽一切合理努力,在协议期间的议定时间或协议结束时归还或销毁所有花旗信息.
d.
要求对为花旗执行任务的分包商及其员工按照美国制裁名单及适用的非美国制裁名单以及遭受制裁的司法辖区进行筛查.
e.
分包商向其员工提供花旗信息访问权的唯一前提是:员工需要访问花旗信息以便为供应商提供相关服务.
f.
分包商使用花旗信息只能是出于为供应商提供服务的目的;未经花旗书面许可,分包商不得把花旗信息披露给任何下级分包商或第三方(法律要求披露者除外).
g.
在花旗的安全要求发生改变,但相关方表示不认同的情况下,通知该第三方终止协议的权利.
花旗供应商要求第2部分信息安全(IS)第17页(共27页)4.
如与要求访问花旗内部网络上的服务器和信息系统的相关方订立协议,还须赋予花旗撤销访问权或中断花旗与外部相关方系统连接的权利.
5.
每次使用涉及保密或更高级别信息或充当生产系统的外部云提供商,须在上线前获得花旗批准,之后按年批准.
7.
6资产管理7.
6.
1资产责任1.
资产库存a.
供应商须确保,其控制的存储、处理和/或传输花旗信息的所有应用程序和硬件均保留库存.
b.
供应商须根据用于适当维护库存准确性和完整性的流程,确保管控花旗信息资产的库存.
2.
保护资产a.
供应商须负责保护其控制的所有花旗信息.
3.
访问与适当使用资产a.
供应商须确保其用户以符合行业惯例的方式负责任地行动.
b.
用户不得使用包含花旗信息的供应商全球网络,访问个人外部互联网电子邮件账户.
7.
6.
2.
信息分类和处理1.
信息分类a.
花旗信息分类如下:信息分类PII属性受限"留空"或"是"机密"留空"或"是"内部"留空"或"是"公开"留空"或"是"b.
PII属性:个人识别信息(PII)可归入任何数据分类.
须根据这些分类中的PII风险等级采取适当的控制措施.
c.
身份验证信息是单独的分类信息,具有相关规定,且完全独立于其他信息分类.
2.
信息标记和存储a.
花旗必须与供应商一起根据花旗信息分类指定信息保护所需的安全级别,且供应商须确保制定充分的控制措施(花旗可能需要提高或修改级别).
b.
机密或更高级别信息须存储在第三方管理的设备上,且这些设备受第三方与花旗之间合同的约束,并且该合同中包含符合花旗政策和标准的保密条款.
c.
只有花旗公开信息才可存储在供应商人员的个人设备上(例如:家庭电脑、个人数码助理、移动互联网以及电子邮件应用程序).
3.
信息处理程序a.
供应商必须始终防止花旗信息在未经授权的情况下遭访问、修改或删除.
b.
便携式电子媒体(ETM)上的花旗信息必须通过安全方式进行传输并确认发送成功.
供应商须确认ETM在预计发送日期被指定接收方接收,并持续跟进指定接收方直至确认发送.
如果截至预计发送日期仍未收到接收确认,供应商须通知花旗.
花旗供应商要求第2部分信息安全(IS)第18页(共27页)7.
6.
3.
媒体处理1.
管理可移动媒体a.
供应商必须保护花旗信息(不论在哪种媒体上维护).
该标准适用但不限于包含花旗信息的以下几类媒体:卡、磁带、光碟(CD)、软盘或其他可移动存储设备、硬拷贝输出、磁盘、录音带、缩微胶卷、缩微平片、光盘或纸质文件.
b.
便携媒体/存储设备对花旗信息存储系统的默认访问设置必须为不可访问.
如例外情况获批,并因此允许读写访问权限,则须在便携媒体设备上对数据进行加密.
2.
处置媒体在适合按花旗指示处理花旗机密或更高级别信息时(即,当这些信息对花旗不再必要或有用时,算上法律、法规和/或花旗政策要求的任何其他留存期),供应商必须销毁相关信息,使其无法使用和恢复.
此规定适用于以非电子格式(例如纸张、缩微胶卷、缩微平片)和电子格式(包括但不限于数字媒体/存储设备、文件共享、SharePoint网站以及打印机、复印机或传真机等嵌入式办公系统)存储的花旗信息.
7.
7加密控制措施7.
7.
1加密要求如果传输的信息涉及归类为机密PII或受限数据的花旗信息,则必须在应用程序对应用程序/服务器对服务器的基础上加密.
如果通过供应商管有的应用程序存储或传输信息,供应商有责任确保合规.
下表描述了加密要求.
功能/数据传输时加密**持久存储时加密受限数据所有环境所有环境受限PII数据所有环境所有环境身份验证数据所有环境1所有环境1机密PII数据非花旗管理的基础结构2身份验证数据3现有应用程序4新的应用程序4外部电子邮件非花旗管理的基础结构2身份验证数据3机密数据非花旗管理的基础结构2外部电子邮件非花旗管理的基础结构2远程访问所有环境不适用1.
身份验证数据:在传输和/或存储期间,不需要对一次性使用、动态或已过期密码进行加密.
2.
存储或处理机密或更高级别信息的第三方必须满足相关加密要求,或提供经IS评估验证、为业务部门验收的同类控制措施.
(向和由第三方以电子方式传输该信息时必须加密.
)3.
用于身份验证的机密PII数据(包括但不限于交易历史、信用信息、地址等).
不受其他身份验证数据加密要求的约束.
4.
对于2012年或之后投入生产的所有新的及现有的内部或外部应用程序,必须使用EATDS批准的端到端加密软件或工具对机密PII进行加密.
**数据传输有多种形式,包括但不限于:使用多种协议的电子文件传输(例如FTP、NDM)、网络通信、电子邮件及内部进程通信(例如应用程序对应用程序).
除上述加密要求外,还针对以下环境定义了其他标准:花旗供应商要求第2部分信息安全(IS)第19页(共27页)1.
外部个人电子邮件:针对花旗与供应商之间、包含花旗机密信息(非PII)并且根据规定和/或供应商政策,供应商不得使用花旗批准的端到端加密软件或工具的个人电子邮件,可通过传输加密(例如通过传输层安全协议(TLS)进行的网关到网关加密)完全达到加密要求.
2.
专用网络:如果专用网络由认可的机构独立监管,且符合针对许可或认可的交易对手之间交易业务的金融行业标准(例如环球银行金融电信协会(SWIFT)或中央银行),则可免受机密PII传输加密要求的限制,直至这些网络提供了必要的基础结构以完全支持加密传输.
3.
外部各方:当供应商向外部相关方(分包商)提供花旗机密或更高级别数据时,外部相关方必须满足相关加密要求,或提供经IS评估验证、为供应商验收的同类控制措施.
(向和由分包商以电子方式传输该信息时必须加密.
)4.
语音和传真:通过传真发送或通过语音通话(包括IP语音[VOIP])讨论的花旗机密或更高级别信息可不加密发送.
一经要求,供应商须制定具体的程序和指南,以保护通过此类渠道发送的机密或更高级别信息.
7.
7.
2密钥管理1.
必须实施行业标准加密算法和最小密钥长度来进行加密.
2.
根据花旗密钥管理标准,证书和密钥必须定期更改,且具有未超出以下指导原则的明确过期时间:密钥类型最长使用时限.
私有签名密钥3年公有签名密钥数年(取决于密钥大小)对称身份验证密钥2年私有身份验证密钥2年公有身份验证密钥2年对称数据加密密钥2年对称密钥/封装密钥2年对称和非对称随机数生成器(RNG)密钥重新设定种子时对称主密钥1年私有密钥/传输密钥2年公有密钥/传输密钥2年对称密钥/协商密钥2年私有静态密钥/协商密钥2年公有静态密钥/协商密钥2年私有临时密钥/协商密钥一个密钥协商事务公有临时密钥/协商密钥一个密钥协商事务对称授权密钥2年私有授权密钥2年公有授权密钥2年a.
更换密钥不需要参照规定的密钥到期日.
b.
密钥在到期前必须定期更新或轮换,以考虑到变更周期、安排冲突和系统冻结.
3.
必须使用行业标准加密算法对无线网络进行加密.
4.
无论采用何种形式的加密机制,供应商均须使用行业标准密钥管理工具和技术.
花旗供应商要求第2部分信息安全(IS)第20页(共27页)7.
8访问控制7.
8.
1访问控制政策1.
供应商须实施具备如下特征的访问控制措施:(i)完全记录在案(ii)经过审核(iii)授予最低特权.
2.
供应商须实施访问控制措施,确保用户获授对履行职能属必需的特权和权限.
3.
供应商必须实施相应流程,确保删除、禁用或保护所有默认访问功能,以防止未经授权使用.
4.
供应商须防止他人未经授权访问存储、访问/管理/处理和/或传输花旗信息的所有受控信息系统,并须用符合信息系统IS风险评级及适用信息分类的安全产品、功能或流程加以保护.
5.
供应商对其组织内所有用户的访问权负责.
7.
8.
2用户访问管理供应商须确保未经经理或经理指定人员批准,用户无法访问存储、管理、处理和/或传输花旗信息的受控信息系统.
7.
8.
3用户身份识别和验证1.
所有供应商受控信息系统均须在发起可能访问花旗信息的会话或交易前,验证访问相关平台的用户或系统的身份.
2.
所有用户均须:a.
通过用户ID识别唯一身份并映射到技术平台.
b.
通过身份验证方法获得技术平台验证,供应商应联系其主要业务联系人,了解现有的批准方法.
c.
必须根据身份验证要求使用共享身份验证基础结构(例如单一登录、缩减登录及其他共享身份验证服务);供应商应联系其主要业务联系人,了解现有的批准方法.
3.
针对外部连接的用户身份验证:a.
必须对存储、处理、管理和/或传输花旗信息的信息系统的远程访问加以保护,以防未经授权而遭使用.
b.
如果供应商允许个别人员远程访问网络,供应商须确保他们使用标准的远程访问技术(即VPN、Citrix等),通过令牌或证书身份验证为此类访问提供保护.
7.
8.
4管理特权访问权1.
如需直接登录特权功能ID,必须通过临时特权访问流程授予权限.
2.
仅在满足以下所有条件时,方可授予用户持续特权访问权,以访问存储、处理、管理和/或传输花旗信息的受控信息系统:a.
在批准中记录持续访问的正当理由.
b.
用户经理与受控信息系统的信息负责人/代表批准访问.
3.
对于受控信息系统的临时特权访问权限,必须遵守以下记录在案的密码/账户发布流程:a.
要求申请人位列预先批准的授权用户名单上或在使用时获得批准.
b.
要求在授予访问权限前在变更/问题票据中提供正当理由并记录在案.
c.
包括对通过访问权限所执行活动进行的独立审核.
d.
包括在预定时间(不超过24小时)后撤销/删除访问权限的流程.
花旗供应商要求第2部分信息安全(IS)第21页(共27页)e.
出于生产和确保实施后稳定的目的,例如在完成主要升级或中断/修复解决方案后,允许将访问时间延长至七(7)个日历日.
7.
8.
5审核用户访问权1.
供应商须实施记录在案的流程,以审核、验证及删除存储、处理、管理和/或传输花旗信息的受控信息系统中不必要的用户权限.
a.
供应商须至少每半年审核一次所有用户的权限,并在员工离职前通知相关人员,以撤销任何不必要的访问权.
b.
用户不得为自己或向其指派审核任务的人士审核或批准权限.
c.
生产/CoB信息系统上的所有特权非固定功能ID的权限必须由ID负责人/代表按年审核.
d.
生产/CoB信息系统上的特权功能ID的授权用户列表必须由ID负责人/代表按季度审核.
2.
如果为花旗提供支持的员工离职,应即时向花旗经理通知离职日期,以便撤销相关的花旗权限.
3.
如需删除或调整访问权,供应商的安全管理职能部门必须在收到通知后七(7)个工作日内完成变更.
7.
8.
6用户责任——使用密码1.
用户静态密码不得共享或以书面形式记载.
2.
生产/CoB信息系统上的特权交互功能ID密码不得共享.
7.
8.
7系统和应用程序访问控制1.
保障登录程序的安全a.
对于涉及静态密码的登录ID,必须在连续六(6)次(最多六次)登录尝试失败后锁定.
b.
锁定的用户登录ID必须通过行业标准重置服务或其他授权功能重新启用.
在操作系统或应用程序支持的情况下,必须在用户初始登录或接受身份验证的所有网络入口点显示横幅文本.
2.
密码管理系统a.
用户静态密码不得明文显示于屏幕上.
b.
特权交互功能ID密码不得以明文形式进行硬编码.
c.
密码须至少包含八(8)个字符,其中须包含字母和数字,并应区分大小写.
d.
仅在个人识别码是满足物理设备约束(例如键盘、电话、智能卡)所必需的情况下,个人识别码才可用作访问信息系统的唯一身份验证方法.
e.
所有静态密码须至少每90个日历日更改一次.
另请注意:i.
如技术上可行,所有身份验证系统均须强制执行无登录活动/未使用控制措施,时限不应超过100天.
用户或其他获授权职能可重新启用已禁用的登录.
ii.
身份验证过程须确保至少在最近六(6)次更改时不使用相同的密码.
3.
使用系统设施供应商须确保限制和控制使用能够改写系统和应用程序控制措施(例如外围设备的启动)的通用程序.
4.
会话超时a.
存储、处理和/或传输花旗信息的受控信息系统的所有用户均须重新验证身份或登录.
b.
一段时间(不超过30分钟)内无活动,用户必须重新验证身份.
活动包括任何终端(鼠标、键盘、触屏等)输入.
如果是由密码屏幕保护程序强制执行,则无需应用程序/单一登录强制执行.
花旗供应商要求第2部分信息安全(IS)第22页(共27页)5.
验证输入数据a.
供应商应设置控制措施,抵御网络安全威胁(即跨站点脚本、资料隐码攻击等).
b.
所有互联网和内联网应用程序均须实施输入验证.
7.
9物理与环境安全7.
9.
1清除桌面和屏幕政策供应商人员必须保护所有形式的花旗信息,包括在工作场使用或存储的物理信息.
供应商须至少每年通过提高IS意识的活动向其全体员工传达此要求.
7.
9.
2防火1.
供应商须遵守管限物理安全和建立安全工作环境的适用法律和监管要求(包括地方防火守则).
2.
供应商须使用火灾探测、报警和扑救系统.
系统须按年检查和测试.
7.
9.
3.
物理安全1.
花旗信息必须存储在仅限获授权人士访问的安全区域.
2.
供应商必须设置记录在案、可予审核的物理访问系统.
3.
供应商须为所提供的环境和服务,综合使用安全报警/侵入系统,包括由第三方监控的安全警报、保安和视频监控(如合适).
4.
供应商须有记录在案的访客政策,包括要求所有访客在抵达、登录和登出时提供可验证的身份信息.
7.
10运营安全7.
10.
1运营程序和责任1.
如果供应商向花旗提供软件开发服务,供应商须按花旗最低标准,设置记录在案的安全系统开发生命周期(S-SDLC).
2.
供应商须设置记录在案的变更管理流程.
3.
供应商须设置满足相关行业标准并记录在案的产能管理流程.
4.
供应商须确保开发、测试和生产环境在物理和/或逻辑上进行完全的分离(如适用).
7.
10.
2抵御恶意软件的攻击1.
针对恶意软件的控制措施供应商须确保采取必要的预防措施,预防和检测引入的任何恶意代码(例如:病毒、蠕虫、特洛伊木马病毒、广告软件、间谍软件),且须实施预防、检测和恢复控制措施,抵御此类威胁.
供应商须:a.
在所有个人电脑上采用、更新和维护反病毒和反间谍软件技术,在所有局域网(LAN)服务器、邮件服务器以及存储、处理和/或传输花旗信息的其他设备上采用、更新和维护反病毒技术.
b.
在外围网络设置合适的阻截策略.
c.
实施技术和流程控制措施,确保人员不从供应商网络访问外部互联网电子邮件账户或非业务相关网站.
d.
实施外围基础结构,阻止访问被视为与业务无关或存在信息安全风险的互联网站点.
花旗供应商要求第2部分信息安全(IS)第23页(共27页)2.
针对移动代码的控制措施供应商须确保采取必要的预防手段,以控制移动代码的使用.
如果移动代码的使用获得授权,其配置至少须满足所有行业标准及对花旗负有的合同义务,确保获授权移动代码按照明确界定并记录在案的安全政策运行,并防止未授权的移动代码运行.
对于可能影响基础操作系统或平台的移动代码(即在"沙盒"以外),供应商须确保:a.
供应商公布的移动代码须经花旗认可的证书颁发机构签署,证书的生命周期须由供应商管理(以处理证书过期或轮换问题).
证书过期的已签署移动代码须从生产环境中删除.
7.
10.
3记录和监控1.
审核记录供应商须确保访问、存储、处理、管理和/或传输花旗信息的所有受控信息系统在基础结构或应用程序层面均使用审核追踪,记录以下各项:a.
相关平台的基础结构安全相关活动.
b.
与防火墙或IDS/IPS生成的安全事件有关的所有系统警报.
c.
所有试图违反系统安全的情况(例如用户登录尝试失败).
d.
与金融交易和花旗信息有关的所有重要事件,特别包括以下各项:i.
金融交易更新ii.
机密PII数据更新iii.
受限数据更新iv.
身份验证数据更新e.
技术上可行时,对于面向花旗的应用程序(网站和移动应用程序),必须捕获会话项目(至少是IP地址或其他相关信息,比如设备的唯一ID)并记录下来,以支持欺诈调查.
花旗交易和花旗开户活动必须捕获上述项目.
捕获的信息必须能使会话项目与交易或开户产生关联.
f.
必须记录重大ISA事件,尤其要记录以下各项:i.
创建用户ii.
修改用户访问权iii.
删除、创建和修改受控信息系统中的配置文件iv.
密码重置v.
更改系统安全设置g.
特权功能ID的所有交互活动均须记录下来.
h.
安全日志必须至少包含以下信息(不论生成日志的是哪种系统)(除非技术上不可行):i.
事件的日期和时间(UTC格式时间)ii.
活动执行者的用户IDiii.
事件类型iv.
受影响的资产或资源名称v.
访问类型(删除、修改等)vi.
事件成败vii.
来源(终端、端口、位置、IP、主机名等)2.
保护日志信息a.
供应商须确保设置访问控制措施,以确保在下列情况下审核追踪的完整性:i.
在启动和关闭期间ii.
在存储中和传输时b.
为防止未经授权修改审核记录,供应商须确保系统用户(其活动受追踪)无法改写或修改记录.
花旗供应商要求第2部分信息安全(IS)第24页(共27页)c.
供应商须规定符合花旗记录管理政策及所有适用法律和监管要求的日志数据保留期,并维持和遵守相关保留要求.
3.
时钟同步组织或安全域内所有相关信息处理系统的时钟,均须与准确的时间源保持同步.
4.
使用监控系统以下事件必须直接或通过自动审核流程来捕获、记录和审核:a.
与防火墙或IDS/IPS生成的安全事件有关的所有系统警报.
b.
第10.
7q节(审核记录)中提述的重大ISA事件不包括:i.
删除用户、角色或配置文件的权限.
ii.
在具备端对端完整性控制措施的自动工作流/履行系统执行信息安全管理活动的情况下.
c.
安全标准内部版本中确认的所有关键资源更新.
d.
由特权功能ID或临时ID执行的所有交互活动.
7.
10.
4控制操作软件1.
供应商须确保:a.
使用的操作系统和软件目前由行业认可的商业供应商支持,或者拥有有效和适当版本的补丁及配置更新,可用于解决安全问题.
b.
实施记录在案的流程,该流程指定了应用所有批准的安全补丁和配置的时限.
2.
无论供应商与花旗之间是否另外签订了任何维护协议,供应商都必须确保为花旗开发并受许可协议管辖的软件:a.
不必使用具有已知漏洞且不受支持的软件版本.
b.
须按要求及时进行更新和安装补丁.
7.
10.
5管理技术漏洞如果供应商在其管理的应用程序或基础结构上访问、存储、管理或处理花旗数据,必须确保执行漏洞评估并根据花旗的系统安全测试标准修复任何漏洞问题.
7.
11通讯安全7.
11.
1网络控制措施1.
访问、存储、管理、处理和/或传输花旗信息的供应商网络须受到保护以免遭威胁,并维护网络信息系统的安全.
这包括网络内传输的信息.
2.
花旗机密或更高保密级别的信息不得持续存储于面向互联网的隔离区(DMZ)中的系统上.
3.
对于访问、存储、管理、处理和/或传输花旗信息的网络,供应商须确保:a.
仅无线局域网(WLAN)或包含禁止未经授权访问的合理控制措施(PEAP-TLS、EAP-TTLS等)的其他无线设备解决方案才可连接至包含花旗信息的网络.
b.
供应商全球网络的所有外部IP连接均受到供应商托管防火墙的保护.
c.
安装实时入侵检测系统(IDS)和入侵保护系统(IPS),以监控和保护访问、管理、存储、处理或传输花旗信息的网络的互联网连接.
d.
供应商网站上托管的所有花旗品牌互联网应用程序和服务均须有花旗验证的anti-DDoS(分布式拒绝服务)服务或花旗验证的同类控制措施.
e.
外部防火墙必须设置"一概拒绝"的默认规则.
防火墙规则必须根据最低特权原则设置.
7.
11.
2网络内的隔离1.
供应商须确保用于访问、存储、处理、管理和/或传输花旗信息、可通过互联网访问的所有信息系统和应用程序仅能通过供应商的隔离区(DMZ)访问.
花旗供应商要求第2部分信息安全(IS)第25页(共27页)2.
在紧急情况下,供应商必须能够在网络不同部分中间筛选访问,以降低网络安全事件的影响(例如爆发病毒时的端口筛选).
3.
"远程访问和主机安全"必须实施基于群组的访问控制措施(例如员工、分包商),以限制访问供应商网络中的网络资源.
在主机级别,访问控制可以在群组或个人层面实现.
7.
11.
3网络内的设备识别1.
技术平台必须识别和验证符合互动IS风险级别和其他缓和性控制措施的同类技术平台.
2.
只有符合本"要求"并获供应商授权的供应商设备(即硬件,包括但不限于:台式机、笔记本电脑)才可访问存储、处理或传输花旗信息的供应商网络.
3.
只有符合本"要求"并获花旗授权的供应商设备(即硬件,包括但不限于:台式机、笔记本电脑、可移动数据存储介质)才可访问花旗网络.
7.
11.
4电子消息传递不得使用即时消息、对等网络或其他互联网协作工具向供应商网络或包含花旗信息的网络以外传输花旗信息或将花旗信息存储在这些地方,除非根据第7.
7节(加密控制措施使用政策)对所有花旗数据适当加密.
7.
12购置、开发和维护信息系统7.
12.
1安全要求分析和规范1.
供应商须将信息安全程序纳入其选择、开发和实施应用程序、产品及服务的流程和程序.
2.
供应商须为存储、处理和/或传输花旗信息的所有系统设置安全的内部版本程序.
3.
安全内部版本程序必须包括相关工具,以在生产部署时能支持对安全/标准内部版本设置进行自动配置检查.
7.
12.
2线上交易1.
在适用情况下,供应商的信息系统必须使用动态密码或数字证书来验证凭据.
2.
必须至少每两(2)年更换一次所有证书的使用寿命.
3.
花旗与供应商之间所有面向互联网的网站及点对点通信均须使用扩展验证(EV)证书.
4.
存储、处理、管理或访问花旗信息,托管面向互联网的花旗品牌应用程序或连接到花旗网络资源的所有供应商应用程序必须:a.
具有根据访问的数据/功能的类型进行身份验证的方法;b.
评估多因素身份验证(MFA)合规性;c.
实施在线可疑活动管理(SAM)解决方案;在所有上述情况下,供应商应联系其主要业务联系人,了解当前要求.
7.
12.
3变更控制程序1.
供应商须确保,对防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)的配置变更均通过供应商的变更管理流程传递.
2.
必须记录和监控通过临时ID授予的生产系统访问权限,以跟踪对环境所做的变更.
3.
对于包含花旗机密或更高级别、"完整性"组件值为IS风险或者"可用性"为高的客户信息的受控信息系统,供应商必须抽样检查根据第10.
7q节(审核记录)捕获的记录.
可以采用适当的基于风险的抽样方法进行检查.
4.
检查时必须验证,作为临时特权访问的一部分进行的变更是否符合预期.
7.
12.
4信息泄露1.
供应商须制定记录在案的安全编码标准,以防止信息泄露,包括:花旗供应商要求第2部分信息安全(IS)第26页(共27页)a.
详细的系统信息(例如:服务器类型和技术).
b.
堆栈跟踪以及揭示目录树结构和底层数据库类型的异常错误.
7.
12.
5保护测试数据未经花旗明确书面授权,不得将花旗机密或更高级别的信息纳入非生产系统.
如果供应商获得了花旗对存储上述数据的书面许可,则供应商必须使用符合行业标准的工具/方法对数据进行不可撤销的编辑,以使其不再具有机密性质,或实施与生产系统相同的控制措施.
7.
12.
6系统验收供应商须设置满足相关行业标准并记录在案的项目范围管理和系统验收流程.
7.
13信息安全事件管理7.
13.
1报告信息安全事件1.
供应商应报告任何危及或危害花旗数据、花旗负有监管义务的数据或载有这些数据的信息系统的机密性、完整性或可用性的安全事件,无论事件涉及的情况、人员(花旗人员或花旗供应商或合作伙伴)或地点(花旗经营场所以内或以外)如何.
信息安全事件(SIRT)的示例包括:a.
使用任何媒体或格式滥用花旗信息b.
未经授权(通过物理或电子方式)访问花旗信息c.
将敏感的花旗信息透露给未获授权的人员d.
未经授权修改数据e.
共享密码f.
入侵计算机(例如:恶意软件攻击、攻击花旗网站)g.
分布式拒绝服务(DDoS)攻击h.
破坏数据i.
丢失任何媒体中的花旗数据2.
如他人未经授权访问或获取花旗信息,或存储、处理或传输花旗信息的信息系统受到任何威胁,供应商须立即通知相关的花旗业务部.
3.
须立即对任何可疑活动采取行动.
7.
13.
2报告信息安全漏洞供应商须设置相关流程,确保即时向花旗报告导致花旗信息资产受到损害的应用程序和基础结构漏洞.
7.
13.
3责任和程序供应商须确保采取有效的方法来管理影响花旗信息的IS事件.
供应商须维护相关流程以应对IS事件,并在约定的时限内向花旗通报任何可导致花旗集团客户或专营权面临重大风险的严重级别较高的事件,包括以下事件:(i)涉及大量客户;(ii)涉及巨额资金;(iii)可能成为新闻报道的主题;或者(iv)可能导致以非常规的方式通报给监管机构,此类事件应在2小时内报告,所有其他安全事件应在发现IS威胁或IS漏洞的24小时内随时报告.
其中包括但不限于:通过IDS/IPS/网络行为异常检测(NBAD)生成的IS事件、IS威胁或IS漏洞.
花旗供应商要求第2部分安全工作场所指引第27页(共27页)8安全工作场所指引供应商必须保护花旗及其客户的有形和无形资产.
花旗及客户资产只能按照经核准的方式(例如根据适用许可证、条款和条件)用于经核准的用途,并且仅限用于花旗及花旗供应商的业务用途.
资产包括现金、证券、实体财产、服务、商业计划、花旗信息、供应商信息、经销商信息、知识产权(电脑程序、型号和其他物品)以及其他任何个人、专有和保密信息.
滥用或未经授权擅自披露花旗资产违背了您对花旗负有的责任,并有可能构成对花旗的欺诈.
同样,疏忽、浪费或擅自使用花旗资产也违背了您对花旗负有的责任.
项目要求花旗信息(电子和硬拷贝文件)在正常工作时间之后以及供应商离开指定工作场所时锁定并保护花旗信息.
台式个人电脑(PC)和笔记本电脑用于访问或查看任何花旗信息的PC和笔记本电脑在一段时间不活动之后必须使用屏幕保护程序密码加以保护.
每当供应商离开指定工作场所时,他们必须使用CTRL+ALT+DEL,然后选择"锁定计算机"(LockComputer),以锁定PC及/或笔记本电脑.
如果供应商使用笔记本电脑查看花旗信息,供应商必须确保该笔记本电脑在工作时间通过线缆或安全锁固定在基座上,而且在正常工作时间后收好.
上锁存储花旗信息的文件柜和抽屉必须在正常工作时间后锁上.
开放式办公区开放式办公区不得用作存储花旗信息的文件服务器/小型数据中心,除非是专门为这种用途设计并于花旗记录在案.
打印机、复印机和传真机托盘所有花旗相关材料必须从打印机、复印机和传真机托盘内清除.
处置处置不再必要的花旗信息(遵循特定的保留期限表).
文件必须加以粉碎或置于安全/锁定的回收桶中.
磁性媒体必须在妥善擦除程序后安全处理.
*适用于访问/处理/管理/存储花旗信息的供应商,及/或托管面向互联网的花旗品牌应用程序的供应商,及/或连接到花旗网络资源的供应商,及/或需要独自进入花旗设施的供应商