Член 1 - Предмет и опфат

1.1. Следните правила и услови претставуваат договор помеѓу компанијата ИНТЕРСПАЦЕ ДООЕЛ Скопје (Адреса: бул. Јане Сандански 109А, кат3, Скопје, Северна Македонија) во својство на обезбедувач на услуги (понатаму во текстот „Оператор“)  и субјектот што ги нарачува и користи услугите (понатаму во текстот „Претплатник“), исто така понатаму во текстот поединечно наречени „Страна“ или колективно наречени „Страни“.

1.2. Предмет на овој договор е воспоставување и утврдување на претплатнички однос помеѓу Операторот и Претплатникот за давање услуги за хостирање на виртуелни приватни сервери, и правата и обврските за страните кои произлегуваат од тоа.

1.3 Го задржуваме правото, по наша дискреција, да направиме измени на овие услови и правила со претходно известување на Претплатникот.

Член 2 - Услуги и рок

2.2 Деталите за Услугите се дадени во формуларот за нарачка (во натамошниот текст „Формулар за нарачка“). Формуларот за нарачка содржи информации за видот на услугите, висината на трошоците за услугите и други релевантни информации за услугите. Во согласност со овој договор, Операторот ќе ги обезбеди услугите избрани во Формуларот за нарачка (во натамошниот текст „Услуги“).

2.3. Овој договор е склучен на неограничен временски период освен ако не е поинаку договорено.

2.4. Овој договор може да биде раскинат во секое време, како што е наведено во член 6 и член 7. Минималното времетраење на договорот е еден месец.

Член 3 - Надоместоци за услугите и наплата

3.1. Претплатникот се согласува да плаќа месечна претплата за Услугите наведени во Формуларот за нарачка на овој договор, вклучувајќи го и данокот на додадена вредност.

3.2. Фактурите за месечната претплата наведена во член 3.1 од овој договор операторот ги издава и ги испраќа до Претплатникот во електронска форма на првиот ден од тековниот месец, а доспеваат во рок од 12 дена од денот на издавањето. Фактурирањето на услугите започнува од денот кога започнува обезбедувањето на услугите. Операторот ќе го пресмета и додаде износот на ДДВ 18% кој ќе биде испишан посебно, а истиот ќе го плати Претплатникот.

3.3 Во случај на доцнење на плаќањето од страна на Претплатникот, Операторот има право да наплати казна во форма на камата утврдена со закон, пресметана од денот на изминување на датумот на доспевање до плаќањето, а пресметаниот износ на казната ќе да се додаде во фактурата за следната месечна претплата.

Член 4 - Ограничување или престанок на пристапот

4.1. Операторот може, без согласност од Претплатникот, привремено да го ограничи или прекине пристапот до Услугите, во следниве случаи:

• Доколку тоа е неопходно за потребите на реконструкција, модернизација, одржување или во случај на технички проблеми или недостатоци во мрежата, до завршување на работите или отстранување на проблемите.
• Доколку има технички проблеми со претплатничката опрема или инсталации, до отстранување на истите или доколку Претплатникот не дозволи проверка на функционалноста на неговата опрема или инсталации, до завршување на проверката.
• Доколку Претплатникот не ја плати фактурата за месечната претплата до датумот наведен во фактурата до целосното плаќање, освен во случај на жалба во однос на износот на фактурата, во тој случај Претплатникот ќе го плати износот на месечна претплата до датумот наведен во фактурата.
• Доколку услугите се користат или посветени да се користат за цели спротивни на Законот за електронски комуникации на Северна Македонија и соодветните прописи или други закони или прописи, како што е определено од надлежниот орган, или тие се користат или посветени да се користат за цел спротивна на одредбите и условите на овој договор.

4.2. Во случај на планирани технички работи, поврзани со интервенција во мрежата и опремата, Операторот навремено ќе достави информации до Претплатникот во кои ќе ги наведе причините за недостапноста на Услугите и очекуваното време за враќање на нивната функционалност.

Член 5 - Исклучување на Претплатникот

5.1. Операторот може да го ограничи или исклучи пристапот до Услугите за Претплатникот само во случај кога Претплатникот не ги исполнил своите обврски или не постапил во согласност со условите наведени во овој договор. Во случај на прекршување на одредбите од овој договор, Операторот треба писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски. Операторот не треба однапред да го информира Претплатникот за ограничувањето или исклучувањето, доколку преку користење на Услугата Претплатникот:

• Предизвикува моментални и сериозни закани за јавниот ред, безбедноста, здравјето на луѓето или животната средина или предизвикува голема материјална или оперативна штета.
• Предизвикува непосредна закана за мрежата или опремата на Операторот, или способност за обезбедување услуги на други претплатници.

5.2. Доколку е технички возможно, Операторот има право да го ограничи пристапот само до оние Услуги за кои Претплатникот не постапил според условите наведени во овој Договор, освен во случаи на злоупотреба утврдена од надлежниот орган и континуирано доцнење со плаќање или не -плаќање на сметките.

Член 6 - Раскинување на договорот од страна на Операторот

6.1. Операторот може да го раскине договорот во рок определен со овој договор, особено:

• Доколку Претплатникот не ги исполни своите обврски од договорот.
• Доколку Услугите се користат или се наменети да се користат за цел спротивна на условите од овој договор.
• Во случај кога со судска одлука Претплатникот е избришан од соодветниот регистар.
• Во случај на стечај или ликвидација или неликвидност на Претплатникот, доколку правото на користење на услугата не е пренесено на друго лице, во рок определен од Операторот.
• Во случај на злоупотреба на услугите од страна на Претплатникот, за цели спротивно на соодветните закони и прописи дефинирани од надлежен орган во Северна Македонија.
• Доколку Операторот не може да ги обезбеди услугите, поради виша сила, подолго од 6 месеци.
• Во случај на смрт на Претплатникот, доколку правото на користење на услугата не се пренесе на друго лице во рок од шест месеци.

Член 7 - Раскинување на договорот од страна на Претплатникот

7.1. Претплатникот може да го раскине овој договор во секое време по претходно поднесено барање за откажување на Услугите.

7.2. Договорот се смета за раскинат од последниот ден од месецот во кој е примено писменото барање. По раскинувањето на овој договор, Претплатникот ќе биде одговорен да ги плати сите трошоци направени од него, кои треба да се фактурираат со задоцнување или се фактурирани, а не се платени од страна на Претплатникот.

Член 8 - Права на операторот

8.1. Операторот ги има следните права:

• Наплата на побарувањата од Претплатникот или негов правен следбеник.
• Исклучување или деактивирање на Услугите, поради задоцнето плаќање или неплаќање на сметките од страна на Претплатникот.
• Да ги измени техничките карактеристики на мрежата и услугата, со цел да обезбеди подобар квалитет и можност за користење нови услуги.
• Да побара податоци од Претплатникот, кои ќе се користат за склучување, супервизија и раскинување на претплатничкиот договор, како и податоци за наплата на долг.

Член 9 - ОБВРСКИ НА ОПЕРАТОРОТ

9.1. Операторот ги има следните обврски:

• Да обезбеди пристап и активирање на услугите во рамките на периодот утврден во Нарачката.
• Да гу чува и користи податоците за претплатниците и услугите во согласност со соодветните закони и прописи.
• Во случај на прекршување на одредбите од овој договор, писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски.
• Да обезбеди одржување на мрежата и опремата, на начин што овозможува непрекинато давање услуги, и во рамките на техничките можности да ја отстрани пречката во мрежата и опремата, колку е можно побрзо.
• Да добие согласност од Претплатникот за информациите потребни за директен маркетинг, преку користење на автоматски систем за јавување и/или праќање СМС/МС пораки, без човечка интервенција.
• Да овозможи пренос на правото на користење Услугите на друг субјект, по барање од Претплатникот.
• Да обезбеди техничка поддршка 24x7 за Претплатникот преку телефон и емаил.

Член 10 - Права на претплатникот

10.1. Претплатникот има право на:

• Да ги добива Услугите без прекини, ефикасно и редовно, согласно техничките можности Претплатникот и можностите на техничката инфраструктура на Операторот.
• Да побара од Операторот пренесување на правото на користење на Услутите на друго лице. Операторот може да го одбие барањето доколку утврди дека другото лице не може да ги исполни договорните услови.

Член 11 - Обврски на Претплатникот

11.1. Претплатникот ги има следните обврски:

• Навремено да ги плаќа фактурираните износи за користените Услуги, до датумот назначен во фактурата.
• Услугите да ги користи за свои потреби и според нивната намена, да не им пречи на другите корисници, и да не ги користи за пренос на податоци или за цели спротивни на законите и прописите на Република Северна Македонија, како и одредбите наведени во овој договор.
• Да не презема активности коишто ќе му наштетат на интегритетот на мрежата или ќе предизвикаат оштетување.
• Да не ги обелоденува своите лични шифрирани податоци на трети лица. Во однос на штети настанати поради објавување на личните шифрирани податоци поради вина на Претплатникот, Претплатникот ќе биде лично одговорен.
• Да не дозволи Услугите да се користат за испраќање измамнички, вознемирувачки или лажни пораки.
• Да не ги користи услугите за апликации со кои се копаат крипто валути.
• Да не скенира надворешни мрежи или ИП адреси.
• Да не лажира изворни ИП адреси.
• Да ги користите услугите на таков начин што не го загрозува интегритетот и достапноста на мрежите, серверите и податоците на трети страни.
• Да не ги користите услугите за извршување (d)DOS напади или да употребува апликации кои се способни да ги извршуваат овие дејства.
• Да направи резервни копии од податоците.

Член 12 - Оградување од гаранција и ограничување на одговорноста

12.1. Освен таму каде што јасно е назначено во овој документ, услугите се даваат „како што се“, и одговорноста на Операторот за штетата настаната поради или во врска со извршување на Договорот е ограничена само на намерни акти предизвикани од Операторот, притоа одговорноста на Операторот може да биде до максимален износ на еден месечен надоместок за Услугите, сметано по инциден настанат во одреден месец. Ниту Операторот, ниту некој друг вклучен во создавањето, производството, давањето (вклучувајќи и суспензијата или исклучувањето на Услугите) или поддржување на Услугите нема да биде одговорен кон Претплатникот, негов претставник или трета страна, за сите индиректни, случајни, посебни, казнени или последични штети што произлегуваат од Услугите или одговорноста за користење на Услугите, вклучувајќи, но не ограничувајќи се на загубата на приход, загубата на добивка, загубата на технологија, правата или услугите.

12.2. Операторот нема да биде одговорен за незаконско користење или злоупотреба на Услугите, ниту за содржината на информациите пренесени од Претплатникот или други страни.

Член 13 - Дополнителни одредби

13.1. Користењето на услугите што ги обезбедува Операторот може да биде прекинато поради дејство на виша сила. Под виша сила се подразбира настан независен од волјата на договорните страни, чие настапување не можело да се спречи или предвиди и поради кои исполнувањето на обврските од договорот станало отежнато или неможно, вклучувајќи, но не ограничувајќи се на: природни настани, општествени настани (штрајк, немири, војна), акти на јавна власт. Операторот нема да сноси никаква одговорност кон Претплатникот поради прекин на неговите услуги, предизвикан од настан на виша сила.

13.2. Ниту една Страна не претставува агент или правен застапник на другата Страна, и овој Договорот не создава партнерство, заедничко вложување или доверливи односи меѓу Операторот и Претплатникот. Никоја Страна нема овластување за да се согласи во име на или да ја обврзе другата Страна на каков било начин. Овој Договорот не дава права, правни лекови или побарува од каков било вид на трета страна, вклучувајќи, но не ограничувајќи се на претплатниците или крајните корисници на Претплатникот.

13.3. Комуникацијата помеѓу Операторот и Претплатникот (известување, фактура, жалба, друг вид на комуникација) се одвива во писмена форма. Доставувањето на писмената комуникација се врши со лично предавање од страна на Операторот/Претплатникот или во електронска форма преку е-пошта. Во итни случаи, Операторот може прво да даде само усно известување. Ваквото усно известување ќе биде проследено со писмено известување најдоцна во рок од 1 (еден) ден.

13.4. Претплатникот ќе контактира со Операторот на контакт деталите наведени на веб страната https://interspace.com/mk/contact. Операторот ќе го контактира претплатникот на деталите за контакт што Претплатникот ги внел во корисничкиот контролен панел My Interspace, на која се пристапува на веб адресата https://my.interspace.com. Претплатникот е одговорен за точноста на деталите за контакт дадени во My Interspace.

13.5 Во случај на стечај и ликвидација Операторот е должен да го информира клиентот преку писмено известување и да обезбеди временска рамка од 30 (триесет) дена за превземање на податоците од виртуелните сервери од страна на клиентот.

Член 14 - Завршни одредби

14.1. Сите спорови меѓу Страните ќе се решаваат спогодбено. Доколку спорот не може да се реши на мирен начин, надлежен е Основниот суд Скопје II во Република Северна Македонија. Овој договор ќе се толкува во согласност со позитивните законски одредби на Република Северна Македонија.

14.2. Со правење на нарачка користејќи го Формуларот за нарачка, Претплатникот потврдува дека го прочитал овој договор во целост и се согласува да биде обврзан со неговите одредби.

Содржина

1. ВОВЕД

2. МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
2.1 Основи на управувањето со ризици
2.1.1. Закана
2.1.2 Ранливост
2.1.2 Зошто е важно да се управува со ризикот?
2.2 Оценка на ризик
2.2.1 Квантитативна оценка на ризик
2.2.2 Квалитативна оценка на ризик
2.2.3 Идентификување на закани
2.2.4 Идентификување на ранливости
2.2.4 Менаџирање на ризикот

3. ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
3.1 Технички мерки
3.1 Мерки за известување на засегнатите страни при безбедносен инцидент
3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци
3.1.2 Известување од Операторот до претплатникот

4. ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА

4.1 Одржување на висок квалитет и достапност на пасивната мрежа
4.2 Одржување на висок квалитет и достапност на активната мрежа
4.3 Одржување на достапност со напреден мониторинг систем
4.4 Одржување на достапност со служба за интервенции 24/7
4.5 Одржување на достапност преку редундантна архитектура

5. БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

5.1 Кои информации се собираат
5.2 За што се користат податоците
5.3 Обезбедување безбедност и интегритет на личните податоци
5.3.1 Физички мерки
5.3.2 Процедурални мерки
5.3.3 Техничи мерки

6. КОНТАКТ ПОДАТОЦИ

6.1 Назив и седиште на операторот
6.2 Податоци за офицерот за заштита на личните податоци
6.3 Податоци за одгвоорно лице за информациска безбедност и за известување за нарушување на безбедноста

1. Вовед

ИНТЕРСПАЦЕ ДООЕЛ Скопје (понатаму во текстот „Оператор“) ја воведува оваа политика за безбедност со цел соодветно да управува со ризиците и безбедноста на мрежата и услугите, како и со интегритетот на мрежата и континуитетот на услугите. Дополнително, бидејќи Операторот во дел од своето работење соработува со компании со седиште во ЕУ, истиот преку оваа политика за безбедност има за цел своето работење да го усогласи со прописите и насоките на Европската Унија (понатаму во текстот „ЕУ’), особено во делот за безбедно информатичко општество и зајакнување на безбедноста и отпорноста на виталните инфраструктури за информатички коомуникациски технологии.

Преку оваа политика за безбедност потребно е да се постигнат следните цели:

1. Да се обезбеди безбедност и интегритет на јавните електронски комуникациски мрежи и услуги.
2. Да се специфицираат активностите кои што треба да се преземат при нарушување на безбедноста на личните податоци..
3. Да се доставува известување до Агенцијата за електронски комуникации во случај на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежата или услугите.

Во однос на безбедност и интегритет на мрежата (и континуитетот на услугите), целта е обезбедување на следните точки:

1. Употреба на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Употреба на соодветни чекори за да се гарантира интегритетот на мрежата.
3. Да се известува органот со значително влијание врз работењето на мрежите за безбедносните инциденти.

Во однос на безбедност при обработка на лични податоци целта е обезбедување на следните точки:

1. Користење на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Користење на мерки за осигурување на безбедноста на обработката на лични податоци, како и 
3. Да се известува органот со значително влијание врз работењето на мрежите за повреди на личните податоци, а по потреба да се комуницираат со засегнатите корисници.

Политиката на безбедност ќе биде специфицирана во неколку поглавја, и тоа:

• МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
• ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
• ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА
• БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

2. Менаџирање со генералните безбедносни ризици

2.1 Основи на управувањето со ризици

Во контекст на безбедноста во информациските и комуникациските технологии ("ИКТ"), манаџирање со ризиците претставува процес на спознавање и реакција на факторите кои предизвикуваат губење на приватноста, интегритетот и достапноста на системите. Ризик во ИКТ системите претставува потенцијална штета која може да настане на одреден процес или информација која е дел од тој процес, како резултат на намерна или ненамерна активност. Ризикот може да се претстави како функција на веројатноста за појава на одредена закана за остварување на одредена потенцијална ранливост, и последицата која може да настане како резултат на тој настан.

2.1.1. Закана

Закана претставува потенцијалот за појавување на извор на закана кој може намерно или ненамерно да предизвикува специфична ранливост. Извор на закана може да биде: а) активност или метод насочен кон намерна злоупотреба на ранливост, или б) ситуација или метод кој може случајно да предизвика ранливост.

Заканата може да се претстави едноставно како потенцијал за искористување на одредена ранливост. Заканите сами по себе не се активност. Заканите постануваат опасност кога се комбинираат со извор на закана. Оваа динстикција е важно да се направи при оценка и управување со ризиците, бидејќи секој извор на закана може да биде асоциран со различна околина.

2.1.2 Ранливост

Ранливоста се дефинира како мана или слабост во процедурите за системска безбедност, дизајн и импементација, или во внатрешните контроли кои може намерно или ненамерно да се пореметат, резултирајќи во безбеносен пробив. Ранливоста може да биде мана или слабост во сите аспекти на ИКТ системите. 

Ранливостите не секогаш се однесуваат на техничките заштити обезбедени од техничките системи.  Значајни ранливости може да постојат и во стандардните оперативни процедури кои ги извршуваат администраторите. На пример, процедурата за ресетирање на лозинка или несоодветно читање на логови, од страна на техничката поддршка. 

2.1.2 Зошто е важно да се управува со ризикот?

Примарните цели за управување со ризиците се:

• Безбедност и интегритет на мрежата.
• Обезбедување на континуитет на услугите.
• Безбедност при чување и обработка на лични податоци.
• Заштита на деловниот успех и мисијата на Операторот.

Според горенаведеното, управување со ризиците претставува функција на ниво на менаџмент, а не само техничка функција. Разбирањето на потребата од менаџирање со ризиците му овозможува на Операторот да ги зашти и сочува корисниците на неговите ИКТ системи, што на долг рок влијае на опстанок на Операторот на пазарот. 

2.2 Оценка на ризик

Ризикот се оценува преку а) идентификација на закани и ранливости, и б) одредување на веројатноста за случување и последиците од неговото настанување. Основниот процес на оценка на ризикот е образложен подолу.

2.2.1 Квантитативна оценка на ризик

Квантитативна оценка на ризик опфаќа доделување на вредности на информациите, системите, деловните процеси, трошоците за поправка и сл., поради што последиците и ризиците можат да се мерат во директни и индиректни трошоци. Квантитативниот ризик може математички да се изрази како математички Годишна веројатност за загуба, и истата претставува очекуваната финансиска загуба поради одреден ризик која може да настане во период од една година. Математичката формула е следна:

Годишна веројатност за загуба = Веројатност за едно случување * Годишна стапка на случување 

2.2.2 Квалитативна оценка на ризик

Квалитативна оцена на ризик претпоставува дека има ниво на несигурност во одредување на веројатноста за појавување и последиците од ризикот, при што веројатноста за ризик и последиците се дефинираат преку квалитативни податоци, наместо исклучиво врз база на квантитативни податоци. 

Генерално, квалитативната оценка на ризик резултира во поставување на ризикот во една од овие три нивоа: висок, среден, низок. Поставување на ризикот во рамките на едно од овие три нивоа, овозможува едноставно да се искуминицира оценката на ризикот низ одговорните структури на Операторот.

2.2.3 Идентификување на закани

За да се направи соодветна оценка на ризикот, потребно е да се идентификуваат заканите но и изворите на заканите.  Листата подолу опфаќа спецификација на генералните закани и извори на закани.

Назив/опис:

• Случајно разоткривање.
• Неовластено или случајно издавање на класифицирана, лична или сензитивна информација.
• Промена на софтвер.
• Намерна модификација, додавање или бришење на оперативниот систем или програмите кои работат на него, од страна на авторизирани или неавторизирани лица, кое доведува до компромитирање на приватноста, достапноста или интегритетот на податоците, програмите, системите или ресурсите кои се под контрола на афектираниот систем или апликација. Извор на вакви закани може да бидат вируси, тројански коњи, злобен код (malicious code) , trapdoors и слично.
• Користење на капацитет на проток (Bandwidth).
• Намерно или ненамерно користење на комуникацискиот капацитет за проток, за потреби надвор од предвидените со договорот, како на пример за пренос на податоци преку кои се вознемируваат и лажат трети лица, кои предизвикува моментална и сериозна закана за јавниот ред, безбедност, здравјето на луѓето или средината, и други тип на користење на комуникацијата кој е забранета со позитивните законски прописи. 

Прекин на електрична енерија:

• При прекин на електрична енергија може да дојде до не можоност да се користат ИКТ системите како и да настане ненамерна модификација или уништување на податоците.

Намерна промена на податоци:

• Намерна модификација, додавање или бришење на податоци, од страна на авторизирано или неавторизирано лице, што доведува до компромитација на приватноста, достапноста или интегритет на податоците кои се генерираат, процесираат, контролираат или чуваат во системите за обработка на податоци.

Системска грешка:

• Случајна или ненамерна грешка при инсталација, конфигурација или надоградба на хардвер, софтвер или комуникациска опрема.

Телекомуникациски дефект или прекин:

• Секој комуникациски линк, единица или компонента на телекомуникацискиот систем кој поради неисправност може да доведе до дефект или прекин на преносот на податоци преку телекомуникациските канали.

Дела на природата:

• Сите типови на природни непогоди (земјотрес, невреме, итн) кои можат да му наштетат или да го афектираат системот/апликацијата. Овие непогоди можат да водат до делумна или целосна недостапност, и на тој начин да влијаат на достапноста на системите и услугите.

2.2.4 Идентификување на ранливости

Се применуваат следните методи за идентификување на ранливости:

• Скенери на ранливост. Се однесува на софтвер преку кој се испитува оперативниот систем, мрежната апликација или код, за некои од познатите мани и пропусти, споредувајќи го системот со база од записи за маани и пропусти.
• Пенетрациски тестови. Се однесува на намерен обид од страна на лице задолжено за безбедносни анализи на Операторот, за извршување активности за предизвкување закана на ИКТ системите. 
• Ревизија на контролни процеси на оперативата и менаџментот. Длабока анализа и ревизија на контролните процеси на оперативата и менаџментот, преку споредба на тековната пракса и процедурите со процедурите кои се унапредена или најдобра пракса во дејноста.  

Дополнително, се прави листа на ранливости кои секогаш се испитуваат при секоја оценка на ризик, со што се овозможува минимално ниво на конзистентност при оценката. Исто така, ранливостите кои се откриваат во претходен процен на оценување на ИКТ системите се вклучуваат во идните процеси на оценување. Ваквиот начин на делување овозможува да се спознаат подобро начините за управување со ризикит кои биле ефиктивни.

При генерирање на листата на можни ранливости, Операторот прави консултација со архивите на познати вендори за евиденција на ранливостите, и тоа: 

• Common Vulnerabilities and Exposures (CVE -  http://cve.mitre.org).
• National Vulnerability Database (NVD - http://nvd.nist.gov).

2.2.4 Менаџирање на ризикот

Се користат две основни стратегии за менаџирање со ризикот, и тоа: ублажување и избегнување. Истите се образложени подолу:

• Ублажување. Опфаќа активности и процеси за намалување на веројатноста и можните последици повразни со одредена маана или пропуст на ИКТ системите. Честа активност за ублажување на ризик за техничка маана е да се инсталира patch обезбеден од вендорот на опремата. 
• Избегнување. Се однесува на активност за елиминирање на ранливиот дел од системот или дури и на целиот систем. На пример, доколку при оценка на ризикот се утврди дека корисничиот веб портал кој се користи за приказ на искористениот сообраќај има мана при што еден претплатник може да види искористеност за друг претплатник, тогаш се пристапува кон поправка на кодот.

3. Заштита на крајните корисници

Операторот користи процедури опишани во поглавје 2 за управување со ризикот, во насока на спречување на случки кои можат да доведат до прекин и злоупотреба на линијата која корисниците ја користат за електронска комуникација. 

Дополнително, Операторот ги применува следните мерки во поглед на заштита на крајните корисници:

3.1 Технички мерки

Се применуваат следните мерки за заштита на крајните корисници:

• Корисничката линија за достава на електронско комуникациска услуга се доставува кај претплатникот како посебен broadcast домен, односно се изолира со користење на VLAN технологија. Ова оневозможува пристап на ниво на ист етернет broadcast домен од други корисници во рамки на мрежата на Операторот. Во поглед на осигурување дека VLAN технологијата ќе обезбеди изолација, Операторот ги користи практика на задолжително тагирање на пакетите кога поминуваат низ портите со коректниот VLAN таг, недозволувајќи не тагирани пакети или погрешно тагирани пакети да се пренесуваат во рамките на мрежата.
• Операторот врши редовни скенирања на корисничката линија за утврдување на ранливоста која овозможува серверот на доменскиот именски систем (доколку претплатникот го има) да се злоупотреби за правење глобални ДДОС напади. 

3.1 Мерки за известување на засегнатите страни при безбедносен инцидент

Безбедносен инцидент претставува нарушување на безбедноста што има значително влијание врз оперирањето на електронската комуникациска мрежа или услуга. При појава на безбедносен инцидент кој имал значително влијание врз функционирањето на мрежите или услугите, Операторот праќа известување за истите до засегнатите страни, и превзема актвности кои што оператерите треба да ги превземат при нарушување на безбедноста на личните податоци. 

Овие исвестувања ги опфаќаат следните страни:

3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци

Операторот праќа известување до Дирекцијата за заштита на личните податоци веднаш, но не подоцна од 24 часа од моментот на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежите или услугите . Известувањето се доставува по електронски пат на следната електронска пошта [email protected]. Прилогот во електронската пошта се доставува со електронски потпис од страна на одговорното лице на Операторот.

3.1.2 Известување од Операторот до претплатникот

Ако нарушувањето на безбедноста на личните податоци може негативно да влијае на личните податоци или приватноста на претплатникот или на друго физичко лице, Операторот дополнително го известува односниот претплатник (правно или физичко лице).

4. Одржување на достапност на мрежата

За подобро да се опслужат корисниците, Операторот е целосно посветен да осигура стабилност и конзистентен квалитет на услугите. Во рамките на оваа посвета, Oператорот дава максимални напори да обезбеди постојана достапност на Услугите. Операторот ги користи мерките и практиките опишани подолу директно и/или индиректно влијаат на обезбедување висока достапност на услугите Користејќи вакви практики во пасивниот сегмент на мрежата, води кон обезбедување висок процент на достапност и намалена веројатност за прекин на услугите.

4.1 Одржување на висок квалитет и достапност на пасивната мрежа

Секоја фибер оптичка конекција се прави преку сплајс со фузија и се верификува со ОТДР тестови. Не се користат механички сплајсови бидејќи истите имаат краток животен век, и ги зголемуваат шансите за дефект. Одговорни лица за одржување на пасивната мрежа прават редовни теренски инспекции на мрежата за да се осигураат дека истата е во функционална состојба. 

Секој претплатник е поврзан со архитектура точка-до-точка, при што не се користи хPON технологија и оптички сплитери. Избегнувањето на оптички сплитери ја намалува веројатноста за појава на дефект, бидејќи има полку „алки во синџирот“ кои можат да создадат дефект.

4.2 Одржување на висок квалитет и достапност на активната мрежа

Операторот користи исклучиво Етернет технологија за достава на услугите. Линиите се верификуваат со интернационално стандардизиран RFC2544 Етернет тест, намалувајќи ги шансите за превид на лошо изработен линк при пуштање на линијата во употреба.

4.3 Одржување на достапност со напреден мониторинг систем

Операторот користи 24/7 постојано активен мониторинг систем, за интерконекциските линкови, за јадрото на мрежата како и за секој интефејс кој води кон претплатник. Мониторинг системот прави длабоки анализи на линковите до најниско ниво на проверка, и веднаш ги информира службите кои во моментот се одговорни за техничка подршка. 

Во поглед на проверки за линковите кон глобалниот Интернет, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за интерконекција со глобалниот провајдер.
• Ping и traceroute од нашата мрежа кон глобалните провајдери, ping и traceroute од надворешна мрежа од европа кон нашата мрежа. 
• Во случај на детекција на предупредување или дефект на еден до интерконекциските провајдери, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линковите за јадрото на мрежата на Операторот („Јадро“), на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за конекција до секој uplink порт на L2/L3 уред дел од Јадрото.
• Статус на температура на секој L2/L3 уред дел од Јадрото.
• Статус на исправност на хардверот на секој L2/L3 уред дел од Јадрото.
• Статус на искористеност на CPU и RAM на секој L2/L3 уред дел од Јадрото.
• Статус на ДНС сервер, доколку уредот има таква функција.
• Во случај на детекција на предупредување или дефект на дел од Јадрото, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линијата за секој претплатник, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата која преставува конекција кон претплатничката корисничка терминална опрема. 
• Во случај на детекција на предупредување или дефект на линијата, вклучувајќи и намалено ниво на светлина кое може да настане поради превткување на оптички кабел, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

4.4 Одржување на достапност со служба за интервенции 24/7

Операторот обзебедува 24/7 служба за техничка подршка. Оваа служба го користи 24/7 постојано активниот мониторинг систем опишан во поглавје 4.3, за увид и реакција во поглед на прекини и дефекти на услугите предупредувачки знаци кои можат да доведат до прекини и дефекти. По потреба, службата за техничка подршка ангажира лица за излагање на терен за поправка на дефект во пасивниот или активниот сегмент на мрежата, кои се на располагање 24/7.

4.4 Одржување на достапност преку редундантна архитектура

Нашата мрежа во Македонија базира на повеќе точки на присуство, кои се заштитени со географски независни и заштитени (редундантни) линкови до јадрото. Истите се стратешки поставени да бидат што поблиску до претплатниците со цел да се намали веројатноста. 

Во поглед на нашата поврзаност со остатокот од светот за Интернет пристап како и за меѓународни приватни врски, истата се остварува со конекции кон повеќе глобални и регионални провајдери, обезбедни преку географски независни и заштитени (редундантни) линкови.

5. Безбедност и интегритет на личните податоци

Операторот е посветен на заштита на личните податоци. Подолу се образложени потребните информации за лична идентификација, како и начинот на обезбедување на безбедност и интегритет на истите. Под терминот лично идентификувачки информации подразбираме информации со кои може да се идентификува едно лице.

5.1 Кои информации се собираат

Ние ги собираме и обработуваме следните лично идентификувачки податоци:

• Во случај на правни лица, ги собираме следните информации: Назив на правно лице, адреса, телефонски број, емаил адреса,  единствен даночен број и единствен матичен број. Во случај на физички лица, ги собираме следните информации: Име/Презиме, адреса, телефонски број и емаил адреса. Овие информации се собираат при пополнување на нарачка за некоја од услугите.
• Детали за финансиските трансакции кои се настанати поради подмирување на обврските поврзани со услугите.
• Запис од комуникацијата која настанува кога не контактирате по емаил, пошта или телефон.
• Информации за конфигурацијата, типот и квантитетот на телекомуникациските услуги кои ги користат корисниците.

5.2 За што се користат податоците

Ние сериозно пристапуваме на приватноста на нашите корисници, целосно почитувајќи го правото на приватност на претплатникот. Лично идентификувачки информации ќе бидат собирани, обработени, зачувани за следните намени:

• Да ги процесираме нарачките и договорите со корисниците.
• Да овозможиме пристап на корисниците до веб портал преку кој може да се следи искористеноста на сообраќајот.
• Да доставиме известување во однос на услугите.
• Да доставиме фактура во однос на услугите.
• Да анализираме како ги користите услугите, како на пример да анализираме за просечното ниво на искористеност на капацитетот за проток, со цел да предложиме решение во случај на проблем.
• Да истражиме поплаки од корисниците.
• Да ја поставиме приближната локацијата на претплатникот во мониторинг системот, со цел побрза реакција при поправка на дефект.
• Да ги доставиме информациите до соодвените државни институции во случај на правен спор, детекција на криминал и други активности кои се спротивни на Законот за електронски комуникации или друг закон или пропис.

5.3 Обезбедување безбедност и интегритет на личните податоци

Имаме воспоставено разумни физички, технички и организациски мерки дизајнирани со цел да обезбедат околина каде личните информации ќе бидат обезбедени од случајно губење или неовластен пристап. Безбедносните мерки се поставени да осигураат заштита во поглед на губење, злоупотреба или модификација на информациите кои се под наша контрола. Добро е да се напомене дека технологијата, колку и да е напредна, со тек на време станува ранлива материја поради што не може 100% да се гарантира дека неовластени трети страни никогаш нема да бидат во можност да го пробијат безбедносните мерки и таквиот пробив да го искористат за несоодветни цели.

Операторот ги користи следните мерки за обезбедување безбедност и интегритет на личните податоци.

5.3.1 Физички мерки

Физичките мерки се однесуваат на мерки за заштита во поглед на кражба, упад или друг неавторизиран пристап до обејктите, мрежата и останатата технологија на Операторот. Физичките мерки се дадени подолу:

• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се ограничени за пристап само на овластени лица. 
• Објектите на Операторот имаат обезбедување од страна на лица задолжени за безбедност.
• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се под постјоан видео надзор.

5.3.2 Процедурални мерки

Процедуралните мерки се специфицирани во листата подолу:

• Операторот следи процедури за да се осигура дека само авторизирани лица имаат пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци. Авторизација на сметка поврзана со одреден администратор, за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, се прави само од страна на управителот на Операторот. Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап..
• Лицата кои се авторизирани за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, потпишуваат договор со Операторот за користење на личните податоци на корисниците само за нивната намена опишана во поглавје 5.2.

5.3.3 Техничи мерки 

Техничките мерки се специфицирани во листата подолу:

• Доверливите информации за корисниците мора да се пренесуваат сигурно. При комуникација на овие податоци преку емаил системите, воспотавена е рамка за задолжителна употреба на шифрирана комуникација со помош на методот Transport Layer Security (TLS) кој е индустриски признат стандард заснован на Secure Sockets Layer (SSL) технологијата за енкрипција на емаил комуникација.
• Личните информации за корисниците кои се правни лица, и тоа: назив на правно лице, адреса, телефонски број, емаил адреса, единствен даночен број и единствен матичен број; се чуваат во енкриптирана форма при што шифрирањето и дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита, дополнителнно истите се комуницираат на сигурен начин преку енкриптирана комуникација со методата TLS. 
• Личните информации за корисниците кои се физички лица, и тоа име/презиме, телефонски број и емаил адреса; се чуваат во шифрирана форма при што шифрирањето/дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита. При електронска комуникација на истите, се користи сигурна комуникација со TLS методата.
• Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап.

6. Контакт податоци

6.1 Назив и седиште на операторот

ИНТЕРСПАЦЕ Д.О.О.Е.Л. СКОПЈЕ
Бул. Јане Сандански 109А, кат 3 , 1000 Скопје

6.2 Податоци за офицерот за заштита на личните податоци

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

6.3 Податоци за одговорно лице за информациска безбедност и за известување за нарушување на безбедноста

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

Член 1 - Предмет и опфат

1.1. Следните правила и услови претставуваат договор помеѓу компанијата ИНТЕРСПАЦЕ ДООЕЛ Скопје (Адреса: бул. Јане Сандански 109А, кат3, Скопје, Северна Македонија) во својство на обезбедувач на услуги (понатаму во текстот „Оператор“)  и субјектот што ги нарачува и користи услугите (понатаму во текстот „Претплатник“), исто така понатаму во текстот поединечно наречени „Страна“ или колективно наречени „Страни“.

1.2. Предмет на овој договор е воспоставување и утврдување на претплатнички однос помеѓу Операторот и Претплатникот за давање услуги за хостирање на клауд ВПН систем, и правата и обврските за страните кои произлегуваат од тоа.

1.3 Го задржуваме правото, по наша дискреција, да направиме измени на овие услови и правила со претходно известување на Претплатникот.

Член 2 - Услуги и рок

2.2 Деталите за Услугите се дадени во формуларот за нарачка (во натамошниот текст „Формулар за нарачка“). Формуларот за нарачка содржи информации за видот на услугите, висината на трошоците за услугите и други релевантни информации за услугите. Во согласност со овој договор, Операторот ќе ги обезбеди услугите избрани во Формуларот за нарачка (во натамошниот текст „Услуги“).

2.3. Овој договор е склучен на неограничен временски период освен ако не е поинаку договорено.

2.4. Овој договор може да биде раскинат во секое време, како што е наведено во член 6 и член 7. Минималното времетраење на договорот е еден месец.

Член 3 - Надоместоци за услугите и наплата

3.1. Претплатникот се согласува да плаќа месечна претплата за Услугите наведени во Формуларот за нарачка на овој договор, вклучувајќи го и данокот на додадена вредност.

3.2. Фактурите за месечната претплата наведена во член 3.1 од овој договор операторот ги издава и ги испраќа до Претплатникот во електронска форма на првиот ден од тековниот месец, а доспеваат во рок од 12 дена од денот на издавањето. Фактурирањето на услугите започнува од денот кога започнува обезбедувањето на услугите. Операторот ќе го пресмета и додаде износот на ДДВ 18% кој ќе биде испишан посебно, а истиот ќе го плати Претплатникот.

3.3 Во случај на доцнење на плаќањето од страна на Претплатникот, Операторот има право да наплати казна во форма на камата утврдена со закон, пресметана од денот на изминување на датумот на доспевање до плаќањето, а пресметаниот износ на казната ќе да се додаде во фактурата за следната месечна претплата.

Член 4 - Ограничување или престанок на пристапот

4.1. Операторот може, без согласност од Претплатникот, привремено да го ограничи или прекине пристапот до Услугите, во следниве случаи:

• Доколку тоа е неопходно за потребите на реконструкција, модернизација, одржување или во случај на технички проблеми или недостатоци во мрежата, до завршување на работите или отстранување на проблемите.
• Доколку има технички проблеми со претплатничката опрема или инсталации, до отстранување на истите или доколку Претплатникот не дозволи проверка на функционалноста на неговата опрема или инсталации, до завршување на проверката.
• Доколку Претплатникот не ја плати фактурата за месечната претплата до датумот наведен во фактурата до целосното плаќање, освен во случај на жалба во однос на износот на фактурата, во тој случај Претплатникот ќе го плати износот на месечна претплата до датумот наведен во фактурата.
• Доколку услугите се користат или посветени да се користат за цели спротивни на Законот за електронски комуникации на Северна Македонија и соодветните прописи или други закони или прописи, како што е определено од надлежниот орган, или тие се користат или посветени да се користат за цел спротивна на одредбите и условите на овој договор.

4.2. Во случај на планирани технички работи, поврзани со интервенција во мрежата и опремата, Операторот навремено ќе достави информации до Претплатникот во кои ќе ги наведе причините за недостапноста на Услугите и очекуваното време за враќање на нивната функционалност.

Член 5 - Исклучување на Претплатникот

5.1. Операторот може да го ограничи или исклучи пристапот до Услугите за Претплатникот само во случај кога Претплатникот не ги исполнил своите обврски или не постапил во согласност со условите наведени во овој договор. Во случај на прекршување на одредбите од овој договор, Операторот треба писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски. Операторот не треба однапред да го информира Претплатникот за ограничувањето или исклучувањето, доколку преку користење на Услугата Претплатникот:

• Предизвикува моментални и сериозни закани за јавниот ред, безбедноста, здравјето на луѓето или животната средина или предизвикува голема материјална или оперативна штета.
• Предизвикува непосредна закана за мрежата или опремата на Операторот, или способност за обезбедување услуги на други претплатници.

5.2. Доколку е технички возможно, Операторот има право да го ограничи пристапот само до оние Услуги за кои Претплатникот не постапил според условите наведени во овој Договор, освен во случаи на злоупотреба утврдена од надлежниот орган и континуирано доцнење со плаќање или не -плаќање на сметките.

Член 6 - Раскинување на договорот од страна на Операторот

6.1. Операторот може да го раскине договорот во рок определен со овој договор, особено:

• Доколку Претплатникот не ги исполни своите обврски од договорот.
• Доколку Услугите се користат или се наменети да се користат за цел спротивна на условите од овој договор.
• Во случај кога со судска одлука Претплатникот е избришан од соодветниот регистар.
• Во случај на стечај или ликвидација или неликвидност на Претплатникот, доколку правото на користење на услугата не е пренесено на друго лице, во рок определен од Операторот.
• Во случај на злоупотреба на услугите од страна на Претплатникот, за цели спротивно на соодветните закони и прописи дефинирани од надлежен орган во Северна Македонија.
• Доколку Операторот не може да ги обезбеди услугите, поради виша сила, подолго од 6 месеци.
• Во случај на смрт на Претплатникот, доколку правото на користење на услугата не се пренесе на друго лице во рок од шест месеци.

Член 7 - Раскинување на договорот од страна на Претплатникот

7.1. Претплатникот може да го раскине овој договор во секое време по претходно поднесено барање за откажување на Услугите.

7.2. Договорот се смета за раскинат од последниот ден од месецот во кој е примено писменото барање. По раскинувањето на овој договор, Претплатникот ќе биде одговорен да ги плати сите трошоци направени од него, кои треба да се фактурираат со задоцнување или се фактурирани, а не се платени од страна на Претплатникот.

Член 8 - Права на операторот

8.1. Операторот ги има следните права:

• Наплата на побарувањата од Претплатникот или негов правен следбеник.
• Исклучување или деактивирање на Услугите, поради задоцнето плаќање или неплаќање на сметките од страна на Претплатникот.
• Да ги измени техничките карактеристики на мрежата и услугата, со цел да обезбеди подобар квалитет и можност за користење нови услуги.
• Да побара податоци од Претплатникот, кои ќе се користат за склучување, супервизија и раскинување на претплатничкиот договор, како и податоци за наплата на долг.

Член 9 - ОБВРСКИ НА ОПЕРАТОРОТ

9.1. Операторот ги има следните обврски:

• Да обезбеди пристап и активирање на услугите во рамките на периодот утврден во Нарачката.
• Да гу чува и користи податоците за претплатниците и услугите во согласност со соодветните закони и прописи.
• Во случај на прекршување на одредбите од овој договор, писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски.
• Да обезбеди одржување на мрежата и опремата, на начин што овозможува непрекинато давање услуги, и во рамките на техничките можности да ја отстрани пречката во мрежата и опремата, колку е можно побрзо.
• Да добие согласност од Претплатникот за информациите потребни за директен маркетинг, преку користење на автоматски систем за јавување и/или праќање СМС/МС пораки, без човечка интервенција.
• Да овозможи пренос на правото на користење Услугите на друг субјект, по барање од Претплатникот.
• Да обезбеди техничка поддршка 24x7 за Претплатникот преку телефон и емаил.

Член 10 - Права на претплатникот

10.1. Претплатникот има право на:

• Да ги добива Услугите без прекини, ефикасно и редовно, согласно техничките можности Претплатникот и можностите на техничката инфраструктура на Операторот.
• Да побара од Операторот пренесување на правото на користење на Услутите на друго лице. Операторот може да го одбие барањето доколку утврди дека другото лице не може да ги исполни договорните услови.

Член 11 - Обврски на Претплатникот

11.1. Претплатникот ги има следните обврски:

• Навремено да ги плаќа фактурираните износи за користените Услуги, до датумот назначен во фактурата.
• Услугите да ги користи за свои потреби и според нивната намена, да не им пречи на другите корисници, и да не ги користи за пренос на податоци или за цели спротивни на законите и прописите на Република Северна Македонија, како и одредбите наведени во овој договор.
• Да не презема активности коишто ќе му наштетат на интегритетот на мрежата или ќе предизвикаат оштетување.
• Да не ги обелоденува своите лични шифрирани податоци на трети лица. Во однос на штети настанати поради објавување на личните шифрирани податоци поради вина на Претплатникот, Претплатникот ќе биде лично одговорен.
• Да не дозволи Услугите да се користат за испраќање измамнички, вознемирувачки или лажни пораки.
• Да не ги користи услугите за апликации со кои се копаат крипто валути.
• Да не скенира надворешни мрежи или ИП адреси.
• Да не лажира изворни ИП адреси.
• Да ги користите услугите на таков начин што не го загрозува интегритетот и достапноста на мрежите, серверите и податоците на трети страни.
• Да не ги користите услугите за извршување (d)DOS напади или да употребува апликации кои се способни да ги извршуваат овие дејства.
• Да направи резервни копии од податоците.

Член 12 - Оградување од гаранција и ограничување на одговорноста

12.1. Освен таму каде што јасно е назначено во овој документ, услугите се даваат „како што се“, и одговорноста на Операторот за штетата настаната поради или во врска со извршување на Договорот е ограничена само на намерни акти предизвикани од Операторот, притоа одговорноста на Операторот може да биде до максимален износ на еден месечен надоместок за Услугите, сметано по инциден настанат во одреден месец. Ниту Операторот, ниту некој друг вклучен во создавањето, производството, давањето (вклучувајќи и суспензијата или исклучувањето на Услугите) или поддржување на Услугите нема да биде одговорен кон Претплатникот, негов претставник или трета страна, за сите индиректни, случајни, посебни, казнени или последични штети што произлегуваат од Услугите или одговорноста за користење на Услугите, вклучувајќи, но не ограничувајќи се на загубата на приход, загубата на добивка, загубата на технологија, правата или услугите.

12.2. Операторот нема да биде одговорен за незаконско користење или злоупотреба на Услугите, ниту за содржината на информациите пренесени од Претплатникот или други страни.

Член 13 - Дополнителни одредби

13.1. Користењето на услугите што ги обезбедува Операторот може да биде прекинато поради дејство на виша сила. Под виша сила се подразбира настан независен од волјата на договорните страни, чие настапување не можело да се спречи или предвиди и поради кои исполнувањето на обврските од договорот станало отежнато или неможно, вклучувајќи, но не ограничувајќи се на: природни настани, општествени настани (штрајк, немири, војна), акти на јавна власт. Операторот нема да сноси никаква одговорност кон Претплатникот поради прекин на неговите услуги, предизвикан од настан на виша сила.

13.2. Ниту една Страна не претставува агент или правен застапник на другата Страна, и овој Договорот не создава партнерство, заедничко вложување или доверливи односи меѓу Операторот и Претплатникот. Никоја Страна нема овластување за да се согласи во име на или да ја обврзе другата Страна на каков било начин. Овој Договорот не дава права, правни лекови или побарува од каков било вид на трета страна, вклучувајќи, но не ограничувајќи се на претплатниците или крајните корисници на Претплатникот.

13.3. Комуникацијата помеѓу Операторот и Претплатникот (известување, фактура, жалба, друг вид на комуникација) се одвива во писмена форма. Доставувањето на писмената комуникација се врши со лично предавање од страна на Операторот/Претплатникот или во електронска форма преку е-пошта. Во итни случаи, Операторот може прво да даде само усно известување. Ваквото усно известување ќе биде проследено со писмено известување најдоцна во рок од 1 (еден) ден.

13.4. Претплатникот ќе контактира со Операторот на контакт деталите наведени на веб страната https://interspace.com/mk/contact. Операторот ќе го контактира претплатникот на деталите за контакт што Претплатникот ги внел во корисничкиот контролен панел My Interspace, на која се пристапува на веб адресата https://my.interspace.com. Претплатникот е одговорен за точноста на деталите за контакт дадени во My Interspace.

Член 14 - Завршни одредби

14.1. Сите спорови меѓу Страните ќе се решаваат спогодбено. Доколку спорот не може да се реши на мирен начин, надлежен е Основниот суд Скопје II во Република Северна Македонија. Овој договор ќе се толкува во согласност со позитивните законски одредби на Република Северна Македонија.

14.2. Со правење на нарачка користејќи го Формуларот за нарачка, Претплатникот потврдува дека го прочитал овој договор во целост и се согласува да биде обврзан со неговите одредби.

Содржина

1. ВОВЕД

2. МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
2.1 Основи на управувањето со ризици
2.1.1. Закана
2.1.2 Ранливост
2.1.2 Зошто е важно да се управува со ризикот?
2.2 Оценка на ризик
2.2.1 Квантитативна оценка на ризик
2.2.2 Квалитативна оценка на ризик
2.2.3 Идентификување на закани
2.2.4 Идентификување на ранливости
2.2.4 Менаџирање на ризикот

3. ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
3.1 Технички мерки
3.1 Мерки за известување на засегнатите страни при безбедносен инцидент
3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци
3.1.2 Известување од Операторот до претплатникот

4. ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА

4.1 Одржување на висок квалитет и достапност на пасивната мрежа
4.2 Одржување на висок квалитет и достапност на активната мрежа
4.3 Одржување на достапност со напреден мониторинг систем
4.4 Одржување на достапност со служба за интервенции 24/7
4.5 Одржување на достапност преку редундантна архитектура

5. БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

5.1 Кои информации се собираат
5.2 За што се користат податоците
5.3 Обезбедување безбедност и интегритет на личните податоци
5.3.1 Физички мерки
5.3.2 Процедурални мерки
5.3.3 Техничи мерки

6. КОНТАКТ ПОДАТОЦИ

6.1 Назив и седиште на операторот
6.2 Податоци за офицерот за заштита на личните податоци
6.3 Податоци за одгвоорно лице за информациска безбедност и за известување за нарушување на безбедноста

1. Вовед

ИНТЕРСПАЦЕ ДООЕЛ Скопје (понатаму во текстот „Оператор“) ја воведува оваа политика за безбедност со цел соодветно да управува со ризиците и безбедноста на мрежата и услугите, како и со интегритетот на мрежата и континуитетот на услугите. Дополнително, бидејќи Операторот во дел од своето работење соработува со компании со седиште во ЕУ, истиот преку оваа политика за безбедност има за цел своето работење да го усогласи со прописите и насоките на Европската Унија (понатаму во текстот „ЕУ’), особено во делот за безбедно информатичко општество и зајакнување на безбедноста и отпорноста на виталните инфраструктури за информатички коомуникациски технологии.

Преку оваа политика за безбедност потребно е да се постигнат следните цели:

1. Да се обезбеди безбедност и интегритет на јавните електронски комуникациски мрежи и услуги.
2. Да се специфицираат активностите кои што треба да се преземат при нарушување на безбедноста на личните податоци..
3. Да се доставува известување до Агенцијата за електронски комуникации во случај на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежата или услугите.

Во однос на безбедност и интегритет на мрежата (и континуитетот на услугите), целта е обезбедување на следните точки:

1. Употреба на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Употреба на соодветни чекори за да се гарантира интегритетот на мрежата.
3. Да се известува органот со значително влијание врз работењето на мрежите за безбедносните инциденти.

Во однос на безбедност при обработка на лични податоци целта е обезбедување на следните точки:

1. Користење на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Користење на мерки за осигурување на безбедноста на обработката на лични податоци, како и 
3. Да се известува органот со значително влијание врз работењето на мрежите за повреди на личните податоци, а по потреба да се комуницираат со засегнатите корисници.

Политиката на безбедност ќе биде специфицирана во неколку поглавја, и тоа:

• МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
• ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
• ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА
• БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

2. Менаџирање со генералните безбедносни ризици

2.1 Основи на управувањето со ризици

Во контекст на безбедноста во информациските и комуникациските технологии ("ИКТ"), манаџирање со ризиците претставува процес на спознавање и реакција на факторите кои предизвикуваат губење на приватноста, интегритетот и достапноста на системите. Ризик во ИКТ системите претставува потенцијална штета која може да настане на одреден процес или информација која е дел од тој процес, како резултат на намерна или ненамерна активност. Ризикот може да се претстави како функција на веројатноста за појава на одредена закана за остварување на одредена потенцијална ранливост, и последицата која може да настане како резултат на тој настан.

2.1.1. Закана

Закана претставува потенцијалот за појавување на извор на закана кој може намерно или ненамерно да предизвикува специфична ранливост. Извор на закана може да биде: а) активност или метод насочен кон намерна злоупотреба на ранливост, или б) ситуација или метод кој може случајно да предизвика ранливост.

Заканата може да се претстави едноставно како потенцијал за искористување на одредена ранливост. Заканите сами по себе не се активност. Заканите постануваат опасност кога се комбинираат со извор на закана. Оваа динстикција е важно да се направи при оценка и управување со ризиците, бидејќи секој извор на закана може да биде асоциран со различна околина.

2.1.2 Ранливост

Ранливоста се дефинира како мана или слабост во процедурите за системска безбедност, дизајн и импементација, или во внатрешните контроли кои може намерно или ненамерно да се пореметат, резултирајќи во безбеносен пробив. Ранливоста може да биде мана или слабост во сите аспекти на ИКТ системите. 

Ранливостите не секогаш се однесуваат на техничките заштити обезбедени од техничките системи.  Значајни ранливости може да постојат и во стандардните оперативни процедури кои ги извршуваат администраторите. На пример, процедурата за ресетирање на лозинка или несоодветно читање на логови, од страна на техничката поддршка. 

2.1.2 Зошто е важно да се управува со ризикот?

Примарните цели за управување со ризиците се:

• Безбедност и интегритет на мрежата.
• Обезбедување на континуитет на услугите.
• Безбедност при чување и обработка на лични податоци.
• Заштита на деловниот успех и мисијата на Операторот.

Според горенаведеното, управување со ризиците претставува функција на ниво на менаџмент, а не само техничка функција. Разбирањето на потребата од менаџирање со ризиците му овозможува на Операторот да ги зашти и сочува корисниците на неговите ИКТ системи, што на долг рок влијае на опстанок на Операторот на пазарот. 

2.2 Оценка на ризик

Ризикот се оценува преку а) идентификација на закани и ранливости, и б) одредување на веројатноста за случување и последиците од неговото настанување. Основниот процес на оценка на ризикот е образложен подолу.

2.2.1 Квантитативна оценка на ризик

Квантитативна оценка на ризик опфаќа доделување на вредности на информациите, системите, деловните процеси, трошоците за поправка и сл., поради што последиците и ризиците можат да се мерат во директни и индиректни трошоци. Квантитативниот ризик може математички да се изрази како математички Годишна веројатност за загуба, и истата претставува очекуваната финансиска загуба поради одреден ризик која може да настане во период од една година. Математичката формула е следна:

Годишна веројатност за загуба = Веројатност за едно случување * Годишна стапка на случување 

2.2.2 Квалитативна оценка на ризик

Квалитативна оцена на ризик претпоставува дека има ниво на несигурност во одредување на веројатноста за појавување и последиците од ризикот, при што веројатноста за ризик и последиците се дефинираат преку квалитативни податоци, наместо исклучиво врз база на квантитативни податоци. 

Генерално, квалитативната оценка на ризик резултира во поставување на ризикот во една од овие три нивоа: висок, среден, низок. Поставување на ризикот во рамките на едно од овие три нивоа, овозможува едноставно да се искуминицира оценката на ризикот низ одговорните структури на Операторот.

2.2.3 Идентификување на закани

За да се направи соодветна оценка на ризикот, потребно е да се идентификуваат заканите но и изворите на заканите.  Листата подолу опфаќа спецификација на генералните закани и извори на закани.

Назив/опис:

• Случајно разоткривање.
• Неовластено или случајно издавање на класифицирана, лична или сензитивна информација.
• Промена на софтвер.
• Намерна модификација, додавање или бришење на оперативниот систем или програмите кои работат на него, од страна на авторизирани или неавторизирани лица, кое доведува до компромитирање на приватноста, достапноста или интегритетот на податоците, програмите, системите или ресурсите кои се под контрола на афектираниот систем или апликација. Извор на вакви закани може да бидат вируси, тројански коњи, злобен код (malicious code) , trapdoors и слично.
• Користење на капацитет на проток (Bandwidth).
• Намерно или ненамерно користење на комуникацискиот капацитет за проток, за потреби надвор од предвидените со договорот, како на пример за пренос на податоци преку кои се вознемируваат и лажат трети лица, кои предизвикува моментална и сериозна закана за јавниот ред, безбедност, здравјето на луѓето или средината, и други тип на користење на комуникацијата кој е забранета со позитивните законски прописи. 

Прекин на електрична енерија:

• При прекин на електрична енергија може да дојде до не можоност да се користат ИКТ системите како и да настане ненамерна модификација или уништување на податоците.

Намерна промена на податоци:

• Намерна модификација, додавање или бришење на податоци, од страна на авторизирано или неавторизирано лице, што доведува до компромитација на приватноста, достапноста или интегритет на податоците кои се генерираат, процесираат, контролираат или чуваат во системите за обработка на податоци.

Системска грешка:

• Случајна или ненамерна грешка при инсталација, конфигурација или надоградба на хардвер, софтвер или комуникациска опрема.

Телекомуникациски дефект или прекин:

• Секој комуникациски линк, единица или компонента на телекомуникацискиот систем кој поради неисправност може да доведе до дефект или прекин на преносот на податоци преку телекомуникациските канали.

Дела на природата:

• Сите типови на природни непогоди (земјотрес, невреме, итн) кои можат да му наштетат или да го афектираат системот/апликацијата. Овие непогоди можат да водат до делумна или целосна недостапност, и на тој начин да влијаат на достапноста на системите и услугите.

2.2.4 Идентификување на ранливости

Се применуваат следните методи за идентификување на ранливости:

• Скенери на ранливост. Се однесува на софтвер преку кој се испитува оперативниот систем, мрежната апликација или код, за некои од познатите мани и пропусти, споредувајќи го системот со база од записи за маани и пропусти.
• Пенетрациски тестови. Се однесува на намерен обид од страна на лице задолжено за безбедносни анализи на Операторот, за извршување активности за предизвкување закана на ИКТ системите. 
• Ревизија на контролни процеси на оперативата и менаџментот. Длабока анализа и ревизија на контролните процеси на оперативата и менаџментот, преку споредба на тековната пракса и процедурите со процедурите кои се унапредена или најдобра пракса во дејноста.  

Дополнително, се прави листа на ранливости кои секогаш се испитуваат при секоја оценка на ризик, со што се овозможува минимално ниво на конзистентност при оценката. Исто така, ранливостите кои се откриваат во претходен процен на оценување на ИКТ системите се вклучуваат во идните процеси на оценување. Ваквиот начин на делување овозможува да се спознаат подобро начините за управување со ризикит кои биле ефиктивни.

При генерирање на листата на можни ранливости, Операторот прави консултација со архивите на познати вендори за евиденција на ранливостите, и тоа: 

• Common Vulnerabilities and Exposures (CVE -  http://cve.mitre.org).
• National Vulnerability Database (NVD - http://nvd.nist.gov).

2.2.4 Менаџирање на ризикот

Се користат две основни стратегии за менаџирање со ризикот, и тоа: ублажување и избегнување. Истите се образложени подолу:

• Ублажување. Опфаќа активности и процеси за намалување на веројатноста и можните последици повразни со одредена маана или пропуст на ИКТ системите. Честа активност за ублажување на ризик за техничка маана е да се инсталира patch обезбеден од вендорот на опремата. 
• Избегнување. Се однесува на активност за елиминирање на ранливиот дел од системот или дури и на целиот систем. На пример, доколку при оценка на ризикот се утврди дека корисничиот веб портал кој се користи за приказ на искористениот сообраќај има мана при што еден претплатник може да види искористеност за друг претплатник, тогаш се пристапува кон поправка на кодот.

3. Заштита на крајните корисници

Операторот користи процедури опишани во поглавје 2 за управување со ризикот, во насока на спречување на случки кои можат да доведат до прекин и злоупотреба на линијата која корисниците ја користат за електронска комуникација. 

Дополнително, Операторот ги применува следните мерки во поглед на заштита на крајните корисници:

3.1 Технички мерки

Се применуваат следните мерки за заштита на крајните корисници:

• Корисничката линија за достава на електронско комуникациска услуга се доставува кај претплатникот како посебен broadcast домен, односно се изолира со користење на VLAN технологија. Ова оневозможува пристап на ниво на ист етернет broadcast домен од други корисници во рамки на мрежата на Операторот. Во поглед на осигурување дека VLAN технологијата ќе обезбеди изолација, Операторот ги користи практика на задолжително тагирање на пакетите кога поминуваат низ портите со коректниот VLAN таг, недозволувајќи не тагирани пакети или погрешно тагирани пакети да се пренесуваат во рамките на мрежата.
• Операторот врши редовни скенирања на корисничката линија за утврдување на ранливоста која овозможува серверот на доменскиот именски систем (доколку претплатникот го има) да се злоупотреби за правење глобални ДДОС напади. 

3.1 Мерки за известување на засегнатите страни при безбедносен инцидент

Безбедносен инцидент претставува нарушување на безбедноста што има значително влијание врз оперирањето на електронската комуникациска мрежа или услуга. При појава на безбедносен инцидент кој имал значително влијание врз функционирањето на мрежите или услугите, Операторот праќа известување за истите до засегнатите страни, и превзема актвности кои што оператерите треба да ги превземат при нарушување на безбедноста на личните податоци. 

Овие исвестувања ги опфаќаат следните страни:

3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци

Операторот праќа известување до Дирекцијата за заштита на личните податоци веднаш, но не подоцна од 24 часа од моментот на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежите или услугите . Известувањето се доставува по електронски пат на следната електронска пошта [email protected]. Прилогот во електронската пошта се доставува со електронски потпис од страна на одговорното лице на Операторот.

3.1.2 Известување од Операторот до претплатникот

Ако нарушувањето на безбедноста на личните податоци може негативно да влијае на личните податоци или приватноста на претплатникот или на друго физичко лице, Операторот дополнително го известува односниот претплатник (правно или физичко лице).

4. Одржување на достапност на мрежата

За подобро да се опслужат корисниците, Операторот е целосно посветен да осигура стабилност и конзистентен квалитет на услугите. Во рамките на оваа посвета, Oператорот дава максимални напори да обезбеди постојана достапност на Услугите. Операторот ги користи мерките и практиките опишани подолу директно и/или индиректно влијаат на обезбедување висока достапност на услугите Користејќи вакви практики во пасивниот сегмент на мрежата, води кон обезбедување висок процент на достапност и намалена веројатност за прекин на услугите.

4.1 Одржување на висок квалитет и достапност на пасивната мрежа

Секоја фибер оптичка конекција се прави преку сплајс со фузија и се верификува со ОТДР тестови. Не се користат механички сплајсови бидејќи истите имаат краток животен век, и ги зголемуваат шансите за дефект. Одговорни лица за одржување на пасивната мрежа прават редовни теренски инспекции на мрежата за да се осигураат дека истата е во функционална состојба. 

Секој претплатник е поврзан со архитектура точка-до-точка, при што не се користи хPON технологија и оптички сплитери. Избегнувањето на оптички сплитери ја намалува веројатноста за појава на дефект, бидејќи има полку „алки во синџирот“ кои можат да создадат дефект.

4.2 Одржување на висок квалитет и достапност на активната мрежа

Операторот користи исклучиво Етернет технологија за достава на услугите. Линиите се верификуваат со интернационално стандардизиран RFC2544 Етернет тест, намалувајќи ги шансите за превид на лошо изработен линк при пуштање на линијата во употреба.

4.3 Одржување на достапност со напреден мониторинг систем

Операторот користи 24/7 постојано активен мониторинг систем, за интерконекциските линкови, за јадрото на мрежата како и за секој интефејс кој води кон претплатник. Мониторинг системот прави длабоки анализи на линковите до најниско ниво на проверка, и веднаш ги информира службите кои во моментот се одговорни за техничка подршка. 

Во поглед на проверки за линковите кон глобалниот Интернет, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за интерконекција со глобалниот провајдер.
• Ping и traceroute од нашата мрежа кон глобалните провајдери, ping и traceroute од надворешна мрежа од европа кон нашата мрежа. 
• Во случај на детекција на предупредување или дефект на еден до интерконекциските провајдери, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линковите за јадрото на мрежата на Операторот („Јадро“), на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за конекција до секој uplink порт на L2/L3 уред дел од Јадрото.
• Статус на температура на секој L2/L3 уред дел од Јадрото.
• Статус на исправност на хардверот на секој L2/L3 уред дел од Јадрото.
• Статус на искористеност на CPU и RAM на секој L2/L3 уред дел од Јадрото.
• Статус на ДНС сервер, доколку уредот има таква функција.
• Во случај на детекција на предупредување или дефект на дел од Јадрото, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линијата за секој претплатник, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата која преставува конекција кон претплатничката корисничка терминална опрема. 
• Во случај на детекција на предупредување или дефект на линијата, вклучувајќи и намалено ниво на светлина кое може да настане поради превткување на оптички кабел, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

4.4 Одржување на достапност со служба за интервенции 24/7

Операторот обзебедува 24/7 служба за техничка подршка. Оваа служба го користи 24/7 постојано активниот мониторинг систем опишан во поглавје 4.3, за увид и реакција во поглед на прекини и дефекти на услугите предупредувачки знаци кои можат да доведат до прекини и дефекти. По потреба, службата за техничка подршка ангажира лица за излагање на терен за поправка на дефект во пасивниот или активниот сегмент на мрежата, кои се на располагање 24/7.

4.4 Одржување на достапност преку редундантна архитектура

Нашата мрежа во Македонија базира на повеќе точки на присуство, кои се заштитени со географски независни и заштитени (редундантни) линкови до јадрото. Истите се стратешки поставени да бидат што поблиску до претплатниците со цел да се намали веројатноста. 

Во поглед на нашата поврзаност со остатокот од светот за Интернет пристап како и за меѓународни приватни врски, истата се остварува со конекции кон повеќе глобални и регионални провајдери, обезбедни преку географски независни и заштитени (редундантни) линкови.

5. Безбедност и интегритет на личните податоци

Операторот е посветен на заштита на личните податоци. Подолу се образложени потребните информации за лична идентификација, како и начинот на обезбедување на безбедност и интегритет на истите. Под терминот лично идентификувачки информации подразбираме информации со кои може да се идентификува едно лице.

5.1 Кои информации се собираат

Ние ги собираме и обработуваме следните лично идентификувачки податоци:

• Во случај на правни лица, ги собираме следните информации: Назив на правно лице, адреса, телефонски број, емаил адреса,  единствен даночен број и единствен матичен број. Во случај на физички лица, ги собираме следните информации: Име/Презиме, адреса, телефонски број и емаил адреса. Овие информации се собираат при пополнување на нарачка за некоја од услугите.
• Детали за финансиските трансакции кои се настанати поради подмирување на обврските поврзани со услугите.
• Запис од комуникацијата која настанува кога не контактирате по емаил, пошта или телефон.
• Информации за конфигурацијата, типот и квантитетот на телекомуникациските услуги кои ги користат корисниците.

5.2 За што се користат податоците

Ние сериозно пристапуваме на приватноста на нашите корисници, целосно почитувајќи го правото на приватност на претплатникот. Лично идентификувачки информации ќе бидат собирани, обработени, зачувани за следните намени:

• Да ги процесираме нарачките и договорите со корисниците.
• Да овозможиме пристап на корисниците до веб портал преку кој може да се следи искористеноста на сообраќајот.
• Да доставиме известување во однос на услугите.
• Да доставиме фактура во однос на услугите.
• Да анализираме како ги користите услугите, како на пример да анализираме за просечното ниво на искористеност на капацитетот за проток, со цел да предложиме решение во случај на проблем.
• Да истражиме поплаки од корисниците.
• Да ја поставиме приближната локацијата на претплатникот во мониторинг системот, со цел побрза реакција при поправка на дефект.
• Да ги доставиме информациите до соодвените државни институции во случај на правен спор, детекција на криминал и други активности кои се спротивни на Законот за електронски комуникации или друг закон или пропис.

5.3 Обезбедување безбедност и интегритет на личните податоци

Имаме воспоставено разумни физички, технички и организациски мерки дизајнирани со цел да обезбедат околина каде личните информации ќе бидат обезбедени од случајно губење или неовластен пристап. Безбедносните мерки се поставени да осигураат заштита во поглед на губење, злоупотреба или модификација на информациите кои се под наша контрола. Добро е да се напомене дека технологијата, колку и да е напредна, со тек на време станува ранлива материја поради што не може 100% да се гарантира дека неовластени трети страни никогаш нема да бидат во можност да го пробијат безбедносните мерки и таквиот пробив да го искористат за несоодветни цели.

Операторот ги користи следните мерки за обезбедување безбедност и интегритет на личните податоци.

5.3.1 Физички мерки

Физичките мерки се однесуваат на мерки за заштита во поглед на кражба, упад или друг неавторизиран пристап до обејктите, мрежата и останатата технологија на Операторот. Физичките мерки се дадени подолу:

• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се ограничени за пристап само на овластени лица. 
• Објектите на Операторот имаат обезбедување од страна на лица задолжени за безбедност.
• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се под постјоан видео надзор.

5.3.2 Процедурални мерки

Процедуралните мерки се специфицирани во листата подолу:

• Операторот следи процедури за да се осигура дека само авторизирани лица имаат пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци. Авторизација на сметка поврзана со одреден администратор, за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, се прави само од страна на управителот на Операторот. Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап..
• Лицата кои се авторизирани за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, потпишуваат договор со Операторот за користење на личните податоци на корисниците само за нивната намена опишана во поглавје 5.2.

5.3.3 Техничи мерки 

Техничките мерки се специфицирани во листата подолу:

• Доверливите информации за корисниците мора да се пренесуваат сигурно. При комуникација на овие податоци преку емаил системите, воспотавена е рамка за задолжителна употреба на шифрирана комуникација со помош на методот Transport Layer Security (TLS) кој е индустриски признат стандард заснован на Secure Sockets Layer (SSL) технологијата за енкрипција на емаил комуникација.
• Личните информации за корисниците кои се правни лица, и тоа: назив на правно лице, адреса, телефонски број, емаил адреса, единствен даночен број и единствен матичен број; се чуваат во енкриптирана форма при што шифрирањето и дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита, дополнителнно истите се комуницираат на сигурен начин преку енкриптирана комуникација со методата TLS. 
• Личните информации за корисниците кои се физички лица, и тоа име/презиме, телефонски број и емаил адреса; се чуваат во шифрирана форма при што шифрирањето/дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита. При електронска комуникација на истите, се користи сигурна комуникација со TLS методата.
• Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап.

6. Контакт податоци

6.1 Назив и седиште на операторот

ИНТЕРСПАЦЕ Д.О.О.Е.Л. СКОПЈЕ
Бул. Јане Сандански 109А, кат 3 , 1000 Скопје

6.2 Податоци за офицерот за заштита на личните податоци

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

6.3 Податоци за одговорно лице за информациска безбедност и за известување за нарушување на безбедноста

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

Член 1 - Предмет и опфат

1.1. Следните правила и услови претставуваат договор помеѓу компанијата ИНТЕРСПАЦЕ ДООЕЛ Скопје (Адреса: бул. Јане Сандански 109А, кат3, Скопје, Северна Македонија) во својство на обезбедувач на услуги (понатаму во текстот „Оператор“)  и субјектот што ги нарачува и користи услугите (понатаму во текстот „Претплатник“), исто така понатаму во текстот поединечно наречени „Страна“ или колективно наречени „Страни“.

1.2. Предмет на овој договор е воспоставување и утврдување на претплатнички однос помеѓу Операторот и Претплатникот за давање услуги за хостирање на клауд НАТ гејтвеј систем, и правата и обврските за страните кои произлегуваат од тоа.

1.3 Го задржуваме правото, по наша дискреција, да направиме измени на овие услови и правила со претходно известување на Претплатникот.

Член 2 - Услуги и рок

2.2 Деталите за Услугите се дадени во формуларот за нарачка (во натамошниот текст „Формулар за нарачка“). Формуларот за нарачка содржи информации за видот на услугите, висината на трошоците за услугите и други релевантни информации за услугите. Во согласност со овој договор, Операторот ќе ги обезбеди услугите избрани во Формуларот за нарачка (во натамошниот текст „Услуги“).

2.3. Овој договор е склучен на неограничен временски период освен ако не е поинаку договорено.

2.4. Овој договор може да биде раскинат во секое време, како што е наведено во член 6 и член 7. Минималното времетраење на договорот е еден месец.

Член 3 - Надоместоци за услугите и наплата

3.1. Претплатникот се согласува да плаќа месечна претплата за Услугите наведени во Формуларот за нарачка на овој договор, вклучувајќи го и данокот на додадена вредност.

3.2. Фактурите за месечната претплата наведена во член 3.1 од овој договор операторот ги издава и ги испраќа до Претплатникот во електронска форма на првиот ден од тековниот месец, а доспеваат во рок од 12 дена од денот на издавањето. Фактурирањето на услугите започнува од денот кога започнува обезбедувањето на услугите. Операторот ќе го пресмета и додаде износот на ДДВ 18% кој ќе биде испишан посебно, а истиот ќе го плати Претплатникот.

3.3 Во случај на доцнење на плаќањето од страна на Претплатникот, Операторот има право да наплати казна во форма на камата утврдена со закон, пресметана од денот на изминување на датумот на доспевање до плаќањето, а пресметаниот износ на казната ќе да се додаде во фактурата за следната месечна претплата.

Член 4 - Ограничување или престанок на пристапот

4.1. Операторот може, без согласност од Претплатникот, привремено да го ограничи или прекине пристапот до Услугите, во следниве случаи:

• Доколку тоа е неопходно за потребите на реконструкција, модернизација, одржување или во случај на технички проблеми или недостатоци во мрежата, до завршување на работите или отстранување на проблемите.
• Доколку има технички проблеми со претплатничката опрема или инсталации, до отстранување на истите или доколку Претплатникот не дозволи проверка на функционалноста на неговата опрема или инсталации, до завршување на проверката.
• Доколку Претплатникот не ја плати фактурата за месечната претплата до датумот наведен во фактурата до целосното плаќање, освен во случај на жалба во однос на износот на фактурата, во тој случај Претплатникот ќе го плати износот на месечна претплата до датумот наведен во фактурата.
• Доколку услугите се користат или посветени да се користат за цели спротивни на Законот за електронски комуникации на Северна Македонија и соодветните прописи или други закони или прописи, како што е определено од надлежниот орган, или тие се користат или посветени да се користат за цел спротивна на одредбите и условите на овој договор.

4.2. Во случај на планирани технички работи, поврзани со интервенција во мрежата и опремата, Операторот навремено ќе достави информации до Претплатникот во кои ќе ги наведе причините за недостапноста на Услугите и очекуваното време за враќање на нивната функционалност.

Член 5 - Исклучување на Претплатникот

5.1. Операторот може да го ограничи или исклучи пристапот до Услугите за Претплатникот само во случај кога Претплатникот не ги исполнил своите обврски или не постапил во согласност со условите наведени во овој договор. Во случај на прекршување на одредбите од овој договор, Операторот треба писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски. Операторот не треба однапред да го информира Претплатникот за ограничувањето или исклучувањето, доколку преку користење на Услугата Претплатникот:

• Предизвикува моментални и сериозни закани за јавниот ред, безбедноста, здравјето на луѓето или животната средина или предизвикува голема материјална или оперативна штета.
• Предизвикува непосредна закана за мрежата или опремата на Операторот, или способност за обезбедување услуги на други претплатници.

5.2. Доколку е технички возможно, Операторот има право да го ограничи пристапот само до оние Услуги за кои Претплатникот не постапил според условите наведени во овој Договор, освен во случаи на злоупотреба утврдена од надлежниот орган и континуирано доцнење со плаќање или не -плаќање на сметките.

Член 6 - Раскинување на договорот од страна на Операторот

6.1. Операторот може да го раскине договорот во рок определен со овој договор, особено:

• Доколку Претплатникот не ги исполни своите обврски од договорот.
• Доколку Услугите се користат или се наменети да се користат за цел спротивна на условите од овој договор.
• Во случај кога со судска одлука Претплатникот е избришан од соодветниот регистар.
• Во случај на стечај или ликвидација или неликвидност на Претплатникот, доколку правото на користење на услугата не е пренесено на друго лице, во рок определен од Операторот.
• Во случај на злоупотреба на услугите од страна на Претплатникот, за цели спротивно на соодветните закони и прописи дефинирани од надлежен орган во Северна Македонија.
• Доколку Операторот не може да ги обезбеди услугите, поради виша сила, подолго од 6 месеци.
• Во случај на смрт на Претплатникот, доколку правото на користење на услугата не се пренесе на друго лице во рок од шест месеци.

Член 7 - Раскинување на договорот од страна на Претплатникот

7.1. Претплатникот може да го раскине овој договор во секое време по претходно поднесено барање за откажување на Услугите.

7.2. Договорот се смета за раскинат од последниот ден од месецот во кој е примено писменото барање. По раскинувањето на овој договор, Претплатникот ќе биде одговорен да ги плати сите трошоци направени од него, кои треба да се фактурираат со задоцнување или се фактурирани, а не се платени од страна на Претплатникот.

Член 8 - Права на операторот

8.1. Операторот ги има следните права:

• Наплата на побарувањата од Претплатникот или негов правен следбеник.
• Исклучување или деактивирање на Услугите, поради задоцнето плаќање или неплаќање на сметките од страна на Претплатникот.
• Да ги измени техничките карактеристики на мрежата и услугата, со цел да обезбеди подобар квалитет и можност за користење нови услуги.
• Да побара податоци од Претплатникот, кои ќе се користат за склучување, супервизија и раскинување на претплатничкиот договор, како и податоци за наплата на долг.

Член 9 - ОБВРСКИ НА ОПЕРАТОРОТ

9.1. Операторот ги има следните обврски:

• Да обезбеди пристап и активирање на услугите во рамките на периодот утврден во Нарачката.
• Да гу чува и користи податоците за претплатниците и услугите во согласност со соодветните закони и прописи.
• Во случај на прекршување на одредбите од овој договор, писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски.
• Да обезбеди одржување на мрежата и опремата, на начин што овозможува непрекинато давање услуги, и во рамките на техничките можности да ја отстрани пречката во мрежата и опремата, колку е можно побрзо.
• Да добие согласност од Претплатникот за информациите потребни за директен маркетинг, преку користење на автоматски систем за јавување и/или праќање СМС/МС пораки, без човечка интервенција.
• Да овозможи пренос на правото на користење Услугите на друг субјект, по барање од Претплатникот.
• Да обезбеди техничка поддршка 24x7 за Претплатникот преку телефон и емаил.

Член 10 - Права на претплатникот

10.1. Претплатникот има право на:

• Да ги добива Услугите без прекини, ефикасно и редовно, согласно техничките можности Претплатникот и можностите на техничката инфраструктура на Операторот.
• Да побара од Операторот пренесување на правото на користење на Услутите на друго лице. Операторот може да го одбие барањето доколку утврди дека другото лице не може да ги исполни договорните услови.

Член 11 - Обврски на Претплатникот

11.1. Претплатникот ги има следните обврски:

• Навремено да ги плаќа фактурираните износи за користените Услуги, до датумот назначен во фактурата.
• Услугите да ги користи за свои потреби и според нивната намена, да не им пречи на другите корисници, и да не ги користи за пренос на податоци или за цели спротивни на законите и прописите на Република Северна Македонија, како и одредбите наведени во овој договор.
• Да не презема активности коишто ќе му наштетат на интегритетот на мрежата или ќе предизвикаат оштетување.
• Да не ги обелоденува своите лични шифрирани податоци на трети лица. Во однос на штети настанати поради објавување на личните шифрирани податоци поради вина на Претплатникот, Претплатникот ќе биде лично одговорен.
• Да не дозволи Услугите да се користат за испраќање измамнички, вознемирувачки или лажни пораки.
• Да не ги користи услугите за апликации со кои се копаат крипто валути.
• Да не скенира надворешни мрежи или ИП адреси.
• Да не лажира изворни ИП адреси.
• Да ги користите услугите на таков начин што не го загрозува интегритетот и достапноста на мрежите, серверите и податоците на трети страни.
• Да не ги користите услугите за извршување (d)DOS напади или да употребува апликации кои се способни да ги извршуваат овие дејства.
• Да направи резервни копии од податоците.

Член 12 - Оградување од гаранција и ограничување на одговорноста

12.1. Освен таму каде што јасно е назначено во овој документ, услугите се даваат „како што се“, и одговорноста на Операторот за штетата настаната поради или во врска со извршување на Договорот е ограничена само на намерни акти предизвикани од Операторот, притоа одговорноста на Операторот може да биде до максимален износ на еден месечен надоместок за Услугите, сметано по инциден настанат во одреден месец. Ниту Операторот, ниту некој друг вклучен во создавањето, производството, давањето (вклучувајќи и суспензијата или исклучувањето на Услугите) или поддржување на Услугите нема да биде одговорен кон Претплатникот, негов претставник или трета страна, за сите индиректни, случајни, посебни, казнени или последични штети што произлегуваат од Услугите или одговорноста за користење на Услугите, вклучувајќи, но не ограничувајќи се на загубата на приход, загубата на добивка, загубата на технологија, правата или услугите.

12.2. Операторот нема да биде одговорен за незаконско користење или злоупотреба на Услугите, ниту за содржината на информациите пренесени од Претплатникот или други страни.

Член 13 - Дополнителни одредби

13.1. Користењето на услугите што ги обезбедува Операторот може да биде прекинато поради дејство на виша сила. Под виша сила се подразбира настан независен од волјата на договорните страни, чие настапување не можело да се спречи или предвиди и поради кои исполнувањето на обврските од договорот станало отежнато или неможно, вклучувајќи, но не ограничувајќи се на: природни настани, општествени настани (штрајк, немири, војна), акти на јавна власт. Операторот нема да сноси никаква одговорност кон Претплатникот поради прекин на неговите услуги, предизвикан од настан на виша сила.

13.2. Ниту една Страна не претставува агент или правен застапник на другата Страна, и овој Договорот не создава партнерство, заедничко вложување или доверливи односи меѓу Операторот и Претплатникот. Никоја Страна нема овластување за да се согласи во име на или да ја обврзе другата Страна на каков било начин. Овој Договорот не дава права, правни лекови или побарува од каков било вид на трета страна, вклучувајќи, но не ограничувајќи се на претплатниците или крајните корисници на Претплатникот.

13.3. Комуникацијата помеѓу Операторот и Претплатникот (известување, фактура, жалба, друг вид на комуникација) се одвива во писмена форма. Доставувањето на писмената комуникација се врши со лично предавање од страна на Операторот/Претплатникот или во електронска форма преку е-пошта. Во итни случаи, Операторот може прво да даде само усно известување. Ваквото усно известување ќе биде проследено со писмено известување најдоцна во рок од 1 (еден) ден.

13.4. Претплатникот ќе контактира со Операторот на контакт деталите наведени на веб страната https://interspace.com/mk/contact. Операторот ќе го контактира претплатникот на деталите за контакт што Претплатникот ги внел во корисничкиот контролен панел My Interspace, на која се пристапува на веб адресата https://my.interspace.com. Претплатникот е одговорен за точноста на деталите за контакт дадени во My Interspace.

Член 14 - Завршни одредби

14.1. Сите спорови меѓу Страните ќе се решаваат спогодбено. Доколку спорот не може да се реши на мирен начин, надлежен е Основниот суд Скопје II во Република Северна Македонија. Овој договор ќе се толкува во согласност со позитивните законски одредби на Република Северна Македонија.

14.2. Со правење на нарачка користејќи го Формуларот за нарачка, Претплатникот потврдува дека го прочитал овој договор во целост и се согласува да биде обврзан со неговите одредби.

Содржина

1. ВОВЕД

2. МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
2.1 Основи на управувањето со ризици
2.1.1. Закана
2.1.2 Ранливост
2.1.2 Зошто е важно да се управува со ризикот?
2.2 Оценка на ризик
2.2.1 Квантитативна оценка на ризик
2.2.2 Квалитативна оценка на ризик
2.2.3 Идентификување на закани
2.2.4 Идентификување на ранливости
2.2.4 Менаџирање на ризикот

3. ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
3.1 Технички мерки
3.1 Мерки за известување на засегнатите страни при безбедносен инцидент
3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци
3.1.2 Известување од Операторот до претплатникот

4. ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА

4.1 Одржување на висок квалитет и достапност на пасивната мрежа
4.2 Одржување на висок квалитет и достапност на активната мрежа
4.3 Одржување на достапност со напреден мониторинг систем
4.4 Одржување на достапност со служба за интервенции 24/7
4.5 Одржување на достапност преку редундантна архитектура

5. БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

5.1 Кои информации се собираат
5.2 За што се користат податоците
5.3 Обезбедување безбедност и интегритет на личните податоци
5.3.1 Физички мерки
5.3.2 Процедурални мерки
5.3.3 Техничи мерки

6. КОНТАКТ ПОДАТОЦИ

6.1 Назив и седиште на операторот
6.2 Податоци за офицерот за заштита на личните податоци
6.3 Податоци за одгвоорно лице за информациска безбедност и за известување за нарушување на безбедноста

1. Вовед

ИНТЕРСПАЦЕ ДООЕЛ Скопје (понатаму во текстот „Оператор“) ја воведува оваа политика за безбедност со цел соодветно да управува со ризиците и безбедноста на мрежата и услугите, како и со интегритетот на мрежата и континуитетот на услугите. Дополнително, бидејќи Операторот во дел од своето работење соработува со компании со седиште во ЕУ, истиот преку оваа политика за безбедност има за цел своето работење да го усогласи со прописите и насоките на Европската Унија (понатаму во текстот „ЕУ’), особено во делот за безбедно информатичко општество и зајакнување на безбедноста и отпорноста на виталните инфраструктури за информатички коомуникациски технологии.

Преку оваа политика за безбедност потребно е да се постигнат следните цели:

1. Да се обезбеди безбедност и интегритет на јавните електронски комуникациски мрежи и услуги.
2. Да се специфицираат активностите кои што треба да се преземат при нарушување на безбедноста на личните податоци..
3. Да се доставува известување до Агенцијата за електронски комуникации во случај на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежата или услугите.

Во однос на безбедност и интегритет на мрежата (и континуитетот на услугите), целта е обезбедување на следните точки:

1. Употреба на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Употреба на соодветни чекори за да се гарантира интегритетот на мрежата.
3. Да се известува органот со значително влијание врз работењето на мрежите за безбедносните инциденти.

Во однос на безбедност при обработка на лични податоци целта е обезбедување на следните точки:

1. Користење на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Користење на мерки за осигурување на безбедноста на обработката на лични податоци, како и 
3. Да се известува органот со значително влијание врз работењето на мрежите за повреди на личните податоци, а по потреба да се комуницираат со засегнатите корисници.

Политиката на безбедност ќе биде специфицирана во неколку поглавја, и тоа:

• МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
• ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
• ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА
• БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

2. Менаџирање со генералните безбедносни ризици

2.1 Основи на управувањето со ризици

Во контекст на безбедноста во информациските и комуникациските технологии ("ИКТ"), манаџирање со ризиците претставува процес на спознавање и реакција на факторите кои предизвикуваат губење на приватноста, интегритетот и достапноста на системите. Ризик во ИКТ системите претставува потенцијална штета која може да настане на одреден процес или информација која е дел од тој процес, како резултат на намерна или ненамерна активност. Ризикот може да се претстави како функција на веројатноста за појава на одредена закана за остварување на одредена потенцијална ранливост, и последицата која може да настане како резултат на тој настан.

2.1.1. Закана

Закана претставува потенцијалот за појавување на извор на закана кој може намерно или ненамерно да предизвикува специфична ранливост. Извор на закана може да биде: а) активност или метод насочен кон намерна злоупотреба на ранливост, или б) ситуација или метод кој може случајно да предизвика ранливост.

Заканата може да се претстави едноставно како потенцијал за искористување на одредена ранливост. Заканите сами по себе не се активност. Заканите постануваат опасност кога се комбинираат со извор на закана. Оваа динстикција е важно да се направи при оценка и управување со ризиците, бидејќи секој извор на закана може да биде асоциран со различна околина.

2.1.2 Ранливост

Ранливоста се дефинира како мана или слабост во процедурите за системска безбедност, дизајн и импементација, или во внатрешните контроли кои може намерно или ненамерно да се пореметат, резултирајќи во безбеносен пробив. Ранливоста може да биде мана или слабост во сите аспекти на ИКТ системите. 

Ранливостите не секогаш се однесуваат на техничките заштити обезбедени од техничките системи.  Значајни ранливости може да постојат и во стандардните оперативни процедури кои ги извршуваат администраторите. На пример, процедурата за ресетирање на лозинка или несоодветно читање на логови, од страна на техничката поддршка. 

2.1.2 Зошто е важно да се управува со ризикот?

Примарните цели за управување со ризиците се:

• Безбедност и интегритет на мрежата.
• Обезбедување на континуитет на услугите.
• Безбедност при чување и обработка на лични податоци.
• Заштита на деловниот успех и мисијата на Операторот.

Според горенаведеното, управување со ризиците претставува функција на ниво на менаџмент, а не само техничка функција. Разбирањето на потребата од менаџирање со ризиците му овозможува на Операторот да ги зашти и сочува корисниците на неговите ИКТ системи, што на долг рок влијае на опстанок на Операторот на пазарот. 

2.2 Оценка на ризик

Ризикот се оценува преку а) идентификација на закани и ранливости, и б) одредување на веројатноста за случување и последиците од неговото настанување. Основниот процес на оценка на ризикот е образложен подолу.

2.2.1 Квантитативна оценка на ризик

Квантитативна оценка на ризик опфаќа доделување на вредности на информациите, системите, деловните процеси, трошоците за поправка и сл., поради што последиците и ризиците можат да се мерат во директни и индиректни трошоци. Квантитативниот ризик може математички да се изрази како математички Годишна веројатност за загуба, и истата претставува очекуваната финансиска загуба поради одреден ризик која може да настане во период од една година. Математичката формула е следна:

Годишна веројатност за загуба = Веројатност за едно случување * Годишна стапка на случување 

2.2.2 Квалитативна оценка на ризик

Квалитативна оцена на ризик претпоставува дека има ниво на несигурност во одредување на веројатноста за појавување и последиците од ризикот, при што веројатноста за ризик и последиците се дефинираат преку квалитативни податоци, наместо исклучиво врз база на квантитативни податоци. 

Генерално, квалитативната оценка на ризик резултира во поставување на ризикот во една од овие три нивоа: висок, среден, низок. Поставување на ризикот во рамките на едно од овие три нивоа, овозможува едноставно да се искуминицира оценката на ризикот низ одговорните структури на Операторот.

2.2.3 Идентификување на закани

За да се направи соодветна оценка на ризикот, потребно е да се идентификуваат заканите но и изворите на заканите.  Листата подолу опфаќа спецификација на генералните закани и извори на закани.

Назив/опис:

• Случајно разоткривање.
• Неовластено или случајно издавање на класифицирана, лична или сензитивна информација.
• Промена на софтвер.
• Намерна модификација, додавање или бришење на оперативниот систем или програмите кои работат на него, од страна на авторизирани или неавторизирани лица, кое доведува до компромитирање на приватноста, достапноста или интегритетот на податоците, програмите, системите или ресурсите кои се под контрола на афектираниот систем или апликација. Извор на вакви закани може да бидат вируси, тројански коњи, злобен код (malicious code) , trapdoors и слично.
• Користење на капацитет на проток (Bandwidth).
• Намерно или ненамерно користење на комуникацискиот капацитет за проток, за потреби надвор од предвидените со договорот, како на пример за пренос на податоци преку кои се вознемируваат и лажат трети лица, кои предизвикува моментална и сериозна закана за јавниот ред, безбедност, здравјето на луѓето или средината, и други тип на користење на комуникацијата кој е забранета со позитивните законски прописи. 

Прекин на електрична енерија:

• При прекин на електрична енергија може да дојде до не можоност да се користат ИКТ системите како и да настане ненамерна модификација или уништување на податоците.

Намерна промена на податоци:

• Намерна модификација, додавање или бришење на податоци, од страна на авторизирано или неавторизирано лице, што доведува до компромитација на приватноста, достапноста или интегритет на податоците кои се генерираат, процесираат, контролираат или чуваат во системите за обработка на податоци.

Системска грешка:

• Случајна или ненамерна грешка при инсталација, конфигурација или надоградба на хардвер, софтвер или комуникациска опрема.

Телекомуникациски дефект или прекин:

• Секој комуникациски линк, единица или компонента на телекомуникацискиот систем кој поради неисправност може да доведе до дефект или прекин на преносот на податоци преку телекомуникациските канали.

Дела на природата:

• Сите типови на природни непогоди (земјотрес, невреме, итн) кои можат да му наштетат или да го афектираат системот/апликацијата. Овие непогоди можат да водат до делумна или целосна недостапност, и на тој начин да влијаат на достапноста на системите и услугите.

2.2.4 Идентификување на ранливости

Се применуваат следните методи за идентификување на ранливости:

• Скенери на ранливост. Се однесува на софтвер преку кој се испитува оперативниот систем, мрежната апликација или код, за некои од познатите мани и пропусти, споредувајќи го системот со база од записи за маани и пропусти.
• Пенетрациски тестови. Се однесува на намерен обид од страна на лице задолжено за безбедносни анализи на Операторот, за извршување активности за предизвкување закана на ИКТ системите. 
• Ревизија на контролни процеси на оперативата и менаџментот. Длабока анализа и ревизија на контролните процеси на оперативата и менаџментот, преку споредба на тековната пракса и процедурите со процедурите кои се унапредена или најдобра пракса во дејноста.  

Дополнително, се прави листа на ранливости кои секогаш се испитуваат при секоја оценка на ризик, со што се овозможува минимално ниво на конзистентност при оценката. Исто така, ранливостите кои се откриваат во претходен процен на оценување на ИКТ системите се вклучуваат во идните процеси на оценување. Ваквиот начин на делување овозможува да се спознаат подобро начините за управување со ризикит кои биле ефиктивни.

При генерирање на листата на можни ранливости, Операторот прави консултација со архивите на познати вендори за евиденција на ранливостите, и тоа: 

• Common Vulnerabilities and Exposures (CVE -  http://cve.mitre.org).
• National Vulnerability Database (NVD - http://nvd.nist.gov).

2.2.4 Менаџирање на ризикот

Се користат две основни стратегии за менаџирање со ризикот, и тоа: ублажување и избегнување. Истите се образложени подолу:

• Ублажување. Опфаќа активности и процеси за намалување на веројатноста и можните последици повразни со одредена маана или пропуст на ИКТ системите. Честа активност за ублажување на ризик за техничка маана е да се инсталира patch обезбеден од вендорот на опремата. 
• Избегнување. Се однесува на активност за елиминирање на ранливиот дел од системот или дури и на целиот систем. На пример, доколку при оценка на ризикот се утврди дека корисничиот веб портал кој се користи за приказ на искористениот сообраќај има мана при што еден претплатник може да види искористеност за друг претплатник, тогаш се пристапува кон поправка на кодот.

3. Заштита на крајните корисници

Операторот користи процедури опишани во поглавје 2 за управување со ризикот, во насока на спречување на случки кои можат да доведат до прекин и злоупотреба на линијата која корисниците ја користат за електронска комуникација. 

Дополнително, Операторот ги применува следните мерки во поглед на заштита на крајните корисници:

3.1 Технички мерки

Се применуваат следните мерки за заштита на крајните корисници:

• Корисничката линија за достава на електронско комуникациска услуга се доставува кај претплатникот како посебен broadcast домен, односно се изолира со користење на VLAN технологија. Ова оневозможува пристап на ниво на ист етернет broadcast домен од други корисници во рамки на мрежата на Операторот. Во поглед на осигурување дека VLAN технологијата ќе обезбеди изолација, Операторот ги користи практика на задолжително тагирање на пакетите кога поминуваат низ портите со коректниот VLAN таг, недозволувајќи не тагирани пакети или погрешно тагирани пакети да се пренесуваат во рамките на мрежата.
• Операторот врши редовни скенирања на корисничката линија за утврдување на ранливоста која овозможува серверот на доменскиот именски систем (доколку претплатникот го има) да се злоупотреби за правење глобални ДДОС напади. 

3.1 Мерки за известување на засегнатите страни при безбедносен инцидент

Безбедносен инцидент претставува нарушување на безбедноста што има значително влијание врз оперирањето на електронската комуникациска мрежа или услуга. При појава на безбедносен инцидент кој имал значително влијание врз функционирањето на мрежите или услугите, Операторот праќа известување за истите до засегнатите страни, и превзема актвности кои што оператерите треба да ги превземат при нарушување на безбедноста на личните податоци. 

Овие исвестувања ги опфаќаат следните страни:

3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци

Операторот праќа известување до Дирекцијата за заштита на личните податоци веднаш, но не подоцна од 24 часа од моментот на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежите или услугите . Известувањето се доставува по електронски пат на следната електронска пошта [email protected]. Прилогот во електронската пошта се доставува со електронски потпис од страна на одговорното лице на Операторот.

3.1.2 Известување од Операторот до претплатникот

Ако нарушувањето на безбедноста на личните податоци може негативно да влијае на личните податоци или приватноста на претплатникот или на друго физичко лице, Операторот дополнително го известува односниот претплатник (правно или физичко лице).

4. Одржување на достапност на мрежата

За подобро да се опслужат корисниците, Операторот е целосно посветен да осигура стабилност и конзистентен квалитет на услугите. Во рамките на оваа посвета, Oператорот дава максимални напори да обезбеди постојана достапност на Услугите. Операторот ги користи мерките и практиките опишани подолу директно и/или индиректно влијаат на обезбедување висока достапност на услугите Користејќи вакви практики во пасивниот сегмент на мрежата, води кон обезбедување висок процент на достапност и намалена веројатност за прекин на услугите.

4.1 Одржување на висок квалитет и достапност на пасивната мрежа

Секоја фибер оптичка конекција се прави преку сплајс со фузија и се верификува со ОТДР тестови. Не се користат механички сплајсови бидејќи истите имаат краток животен век, и ги зголемуваат шансите за дефект. Одговорни лица за одржување на пасивната мрежа прават редовни теренски инспекции на мрежата за да се осигураат дека истата е во функционална состојба. 

Секој претплатник е поврзан со архитектура точка-до-точка, при што не се користи хPON технологија и оптички сплитери. Избегнувањето на оптички сплитери ја намалува веројатноста за појава на дефект, бидејќи има полку „алки во синџирот“ кои можат да создадат дефект.

4.2 Одржување на висок квалитет и достапност на активната мрежа

Операторот користи исклучиво Етернет технологија за достава на услугите. Линиите се верификуваат со интернационално стандардизиран RFC2544 Етернет тест, намалувајќи ги шансите за превид на лошо изработен линк при пуштање на линијата во употреба.

4.3 Одржување на достапност со напреден мониторинг систем

Операторот користи 24/7 постојано активен мониторинг систем, за интерконекциските линкови, за јадрото на мрежата како и за секој интефејс кој води кон претплатник. Мониторинг системот прави длабоки анализи на линковите до најниско ниво на проверка, и веднаш ги информира службите кои во моментот се одговорни за техничка подршка. 

Во поглед на проверки за линковите кон глобалниот Интернет, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за интерконекција со глобалниот провајдер.
• Ping и traceroute од нашата мрежа кон глобалните провајдери, ping и traceroute од надворешна мрежа од европа кон нашата мрежа. 
• Во случај на детекција на предупредување или дефект на еден до интерконекциските провајдери, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линковите за јадрото на мрежата на Операторот („Јадро“), на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за конекција до секој uplink порт на L2/L3 уред дел од Јадрото.
• Статус на температура на секој L2/L3 уред дел од Јадрото.
• Статус на исправност на хардверот на секој L2/L3 уред дел од Јадрото.
• Статус на искористеност на CPU и RAM на секој L2/L3 уред дел од Јадрото.
• Статус на ДНС сервер, доколку уредот има таква функција.
• Во случај на детекција на предупредување или дефект на дел од Јадрото, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линијата за секој претплатник, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата која преставува конекција кон претплатничката корисничка терминална опрема. 
• Во случај на детекција на предупредување или дефект на линијата, вклучувајќи и намалено ниво на светлина кое може да настане поради превткување на оптички кабел, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

4.4 Одржување на достапност со служба за интервенции 24/7

Операторот обзебедува 24/7 служба за техничка подршка. Оваа служба го користи 24/7 постојано активниот мониторинг систем опишан во поглавје 4.3, за увид и реакција во поглед на прекини и дефекти на услугите предупредувачки знаци кои можат да доведат до прекини и дефекти. По потреба, службата за техничка подршка ангажира лица за излагање на терен за поправка на дефект во пасивниот или активниот сегмент на мрежата, кои се на располагање 24/7.

4.4 Одржување на достапност преку редундантна архитектура

Нашата мрежа во Македонија базира на повеќе точки на присуство, кои се заштитени со географски независни и заштитени (редундантни) линкови до јадрото. Истите се стратешки поставени да бидат што поблиску до претплатниците со цел да се намали веројатноста. 

Во поглед на нашата поврзаност со остатокот од светот за Интернет пристап како и за меѓународни приватни врски, истата се остварува со конекции кон повеќе глобални и регионални провајдери, обезбедни преку географски независни и заштитени (редундантни) линкови.

5. Безбедност и интегритет на личните податоци

Операторот е посветен на заштита на личните податоци. Подолу се образложени потребните информации за лична идентификација, како и начинот на обезбедување на безбедност и интегритет на истите. Под терминот лично идентификувачки информации подразбираме информации со кои може да се идентификува едно лице.

5.1 Кои информации се собираат

Ние ги собираме и обработуваме следните лично идентификувачки податоци:

• Во случај на правни лица, ги собираме следните информации: Назив на правно лице, адреса, телефонски број, емаил адреса,  единствен даночен број и единствен матичен број. Во случај на физички лица, ги собираме следните информации: Име/Презиме, адреса, телефонски број и емаил адреса. Овие информации се собираат при пополнување на нарачка за некоја од услугите.
• Детали за финансиските трансакции кои се настанати поради подмирување на обврските поврзани со услугите.
• Запис од комуникацијата која настанува кога не контактирате по емаил, пошта или телефон.
• Информации за конфигурацијата, типот и квантитетот на телекомуникациските услуги кои ги користат корисниците.

5.2 За што се користат податоците

Ние сериозно пристапуваме на приватноста на нашите корисници, целосно почитувајќи го правото на приватност на претплатникот. Лично идентификувачки информации ќе бидат собирани, обработени, зачувани за следните намени:

• Да ги процесираме нарачките и договорите со корисниците.
• Да овозможиме пристап на корисниците до веб портал преку кој може да се следи искористеноста на сообраќајот.
• Да доставиме известување во однос на услугите.
• Да доставиме фактура во однос на услугите.
• Да анализираме како ги користите услугите, како на пример да анализираме за просечното ниво на искористеност на капацитетот за проток, со цел да предложиме решение во случај на проблем.
• Да истражиме поплаки од корисниците.
• Да ја поставиме приближната локацијата на претплатникот во мониторинг системот, со цел побрза реакција при поправка на дефект.
• Да ги доставиме информациите до соодвените државни институции во случај на правен спор, детекција на криминал и други активности кои се спротивни на Законот за електронски комуникации или друг закон или пропис.

5.3 Обезбедување безбедност и интегритет на личните податоци

Имаме воспоставено разумни физички, технички и организациски мерки дизајнирани со цел да обезбедат околина каде личните информации ќе бидат обезбедени од случајно губење или неовластен пристап. Безбедносните мерки се поставени да осигураат заштита во поглед на губење, злоупотреба или модификација на информациите кои се под наша контрола. Добро е да се напомене дека технологијата, колку и да е напредна, со тек на време станува ранлива материја поради што не може 100% да се гарантира дека неовластени трети страни никогаш нема да бидат во можност да го пробијат безбедносните мерки и таквиот пробив да го искористат за несоодветни цели.

Операторот ги користи следните мерки за обезбедување безбедност и интегритет на личните податоци.

5.3.1 Физички мерки

Физичките мерки се однесуваат на мерки за заштита во поглед на кражба, упад или друг неавторизиран пристап до обејктите, мрежата и останатата технологија на Операторот. Физичките мерки се дадени подолу:

• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се ограничени за пристап само на овластени лица. 
• Објектите на Операторот имаат обезбедување од страна на лица задолжени за безбедност.
• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се под постјоан видео надзор.

5.3.2 Процедурални мерки

Процедуралните мерки се специфицирани во листата подолу:

• Операторот следи процедури за да се осигура дека само авторизирани лица имаат пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци. Авторизација на сметка поврзана со одреден администратор, за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, се прави само од страна на управителот на Операторот. Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап..
• Лицата кои се авторизирани за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, потпишуваат договор со Операторот за користење на личните податоци на корисниците само за нивната намена опишана во поглавје 5.2.

5.3.3 Техничи мерки 

Техничките мерки се специфицирани во листата подолу:

• Доверливите информации за корисниците мора да се пренесуваат сигурно. При комуникација на овие податоци преку емаил системите, воспотавена е рамка за задолжителна употреба на шифрирана комуникација со помош на методот Transport Layer Security (TLS) кој е индустриски признат стандард заснован на Secure Sockets Layer (SSL) технологијата за енкрипција на емаил комуникација.
• Личните информации за корисниците кои се правни лица, и тоа: назив на правно лице, адреса, телефонски број, емаил адреса, единствен даночен број и единствен матичен број; се чуваат во енкриптирана форма при што шифрирањето и дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита, дополнителнно истите се комуницираат на сигурен начин преку енкриптирана комуникација со методата TLS. 
• Личните информации за корисниците кои се физички лица, и тоа име/презиме, телефонски број и емаил адреса; се чуваат во шифрирана форма при што шифрирањето/дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита. При електронска комуникација на истите, се користи сигурна комуникација со TLS методата.
• Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап.

6. Контакт податоци

6.1 Назив и седиште на операторот

ИНТЕРСПАЦЕ Д.О.О.Е.Л. СКОПЈЕ
Бул. Јане Сандански 109А, кат 3 , 1000 Скопје

6.2 Податоци за офицерот за заштита на личните податоци

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

6.3 Податоци за одговорно лице за информациска безбедност и за известување за нарушување на безбедноста

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

Член 1 - Предмет и опфат

1.1. Следните правила и услови претставуваат договор помеѓу компанијата ИНТЕРСПАЦЕ ДООЕЛ Скопје (Адреса: бул. Јане Сандански 109А, кат3, Скопје, Северна Македонија) и субјектот што ги нарачува и користи услугите (понатаму во текстот „Претплатник“), исто така понатаму во текстот поединечно наречени „Страна“ или колективно наречени „Страни“.

1.2. Предмет на овој договор е воспоставување и утврдување на претплатнички однос помеѓу Операторот и Претплатникот за давање услуги за хостинг на дедициран сервер, и правата и обврските за страните кои произлегуваат од тоа.

1.3 Го задржуваме правото, по наша дискреција, да направиме измени на овие услови и правила со претходно известување на Претплатникот.

Член 2 - Услуги и рок

2.2 Деталите за Услугите се дадени во формуларот за нарачка (во натамошниот текст „Формулар за нарачка“). Формуларот за нарачка содржи информации за видот на услугите, висината на трошоците за услугите и други релевантни информации за услугите. Во согласност со овој договор, Операторот ќе ги обезбеди услугите избрани во Формуларот за нарачка (во натамошниот текст „Услуги“).

2.3. Овој договор е склучен на неограничен временски период освен ако не е поинаку договорено.

2.4. Овој договор може да биде раскинат во секое време, како што е наведено во член 6 и член 7. Минималното времетраење на договорот е еден месец.

Член 3 - Надоместоци за услугите и наплата

3.1. Претплатникот се согласува да плаќа месечна претплата за Услугите наведени во Формуларот за нарачка на овој договор, вклучувајќи го и данокот на додадена вредност.

3.2. Фактурите за месечната претплата наведена во член 3.1 од овој договор операторот ги издава и ги испраќа до Претплатникот во електронска форма на првиот ден од тековниот месец, а доспеваат во рок од 12 дена од денот на издавањето. Фактурирањето на услугите започнува од денот кога започнува обезбедувањето на услугите. Операторот ќе го пресмета и додаде износот на ДДВ 18% кој ќе биде испишан посебно, а истиот ќе го плати Претплатникот.

3.3 Во случај на доцнење на плаќањето од страна на Претплатникот, Операторот има право да наплати казна во форма на камата утврдена со закон, пресметана од денот на изминување на датумот на доспевање до плаќањето, а пресметаниот износ на казната ќе да се додаде во фактурата за следната месечна претплата.

Член 4 - Ограничување или престанок на пристапот

4.1. Операторот може, без согласност од Претплатникот, привремено да го ограничи или прекине пристапот до Услугите, во следниве случаи:

• Доколку тоа е неопходно за потребите на реконструкција, модернизација, одржување или во случај на технички проблеми или недостатоци во мрежата, до завршување на работите или отстранување на проблемите.
• Доколку има технички проблеми со претплатничката опрема или инсталации, до отстранување на истите или доколку Претплатникот не дозволи проверка на функционалноста на неговата опрема или инсталации, до завршување на проверката.
• Доколку Претплатникот не ја плати фактурата за месечната претплата до датумот наведен во фактурата до целосното плаќање, освен во случај на жалба во однос на износот на фактурата, во тој случај Претплатникот ќе го плати износот на месечна претплата до датумот наведен во фактурата.
• Доколку услугите се користат или посветени да се користат за цели спротивни на Законот за електронски комуникации на Северна Македонија и соодветните прописи или други закони или прописи, како што е определено од надлежниот орган, или тие се користат или посветени да се користат за цел спротивна на одредбите и условите на овој договор.

4.2. Во случај на планирани технички работи, поврзани со интервенција во мрежата и опремата, Операторот навремено ќе достави информации до Претплатникот во кои ќе ги наведе причините за недостапноста на Услугите и очекуваното време за враќање на нивната функционалност.

Член 5 - Исклучување на Претплатникот

5.1. Операторот може да го ограничи или исклучи пристапот до Услугите за Претплатникот само во случај кога Претплатникот не ги исполнил своите обврски или не постапил во согласност со условите наведени во овој договор. Во случај на прекршување на одредбите од овој договор, Операторот треба писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски. Операторот не треба однапред да го информира Претплатникот за ограничувањето или исклучувањето, доколку преку користење на Услугата Претплатникот:

• Предизвикува моментални и сериозни закани за јавниот ред, безбедноста, здравјето на луѓето или животната средина или предизвикува голема материјална или оперативна штета.
• Предизвикува непосредна закана за мрежата или опремата на Операторот, или способност за обезбедување услуги на други претплатници.

5.2. Доколку е технички возможно, Операторот има право да го ограничи пристапот само до оние Услуги за кои Претплатникот не постапил според условите наведени во овој Договор, освен во случаи на злоупотреба утврдена од надлежниот орган и континуирано доцнење со плаќање или не -плаќање на сметките.

Член 6 - Раскинување на договорот од страна на Операторот

6.1. Операторот може да го раскине договорот во рок определен со овој договор, особено:

• Доколку Претплатникот не ги исполни своите обврски од договорот.
• Доколку Услугите се користат или се наменети да се користат за цел спротивна на условите од овој договор.
• Во случај кога со судска одлука Претплатникот е избришан од соодветниот регистар.
• Во случај на стечај или ликвидација или неликвидност на Претплатникот, доколку правото на користење на услугата не е пренесено на друго лице, во рок определен од Операторот.
• Во случај на злоупотреба на услугите од страна на Претплатникот, за цели спротивно на соодветните закони и прописи дефинирани од надлежен орган во Северна Македонија.
• Доколку Операторот не може да ги обезбеди услугите, поради виша сила, подолго од 6 месеци.
• Во случај на смрт на Претплатникот, доколку правото на користење на услугата не се пренесе на друго лице во рок од шест месеци.

Член 7 - Раскинување на договорот од страна на Претплатникот

7.1. Претплатникот може да го раскине овој договор во секое време по претходно поднесено барање за откажување на Услугите.

7.2. Договорот се смета за раскинат од последниот ден од месецот во кој е примено писменото барање. По раскинувањето на овој договор, Претплатникот ќе биде одговорен да ги плати сите трошоци направени од него, кои треба да се фактурираат со задоцнување или се фактурирани, а не се платени од страна на Претплатникот.

Член 8 - Права на операторот

8.1. Операторот ги има следните права:

• Наплата на побарувањата од Претплатникот или негов правен следбеник.
• Исклучување или деактивирање на Услугите, поради задоцнето плаќање или неплаќање на сметките од страна на Претплатникот.
• Да ги измени техничките карактеристики на мрежата и услугата, со цел да обезбеди подобар квалитет и можност за користење нови услуги.
• Да побара податоци од Претплатникот, кои ќе се користат за склучување, супервизија и раскинување на претплатничкиот договор, како и податоци за наплата на долг.

Член 9 - ОБВРСКИ НА ОПЕРАТОРОТ

9.1. Операторот ги има следните обврски:

• Да обезбеди пристап и активирање на услугите во рамките на периодот утврден во Нарачката.
• Да гу чува и користи податоците за претплатниците и услугите во согласност со соодветните закони и прописи.
• Во случај на прекршување на одредбите од овој договор, писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски.
• Да обезбеди одржување на мрежата и опремата, на начин што овозможува непрекинато давање услуги, и во рамките на техничките можности да ја отстрани пречката во мрежата и опремата, колку е можно побрзо.
• Да добие согласност од Претплатникот за информациите потребни за директен маркетинг, преку користење на автоматски систем за јавување и/или праќање СМС/МС пораки, без човечка интервенција.
• Да овозможи пренос на правото на користење Услугите на друг субјект, по барање од Претплатникот.
• Да обезбеди техничка поддршка 24x7 за Претплатникот преку телефон и емаил.

Член 10 - Права на претплатникот

10.1. Претплатникот има право на:

• Да ги добива Услугите без прекини, ефикасно и редовно, согласно техничките можности Претплатникот и можностите на техничката инфраструктура на Операторот.
• Да побара од Операторот пренесување на правото на користење на Услутите на друго лице. Операторот може да го одбие барањето доколку утврди дека другото лице не може да ги исполни договорните услови.

Член 11 - Обврски на Претплатникот

11.1. Претплатникот ги има следните обврски:

• Навремено да ги плаќа фактурираните износи за користените Услуги, до датумот назначен во фактурата.
• Услугите да ги користи за свои потреби и според нивната намена, да не им пречи на другите корисници, и да не ги користи за пренос на податоци или за цели спротивни на законите и прописите на Република Северна Македонија, како и одредбите наведени во овој договор.
• Да не презема активности коишто ќе му наштетат на интегритетот на мрежата или ќе предизвикаат оштетување.
• Да не ги обелоденува своите лични шифрирани податоци на трети лица. Во однос на штети настанати поради објавување на личните шифрирани податоци поради вина на Претплатникот, Претплатникот ќе биде лично одговорен.
• Да не дозволи Услугите да се користат за испраќање измамнички, вознемирувачки или лажни пораки.
• Да не ги користи услугите за апликации со кои се копаат крипто валути.
• Да не скенира надворешни мрежи или ИП адреси.
• Да не лажира изворни ИП адреси.
• Да ги користите услугите на таков начин што не го загрозува интегритетот и достапноста на мрежите, серверите и податоците на трети страни.
• Да не ги користите услугите за извршување (d)DOS напади или да употребува апликации кои се способни да ги извршуваат овие дејства.
• Да направи резервни копии од податоците.

Член 12 - Оградување од гаранција и ограничување на одговорноста

12.1. Освен таму каде што јасно е назначено во овој документ, услугите се даваат „како што се“, и одговорноста на Операторот за штетата настаната поради или во врска со извршување на Договорот е ограничена само на намерни акти предизвикани од Операторот, притоа одговорноста на Операторот може да биде до максимален износ на еден месечен надоместок за Услугите, сметано по инциден настанат во одреден месец. Ниту Операторот, ниту некој друг вклучен во создавањето, производството, давањето (вклучувајќи и суспензијата или исклучувањето на Услугите) или поддржување на Услугите нема да биде одговорен кон Претплатникот, негов претставник или трета страна, за сите индиректни, случајни, посебни, казнени или последични штети што произлегуваат од Услугите или одговорноста за користење на Услугите, вклучувајќи, но не ограничувајќи се на загубата на приход, загубата на добивка, загубата на технологија, правата или услугите.

12.2. Операторот нема да биде одговорен за незаконско користење или злоупотреба на Услугите, ниту за содржината на информациите пренесени од Претплатникот или други страни.

Член 13 - Дополнителни одредби

13.1. Користењето на услугите што ги обезбедува Операторот може да биде прекинато поради дејство на виша сила. Под виша сила се подразбира настан независен од волјата на договорните страни, чие настапување не можело да се спречи или предвиди и поради кои исполнувањето на обврските од договорот станало отежнато или неможно, вклучувајќи, но не ограничувајќи се на: природни настани, општествени настани (штрајк, немири, војна), акти на јавна власт. Операторот нема да сноси никаква одговорност кон Претплатникот поради прекин на неговите услуги, предизвикан од настан на виша сила.

13.2. Ниту една Страна не претставува агент или правен застапник на другата Страна, и овој Договорот не создава партнерство, заедничко вложување или доверливи односи меѓу Операторот и Претплатникот. Никоја Страна нема овластување за да се согласи во име на или да ја обврзе другата Страна на каков било начин. Овој Договорот не дава права, правни лекови или побарува од каков било вид на трета страна, вклучувајќи, но не ограничувајќи се на претплатниците или крајните корисници на Претплатникот.

13.3. Комуникацијата помеѓу Операторот и Претплатникот (известување, фактура, жалба, друг вид на комуникација) се одвива во писмена форма. Доставувањето на писмената комуникација се врши со лично предавање од страна на Операторот/Претплатникот или во електронска форма преку е-пошта. Во итни случаи, Операторот може прво да даде само усно известување. Ваквото усно известување ќе биде проследено со писмено известување најдоцна во рок од 1 (еден) ден.

13.4. Претплатникот ќе контактира со Операторот на контакт деталите наведени на веб страната https://interspace.com/mk/contact. Операторот ќе го контактира претплатникот на деталите за контакт што Претплатникот ги внел во корисничкиот контролен панел My Interspace, на која се пристапува на веб адресата https://my.interspace.com. Претплатникот е одговорен за точноста на деталите за контакт дадени во My Interspace.

Член 14 - Завршни одредби

14.1. Сите спорови меѓу Страните ќе се решаваат спогодбено. Доколку спорот не може да се реши на мирен начин, надлежен е Основниот суд Скопје II во Република Северна Македонија. Овој договор ќе се толкува во согласност со позитивните законски одредби на Република Северна Македонија.

14.2. Со правење на нарачка користејќи го Формуларот за нарачка, Претплатникот потврдува дека го прочитал овој договор во целост и се согласува да биде обврзан со неговите одредби.

Содржина

1. ВОВЕД

2. МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
2.1 Основи на управувањето со ризици
2.1.1. Закана
2.1.2 Ранливост
2.1.2 Зошто е важно да се управува со ризикот?
2.2 Оценка на ризик
2.2.1 Квантитативна оценка на ризик
2.2.2 Квалитативна оценка на ризик
2.2.3 Идентификување на закани
2.2.4 Идентификување на ранливости
2.2.4 Менаџирање на ризикот

3. ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
3.1 Технички мерки
3.1 Мерки за известување на засегнатите страни при безбедносен инцидент
3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци
3.1.2 Известување од Операторот до претплатникот

4. ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА

4.1 Одржување на висок квалитет и достапност на пасивната мрежа
4.2 Одржување на висок квалитет и достапност на активната мрежа
4.3 Одржување на достапност со напреден мониторинг систем
4.4 Одржување на достапност со служба за интервенции 24/7
4.5 Одржување на достапност преку редундантна архитектура

5. БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

5.1 Кои информации се собираат
5.2 За што се користат податоците
5.3 Обезбедување безбедност и интегритет на личните податоци
5.3.1 Физички мерки
5.3.2 Процедурални мерки
5.3.3 Техничи мерки

6. КОНТАКТ ПОДАТОЦИ

6.1 Назив и седиште на операторот
6.2 Податоци за офицерот за заштита на личните податоци
6.3 Податоци за одгвоорно лице за информациска безбедност и за известување за нарушување на безбедноста

1. Вовед

ИНТЕРСПАЦЕ ДООЕЛ Скопје (понатаму во текстот „Оператор“) ја воведува оваа политика за безбедност со цел соодветно да управува со ризиците и безбедноста на мрежата и услугите, како и со интегритетот на мрежата и континуитетот на услугите. Дополнително, бидејќи Операторот во дел од своето работење соработува со компании со седиште во ЕУ, истиот преку оваа политика за безбедност има за цел своето работење да го усогласи со прописите и насоките на Европската Унија (понатаму во текстот „ЕУ’), особено во делот за безбедно информатичко општество и зајакнување на безбедноста и отпорноста на виталните инфраструктури за информатички коомуникациски технологии.

Преку оваа политика за безбедност потребно е да се постигнат следните цели:

1. Да се обезбеди безбедност и интегритет на јавните електронски комуникациски мрежи и услуги.
2. Да се специфицираат активностите кои што треба да се преземат при нарушување на безбедноста на личните податоци..
3. Да се доставува известување до Агенцијата за електронски комуникации во случај на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежата или услугите.

Во однос на безбедност и интегритет на мрежата (и континуитетот на услугите), целта е обезбедување на следните точки:

1. Употреба на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Употреба на соодветни чекори за да се гарантира интегритетот на мрежата.
3. Да се известува органот со значително влијание врз работењето на мрежите за безбедносните инциденти.

Во однос на безбедност при обработка на лични податоци целта е обезбедување на следните точки:

1. Користење на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Користење на мерки за осигурување на безбедноста на обработката на лични податоци, како и 
3. Да се известува органот со значително влијание врз работењето на мрежите за повреди на личните податоци, а по потреба да се комуницираат со засегнатите корисници.

Политиката на безбедност ќе биде специфицирана во неколку поглавја, и тоа:

• МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
• ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
• ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА
• БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

2. Менаџирање со генералните безбедносни ризици

2.1 Основи на управувањето со ризици

Во контекст на безбедноста во информациските и комуникациските технологии ("ИКТ"), манаџирање со ризиците претставува процес на спознавање и реакција на факторите кои предизвикуваат губење на приватноста, интегритетот и достапноста на системите. Ризик во ИКТ системите претставува потенцијална штета која може да настане на одреден процес или информација која е дел од тој процес, како резултат на намерна или ненамерна активност. Ризикот може да се претстави како функција на веројатноста за појава на одредена закана за остварување на одредена потенцијална ранливост, и последицата која може да настане како резултат на тој настан.

2.1.1. Закана

Закана претставува потенцијалот за појавување на извор на закана кој може намерно или ненамерно да предизвикува специфична ранливост. Извор на закана може да биде: а) активност или метод насочен кон намерна злоупотреба на ранливост, или б) ситуација или метод кој може случајно да предизвика ранливост.

Заканата може да се претстави едноставно како потенцијал за искористување на одредена ранливост. Заканите сами по себе не се активност. Заканите постануваат опасност кога се комбинираат со извор на закана. Оваа динстикција е важно да се направи при оценка и управување со ризиците, бидејќи секој извор на закана може да биде асоциран со различна околина.

2.1.2 Ранливост

Ранливоста се дефинира како мана или слабост во процедурите за системска безбедност, дизајн и импементација, или во внатрешните контроли кои може намерно или ненамерно да се пореметат, резултирајќи во безбеносен пробив. Ранливоста може да биде мана или слабост во сите аспекти на ИКТ системите. 

Ранливостите не секогаш се однесуваат на техничките заштити обезбедени од техничките системи.  Значајни ранливости може да постојат и во стандардните оперативни процедури кои ги извршуваат администраторите. На пример, процедурата за ресетирање на лозинка или несоодветно читање на логови, од страна на техничката поддршка. 

2.1.2 Зошто е важно да се управува со ризикот?

Примарните цели за управување со ризиците се:

• Безбедност и интегритет на мрежата.
• Обезбедување на континуитет на услугите.
• Безбедност при чување и обработка на лични податоци.
• Заштита на деловниот успех и мисијата на Операторот.

Според горенаведеното, управување со ризиците претставува функција на ниво на менаџмент, а не само техничка функција. Разбирањето на потребата од менаџирање со ризиците му овозможува на Операторот да ги зашти и сочува корисниците на неговите ИКТ системи, што на долг рок влијае на опстанок на Операторот на пазарот. 

2.2 Оценка на ризик

Ризикот се оценува преку а) идентификација на закани и ранливости, и б) одредување на веројатноста за случување и последиците од неговото настанување. Основниот процес на оценка на ризикот е образложен подолу.

2.2.1 Квантитативна оценка на ризик

Квантитативна оценка на ризик опфаќа доделување на вредности на информациите, системите, деловните процеси, трошоците за поправка и сл., поради што последиците и ризиците можат да се мерат во директни и индиректни трошоци. Квантитативниот ризик може математички да се изрази како математички Годишна веројатност за загуба, и истата претставува очекуваната финансиска загуба поради одреден ризик која може да настане во период од една година. Математичката формула е следна:

Годишна веројатност за загуба = Веројатност за едно случување * Годишна стапка на случување 

2.2.2 Квалитативна оценка на ризик

Квалитативна оцена на ризик претпоставува дека има ниво на несигурност во одредување на веројатноста за појавување и последиците од ризикот, при што веројатноста за ризик и последиците се дефинираат преку квалитативни податоци, наместо исклучиво врз база на квантитативни податоци. 

Генерално, квалитативната оценка на ризик резултира во поставување на ризикот во една од овие три нивоа: висок, среден, низок. Поставување на ризикот во рамките на едно од овие три нивоа, овозможува едноставно да се искуминицира оценката на ризикот низ одговорните структури на Операторот.

2.2.3 Идентификување на закани

За да се направи соодветна оценка на ризикот, потребно е да се идентификуваат заканите но и изворите на заканите.  Листата подолу опфаќа спецификација на генералните закани и извори на закани.

Назив/опис:

• Случајно разоткривање.
• Неовластено или случајно издавање на класифицирана, лична или сензитивна информација.
• Промена на софтвер.
• Намерна модификација, додавање или бришење на оперативниот систем или програмите кои работат на него, од страна на авторизирани или неавторизирани лица, кое доведува до компромитирање на приватноста, достапноста или интегритетот на податоците, програмите, системите или ресурсите кои се под контрола на афектираниот систем или апликација. Извор на вакви закани може да бидат вируси, тројански коњи, злобен код (malicious code) , trapdoors и слично.
• Користење на капацитет на проток (Bandwidth).
• Намерно или ненамерно користење на комуникацискиот капацитет за проток, за потреби надвор од предвидените со договорот, како на пример за пренос на податоци преку кои се вознемируваат и лажат трети лица, кои предизвикува моментална и сериозна закана за јавниот ред, безбедност, здравјето на луѓето или средината, и други тип на користење на комуникацијата кој е забранета со позитивните законски прописи. 

Прекин на електрична енерија:

• При прекин на електрична енергија може да дојде до не можоност да се користат ИКТ системите како и да настане ненамерна модификација или уништување на податоците.

Намерна промена на податоци:

• Намерна модификација, додавање или бришење на податоци, од страна на авторизирано или неавторизирано лице, што доведува до компромитација на приватноста, достапноста или интегритет на податоците кои се генерираат, процесираат, контролираат или чуваат во системите за обработка на податоци.

Системска грешка:

• Случајна или ненамерна грешка при инсталација, конфигурација или надоградба на хардвер, софтвер или комуникациска опрема.

Телекомуникациски дефект или прекин:

• Секој комуникациски линк, единица или компонента на телекомуникацискиот систем кој поради неисправност може да доведе до дефект или прекин на преносот на податоци преку телекомуникациските канали.

Дела на природата:

• Сите типови на природни непогоди (земјотрес, невреме, итн) кои можат да му наштетат или да го афектираат системот/апликацијата. Овие непогоди можат да водат до делумна или целосна недостапност, и на тој начин да влијаат на достапноста на системите и услугите.

2.2.4 Идентификување на ранливости

Се применуваат следните методи за идентификување на ранливости:

• Скенери на ранливост. Се однесува на софтвер преку кој се испитува оперативниот систем, мрежната апликација или код, за некои од познатите мани и пропусти, споредувајќи го системот со база од записи за маани и пропусти.
• Пенетрациски тестови. Се однесува на намерен обид од страна на лице задолжено за безбедносни анализи на Операторот, за извршување активности за предизвкување закана на ИКТ системите. 
• Ревизија на контролни процеси на оперативата и менаџментот. Длабока анализа и ревизија на контролните процеси на оперативата и менаџментот, преку споредба на тековната пракса и процедурите со процедурите кои се унапредена или најдобра пракса во дејноста.  

Дополнително, се прави листа на ранливости кои секогаш се испитуваат при секоја оценка на ризик, со што се овозможува минимално ниво на конзистентност при оценката. Исто така, ранливостите кои се откриваат во претходен процен на оценување на ИКТ системите се вклучуваат во идните процеси на оценување. Ваквиот начин на делување овозможува да се спознаат подобро начините за управување со ризикит кои биле ефиктивни.

При генерирање на листата на можни ранливости, Операторот прави консултација со архивите на познати вендори за евиденција на ранливостите, и тоа: 

• Common Vulnerabilities and Exposures (CVE -  http://cve.mitre.org).
• National Vulnerability Database (NVD - http://nvd.nist.gov).

2.2.4 Менаџирање на ризикот

Се користат две основни стратегии за менаџирање со ризикот, и тоа: ублажување и избегнување. Истите се образложени подолу:

• Ублажување. Опфаќа активности и процеси за намалување на веројатноста и можните последици повразни со одредена маана или пропуст на ИКТ системите. Честа активност за ублажување на ризик за техничка маана е да се инсталира patch обезбеден од вендорот на опремата. 
• Избегнување. Се однесува на активност за елиминирање на ранливиот дел од системот или дури и на целиот систем. На пример, доколку при оценка на ризикот се утврди дека корисничиот веб портал кој се користи за приказ на искористениот сообраќај има мана при што еден претплатник може да види искористеност за друг претплатник, тогаш се пристапува кон поправка на кодот.

3. Заштита на крајните корисници

Операторот користи процедури опишани во поглавје 2 за управување со ризикот, во насока на спречување на случки кои можат да доведат до прекин и злоупотреба на линијата која корисниците ја користат за електронска комуникација. 

Дополнително, Операторот ги применува следните мерки во поглед на заштита на крајните корисници:

3.1 Технички мерки

Се применуваат следните мерки за заштита на крајните корисници:

• Корисничката линија за достава на електронско комуникациска услуга се доставува кај претплатникот како посебен broadcast домен, односно се изолира со користење на VLAN технологија. Ова оневозможува пристап на ниво на ист етернет broadcast домен од други корисници во рамки на мрежата на Операторот. Во поглед на осигурување дека VLAN технологијата ќе обезбеди изолација, Операторот ги користи практика на задолжително тагирање на пакетите кога поминуваат низ портите со коректниот VLAN таг, недозволувајќи не тагирани пакети или погрешно тагирани пакети да се пренесуваат во рамките на мрежата.
• Операторот врши редовни скенирања на корисничката линија за утврдување на ранливоста која овозможува серверот на доменскиот именски систем (доколку претплатникот го има) да се злоупотреби за правење глобални ДДОС напади. 

3.1 Мерки за известување на засегнатите страни при безбедносен инцидент

Безбедносен инцидент претставува нарушување на безбедноста што има значително влијание врз оперирањето на електронската комуникациска мрежа или услуга. При појава на безбедносен инцидент кој имал значително влијание врз функционирањето на мрежите или услугите, Операторот праќа известување за истите до засегнатите страни, и превзема актвности кои што оператерите треба да ги превземат при нарушување на безбедноста на личните податоци. 

Овие исвестувања ги опфаќаат следните страни:

3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци

Операторот праќа известување до Дирекцијата за заштита на личните податоци веднаш, но не подоцна од 24 часа од моментот на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежите или услугите . Известувањето се доставува по електронски пат на следната електронска пошта [email protected]. Прилогот во електронската пошта се доставува со електронски потпис од страна на одговорното лице на Операторот.

3.1.2 Известување од Операторот до претплатникот

Ако нарушувањето на безбедноста на личните податоци може негативно да влијае на личните податоци или приватноста на претплатникот или на друго физичко лице, Операторот дополнително го известува односниот претплатник (правно или физичко лице).

4. Одржување на достапност на мрежата

За подобро да се опслужат корисниците, Операторот е целосно посветен да осигура стабилност и конзистентен квалитет на услугите. Во рамките на оваа посвета, Oператорот дава максимални напори да обезбеди постојана достапност на Услугите. Операторот ги користи мерките и практиките опишани подолу директно и/или индиректно влијаат на обезбедување висока достапност на услугите Користејќи вакви практики во пасивниот сегмент на мрежата, води кон обезбедување висок процент на достапност и намалена веројатност за прекин на услугите.

4.1 Одржување на висок квалитет и достапност на пасивната мрежа

Секоја фибер оптичка конекција се прави преку сплајс со фузија и се верификува со ОТДР тестови. Не се користат механички сплајсови бидејќи истите имаат краток животен век, и ги зголемуваат шансите за дефект. Одговорни лица за одржување на пасивната мрежа прават редовни теренски инспекции на мрежата за да се осигураат дека истата е во функционална состојба. 

Секој претплатник е поврзан со архитектура точка-до-точка, при што не се користи хPON технологија и оптички сплитери. Избегнувањето на оптички сплитери ја намалува веројатноста за појава на дефект, бидејќи има полку „алки во синџирот“ кои можат да создадат дефект.

4.2 Одржување на висок квалитет и достапност на активната мрежа

Операторот користи исклучиво Етернет технологија за достава на услугите. Линиите се верификуваат со интернационално стандардизиран RFC2544 Етернет тест, намалувајќи ги шансите за превид на лошо изработен линк при пуштање на линијата во употреба.

4.3 Одржување на достапност со напреден мониторинг систем

Операторот користи 24/7 постојано активен мониторинг систем, за интерконекциските линкови, за јадрото на мрежата како и за секој интефејс кој води кон претплатник. Мониторинг системот прави длабоки анализи на линковите до најниско ниво на проверка, и веднаш ги информира службите кои во моментот се одговорни за техничка подршка. 

Во поглед на проверки за линковите кон глобалниот Интернет, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за интерконекција со глобалниот провајдер.
• Ping и traceroute од нашата мрежа кон глобалните провајдери, ping и traceroute од надворешна мрежа од европа кон нашата мрежа. 
• Во случај на детекција на предупредување или дефект на еден до интерконекциските провајдери, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линковите за јадрото на мрежата на Операторот („Јадро“), на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за конекција до секој uplink порт на L2/L3 уред дел од Јадрото.
• Статус на температура на секој L2/L3 уред дел од Јадрото.
• Статус на исправност на хардверот на секој L2/L3 уред дел од Јадрото.
• Статус на искористеност на CPU и RAM на секој L2/L3 уред дел од Јадрото.
• Статус на ДНС сервер, доколку уредот има таква функција.
• Во случај на детекција на предупредување или дефект на дел од Јадрото, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линијата за секој претплатник, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата која преставува конекција кон претплатничката корисничка терминална опрема. 
• Во случај на детекција на предупредување или дефект на линијата, вклучувајќи и намалено ниво на светлина кое може да настане поради превткување на оптички кабел, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

4.4 Одржување на достапност со служба за интервенции 24/7

Операторот обзебедува 24/7 служба за техничка подршка. Оваа служба го користи 24/7 постојано активниот мониторинг систем опишан во поглавје 4.3, за увид и реакција во поглед на прекини и дефекти на услугите предупредувачки знаци кои можат да доведат до прекини и дефекти. По потреба, службата за техничка подршка ангажира лица за излагање на терен за поправка на дефект во пасивниот или активниот сегмент на мрежата, кои се на располагање 24/7.

4.4 Одржување на достапност преку редундантна архитектура

Нашата мрежа во Македонија базира на повеќе точки на присуство, кои се заштитени со географски независни и заштитени (редундантни) линкови до јадрото. Истите се стратешки поставени да бидат што поблиску до претплатниците со цел да се намали веројатноста. 

Во поглед на нашата поврзаност со остатокот од светот за Интернет пристап како и за меѓународни приватни врски, истата се остварува со конекции кон повеќе глобални и регионални провајдери, обезбедни преку географски независни и заштитени (редундантни) линкови.

5. Безбедност и интегритет на личните податоци

Операторот е посветен на заштита на личните податоци. Подолу се образложени потребните информации за лична идентификација, како и начинот на обезбедување на безбедност и интегритет на истите. Под терминот лично идентификувачки информации подразбираме информации со кои може да се идентификува едно лице.

5.1 Кои информации се собираат

Ние ги собираме и обработуваме следните лично идентификувачки податоци:

• Во случај на правни лица, ги собираме следните информации: Назив на правно лице, адреса, телефонски број, емаил адреса,  единствен даночен број и единствен матичен број. Во случај на физички лица, ги собираме следните информации: Име/Презиме, адреса, телефонски број и емаил адреса. Овие информации се собираат при пополнување на нарачка за некоја од услугите.
• Детали за финансиските трансакции кои се настанати поради подмирување на обврските поврзани со услугите.
• Запис од комуникацијата која настанува кога не контактирате по емаил, пошта или телефон.
• Информации за конфигурацијата, типот и квантитетот на телекомуникациските услуги кои ги користат корисниците.

5.2 За што се користат податоците

Ние сериозно пристапуваме на приватноста на нашите корисници, целосно почитувајќи го правото на приватност на претплатникот. Лично идентификувачки информации ќе бидат собирани, обработени, зачувани за следните намени:

• Да ги процесираме нарачките и договорите со корисниците.
• Да овозможиме пристап на корисниците до веб портал преку кој може да се следи искористеноста на сообраќајот.
• Да доставиме известување во однос на услугите.
• Да доставиме фактура во однос на услугите.
• Да анализираме како ги користите услугите, како на пример да анализираме за просечното ниво на искористеност на капацитетот за проток, со цел да предложиме решение во случај на проблем.
• Да истражиме поплаки од корисниците.
• Да ја поставиме приближната локацијата на претплатникот во мониторинг системот, со цел побрза реакција при поправка на дефект.
• Да ги доставиме информациите до соодвените државни институции во случај на правен спор, детекција на криминал и други активности кои се спротивни на Законот за електронски комуникации или друг закон или пропис.

5.3 Обезбедување безбедност и интегритет на личните податоци

Имаме воспоставено разумни физички, технички и организациски мерки дизајнирани со цел да обезбедат околина каде личните информации ќе бидат обезбедени од случајно губење или неовластен пристап. Безбедносните мерки се поставени да осигураат заштита во поглед на губење, злоупотреба или модификација на информациите кои се под наша контрола. Добро е да се напомене дека технологијата, колку и да е напредна, со тек на време станува ранлива материја поради што не може 100% да се гарантира дека неовластени трети страни никогаш нема да бидат во можност да го пробијат безбедносните мерки и таквиот пробив да го искористат за несоодветни цели.

Операторот ги користи следните мерки за обезбедување безбедност и интегритет на личните податоци.

5.3.1 Физички мерки

Физичките мерки се однесуваат на мерки за заштита во поглед на кражба, упад или друг неавторизиран пристап до обејктите, мрежата и останатата технологија на Операторот. Физичките мерки се дадени подолу:

• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се ограничени за пристап само на овластени лица. 
• Објектите на Операторот имаат обезбедување од страна на лица задолжени за безбедност.
• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се под постјоан видео надзор.

5.3.2 Процедурални мерки

Процедуралните мерки се специфицирани во листата подолу:

• Операторот следи процедури за да се осигура дека само авторизирани лица имаат пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци. Авторизација на сметка поврзана со одреден администратор, за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, се прави само од страна на управителот на Операторот. Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап..
• Лицата кои се авторизирани за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, потпишуваат договор со Операторот за користење на личните податоци на корисниците само за нивната намена опишана во поглавје 5.2.

5.3.3 Техничи мерки 

Техничките мерки се специфицирани во листата подолу:

• Доверливите информации за корисниците мора да се пренесуваат сигурно. При комуникација на овие податоци преку емаил системите, воспотавена е рамка за задолжителна употреба на шифрирана комуникација со помош на методот Transport Layer Security (TLS) кој е индустриски признат стандард заснован на Secure Sockets Layer (SSL) технологијата за енкрипција на емаил комуникација.
• Личните информации за корисниците кои се правни лица, и тоа: назив на правно лице, адреса, телефонски број, емаил адреса, единствен даночен број и единствен матичен број; се чуваат во енкриптирана форма при што шифрирањето и дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита, дополнителнно истите се комуницираат на сигурен начин преку енкриптирана комуникација со методата TLS. 
• Личните информации за корисниците кои се физички лица, и тоа име/презиме, телефонски број и емаил адреса; се чуваат во шифрирана форма при што шифрирањето/дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита. При електронска комуникација на истите, се користи сигурна комуникација со TLS методата.
• Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап.

6. Контакт податоци

6.1 Назив и седиште на операторот

ИНТЕРСПАЦЕ Д.О.О.Е.Л. СКОПЈЕ
Бул. Јане Сандански 109А, кат 3 , 1000 Скопје

6.2 Податоци за офицерот за заштита на личните податоци

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

6.3 Податоци за одговорно лице за информациска безбедност и за известување за нарушување на безбедноста

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

Член 1 - Предмет и опфат

1.1. Следните правила и услови претставуваат договор помеѓу компанијата ИНТЕРСПАЦЕ ДООЕЛ Скопје (Адреса: бул. Јане Сандански 109А, кат3, Скопје, Северна Македонија) и субјектот што ги нарачува и користи услугите (понатаму во текстот „Претплатник“), исто така понатаму во текстот поединечно наречени „Страна“ или колективно наречени „Страни“.

1.2. Предмет на овој договор е воспоставување и утврдување на претплатнички однос помеѓу Операторот и Претплатникот за давање услуги за веб хостинг, и правата и обврските за страните кои произлегуваат од тоа.

1.3 Го задржуваме правото, по наша дискреција, да направиме измени на овие услови и правила со претходно известување на Претплатникот.

Член 2 - Услуги и рок

2.2 Деталите за Услугите се дадени во формуларот за нарачка (во натамошниот текст „Формулар за нарачка“). Формуларот за нарачка содржи информации за видот на услугите, висината на трошоците за услугите и други релевантни информации за услугите. Во согласност со овој договор, Операторот ќе ги обезбеди услугите избрани во Формуларот за нарачка (во натамошниот текст „Услуги“).

2.3. Овој договор е склучен на неограничен временски период освен ако не е поинаку договорено.

2.4. Овој договор може да биде раскинат во секое време, како што е наведено во член 6 и член 7. Минималното времетраење на договорот е еден месец.

Член 3 - Надоместоци за услугите и наплата

3.1. Претплатникот се согласува да плаќа месечна претплата за Услугите наведени во Формуларот за нарачка на овој договор, вклучувајќи го и данокот на додадена вредност.

3.2. Фактурите за месечната претплата наведена во член 3.1 од овој договор операторот ги издава и ги испраќа до Претплатникот во електронска форма на првиот ден од тековниот месец, а доспеваат во рок од 12 дена од денот на издавањето. Фактурирањето на услугите започнува од денот кога започнува обезбедувањето на услугите. Операторот ќе го пресмета и додаде износот на ДДВ 18% кој ќе биде испишан посебно, а истиот ќе го плати Претплатникот.

3.3 Во случај на доцнење на плаќањето од страна на Претплатникот, Операторот има право да наплати казна во форма на камата утврдена со закон, пресметана од денот на изминување на датумот на доспевање до плаќањето, а пресметаниот износ на казната ќе да се додаде во фактурата за следната месечна претплата.

Член 4 - Ограничување или престанок на пристапот

4.1. Операторот може, без согласност од Претплатникот, привремено да го ограничи или прекине пристапот до Услугите, во следниве случаи:

• Доколку тоа е неопходно за потребите на реконструкција, модернизација, одржување или во случај на технички проблеми или недостатоци во мрежата, до завршување на работите или отстранување на проблемите.
• Доколку има технички проблеми со претплатничката опрема или инсталации, до отстранување на истите или доколку Претплатникот не дозволи проверка на функционалноста на неговата опрема или инсталации, до завршување на проверката.
• Доколку Претплатникот не ја плати фактурата за месечната претплата до датумот наведен во фактурата до целосното плаќање, освен во случај на жалба во однос на износот на фактурата, во тој случај Претплатникот ќе го плати износот на месечна претплата до датумот наведен во фактурата.
• Доколку услугите се користат или посветени да се користат за цели спротивни на Законот за електронски комуникации на Северна Македонија и соодветните прописи или други закони или прописи, како што е определено од надлежниот орган, или тие се користат или посветени да се користат за цел спротивна на одредбите и условите на овој договор.

4.2. Во случај на планирани технички работи, поврзани со интервенција во мрежата и опремата, Операторот навремено ќе достави информации до Претплатникот во кои ќе ги наведе причините за недостапноста на Услугите и очекуваното време за враќање на нивната функционалност.

Член 5 - Исклучување на Претплатникот

5.1. Операторот може да го ограничи или исклучи пристапот до Услугите за Претплатникот само во случај кога Претплатникот не ги исполнил своите обврски или не постапил во согласност со условите наведени во овој договор. Во случај на прекршување на одредбите од овој договор, Операторот треба писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски. Операторот не треба однапред да го информира Претплатникот за ограничувањето или исклучувањето, доколку преку користење на Услугата Претплатникот:

• Предизвикува моментални и сериозни закани за јавниот ред, безбедноста, здравјето на луѓето или животната средина или предизвикува голема материјална или оперативна штета.
• Предизвикува непосредна закана за мрежата или опремата на Операторот, или способност за обезбедување услуги на други претплатници.

5.2. Доколку е технички возможно, Операторот има право да го ограничи пристапот само до оние Услуги за кои Претплатникот не постапил според условите наведени во овој Договор, освен во случаи на злоупотреба утврдена од надлежниот орган и континуирано доцнење со плаќање или не -плаќање на сметките.

Член 6 - Раскинување на договорот од страна на Операторот

6.1. Операторот може да го раскине договорот во рок определен со овој договор, особено:

• Доколку Претплатникот не ги исполни своите обврски од договорот.
• Доколку Услугите се користат или се наменети да се користат за цел спротивна на условите од овој договор.
• Во случај кога со судска одлука Претплатникот е избришан од соодветниот регистар.
• Во случај на стечај или ликвидација или неликвидност на Претплатникот, доколку правото на користење на услугата не е пренесено на друго лице, во рок определен од Операторот.
• Во случај на злоупотреба на услугите од страна на Претплатникот, за цели спротивно на соодветните закони и прописи дефинирани од надлежен орган во Северна Македонија.
• Доколку Операторот не може да ги обезбеди услугите, поради виша сила, подолго од 6 месеци.
• Во случај на смрт на Претплатникот, доколку правото на користење на услугата не се пренесе на друго лице во рок од шест месеци.

Член 7 - Раскинување на договорот од страна на Претплатникот

7.1. Претплатникот може да го раскине овој договор во секое време по претходно поднесено барање за откажување на Услугите.

7.2. Договорот се смета за раскинат од последниот ден од месецот во кој е примено писменото барање. По раскинувањето на овој договор, Претплатникот ќе биде одговорен да ги плати сите трошоци направени од него, кои треба да се фактурираат со задоцнување или се фактурирани, а не се платени од страна на Претплатникот.

Член 8 - Права на операторот

8.1. Операторот ги има следните права:

• Наплата на побарувањата од Претплатникот или негов правен следбеник.
• Исклучување или деактивирање на Услугите, поради задоцнето плаќање или неплаќање на сметките од страна на Претплатникот.
• Да ги измени техничките карактеристики на мрежата и услугата, со цел да обезбеди подобар квалитет и можност за користење нови услуги.
• Да побара податоци од Претплатникот, кои ќе се користат за склучување, супервизија и раскинување на претплатничкиот договор, како и податоци за наплата на долг.

Член 9 - ОБВРСКИ НА ОПЕРАТОРОТ

9.1. Операторот ги има следните обврски:

• Да обезбеди пристап и активирање на услугите во рамките на периодот утврден во Нарачката.
• Да гу чува и користи податоците за претплатниците и услугите во согласност со соодветните закони и прописи.
• Во случај на прекршување на одредбите од овој договор, писмено да го извести Претплатникот и да определи разумен рок за исполнување на договорните обврски.
• Да обезбеди одржување на мрежата и опремата, на начин што овозможува непрекинато давање услуги, и во рамките на техничките можности да ја отстрани пречката во мрежата и опремата, колку е можно побрзо.
• Да добие согласност од Претплатникот за информациите потребни за директен маркетинг, преку користење на автоматски систем за јавување и/или праќање СМС/МС пораки, без човечка интервенција.
• Да овозможи пренос на правото на користење Услугите на друг субјект, по барање од Претплатникот.
• Да обезбеди техничка поддршка 24x7 за Претплатникот преку телефон и емаил.

Член 10 - Права на претплатникот

10.1. Претплатникот има право на:

• Да ги добива Услугите без прекини, ефикасно и редовно, согласно техничките можности Претплатникот и можностите на техничката инфраструктура на Операторот.
• Да побара од Операторот пренесување на правото на користење на Услутите на друго лице. Операторот може да го одбие барањето доколку утврди дека другото лице не може да ги исполни договорните услови.

Член 11 - Обврски на Претплатникот

11.1. Претплатникот ги има следните обврски:

• Навремено да ги плаќа фактурираните износи за користените Услуги, до датумот назначен во фактурата.
• Услугите да ги користи за свои потреби и според нивната намена, да не им пречи на другите корисници, и да не ги користи за пренос на податоци или за цели спротивни на законите и прописите на Република Северна Македонија, како и одредбите наведени во овој договор.
• Да не презема активности коишто ќе му наштетат на интегритетот на мрежата или ќе предизвикаат оштетување.
• Да не ги обелоденува своите лични шифрирани податоци на трети лица. Во однос на штети настанати поради објавување на личните шифрирани податоци поради вина на Претплатникот, Претплатникот ќе биде лично одговорен.
• Да не дозволи Услугите да се користат за испраќање измамнички, вознемирувачки или лажни пораки.
• Да не ги користи услугите за апликации со кои се копаат крипто валути.
• Да не скенира надворешни мрежи или ИП адреси.
• Да не лажира изворни ИП адреси.
• Да ги користите услугите на таков начин што не го загрозува интегритетот и достапноста на мрежите, серверите и податоците на трети страни.
• Да не ги користите услугите за извршување (d)DOS напади или да употребува апликации кои се способни да ги извршуваат овие дејства.
• Да направи резервни копии од податоците.

Член 12 - Оградување од гаранција и ограничување на одговорноста

12.1. Освен таму каде што јасно е назначено во овој документ, услугите се даваат „како што се“, и одговорноста на Операторот за штетата настаната поради или во врска со извршување на Договорот е ограничена само на намерни акти предизвикани од Операторот, притоа одговорноста на Операторот може да биде до максимален износ на еден месечен надоместок за Услугите, сметано по инциден настанат во одреден месец. Ниту Операторот, ниту некој друг вклучен во создавањето, производството, давањето (вклучувајќи и суспензијата или исклучувањето на Услугите) или поддржување на Услугите нема да биде одговорен кон Претплатникот, негов претставник или трета страна, за сите индиректни, случајни, посебни, казнени или последични штети што произлегуваат од Услугите или одговорноста за користење на Услугите, вклучувајќи, но не ограничувајќи се на загубата на приход, загубата на добивка, загубата на технологија, правата или услугите.

12.2. Операторот нема да биде одговорен за незаконско користење или злоупотреба на Услугите, ниту за содржината на информациите пренесени од Претплатникот или други страни.

Член 13 - Дополнителни одредби

13.1. Користењето на услугите што ги обезбедува Операторот може да биде прекинато поради дејство на виша сила. Под виша сила се подразбира настан независен од волјата на договорните страни, чие настапување не можело да се спречи или предвиди и поради кои исполнувањето на обврските од договорот станало отежнато или неможно, вклучувајќи, но не ограничувајќи се на: природни настани, општествени настани (штрајк, немири, војна), акти на јавна власт. Операторот нема да сноси никаква одговорност кон Претплатникот поради прекин на неговите услуги, предизвикан од настан на виша сила.

13.2. Ниту една Страна не претставува агент или правен застапник на другата Страна, и овој Договорот не создава партнерство, заедничко вложување или доверливи односи меѓу Операторот и Претплатникот. Никоја Страна нема овластување за да се согласи во име на или да ја обврзе другата Страна на каков било начин. Овој Договорот не дава права, правни лекови или побарува од каков било вид на трета страна, вклучувајќи, но не ограничувајќи се на претплатниците или крајните корисници на Претплатникот.

13.3. Комуникацијата помеѓу Операторот и Претплатникот (известување, фактура, жалба, друг вид на комуникација) се одвива во писмена форма. Доставувањето на писмената комуникација се врши со лично предавање од страна на Операторот/Претплатникот или во електронска форма преку е-пошта. Во итни случаи, Операторот може прво да даде само усно известување. Ваквото усно известување ќе биде проследено со писмено известување најдоцна во рок од 1 (еден) ден.

13.4. Претплатникот ќе контактира со Операторот на контакт деталите наведени на веб страната https://interspace.com/mk/contact. Операторот ќе го контактира претплатникот на деталите за контакт што Претплатникот ги внел во корисничкиот контролен панел My Interspace, на која се пристапува на веб адресата https://my.interspace.com. Претплатникот е одговорен за точноста на деталите за контакт дадени во My Interspace.

Член 14 - Завршни одредби

14.1. Сите спорови меѓу Страните ќе се решаваат спогодбено. Доколку спорот не може да се реши на мирен начин, надлежен е Основниот суд Скопје II во Република Северна Македонија. Овој договор ќе се толкува во согласност со позитивните законски одредби на Република Северна Македонија.

14.2. Со правење на нарачка користејќи го Формуларот за нарачка, Претплатникот потврдува дека го прочитал овој договор во целост и се согласува да биде обврзан со неговите одредби.

Содржина

1. ВОВЕД

2. МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
2.1 Основи на управувањето со ризици
2.1.1. Закана
2.1.2 Ранливост
2.1.2 Зошто е важно да се управува со ризикот?
2.2 Оценка на ризик
2.2.1 Квантитативна оценка на ризик
2.2.2 Квалитативна оценка на ризик
2.2.3 Идентификување на закани
2.2.4 Идентификување на ранливости
2.2.4 Менаџирање на ризикот

3. ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
3.1 Технички мерки
3.1 Мерки за известување на засегнатите страни при безбедносен инцидент
3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци
3.1.2 Известување од Операторот до претплатникот

4. ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА

4.1 Одржување на висок квалитет и достапност на пасивната мрежа
4.2 Одржување на висок квалитет и достапност на активната мрежа
4.3 Одржување на достапност со напреден мониторинг систем
4.4 Одржување на достапност со служба за интервенции 24/7
4.5 Одржување на достапност преку редундантна архитектура

5. БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

5.1 Кои информации се собираат
5.2 За што се користат податоците
5.3 Обезбедување безбедност и интегритет на личните податоци
5.3.1 Физички мерки
5.3.2 Процедурални мерки
5.3.3 Техничи мерки

6. КОНТАКТ ПОДАТОЦИ

6.1 Назив и седиште на операторот
6.2 Податоци за офицерот за заштита на личните податоци
6.3 Податоци за одгвоорно лице за информациска безбедност и за известување за нарушување на безбедноста

1. Вовед

ИНТЕРСПАЦЕ ДООЕЛ Скопје (понатаму во текстот „Оператор“) ја воведува оваа политика за безбедност со цел соодветно да управува со ризиците и безбедноста на мрежата и услугите, како и со интегритетот на мрежата и континуитетот на услугите. Дополнително, бидејќи Операторот во дел од своето работење соработува со компании со седиште во ЕУ, истиот преку оваа политика за безбедност има за цел своето работење да го усогласи со прописите и насоките на Европската Унија (понатаму во текстот „ЕУ’), особено во делот за безбедно информатичко општество и зајакнување на безбедноста и отпорноста на виталните инфраструктури за информатички коомуникациски технологии.

Преку оваа политика за безбедност потребно е да се постигнат следните цели:

1. Да се обезбеди безбедност и интегритет на јавните електронски комуникациски мрежи и услуги.
2. Да се специфицираат активностите кои што треба да се преземат при нарушување на безбедноста на личните податоци..
3. Да се доставува известување до Агенцијата за електронски комуникации во случај на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежата или услугите.

Во однос на безбедност и интегритет на мрежата (и континуитетот на услугите), целта е обезбедување на следните точки:

1. Употреба на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Употреба на соодветни чекори за да се гарантира интегритетот на мрежата.
3. Да се известува органот со значително влијание врз работењето на мрежите за безбедносните инциденти.

Во однос на безбедност при обработка на лични податоци целта е обезбедување на следните точки:

1. Користење на соодветни технички и организациски мерки за заштита на безбедноста на мрежите и услугите.
2. Користење на мерки за осигурување на безбедноста на обработката на лични податоци, како и 
3. Да се известува органот со значително влијание врз работењето на мрежите за повреди на личните податоци, а по потреба да се комуницираат со засегнатите корисници.

Политиката на безбедност ќе биде специфицирана во неколку поглавја, и тоа:

• МЕНАЏИРАЊЕ СО ГЕНЕРАЛНИТЕ БЕЗБЕДНОСНИ РИЗИЦИ
• ЗАШТИТА НА КРАЈНИТЕ КОРИСНИЦИ
• ОДРЖУВАЊЕ НА ДОСТАПНОСТ НА МРЕЖАТА
• БЕЗБЕДНОСТ И ИНТЕГРИТЕТ НА ЛИЧНИТЕ ПОДАТОЦИ

2. Менаџирање со генералните безбедносни ризици

2.1 Основи на управувањето со ризици

Во контекст на безбедноста во информациските и комуникациските технологии ("ИКТ"), манаџирање со ризиците претставува процес на спознавање и реакција на факторите кои предизвикуваат губење на приватноста, интегритетот и достапноста на системите. Ризик во ИКТ системите претставува потенцијална штета која може да настане на одреден процес или информација која е дел од тој процес, како резултат на намерна или ненамерна активност. Ризикот може да се претстави како функција на веројатноста за појава на одредена закана за остварување на одредена потенцијална ранливост, и последицата која може да настане како резултат на тој настан.

2.1.1. Закана

Закана претставува потенцијалот за појавување на извор на закана кој може намерно или ненамерно да предизвикува специфична ранливост. Извор на закана може да биде: а) активност или метод насочен кон намерна злоупотреба на ранливост, или б) ситуација или метод кој може случајно да предизвика ранливост.

Заканата може да се претстави едноставно како потенцијал за искористување на одредена ранливост. Заканите сами по себе не се активност. Заканите постануваат опасност кога се комбинираат со извор на закана. Оваа динстикција е важно да се направи при оценка и управување со ризиците, бидејќи секој извор на закана може да биде асоциран со различна околина.

2.1.2 Ранливост

Ранливоста се дефинира како мана или слабост во процедурите за системска безбедност, дизајн и импементација, или во внатрешните контроли кои може намерно или ненамерно да се пореметат, резултирајќи во безбеносен пробив. Ранливоста може да биде мана или слабост во сите аспекти на ИКТ системите. 

Ранливостите не секогаш се однесуваат на техничките заштити обезбедени од техничките системи.  Значајни ранливости може да постојат и во стандардните оперативни процедури кои ги извршуваат администраторите. На пример, процедурата за ресетирање на лозинка или несоодветно читање на логови, од страна на техничката поддршка. 

2.1.2 Зошто е важно да се управува со ризикот?

Примарните цели за управување со ризиците се:

• Безбедност и интегритет на мрежата.
• Обезбедување на континуитет на услугите.
• Безбедност при чување и обработка на лични податоци.
• Заштита на деловниот успех и мисијата на Операторот.

Според горенаведеното, управување со ризиците претставува функција на ниво на менаџмент, а не само техничка функција. Разбирањето на потребата од менаџирање со ризиците му овозможува на Операторот да ги зашти и сочува корисниците на неговите ИКТ системи, што на долг рок влијае на опстанок на Операторот на пазарот. 

2.2 Оценка на ризик

Ризикот се оценува преку а) идентификација на закани и ранливости, и б) одредување на веројатноста за случување и последиците од неговото настанување. Основниот процес на оценка на ризикот е образложен подолу.

2.2.1 Квантитативна оценка на ризик

Квантитативна оценка на ризик опфаќа доделување на вредности на информациите, системите, деловните процеси, трошоците за поправка и сл., поради што последиците и ризиците можат да се мерат во директни и индиректни трошоци. Квантитативниот ризик може математички да се изрази како математички Годишна веројатност за загуба, и истата претставува очекуваната финансиска загуба поради одреден ризик која може да настане во период од една година. Математичката формула е следна:

Годишна веројатност за загуба = Веројатност за едно случување * Годишна стапка на случување 

2.2.2 Квалитативна оценка на ризик

Квалитативна оцена на ризик претпоставува дека има ниво на несигурност во одредување на веројатноста за појавување и последиците од ризикот, при што веројатноста за ризик и последиците се дефинираат преку квалитативни податоци, наместо исклучиво врз база на квантитативни податоци. 

Генерално, квалитативната оценка на ризик резултира во поставување на ризикот во една од овие три нивоа: висок, среден, низок. Поставување на ризикот во рамките на едно од овие три нивоа, овозможува едноставно да се искуминицира оценката на ризикот низ одговорните структури на Операторот.

2.2.3 Идентификување на закани

За да се направи соодветна оценка на ризикот, потребно е да се идентификуваат заканите но и изворите на заканите.  Листата подолу опфаќа спецификација на генералните закани и извори на закани.

Назив/опис:

• Случајно разоткривање.
• Неовластено или случајно издавање на класифицирана, лична или сензитивна информација.
• Промена на софтвер.
• Намерна модификација, додавање или бришење на оперативниот систем или програмите кои работат на него, од страна на авторизирани или неавторизирани лица, кое доведува до компромитирање на приватноста, достапноста или интегритетот на податоците, програмите, системите или ресурсите кои се под контрола на афектираниот систем или апликација. Извор на вакви закани може да бидат вируси, тројански коњи, злобен код (malicious code) , trapdoors и слично.
• Користење на капацитет на проток (Bandwidth).
• Намерно или ненамерно користење на комуникацискиот капацитет за проток, за потреби надвор од предвидените со договорот, како на пример за пренос на податоци преку кои се вознемируваат и лажат трети лица, кои предизвикува моментална и сериозна закана за јавниот ред, безбедност, здравјето на луѓето или средината, и други тип на користење на комуникацијата кој е забранета со позитивните законски прописи. 

Прекин на електрична енерија:

• При прекин на електрична енергија може да дојде до не можоност да се користат ИКТ системите како и да настане ненамерна модификација или уништување на податоците.

Намерна промена на податоци:

• Намерна модификација, додавање или бришење на податоци, од страна на авторизирано или неавторизирано лице, што доведува до компромитација на приватноста, достапноста или интегритет на податоците кои се генерираат, процесираат, контролираат или чуваат во системите за обработка на податоци.

Системска грешка:

• Случајна или ненамерна грешка при инсталација, конфигурација или надоградба на хардвер, софтвер или комуникациска опрема.

Телекомуникациски дефект или прекин:

• Секој комуникациски линк, единица или компонента на телекомуникацискиот систем кој поради неисправност може да доведе до дефект или прекин на преносот на податоци преку телекомуникациските канали.

Дела на природата:

• Сите типови на природни непогоди (земјотрес, невреме, итн) кои можат да му наштетат или да го афектираат системот/апликацијата. Овие непогоди можат да водат до делумна или целосна недостапност, и на тој начин да влијаат на достапноста на системите и услугите.

2.2.4 Идентификување на ранливости

Се применуваат следните методи за идентификување на ранливости:

• Скенери на ранливост. Се однесува на софтвер преку кој се испитува оперативниот систем, мрежната апликација или код, за некои од познатите мани и пропусти, споредувајќи го системот со база од записи за маани и пропусти.
• Пенетрациски тестови. Се однесува на намерен обид од страна на лице задолжено за безбедносни анализи на Операторот, за извршување активности за предизвкување закана на ИКТ системите. 
• Ревизија на контролни процеси на оперативата и менаџментот. Длабока анализа и ревизија на контролните процеси на оперативата и менаџментот, преку споредба на тековната пракса и процедурите со процедурите кои се унапредена или најдобра пракса во дејноста.  

Дополнително, се прави листа на ранливости кои секогаш се испитуваат при секоја оценка на ризик, со што се овозможува минимално ниво на конзистентност при оценката. Исто така, ранливостите кои се откриваат во претходен процен на оценување на ИКТ системите се вклучуваат во идните процеси на оценување. Ваквиот начин на делување овозможува да се спознаат подобро начините за управување со ризикит кои биле ефиктивни.

При генерирање на листата на можни ранливости, Операторот прави консултација со архивите на познати вендори за евиденција на ранливостите, и тоа: 

• Common Vulnerabilities and Exposures (CVE -  http://cve.mitre.org).
• National Vulnerability Database (NVD - http://nvd.nist.gov).

2.2.4 Менаџирање на ризикот

Се користат две основни стратегии за менаџирање со ризикот, и тоа: ублажување и избегнување. Истите се образложени подолу:

• Ублажување. Опфаќа активности и процеси за намалување на веројатноста и можните последици повразни со одредена маана или пропуст на ИКТ системите. Честа активност за ублажување на ризик за техничка маана е да се инсталира patch обезбеден од вендорот на опремата. 
• Избегнување. Се однесува на активност за елиминирање на ранливиот дел од системот или дури и на целиот систем. На пример, доколку при оценка на ризикот се утврди дека корисничиот веб портал кој се користи за приказ на искористениот сообраќај има мана при што еден претплатник може да види искористеност за друг претплатник, тогаш се пристапува кон поправка на кодот.

3. Заштита на крајните корисници

Операторот користи процедури опишани во поглавје 2 за управување со ризикот, во насока на спречување на случки кои можат да доведат до прекин и злоупотреба на линијата која корисниците ја користат за електронска комуникација. 

Дополнително, Операторот ги применува следните мерки во поглед на заштита на крајните корисници:

3.1 Технички мерки

Се применуваат следните мерки за заштита на крајните корисници:

• Корисничката линија за достава на електронско комуникациска услуга се доставува кај претплатникот како посебен broadcast домен, односно се изолира со користење на VLAN технологија. Ова оневозможува пристап на ниво на ист етернет broadcast домен од други корисници во рамки на мрежата на Операторот. Во поглед на осигурување дека VLAN технологијата ќе обезбеди изолација, Операторот ги користи практика на задолжително тагирање на пакетите кога поминуваат низ портите со коректниот VLAN таг, недозволувајќи не тагирани пакети или погрешно тагирани пакети да се пренесуваат во рамките на мрежата.
• Операторот врши редовни скенирања на корисничката линија за утврдување на ранливоста која овозможува серверот на доменскиот именски систем (доколку претплатникот го има) да се злоупотреби за правење глобални ДДОС напади. 

3.1 Мерки за известување на засегнатите страни при безбедносен инцидент

Безбедносен инцидент претставува нарушување на безбедноста што има значително влијание врз оперирањето на електронската комуникациска мрежа или услуга. При појава на безбедносен инцидент кој имал значително влијание врз функционирањето на мрежите или услугите, Операторот праќа известување за истите до засегнатите страни, и превзема актвности кои што оператерите треба да ги превземат при нарушување на безбедноста на личните податоци. 

Овие исвестувања ги опфаќаат следните страни:

3.1.1 Известување од Операторот до Дирекцијата за заштита на личните податоци

Операторот праќа известување до Дирекцијата за заштита на личните податоци веднаш, но не подоцна од 24 часа од моментот на нарушување на безбедноста или губење на интегритетот кое имало значително влијание врз функционирањето на мрежите или услугите . Известувањето се доставува по електронски пат на следната електронска пошта [email protected]. Прилогот во електронската пошта се доставува со електронски потпис од страна на одговорното лице на Операторот.

3.1.2 Известување од Операторот до претплатникот

Ако нарушувањето на безбедноста на личните податоци може негативно да влијае на личните податоци или приватноста на претплатникот или на друго физичко лице, Операторот дополнително го известува односниот претплатник (правно или физичко лице).

4. Одржување на достапност на мрежата

За подобро да се опслужат корисниците, Операторот е целосно посветен да осигура стабилност и конзистентен квалитет на услугите. Во рамките на оваа посвета, Oператорот дава максимални напори да обезбеди постојана достапност на Услугите. Операторот ги користи мерките и практиките опишани подолу директно и/или индиректно влијаат на обезбедување висока достапност на услугите Користејќи вакви практики во пасивниот сегмент на мрежата, води кон обезбедување висок процент на достапност и намалена веројатност за прекин на услугите.

4.1 Одржување на висок квалитет и достапност на пасивната мрежа

Секоја фибер оптичка конекција се прави преку сплајс со фузија и се верификува со ОТДР тестови. Не се користат механички сплајсови бидејќи истите имаат краток животен век, и ги зголемуваат шансите за дефект. Одговорни лица за одржување на пасивната мрежа прават редовни теренски инспекции на мрежата за да се осигураат дека истата е во функционална состојба. 

Секој претплатник е поврзан со архитектура точка-до-точка, при што не се користи хPON технологија и оптички сплитери. Избегнувањето на оптички сплитери ја намалува веројатноста за појава на дефект, бидејќи има полку „алки во синџирот“ кои можат да создадат дефект.

4.2 Одржување на висок квалитет и достапност на активната мрежа

Операторот користи исклучиво Етернет технологија за достава на услугите. Линиите се верификуваат со интернационално стандардизиран RFC2544 Етернет тест, намалувајќи ги шансите за превид на лошо изработен линк при пуштање на линијата во употреба.

4.3 Одржување на достапност со напреден мониторинг систем

Операторот користи 24/7 постојано активен мониторинг систем, за интерконекциските линкови, за јадрото на мрежата како и за секој интефејс кој води кон претплатник. Мониторинг системот прави длабоки анализи на линковите до најниско ниво на проверка, и веднаш ги информира службите кои во моментот се одговорни за техничка подршка. 

Во поглед на проверки за линковите кон глобалниот Интернет, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за интерконекција со глобалниот провајдер.
• Ping и traceroute од нашата мрежа кон глобалните провајдери, ping и traceroute од надворешна мрежа од европа кон нашата мрежа. 
• Во случај на детекција на предупредување или дефект на еден до интерконекциските провајдери, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линковите за јадрото на мрежата на Операторот („Јадро“), на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата за конекција до секој uplink порт на L2/L3 уред дел од Јадрото.
• Статус на температура на секој L2/L3 уред дел од Јадрото.
• Статус на исправност на хардверот на секој L2/L3 уред дел од Јадрото.
• Статус на искористеност на CPU и RAM на секој L2/L3 уред дел од Јадрото.
• Статус на ДНС сервер, доколку уредот има таква функција.
• Во случај на детекција на предупредување или дефект на дел од Јадрото, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

Во поглед на проверки на линијата за секој претплатник, на секоја минута се прават следните автоматизирани тестирања: 

• Статус на портот и RX оптичко ниво на SFP на портата која преставува конекција кон претплатничката корисничка терминална опрема. 
• Во случај на детекција на предупредување или дефект на линијата, вклучувајќи и намалено ниво на светлина кое може да настане поради превткување на оптички кабел, мониторинг системот веднаш праќа аларм до одговорните лица кои ги веднаш пристапуваат кон испитување и решавање на проблемот. 

4.4 Одржување на достапност со служба за интервенции 24/7

Операторот обзебедува 24/7 служба за техничка подршка. Оваа служба го користи 24/7 постојано активниот мониторинг систем опишан во поглавје 4.3, за увид и реакција во поглед на прекини и дефекти на услугите предупредувачки знаци кои можат да доведат до прекини и дефекти. По потреба, службата за техничка подршка ангажира лица за излагање на терен за поправка на дефект во пасивниот или активниот сегмент на мрежата, кои се на располагање 24/7.

4.4 Одржување на достапност преку редундантна архитектура

Нашата мрежа во Македонија базира на повеќе точки на присуство, кои се заштитени со географски независни и заштитени (редундантни) линкови до јадрото. Истите се стратешки поставени да бидат што поблиску до претплатниците со цел да се намали веројатноста. 

Во поглед на нашата поврзаност со остатокот од светот за Интернет пристап како и за меѓународни приватни врски, истата се остварува со конекции кон повеќе глобални и регионални провајдери, обезбедни преку географски независни и заштитени (редундантни) линкови.

5. Безбедност и интегритет на личните податоци

Операторот е посветен на заштита на личните податоци. Подолу се образложени потребните информации за лична идентификација, како и начинот на обезбедување на безбедност и интегритет на истите. Под терминот лично идентификувачки информации подразбираме информации со кои може да се идентификува едно лице.

5.1 Кои информации се собираат

Ние ги собираме и обработуваме следните лично идентификувачки податоци:

• Во случај на правни лица, ги собираме следните информации: Назив на правно лице, адреса, телефонски број, емаил адреса,  единствен даночен број и единствен матичен број. Во случај на физички лица, ги собираме следните информации: Име/Презиме, адреса, телефонски број и емаил адреса. Овие информации се собираат при пополнување на нарачка за некоја од услугите.
• Детали за финансиските трансакции кои се настанати поради подмирување на обврските поврзани со услугите.
• Запис од комуникацијата која настанува кога не контактирате по емаил, пошта или телефон.
• Информации за конфигурацијата, типот и квантитетот на телекомуникациските услуги кои ги користат корисниците.

5.2 За што се користат податоците

Ние сериозно пристапуваме на приватноста на нашите корисници, целосно почитувајќи го правото на приватност на претплатникот. Лично идентификувачки информации ќе бидат собирани, обработени, зачувани за следните намени:

• Да ги процесираме нарачките и договорите со корисниците.
• Да овозможиме пристап на корисниците до веб портал преку кој може да се следи искористеноста на сообраќајот.
• Да доставиме известување во однос на услугите.
• Да доставиме фактура во однос на услугите.
• Да анализираме како ги користите услугите, како на пример да анализираме за просечното ниво на искористеност на капацитетот за проток, со цел да предложиме решение во случај на проблем.
• Да истражиме поплаки од корисниците.
• Да ја поставиме приближната локацијата на претплатникот во мониторинг системот, со цел побрза реакција при поправка на дефект.
• Да ги доставиме информациите до соодвените државни институции во случај на правен спор, детекција на криминал и други активности кои се спротивни на Законот за електронски комуникации или друг закон или пропис.

5.3 Обезбедување безбедност и интегритет на личните податоци

Имаме воспоставено разумни физички, технички и организациски мерки дизајнирани со цел да обезбедат околина каде личните информации ќе бидат обезбедени од случајно губење или неовластен пристап. Безбедносните мерки се поставени да осигураат заштита во поглед на губење, злоупотреба или модификација на информациите кои се под наша контрола. Добро е да се напомене дека технологијата, колку и да е напредна, со тек на време станува ранлива материја поради што не може 100% да се гарантира дека неовластени трети страни никогаш нема да бидат во можност да го пробијат безбедносните мерки и таквиот пробив да го искористат за несоодветни цели.

Операторот ги користи следните мерки за обезбедување безбедност и интегритет на личните податоци.

5.3.1 Физички мерки

Физичките мерки се однесуваат на мерки за заштита во поглед на кражба, упад или друг неавторизиран пристап до обејктите, мрежата и останатата технологија на Операторот. Физичките мерки се дадени подолу:

• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се ограничени за пристап само на овластени лица. 
• Објектите на Операторот имаат обезбедување од страна на лица задолжени за безбедност.
• Објектите на Операторот каде се чуваат или од каде се пристапува до личните податоци се под постјоан видео надзор.

5.3.2 Процедурални мерки

Процедуралните мерки се специфицирани во листата подолу:

• Операторот следи процедури за да се осигура дека само авторизирани лица имаат пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци. Авторизација на сметка поврзана со одреден администратор, за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, се прави само од страна на управителот на Операторот. Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап..
• Лицата кои се авторизирани за пристап до ИКТ системите каде се собираат, чуваат и обработуваат личните податоци, потпишуваат договор со Операторот за користење на личните податоци на корисниците само за нивната намена опишана во поглавје 5.2.

5.3.3 Техничи мерки 

Техничките мерки се специфицирани во листата подолу:

• Доверливите информации за корисниците мора да се пренесуваат сигурно. При комуникација на овие податоци преку емаил системите, воспотавена е рамка за задолжителна употреба на шифрирана комуникација со помош на методот Transport Layer Security (TLS) кој е индустриски признат стандард заснован на Secure Sockets Layer (SSL) технологијата за енкрипција на емаил комуникација.
• Личните информации за корисниците кои се правни лица, и тоа: назив на правно лице, адреса, телефонски број, емаил адреса, единствен даночен број и единствен матичен број; се чуваат во енкриптирана форма при што шифрирањето и дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита, дополнителнно истите се комуницираат на сигурен начин преку енкриптирана комуникација со методата TLS. 
• Личните информации за корисниците кои се физички лица, и тоа име/презиме, телефонски број и емаил адреса; се чуваат во шифрирана форма при што шифрирањето/дешифрирањето се изведува со методата Advanced Encryption Standard (AES) со 256 бита. При електронска комуникација на истите, се користи сигурна комуникација со TLS методата.
• Кога овие авторизирани лица пристапуваат на системот за чување и обработка на лични податоци, покрај употребата на лична лозинка за влез, системот им налага да користат дво-степена верификација која бара дополнителен код пратен на телефонот назначен како носител на сметката за пристап.

6. Контакт податоци

6.1 Назив и седиште на операторот

ИНТЕРСПАЦЕ Д.О.О.Е.Л. СКОПЈЕ
Бул. Јане Сандански 109А, кат 3 , 1000 Скопје

6.2 Податоци за офицерот за заштита на личните податоци

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

6.3 Податоци за одговорно лице за информациска безбедност и за известување за нарушување на безбедноста

Контакт телефон: 02/3299-199, 070/235-038
Контакт адреса за електронска пошта: [email protected]
Акт бр. 0204-128 од 15.12.2016

За останатите услуги правните документи не се објавени на веб страната, бидејќи се изработуваат за секоја нарачка одделно и се адаптираат во зависност од земјата на потекло на клиентот, локацијата каде се испорачува услугата и други параметри.

Овие правни документи се доставуваат преку email при нарачка на услугите.

Следните правила се однесуваат на електронските пораки испратени од адреси за електронска пошта под доменот "interspace.com" (понатаму во текстот "Емаил"), преку Емаил сервер кој е авторизиран да испраќа пораки од доменот "interspace.com" и компанијата Interspace (понатаму во текстот заедно наречени "Организација").

За да се потврди дека Емаилот доаѓа од серверот за испраќање на пораки кој е авторизиран да испраќа пораки од "interspace.com", проверете дали DKIM потписот е валиден и дали Емаилот е потпишан од "interspace.com".

Емаилот и сите прикачени датотеки се доверливи и наменети исклучиво за употреба од лицата или субјектот до кои се адресирани. Ако сте го примиле Емаилот по грешка, Ве молиме известете го систем администраторот на Eмаил системот на [email protected]. Емаил пораката содржи доверливи информации и е наменета само за именуваните лица.

Ако не сте именувани во Емаил пораката, не треба да ја препраќате, да ја споделувате или копирате. Ве молиме, веднаш да го известите испраќачот преку Емаил порака доколку сте ја примиле Е-пораката по грешка и да ја избришете од вашиот систем. Ако пораката не е наменета за да вие ја примите, Ве известуваме дека откривањето, копирањето, дистрибуирањето или било какви дејства засновани на содржината на Емаилот се строго забранети.

Компјутерски вируси можат да се пренесуваат ненамерно преку Емаил. Примачот треба да го провери Емаилот и сите прикачени датотеки за присуство на вируси. Преносот на Емаил не може да се гарантира дека е безбеден или без грешки, бидејќи информациите можат да бидат пресретнати, корумпирани, загубени, уништени, пристигнати подоцна или непотполни, или да содржат вируси. Испраќачот, поради тоа, не презема одговорност за било какви грешки или пропусти во содржината на Емаилот кои настанале поради пренос на Емаил пораката. Организацијата не презема одговорност за било каква штета предизвикана од било каков вирус пренесен преку Емаил.

Организацијата не презема одговорност за содржината на Емаилот или за последиците од било какви дејства превземени на основа на дадените информации, освен ако тие информации не се потврдени понатаму во писмена форма.