SafeLaw
TPSP-01 · Соответствие PCI DSS: Req 12.8

Управление поставщиками услуг

Реестр TPSP, требования к их выбору, мониторингу и расторжению отношений.

ООО «SELLAI» (SELLAI LLC)

Сервис SafeLaw (safelaw.ai)

ИНН 312530703, г. Нукус, Республика Каракалпакстан, Узбекистан

ПОЛИТИКА УПРАВЛЕНИЯ ПОСТАВЩИКАМИ УСЛУГ

Документ TPSP-01

Версия 1.0

Дата ввода в действие: 15 мая 2026 г.

Соответствие: PCI DSS v4.0.1, SAQ A

1. Назначение

Настоящая Политика управления поставщиками услуг (далее — Политика) устанавливает порядок выбора, оценки, заключения договоров, мониторинга и прекращения отношений ООО «SELLAI» (далее — Компания) с третьими сторонами, оказывающими услуги, которые могут повлиять на безопасность данных пользователей, в том числе данных платёжных карт, обрабатываемых в рамках сервиса SafeLaw (safelaw.ai). Политика разработана в соответствии с Требованием 12.8 стандарта PCI DSS v4.0.1.

2. Область применения

Действие Политики распространяется на всех поставщиков услуг (Third-Party Service Providers, далее — TPSP), которые:

  • имеют доступ к данным платёжных карт пользователей или могут повлиять на безопасность среды обработки таких данных (CDE);
  • обрабатывают, хранят или передают персональные данные пользователей Компании;
  • предоставляют инфраструктурные услуги, обеспечивающие работу публичных сервисов Компании;
  • осуществляют поддержку или администрирование информационных систем Компании.

3. Определения

Поставщик услуг (TPSP) — юридическое или физическое лицо, не являющееся работником Компании, оказывающее услуги, перечисленные в разделе 2 настоящей Политики.

Должная осмотрительность (Due Diligence) — процесс предварительной оценки потенциального поставщика услуг на предмет его способности обеспечить безопасность данных, переданных ему Компанией.

Attestation of Compliance (AoC) — документ, подтверждающий соответствие поставщика услуг требованиям PCI DSS.

DPA (Data Processing Agreement) — соглашение об обработке персональных данных между Компанией (контролёр) и поставщиком услуг (обработчик).

4. Реестр поставщиков услуг

Компания ведёт актуальный реестр всех поставщиков услуг, подпадающих под действие настоящей Политики. По каждому поставщику в реестре фиксируются:

  • наименование, страна регистрации, контактные данные;
  • вид и описание оказываемых услуг;
  • категория услуг с точки зрения PCI DSS (платёжный сервис, инфраструктура, хостинг, AI, прочее);
  • конкретные требования PCI DSS, исполняемые поставщиком от имени Компании;
  • дата заключения и срок действия договора;
  • наличие и срок действия Attestation of Compliance (для платёжных и инфраструктурных TPSP);
  • наличие DPA (для поставщиков, обрабатывающих персональные данные);
  • дата последней оценки соответствия;
  • ответственное лицо со стороны Компании за взаимодействие с поставщиком.

Реестр пересматривается не реже одного раза в 12 месяцев и обновляется при любых изменениях состава поставщиков.

4.1. Действующий состав поставщиков услуг Компании

Состояние на 15 мая 2026 г.:

Поставщик

Юрисдикция

Услуга / роль

Категория PCI DSS

АКБ «Ипак Йули»

Узбекистан

Платёжный эквайринг, обработка данных платёжных карт через redirect flow

Платёжный сервис (имеет PCI DSS как эквайер)

Cloudflare, Inc.

США

WAF, CDN, защита от DDoS, управление DNS

Инфраструктура / средства защиты

Netcup GmbH

Германия

Хостинг производственных серверов сервиса SafeLaw

Инфраструктура / хостинг

Google LLC

США

Корпоративная почта и совместная работа (Google Workspace); AI-сервисы (Vertex AI Gemini)

Корпоративные сервисы и AI

Anthropic PBC

США

AI-сервис Claude API

AI-сервис

OpenAI, OpCo, LLC

США

AI-сервис GPT API

AI-сервис

Namecheap, Inc.

США

Регистратор доменного имени safelaw.ai

Инфраструктура

Ни один из перечисленных поставщиков (за исключением АКБ «Ипак Йули» как платёжного эквайера) не имеет доступа к данным платёжных карт пользователей, поскольку Компания не обрабатывает PAN и SAD на своей инфраструктуре.

5. Процедура выбора поставщика

5.1. Должная осмотрительность

Перед заключением договора с потенциальным поставщиком услуг, подпадающим под действие настоящей Политики, осуществляется его оценка по следующим критериям:

  • наличие необходимых лицензий, разрешений, регистраций;
  • соответствие применимым стандартам и сертификациям (PCI DSS, ISO 27001, SOC 2 — в зависимости от типа услуги);
  • репутация на рынке, наличие инцидентов информационной безопасности в публичных источниках;
  • прозрачность политик информационной безопасности и обработки данных;
  • способность подписать договорные обязательства по защите данных;
  • географическое расположение инфраструктуры обработки данных;
  • финансовая устойчивость;
  • условия SLA и поддержки.

Для платёжных провайдеров и поставщиков, имеющих доступ к данным платёжных карт, обязательным является наличие действующего сертификата PCI DSS соответствующего уровня. Запрашивается копия Attestation of Compliance (AoC).

5.2. Документирование оценки

Результаты оценки документально оформляются в виде краткого отчёта, содержащего: наименование поставщика, предлагаемые услуги, перечень проверенных критериев, выявленные риски, рекомендацию о заключении договора или отказе. Отчёт хранится в течение срока действия договора и 3 лет после его прекращения.

6. Договорные требования

Договор с TPSP, имеющим доступ к данным Компании или влияющим на безопасность данных, в обязательном порядке содержит положения:

  • обязательство поставщика соблюдать применимое законодательство и стандарты (в том числе PCI DSS — для платёжных и инфраструктурных провайдеров; Закон РУз № ЗРУ-547 «О персональных данных» — для обработчиков персональных данных пользователей-резидентов Узбекистана);
  • чёткое распределение ответственности по обеспечению информационной безопасности между Компанией и поставщиком;
  • обязанность поставщика уведомить Компанию об инцидентах информационной безопасности, затрагивающих данные Компании, не позднее установленного срока;
  • право Компании на запрос подтверждающих документов о соответствии поставщика стандартам безопасности;
  • обязательства по конфиденциальности информации, полученной от Компании;
  • порядок возврата или уничтожения данных Компании при прекращении договора;
  • ответственность за нарушение договорных обязательств в части безопасности данных.

При невозможности включения отдельных положений в стандартные условия международных поставщиков (Cloudflare, Google, Anthropic, OpenAI, Netcup и др.) Компания опирается на публичные условия использования, политики конфиденциальности и Data Processing Agreement, предлагаемые этими поставщиками, и обеспечивает их соответствие требованиям Компании. Заключение DPA с указанными поставщиками является обязательным.

7. Распределение обязанностей по обеспечению соответствия PCI DSS

Между Компанией и TPSP осуществляется чёткое распределение обязанностей по обеспечению соответствия требованиям PCI DSS. Распределение фиксируется документально в матрице ответственности (Responsibility Matrix).

7.1. Обязанности банка-эквайера (АКБ «Ипак Йули»)

  • обработка, хранение, передача данных платёжных карт пользователей;
  • обеспечение безопасности платёжного шлюза и платёжных страниц;
  • соответствие требованиям PCI DSS, применимым к платёжному сервисному провайдеру;
  • уведомление Компании о любых инцидентах безопасности, затрагивающих платёжные операции.

7.2. Обязанности Компании

  • обеспечение того, чтобы данные платёжных карт не передавались на инфраструктуру Компании;
  • безопасная интеграция с платёжным шлюзом (правильная настройка redirect flow, проверка возвращаемых параметров);
  • защита веб-сайта safelaw.ai от вмешательств, которые могли бы привести к перенаправлению пользователей на поддельные платёжные страницы;
  • соблюдение требований SAQ A, применимых к мерчанту с полным аутсорсингом обработки CHD;
  • ведение реестра TPSP и мониторинг их соответствия PCI DSS.

8. Мониторинг соответствия поставщиков

Компания осуществляет регулярный мониторинг соответствия поставщиков услуг применимым требованиям:

  • не реже одного раза в 12 месяцев запрашивается актуальная Attestation of Compliance у платёжных и инфраструктурных TPSP;
  • при наличии у поставщика публичного Trust Center или страницы соответствия (Compliance Page) актуальность статуса проверяется по официальным источникам;
  • отслеживаются публикации поставщиков об инцидентах безопасности, в том числе через их официальные блоги, страницы статуса и публичные отчёты;
  • при выявлении существенных проблем у поставщика (утечка данных, отзыв сертификации, ухудшение финансового положения) проводится повторная оценка.

Результаты мониторинга фиксируются в реестре TPSP.

9. Управление изменениями

При любом из следующих событий проводится пересмотр статуса поставщика:

  • изменение перечня услуг, оказываемых поставщиком;
  • изменение объёма или категории данных, передаваемых поставщику;
  • истечение срока сертификации/AoC поставщика;
  • публикация информации об инциденте безопасности у поставщика;
  • изменение собственника, юрисдикции или существенных условий деятельности поставщика.

10. Прекращение отношений с поставщиком

При прекращении договора с поставщиком обеспечиваются:

  • своевременное прекращение всех технических интеграций (отзыв API-ключей, токенов доступа, удаление учётных записей у поставщика и в системах Компании);
  • возврат или уничтожение данных Компании, переданных поставщику, с получением документального подтверждения;
  • исключение поставщика из активного реестра TPSP (с сохранением записи в архивной части на установленный срок);
  • уведомление работников Компании, использовавших услуги поставщика, о порядке перехода на альтернативное решение.

11. Ответственное лицо

Ответственным за выполнение настоящей Политики, ведение реестра TPSP и мониторинг соответствия поставщиков является ответственный за информационную безопасность Компании. До назначения отдельного сотрудника функции исполняет директор Компании.

12. Пересмотр Политики

Настоящая Политика пересматривается не реже одного раза в 12 месяцев, а также при существенных изменениях состава поставщиков услуг, изменениях бизнес-модели Компании, изменениях нормативно-правовой базы или стандартов (PCI DSS).

13. Сведения о документе

Версия

Дата

Изменения

Утвердил

1.0

15.05.2026

Первичное утверждение документа

Жумамуратов Р.

Утверждение документа

Настоящий документ утверждён директором ООО «SELLAI» (SELLAI LLC) и вступает в силу с даты подписания. Документ подлежит обязательному ознакомлению всем персоналом, подрядчиками и иными лицами, имеющими доступ к информационным активам ООО «SELLAI».

Директор ООО «SELLAI»:

_________________________ / Жумамуратов Р.

(подпись) (расшифровка)

Дата: «_____» _____________ 2026 г.

М.П.

Связанные политики

ISP-01
Политика информационной безопасности
AUP-01
Политика допустимого использования
IRP-01
План реагирования на инциденты
Сообщить об уязвимости, инциденте или задать вопрос аудитору: safelawinfo@gmail.com