SafeLaw
AUP-01 · PCI DSS muvofiqligi: Req 12.2, 12.3, 12.6, 12.7

Maqbul foydalanish siyosati

Axborot aktivlari, korporativ akkauntlar va toʻlov infratuzilmasidan foydalanish qoidalari.

«SELLAI» MChJ (SELLAI LLC)

SafeLaw xizmati (safelaw.ai)

STIR 312530703, Nukus shahri, Qoraqalpogʻiston Respublikasi, Oʻzbekiston

AXBOROT RESURSLARIDAN MAQBUL FOYDALANISH SIYOSATI

Hujjat AUP-01

1.0-versiya

Kuchga kirish sanasi: 2026-yil 15-may

Muvofiqlik: PCI DSS v4.0.1, SAQ A

Asosiy til: rus tili. Ushbu oʻzbek tilidagi tarjima va rus tilidagi asosiy variant oʻrtasida har qanday tafovut boʻlsa, rus tilidagi variant ustun hisoblanadi.

1. Maqsad

Ushbu Maqbul foydalanish siyosati (keyingi oʻrinlarda — Siyosat) «SELLAI» MChJ (keyingi oʻrinlarda — Kompaniya) axborot resurslari, tizimlari, jihozlari va aloqa kanallaridan xodimlar, pudratchilar va shu resurslarga ruxsat berilgan kirish huquqiga ega boshqa shaxslar tomonidan foydalanish qoidalarini belgilaydi. Siyosatning maqsadi — Kompaniya axborot resurslaridan xavfsiz, toʻgʻri va qonunchilikka mos foydalanishni taʼminlash.

2. Qoʻllash sohasi

Ushbu Siyosatning amal qilishi quyidagilarga taalluqli:

  • mehnat munosabatlarining shaklidan qatʼi nazar, Kompaniyaning barcha xodimlari;
  • Kompaniyaning axborot resurslariga kirish huquqiga ega boʻlgan pudratchilar, maslahatchilar, fuqarolik-huquqiy shartnoma boʻyicha ijrochilar;
  • Kompaniyaning resurslariga vaqtinchalik kirish huquqi olgan stajyorlar va boshqa shaxslar.

Siyosat qoidalari foydalaniladigan barcha qurilmalarga (shu jumladan xizmat maqsadlarida ishlatiladigan shaxsiy qurilmalarga), tarmoqlarga, dasturiy taʼminotga va xizmatlarga, jumladan, bulutli xizmatlarga taalluqlidir.

3. Foydalanishning umumiy tamoyillari

  • Kompaniyaning axborot resurslari faqat xizmat vazifalarini bajarish uchun foydalanishga beriladi;
  • cheklangan shaxsiy foydalanish (masalan, shaxsiy elektron pochtani tekshirish) xizmat vazifalarini bajarishga, qonunchilik va ushbu Siyosat qoidalariga zarar yetkazmasa va xavfsizlik xavfini keltirib chiqarmasa, ruxsat etiladi;
  • xodim oʻz hisob qaydnomalari maʼlumotlari yordamida bajarilgan barcha harakatlar uchun shaxsiy javobgarlikka egadir;
  • hisob qaydnomalari maʼlumotlarini uchinchi shaxslarga, jumladan, Kompaniyaning boshqa xodimlariga berish qatʼiyan taqiqlanadi.

4. Autentifikatsiya va parollar

4.1. Parollar talablari

  • minimal uzunligi — 12 belgi;
  • parol harflar va raqamlardan iborat boʻlishi kerak (maxsus belgilardan foydalanish tavsiya etiladi);
  • parol foydalanuvchining oxirgi 4 parollaridan biri bilan mos kelmasligi kerak;
  • parol foydalanuvchining ismi, Kompaniya nomi, aniq ketma-ketliklar (123456, qwerty, password va sh.k.) ni oʻz ichiga olmasligi kerak;
  • parolning rejali oʻzgarishi — kamida 90 kunda bir marta;
  • hisob qaydnomasi buzilganligi gumon qilinganda parol darhol oʻzgartiriladi.

4.2. Koʻp omilli autentifikatsiya (MFA)

MFA dan majburiy foydalanish quyidagilar uchun belgilanadi:

  • Google Workspace hisob qaydnomalari (elektron pochta, hujjatlar);
  • Cloudflare, Namecheap, bank shaxsiy kabinetlari hisob qaydnomalari;
  • serverlar va maʼlumotlar bazalarining administrativ panellariga kirish;
  • manba kodlari omborlariga (GitHub, GitLab va sh.k.) kirish huquqiga ega hisob qaydnomalari;
  • imtiyozli kirish huquqiga ega har qanday hisob qaydnomalari.

4.3. Parollarni saqlash

  • ochiq joyda qoldiriladigan qogʻoz tashuvchilarda parollarni yozish taqiqlanadi;
  • shifrlanmagan fayllar, eslatmalar, yozishmalarda parollarni saqlash taqiqlanadi;
  • parollarni saqlash uchun maxsus parollar menejerlari (masalan, 1Password, Bitwarden, KeePassXC) ishlatiladi;
  • ish va shaxsiy hisob qaydnomalari uchun bir xil parollardan foydalanish taqiqlanadi.

5. Elektron pochtadan foydalanish

Korporativ elektron pochta (Google Workspace asosidagi @safelaw.ai domeni) xizmat yozishmalari uchun beriladi. Elektron pochtadan foydalanishda xodimlar:

  • nomaʼlum joʻnatuvchilardan kelgan shubhali xatlardagi qoʻshimchalar va havolalarni ochmasliklari kerak;
  • mablagʻ oʻtkazish, rekvizitlarni oʻzgartirish, parol yoki maxfiy maʼlumotlarni taqdim etish toʻgʻrisidagi soʻrovlarni oʻz ichiga olgan xatlar olganda joʻnatuvchining manzilini tekshirishlari kerak;
  • fishing xatlari haqida zudlik bilan safelawinfo@gmail.com manziliga xabar berishlari kerak;
  • xizmat yozishmalarini shaxsiy pochta qutilariga yuborish taqiqlanadi;
  • toʻlov kartalari maʼlumotlari, parollar, shaxsiy maʼlumotlarni elektron pochta orqali ochiq holda uzatish taqiqlanadi;
  • Kompaniya imidjiga mos keladigan korporativ imzolar va formulirovkalardan foydalanish.

Korporativ pochtadan quyidagilar uchun foydalanish taqiqlanadi:

  • ommaviy tijoriy xabarlar (spam) yuborish;
  • mualliflik huquqlarini buzuvchi, haqorat yoki kamsituvchi mazmundagi materiallarni tarqatish;
  • xizmat faoliyati bilan bogʻliq boʻlmagan koʻngilochar va boshqa xizmatlarda roʻyxatdan oʻtish.

6. Internet va veb-xizmatlardan foydalanish

  • xodimlar internetdan asosan xizmat vazifalarini hal qilish uchun foydalanadilar;
  • tekshirilmagan resurslardan korporativ qurilmalarga dasturiy taʼminot va materiallarni yuklash taqiqlanadi;
  • zararli dasturiy taʼminot, pornografik, ekstremistik yoki boshqa noqonuniy mazmundagi kontent tarqatuvchi resurslarga tashrif buyurish taqiqlanadi;
  • xizmat maqsadlari uchun bulutli xizmatlardan foydalanishda rasman maʼqullangan xizmatlar (Google Workspace, maʼqullangan AI xizmatlar) afzal koʻriladi;
  • Kompaniya maʼlumotlarini saqlash yoki qayta ishlash uchun yangi bulutli xizmatlardan foydalanish axborot xavfsizligi boʻyicha mas'ul shaxs bilan oldindan kelishuvni talab qiladi.

7. Xizmat va shaxsiy qurilmalardan foydalanish

7.1. Xizmat qurilmalari

  • xizmat qurilmalariga zamonaviy antivirus dasturiy taʼminoti oʻrnatiladi;
  • operatsion tizim va oʻrnatilgan ilovalar muntazam yangilanadi;
  • toʻliq disk shifrlash (macOS uchun FileVault, Windows uchun BitLocker, Linux uchun LUKS) yoqiladi;
  • qurilma 10 daqiqa harakatsizlikdan keyin avtomatik blokirovka qilinadi;
  • qurilma yoʻqolgan yoki oʻgʻirlangan taqdirda xodim Kompaniyaga zudlik bilan kirish huquqini blokirovka qilish uchun xabar beradi.

7.2. Shaxsiy qurilmalardan foydalanish (BYOD)

Agar xodim shaxsiy qurilmani xizmat maqsadlarida ishlatsa, unga quyidagi talablar tatbiq etiladi:

  • qurilma parol, PIN-kod, biometrik autentifikatsiya yoki ekranni blokirovka qilishning boshqa shakli bilan himoyalangan;
  • qurilmada zamonaviy dasturiy taʼminot oʻrnatilgan va eng oxirgi xavfsizlik yangilanishlari oʻrnatilgan;
  • xizmat maʼlumotlari shifrlanmagan saqlashlarda saqlanmaydi;
  • mehnat yoki boshqa munosabatlar tugaganda xodim shaxsiy qurilmadan barcha xizmat maʼlumotlarini oʻchirib tashlashi shart.

8. Masofadan kirish

  • korporativ resurslarga masofadan kirish faqat MFA dan foydalangan holda amalga oshiriladi;
  • ommaviy Wi-Fi tarmoqlari bilan ishlashda VPN dan foydalanish tavsiya etiladi;
  • ommaviy joylarda xizmat maʼlumotlari bilan ishlash uchun ishlatiladigan qurilma ekrani begona koʻzlardan himoyalanishi kerak;
  • ommaviy joylarda qurilmani nazoratsiz qoldirish taqiqlanadi.

9. Toʻlov kartalari maʼlumotlarini himoya qilish

Kompaniyaning toʻlov operatsiyalari bilan ishlashini hisobga olib, barcha xodimlarga qatʼiy taqiqlanadi:

  • foydalanuvchilardan toʻlov kartalari maʼlumotlarini (karta raqami, CVV, PIN, amal qilish muddati) elektron pochta, messenjer, telefon, qoʻllab-quvvatlash chatlari yoki akvayer-bankning toʻlov shlyuzini chetlab oʻtuvchi boshqa kanallar orqali qabul qilish;
  • foydalanuvchilarning toʻlov kartalari maʼlumotlarini har qanday shaklda yozish, suratga olish yoki saqlash;
  • foydalanuvchilarning toʻlov kartalari maʼlumotlarini hamkasblar yoki uchinchi shaxslar bilan muhokama qilish;
  • axborot xavfsizligi boʻyicha mas'ul shaxs bilan oldindan yozma kelishuvsiz Kompaniya tomonida PAN yoki SADni qayta ishlashga olib kelishi mumkin boʻlgan dasturiy kod, formalar yoki jarayonlarni ishlab chiqish.

Agar foydalanuvchi oʻz tashabbusi bilan toʻlov kartasi maʼlumotlarini noqulay kanal orqali joʻnatgan boʻlsa (masalan, qoʻllab-quvvatlash xizmati pochtasiga), xodim:

  • karta maʼlumotlarini oʻz ichiga olgan xabarni zudlik bilan oʻchirib tashlashi kerak;
  • foydalanuvchini Kompaniya elektron pochta orqali toʻlov rekvizitlarini qabul qilmasligi haqida xabardor qilishi va toʻlovni shtatdan tashqari usulda sayt orqali amalga oshirishni taklif qilishi kerak;
  • axborot xavfsizligi boʻyicha mas'ul shaxsni xabardor qilishi kerak.

10. Dasturiy taʼminot

  • korporativ qurilmalarga faqat litsenziyali yoki erkin tarqatiladigan dasturiy taʼminot oʻrnatiladi;
  • yangi dasturiy taʼminotni, ayniqsa imtiyozlarni talab qiladigan dasturlarni oʻrnatish axborot xavfsizligi boʻyicha mas'ul shaxs bilan kelishiladi;
  • piratlik dasturiy taʼminoti, keygen, krak va litsenziya cheklovlarini chetlab oʻtish vositalaridan foydalanish taqiqlanadi;
  • brauzer kengaytmalari va plaginlardan foydalanish xavfsizlik va maxfiylik xavflari nuqtai nazaridan baholanadi.

11. Zararli dasturiy taʼminot va fishingdan himoya qilish

Xodimlar quyidagilarni bajarishlari shart:

  • elektron pochtadagi qoʻshimchalarni ochish va havolalarga oʻtishda ehtiyot boʻlish;
  • joʻnatuvchining manzilini soxtalashtirilishini tekshirish (masalan, domen nomidagi belgilarni almashtirish);
  • xatlardan ochilgan sahifalarda hisob qaydnomalari maʼlumotlarini kiritmaslik;
  • qurilma zararli dasturiy taʼminot bilan zararlanganligi gumon qilinsa — qurilmani tarmoqdan zudlik bilan uzish va axborot xavfsizligi boʻyicha mas'ul shaxsga xabar berish.

Mumkin boʻlgan fishing belgilari:

  • kutilmagan shoshilinch va blokirovka/jarima bilan tahdid;
  • joʻnatuvchi nomi va manzili oʻrtasidagi nomuvofiqlik;
  • mablagʻ oʻtkazish, bank rekvizitlarini oʻzgartirish, parol berish toʻgʻrisidagi soʻrovlar;
  • nomaʼlum joʻnatuvchilardan kelgan .exe, .zip, .scr, .docm kengaytmali qoʻshimchalar.

12. AI-xizmatlardan va boshqa uchinchi tomon xizmatlaridan foydalanish

Uchinchi tomon AI-xizmatlari (OpenAI, Anthropic, Google Vertex AI va boshqalar) bilan ishlashda xodimlar quyidagilarni bajarishlari shart:

  • AI-xizmatlarga foydalanuvchilarning toʻlov kartalari maʼlumotlarini, parollarni, API kalitlarini ochiq holda uzatmaslik;
  • foydalanuvchilarning shaxsiy maʼlumotlarini uzatishni minimal zarur hajm bilan cheklash;
  • faqat Kompaniya tomonidan tasdiqlangan rasmiy integratsiyalar va API laridan foydalanish;
  • AI-xizmatga uzatilgan maʼlumotlar xizmat koʻrsatuvchi tomonidan oʻz siyosatiga muvofiq qayta ishlanishi mumkinligini hisobga olish.

13. Ijtimoiy tarmoqlar va ommaviy chiqishlar

  • Kompaniya faoliyati bilan bogʻliq nashrlar rahbariyat bilan kelishiladi;
  • ijtimoiy tarmoqlarda mijozlar, hamkorlar, ichki jarayonlar, infratuzilma, hodisalar haqida maʼlumot oshkor qilish taqiqlanadi;
  • shaxsiy nashrlarda Kompaniyani eslatganda xodim shaxsiy fikrini bildirayotganligini koʻrsatadi.

14. Taqiqlangan faoliyat turlari

Kompaniya resurslaridan foydalanishda quyidagilar qatʼiyan taqiqlanadi:

  • Kompaniya yoki uchinchi shaxslarning axborot tizimlariga ruxsatsiz kirishga urinishlar;
  • ruxsat etilgan xavfsizlik testlari bilan bogʻliq boʻlmagan maqsadlarda dasturiy taʼminot zaifliklaridan foydalanish;
  • himoya vositalarini (antivirus, mejtarmoq ekrani, jurnal yuritish) oʻchirish;
  • kirishni nazorat qilish vositalari, parol himoyasi, MFA dan chetga chiqish;
  • zararli dasturiy taʼminotni yaratish, ishlatish yoki tarqatish;
  • Kompaniyaning axborot resurslarini ataylab buzish yoki yoʻq qilish;
  • Oʻzbekiston Respublikasi qonunchiligiga yoki Kompaniyaning xalqaro majburiyatlariga zid harakatlar.

15. Monitoring

Kompaniya xavfsizlikni taʼminlash va ushbu Siyosatga rioya qilish maqsadida axborot resurslaridan foydalanishni nazorat qilishga haqlidir. Monitoring quyidagilarni oʻz ichiga olishi mumkin:

  • tizimlar va ilovalarga kirish jurnallarini tahlil qilish;
  • chegaradagi qurilmalarda tarmoq trafigini nazorat qilish;
  • hodisalarga shubha boʻlganda korporativ elektron pochta jurnallarini tahlil qilish.

Monitoring Oʻzbekiston Respublikasining shaxsiy maʼlumotlar va yozishmalar sirini saqlash toʻgʻrisidagi qonunchilik talablarini hisobga olgan holda amalga oshiriladi.

16. Javobgarlik

Ushbu Siyosat qoidalarini buzish quyidagilarga olib kelishi mumkin:

  • Oʻzbekiston Respublikasi mehnat qonunchiligiga muvofiq intizomiy choralar;
  • mehnat yoki fuqarolik-huquqiy munosabatlarni tugatish;
  • qonunda belgilangan hollarda fuqarolik-huquqiy, maʼmuriy yoki jinoiy javobgarlik;
  • Kompaniyaga yetkazilgan zararni qoplash.

17. Tanishish va majburiyatlar

Ushbu Siyosat amal qiladigan barcha xodimlar va pudratchilar Siyosat qoidalari bilan ishga qabul qilinganda (shartnoma tuzilganda), shuningdek, Siyosatning har bir sezilarli yangilanishida tilxat bilan tanishishlari shart. Tanishish axborot xavfsizligi boʻyicha mahalliy hujjatlar bilan tanishish jurnalida qayd qilinadi.

18. Hujjat haqida maʼlumot

Versiya

Sana

Oʻzgarishlar

Tasdiqlagan

1.0

15.05.2026

Hujjatning birinchi tasdigʻi

R. Jumamuratov

Hujjatni tasdiqlash

Ushbu hujjat «SELLAI» MChJ direktori tomonidan tasdiqlanadi va imzolangan sanadan boshlab kuchga kiradi. «SELLAI» MChJ axborot resurslariga kirish huquqiga ega boʻlgan barcha xodimlar, pudratchilar va boshqa shaxslar uchun hujjat bilan tanishish majburiy hisoblanadi.

«SELLAI» MChJ direktori:

_________________________ / R. Jumamuratov

(imzo) (familiya)

Sana: «_____» _____________ 2026-yil

M.Oʻ.

Bogʻliq siyosatlar

ISP-01
Axborot xavfsizligi siyosati
IRP-01
Hodisalarga javob berish rejasi
TPSP-01
Xizmat koʻrsatuvchilarni boshqarish siyosati
Zaiflik yoki hodisa haqida xabar berish, auditor sifatida aloqa qilish: safelawinfo@gmail.com