SafeLaw
ISP-01 · PCI DSS muvofiqligi: Req 12.1

Axborot xavfsizligi siyosati

SafeLawda axborotni, jumladan toʻlov maʼlumotlarini himoya qilishga oid asosiy tamoyillar va talablar.

«SELLAI» MChJ (SELLAI LLC)

SafeLaw xizmati (safelaw.ai)

STIR 312530703, Nukus shahri, Qoraqalpogʻiston Respublikasi, Oʻzbekiston

AXBOROT XAVFSIZLIGI SIYOSATI

Hujjat ISP-01

1.0-versiya

Kuchga kirish sanasi: 2026-yil 15-may

Muvofiqlik: PCI DSS v4.0.1, SAQ A

Asosiy til: rus tili. Ushbu oʻzbek tilidagi tarjima va rus tilidagi asosiy variant oʻrtasida har qanday tafovut boʻlsa, rus tilidagi variant ustun hisoblanadi.

1. Maqsad va vazifalar

Ushbu Axborot xavfsizligi siyosati (keyingi oʻrinlarda — Siyosat) «SELLAI» MChJ (STIR 312530703, keyingi oʻrinlarda — Kompaniya) faoliyatining axborotni himoya qilish, jumladan, SafeLaw xizmati (safelaw.ai) doirasida qayta ishlanadigan toʻlov kartalari egalari maʼlumotlarini (Cardholder Data, keyingi oʻrinlarda — CHD) himoya qilish sohasidagi asosiy tamoyillari, talablari va yoʻnalishlarini belgilaydi.

Siyosatning asosiy maqsadlari:

  • Kompaniya axborot resurslarining maxfiyligi, yaxlitligi va mavjudligini taʼminlash;
  • foydalanuvchilarning toʻlov kartalari maʼlumotlarini PCI DSS v4.0.1 standartining talablariga (oʻz-oʻzini baholash darajasi SAQ A) muvofiq himoya qilish;
  • Oʻzbekiston Respublikasi qonunchiligiga, jumladan, 02.07.2019 yildagi «Shaxsiy maʼlumotlar toʻgʻrisida»gi OʻRQ-547-son qonunga rioya etish;
  • Kompaniyaning barcha xodimlari, pudratchilari va uchinchi shaxslari uchun yagona axborot xavfsizligi qoidalarini shakllantirish;
  • axborotni qayta ishlash bilan bogʻliq operatsion, moliyaviy va obroʻga oid xavflarni kamaytirish.

2. Qoʻllash sohasi

Siyosat quyidagilar uchun majburiy hisoblanadi:

  • Kompaniyaning barcha shtatdagi va shtatdan tashqari xodimlari;
  • Kompaniyaning axborot resurslariga kirish huquqiga ega boʻlgan barcha pudratchilar, maslahatchilar va boshqa uchinchi shaxslar;
  • SafeLaw xizmati foydalanuvchilari maʼlumotlarini qayta ishlovchi barcha axborot tizimlari, shu jumladan uchinchi tomon xizmat koʻrsatuvchilari (TPSP) joylashtirilgan tizimlar.

Siyosat qoidalari maʼlumotlarni qayta ishlashning barcha shakllariga — elektron, qogʻoz va ogʻzaki shakllariga taalluqlidir.

3. Atamalar va taʼriflar

PAN (Primary Account Number) — toʻlov kartasining asosiy raqami (12–19 raqam).

CHD (Cardholder Data) — karta egasi maʼlumotlari: PAN, karta egasining ismi, amal qilish muddati, xizmat kodi.

SAD (Sensitive Authentication Data) — sezgir autentifikatsiya maʼlumotlari: CVV/CVC, PIN-kod, magnit polosa maʼlumotlari.

CDE (Cardholder Data Environment) — toʻlov kartalari maʼlumotlarini qayta ishlash muhiti. Kompaniya CDE minimallashtirilgan: PAN va SAD hech qachon Kompaniya serverlariga uzatilmaydi va saqlanmaydi, ular faqat akvayer-bankning toʻlov shlyuzida (TPSP) qayta ishlanadi.

TPSP (Third-Party Service Provider) — toʻlov kartalari maʼlumotlariga kirish huquqiga ega yoki Kompaniya CDE xavfsizligiga taʼsir koʻrsata oladigan xizmat koʻrsatuvchi.

PCI DSS — Payment Card Industry Data Security Standard, toʻlov kartalari sanoati maʼlumotlari xavfsizligining xalqaro standarti.

SAQ A — Self-Assessment Questionnaire A, CHDni qayta ishlashni toʻliq autsorsingga bergan savdogarlar uchun PCI DSSga muvofiqlikni oʻz-oʻzini baholash soʻrovnomasi.

MFA (Multi-Factor Authentication) — koʻp omilli autentifikatsiya.

Axborot resurs — Kompaniya uchun ahamiyatga ega boʻlgan har qanday maʼlumot va uning tashuvchilari.

Axborot xavfsizligi hodisasi — axborot xavfsizligini buzish ehtimoli sezilarli boʻlgan va biznes-faoliyatga tahdid soluvchi bir yoki bir nechta nomaqbul yoki kutilmagan hodisalar.

4. Axborot xavfsizligi tamoyillari

Kompaniyaning axborot xavfsizligi sohasidagi faoliyati quyidagi tamoyillarga asoslanadi:

4.1. Maxfiylik

Cheklangan kirishga ega axborot faqat xizmat vazifalarini bajarish uchun zarur shaxslarga taqdim etiladi («need-to-know» tamoyili).

4.2. Yaxlitlik

Axborot resurslari ruxsatsiz oʻzgartirish, buzish yoki yoʻq qilishdan himoyalanadi. Versiyalarni boshqarish, harakatlarni jurnal yuritish va yaxlitlikni tekshirish mexanizmlari qoʻllaniladi.

4.3. Mavjudlik

Axborot tizimlari va maʼlumotlar vakolatli foydalanuvchilarga xizmat vazifalarini bajarish uchun zarur boʻlganda mavjud. Zaxiralash, nosozlikka chidamlilik va faoliyat uzluksizligi rejasi taʼminlanadi.

4.4. Maʼlumotlarni minimallashtirish

Kompaniya toʻlov kartalari maʼlumotlarini (PAN, SAD) oʻz infratuzilmasida toʻplamaydi, saqlamaydi va qayta ishlamaydi. Toʻlovlarni qayta ishlash toʻliq PCI DSS-sertifikatlangan TPSPga — «Ipak Yoʻli» AKB akvayer-bankka redirect flow orqali topshirilgan.

4.5. Standart boʻyicha xavfsizlik (Security by Default)

Yangi tizimlar, ilovalar va xizmatlar standart boʻyicha yoqilgan xavfsizlik choralari bilan loyihalashtiriladi va joriy etiladi.

5. Toʻlov kartalari maʼlumotlarini himoya qilish

5.1. Minimal CDE arxitekturasi

Kompaniya minimal CDEli arxitekturani amalga oshiradi:

  • foydalanuvchi safelaw.ai saytida toʻlovni boshlaydi;
  • sayt foydalanuvchini akvayer-bank infratuzilmasida joylashtirilgan toʻlov sahifasiga (HTTP 302 redirect) yoʻnaltiradi («Ipak Yoʻli» AKB);
  • karta raqami, amal qilish muddati, CVV va boshqa toʻlov maʼlumotlarini kiritish faqat akvayer-bank tomonida amalga oshiriladi;
  • operatsiya tugagandan keyin (muvaffaqiyat/rad) foydalanuvchi tranzaksiya identifikatori bilan safelaw.ai saytiga qaytariladi; PAN va SAD Kompaniya serverlariga uzatilmaydi.

Ushbu arxitektura PCI DSS v4.0.1 r1 (2025-yil yanvar) tahriridagi SAQ A soʻrovnomasini qoʻllash mezonlariga mos keladi.

5.2. CHDni saqlash va qayta ishlashni taqiqlash

Quyidagilar qatʼiyan taqiqlanadi:

  • Kompaniyaning har qanday tizimi, maʼlumotlar bazasi, jurnali, zaxira nusxasi yoki boshqa saqlash joyida PAN, CVV/CVC, PIN-kod, magnit polosa maʼlumotlarini saqlash;
  • akvayer-bankning toʻlov shlyuzini chetlab oʻtuvchi elektron pochta, messenjer, telefon, qogʻoz tashuvchi yoki boshqa kanallar orqali toʻlov maʼlumotlarini qabul qilish;
  • foydalanuvchilarning toʻlov maʼlumotlarini oʻz ichiga olgan toʻlov sahifalari ekranlarini olish;
  • SAQ A-EP yoki SAQ D darajasidagi PCI DSSga muvofiqlikni oldindan baholamasdan PAN yoki SADni Kompaniya infratuzilmasiga olib kelishi mumkin boʻlgan mexanizmlarni ishlab chiqish yoki joriy etish.

5.3. Niqoblash va tokenizatsiya

Agar Kompaniya tizimlarida toʻlov operatsiyasi haqida maʼlumot koʻrsatilsa (masalan, foydalanuvchining shaxsiy kabinetida yoki xizmat hisobotlarida), faqat PAN soʻnggi 4 raqamini koʻrsatishga ruxsat beriladi. PAN ning boshqa raqamlari niqoblanadi.

5.4. Maʼlumotlarni uzatish

Kompaniya va foydalanuvchilar oʻrtasidagi, hamda Kompaniya va TPSP oʻrtasidagi barcha maʼlumotlarni uzatish kanallari TLS 1.2 yoki undan yuqori versiyali protokol bilan himoyalanadi. Shifrlanmagan maʼlumotlarni uzatish taqiqlanadi.

6. Kirishni boshqarish

6.1. Identifikatsiya va autentifikatsiya

Kompaniyaning axborot tizimlarining har bir foydalanuvchisiga noyob identifikator beriladi. Umumiy, guruh yoki anonim hisob qaydnomalaridan foydalanish taqiqlanadi.

6.2. Parol siyosati

  • parolning minimal uzunligi — 12 belgi;
  • parol kamida ikkita toifa belgilaridan iborat boʻlishi kerak (harflar va raqamlar);
  • parollar kamida 90 kunda bir marta oʻzgartiriladi yoki hisob qaydnomasining xavfsizlik holati dinamik tahlil qilinadi;
  • birinchi avtorizatsiyada foydalanuvchi administrator tomonidan berilgan parolni oʻzgartirishi shart;
  • parollarni ochiq holda saqlash taqiqlanadi; mustahkam xeshlash algoritmlari (bcrypt, Argon2 yoki ekvivalent) qoʻllaniladi.

6.3. Koʻp omilli autentifikatsiya (MFA)

Koʻp omilli autentifikatsiya quyidagilar uchun majburiy:

  • Kompaniyaning administrativ konsollari va serverlariga kirish;
  • Google Workspace, Cloudflare, Namecheap, manba kodlari omborlari va boshqa kritik xizmatlarga kirish;
  • korporativ resurslarga masofadan kirish;
  • akvayer-bank shaxsiy kabineti va boshqa toʻlov xizmatlariga kirish.

6.4. Minimal imtiyozlar tamoyili

Kirish huquqlari xizmat zarurati asosida beriladi. Imtiyozli hisob qaydnomalari (administrator, root, owner) faqat tegishli vazifalarni bajarish uchun ishlatiladi va kundalik ish uchun foydalanilmaydi.

6.5. Hisob qaydnomalarini boshqarish

  • hisob qaydnomalari rahbarning xizmat zarurati asosidagi yozma soʻrovi boʻyicha yaratiladi;
  • kirish huquqlari kamida olti oyda bir marta qayta koʻrib chiqiladi;
  • xodim ishdan boʻshatilganda yoki pudratchi bilan shartnoma tugagan kunda hisob qaydnomalari blokirovka qilinadi;
  • 90 kun davomida foydalanilmagan faol boʻlmagan hisob qaydnomalari blokirovka qilinadi.

7. Kriptografik himoya

  • maʼlumotlarni uzatish vaqtida shifrlash uchun kriptotoʻgʻri shifrlardan foydalangan holda TLS 1.2 yoki TLS 1.3 qoʻllaniladi;
  • parollarni xeshlash uchun bcrypt, Argon2 yoki PBKDF2 algoritmlari qoʻllaniladi;
  • kriptografik kalitlar ular himoya qiluvchi maʼlumotlardan alohida saqlanadi, kalitlarga faqat vakolatli shaxslar kirish huquqiga ega;
  • ishonchli sertifikatlash markazlaridan zamonaviy TLS sertifikatlari ishlatiladi; sertifikatlar amal qilish muddati tugashidan oldin yangilanadi.

8. Zaifliklarni boshqarish

  • serverlarning operatsion tizimlari va dasturiy taʼminoti kamida oyda bir marta yangilanadi; kritik xavfsizlik yangilanishlari chiqarilgandan keyin 30 kun ichida oʻrnatiladi;
  • ommaviy veb-resurslarni himoya qilish uchun Cloudflare WAF (Web Application Firewall) ishlatiladi;
  • kamida har chorakda bir marta ommaviy veb-xizmatlarning zaifliklarini skanerlash amalga oshiriladi;
  • kritik zaifliklar aniqlanganda ularni qisqa muddat ichida bartaraf etish choralari koʻriladi.

9. Jismoniy xavfsizlik

Kompaniyaning axborot tizimlari xosting xizmatlari koʻrsatuvchisining maʼlumotlar markazida (Netcup GmbH, Germaniya) joylashtirilgan boʻlib, u tegishli jismoniy xavfsizlik choralarini (kirishni nazorat qilish, videokuzatuv, yongʻindan himoya, zaxira elektr taʼminoti) taʼminlaydi. Kompaniyaning oʻz serveri yoʻq.

Xodimlarning ish joylari ruxsatsiz kirishdan himoyalangan boʻlishi kerak: xodim ish joyida boʻlmaganida ekran bloklanadi, qogʻoz hujjatlar yigʻishtiriladi.

10. Hodisalarni boshqarish

Barcha axborot xavfsizligi hodisalari alohida hujjatga — «Axborot xavfsizligi hodisalariga javob berish rejasi» (IRP-01) ga muvofiq qayta ishlanadi. Xodimlar har qanday gumonli hodisa toʻgʻrisida safelawinfo@gmail.com manziliga zudlik bilan xabar berishlari shart.

11. Uchinchi shaxslarni boshqarish

Kompaniya maʼlumotlariga kirishga ega yoki CDE xavfsizligiga taʼsir qiluvchi xizmat koʻrsatuvchilar (TPSP) bilan munosabatlar alohida hujjat — «Xizmat koʻrsatuvchilarni boshqarish siyosati» (TPSP-01) bilan tartibga solinadi.

Kompaniyaning asosiy TPSPlari: «Ipak Yoʻli» AKB (toʻlov akvayeri), Cloudflare, Inc. (WAF/CDN), Netcup GmbH (xosting), Google LLC (Workspace, Vertex AI), Anthropic PBC (Claude API), OpenAI, OpCo, LLC (GPT API), Namecheap, Inc. (domen registratori).

12. Oʻqitish va xabardorlik

  • barcha xodimlar ishga qabul qilinganda axborot xavfsizligi boʻyicha dastlabki instruktajdan oʻtadilar;
  • qayta oʻqitish kamida yiliga bir marta oʻtkaziladi;
  • sezgir maʼlumotlarga kirish huquqiga ega xodimlar qoʻshimcha mavzu treninglaridan oʻtadilar;
  • oʻqitish mavzulari: parol xavfsizligi, fishing, ijtimoiy injiniring, elektron pochtadan xavfsiz foydalanish, hodisalarni qayta ishlash.

13. Qonunchilikka muvofiqlik

Kompaniya Oʻzbekiston Respublikasi qonunchiligi talablariga, jumladan:

  • 02.07.2019 yildagi «Shaxsiy maʼlumotlar toʻgʻrisida»gi OʻRQ-547-son qonun;
  • 11.12.2003 yildagi «Axborot toʻgʻrisida»gi 530-I-son qonun;
  • 22.05.2022 yildagi «Elektron tijorat toʻgʻrisida»gi OʻRQ-792-son qonun;
  • Oʻzbekiston Respublikasi Markaziy banki toʻlov maʼlumotlarini himoya qilish boʻyicha talablari;
  • PCI DSS v4.0.1 standartining SAQ A darajasidagi savdogarlarga taalluqli talablari rioya qilinadi.

14. Rollar va majburiyatlar

14.1. Kompaniya direktori

Kompaniyaning axborot xavfsizligi uchun umumiy mas'uliyatga ega, ushbu Siyosatni va bogʻliq hujjatlarni tasdiqlaydi, ularni amalga oshirish uchun resurslar ajratadi.

14.2. Axborot xavfsizligi boʻyicha mas'ul shaxs

Direktorning buyrugʻi bilan tayinlanadi. Axborot xavfsizligi boʻyicha faoliyatni muvofiqlashtiradi, oʻqitishni tashkil qiladi, hodisalarni tergov qiladi, PCI DSS talablariga muvofiqlikni nazorat qiladi. Alohida xodim tayinlanguniga qadar vazifalarni Kompaniya direktori bajaradi.

14.3. Barcha xodimlar

  • ushbu Siyosat va u bilan bogʻliq hujjatlarga rioya qiladilar;
  • axborot xavfsizligi hodisalari gumonlari haqida zudlik bilan xabar beradilar;
  • Kompaniya axborot resurslarini faqat xizmat maqsadlarida ishlatadilar;
  • hisob qaydnomalari maʼlumotlarini saqlaydilar va uchinchi shaxslarga bermaydilar.

15. Siyosatni buzish

Ushbu Siyosat qoidalarini buzish Oʻzbekiston Respublikasi mehnat qonunchiligi, mehnat yoki fuqarolik-huquqiy shartnoma shartlariga, qonunda belgilangan hollarda esa maʼmuriy va jinoiy javobgarlikka olib keladi.

16. Qayta koʻrib chiqish va yangilash

Ushbu Siyosat kamida har 12 oyda bir marta, shuningdek, biznes-jarayonlar, axborot infratuzilmasi, meʼyoriy-huquqiy bazaning sezilarli oʻzgarishlarida yoki katta axborot xavfsizligi hodisalaridan keyin qayta koʻrib chiqiladi. Ushbu talabga rioya etilishini nazorat qilish axborot xavfsizligi boʻyicha mas'ul shaxsga yuklatiladi.

17. Hujjat haqida maʼlumot

Versiya

Sana

Oʻzgarishlar

Tasdiqlagan

1.0

15.05.2026

Hujjatning birinchi tasdigʻi

R. Jumamuratov

Hujjatni tasdiqlash

Ushbu hujjat «SELLAI» MChJ direktori tomonidan tasdiqlanadi va imzolangan sanadan boshlab kuchga kiradi. «SELLAI» MChJ axborot resurslariga kirish huquqiga ega boʻlgan barcha xodimlar, pudratchilar va boshqa shaxslar uchun hujjat bilan tanishish majburiy hisoblanadi.

«SELLAI» MChJ direktori:

_________________________ / R. Jumamuratov

(imzo) (familiya)

Sana: «_____» _____________ 2026-yil

M.Oʻ.

Bogʻliq siyosatlar

AUP-01
Maqbul foydalanish siyosati
IRP-01
Hodisalarga javob berish rejasi
TPSP-01
Xizmat koʻrsatuvchilarni boshqarish siyosati
Zaiflik yoki hodisa haqida xabar berish, auditor sifatida aloqa qilish: safelawinfo@gmail.com