«SELLAI» MChJ (SELLAI LLC)

SafeLaw xizmati (safelaw.ai)

STIR 312530703, Nukus shahri, Qoraqalpogʻiston Respublikasi, Oʻzbekiston

XIZMAT KOʻRSATUVCHILARNI BOSHQARISH SIYOSATI

Hujjat TPSP-01

1.0-versiya

Kuchga kirish sanasi: 2026-yil 15-may

Muvofiqlik: PCI DSS v4.0.1, SAQ A

Asosiy til: rus tili. Ushbu oʻzbek tilidagi tarjima va rus tilidagi asosiy variant oʻrtasida har qanday tafovut boʻlsa, rus tilidagi variant ustun hisoblanadi.

1. Maqsad

Ushbu Xizmat koʻrsatuvchilarni boshqarish siyosati (keyingi oʻrinlarda — Siyosat) «SELLAI» MChJ (keyingi oʻrinlarda — Kompaniya) bilan SafeLaw xizmati (safelaw.ai) doirasida qayta ishlanadigan foydalanuvchilar maʼlumotlari, shu jumladan toʻlov kartalari maʼlumotlari xavfsizligiga taʼsir koʻrsatishi mumkin boʻlgan xizmatlarni koʻrsatuvchi uchinchi shaxslar bilan munosabatlarni tanlash, baholash, shartnomalarni tuzish, monitoring qilish va tugatish tartibini belgilaydi. Siyosat PCI DSS v4.0.1 standartining 12.8 talabiga muvofiq ishlab chiqilgan.

2. Qoʻllash sohasi

Siyosatning amal qilishi quyidagi barcha xizmat koʻrsatuvchilarga (Third-Party Service Providers, keyingi oʻrinlarda — TPSP) tatbiq etiladi:

• foydalanuvchilarning toʻlov kartalari maʼlumotlariga kirish huquqiga ega yoki bunday maʼlumotlarni qayta ishlash muhiti (CDE) xavfsizligiga taʼsir koʻrsata oladigan;
• Kompaniya foydalanuvchilarining shaxsiy maʼlumotlarini qayta ishlovchi, saqlovchi yoki uzatuvchi;
• Kompaniyaning ommaviy xizmatlari ishlashini taʼminlovchi infratuzilma xizmatlarini koʻrsatuvchi;
• Kompaniyaning axborot tizimlarini qoʻllab-quvvatlash yoki boshqarishni amalga oshiruvchi.

3. Atamalar

Xizmat koʻrsatuvchi (TPSP) — Kompaniyaning xodimi boʻlmagan, ushbu Siyosatning 2-boʻlimida sanab oʻtilgan xizmatlarni koʻrsatuvchi yuridik yoki jismoniy shaxs.

Tegishli tekshirish (Due Diligence) — potentsial xizmat koʻrsatuvchining Kompaniya tomonidan unga uzatilgan maʼlumotlarning xavfsizligini taʼminlash qobiliyatini dastlabki baholash jarayoni.

Attestation of Compliance (AoC) — xizmat koʻrsatuvchining PCI DSS talablariga muvofiqligini tasdiqlovchi hujjat.

DPA (Data Processing Agreement) — Kompaniya (kontroler) va xizmat koʻrsatuvchi (qayta ishlovchi) oʻrtasidagi shaxsiy maʼlumotlarni qayta ishlash boʻyicha bitim.

4. Xizmat koʻrsatuvchilar reestri

Kompaniya ushbu Siyosat amal qiladigan barcha xizmat koʻrsatuvchilarning dolzarb reestrini yuritadi. Reestrda har bir xizmat koʻrsatuvchi boʻyicha quyidagilar qayd etiladi:

• nomi, roʻyxatdan oʻtgan davlati, aloqa maʼlumotlari;
• koʻrsatilayotgan xizmatlarning turi va tavsifi;
• PCI DSS nuqtai nazaridan xizmatlar toifasi (toʻlov xizmati, infratuzilma, xosting, AI, boshqa);
• Kompaniya nomidan xizmat koʻrsatuvchi tomonidan bajariladigan aniq PCI DSS talablari;
• shartnomani tuzish sanasi va amal qilish muddati;
• Attestation of Compliance mavjudligi va amal qilish muddati (toʻlov va infratuzilma TPSPlari uchun);
• DPA mavjudligi (shaxsiy maʼlumotlarni qayta ishlovchi xizmat koʻrsatuvchilar uchun);
• muvofiqlikni soʻnggi baholash sanasi;
• xizmat koʻrsatuvchi bilan oʻzaro aloqa uchun Kompaniya tomonidan mas'ul shaxs.

Reestr kamida 12 oyda bir marta qayta koʻrib chiqiladi va xizmat koʻrsatuvchilar tarkibidagi har qanday oʻzgarishlar paytida yangilanadi.

4.1. Kompaniyaning amaldagi xizmat koʻrsatuvchilar tarkibi

2026-yil 15-may holatiga:

Xizmat koʻrsatuvchi

Yurisdiktsiya

Xizmat / rol

PCI DSS toifasi

«Ipak Yoʻli» AKB

Oʻzbekiston

Toʻlov akvayeringi, redirect flow orqali toʻlov kartalari maʼlumotlarini qayta ishlash

Toʻlov xizmati (akvayer sifatida PCI DSS ga ega)

Cloudflare, Inc.

AQSH

WAF, CDN, DDoS dan himoya, DNS boshqaruvi

Infratuzilma / himoya vositalari

Netcup GmbH

Germaniya

SafeLaw xizmatining ishlab chiqarish serverlari xostingi

Infratuzilma / xosting

Google LLC

AQSH

Korporativ pochta va birgalikda ishlash (Google Workspace); AI xizmatlar (Vertex AI Gemini)

Korporativ xizmatlar va AI

Anthropic PBC

AQSH

AI-xizmat Claude API

AI-xizmat

OpenAI, OpCo, LLC

AQSH

AI-xizmat GPT API

AI-xizmat

Namecheap, Inc.

AQSH

safelaw.ai domen registratori

Infratuzilma

Sanab oʻtilgan xizmat koʻrsatuvchilarning hech biri («Ipak Yoʻli» AKB akvayer-bankidan tashqari) foydalanuvchilarning toʻlov kartalari maʼlumotlariga kirish huquqiga ega emas, chunki Kompaniya oʻz infratuzilmasida PAN va SADni qayta ishlamaydi.

5. Xizmat koʻrsatuvchini tanlash tartibi

5.1. Tegishli tekshirish

Ushbu Siyosat amal qiladigan potentsial xizmat koʻrsatuvchi bilan shartnoma tuzishdan oldin uni quyidagi mezonlar boʻyicha baholash amalga oshiriladi:

• zarur litsenziyalar, ruxsatnomalar, roʻyxatga olishlarning mavjudligi;
• tegishli standartlar va sertifikatlarga muvofiqligi (xizmat turiga qarab PCI DSS, ISO 27001, SOC 2);
• bozordagi obroʻsi, ommaviy manbalarda axborot xavfsizligi hodisalarining mavjudligi;
• axborot xavfsizligi va maʼlumotlarni qayta ishlash siyosatlarining shaffofligi;
• maʼlumotlarni himoya qilish boʻyicha shartnoma majburiyatlariga kirish qobiliyati;
• maʼlumotlarni qayta ishlash infratuzilmasining geografik joylashuvi;
• moliyaviy barqarorlik;
• SLA va qoʻllab-quvvatlash shartlari.

Toʻlov provayderlari va toʻlov kartalari maʼlumotlariga kirish huquqiga ega xizmat koʻrsatuvchilar uchun tegishli darajadagi amaldagi PCI DSS sertifikati mavjudligi majburiy hisoblanadi. Attestation of Compliance (AoC) nusxasi soʻraladi.

5.2. Baholashni hujjatlashtirish

Baholash natijalari xizmat koʻrsatuvchining nomi, taklif etilayotgan xizmatlar, tekshirilgan mezonlar roʻyxati, aniqlangan xavflar, shartnoma tuzish yoki rad etish boʻyicha tavsiyani oʻz ichiga olgan qisqa hisobot shaklida hujjatlashtiriladi. Hisobot shartnoma amal qilish muddati davomida va u tugatilgandan keyin 3 yil davomida saqlanadi.

6. Shartnoma talablari

Kompaniya maʼlumotlariga kirish huquqiga ega yoki maʼlumotlar xavfsizligiga taʼsir qiluvchi TPSP bilan shartnoma majburiy ravishda quyidagi qoidalarni oʻz ichiga oladi:

• xizmat koʻrsatuvchining qoʻllaniladigan qonunchilik va standartlarga rioya qilish majburiyati (shu jumladan, toʻlov va infratuzilma provayderlari uchun PCI DSS; Oʻzbekiston rezidentlari boʻlgan foydalanuvchilarning shaxsiy maʼlumotlarini qayta ishlovchilar uchun «Shaxsiy maʼlumotlar toʻgʻrisida»gi OʻRQ-547-son qonun);
• Kompaniya va xizmat koʻrsatuvchi oʻrtasida axborot xavfsizligini taʼminlash boʻyicha mas'uliyatning aniq taqsimlanishi;
• xizmat koʻrsatuvchining Kompaniya maʼlumotlariga taʼsir qiluvchi axborot xavfsizligi hodisalari haqida Kompaniyani belgilangan muddatdan kechiktirmasdan xabardor qilish majburiyati;
• Kompaniyaning xizmat koʻrsatuvchining xavfsizlik standartlariga muvofiqligini tasdiqlovchi hujjatlarni soʻrash huquqi;
• Kompaniyadan olingan axborotning maxfiyligini saqlash majburiyatlari;
• shartnoma tugatilganda Kompaniya maʼlumotlarini qaytarish yoki yoʻq qilish tartibi;
• maʼlumotlar xavfsizligi qismidagi shartnoma majburiyatlarini buzganlik uchun javobgarlik.

Xalqaro xizmat koʻrsatuvchilarning (Cloudflare, Google, Anthropic, OpenAI, Netcup va boshqalar) standart shartlariga alohida qoidalarni kiritish imkonsiz boʻlganda, Kompaniya ushbu xizmat koʻrsatuvchilar taklif qiladigan foydalanish shartlari, maxfiylik siyosatlari va Data Processing Agreementiga tayanadi va ularning Kompaniya talablariga muvofiqligini taʼminlaydi. Bunday xizmat koʻrsatuvchilar bilan DPA tuzish majburiy hisoblanadi.

7. PCI DSS ga muvofiqlikni taʼminlash boʻyicha mas'uliyatlarni taqsimlash

Kompaniya va TPSP oʻrtasida PCI DSS talablariga muvofiqlikni taʼminlash boʻyicha mas'uliyatlar aniq taqsimlanadi. Taqsimlash mas'uliyat matritsasida (Responsibility Matrix) hujjat shaklida qayd etiladi.

7.1. Akvayer-bankning («Ipak Yoʻli» AKB) majburiyatlari

• foydalanuvchilarning toʻlov kartalari maʼlumotlarini qayta ishlash, saqlash, uzatish;
• toʻlov shlyuzi va toʻlov sahifalarining xavfsizligini taʼminlash;
• toʻlov xizmati provayderiga taalluqli PCI DSS talablariga muvofiqlik;
• toʻlov operatsiyalariga taʼsir qiluvchi har qanday xavfsizlik hodisalari haqida Kompaniyani xabardor qilish.

7.2. Kompaniyaning majburiyatlari

• toʻlov kartalari maʼlumotlari Kompaniya infratuzilmasiga uzatilmasligini taʼminlash;
• toʻlov shlyuzi bilan xavfsiz integratsiya (redirect flowni toʻgʻri sozlash, qaytariladigan parametrlarni tekshirish);
• safelaw.ai veb-saytini foydalanuvchilarni soxta toʻlov sahifalariga yoʻnaltirishi mumkin boʻlgan aralashuvlardan himoya qilish;
• CHDni qayta ishlashni toʻliq autsorsingga bergan savdogar uchun amal qiluvchi SAQ A talablariga rioya qilish;
• TPSP reestrini yuritish va ularning PCI DSS ga muvofiqligini monitoring qilish.

8. Xizmat koʻrsatuvchilarning muvofiqligini monitoring qilish

Kompaniya xizmat koʻrsatuvchilarning amal qiluvchi talablarga muvofiqligini muntazam ravishda monitoring qiladi:

• kamida 12 oyda bir marta toʻlov va infratuzilma TPSPlaridan dolzarb Attestation of Compliance soʻraladi;
• xizmat koʻrsatuvchida ommaviy Trust Center yoki muvofiqlik sahifasi (Compliance Page) mavjud boʻlganda holatning dolzarbligi rasmiy manbalar boʻyicha tekshiriladi;
• xizmat koʻrsatuvchilarning xavfsizlik hodisalari haqidagi nashrlari, shu jumladan ularning rasmiy bloglari, status sahifalari va ommaviy hisobotlari orqali kuzatiladi;
• xizmat koʻrsatuvchida sezilarli muammolar (maʼlumotlarning sizib chiqishi, sertifikatsiyaning bekor qilinishi, moliyaviy holatning yomonlashishi) aniqlanganda qayta baholash oʻtkaziladi.

Monitoring natijalari TPSP reestrida qayd etiladi.

9. Oʻzgarishlarni boshqarish

Quyidagi hodisalardan har qanday boʻlganda xizmat koʻrsatuvchining holati qayta koʻrib chiqiladi:

• xizmat koʻrsatuvchi tomonidan koʻrsatiladigan xizmatlar roʻyxatining oʻzgarishi;
• xizmat koʻrsatuvchiga uzatiladigan maʼlumotlar hajmi yoki toifasining oʻzgarishi;
• xizmat koʻrsatuvchining sertifikatsiyasi/AoC muddatining tugashi;
• xizmat koʻrsatuvchida xavfsizlik hodisasi haqida maʼlumot nashr etilishi;
• xizmat koʻrsatuvchining egasi, yurisdiktsiyasi yoki faoliyatining muhim shartlari oʻzgarishi.

10. Xizmat koʻrsatuvchi bilan munosabatlarni tugatish

Xizmat koʻrsatuvchi bilan shartnomani tugatishda quyidagilar taʼminlanadi:

• barcha texnik integratsiyalarni oʻz vaqtida toʻxtatish (API kalitlari, kirish tokenlari ni bekor qilish, xizmat koʻrsatuvchida va Kompaniya tizimlarida hisob qaydnomalarini oʻchirish);
• xizmat koʻrsatuvchiga uzatilgan Kompaniya maʼlumotlarini qaytarish yoki yoʻq qilish, hujjatli tasdiqlash bilan;
• xizmat koʻrsatuvchini faol TPSP reestridan chiqarib tashlash (belgilangan muddat davomida arxiv qismida yozuvni saqlash bilan);
• xizmat koʻrsatuvchining xizmatlaridan foydalangan Kompaniya xodimlarini muqobil yechimga oʻtish tartibi haqida xabardor qilish.

11. Mas'ul shaxs

Ushbu Siyosatni bajarish, TPSP reestrini yuritish va xizmat koʻrsatuvchilarning muvofiqligini monitoring qilish boʻyicha mas'ul shaxs Kompaniyaning axborot xavfsizligi boʻyicha mas'ul shaxsidir. Alohida xodim tayinlanguniga qadar vazifalarni Kompaniya direktori bajaradi.

12. Siyosatni qayta koʻrib chiqish

Ushbu Siyosat kamida 12 oyda bir marta, shuningdek, xizmat koʻrsatuvchilar tarkibining sezilarli oʻzgarishlari, Kompaniya biznes-modelidagi oʻzgarishlar, meʼyoriy-huquqiy baza yoki standartlardagi (PCI DSS) oʻzgarishlar paytida qayta koʻrib chiqiladi.

13. Hujjat haqida maʼlumot

Versiya

Sana

Oʻzgarishlar

Tasdiqlagan

1.0

15.05.2026

Hujjatning birinchi tasdigʻi

R. Jumamuratov

Hujjatni tasdiqlash

Ushbu hujjat «SELLAI» MChJ direktori tomonidan tasdiqlanadi va imzolangan sanadan boshlab kuchga kiradi. «SELLAI» MChJ axborot resurslariga kirish huquqiga ega boʻlgan barcha xodimlar, pudratchilar va boshqa shaxslar uchun hujjat bilan tanishish majburiy hisoblanadi.

«SELLAI» MChJ direktori:

_________________________ / R. Jumamuratov

(imzo) (familiya)

Sana: «_____» _____________ 2026-yil

M.Oʻ.