§ 12 Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – Akvizice, vývoj a údržba

§ 12 Akvizice, vývoj a údržba (1) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv a) řídí rizika, b) řídí významné změny podle § 11, c) stanoví bezpečnostní požadavky, které zohlední i relevantní bezpečnostní opatření stanovená touto vyhláškou, d) zahrne bezpečnostní požadavky stanovené podle písmene c) do plánované akvizice, vývoje a údržby a e) zajistí oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí, a zajistí ochranu informací a dat, které se v něm vyskytují. (2) Povinná osoba zajistí při provedení akvizice nebo vývoje technického aktiva a) využívajícího autentizační mechanismus, zejména za účelem ověření identity uživatelů nebo administrátorů, plnění požadavků podle § 19 odst. 2, b) využívajícího kryptografické algoritmy, plnění požadavku podle § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a) a c) dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu.