נתתם לספק גישה למאגר המידע? לפי תקנה 15 – האחריות עדיין שלכם

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב whatsapp
תמונה של פטיש מכה בשולחן ועלין הספרה 15

ספק חיצוני קיבל גישה למאגר שלכם? האחריות נשארת אצלכם

מיקור חוץ הפך לחלק בלתי נפרד מהתשתית של כל ארגון מודרני. ספקי פיתוח, מערכות CRM, שירותי תמיכה, ספקי ענן — כולם מקבלים גישה למידע רגיש של הארגון שלכם. הבעיה? רוב הארגונים חותמים על הסכם, מסמנים "וי", ושוכחים.

מבחינת תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן – "התקנות") — זה לא מספיק. האחריות למידע לא עוברת לספק. היא נשארת אצלכם.

הפרה של חובות אלו חושפת את הארגון לעיצומים כספיים מנהליים, להליכי אכיפה ולפגיעה במוניטין — גם אם ההפרה בפועל בוצעה על ידי הספק, לא על ידיכם.

שלב 1: בדיקת נאותות לפני שמשתפים מידע

לא מדובר בטופס — מדובר בחובה משפטית

לפני כל התקשרות עם ספק חיצוני שמקבל גישה למאגר המידע, קיימת חובה לבצע הערכת סיכונים מקדמית. כשמדובר במידע רגיש, חובה זו מעוגנת במפורש בתקנה 5(ג) לתקנות.

עקרון המזעור: שאלו את השאלה הנכונה קודם

לפני הכל — האם הספק חייב לקבל את המידע עצמו, או שמספיקה גישה מוגבלת למערכת ללא העברה פיזית של נתונים? ככל שניתן לצמצם את החשיפה מראש — חובה לעשות זאת.

שאלות שחייבים לשאול כל ספק לפני חתימה

ממשל ארגוני:

  • האם קיים קובץ נהלי אבטחת מידע מעודכן התואם את אופי הפעילות?
  • האם הספק מחזיק בהסמכת ISO 27001 או תקן מקביל?
  • האם מתקיימות הדרכות מודעות תקופתיות לעובדים בנושא פרטיות ואבטחת מידע?

תשתית טכנולוגית:

  • האם נשמר תיעוד לוגים למשך 24 חודשים לפחות? (חובה לפי תקנה 7)
  • האם מיושם אימות דו-שלבי (MFA) לגישה מרחוק?
  • האם תחנות הקצה והשרתים מוגנים באמצעות EDR ו-WAF?

שלחו את השאלות בכתב. תשובות כתובות הן ראיה — הצהרות בעל-פה בפגישה אינן מגנות עליכם ביום שאחרי.

שלב 2: מה חייב להיות בהסכם עם הספק

NDA  – גנרי לא מספיק

תקנה 15(א)(2) לתקנות מגדירה 8 סעיפי חובה שחייבים להופיע בכל הסכם עם ספק המקבל גישה למאגר. ארגונים רבים מסתפקים בהסכמי סודיות כלליים ומגלים מאוחר מדי שהם לא עמדו בדרישה.

סוג המידע ומטרותיו — הגדירו במפורש אילו סוגי מידע עוברים לספק, ואסרו כל שימוש שאינו מפורט בהסכם.

פירוט המערכות הנגישות — ציינו בדיוק לאילו שרתים ומערכות ניתנת גישה. מומלץ לצרף נספח "מיפוי מערכות" מעודכן.

סוג הפעולות המותרות — הגדירו האם הספק מורשה לקרוא בלבד, לעדכן, או גם למחוק. יישמו עקרון הרשאות מינימליות  (Least Privilege).

מנגנון סיום ההתקשרות — קבעו כיצד יושב המידע או יושמד. דרשו תצהיר על השמדת המידע חתום ע"י מנכ"ל החברה.

הצהרת עמידה בתקנות — על הספק להצהיר על עמידתו בתקנות ולהכיר באחריותו הישירה כלפי הרשות להגנת הפרטיות.

הסכמי סודיות אישיים — כל עובד של הספק שמקבל גישה למידע חייב לחתום על הסכם סודיות אישי הכולל התחייבות לעמוד בהוראות ההסכם.

ספקי משנה (Sub-processors) — כל העברת מידע לצד שלישי חייבת לקבל אישור מראש מהארגון, ועל כל ספק משנה חלות אותן חובות של תקנה 15.

מנגנון דיווח על אירועים — הגדירו ערוצים לדיווח על אירוע אבטחה, ודיווח שנתי על עמידה בהוראות התקנות.

חובה פנים-ארגונית שלעיתים נשכחת

תקנה 15(א)(3) מחייבת גם עדכון של נוהל אבטחת המידע הפנימי של הארגון — לא רק את ההסכם עם הספק. הנוהל חייב לכלול ניתוח של הסיכונים הנובעים מההתקשרות והפניה מפורשת להסכם שנחתם.

שלב 3: פיקוח שוטף — לא רק ביקורת שנתית

חתמתם? הפיקוח רק מתחיל

תקנה 15(א)(4) מחייבת פיקוח בהיקף ההולם את רמת הסיכון. בפועל, ישנם אירועים שמחייבים בחינה מיידית של ההתקשרות — לא המתנה לסקר השנתי.

 מצבים שמחייבים תגובה מיידית

אירוע אבטחה — כל חשש לפגיעה בשלמות המידע, גישה לא מורשית, או דלף מידע מחייב דיווח מיידי לארגון ובחינת המשך ההתקשרות.

שינוי תשתיות — מעבר לענן, שינוי ספק אחסון, או שינוי מהותי בארכיטקטורת המערכות של הספק מחייבים בדיקת תקינות על ידי גורם בלתי תלוי.

הוספת ספק משנה — כל הוספה או החלפה של Sub-processor משנה את מפת הסיכונים. דרשו הסכמה מוקדמת לפני שהדבר קורה — לא אחריו.

הליכי רגולציה נגד הספק — אם נפתחה חקירה או תביעה נגד הספק בנושאי פרטיות, זו אזהרה מוקדמת שמשפיעה ישירות על הסיכון שהארגון שלכם חשוף לו.

שלב 4: סיום ההתקשרות — נקודת התורפה הנשכחת

יום הניתוק הוא לא סוף הסיפור

ביום שמסיימים עם ספק, המידע הארגוני יכול עדיין להימצא בגיבויים שלו, בסביבות הבדיקה שלו, ובתיבות הדוא"ל של עובדיו. מבחינה משפטית — הוא עדיין מידע שאתם אחראים לו.

רשימת הפעולות לסיום מסודר

  • קבלת כל קבצי המידע בפורמט מוסכם, או אישור כתוב על השמדתם
  • וידוא מחיקה מגיבויים, סביבות בדיקה ותיבות דוא"ל של עובדי הספק
  • ניקוי מאובטח של התקנים פיזיים שהועברו ובהם נתוני הארגון
  • קבלת הצהרה חתומה שלא נותרו עותקים — דיגיטליים או פיזיים — גם אצל ספקי המשנה של הספק

תצהיר השמדת המידע הוא לא מסמך פורמלי בלבד. הוא הגנה שתעמוד לצדכם אם הרשות להגנת הפרטיות תחקור בעתיד.

סיכום: ניהול ספקים הוא תהליך, לא אירוע

תקנה 15 אינה מחייבת חתימה אחת על הסכם. היא מחייבת תהליך מתמשך: בדיקת נאותות לפני ההתקשרות, הסכם מפורט שמכסה את כל 8 הסעיפים, פיקוח שוטף לאורך חיי ההתקשרות, וניהול מסודר של סיום ההתקשרות.

ארגונים שמתייחסים לניהול ספקים כחובה רגולטורית בלבד מוצאים את עצמם חשופים. ארגונים שמתייחסים אליו כחלק מתרבות הסייבר שלהם — מוגנים גם כשדברים משתבשים.

לא בטוחים שכל ההסכמים שלכם עם ספקים עומדים בדרישות? אנחנו מבצעים סקרי ספקים, מכינים את כל התיעוד הנדרש, ומלווים ארגונים בתהליך העמידה המלאה בתקנות הגנת הפרטיות.

מאמר זה מוגש כחומר מידע מקצועי בלבד ואינו מהווה ייעוץ משפטי. במקרה של סתירה בין האמור כאן לבין לשון החוק והתקנות — נוסח החוק הוא הקובע.

דילוג לתוכן