מאגרי מידע הכוללים מידע אישי נמצאים ברשות מספר רב של נותני שירותים ומפתחי יישומים. מידע אישי, כשמו כן הוא – זהו מידע שאמור להיות מוגן מפני גורמים שעלולים לעשות מניפולציות שונות ומשונות על המידע במידה ותהיה להם גישה אליו.
כדי להגן על המידע נקבעו תקנות הקובעות כיצד לשמור על המידע. ארגונים שברשותם מידע אישי נדרשים לעמוד בתקנות אלה.

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 קובעות את סוגי מאגרי מידע הנדרשים להגנה לפי הכללים המפורטים בתקנות. התקנות מגדירות את הצעדים שעל בעל מאגר המידע לנקוט לשם הגנה על המאגר ומניעת הפרת הפרטיות של נשואי המידע. חברות שמתחזקות מאגרי מידע חייבות להגדיר את שכבות ההגנה הנדרשות על המאגרים, להגדיר מסמכי מדיניות אבטחת מידע, להכין תרחישים ולזהות סיכוני אבטחת מידע, וזאת תוך תכנון מראש של דרכי פעולה למול האיומים הקיימים על המאגרים.

במקביל, נכנס לתוקף בחודש מאי 2018  חוק אירופאי להגנת המידע General Data Protection Regulation – GDPR. החוק קובע כללים לשמירת ואבטחת מאגרי מידע הכוללים מידע על אזרחים המתגוררים במדינות השייכות לאיחוד האירופאי.
ובאופן דומה, תקנות CCPA הגנה על הפרטיות במדינת קליפורניה, ארה"ב.

מבולבלים? האם הנושא קשור אליכם? מבינים מה צריך לעשות כדי להיערך לנושא? חוששים לטעות?

מעוניינים לדעת מה נדרש לעשות כדי לעמוד בדרישות להגנה על פרטיות המידע של הלקוחות שלכם מפני גורמים שעשויים לעשות בהם שימוש לתועלתם?

כדי לסייע לחברות להתמודד עם הנושא ולמצוא פתרון מדויק לחברות ועסקים, הקמנו צוות מולטי-דיסציפלינארי הכולל מומחי אבטחת הפרטיות, אבטחת מידע וסייבר.

תהליך הייעוץ כולל מספר שלבים:

שלב אבחון ומיפוי

מטרת האבחון היא לבחון את מידת החשיפה של הארגון לדרישות הגנת המידע ולתת מידע ראשוני לגבי אופן ההתמודדות עם הנושא.
כולל, בין היתר, את הנושאים הבאים:

שלב ההתמודדות עם פערי אבטחת מידע שזוהו בסקר

בהתאם לתוצאות האבחון נגבש יחד אתכם את אופן הפתרון.
כולל את הנושאים הבאים:

חברתנו מסייעת לארגונים להיערך ולהתכונן לעמידה בחוקים ותקנות הקשורים להגנה על הפרטיות, כולל:

א. ייעוץ וליווי לסגירת הפערים של אבטחת הפרטיות

ייעוץ וליווי לסגירת הפערים למול הדרישה של הלקוחות שלנו לגבי העמידה בדרישות: תקנות אבטחת הפרטיות של הרשות להגנה על הפרטיות ו/או GDPR ו/או דרישה של גוף אחר.

ב. ביצוע סקרי סיכונים טכנולוגיים בדגש על נושא הגנת הפרטיות.

הסקר נותן מענה לדרישות GDPR ותקנות הגנת הפרטיות לזיהוי איומים וסיכונים וקביעת דרכי פעולה להתמודדות עם הסיכונים שזוהו בסקר.

ג. ביצוע מבדקי חדירה (Penetration Test)

חברות שמחזיקות מאגרי מידע בסיווג גבוה / בינוני מחויבות לבצע מבדק חדירה בתדירות של פעם בשנה וחצי.

ד. ליווי החברה לקראת הסמכה לתקן אבטחת מידע 27001 ISO.

בהתאם למסמך הבהרה שנשלח ע"י משרד המשפטים / הרשות להגנה על הפרטיות (ראו הנחיית רשם מאגרי מידע מס 03-2018), ארגון שמוסמך לתקן אבטחת מידע 27001 ISO עומד ברוב סעיפי התקנות להגנת הפרטיות  הישראליים. בנוסף, עמידה בתקן נותנת מענה הולם גם כחלק מעמידה בדרישות ה- GDPR.