מדיניות פרטיות


תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז - 2017

קבוצת יעל היא קבוצת IT מהמובילות בישראל, המתמחה בפתרונות עסקיים מבוססי טכנולוגיה ועוסקת ביישום והטמעה של מגוון מוצרי תוכנה וחומרה מהמובילים בעולם. פעילות הקבוצה כוללת פרויקטי אינטגרציה, יישום מערכות ERP ו-CRM, הטמעת פתרונות פיננסיים, BI ואנליטיקה, פתרונות ענן, דיגיטל וניהול תוכן ומסמכים. זאת לצד ניסיון רב במתן שירותי מיקור חוץ, ייעוץ והדרכה. המרכיב המרכזי בהצלחותיה של קבוצת יעל וצמיחתה לאורך השנים היא חדשנות מתמדת המשולבת בניסיון רב, ביכולת ההקשבה, מתן השירות והבנת הלקוח. חדשנות זו, היא שמסייעת לנו להפוך רעיון לערך ללקוח ולהטמיעו באופן שמייצר תועלת. כך חוזרים אלינו לקוחותינו פעם אחר פעם, כבר מעל חמישים שנה.

1. הגדרות (מתוך חוק הגנת הפרטיות, תשמ"א):

1.1. אבטחת מידע - הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין;

1.2. מאגר מידע - אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב, למעט

(1) אוסף לשימוש אישי שאינו למטרות עסק;

או

(2) אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר איפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף;

1.3. מידע - נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו;

1.4. מידע רגיש

(3) נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו;

(4) מידע ששר המשפטים קבע בצו, באישור ועדת החוקה חוק ומשפט של הכנסת, שהוא מידע רגיש;

1.5. מנהל מאגר - מנהל פעיל של גוף שבבעלותו או בהחזקתו מאגר מידע או מי שמנהל כאמור הסמיכו לעניין זה;.

1.6. שלמות מידע - זהות הנתונים במאגר מידע למקור שממנו נשאבו, בלא ששונו, נמסרו או הושמדו ללא רשות כדין.

1.7. נושאי מידע במאגר – בני האדם ששמותיהם ופרטיהם כלולים ומופעים במאגר (עובדים, לקוחות, מועמדים, או כל אדם אשר פרטיו מופעים במאגר).

2. מדיניות אבטחת המידע.

2.1. חיסיון – תמנע גישת גורמים לא מורשים לכל מידע בכל רמת סיווג שהיא, המידע יהיה חשוף ונגיש לגורמים מורשים מהקבוצה ומחוצה לה.

2.2. זמינות – המידע יהיה זמין בכל עת, בהתאם למדדי זמן שההנהלה קבעה או התחייבה כלפי ללקוחותיה, לגורמים מורשים בלבד מעובדיה או גורמי צד ג'.

2.3. תאימות / שלימות – המידע יהיה שלם ואמין בכל מערכות המידע אשר אוגרות ומעבדות אותו.

3. מתוך תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז – 2017 (להלן: "התקנות").

3.1. חוק הגנת הפרטיות, התשמ"א-1981 (להלן – החוק), קובע הוראות שונות וחובות המוטלות על בעל מאגר מידע, מחזיק במאגר מידע ומנהל מאגר מידע. אחת החובות המרכזיות היא חובת אבטחת המידע, שמטרתה צמצום החשש מפני שימוש לרעה או פגיעה בשלמות המידע.

3.2. סעיף 17 לחוק הגנת הפרטיות קובע כי:

3.2.1. "בעל מאגר מידע, מחזיק במאגר מידע או מנהל מאגר מידע, כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע."

3.3. סעיף 7 לחוק מגדיר מה היא "אבטחת מידע":

3.3.1. "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין;"

4. תחום ותכולה:

4.1. מדיניות אבטחת מידע זו חלה על חברת יעל תוכנה ומערכות בע"מ לרבות החברות הבנות וחברת איי, אף, אן, פתרונות בע"מ (להלן: "קבוצת יעל").

4.2. מאגרי המידע של קבוצת יעל מנוהלים ומתוחזקים במערכות המידע של יעל תוכנה ומערכות בע"מ.

4.3. מדיניות אבטחת מידע זו וכל הנהלים וההנחיות הנגזרים ממנה חלים על כלל עובדי קבוצת יעל בכל רמה היררכית שהיא לרבות עובדי צד ג' העובדים מטעמה או נותני שירותים.

5. מידע ארגוני:

5.1. המידע אשר אגור ומצוי בבקבוצת יעל בכלל ובמערכות המידע בפרט רגיש מהיבטים עסקיים ואישיים, לכן חל איסור להשתמש בו שלא לצורכי העבודה, ולשתף בו גורמים שאינם מוסמכים מהקבוצה או מחוצה לה.

5.2. בהתאם למוגדר בתקנות הגנת הפרטיות (אבטחת מידע) התשע"ז 2017 על מאגרי המידע בקבוצת יעל חלה רמת אבטחה בינונית.

5.2.1. ראה תוספת ראשונה, (תקנה 1 והתוספת השנייה) בתקנות, ראה בנספח.

5.3. המידע והנכסים אשר אגורים ומעובדים בקבוצה יסווגו בהתאם למידת הקריטיות והזמינות הדרושה להנהלה ו/או ללקוח ובהתאם לחוק הפרטיות התשמ"א והתקנות הנגזרות ממנו.

5.4. מערך המיחשוב של הקבוצה מאוחסן ושמור במתחם הקבוצה, כאשר הגישה איליו ולמידע האגור בו ומעובד על ידו אפשרית ומותרת בהתאם לתפקיד וההרשאה שהוקצתה לבעל תפקיד על ידי מנהל המאגר.

5.5. העובדים נקראים לא לשמור ולאחסן במאגרי ובמערכות המידע של החברה חומר וקבצים אסורים ולא חוקיים.

5.6. המידע הארגוני ישמר במאגרי המידע הארגוניים בלבד, אין לשמור כל מידע בכונן המחשב האישי.

5.7. העברת מידע לגורמים מחוץ לארגון ו/או קבלת מידע מגורמים חיצוניים תהייה בדרכים מאובטחות ובהתאם למוסכם בין הצדדים.

5.8. השימוש במאגר המידע יהיה בהתאם למטרה להם נועד המידע ולשמו נאסף ונאגר.

5.9. בהתאם לבקשת נושא המידע, על מנהל המאגר לאפשר לנושא המידע לצפות במידע הנוגע לו בלבד, ולדעת מה מקורו.

5.10. נושאי המידע במאגר רשאים, בהתאם לחוק, לבקש למחוק את המידע ופרטיהם האגורים במאגר, הממונה על אבטחת המידע יפעל לבער את המידע בהתאם לחוק.

6. ממונה על אבטחת המידע:

6.1. הנהלת הקבוצה נותנת לממונה על אבטחת המידע את מלוא הגיבוי והאפשרויות למלא את המוטל עליו, ומקצה לשם כך את המשאבים הנדרשים לכך.

6.2. הממונה על אבטחת המידע בקבוצה בעל הכשרות והסמכות ייעודיות במערכות מחשבים ותקשורת בכלל ובהיבטי אבטחת מידע בפרט.

6.3. באחריות הממונה על אבטחת המידע להכין וליישם תכנית בקרה שוטפת על עמידת הקבוצה בדרישות הנגזרות בתקנות, בחוק ונוהלי אבטחת המידע שההנהלה אימצה.

6.4. הממונה יוודא תקיפות ועדכניות מסמך זה וכלל הנהלים הנגזרים מהתקנה ומסמך זה.

6.5. הממונה על אבטחת המידע בארגון יפעל בשם ו/או מטעם מנהל מאגר המידע בהיעדרו ו/או בתחומים אשר נדרשת מיומנות מיקצועית בתחומי מיחשוב בכלל ואבטחת מידע בפרט.

7. מנהל מאגר מידע:

7.1. בעל המידע, מנכ"ל הקבוצה, ימנה לכל מאגר מידע מנהל מאגר, אשר יהיה האחראי לנקיטת האמצעים הדרושים לאבטחת המידע במאגר שעליו הוא מופקד.

7.2. מנהל המאגר יהיה בעל תפקיד ניהולי אשר המכיר היטב את הנתונים הקיימים במאגר, את השימוש הנעשה בו ואת המשתמשים אשר נחשפים למידע ומעבדים אותו בהתאם לתפקידם.

7.3. מנהל המאגר יהיה מתחום המשתמשים במאגר.

8. ניהול אבטחת משאבי אנוש.

8.1. עובדי הקבוצה, במסגרת עבודתם, חשופים למידע רב הכולל מידע רגיש מהיבטים עסקיים ואישיים של הקבוצה ושל הלקוחות, לאור זאת תינתן תשומת לב רבה לאמינות העובד, יושרו וכישוריו בכל תקופת עבודתו בקבוצה.

8.2. נציגי ההנהלה יבטיחו כי העובדים בקבוצה לרבות גורמי צד ג' מתאימים לתפקיד שיועד להם, מבינים את האחריויות המוטלות עליהם לשם מניעת מקרי כשל, הונאה או שימוש לרעה במידע ונכסי הקבוצה והלקוחות.

8.3. מהימנותם של עובדי הקבוצה תיבדק לפני קליטתם באמצעות תשאול ממליצים ו/או באמצעות בחינה של גורם חיצוני, בהתאם לצורך התפקודי ומידת חשיפתם למידע רגיש.

8.4. כל עובד, בכל רמה היררכית שהיא, יחתום על הסכם שמירת סודיות וחיסיון NDA כתנאי לעבודתו בקבוצה.

8.5. לפני התחלת העבודה יעבור העובד החדש הדרכה להכרת הקבוצה ונוהלי אבטחת המידע בפרט. לפחות פעם בשנה יעברו כלל עובדי הקבוצה הדרכה להעלאת המודעות להיבטי אבטחת מידע בכלל ואבטחת מידע אישי רגיש בפרט.

8.6. הקצאת הרשאות גישה למערכות המחשב של הקבוצה תתבצע רק עם תום תהליך הקליטה וחתימת העובד על הסכמי הסודיות הנדרשים.

8.7. בעת מעבר מתפקיד לתפקיד באחריות הצוות הניהולי של הקבוצה לוודא כי מהימנותו ואמינותו של העובד אכן מתאימים לתפקיד החדש, תוך מתן דגש לחשיפה למידע אישי רגיש. יש לתת את הדעת להרשאות ולבקרות הגישה אשר היו לעובד בתפקיד הקודם מול ההרשאות החדשות המוקצות לו. כברירת מחדל, יחסמו ההרשאות של התפקיד הישן, ותפתחנה לעובד הרשאות חדשות התואמות את התפקיד החדש.

8.8. עם עזיבת עובד את הקבוצה, מכל סיבה שהיא, על הממונה הישיר לקיים הליך מסודר ובטוח ובהתאם לחוק, ולהבטיח כי העובד החזיר את נכסי הקבוצה אשר ברשותו, והרשאותיו במערכות המידע נחסמו.

8.9. באישור נציג ההנהלה, ניתן יהיה להעביר תוכן תיבת דואר אלקטרוני של עובד שעזב לעובד אחר.

9. ניהול הרשאות גישה

9.1. הנהלת הקבוצה קבעה את הכללים הבאים כמדיניות הקצאת הרשאות גישה:

9.1.1. הצורך לדעת בלבד – Need to Know.

9.1.2. הפרדת תפקידי מפתח – Segregation.

9.1.3. פיצול סמכויות (תפעול, בקרה ואישור).

9.1.4. הימנעות מהרשאות יתר ורחבות.

9.1.5. הקצאת הרשאות למשתמשי המערכת תתבצע בהתאם לתפקיד המוגדר ובאישור בעל המידע.

9.1.6. לא יהיה שימוש בשמות משתמש ציבוריים על ידי מספר משתמשים.

10.2. ניהול גישת משתמשים:

10.2.1. הקצאת קוד משתמש למערכות הממחשב של הקבוצה תהייה רק לאחר שהעובד סיים את תהליך הקליטה, חתם על הסכם הסודיות.

10.2.2. הממונה על אבטחת המידע בקבוצה יחד עם נציגי ההנהלה השונים (בעלי המידע) יגדירו מבנה הרשאה בחתך תפקיד, תוך מתן תשומת לב למדיניות הקצאת ההרשאות ולמידת רגישות המידע אשר תיחשף לבעל התפקיד.

10.2.3. באחריות הממונה הישיר של העובד לבקש את ההרשאות המגיעות לעובד בהתאם לתפקיד.

10.2.4. הוגדר תהליך מובנה להקמת משתמש במערכת, הכולל עדכון תכולת ההרשאה וחסימתה עם עזיבת עובד את הקבוצה ו/או מעבר לתפקיד אחר.

10.2.5. הקצאת הרשאות רחבות למשתמשי המערכת תיעשה באישור בעלי המידע תוך קביעת בקרות בעת ביצוע פעולות במידע או תהליך רגיש.

10.3. במסגרת מיפוי וזיהוי מאגרי המידע וסקר הערכת סיכונים בתהליך יזוהו בעלי התפקיד והעובדים אשר יש להם גישה למאגרי המידע הרגישים בארגון.

10.4. לפחות פעם בשנה, יתקיים סקר משתמשים במערכות הארגון, לווידוא כי רק במערכת פתוחים רק משתמשים אשר עובדים בקבוצה, ועובדים אשר עזבו נחסמו, באחריות הממונה על אבטחת מידע.

11. אבטחת תקשורת.

11.1. הקבוצה פועלת בכל רחבי הארץ תוך שימוש במערכות מידע ומאגרי מידע משותפים לכלל המשתמשים, תוך שימוש ברשתות תקשורת ציבוריות ומשותפות.

11.2. לצורך עמידה בדרישות אבטחת מידע (חיסיון, זמינות ושלמות) מתוקנות בקרות והגנות ייעודיות ברשת המחשבים של הקבוצה, כאשר כל הניהול, המערכות ומאגרי המידע נמצאים במקום ריכוזי אחד.

12. מיקור חוץ.

12.1. מערכות המידע והתקשורת של הקבוצה מתוחזקות על ידי צוות ה It של הקבוצה, לפי מידת הצורך והעיניין, כאשר נידרש ידע של מומחה ו/או תיגבור, יועסק גורם צד ג' לנושא לאחר שחתם על הסכם סודיות.

12.3. באחריות הממונה על אבטחת מידע בארגון, לקיים סקר בעלי הרשאות גישה מרחוק ע"י גורמי צד ג', ולאשרם ע"י נציג הנהלה, ולתקף את הסכמי הסודיות.