מיחשוב ענן, GDPR והדין בישראל

יתרונות האיחסון בענן 

חברות ישומי ענן כגון Azure (מייקרוסופט) או AWS (אמזון) או Google Cloud מאפשרות אחסון מידע אדיר בשרתים שלהם הממוקמים בכל רחבי העולם. טכנולוגיות אלו של אחסון מאפשרות ניצול יעיל ונוח של משאבי מחשוב תוך אפשרות לשיתוף משאבים ולשימוש בהם לפי הצורך, וזאת יחד עם חסכון בעלויות ציוד, חסכון בשטחי Data Center, חשמל, וכדומה. 

המידע מאוחסן על ידי חברות וגופים ממשלתיים, אשר בידם ובשליטתם מידע אישי עצום.

עם זאת, שימוש בטכנולוגית אחסון בענן עלול לחשוף את הגורם מוסר המידע לסיכונים תפעוליים מהותיים הקשורים לאבטחת מידע וסבייבר, המשכיות עסקית, שליטה ובקרה על נכסי ה-IT וכדומה. 

האם גם על חברות איחסון בענן חלים כל כללי האבטחה והשמירה על מידע אישי? סוגיה זו נדונה במספר הזדמנויות ונקבע כי גם חברות אלו חייבות לציית לכל כללי ה-GDPR והן אכן מפרסמות את המדיניות שלהם כך שהיא חלק מכללי ההצטרפות לשירות. 

 

החוקים בישראל בנוגע לשמירת מידע אישי על ידי חברות יישום ענן מפורטים במדרג חקיקה:

חוק הגנת הפרטיות, תשמ"א-1981

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017

תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001

הנחיות רשם מאגרי מידע: לגבי שימוש בשירותי מיקור חוץ לעיבוד מידע אישי וכן הנחיו לגבי שימוש בשירותי מחשוב ענן. 

לגבי בנקים בלבד: יקבעו הנחיות המפקח על הבנקים: ניהול בנקאי תקין בנושא מחשוב ענן. 

 

על פי החקיקה, חברת יישום הענן אמורה לספק את היישומים והשירותים הבאים:

1. אבטחה פיזית וסביבתית

2. אבטחת מידע בניהול כוח אדם 

3. בקרה ותיעוד גישה לאתר השרתים

4. תיעוד אירועי אבטחה 

5. מגבלה על התקנים ניידים

6. ניהול מאובטח ומעודכן של מערכות המאגר לרבות חיבור לרשת האינטרנט

 

בנוגע לגורם המאחסן בחברת יישומי הענן, עליו יחולו הכללים הבאים:

1. יגדיר מסמך "הגדרות המאגר" וצמידות המידע

2. ימנה ממונה אבטחת מידע

3. יגדיר מסמך נוהל אבטחת מידע

4. ימפה את מערכות המאגר

5. יבצע סקר סיכונים ומבדקי חדירות כל 18 חודשים

6. ינהל הרשאות גישה באופן קפדני

 

לגבי העברת מידע לחו"ל:

העברת המידע אפשרית לגורמים מחוץ למדינת ישראל רק אם דין המדינה שאליה מעבירים מבטיח רמת הגנה שאינה פחותה מזו שמבטיח הדין הישראלי. במקרה שתנאי זה אינו מתקיים, החוק הישראלי מאפשר העברה לגורם מחוץ למדינת ישראל שהתחייב בהסכם לקיים את התנאים לאחזקת מידע ולשימוש בו החלים על מאגר מידע בישראל, ונוקט באמצעים מספיקים להבטחת הפרטיות של אותו מידע. 

 

לגבי תאגידים בנקיים: מספר הוראות של המפקח על הבנקים:

1. חל איסור על תאגיד בנקאי לעשות שימוש בשירותי מחשוב ענן עבור פעילויות ליבה או מערכות ליבה. 

2. חל איסור על תאגיד בנקאי לאחסון, להעביר או לעבד מידע שמוגדר "רגיש" כגון נתוני לקוחות, מידע עסקי חסוי וכדומה, בענן מחוץ לגבולות מדינת ישראל אלא אם כן וידא שספק שירותי הענן מקיים את רמת ההגנה בהתאם ל-GDPR. 

3. על התאגיד הבנקאי לבחון צורך בסיוע לפי העניין, של יועצים חיצוניים מומחים בהפחתת סיכוים הגלומים בטכנולוגיות ענן. 

4. הנושא של שימוש בטכנולוגיות מחשוב בענן יובא לדיון מקדמי בדירקטוריון על מנת לדון בסיכונים ולהחליט האם לתת אישור מקדמי למהלך. הדירקטוריון גם ידון ויאשר מדיניות לשימוש בטכנולוגיות מחשוב ענן. 

5. טרם יישום מחשוב ענן יבצע התאגיד הבנקאי תהליכי מיפוי והערכת סיכונים נאותים, במעורבות כלל הגורמים הרלוונטיים, לרבות בדיקת Due Diligence בנוגע לחוסנו הכלכלי, יכולתו המקצועית וניסיונו לספק שירותים דומים של ספק שירותי הענן. 

6. הסכם ההתקשרות עם ספק שירותי הענן יכלול סעיפים קבועים כגון אפשרות להפסיק את השימוש  באופן חד צדדי, העברה לספק אחר של הנתונים ומחיקת הנתונים אצל הספק. 

7. אחת לשנה יעביר תאגיד בנקאי בכתב לידי הפיקוח על הבנקים רשימה מעודכנת של יישומי מחשוב הענן, ודיווח על יישומים עתידיים. 

 

 

 

BasketBasket

   אם ברשותכם קופון, אנא הזינו אותו כאן:    טען קופון

לא נבחרו מוצרים להזמנה