פרטיות, אבטחת מידע וסייבר

פרטיות, אבטחת מידע וסייבר

פרטיות בבנקאות

הוראות הפיקוח על הבנקים – נוהל בנקאי תקין (נב"ת)

ניהול סיכוני סייבר בשרשרת אספקה

363

מטרת הוראה זו הינה להבהיר את האחריות של התאגיד הבנקאי בנוגע לקיום תצורת עבודה מאובטחת מול הספקים המהותיים, ואת חובותיו לניהול סיכוני סייבר הולמים בפעילות ספקים אלו בחצרותיהם, בחצרי התאגיד הבנקאי ובממשקים שלהם עם התאגיד.

דיווח על אירועי כשל טכנולוגי ואירועי סייבר

366

ניהול וטיפול יעיל באירועי כשל טכנולוגיים ואירועי סייבר הוא חיוני ומהווה אבן יסוד להמשך תפקוד ומתן שירותים על ידי התאגיד הבנקאי בעת אירוע מסוג זה. הפיקוח על הבנקים רואה בדיווח אליו על אירועים כאמור, את אחד מהעקרונות המרכזיים עליהם מושתת ניהול נאות של סיכוני טכנולוגיית המידע, ובכלל זה ניהול וטיפול בסיכוני אבטחת מידע וסייבר.

בנקאות פתוחה

368

בנקאות פתוחה יוצרת סביבת סיכונים חדשה ואתגרים בתחום ניהול הסיכונים, בעיקר בכל הקשור לסיכוני אבטחת מידע וסיכוני פרטיות. ההוראה מסדירה, בין השאר, את החובות של הבנקים וחברות כרטיסי האשראי בבנקאות הפתוחה, את ההגנות ללקוח כמו גם את הכלים לניהול הסיכונים של הבנקים וחברות כרטיסי האשראי.

לענין זה יש לראות גם את חוק שירות מידע פיננסי, התשפ"ב-2021.

ניהול טכנולוגיות מידע

357

על הנהלת תאגיד בנקאי לייחס את החשיבות הראויה, הן בהיררכיה הניהולית והן במשאבים הכספיים ומשאבי האנוש הנחוצים, לניהול תקין של מערך טכנולוגיית המידע. חוזר זה עוסק בעניין זה לרבות פיקוח וניהול; הערכת סיכונים; אבטחת מידע; גיבוי והתאוששות; מיקור חוץ; סיכונים במערכות תקשורת, ועוד.

ניהול הגנת סייבר

361

על התאגידים הבנקאיים לתת דגש מיוחד ולנקוט בצעדים הדרושים לצורך ניהול אפקטיבי של הגנת הסייבר. בפרט, נדרשים התאגידים הבנקאיים להרחיב ולהעמיק את יכולות ההתמודדות הקיימות של אבטחת המידע באופן אשר יאפשר להם להתמודד כנגד איומי הסייבר. הוראה זו נועדה להוסיף ולהרחיב על הוראות סיכוני הסייבר השונות ועוסקת בביקורת וניהול, בין היתר של אירועי אבטחת מידע.

בנקאות בתקשורת

367

הגידול בהיקף השירותים הבנקאיים באמצעים טכנולוגיים ומתן אפשרות ללקוחות לבצע פעילות בנקאית מרחוק, טומנים בחובם גידול בסיכונים הייחודיים הגלומים בפעילות זו, וביניהם: סיכוני אבטחת מידע וסייבר, סיכוני פגיעה בפרטיות, סיכוני מעילות והונאות, סיכוני ציות, סיכוני הלבנת הון, סיכונים משפטיים וסיכוני מוניטין. הוראה זו מורה כיצד יש להתמודד עם הסיכונים הללו, ברמה הארגונית והטכנולוגית.

ניהול סיכונים

310

הוראה זו קובעת עקרונות יסוד לניהול ולבקרת הסיכונים בראייה משולבת וכלל תאגידית (Firm Wide Risk Management) כדי לחזק את יכולתם של תאגידים בנקאיים לזהות ולנהל סיכונים באופן מיטבי כך שישתקפו כראוי בפעילות הבנק, בהערכת הלימות ההון ובתהליכי קבלת החלטות.

 ניהול סיכונים תפעוליים

350

ניהול נאות של הסיכון התפעולי משקף את האפקטיביות של הדירקטוריון וההנהלה הבכירה של התאגיד הבנקאי בניהול תיקי המוצרים, הפעילויות, התהליכים והמערכות. הוראה זו קובעת כללים הנדרשים לניהול תקין של הסיכון התפעולי בתאגיד הבנקאי.

ניהול המשכיות עסקית

355

מסמך זה מנחה לגבש מסגרת עבודה כוללת לניהול המשכיות עסקית במטרה לשפר את עמידות התאגיד הבנקאי בעת התרחשות שיבושים תפעוליים, הנגרמים מאירועים חיצוניים או פנימיים, וכן להקטין את ההשפעה ששיבושים מסוג זה עלולים לגרום לרציפות הפעילות העסקית, למוניטין, לרווחיות, למפקידים ולבעלי המניות.

מחשוב ענן

362

בצד היתרונות הגלומים בשימוש בטכנולוגיות ענן, שימוש בטכנולוגיות אלו עלול לחשוף את התאגיד הבנקאי לסיכונים תפעוליים מהותיים הקשורים לאבטחת מידע וסייבר, המשכיות עסקית, שליטה ובקרה על נכסי ה - IT , וכד'. חוזר זה קובע הוראות לעניין שימוש והפעלת מערכות מחשוב ענן לטובת צמצום הסיכונים כאמור.

הוצאת מסמכים ממשרדי התאגידים הבנקאיים

356

ההוצאה של מסמכים מחוץ לתאגיד שלא לצורך עבודתו. במקרים רבים מסמכים חסויים- כגון לצורכי מחקר או שהם דרושים לעובד לשעבר של התאגיד, לשם הגשת תביעות או הגנה מפני תביעה פלילית או אזרחית. בין היתר קובע המסמך כי ראוי שמסירת המסמכים כאמור תאושר על ידי דירקטוריון התאגיד או מי שיוסמך על ידו, או שיקבעו תנאים שיחולו על מקבל המסמכים.

ניהול סיכוני סייבר בשרשרת אספקה

363

אחריות התאגיד הבנקאי בנוגע לקיום תצורת עבודה מאובטחת מול הספקים המהותיים, וחובותיו לניהול סיכוני סייבר הולמים בפעילות ספקים אלו בחצרותיהם, בחצרי התאגיד הבנקאי ובממשקים שלהם עם התאגיד.

מיקור חוץ

359A

הוראה זו קובעת עקרונות על פיהם נדרשים התאגידים הבנקאיים לפעול כאשר הם מעבירים פעילויות שונות למיקור חוץ. עקרונות אלו נועדו לצמצם את חשיפת התאגידים הבנקאיים לסיכונים פוטנציאליים הגלומים במיקור חוץ. עדכון ההוראה נועד להקל על התאגידים הבנקאיים ביישום דרישות רגולציה, וזאת על רקע התפתחות אירוע וירוס הקורונה והשלכותיו, בין השאר, על זמינות המשאבים ויכולת התאגידים הבנקאיים לעמוד בהמשך פיתוח תהליכים ופרויקטים חדשים.

ניהול סיכוני איסור הלבנת הון ואיסור מימון טרור

411

אחריות התאגיד הבנקאי לקיום הליכי הערכת סיכונים ללקוחות, לשם זיהוי לקוחות בסיכון גבוה בהקשרי הלבנת הון ו/או מימון טרור, שכלפיהם נדרש התאגיד הבנקאי לנקוט בצעדים מוגברים לניהול והפחתת סיכונים. במקביל, החוזר קובע איסור על תאגיד בנקאי לסרב לתת שירותי תשלום אגב פעילות במטבע וירטואלי רק בשל היות השירות קשור במטבעות וירטואליים (זאת ככל שנותן השירות במטבעות וירטואליים שהינו צד לעסקה קיבל רישיון למתן השירות בישראל).

שימוש במידע לפי חוק שיקים ללא כיסוי, ומענה לפניות אודות הגבלה מיוחדת

430

אופן השימוש ושמירת המידע שהתקבל מהפיקוח על הבנקים לפי חוק שיקים ללא כיסוי. הוראה זו נועדה להביא לידי ביטוי את עדכון עמדת הרשות להגנת הפרטיות בנושא, את ההתפתחויות שחלו במהלך השנים שחלפו מאז צאת ההנחיה בנושא ההגנה על הזכות לפרטיות, והאיזון בינה לבין השימוש בנתוני אשראי. כמו כן, ההוראה נועדה לתת מענה לתלונות של לקוחות המערכת הבנקאית בדבר השימוש שנעשה על ידי בנקים במידע אודות הגבלתם בעבר, ולהבטיח יישום התפיסה כי יש לאפשר לאדם לשקם את מצבו הכלכלי.

הנחיות רשם מאגרי מידע

תחולת תקנות הגנת הפרטיות (אבטחת מידע) על ארגונים המוסמכים לתקן ISO/IEC 27001

03/2018

גופים המוסמכים לתקן ISO/IEC 27001 פטורים מקיום חלק מתקנות הגנת הפרטיות (אבטחת מידע). הנחייה זו קובעת את הפטורים והחובות החלים על גופים אלה.

הנחיית רשם מאגרי המידע- תחולת תקנות הגנת הפרטיות (אבטחת מידע) על גופים מפוקחים הכפופים להוראות המפקח על הבנקים

1/2018

גופים מפוקחים הכפופים להוראות המפקח על הבנקים בעניין אבטחת מידע פטורים מחלק מתקנות הגנת הפרטיות (אבטחת מידע) . מסמך זה מציג את הפטורים והחובות של אותם גופים.

הנחיית רשם מאגרי המידע- איסור שימוש במידע בדבר הטלת עיקול אצל צד שלישי

1/2011

הנחיה זו מיועדת להבהיר שצד שלישי איננו רשאי להשתמש לצרכיו העצמיים במידע אודות הטלת צו עיקול על חייב שנרשם אצלו. ההנחיה מביאה לידיעת הציבור את עמדתו של רשם מאגרי המידע בדבר הפרשנות הנכונה של תחולת הוראות חוק הגנת הפרטיות על הסוגיה שבנדון, לפיה הידיעה בדבר הטלת צו העיקול והמידע הכלול בו נמסרים לצד השלישי אך ורק למטרת קיום הוראות הצו: איתור נכסי החייב, הקפאתם תחת ידי המחזיק בהם ומסירתם לידי ההוצאה לפועל או פקיד הגביה ככל שיורה כך צו שיפוטי.