מחוייבות חברת תפוזנט לאבטחת מידע והגנת פרטיות ותקן iso 27001
1. רקע מידע לקוחות חברת תפוזנט (להלן "החברה") הינו מידע רגיש, אשר שימוש בו שלא כדין, עשוי לפגוע בחברה באופן חמור ומתמשך ויכול להתבטא בנזק כספי, תפעולי (מניעה או שיבוש שירות) או פגיעה במוניטין. מדיניות החברה היא להגן על מידע לקוחותיה באמצעים שמבטיחים גישה למורשים בלבד על פי סיווג ומידור מתאימים ובכך למנוע זליגה, גניבה, מחיקה או סילוף של מידע זה. לצורך זאת מיישמת החברה בקרות אבטחת מידע מתאימות הכוללות בין היתר אמצעים מינהלתיים ואמצעים טכניים מתאימים. החברה מחויבת לדאוג לסביבת מחשוב זמינה, רצופה, אמינה ויעילה כדי לתמוך בפעילותה העסקית וכפועל יוצא לנקוט בכל האמצעים הדרושים כדי למנוע סיכונים הנובעים מחדירה של גורמים בלתי מורשים למערכות שבאחריותה, לשמר את זמינות המידע, ולהגן עליו מפני הרס, פגיעה, חשיפה במזיד או במקרה, או שינוי לא מוסמך. מסמך זה בא להדגיש את מחוייבות החברה להגנה על מידע לקוחות המוחזק על ידה מפני איומי סייבר למיניהם, כדי לשמור על סודיותו, שלמותו וזמינותו של מידע זה בכל עת. אנו פועלים ומוסמכים ע"פ תקן אבטחת מידע ISO 27001
2. מחוייבות ההנהלה הנהלת החברה רואה חשיבות רבה בהגנה על מאגרי המידע שלה וכל מידע אחר המוחזק על ידיה ומתכוונת לבצע את הפעילויות הבאות על מנת לאפשר זאת. - למנות גורם האחראי על אבטחת המידע (להלן: "הממונה על אבטחת המידע"). - להסמיך את החברה לתקן אבטחת המידע ISO 27001. - להוביל ולהנחיל את כלל הנושאים והפעילויות הנדרשות על מנת לממש הגנה ראויה על המידע כפי שמתחייב עפ"י דרישות החוק ותקן אבטחת המידע ISO 27001. - לבצע פעילויות להעלאת מודעות העובדים לאבטחת מידע. - להקצות תקציב שנתי לצורך ביצוע ומימוש אבטחת המידע ורכישת מערכות הגנה כנדרש ועפ"י שיקולי ההנהלה. - להתעדכן באופן שוטף במצב אבטחת המידע בחברה ולפעול לשפורו. - להביא בחשבון שיקולי אבטחת מידע בניהול התהליכים העסקיים של החברה.
3. עקרונות ליישום מערך האמצעים ליישום מדיניות אבטחת המידע בתפוזנט כולל הגדרת סמכויות ותחומי אחריות, אכיפת נהלים והוראות, ושימוש בכלים טכנולוגיים. אבטחת המידע כוללת: - אבטחה פיזית של ציוד המחשבים והתקשורת. - אבטחה לוגית של התוכנה ומאגרי הנתונים. - אבטחת תשתיות התקשורת. - אבטחה של עמדות קצה, תחנות עבודה ומחשבים נישאים. - בקרה על גישה של גורמים חיצוניים למערכות המידע והמחשוב. - בקרה על העברת מידע לגורמים חיצוניים. - אבטחת מצעים מגנטיים/אופטיים ופלט לסוגיו. - היערכות למצבי חירום ולמצבים שונים של כשל תשתיות.
4. המחוייבות החוקית של החברה 4.1. חברת תפוזנט (להלן "החברה") תנהג במידע הפרטי של לקוחותיה בהתאם לאמור בכתב התחייבות זה ובהתאם לחוק הגנת הפרטיות, תשמ"א-1981 (להלן: ״חוק הגנת הפרטיות״), תקנות הגנת הפרטיות תשע״ז-2017 ותקן אבטחת המידע ISO 27001. 4.2. אם במסגרת התקשרות החברה עם לקוח תאחסן החברה או תעבד מידע של לקוחות אותו לקוח אשר הינם תושבים או אזרחים של האיחוד האירופאי, תנהג החברה בהתאם להוראות רגולציית ה-GDPR והוראות ה-GDPR יחולו על החברה בהקשר לכל מידע כזה. 4.3. החברה מצהירה כי היא ״מחזיקה״ מאגרי מידע של לקוחותיה הכפופים לחוק ותקנות הגנת הפרטיות וכי תפעל כדין בהתאם לכך. לשם כך מיישמת החברה מדיניות הגנת פרטיות, מדיניות אבטחת מידע ונהלי אבטחת מידע רלבנטיים ובכללם ISO27001. 4.4. החברה מתחייבת לאפשר לנושאי המידע המצוי במאגריה לממש את זכויותיהם בהתאם לכל דין, לרבות חוק הגנת הפרטיות, תקנות הגנת הפרטיות וה- GDPR(אם רלבנטי). מבלי לגרוע מן האמור לעיל, מתחייבת החברה לאפשר לנושא המידע לממש זכויותיו כאמור לכל היותר בתוך 48 שעות. 4.5. החברה מגדירה סדרי ניהול של מאגר מידע, סיווג והרשאות גישה למידע, בהתאם להוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות. החברה תקיים לפחות אחת לשמונה עשרה חודשים, סקר סיכונים ומבדקי חדירות לכל מערכות המחשוב שלה, וזאת על מנת לגלות ליקויים ברשת ובמערכותיה הראשיות.
5. שמירת סודיות של מידע פרטי והגנה עליו 5.1. החברה מתחייבת לשמור בסודיות מוחלטת את המידע המתקבל מלקוחותיה ו/או כל חלק ממנו ולא לגלות אותו לצד שלישי כלשהו. החברה מתחייבת להימנע מלמסור, לפרסם, לגלות, למכור ו/או להעביר, במישרין ו/או בעקיפין, בכל דרך שהיא לכל אדם או גוף שהוא, בין בארץ ובין בעולם, בכל עת שהיא, כל פרט הכלול במידע ו/או הקשור למידע כגון זה. 5.2. החברה תנקוט בכל האמצעים הסבירים הדרושים על מנת להגן על מידע לקוחותיה המצוי במאגרי המידע שלה בין מאגרים שהיא בעליהם ובין מאגרים שהיא מחזיקתם, מפני חשיפה לגורמים בלתי מורשים ודליפת מידע. 5.3. החברה מתחייבת ואחראית לכך כי כל עובדיה ומי מטעמה המעורב במתן השירותים הקשורים במידע לקוחותיה וחשוף למידע ישמרו על סודיות בהתאם להתחייבויותה על פי כתב התחייבות זה ויהיו חתומים על הסכם סודיות כחלק מחוזה העסקתם ו/או משיתוף הפעולה עמם (לפי העניין) כאשר החברה תהיה אחראית לכל הפרה של ההתחייבות לסודיות מצד כל מי שפועל מטעמה. 5.4. החברה לא תהיה רשאית להעביר לצד ג׳ את זכויותיה ו/או חיוביה בקשר לכתב התחייבות זה, ובקשר למידע של לקוחותיה המוחזק ו/או מאוחסן אצלה, ללא הסכמת הלקוח הרלבנטי מראש ובכתב. ככל שתתקבל הסכמה כאמור לעיל, החברה מתחייבת להחתים את צד ג׳ על כתב התחייבות זה ולהעבירו לצדדים הרלבנטיים. 5.5. בתום תקופת ההתקשרות בהסכם עם הלקוח וכפוף לבקשתו בכתב, החברה מתחייבת להחזיר לאלתר ללקוח או להשמיד (בהתאם להנחייתו) את כל המידע השייך לו, למעט ככל שנדרש לשמור עותק מהמידע על פי כל דין ובלבד שעל מידע שיישמר כאמור ימשיכו לחול הוראות כתב התחייבות זה. מיד לאחר החזרת או השמדת המידע, החברה תמציא ללקוח אישור בכתב כי קיימה את כל הוראות סעיף זה. 5.6כחלק ממדיניות אבטחת המידע בחברה הקשורה בעמידה בדרישות הגנת הפרטיות, אנו מבקשים מקהל לקוחותנו לשלוח לנו רק את מידע הדרוש להפעלת המערכת הקשורה וזאת בהתאם להנחיות הבאות: - לצורך דפי מתנה או ארנק תפוזנט יש לשלוח רק את שם העובד ,מספר הטלפון הנייד או הדואר האלקטרוני. אין להעביר אלינו את מספר תעודת הזהות ופרטים נוספים. - יש ציין שלעיתים נשלח אלינו מידע נוסף, שאינו דרוש להפעלת המערכת הקשורה ומחייב את החברה להחזיק מאגר מידע בדרגת סיווג גבוה יותר מהנדרש, על כל המשתמע מכך אבטחתית ותקציבית.
6. אבטחת מידע 6.1. אבטחה פיזית החברה מתחייבת לקיים אבטחה פיזית של מערכת המידע ושל התשתית שלה לרבות מבנה, אמצעי תקשורת, מסופים ותשתית חשמלית, מפני סיכונים סביבתיים ופגיעות, באופן התואם את רגישות המידע שברשותה ובהתאם לדין. כמו כן, תנקוט החברה באמצעי אבטחה הולמים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכותיה. 6.2. אבטחה לוגית - החברה מתקינה על כל תחנות הקצה, והשרתים שלה תוכנת אנטי-וירוס אשר תעודכן באופן אוטומטי ותבצע סריקות לעתים תכופות. החברה מתחייבת כי עובדיה לא יבצעו שימוש בתוכנות ו/או בשרתי שיתוף קבצים שאינם מאובטחים. כמו כן, תוודא החברה כי עובדיה לא ישלחו מידע רגיש של לקוחות באמצעות תיבות דואר אלקטרוני פרטיות או יאחסנו מידע של לקוחות בשרתי ענן שאינם מאובטחים. לצורך העברת מידע רגיש ללקוחותיה (אם יתעורר הצורך) תשתמש החברה בדואר אלקטרוני מוצפן או כספת. - החברה שומרת את המידע שתקבל מלקוחותיה בתיקיות ממודרות משאר המידע המצוי ברשותה וממערכות אחרות אשר בשימושה העסקי. החברה תאבטח את השרתים בין היתר על ידי הקשחתם. החברה תקיים מדיניות ניהול משתמשים והרשאות לפי עקרון "הצורך לדעת" ותקיים ניטור של מערכות הניגשות למידע לקוחותיה באמצעות תיעוד מתאים (לוגים). - לחברה מדיניות של הוצאה משירות של מדיה מגנטית ואופטית לרבות כוננים קשיחים, אמצעי אחסון ניידים או נתיקים, מצעי גיבוי וכדומה. 6.3. ניהול הרשאות גישה לחברה מדיניות ניהול הרשאות כמפורט להלן: - הגדרת אופן מתן הרשאת גישה למאגר המידע והטלת הגבלות על מורשי הגישה; - יצירת תיעוד מעודכן של מורשי הגישה למאגרי המידע לפי הרשאות הכניסה השונות (לוגים); - הכניסה למאגרי המידע תיעשה אך ורק על ידי שימוש בזיהוי אישי של שם משתמש וסיסמא ובהתאם לסטנדרטי אבטחה מקובלים. הסיסמאות תהיינה מורכבות משילוב של אותיות, ספרות ותווים חכמים, באורך של שמונה תווים לפחות, כאשר הן ידועות למשתמשים בלבד, ומוחלפות אחת לחצי שנה לפחות; - החברה תגן על מערכות המחשוב שלהן גישה למידע באמצעות התנתקות לאחר חוסר פעילות, שתופעל לכל היותר תוך 20 דקות בהן לא בוצעה פעילות במערכת. 6.4. התמודדות עם אירועי אבטחה לחברה נוהל ותכנית לטיפול במקרים של אירועי אבטחה, אשר יהיה בהם כדי לצמצם ככל הניתן, את הנזק והעלויות כתוצאה מאירועים כאלה. להלן דוגמאות לאירועי אבטחת מידע: התקפות סייבר, אובדן או גניבה של מידע ו/או מכשיר קצה, פריצה למערכות על ידי גורם שאינו מורשה ועוד. 6.5. אבטחת משאבי אנוש - בעת קבלת עובדים, תקיים החברה בעת הצורך בדיקת אמינות עובדים ובכל מקרה תקיים בדיקות רקע. כל עובד יחתום על הצהרת שמירה סודיות, אשר תכלול התחייבות לעמידה - בתנאי כתב התחייבות זה, ונושאי אבטחת מידע הרלוונטיים לעבודתו של אותו עובד ו/או בהתאם למידת חשיפתו למידע. - החברה תדאג לקיים הדרכות לעובדיה לגבי הגנה על מידע רגיש, בהתאם לדין ולכתב התחייבות זה, לכל הפחות אחת לשנה. 6.6. נהלי אבטחת מידע החברה תפעל להנחיית עובדיה בדבר ההגנה על מאגרי המידע שלה ומערכותיה ותנחה את צוות המיחשוב שלה בדבר הגנה כזו באמצעות סידרת נהלי אבטחת מידע תואמי ISO 27001. 6.7. אבטחת המידע בתהליך הפיתוח - החברה תיישם מתודולוגיה של פיתוח מאובטח לאורך כל מחזור חיי תוכנה. בהתאם לכך הוגדרו היבטי אבטחת מידע ששולבו בתהליכי פיתוח מערכות מידע. - החברה תיישם הפרדה מיטבית בין סביבת הפיתוח והבדיקות לסביבת היצור. - הגישה לסביבת הייצור תינתן רק למפתחים המורשים לכך ויוגדרו להם חשבונות משתמשים ייעודיים לסביבה זו. כמו כן תנוהל בקרה אחר פעילות מפתחים בסביבת הייצור. - תהליך ההעברה מפיתוח ליצור יעשה באופן מאובטח כך שתימנע פגיעה בשלמות ואמינות המידע. 6.8. אבטחת אמצעי מחשוב ניידים מבוצע יישום בקרות אבטחה רלבנטיות על מנת לאפשר שימוש מאובטח במחשבים ניידים ולמנוע פגיעה בשלמות, אמינות, זמינות, סודיות ושרידות המידע המאוחסן על גבי מחשבים אלה. 6.9. גיבויים בחברה הוגדרו תהליכים לגיבוי המידע כדי להבטיח את שלמותו וזמינותו תוך התאמת דרישות הגיבוי לכל סוג של מידע בהתאם לרגישותו. תהליכי הגיבוי מאפשרים שחזור נאות של מידע בעת הצורך ומשתלבים בתכנית ההמשכיות העסקית של החברה.