מבזק משפט מנהלי ורגולציה | אבטחת מידע בהתקשרות עם ספקים חיצוניים (מיקור חוץ) – כולל שירותי ענן

אבטחת מידע בהתקשרות עם ספקים חיצוניים (מיקור חוץ) – כולל שירותי ענן

ארגונים רבים כיום חושפים את מאגר המידע שלהם לספקי שירותים חיצוניים. חשיפה זו מציבה את הארגון בפני סיכונים שונים, לרבות כאלו בתחום אבטחת המידע. חוק הגנת הפרטיות, התשמ"א-1981 ("החוק"), ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("התקנות"), מסדירים את הליך ההתקשרות בין בעל מאגר מידע לבין ספק שירותים חיצוני שבמסגרתה, מקבל ספק השירותים החיצוני גישה למאגר המידע. בין היתר, קובעות התקנות, כי על בעל מאגר מידע לבצע הערכת סיכונים הכרוכים בהתקשרות עם ספק השירותים החיצוני ולעגן נושאים שונים בהסכם מולו.

לאחרונה (25.2.20), פרסמה הרשות להגנת הפרטיות רשימת המלצות לנושאים נוספים, פרקטיים וספציפיים יותר מאלו הקבועים בתקנות, אותם כדאי לעדכן בהסכם עם ספק שירותים חיצוני:

1. קיומו של נוהל אבטחת מידע, שמירת סודיות (NDA) והגדרה ברורה של זמני מענה ושירות (SLA);
2. הקשחת מערכות הספק החיצוני המותקנות ברשת הארגון בהתאמה לנהלי אבטחת המידע וניהול הסיכונים;
3. שמירה והעברת נתוני האבטחה הנצברים אצל הספק החיצוני, כגון קבצי ה- Log וההתראות ממערכות הספק החיצוני בהתאם לבקשת הארגון;
4. במידה והשירות אותו מספק הספק החיצוני נוגע למאגרים ברמת אבטחה גבוהה, יש לוודא כי הספק החיצוני עורך סקר סיכונים ומבדקי חדירה מבוקרים אחת לשמונה עשרה חודשים, וכי הספק החיצוני מוודא טיפול בממצאים וסילוק הליקויים שזוהו בסקר ובמבדקי החדירה;
5. ביצוע בדיקת מהימנות לעובדי הספק החיצוני הקשורים לשירות הניתן לארגון;
6. מינוי ממונה על אבטחת מידע וסייבר אצל הספק החיצוני, במידה והוא חייב במינוי לפי החוק, והגדרת סמכויותיו ותפקידיו;
7. הצגת רשימה של ספקי משנה, בדיקות האבטחה והבקרות אשר תומכים בשירותים הניתנים לארגון ע"י הספק החיצוני וספקי המשנה מידי תקופה שתיקבע על ידי הארגון;
8. קביעת הסדרים למחיקת נתונים השייכים לארגון המאוחסנים אצל הספק החיצוני עם תום ההתקשרות ו/או לפי דרישה;
9. ווידוא ביצוע הפרדה בין סביבות העבודה (פיתוח, ייצור, וכד') וקיומן של הבקרות הנדרשות אצל הספק החיצוני;
10. דיווח לארגון על אירועי אבטחה אשר התרחשו אצל הספק החיצוני או אצל ספקי משנה על פי פורמט שנקבע על ידי הארגון אשר כולל את כל המידע הדרוש לצורך חקירת האירוע  והסקת מסקנות.

לחוזר המלא ראה כאן

לפרטים ניתן לפנות למחלקת רגולציה ומשפט מנהלי במשרדנו, עו"ד ירון הרמן  בטלפון: 03-6074464 ובדוא"ל: yaron@gkh-law.com או לעו"ד יערה מושקוביץ בטלפון 03-6074464 ובדוא"ל: yaaram@gkh-law.com

משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' (GKH), הנו אחד ממשרדי עורכי הדין הגדולים בישראל, המונה למעלה מ-170 עורכי דין. למשרד התמחות ופעילות ענפה בתחומי המשפט המסחרי, ובין היתר בתחום מיזוגים ורכישות, שוק ההון, הייטק וטכנולוגיה, בנקאות, מימון, ליטיגציה, הגבלים עסקיים, אנרגיה ותשתיות, איכות הסביבה, קניין רוחני, דיני עבודה ומיסים.

מידע בחוזר זה מיועד ללקוחות משרד גרוס, קלינהנדלר, חודק, הלוי, גרינברג, שנהב ושות' וידידיו. כל המידע הנכלל בחוזר זה הינו בבחינת מידע כללי ותמציתי בלבד, ואינו מהווה חוות דעת או ייעוץ משפטי. על המשתמש לקבל עצה מקצועית נפרדת לכל פעולה משפטית או אחרת בקשר לנושאים שנדונו בחוזר.