Nevo.co.il

תקנות הפיקוח על שירותים פיננסיים (ייעוץ, שיווק ומערכת סליקה פנסיוניים) (אבטחת מידע במערכת סליקה פנסיונית מרכזית), תשע"ב-2012

משפט פרטי וכלכלה – הסדרת עיסוק – יועצי השקעות

משפט פרטי וכלכלה – כספים – שירותים פיננסיים

תוכן ענינים

סעיף 1

הגדרות

Go

3

חלק א': אבטחת המידע

Go

3

סעיף 2

מדיניות אבטחת מידע

Go

3

סעיף 3

ממונה על הפרטיות ואבטחת המידע

Go

3

סעיף 4

נוהל אבטחת מידע

Go

4

סעיף 5

מיפוי וביצוע סקר סיכונים

Go

4

סעיף 6

הגנת הפרטיות

Go

5

סעיף 7

אבטחה פיזית וסביבתית

Go

5

סעיף 8

אבטחת מידע בניהול כוח אדם

Go

5

סעיף 9

ניהול הרשאות גישה של עובדי החברה

Go

5

סעיף 10

זיהוי עובדים ואימות הרשאות

Go

6

סעיף 11

תיעוד גישה

Go

6

סעיף 12

תיעוד אירועי אבטחה

Go

6

סעיף 13

ניהול והעברה של התקנים ניידים

Go

6

סעיף 14

אבטחת תקשורת וניהול מאובטח של מערכת סליקה פנסיונית מרכזית

Go

6

סעיף 15

ביקורות תקופתיות

Go

6

סעיף 16

גיבוי, שחזור והמשכיות

Go

7

חלק ב': הוראות כלליות לעניין זיהוי משתמשים ולקוחות

Go

7

סעיף 17

זיהוי משתמשים ולקוחות

Go

7

סעיף 18

בדיקת קיום ייפוי כוח

Go

7

סעיף 19

חובות בקשר להעברת מידע

Go

8

סעיף 20

ניהול הרשאות גישה של משתמשים ולקוחות

Go

8

חלק ג': הוראות לשמירת מידע

Go

8

סעיף 21

גישה למידע

Go

8

סעיף 22

תקופת ביקורת

Go

8

סעיף 23

שמירת נתונים

Go

8

סעיף 24

נתונים על אודות המידע

Go

8

סעיף 25

נתונים על הכספים

Go

8

סעיף 26

מחיקת מידע

Go

9

חלק ד': חובות החלות על משתמשים

Go

9

סעיף 27

מינוי ממונה על הפרטיות ואבטחת מידע אצל משתמש

Go

9

סעיף 28

איש קשר

Go

9

חלק ה': אופן הפקת פלט מהמערכת

Go

9

סעיף 29

פלט של מסמך השמור במערכת

Go

9

סעיף 30

תיעדו של הליך המרה אמין במערכת סליקה פנסיונית מרכזית

Go

9

סעיף 31

שימוש מסמך במערכת סליקה פנסיונית מרכזית

Go

9

סעיף 32

הפקת פלט

Go

9

סעיף 33

זכות עיון

Go

9


תקנות הפיקוח על שירותים פיננסיים (ייעוץ, שיווק ומערכת סליקה פנסיוניים) (אבטחת מידע במערכת סליקה פנסיונית מרכזית), תשע"ב-2012*

           בתוקף סמכותי לפי סעיף 31טז(ד) לחוק הפיקוח על שירותים פיננסיים (ייעוץ, שיווק ומערכת סליקה פנסיוניים), התשס"ה-2005 (להלן – החוק), ולאחר התייעצות עם שר המשפטים, אני מתקין תקנות אלה:

מיום 27.9.2012

ת"ט תשע"ג-2012

ק"ת תשע"ג מס' 7166 מיום 27.9.2012 עמ' 28

  בתוקף סמכותי לפי סעיף 31טז(ד) לחוק הפיקוח על שירותים פיננסיים (ייעוץ, שיווק ומערכת סליקה פנסיונית מרכזית פנסיוניים), התשס"ה-2005 (להלן – החוק), ולאחר התייעצות עם שר המשפטים, אני מתקין תקנות אלה:

הגדרות

1.       בתקנות אלה –

           "התקן נייד" – מחשב נייד, רדיו טלפון נייד כמשמעותו בחוק התקשורת (בזק ושידורים), התשמ"ב-1982, או מצע אחר המשמש לאחסון חומר מחשב;

           "חברה" – חברה להפעלת מערכת סליקה פנסיונית מרכזית;

           "חומר מחשב", "מחשב" ו"פלט" – כהגדרתם בחוק המחשבים, התשנ"ה-1995;

           "יום עסקים" – כהגדרתו בחוק השקעות משותפות בנאמנות, התשנ"ד-1994;

           "מידע" – מידע, לרבות נתונים על אודות מידע או כספים, המועברים במערכת סליקה פנסיונית מרכזית או השמורים בה;

           "ממונה על פרטיות ואבטחת מידע" – מי שמונה לממונה על פרטיות ואבטחת מידע לפי תקנה 3(א);

           "עובד" – לרבות כל יחיד שיש לו גישה למידע לצורך ביצוע תפקידו;

           "עיבוד מידע" – לרבות שירותי אחסון ותשתית;

           "רשימת פעולות" – כל אחת מהפעולות המנויות בסעיף 31ט לחוק;

           "תעודה אלקטרונית לאימות" – כהגדרתה בסעיף 23א לחוק מרשם האוכלוסין, התשכ"ה-1965.

חלק א': אבטחת המידע

מדיניות אבטחת מידע

2.       (א)  חברה תפרט את מדיניות אבטחת המידע במערכת סליקה פנסיונית מרכזית במסמך שיכלול, בין השאר, את כל אלה (להלן – מסמך הגדרות המערכת):

(1)   תיאור סוגי המידע שניתן להעביר באמצעות מערכת סליקה פנסיונית מרכזית או לשמור בה, והערכת הרגישות של כל סוג מידע ביחס לפגיעה אפשרית בפרטיות לקוח שעל אודותיו מועבר המידע בשל פגיעה באבטחת המידע במערכת;

(2)   המטרות שלשמן מותר למשתמש להעביר מידע באמצעות מערכת סליקה פנסיונית מרכזית והמטרות שלשמן מותר לחברה לשמור מידע במערכת;

(3)   האופן שבו החברה מעבדת את המידע;

(4)   הסיכונים המרכזיים לפגיעה בעניינו של לקוח, עקב חשיפת מידע על אודותיו ושימוש בו שלא כדין, והדרכים למזעורם.

           (ב)  חברה תפרט במסמך הגדרות המערכת את האופן שבו מסמך זה מקיים את סעיף 31טז(א) לחוק.

           (ג)   חברה תפעל לשם עדכונו השוטף של מסמך הגדרות המערכת.

ממונה על הפרטיות ואבטחת המידע

3.       (א)  חברה תמנה ממונה על הפרטיות ואבטחת המידע, שיהיה אחראי על הגנת פרטיות לקוחות שמידע על אודותיהם עובר או נשמר במערכת סליקה פנסיונית מרכזית ועל אבטחת מידע כאמור.

           (ב)  ממונה על הפרטיות ואבטחת מידע יאפשר עיון בנתונים על אודות המידע או הכספים שנשתמרו לגבי לקוח במערכת, לפי בקשתו.

           (ג)   הממונה על הפרטיות ואבטחת המידע יהיה כפוף ישירות למנהל החברה.

           (ד)  הממונה על הפרטיות ואבטחת המידע לא ימלא תפקיד נוסף שעלול להעמידו בחשש לניגוד עניינים עם מילוי תפקידו לפי תקנות אלה, לרבות מבקר פנים של החברה.

           (ה)  הממונה על הפרטיות ואבטחת המידע יהיה אחראי על יישום מסמך הגדרות המערכת ועל הכנת נוהלי עבודה לקיום הוראות תקנות אלה, וידווח על קיומם למנהל החברה.

           (ו)   הממונה על הפרטיות ואבטחת המידע יהיה בעל גישה ישירה לנתונים המאפשרים בקרה על השימוש במערכת סליקה פנסיונית מרכזית.

           (ז)   הממונה על הפרטיות ואבטחת המידע יבצע את כל הפעולות הנדרשות כדי שפעילות החברה תעמוד בהוראות בסעיף 31טז(א) לחוק.

נוהל אבטחת מידע

4.       (א)  הממונה על הפרטיות ואבטחת המידע יערוך נוהל אבטחת מידע (להלן – נוהל האבטחה) לפי תקנות אלה.

           (ב)  נוהל האבטחה יחייב את כל עובדי החברה שלהם גישה למידע, למערכת סליקה פנסיונית מרכזית או לרכיביה כאמור בתקנת משנה 5(א) (להלן – גישה למערכת).

           (ג)   נוהל האבטחה יכלול, בין השאר, את כל אלה:

(1)   תיאור רכיבי המערכות המפורטים בתקנת משנה 5(א) ותיאור מבנה הרשת שבה פועלת מערכת הסליקה;

(2)   תיאור אופן מתן הרשאות גישה למערכת, ואופן ביטולן של הרשאות כאמור;

(3)   הוראות בדבר אופן אימות זהותם של מורשי גישה למערכת ואופן הטיפול בתקלות באימות זהות; אם יש צורך בשימוש בססמה יינתנו הוראות לעניין רמת אבטחת הססמה, מספר הניסיונות השגויים, ותדירות החלפת הססמאות שתיקבע לפי תפקיד מורשה הגישה, שלא תעלה על שישה חודשים;

(4)   הוראות למורשי גישה למערכת, לגבי אופן השימוש במערכת תוך אבטחת המידע;

(5)   הוראות בדבר אבטחה פיזית וסביבתית של מיתקני מערכת סליקה פנסיונית מרכזית כאמור בתקנה 7;

(6)   אופן בקרה על שימוש במידע, לרבות עריכת רישום על אודות גישה למערכת ומניעת הוספה או גריעה של מסמכים למערכת באופן בלתי מתועד;

(7)   הוראות בדבר אבטחת מערכות מחשוב ומערכות תקשורת שבאמצעותן מועברים נתונים ממערכת סליקה פנסיונית מרכזית ואליה;

(8)   הוראות בדבר ניהול והעברה של אמצעי אחסון והתקנים ניידים;

(9)   הוראות בדבר אופן גיבוי מידע, שחזורו ואופן התמודדות עם אירוע אבטחה כמשמעותו בתקנה 12;

(10)  הוראות בדבר ביצוע ביקורות תקופתיות לשם הבטחת קיומם ותקינותם של אמצעי האבטחה לפי תקנות אלה;

(11)  הוראות בדבר חובת דיווח למנהל החברה על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם;

(12)  הוראות בדבר התקשרות לאספקת שירותים ומוצרים עם גורם חיצוני.

           (ד)  הממונה על הפרטיות ואבטחת המידע יעדכן את נוהל האבטחה מזמן לזמן, בהתאם לשינויים מהותיים במערכת סליקה פנסיונית מרכזית או תוצאות ביקורת תקופתית שנערכה לפי תקנה 15.

מיום 27.9.2012

ת"ט תשע"ג-2012

ק"ת תשע"ג מס' 7166 מיום 27.9.2012 עמ' 28

(ד) (ג) נוהל האבטחה יכלול, בין השאר, את כל אלה:

מיפוי וביצוע סקר סיכונים

5.       (א)  חברה תערוך רשימה, שבה יפורטו מכלול רכיבי מערכת סליקה פנסיונית מרכזית ומועד עדכונם (להלן – רשימת הרכיבים), ובכלל זה –

(1)   מערכות חומרה ורכיבי תקשורת, לרבות ציון מיקומם הפיזי;

(2)   מערכות התוכנה המשמשות להפעלת מערכת סליקה פנסיונית מרכזית, לניהולה, לתחזוקתה, לתמיכה בפעילותה, לבקרתה, לניטורה ולאבטחתה;

(3)   תוכנות וממשקים המשמשים לביצוע התקשרות אל מערכת סליקה פנסיונית מרכזית וממנה;

(4)   כל מידע או רכיב אחר הנדרש לשם הפעלת מערכת סליקה פנסיונית מרכזית או לשם גישה אליה.

           (ב)  מערכת סליקה פנסיונית מרכזית תתוכנן באופן שיפחית את סיכוני אבטחת המידע ולאחר שהחברה ערכה סקר השפעה על הפרטיות ואבטחת המידע.

           (ג)   חברה תערוך סקר לאיתור סיכוני אבטחת מידע לאחר סיום הקמתה של מערכת סליקה פנסיונית מרכזית ולפני תחילת הפעלתה באופן מלא או חלקי (להלן – סקר סיכונים); תוצאות סקר הסיכונים יועברו לממונה על הפרטיות ואבטחת המידע ולמנהל החברה, לבחינת הצורך בעדכון מדיניות אבטחת המידע או נוהל האבטחה ולתיקון ליקויים שהתגלו במסגרת הסקר, אם התגלו.

           (ד)  רשימת הרכיבים וסקר הסיכונים יעודכנו בתוך 18 חודשים מהמועד האחרון שבו עודכנה רשימת הרכיבים או מהמועד שבו עודכן סקר הסיכונים האחרון, לפי העניין, וכן לפני הטמעת שינויים משמעותיים במערכות הטכנולוגיות.

           (ה)  גורם מקצועי, בלתי תלוי וחיצוני לחברה יערוך את סקר הסיכונים.

           (ו)   מנהל החברה ידווח לממונה על ליקויים שנמצאו בסקר הסיכונים, ועל תכנית העבודה לתיקון הליקויים האמורים, בתוך 30 ימים מהמועד שבו הגיעו לידיו.

הגנת הפרטיות

6.       (א)  חברה תוודא כי כל עיבוד או שמירה ממוחשבת של מידע ייעשו באופן שאינו מאפשר למי שאינו מורשה גישה לאותו מידע לזהות את הלקוח שמידע על אודותיו עובר או שמור במערכת, בזמן העברתו במערכת או במועד שמירתו בה.

           (ב)  שמירה של מידע מזוהה או ניתן לזיהוי במערכת סליקה פנסיונית מרכזית ייעשה באופן מוצפן שאינו מאפשר זיהוי הלקוח; הממונה רשאי לקבוע ברישיון שניתן לחברה תחולה מדורגת להוראה זו אם הדבר נדרש לצורך בדיקת המערכת בעת תחילת עבודתה או בעת ביצוע שינויים טכנולוגיים.

אבטחה פיזית וסביבתית

7.       (א)  חברה תבטיח כי הרכיבים המפורטים ברשימת הרכיבים יישמרו במקום מוגן, המונע חדירה בלא הרשאה, בשים לב לאופי פעילות מערכת הסליקה הפנסיונית המרכזית ורגישות המידע.

           (ב)  חברה תנקוט אמצעים לבקרה על הגישה לאתרים שבהם מצויים רכיבים המפורטים ברשימת הרכיבים ולתיעוד גישות כאמור שבוצעו, לרבות הכנסה והוצאה של ציוד אל אתרים אלה ומהם.

אבטחת מידע בניהול כוח אדם

8.       (א)  קליטת עובדים תיעשה תוך נקיטת אמצעים סבירים למזעור החשש לשימוש לרעה במידע; אמצעים אלה יינקטו בשים לב להיקף הרשאות הגישה הניתנות למי שממלא את התפקידים שאליהם מיועדים עובדי החברה, כאמור בתקנה 9.

           (ב)  חברה תפעל להדרכת עובדיה לקיום חובות החברה וחובות עובדי החברה לפי תקנות אלה, בטרם יקבלו גישה למידע.

           (ג)   עובדי החברה יחתמו בטרם קבלת גישה למידע על התחייבות לשמור על סוגיות בנוגע למידע כאמור לפי סעיף 31טו לחוק, ועל התחייבות לקיים את החובות לפי תקנות אלה.

           (ד)  החברה תקיים באמצעות הממונה על הפרטיות ואבטחת המידע פעילות הדרכה תקופתית לעובדי החברה שהם מורשי גישה למידע, בדבר מדיניות אבטחת המידע, נוהל האבטחה והוראות אבטחת המידע לפי החוק ולפי תקנות אלה, בהיקף הנדרש לצורך ביצוע תפקידם, ובדבר חובות המוטלות עליהם; הדרכה כאמור תבוצע אחת לשנה לפחות, ולגבי עובד חברה חדש – סמוך ככל האפשר למועד תחילת העסקתו.

ניהול הרשאות גישה של עובדי החברה

9.       (א)  הרשאות גישה של עובדי החברה למערכת סליקה פנסיונית מרכזית למידע יהיו על בסיס הגדרת תפקיד; הרשאת גישה לכל תפקיד תהיה בהיקף ובמידה הנדרשים לביצועו בלבד.

           (ב)  החברה תנהל רישום מעודכן של עובדיה, תפקידיהם והרשאות הגישה שלהם.

זיהוי עובדים ואימות הרשאות

10.     (א)  מערכת סליקה פנסיונית מרכזית תאפשר גישה למידע לעובד החברה המורשה לכך, בלבד.

           (ב)  גישה של עובד חברה למידע תיעשה באמצעות התקן פיזי שנתון לשליטתו הבלעדית של העובד ואמצעים נוספים שעליהם תורה החברה.

           (ג)   החברה תדאג לביטול הרשאות של עובד שסיים את תפקידו בחברה, לשינוי ססמאות וקודי גישה למערכת סליקה פנסיונית מרכזית, שניתנו לו, ולהשבת כל המסמכים והציוד הנמצאים ברשותו, לרבות התקן פיזי, מיד עם סיום תפקידו של עובד החברה.

תיעוד גישה

11.     (א)  מערכת סליקה פנסיונית מרכזית תכלול מנדנון אוטומטי לתיעוד גישה וניסיונות גישה אל המערכת (בתקנה זו – מנגנון התיעוד), לרבות זהות מבצע הגישה או ניסיון הגישה, תאריך ושעה, רכיב המערכת נושא הגישה, סוג הגישה, היקפה, והאם אושרה או נדחתה; אם הגישה אושרה, יישמרו הנתונים המאפשרים זיהוי רכיב המערכת שאליו בוצעה הגישה.

           (ב)  מערכת סליקה פנסיונית מרכזית תמנע, ככל הניתן, אפשרות להפסקת פעילות מנגנון התיעוד או לצמצומה בניגוד למדיניות אבטחת המידע של החברה; על המערכת לאתר הפסקת פעילות מנגנון התיעוד או צמצומה ולהפיץ התראות לאחראים.

           (ג)   הממונה על הפרטיות ואבטחת המידע יבחן פעמיים בשבוע לפחות את הליקויים שאיתר מנגנון התיעוד ויערוך דוח של הליקויים שהתגלו והפעולות שננקטו בעקבותיהן.

           (ד)  נתוני הרישום של מנגנון התיעוד יישמרו למשך 24 חודשים לפחות.

           (ה)  החברה תיידע את עובדיה בדבר קיומו של מנגנון תיעוד.

תיעוד אירועי אבטחה

12.     (א)  על החברה לתעד אירוע המעלה חשש לזליגה של מידע, לפגיעה בשלמות המידע או לשימוש בו בלא הרשאה (להלן – אירוע אבטחה); תיעוד כאמור יבוצע, ככל האפשר, באמצעות רישום אוטומטי.

           (ב)  הממונה על הפרטיות ואבטחת המידע יגיש למנהל החברה דוח אחת לרבעון על אודות אירועי אבטחה; החברה תערוך דיון אחת לרבעון בדבר הצורך בעדכון מסמך הגדרות המערכת או נוהל האבטחה בעקבות אירועים אלה.

           (ג)   תיעדו אירועי אבטחה יכלול גם תיעוד שחזור מידע במקרה של אבדן או הרס לפי תקנה 16, ככל שנדרשו, ובכלל זה תיעוד זהותו של מי שביצע את הליכי השחזור, זהותו של מי שאישר את שחזור המידע ופרטי המידע ששוחזר.

ניהול והעברה של התקנים ניידים

13.     לא תתאפשר שמירת מידע על גבי התקנים ניידים, למעט שמירה לשם גיבוי המערכת.

אבטחת תקשורת וניהול מאובטח של מערכת סליקה פנסיונית מרכזית

14.     (א)  החברה תפריד את מערכת הסליקה הפנסיונית המרכזית ממערכות מחשוב אחרות המשמשות את החברה, באופן שימנע גישה בלא הרשאה למערכת הסליקה הפנסיונית המרכזית.

           (ב)  מערכת סליקה פנסיונית מרכזית לא תחובר לרשת האינטרנט או לרשת ציבורית אחרת בלא התקנת אמצעי הגנה סבירים מפני חדירה לא מורשית או מפני תוכנות המסוגלות לגרום נזק או שיבוש למחשב או לחומר מחשב.

           (ג)   העברת מידע ממערכת סליקה פנסיונית מרכזית באמצעות רשת תקשורת אלחוטית, רשת ציבורית, אינטרנט, או בכל אמצעי תקשורת אחר, תיעשה תוך שימוש באמצעי הצפנה מקובלים.

           (ד)  החברה תעדכן באופן שוטף מערכות ותוכנות המשמשות להפעלת מערכת הסליקה הפנסיונית המרכזית ובכלל זה מערכות אבטחת מידע, לרבות חומר מחשב הנדרש לפעולתן.

ביקורות תקופתיות

15.     (א)  החברה תערוך, אחת לשנתיים לפחות, ביקורת פנימית או חיצונית, שתוודא את עמידתה בתקנות אלה.

           (ב)  בדוח הביקורת שיבוצע לפי תקנת משנה (א) תפורט התאמת אמצעי האבטחה לנוהל האבטחה ולתקנות אלה, ליקויים ודרכים לתיקונם.

           (ג)   דוחות הביקורת יועברו למנהל החברה ולממונה על הפרטיות ואבטחת המידע, שיבחנו את הצורך בעדכון מסמך הגדרות המערכת או נוהל האבטחה בהתאם.

גיבוי, שחזור והמשכיות

16.     (א)  החברה תקבע –

(1)   נוהלי עבודה לביצוע גיבויים מדי שבוע, לכל הפחות, זולת אם לא בוצע עדכון המידע במהלך אותה תקופה;

(2)   נהלים להמשכיות הספקת השירות ורציפותו למקרה של אבדן או הרס המידע (להלן – נוהלי ההמשכיות).

           (ב)  החברה תבחן מדי שישה חודשים את הצורך בעדכון נוהלי גיבוי המידע ושחזורו, ואופן יישומם.

           (ג)   יישום נוהלי ההמשכיות טעון אישור של מנהל החברה או מי מטעמו.

           (ד)  החברה תשמור עותקים של המידע, ובכלל זה מידע לגבי אופן הגישה למערכת והפעלתה ונוהלי ההמשכיות, במיתקני החברה ומחוץ להם, ותשתמת באמצעים שיבטיחו את שלמות המידע ואת אפשרות שחזורו במקרה של אבדן או הרס.

חלק ב': הוראות כלליות לעניין זיהוי משתמשים ולקוחות

זיהוי משתמשים ולקוחות

17.     (א)  החברה תגדיר נהלים לחיבור משתמשים ולקוחות למערכת סליקה פנסיונית מרכזית, לרבות אמצעים לזיהוי משתמש או מי מטעמו.

           (ב)  זיהוי משתמש או עובד מטעמו במערכת סליקה פנסיונית מרכזית, לשם חיבור למערכת, ייעשה באמצעות אמצעי זיהוי חד-ערכי אישי של משתמש או עובד מטעמו ויכלול התקן פיזי שנתון לשליטתו הבלעדית של המשתמש או העובד מטעמו; ואולם רשאי הממונה להורות כי עובד מטעמו של משתמש לא יידרש להתחבר למערכת סליקה פנסיונית מרכזית באמצעות התקן פיזי אישי, ובלבד שהרשאת הגישה שלו למערכת ואמצעי ניטור ובקרה על שימוש כאמור, מקיימים את אלה:

(1)   הרשאת הגישה לשימוש במערכת מובססת על זיהוי חד-ערכי של העובד לפי מספר זיהוי ושם; הרשאת גישה כאמור תהיה בהיקף ובמידה הנדרשים לביצוע הפעולות שאותן רשאי עובד המנוי על אותו סוג עובדים לבצע בשם המשתמש;

(2)   המשתמש מיישם מערכת תיעוד גישה אוטומטית למערכת בדומה למנגנון התיעוד.

           (ג)   זיהוי לקוח במערכת סליקה פנסיונית מרכזית, לשם חיבור למערכת, ייעשה באמצעות אחד מאלה:

(1)   תעודה אלקטרונית לאימות;

(2)   אמצעי זיהוי חד-ערכי אישי אחר של הלקוח כפי שיורה הממונה.

           (ד)  נוהלי חיבור משתמשים ולקוחות למערכת סליקה פנסיונית מרכזית יוגשו לאישור הממונה טרם פרסומם או בטרם ביצוע שינויים בהם.

           (ה)  נוהלי חיבור משתמשים ולקוחות למערכת סליקה פנסיונית מרכזית יפורסמו לציבור באמצעות אתר אינטרנט או בכל אמצעי אחר שיאשר הממונה ויימסרו לכל מי שרשאי לבקש להתחבר למערכת.

בדיקת קיום ייפוי כוח

18.     (א)  מערכת סליקה פנסיונית מרכזית תטפל בבקשת בעל רישיון להעברת מידע על לקוחות לפי בקשתם מכלל הגופים המוסדיים לשם ייעוץ פנסיוני או שיווק פנסיוני רק אם הציג לפניה ייפוי כוח תקף לשימוש במערכת סליקה פנסיונית מרכזית התואם את הבקשה, לפי הוראות שייתן הממונה.

           (ב)  מערכת סליקה פנסיונית מרכזית תטפל בבקשת בעל רישיון לביצוע פעולה מרשימת הפעולות לפי בקשת לקוח, לראשונה, רק אם הציג לפניה ייפוי כוח תקף התואם את הבקשה; לעניין תקנת משנה זו העברת מידע לפי תקנת משנה (א) לא תיחשב ביצוע פעולה.

           (ג)   מערכת סליקה פנסיונית מרכזית תבדוק את אמיתות ייפוי הכוח במקרה של בקשה לקבלת מידע לפי תקנת משנה (א) באמצעות תעודה אלקטרונית לאימות, שתואמת את פרטי הלקוח הכלולים בייפוי כוח שהוצג לפני המערכת, או באמצעות אמצעי זיהוי חד-ערכי אחר של הלקוח, כפי שיורה הממונה.

חובות בקשר להעברת מידע

19.     העברת מידע ללקוח או למשתמש לפי תקנות אלה תיעשה תוך שימוש באמצעים סבירים שיבטיחו כי הגישה למידע והצפייה בו תתבצע בידי הלקוח או המשתמש שאליו מיועד המידע או לפי הרשאתו בלבד; לעניין תקנה זו יראו שימוש בצפנת המידע כאמצעי סביר.

ניהול הרשאות גישה של משתמשים ולקוחות

20.     (א)  הרשאות משתמשים לביצוע פעולות באמצעות מערכת סליקה פנסיונית מרכזית יהיו פרטניות לפי מספר זיהוי ושם, ולפי סוג המשתמש; הרשאת גישה לכל סוג משתמש תהיה בהיקף ובמידה הנדרשים לביצוע הפעולות שרשאי משתמש המנוי על אותו סוג משתמש לבצע באמצעות המערכת.

           (ב)  הרשאות לקוח לביצוע פעולות באמצעות מערכת סליקה פנסיונית מרכזית יינתנו ללקוח לפי מספר זיהוי ושם, בהיקף ובמידה הנדרשים לביצוע הפעולות שרשאי הלקוח לבצע באמצעות המערכת.

           (ג)   חברה תנהל רישום מעודכן של לקוחות ומשתמש במערכת סליקה פנסיונית מרכזית לפי סוג משתמש, שמו והרשאות הגישה שנקבעו לו, בעלי הרשאות מטעמו, מספר זיהוים ותפקידם אצל המשתמש.

           (ד)  הרשאות גישה לעובד של משתמש או ללקוח שפעל בניגוד להוראות אבטחת המידע של המערכת יותלו מיד עד לקבלת אישור הממונה על הפרטיות ואבטחת המידע.

חלק ג': הוראות לשמירת מידע

גישה למידע

21.     משתמש או לקוח יהיה רשאי לגשת למידע שנשלח אליו ממערכת סליקה פנסיונית מרכזית בתוך 7 ימי עסקים מהמועד שבו קיבל מהמערכת הודעה על הימצאות המידע במערכת.

תקופת ביקורת

22.     כל המידע המועבר באמצעות מערכת סליקה פנסיונית מרכזית יישמר למטרת ביקורת לתקופה של 30 ימי עסקים החל במועד שבו משתמש או לקוח קיבל את המידע המועבר לפי בקשתו (להלן – תקופת הביקורת), ויימחק בתום התקופה האמורה.

שמירת נתונים

23.     נתונים על אודות המידע ונתונים על כספים שהועברו במערכת סליקה פנסיונית מרכזית, יישמרו לתקופה של 7 שנים החל בתום תקופת הביקורת, ויימחקו בתום התקופה האמורה.

נתונים על אודות המידע

24.     נתונים על אודות המידע יכללו את הפרטים האלה:

(1)  פרטים על מועדי הבקשה ומסירתה;

(2)  זהות הלקוח שהבקשה נוגעת לו;

(3)  סוג הבקשה ומספר הזיהוי לביצועה;

(4)  סוג ההיזון החוזר שהועבר למבקש ומועד מסירתו;

(5)  זהות מבקש המידע ומקבל המידע;

(6)  זהות מוסרי המידע;

(7)  תחומי המידע שהועבר והיקפו;

(8)  זהות מבקש הבקשה לביצוע פעולה וזהות מקבל הבקשה.

נתונים על הכספים

25.     נתונים על כספים שהועברו יכללו את הפרטים האלה:

(1)  מועד הבקשה להעברת הכספים או הפקדתם;

(2)  המועדים שבהם עברו הכספים מחשבון לחשבון ממועד העברתם מחשבון המעביר עד השלמת העברתם;

(3)  זהות מעביר או מפקיד הכספים ומקבליו ופרטי חשבונות הבנק לחיוב ולזיכוי;

(4)  זהות הלקוח שלזכותו הועברו או הופקדו הכספים ופרטי חשבונו בקופת הגמל המזוכה;

(5)  סכומי הכספים שהועברו או הופקדו ורכיביהם וסוג המטבע שבו הועברו או הופקדו;

(6)  אופן ביצוע העברת הכספים או הפקדתם ומספר הזיהוי לביצוען;

(7)  סוג העברת הכספים או הפקדתם תוך ציון אם הועבר מידע אגב העברת הכספים או הפקדתם; העברת מידע כאמור תכלול גם את מספר הזיהוי לביצוע העברת המידע;

(8)  סוג ההיזון החוזר שהועבר למעביר הכספים או מפקידם ומועד מסירתו.

מחיקת מידע

26.     אמצעי אחסון המכיל מידע המיועד למחיקה יושמד באופן המונע גישה למידע הכלול בו; לעניין זה, "מחיקה" – השמדת המידע המאוחסן במדיה באמצעות נקיטת אמצעים המונעים את שחזורו בשלב מאוחר יותר.

חלק ד': חובות החלות על משתמשים

מינוי ממונה על הפרטיות ואבטחת מידע אצל משתמש

27.     משתמש שלו יותר מעשרה עובדים, שלהם גישה למידע, ימנה ממונה על הפרטיות ואבטחת המידע לעניין שימוש במערכת.

איש קשר

28.     משתמש ימנה איש קשר קבוע לשם טיפול בתקלות תקשורת במעבר המידע מהמשתמש למערכת סליקה פנסיונית מרכזית.

חלק ה': אופן הפקת פלט מהמערכת

פלט של מסמך השמור במערכת

29.     פלט שהופק ממערכת סליקה פנסיונית מרכזית שהוגש לבית המשפט בצירוף תצהיר או תעודת עובד ציבור המעידים כי המידע שבפלט נשמר במערכת והופק לפי תקנות אלה, חזקה שהוא מקיים את דרישות סעיף 36(א)(3) לפקודת הראיות [נוסח חדש], התשל"א-1971.

תיעדו של הליך המרה אמין במערכת סליקה פנסיונית מרכזית

30.     הליך המרת מסמך לחומר מחשב ייחשב אמין רק אם יתקיימו כל אלה:

(1)  הליך המרת המסמך אינו כרוך בשינוי תוכנו; לעניין זה, שינויים הנעשים לגבי אופן הצגת תוכן מסמך, כחלק מהליך המרה, לצורך שיפור הצגת התוכן בלבד, לא ייחשבו כמשני תוכן, ובלבד שנערך לגביהם תיעוד כמפורט בפסקה (2);

(2)  הליך ההמרה יתועד ויכלול את מועד ההמרה, זהות מבצע ההמרה, האמצעי ששימש להמרה ותצורת ההמרה; תיעוד תצורת ההמרה יכלול נתונים בדבר מערכת החומרה והתוכנה ששימשה להמרה, וכן פרטים בדבר אופן ההמרה ושינויים שנעשו, אם נעשו, לאופן הצגת התוכן;

(3)  בתום הליך ההמרה הוצמד לחומר המחשב אישור לגבי אופן הליך ההמרה כאמור בפסקה (2).

שימוש מסמך במערכת סליקה פנסיונית מרכזית

31.     (א)  שימור מסמך במערכת סליקה פנסיונית מרכזית ייעשה תוך נקיטת האמצעים הנדרשים כדי להבטיח כי תוכן המסמך נשמר בלא שינוי החל במועד עריכתו ובמשך כל תקופת השימור, בשים לב לשינויים טכנולוגיים או שינויים בשיטות הצפנה המשמשות לשימור המסמך; לעניין זה תיחשב חתימת מסמך בחתימה אלקטרונית מאובטחת או חתימה אלקטרונית מאושרת כהגדרתן בחוק חתימה אלקטרונית, התשס"א-2001, בסמוך להמרתו, אמצעי סביר להגנה מפני שינויים.

           (ב)  שימור מסמך לפי תקנת משנה (א) יתועד.

הפקת פלט

32.     חברה תנקוט את האמצעים הנדרשים כדי להבטיח כי פלט שיופק ממערכת סליקה פנסיונית מרכזית יהיה זהה בתוכנו למסמך המקור בכל עת שבה נדרשת הפקתו; נקיטת אמצעים כאמור תתועד במערכת.

זכות עיון

33.     (א)  חברה תאפשר למשתמש או ללקוח, לפי בקשתו בכתב, לקבל לידיו העתק מנתונים על אודות מידע או כספים, שהועברו במערכת סליקה פנסיונית מרכזית לגביו או לגבי לקוחו, ששמורים במערכת.

           (ב)  על החברה להשיב למשתמש או ללקוח, בכתב, בתוך 30 ימי עסקים מהיום שפנייתו התקבלה בחברה.

כ"ז בתמוז התשע"ב (17 ביולי 2012)                     יובל שטייניץ

                                                                                                   שר האוצר

הודעה למנויים על עריכה ושינויים במסמכי פסיקה, חקיקה ועוד באתר נבו - הקש כאן

 

 

הודעה למנויים על עריכה ושינויים במסמכי פסיקה, חקיקה ועוד באתר נבו - הקש כאן

 



* פורסמו ק"ת תשע"ב מס' 7157 מיום 21.8.2012 עמ' 1624.

ת"ט ק"ת תשע"ג מס' 7166 מיום 27.9.2012 עמ' 28.