פורום קידום אתרים
ZEFO Efficient SEO Platform - סט כלים מושלם למקדמי אתרים
+ הגב לאשכול זה
מציג תוצאות 1 עד 3 מתוך סך הכל של 3

אשכול: גניבת כ. אשראי - מייל שקיבלתי מהרשות למשפט, טכנולוגיה ומדע

  1. #1
    משתמש מתמיד asnafi אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Jun 2008
    הודעות
    171

    גניבת כ. אשראי - מייל שקיבלתי מהרשות למשפט, טכנולוגיה ומדע

    תאריך: 19 ינואר 2012 כ"ד טבת תשע"ב
    סימוכין: 015-99-2012-000463
    באמצעות: דואר אלקטרוני

    לכבוד
    **

    שלום רב,

    הנדון: הודעה ללקוחות חברת לוגייט על מעורבות החברה בפרשת גניבת פרטי כרטיסי אשראי

    1. הודעה זו נשלחת אליכם כלקוחות חברת לוגייט טכנולוגיות (להלן - לוגייט). לפי מידע שנמסר לנו ייתכן שאתם עושים שימוש בשירותי לוגייט לצורך הפעלת אתר אינטרנט שבו הנכם אוספים מידע אישי אודות לקוחותיכם, כגון מספר זהות, שם, כתובת, פרטי הזמנה ועוד.
    2. במסגרת חקירה המנוהלת על ידי הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים, הפועלת מכוח הוראות חוק הגנת הפרטיות, התשמ"א-1981 (להלן - החוק) בעקבות אירוע פרסום המידע האישי, לרבות נתוני כרטיסי אשראי, על ידי מי שהזדהו כהאקרים סעודיים באינטרנט, נמצא, כי לוגייט היא אחד הגורמים אשר נפרצו ונגנב מהם מידע אישי. כמו כן, נמצאו בלוגייט ליקויי אבטחת מידע משמעותיים.
    3. מטרת מכתב זה להתריע בפניכם כי אם הנכם אוספים מידע אישי במסגרת פעילותכם, עליכם לקיים את חובות בעל מאגר מידע מכוח חוק הגנת הפרטיות, הכוללות בסעיף 17 לחוק את האחריות לאבטחת המידע במאגר המידע.
    4. בעל מאגר מידע אחראי לאבטחת המידע גם כאשר הוא עושה שימוש במיקור חוץ, כגון לוגייט, ולעניין זה חלה הנחיית רשם מאגרי מידע מס' 2/2011 בנושא שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.
    5. לאור כל האמור לעיל, הנכם נדרשים באופן מידי לוודא קיום אבטחת מידע ראויה במידע אישי הנאסף ונשמר לצורך פעילותכם באמצעות לוגייט. בנספח מפורט מדריך כללי לנושא אבטחת מידע במאגרי מידע.
    6. מובן כי אין באמור כדי למצות את החובות החלים לפי החוק – אולם בנסיבות אירועי השבועות האחרונים – מצאנו לנכון להוציא הודעה זו.


    בכבוד רב,
    יורם הכהן
    ראש הרשות למשפט, טכנולוגיה ומידע
    נערך לאחרונה על ידי שילה, 19/01/2012 בשעה 19:39
    פורטל המתעסק בבניית והתאמת עיניים תותבות
    Anglebase - מערכת לגידול איכותי וחסכוני לירקות ופרחים

  2. #2
    משתמש מתמיד asnafi אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Jun 2008
    הודעות
    171
    המשך המייל:

    נספח – אבטחת מידע במאגרי מידע

    חובות החלים על מי שמעבד מידע - כללי
    בעלי עסקים וגורמים ממשלתיים (המכונים בחוק – "בעלי מאגרי מידע") אוספים ושומרים מידע אישי למטרות שונות: פרטי לקוח המבצע רכישה, פרטי גולש הנרשם כמנוי לשירות מסוים (ניוזלטר, בלוג, פורום, לוחות מודעות וכד'), פרטי גולש המבקש ליצור קשר עם האתר באמצעות טופס פניה ועוד.
    כאשר נשמר מידע אישי על אודות אדם, מדובר במאגר מידע, אשר על החזקתו וניהולו מוטלים מכוח החוק חובות שונים החלים על מי שאוסף את המידע, מאחסן, מעבד ומפיץ אותו.
    החוק מטיל חובות לגבי כל האמצעים ל"עיבוד ממוחשב" – החל בשרתים, לרבות שירותי "מחשוב ענן", מחשב אישי וכלה בטלפונים חכמים.
    אחת החובות החשובות של החוק, היא חובת אבטחת המידע המוגדרת בחוק "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין".
    חובה זו מוטלת על בעל המאגר (כלומר העסק עמו מתקשר הלקוח), באופן אישי היא מוטלת על מנהל המאגר (המוגדר בחוק המנהל הפעיל או מי שהמנהל הפעיל מינה), וכן על מי שנותן שירותים לעסק כגון שירותי מחשוב (המכונה בחוק "מחזיק").
    בשל הפרה של חובה זו יכול הרשם לנקוט בסנקציות שונות הכוללות גם איסור או הוראה להפסיק את הפעילות עד לתיקון הליקויים, ועשויה להיות בגינה גם אחריות אזרחית (כלפי הלקוחות), לפי סעיף 31ב לחוק.
    החובות בתחום אבטחת המידע - בקיצור
    בנוסף לחובה הכללית הקבועה בסעיף 17 לחוק, קובעת תקנה 3 לתקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים), התשמ"ו- 1986 הוראות מפורטות יותר בנושא זה. בנוסף, כאשר מדובר בחובות הקשורים בביצוע פעולות במיקור חוץ, כלומר רכישת שירותי מחשוב מגורם חיצוני שיש לו גישה למידע, פרסם הרשם את הנחיית רשם מאגרי מידע מס' 2/2011 בנושא שימוש בשירותי מיקור חוץ (outsourcing) לעיבוד מידע אישי.
    הרשות למשפט טכנולוגיה ומידע (רמו"ט) מצויה בהליך עדכון של התקנות האמורות.

    אבטחת מידע במאגרי מידע
    להלן מפורטים עיקרי הנושאים שעל בעל עסק לתת את הדעת ביחס אליהם בתחום אבטחת המידע, לשם מימוש החובה לאבטחת מידע ולשם צמצום ומניעת גניבת המידע האישי. עסק אחראי נדרש לבחון את המידע שהוא אוסף, את האופן שבו הוא שומר את המידע, את הסיכונים לפרטיות שנוצרים כתוצאה מכך, ואת אופן ההתמודדות שלו עם סיכונים אלה. מבלי כמובן למצות את הכל, זו התורה כולה על רגל אחת. להלן יתוארו גם נושאי משנה שיש לתת עליהם את הדעת.
    מובן כי האמור אינו סיכום או תמצות מלא של התקנות, וכמובן אינו תחליף, במידת הצורך, בייעוץ מקצועי של איש אבטחה או יועץ משפטי. רמו"ט מזמינה פונים לפנות אליה בשאלות קונקרטיות.
    · מיפוי המידע האישי שנאסף ונשמר – על עסק לאסוף ולשמור אך ורק מידע אישי שדרוש למתן השירות. זכרו: מידע שאינו נשמר לא יכול להיגנב. ככל שנשמר מידע שלא לצורך, יש למחוק אותו או להעביר אותו למיקום בו יכולת הפריצה או הגישה אליו מוגבלת עד כדי בלתי אפשרית.
    · אופן איסוף המידע האישי ברשת האינטרנט – בעת איסוף המידע יש ליישם מנגנוני אבטחה המונעים גניבת הנתונים בדרך של "האזנה" או "יירוט". ככל שהמידע האישי הנאסף רגיש יותר, יש ליישם בעת איסוף המידע מנגנוני אבטחת מחמירים יותר.
    · מיפוי סיכונים במאגר – על עסק למפות מדי שנה את רכיבי מערכות המידע שלו, כדי שניתן יהיה להגן עליהם בצורה יעילה בעזרת אמצעי אבטחה מתאימים. לצורך כך, יש לערוך רשימה מסודרת של רכיבי החומרה ורכיבי התוכנה בהם מבוצע שימוש לצורך עיבוד מידע. רשימה זו מעניקה לאחראי על האבטחה נקודת מבט מקיפה, המאפשרת זיהוי נקודות תורפה וסיכונים ונקיטת אמצעי אבטחה הולמים לטיפול בהם. כמו כן, מומלץ לבצע "סקר סיכונים" הנערך בידי בעל מקצוע בעל הכשרה מתאימה בתחום אבטחת המידע, במטרה לזהות ולדרג את רמת הסיכון הקיימת בכל אחת ממערכות המחשוב שבמאגר המידע.
    · הגנה על המידע האישי – יש להגן על המידע השמור בהתאם למידת הסיכון לפריצה וגניבתו. לעניין זה יש להקפיד הן על אבטחת מידע לוגית והן אבטחת מידע פיזית.
    · ניהול מאובטח של מערכות המאגר - ניהול ותפעול תקין של מערכות מידע מחייב בדיקה כי המערכות מופעלות בהתאם להנחיות היצרן ומעודכנות מעת לעת בעדכוני אבטחה ועדכונים אחרים הקשורים בכך.
    · אבטחת מידע פיסית – שמירה על המיקום הפיסי בו נמצא המידע באמצעות כספת, שומר, הגבלת גישה למורשים בלבד וכד'.
    · אבטחת מידע לוגית - יש להפריד, בהיקף ובמידה הסבירים והאפשריים, בין מערכות המאגר אשר ניתן לגשת מהן למידע, לבין מערכות מחשוב אחרות. זאת, על מנת למנוע קישוריות בלתי רצויה אל מחשבים או מערכות אשר לא נזקקים להשתמש במאגר המידע ויוצרים סיכון לכניסה לא מורשית למידע באמצעות האינטרנט.
    · אבטחת תקשורת ברשת האינטרנט – חיבור לאינטרנט מעצים סכנות כגון וירוסים, חדירה למחשבים וגניבת מידע ומקשה על ביצוע בקרת גישה. אי לכך, אין לחבר את מערכות המאגר לאינטרנט ללא התקנת אמצעי הגנה מתאימים להתמודדות עם ניסיונות חדירה לא מורשית או שימוש בתוכנות המסוגלות לגרום נזק או שיבוש למחשב ולמידע. ניתן ליישם מגוון רחב של מנגנוני אבטחה אשר יגנו על הנתונים, בהם חומת אש (Firewall), תוכנות אנטי וירוס, מערכות איתור ומניעת חדירות (IPS/IDS), הצפנת הנתונים הנשמרים ועוד.
    במידה שניתן לגשת למאגר מרחוק באמצעות האינטרנט, יש לזהות את המתקשר ואת הרשאת הגישה שלו לביצוע פעולות במאגר.
    · ניהול הרשאות גישה למידע האישי – יש לוודא כי גישה למידע האישי ניתנת אך ורק לגורמים אשר קיים צורך לאפשר את גישתם למידע בהתאם להגדרת תפקידם, שכן כל הרשאת גישה מהווה פרצה פוטנציאלית שגורם אחר יכול לנצל. אם עובד לא צריך גישה למידע מסוים לצורך עבודתו, אזי אין לאפשר לו גישה לאותו מידע. כמו כן, בעת מתן הרשאת גישה יש לוודא כי הגישה מתבצעת בצורה מאובטחת, תוך טיפול בסיכוני החדירה העלולים להיווצר על ידי הרשאת הגישה. לעניין זה יש למנוע יכולת של גורם חיצוני להעתיק אליו מידע ולחייב שימוש בסיסמא אישית וייחודית המזהה את העובד ומאפשרת לו גישה למידע בהתאם לרמת ההרשאה שנקבעה לו מראש. כמו כן, ניתן ליישם אמצעי אבטחה כגון VPN, חתימה אלקטרונית, טוקן, תווך מוצפן וכד'.
    · שימוש במיקור חוץ – העסק אחראי לאבטחת מאגר המידע והגנה על פרטיות המידע גם כאשר השימוש בו מתבצע על ידי גורם חיצוני המחזיק במאגר. מאחר שפעולת מיקור חוץ יוצרת סיכונים מיוחדים, על העסק להגדיר את דרישות האבטחה בעת ביצוע פעולת מיקור החוץ, כחלק בלתי נפרד מהגדרת שירות מיקור החוץ עצמו. להרחבה ראו הנחיית הרשם.
    · בקרה וביקורת– לאור איומי האבטחה ההולכים ומתחדשים באינטרנט בכל עת, יש לבצע עדכון וניטור שוטף של מערכות ההגנה. יש לבצע מעקב תדיר על מערכת אתר האינטרנט על מנת לזהות ניסיונות פריצה, פעילות חשודה וכד'. לצורך כך יש לתעד את הכניסות למערכת, את ניסיונות הכניסה למערכת ואת הפעולות שבוצעו לאחר הכניסה למערכת. רצוי כי מנגנון זה יהיה עצמאי, יפעל באופן רציף וללא אפשרות התערבות חיצונית. כמו כן, יש לקבוע נוהל בדיקה שגרתי ולערוך דו"ח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן. יצוין כי יש לידע את העובדים בדבר קיום תיעוד של פעולות הגישה שלהם למערכת.
    · מעקב אחר פרסומים בתחום – יכולות ושיטות הפריצה וגניבת המידע הולכות ומשתכללות מרגע לרגע, לכן יש לעקוב אחר פרסומים העוסקים באבטחת מידע על מנת להכיר סיכונים חדשים מוקדם ככל האפשר וליישם את מנגנוני וכלי אבטחת המידע המתאימים להתמודדות עימם.
    לפירוט נוסף באשר לניהול אבטחת מידע ראוי, ניתן להיעזר בנוסח נייר עמדה בנושא תקנות אבטחת מידע להגנה על פרטיות.
    כמו כן, מומלץ להירשם לרשימת התפוצה של הרשות למשפט, טכנולוגיה ומידע לקבלת עדכונים על אירועים, הנחיות, מסמכים להערות הציבור ומידע שמפרסמת הרשות.
    לפירוט החובות החלים מכוח חוק הגנת הפרטיות: http://www.justice.gov.il/MOJHeb/ILITA/HaganatHapratiyut/MeidaMerashamDB/HovotBaalMaagarMeyda.htm
    הנחיות רשם מאגרי מידע מתפרסמות בכתובת: http://www.justice.gov.il/MOJHeb/ILITA/Hanchayot/HanchayotDB/HanhayotDB.htm
    להמלצות רמו"ט לתיקון התקנות, ראו בכתובת: http://www.justice.gov.il/MOJHeb/ILITA/Pirsumim/docsforcomments/niyar+emda+takanot+avtachat+meida+lepratiyut.htm
    הנחיות רשם מאגרי מידע מתפרסמות בכתובת: http://www.justice.gov.il/MOJHeb/ILITA/Hanchayot/HanchayotDB/HanhayotDB.htm
    בכתובת: http://www.justice.gov.il/MOJHeb/ILITA/Pirsumim/docsforcomments/niyar+emda+takanot+avtachat+meida+lepratiyut.htm
    בכתובת: http://www.justice.gov.il/MOJHeb/ILITA/Pirsumim/distributionlist
    נערך לאחרונה על ידי שילה, 19/01/2012 בשעה 19:39

  3. #3
    משתמש מתמיד asnafi אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Jun 2008
    הודעות
    171
    תגובת חברת לוגייט:

    ** שלום רב,
    בהמשך להודעת הדואר האלקטרוני שהרשות למשפט, טכנולוגיה ומידע (רמו"ט) שלחה ללקוחות לוגייט, אנו מבקשים להעמיד דברים על דיוקם –
    כפי שהתפרסם בהרחבה בכלי התקשורת, בתחילת השבוע תקף ה"האקר הסעודי" אתרי אינטרנט בישראל. במסגרת זאת, הוא פרץ גם לאתרים בודדים המאוחסנים בשרתי חברת לוגייט. מדובר באתרים שבסיס הנתונים שלהם כלל מידע אודות כרטיסי אשראי. אין המדובר באתרים אינפורמטיביים, תדמיתיים ואחרים.
    בעלי האתרים שנפרצו ערים למעשה. אין לנו כל יסוד להניח שנפרצו אתרים נוספים בשרתינו. במלים אחרות, אם לא קיבלתם הודעה בדבר פריצה לאתרי האינטרנט שלכם – אין בידנו (ולמיטב ידיעתנו גם לא בידי רמו"ט או בידי גורם אחר בישראל) מידע שהם נפרצו.
    לוגייט מחוייבת ללקוחותיה ולשירות איכותי ובטוח: מאז התגלה דבר הפריצה אנו עושים, תחת פיקוח רמו"ט והנחייתה, את הדרוש כדי שמקרים כאלה לא יישנו. בכלל זה, שכרנו את שירותי אחת מחברות אבטחת המידע המובילות בישראל BugSec שהחלה לבצע בדיקות עומק ולגבש את המלצותיה. בנוסף, מהיוודע הפריצה נחסמה אפשרות קבלת פרטי אשראי דרך אתרי האינטרנט שנפרצו ובהתאם להוראות חברות האשראי הועברה הסליקה להתבצע בתקן המחמיר PCI: DSS Level 1
    כל זה אינו בא למעט מהוראות החוק החלות על בעלי מאגרי המידע בעצמם. רמו"ט רעננה בהודעתה דינים שנוהגים בישראל זה שנים ארוכות ואין בהם כשלעצמם חדש. טוב יעשה כל בעל אתר אם יבחן באופן עצמאי את תחולת ההוראות עליו ואת הצעדים שהוא נוקט לאבטח את המידע באתרו.
    אנו עומדים לרשותכם לצורך כל הבהרה, אם נדרשת.

    בברכה,
    לוגייט טכנולוגיות
    1-599-555-150
    08-8666284
    http://www.logate.co.il
    support@logate.co.il

+ הגב לאשכול זה

חוקי משלוח הודעות

  • אין באפשרותך לפתוח נושאים חדשים
  • אין באפשרותך להגיב להודעה
  • אין באפשרותך לצרף קבצים
  • אין באפשרותך לערוך את ההודעות שלך