סגור
Dun's 100

בעלי עסקים, מוכנים לחודש הקניות? גם ההאקרים. כך תגנו על אתר הקניות שלכם מפני פריצות סייבר

בעלי עסקים מחכים כל השנה לחודש נובמבר, אך בשונה משנים קודמות, מעבר למבצעים והלקוחות, עליהם להיות עירניים לאפשרות של מתקפות/פריצות סייבר שעלולות להשאיר אותם עם נזקים כבדים ואת הצרכנים- כשפרטיהם נחשפו ברשת. למה לשים לב וממה צריך להיזהר?

בתקופה האחרונה ליווינו מספר בעלי עסקים, אשר אתרי האינטרנט אותם הם מפעילים, נחשפו לאירועי אבטחת מידע. כאמור מדובר בעסקים, שפרטים רגישים, אודות משתמשים מתוך האתר שלהם, דלפו או פורסמו באופן נגיש ברשת, או שבאתריהם זוהו פרצות אבטחה.
כידוע, כל ארגון ובפרט כזה הפועל ברשת האינטרנט, חשוף למתקפות סייבר ואירועי אבטחת מידע. בעקבות ריבוי אירועים כאלו שאנו שומעים בתקשורת חדשות לבקרים, על הארגון לדעת כי בקרות אירוע אבטחה, מלבד החשיפה לאחריות פלילית ו/או נזיקית לארגון ו/או לבעלי תפקידים בו, האמור מחייב דיווח לרשות להגנת הפרטיות והיא מוסמכת, בין היתר, להורות לארגון לפרסם פרטים אודות האירוע ואף להודיע עליו באופן אישי ללקוחות הארגון שפרטיהם דלפו או שיש חשש לגבי דליפתם. לפיכך, אירוע אבטחה עלול לגרום גם לפגיעה במוניטין ובאמון הלקוחות של הארגון וכתוצאה מכך לנזקים כלכליים, ולנזקים נוספים הנובעים מכך. מעבר לכך, לרשות סמכויות נרחבות בתחומי הפיקוח, החקירה, האכיפה והענישה. סמכויות, אותן הרשות מממשת ביתר שאת בשנים האחרונות בקרב מגזרים רבים במשק הישראלי הן במסגרת פיקוחי רוחב אקראיים והן עקב אירועי אבטחה כאמור.
לרגל חודש נובמבר, הידוע כחודש הקניות העולמי, ריכזנו עבורכם רשימת המלצות מתוך הדין הישראלי בתחום הגנת הפרטיות, אשר עשויות לצמצם את החשיפות שתוארו לעיל. את ההמלצות להלן מוצע ליישם בקשר עם הפעלת אתרים, אפליקציות ואמצעים דיגיטליים נוספים, במסגרתם נאסף מידע אודות לקוחותיכם או אשר באמצעותם ניתן לבצע רכישות.
1. אבטחת מידע באתר ובארגון – תחילה חשוב לוודא שהאתר בו אתם משתמשים מאובטח ומוגן מפני פריצות וכי נעשה שימוש באמצעי אבטחה מתקדמים. בידקו כי מאגרי המידע בהם מעובד מידע המגיע מהאתר, מאובטחים ומוסדרים בהתאם לדרישות חוק הגנת הפרטיות.
2. יידוע, שקיפות ובהירות – ודאו כי באתרכם מוטמעים מסמכים משפטיים, כגון: מדיניות פרטיות, תנאי שימוש ומדיניות קוקיז (ככל שנעשה שימוש בכלי זה). כאלו שכתובים בשפה פשוטה ובהירה ומספקים מידע מפורט ביחס לנעשה עם המידע שנאסף, לזכויות לקוחותיכם(אודותם נאסף המידע), לגורמים אליהם מועבר המידע והסיבות להעברה ועוד.
3. מינימליזם – יש לשים לב כי אתם אוספים רק את הנתונים הדרושים לכם לצורך מתן השירותים המוצעים באתר וכי לא נאסף מידע "עודף".
4. חינוך לפרטיות בתוך הארגון– יש לוודא כי עובדי הארגון מודעים לחשיבות ההגנה והאבטחה של המידע בארגון בין שלהם ובין של לקוחותיכם. זאת, בין היתר, באמצעות ביצוע הדרכות ובקרות שוטפות, פרסום ואכיפת נהלי אבטחה.
1 צפייה בגלריה
עו"ד גפנית לגזיאל שבבו
עו"ד גפנית לגזיאל שבבו
עו"ד גפנית לגזיאל שבבו
(צילום: יח"צ)
5. העברה לצדדים שלישיים – ודאו כי ספקי שירותי אחסון הענן/ ניהול אתר/ סליקה וכן גורמים נוספים המקבלים גישה למידע שנאסף מלקוחותיכם– מאבטחים ושומרים על המידע כראוי ועושים שימוש במידע רק לצורך המטרה שלשמה נמסר המידע מלכתחילה. העברת מידע לצד שלישי, טומנת בחובה סיכונים לפרטיות לקוחותיכם. לפיכך, באחריותכם להסדיר במסגרת הסכם מפורט עם הצד השלישי, את מטרות העברת המידע, השימוש שרשאי לעשות, משך הזמן שבמסגרתו יהא רשאי להשתמש ולשמור את המידע, אמצעי אבטחת המידע שעליו לנקוט בקשר עם המידע ועוד.
לסיכום, הסדרת היבטי הפרטיות בארגון ובאתרים שהוא מפעיל הכרחית לצורך הגנה ושמירה על הארגון ולקוחותיו. לצד זאת, יש לזכור כי ארגון המוכר מוצרים ושירותים לקהל הרחב, נדרש להסדיר פעילותו בתחומים נוספים כגון צרכנות, נגישות ועוד.
ובנימה אישית, אם יש ספק אין ספק, חשוב לזכור שהרשת הינה קרקע פורייה למעשי נוכלות וניסיונות גניבה בכל ימות השנה, אולם בימי הקניות המרוכזים – בפרט ולכן מומלץ להסדיר את הגנת הפרטיות בארגון מבעוד מועד, בבחינת "רפואה מונעת".
*מובהר כי האמור במסמך זה הינו סקירה כללית ואין בו כדי להוות חוות דעת משפטית ו/או תחליף לקבלת ייעוץ משפטי פרטני.
מאת עו"ד גפנית לגזיאל שבבו, שותפה במשרד עורכי דין, מ. פירון ושות' וראש תחום הגנת הפרטיות.
d&b – לדעת להחליט