נספח אבטחת מידע לשירותים מנוהלים
תוספת זו מהווה חלק בלתי נפרד מנספח השירות המסופק על ידי הספק תחת הסכם ההתקשרות עם הלקוח.
תוספת זו מרכזת את חובות הצדדים בקשר האמצעים והבקרות שעל הצדדים ליישם.
אחריות הספק לאבטחת מידע
- הספק בעל הסמכה ותקן אבטחה ISO 27001 בתוקף.
- הספק מינה ממונה אבטחת מידע מטעם החברה.
- מובהר ומוסכם בזאת כי הספק אינו מספק ללקוח שירותי ניהול אבטחת מידע ברמת CISO ואינו משמש כממונה אבטחת מידע או ממונה על הגנת הפרטיות של הלקוח או מטעמו, ואינו נושא באחריות לקביעת מדיניות אבטחת מידע, ניהול סיכונים, קבלת החלטות רגולטוריות או פיקוח כולל על עמידת הלקוח בהוראות הדין, אלא אם הוסכם אחרת במפורש ובכתב בין הצדדים.
- הספק מחזיק רשימה עדכנית של עובדים בעלי גישה למידע אישי של הלקוח והוא החתים עובדים אלו על התחייבות לסודיות ושמירה על הפרטיות בכל הנוגע למידע אישי.
- הספק מקיים באופן עתי הדרכות ביחס לדין החל על מידע אישי, לבעלי הרשאות גישה למידע אישי בטרם יקבלו גישה למידע או לפני שינוי היקף הרשאותיהם, לרבות בקשר עם עבודה מרחוק.
- מתחם הספק מאובטח באופן שוטף על ידי חברת אבטחה. בבניין בו מתחם הספק מוצב שומר בכניסה לבניין. לבניין מצלמות אבטחה (CCTV) לבחינת היבטי אבטחת ושמירה.
- הספק מקפיד על ניהול ותפעול תקין של המערכות דרכן הספק נותן את השירות, לפי המקובל בהפעלת מערכות מסוגן ודואג לעריכת עדכונים שוטפים (updates and upgrades) של המערכות דרכן הספק נותן את השירות ללקוח.
- הספק מיישם אמצעי אבטחה במטרה למנוע חדירה מכוונת או מקרית למערכות המידע, התשתית והתקשורת שלו, לפי הסטנדרטים המקובלים בתחום.
- עובדי הספק מתחברים בחיבור מרחוק לסביבת מערכות המידע של הספק באמצעות חיבור מאובטח VPN מוגן בסיסמה חזקה, בכלל זה במנגנון רב-שלבי (MFA). הספק מפעיל כלים להגנת שירותי הדואר האלקטרוני שלו.
- הספק קובע כללים למתן, עדכון והסרת הרשאות למורשי הגישה הרלוונטיים כלפי רכיבים שונים במערכות המידע של הספק. כללים אלה מביאים בחשבון את המידע האישי שצריך להיות נגיש למורשה הגישה לצורך מילוי תפקידו, את רמות הסיכון הנגזרות מתחום האחריות של כל מורשה גישה, סמכותו ההיררכית ורגישות המידע האישי של הספק. הספק שומר תיעוד הנוגע לגישה של עובדים ומורשי גישה מטעמו למערכת הספק באופן שוטף.
- בהתאם לנוהל אבטחת המידע של הספק, הספק מנהל רישום, מתעד אירועי אבטחה במערכות הספק וידווח ללקוח על אירועי אבטחה הנוגעים ללקוח.
- הספק אוכף במערכותיו מדיניות ניהול סיסמאות, לפי הסטנדרטים המקובלים בתחום.
- בהתאם לרמת האבטחה של מאגרי המידע שבשליטת הספק, מבלי לפגוע בכלליות האמור לעיל, הספק מנהל מנגנון תיעוד אוטומטי המאפשר בקרה וביקורת על מערכות שניגשות למידע של הספק ושומר את הנתונים כנדרש.
- הספק מבצע גיבויים מאובטחים של מערכותיו, בהתאם לנהלי הספק.
- הספק מבצע באופן עתי, בקשר עם מערכותיו הקשורות בשירות, סקרי סיכונים ומבדקי חדירות, כנדרש.
- ככל שהספק יזהה צורך בביצוע פעולות החורגות מתכולת השירותים כקבוע בהסכם בקשר עם תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ו/או יידרש שיתוף פעולה או מעורבות מצד הלקוח, הספק יציף זאת בפני הלקוח תוך זמן סביר. הלקוח יהיה אחראי למסירת הנחיות מתאימות ולאישור המשאבים הנדרשים לביצוע, ככל שיידרש. יובהר כי הספק הינו גורם מייעץ בלבד בקשר עם תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ואחריות הספק מוגבלת לתכולת השירותים כקבוע בהסכם בין הצדדים בלבד. יובהר כי אין באמור לעיל, כדי לגרוע מאחריותו הבלעדית של הלקוח לפעול בהתאם להוראות כל דין לרבות הוראות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ולוודא עמידתו בהן במלואן.
אחריות הלקוח לאבטחת מידע
- בהתאם לדרישות הדין, הלקוח ימנה ממונה אבטחת מידע מטעמו.
- הלקוח מצהיר ומתחייב כי הוא פועל על פי דין וכי יש בידיו את כל ההיתרים, הרישיונות וההסכמות הנדרשים על פי דין על מנת לאפשר לספק לספק את השירות בהתאם להסכם.
- מובהר ומוסכם בזאת כי הלקוח נושא באחריות כוללת לאבטחת מידע במערכותיו כנדרש, לרבות מינוי ממונה אבטחת מידע עבורו ומטעמו, קביעת מדיניות אבטחת מידע, ניהול סיכונים, פיקוח כולל על עמידתו בהוראות הדין והעמדת משאבים הנוגעים לאבטחת המידע, ככל שיידרשו.
- הלקוח מחליט ומנחה את הספק לעניין התקנה והטמעת אמצעי האבטחה שמטרתם למנוע חדירה מכוונת או מקרית למערכות המידע, התשתית והתקשורת שלו, לפי הסטנדרטים המקובלים בתחום. הספק אחראי ליישום אמצעי האבטחה, לפי הנחיית הלקוח.
- עובדי הלקוח, מתחברים בחיבור מרחוק לסביבת מערכות המידע של הלקוח באמצעות חיבור מאובטח VPN מוגן בסיסמה חזקה, בכלל זה במנגנון רב-שלבי (MFA).
- הלקוח קובע כללים למתן, עדכון והסרת הרשאות למורשי הגישה הרלוונטיים כלפי רכיבים שונים במערכות המידע שלו. כללים אלה מביאים בחשבון את המידע האישי שצריך להיות נגיש למורשה הגישה לצורך מילוי תפקידו, את רמות הסיכון הנגזרות מתחום האחריות של כל מורשה גישה, סמכותו ההיררכית ורגישות המידע האישי של הלקוח. הלקוח שומר תיעוד הנוגע לגישה של עובדים ומורשי גישה מטעמו למערכות הלקוח באופן שוטף.
- הלקוח מכתיב במערכותיו מדיניות ניהול סיסמאות, לפי הסטנדרטים המקובלים בתחום.
- בהתאם לרמת האבטחה של מאגרי המידע של הלקוח, מבלי לפגוע בכלליות האמור לעיל, הלקוח מנהל מנגנון תיעוד אוטומטי המאפשר בקרה וביקורת על מערכות שניגשות למידע של הלקוח ושומר את הנתונים כנדרש.
- הלקוח מכתיב מדיניות גיבויים מאובטחים של מערכותיו, כנדרש.
- הלקוח מבצע באופן עתי, בקשר עם מערכותיו הקשורות בשירות, סקרי סיכונים ומבדקי חדירות, כנדרש.
