להלן מסמך מדיניות אחוד המרכז את כל החובות של החברה לפי תקנות הגנת הפרטיות (אבטחת מידע), מותאם למאגר ברמת אבטחה בסיסית ולפעילות כספקית אחסון אתרים.
המסמך חל על מאגר הלקוחות של החברה (אפ אחסון ואתרים בע״מ חפ 513570002) ועל פעילות החברה כגורם מחזיק מידע במסגרת שירותי אחסון אתרים בחוות השרתים של בזק בינלאומי בפתח־תקווה.
בהתבסס על תיאור המידע וההיקפים, המאגר מסווג ברמת אבטחה בסיסית; החברה איננה גוף ציבורי, מספר נושאי המידע נמוך מהקבוע בחוק לדיווח בפנקס, אין מידע רגיש, ויש מורשה גישה אחד בלבד.
ההנהלה מאשרת מדיניות זו ומקצה משאבים ליישומה, לרבות זמן, כלים וגורמים מקצועיים.
אין חובה למנות ממונה על אבטחת מידע סטטוטורי, אך החברה ממנה רפרנט אבטחת מידע פנימי הכפוף ישירות להנהלה לצורך יישום המדיניות ובקרה.
החברה מחזיקה מסמך הגדרות מאגר הכולל: תיאור איסוף ושימוש במידע, מטרות העיבוד, סוגי המידע, העברות לחו״ל (אין בשלב זה), עיבוד בידי מחזיק/קבלני משנה, סיכוני אבטחת מידע עיקריים ואמצעי המענה, ושמות מנהל המאגר/מחזיק/רפרנט אבטחה.
המסמך יעודכן לכל הפחות אחת לשנה או עם שינוי מהותי במערכות/תהליכים/ארגון או במקרה אירוע אבטחה; אחת לשנה תבוצע בחינה שאין החזקה של מידע מעבר לנדרש למטרות.
נקבע נוהל אבטחה ארגוני המחייב את בעלי ההרשאה לפי עקרון “מידע לפי צורך”, הכולל: אבטחה פיזית‑סביבתית, הרשאות גישה, אמצעי הגנה טכניים, הנחיות למורשי גישה, רישום והערכת סיכונים, ונוהל תגובה לאירועים.
הנוהל יישמר כך שרק פרטים נחוצים יימסרו לבעלי ההרשאה, וייבחן לעדכון אחת לשנה או בעת שינויים מהותיים או סיכונים טכנולוגיים חדשים.
תישמר רשימת מצאי ותרשים רשת מעודכנים: תשתיות וחומרה, רכיבי תקשורת ואבטחת מידע, מערכות תוכנה תפעוליות וניהוליות, ממשקים פנימה/החוצה ומיקומים פיזיים, עם תאריך עדכון אחרון.
פרטים מרשימת המצאי יימסרו לבעלי הרשאה רק בהיקף הנדרש; ניתן לרכז במסמך אחד את כלל המאגרים ברמת האבטחה הבסיסית.
תשתיות ומערכות המאגר יופרדו פיזית/לוגית וישוכנו במקום מוגן המונע כניסה ללא הרשאה, לרבות בקרת כניסה, מצלמות, וניהול מבקרים בהתאם ליכולות ולבקרות של חוות השרתים.
החברה תבטיח בהסכמי השירות עם ספק החווה כי קיימות בקרות פיזיות וסביבתיות מתאימות ותבקש ראיות סבירות לכך.
לפני מתן הרשאה יבוצעו בדיקות התאמה סבירות לפי התפקיד, וייחתם סודיות ושמירת חוק ונהלים.
תינתן הדרכה תקופתית למורשי גישה על חובות לפי החוק, הנוהל הארגוני, זיהוי פישינג, טיפול בסיסמאות והגנה על מידע.
החברה מנהלת רשימת הרשאות תקפה לפי תפקיד ועקרון Least Privilege, עם תהליך מסודר להענקה, שינוי וביטול הרשאות, ובקרה על גישות חריגות.
יונהגו מנגנוני אימות זהות מתאימים, נעילת מסכים וניתוק באי‑פעילות, מדיניות סיסמאות חזקה והחלפת סודות אימות בעת שינוי תפקיד או חשש לחשיפה; מומלץ להפעיל אימות רב‑שלבי היכן שניתן.
כל אירוע המעלה חשש לפגיעה בשלמות המידע, שימוש בו ללא הרשאה או חריגה מהרשאה יתועד באופן ממוכן ככל האפשר, כולל עיתוי, מערכת, משתמש ופעולות מענה.
בנוהל נקבעים צעדים מיידיים: הכלה, ביטול הרשאות, שחזור, חקירה פנימית, והודעה לגורמים הרלוונטיים בהנהלה; תישמר ספרור דרגות חומרה והסקת לקחים.
שימוש בהתקנים ניידים הנשלטים ארגונית בלבד, עם הצפנה, סיסמה והפרדה בין נתונים ארגוניים לאישיים; איסור העתקת מידע למכשירים שאינם מנוהלים.
ינוהלו תצורות מאובטחות, הקשחות, עדכוני אבטחה סדירים, סגמנטציית רשת בסיסית, אנטי‑מל/EDR בעמדות, וחסימת שירותים לא נדרשים.
נתוני תיעוד תפעוליים המחויבים לפי התקנות יישמרו באופן מאובטח למשך 24 חודשים לפחות, נגישים לצורכי בקרה וחקירה.
יוגדרו אחסון, שלמות, הגנת גישה ומדיניות מחיקה בתום התקופה, בכפוף לחובות דין אחרות.
כאשר החברה היא בעל המאגר ונעזרת במחזיק/קבלן משנה, ההסכם יכלול: מטרות ושירותים, היקף הגישה, אמצעי אבטחה מחויבים, ועמידה בכללי סודיות, שימוש מוגבל למטרה, דיווח אירועים, תתי‑קבלנים באישור והחזרה/מחיקה בסיום.
כאשר החברה פועלת כ“מחזיק” עבור לקוחות האחסון, תיושמנה אותן חובות כלפי הלקוחות: שמירת סודיות, אמצעי אבטחה מוסכמים, הודעה ותיאום אירועים, איסור עיבוד החורג מהמוסכם, ודיווח תקופתי סביר על עמידה.
ברמת אבטחה בסיסית חלות בין היתר: תקנות 1–3; 4(א)(ב)(ג)(ה)(ו); 5(א)(ב)(ה); 6(א); 7(א)(ב); 8; 9(א)(ג); 11(א)(ב); 12–15; 17; 19–20.
חובות כגון בקרה ושמירת לוגים מפורטת לפי תקנה 10, ביקורות תקופתיות לפי תקנה 16, וגיבויים לפי תקנה 18(א)(1) חלות ברמות בינונית/גבוהה, ולכן אינן חובה ברמת בסיסית; עם זאת מומלץ ליישמן פרופורציונית כסייג ניהולי.
בהסכמי השירות יובהר כי בעלי האתרים/הלקוחות הם בעלי השליטה בחוק על תוכן ומידע שהם מאחסנים, נשאים באחריות משפטית לתכולה, חוקיותה, והיתרי עיבוד/הודעות לנושאי מידע.
החברה, כספקית אחסון וכמחזיק, מתחייבת לאבטחת מידע כמפורט במדיניות זו ובהסכם, אך סעיפי “אי‑אחריות לתוכן” לא יפגעו בחובותיה הסטטוטוריות לאבטחה, סודיות ולהפחתת סיכונים.
תפורסם מדיניות פרטיות באתר החברה המתארת את איסוף ושימוש במידע הלקוחות העסקיים ותקופות שימור; בבוא העת, תעודכן בהתאם לשינויים.
לכל מאגר יוגדרו זמני שימור מחייבים ומחיקה מאובטחת, עם ביקורת שנתית שמונעת החזקה עודפת.
רפרנט אבטחת המידע יגיש דו״ח יישום שנתי להנהלה: סטטוס משימות, אירועים, שינויים וצעדי שיפור.
הנהלת החברה מאשרת מסמך זה ומחייבת את עובדי החברה וספקיה לנהוג לפיו; המסמך נכנס לתוקף מיידית ומעודכן לכל המאוחר אחת לשנה.
073-2320032
