אין במידע המופיע באתר "*תקדין*" או בשירות הניתן למנויי האתר כדי להוות ייעוץ משפטי ו/או תחליף לייעוץ משפטי.
כללי נתוני אשראי (אבטחת מידע), התשע"ט-2018 1 בתוקף סמכותי לפי סעיף 60(ג) לחוק נתוני אשראי, התשע"ו-2016 (להלן - החוק), ובהסכמת שרת המשפטים אני קובעת כללים אלה: |
| 1. (ה) מקור המידע יוודא אחת לשנה שאין במידע שהוא מעביר למאגר, מידע שאין הוא נדרש להעביר למאגר לפי החוק. (ו) גילה מקור מידע ליקוי או תקלה שיש להם השפעה מהותית על המערכת לשיתוף בנתוני אשראי, ידווח עליה לממונה באופן מיידי וכן ידווח על הצעדים שנקט בעקבות האירוע, לרבות בהתאם להוראות הממונה. |
| 2. (ב) העברת המידע ממקור המידע אל המאגר תיעשה באופן שימנע פגיעה במהימנות ושלמות הנתונים, או חשיפתם לידיעתו או לשימושו של גורם בלתי מורשה, ותהיה מוצפנת באופן אשר יגדיר מנהל המאגר; מנהל המאגר יקיים בקרה על תהליך העברת המידע למאגר ויוודא כי הוא מועבר למאגר, והכול בהתאם להוראות הממונה. (ג) מנהל המאגר יקיים תהליכי בקרה על איכות הקלט ושלמות המידע שהועבר למאגר ויודיע למקור המידע המדווח על מידע שגוי או פגום שהתגלה בתהליך הקלט או כל תקלה אחרת אשר זיהה. (ד) מנהל המאגר ידווח לממונה על ליקויים כאמור בסעיפים קטנים (ב) ו–(ג); הממונה יפעל לבירור הליקויים מול מקור המידע ולמתן הנחיות למקור המידע לשם תיקונם. |
| 3. |
| 4. |
| 5. |
| 6. |
| 7. (א) נתוני אשראי מזוהים לגבי לקוח יועברו מהמאגר ללשכת אשראי רק לאחר שהתקבלה בקשה מפורשת מלשכת האשראי, העומדת בתנאים שנקבעו לפי החוק ובשדות שנקבעו בידי הממונה להעברת מידע על הלקוח. (ב) המידע יועבר מהמאגר ללשכת האשראי בערוצי תקשורת מבוקרים ומנוטרים, ובשדות שייקבעו בידי הממונה. (ג) העברת המידע תיעשה באופן מאובטח תוך יישום תהליכי הגנה מקובלים להעברת מידע ובכלל זה שימוש בשיטות הצפנה מקובלות, וידוא הגעת נתונים ליעדם והגבלת גישה לנתונים בהתחשב בצורכי השימוש במידע והמגבלות אשר נקבעו לפי החוק. (ד) מנהל המאגר יישם טכניקות הגנה והצפנה מקובלות ויתקף מזמן לזמן את העדכניות שלהן תוך הסתמכות על תקנים בין–לאומיים מוכרים. (ה) מנהל המאגר יגדיר ויישם נוהל לניהול מפתחות הצפנה, שיכלול הוראות לכל מחזור החיים של מפתחות ההצפנה, לרבות חילול, הפצה, שמירה, עדכון וביטול. (ו) לא תינתן גישה למידע המצוי במאגר לגורם שאינו מורשה או לשימושים שאינם מותרים לפי החוק; מנהל המאגר יתעד וידווח לממונה על מקרה שבו בוצע שימוש בלא הרשאה או בחריגה מהרשאה ומהשימושים המותרים. |
| 8. (א) אירע אירוע אבטחה חמור כהגדרתו בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, תודיע על כך הלשכה באופן מיידי לממונה, וכן תדווח על הצעדים שנקטה בעקבות האירוע, לרבות בהתאם להוראות הממונה. (ב) לשכת אשראי תפעל למחיקת נתוני האשראי המזוהים שהועברו אליה מהמאגר בהתאם לקבוע בתקנות נתוני אשראי, התשע"ח-2017, ובהתאם להוראות הממונה. (ג) מחיקת הנתונים תתבצע באופן שלא יאפשר את קריאתם על ידי יישומים טכנולוגיים, לרבות מערכות ההפעלה המשמשות את מערכות המידע של לשכת האשראי, למעט קריאתם תוך הסתמכות על גיבויים או קובצי רישום (l og). (ד) לשכת אשראי תקבע נוהל עבודה להליך מחיקת הנתונים המזוהים המתקבלים מהמאגר, שיכלול, בין השאר, הוראות לעניין הנושאים המפורטים להלן ותביאו לאישור הממונה: (1) הגורם האחראי להליך; (2) תדירות ועיתוי המחיקה; (3) זיהוי המערכות בהן נדרש לבצע מחיקה; (4) אמצעי המחיקה; (5) תהליכי בקרה שוטפים. |
| 9. |