הקליקו על כותרת הסעיף
1. הגדרות
2. אופן איסוף המידע, העברתו ושמירתו
3. אוטומציה, אמצעי זיהוי וגישה למערכת הטכנולוגית
4. בקרה על המערכת הטכנולוגית
5. תיעוד גישה
6. דיווח לוועדת הכספים
7. תוקף

תקנות הפיקוח על שירותים פיננסיים (קופות גמל) (איסוף, גישה ובקרה בעת איחוד חשבונות) (הוראת שעה), התשע"ז-2016 1

בתוקף סמכותי לפי סעיפים 24א(ב)(9) ו–60 לחוק הפיקוח על שירותים פיננסיים (קופות גמל), התשס"ה-2005 (להלן - החוק), ובאישור ועדת הכספים של הכנסת, אני מתקין תקנות אלה:
 
1.   
הגדרות
בתקנות אלה -
"הליך איחוד חשבונות" - העברת פרטי עמית ושמות קרנות פנסיה מחברה מנהלת לממונה ומהממונה לחברה מנהלת כאמור בסעיף 24א(א)(3) ו–(4) לחוק;
"הממונה על אבטחת המידע" - הממונה על אבטחת המידע במשרד האוצר שמונה לפי סעיף 17ב(א) לחוק הגנת הפרטיות;
"חברה מנהלת" - כמשמעותה בסעיף 24א(א)(1) לחוק;
"מורשה הגישה למידע" - עובד בכיר באגף שוק ההון, ביטוח וחיסכון במשרד האוצר שהממונה הסמיך אותו להיות מורשה גישה למידע במערכת לפי סעיף 24א(ב)(3) לחוק;
"מורשה גישה למערכת" - עובד הכפוף לממונה על אבטחת המידע או מי שפועל מטעמו, שהממונה הסמיך להיות מורשה גישה למערכת, ושאינו מורשה גישה למידע;
"המערכת" - המערכת הטכנולוגית כמשמעותה 24א(ב)(4) לחוק;
"פרטי העמית" - כהגדרתם בסעיף 24א(ג) לחוק.
2.   
אופן איסוף המידע, העברתו ושמירתו
(א) הממונה וחברה מנהלת יעבירו מידע ביניהם במסגרת הליך איחוד חשבונות רק באמצעות נתיב העברה מוצפן ומאובטח שאישר הממונה על אבטחת המידע; הממונה על אבטחת המידע יוודא כי מנגנון ההעברה לא יאפשר גישה למידע למי שאינו מורשה לכך וכי המנגנון ינטר את הגישה למידע.
(ב) הממונה ישמור מידע שהגיע אליו כאמור בתקנת משנה (א) באופן מוצפן ומאובטח במערכת באמצעי הצפנה מקובל.
(ג) הממונה על אבטחת המידע יוודא כי עיבוד או שמירה ממוחשבת של מידע שהגיע לממונה במסגרת הליך איחוד חשבונות ייעשו באופן שאינו מאפשר למי שאינו מורשה, גישה למידע, ובכלל כך יוודא כי המערכת מופרדת ממערכות מחשוב אחרות, וכי כל ניסיון גישה של מי שאינו מורשה גישה למידע כאמור, יתועד באופן שיהיה ניתן לזהות את המבצע.
(ד) הממונה על אבטחת המידע יוודא כי המידע של המערכת, ובכלל זה מידע לגבי אופן הגישה למערכת והפעלתה ונוהלי ההמשכיות, מגובה, לפי הרשאות הגישה והשימוש שבתקנות אלה, וישתמש באמצעים שיבטיחו את שלמות המידע ואת אפשרות שחזורו במקרה של אבדן או הרס.
(ה) חברה מנהלת תמנה ממונה על הפרטיות ואבטחת המידע שיהיה אחראי על העברת מידע לפי תקנות אלה.
3.   
אוטומציה, אמצעי זיהוי וגישה למערכת הטכנולוגית
(א) הליך איחוד החשבונות ייעשה באמצעות המערכת באופן אוטומטי, בלא צורך בגישה למידע.
(ב) הממונה על אבטחת המידע, בהתייעצות עם הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, יערוך נוהל אבטחת מידע לעניין אמצעי הזיהוי ומורשה הגישה למידע (להלן - נוהל האבטחה) לפי תקנות אלה.
(ג) נוהל האבטחה יחייב את מורשה הגישה למידע ואת מורשה הגישה למערכת.
(ד) נוהל האבטחה יכלול, בין השאר, את כל אלה:
(1) הוראות בדבר אופן אימות זהותו של מורשה הגישה למידע ואופן הטיפול בתקלות באימות זהות;
(2) הוראות למורשה הגישה למידע, לגבי אופן השימוש במערכת תוך אבטחת המידע;
(3) הוראות בדבר אבטחה פיזית וסביבתית של מיתקני המערכת;
(4) הוראות בדבר אופן אחסונו ועיבודו של המידע בצורה מאובטחת;
(5) אופן הבקרה על השימוש במידע, לרבות עריכת רישום בדבר גישה למערכת ומניעת הוספה או גריעה של מסמכים למערכת באופן בלתי מתועד;
(6) הוראות בדבר אופן גיבוי מידע, שחזורו ואופן התמודדות עם אירוע אבטחת מידע;
(7) הוראות בדבר חובת דיווח לממונה על אבטחת המידע על אירועי אבטחה ועל פעולות שננקטו בעקבותיהם.
(ה) הרשאות גישה של העובדים למערכת במסגרת הליך איחוד חשבונות יהיו על בסיס הגדרת תפקיד; הרשאת גישה לכל תפקיד תהיה בהיקף ובמידה הנדרשים לביצועו בלבד; גישת מורשה גישה למערכת תיעשה לשם תחזוקה ותפעול בלבד, לפי אישור הממונה על אבטחת המידע ובעדכון מורשה הגישה למידע.
(ו) גישת מורשה גישה למערכת ומורשה גישה למידע תיעשה באמצעות שם המשתמש שלו והתקן פיזי אישי הנתון לשליטתו הבלעדית.
(ז) הממונה על אבטחת המידע ידאג לביטול הרשאות של עובד שסיים את תפקידו במשרד, לשינוי ססמאות וקודי גישה למערכת שניתנו לו, ולהשבת כל המסמכים והציוד הנמצאים ברשותו, לרבות התקן פיזי, לא יאוחר מסיום תפקידו של העובד.
4.   
בקרה על המערכת הטכנולוגית
(א) הממונה על אבטחת המידע יערוך סקר סיכונים ובדיקות חדירות למערכת לפני הפעלתה לאיתור סיכוני אבטחת מידע במערכת, ואם נדרש גם לנתיב ההעברה כמשמעותו בתקנה 2; המערכת תופעל רק לאחר שכל ליקויי האבטחה יותקנו לשביעות רצונו של ממונה אבטחת המידע.
(ב) הממונה על אבטחת המידע אחראי על האבטחה הפיזית והסביבתית של המערכת, וינקוט את האמצעים לבקרה על הגישה לאתרים שבהם מצויים רכיבי המערכת.
(ג) מערכת המחשוב בהליך איחוד החשבונות תתעד אירוע המעלה חשש לזליגה של מידע, לפגיעה בשלמות המידע או לשימוש בו בלא הרשאה; תיעוד כאמור יבוצע, ככל האפשר, באמצעות רישום אוטומטי ובהודעה בזמן אמת לממונה על אבטחת מידע ולמורשה הגישה למידע בעת קרות אירוע כאמור.
5.   
תיעוד גישה
(א) המערכת תכלול מנגנון אוטומטי לתיעוד גישה וניסיונות גישה אל המערכת, לרבות זהות מבצע הגישה או ניסיון הגישה, תאריך ושעה, רכיב המערכת נושא הגישה, סוג הגישה, היקפה, ואם אושרה או נדחתה; אם הגישה אושרה, יישמרו הנתונים המאפשרים זיהוי רכיב המערכת שאליו בוצעה הגישה; נתוני הרישום של מנגנון התיעוד יישמרו למשך 24 חודשים לפחות.
(ב) הממונה על אבטחת המידע יערוך בדיקות לגבי הליקויים שאיתר מנגנון התיעוד כאמור בתקנת משנה (א), יערוך דוח מיידי של ליקויים חמורים שהתגלו והפעולות שננקטו בעקבותיהן ויעבירו לרשם כהגדרתו בסעיף 7 לחוק הגנת הפרטיות; לעניין תקנת משנה זו, "ליקוי חמור" - אירוע שנעשה בו שימוש במידע, לרבות אירוע שבו היתה כניסה למערכת באופן שאפשר גישה למידע בלא הרשאה או בחריגה מהרשאה.
6.   
דיווח לוועדת הכספים
בתום שישה חודשים ממועד תחילת הפעלתה של המערכת, ידווח הממונה לוועדת הכספים על פעולת המערכת, ובכלל זה מידת הגשמת תכליתה של המערכת בחצי השנה הראשונה לפעולתה; על בסיס הדוח הראשון יוסיף הממונה לדווח לוועדת הכספים ככל שתראה לנכון בנסיבות העניין.
7.   
תוקף
תוקפן של תקנות אלה עד יום ט"ו בניסן התשע"ח (31 במרס 2018).

ד' באב התשע"ו (8 באוגוסט 2016)
משה כחלון
שר האוצר
[1.] ק"ת 7729, התשע"ז (17.11.2016), עמ' 160.