לוגו החברה

דו"ח תאימות ואמצעי אבטחת מידע

בהתאם לתקנות הגנת הפרטיות בישראל (התשע"ז-2017) ותקן ISO/IEC 27001

מסמך זה מוגש לכם כחלק ממדיניותנו לשקיפות ולקיום אבטחת מידע והגנה על הפרטיות. אנו, כמחזיקי מידע שהתקבל מכם או שמוחזק עבורכם, רואים חשיבות רבה בשמירה על סודיות ועל שלמות וזמינות המידע המופקד בידינו. דיווח זה מפרט בתמצית את אמצעי האבטחה והנהלים שאנו מיישמים כדי להבטיח עמידה בתקנות הגנת הפרטיות בישראל, וכן בתקן אבטחת המידע הבינלאומי המחמיר ISO 27001.

מרכז הסליקה של חברות ביטוח בע"מ (להלן – "החברה") פועלת הן כ"בעלת שליטה במאגר" והן כ"מחזיקה" עבור בעלי שליטה במאגרי מידע שונים.

לדוגמה, החברה היא בעלת השליטה במאגר שמספרו הרשום הינו 700044303, מאגר "היסטוריית ביטוח ותאונות כלי רכב", שמטרתו למסור מידע באמצעות שאילתה שמוגשת לפי מספר הרישוי של כלי רכב. המידע שנמסר במסגרת התשובה לשאילתה כולל, בין היתר: מידע על ביטוחי רכב רכוש שנעשו; תביעות תלויות (ללא הערכות) ותשלומי תביעות; סוגי נזק מסוימים שנגרמו לכלי הרכב. כל מבטח המשתתף במאגר רשאי להגיש שאילתה למאגר וכן כל בעל רכב או מורשה מטעמו (באמצעות אתר - https://infocar.co.il).

במקרה שבו החברה היא בעלת השליטה במאגר, השימוש במאגר יהיה בהתאם למטרותיו, ואילו במקרה שבו החברה מחזיקה במאגר, העיבוד יהיה בהתאם למחויבות של החברה כלפי בעל השליטה במאגר.

החברה מאבטחת את המידע ומקיימת את הוראות תקנות הגנת הפרטיות (אבטחת המידע), תשע"ז-2017.

זכויותיכם בנוגע למידע:

על פי חוק הגנת הפרטיות, עומדת לכם הזכות לעיין במידע אישי המוחזק אצלנו. כמו כן, אם מצאתם כי המידע אינו נכון, שלם, ברור או מעודכן, הנכם רשאים לבקש את תיקונו או מחיקתו. בכל פנייה של נושא המידע בהקשר למידע המוחזק, תעדכן החברה את בעל השליטה במידע לגבי הפניה.

מדיניות שמירת מידע וסיום התקשרות:

אנו שומרים מידע אישי רק למשך הזמן הנחוץ להשגת המטרות שלשמן הוא נאסף. בתום ההתקשרות ובהתאם לדרישת בעל השליטה במידע, מרכז הסליקה של חברות ביטוח בע"מ תמחוק/תשמיד/תחזיר את המידע.

התחייבויות נוספות:

  • החברה תעשה שימוש במידע בהתאם לאמור לעיל.
  • החברה מתחייבת כי לא ייעשה במידע שימוש האסור על-פי הדין.
  • החברה לא תמחה או תסב את זכויותיה או חובותיה בקשר למאגרים שהיא בעלת שליטה או מחזיקה בהם.
ISO 27001 Certified by SII

הסמכת ISO/IEC 27001:

ארגוננו מוסמך לתקן ISO 27001 על ידי מכון התקנים הישראלי. הסמכה זו מעידה על קיומה של מערכת ניהול אבטחת מידע מקיפה (ISMS), הכוללת הערכת סיכונים מתמדת, הטמעת בקרות אבטחה מחמירות ומחויבות לשיפור מתמיד של תהליכי ההגנה על המידע שלכם.

שימו לב: הרשימה להלן הינה חלקית ונועדה לספק סקירה כללית. מטעמי אבטחת מידע וסודיות, קיימים בקרות ואמצעי הגנה נוספים שאינם מפורטים במסמך זה.

תקנה 4 – נוהל אבטחת מידע:

החברה פועלת על פי נוהל אבטחת מידע המקיים את הוראות התקנות ותקינת ה-ISO שברשותה. הנהלים נאכפים ומבוצעים תחת אחריותו של ממונה אבטחת המידע בארגון.

תקנה 5 – סקר סיכונים:

מבוצעים סקרי סיכון ומבדקי חדירה אחת לשנה על מנת לוודא מוכנות כנגד איומי סייבר ואבטחת מידע.

תקנה 6 – אבטחה פיזית:

כל שרתי החברה מאוחסנים במתקנים מוגנים (חוות שרתים) בארונות נעולים ומצולמים.

תקנה 7 – ניהול כוח אדם וסודיות:

כלל עובדי החברה, שלוחיה ומי מטעמה חתומים על הסכם סודיות מחמיר. מדיניות הסיסמאות מוקשחת וכוללת החלפה כפויה כל 90 יום, חסימה לאחר חוסר פעילות או שגיאות, ועוד.

תקנה 8 – ניהול הרשאות גישה:

ההרשאות מנוהלות על פי עיקרון "Least Privilege" ו-"Need to Know". גישות רוחביות ניתנות במשורה ולצרכי אבטחת מידע ותפעול תקלות בלבד.

תקנה 9 – זיהוי ואימות:

האימות למערכות מבוסס סיסמה ייחודית ומזהה נוסף (2FA), עם חסימה אוטומטית לאחר ניסיונות כושלים וניתוק לאחר חוסר פעילות.

תקנה 10, 17 – בקרה, תיעוד ושמירת נתונים:

קיימת בקרה על ההתקשרות למערכות, ניהול סשנים וניטור פעולות. נתוני לוג על גישה וכניסה נשמרים למשך 24 חודשים לפחות.

תקנה 11 – דיווח על אירועי אבטחה:

לחברה נוהל מקיף לטיפול באירועי אבטחה. החברה מחוייבת לפעול על פי דין ולדווח ללא דיחוי על כל אירוע אבטחה חמור כהגדרתו בתקנות.

תקנה 12 – התקנים ניידים:

אין בארגון אפשרות להשתמש בהתקנים ניידים אישיים לצורכי עבודה, והדבר נחסם באמצעות מספר מנגנונים טכנולוגיים.

תקנה 13 – ניהול מאובטח של מערכות:

החברה מפעילה מערך ניהול עדכונים (Patch Management) סדור ומפעילה הגנות אנטי-וירוס מתקדמות בכל נקודות הקצה והשרתים.

תקנה 14 – אבטחת תקשורת:

תעבורת המידע ברשת האינטרנט עושה שימוש בפרוטוקול TLS 1.2. בנוסף, המידע מוצפן גם במנוחה.

תקנה 15 – מחויבות עדכון:

מסמך זה יתעדכן מעת לעת, ואנו מחויבים לעדכן את בעלי השליטה במידע בהתאם לדרישות התקנות.

תקנה 16 – ביקורות תקופתיות:

אחת לשנתיים הארגון מבצע ביקורת מעמיקה בעולמות הגנת הפרטיות ואבטחת המידע.

תקנה 18 – גיבוי ושחזור:

קיימים מספר מערכי גיבוי, ובכללם גיבויים חד-כיווניים (Immutable), להבטחת המשכיות עסקית ושחזור מידע.

לכל שאלה, בקשה למימוש זכויותיכם, או בירור בנושאי פרטיות ואבטחת מידע, ניתן לפנות אל גורמי המקצוע הרלוונטיים בארגוננו:

מנכ"ל (CEO) - מר עותניאל אפק

ממונה אבטחת מידע (CISO) - מר חיים טולדנו

ממונה הגנת הפרטיות (DPO) - מר רז דנאי

ניתן ליצור קשר באמצעות כתובת הדוא"ל:

privacy@slika-ins.co.il