אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
לסתום את החורים: איך למנוע דליפת מידע על לקוחות

לסתום את החורים: איך למנוע דליפת מידע על לקוחות

חשיפת מידע אישי כגון פרטי אשראי של לקוחות מהווה סיכון משפטי ועסקי עבור החברות. כך תגדירו נהלים שימנעו זאת

16.01.2012, 13:20 | שרון כהן

פרשת דליפת פרטיהם של אלפי ישראלים, שלא ברור אם ראינו כבר את סופה, צריכה להדליק נורת אזהרה בקרב כל חברה המספקת שירותים לקהל הרחב ואוגרת מידע על קהל לקוחותיה. המציאות מלמדת שדליפת מידע רגיש, גישה ושימוש לא מורשה במידע, הופכים לשכיחים יותר ויותר. ההיקפים והעוצמות של האירועים מחייבים לייסד כללים ועקרונות לניהול ושמירה על הפרטיות.

מה אומר החוק ביחס לחובת החברות להגן על פרטיות הלקוחות שלהן? חבות החברות נגזרת מתוקף חוק הגנת הפרטיות הישראלי, הקובע כי כל ארגון שבבעלותו מאגרי מידע המכילים מידע הנוגע לפרט, נדרש לנהל אותם לפי אמות המידה המוגדרות בחוק, וחובת ההוכחה היא על הארגון שפעל על פיהן. על אכיפת החוק אמונה הרשות למשפט וטכנולוגיה - רמו"ט.

בנוסף, כל חברה שעושה שימוש (מנהלת, שומרת, מעבירה או סולקת) בכרטיסי אשראי מחויבת לעמידה בתקן הבינלאומי PCI של חברות האשראי, שמטרתו להבטיח את השימוש וההגנה הנאותה על פרטי כרטיסי האשראי של הלקוחות.

דליפת מידע על הלקוחות טומנת בחובה סיכון משפטי ועסקי עבור החברות. חברה שפרטי לקוחותיה ידלפו עשויה להיות חשופה לתביעות משפטיות, וכן לפגיעה במוניטין ובאמון הלקוחות. להלן מספר טיפים כיצד יכולות החברות נותנות השירותים ללקוחות למנוע מקרים כאלה של דליפת מידע פרטי:

להימנע מאסיפת מידע מיותר על הלקוחות: המידע שנשמר צריך לתאום את המטרות והשימושים של אותו מאגר מידע. על החברה להגדיר את המאגרים שיש בהם מידע אודות לקחות, להגדיר את השימושים בהם ובהתאם לכך לשמור אות המידע. אין צורך לשמור למשל פרטים על המשפחה של הלקוח או את כתובת המייל שלו, אם אין דרישה לכך.

להימנע משימוש בפרטי זיהוי המצויים במאגר מרשם האוכלוסין: לאחר שמאגר מרשם האוכלוסין דלף, פורסמה המלצה להימנע משימוש של הפרטים המצויים בו לצרכי זיהוי. בעולם הפיננסי, בנקים וחברות ביטוח השכילו להטמיע זאת ואכן מקפידים על כך, אך חברות רבות טרם יישמו זאת.

הגדרת נהלים ברורים: כל ארגון צריך להגדיר את "ארגז הכלים" שבאמצעותו הוא פועל לצורך ניהול ושמירה על הפרטיות. על ארגז הכלים להכיל ולשלב היבטים משפטיים, כלים ארגוניים מתאימים וגם פתרונות טכנולוגים.

מינוי קצין פרטיות ראשי: בעולם נפוץ מאוד התפקיד CPO - Chief Privacy Office בחברות נותנות שירותים. בארץ הנושא עדיין נמצא בחיתוליו. הטמעה של גורם האמון על הנושא מעידה כי הארגון שם את נושא הפרטיות כנר לרגליו.

לבצע הערכת סיכונים תקופתית: אחת לתקופה, תלוי בגודל הארגון ובכמות המאגרים הקיימים בו, צריך הארגון לבצע הערכת סיכונים לגבי מידת החשיפה שלו אל מול דרישות החוק, ביחס לניהול המאגרים.

ומילה ללקוחות - המודעות מתחילה אצלנו: כמקבלי שירות, אנו צריכים להיות מודעים לזכויות שלנו, לוודא שהמידע שאנו מוסרים מיועד למטרות השירות שאותו אנו מתעתדים לקבל וכי הוא אינו מועבר לגורמים נוספים. עלינו לבדוק מהם השימושים הנעשים במידע שמסרנו ולוודא שהחברה עובדת על פי תקנים מקובלים (כאשר מוסרים את פרטי כרטיסי האשראי, לוודא כי החברה או האתר עובד על פי דרישות תקן PCI וכו'). 

הכותבת היא מנהלת תחום אבטחת מידע ופרטיות ב-Deloitte בריטמן אלמגור זהר.

תגיות