Mar 4, 2012

מפעילי רב קו אוספים מידע רגיש מנוסעים - עכשיו ההנחיות

מפעילי כרטיס הרב קו אספו ועודם אוספים מידע רגיש של ציבור השמתמשים בכרטיס במאגר מידע לא מוגן כשהוא בגדר "מידע רגיש".
למרות רגישות המידע המצוי בחזקתם לא קיימו מפעילי הרב קו והחברות העושות בו שימוש כולל משרד התחבורה כל רישום של המאגר והכל תחת החסות של משרד התחבורה, הברון הבלתי מעורער של שימוש במידע פרטי השייך לתושבי מדינת ישראל. החוק אגב, מורה לרשום את מאגר המידע בפנקס מאגרי המידע ולעמוד בתנאים המוגדרים ע"י הרגולטור.

המפעילים לא הסתפקו רק במידע הרגיש אותו אישר להם משרד התחבורה לאסוף ואספו גם נתונים נוספים בהם מין, שם מוסד לימודים וכתובת מוסד לימודים, מצב בריאותי, מצב כלכלי, נתוני שימוש בכרטיס, מספר הקו שנעשה בו שימוש, מספר כלי התחבורה בו בוצעה הנסיעה, תחנת העלייה על אמצעי התחבורה, שעת העלייה עליו והמיקומים בהם היה.

בעקבות תלונות הציבור ופניות של הורים החרדים לתופעה, הפיץ הרמו"ט - הרשות למשפט מידע וטכנולוגיה של משרד המשפטים, הנחיות ביניים עד שיחוקק חוק לעניין זה.
את ההנחיה תוכלו לקרוא בדף זה

תקציר ההנחיות להלן:

אין לעשות שימוש בידע רגיש.
יש לקבל מהנוסע הסכמה לצורך איסוף מידע אודות הנוסע ואודות השימוש בכרטיס החכם.
אין לאסוף מידע רגיש כדוגמת מס' ת.ז. בשבב הכרטיס, כדי שלא יעובד באמצעים מחשוביים.
מותר לאסוף פרטי קשר של נוסע. אולם פרטי קשר אלה צריכים להיות בהיקף המינימלי ביותר הנדרש, יש להבהיר ללקוח כי הפרטים נדרשים לשם יצירת קשר, לכן זכותו למסור פרטים בהיקף מצומצם בלבד. הוא (הנוסע) רשאי לבחור למסור אחד או יותר מאלה: כתובת, מספר טלפון, מספר טלפון נייד, או כתובת דואר אלקטרוני, ואינו חייב למסור פרטים נוספים.
אם כרטיס נרכש על-ידי מעסיק ניתן לרשום את פרטי המעסיק.
יודגש כי ככל שמפעיל תחבורה ציבורית מעוניין להקים מועדון לקוחות או לבצע פעולות שיווקיות אחרות הקשורות באיסוף מידע מהציבור, חל איסור לקשור בין איסוף זה לבין איסוף לצרכי הרב קו.
הקמת חלופה לכרטיס החכם הרב-קו, שתהווה חלופה אנונימית לכרטיס.
חובה לקבל אישור על בסיס הסכמה מדעת של הלקוח, ובהתאם להוראות סעיף 11 לחוק ולפקודת התעבורה, עליו להציג בפני הנוסע, במעמד ההנפקה, את חלופת הכרטיס האנונימי העומדת לרשות הנוסעים.
ביחס לנוסע שהוא קטין, ההסכמה מדעת לאיסוף המידע והשימוש בו יכולה להינתן רק על ידי מי שהוא האפוטרופוס של הקטין.

לנוסע שהוא קטין, המידע אותו המפעיל רשאי לאסוף לצורך הנפקת כרטיס מזוהה לקטין הוא המידע הבא בלבד: שם הקטין, מספר

תעודת הזהות של האפוטרופוס נותן ההסכמה וכן תאריך סיום הזכאות לקטין (במקום תאריך הלידה של הקטין, הנדרש היום).

שימוש במידע על ידי המפעילים

שימוש במידע מזוהה ייעשה רק לשם מתן שירות לנוסע.
מידע על נתוני מיקום יימחק מיד לאחר ביצוע התחשבנות בין המפעילים.
חל איסור לקשור בין איסוף מידע לצורך שיווקי קריא מועדון לקוחות לבין איסוף לצרכי הרב קו.

לפי חוק מאגרי מידע סעיף 17, על מפעילי כרטיס חכם חלה האחריות לאבטחת המידע במאגר המידע.

לשם כך עליהם לקיים היבטי אבטחה למידע הרגיש הנאסף, והם:

הפרדת מאגרי מידע אצל המפעיל
הפרדת מידע מזהה מנתונים
צמצום המידע המזהה אודות הנוסע הנכלל בשבב
הגבלת גישה וניטור

האמור בהנחיה זו ייכנס לתוקף בשני שלבים: הראשון 15.03.2012, השני 15.04.2012, עד למועד זה יעבירו המפעילים אל הרשם . נוהל אבטחת מידע בהתאם.
להרחבה..

Jan 30, 2012

שמירה על פרטיות ואבטחה במאגרי מידע - פרסום רמו"ט

מהו מאגר מידע ומהו החוק החל על איסוף ושמירת מידע על אנשים?
פרסום של הרשות למשפט מידע וטכנולוגיה, רמו"ט.

בקישור זה תמצאו את כל כללי העשה, הנוגעים למידע פרטי על האזרחים בתחום מאגרי המידע. המידע המופץ כאן הינו פרסום רשמי של הרמו"ט אשר פרסם מידע זה לצורך הגברת המודעות בקרב מנהלי מאגרי מידע בנוגע לדרישות ההגנה שדורש הרגולטור הממשלתי להגנת המידע.
קראו עוד כאן...

Jan 10, 2012

מתקפת הסייבר האחרונה הוכיחה שהמלך הוא עירום - האומנם?

מסקנות מועדת המדע והטכנולגיה בנושא מתקפת סייבר

יו"ר ועדת המדע והטכנולוגיה

אני חייב לציין כי שמחתי לתרום מהידע האישי ולהשתתף בועדת המדע והטכנולוגיה בראשות ח"כ רונית תירוש שעסקה במוכנות המדינה למתקפות סייבר.

אני מרוצה מבחירת הועדה ויושבת הראש שהחליטה לאמץ חלק מההמלצות שהוזכרו על ידי כדובר אחרון בדיון הועדה, ובעקבות כך ביקשה מעו"ד יורם הכהן ראש הרשות הרשות למשפט וטכנולוגיה (רמו"ט), להגדיר מהו מידע רגיש והאם אפשר לקבוע כי אתרים ישראלים לא ידרשו מספר תעודת זהות כמו אחיהם במדינות הנכר.
על הרצון להפוך את מקצוע אבטחת המידע למקצוע שיש ליצור לו רישוי לעיסוק, שיגדיר מיהו מומחה אבטחת מידע מוסמך.
על בחינת תקן PCI כרגולציה מחייבת בכל פעילות מסחר אלקטרוני, כך שיתקיימו בקרות כנגד כל עסקה וכל פרצה או דלף יאפשרו גם להיחקר ולהסיק מסקנות קונקרטיות כדי למנוע מעשים דומים בעתיד.

ביום 18.01.2012 התקיים דיון בכנסת שכינס יורם הכהן בעיקרו התקבלו החלטות לטיפול ע"פ הפעולות שהצעתי בדיון הועדה והוזכרו כאן - אני מנצל במה זו להודות ליורם הכהן ראש רשות משפט מידע וטכנולוגיה על כך לחץ כתבה

כמו כן לבקש כי בנק ישראל ילמד את שירותי עסקאות הרשת המאובטחות המקובלות היום כפי שקיים במערכות PayPal, ויבחן אפשרות לכפות על חברות האשראי לפעול באותו מישור כדי למנוע ממחזיקי האשראי מלהיחשף בפני בעלי אתרים שאינם מכירים.

חמשת הדיברות לגלישה בטוחה
בהזדמנות זו ברצוני לציין מהן כללי ההתנהגות שעל ציבור גולשי האינטרנט לעשות בתרנזקציות פיננסיות ומסחר אינטרנטי:

לא להעביר מס' תעודת זהות לאתרים ברשת, זהו מידע רגיש שמי שמחזיק בו יכול להשתמש במידע לצורך פעילות לא חוקית או להוצאת כספים בשם בעל הזהות וללא אישורו או ידיעתו, מוכר יותר במושג "גניבת זהות".
אם אין ברירה, עדיף לרכוש באתרים מחוץ למדינת ישראל, שם לא מבקשים פרטים כמו תעודת זהות.
להשתמש בשירות שיטת תשלום בטוחה ואנונימית כדוגמת מערכת PayPal ודומיו. היתרון בשיטה זו הינה עקרון העבודה שלו אבטחה וריכוזיות. בשיטה זו אין האתר המסחרי מקבל את פרטי כרטיס האשראי שלכם או פרטים אישיים, פרטי כרטיס האשראי נשמרים רק במערכות PayPal ולא מופצים לצד ג', קרי אתר המסחר, זאת כדי למנוע מבעל האתר המסחרי לקיים או לשמור מידע אישי במאגר, דבר שעלול להיסתיים בדלף חמור, כפי שקרה לדוגמא באתר sale365. מדובר באתר גדול, ייחודי ומקצועי המשקיע הרבה משאבים לצורכי אבטחת עסקאאות ומידע של המשתמשים בשירות זה ברשת.
לא להעביר מידע לגיטימי אישי, שאין יכולת לבטלו כמו מס' ת.ז. או דרכון.
לא להישתתף בפעילויות הדורשות מכם לתת דגימה ביומטרית, מידע זה הוא בלתי הפיך וכשהוא נגנב או דולף אין יכולת לבטלו ולהחליפו, כפי שעשו חברות האשראי כדי למנוע נזק ללקוחותיהם בדלף האחרון.

Jan 5, 2012

תקרית דלף כרטיסי האשראי, האיום נמוך, הסבירות למקרה דומה גבוהה

פרסום הקבצים המהיר, הבאזז המדהים שזה יצר בארץ, התגובות, המודעות התקשורתית, זו כל מנת חלקו של אותו האקר סעודי (כך נטען), שפרסם את הקבצים שנותחו ע"י אנשי מקצוע ישראלים שקבעו כי הסיכון נמוך, אור להצהרת בנק ישראל וחברות האשראי כי כל לקוח שניזוק יפוצה.
הישנות מקרים דומים יכולה לפרוץ בכל יום, אך חשוב כי התקשורת ונבחרי ציבור רבים, ידעו כי כיום התודעה של אנשי עסקים בדבר אבטחת מידע גבוהה, המשק מוץ באנשי מקצוע ברמה גבוהה ויש חסמים רבים למי שרוצה להגיע למידע מהימן. אם זאת, ידוע כי גרסאות שונות של מרשמי אוכלוסין נמצאות בידיהם של כל גולש תמים וגם כיסי טרוריסטים שהגישה למידע היה זמין ונגיש, כך שליצור בהלה בקרב הציבור בגלל מידע על שם, ת.ז. וכתובת, ממש לא רלוונתי משום שהמידע דלף ודולף כל הזמן מגופי ממשלה.

כתבות נוספות בנושא:

פורסם בכלכליסט - האקרים פעלו ללא הפרעה במשך שבעה חודשים
פורסם בוואלה חדשות - האיום חמור פחות מכפי שנטען

מומחה אבטחה בעקבות הדלף - איגוד ה ISSA הישראלי

Subscribe to: Posts (Atom)

About Us

We are Secret Codea fast-growing lead provider of consulting, and operation services in cyber risk and cloud defensive operations. Our experts operate in more than just a few countries around the world, helping businesses and organizations to learn and create a barrier to protect their own digital and monetarily data in the most complex threats in the digital Jungle of Cyber cloud security.

Our Motto: Providing personal service to each customer, suitable for the organization's needs. We mitigate the risks of cyber-attacks. We work with small /medium-sized businesses, as well as corporates and enterprises. who look for the best cost-effective solutions. We help business management protect their business assets in the safest and most secure way.

FDA Medical Classification Check List

FDA – Software Classification Checklist (CDS / SaMD / Non-Device)

FDA Software Classification

Fill out this questionnaire for a single software function to get a preliminary classification.

Step 1 – Clinical intent

1. Is the function intended for prevention, diagnosis, treatment, or monitoring of a medical condition for a specific patient?

"No" = admin, workflow, analytics, wellness, etc.

Step 2 – Non-Device CDS criteria

2. Does the function acquire, process, or analyze medical images or raw signals (CT, MRI, EEG, ECG waveforms, etc.)?

If yes → typically SaMD / medical device.

3. Does it operate only on processed medical information (diagnoses, visit summaries, lab results, EMR data, guidelines) and not on raw signals/images?

Uses reports/results, not raw sensor data.

4. Does it provide recommendations or support to an HCP, while the HCP remains the final decision-maker (no autonomous clinical decision or automatic treatment)?

Autonomous diagnosis/treatment → device.

5. Can the HCP independently understand and review the basis for the recommendations (data used, rules/guidelines), without blindly relying on the system?

Transparency is key for Non-Device CDS.

Step 3 – Device type (if Device)

6. If the function is a medical device, is its primary purpose to provide clinical recommendations to an HCP (e.g., “recommended therapy is X”) rather than automatically performing a therapeutic action?

Yes = Device CDS; No = other SaMD.

Recreating Cybercloud Safeguarding Today

Mar 4, 2012

מפעילי רב קו אוספים מידע רגיש מנוסעים - עכשיו ההנחיות

Jan 30, 2012

שמירה על פרטיות ואבטחה במאגרי מידע - פרסום רמו"ט

Jan 10, 2012

מתקפת הסייבר האחרונה הוכיחה שהמלך הוא עירום - האומנם?

Jan 5, 2012

תקרית דלף כרטיסי האשראי, האיום נמוך, הסבירות למקרה דומה גבוהה

Total Pageviews