תאריך עדכון אחרון: [04/11/2025]
הארגון מיישם מדיניות אבטחת מידע קפדנית ומקיפה, המבוססת על תקנים בינלאומיים ובראשם PCI DSS, הכוללת הגדרת נהלים מתועדים, מאושרים ומעודכנים לפחות אחת לשנה, ביצוע סקרים והערכות סיכונים שנתיים, וביקורות תקופתיות פנימיות וחיצוניות על כלל התהליכים והמערכות הקריטיות.
הארגון דואג להפרדה מלאה בין סביבות ייצור, פיתוח וניהול, ומקפיד על בקרות גישה, סיווג המידע, ניהול משתמשים והרשאות מינימליות,
והכל תוך קיום ביקורות תקופתיות והטמעת פרוטוקולי הצפנה מתקדמים בכל רמות התשתית.
בנוסף, קיימת בקרה מתקדמת על תהליכי גיבוי ושחזור, שמירה על רציפות עסקית, מניעת התקנות תוכנה לא מורשית, הדרכות עובדים, וניהול מתואם של ספקים ושותפים חיצוניים באמצעות חוזים, הגבלת גישה, תהליכי זיהוי דו-שלביים, וביקורות תפעוליות תקופתיות—הכל בהתאם לדרישות הרגולציה הרלוונטיות. כל האירועים מטופלים במדיניות מסודרת הכוללת דיווח, תחקור, הפקת לקחים והטמעת שינויים;
כלל העובדים מחויבים להקפיד על מדיניות זו ולהשתתף בהדרכות מודעות שוטפות
הארגון מספק שקיפות מלאה ללקוחותיו בנוגע לנהלי אבטחת המידע, התחייבות להגנה גבוהה על מידע רגיש ונכסים פיזיים ולוגיים, ופיקוח קבוע ע"י מנהל אבטחת מידע (CISO) ועבודה תחת סטנדרטים מתקדמים של ניטור, זיהוי חריגות ותגובה מיטבית לאיומים וסיכונים.
קיימת מדיניות מוגדרת, מתועדת, מאושרת ומעודכנת לפחות פעם בשנה. בחינה תקופתית של התאמת הנהלים ואישורם על ידי גורם בכיר.
קיימים מסמכי מדיניות מאושרים ע"י הנהלה, תחומים: אירועי אבטחת מידע, פיתוח מאובטח, ניהול סיכונים; המסמכים נבדקים אחת לשנה.
מוגדר תהליך בקרת גישה: רישום משתמשים, ניהול הרשאות, מדיניות סיסמאות חזקות, אימות זהות, ניהול הרשאות מורחבות, וביקורת תקופתית של הרשאות.
מתקיים תהליך שנתי סדור לזיהוי, ניתוח, מדידה וטיפול בסיכוני אבטחת מידע; בסיומו מופק דו"ח עבודה מפורט להנהלה כולל תעדוף וטיפול בסיכונים.
מתבצעות ביקורות תקופתיות ע"י חברה חיצונית וכן ביקורות פנימיות כל רבעון בהתאם לדרישות רגולטוריות של PCI DSS ושל רשות לניירות ערך.
סביבת ייצור מופרדת לחלוטין מסביבות פיתוח, ניהול ובדיקות לכל לקוח.
מאופיין מערך הצפנה לפי תקן PCI DSS, שימוש בפרוטוקולי TLS, AES, DP-API, מתבצע תיעוד מחזור חיים של מפתחות, הסרה במקרה פגיעה.
מנוהלים גיבויים מסודרים לכל מערכות קריטיות, התהליך מבוקר פעמיים בשנה לפחות, מבוצעות בדיקות התאוששות, הגנה והעברת מדיה מגובה באופן מאובטח.
מוגדרת מדיניות ומערכת לניהול וזיהוי אירועי אבטחת מידע, כולל דיווח, תחקור, הפקת דוחות, ותהליך "break glass" לפעולות חריגות.
מוגדרת מדיניות לאבטחת מידע בשרשרת אספקה, מוגדרות דרישות התקשרות באבטחת מידע, קיימת בקרת גישה לספקים,מתבצעת ביקורת תקופתית, ניהול סיכונים בממשק לספקים.
קיימים נהלים לסיווג מידע רגיש לפי רמות (נמוך/גבוה/גבוה מאוד), ניהול ורישום נכסי מידע פיזיים ולוגיים.
עקרון הרשאות מינימליות והפרדת סמכויות מוגדרים בנהלים, מוגדר תהליך provisioning/deprovisioning, מתבצעת ביקורות תקופתיות.
קיימת פריסה של תשתית הגנתית מתקדמת: Firewall, SIEM, SOC (CrowdStrike) – לניטור יזום, זיהוי חריגות, תגובה מהירה, ותגובה לאירוע.
רשימה של תוכנות מאושרות בלבד בהתקנה על תחנות קצה, עדכונים מנוהלים ע"י צוות IT לפי נהלים.
מתקיימות הדרכות מודעות אבטחת מידע לעובדים, עדכון תקנות ונהלים במעבר תפקיד/קבלת גישה למידע רגיש.
הארגון מוסמך לתקן PCI DSS ונבדק ע"י הרשות לניירות ערך; כל הבקרות והנהלים מותאמים לדרישות רגולציה הרלוונטיות.
ציוד קריטי מגובה ונמצא בסביבה מאובטחת (Bezeq), קיימים שירותי גיבוי רציפות עסקית, תיעוד תקלות ושחזור, כוננות להתאוששות ומענה לתקלות סייבר משמעותיות.
כלל הנהלים – מדיניות, סיווג מידע, ניהול ספקים, גיבויים, נהלי אירועים ועוד – נבדקים ומעודכנים לפחות פעם בשנה בהתאם לשינויים ארגוניים או חקיקתיים.
בכל שאלה או בקשה הקשורה למדיניות פרטיות זו, ניתן לפנות אלינו:
כתובת: פי גלילות, רמת-השרון.