תקנות הפרטיות בישראל לא מבקשות ממך מסמך משפטי יפה, אלא הגנה אמיתית על המידע שאתה אוסף. כל אתר שמקבל פנייה דרך טופס, רושם לקוחות או מנהל הזמנות מחזיק "מאגר מידע", ועם כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף (אוגוסט 2025) האחריות לאבטח אותו הפכה מוחשית הרבה יותר. הצ׳קליסט הזה מתרגם את הדרישה הכללית ל"לנקוט אמצעי אבטחה סבירים" לפעולות קונקרטיות שאפשר לסמן V לידן.

הנקודה החשובה להבין מראש: אבטחת מידע ופרטיות הן שני צדדים של אותו מטבע. מדיניות פרטיות מצהירה מה אתה עושה עם המידע, ואבטחת מידע היא מה שמונע ממנו לדלוף. מסמך פרטיות מצוין על אתר פרוץ הוא הצהרה שאתה לא עומד בה.

למה זה נוגע גם לעסק קטן

נטייה נפוצה היא לחשוב ש"תקנות אבטחת מידע" מיועדות לבנקים ולחברות ביטוח. בפועל, רוב אתרי העסקים מנהלים מאגר ברמת אבטחה בסיסית או בינונית: שמות, טלפונים, כתובות מייל, ולעיתים פרטי הזמנות. ככל שאתה אוסף מידע רגיש יותר (מידע רפואי, פיננסי, מספרי תעודת זהות), כך עולה רמת האבטחה הנדרשת ממך.

הרגולטור לא מצפה ממך להגנה ברמת צבא. הוא מצפה לאמצעים סבירים ומתועדים. הצ׳קליסט שלמטה הוא בדיוק זה: הסביר והמתועד.

הצ׳קליסט: בקרת גישה והזדהות

  1. סיסמאות חזקות לכל חשבון ניהול. אין סיסמאות שחוזרות בין מערכות, אין admin123. סיסמה ייעודית וארוכה לכל משתמש.
  2. אימות דו-שלבי (2FA) על פאנל הניהול. זו ההגנה היחידה והזולה ביותר שמנטרלת כמעט לחלוטין השתלטות דרך גניבת סיסמה.
  3. הרשאות לפי תפקיד. לא כל עובד צריך הרשאת מנהל-על. כותב תוכן צריך הרשאת עורך, לא גישה למסד הנתונים.
  4. הסרת משתמשים ישנים. עובד שעזב או ספק שסיים פרויקט - חשבון הגישה שלו מבוטל באותו יום, לא "מתישהו".
  5. תיעוד מי ניגש למאגר. רשימה פשוטה של מי מורשה ולמה. זה חלק מהדרישה, וזה גם מה שמציל אותך אם משהו משתבש.

הצ׳קליסט: הגנה על התעבורה והשרת

  1. תעודת SSL תקפה (HTTPS) בכל עמוד. טופס שנשלח על חיבור לא מוצפן חושף את הנתונים בדרך. זה היום בסיס, לא תוספת.
  2. חומת אש (WAF) ברמת האתר או השרת. חוסמת ניסיונות הזרקה והתקפות אוטומטיות לפני שהן מגיעות לקוד.
  3. עדכוני אבטחה שוטפים. ליבת המערכת, התוספים והתבניות מעודכנים. תוסף מיושן הוא הסיבה מספר אחת לדליפות מידע באתרי וורדפרס.
  4. הגבלת ניסיונות התחברות. חסימה אוטומטית אחרי כמה ניסיונות כושלים מנטרלת התקפות brute force מול עמוד ההתחברות.
  5. הצפנת מידע רגיש במנוחה. אם אתה שומר נתונים רגישים במסד הנתונים, הם מוצפנים ולא בטקסט גלוי.

הצ׳קליסט: גיבוי, ניטור והתאוששות

תקנות הפרטיות דורשות לא רק למנוע אירוע, אלא גם להיות מוכן אליו.

  1. גיבוי אוטומטי ומנותק. גיבוי יומי או שבועי שנשמר מחוץ לשרת עצמו. גיבוי שיושב על אותו שרת שנפרץ אינו גיבוי.
  2. בדיקת שחזור. גיבוי שלא ניסית לשחזר ממנו הוא הימור. כדאי לוודא פעם בתקופה שהשחזור באמת עובד.
  3. ניטור פעילות חריגה. קבצים שהשתנו, משתמשים חדשים שלא יצרת, תעבורה חריגה. ככל שמזהים מוקדם, הנזק קטן יותר.
  4. נוהל לאירוע אבטחה. תיקון 13 מחדד את חובת הדיווח על אירוע אבטחה חמור. צריך לדעת מראש את מי מודיעים, איך, ובאיזה לוח זמנים.

הטעות שעולה הכי ביוקר: לבלבל בין מסמך להגנה

עסקים רבים מתקינים תוסף שמייצר מדיניות פרטיות אוטומטית, מסמנים V, וממשיכים הלאה. אבל מדיניות פרטיות היא הצהרה משפטית, לא אמצעי אבטחה. אם האתר עצמו רץ על תוספים מיושנים, בלי 2FA ובלי גיבוי תקין, יש לך מסמך שמבטיח הגנה שלא קיימת בפועל. במקרה של דליפה, הפער הזה בדיוק הוא מה שחושף אותך לחבות.

הדרך הנכונה היא לטפל בשתי השכבות יחד: הצד המשפטי (מה שמופיע במדיניות הפרטיות של האתר ובהסכמות שאתה אוסף) והצד הטכני (האבטחה שמאחורי הקלעים). תיקון 13 לחוק הגנת הפרטיות ממסגר את שני הצדדים כמכלול אחד.

איך OCW סוגרת את הפער

הצ׳קליסט הזה הוא בדיוק מה שחבילת אחריות 360 של OCW מתחזקת באופן שוטף, על פני ארבעה פילרים: אבטחה, נגישות, פרטיות ותחזוקה טכנית. במקום שתרדוף אחרי עדכונים, 2FA וגיבויים בכל חודש מחדש, השכבה הזו רצה ברקע: עדכוני אבטחה, חומת אש, גיבוי מנותק עם בדיקת שחזור, וניטור פעילות חריגה. אם אתה רוצה תמונת מצב לפני שאתה מתחייב, אנחנו עושים בדיקת אבטחה לאתר ומראים לך בדיוק איפה הפערים. אפשר לפנות דרך עמוד יצירת הקשר.

שאלות נפוצות

האם כל אתר עם טופס יצירת קשר מנהל "מאגר מידע"? ברגע שאתה אוסף ושומר פרטים מזהים של אנשים (שם, טלפון, מייל) באופן שיטתי, מדובר במאגר מידע שחלות עליו תקנות הפרטיות. היקף החובות תלוי בכמות וברגישות המידע.

מה ההבדל בין מדיניות פרטיות לאבטחת מידע? מדיניות פרטיות היא מסמך שמצהיר מה אתה אוסף, למה, ועם מי אתה משתף. אבטחת מידע היא מערך הפעולות הטכניות שמונע מהמידע הזה לדלוף או להיגנב. החוק דורש את שניהם, והם משלימים.

האם תוסף אבטחה אחד מספיק כדי לעמוד בתקנות? לא. תוסף הוא רכיב אחד (לרוב חומת אש וניטור), אבל עמידה בתקנות דורשת גם 2FA, ניהול הרשאות, גיבוי מנותק, נוהל לאירוע ועדכונים שוטפים. זו מערכת, לא לחיצת כפתור.

מה קורה אם יש דליפת מידע באתר שלי? תיקון 13 מחדד את חובת הדיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות, ובמקרים מסוימים גם ליחידים שנפגעו. נוהל מסודר וגיבוי תקין הם ההבדל בין אירוע מנוהל לבין משבר.