- שאלון הערכת תוכנות ופלטפורמות לפני פנייה לצוות ה-CISO

שאלון זה יסייע לך להחליט האם יש צורך לפנות לצוות ה-CISO בנוגע לתוכנות או פלטפורמות שברצונך להשתמש בהן בטכניון.

א. סינון ראשוני

1. האם התוכנה מעבדת נתונים אישיים (של עובדים, לקוחות, סטודנטים וכו')?(חובה)
נתונים אישיים כוללים כל מידע הקשור לאדם מזוהה או ניתן לזיהוי. בהקשר של מערכות מידע, יש לבחון האם התוכנה אוספת, מאחסנת, או מעבדת מידע כגון: שמות, כתובות דוא"ל, מספרי טלפון, מספרי זהות, נתוני לימודים, פרטי תשלום, וכו'. עיבוד נתונים אישיים מחייב עמידה בדרישות אבטחה והגנת פרטיות.
2. האם היישום מתוכנן לשמש בתהליכי קבלת החלטות המשפיעים על אנשים?(חובה)
תהליכי קבלת החלטות המשפיעים על אנשים הם תהליכים שעשויים להשפיע על זכויות, הזדמנויות או תנאים של אנשים. למשל: מערכת לקבלת סטודנטים, מערכת לניהול משאבי אנוש, מערכת לניהול תקציבים וחלוקת משאבים, וכד'. יישומים כאלה מחייבים בחינה מדוקדקת של ההשלכות האתיות והמשפטיות.
3. האם בתוכנה יש מרכיב של לוגים של פעילויות המשתמשים?(חובה)
לוגים של פעילויות משתמשים הם רישומים של פעולות שמשתמשים מבצעים במערכת. בדוק האם התוכנה: מתעדת כניסות למערכת, מתעדת פעולות שמשתמשים מבצעים, שומרת היסטוריה של שינויים, מנטרת התנהגות משתמשים. לוגים כאלה עשויים להכיל מידע רגיש ומחייבים התייחסות מיוחדת מבחינת אבטחת מידע והגנת פרטיות.
4. האם בדקת שתנאי הרישיון ותנאי השימוש של התוכנה מתאימים למטרות הארגוניות?(חובה)
יש לבדוק האם הרישיון מאפשר את סוגי השימוש וההתאמות הדרושות לארגון: שימוש פנימי, הפצה פנימית, אינטגרציה עם מערכות קיימות. כמו כן, יש לעיין בתנאי השימוש ולוודא שאין הגבלות המפריעות למטרות הארגוניות. שימו לב לשימוש להוראה, מחקר, או שימושים אחרים.

ב. הערכת פעילות עיבוד נתונים

5. האם מיפית את הנתונים האישיים הנשמרים ומעובדים במערכת והגדרת את מטרות העיבוד?(חובה)
מיפוי נתונים אישיים הוא תהליך של זיהוי וקטלוג המידע האישי שנאסף, נשמר ומעובד במערכת. יש לזהות: אילו סוגי נתונים אישיים נאספים, היכן הם מאוחסנים, מי יכול לגשת אליהם, לאילו מטרות הם משמשים, כמה זמן הם נשמרים.
6. האם העיבוד הכרחי ומידתי ביחס למטרות שהוגדרו?(חובה)
עיקרון המידתיות דורש שעיבוד נתונים אישיים יהיה הכרחי להשגת המטרה המוגדרת ולא יחרוג ממה שנדרש. יש לבחון: האם כמות המידע האישי שנאסף היא המינימום הנדרש להשגת המטרה (Data Minimization), האם תקופת האחסון של המידע סבירה ביחס למטרה.
7. האם בדקת את התחייבויות הספק בהקשר למיקום נתונים והעברת נתונים בין מדינות?(חובה)
יש לבדוק היכן הנתונים מאוחסנים פיזית (באיזו מדינה/אזור) ואם הם מועברים בין מדינות שונות. העברת נתונים בין מדינות כפופה לחוקי הגנת מידע שונים. במיוחד חשוב לבדוק: האם הספק מתחייב לאחסן נתונים באזורים ספציפיים, האם ישנן הגבלות על העברת נתונים.

ג. הערכת הספק

8. האם הספק ממוקם בתוך האיחוד האירופי?(חובה)
מיקום הספק משפיע על המסגרת החוקית והרגולטורית שחלה על עיבוד הנתונים. ספקים הממוקמים באיחוד האירופי כפופים ל-GDPR (התקנה הכללית להגנת מידע), שנחשבת לאחת המסגרות המחמירות והמקיפות ביותר להגנת מידע ופרטיות.
9. האם בדקת אילו אמצעי הגנה יש לספק? (תקני אבטחה, הסמכות וכו')(חובה)
יש לבדוק אם הספק עומד בתקני אבטחה והסמכות מוכרים, כגון: ISO 27001 (תקן ניהול אבטחת מידע), SOC 2 (בקרות אבטחה לספקי שירות), GDPR (תאימות לתקנת הגנת המידע האירופית), תקני אבטחה ענפיים ספציפיים.
10. האם הספק מעבד את המידע? (בניגוד לשומר בלבד)(חובה)
יש הבדל משמעותי בין ספק שרק שומר מידע (למשל, ספק שירותי אחסון) לבין ספק שמעבד את המידע באופן פעיל (למשל, מנתח, ממיין, משנה, ממזג). ספק שמעבד מידע נחשב ל"מעבד מידע" ויש לו אחריות וחובות נוספות מבחינת חוקי הגנת מידע.
11. האם בדקת את התחייבויות הספק (הסכמי השירות, סודיות וכד') ותנאי הרישיון עם הספק?(חובה)
בדיקת התחייבויות וחוזי הספק היא חיונית להבטחת הגנה משפטית. יש לבדוק: הסכמי שירות (SLA) והתחייבויות לזמינות המערכת, הסכמי עיבוד מידע (DPA) המפרטים את אחריות הספק לאבטחת המידע, הסכמי סודיות (NDA) להגנה על מידע סודי.

ד. שאלות נוספות

12. האם התוכנה מעבדת מידע אישי רגיש (כגון נתונים רפואיים או ביומטריים)?(חובה)
מידע אישי רגיש כולל קטגוריות מיוחדות של מידע שדורשות הגנה מוגברת לפי חוקי פרטיות. מידע זה כולל: נתונים רפואיים או בריאותיים, מידע ביומטרי (טביעות אצבע, זיהוי פנים), מידע גנטי, מוצא גזעי או אתני, דעות פוליטיות או אמונות דתיות, נתונים על עבר פלילי.
13. האם היישום כולל תהליכי קבלת החלטות אוטומטיים המשפיעים על אנשים?(חובה)
תהליכי קבלת החלטות אוטומטיים הם תהליכים שבהם מחשב או אלגוריתם מקבל החלטות לגבי אנשים ללא התערבות אנושית משמעותית. דוגמאות כוללות: מערכות סינון מועמדים, אלגוריתמים לדירוג או ציון, מערכות לקביעת זכאות, מערכות לחיזוי התנהגות או ביצועים.
14. האם מדובר בפתרון שישמש מחלקות שונות (שימושים שונים)?(חובה)
פתרון שמשמש מחלקות שונות מעלה סוגיות מורכבות יותר של אבטחה והגנת פרטיות. יש לבחון: הרשאות גישה והפרדת תפקידים בין המחלקות השונות, שונות בדרישות ובצרכים של כל מחלקה, התאמת התצורה והגדרות הפרטיות לכל מחלקה.
15. האם התוכנה עובדת על נתונים של קבוצות פגיעות במיוחד (קטינים, מידע רפואי וכד')?(חובה)
קבוצות פגיעות הן קבוצות אוכלוסייה שדורשות הגנה מיוחדת בהקשר של עיבוד נתונים. קבוצות אלה כוללות: קטינים (ילדים מתחת לגיל 18), אנשים עם מוגבלויות, אנשים הסובלים ממצבים רפואיים, סטודנטים ואנשים במסגרות חינוכיות.

מתי לפנות לצוות ה-CISO?

  • כאשר התוכנה מעבדת מידע אישי ובמיוחד רגיש (כגון נתונים רפואיים או ביומטריים)
  • כאשר היישום כולל תהליכי קבלת החלטות אוטומטיים המשפיעים על אנשים
  • במקרה של עיבוד הנתונים בעל סיכון גבוה לזכויות הפרט
  • במקרים של חוסר ודאות – בין אם בתחום האבטחה, פרטיות או תנאי הרישיון
  • בעת שימוש בפתרון עבור מחלקות שונות או עיבוד נתונים של קבוצות פגיעות במיוחד
Accessibility by WAH