מאחסנים נתוני לקוחות? ארבעה דברים שחשוב שתדעו

מידע ונתונים משמשים את הארגונים למגוון מטרות. היכולות לצבור (ולאחסן), לאחזר ולעבד נתונים, הן המכתיבות את אופיו ואת רמת פעילותו של הארגון, מכיוון שכל אחד מנתונים הרבים הנאגרים במערכת משמש נדבך לפחות לפעילות אחת אחרת של הארגון. למשל, הנתונים המיוצרים במערכת הנהלת החשבונות משמשים לצורך פיקוח על תזרים המזומנים של הארגון, נתוני מחלקת המכירות משמשים לצורך קבלת נקודת מבט עכשווית ומציאותית על נקודות חוזקה וחולשה וכן הלאה. אחד מסוגי הנתונים הנפוצים ביותר בשימוש הינם נתוני לקוחות.

מהם נתוני לקוחות?

נתוני לקוחות הם שם כולל לכל פריט מידע המתקבל על ידי ארגון ונוגע ללקוחותיו. אלה יכולים להיות נתונים כלליים כמו שם, כתובת או מצב משפחתי, מאידך, אלה יכולים להיות גם נתונים רגישים ובעייתיים יותר, כמספרי תעודות זהות, מספרי חשבון בנק, נתוני

כרטיסי אשראי, כתובות מייל וסיסמאות וכד’. הנתונים הללו יכולים להיות מאוחסנים בשרת האחסון המשרת את אתר הארגון, בענן של ספקיתשירותי מחשוב הענן של הארגון או בשרת הארגוני הלוקאלי. הכל תלוי בתחום העיסוק של הארגון, בדרכי פעולתו ובדרך בה “מיוצר” המידע.

אבטחת מידע והגנה על הפרטיות

אם אתם מאחסנים נתוני לקוחות, הנה מספר עובדות חשובות שרצוי שתדעו:

• מאגרי מידע המחויבים ברישום במשרד המשפטים – נושא הגנת על פרטיותם של לקוחות במאגרי מידע ממוחשבים נדון בפרק ב’ של חוק הגנת הפרטיות, התשמ”א-1981 והוא מחייב רישום של מאגר מידע בפנקס מאגרי מידע כאשר הוא עונה על אחד מהתנאים: המאגר מכיל מידע רגיש (נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו או מידע אחר ששר המשפטים קבע בצו שהוא מידע רגיש), מספר הרשומות במאגר המידע עולה על 10,000, מאגר המידע שייך לגוף ציבורי, מאגר המידע משמש לדיוור ישיר מכל סוג שהוא, המידע לא נמסר על ידי האנשים למאגר או שלא ניתנה הסכמתם להיכלל בו.

• תעודת SSL כאישור אבטחה – תעודת SSL מהווה אישור כי ההתקשרות בין הלקוח לשרת הינה מאובטחת וזהויות הצדדים המשתתפים בהתקשרות זו מאומתות, היא איננה אומרת דבר לגבי אמצעי האבטחה בה אתם נוקטים כדי להגן על מידע רגיש של הלקוחות.

• תקן PCI DSS – (ר”ת ל-Payment Card Industry Data Security Standard) – תקן שגובש על ידי חמש חברות כרטיסי אשראי גדולות לצורך הבטחת ההגנה על פרטי כרטיסי אשראי בכל סביבה בה נעשה טיפול בהם (אחסון, עיבוד, העברה וכו’). על פי שכל הגופים המטפלים בכרטיסי אשראי חייבות בהטמעת דרישות PCI DSS, למועצת PCI, הגוף המפקח, אין סמכויות אכיפה. הלחץ להטמעה על העסקים מגיע מחברות כרטיסי האשראי עצמן (כמו ויזה ומאסטרקארד) ומצד הלקוחות.

• נתוני לקוחות ומחשוב ענן – הוראות אגף שוק ההון לגופים המוסדיים אוסרות עליהם לאחסן נתוני לקוחות בענן/שרת שמחוץ למדינת ישראל, חוץ מבמקרים בהם ספקית שירותי הענן מחויבת לרמת הגנת פרטיות התואמת את הגדרות הגנת המידע והפרטיות של האיחוד האירופי ושל הדין הישראלי.

נתוני לקוחות הם אחד המשאבים החשובים ביותר שיש לארגון. לכן, נחוצים אמצעי אבטחת מידע מחמירים ותוכנית נהלים מגובשת, על מנת שארגון יוכל להגן עליהם כהלכה.