הצעת הוראה לבעלי רישיון או אישור שירותי תשלום או ייזום בסיסי בעניין אמצעים טכנולוגיים ואבטחת מידע
לקוחות וידידים נכבדים,
ביום 26.02.2024 פרסמה רשות ניירות ערך להערות הציבור "הצעת הוראה לבעלי רישיון או אישור שירותי תשלום או ייזום בסיסי בעניין אמצעים טכנולוגיים ואבטחת מידע" וזאת כחלק מחבילת ההוראות והכללים שהרשות נדרשת לפרסם לקראת כניסתו הצפויה בתאריך 6 ביוני 2024 של חוק הסדרת העיסוק בשירותי תשלום וייזום תשלום, התשפ"ג – 2023 (להלן: חוק הסדרת העיסוק בשירותי תשלום").
ההוראה המוצעת קובעת מודל בו קיימים שלושה מעגלי בקרה שמטרתם לוודא יישום מטרות הוראה זו לרבות צמצום סיכוני טכנולוגיית המידע אצל בעל הרישיון. מעגל הבקרה הראשון כולל את בעלי התפקידים בחברה העוסקים בתחום טכנולוגיית המידע אשר אמונים על המערכות, התהליכים ופעילויות אבטחת המידע (למשל יחידות טכנולוגיית המידע והתפעול); מעגל הבקרה השני כולל את הממונה על אבטחת מידע והגנת סייבר; ומעגל הבקרה השלישי כולל את המבקר. לצד המעגלים לעיל חלה אחריות כוללת בנושא סיכוני טכנולוגיית מידע על דירקטוריון בעל הרישיון אשר נדרש לאשר ולפקח אחר יישומן של דרישות הוראה זו בבעל הרישיון. עוד יודגש כי ההוראה קובעת מהם התהליכים, הנהלים ויתר המסמכים הנדרשים לבעל הרישיון לצורך עמידה בדרישותיה. עם זאת, הדגש הניתן בהוראה הוא על הטמעה, יישום וניטור אחר נאותות היישום של אותם מסמכים, כך שבעל הרישיון אינו יכול להסתפק בכתיבתם של המסמכים הנדרשים בלבד.
ההוראה המוצעת כוללת את הפרקים הבאים:
• פרק א' מפרט את ההגדרות הרלוונטיות לצורך ההוראה.
• פרק ב' מתמקד בממשל התאגידי ובדרישה לחלוקה ברורה של האחריות אצל בעל הרישיון, לרבות אחריות הדירקטוריון בנושא סיכוני טכנולוגיית מידע;
• פרק ג' עוסק בחובה של בעל הרישיון להכין אסטרטגיית טכנולוגיית מידע, אשר הולמת את האסטרטגיה העסקית הכוללת של בעל הרישיון;
• פרק ד' עוסק בחובת בעל הרישיון לנהל ולהפחית את סיכוני טכנולוגיית המידע באמצעות ממונה אבטחת מידע, עצמאי ואובייקטיבי, שיהיה מופרד כראוי מתהליכי תפעול טכנולוגיית המידע ושאינו המבקר. כמו כן, בעל רישיון נדרש לתחזק מיפוי עדכני של התהליכים העסקיים, תהליכים תומכים ונכסי מידע ולסווג אותם במונחים של חיוניות, בהתבסס על סודיות, אמינות וזמינות של מידע. בהמשך לכך, בעל רישיון נדרש להעריך את הסיכונים התפעוליים הקשורים לסיכוני טכנולוגיית מידע שמשפיעים עליו, וכן להחליט אילו אמצעים נדרשים כדי לצמצם את הסיכונים שזוהו. במסגרת ההוראה המוצעת יידרש בעל הרישיון לוודא את האפקטיביות של האמצעים לצמצום סיכונים בהם הוא נוקט, כפי שהוגדרו במסגרת ניהול הסיכונים שלו, זאת בפרט כאשר הוא נעזר בצדדים שלישיים. אמצעים להפחתת סיכונים בקשר לצדדים שלישיים כאמור ייקבעו במסגרת הסכמים והסדרי רמת שירות, ואולם על בעל הרישיון לפקח, לנטר ולוודא את עמידתם של אותם צדדים שלישיים בהסכמים והסדרי רמת השירות;
• פרק ה' קובע את הדרישות בקשר עם אבטחת מידע כשהמידע מוחזק במערכות טכנולוגיית המידע, לרבות דרישות ליישום אמצעי אבטחת מידע אפקטיביים; הכנה ויישום של מדיניות אבטחת מידע; הטמעה ובדיקת אמצעי אבטחת במידע; והכנת תכנית הדרכות לכל עובדי בעל הרישיון וצדדים שלישיים;
• פרק ו' מתייחס לעקרונות כלליים לגבי ניהול פעולות טכנולוגיית מידע, כולל דרישות לשפר, ככל האפשר, את היעילות של פעולות טכנולוגיית המידע; יישום נהלי תיעוד וניטור בעניין פעולות טכנולוגיית מידע חיוניות; תחזוקה ועדכון של רשימת נכסי טכנולוגיית מידע; ניטור וניהול מחזור החיים של נכסי טכנולוגיית מידע; ויישום של נהלים בעניין גיבוי ושחזור מידע ומערכות טכנולוגיית מידע וכן בעניין ניהול תקלות ואירועי טכנולוגיית מידע;
• פרק ז' עוסק בדרישות בקשר עם ניהול שינויים בתחום טכנולוגיית מידע, כולל רכישה ופיתוח של מערכות מידע. בעל רישיון נדרש לוודא שנערכים לגבי כל שינוי מערכות טכנולוגיית מידע – הערכה ובדיקה, אישור ויישום באופן מבוקר, מתוך מטרה לוודא ששינויים בטכנולוגיית מידע מנוהלים ומפוקחים ושהפיתוח של יישומים מנוטר בזהירות משלב הבדיקות לשלב הייצור;
• פרק ח' עוסק בדרישות בנוגע לניהול המשכיות עסקית ולגיבוש של תכנית תגובה והתאוששות, כולל בחינתן ועדכונן בהתבסס על תוצאות הבחינה. בעל רישיון נדרש לוודא שיש לו אמצעי תקשורת יעילים בעת משבר כך שכלל הגורמים הרלוונטיים יוכלו להיות מעודכנים באופן ובזמן ראוי;
• פרק ט' קובע את הדרישות בנוגע לניהול יחסי בעל הרישיון והלקוחות, כולל דרישות לאפשר ללקוח להשבית פונקציות תשלום ספציפיות (ככל שהדבר מתאפשר במסגרת השירות המוצע), וכן דרישות לתת ללקוחות המעוניינים בכך התראות לגבי ייזום עסקאות או ניסיונות כושלים ליזום עסקאות תשלום, ולספק ללקוחות תמיכה בנוגע לשאלות הקשורות לאבטחת מידע והגנת הפרטיות;
• פרק י' עוסק בדרישות שבעלי רישיון יעמדו בהוראות חוק הגנת הפרטיות והתקנות מכוחו, וכן שתקשורת של בעל רישיון המכילה מידע רגיש מול כל גורם, תעשה בפרוטוקול סטנדרטי ובתעבורה מוצפנת על פי הטכנולוגיות העדכניות הקיימות בשוק. עוד נקבעו שם דרישות בעניין תהליך ניטור והגבלת גישה למידע רגיש, וכן דרישות בעניין איסוף מידע סטטיסטי.
ביישום הוראה מוצעת זו, בעל רישיון ייקח בחשבון וישקול לאמץ תקנים בינלאומיים קיימים ושיטות עבודה מומלצים ומובילים בתחום טכנולוגיית מידע ואבטחת מידע למגזר הפיננסי. כמו כן, בעל רישיון יקיים הוראה זו באופן מלא ובהתחשב בגודלו, המבנה הארגוני הפנימי שלו, ואת אופי, היקף, מורכבות ומידת הסיכון המאפיינים את השירותים והמוצרים שבעל הרישיון נותן או מתכוון לתת.
לצד ההיערכות הרגולטורית לדרישות החדשות, ההיערכות לעמידה בדרישות אלו מצריכה חשיבה אסטרטגית וגם היערכות בפן העסקי וגיבוש תהליכי עבודה, מדיניות של ניהול יתרות נזילות וניהול סיכונים רגולטוריים ופיננסיים כאחד. בנוסף, חברות תשלומים הפועלות בהתאם לרישיון זר, נדרשות לבחון הנחיות אלו, במסגרת מכלול השיקולים, ולבחון אופן יעיל ביותר בגיבוש המבנה הרגולטורי לרישוי הפעילות בארץ.
הוראות אלה יחולו על חברות תשלומים כהגדרתן בחוק הסדרת העיסוק בשירותי תשלום החל מ-6 ביוני 2024.
הערות ותגובות הציבור תתקבלנה עד ליום 31 במרץ 2024
בכבוד רב,
מחלקת רגולציה וניהול סיכונים
Regulatory and Risk Practice Department
KPMG סומך חייקין