תוצאות חיפוש

חוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים) הוא החוק המרכזי בהסדרת מעמדם של נותני השירותים הפיננסים בישראל. חוק זה עוסק ביצירת רגולציה פיננסית חדשה, שייעודה לפקח על שוק השירותים הפיננסיים, ובכללם נותני שירותים פיננסיים , שלא היו נתונים בחלקם תחת פיקוח ואסדרה קודם לחקיקת חוק זה. תאריך תחילת תוקף כניסת החוק השירותים הפיננסיים לנותני שירותי אשראי נקבע ליום 1 ביוני 2017, ולנותני שירות בנכס פיננסי נקבע ליום 1 ביוני 2018. הגדרה - נותן שירותי מטבע הגדרת נותן שירותי מטבע היא רחבה וכוללת את מי שנותן אחד או יותר מן השירותים האלה: · שירותי המרת מטבע · מכירה או פידיון של המחאות נוסעים (הנקראים גם טרבל צ'קס) · קבלת נכסים פיננסיים במדינה אחת כנגד העמדת נכסים במדינה אחרת · החלפת שטרות · ניכיון צ'קים ושטרי חליפין הגדרה - נותני שירותים פיננסיים נותני שירותים פיננסיים יכולים לכלול את נותני השירות הבא: · שירותי ניכיון צ'קים · שירותי מימון (הלוואה לכל מטרה) · חברות השקעות · חברות מימון · מתן שירות להמרת מטבע חוץ · העברות כספים בינלאומיות · מתן אשראי חוץ בנקאי · מפיצי כרטיסים נטענים, ארנקים אלקטרוניים ומאגדים (פריפייד) · נותני שירות במטבעות קריפטוגרפיים כגון ביטקוין, קריפטו, לייטקוין, איתריום, בלוקצ'יין, ריפל, מונרו ועוד · חברות אשר מספקות שירותי הלוואות חברתיות קיימים חמישה סוגי רישיונות לשירותים הפיננסיים המוגדרים בחוק: 1. רישיון למתן אשראי 2. רישיון למתן שירות בנכס פיננסי 3. רישיון להפעלת מערכת לתיווך באשראי 4. רישיון לשירותי פיקדון ואשראי 5. רישיון הנפקה קבלת רישיון חוק הפיקוח על שירותים פיננסיים מגדיר כי עסק העוסק במתן שירותים פיננסיים יחויב ברישיון למתן שירות בנכס פיננסי ו/או רישיון למתן אשראי אותו אפשר לקבל דרך פורטל רישוי שירותים פיננסיים. על פי פרק ג', סעיף 12 (א) בחוק, "לא יעסוק אדם במתן שירות בנכס פיננסי או במתן אשראי אלא אם כן בידו רישיון למתן שירות בנכס, פיננסי או רישיון למתן אשראי, לפי העניין, ובהתאם לתנאי הרישיון". לאחר רישומם וקבלת הרישיון עסקים הנותנים שירותים פיננסיים יופיעו במאגר נותני שירותי מטבע. החוק חל על תאגידים ויחידים העוסקים במתן שירותים פיננסיים. רוצים לקבוע פגישת ייעוץ חינם ולהגן על העסק שלכם? אנו מתמחים בשוק ההון ומעניקים שירותי ייעוץ, בקרת סיכונים וביקורת פנימית לגופים הפעילים בשוק ההון, לרבות בנקים, חברות ביטוח, חברי בורסה, מנהלי קרנות נאמנות, חברות לניהול תיקים, חברות המנהלות קופות גמל, חברות המנפיקות תעודות סל, חברות המנפיקות מוצרים מובנים וחברות נאמנות. מוזמנים לתאם איתנו פגישת ייעוץ ללא התחייבות עו"ד מיכאל גילינסקי נייד 052-4326617 | טלפון: 03-5616303 | מייל: info@audit-fa.co.il דרישות וחובות על מנת לקבל רישיון קיימות מספר דרישות וחובות בהם יש צורך לעמוד בכדי לקבל רישיון למתן שירות בנכס פיננסי/רישיון למתן אשראי: · עמידה בהון עצמי מינימלי לנותן שירותים בנכס פיננסי ולנותן שירותי אשראי · יכולת מספקת של העסק לעמוד בחובות הרישוי (נהלים, ידע) ובמקרה של תאגיד בחינת כשירותם של נושאי המשרה, בעלי השליטה ובעלי העניין · יכולת העסק לעמוד בתוכנית עיסקית שנקבעה מראש, ובדיקה האם יש למבקש הרישיון אמצעים כספיים מספקים ומקורות מימון. כיצד מקבלים רישיון של נותן שירותים בנכס פיננסי? את הבקשה לקבלת רישיון ניתן להגיש במערכת המקוונת באתר של רשות שוק ההון. יש צורך לצרף מסמכים, השלב הבא הוא בדיקה טכנית כי הבקשה מולאה כראוי, לאחר מכן ייתכן כי תתקבל בקשה להשלמת מסמכים חסרים ולבסוף תתבצע בדיקה מהותית של הבקשה. תוך 70 יום ניתן לדעת האם הבקשה אושרה או נדחתה. מסמכים עיקריים הנדרשים בעת בקשת רישיון · טופס פרטי מבקש רישיון · טופס סניפים · מפה של אזור הסניף עם סימון של מיקום הסניף עליה · הסבר מילולי על מיקום הסניף ודרכי הגעה אליו · מצב חשבון הכולל יתרת חוב ממס הכנסה · מצב חשבון הכולל יתרת חוב ממס ערך מוסף · כתב הסכמה למתן הרשאה למפקח או למי מטעמו לקבל מידע אודות המבקש מן המרשם · במקרה של תאגיד, יש לקבל הסכמה בכתב של: נושא משרה, בעל שליטה, ענין והשפעה · אם מבקש הרישיון הורשע בעבירה - העתק מכתב האישום, פסק הדין הסופי וגזר הדין אם ניתנו · תצהיר על כשירות בעל רישיון, עיסוקים נוספים ונכונות הנתונים בבקשה · בתאגיד – דוח כספי לשנה קודמת ודוח סקור לרבעון אחרון הגדרת נכס פיננסי נכס פיננסי מוגדר כמזומן, שיק (שטר חוב או שטר חליפין), המחאת נוסעים או המחאה בנקאית או פיקדון כספי. מי נדרש להחזיק ברישיון נותן שירותים בנכס פיננסי? עסקים בתחום מתן שירותים בנכס פיננסי ללקוחות בישראל כדרך עיסוק, אשר אינם מפוקחים במסגרת פיקוחית אחרת ולא קיים לגבי פעילותם פטור ייעודי בחוק או בתקנות רלוונטיות נדרשים להחזיק ברישיון. הרישיון ניתן על ידי רשות שוק ההון, ביטוח וחסכון. במידה והפעילות מערבת פעילות שיש בה רכיב של מימון, נדרש לבחון גם בקשה לרישיון למתן שירותי אשראי. בהתאם להוראות סעיף 11 לחוק הפיקוח, להלן רשימת השירותים עבורם נדרש לקבל רישיון למתן שירותים בנכס פיננסי: · מזומן · שיק, שטר חוב או שטר חליפין כמשמעותם בפקודת השטרות · המחאה בנקאית או המחאת נוסעים · פיקדון כספי · נייר ערך למוכ”ז כמשמעותו בחוק החברות · לוחית או חפץ המיועדים לרכישת נכסים או שירותים, שניתן לצבור בהם ערך כספי מעל סכום שקבע השר · מטבע וירטואלי רוצים לקבוע פגישת ייעוץ חינם ולהגן על העסק שלכם? אנו מתמחים בשוק ההון ומעניקים שירותי ייעוץ, בקרת סיכונים וביקורת פנימית לגופים הפעילים בשוק ההון, לרבות בנקים, חברות ביטוח, חברי בורסה, מנהלי קרנות נאמנות, חברות לניהול תיקים, חברות המנהלות קופות גמל, חברות המנפיקות תעודות סל, חברות המנפיקות מוצרים מובנים וחברות נאמנות. מוזמנים לתאם איתנו פגישת ייעוץ ללא התחייבות עו"ד מיכאל גילינסקי נייד 052-4326617 | טלפון: 03-5616303 | מייל: info@audit-fa.co.il סוגי הרישיונות העיסוק במתן שירות בנכס פיננסי/מתן אשראי מחייב רישיון, כאשר הוא יכול להיות בסיסי/מורחב. החוק קובע כי בעל רישיון למתן שירות בנכס פיננסי יהיה בעל הון עצמי מזערי. בעלי רישיון בסיסי: הון עצמי מזערי בסך 300,000 ₪, כאשר חופשי מכל שיעבוד או עיקול. בעלי רישיון מורחב: הון עצמי מזערי בסך 1,000,000 ₪, כאשר הוא חופשי מכל שיעבוד או עיקול. במקרה בו נש"מ (נותן שירותי מטבע) שעד כה היה בעל רישיון נש"מ ועסק גם במתן אשראי, הוא יחוייב בשני רישיונות: רישיון מתן שירות בנכס פיננסי וכן רישיון למתן אשראי. מי לא חייב ברישיון על פי חוק הפיקוח על שירותים פיננסיים · הבורסה לניירות ערך · חברה אשר מעניקה שירותי כספיים מטעם חברת הבת שלה (חברה אשר חברה אחרת מחזיקה בחמישים אחוזים או יותר מן הערך הנקוב של הון המניות המוצא שלה או מכוח ההצבעה שבה או רשאית למנות מחצית או יותר מהמנהלים או את המנהל הכללי שלה) · מבטח (תאגיד הנשלט על ידי המבטח או תאגיד שהמבטח מחזיק ביותר מ- 20% באחד מאמצעי השליטה בו) · חברה שקיבלה רישיון מנהלת · זירת סוחר כפי שמוגדרת בחוק ניירות ערך · חבר בורסה · מנהל תיקי השקעות · מסלקת הבורסה לניירות ערך בתל אביב בע"מ; מסלקת מעוף בע"מ; תאגיד אחר, בשליטת בורסה העוסק בסליקת ניירות ערך. וכמו כן מי שאושר על ידי המסלקה כחבר מסלקה, למעט בנק ישראל · מערכת תשלומים שהוכרזה על ידי הנגיד כמערכת מבוקרת · סולק- בעל רישיון סליקה · תאגיד הנשלט על ידי הסולק או תאגיד שהסולק מחזיק ביותר מ- 20% באחד מאמצעי השליטה בו · תאגיד בנקאי ותאגיד עזר · תאגיד שהוקם על פי הדין · אדם העוסק ברכישת איגרות חוב שהוצעו לציבור על פי תשקיף · מנהל קרן שאושר בידי יושב ראש הרשות לפי סעיף 4 לחוק השקעות משותפות בנאמנות, התשנ"ד-1994 הגוף האחראי על נותני שירותים פיננסיים הגוף הרישמי המטפל בנותני שירותי מטבע ונותני שירותים פיננסיים מוסדרים ומפקח עליהם הוא יחידת נותני שירותי מטבע באגף שוק ההון ביטוח וחיסכון במשרד האוצר. תפקיד הרשות הוא לשמש כרגולטור עם אחריות פיקוחית בתחומים שאינם היו מוסדרים כלל או מוסדרים באופן חלקי וחסר בענף הפיננסי במדינת ישראל. רגולציה של ענף נותני שירותים פיננסיים הפיקוח על נותני שירותי מטבע פועל משנת 2004 על סמך חוק איסור הלבנת הון, בו נקבעו הוראות רגולטוריות לעניין איסור הלבנת הון, ובו הוגדרו חלפני כספים כנותני שירותי מטבע (הנקראים גם נש"מ או נש"מים). החל מיוני 2017, בהדרגה, הפיקוח על נותני שירותים פיננסיים נעשה על סמך חוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים) שמסדיר את התחום וקובע בין היתר הוראות לעניין חובת רישוי, ממשל תאגידי והוראות שתכליתן הגנות צרכניות על הלווים – ולפיו חלפני כספים מוגדרים כנותני שירותים פיננסיים (נש"פ) ונדרשים להחזיק ברישיון מאת הרגולטור בהתאם לאופי פעילותם והיקפה. השינוי העיקרי החל במשך הזמן הוא שינוי הקטגוריה בה עוסקים חלפני הכספים שהפכו מ"נותני שירותי מטבע" לנותני שירותים פיננסיים", דבר הגורר פיקוח והסדרה רחבה והדוקה יותר מבעבר. רוצים לקבוע פגישת ייעוץ חינם ולהגן על העסק שלכם? אנו מתמחים בשוק ההון ומעניקים שירותי ייעוץ, בקרת סיכונים וביקורת פנימית לגופים הפעילים בשוק ההון, לרבות בנקים, חברות ביטוח, חברי בורסה, מנהלי קרנות נאמנות, חברות לניהול תיקים, חברות המנהלות קופות גמל, חברות המנפיקות תעודות סל, חברות המנפיקות מוצרים מובנים וחברות נאמנות. מוזמנים לתאם איתנו פגישת ייעוץ ללא התחייבות עו"ד מיכאל גילינסקי נייד 052-4326617 | טלפון: 03-5616303 | מייל: info@audit-fa.co.il הפרת החוק – סנקציות הפרה של החוק עלולה לגרור עיצומים כספיים (קנסות), ענישה פלילית ועילה לתביעה ייצוגית. בחוק נקבעו סנקציות העלולות לחול על מפר החוק כולל נושא משרה בתאגיד שהינו נותן שירות פיננסי ולכן יש להקפיד על קיום כל הוראות החוק, ביניהם: · תנאי הרישיון · דיווחים · יחסים נאותים בין נותן השירות לבין לקוחותיו · הקפדה על קיומם של הסכמים · גילוי נאות בהתאם להוראות החוק הקשר בין חוק הפיקוח על שירותים פיננסיים להלבנת הון חוק הפיקוח נועד, בין השאר, למנוע הלבנת הון, בה מוטמע רכוש שמקורו בביצוע פשיעה בתוך המערכת הפיננסית הלגיטימית והמוסדרת, כדי שיהיה ניתן להשתמש בו ללא חשש מרשויות האכיפה. הלבנת ההון בעולם ובישראל מתבצעת במרבית מקרים ע"י נותני שירותי מטבע במגוון דרכים שנועדו להסוות את מקור הכסף הכוללות העברות בין לאומיות מחוץ למערכת הבנקאית, המרות מטבע וניכיון צ'קים. להלבנת ההון השלכות כלכליות תדמיתיות ורבות ולכן הפיקוח בנושא זה הפך ליעד חשוב בחוק הפיקוח על שירותים פיננסיים. עד לכניסתו של חוק הפיקוח על שירותים פיננסיים לתוקף, האסדרה של נותני שירותי מטבע היתה מעוגנת בחוק איסור הלבנת הון, ומכוחו פורסם צו איסור הלבנת הון. כאשר נכנס חוק הפיקוח לתוקף, ההגדרה של "שירות בנכס פיננסי" כללה גם את המונח "שירותי מטבע" ואת נותני שירותי המטבע, כפי שהוגדר בחוק איסור הלבנת הון וכללה את כל הפעולות והשירותים הנעשים בנכסים פיננסיים דרך עיסוק, שאין בהם מתן אשראי. בין הנכסים הפיננסיים שהתווספו להגדרה נמנה גם "מטבע וירטואלי", מתוך כוונה לאפשר פיקוח גם על מתן שירותים פיננסיים בנכסים אלה. לסיכום אין ספק כי עיצומים יכולים ליצור נזק כלכלי ותדמיתי לכל עסק, והדבר נכון פי כמה כאשר מדובר בשירותים רגישים כמו שירותים פיננסיים, בהם רמת האמון שיש לתת לנותן השירות היא גבוהה במיוחד. בכדי להימנע מהפרה של החוקים וההוראות מומלץ לבצע מיפוי, לבדוק את תהליכי העבודה, הבקרות, הנהלים ולעשות בדק כל תקופה מסויימת. תפקידנו הוא לעזור ולצמצם את חשיפת העסק שלכם לתביעות ולסנקציות מנהליות ופליליות. עיקר עיסוקנו הוא הקמה וניהול תשתיות ותהליכי עבודה התומכים בהוראות הרגולציה, לצד קיום ממשל תאגידי על פי החוקים והתקנות השונים והעלאת המודעות בקרב עובדי החברה, על מנת למנוע הפרות עתידיות. שירותינו בתחום שוק ההון ביקורת פנים - אנו מציעים שירותי ביקורת פנים ורגולציה של שוק ההון לנותני שירותים פיננסיים, הן כמינוי למבקר הפנימי של הגוף והן כסיוע למבקר הפנימי בביצוע פרויקטים מסוימים במיקור חוץ. כתיבת נהלים – נהלים הם כלי חשוב בפיקוח ומניעה של מצבים בעייתים אליהם האירגון עלול להיקלע. כתיבת נהלים מאפשרים להסדיר את תהליך העבודה ובכללם גם את הבקרות המהוות חלק מהתהליך. בתהליך כתיבת הנהלים אנו לומדים את תהליכי העבודה הקיימים באירגון, משווים אותם אל מול הוראות החוק הרגולטוריות, בודקים מהם הפערים ומשנים אותם על פי הצורך כדי שייענו על הוראות אלו. בתהליך כתיבת נהלים ניתן להבין מהם תהליכי העבודה "הבזבזניים" מבחינת משאבים של תקציב וכוח אדם וניתן על סמך המסקנות לשנות אותם כך שיהיו יעילים וקצרים יותר. סקרי סיכונים – הסקר משמש כלי אשר בעזרתו יכולה הנהלת החברה להעריך ולכמת את הסיכונים הפוטנציאליים העומדים בפניה, לחשב את ההסתברות להתרחשותם ולהעריך את אפקטיביות הבקרות המופעלות על ידה. סקר סיכונים מזהיר ומצביע על תהליכים ואירועים פוטנציאליים שהתרחשותם עלולה לפגוע בפעילות החברה. על מנת להבטיח ניהולם הזהיר והתקין של הסיכונים השונים, יש ליישם עקרונות וכללים ברורים לזיהוי, מדידה, ניהול, מעקב ובקרה שוטפים אחר החשיפות לסיכונים השונים. סקר הסיכונים מהווה כלי יעיל לתפעול שוטף של החברה, לייעול ולחיסכון גדול במשאבים. סקר ציות – מטרתו של סקר ציות היא לבדוק את תהליכי העבודה בתאגיד ונהלי הבקרה הפנימית הקיימים, למול הוראות התקנות והחוקים החלים על התאגיד (אזרחיים ופליליים), לצורך איתור מקרים של חוסר התאמה להוראות החוק והצבעה על הסיכון לחשיפה משפטית כזאת או אחרת, ולצורך אבחון כשלים בתהליכי הבקרה הפנימית. בהתאם לממצאי הסקר, הלקוח מקבל ארסנל של שיפורים נדרשים, לרבות כתיבת נהלי עבודה והעמקת תהליכי הבקרה הפנימית בתאגיד, על מנת לצמצם את הסיכונים האמורים. בנוסף, ניתן להעמיק את הבדיקה במוקדים עתירי סיכון בכדי לאתר אי סדרים נוספים, באם קיימים. ייעוץ בנושא הגנת הפרטיות –מידע פיננסי הוא מידע רגיש הכולל נתונים כספיים המעידים על מצבו הכלכלי של אדם כגון היקף החובות שלו, היקף חסכונותיו, פרטי שיקים שניתנו ועוד. נתונים אלה הם בעלי השפעה מכרעת על קבלת החלטות בעניינו על ידי מגוון רחב של גורמים אשר באים עמו במגע יומיומי. מטבע הדברים, תקנות הגנת הפרטיות הנובעות מחוק הגנת הפרטיות חל כמובן גם על נותני שירותים פיננסיים ויש לפעול לפיהן. נשמח לייעץ בנושא, לבדוק את מידת הציות לחוק ולמנוע נזק כלכלי ותדמיתי לעסק שלכם. נשמח לסייע גם לכם לציית להוראות החוק ולייעל את עבודתכם השוטפת. השירות ניתן גם מרחוק וגם בזמן סגר קורונה. צרו קשר לכל שאלה או בירור בנושא עם עו"ד מיכאל גילינסקי, ראש תחום רגולציה בשוק ההון. נייד: 052-4326617 מייל: michaelg@audit-fa.co.il

חוק הפיקוח על שירותים פיננסיים נוצר בצל העובדה כי תחום השירותים הפיננסיים (נותני שירותים פיננסיים הנקראים בקיצור נש"פ או נותני שירותי מטבע הנקראים בקיצור נש"מ) הולך וגדל בשנים האחרונות ולא מעט חברות בתחום הפכו להיות ציבוריות או בדרכן להיות ציבוריות, כלומר עומדות להיות מונפקות בבורסה. לכן בחודש יוני 2018 חוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים) נכנס לתוקפו. הוראות חוק זה הסדירו לראשונה את פעילותם של גורמים שונים המספקים שירותים פיננסיים לעסקים, ובכלל זה גורמים העוסקים ב"מטבעות וירטואליים"כגון נכסים פיננסיים בצורת מטבעות קריפטוגרפיים כגון קריפטו, ביטקוין, לייטקוין, איתריום, בלוקצ'יין, ריפל, מונרו ועוד. לנוחיותכם, ניתן לאתר את כל החברות במאגר נותני שירותים פיננסיים בקישור זה. מהו חוק הפיקוח על שירותים פיננסיים? במסגרת החוק הוסכם ונקבע כי אופרציות שונות של נותן שירותים פיננסיים ייחשבו כמתן אשראי או מתן שירותים בנכסים פיננסיים, ולכן על מעניק האשראי או השירותים (המוכר גם בשם נותן שירותי מטבע) חובה נוספת שלא הייתה קיימת לפני כן: עליו לפנות אל רשות שוק ההון בבקשה לקבל רישיון מתאים לפעילות, וזאת באמצעות אתר פורטל רישוי שירותים פיננסיים. המפקח על נותני שירותים פיננסיים, לפי הוראות חוק הפיקוח על שירותים פיננסיים, הינו הממונה על שוק ההון, ביטוח וחסכון במשרד האוצר. ההיסטוריה של חוק הפיקוח על שירותים פיננסיים הרשות לאיסור הלבנת הון הוקמה בשנת 2002 כרשות מודיעינית הפועלת ע"פ הכללים הבינלאומיים למאבק בהלבנת הון אותם קבע ארגון ה-FATF והמפוקחים בישראל באמצעות ארגון MONEYVAL השייך למועצת אירופה. בשנת 2005, בעקבות חקיקת חוק איסור מימון טרור, שונה שם הרשות ל"רשות לאיסור הלבנת הון ומימון טרור". פעולתה של רשות זאת מצטרפת לפעולתם של משטרת ישראל, גופי הביטחון והרגולטורים השונים ומסייעת להם. הערך המוסף של הרשות הוא במאגר המידע הפיננסי האיכותי והייחודי שאותו היא מנהלת, המאפשר איתור חשדות להלבנת הון ומימון טרור, באמצעות שילוב של מידע ממקורות שונים, ובהם מידע המתקבל מרשויות זרות מקבילות בחו"ל. בשנת 2014 הוקם צוות בין משרדי בהוראתו של המשנה ליועץ המשפטי לממשלה ובחן את פעילותם של כלל נותני השירותים הפיננסיים במדינת ישראל. מהבחינה עלו מסקנות רבות בנוגע לענף שירותי המטבע כשהמסקנה הראשית היא שקיימים בישראל גופים רבים הפועלים כמוסדות פיננסיים לכל דבר ועניין, ומספקים לציבור שירותים פיננסיים רבים ומגוונים. גופים פיננסיים אלה מספקים שירותים מגוונים, בין היתר ניכיון שיקים, שירותי מימון כנגד רכישת חובות, שירותי מטבע חוץ, העברות כספים מחו"ל לישראל ומישראל לחו"ל, הלוואות חוץ בנקאיות וכן שירותים מעין-בנקאיים כגון פיקדונות כספיים. ענף הפיננסיים הוא ענף מאוד רחב במדינה, אך לצד זאת, הוא איננו מפוקח ומוסר בהתאם להיקפו והרגולציה היחידה שהייתה קיימת באותה שנה הוא חוק איסור הלבנת הון וצו איסור הלבנת הון (הכוללים מספר סעיפי יסוד, ביניהם חובה בסיסית הנקראת "הכר את הלקוח"). רגולציה זאת עוסקת בהיבטים הקשורים בתחום הלבנת ההון בענף שירותי המטבע ובכך למעשה מותירה תחומי פעילות רבים הניתנים על ידי מוסדות פיננסיים, מוסדרים בהיקף צר מאוד. הפיקוח הצר הקיים מהווה פתח לפעילות של גורמים עברייניים בענף, אשר מנצלים את ההסדרה המצומצמת לביצוע פעולות רבות של העלמת מיסים והלבנת הון. במקרים החמורים יותר, אירגוני הפשיעה מנצלים את נותני שירותי המטבע ונסמכים עליהם בכל הקשור לביטחונם הכלכלי. מעורבותם של אירגוני הפשיעה פוגעת במערכת אכיפת החוק בתחום נותני השירותים הפיננסיים, אולם משליכה גם על הציבור הרחב בכך שלעיתים נקלע למצב בו נדרש לקבל שירותים פיננסיים מגורמים עברייניים בצורה עקיפה. בתחילת שנות ה90 הוקמו ברוב מדינות העולם רשויות למלחמה בהון השחור שמקורו במעשי פשיעה (כגון פעילות פלילית, סחר בסמים, גביית דמי חסות, סחר בלתי חוקי בנשק וכדומה), וזאת לנוכח החשש הכבד כי פעילות הלבנת הון עלולה לערער את יציבותן של המערכות הפוליטיות, הכלכליות והחברתיות במדינות הדמוקרטיות. עוד מסקנה אליה הגיע הצוות הבין-משרדי היא כי במדינה מפותחת בעלת כלכלה מפותחת, כמו מדינת ישראל, שווקי הכספים וההון הינם שווקים בעלי חשיבות רבה ועליונה לפעילותו של המשק, וזאת משום שהם מספקים את האמצעים הכספיים המניעים את הפעילות העיסקית של המשק ומהווים קטר בנושא פיתוח המדינה. ולכן פועל יוצא מכך היא הדרישה כי פעילותם של שווקי ההון תהיה תקינה, יעילה והגונה וזאת יושג ע"י פיקוח הדוק. יישום כל המסקנות הנ"ל ייאפשר לכך שהגופים הפיננסיים יוכלו בסופו של דבר לשמש כתחליף ראוי לשירותי המערכת הבנקאית המוסדרת והמוסדית. כאמור, מסקנותיו של הצוות היא לגבי כל סוגי השירותים הפיננסיים הניתנים בענף זה, אך על פי הבדיקה שביצעו, תחום האשראי החוץ-בנקאי הינו תחום בו ההסדרה הרגולטורית בולטת בהיעדרה ונדרשת רגולציה אקטיבית, אשר תגן בין היתר על הציבור הרחב שנאלץ להתמודד עם תופעות לא רצויות, כמו קבלת שירותים פיננסיים בהם מעורבים אירגוני פשע ללא הגנה מהמדינה. בסופו של דבר וכפועל יוצא של המלצות ומסקנות הצוות, הוחלט להציע לקבוע רגולציה בכל הנוגע לפעילותם של נותני שירותי המטבע ונותני שירותי האשראי החוץ-מוסדי, אשר ייקראו יחד בשם "נותני שירותים פיננסיים חוץ מוסדיים" (ובהמשך שונתה הגדרתם בחוק ל"שירותים פיננסיים מוסדרים"). ביום 13.07.2016 הועברה הצעת החוק לקריאה שנייה ושלישית ובאותה שנה חוק הפיקוח על שירותים פיננסיים (שירותים פיננסיים מוסדרים) חוקק. מטרת חוק הפיקוח על שירותים פיננסיים והצורך בו מטרת החוק היא מינוי רגולטור פיננסי אשר יסדיר את ענף נותן שירותי מטבע, ואת ענף האשראי החוץ מוסדי, תחומים אשר היו בעבר לא מוסדרים או מוסדרים באופן שאינו מספק. החוק מעניק לרגולטור החדש את כל הסמכויות הנדרשות לפקח על גופים אלו באופן שיביא להתפתחותם וליצירת חלופה הולמת למערכת הבנקאית בתחום מתן השירותים הפיננסיים, ומצד שני, ימנע מגופי פשיעה וגורמים עבריינים מלעשות בהם שימוש למטרות בלתי חוקיות. הפרת החוק והשלכותיה להפרת החוק או לפעילות ללא רישיון מתאים (המונפק דרך פורטל רישוי שירותים פיננסיים) קיימות השלכות משמעותיות והן עלולות לגרום להטלת עיצום כספי וכן אחריות פלילית, אך בפועל גופים רבים אינם מודעים להשפעתו הישירה של החוק על פעילויותיהם העסקיות. קיימת דעה מוטעית שהחוק רלוונטי לחלפני כספים בלבד (צ'יינג'ים). גופים רבים אינם מודעים לכך שבכל הנוגע לנותני האשראי נכנס החוק לתוקף כבר ביום 01/06/2017, ואילו עבור נותני השירותים בנכסים פיננסיים נכנס החוק לתוקף ביום 01/06/2018. הגדרת נכס פיננסי החוק מגדיר נכס פיננסי כאחד מהאופציות הבאות: א. כסף מזומן ב. צ'ק, שטר חוב או שטר חליפין ג. המחאה בנקאית או המחאת נוסעים (הידועה גם בשם טרבל צ'ק) ד. פיקדון כספי ה. נייר ערך למוכ"ז (למביא כתב זה) כמשמעותו בחוק החברות ו. לוחית או חפץ אחר המיועדים לרכישת נכסים או שירותים, שניתן לצבור בהם ערך כספי מעל סכום שקבע השר ז. מטבע וירטואלי ח. נכס פיננסי אחר שקבע השר באישור ועדת הכספים של הכנסת מי נחשב נותן שירות פיננסי המחשבה המקובלת כיום היא שהחוק חל רק על צ'יינג'ים (חלפני כספים), אולם זוהי תפיסה שגויה. נותן שירות פיננסי כהגדרתו בהוראות חוק הפיקוח על שירותים פיננסיים מחייבות ברישוי כל אדם העוסק במתן שירות בנכס פיננסי או במתן אשראי, ביניהם בין השאר שירותי ניכיון צ'קים, שירותי מימון בצורה של הלוואה לכל מטרה, חברות השקעות ומימון ועוד. כיום ההגדרה של "אשראי" רחבה כל כך, כך שכל מי שהוא בעל פעילות של אשראי מכל סוג חייב לבדוק אם הוא לא נדרש לקבל רישיון. כמו כן, גם העיסוק במטבעות כדוגמת קריפטוגרפים או ביטקוין יחייב ברישיון, שכן החוק החדש הוא המתקדם ביותר בעיסוקו במטבעות אלה כיום. מעבר לכך, גוף העוסק במתן שירות פיננסי בהיקף נרחב מחויב גם ברישיון מורחב, אלא אם מתקיימים שני התנאים המצטברים הבאים: היקף הפעילות של אותו אדם אינו למעלה מפי שניים מהיקף הפעילות הנרחב המינימלי שנדרש בתנאי קבלת רישיון מורחב, והוגשה על ידו בקשה לקבלת רישיון מורחב (זאת במהלך 30 הימים ממועד התרחבות היקף פעילותו, ובתנאי שטרם ניתנה החלטה בבקשה). סוגי הרישיונות רישיון למתן שירות בנכס פיננסי מחולק בחוק לשני סוגים: “בסיסי” ו-“מורחב”, זאת בהתאם להיקף פעילות מחזיק הרישיון. א. רישיון למתן שירות בנכס פיננסי בסיסי ניתן כאשר מחזור העסקים אינו עולה על סך של 30 מיליון ₪. ב. רישיון למתן שירות בנכס פיננסי מורחב ניתן כאשר מחזור העסקים עולה על סך של 30 מיליון ₪. נותני שירות פיננסי החייבים ברישיון נותני שירותים מוסדרים מחולקים לגופים שנותנים שירותים מסוגים שונים: 1. אשראי חוץ בנקאי – הלוואות 2. ניכיון שיקים 3. המרת מטבע חוץ חוק הפיקוח על שירותים פיננסיים לצד תקופת קורונה משבר הקורונה לא פסח גם על תחום הפיננסים בישראל, כמו גם על שאר תחומי המשק והענף נאלץ להתאים עצמו ולהעניק הקלות והתאמות ללקוחותיו, ביניהם אפשרות מתן שירות מרחוק, גידול בסיכונים הפיננסיים עקב השבתת חלקים ניכרים מהמשק ועוד. מבחינת סיוע לענף, כאשר המדינה החליטה להעניק מענקים במסגרת תכנית הסיוע למגזר העסקי, בתחילה נקבעה הגדרה שלפיה גוף שהוא מוסד פיננסי, לא יהיה זכאי לקבל מענקים אלו – דבר שהשלכותיו המידיות היו ירידה דרמטית בפעילות בקרב חברות להמרת מט"ח היות שענף התיירות מושבת. גם חברות בתחום ניכיון הצ'קים נפגעו וספגו הפסדים בשל העלייה במספר הצ'קים החוזרים. לאחר פנייה אל ראש הממשלה בנימין נתניהו ולשר האוצר ישראל כץ הקורא להם לבטל את ההחלטה הזאת, החוק שונה והחברות הפיננסיות הקטנות כגון אלו העוסקות בהמרת מט"ח, בניכיון צ'קים ובהלוואות היו זכאיות לבקש מענק מהמדינה בזמן משבר הקורונה. בסגר הראשון - נותני שירותים פיננסיים לא הוגדרו כשירות חיוני ולכן נסגרו מתחילת המשבר. משרד האוצר החריג וקבע כי רק הגופים הגדולים בעלי צבר אשראי של מעל 200 מיליון שקל נחשבים "חיוניים". לאחר פנייה של פורום המייצגים של נותני שירותים פיננסיים לרגולטור, לאוצר ולמשרד הבריאות בבקשה לכלול את הנש"פים כעסק חיוני בתקנות לשעת חירום, התקבלה החלטה כי כלל המגזר הפיננסי ייחשב "חיוני". בסגר השני - המגזר הפיננסי, הכולל בתוכו בנקים, שוק ההון הוגדר כחיוני ופעל גם בזמן הסגר. בסגר השלישי - מקומות עבודה המספקים שירותים חיוניים כמו המגזר הפיננסי, אנרגיה, מיום ומזון) נחשבים חיוניים ונשארו פתוחים גם בזמן סגר, בתנאי שהעובדים הכרחיים לצורך אספקת השירות. השירותים שלנו משרדנו מספק שירותים למגוון רחב של ארגונים וחברות, ומתמחה בשירותים בתחום הציות והרגולציה וביצירת התשתית המשפטית הנדרשת לפעילות פיננסית. במסגרת זו, אנו מספקים שירותים בתחום איסור הלבנת הון לגורמים מתחומים שונים, אשר חלות עליהן הוראות מכח צו איסור הלבנת הון. בין לקוחותינו חברות שונות כגון חברות ביטוח, חברי בורסה, חברות מנהלות של קופות גמל, מנהלי תיקים, עורכי דין, חברות אשראי, חברות לניכיון צ'קים, חברות מימון ועוד. השירותים שלנו בתחום איסור הלבנת הון כוללים נושאים שונים של רגולציה בשוק ההון: 1. ייעוץ בנושא של איסור הלבנת הון – משרדנו צבר ניסיון במתן שירותים לנש"פים בתחום של איסור הלבנת הון. השירותים כוללים שירותי קצין ציות, עריכת סקרי סיכונים וסקרי ציות בתחום איסור הלבנת הון, סיוע בביצוע בקרות שוטפות, כתיבת נהלים, ייעוץ במילוי "הכר את הלקוח" ועוד. 2. ייעוץ בנושא הגנת הפרטיות – הסודיות הפיננסית משקפת את זכותו של אדם לשלוט במידע הפיננסי אודותיו. מידע פיננסי כולל נתונים כספיים המעידים על מצבו הכלכלי של אדם כגון היקף החובות שלו, היקף חסכונותיו, פרטי המחאות שניתנו ללא כיסוי ועוד. נתונים אלה הם בעלי השפעה מכרעת על קבלת החלטות בעניינו על ידי מגוון רחב של גורמים ואף עלולים לתייג אותו בקבוצת אוכלוסייה סוציו־אקונומית מסוימת, ומסיבה זו הם מהווים מידע רגיש. מטבע הדברים, תקנות הגנת הפרטיות הנובעות מחוק הגנת הפרטיות חל גם על העוסקים בתחום הפיננסיים ויש לפעול לפיהן. נשמח לייעץ בנושא, לבדוק את מידת הציות לחוק ולמנוע פירצות מידע לא רצויות העלולות לפגוע בלקוחותיכם ובמוניטין של החברה שלכם. 3. ייעוץ בנושא של הוראות רשות שוק ההון ביטוח וחסכון – כיום הרגולטור האחראי על הענף הוא הממונה על נותני שירותים פיננסיים. האם אתם פועלים על פי הוראות החוק? האם אתם יודעים אילו חוקים ותקנות חלים עליכם כנותני שירות? מוזמנים לבדוק זאת בעזרתנו. למשרדנו ניסיון רב בעבודה עם גופים מפוקחים על ידי רשות שוק ההון, ובכלל זה נש"פים. נשמח ללוות ולסייע גם לכם בהתאמת העסק להוראות הרגולציה השונות. שימו לב: בעת שיגרת קורונה השירות ניתן גם מרחוק. צרו קשר לכל שאלה או בירור בנושא עם עו"ד מיכאל גילינסקי, ראש תחום רגולציה בשוק ההון. נייד: 052-4326617 מייל: michaelg@audit-fa.co.il

בדיקות חדירה בתחום אבטחת המידע (באנגלית נקרא Penetration test , או בקיצור Pentest) היא ההגדרה של מתקפה מתוכננת ומבוקרת על מערכות מיחשוב, רשתות אירגוניות ויישומי אינטרנט של אירגון או חברה הנעשית על ידי בודק מקצועי ("האקר", pen-tester) במטרה למצוא פירצות אבטחה, לבדוק מהו פוטנציאל הגישה לפירצות אלו, כיצד ניתן להשתמש במידע הפרוץ וכדומה. בדיקות חדירה מדמה מצב מציאותי של תרחישי התקפה בהם יכול גורם עוין לעקוף את מערך האבטחה ברשת האירגונית ולנצל זאת לטובת פגיעה באירגון, בין אם מדובר בפגיעה במוניטין, פגיעה כלכלית וכדומה. אירגונים מסוגים שונים מחזיקים במערכות המיחשוב שלהם מידע רגיש ואישי, החל מכתובת הלקוח, דרך פרטי אמצעי התשלום ועד למצב הבריאותי, ומתוקף כך, הופכים למטרה עבור האקרים. האקרים, המכונים גם פושעי סייבר, מחפשים פירצות אבטחה באופן קבוע ולכן אירגונים צריכים לשכלל ולהקשיח את יכולות האבטחה שלהם ללא הרף. לכל אירגון קיימות מספר נקודות כניסה לרשתות האירגוניות שלו (הנקראות גם טרמינלים) אשר מספרן גדל באופן עיקבי בשל השימוש הנרחב בטכנולוגיות מתפתחות. לכן, כל גורם עוין שינסה לפגוע במידע הרגיש של הארגון ייאתר קודם כל את הפירצה הפתוחה הרחבה ביותר ברשת ה- IT דרך אחת מנקודות אלה. כיצד מבצעות בדיקות חדירה במסגרת מבדקי חדירה נעשה שימוש בטכניקות וכלים רבים המאפשרים לאנשי אבטחת המידע חופש פעולה נרחב. במהלך הבדיקות מפעילים כלים המסוגלים לדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות, חוסר בעדכוני אבטחה מותקנים, הרשאות גישה חלשות, מכשירי IOT פגיעים, סיסמאות קלות לניחוש וכו'. סוגי בדיקות חדירה קיימים שלושה סוגי מבדקים של בדיקות חדירה: Black Box, White Box, Gray Box. סוג הבדיקה מתבצע על פי אופי האירגון והסביבה העיסקית שלו. Black Box בדיקה חיצונית בדיקה זאת היא בדר"כ בדיקה חיצונית. בהגדרתה היא מתחילה כבדיקה חיצונית ובמידה והבודק מצליח לחדור פנימה, היא יכולה להמשיך פנימה גם אל תוך האירגון (כמובן שהכול תלוי במטרת הבדיקה ומהו הגבול המוגדר מראש כיעד ובנקודה זאת ניתן לעצור). בדיקה זו מתבססת על סמך העובדה שהבודק אינו מקבל מידע מקדים על האירגון או על המערכות הקיימות בארגון, מצב המדמה מציאות בה מטרתו של ההאקר היא לפרוץ לאירגון כאשר אין לו שייכות אליו ואין לו מידע פנימי. בדיקה זו בדרך כלל תארך זמן ארוך יותר מכיוון שחלק גדול מהבדיקה הינו איסוף מידע. יש לקחת בחשבון כי בדיקה זו לא תכסה את כל המערכות “והשטחים” הקיימים באירגון. White Box בדיקה פנימית בדיקה זאת מוגדרת בדרך כלל כבדיקה פנימית. במהלכה הבודק מקבל את המידע המלא אודות האירגון וכן מידע כגון פרטי מערכות המידע ומערכות ההגנה, וזאת בכדי לאפשר לו בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פירצות וחולשות במערכת. לבודק ניתנת מראש גישה מלאה לרשת ואין לו צורך להיכנס אליה בצורות עקיפות ופולשניות. הבדיקה יכולה לדמות מצב של תוקף מתוך הארגון (לדוגמה עובד מתוסכל שרוצה לנקום) שמשאבי הרשת והחברה נגישים לו. בדיקה זו בדרך כלל מאפשרת ניצול מירבי של הזמן ומאפשרת כיסוי נרחב יותר אפשרויות הפגיעה באירגון אולם אינה מדמה מצב ריאלי של תוקף שלא שייך לארגון. Gray Box בדיקה משולבת הבדיקה השלישית מסוגה היא בדיקה שבה הבודק מקבל מידע מצומצם ביותר אודות האירגון ומערכות המידע. בחלק מהבדיקות מסוג זה ניתנת לבודק גישה מוגבלת לרשת האירגונית והבדיקה יכולה להתבצע מחוץ לאירגון או מתוכו, תלוי בחוזה העבודה שסוכם מראש, בו גם הוגדר מה כמות המידע שהבודק יקבל. מתי מומלץ לבצע בדיקות חדירה • בזמן הקמת תשתיות המיחשוב של אירגון • כאשר אירגון מחליף את מערכות המיחשוב/תוכנות/אפליקציות/אתרי אינטרנט • לאחר אירוע סייבר/אבטחת מידע • כאשר יש חשש לאבטחת המידע באירגון • במצב בו אירגון מחזיק מידע רגיש במאגרי הידע שלו: פרטי תשלום, מספרי תעודות זהות, פרטים רפואיים מסווגים וכדומה דגשים לגבי בדיקות חדירה גם בתחום מבדקי החדירות קיימים מבדקי חדירה "סטנדרטיים" וקבועים הכוללים בדיקות שגרתיות של נקודות תורפה אפשריות. חשוב לקחת בחשבון את גורמי הסיכון הספציפיים הסובבים את האירגון ולהתייחס לסביבה העיסקית בה האירגון פועל ואם יש צורך יש להרחיב את היקף הבדיקה. טיפים לביצוע בדיקות חדירה סיום הבדיקה לאחר חשיפת נקודת התורפה הראשונה – פעמים רבות בדיקות חדירה מסתיימות לאחר חשיפת נקודת תורפה אחת. במצב זה ההמלצה היא להמשיך ולבדוק פירצות אבטחה ונקודות חולשה נוספות רבות ככל האפשר. חשוב לוודא מראש כי איש אבטחת המידע אינו מפסיק את הבדיקה באמצע התהליך אלא משלים אותה ומנסה לאתר פרצות נוספות במערכת. לאחר השלמת התיקונים חשוב לבצע בדיקות חוזרות כדי לוודא שנקודות התורפה תוקנו ולא נוצרו בעיות חדשות כתוצאה מהתיקון. וודאו כי דירוג חומרת הסיכון מוסכם על שני הצדדים (לקוח הקצה והבודק) - ייתכן מצב בו הדו"ח המסכם יהיה בעל תוצאות נמוכות או גבוהות מדי של רמת הסיכון.על מנת לוודא את מידת הדיוק של דירוג חומרת המצב חשוב לבדוק בצורה ניטרלית כיצד מוערך האיום ובאילו קריטריונים מקצועיים הוא מוגדר: כגון הסבירות של הצלחת תקיפה, הסיכון שנוצר על ידי נקודת התורפה ומידת ההשפעה של תקיפה כזו על הארגון. הימנעו מפירסום תוצאות הבדיקה- כבר קרה שתוצאות בדיקות החדירה התפרסמו כחומר שיווקי מטעם החברה המבצעת. דוחות כאלה מעוררים עניין בקרב לקוחות פוטנציאליים וקולגות מהתחום אך עלולים לפגוע בדימוי החברה שבה בוצעו בדיקות החדירה ולחשוף אותה לסכנות. לכן חשוב לוודא עם החברה המבצעת כי הנתונים לא יפורסמו אלא אם כן ניתן אישור מהלקוח. לסיכום, אין ספק כי פגיעה במאגר המידע של כל אירגון מהווה נזק תדמיתי וכלכלי חמור. אל תחכו לאירוע אבטחת מידע ותקיפה של האירגון שלכם. מאגרי המידע הנמצאים ברשת של חברה (או בענן) צריכים להיבדק על בסיס קבוע תוך שימוש בתרחישים אמיתיים ומציאותיים, המחקים את פעולותיו של תוקף חיצוני ופנימי. פעלו היום בכדי למנוע את הנזק של מחר. אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוקי אבטחת המידע ובכדי לשמור על המידע בארגונכם. נשמח לעמוד לרשותכם בכל שאלה והבהרה בנושא.

מהו סקר סיכונים "סקר סיכונים" הינו תהליך שהפך להיות בגדר חובה לכל אירגון או חברה קיימת עקב מתקפות הסייבר התכופות, הונאות הרשת, פישינג וכד' וזאת במקביל לדרישות הרגולציה המחריפות בהתאמה (של תקנות הגנת הפרטיות). למעשה, סקר סיכוני אבטחת המידע בודק את מערך האבטחה של האירגון, עד כמה הוא מוגן ומהן פירצות האבטחה בו. סקר זה בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות באירגון, החל מאבטחת המידע הפיזית ועד לאבטחת התשתיות הכוללים את אתרי האינטרנט של האירגון, מערכות הפעלה, רשתות, מאגרי מידע, בסיסי נתונים, ניהול משתמשים והרשאות, תהליכי גיבוי ועוד. הסקר בודק את רמת האבטחה הכוללת של האירגון מקצה לקצה מבחינה עיסקית וניהולית ובוחן: האם קיימים נהלי אבטחת מידע ומדיניות אבטחת מידע לפי הסטנדרטים המקובלים בתחום, מהי הטכנולוגיה המופעלת על המערכות הקיימות באירגון, מהי הארכיטקטורה הכללית של הרשת והאם היא בנויה בצורה נכונה, עד כמה מאובטחות מערכות ההפעלה המרכזיות, מהו הציוד המרכזי בתחום אבטחת המידע מבחינת תוכנות אנטי וירוס, חומת אש וכדומה.. כיצד סקר סיכוני אבטחת מידע מתבצע סיכוני סייבר מהווים חלק נרחב מכלל הסיכונים התפעוליים אליהם חשופים אירגונים ולהתממשותם עלולות להיות השלכות עסקיות שונות הכוללות פגיעה במוניטין, אובדן הכנסות, חשיפה משפטית וכו'. במהלך הסקר נעשה מיפוי נכסי המידע הקריטיים של האירגון אשר במידה וידלפו לגורם לא מורשה ייצרו נזקים מסוג זה. סקר הסיכונים לעיתים כולל בדיקות חדירות המתחלק ל3 סוגים– מבדק חיצוני, מבדק פנימי ומבדק אפליקטיבי במגוון תצורות. מטרת סקר סיכונים מטרות העל של תהליך ניהול סיכוני סייבר הן הפחתת הסבירות לפגיעה בתהליכים העסקיים ובמידע של הארגון כתוצאה מהתממשות סיכונים אשר מקורם במרחב הדיגיטלי, בתחום אבטחת המידע וצמצום ההשפעה עליהם, במקרה שסיכונים אלו ייתממשו. מה מאפשר תהליך ביצוע סקר סיכוני אבטחת מידע? • זיהוי סיכוני הסייבר העלולים לפגוע בהשגת היעדים העיסקיים • הערכת רמת הסיכון באירגון • הערכת אפקטיביות סביבת הבקרה של מערכות המידע התומכות בתהליכים עסקיים • להציג בפני ההנהלה ודירקטוריון תמונת מצב עדכנית לשם קבלת החלטות בהמשך סקר סיכונים אבטחת מידע – תוצרים תוצר סקר סיכוני סייבר הוא בעל משמעות נרחבת לאירגון ולמעשה מהווה חלק מהפעילות הבסיסית הראשונה שנדרש לבצע עבור תהליך שגרת הגנה בארגון. בסיום העבודה צוות מומחי אבטחת המידע יפיק דו”ח מסודר אשר יכיל את הממצאים הרלוונטיים. כלל הממצאים נאספים במהלך הבדיקות ויכללו המלצות ראשוניות ופרקטיות לתיקון הכשלים והמלצות אשר ניתן ליישם בהמשך. הדו”ח מורכב בחלקו הראשון מתקציר מנהלים הכולל את כלל הממצאים וייספק תמונת מצב עדכנית גם עבור אלו אשר אינם בקיאים בתוכן המקצועי בתחום מערכות המיחשוב. כלל הממצאים יקוטלגו על פי רמת הסיכון וסבירות למימושם אל מול האיומים הרלוונטיים לארגון. במקביל, לצידם יוצגו חומרות מימוש הסיכונים, כלומר הנזק היכול להיווצר. תמונת המצב שתתקבל לאור הסקר תציג את הסיכונים הקונקרטיים לתשתיות המידע בארגון. בסופו של הסקר יוגש דו"ח מצב הכולל מסקנות והמלצות לשינוים בפן הטכנולוגי, התהליכי והאנושי והקמת מדיניות לסיווג נכסים. כמו כן, יינתנו המלצות בפן הניהולי לשינוי נהלים, לרבות עדכון הסכמי עבודה וכדומה. שאלות נפוצות – סקר סיכוני סייבר מתי קיים צורך לבצע סקר סיכונים? בדרך כלל מבצעים סקר סיכוני סייבר אחת לשנה. התדירות יכולה להשתנות בהתאם לסוג הארגון, סוג המידע ודרישות רגולציה. מהו משך זמן הביצוע של סקר סיכונים? זמן ביצוע סקר סיכונים ממוצע אורך כ-3 שבועות. עיכוב או זירוז תהליכים תלוי לרוב בשיתוף הפעולה מצד הארגון. האם ביצוע סקר סיכונים חייב על פי החוק? ארגונים המחזיקים במאגרי מידע ברמת האבטחה הגבוהה, מחוייבים בביצוע סקר סיכונים אחת לשנה וחצי (18 חודשים) לכל הפחות (על פי תקנות הגנת הפרטיות (אבטחת מידע)) . האם קיימים מספר סוגים של סקרי סיכונים? אכן כן, קיימים סקרי סיכונים ייעודיים לדרישות תקינה או רגולציה, סקרים לביקורות פנים או לקראת ביקורות חוץ, סקרים ממוקדים למחלקות מסויימות/תשתיות או מערכות. לסיכום, "מניעה היא ההגנה הטובה ביותר", כך נאמר לא פעם ולא פעמיים בעבר, ומשפט זה נכון פי כמה כאשר מדובר בביטחון מאגרי המידע שלך. אין ספק כי אירוע סייבר הוא אחד מהסיכונים הגבוהים ביותר לחברה ועל כן על ההנהלה לבדוק אם גורמי הסיכון לפריצה נמצאים בארגון ולדרוש לתקן את הליקויים. סקרי סיכוני סיייבר הוא נקודה מצויינת להתחיל איתה, מכיוון שהיא בודקת וממפה בצורה יסודית את כל מערכות המידע. אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוק הגנת הפרטיות ואבטחת המידע ובכדי לשמור על המידע בארגונכם ע"י סקר סיכוני אבטחת מידע וביקורת אבטחת מידע. נשמח לעמוד לרשותכם בכל שאלה והבהרה בנושא.

חברת הביטוח שירביט נמצאת תחת מתקפת סייבר חמורה וחריגה, כך הגדיר את האירוע מערך הסייבר הישראלי, שדיווח לאחרונה על "אירוע דלף מידע בחברת שירביט". במהלך התקפת סייבר על אתר החברה האקרים פרצו למאגרי המידע (האישי והרגיש) של חברת שירביט ודלו משם פרטים. ההאקרים מבטיחים: "נמכור את המידע של שירביט לכל מי שירצה, היו סבלניים". בחברות ביטוח נכנסו לכוננות ספיגה בעקבות האירוע. חלקן הידקו נהלים והטילו מגבלות על התחברות מרחוק בשעות הלילה והסופ”ש כדי להקטין פוטנציאל חשיפה. מה אפשר לעשות? הנה מספר שירותים שמשרדנו מספק הנותנים פיתרון כולל לתחום אבטחת המידע והגנת הפרטיות (GDPR). ביקורת אבטחת מידע ביקורת אבטחת מידע ממפה ובודקת בצורה יסודית ומעמיקה את כל מה שקשור באבטחת המידע באירגון, החל מבדיקת מיקום המידע הרגיש, ועד להוראות החוק. תוצר הביקורת הוא דו"ח מפורט שכולל מספר סעיפים המתייחסים להיבטים השונים של הגנת הפרטיות. מומלץ לבצע ביקורת אבטחת מידע בשלבים שונים של העסק: הקמת חברה, כאשר מתרחש אירוע אבטחת מידע וכפעולה שבשגרה. הנה סעיפי דו"ח ביקורת אבטחת מידע: א. מיפוי כלל האיומים והסיכונים הקיימים או העתידיים לארגון, בין אם מדובר בדליפת מידע, גניבת מידע, פגיעה ושיבוש של נתונים/תהליכים בעלי ערך לחברה וכד'. ב. הוראות חוק: 1) כתיבת נהלי אבטחה, פיקוח ובקרה בהתאם לרגולציה המחייבת 2) טיפול בהיבט של הסכמי סודיות, ספקים אסטרטגים והמידע המועבר אליהם 3) בדיקת הנושאים הנדרשים בהתאם לתקנות הגנת הפרטיות(אבטחת מידע) תשע"ז 2017. ג. המלצות של פתרון אבטחת מידע פיזית בהיבטים הבאים: 1) אבטחת מידע פיזית למניעת ריגול עסקי ו/או מסחרי 2) ניטור ובקרת פעילות בסביבת עבודה (משרדים, חללים פתוחים וכדומה) 3) קלט/פלט של נייר, אחסון/טיפול במידע, גריסה ד. טיפול בנושא של אבטחת מידע לוגית: 1) מערכות אבטחה: אנטי וירוס, חומת אש, מערכות dlp, מערכות ניטור לרבות עדכונים שוטפים של מערך הסייבר הלאומי בנושא איומים, עדכוני תוכנה. 2) מיפוי קשרי הגומלין עם האינטרנט ומהם צרכי התקשורת ההכרחיים והמינימליים הנדרשים 3) התייחסות לנושאי יתירות/גיבוי/התאוששות מאסון/התאוששות מווירוס. 4) הצפנה, אישור חיבור מרחוק, הרשאות משתמשים. שירותי ממונה אבטחת מידע במיקור חוץ - למשרדנו ניסיון רב בשירות של ממונה אבטחת מידע (הגנת הפרטיות) במיקור חוץ. השירות נותן מענה מקיף לנושא של כתיבת נהלי אבטחת מידע, כתיבת תוכנית בקרות לפי הנחיות GDPR ותקנות הגנת הפרטיות וביצוע בקרות שוטפת על יישום ההנחיות הנדרשות. סקר סיכונים בתחום אבטחת מידע – סקר סיכוני בתחום אבטחת המידע בודק את כל רמות האבטחה במסגרת התהליכים והמערכות הקיימות בארגון. הבדיקה מתייחסת לאבטחה פיזית של המידע המוחזק בארגון וכלה באבטחה של תשתיות הארגון כגון מערכות הפעלה, רשתות, ניהול משתמשים ומתן הרשאות, בסיסי הנתונים (Data base), פעולות גיבוי ידניים ואוטומטיים ועוד. סקר הסיכונים בודק בצורה מקיפה ועמוקה את רמת אבטחת המידע מבחינת תהליכי עבודה עיסקיים וניהוליים ועוזר למצוא נקודות כשל קיימות ועתידיות. מבדקי חדירה (בדיקת חדירות) – ההגדרה של בדיקת חדירות היא מתקפה מתוכננת מראש ומבוקרת על מערכת ממוחשבת שנעשית על ידי בודק (מתחום אבטחת המידע והגנת הסייבר) במטרה למצוא נקודות חולשה באבטחת המידע, מהו פוטנציאל הגישה לחולשות אלו ומה ניתן להפיק מהגישה אליהן ואל המידע שהן מאחסנות. מבדקי החדירה מתחלקים ל2 סוגים: מבדקי חדירה פנימיים ומבדקי חדירה חיצוניים. מבדקי חדירה פנימיים בודקים מהו פוטנציאל הנזק של אורח או פורץ מזדמן המתחבר אל הרשת הארגונית (אינטרה-נט) ללא הרשאות וללא ידע מקדים על מבנה הרשת הפנימית, או, לחלופין, עובד שסרח ומנצל את הרשאותיו לרעה במטרה לפגוע בארגון. מבדקי חדירה חיצוניים מדמים חדירה מהאינטרנט אל תוך הרשת הארגונית בתצורת Black-Box ללא כל ידע מוקדם על מבנה הרשת, כך שהמצב יידמה ניסיונות פריצה המבוצעים ע"י האקרים מקצועיים ובעלי ניסיון. כתיבת נהלי אבטחת מידע – נהלי אבטחת מידע הם כלי יעיל וחשוב לכל גודל וסוג של אירגון. נוהל "מיישר קו" בין כל דרגות ותפקידי העובדים בארגון ומעביר הנחיות בצורה ברורה, מעמיקה, מפורטת, כך שמצבי "כיבוי שריפות", כמעט ולא קורים, וכך גם נמנעות פעולות שיכולות לגרום נזק לאבטחת המידע בצורה עקיפה או ישירה. נוהל אבטחת מידע הינו כלי עבודה בסיסי וחיוני לכל אירגון, במצב שיגרה וחירום, והוא מונע "פירצות" העלולות לגרום לנזקים כבדים למידע הנמצא באירגון ולשימוש בו. ניתן לחלק את נוהל העבודה בתחום אבטחת המידע ודיני הפרטיות על פי רמות חשיבות וסיווג (מוגבל-שמור- סודי-סודי ביותר) על פי רמת הסיווג של העובדים. אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוקי אבטחת המידע ובכדי לשמור על המידע בארגונכם. נשמח להתאים לכם את פיתרון אבטחת המידע בשבילכם.

חוק הגנת הפרטיות הישראלי, המקביל אל תקנות GDPR האירופאיות, הוא החוק המרכזי המסדיר את סוגיית הזכות לפרטיות במדינת ישראל. חוק זה קובע כי הפגיעה בפרטיותו של אדם ללא הסכמתו היא אסורה בישראל והפרתו עלולה לגרור עונש פלילי. החוק נוסד בשנת 1981, לאחר שמונתה וועדה שתפקידה היה בדיקת הדרכים להגנה על האזרחים בישראל בפני פגיעה בצנעת הפרט. מהי ההגדרה של פגיעה בפרטיות? על פי חוק הגנת הפרטיות, פגיעה בפרטיות יכולה להיות: בילוש או התחקות אחרי אדם האזנה האסורה על פי חוק צילום אדם כשהוא ברשות במקום פרטי כמו בית (רשות היחיד) פרסום תצלום של אדם ברבים בנסיבות שבהן עלול הפרסום להשפילו או לבזותו שימוש בשם אדם, בכינויו, בתמונתו או בקולו, לשם עשיית רווח הפרה של חובת סודיות שנקבעה מראש בדין לדבי ענייניו האישיים של אדם הפרה של חובת סודיות לגבי נושאים אישיים של אדם, שנקבעה בהסכם מפורש או משתמע העתקת תוכן מכתב או טקסט אחר שלא נועד לפרסום, או שימוש בתכנו, בלי רשות מאת הנמען או הכותב פרסום תצלומו של נפגע ברבים שצולם בזמן שנפגע או בזמן הסמוך לו באופן שניתן לזהותו ובנסיבות שבהן עלול הפרסום להביכו שימוש במידע על ענייניו הפרטיים של אדם או מסירת המידע לאדם אחר, שלא למטרה שלשמה נמסר פרסומו או מסירתו של דבר שהושג בדרך פגיעה בפרטיות פרסומו של ענין הנוגע לצנעת חייו של יחיד, כולל התייחסות לעברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד פגיעה בפרטיות מהווה עוולה אזרחית ועבירה פלילית סעיף 4 בחוק הגנת הפרטיות קובע כי "פגיעה בפרטיות היא עוולה אזרחית". סעיף 5 בחוק מתווה את העונש לכך וקובע כי אדם "הפוגע במזיד בפרטיות זולתו" גזר דינו מאסר 5 שנים. פיצוי במקרה של פגיעה בחוק הגנת הפרטיות, ללא נוכחת נזק במידה וקיימת פגיעה בפרטיות ואדם רואה את עצמו נפגע ממעשה כזה או אחר שפגע בפרטיותו, הוא יכול לתבוע תביעה אזרחית. במסגרת תביעה זאת, בית המשפט רשאי לחייב את הנתבע לשלם לנפגע פיצוי של בסכום של עד 50,000 ₪ ללא הוכחת נזק, וכל עוד הוכח שהפגיעה בפרטיות "נעשתה בכוונה לפגוע", רשאי בית המשפט לחייב את הנתבע לשלם לנפגע כפל פיצוי (כלומר עד 100,000 ₪). מאגרי מידע – התייחסות חוק הגנת הפרטיות בתאריך 8.5.2018 נכנסו לתוקפן תקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017. תקנות אלה מפרטות את אופן יישומה של חובת אבטחת המידע המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי. כמו כן, הן קובעות את רמת האבטחה הנדרשת במאגרים כנגזרת ממספר בעלי ההרשאה, מספר הישויות עליהם נאגר מידע וסוג המידע. חוק הגנת הפרטיות מתייחס גם לניהול מאגרי מידע בהקשר של אבטחת מידע. כאשר מדובר על אבטחת מידע, החוק מתייחס לכך ומפרש: "הגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין" . מאגר מידע הוא "אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב". קיימת התייחסות מפורשת בחוק לנושא מאגר המידע, מה הוא כולל ותחת איזה תנאים נחשב מאגר מידע לכזה. כאשר במאגר ישנם נתונים על אישיותו של אדם, מעמדו האישי, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, הכשרתו המקצועית, דעותיו ואמונתו – נחשבים נתונים אלה בכללותם למאגר מידע. עוד מפרט החוק מהו "מידע רגיש": כאשר במאגר ישנם נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו או מידע ששר המשפטים קבע שהוא מידע רגיש. בכדי להחזיק מאגר מידע על פי החוק יש צורך לבצע מספר פעולות: רישום המאגר בפנקס הגשת בקשה לרישום המאגר ולדאוג שהתקיימו הוראות סעיף 10 (ב1) שימוש במטרה שלשמה הוקם המאגר בלבד בעל מאגר מידע חייב ברישום בפנקס ועל בעל המאגר לרשמו אם נתקיים בו אחד מאלה: 1. מספר האנשים שמידע עליהם נמצא במאגר עולה 10000 2. יש במאגר מידע רגיש, כפיי שהוגדר קודם לכן בתחילת המאמר 3. המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה 4. המאגר הוא של גוף ציבורי 5. המאגר משמש לשירותי דיוור ישיר (ניוזלטר) קיימות גם הגנות במסגרת חוק הפרטיות אותם תוכלו למצוא בסעיף 18 לחוק. מבולבלים? רוצים לדעת כיצד להגן על האירגון שלכם מהפרות של חוק הפרטיות? משרדנו מבצע יישום והטמעה של תקנות הגנת הפרטיות ויישמח לסייע גם לכם.

תחום דיני הצרכנות הוא בעל השפעה יומיומית על כולנו, כעסקים וכלקוחות. חיפוש מהיר בגוגל של קנסות הרשות להגנת הצרכן ולסחר הוגן יניבו רשימה מפורטת של קנסות שאותה חילקה המועצה לצרכנות, על פי שנים. ניתן לראות את הרשימה גם בקישור הבא. ניתן להניח שעסקים אלה לא השתמשו בשירותיו של עורך דין דיני צרכנות שהיה יכול למנוע מהם את הקנסות ואת עוגמת הנפש. כמו על שאר הענפים במשק, גם על תחום הקוסמטיקה חלים דיני צרכנות רבים וספציפיים. למרות שכאשר מדובר על טיפולי קוסמטיקה השירות הוא לא תמיד מוחשי, כמו הסרת שיער וטיפולי פנים (נקראים גם טיפולי אסתטיקה או טיפולי קוסמטיקה), החוקים והתקנות השומרות על הצרכן הן בהחלט מוחשיות ולרשות להגנת הצרכן ולסחר הוגן יש סמכויות אכיפה מנהלתיות ואף פלילית. הנה מידע חשוב שכדאי לעסקים לדעת על נושא קוסמטיקה או אסתטיקה בהקשר של דיני הצרכנות: ביטול עיסקה שירותי קוסמטיקה ואסתטיקה (כולל טיפולי הסרת שיער) נחשבים לא פעם לעסקת מנויים ועיסקה מתמשכת. במקרה שמדובר בסוג עיסקה מתמשכת בה התשלום נעשה בדר"כ באמצעות הוראת קבע בבנק או בכרטיס אשראי, ניתן לבטל את העסקה בתוך 14 ימים מיום עשיית העסקה או מיום מסירת חוזה בכתב או מסמך גילוי נאות (לפי המאוחר מביניהם), בין אם הוחל במתן השירות ובין אם לא, גם כאשר העסקה היא לתקופה קצובה. זאת כפועל יוצא של חוק ניתוק מעסקה מתמשכת. זכות ביטול עיסקה במקרה זה ניתנת גם אם התחילו כבר במתן השירות. כאשר צרכן מבטל עסקה שבה החשבון שלו מחויב כל חודש, העוסק חייב להפסיק את החיובים תוך 3 ימים מיום הודעת הביטול ואם היא הועברה בדואר רשום, על העסקה להסתיים תוך 6 ימים מיום שליחתה. המשמעות היא כי גם אם התקנות מאפשרות לעוסק לחייב עבור השירות המתמשך שנצרך בפועל, הוא חייב להפסיק לחייב תוך המועד הנ"ל מכוח חוק ניתוק מעסקה מתמשכת ועל הלקוח לשלם עבור השירותים שנתנו עד למועד הביטול גם אם הוחל במתן השירות. המועד האחרון לביטול עיסקת קוסמטיקה 14 ימים מיום עשיית העסקה או מיום מסירת חוזה בכתב, לפי המאוחר מביניהם. מועד החזרת התמורה על העוסק להחזיר לצרכן את התמורה ששולמה במועד ביטול העסקה או עד 7 ימי עסקים ממועד הביטול, לכל המאוחר. אופן החזרת התמורה אם התשלום בוצע במזומן על העוסק להשיב את התמורה במזומן או בשיק מזומן. אם התשלום בוצע בצ'ק והוא נפרע, השבת התמורה תעשה בתוך 5 ימים ממועד הפירעון. אם התשלום בוצע בכרטיס אשראי והתמורה טרם הועברה לחשבון העוסק, על העוסק לבטל את החיוב. אם התשלום בוצע בכרטיס אשראי, והתמורה הועברה כבר לחשבון העוסק, העוסק ישיב את התמורה במזומן, בשיק מזומן או באמצעות זיכוי כרטיס האשראי. גביית דמי ביטול העוסק רשאי לחייב את הצרכן בדמי ביטול, בשיעור 5% ממחיר השרות או 100 ש"ח לפי הנמוך מביניהם. גביית עמלת סליקה אם התמורה שולמה בכרטיס אשראי והעוסק שילם עמלת סליקה, הוא רשאי לגבות את העמלה מהצרכן בתנאי שיוכיח לצרכן שהיא אכן שולמה. תמרוקים ומה קורה כאשר עסקת הקוסמטיקה היא של תמרוקים (כלי בישום וטיפוח, מוצרי קוסמטיקה)? המועצה לצרכנות מדווחת מדי שנה על תלונות רבות המעלות חשש שבתי עסק אינם מודעים לזכות הצרכנים של ביטול עסקה לרכישת תמרוקים בתנאים המפורטים בתקנות ביטול עסקה ומתייחסים לתמרוקים כאל תרופות, או כאל טובין פסידים (מוצרים שעם הגעתם אל לקוח הקצה ומרגע שסופקו לא ניתן להשתמש בהם פעם נוספת או לספקן ללקוח אחר/מוצרים שערכם ייאבד ויירד בפרק הזמן עד החזרת המוצר לעוסק/מוצרים שיכולים להתקלקל עד החזרתם). האם ניתן לבטל עסקה לרכישת תמרוקים? בכדי לבטל עיסקה של רכישת תמרוקים יש לבדוק אם המוצר שנרכש שייך לקטגוריה הכללית – טובין ארוז באריזתו המקורית שלא נפתחה על ידי הצרכן, או מוצרי קוסמטיקה שאינם ארוזים באופן המוודא כי לא נפתחו, משום שהדין שונה על כל אחד מסוגי האריזות והמוצרים. כאשר מדובר במוצר קוסמטי שאינו ארוז או ניתן לפתיחה ללא הותרת סימן נראה כי הסיבה לכך שאי אפשר להחזירו היא שהעוסק אינו יכול לדעת האם המוצר נפתח או האם נעשה בו שימוש ובמצב זה רשאי המוכר לסרב לקבלו. רק במקרה שהמוצר עדיין ארוז באריזתו המקורית שלא נפתחה, ניתן לבטל את העסקה תוך 14 יום מיום קבלת המוצר, אם מחיר המוצר עולה על 50 ₪ והוא לא נפגם על ידי הצרכן. דמי הביטול עומדים על 5% ממחיר המוצר או 100 ₪ לפי הנמוך מביניהם. הגבלת זכות הביטול דין תמרוקים אינו כדין תרופות משום שהגבלת זכות הביטול חלה על תרופות בלבד. קנסות ועיצומים למפירים של דיני צרכנות בתחום הקוסמטיקה המועצה הישראלית לצרכנות עוסקת במגוון נושאים בתחום הקוסמטיקה, התמרוקים והיופי. חוק הגנת הצרכן שנוסד בשנת 1981, הוא חוק מרכזי בדיני הגנת הצרכן, שנועד להגן על ציבור הצרכנים מפני הטעיה וניצול מצד העוסקים. החוק נוצר בעקבות התפתחות חיי המסחר וריבוי תלונות של ציבור הצרכנים בגין הטעיה וניצול ואותו אוכפת המועצה הישראלית לצרכנות. בכל שנה אלפי בתי עסק נקנסים בסכומים של מאות לפי שקלים בגין הפרה של דיני צרכנות בתחום הקוסמטיקה. הנה מספר דוגמאות: סכום העיצום: 104,250 ₪ חברת בשמים ידועה המנהלת אתר סחר של מכר מרחוק נקנסה בשנת 2019 בקנס בגובה מעל 100,000 ₪ על סעיפי ההפרה הבאים: הטעיה בתנאי ביטול עסקה - באתר החברה פורסמה מדיניות ביטול עסקה שבו היו חסרים הפרטים הבאים: התקופה שבה ההצעה תהיה בתוקף, פרטים בדבר זכות הביטול של הצרכן – ביטול עסקה בהתאם לסעיף 14ג1 לחוק, לא אוזכר כלל באתר החברה. היעדר פרטים בשיווק - החברה לא גילתה לצרכן את פרטי ההתקשרות הנוגעים לכל דרך ביטול ואת הפרטים שיש לכלול בהודעת הביטול כאמור בסעיף 14ט(א) לחוק. אי הצבת קישור ייעודי ודרכי ביטול עסקה - החברה לא יצרה קישור ייעודי שבאמצעותו יכול צרכן לשלוח הודעת ביטול לעסקת מכר מרחוק בדף הראשי של אתר החברה, וזאת בניגוד להוראות סעיף 14ט-(ב) לחוק. סכום העיצום: 80,400 ₪ חברה מוכרת וגדולה בעלת סניפים בכל הארץ המשווקת מוצרי בישום וקוסמטיקה באמצעות אתרה קיבלה במהלך חודש אוקטובר 2019 קנס על סך 80,400 ₪ וזאת לאחר שהרשות להגנת הצרכן ערכה ביקורת באתרה ובדקה את תקנון החברה. הממצאים היו הפרה של מספר סעיפים בחוק הגנת הצרכן. הטעיה בתנאי ביטול עסקה החברה לא גילתה לצרכן את כל האפשרויות לביטול עסקה כמפורט בסעיף 14ט(א). החברה לא ציינה את האפשרויות לביטול העיסקה ולא מסרה מידע זה באתר החברה בניגוד להוראות סעיף 14 לחוק: בעל פה, בדואר רשום או באינטרנט. היעדר פרטים בשיווק החברה לא פירטה באתר האינטרנט את התקופה שבה תקנון החברה בתוקף, את העובדה כי ניתן לבטל את העיסקה ועוד. אי הצבת דרכי ביטול פרטים בדבר זכות הביטול של הצרכן – ביטול עסקה בהתאם לסעיף 14ג1 לחוק לא מאוזכר כלל בתקנון או במקום אחר באתר. החברה לא יצרה בדף הראשי שלה, קישור ייעודי מובלט וברור שבאמצעותו ניתן לשלוח הודעת ביטול, בניגוד להוראות סעיף 14ט(ב) לחוק. וזהו רק מדגם קטן של קנסות שהתקבלו בשנת 2019. תחום דיני הצרכנות הוא תחום מורכב כשלעצמו, ובטח כאשר מדובר בתחום הקוסמטיקה הרגיש. קיימות סוגיות רבות כמו הטעיה במחיר, החזרת תמורה, ביטול עיסקה ועוד המצריכות מקצועיות והבנה עמוקה של דיני הצרכנות השונים ולכן עורך דין לדיני צרכנות הוא איש בעל עסק, רוצה להימנע מקנסות, עיצומים, חשיפה לתביעות ואיבוד המוניטין? באודיט בקרה וביקורת מחלקת דיני צרכנות ובראשה עומד עורך דין לתחום צרכנות מיכאל גילינסקי. כחלק מהתמחותו בתחום הרגולציה, מיכאל אמון על תחום דיני צרכנות, מתפקד כעורך דין לענייני צרכנות ומטפל בנושאים שונים ביניהם: בחינת חשיפות להפרת דיני צרכנות, פרסום מטעה, ליקויים במתן שירותים לצרכן, ליקויים בחיוב צרכנים, ליקויים בהליכי ביטול עסקאות ועוד. מוזמנים לפנות אלינו ונשמח לסייע גם לעסק שלכם.

רשת האינטרנט הפכה בשנים האחרונות למקום הבילוי שלנו, שם אנחנו נפגשים, מקבלים שירותים, עושים קניות ועוד. אולם, האם הגישה למקומות הללו שווה לכולם? בדומה לתהליך שחל בעולם "הפיזי" בו קיימת יותר ויותר מודעות לצורך לוודא נגישות של בעלי מוגבלויות למשרדי ממשלה, חופי ים, תחבורה ציבורית ובכלל, החל בשנים האחרונות תהליך דומה בעולם הוירטואלי. נגישות אתרים הוא תחום אשר נהיה יותר ויותר פופולרי בשנים האחרונות. בימים עברו לא הייתה קיימת מודעות להנגשה של אתרים אך היום, עם הזמן, גדלה המודעות והרצון להפוך את רשת האינטרנט למקום שווה לכולם ועל כן נוצר חוק הנגישות לאתרים ומתוכם תקנות הנגשת האתרים. בעבר אתרים נבנו עם קוד מיושן וללא יכולת שינוי של מבנה האתר וכיום האתרים הנבנים מתאפיינים בדינאמיות, קלים לתפעול ובעיקר בעלי האפשרות להיות נגישים על ידי שינוי של מבנה האתר. חוקי הנגישות ברשת חלים על אתר קיים, הנותן שירות או מציג מידע לציבור, ותפקידם לאפשר לאנשים עם מוגבלות להפיק ממנו תועלת מירבית הדומה לתועלת שמפיקים אנשים ללא מוגבלות. על פי הנתונים הקיימים, כ- 20 עד 25 אחוזים מהאוכלוסייה נתקלים בקשיי שימוש באינטרנט עקב מוגבלויות. המוגבלויות יכולות להיות עיוורון צבעים, קושי בהבנת תוכן מורכב, יכולת תנועה מוגבלת, חירשות ועוד. בשנת 2017 נכנסו לתוקפן באופן רשמי תקנות נגישות אתרי האינטרנט בישראל, המחייבות כל עסק בעל מחזור של יותר מ-300 אלף שקל להנגיש את אתר האינטרנט שלו לאנשים עם מוגבלויות. תקנות אלה חלות על כלל האתרים שהם רשות ציבורית או עסק פרטי עם מחזור ממוצע מעל 5 מיליון הנותנים שירותים עבור הציבור הישראלי. עסקים שנותנים שירותים בתחומי המסחר, הבידור, החינוך, הספורט, משרדים, בנקים, מסעדות, חנויות, משרדים ממשלתיים, רשויות מקומיות, ועוד... בעצם, ניתן לומר ולסכם כי אתר אינטרנט נגיש הוא אתר העומד בדרישות תקן 5568 של מכון התקנים הישראלי. מה צריך להנגיש? תכנים מכל סוג צריכים לעבור תהליך של הנגשה: בין אם מדובר בתמונות / מסמכים/ תמונות (המועברים על תשתית האינטרנט באמצעות אתרים או אפליקציות) שנועדו לספק שירות ציבורי. איך מנגישים אתר? ההנגשה של אתר אינטרנט יכולה להיעשות בדרכים שונות, בין אם הוספת כתוביות, חלופה טקסטואלית/קולית עבור סרטונים המספקים מידע. הנה כמה פעולות הנגשה שתוכלו לבצע באתרכם - כותרות – כותרת העמוד צריכה להיות ייחודית ותיאורית. הכותרות באתר צריכות להיות בעלות מבנה מדורג וסמנטי. מה זה אומר? כותרת ראשית תהיה יחידה בטקסט ותסומן כH1. כותרות משניות – יכולות להיות רק 2 כותרות משניות בטקסט והן יסומנו כH2, וכן הלאה עם H3. ניגודיות טקסטים – חשוב שתהיה ניגודיות מספקת בין צבע הטקסט לצבע האתר בכדי שייראה היטב. התקן לדרגת AA קובע שרמת הניגודיות צריכה להיות 4.5:1 לפחות. קיימים כלים רבים לקביעת יחס הניגודיות באתר אינטרנט ובחיפוש מהיר בגוגל תוכלו למצוא את כולם. תמונות באתר – כל תמונה צריכה להיות מסומנת בalt text. זה אומר שלכל תמונה בעלת משמעות לקורא יש לתת תיאור נאמן למקור. לדוגמא: אם בתמונה יש 2 אנשים לוחצים ידיים, בתיאור יכול להיות כתוב "לחיצת ידיים" או "2 אנשים לוחצים ידיים". חשוב שהתיאור ייתאם לתמונה וייתאר את מה שנראה בה. אם התמונה לא משמעותית וחסרת חשיבות להבנת התוכן הכללי, ניתן לרשום שהיא תמונת אילוסטרציה. טפסים – במידה וקיימים טפסים באתר, צריכה להיות הודעת שגיאה מפורטת בה מוסבר מה השגיאה ובאיזה שדה היא קיימת, למען נוחות המשתמשים. הצהרת נגישות אתר אינטרנט – אם אתם מעוניינים להצהיר על כך שאתר האינטרנט שבבעלותכם הוא נגיש, יש לציין בהצהרת הנגישות את תהליך נגישות אשר האתר עבר. בהצהרות הנגישות קיימת חובה לציין מספר פרמטרים: שהתאמות הנגישות בוצעו עפ”י חוק שיווין זכויות לאנשים עם מוגבלות והמלצות התקן הישראלי, כי האתר מספק תמיכה בדפוס השימוש המקובל להפעלה עם מקלדת, מהם הדפדפנים המספקים תמיכה טובה בנגישות עם האתר, שם תוכנת קורא המסך שמספקת תמיכה טובה עם האתר, הסדרי הנגישות הקיימים של הארגון, את דרכי הקשר המקובלות במידה והמשתמש נתקל בבעיה וכמו כן, ציון זמן עדכון ההצהרה האחרון והטמעת אייקון נגישות באתר במקום הנראה לעין. אלה הם רק חלק קטן מסעיפי ההנגשה באתר. קיימים עוד סעיפים מורכבים יותר ופחות לביצוע באתר בכדי שיהיה נגיש. לא בטוחים אם אתרכם מונגש? רוצים להנגיש אותו בצורה יסודית? אודיט בקרה וביקורת מציעה שירותי הנגשה לאתרים לכל סוג של עסק או אירגון. מוזמנים ליצור קשר.

הגבלים עסקיים זהו ענף אשר עוסק בקידום התחרות ואוסר תחרות לא הוגנת על פי חוק. תחרות לא הוגנת מתרחשת כאשר גורמים שונים בענף מייצרים חסמים מסוגים שונים המשפיעים על התחרות בענף מסוים, באזור גיאוגרפי וכדו. בישראל, עיקר הפיקוח על התחרות מתבצע בידי רשות התחרות, בהתאם לחוק התחרות הכלכלית. המטרה העיקרית של דיני ההגבלים העסקיים היא להסיר מגבלות מלאכותיות שעומדות בדרכה של התחרות החופשית. כמו כן, הגבלים עסקיים נועדו למנוע מחברה בעלת מיקום דומיננטי בשוק מלנצל לרעה את כוחה ולייצר מונופול או קרטל. דיני ההגבלים העסקיים הוא תחום משפטי בעל השפעה מכרעת על עסקיה של כל חברה. המגמה של פתיחת הליכים משפטיים פליליים עקב הפרת כללי ההגבלים העסקיים, גדילה בכמות התביעות הנזיקיות והתובענות הייצוגיות והתפתחותה של הרגולציה הנוגעת לתחום – כל אלה יוצרים הכרח בידע רחב ובמקצועיות על מנת לזכות בתוצאה הרצויה עבור הלקוח. לרשות התחרות אמצעי סמכויות רבות המקנות לה יכולות אכיפה במישורים הפלילי והמנהלי. הרשות מפרסמת מדי שנה דו"ח עם הפעילות השוטפת שלהם. על פי הדו"ח, רק בשנת 2019 לבדה, הוטלו 70 עיצומים כספיים בסך של 70 מיליון שקלים ו7 אנשים נשלחו למאסר, כאשר העונש המירבי הוא 11 חודשי מאסר. ניתן לראות את הדו"ח המלא באתר של רשות התחרות. שירותינו בתחום דיני התחרות סקר ציות סקר הבוחן את חשיפת הארגון לסיכוני ציות. בסקר נבחנות החשיפות, תהליכי העבודה המבוצעים בפועל בארגון, ומנגנוני הבקרה במטרה להציג את הפערים הקיימים בחברה והעשויים, חלילה, לגרום להפרה של הוראות הדין. בסקר הציות, נכללת התייחסות לכלל ההוראות הרגולטוריות החלות על החברה בתחום דיני התחרות, תוך ניתוח של תרחישים בהם עשויה להתרחש הפרה של הוראות אלו. עריכת הסקר מחייבת מיפוי של כלל הפעילויות בארגון, סקירה של נהלי העבודה או מסמכי מדיניות שונים בארגון, על מנת לוודא כי קיימת התייחסות למספר רב ככל שניתן של תרחישי הפרה. תכנית אכיפה פנימית המבוססת על חוק הגבלים עסקיים תכנית אכיפה פנימית הינה מנגנון התנדבותי אותו מאמץ ומיישם תאגיד באופן שוטף כדי לאתר ולמנוע הפרות ועבירות, וכדי לוודא ציות של התאגיד ושל היחידים בו. תוכנית אכיפה פנימית יעילה יכולה לסייע לאירגון ולעובדים בו להיכנס "לתחום המוגן" שבו אם יתרחש אירוע של הפרה, תיבחן אופציה של המרת חומרת ההפרה מעבירה מהמישור הפלילי (מעצר, כלא) לעבירה במישור המינהלי (קנסות ועיצומים). בנוסף ייבחנו הקלות בנושא גובה העיצום הכספי שיוטל על המפר ותיבדק האופציה של הפחתת הקנס. ההקלות ייבחנו לפי מספר קריטריונים: מהות ההפרה, תפקידו של המפר, היקף ההפרה, הישנות אירועי ההפרה, גילוי ההפרה, טיפול במניעת הישנות התרחשותה והנזק שנגרם או שהיה יכול להגרם. תוכנית האכיפה בתחום דיני התחרות אמורה לכלול התייחסות לכלל הפעילויות המבוצעות בארגון, החל מכללים על אופן ההתנהלות לגורמים החברים באיגודים שונים או ב"שולחנות עגולים", עובר דרך התקשרויות למול לקוחות וספקים, וכלה במכירות עצמן. מעבר לעריכת התוכנית, חשובה לא פחות ההטמעה שלה בארגון, היכולה לכלול הדרכות, מבדקי ידע, בקרות ועוד. ביקורות פנימיות בתחום דיני התחרות הביקורת הפנימית היא מקבץ של פעולות בלתי תלויות ואובייקטיביות על ידי מבקר פנימי. מטרת הביקורת היא להפנות את תשומת הלב של מנהלים ועובדים בארגון לסיכונים בארגון, להוסיף ערך ולשפר את הבקרות הניהוליות כדי לצמצם את הסיכונים הללו. ביקורת פנים בחברה נועדה להבטיח קיום של יעדי האירגון, שמירה על כספו ורכושו של האירגון, לוודא כי תהליכי עבודה של המנהלים והעובדים מבוצעים באופן יעיל , חלוקת אחריות וסמכויות, יצירת איזונים ובלמים ועוד. כמו כן, ביקורת פנימית מגדילה את אפקטיביות התהליכים של ניהול הסיכונים, בקרה, פיקוח וממשל תאגידי. בקרות שוטפות תהליך סדור לניהול סיכוני הציות בתחום ההגבלים העסקיים מחייב ביצוע של בקרות שוטפות. לשם כך, נבנית תוכנית עבודה שנתית הכוללת את מאפייני הבקרות, תדירות ביצוען, אופן ביצוען והגורמים האחראים על ביצועה של כל בקרה. קיים מגוון רחב של בקרות אותן ניתן לבצע, אך חשוב להקפיד, כי הן תכלולנה את כל הסיכונים בתחום דיני התחרות. כך, יש להתייחס לממשקים למול לקוחות, קביעת מחירים, הנחות וכדו' אך גם לבקרות אחר הפעילות למול ספקי החברה, בחינת ההתקשרויות למולם ועוד. בקרות אלו, הן מעבר כמובן לביקורת הפנימית הבוחנת את כלל הטיפול בניהול הסיכון בתחום דיני התחרות. מושגים שחשוב להכיר: תיקון לחוק ההגבלים העסקיים בתחילת שנת 2019 אישרה הכנסת את התיקון לחוק ההגבלים העסקיים. התיקון לתקנות ההגבלים העסקיים מבקש מצד אחד להעמיק ולמקד את פעילותה של רשות ההגבלים העסקיים בפעילויות שטמון בהן נזק פוטנציאלי לתחרות ולציבור, ומהצד השני להקטין את הנטל הבירוקרטי והרגולטורי שמייצרים מנגנוני הפיקוח שקדמו לתיקון החוק. כיום, במקום החוק להגבלים עיסקיים, קיים חוק התחרות. במקום הרשות להגבלים עסקיים קיימת רשות התחרות ובמקום הממונה על ההגבלים העסקיים קיים תפקיד בשם "הממונה על התחרות". חוק ההגבלים העסקיים נקרא גם בשם "חוק התחרות הכלכלית", חוק זה, הנקרא גם " תקנות התחרות הכלכלית" מסדיר את תחום ההגבלים העסקיים בישראל. כהמשך ישיר של החוק הוקמה בשנת 1994 רשות התחרות, המתפקדת כגוף העיקרי המפקח על התחרות בישראל. בראש הרשות עומד הממונה על התחרות, ובמקביל נוסד בית הדין להגבלים עסקיים. מיזוגים ההגדרה המדוייקת של מיזוג היא רכישה של "עיקר נכסי" חברה אחת בידי חברה אחרת, או רכישת מניות חברה בערך העולה על 25% מסך המניות בידי חברה אחרת. בצורה כזאת מבצעים העברת שליטה של יחידות עסקיות שונות ליחידה עסקית אחת. מונופולין / מונופול לצד ההגדרה הקיימת, לפיה חברה שיש לה נתח שוק של מעל 50% משוק מסוים מוגדרת כבעלת מונופולין, גם למי שמחזיק בכוח שוק משמעותי. חברות אשר רוצות להוות מונופול בשוק יכולות להיות בעלות יותר מ50% מהשוק או מחזיקות בכוח שוק משמעותי. הסדר כובל הסדר כובל מוכר גם כ"קרטל". הסדר זה הוא הסדר זה מתקיים בין בני אדם המנהלים עסקים, בו (לפחות) אחד הצדדים מגביל את עצמו, בצורה העלולה להפחית התחרות בינו לצדדים אחרים. הסדר כובל יכול להיווצר כאשר יש הסכמה לגבי המחיר שיידרש או ישולם עבור מוצר או שירות; כאשר מוסכם על הרווח העתידי שעשוי להיות מופק; כאשר מתבצעת חלוקת שוק (חלוקה גאוגרפית או לפי סוג הצרכנים); או כאשר ההסכם נוגע לכמות, איכות או השירות המסופק. לסיכום, משרדנו ביצע סקרים, ביקורות ובקרות למגוון לקוחות בתחומי פעילות רבים. נשמח לסייע גם לכם בהתמודדות עם סיכוני הציות בתחום דיני התחרות. עורך דין מיכאל גילינסקי, שותף במשרדנו, ישמח לסייע לכם ולהציע פתרונות יעילים להתמודדות המתאימה עם סיכונים אלו. אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם. נשמח לעמוד לרשותכם בכל שאלה והבהרה בנושא. אל תהססו לפנות לצוות שלנו בכל שאלה או התייעצות.

המושג "אבטחת מידע" (וכיוצא בזה גם הגנת הפרטיות) הופך נפוץ יותר ויותר בתקופה האחרונה. ימי קורונה, בהם יותר ויותר עובדים מהבית, עובדים מרחוק עם תוכנות צד שלישי, גורמים למידע להיות יותר ויותר פרוץ. אבטחת מידע (Information Security) או בקיצור InfoSec היא הפרקטיקה של הגנה על מידע במערכות, בעיקר מערכות ממוחשבות – אך לא רק. בתקופה האחרונה, יותר ארגונים בעולם חווים יותר התקפות, וההתקפות הופכות יותר ויותר אגרסיביות – ובתגובה מוציאים סכומים הולכים וגדלים להגנה על המערכות שלהם. מצד אחד, העבודה מהבית הופכת להיות יותר ויותר פרודקטיבית ויעילה, תוך שימוש בטכנולוגיה עם תוכנות המספקות שירותים כמו שרתי שיתוף קבצים בענן, אמצעים לשיחות וידאו וכד'. מצד שני, אותה טכנולוגיה טומנת בחובה איומי סייבר משמעותיים. המציאות כיום מלמדת כי גורמים עוינים רבים פועלים בכדי לנצל לרעה את המציאות שנוצרה בעידן הקורונה, ופועלים על מנת לתקוף ארגונים, באמצעות אותן קישוריות שמשמשות את העובדים לעבודה מהבית. העברת קבצים, שיחות וידאו, שיחות ועידה וכדומה – כל אלה הופכים לנשק בידי האקרים. לכן, קיים צורך הולך וגובר לבצע ביקורת אבטחת מידע מפעם לפעם ובצורה סדורה בכדי שגורמים זרים לא יינצלו פרצות אבטחת מידע בכדי לפגוע בארגון. איך מבצעים ביקורת אבטחת מידע קודם כל בודקים ומנתחים מהם האיומים העומדים בפני הארגון, כאשר החלוקה היא לאיומים פנימיים וחיצוניים. לפניכם רשימת קריטריונים לקביעת סוגי האיומים: איומים פנימיים – כוללים שימוש לרעה במידע רגיש המצוי ברשומות/מערכות מידע ע"י מנהלים או עובדים כיום/בעבר ספקי שירותים מקומיים, ספקים אסטרטגים מתוך כוונת זדון/מסחר ע"י גרימת נזק תדמיתי, כלכלי בלתי הפיך. איומים חיצוניים – כוללים התחברות למאגרי מידע בעזרת קודי הפעלה וסיסמאות לנגישות קלה למידע לוגי בתוך החברה ומחוצה להן: בתי העובדים, מרכזי מידע ציבוריים וכד'. שימוש לרעה בעובדי ניקיון לצורך ליקוט מידע רגיש/מסווג המצוי במשרדי החברה. שיחוד מנהלים/עובדים/ספקים אסטרטגים ולגייסם לצורך העברת מידע רגיש שנצבר בידי עובדי החברה. תקיפות למטרות יירוט מידע ואי עמידה בדרישות חוקים ותקנים. קיימים שני סוגים של ביקורת אבטחת מידע: פיזית ולוגית ביקורת אבטחת מידע פיזית – מתייחסת להגנות הפיזיות על תשתיות ומערכות חומרה, סוגי רכיבי תקשורת ואבטחת מידע. ההגנה הפיזית כוללת רכיבים רבים ובכלל זה מיגון חדר שרתים (רצפה צפה, מערכת כיבוי אש, מיזוג), מעגלי בקרה על כניסה \ יציאת בעלי תפקידים לאזורים רגישים, מצלמות אבטחה, אחסון מסמכים מודפסים, גריסת חומרים רגישים ועוד'. ביקורת אבטחת מידע לוגית – מדובר על כל התוכנות או האתרים המייצרים את המידע אשר נעשה בו שימוש הן כרשומה והן כאימייל/מסמך/קובץ לוגי בפורמטים שונים ומגוונים, כמו WORD וEXCEL - ודומיהם. נושאים בביקורת אבטחת מידע תוצר ביקורת אבטחת מידע הינו דו"ח אבטחת מידע (וסייבר) מפורט שכולל את הסעיפים הבאים: א. מיפוי של כלל האיומים והסיכונים הקיימים או הפוטנציאליים לארגון בין אם מדובר בדליפת מידע, גניבת מידע, פגיעה ושיבוש של נתונים / תהליכים בעלי ערך לחברה וכד'. ב. הוראות חוק: 1) כתיבת נהלי אבטחה, פיקוח ובקרה בהתאם לרגולציה המחייבת 2) טיפול בהיבט של הסכמי סודיות, ספקים אסטרטגים והמידע המועבר אליהם 3) בדיקת הנושאים הנדרשים בהתאם לתקנות הגנת הפרטיות(אבטחת מידע) תשע"ז 2017. ג. המלצות של פתרון אבטחת מידע פיזית בהיבטים הבאים: 1) אבטחת מידע פיזית למניעת ריגול עסקי ו/או מסחרי 2) ניטור ובקרת פעילות בסביבת עבודה (משרדים, חללים פתוחים וכדומה) 3) קלט/פלט של נייר, אחסון/טיפול במידע, גריסה ד. טיפול בנושא של אבטחת מידע לוגית: 1) ניתוח נושא ההקשחה של מחשבים ומערכות 2) מיפוי קשרי הגומלין עם האינטרנט ומהם צרכי התקשורת ההכרחיים והמינימליים הנדרשים 3) התייחסות לנושאי יתירות/גיבוי/התאוששות מאסון/התאוששות מווירוס 4) הצפנה, אישור חיבור מרחוק, שרת ביניים וכד' מתי מבוצעת ביקורת אבטחת מידע · בעקבות אירוע אבטחה שקרה ברמת הארגון (גם כאשר אין נזק ארגוני) · לאחר ביקורות יזומות שמתקיימות כל זמן מוגדר ע"פ החלטת ההנהלה · בעקבות הערכת סיכוני סייבר · על בסיס רנדומלי לפי דרישה של לקוחות ומדיניות מוגדרת · כאשר ארגון נדרש לציית לרגולציה/תקנים דו"ח אבטחת מידע דו"ח אבטחת מידע הוא הכלי אותו מקבל האירגון כדי לשפר את רמת האבטחה שלו, את רמת הגנת הפרטיות שלו ואת היעילות התפעולית שלו. על פי תוצאות הדו"ח, האירגון יכול לשנות מדיניות אבטחת מידע קיימת, לבצע כתיבת נהלים ועוד. חשוב שדו"ח אבטחת המידע יהיה נגיש וברור לכל מי שקורא אותו, וייכתב במושגים פשוטים ולאו דווקא מקצועיים, בכדי שיהיה יעיל וישים. איך בוחרים חברה המבצעת ביקורת אבטחת מידע הקריטריונים לבחירת חברת ייעוץ אבטחת מידע הם רבים: ידע, מקצועיות, ניסיון ועוד.. חשוב לבחור חברה שיש לה ניסיון עם גופים דומים לארגון שלכם. כמו כן, כדאי לבחור חברה אשר מנחה בצורה ברורה מה לעשות, כיצד לבצע זאת ועוד.. כדאי לוודא שהעבודה תתבצע על ידי צוות עובדים בעל ניסיון רב שנים ובעלי הסמכות מקצועיות בתחום כגון: CISSP, CISA ,CISM. אודיט בקרה וביקורת מעמידה לשירותכם את הידע, המקצועיות והניסיון הרב שצברה בכדי לסייע גם לאירגון שלכם לעמוד בחוקי אבטחת המידע ובכדי לשמור על המידע בארגונכם. נשמח לעמוד לרשותכם בכל שאלה והבהרה בנושא.

בעקבות וירוס הקורונה עולם הסחר המקוון עובר האצה של ממש. המצב הקיים, בו חנויות פיזיות סגורות והציבור מפחד לצאת מביתו, אילצו את בעלי החנויות לבצע תהליכים יצירתיים ומהירים ולפתוח חנויות דיגיטליות על גבי רשת האינטרנט הגלובלית, מה שמגדיל את הצורך בשירות של ביקורת אבטחת מידע. התקופה האחרונה (בשילוב כניסתה של תשתית האינטרנט G5) הינה קטליזטור לפתיחת חנויות אונליין ולמעבר לחנות דיגיטלית, כאשר החשש האמיתי והעמוק של בעלי עסקים הוא מפשיטת רגל וסגירת העסק, או במילים אחרות, הם יודעים שכרגע שם המשחק הוא להיות או לחדול. כל עסק בימינו מתבקש להראות נוכחות ברשת, ולא רק ככלי של מיתוג ושיווק. מהפכת הקניות המקוונות בישראל שהביאה ענקיות אינטרנט כגון: אמזון עלי-באבא ואיביי, הרגילו את הקהל לחשוב "מחוץ לקופסא" ולקנות בצורה קצת אחרת. בתהליך הקנייה הקלאסי הלקוח קורא על המוצר ברשת, מבצע סקר שוק אינטרנטי, ומחליט מה לקנות ומבצע את הרכישה בחנות הפיזית. כיום, הלקוח מעדיף לוותר על השלב הפיזי ובקליק מהיר רוכש את המוצר שרצה בחנות הדיגיטלית. לפעמים אלו אתרי מכירה ייעודיים בעלי מערכת סחר אלקטרוני, לפעמים דרך מרכז סחר מקוון, לפעמים הקנייה המקוונת יכולה להתבצע בחנויות שנמצאות בתוך זירות מסחר גדולות. המשותף לכולן הוא התצוגה הנוחה של המוצר, ההתאמה אישית של מראה ותוכן האתר לפי העדפות הגולש והאפשרות לקנות ברגע אחד בצורה מאובטחת ונגישה. קיימים 4 סוגים של מסחר אלקטרוני: C2B ,C2C ,B2C ו-B2B (האות C מייצגת את המלה Customer, והאות B מייצגת את המילה Business) B2C סוג מסחר זה מתאפיין בעסקים שמשווקים ללקוח הסופי, לאנשים פרטיים. כמו לדוגמה: חנויות או שירותים של מתווכים, יועצות הנקה ועוד. קיימים עסקים שנותנים שירותים גם ללקוחות פרטיים וגם לעסקים, לדוגמה: שירותי קייטרינג יחפש את הלקוח הפרטי וגם עסקים שעושים אירועים. מעצב פנים יכול לשווק לאדם הפרטי וגם לשווק לחברות שמעוניינות בשדרוג המשרדים שלהם B2B מכירות המתבצעות בין בתי עסק. מכירת מוצר ו/או פיתרון של אירגון אחד לאירגון שני. מדובר בתהליך מכירה שלרוב יהיה ארוך יותר מתהליכי מכירה אחרים. דוגמאות: סוכנות עיצוב פנים המתמחה בעיצוב חלל משרדים, חללי עבודה ומפיצים מסחריים אשר קונים מיצרנים C2B מדובר במכירה של בית העסק לצרכן הבודד (מכירה ישירה ללקוח סופי), זהו תהליך מכירה קצר וממוקד. דוגמאות לשיטת מכירה זאת: חנויות שונות במרכז העיר ובקניונים, אתר פרייסליין בו הגולשים יכולים לרכוש כרטיסי טיסה, חבילות תיור ומלאי בלתי מנוצל בתחום התיירות באמצעות 'מכרז הפוך' בו הצרכן מציע מחיר שהוא מוכן לשלם C2C מסחר מסוג זה מאפשר ללקוחות פרטיים לסחור אחד עם השני. דוגמא קלאסית לכך היא חברת איביי המאפשרת לכל המעוניין להציב סחורות משומשות וחדשות ולמכור באמצעות האתר, כאשר היא גובה עמלה מכל עיסקה למה כדאי לפתוח חנות וירטואלית? עמידות העסק בתנאי סביבה משתנה ואי וודאות עסק שרוצה להמשיך להתקיים, לשרוד ולגדול חייב להתאים עצמו למציאות משתנה. המציאות של ימינו קיבלה תפנית שאולי אף אחד לא ידע לצפות ואף אחד לא יודע מתי תסתיים והחיים שלנו יחזרו להיות מה שהיו, אם בכלל. הדבר היחידי שניתן לומר בוודאות, הוא שעסק שלא יידע להתאים את עצמו, מהר מאוד יימצא עצמו מחוץ למשחק. אי הוודאות והעובדה כי קשה עד בלתי אפשרי להחזיק ולתפעל עסקים בעלי חנויות פיזיות בלבד מתווים מהלך מתבקש של מעבר אל חנות דיגיטלית. הלקוחות מכירים ומצפים הלקוחות מצפים מחנויות לספק פלטפורמה נוחה וזמינה לביצוע קניות דיגיטליות - מכל מקום ובכל שעה ללא תלות במרחב הפיזי. הדבר מביא להקטנת הוצאות התפעול וכאשר תעברו לחנות דיגיטלית, הצמיחה העתידית של העסק תהיה פשוטה וזולה יותר ולשם הולך כל העולם. כבר שנים שאנשים לא מגיעים במיוחד לחנות בקניון או במרכז המסחרי, ומעדיפים למצוא אותה ברשת. זה לא משנה אם החנות שלך מוכרת ביגוד, הנעלה, מחשבים - הכל נקנה ברשת והקהל הישראלי מכיר את הקונספט היטב. מעבר לכך, הנתונים בהחלט יכולים לסייע בקבלת ההחלטה לפתוח חנות דיגיטלית: היקף המסחר המקוון בישראל נמצא בעלייה דרמטית ובשנת 2020 צפוי שיעורו של המסחר המקוון לעמוד על כ-12% מהשוק הקמעונאי כולו לעומת שיעור של 6% בשנת 2016. צמצום בהוצאות תפעול כשנתח גדול מהפעילות העיסקית מתמקד במכירה מקוונת, אפשר להקטין השקעה בזירת המכירה הפיזית. עסקים קטנים יוכלו להפחית בכוח האדם ולשמור במקביל על עלייה בשיעור המכירות. בנוסף, הגמישות של פלטפורמת המסחר הדיגיטלית מאפשרת לבצע מהלכי שיווק נרחבים על ידי עובד בודד. למשל, הפקת קופונים ושוברי מתנה, להציע מבצעים נקודתיים ולבצע פעולות קידום מכירות בקליקים בודדים. גם הניהול הלוגיסטי נעשה קל יותר בחנות מקוונת שמחוברת לפלטפורמה חכמה; ניהול המלאי וההזמנות, קבלת התראות על חוסרים ופערים בזמן אמת, ייצוא חשבוניות וקישור לחברות שילוח – כל אלה הן פעולות שניתן לבצע בקלות ובמהירות המתבקשת מחנות דיגיטלית. כיצד תחום אבטחת המידע קשור לסחר מקוון? מדי פעם בפעם עולות לחדשות ידיעות על פריצה לאתר סחר גדול כזה או אחר ושימוש במידע רגיש הנאסף מתוכו. לא מזמן נפרצו ונחשפו פרטי כרטיסי האשראי של אלפי ישראלים ע"י האקרים סעודים מתוך אתר סחר גדול. נושא אבטחת המידע והגנת הפרטיות עולה שוב ושוב על הפרק ומראה שאין אתרים החסינים לפירצות אבטחה או פגיעות מכיוון שכל אתר סחר מקוון מחזיק במידע על לקוחותיו, אם זה מידע כספי כמו פרטי התשלום, או אם מדובר במידע כללי כמו כתובת. חוק הגנת הפרטיות ובכלל זה תקנות הגנת הפרטיות (אבטחת מידע) מחייבים אתכם, בעלי העסקים, לבדוק: האם החנות המקוונת שלכם לא מפרה את דיני הפרטיות? האם האתר עומד בדרישות החוק השונות? כדאי לדעת כמה דברים לפני שאתם "פותחים" את חנותכם לראווה. ראשית, חשוב לדעת כי חוק הגנת הפרטיות ותקנותיו חל על כלל העסקים במשק הישראלי ללא יוצאי דופן. זה כולל את כל מי שמנהל, מחזיק ו/או בבעלותו סוג של מאגר מידע מכל סוג. בעלי חנות אלקטרונית, ארגונים, גופים ציבוריים, גופים פרטיים, עמותות, חברות פרטיות, חברות הנסחרות בבורסה, עמותות עסקים ויחידים. תקנות הגנת הפרטיות חלות על מאגרי המידע העונים על הגדרת "מאגר מידע" לפי סעיף 7 לחוק הגנת הפרטיות ובכללם מאגרים שהמידע שבהם נאסף ממקורות פומביים. התקנות מחייבות כל בעל מאגר מידע ובכללם בעלים ומנהלים של חנויות מקוונות, ליישם נוהל אבטחת מידע המגדיר מספר פרמטרים עיקריים: מטרות המאגר סוג השימוש בו הסיכונים העיקריים לפגיעה בו דרכי ההתמודדות עם כל סוגי הפגיעות השונות קיימות 4 קבוצות של סוגי מאגרי מידע, ובהם רמת אבטחה הולכת וגוברת. החלוקה נעשית כך: מאגר המנוהל בידי יחיד, רמת אבטחה בסיסית, רמת אבטחה בינונית ורמת אבטחה גבוהה. רמת האבטחה נקבעת לפי ניתוח סוג המידע הנשמר (האם מדובר במידע רגיש), כמות המשתמשים במערכת וכמות האנשים שנאסף עליהם מידע. תקנות אבטחת מידע מחייבות את בעלי המאגר, וביניהם מנהלי סחר מקוון, בהגנה פיזית וסביבתית של תשתיות (שרתים, תחנות עבודה, ארונות תקשורת ועוד) המשמשות את המאגר, במקום מוגן המונע כניסה אליו ללא הרשאה. כמו כן, כאשר מדובר על מאגר מידע הנמצא ברמה הגבוהה, חלה על חייב בעל המאגר לבצע סקר לאיתור סיכוני אבטחת מידע (סקר סיכונים) אחת ל-18 חודשים לפחות ולבצע מבדקי חדירות למערכות המאגר אחת ל-18 חודשים לפחות. בעל מאגר המידע חייב לבצע תיעוד של אירועי אבטחה בעלי יכולת פגיעה בשלמות המידע, לשימוש בו בלא הרשאה או לחריגה מהרשאה. ככל האפשר יבוסס תיעוד מקרה האבטחה על רישום אוטומטי. קיימות עוד פעולות שעל הארגון לבצע, והן מפורטות במדריך המלא לתקנות הגנת הפרטיות (אבטחת מידע) שאותו פרסמה הרשות להגנת הפרטיות והן מפורטות בקישור הבא. לסיכום, כל עסק צריך לבטח את מאגרי המידע שלו באמצעות שירותי אבטחת מידע. לעיתים, ידע שנלמד בקורס אבטחת מידע לא מספיק מכיוון שהוא אינו כולל הגנה משפטית. ברוב מוסדות הלימוד כיום, לימודי אבטחת מידע אינם כוללים התייחסות לתחום הגנת הפרטיות, שהינו קריטי וחיוני לאבטחת המידע של הארגון. אנו מציעים שירותי מדידה, איתור וניהול פערי אבטחה ורגולציה של ספקים. אנו נמצאים כאן בכדי לסייע ללקוחות לנווט בימים הסוערים האלה. אל תהססו לפנות לצוות שלנו בכל שאלה או התייעצות. נשמח לסייע לעסק שלכם!

האם בודק שכר מוסמך יכול לחסוך כסף רב לחברות אשר קיבלו קנסות ממשרד העבודה? התשובה היא: בהחלט כן. מאז 2012 חילק משרד העבודה קנסות ועיצומים רבים לעסקים אשר הפרו את דיני העבודה. החוק להגברת האכיפה של דיני עבודה נכנס לתוקפו במהלך חודש יוני 2012 ומקנה למשרד העבודה סמכויות אכיפה מנהליות ביחס למעסיקים אשר הפרו הוראות המפורטות בו בתחום דיני העבודה. כחלק מתהליך הטיפול בעסקים שהפרו את דיני העבודה, מינהל הסדרה ואכיפה בזרוע העבודה במשרד העבודה והרווחה שולח מכתב בהול ואישי למעסיקים, ובו ניתנת להם הזדמנות לתקן את הליקויים הקיימים בעסק לגבי כלל העובדים וזאת תוך המצאת אישורים של בודק שכר מוסמך לליקויים שנתגלו. ככל שחולף הזמן, משרד העבודה והרווחה מרחיב פעילותו כנגד מעסיקים שפוגעים בזכויות הפנסיה של עובדיהם וכמובן בתחומי עבודה אחרים. כך למשל, בשנת 2017 התגלה כי 500,000 עובדים, המהווים 16% מהעובדים - אינם מבוטחים בפנסיה חובה. מדובר על למעלה מ-50 ענפים כלכליים שנבדקו ובהם מבצעת זרוע העבודה במשרד העבודה והרווחה אכיפה, בין היתר בענפי מסחר, מסעדנות, בניין, חברות שמירה וניקיון. מעסיקים שלא משתפים פעולה באופן מלא עם מנהל ההסדרה, יפעלו בהתאם למכתב שנשלח להם ולא יבצעו את ההפרשות בהתאם יהיו חשופים להליכי אכיפה, לעיצומים כספיים ולסנקציות נוספות בהתאם לחוק. אנו באודיט, כגוף המתמחה בתחום בדיקות שכר, עקבנו אחר פעילות משרד העבודה בתחום האכיפה וניתחנו את הממצאים. הנה סיכום של קנסות בתחום דיני העבודה לשנת 2019. סכומי העיצומים בשנת 2019 לפי תחום פעילות נתונים אודות התפלגות העיצומים לפי תחום הפעילות והיקפם לסיכום, ניתן לראות כי תחום שירותי שמירה ואבטחה נמצא בראש הרשימה מבחינת סכומי העיצומים שניתנו. תחום המסחר מוביל בראש הרשימה עם מספר העיצומים הגבוה ביותר התקבל בשנת 2019. מתוך 370 קנסות שניתנו בשנת 2019 - 240 ניתנו מתוך ביקורות יזומות, ו-130 ניתנו על סמך תלונות. עוד דבר ברור הוא, שאין תחום פעילות אשר "חף" מקנסות. כל תחומי הפעילות במשק, "זכו" לביקורות וספגו עיצום כספי מבית משרד העבודה. חשוב להזכיר שדו"ח זה אינו כולל עיצומים שהוטלו על בעלי עסקים או מנכ"לים באופן אישי. בעל עסק, מנכ"ל, רוצה אתה להימנע מתשלומים מיותרים בתקופה זו בפרט. אתה צריך את שירותיו של בודק שכר מוסמך, עתיר ניסיון, אשר מכיר את דיני העבודה השונים לעומקם ויכול לסייע לך במגוון פעולות מניעה וצמצום קנסות. יש לך חשב/ת שכר שאתה סומך עליהם? מצוין. אפשר להם לקבל ביקורת עצמית, לשאול שאלות, להשתפר ואפילו להימנע מתשלומי יתר לעובדים. מוזמנים לקבל ליווי ותדרוך מקצועי מראש מחלקת בדיקות שכר באודיט בקרה וביקורת, רו"ח שלי גליקליך- פוקס, בודקת שכר מוסמכת ולחסוך לכם זמן יקר, פגיעה במוניטין, ובעיקר - כסף רב. shellyg@audit-fa.co.il 03-5616303 | 050-6814547