פרטיות בבנקאות
הוראות הפיקוח על הבנקים – נוהל בנקאי תקין (נב"ת)
היערכות המערכת הבנקאית לסיכוני סייבר הנובעים מיכולות מחשוב קוונטי (07.01.25)
ניהול סיכוני טכנולוגיית המידע, אבטחת המידע והגנת הסייבר
364
מטרת הוראה זו היא ניהול נאות ואקפטיבי של טכנולוגיית המידע תוך צמצום למינימום של האירועים בהם מתממש סיכון טענולוגכי ומתקיימת פגיעה בסודיות, בשלמות או בזמינות של נכסי מידע. ההוראה משמשת כבסיס אחיד לניהול כלל הסיכונים הטכנולוגיים באופן שהוא ניטרלי לטכנולוגיה, תוך מתן גמישות לתאגיד הבנראי לנהל את הסיכון בהתאם לטכנולוגיה המתפתחת, לסיכונים המשתנים ובכלל זה בהתאם לאיום הייחס הפרטני של התאגיד הבנקאי.
ניהול סיכוני סייבר בשרשרת אספקה
363
מטרת הוראה זו הינה להבהיר את האחריות של התאגיד הבנקאי בנוגע לקיום תצורת עבודה מאובטחת מול הספקים המהותיים, ואת חובותיו לניהול סיכוני סייבר הולמים בפעילות ספקים אלו בחצרותיהם, בחצרי התאגיד הבנקאי ובממשקים שלהם עם התאגיד.
דיווח על אירועי כשל טכנולוגי ואירועי סייבר
366
ניהול וטיפול יעיל באירועי כשל טכנולוגיים ואירועי סייבר הוא חיוני ומהווה אבן יסוד להמשך תפקוד ומתן שירותים על ידי התאגיד הבנקאי בעת אירוע מסוג זה. הפיקוח על הבנקים רואה בדיווח אליו על אירועים כאמור, את אחד מהעקרונות המרכזיים עליהם מושתת ניהול נאות של סיכוני טכנולוגיית המידע, ובכלל זה ניהול וטיפול בסיכוני אבטחת מידע וסייבר.
368
בנקאות פתוחה יוצרת סביבת סיכונים חדשה ואתגרים בתחום ניהול הסיכונים, בעיקר בכל הקשור לסיכוני אבטחת מידע וסיכוני פרטיות. ההוראה מסדירה, בין השאר, את החובות של הבנקים וחברות כרטיסי האשראי בבנקאות הפתוחה, את ההגנות ללקוח כמו גם את הכלים לניהול הסיכונים של הבנקים וחברות כרטיסי האשראי.
לענין זה יש לראות גם את חוק שירות מידע פיננסי, התשפ"ב-2021.
367
הגידול בהיקף השירותים הבנקאיים באמצעים טכנולוגיים ומתן אפשרות ללקוחות לבצע פעילות בנקאית מרחוק, טומנים בחובם גידול בסיכונים הייחודיים הגלומים בפעילות זו, וביניהם: סיכוני אבטחת מידע וסייבר, סיכוני פגיעה בפרטיות, סיכוני מעילות והונאות, סיכוני ציות, סיכוני הלבנת הון, סיכונים משפטיים וסיכוני מוניטין. הוראה זו מורה כיצד יש להתמודד עם הסיכונים הללו, ברמה הארגונית והטכנולוגית.
310
הוראה זו קובעת עקרונות יסוד לניהול ולבקרת הסיכונים בראייה משולבת וכלל תאגידית (Firm Wide Risk Management) כדי לחזק את יכולתם של תאגידים בנקאיים לזהות ולנהל סיכונים באופן מיטבי כך שישתקפו כראוי בפעילות הבנק, בהערכת הלימות ההון ובתהליכי קבלת החלטות.
350
ניהול נאות של הסיכון התפעולי משקף את האפקטיביות של הדירקטוריון וההנהלה הבכירה של התאגיד הבנקאי בניהול תיקי המוצרים, הפעילויות, התהליכים והמערכות. הוראה זו קובעת כללים הנדרשים לניהול תקין של הסיכון התפעולי בתאגיד הבנקאי.
355
מסמך זה מנחה לגבש מסגרת עבודה כוללת לניהול המשכיות עסקית במטרה לשפר את עמידות התאגיד הבנקאי בעת התרחשות שיבושים תפעוליים, הנגרמים מאירועים חיצוניים או פנימיים, וכן להקטין את ההשפעה ששיבושים מסוג זה עלולים לגרום לרציפות הפעילות העסקית, למוניטין, לרווחיות, למפקידים ולבעלי המניות.
362
בצד היתרונות הגלומים בשימוש בטכנולוגיות ענן, שימוש בטכנולוגיות אלו עלול לחשוף את התאגיד הבנקאי לסיכונים תפעוליים מהותיים הקשורים לאבטחת מידע וסייבר, המשכיות עסקית, שליטה ובקרה על נכסי ה - IT , וכד'. חוזר זה קובע הוראות לעניין שימוש והפעלת מערכות מחשוב ענן לטובת צמצום הסיכונים כאמור.
הוצאת מסמכים ממשרדי התאגידים הבנקאיים
356
ההוצאה של מסמכים מחוץ לתאגיד שלא לצורך עבודתו. במקרים רבים מסמכים חסויים- כגון לצורכי מחקר או שהם דרושים לעובד לשעבר של התאגיד, לשם הגשת תביעות או הגנה מפני תביעה פלילית או אזרחית. בין היתר קובע המסמך כי ראוי שמסירת המסמכים כאמור תאושר על ידי דירקטוריון התאגיד או מי שיוסמך על ידו, או שיקבעו תנאים שיחולו על מקבל המסמכים.
359A
הוראה זו קובעת עקרונות על פיהם נדרשים התאגידים הבנקאיים לפעול כאשר הם מעבירים פעילויות שונות למיקור חוץ. עקרונות אלו נועדו לצמצם את חשיפת התאגידים הבנקאיים לסיכונים פוטנציאליים הגלומים במיקור חוץ. עדכון ההוראה נועד להקל על התאגידים הבנקאיים ביישום דרישות רגולציה, וזאת על רקע התפתחות אירוע וירוס הקורונה והשלכותיו, בין השאר, על זמינות המשאבים ויכולת התאגידים הבנקאיים לעמוד בהמשך פיתוח תהליכים ופרויקטים חדשים.
ניהול סיכוני איסור הלבנת הון ואיסור מימון טרור
411
אחריות התאגיד הבנקאי לקיום הליכי הערכת סיכונים ללקוחות, לשם זיהוי לקוחות בסיכון גבוה בהקשרי הלבנת הון ו/או מימון טרור, שכלפיהם נדרש התאגיד הבנקאי לנקוט בצעדים מוגברים לניהול והפחתת סיכונים. במקביל, החוזר קובע איסור על תאגיד בנקאי לסרב לתת שירותי תשלום אגב פעילות במטבע וירטואלי רק בשל היות השירות קשור במטבעות וירטואליים (זאת ככל שנותן השירות במטבעות וירטואליים שהינו צד לעסקה קיבל רישיון למתן השירות בישראל).
שימוש במידע לפי חוק שיקים ללא כיסוי, ומענה לפניות אודות הגבלה מיוחדת
430
אופן השימוש ושמירת המידע שהתקבל מהפיקוח על הבנקים לפי חוק שיקים ללא כיסוי. הוראה זו נועדה להביא לידי ביטוי את עדכון עמדת הרשות להגנת הפרטיות בנושא, את ההתפתחויות שחלו במהלך השנים שחלפו מאז צאת ההנחיה בנושא ההגנה על הזכות לפרטיות, והאיזון בינה לבין השימוש בנתוני אשראי. כמו כן, ההוראה נועדה לתת מענה לתלונות של לקוחות המערכת הבנקאית בדבר השימוש שנעשה על ידי בנקים במידע אודות הגבלתם בעבר, ולהבטיח יישום התפיסה כי יש לאפשר לאדם לשקם את מצבו הכלכלי.
הנחיות רשם מאגרי מידע
תחולת תקנות הגנת הפרטיות (אבטחת מידע) על ארגונים המוסמכים לתקן ISO/IEC 27001
03/2018
גופים המוסמכים לתקן ISO/IEC 27001 פטורים מקיום חלק מתקנות הגנת הפרטיות (אבטחת מידע). הנחייה זו קובעת את הפטורים והחובות החלים על גופים אלה.
הנחיית רשם מאגרי המידע- תחולת תקנות הגנת הפרטיות (אבטחת מידע) על גופים מפוקחים הכפופים להוראות המפקח על הבנקים
1/2018
גופים מפוקחים הכפופים להוראות המפקח על הבנקים בעניין אבטחת מידע פטורים מחלק מתקנות הגנת הפרטיות (אבטחת מידע) . מסמך זה מציג את הפטורים והחובות של אותם גופים.
הנחיית רשם מאגרי המידע- איסור שימוש במידע בדבר הטלת עיקול אצל צד שלישי
1/2011
הנחיה זו מיועדת להבהיר שצד שלישי איננו רשאי להשתמש לצרכיו העצמיים במידע אודות הטלת צו עיקול על חייב שנרשם אצלו. ההנחיה מביאה לידיעת הציבור את עמדתו של רשם מאגרי המידע בדבר הפרשנות הנכונה של תחולת הוראות חוק הגנת הפרטיות על הסוגיה שבנדון, לפיה הידיעה בדבר הטלת צו העיקול והמידע הכלול בו נמסרים לצד השלישי אך ורק למטרת קיום הוראות הצו: איתור נכסי החייב, הקפאתם תחת ידי המחזיק בהם ומסירתם לידי ההוצאה לפועל או פקיד הגביה ככל שיורה כך צו שיפוטי.