הקלות הבלתי נסבלת שבגניבת פרטי כרטיסי אשראי בישראל

נחשף לאחרונה כי כל חברות כרטיסי האשראי הישראליות אינן עומדות בתקן אבטחת המידע PCI-DSS. נראה כי חיוב עסקים בישראל בסטנדרט האבטחה כאמור, בכל הנוגע למאגרי מידע מסוג פרטי כרטיסי אשראי, יצמצם את גניבת פרטי כרטיסי אשראי והמידע הפרטי של המחזיקים בהם.

גניבת פרטי כרטיסי אשראי ומידע רגיש ממאגרי מידע אלקטרוניים רבים הפכו היום לדבר שבשגרה. ב-2014 נפלו חברות ענק רבות כ"קורבן" לגניבת פרטי לקוחות ומשתמשים ממאגרי המידע שלהן, ביניהן רשתות הקמעונאות הגדולות בארה"ב: טארגט קורפ (גניבה של כ-70 מיליון מספרי אשראי ועוד מיליוני פרטים אחרים של לקוחות)[1], הום דיפו (גניבה של 56 מיליון פרטי כרטיסי אשראי ו- 53 מיליון כתובות דוא"ל) ,סטייפלס (גניבה של 1.16 מיליון פרטי כרטיסי אשראי)[2] ועוד.


בעוד שבארה"ב התקפות סייבר אלו התגלו עקב חובת הדיווח החלה על החברות, בישראל, מכיוון שלא חלה חובת דיווח כאמור (ואף לאחרונה נדחתה הצעת חוק אשר ביקשה לחייב בעל מאגר מידע או מחזיק במאגר מידע לדווח על מאגר שנפרץ[3]), לא ידוע היקף הפריצה למאגרי המידע וגניבת הפרטים מהם. פרשות שונות בישראל כדוגמת פרשת לאומי קארד מנובמבר 2014, בה נגנבו על ידי עובדים ועובדים לשעבר כ-2 מיליון פרטי כרטיסי אשראי ישראליים[4], ממחישות, כי גם בישראל היקף התופעה הינו נרחב.


תופעה זו, הלכה למעשה, גורמת לצרכנים רבים באינטרנט לחשוש ואף להימנע מלעשות עסקאות, ומכאן גורמת התופעה לחוסר נוחות לציבור ו/או מהווה מכשול עבורו להשתמש בזכותו לעשות עסקאות בחופשיות וללא חשש. בהתאם, התופעה היכולה לעלות כדי עוולת מטרד לציבור שבפקדות הנזיקין [נוסח חדש] ולזכות את הנפגע בסעדים שונים מכוח הפקודה[5].


גניבת פרטי אשראי ופרטים אישיים אחרים ממאגרי מידע של חברות האשראי עצמן ו/או חברות פרטיות או ציבוריות אחרות, למעשה דורשת מכל מחזיק בכרטיס אשראי לבדוק לעיתים תכופות את העסקאות הנעשות בכרטיס והופכת אותו לחסר אונים בניסיון להתגונן מפני התופעה. עבור כל מי שפרטיו נגנבו כתוצאה מהפרת הוראות חוק הגנת הפרטיות קיימת האפשרות לקבלת פיצויים ללא הוכחת נזק בשיעור של עד 50,000 ש"ח [6]. בנוסף לכך, נפסק בעבר כי גם חוסר נוחות הוא בגדר "נזק" המזכה את הנפגע לסעד מכוח פקודת הנזיקין[7].


הקלות הבלתי נסבלת שבגניבת פרטי כרטיסי אשראי ופרטים רגישים אחרים ממאגרי מידע אלקטרוניים, מעלה את השאלה: האם ניתן למנוע זאת או לכל הפחות לצמצם את התופעה? התשובה לכך, היא חיובית ומתבטאת בחלקה בהוראות החוק, התקנות והפסיקה ובסטנדרט האבטחה המקובל בעולם, הנוגעים לאחזקה וניהול מאגרי מידע מסוג פרטי כרטיסי אשראי על ידי גופים פרטיים.


חוק הגנת הפרטיות חל על מאגרי מידע אלקטרוניים[8]. "מידע" לצורך המאגר מוגדר, כמידע על מעמדו האישי של אדם והכשרתו המקצועית, המהווים "מידע רגיל", וכן מידע על: אישיותו של אדם (כגון: מידע דמוגרפי, קורות חיים, ראיון אישי, מידע ביומטרי, עבר פלילי, נתוני תקשורת ועוד), צנעת אישיותו (כגון: נטייה מינית קשרים משפחתיים), מצב בריאותו (כגון: מצב רפואי, מידע גנטי וכד'), מצבו הכלכלי (כגון: נכסים, חובות, משכורת, פרטי כרטיס אשראי, הרגלי צריכה או התנהגות כלכלית, נתוני תקשורת), דעותיו (כגון: דעות פוליטיות) ואמונתו (כגון: השתייכות דתית, כת), המהווים "מידע רגיש"[9].


סעיף 8(א) לחוק הגנת הפרטיות קובע, כי לא ינהל אדם ולא יחזיק מאגר מידע החייב ברישום אלא אם כן התקיימו החריגים שבסעיף. סעיף 8(ג) לחוק קובע, כי מאגר יהיה חייב ברישום אם נתקיים בו אחת מאלה: מספר האנשים שבמאגר המידע עולה על 10,000, יש במאגר מידע רגיש, המאגר כולל מידע על אנשים והמידע לא נמסר על ידיהם, מטעמם או בהסכמתם למאגר זה, המאגר הוא של גוף ציבורי כהגדרתו בחוק והמאגר משתמש לשירות דיוור ישיר.


על פי תכלית החוק "מטרת רישום המאגר היא להבטיח את ההגנה על הפרטיות במאגרי מידע, ולתת כלים, הן בידי רשם מאגרי המידע, והן בידי הציבור שמידע עליו מנוהל במאגרי המידע, לאכוף את הזכויות והחובות המוטלות בחוק הגנת הפרטיות על בעלי מאגרים."[10] מכאן שכל מאגר מידע הנוגע לפרטי כרטיסי אשראי חייב ברישום.


סעיף 17 לחוק הגנת הפרטיות, מטיל אחריות על בעל, מחזיק או מנהל מאגר מידע, לאבטחת המידע שבמאגר. "אבטחת מידע" מוגדרת בסעיף 7 לחוק כהגנה על שלמות המידע, או הגנה על המידע מפני חשיפה, שימוש או העתקה, והכל ללא רשות כדין.


תקנות הגנת הפרטיות (תנאי החזקת מידע ושמירתו וסדרי העברת מידע בין גופים ציבוריים) התשמ"ו-1986, קובעות הוראות כלליות לניהול מאגר מידע בהם נקבע, כי מנהל מאגר אחראי לנקיטת האמצעים הדרושים לשם קיום תקנות אלה, בהתאם לנסיבות השימוש במאגר המידע שעליו הוא מופקד[11].


בנוסף, התקנות קובעות כי מנהל המאגר, אחראי לאבטחת המידע במאגר, בין היתר, בתחומים הללו: קיום הגנה פיסית על מערכת עיבוד הנתונים האוטומאטית ועל תשתיתה; עריכת רשימה מעודכנת של מורשי הגישה למאגר המידע לפי הרשאות הכניסה השונות; החתמת מורשי הגישה על התחייבות לשמירה על סודיות; נקיטת אמצעי אבטחה סבירים, בהתאם לרמת רגישות המידע, שימנעו חדירה מכוונת או מקרית למערכת אל מעבר לתחומי המידע שאושרו למשתמש, ועוד.


בעוד שהחוק והתקנות קובעות חובה ברורה לאבטחת מאגרי מידע, לא ברור מהם כלל מהם האמצעים הדרושים ו/או הסבירים שעל בעל, מחזיק או מנהל מאגר מידע לנקוט בכדי לעמוד בדרישותיהן, וככל הנראה עניין זה יהיה נתון להכרעתו של בית המשפט, אשר לעניין זה יכול וישקול שיקולים כגון: סוג המאגר והחשיבות של הזכות לפרטיות בנוגע לו, העלות שבנקיטת האמצעי למול התועלת שלו, קיומו של סטנדרט או נוהג אבטחה קיים, גזירה שהציבור לא יכול לעמוד בה, אינטרסים ציבוריים, תקנת הציבור ועוד.


מועצת ה-PCI מורכבת מחמש חברות האשראי הגדולות - ויזה, מסטרקארד, JCB, אמריקן אקספרס ו-Discover, אשר הקימו את תקן אבטחת המידע PCI-DSS ומציעות אותו כסטנדרט. החל משנת 2013 מועצת ה-PCI מחייבת כל בית עסק חדש המבקש לבצע סליקת אשראי באמצעותן לעמוד בסטנדרט הזה, אשר נותן מענה לדרישות האבטחה שבחוק. בהתאם לתקן אסור לשמור פס מגנטי, CVV2/CVV/CID וקוד סודי; יש להצפין את מספרי כרטיסי האשראי; יש להגן על נתוני הכרטיס האחרים; למדר את הגישה של העובדים למערכות ולמידע על הכרטיסים; להצפין תעבורת נתונים ועוד[12].


כשם שנחשף לאחרונה, כל חברות כרטיסי האשראי הישראליות אינן עומדות בתקן האמור, והדבר חמור שעה שהן מחייבות עסקים אחרים בו ולאור העובדה כי הן נתונות למתקפות חוזרות ונשנות, והלכה למעשה מפירות את החוק. נראה כי חיוב עסקים בישראל בסטנדרט האבטחה כאמור בכל הנוגע למאגרי מידע מסוג פרטי כרטיסי אשראי, יצמצם את התופעה ואף אולי ימנע אותה.

5 צפיות