הצעת חוק: לקבוע סטנדרטים לאבטחת מידע באתרי סחר מקוון

בעקבות חשיפת פרטי כרטיסי האשראי של אלפי ישראלים, ח"כ יוחנן פלסנר (קדימה) יוזם הצעת חוק שתחייב את המפקח על הבנקים בבנק ישראל לקבוע סטנדרטים לאבטחת מידע לכל מי שגובה וסולק רכישות באינטרנט.

מדברי ההסבר להצעה עולה כי חברות האשראי אינן מחויבות כיום בקיומו של סטנדרט אבטחת מסד הנתונים ולשמירת הפרטיות של הרוכשים באינטרנט. הבעיה הזאת מודגשת בעיקר כאשר מדובר בבעלי עסקים קטנים, אשר אינם מעוניינים לספוג את העלויות הכרוכות ביישום סטנדרטים מחמירים של אבטחת מידע הכוללים רכישת תוכנות והתאמתן לתוכנות החדשות.

חברות האשראי הגדולות בישראל מחויבות על-ידי חברות ויזה ומסאטרקארד העולמית ליישם תקן הקרוי PCI, המגדיר את פרקטיקות אבטחת מידע הנדרשות מבתי העסק השונים לפי גודלם והיקף הפעילות שלהם. אולם, יישום העקרונות של ה-PCI מתבצע רק בשל הדרישה של החברות הבינלאומיות ולא בשל דרישת הרגולטור בישראל.

עסקים רבים בישראל, ובעיקר עסקים קטנים ובינוניים, טרם יישמו את דרישות ה-PCI, ולכן הם אינם עומדים בסטנדרטים הנדרשים של אבטחת מידע על מנת להגן על כספם ופרטיותם של האזרחים.

על מנת לפתור את הבעיה ולצמצם את הפריצות לאתרי האינטרנט הישראלים וגניבת מידע יקר-ערך כמו מספרי כרטיסי אשראי, התייעץ ח"כ פלסנר עם שורה של מומחים בנושא אבטחת מידע מקוון, ויזם הצעת חוק שתכליתה לחייב את המפקח על הבנקים בבנק ישראל, שהוא גם ממונה על הפיקוח על מנפיקות כרטיסי האשראי, לקבוע קריטריונים נוקשים ואחידים לאבטחת מידע.

בהתאם להצעה, בעלי עסקים יוכלו להתקשר עם חברות כרטיסי האשראי רק אם הוכיחו כי עמדו בדרישות האבטחה הרלוונטיות לאופי ולהיקפי הפעילות שהוא מייצר.

הצעת החוק נועדה לתת מענה ללאקונה במצב הקיים, כאשר אין קריטריונים מחייבים, ולחברות האשראי קשה לתבוע זאת מבעלי עסקים, משום שאין לכך גיבוי בחקיקה מתאימה.

"הצעת החוק באה לשים קץ לתופעה במסגרתה כל בעל אתר קיקיוני יכול כיום להחזיק במצע נתונים באופן מופקר, אשר פוגע בפרטיותו ובכיסו של הצרכן", אומר ח"כ פלסנר. "הגיע הזמן שהממונה על הבנקים ייכנס למגרש הפרוץ הזה ויקבע תקנות אשר יגנו על האינטרסים של הצרכן הישראלי וינחה את חברות כרטיסי האשראי בהתאם".