מרכז מדיה

פורסמו להערות הציבור כללי בקשת רישיון והוראה בעניין אמצעים טכנולוגיים ואבטחת מידע

3 מרץ 2024

לקוחות וידידים נכבדים,

נבקש להביא לתשומת ליבכם כי ביום 26 בפברואר, 2024 פרסמה רשות ניירות ערך ("הרשות") להערות הציבור את טיוטת כללי בקשת רישיון שירותי תשלום או שירות ייזום בסיסי, התשפ"ד-2024, המציעה כללים שמטרתם לקבוע את הפרטים והמסמכים שמבקש רישיון שירותי תשלום או ייזום תשלום נדרש להגיש לרשות ("טיוטת כללי הרישוי"), וזאת בהתאם לסמכותה של הרשות לפי חוק הסדרת העיסוק בשירותי תשלום וייזום תשלום, התשפ"ג-2023 ("החוק").

בנוסף, פרסמה הרשות להערות הציבור טיוטת הוראה לבעלי רישיון או אישור שירותי תשלום או ייזום בסיסי בעניין אמצעים טכנולוגיים ואבטחת מידע, אשר באה להסדיר את הדרישות שיחולו על בעלי רישיון או אישור ("בעלי רישיון") בעניין אמצעים טכנולוגיים, ניהול סיכוני טכנולוגיית מידע, אבטחת מידע, הגנת סייבר והמשכיות עסקית ("טיוטת ההוראה").

טיוטת כללי הרישוי וטיוטת ההוראה המוצעות מבוססות על דרישות החוק והוראות שנקבעו מכוחו, וכן על האסדרה האירופאית והבריטית המקבילות.

טיוטת כללי הרישוי:

הכללים המוצעים חלים הן על מבקשי רישיון שירותי תשלום (כולל שירותים מסוג ניהול חשבון תשלום), הנפקה של אמצעי תשלום, סליקה של פעולת תשלום או שירות ייזום מתקדם, והן על מבקשי רישיון ייזום בסיסי. עם זאת, בנושאים מסוימים בכללים המוצעים בטיוטה, נקבעו דרישות שונות לפי סוג הרישיון או סוג שירות התשלום, בשל המאפיינים השונים של סוגי השירותים השונים בגינם מתבקש הרישיון ובהתאם לסיכונים השונים שעלולים להיגזר מהם.

על פי טיוטת כללי הרישוי, מבקש רישיון שירותי תשלום או ייזום תשלום נדרש לכלול בבקשה פירוט בקשר עם פרטי המבקש; סוג הרישיון וסוג השירות; מהימנותם של המבקש, בעל שליטה בו, נושא משרה בכירה בו או בבעל שליטה בו; מבנה ארגוני; אמצעים טכנולוגיים; המשכיות עסקית )בשירותי תשלום בלבד); תכנית עסקית; קיומם של אמצעים כספיים (בשירותי תשלום בלבד); הון עצמי; ביטוח אחריות מקצועית או פיקדון (הנדרשים בשירותי ייזום בסיסי וייזום מתקדם בלבד);  שמירה על כספי לקוחות (הנדרשים בשירותי תשלום למעט ייזום מתקדם); ממשל תאגידי ומנגנוני בקרה פנימית; הצהרה על התקיימות התנאים האמורים; בקשת נותן שירות זר; חתימת מורשי חתימה על הבקשה; וחובת דיווח לרשות אודות שינוי בפרטי הבקשה.

טיוטת כללי הרישוי כוללת גם התייחסות לנותן שירות זר שנדרש לפרט בבקשת הרישוי, בין היתר, מה הן דרישות הרישיון שמהן הוא מבקש לקבל פטור ולהפנות לאסדרה החלה עליו וסמכויות הפיקוח של המאסדר הזר שנותנים מענה מספק בנוגע לעניינים המוסדרים בדרישות הרישיון מהן הוא מבקש לקבל פטור, לרבות אסמכתאות ואישור מהמאסדר הזר בנוגע לרישיון או הרישום שבו הוא מחזיק.

טיוטת ההוראה:

מטרתה של טיוטת ההוראה להסדיר את הדרישות שיחולו על בעלי רישיון בעניין האמצעים הטכנולוגיים, ניהול סיכוני טכנולוגיית מידע, אבטחת מידע, הגנת סייבר והמשכיות עסקית. טיוטת ההוראה קובעת מודל בו קיימים שלושה מעגלי בקרה שמטרתם לוודא יישום מטרות טיוטה זו לרבות צמצום סיכוני טכנולוגיית המידע ואבטחת מידע ("סיכוני טכנולוגיית מידע"), כולל להתקפות סייבר, אצל בעל הרישיון.

מעגל הבקרה הראשון כולל את בעלי התפקידים בחברה העוסקים בתחום טכנולוגיית המידע אשר אמונים על המערכות, התהליכים ופעילויות אבטחת המידע (למשל יחידות טכנולוגיית המידע והתפעול); מעגל הבקרה השני כולל את הממונה על אבטחת מידע והגנת סייבר; ומעגל הבקרה השלישי כולל את המבקר שעמו יש להתקשר לשם עריכת ביקורת עצמאית לגבי פעילות בעל הרישיון. לצד המעגלים לעיל חלה אחריות כוללת בנושא סיכוני טכנולוגיית מידע על דירקטוריון בעל הרישיון אשר נדרש לאשר ולפקח אחר יישומן של דרישות טיוטה זו בבעל הרישיון.

פרקי הטיוטה עוסקים בנושאים כדלקמן:

  • פרק א' – הגדרות.
  • פרק ב' – ממשל תאגידי ודרישה לחלוקה של אחריות אצל בעל הרישיון בנושא סיכוני טכנולוגיית מידע.
  • פרק ג' – חובת בעל הרישיון לבנות אסטרטגיית טכנולוגיית מידע.
  • פרק ד' –חובת בעל הרישיון לנהל ולהפחית את סיכוני טכנולוגיית המידע באמצעות ממונה אבטחת מידע עצמאי. בנוסף, על בעל הרישיון תחול חובת תיחזוק מיפוי עדכני של תהליכים עסקיים וסיווגם בהתבסס על שיקולי סודיות, אמינות וזמינות של מידע. בשל כך, על בעל הרישיון להעריך את הסיכונים התפעוליים הקשורים לסיכוני טכנולוגיית מידע.
  • פרק ה' – דרישות בקשר עם אבטחת מידע אשר מוחזק במערכות טכנולוגיית מידע, לרבות דרישות ליישום אמצעי אבטחת מידע אפקטיביים; הכנה ויישום של מדיניות אבטחת מידע; הטמעה ובדיקת אמצעי אבטחת במידע; והכנת תכנית הדרכות לכל עובדי בעל הרישיון וצדדים שלישיים.
  • פרק ו' – קביעת עקרונות כלליים לגבי ניהול פעולות טכנולוגיית מידע.
  • פרק ז' – דרישות בקשר לניהול שינויים בתחום טכנולוגיית מידע, לרבות רכישה ופיתוח של מערכות מידע.
  • פרק ח' – דרישות בנוגע לניהול המשכיות עסקית ולגיבוש תוכנית תגובה והתאוששות כך שבעת משבר, לבעל רישיון יהיו אמצעי תקשורת יעילה.
  • פרק ט' – דרישות בנוגע לניהול יחסי בעל הרישיון והלקוחות, כולל דרישות לאפשר ללקוח להשבית פונקציות תשלום ספציפיות ומתן אפשרות, ללקוחות המעוניינים בכך, בדבר התראות לגבי ייזום עסקאות או ניסיונות כושלים ליזום עסקאות תשלום, וכן הספקת תמיכה בנוגע לשאלות בדבר אבטחת מידע ופרטיות.
  • פרק י' – דרישות עמידה בהוראות חוק הגנת הפרטיות והתקנות מכוחו, אשר יחולו על בעלי רישיון, וכן קביעה כי תקשורת בעל רישיון מול גורם, המכילה מידע רגיש, תעשה בפרוטוקול סטנדרטי ובתעבורה מוצפנת על פי הטכנולוגיות העדכניות הקיימות בשוק.

 

ניתן להעביר הערות לטיוטת כללי הרישוי ולטיוטת ההוראה עד ליום 31 במרץ, 2024.

לצפייה בטיוטת כללי הרישוי >> לחצו כאן

לצפייה בטיוטת ההוראה >> לחצו כאן

 

למשרדנו מומחיות רבה וניסיון רב שנים בתחום השירותים הפיננסיים על כל גווניו. אנו מלווים ועוקבים אחר כל ההתפתחויות הרגולטוריות בתחום זה, מסייעים ומייעצים לגופים פיננסיים מובילים בישראל ובעולם.

נשמח לעמוד לרשותכם ולסייע בכל סוגיה בתחומים אלה, לרבות בקשר עם הפרסומים הנ"ל ועם מתן הערות לגביהם, וכן בכל שאלה או הבהרה.

 

חפשו לפי +