מדיניות האבטחה של AURAMED

• (1)מדיניות זו מפורשת יחד עם:

א) תקנה (EU) 2016/679 ("GDPR");

ב) חוק רומני מס' 190/2018 בדבר אמצעים ליישום ה-GDPR;

ג) חקיקה רומנית ואירופית הרלוונטית לאבטחת סייבר;

ד) היכן שרלוונטי, חקיקה הנוגעת לתקשורת אלקטרונית, סודיות, המשכיות עסקית וניהול אירועים.

• (2)ביחס לאבטחת עיבוד נתונים אישיים, AuraMed לוקחת בחשבון בפרט:

א) סעיף 24 GDPR – אחריות האחראי על העיבוד;

ב) סעיף 25 GDPR – הגנת נתונים בתכנון ובתור ברירת מחדל;

ג) סעיף 28 GDPR – בחירת מעבדים והתחייבויות חוזיות;

ד) סעיף 30 GDPR – רישומי פעילויות עיבוד;

ה) סעיף 32 GDPR – אבטחת עיבוד;

ו) סעיפים 33-34 GDPR – הודעה על הפרות אבטחה;

ז) סעיף 35 GDPR – הערכת השפעת הגנת נתונים;

ח) סעיפים 37-39 GDPR – קצין הגנת נתונים, היכן שרלוונטי.

• (3)בתחומי אבטחת סייבר, AuraMed עוקבת גם אחר הדרישות החלות, במידה שהן הופכות רלוונטיות למודל התפעולי שלה, כולל אלו הנובעות מהוראה (EU) 2022/2555 (NIS2) והתאמתה לחוק הרומני באמצעות צו חירום ממשלתי מס' 155/2024, שאושר על ידי חוק מס' 124/2025.

• (1)AuraMed מיישמת גישה מבוססת סיכונים, פרופורציונלית ומכוונת מזעור, כך שרמת האבטחה תהיה מתאימה לאופי הנתונים, כולל נתוני בריאות, היקף העיבוד, המטרות הנרדפות וההשפעה הפוטנציאלית על נושאי הנתונים.
• (2)אמצעי האבטחה שואפים באופן מצטבר להבטיח:

א) סודיות הנתונים;

ב) שלמות הנתונים והמערכות;

ג) זמינות השירותים וגישה לגיטימית;

ד) חוסן של התשתית;

ה) זיהוי, תגובה ותיקון של אירועים;

ו) יכולת מעקב וביקורת.

• (3)AuraMed שואפת גם, היכן שרלוונטי, לגישת "כל הסיכונים" לסיכוני סייבר ותפעוליים, כולל ביחס לפיתוח תוכנה, שרשרת האספקה, המשכיות עסקית, פגיעויות ותקשורת מאובטחת. NIS2 דורש בדיוק גישה פרופורציונלית ומבוססת סיכונים ומונה בין האלמנטים המינימליים: ניתוח סיכונים, טיפול באירועים, המשכיות עסקית, אבטחת שרשרת אספקה, רכישה/פיתוח/תחזוקה מאובטחים, טיפול וגילוי פגיעויות, הדרכה והצפנה / היכן שמתאים, הצפנה.

• (1)בהתאם לסעיף 32(1) ל-GDPR, AuraMed מיישמת אמצעים טכניים וארגוניים מתאימים כדי להבטיח רמת אבטחה המתאימה לסיכון.
• (2)אמצעים אלה עשויים לכלול, היכן שרלוונטי:

א) פסאודונימיזציה ו/או הצפנה של נתונים;

ב) בקרת גישה מבוססת תפקידים וגישה לפי צורך לדעת;

ג) הפרדה של סביבות פיתוח, בדיקה וייצור;

ד) אימות מחוזק, והיכן שמתאים, אימות רב-שלבי;

ה) ניטור, רישום וביקורת של גישה;

ו) הגנת נקודות קצה, עדכוני אבטחה וניהול תיקונים;

ז) תוכניות גיבוי, שחזור והתאוששות;

ח) בדיקות תקופתיות של יעילות האמצעים;

ט) בקרות בנוגע לייצוא, העברה ומחיקה של נתונים;

י) נהלי המשכיות ותגובה לאירועים.

• (3)בהתאם לסעיף 32(1)(א)-(ד) ל-GDPR, הדוגמאות שסופקו במפורש על ידי החוק כוללות פסאודונימיזציה והצפנה, היכולת להבטיח סודיות מתמשכת, שלמות, זמינות וחוסן, שחזור זמין של זמינות וגישה לנתונים, ותהליך לבדיקה, הערכה והערכה תקופתית של יעילות האמצעים.
• (4)AuraMed אינה מבטיחה אבטחה מוחלטת, אך שואפת לשמור על רמת הגנה נאותה, מעודכנת ומתועדת לפי סעיפים 24 ו-32 ל-GDPR. ANSPDCP חזרה והדגישה בפסיקתה כי היעדר בקרות אבטחה בסיסיות ובדיקת יעילות עלולים להוביל לסנקציות לפי סעיפים 24 ו-32 ל-GDPR.

• (1)AuraMed מגבילה גישה לנתונים ולמערכות רק לאנשים מורשים שיש להם צורך לגיטימי ומתועד בגישה על מנת לבצע את תפקידיהם.
• (2)הגישה ניתנת, נבדקת ומוסרת בהתאם לתפקידים, אחריות, עקרון "ההרשאה המינימלית" ועקרון הפרדת תפקידים, היכן שרלוונטי.
• (3)אנשים הפועלים תחת סמכותה של AuraMed שעשויים לגשת לנתונים מחויבים בסודיות חוזית, משפטית או מקצועית ועשויים לעבד נתונים רק בהתאם להוראות ולמדיניות החלות.
• (4)סעיף 32(4) ל-GDPR דורש במפורש מהאחראי על העיבוד ומהמעבד לנקוט בצעדים כדי להבטיח שכל אדם הפועל תחת סמכותם שיש לו גישה לנתונים לא יעבד אותם אלא על פי הוראות האחראי על העיבוד, אלא אם כן נדרש לעשות זאת על פי חוק.

• (1)AuraMed שואפת לשלב אבטחה והגנת נתונים משלבי התכנון, הבחירה, הפיתוח, התצורה, היישום והשינוי של הפלטפורמה, בהתאם לסעיף 25(1)-(2) ל-GDPR.
• (2)במידה ש-AuraMed משתמשת בקבלני משנה בתחומי IT, ענן, אירוח, תקשורת, אבטחה, AI, אנליטיקה, תמיכה או אחרים רלוונטיים, בחירתם מתבצעת תוך התחשבות בהבטחותיהם בנוגע לאבטחה והגנת נתונים.
• (3)כאשר צד שלישי פועל כמעבד, AuraMed משתמשת, לפי סעיף 28(1) ו-(3) ל-GDPR, רק בספקים המציעים הבטחות מספיקות ונכנסת למסמכים החוזיים הדרושים, כולל בנוגע לסודיות, אמצעי אבטחה, קבלני משנה, סיוע באירועים, מחיקה/החזרה וביקורת.
• (4)במידה ש-AuraMed נופלת תחת היקף NIS2/צו חירום ממשלתי מס' 155/2024, ממשל האבטחה יכלול גם דרישות בנוגע לאבטחת שרשרת האספקה ורכישה, פיתוח ותחזוקה מאובטחים, כולל טיפול וגילוי פגיעויות.

• (1)במידה ש-AuraMed מעבדת נתוני בריאות, נתונים אלה מטופלים כנתונים מקטגוריה מיוחדת במובן של סעיף 9(1) ל-GDPR ונהנים מאמצעי הגנה משופרים.
• (2)AuraMed שואפת ליישם, בהתאם להקשר העיבוד האמיתי:

א) מזעור נתונים;

ב) הגבלת גישה;

ג) פסאודונימיזציה, היכן שמתאים;

ד) שמירה מוגבלת;

ה) הפרדה לוגית של זרימות ולוגים;

ו) בקרות משופרות למסמכים רפואיים ושיחות רגישות.

• (3)AuraMed מתאימה את אמצעי האבטחה שלה לאופי הרגיש במיוחד של נתוני בריאות, בהתאם לסעיף 9(1)-(2) ל-GDPR ולחובת האבטחה הכללית המסופקת על ידי סעיף 32 ל-GDPR. ANSPDCP מציינת במפורש כי נתוני בריאות מהווים חלק מהקטגוריות המיוחדות וניתן לעבדם רק בתנאי סעיף 9(2) ל-GDPR.

• (1)AuraMed מנהלת, במידה שהדבר חל, רישומים של פעילויות עיבוד בהתאם לסעיף 30 ל-GDPR ומתעדת את אמצעי האבטחה והתאימות הרלוונטיים.
• (2)אם פעולת עיבוד צפויה להוביל לסיכון גבוה לזכויותיהם וחירויותיהם של אנשים טבעיים, AuraMed מבצעת הערכת השפעת הגנת נתונים (DPIA) לפי סעיף 35 ל-GDPR לפני השקת או הרחבת עיבוד זה.
• (3)סעיף 35 ל-GDPR מציין, בין מקרים טיפוסיים, עיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים, וה-EDPB מדגיש כי DPIA הוא הערכה כתובה המיועדת לזהות סיכונים ואמצעי הגנה מתאימים. ANSPDCP כוללת DPIA בין החובות המרכזיות של האחראי על העיבוד.

• (1)AuraMed מעריכה תקופתית האם חובת מינוי קצין הגנת נתונים (DPO) חלה, במיוחד ביחס לסעיף 37(1)(ב) ו-(ג) ל-GDPR.
• (2)בהתאם לסעיף 37(1) ל-GDPR, מינוי DPO נדרש, בין היתר, כאשר:

א) הפעילויות המרכזיות כרוכות בניטור קבוע ושיטתי בקנה מידה גדול; או

ב) הפעילויות המרכזיות כרוכות בעיבוד בקנה מידה גדול של קטגוריות מיוחדות של נתונים, כולל נתוני בריאות.

• (3)אם ממונה DPO, AuraMed מבטיחה את מעורבותו הנאותה והעיתית בכל הנושאים הקשורים להגנת נתונים, בהתאם לסעיף 38(1) ו-(3) ל-GDPR, ומשימותיו כוללות גם ייעוץ בנוגע ל-DPIA וניטור תאימות, בהתאם לסעיף 39(1)(ב)-(ג) ל-GDPR.

• (1)AuraMed מיישמת תהליכים תקופתיים לבדיקה, הערכה ושיפור של בקרות טכניות וארגוניות, בהתאם לסעיף 32(1)(ד) ל-GDPR.
• (2)תהליכים אלה עשויים לכלול, היכן שרלוונטי:

א) סקירות גישה;

ב) בדיקות תצורה;

ג) הערכות פגיעות;

ד) ביקורות פנימיות או חיצוניות;

ה) תרגילי תגובה לאירועים;

ו) בדיקות גיבוי ושחזור;

ז) הדרכה ומודעות לצוות.

• (3)ANSPDCP מזכירה במפורש בין האמצעים הנחוצים את קיומו של תהליך לבדיקה, הערכה והערכה תקופתית של יעילות אמצעי האבטחה, ו-NIS2 דורשת גם מדיניות/נהלים להערכת יעילות אמצעי ניהול סיכוני אבטחת סייבר.

• (1)AuraMed שואפת לשמור על המשכיות עסקית וחוסן תפעולי באמצעות אמצעי גיבוי, שחזור, יתירות, התאוששות וניהול משברים פרופורציונליים, ביחס לאופי השירותים המסופקים.
• (2)סעיף 32(1)(ג) ל-GDPR דורש את היכולת לשחזר את זמינות הנתונים האישיים והגישה אליהם בזמן סביר במקרה של תקלה פיזית או טכנית.
• (3)במידה ש-NIS2/צו חירום ממשלתי מס' 155/2024 חל, AuraMed שואפת גם לשלב אמצעי המשכיות עסקית, ניהול גיבויים, התאוששות מאסון וניהול משברים, המהווים חלק מהליבה המינימלית של סעיף 21 NIS2. DNSC מפרסמת גם הנחיות ייעודיות למדיניות התאוששות מאסון בהקשר של צו חירום ממשלתי מס' 155/2024, שאושר על ידי חוק מס' 124/2025.

• (1)AuraMed מנהלת נהלים פנימיים לזיהוי, הערכה, הסלמה, הכלה, חקירה, תיקון ותיעוד של אירועי אבטחה.
• (2)AuraMed מבחינה בין:

א) אירוע סייבר / תפעולי, המשפיע או עלול להשפיע על מערכות, שירותים או המשכיות עסקית; ו

ב) הפרת נתונים אישיים, במובן של סעיף 4(12) ל-GDPR, שעשויה לכלול השמדה, אובדן, שינוי, גילוי בלתי מורשה או גישה בלתי מורשית לנתונים.

• (3)במקרה של הפרת נתונים אישיים, AuraMed מיישמת את סעיף 33 ל-GDPR ומודיעה לרשות הפיקוח המוסמכת ללא דיחוי מיותר, ובמידת האפשר, לא יאוחר מ-72 שעות לאחר שהיא מודעת לכך, אלא אם כן סביר שההפרה לא תגרום לסיכון לזכויותיהם וחירויותיהם של אנשים טבעיים.
• (4)אם ההפרה צפויה לגרום לסיכון גבוה לזכויותיהם וחירויותיהם של אנשים טבעיים, AuraMed גם מתקשרת את האירוע לנושא הנתונים לפי סעיף 34(1) ל-GDPR.
• (5)סעיף 33(3) ל-GDPR דורש שההודעה תכלול לפחות את אופי ההפרה, את הקטגוריות והמספר המשוער של נושאי הנתונים והרשומות המושפעות, פרטי הקשר של נקודת הקשר/DPO, את ההשלכות הסבירות ואת האמצעים שננקטו או הוצעו; סעיף 33(5) דורש גם תיעוד של כל ההפרות. ANSPDCP מספקת את טופס ההודעה על הפרת אבטחה לפי GDPR.

• (1)במידה ש-AuraMed נופלת תחת היקף NIS2 וחקיקת התרגום הרומנית, גם אירועים משמעותיים ינוהלו וידווחו בהתאם לכללי אבטחת הסייבר הסקטוריאליים החלים.
• (2)במסגרת NIS2, יש לישויות הנכללות בתחום חובות דיווח רב-שלביות: התראה מוקדמת תוך 24 שעות מהמודעות, הודעה תוך 72 שעות ודוח סופי, בדרך כלל תוך חודש.
• (3)באמצעות מדיניות זו, AuraMed אינה מצהירה אוטומטית שהיא מסווגת כישות חיונית או חשובה במובן של NIS2/צו חירום ממשלתי מס' 155/2024; סיווג זה נבחן בנפרד, בהתאם לפעילויות בפועל, למגזר, לגודל ולקריטריונים משפטיים חלים.

• (1)משתמשים בפלטפורמה נדרשים להשתמש בשירותים ובמכשירים מאובטחים באופן סביר, להגן על פרטי הזדהות, להימנע משיתוף בלתי מורשה של חשבונות או קישורי גישה ולהודיע לנו ללא דיחוי אם הם חושדים בשימוש בלתי מורשה או בפגיעות.
• (2)משתמשים אסור להעלות קוד זדוני, לנסות לעקוף אמצעי אבטחה, לבצע בדיקות בלתי מורשות, גירוד, הנדסה הפוכה אסורה, ניסיונות להסלמת הרשאות או כל פעולה אחרת העלולה להשפיע על זמינות, שלמות או סודיות הפלטפורמה.
• (3)AuraMed שומרת לעצמה את הזכות להשעות, להגביל או לחסום גישה במקרה של פעילויות המהוות סיכון אבטחתי או מפרות את החוק או את התיעוד החוזי החל.

• (1)אם זיהית פגיעות, התנהגות חריגה, תצורה לא מאובטחת או אירוע אבטחה הקשור לפלטפורמה, אנא צור קשר איתנו בכתובת: dev@auramed.ro.
• (2)AuraMed מעודדת גילוי אחראי ובתום לב של פגיעויות ועשויה לנתח, לאמת, לתעדף ולתקן בעיות מדווחות בהתאם לחומרה וההשפעה.
• (3)במידה ש-NIS2 חל, טיפול וגילוי פגיעויות הם בין האלמנטים המוזכרים במפורש על ידי המסגרת האירופית לניהול סיכוני סייבר.

• (1)AuraMed עשויה לסקור ולעדכן מדיניות זו מסיבות משפטיות, טכניות, תפעוליות או מסחריות.
• (2)כל גרסה מעודכנת תפורסם בפלטפורמה, עם ציון תאריך העדכון האחרון.
• (3)שינויים רלוונטיים עשויים להיות מתואמים גם עם שינויים בארכיטקטורה הטכנית, בספקים, בזרימות נתונים, בחובות GDPR, במסגרת NIS2 או באיומי סייבר נוכחיים.