Servers24 אחסון אתרים
מהיר, מוג ומגובה! פתרונות אחסון אתרים
ווטסאפ

התקשרות ב- WhatsApp

לפתוח צ'ט

אנחנו זמינים 24/7

התחברות לחשבון

מדיניות עקרון הגישה המזערית (Least Privilege Access)

1. מבוא

עקרון הגישה המזערית (Least Privilege Access) הוא עקרון מרכזי באבטחת המידע של Servers24, שמטרתו להבטיח כי גישה למידע ולמערכות תינתן אך ורק למשתמשים, לתהליכים ולמערכות אשר נדרשים לכך לצורך ביצוע תפקידם. יישום עקרון זה מסייע בהפחתת סיכוני אבטחת מידע, בהגבלת חשיפה לאיומים חיצוניים ופנימיים, ובמניעת גישה בלתי מורשית.

מדיניות זו נכתבה בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ותקני אבטחת מידע בינלאומיים כגון ISO 27001 ו-NIST SP 800-53.

2. מטרת המסמך

מסמך זה מגדיר את המדיניות של Servers24 בנוגע להענקת הרשאות ולניהול הגישה למידע ולמערכות. המדיניות חלה על כלל העובדים, הספקים, הלקוחות וכל גורם אחר שיש לו גישה למערכות המידע של החברה.

3. עקרונות מדיניות הגישה המזערית
3.1. הגבלת גישה לפי צורך עסקי

  • לכל משתמש תינתן רק רמת ההרשאות ההכרחית לביצוע עבודתו.

  • גישה למערכות ולמידע לא תוענק אוטומטית, אלא תיבחן על פי הצורך העסקי ותועבר לאישור מנהל אבטחת מידע.

  • תבוצע בחינה תקופתית לוודא שאין למשתמשים הרשאות עודפות.

3.2. בקרת הרשאות וניהול משתמשים

  • מתן הרשאות יתבצע באופן מדורג ובהתאם לנהלים פנימיים ברורים.

  • כל בקשת גישה תיבדק על ידי מנהל מערכת או מנהל אבטחת מידע.

  • הרשאות יינתנו על בסיס תפקיד ולא על בסיס אדם (Role-Based Access Control – RBAC).

  • בכל שינוי תפקיד, הרשאות המשתמש יעודכנו בהתאם באופן מיידי.

  • הרשאות למערכות רגישות יחייבו אימות דו-שלבי (2FA) למניעת גישה בלתי מורשית.

3.3. עקרון ה-Need-to-Know

  • עובדים וגורמים חיצוניים ייחשפו רק למידע הנחוץ להם למילוי תפקידם.

  • גישה למידע רגיש או נתונים אישיים תאושר רק לעובדים בעלי הרשאות מוגדרות בכתב ובהתאם לדרישות חוק הגנת הפרטיות.

3.4. בקרת גישה למנהלי מערכות (Privileged Access Management – PAM)

  • גישה למערכות קריטיות תוגבל למנהלי מערכת בלבד, ותנוהל באמצעות מערכת ניהול גישה פריבילגית (PAM).

  • פעולות המתבצעות על ידי משתמשים עם הרשאות גבוהות יתועדו במערכת ניטור וניהול אירועי אבטחה (SIEM).

  • חשבונות עם הרשאות גבוהות יופרדו בין שימוש יום-יומי לבין פעולות אדמיניסטרטיביות.

3.5. ניטור ובקרה מתמשכת

  • הרשאות משתמשים ייבדקו באופן תקופתי כדי לוודא כי אין הרשאות עודפות.

  • כל פעילות גישה למערכות הרגישות תתועד ותנותח באמצעות מערכת ניטור אבטחה (SIEM) בזמן אמת.

  • הרשאות שאינן בשימוש יבוטלו באופן יזום על ידי מחלקת אבטחת מידע.

4. אכיפת המדיניות

  • הפרת המדיניות עלולה להוביל לסנקציות בהתאם למדיניות האבטחה של החברה, לרבות השעיית גישה למערכות או נקיטת צעדים משמעתיים.

  • כל עובד מחויב לציית לכללי המדיניות, ובמקרה של גישה לא מורשית עליו לדווח מיידית למנהל אבטחת מידע.

  • לקוחות ושותפים עסקיים נדרשים לעמוד במדיניות זו ולהבטיח כי הגישה למערכות החברה מנוהלת בהתאם לכללים שנקבעו.

5. שמירת תיעוד ועדכון מדיניות

  • מסמך זה יעודכן באופן תקופתי אחת לשנה או בהתאם לצורך במקרה של שינוי בתקנות הרגולטוריות.

  • כל שינוי במדיניות יאושר על ידי מחלקת אבטחת מידע ויופץ לכלל העובדים ובעלי ההרשאות הרלוונטיות.

  • שמירת הרשאות משתמשים תבוצע באופן דיגיטלי ותהיה ניתנת לביקורת בכל עת בהתאם לדרישות החוק.

📌 Servers24 מחויבת להענקת גישה מבוקרת, מדורגת ומוגבלת, תוך שמירה על אבטחת המידע של לקוחותיה ועמידה בדרישות הרגולציה בישראל ובמדינות נוספות בהן החברה פועלת.

הסכמי אחסון אתרים:
אחסון אתרים - תנאי שירות
אחסון אתרים - תנאי שימוש
הסכם אחסון ריסלר
הסכמי שרתים ייעודים:
שרתים ייעודים - תנאי שירות
שרתים ייעודיים - תנאי שימוש
הסכמי שרתים וירטואלים:
שרתים וירטואלים - תנאי שירות
שרתים וירטואלים - תנאי שימוש
מסמכם שירות דואר עסקי:
דוא"ל - תנאי שימוש ואחריות
מסמכים נוספים:
מדיניות עיבוד נתונים אישיים
מדיניות עקרון הגישה המזערית
נוהל פנימי: מתן הרשאות באופן מדורג
תקנון שימוש באתר האינטרנט
רמת אחריות של זמינות
הסכם רמת שירות כללי (SLA)
מדיניות פרטיות
הצהרת נגישות