top of page

בתי השקעות

זוהי מסגרת העבודה המחייבת את בעלי הרישיון (ניהול תיקים, ייעוץ השקעות וחברי בורסה). הביקורת בוחנת את המרכיבים הבאים:

  • ממשל תאגידי וניהול סיכונים: בחינת מעורבות הדירקטוריון באישור מדיניות אבטחת המידע, הגדרת תיאבון הסיכון של הארגון ומינוי פונקציות בקרה עצמאיות.

  • אבטחת מערכות מסחר (Trading Systems): בחינת הבקרות סביב מערכות הליבה, מניעת השבתת פעילות (DDoS) והבטחת "זמן אמת" בביצוע פקודות מסחר עבור הלקוחות.

  • הפרדת תפקידים וניהול הרשאות: אכיפת עקרון "הצורך לדעת" כדי למנוע חשיפה של עובדים למידע רגיש על תיקי לקוחות או ביצוע פעולות לא מורשות בחשבונות.


הגנת נכסי לקוחות ופרטיות

בתי השקעות מנהלים הון רב ומידע פיננסי אישי, דבר המציב אותם כיעד אטרקטיבי למתקפות:

  • מניעת הונאות ופישינג: הביקורת בוחנת את המנגנונים לאימות זהות הלקוח (KYC דיגיטלי) ואת הבקרות על תהליכי משיכת כספים ושינוי פרטי חשבון.

  • עמידה בתקנות הגנת הפרטיות: בחינת ניהול מאגרי המידע של הלקוחות, הצפנת נתונים והסדרת העברת מידע לגורמים חיצוניים (כגון בנקים מתפעלים או נאמנים).


הערכות לסיכוני טכנולוגיה וחדשנות פיננסית (FinTech)

המעבר למסחר אלגוריתמי ושימוש בענן מחייב בקרות חדשות:

  • מסחר אלגוריתמי (Algo-Trading): הביקורת בוחנת את תהליכי הפיתוח, הבדיקה והבקרה על אלגוריתמים של מסחר אוטומטי כדי למנוע שיבושים בשוק או הפסדים בלתי מבוקרים.

  • שירותי ענן ומיקור חוץ: בחינת הסיכונים הכרוכים בשימוש בספקי ענן לאחסון נתונים פיננסיים, בדגש על שרידות המידע ויכולת המעבר בין ספקים (Exit Strategy).


דיווח וחוסן תפעולי

הביקורת בוחנת את מוכנות הארגון לאירועי קיצון המשפיעים על רציפות השירות:

  • תוכנית המשכיות עסקית (BCP): וידוא קיומם של אתרי גיבוי ויכולת המשך מתן שירותי מסחר ודיווח גם בעת השבתת מערכות מרכזיות.

  • דיווח לרשות ניירות ערך: בחינת מנגנוני הדיווח על אירועי סייבר מהותיים בהתאם להנחיות הרשות.


סטנדרטים ומתודולוגיות

  • תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017: תקנות אלו מחייבות כל גוף המחזיק מאגר מידע (ובתי השקעות מחזיקים במידע רגיש) ליישם רמות אבטחה שונות, ניהול סיכונים, ודיווח על אירועי אבטחה.

  • הוראות הרשות לניירות ערך (ISSCM/ISSS): תקני אבטחת מידע לניירות ערך (Information Security Standards for the Capital Market) המוגדרים על ידי הרשות לניירות ערך (ISA). אלו כוללים דרישות מחמירות לניהול סיכונים טכנולוגיים, אבטחת מערכות מסחר, והמשכיות עסקית.

  • ניהול סיכוני טכנולוגיית מידע (IT) בגופים מוסדיים: הנחיות המחייבות מיפוי נכסי מידע, הערכת סיכונים, ומינוי אחראי אבטחת מידע.

  • כללי הבורסה לניירות ערך: חברי בורסה מחויבים לעמוד בכללי הטכנולוגיה והקישוריות של הבורסה, המבטיחים את אמינות מערכות הדיווח והמסחר.

  • חוק שירותי תשלום (2019): הוראות מיוחדות לניהול סיכונים טכנולוגיים ואבטחת מידע לחברות פיננסיות המשתמשות בטכנולוגיות מתקדמות.

שמור על קשר

צור קשר

מגדל ב.ס.ר 3, בני ברק

טל' משרד: 03-7792080

אורן שני, מנכ"ל משותף
נייד: 054-7662225
oren@secaudit.co.il
אסף קורן, מנכ"ל משותף
נייד: 052-6006776
assaf@secaudit.co.il

bottom of page