Case Study
הלקוח: אחת מחברות ה Fintech הגדולות בישראל
האתגר העסקי
חברת הפינטק פועלת בכל העולם, ורבים מלקוחותיה נמצאים באירופה, בשל כך החברה מחויבת לעמוד בדרישות ה- GDPR ,לשמירת הפרטיות.
קציני ה- Compliance של החברה הצביעו על נקודת תורפה במערך האבטחה הארגוני בשמירת מידע לקוחות, בכל הקשור לטיפול במידע הרגיש המצוי בחומרה שיצאה משימוש בחברה.
החברה גילתה שאין לה מידע מסודר ומתועד אודות הציודים והחומרה שיוצאים משימוש הכוללים מידע רגיש, הן במטה החברה בישראל והן בסניפי החברה בחו"ל. בנוסף, צוות ה – Compliance מצא שהפרקטיקה בה המידע הרגיש נמחק או מושמד אינו עומד בתקנים המקובלים בתעשייה, כנדרש מחברה ציבורית כמותם.
חברת הפינטק הורתה למנהל מערכות המידע לחפש חברה
המתמחה בשירותי ITAD )Disposition Assets IT )בעלת ניסיון משמעותי ויכולת אספקת שירותים ברמה גלובאלית ולהתקשר עימה.
הפתרון
לאחר התקשרות עם חברת שורו, ספק שירותי ה- ITAD ,חברת הפינטק החליטה ליישם לראשונה פיתרון ITAD מערכתי, הכולל:
- אימוץ והטמעה של נוהל ITAD בכל הארגון, לניהול מסודר של תהליך הגריעה של חומרה הכולל מידע רגיש שיוצא משימוש, כחלק ממערך ה- ITAM של הארגון. הנוהל עצמו הגדיר אחראים, סיווג המידע הרגיש לרמות שונות, מיפוי סוגי החומרה, והגדרת נוהלי עבודה ודרכי השמדה למידע רגיש.
- התקנים אוגרי מידע רגיש-ביותר, דוגמת דיסקים, המצויים בעיקר בשרתים ו-Storage , מתועדים ומושמדים ע"י חברת שורו באתר חברת הפינטק ובפיקוחם.
- ציוד מיחשוב אישי הכולל מידע רגיש )בעיקר מחשבים ניידים(, יתועד ע"י חברת שורו קודם יציאתו מאתר חברת הפינטק, הסיריאל, ולפי קטגוריות שהוגדרו.
- שינוע מאובטח והובלת כל הציודים להמשך טיפול במתקן ה- ITAD של שורו.
- השמדת מידע מקצועית באופן דיגיטלי או פיזי, ובהתאם לתקנים, כפי שדרש ה- CISO של חברת הפינטק. מחשבים שכשלו במחיקה הדיגטלית הועברו להשמדה פיזית )גריסה( תוך תיעוד פרטני ברמת הדיסק והמחשב.
- בוצע תיעוד מלא גם למוצרים שאינם אוגרי מידע, כגון מסכים ו Accessories בכדי לגורעם באופן מסודר מספרי החברה.
- לאחר תהליך דיאגנוסטיקה מקיף לכלל הציוד, הועבר ללקוח דו"ח מפורט של ציוד המיחשוב והמערכות שניתן לעשות בהם שימוש-מחדש, לשם קבלת החלטה באשר לייעוד המוצרים.
- מנהל ה- IT של הלקוח ביקש להחזיר לשימושם %10 מהציוד, שמצבם מוגדר כמעולה, ובכל יתר הציוד החליט לממש את האופציה שניתנה ע"י שורו לרכישת החומרה הישנה.
- בגמר התהליך, נשלחו ללקוח הדוחות, האישורים ואסמכתאות לצורך עמידה בדרישות הרגולציה ותקני אבטחת מידע(27001 ISO).
a .רשימה סיריאלית של כלל הפריטים שהיו במחסנים לפי קטגוריות.
b .דו"ח מלא של כלל הציוד, הכולל מפרט, והתייחסות למצב החומרה והמצב הקוסמטי.
c .אישורי השמדה למידע שהושמד, ברמה פרטנית של הדיסק/מחשב הבודד.
d .אישור מחזור לעמידה בדרישות חוק מיחזור ציוד אלקטרוני. - התמורה שקיבל הלקוח עבור הציוד שמכר כיסה את עלות השירותים שניתנו בפרויקט המדובר.