כללי הגשת בקשת רישיון למתן שירות מידע פיננסי
כללי הגשת בקשת רישיון למתן שירות מידע פיננסי מתוך
כללי הגשת בקשת רישיון למתן שירות מידע פיננסי, התשפ״ב–2022
ק״ת תשפ״ב, 2984.
בתוקף סמכותי לפי סעיף 5 לחוק שירות מידע פיננסי, התשפ״ב–2021 (להלן – החוק), אני קובעת כללים אלה:
הגדרות
בכללים אלה –
”אתר הדיווח“ – כהגדרתו בתקנות ניירות ערך (חתימה ודיווח אלקטרוני), התשס״ג–2003;
”ההוראה“ – הוראה למבקשי ובעלי רישיון למתן שירות מידע פיננסי שפרסמה הרשות באתר האינטרנט שלה והודעה עליה פורסמה ברשומות ביום ט״ז באייר התשפ״ב (17 במאי 2022) (י״פ תשפ״ב, 8393);
”מבקש“ – תאגיד המבקש לקבל רישיון למתן שירות מידע פיננסי;
”ערוץ מקוון“ – כתובת אתר אינטרנט או יישומון (אפליקציה);
”תקנות הגנת הפרטיות“ – תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017.
פרטים ומסמכים שיש לצרף לבקשת רישיון
מבקש יגיש בקשה לרישיון באתר הדיווח שתכלול את הפרטים האלה:
(1)
פרטי המבקש, לרבות מענו הרשום, מספר טלפון, כתובת דואר אלקטרוני, שמו ומספרו הרשום ברשם החברות, פרטי איש קשר מטעמו ודרכי ההתקשרות עימו;
(2)
פרטי כל נושא משרה בכירה במבקש, פרטי בעל השליטה במבקש ופרטי כל נושא משרה בכירה בבעל השליטה אם הוא תאגיד, ובכלל זה שמו המלא, מספר זהות או מספרו הרשום ברשם החברות, תאריך הלידה שלו ותפקידו במבקש או בבעל השליטה; על הגורמים האמורים למלא תצהיר שיצורף לבקשה ומאמת את פרטיהם;
(3)
פרטי הממונה על אבטחת המידע והגנת הסייבר שמונה לפי סעיף 30(ג) להוראה, והממונה על ניהול סיכונים שמונה לפי סעיף 31 להוראה;
(4)
סוג השירות שהוא מבקש לתת;
(5)
פרטי הערוץ המקוון שבאמצעותו בכוונת המבקש לפעול במתן שירות מידע פיננסי, אם ישנו, וכן כל שם מסחרי שתחתיו יספק המבקש את שירותיו, אם הוא שונה משמו הרשום ברשם החברות;
(6)
פירוט האמצעים הטכנולוגיים שבידי המבקש לצורך פעילות במתן שירות מידע פיננסי ומיומנותו בהפעלתם; לצורך בחינת עמידתו של המבקש בתנאי זה, על המבקש לכלול בבקשתו כל פרט מהותי בקשר עם קיומם של אמצעים טכנולוגיים מתאימים, לרבות את המידע ואת המסמכים האלה:
(א)
חוות דעת של מבקר שתינתן לפי הוראות אלה:
(1)
חוות דעת של מבקר תהיה לפי כללים מקובלים, בדבר קיום הדרישות המנויות בהוראה הנוגעות להגנה על מידע וסייבר, ובכלל זה הדרישות לפי פרקים ה׳ עד ז׳ להוראה, נאותות מערכות המידע של המבקש, מערכות הערוצים המקוונים, אמצעי האבטחה של המבקש ועמידה בתקני אבטחת מידע מקובלים בין־לאומיים או לפי תורת ההגנה העדכנית, שפרסם מערך הסייבר הלאומי;
(2)
המבקש יתחייב לשמור את כל המסמכים ששימשו להכנת חוות הדעת של המבקר לתקופה שלא תפחת משלוש שנים ממועד מתן חוות הדעת;
(3)
לעניין פסקה זו, ”מבקר“ – מי שמתקיימים בו כל אלה:
(א)
יחיד תושב ישראל;
(ב)
בעל ניסיון של שלוש שנים לפחות בביצוע ביקורות טכנולוגיות כאמור בפסקה זו;
(ג)
המבקר או התאגיד שבו הוא עובד או שותף, אינם מצויים בניגוד עניינים או תלות בקשר עם חוות הדעת, למעט קבלת שכר בעד הכנת חוות הדעת מהמבקש;
(ד)
בעל תואר אקדמי הנוגע לעניין, ממוסד להשכלה גבוהה בישראל שהמועצה להשכלה גבוהה מכירה בו;
(ה)
בעל הסמכה בביקורת מערכות מידע או באבטחת מערכות מידע שהיא אחת מההסמכות האלה או דומה לה: CISA; CRISC; או רואה חשבון מוסמך בישראל בעל התמחות במערכות מידע;
(ב)
אישור כי האדם הממונה על אבטחת מידע והגנת סייבר במבקש, כאמור בסעיף 30(ג) להוראה, עומד בתנאים הקבועים בסעיף 32 להוראה;
(ג)
פרטים בדבר אופן אחסון הערוצים המקוונים ומאגרי המידע של המבקש;
(ד)
הייתה למבקש הרישיון הסמכה הנוגעת לעניין בתחום אבטחת המידע, כגון עמידה בתקני אבטחת מידע מוכרים, יצרף אסמכתה על כך לבקשתו;
(7)
תוכנית עסקית המעידה על יכולת המבקש לעמוד בהוראות הדין ובתנאי ההוראה; התוכנית העסקית תציג פירוט של תהליכי העבודה האלה:
(א)
השירותים המוצעים ודרכי מתן השירותים;
(ב)
אופן קבלת המידע הפיננסי, שמירתו והעברתו לאחר או הצגתו ללקוח;
(ג)
התשתיות המעורבות בתהליך מתן השירות, לרבות תשתיות מחשוב, טכנולוגיה, ציוד, ספקי משנה וכוח אדם;
(8)
הצהרה בדבר האמצעים הכספיים של מבקש הרישיון, ובכלל זה מקורות מימון קיימים או עתידיים ומסמכים המאמתים את ההצהרה כאמור;
(9)
על המבקש לכלול בבקשה אישור כי מתקיים בו אחד מאלה:
(א)
אישור כי הוא ביטח את אחריותו כלפי לקוחותיו כמפורט בסעיף 8(א) להוראה; על האישור לכלול את פירוט תנאי הביטוח של המבקש, לרבות שם המבטח, תקופת הביטוח, סכום הביטוח וסכום ההשתתפות העצמית, וכן אישור הדירקטוריון כי היקף הביטוח ותנאיו הם בהיקף ובתנאים הנדרשים להבטחת אחריותו של בעל הרישיון כאמור בסעיף 8(א) להוראה, ונקבעו בהתאם לשיקולים המנויים בסעיף 8(ג) להוראה;
(ב)
אישור על הפקדת פיקדון בסכום ובתנאים כמפורט בסעיף 8(ב) להוראה; על אישור פרטי הפיקדון שהפקיד המבקש לכלול את סכום הפיקדון שהופקד ואת זהות הגוף שבו הופקד; פרטי הנאמן לפיקדון כמשמעות נאמן בסעיף 8(ב) להוראה; אישור נאמן כאמור שהפיקדון הופקד למשמרת אצל בנק או חבר בורסה וכי הוא מנוהל כפי שנדרש בסעיף 8(ב) להוראה; וכן אישור הדירקטוריון כי סכום הפיקדון הוא לפי הנדרש להבטחת אחריותו של המבקש כאמור בסעיף 8(ב) להוראה, ונקבע לפי השיקולים המנויים בסעיף 8(ג) להוראה;
(10)
אישור על רישום בפנקסי מאגרי המידע לפי חוק הגנת הפרטיות וכן הצהרה של המבקש בדבר עמידתו בהוראות חוק הגנת הפרטיות והתקנות שניתנו מכוחו;
(11)
תיאור עיסוקים נוספים של המבקש מלבד כוונתו לפעול במתן שירות מידע פיננסי, אם ישנם, ובכלל זה עיסוקים נוספים שלו הטעונים רישוי או רישום מכוח דין אחר;
(12)
מפת סיכונים הכוללת הערכת סיכונים הטמונים בתהליכי העבודה השונים, ופירוט אופן ניהולם, גידורם והצעדים הנדרשים למזעורם (MITIGATION); מפת הסיכונים תפרט את סיכוני אבטחת המידע, סיכוני הגנת הפרטיות, סיכוני מעילות והונאות, סיכונים משפטיים וסיכוני ציות; מבקש העושה שימוש בספקי משנה, נדרש לפרט את אופן ניהול שרשרת המידע, הסיכונים הגלומים בכך ואופן ניהול וגידור אותם סיכונים, כאמור בפרק ה׳ להוראה;
(13)
המבקש יצרף לבקשה מסמך ובו פירוט בנוגע למאגר המידע שבו יישמר המידע הפיננסי, ובכלל זה –
(א)
תיאור כללי של פעולות האיסוף והשימוש במידע הפיננסי;
(ב)
תיאור מטרות השימוש במידע הפיננסי;
(ג)
סוגי המידע השונים הכלולים במאגר המידע בשים לב לרשימת סוגי המידע שבפרט 1(3) בתוספת הראשונה לתקנות הגנת הפרטיות;
(ד)
פרטים על מיקום החזקת מאגר המידע;
(ה)
פרטים בדבר ביצוע פעולות עיבוד מידע באמצעות אחר;
(ו)
אם המבקש עוסק ותיק כהגדרתו בסעיף 81 לחוק – יפרט גם את אופן הפרדת פרטי הגישה של הלקוח אל חשבונו שנועדו לאמת את זהותו בפני מקור המידע, מהמידע הפיננסי המוחזק במאגר;
(ז)
שמותיהם של מנהל מאגר המידע, של מחזיק המאגר ושל הממונה על אבטחת המידע שבו;
(14)
הצהרת המבקש כי מתקיימים בו כל התנאים הקבועים בהוראה, וכן תצהיר של נושא משרה בכירה במבקש המאשר את התקיימותם של תנאים אלה.
בקשת פטור לתאגיד חוץ
(א)
תאגיד חוץ כהגדרתו בסעיף 18(א) לחוק, הרוצה להגיש בקשה לקבלת רישיון ובמסגרתה לבקש פטור מאחת הדרישות המצוינות בסעיף 18(ב) לחוק, יגיש בקשה מתאימה לרשות.
(ב)
במסגרת בקשה כאמור בפסקה (א), יפרט המבקש כלהלן:
(1)
מהו הדין הזר המסדיר את עיסוקו במתן שירות מידע פיננסי;
(2)
באיזה רישיון או רישום זר הוא מחזיק;
(3)
מיהו המאסדר הזר המפקח עליו;
(4)
מה הן דרישות הרישיון שמהן הוא מבקש לקבל פטור;
(5)
מהם האסדרה והפיקוח החלים עליו שנותנים מענה מספק בנוגע לעניינים המוסדרים בסעיפים שמהם הוא מבקש לקבל פטור;
(6)
כל מידע נוסף הנדרש לשם קבלת החלטה בבקשתו לפטור מהסעיפים האמורים;
(7)
המבקש יצרף לבקשתו אסמכתאות לכל הנאמר בה, ובכלל זה אישור מהמאסדר הזר בנוגע לרישיון או הרישום שבו הוא מחזיק או רשום.
אופן הגשת מסמכי בקשת הרישיון
כל מסמך או הצהרה שמגיש מבקש הרישיון לפי כללים אלה, ייחתמו בידי המורשים לחתום בשם התאגיד, ויצוין בהם תאריך החתימה; בצד כל חתימה יצוין שם החותם ותפקידו בתאגיד.
שינוי בפרטי המבקש
חל שינוי בפרט מהפרטים שמסר המבקש לרשות בבקשתו או במסמכים שצורפו לה, ידווח על כך לרשות, בהקדם האפשרי מהמועד שבו נודע לו על שינוי הפרט, ויצרף את המסמכים הנוגעים לעניין.
כ״א באייר התשפ״ב (22 במאי 2022)
- ענת גואטה
יושבת ראש רשות ניירות ערך
אזהרה: המידע בוויקיטקסט נועד להעשרה בלבד ואין לראות בו ייעוץ משפטי. במידת הצורך היוועצו בעורך־דין.