ASP – ספק שרותי תוכנה

ספק שרותי תוכנה במהלך תערוכת אינטרנט וורלד 2001, התבקשתי להרצות במפגש פורום C3 של אנשים ומחשבים על נושא ספק שירותי תוכנה ברשת הידוע גם בשם Application Service Provider, או בקיצור – ASP. להפתעתי התברר כי יש בישראל ניצנים של ספקי שירותי תוכנה אשר ניכר כי נתנו משקל גדול יותר לסוגיה הטכנולוגית מבלי לבחון את ההשלכות של הסוגייה המשפטית. מטבע הדברים, עליית הסוגייה המשפטית מהווה, ברוב המקרים, עילה מספקת לכישלון החברה ולפיכך יש לתת את הדעת לפן זה זו ולו רק מהסיבה שה-ASP חשוף לסיכונים משפטיים באינטרנט יותר מאשר כל ספק שירותים אחר באינטרנט. ניתן לומר כי מבחינה משפטית, ברוב המקרים, ספק שירותי תוכנה באינטרנט ואופן השתלבותו במרחב הקיברנטי הינו כשאר אחיו ואחיותיו ספקי השירותים באינטרנט, בשינויים המחויבים, ובראשם ה-ISP.

ברם, לא בכל מקרה ניתן יהא להשתמש בבסיס המשפטי שפותח במהלך השנים האחרונות בנוגע לספקי השירות באינטרנט מאחר ומדובר בשירות חדש הכולל מרכיבים ייחודיים לו. יש לזכור כי באמצעות ניהול סיכונים מתאים ניתן להעמיד לרשות ה-ASP כלים להקמת מערך ניהול סיכונים פסיבי ואקטיבי שבפועל יאפשר את מזעור החשיפה. אך יש לעשות זאת עוד במהלך הכנת התוכנית העסקית להקמת ASP ככל שנוגע לחשיפתו של הספק, כגון מיקום קהל היעד שלו. מעבר לפן הגיאוגרפי, למקום השיפוט לאור הדין החל משמעות מהותית. על ה-ASP לדעת בודאות מהם זכויותיו וחובותיו על-פי הדין המקומי ולהיערך לכך מבעוד מועד (לדוגמא: בשבועות האחרונים נראה כי גם בישראל נעשה ניסיון להשתמש בגישת הצרפתים בנוגע ל-YAHOO וזאת על-ידי הגשת תלונה למשטרת ישראל על-ידי מפעל הפיס נגד אתר ההימורים המלך שלמה שמיועד לישראלים אך מיקומו בבריטניה). אחת מנקודות המפתח בהישרדות ה-ASP נמצאת באבטחת המידע בה הוא נוקט בהתחשב בכך שמידע רב שאינו שייך ו/או נוגע לספק יעבור בתחומו ואף ישמר על אמצעים פיזיים הנמצאים ברשותו. לפיכך על הספק לוודא כי מעבר המידע בינו לבין הלקוח יתבצע כך שלגורם שלישי לא תהיה כל אפשרות לנטר את מעבר מידע זה (יכול שיעשה באמצעות הצפנת המידע בין אם בחומרה ובין אם בתוכנה).

כמו כן על הספק לוודא כי מערכותיו מוגנות מפני חדירה מבחוץ על-ידי גורמים בלתי מורשים וכמובן גם מפני חדירה על-ידי גורמים מבפנים הכוללים את עובדיו ולקוחותיו כאחד. אי עמידה בסטנדרטי אבטחה גבוהים תחשוף את ה-ASP לתביעות שונות הנסמכות על דיני החוזים בגין עילת הפרת הסכם ובעיקר על דיני הנזיקין בה העילה המרכזית תתבסס על רשלנות. בנושא אחר לגמרי אך אחד מהנושאים החמים ביותר הנוגעים לסוגיית אחריות ספק שירותים באינטרנט עלול למצוא עצמו ה-ASP שותף בכל הנוגע להפרת זכויות קניין רוחני ובעיקר הפרת זכות יוצרים וסימן מסחר/שרות. במקרה זה ה-ASP נחשף לתביעות שונות בגין מתן כלים (תוכנות) אשר באמצעותם ניתן יהא לפגוע בזכויות קנייניות של צד שלישי. ככל שנוגע לגבי הדין הישראלי, עדיין יש לבחון את הפסיקה הרלוונטית מחו“ל ובמיוחד מארצות הברית, עד אשר תיווצר מסה מספקת של פסיקה מקומית והמחוקק הישראלי יחליט להקים תשתית חקיקתית מתאימה. ל-ASP קיימת גם גישה אבסולוטית למידע בלעדי ו/או ייחודי של לקוחותיו, כאשר מידע זה יכול שיהיה חסר חשיבות מצד אחד, ומאידך מסווג וחשוב ביותר ללקוח. אספקת שירותי תוכנה תאפשר לספק גישה למגוון רב של מידע אנקסילרי שלספק שירותים רגיל באינטרנט אין כל גישה, לפיכך, על ה-ASP לנקוט משנה זהירות כאשר מדובר בהגנת פרטיותו של הלקוח. לדוגמא, מתן מידע הנוגע ללקוחותיו לפי בקשתם של רשויות שונות או במקרים מסוימים של גורמים פרטיים שנפגעו ממעשי לקוחותיו באמצעותו.

הצלחתו של ה-ASP תלויה גם בכישוריו לעמוד בפני כל אותם גורמים מזיקים באינטרנט שכל מטרתם הינה לפגוע ברציפות פעילותו (לדוגמא: DDOS) ובמקרים מסוימים אף לגרום נזק בלתי הפיך. למצער מירב משאביו של ה-ASP יושקעו בניסיון לאבטח את שירותיו מפני פעולות זדוניות, בידיעה כי לפחות כיום, אין עדיין פתרון מלא ומספק בכדי למנוע פעולות זדוניות שכאלה וכל ספק שירותי תוכנה באינטרנט יאלץ למצוא עצמו מטפל בקריסות, חדירות ושיחזור מידע לאחר תקיפת וירוס קטלני זה או אחר. קיימות מספר נקודות חשיפה ייחודיות ל-ASP כגון זו נובעת מהמורכבות בסביבה משותפת בה נחשפים כלל לקוחות הספק לאלמנטים שהיו בשליטתם ועברו לשליטת ה-ASP. חברתו הטובה ביותר של ה-ASP הינה ללא עוררין, חברת הביטוח שבמקרים שונים תכנס בנעליו ותתרגם את זכותו של הנפגע לסכום כספי שיפצה, ברוב המקרים, על רוב הנזקים שניתן להעריכם בכסף. לפיכך, על הספק לוודא כי באמצעות ביטוח כל רכיבי השירותים שהוא מספק יגן על עצמו ועל לקוחותיו באמצעות ביטוח מתאים. ספק רב אם ASP יחזיק מעמד מבלי להקים תשתית ביטוחית מתאימה אשר בסופו של דבר תהווה תנאי בל יעבור שציבור לקוחותיו ידרוש.

אבטחת מידע

סריקה – מותר או לא ?

מספר עצום של אתרים באינטרנט מהעולם בכלל ומישראל בפרט, אינם מתעדכנים ונותרים חשופים ופגיעים להתקפה. דוגמה אופיינית היא מצב בו

פרטיות תלמידים בלמידה מקוונת מרחוק

פרטיות תלמידים בלמידה מקוונת מרחוק

למידה מקוונת מרחוק חושפת תלמידים לסיכוני פרטיות משמעותיים, לרבות חשיפת מידע אישי ודליפות מידע. הרשות להגנת הפרטיות מפרסמת הנחיות להגנה מוגברת על פרטיות התלמידים.