קונים באיקאה? פרטיכם נשמרים במאגר מידע במשך 3 שנים

אם קניתם באיקאה - שמכם, מספר ת"ז ומספר כרטיס האשראי שלכם שמורים במאגר מידע ■ מחיקה מהמאגר נמשכת חודשים ■ איקאה: "הפרטים מוצפנים"

בזמן שזמינותם של מאגרי מידע ממוחשבים מטרידה את הציבור הישראלי, מעוררת תלונה שהגיעה לאחרונה לידי "גלובס" תהיות בנושא, במיוחד משום שנשואת התלונה היא אחת הרשתות הגדולות והמצליחות בארץ - רשת איקאה.

מהתלונה עולה כי הרשת מחתימה את הלקוחות באופן דיגיטלי ושומרת את פרטיהם לאורך שנים. בעוד שתהליך החתימה ושמירתה במאגר נמשך שניות ספורות - בקשה להימחק מהמאגר כרוכה בהגשת טופס ונמשכת מספר חודשים.

וזה הסיפור: בנובמבר 2010 קנה מ' בסניף איקאה בנתניה. הוא שילם בכרטיס אשראי והתבקש לחתום על "כרית אלקטרונית". לאחר מכן התבקש לחתום על שובר הקנייה, כמקובל.

כשחתימתו הוצגה על מסך הקופה, ביקש מ' לברר מדוע התבקש לחתום על הכרית האלקטרונית ועל גבי שובר הקנייה. "אנחנו אוספים את חתימות הלקוח, מספרי כרטיסי האשראי ותעודות הזהות במחשבים שלנו", השיבה לו הקופאית.

מ' ביקש לדעת מדוע לא נשאל מראש אם הוא מסכים שפרטיו הרגישים יישמרו במחשבים של איקאה, והקופאית השיבה כי "הנהלת החברה אמרה לנו שזה בסדר".

מ' ביקש למחוק את חתימתו ממחשב החברה, היות ו"היא נלקחה ממני בעורמה", אך נענה כי המחיקה אינה אפשרית במקום, משום ש"חתימתי ופרטי כרטיס האשראי הועברו מיד לאחסנה בחברה אחרת".

דרישתו לשוחח עם מנהל החנות נענתה כי זה אינו מדבר עם לקוחות. בסוף הובטח לו כי החתימה תימחק מהמאגרים.

כעבור מספר ימים קיבל מ' מכתב ממחלקת שירות הלקוחות של איקאה, ובו אין כל הכחשה לאיסוף פרטי הלקוחות ושמירתם.

המכתב מאשר את קבלת פנייתו למחיקת חתימתו האלקטרונית ממאגרי הנתונים הרלוונטיים לכך: "נפעל ליישום בקשתך בהקדם".

מספר שבועות לאחר מכן קיבל מכתב נוסף נושא את לוגו חברת CARDO, ללא חתימה אישית או פירוט הכותב. במכתב זה אושר כי בקשתו של מ' למחיקת פרטיו בוצעה. יתרה מכך מפורטים באותו מכתב שמו המלא של הפונה, הספרות האחרונות של מספר הכרטיס האשראי ופרטי העסקה. "המכתב הזה עורר בי תהיות רבות, גם משום שאינני יודע מי עומד מאחוריו".

איקאה: יש לנו אג'נדה ירוקה"

איקאה אינה מכחישה את הדברים. מתגובתה עולה כי נשמרו עד כה פרטיהם של מאות אלפי לקוחות.

"החתימות הדיגיטליות, שהינן חלק מהמדיניות הירוקה, מאפשרות הצפנת המידע ושמירתו ללא צורך בנייר", נמסר מהחברה.

"חתימה מסוג זה משדרגת את השמירה על בטיחותו של הלקוח הרוכש באשראי, בהשוואה לשוברי הנייר הנשמרים בבית העסק. בנוסף, ניתן להעביר ללקוח שחזור של פתקית העסקה תוך מספר שניות למייל או לפקס, במקום זמן ההמתנה הנהוג עד כה של 14-21 יום", נמסר מאיקאה.

החברה המאחסנת את המידע עבור איקאה היא חברת CARDO, בבעלות גרפיטק ואלפיה ברוך.

"אנחנו לא שומרים חתימות או מספרי כרטיסי אשראי, אלא שוברים, כפי שהם מופיעים כיום על גבי נייר, בצורה אלקטרונית מוצפנת העומדת בתנאי חוק חתימה אלקטרונית בישראל", נמסר מהרשת.

הרשת מבטיחה כי פרטי העסקה מוצפנים, וכי החתימה אינה נשמרת כתמונה אלא מוצפנת כערכים מספריים שלא ניתנים לאחזור.

- כיצד נמחקים מהמאגר ומוודאים שהמחיקה בוצעה?

מאיקאה נמסר: "לקוח לא שמור במאגר כלקוח אלא כשובר עסקה. שובר עסקה יכול להימחק על-פי בקשתו, ובמקרה זה הוא מודפס על גבי נייר, מאוחסן בקלסר, והשובר האלקטרוני נמחק. מתוך מאות אלפי עסקאות שבוצעו, בודדים בלבד ביקשו למחוק מהמאגר את שובר העסקה שלהם".

- מדוע לא מבקשים את אישור הלקוחות לפני החתימה האלקטרונית ולא מיידעים אותם כי הפרטים נשמרים?

"נושא החתימה הדיגיטלית שאיקאה מיישמת תוקשר בהרחבה לפני כשנתיים לציבור הרחב. חתימה דיגיטלית קיימת בשוק הקמעונאות באירופה שנים רבות ובישראל מספר שנים בתחומים שונים, כגון בנקים, חברות הסלולר ורשתות המזון המהיר. בפני הלקוח עומדת האפשרות לחתימה רגילה אם הוא מבקש זאת".

- לשם מה נשמרות החתימות, ולכמה זמן?

"השמירה מתבצעת על מנת לאפשר את אחזור השוברים במקרה של בירור עסקה על-ידי חברת האשראי, בית העסק או הלקוח עצמו. משך שמירת החתימות הוא בהתאם להסכם בין בית העסק לחברת האשראי. מדובר בטווח של בין שנתיים ל-3 שנים. לאחר תקופה זו השוברים האלקטרונים נמחקים".

זהירות, האקר

פריצת מאגרי המידע האינטרנטיים וחשיפת מספרי כרטיס האשראי ותעודות הזהות העלו על סדר היום הציבורי את הצורך בהקפדה על מסירת המידע האישי לכל דורש.

מה הדין כאשר בית עסק אוסף לעצמו מאגר נתונים המרכז את פרטי כרטיס האשראי, תעודת הזהות ואפילו חתימת הלקוח מבלי ליידע אותו?

הדרישה להצפנת מידע פרטי בקרב מאגרים של בתי עסק עולה מדרגה כאשר ברשת איקאה נשמרים אותם פרטים רגישים במאגרי החברה. יש לקוות כי המידע מוגן היטב מפני ההאקר הסעודי עומר או כל האקר אחר.