דלגו לתוכן
ענפים29 בנובמבר 202510 דק׳ קריאה

חנות אונליין ישראלית: אבטחה מהעגלה ועד הסליקה

בדצמבר 2025 נכנסו אתרי המסחר לרשימת המגזרים הראשונים בפיקוח הרוחב של הרשות להגנת הפרטיות — עם עיצומים שמתחילים ב-5,000 ש״ח ומטפסים מעל מיליון. המדריך מפרק מה הרגולטור בודק, שלוש המתקפות שאוהבות במיוחד חנויות (סקימינג, Credential Stuffing, אתרי התחזות), והחלוקה בין Shopify לאחסון עצמי. בסוף — צ׳קליסט של 10 סעיפים לסגור לפני עונת המכירות.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

ב-10 בדצמבר 2025 הודיעה הרשות להגנת הפרטיות על מבצע פיקוח הרוחב הראשון שלה מאז כניסת תיקון 13 לתוקף — וחנויות האונליין נכנסו לרשימה קצרה של חמישה מגזרים נבדקים, לצד רשויות מקומיות, אפליקציות פופולריות, מכוני בדיקות גנטיות וצהרונים. זו לא בחירה מקרית. חנות מקוונת ממוצעת מחזיקה בדיוק את שילוב הנתונים שהרגולטור רגיש אליו — שמות, כתובות, טלפונים והיסטוריית רכישות של אלפי לקוחות — ולעתים קרובות מנהלת אותו על תשתית שהוקמה בשבועיים, עם תוספים שאף אחד לא עדכן מאז ההשקה. אם אתם מנהלים חנות אונליין ישראלית, המאמר הזה הוא מפת הדרכים שלכם: מה הרגולטור בודק, מאיפה באמת תוקפים, ומה לסגור לפני עונת המכירות הבאה.

רגע, מה זה ״פיקוח רוחב״?

בניגוד לחקירה נגד ארגון בודד, פיקוח רוחב הוא בדיקה מגזרית: הרשות פונה בו-זמנית לעשרות גופים באותו ענף, בודקת עמידה בחוק ובתקנות, ומחליטה לפי הממצאים על צעדי אכיפה. מאז כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף ב-14.8.2025, לרשות יש סמכויות עיצומים כספיים רחבות — כך שבדיקה כזו כבר איננה תרגיל תיאורטי.

הרגולטור פרסם את רשימת השאלות — שווה לקרוא אותה

לפי דיווח בגלובס מסוף דצמבר 2025, במסגרת מבצע האכיפה על אתרי מסחר נבחנות ארבע קבוצות של הפרות. תסתכלו עליהן לא כאיום אלא כמפת ציות שקיבלתם בחינם:

  • מדיניות פרטיות חסרה או לא מעודכנת. אתר שאוסף פרטים אישיים חייב להציג מדיניות שמשקפת את מה שקורה בפועל — לא נוסח מועתק מאתר אמריקאי. פירטנו את רכיבי החובה במדריך הייעודי שלנו למדיניות פרטיות לאתר ישראלי.
  • מנגנוני קוקיז והסכמה לא תקינים. באנר קוקיז שמוצג לקישוט אבל טוען את כל סקריפטי המעקב עוד לפני שהמשתמש בחר — הוא בדיוק סוג הממצא שבודקים מחפשים.
  • אבטחת מידע חלשה. עמידה בתקנות אבטחת מידע לפי רמת האבטחה שחלה על המאגר שלכם: הרשאות, אימות, הצפנה, תיעוד אירועים.
  • היעדר הסכמי עיבוד מול ספקים. חברת הסליקה, מערכת הדיוור, חברת השילוח וספק האחסון מעבדים את נתוני הלקוחות שלכם עבורכם — והחוק דורש שהאחריות והחובות יעוגנו בהסכם.

כמה זה עולה למי שנופל בבדיקה? לפי הערכות מומחים שצוטטו באותו דיווח בגלובס, הפרות בסיסיות במאגר של עד 5,000 נושאי מידע צפויות לעיצומים של 5,000–20,000 ש״ח; מאגר של כ-100 אלף לקוחות — 70,000–200,000 ש״ח; מאגר של יותר מ-100 אלף נושאי מידע עם נתונים רגישים — מ-200,000 ש״ח ועד יותר ממיליון; ואי-דיווח על אירוע אבטחה יכול להגיע לבדו עד 320,000 ש״ח. בשביל חנות שמגלגלת כמה מיליונים בשנה, אלה כבר לא מספרים שאפשר לתייק תחת ״סיכון עסקי סביר״.

מאגר ההזמנות שלכם הוא מאגר מידע לכל דבר

בעלי חנויות רבים חושבים על ״מאגר מידע״ כמשהו שיש לבנקים ולקופות חולים. בפועל, טבלת ההזמנות הכי בסיסית — שם מלא, כתובת למשלוח, טלפון, אימייל והיסטוריית רכישות — היא מאגר מידע אישי במלוא מובן החוק. ותיקון 13 הרחיב את ההגדרות: ״מידע בעל רגישות מיוחדת״ כולל היום גם נתונים פיננסיים ונתוני מיקום. היסטוריית רכישות יכולה להיות רגישה בפני עצמה (חשבו על חנות תוספי תזונה, הלבשה תחתונה או מוצרי בריאות), ואם אתם שומרים גם טוקנים של אמצעי תשלום או ארבע ספרות אחרונות — התמונה מתחדדת עוד.

למה זה משנה? כי תקנות אבטחת מידע מסווגות כל מאגר לרמת אבטחה — בסיסית, בינונית או גבוהה — לפי סוג המידע, מספר נושאי המידע ומספר בעלי ההרשאה, וכל רמה גוררת סט חובות שונה: מסמך הגדרות מאגר, נהלים, בקרת גישה, וברמות הגבוהות גם סקרי סיכונים ומבדקי חדירה תקופתיים. חנות עם עשרות אלפי לקוחות ונתונים פיננסיים עשויה בהחלט למצוא את עצמה ברמת אבטחה בינונית — עם כל המשתמע. איך יודעים איפה אתם? הכנו לזה מדריך מלא לסיווג רמות האבטחה.

הפלטפורמה קובעת את חלוקת העבודה — אבל המידע תמיד באחריותכם

ההחלטה הטכנולוגית הכי משמעותית של חנות אונליין היא סוג הפלטפורמה, כי היא קובעת מי מחזיק בכל שכבת אבטחה. בפלטפורמה מנוהלת (Shopify, Wix ודומיהן) הספק אחראי לשרתים, לעדכוני הליבה ולתשתית — ואתם אחראים בעיקר לחשבון הניהול, לאפליקציות שאתם מוסיפים ולהגדרות. באחסון עצמי (WooCommerce, Magento) הכול עליכם: שרת, גרסת PHP, ליבה, תבנית וכל תוסף. אלה שני פרופילי סיכון שונים לגמרי:

שכבהפלטפורמה מנוהלת (Shopify/Wix)אחסון עצמי (WooCommerce/Magento)
שרתים ותשתיתבאחריות הספקבאחריותכם (או ספק האחסון — בדקו מה בדיוק)
עדכוני ליבה ואבטחהאוטומטיים, באחריות הספקבאחריותכם — ידנית או מתוזמנת
תוספים ואפליקציותבאחריותכם: כל אפליקציה = הרשאות גישה למידעבאחריותכם: וקטור התקיפה מספר 1 על החנות
חשבון הניהול וההרשאותבאחריותכם — תמידבאחריותכם — תמיד
האחריות המשפטית על מידע הלקוחותשלכםשלכם

שימו לב לשורה האחרונה: מול הרשות להגנת הפרטיות ומול הלקוחות, בעל המאגר הוא אתם — לא Shopify ולא ספק האחסון. ובכל תצורה, שתי פעולות אינן נתונות למשא ומתן: צמצום תוספים למינימום הנחוץ ועדכונם השוטף (תוסף נטוש עם פרצה ידועה הוא הדרך הנפוצה ביותר לפרוץ חנות WooCommerce), והפעלת אימות רב-שלבי (MFA) על כל חשבון ניהול — פאנל החנות, ספק האחסון, ניהול הדומיין והמייל העסקי. לפי מיקרוסופט, MFA חוסם למעלה מ-99.9% ממתקפות ההשתלטות על חשבונות. אין צעד אחר עם יחס עלות-תועלת כזה.

תשלומים: הכלל הראשון — לא לשמור מספרי כרטיס

נתחיל בשורה התחתונה: לחנות ישראלית קטנה-בינונית אין שום סיבה טובה להחזיק מספרי כרטיסי אשראי. חברות הסליקה הישראליות מספקות טוקניזציה — הכרטיס מוחלף בטוקן חסר ערך לגנב, שמאפשר חיובים חוזרים ורכישה בקליק בלי שהמספר עצמו נוגע בשרתים שלכם. כשהכרטיס לא אצלכם, גם אין מה לגנוב מכם.

ומילה על PCI DSS — תקן אבטחת התשלומים שכל עסק שמקבל כרטיסי אשראי מחויב אליו דרך ההסכם עם חברת הסליקה. היקף הדרישות שלכם תלוי ישירות באופן שבו דף התשלום בנוי: אם הלקוח מועבר לעמוד תשלום של ספק הסליקה או מקליד את הפרטים בתוך iframe שהספק מגיש — אתם בדרך כלל במסלול ההצהרה הקצר (SAQ A), עם עשרות בודדות של דרישות. אם טופס התשלום יושב באתר שלכם והפרטים עוברים דרך הקוד שלכם — אתם במסלול כבד בהרבה (SAQ A-EP), עם פי כמה דרישות ואחריות ישירה על אבטחת הדף. וחשוב לדעת: מאז 31 במרץ 2025 מחייבת גרסה 4 של התקן גם ניהול מסודר של הסקריפטים בדפי תשלום (דרישה 6.4.3) וניטור שינויים בלתי מורשים בהם (11.6.1) — תגובה ישירה של התעשייה למתקפות הסקימינג שנדבר עליהן מיד.

בדיקת חמש הדקות שאנחנו עושים בכל ליווי

פתחו את דף התשלום של החנות שלכם, לחצו F12 (כלי מפתחים) והסתכלו בלשונית Network אילו סקריפטים נטענים ומאילו דומיינים. ברוב החנויות שאנחנו בודקים רצים בדף הרגיש ביותר באתר 20–40 סקריפטים של צד שלישי — פיקסלים, צ׳אטים, אנליטיקס — שכל אחד מהם הוא דלת פוטנציאלית לגניבת כרטיסים. כל סקריפט שאין לו הצדקה עסקית בדף התשלום — פשוט לא צריך להיות שם.

שלוש מתקפות שאוהבות במיוחד חנויות

1. סקימינג דיגיטלי בדף התשלום (דפוס Magecart)

התוקף לא פורץ למסד הנתונים — הוא משתיל, דרך תוסף פרוץ או ספק סקריפטים שנפרץ, קטע JavaScript בדף התשלום. הסקריפט ״מרחרח״ את פרטי הכרטיס בזמן שהלקוח מקליד אותם ושולח אותם לשרת של התוקף, בזמן שהעסקה עצמה עוברת כרגיל. החנות לא מרגישה כלום, הלקוחות מגלים חיובים מוזרים אחרי שבועות. ההגנה: מינימום סקריפטים בדף התשלום, עדכוני תוספים, ומנגנון שמתריע על שינוי בדף — בדיוק מה שדרישות ה-PCI החדשות מחייבות.

2. Credential Stuffing על חשבונות הלקוחות

מיליארדי צירופי אימייל-סיסמה שדלפו מאתרים אחרים מנוסים באופן אוטומטי מול עמוד ההתחברות שלכם. לקוח שמשתמש באותה סיסמה בכל מקום — והרוב עדיין עושים את זה — ימצא שמישהו נכנס לחשבון שלו, רואה את הכתובת והיסטוריית ההזמנות, ולפעמים מנצל אמצעי תשלום שמור. ההגנה: הגבלת קצב ניסיונות התחברות (Rate Limiting), הצעת אימות דו-שלבי ללקוחות, וניטור התחברויות חריגות. חנות שמאפשרת רכישה כאורח בלי חשבון מקטינה גם היא את שטח התקיפה.

3. אתר מתחזה שמשבט את המותג שלכם

כאן התוקף בכלל לא נוגע בשרתים שלכם: הוא מקים העתק של החנות בדומיין דומה, מפרסם ״מבצע סוף עונה״ ממומן או שולח SMS, וגונב כסף ופרטי אשראי מהלקוחות שלכם — על חשבון המוניטין שלכם. זו לא תופעה שולית: לפי נתוני מערך הסייבר שפורסמו במעריב, במהלך 2025 זוהו יותר מ-43 אלף קישורים זדוניים שנשלחו לישראלים, והיקף הודעות ה-SMS המתחזות זינק ביותר מ-340%. מה עושים? מנטרים רישום דומיינים דומים לשלכם, מדווחים למערך הסייבר (מוקד 119) ולפלטפורמת האחסון של האתר המתחזה לצורך הסרה, ומודיעים ללקוחות בערוצים הרשמיים — כולל תזכורת קבועה שאתם לעולם לא מבקשים פרטי אשראי בהודעה.

מפת התקיפה והציות של חנות אונליין ישראלית: ארבעה וקטורי תקיפה מרכזיים מול ארבעה מוקדי בדיקה של הרשות להגנת הפרטיות, וטווחי העיצומים הצפויים
מקורות: הרשות להגנת הפרטיות (מבצע פיקוח רוחב, דצמבר 2025); הערכות מומחים שצוטטו בגלובס, 30.12.2025

רגע על הניוזלטר: חוק הספאם בפסקה אחת

רשימת התפוצה היא נכס — אבל רק אם נבנתה כחוק. סעיף 30א לחוק התקשורת (״חוק הספאם״) אוסר לשלוח דבר פרסומת באימייל, ב-SMS או בהודעה מוקלטת בלי הסכמה מפורשת מראש, עם חריג מרכזי אחד שרלוונטי לחנויות: מותר לדוור ללקוח קיים על מוצרים דומים לאלה שרכש, בתנאי שניתנה לו הזדמנות לסרב בעת מסירת הפרטים ושבכל הודעה יש דרך הסרה פשוטה. צ׳קבוקס מסומן מראש איננו הסכמה, והמחיר של קיצורי דרך ידוע: החוק מאפשר פיצוי לדוגמה של עד 1,000 ש״ח להודעה בלי הוכחת נזק — וזה בדיוק סוג התביעות שמגיע בגלים אחרי כל קמפיין רשלני. מדריך מלא לדיוור חוקי — במאמר נפרד שיעלה בקרוב.

התפעול המשעמם שמציל את נובמבר

עונות המכירות — נובמבר, חגים, סוף עונה — הן בדיוק הרגע שבו גם התנועה וגם התוקפים בשיא, וגם הרגע שבו הכי אסור שהאתר ייפול. ארבעה הרגלים תפעוליים עושים את ההבדל:

  • בקרת גישה לניהול. רשימה מעודכנת של מי שיש לו גישה לפאנל, הרשאות מינימליות לפי תפקיד, והסרה מיידית של עובדים וספקים שסיימו. חשבון ״הבונה של האתר מ-2022″ שעדיין חי הוא ממצא קלאסי אצלנו.
  • עדכונים בזמן שקט. ליבה ותוספים מתעדכנים באופן שוטף — אבל לא ערב הסייל. קבעו הקפאת שינויים (Code Freeze) שבוע-שבועיים לפני עונת שיא, אחרי שהכול עודכן ונבדק.
  • גיבוי שנבדק בשחזור. גיבוי אוטומטי של האתר ומסד הנתונים זה הבסיס; גיבוי שביצעתם ממנו שחזור ניסיון מוצלח — זה הביטוח האמיתי. לפני עונה: לוודא שחזור, לא רק גיבוי.
  • CDN והגנת DDoS בסיסית. שירותי CDN מקובלים נותנים גם ביצועים בעומס וגם שכבת הגנה מפני הצפות תעבורה — חשוב במיוחד כשמתקפה של שעה בערב Black Friday שווה יום מכירות שלם.

וכשבכל זאת קורה אירוע

גם חנות מסודרת יכולה לחטוף. מה שמבדיל אירוע כואב מקטסטרופה הוא ההתנהלות בשעות הראשונות. חשוב להכיר את חובת הדיווח: מאגרים ברמת אבטחה בינונית או גבוהה חייבים לדווח לרשות להגנת הפרטיות על ״אירוע אבטחה חמור״ מיידית עם גילויו, ולדווח בהמשך גם על צעדי הטיפול. תיקון 13 שם את אי-הדיווח במדרגת העיצומים הגבוהה ביותר של הפרות תקנות האבטחה — עד 80,000 ש״ח למאגר ברמה בינונית ועד 320,000 ש״ח ברמה גבוהה. מעבר לחובה כלפי הרשות, שקלו ברצינות יידוע לקוחות שנפגעו: הרשות מוסמכת להורות על כך, ולקוח ששומע מכם — ולא מהעיתון — הוא לקוח שיש סיכוי לשמר. את התמונה הרגולטורית המלאה, כולל חובות הדיווח, ריכזנו במפת הדרכים המלאה לחוק הגנת הפרטיות.

טעות השעה הראשונה: למחוק ולהעמיד פנים שכלום לא קרה

האינסטינקט של בעלי חנויות שמגלים פריצה הוא ״לנקות״ — למחוק קבצים חשודים, לאפס את האתר מגיבוי ולהמשיך הלאה. ככה נמחקות הראיות שמאפשרות להבין מה נגנב ואיך, נשארת בפנים הדלת האחורית שהתוקף השאיר — ובמקרה של מאגר החייב בדיווח, נוצרת גם חשיפה לעיצום על אי-דיווח שגבוה מרוב הנזקים עצמם. קודם מבודדים ומתעדים, אחר כך מנקים.

הצ׳קליסט: 10 סעיפים לפני עונת המכירות

  1. הפעילו MFA על כל חשבונות הניהול: פאנל החנות, ספק האחסון, ניהול הדומיין והמייל העסקי.
  2. עדכנו ליבה, תבנית וכל התוספים — והסירו כל תוסף ואפליקציה שאינם בשימוש.
  3. עברו על רשימת המשתמשים בפאנל: הרשאות מינימליות, והסרת כל מי שכבר לא בתמונה.
  4. ודאו שאינכם שומרים מספרי כרטיס — רק טוקנים אצל ספק הסליקה, ובדקו את מסלול ה-PCI שלכם מולו.
  5. פתחו את דף התשלום ובדקו אילו סקריפטים רצים בו — הסירו כל מה שאין לו הצדקה.
  6. עדכנו את מדיניות הפרטיות ואת מנגנון הקוקיז כך שישקפו את האיסוף בפועל.
  7. ודאו הסכמי עיבוד חתומים מול הסליקה, הדיוור, השילוח והאחסון.
  8. בדקו את סיווג רמת האבטחה של המאגר שלכם ואת החובות הנגזרות ממנו.
  9. הריצו שחזור ניסיון מגיבוי, וקבעו הקפאת שינויים לקראת שבוע השיא.
  10. כתבו נוהל תגובה לאירוע בעמוד אחד: מי מנתק, מי מתעד, מי מדווח לרשות ומי מדבר עם הלקוחות.
צ׳קליסט אבטחה לחנות אונליין לפני עונת המכירות: שמונה פעולות מרכזיות מ-MFA על חשבונות ניהול ועד נוהל תגובה לאירוע
צ׳קליסט מקוצר — הגרסה המלאה בגוף המאמר

השורה התחתונה

חנות אונליין ישראלית ב-2026 מתנהלת בסביבה שבה גם התוקפים וגם הרגולטור יודעים בדיוק איפה לחפש — ושניהם מחפשים באותם מקומות: דף התשלום, מאגר הלקוחות, התוספים וחשבונות הניהול. החדשות הטובות הן שרשימת המשימות סופית וידועה, ורובה לא דורש תקציב אלא סדר: MFA, עדכונים, מינימום סקריפטים, טוקניזציה, מדיניות שמשקפת מציאות והסכמים מול הספקים. מי שסוגר את העשירייה שבצ׳קליסט מגיע לעונת המכירות כשהוא מוכן גם למבצע של הרשות — וגם למבצע של Black Friday.

Cybertis מלווה חנויות ועסקי מסחר אלקטרוני בהתאמה לתיקון 13 ולתקנות אבטחת מידע — ממיפוי המאגרים וסיווג רמת האבטחה, דרך מדיניות פרטיות והסכמי עיבוד, ועד תוכנית עבודה מעשית שמותאמת לגודל העסק. שיחת היכרות ראשונה — עלינו.

לשירות היערכות לתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. החובות החלות על כל עסק תלויות במאפייני המאגרים, בפלטפורמה ובאופי הפעילות, ומחייבות בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il