ה-IT מאחורי הקלעים של "אל תתקשרו אליי"

פלג שפיר, מנמ''ר הרשות להגנת הצרכן ולסחר הוגן, מתאר כיצד הקים את מאגר פרטי הטלפונים - המונע מאזרחים הטרדות טלמרקטינג - על גבי הענן של AWS: "רצינו לבנות פרויקט שהוא נגיש לכל האזרחים - וגם מאובטח"

פלג שפיר, מנמ''ר הרשות להגנת הצרכן ולסחר הוגן.

הסוף לשיחות שיווק לא רצויות? הקץ לשיחות מטרידות מנציגי מכירות אגרסיביים? החל מה-1 בינואר השנה, נכנסו לתוקף התקנות האוסרות על פניה שיווקית של חברות ועוסקים למספרי טלפון שנמצאים במאגר 'אל תתקשר אליי' של הרשות להגנת הצרכן ולסחר הוגן. התקנות נכנסו לתוקף לאחר תהליך חקיקה ארוך, בן כמה שנים, אשר לאחריו יושם הפרויקט הטכנולוגי על ידי הרשות. פלג שפיר, מנמ"ר הרשות להגנת הצרכן ולסחר הוגן, מתאר את הפרויקט וההיבטים הטכנולוגיים שלו.

"מאגר 'אל תתקשר אליי' עובד כבר בכמה מדינות  בעולם", אמר שפיר. "אזרחים יכולים לרשום את מספר הטלפון שלהם למאגר באנונימיות, ומשווקים הפועלים באמצעות הטלפון מחויבים לבדוק את הרשימות שלהם מול המאגר – לפני ביצוע כל שיחה שיווקית. אם האזרח רשום במאגר – נאסר עליהם לפנות אליו. מדובר בעבירה שיש קנס בצידה. המאגר כולל רק את מספרי הטלפון ואין בו מידע נוסף כלשהו שמקושר אל המספרים. זה נועד לשמור על פשטות המידע ולמנוע בעיות אבטחה. היינו יכולים להקים את המאגר רק לאחר סיום התקנת התקנות על ידי הממשלה".

"צריך להבין", ציין המנמ"ר, "שהרשות להגנת הצרכן ולסחר הוגן היא גוף קטן. לכן, כבר בשלב הראשון היה ברור שנצטרך סיוע מקצועי חיצוני, לצד שימוש בשירותי ענן. זאת, כדי לאפשר גישה מאובטחת ומהירה למאגר – שיצטרך לעמוד בעומס יומיומי שוטף".

לדבריו, "תשתית המחשוב הנוכחית שלנו משמשת רק ליישומים הפנימיים שלנו. אתגר נוסף שעמד בפנינו בטרם נגשנו לפרויקט, הוא שהשירות צריך להיות זמין לכל אזרח, גם מבחינת תמיכה בכמה שפות וגם מבחינת אמצעי הרישום – בצורה מקוונת לחלוטין, או באמצעות מענה טלפוני אוטומטי, או באמצעות מוקד אנושי. זאת, על מנת להתאים את השירות שלנו לכל רמה של שפה ואוריינות דיגיטלית של כל מי שמעוניין להירשם. עוד רצינו לתת מענה לחברות הטלמרקטינג, שתוכלנה להתממשק למאגר ולבצע שאילתות מולו בלא הגבלה ובביצועים מהירים".

מאגר 'אל תתקשר אליי' הרשות להגנת הצרכן ולסחר הוגן.

מאגר 'אל תתקשר אליי' הרשות להגנת הצרכן ולסחר הוגן. צילום: לכידת מסך מאתר הרשות

שירותי AWS נבחרו באמצעות נימבוס

"מהרגע שהיה ברור שפרויקט כזה יכול לקום רק בענן", ציין שפיר, "התחלתי בתהליך בחינה של הנושא. מבחינתי, נימבוס, פרויקט הענן הממשלתי, היה מתנה משמיים: עד לנימבוס, גופים ממשלתיים היו חייבים לעבור תהליך רכש מורכב וממושך, על מנת להשתמש בשירותי ענן. במסגרת נימבוס אני יכול להשוות בין שירותי הענן הקיימים ולבחור את השירות שמתאים לפרויקט שלי מבחינת יכולות ועלויות. בחרנו בשירותי הענן של AWS ונעזרנו בשותפים כדי לבנות את סביבת העבודה ולפתח את הפרויקט".

"אבטחת מידע היא תמיד בראש סדר העדיפויות שלנו", הדגיש שפיר, "הפרויקט נועד להיות נגיש ופשוט לשימוש לאזרחים, אבל גם לחברות שרוצות לעשות שימוש במאגר. חשוב לזכור שהמאגר לא מכיל פרטים אישיים כמו שמות או כתובות, אלא אך ורק מספרי טלפון שלא מקושרים למידע נוסף. כך, התייחסנו גם לשמירה על הפרטים הללו בצורה המחמירה ביותר, ואנו מאפשרים גישה מאובטחת באמצעות API. את הגישה אליהם אנחנו עושים דרך ממשק ההזדהות הלאומית לחברות, שמאפשר גישה מאובטחת ולאחר תהליך זיהוי ממשלתי. מסתבר שחברות רבות לא הכירו את התהליך".

"זה הפרויקט הראשון שלנו בענן", סיכם שפיר, "וכיוון שכך, בנינו Landing Zone על בסיס הפרקטיקות המקובלות של AWS ובסיוע אנשי קלאודזון (CloudZone). בהבטי הפיתוח הסתייענו באנשי זיגיט (Zigit), יחד עם מנהל הפרויקט, אורן בר, שגייסנו לנושא. השתמשנו בעיקר בשירותים של Amazon CloudFront

ו-Amazon API Gateway. עוד עשינו שימוש גם בארכיטקטורת serverless בעזרת AWS Lambda".

תגובות

(2)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. שי

    הם בסה"כ מנהלים רשימה של מספרי טלפון אז שימוש ב למבדה ו Serverless נשמע הגיוני בשביל סקייל Saas מקל כאן על העבודה מעניין מה הגישה המאובטחת ב API מאפשרת, והאם נלקחו בחשבון היבטים של סקיוריטי, האם יש Thruttling limit ? כל אחד יכול להשיג היום רשימות של מספרים המקושרים לשמות ואז אם יש גישה ל API לטרגט את המספרים החסומים ולקשר לשם מעניין איך זה עלול לפגוע בהיבטים של פרטיות ? מעניין אם זה נלקח בחשבון ..

  2. גיא

    עם/בלי קשר ל AWS, כחברה שמנסה לעבוד מול המנגנון ב API, אני חייב להגיד שהוא מאופיין ומבוצע באופן חובבני לצערי

אירועים קרובים