🛡️ התחייבותנו
Y Community מחויבת להגן על המידע האישי שלכם ולשמור על אבטחת המידע בהתאם לתקנות הגנת הפרטיות (אבטחת מידע) ולכל התקנים הרלוונטיים.
1. אמצעי אבטחה טכניים
1.1 הצפנה
- הצפנת תעבורה: כל המידע מועבר באמצעות HTTPS/TLS 1.3
- הצפנת אחסון: כל המידע הרגיש מוצפן במנוחה (at rest)
- הצפנת סיסמאות: סיסמאות מוצפנות באמצעות bcrypt עם salt
- הצפנת API: כל תקשורת API מוצפנת
1.2 אבטחת שרתים
- שרתים מאובטחים עם עדכוני אבטחה שוטפים
- Firewall ו-Intrusion Detection Systems
- ניטור מתמיד של פעילות חשודה
- גיבויים אוטומטיים יומיים
1.3 אבטחת מסד נתונים
- Row Level Security (RLS) במסד הנתונים
- גישה מוגבלת לפי תפקידים
- לוגים של כל פעולות מסד הנתונים
- גיבויים מוצפנים
2. אמצעי אבטחה ארגוניים
2.1 גישה למידע
- עקרון המינימום: רק עובדים שצריכים גישה מקבלים גישה
- הרשאות לפי תפקיד: כל עובד מקבל רק את ההרשאות הנדרשות
- אימות דו-שלבי: לכל עובדים עם גישה למידע רגיש
- לוגים: כל גישה למידע מתועדת
2.2 הכשרה ומודעות
- הכשרה שוטפת לעובדים על אבטחת מידע
- מדיניות אבטחה ברורה לכל העובדים
- תרגילי אבטחה תקופתיים
- מודעות לנושאי אבטחה
2.3 נהלי עבודה
- נהלי עבודה מאובטחים לכל פעולה
- בקרת גרסאות לכל שינוי בקוד
- בדיקות אבטחה לפני כל עדכון
- תכנית התאוששות מאסון (Disaster Recovery)
3. נהלי גיבוי ושחזור
3.1 תדירות גיבויים
- גיבויים יומיים: גיבוי מלא של כל הנתונים מדי יום
- גיבויים שבועיים: גיבוי ארוך טווח מדי שבוע
- גיבויים חודשיים: גיבוי ארכיון מדי חודש
3.2 אחסון גיבויים
- גיבויים מאוחסנים במיקומים גיאוגרפיים שונים
- גיבויים מוצפנים
- בדיקות שחזור תקופתיות
- שמירה למשך 7 שנים (לפי חוקי חשבונאות)
3.3 זמן שחזור
אנו מתחייבים לשחזר נתונים תוך 4 שעות ממועד זיהוי הבעיה (RTO - Recovery Time Objective).
4. נהלי דיווח על פרצות אבטחה
4.1 דיווח פנימי
אם זיהינו פרצת אבטחה, נטפל בה מיידית ונודיע לרשויות הרלוונטיות תוך 72 שעות (לפי GDPR).
4.2 דיווח למשתמשים
אם פרצת אבטחה עלולה להשפיע על המשתמשים, נודיע להם תוך 48 שעות עם פרטים על:
- מה קרה
- איזה מידע נחשף (אם רלוונטי)
- מה עשינו כדי לטפל בבעיה
- מה המשתמשים צריכים לעשות
4.3 דיווח לרשויות
נדווח לרשות הגנת הפרטיות הישראלית תוך 72 שעות ממועד זיהוי הפרצה.
5. אחריות המשתמש
5.1 שמירה על סודיות
המשתמש אחראי לשמירה על סודיות פרטי הגישה שלו:
- סיסמה חזקה וייחודית
- אי-שיתוף פרטי גישה עם אחרים
- התנתקות מהחשבון בסיום השימוש
- שימוש באימות דו-שלבי (אם זמין)
5.2 דיווח על פעילות חשודה
אם זיהיתם פעילות חשודה בחשבון שלכם, אנא דווחו לנו מיידית:
- אימייל: security@ycommunity.co.il
- טלפון: 03-1234567 (24/7)
6. תקנים ותקנות
6.1 תקנות ישראליות
- תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017
- חוק הגנת הפרטיות תשמ"א-1981
- תקן ישראלי ת"י 17799 - ניהול אבטחת מידע
6.2 תקנים בינלאומיים
- ISO 27001: מערכת ניהול אבטחת מידע
- GDPR: תקנות הגנת נתונים אירופיות
- PCI DSS: תקן אבטחה לתשלומים (אם רלוונטי)
7. בדיקות אבטחה
7.1 בדיקות תקופתיות
- בדיקות חדירות: מדי רבעון
- סריקות אבטחה: מדי חודש
- בדיקות קוד: לפני כל עדכון
- ביקורות אבטחה: מדי שנה
7.2 ניטור מתמיד
- ניטור 24/7 של פעילות חשודה
- מערכת התראות אוטומטית
- ניתוח לוגים שוטף
- מעקב אחר איומים חדשים
8. יצירת קשר בנושא אבטחה
לשאלות או דיווחים בנושא אבטחה:
- אימייל אבטחה: security@ycommunity.co.il
- טלפון חירום: 03-1234567 (24/7)
- כתובת: רחוב הטכנולוגיה 123, תל אביב, ישראל
8.1 דיווח על פרצות (Responsible Disclosure)
אם מצאתם פרצת אבטחה, אנא דווחו לנו באופן אחראי. נטפל בפרצה מיידית ונודה לכם על הדיווח.
📅 עדכון אחרון
מדיניות אבטחת מידע זו עודכנה לאחרונה ב-1 בינואר 2025 ותואמת במלואה לתקנות הגנת הפרטיות (אבטחת מידע) הישראליות.