top of page

Security

מדיניות האבטחה ב‑QWIC

דף זה מסביר כיצד אנו מגנים על הנתונים של לקוחותינו ומשתמשיהם בפלטפורמת QWIC. הגדרנו את הבקרות למטה כך שיהיו ברורות, ניתנות לבדיקה, ומכילות כיסוי על תשתית הענן, הצפנה, בקרות גישה, פיתוח מאובטח, גיבויים, תגובה לאירועים וניהול ספקים.

עדכון אחרון: 24‑09‑2025

  1. תקציר מנהלים

  • הגנת נתוני הלקוחות היא בראש סדר העדיפויות.

  • כל התקשורת מוצפנת, והנתונים הרגישים מאוחסנים בהצפנה חזקה.

  • הגישה למערכות מתבצעת על פי עקרון "הזכויות המינימליות הנדרשות".

  • קיימים גיבויים, תכניות התאוששות מאסונות ונהלים למענה לאירועים.

  • אנו פועלים בהתאם לחקיקה הכללית להגנת נתונים (GDPR) ולנהלי הפרטיות המפורטים במדיניות הפרטיות.

  1. תשתית ענן ואמינות

  • אירוח אצל ספק ענן מאושר (מרכזי נתונים מרובי אזורים, זמינות גבוהה, גיבוי אוטומטי).

  • הפרדה בין סביבות פיתוח, בדיקה וייצור.

  • שימוש בקונטיינרים ושירותים מנוהלים לצמצום שטח הסיכון ולהקלת עדכוני אבטחה.

  • ניטור מתמשך של ביצועים, בריאות המערכת ומעקב אחר מצב השירות (SLA).

  1. הצפנה וניהול מפתחות

  • בעת העברה: TLS 1.2 ומעלה עם handshake מאובטח ומינימום חוזק הצפנה של 128‑bit, עם העדפה ל‑256‑bit.

  • בעת אחסון: הצפנת AES‑256 לנתונים בבסיסי הנתונים, בגיבויים ובתמונות אחסון.

  • ניהול מפתחות: באמצעות KMS של ספק הענן, עם סיבוב תקופתי של המפתחות והגבלת גישה אליהם תוך שמירת יומני ביקורת.

  1. אימות ובקרת גישה

  • SSO/SAML/OIDC אופציונלי ללקוחות ארגוניים.

  • 2FA/MFA עבור חשבונות צוות QWIC וחשבונות מנהלים של הלקוחות.

  • הרשאות מבוססות תפקידים (RBAC) לפי עקרון "ההרשאה המינימלית הנדרשת".

  • ניתוק אוטומטי של סשנים לא פעילים, הגבלת ניסיונות כניסה ו-CAPTCHA במקרה של חשד.

  1. אבטחת רשת ויישומים

  • WAF וחומות אש: מניעת הכנסת כתובות ברשימות שחורות והגבלת קצב בקשות (Rate-Limiting).

  • הגנה מפני DDoS: באמצעות ספק הענן ו/או רשת הפצת תוכן (CDN).

  • סינון קלט קפדני: הגנה מפני SQLi, XSS, CSRF, SSRF, RCE.

  • כותרות אבטחה בדפדפן: HSTS, X-Content-Type-Options, X-Frame-Options, CSP.

  • בידוד לוגי של נתוני הלקוחות (Tenant Isolation).

  1. מחזור חיי פיתוח מאובטח (SSDLC)

  • ביקורת קוד חובה ובדיקות SAST/DAST אוטומטיות.

  • עדכוני אבטחה שוטפים לספריות וחבילות מערכת (Dependabot או דומה).

  • סביבת בנייה/פריסה אוטומטית (CI/CD) עם חתימה ואימות של תמונות הקונטיינרים.

  • בדיקות Pen-Test תקופתיות על ידי צד שלישי; תוצאות הטיפול מנוהלות במסגרת ניהול פגיעויות רשמית.

  1. ניהול פגיעויות ותיקונים

  • סריקה אוטומטית תקופתית של פגיעויות בתשתית ובתלותות תוכנה.

  • דירוג CVSS וקביעת סדרי עדיפויות לטיפול לפי חומרה.

  • חלונות תחזוקה מתוכננים לעדכונים קריטיים.

  • תוכנית דיווח אחראי (Responsible Disclosure) – ראו «דיווח על פגיעות».

  1. יומני ביקורת וניטור

  • רישום ניסיונות כניסה, שינויים רגישים, פעולות מנהליות ואירועי אבטחה.

  • שמירת היומנים בהתאם למדיניות שמירת הנתונים, עם הגנה מפני מניפולציה.

  • התראות מיידיות בעת איתור אינדיקטורים לפריצה (IoC) או פעילות חריגה.

  1. גיבוי והתאוששות מאסונות

  • גיבויים יומיים/רב‑נקודתיים עם הצפנה ושכפול באזורים שונים.

  • בדיקות שחזור תקופתיות כדי לוודא את תקינות הגיבויים (Restore Drills).

  • יעדים: RPO ≤ 24 שעות, RTO ≤ 4 שעות (ניתנים להתאמה בחוזים ארגוניים).

  1. תגובה לאירועים (IR)

  • צוות תגובה ייעודי עם נהלים מתועדים: זיהוי, כליאה, סילוק, התאוששות ולמידת לקחים.

  • הודעת הלקוח על אירועים המשפיעים על נתוניו במסגרת זמן סבירה ובהתאם לדרישות החוזה והחוק.

  1. פרטיות וציות

  • עיבוד הנתונים בהתאם למדיניות הפרטיות ולהסכם עיבוד הנתונים (DPA) לפי בקשה.

  • תמיכה בזכויות הפרט (גישה, תיקון, מחיקה) דרך ערוצי התמיכה.

  • איסוף מינימלי של הנתונים הנדרשים בלבד (Data Minimization).

  • אפשרות לקביעת מיקום גיאוגרפי של הנתונים/שמירתם בהתאם להסכם עם הלקוח.

  1. אינטגרציות צד שלישי ו‑APIs

  • בעת חיבור לערוצים כמו WhatsApp/Instagram/Facebook או CRM‑ים (Salesforce/HubSpot/Zoho…):

    • אנו עומדים במדיניות האבטחה והפרטיות של השירותים הללו.

  • מפתחות גישה וטוקנים נשמרים מוצפנים, עם חידוש תקופתי והרשאות מוגבלות.

  • אין שימוש בנתוני צד שלישי מעבר למטרת השירות שהוסכמה.

  1. תפקידים ואחריות הלקוח

  • הפעלת MFA/SSO עבור חשבונות הצוות שלו.

  • ניהול תפקידי המשתמשים ובדיקתם באופן תקופתי, וביטול גישה למי שעוזב את הצוות.

  • הגדרת תקופות שמירת נתונים ומדיניות פרטיות בלוח הבקרה שלו.

  • שמירה על סודיות פרטי האינטגרציה (Tokens/Webhooks) והחלפתם במקרה של חשד.

  1. שמירת נתונים ומחיקה

  • הנתונים נשמרים בהתאם להגדרות הלקוח או להסכם.

  • מחיקה מאובטחת מתבצעת עם סיום הקשר או לפי בקשה מתועדת, כולל מחיקת גיבויים לאחר תום תקופת השמירה החוקית/הטכנית.

  • קיימת אפשרות לייצא את הנתונים בפורמט סטנדרטי לפני המחיקה.

  1. דיווח על פגיעות (Responsible Disclosure)
    אם גילית פגיעה — שלח את הפרטים ל‑security@qwic.ai כולל שלבי שיחזור (steps to reproduce) וההשפעה האפשרית.
    אין לנצל את הפגיעה או לגשת לנתונים שאינם שלך.
    נאשר קבלת הדיווח תוך 72 שעות ונעביר הערכת עדיפות ראשונית ותוכנית טיפול.
    ניתן לספק הצפנת PGP להודעות רגישות (המפתח הציבורי יסופק לפי בקשה).

16) شهادات ومعايير (خارطة طريق)
العمل وفق ضوابط ISO/IEC 27001 وممارسات SOC 2 (نوع 1/2) كخارطة طريق، مع مشاركة تقارير طرف ثالث عند توفرها تحت اتفاقية عدم إفصاح (NDA).
فحوصات أمنية سنوية من طرف مستقل، وتحديث سياسة الأمان بشكل مستمر.

  1. שאלות נפוצות מהירות

  • האם נתוני השיחות מוצפנים? כן, במהלך ההעברה והאחסון.

  • האם ל‑QWIC יש גישה לתוכן של לקוחותיי? רק בעת הצורך ולמטרות תמיכה/תחזוקה, עם הרשאות מוגבלות ויומני ביקורת.

  • האם ניתן לבחור מיקום אחסון הנתונים? זמין ללקוחות ארגוניים לפי חוזה וזמינות אזורית.

  • לכמה זמן נשמרים הגיבויים? כברירת מחדל 30–90 יום (ניתן להתאמה).

  1. יצירת קשר בנוגע לאבטחה

הערה משפטית: מדיניות זו מהווה חלק מהתחייבויות האבטחה של QWIC, אך אינה מהווה ערובה מוחלטת נגד כל הסיכונים. כל התחייבויות נוספות או רמות שירות מיוחדות מוגדרות בחוזה או בהסכם רמת השירות (SLA) החתום עם הלקוח.

bottom of page