מדיניות אבטחת המידע והגנת הפרטיות

כללי

iForms מכבדת את פרטיות הלקוחות ומחויבת להגן על המידע האישי שנמסר על ידם ונשמר אצלה.

מומלץ לקרוא מסמך מדיניות זה במלואו, ובמידה שמתעוררת שאלה – ניתן ליצור קשר בכתובת הדוא"ל: [email protected] או בטלפון: 077-6048515.

המדיניות עשויה להשתנות בהתאם לדינמיות של הטכנולוגיה ופעילות החברה. במידה ונשנה באופן מהותי את אופן השימוש או השיתוף במידע האישי שנאסף מהלקוח במסגרת שרותינו, יפורסם הדבר באתר ובהפצה בדוא"ל לכל לקוחותנו.

 

תשתית ופעולת המערכות

החברה עושה שימוש בשרתים וירטואליים המתארחים בחוות מחשבים של ספקים בישראל ו/או באירופה, המספקת, בין היתר:

  • שירות ניטור של המשאבים והתרעה בדוא"ל על חריגה מהשגרה - הודעת מערכת לדוגמה: "CPU is running low", וכדומה.      
  • בשרתים מותקנים מערכת הפעלה בקוד פתוח לינוקס לשרתים/ענן (Ubuntu server), ורכיבים נוספים - בסיס נתונים (Data Base), שרת רשת (web), לרבות חומת אש (Fire Wall) לאבטחת המידע וכדומה.
  • הגישה לשרת החברה אפשרית רק באמצעות אימות בין מפתח פרטי הנמצא פיזית בהנהלת החברה, לבין מפתח ציבורי הנמצא פיזית על גבי השרת.
  • הנתונים מהטפסים שמתקבלים  מהלקוחות מאוחסנים כשהם מוצפנים ב-DB, ופריצה למסד הנתונים תציג מחרוזות טקסט חסרות משמעות.
    ההצפנה הינה סימטרית – קרי, על מנת שניתן יהיה לבצע על הנתונים פעולות שונות (עיבוד, יצוא לאקסל וכדומה) קיים מפתח המאפשר לבצע פענוח (decryption) לנתונים, אשר  מוצפן  באמצעות תוכנת הצפנה.
    הנתונים שהתקבלו מלקוחות מאוחסנים במסד הנתונים (Data Base) עד למחיקתם, אלא אם כן נדרש לפני כן ע"י הלקוח להחזירם אל מערכותיו לשם תפעולן (למשל - עדכון ה-Customers Relations Management של לקוח באמצעות Application Programming Interface ייעודי).
    הרשאת הגישה אשר ניתנת בידי החברה ללקוח מאפשרת לו  בכל עת למחוק את נתוניו.

קבצים נלווים ל-Data, בפורמט ויזואלי - PDF או אחר - אלה נשמרים בשרת S3 של חברת Amazon באירלנד - בעל שרידות של 99.9% בנפח אחסון שנרכש מהספק AWS Hybrid Cloud Solutions, אשר הגישה אליו מוגבלת.
ניתן להגביל את הגישה לקבצים אך ורק לרשימה בלעדית וסגורה של כתובות  IP בחברה.
ספק זה עומד בתקנים מחמירים של אבטחת מידע - PCI-DSS, HIPAA/HITECH, FedRAMP תקנות הגנת המידע של האיחוד האירופי (GDPR) ו- FISMA, ומאפשר לחברה וללקוחות להיענות לדרישות הרגולציה החלות. כמו כן, הספק תומך במספר יכולות ביקורת לפיקוח על בקשות הגישה למשאבי ה-S3 של החברה.
פרטים נוספים ראה באתר האינטרנט של AWS, ביחס לניהול הגישה למידע ואבטחתו בכתובת: https://aws.amazon.com/s3/features/#Access_management_and_security, וביחס לציות AWS בכתובת: https://aws.amazon.com/compliance.

 

איסוף מידע מלקוחות

החברה עשויה לאסוף ולקבל מידע אודות הלקוח בשירות ממקורות שונים לצורך מתן שרות יעיל ואיכותי, למטרות הבאות:

  • הפעלה מיטבית -שימור ושיפור הביצועים והשימוש בהם, וכן מחקר ופיתוח מוצרי החברה.
  • הגנה על האבטחה והבטיחות של המערכות והגנת המידע של החברה והלקוח.
  • אספקת תמיכה טכנית אפקטיבית ללקוח.
  • דיווח על ביצועים עסקיים של החברה למוסדות ו/או רשויות מוסמכות, במידת הצורך.

בנוסף, עשוי להיאסף מידע עקיף במהלך השימוש בשירותינו באופן אוטומטי, המאפשר לשרתי החברה זיהוי/אימות הלקוח/לקוח המסוים והעדפותיו:

  • תכונות ציוד הקצה - כתובות פרוטוקול אינטרנט (IP), סוג דפדפן ומערכת הפעלה, ספק שירותי אינטרנט (ISP), מיקום גאוגרפי, פרטי עמודי הפניה/יציאה/נחיתה, ונתוני הקלדה.
  • מדדי הפעלה במערכת המחשוב שלו בזמן השימוש בשירותינו - עומס על המעבד והזיכרון, קיבולת האחסון וכדומה.
  • גישות אל מערכות החברה – ניהול יומן פעילות (Log) ו/או אירועי הפעלה ואבטחה חריגים - זהות הלקוח, תאריך/שעה ומשך ניסיון הגישה, רכיב המערכת שאליו ניסו לגשת, סוג הגישה, היקפה, ואם הגישה אושרה/נדחתה/תקולה.
  • מידע הכלול במסרים שהלקוח שולח לחברה בדוא"ל או בפורטל המערכת – לרבות תוכן המסר וה-Metadata.

החברה מספקת ללקוחותיה פלטפורמה ממוחשבת תפעולית ומובהר בזאת כי אינה מודעת, ואף לא חייבת להיות מודעת, לתוכן או לסוג המידע שהלקוח מזין - מידע זה עשוי להיחשב אישי או רגיש, ע"פ הגדרות החוק להגנת הפרטיות, תשמ"א-1981 (להלן - החוק) ו/או תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (להלן – התקנות), וכולל, בין היתר, מידע ישיר שלקוח מספק דרך חשבונו בעת הרישום – לרבות שם, מספר זיהוי, כתובת, טלפון/פקס, דוא"ל, כרטיס אשראי/פרטי בנק. כמו כן, נתוני תוכן ארגוני הנמסר לעיבוד/אחסון אצלנו במסגרת הסכם השירות, בהסכמה מודעת מראש.

החברה מסתמכת על כך שפעולות הלקוח הן כדין ובהרשאה מלאה כדין, והלקוח מסכים בחתימה על הסכם השירות עמה  שהיא אינה אחראית בשום צורה לשימוש לרעה העלול להיעשות בפלטפורמה שהיא מספקת ללקוח. במידה שלקוח המשתמש בשירותי החברה אוסף או מעבד נתונים אישיים עליו לפעול בכפוף להוראות החוק והתקנות, למען הסר ספק - הלקוח יהיה אחראי לאיסוף כחוק של המידע שבבעלותו, העיבוד והשימוש בו ולדיוק הנתונים האישיים, כמו גם לשמירת זכויותיהם של האנשים הנוגעים בדבר, כמפורט להלן:

  • במידה שנדרש כחוק, הלקוח יודיע לאנשים הנוגעים בדבר לגבי עיבוד המידע האישי שלהם על ידי החברה, ולקבל את הסכמתם במידת הצורך.
  • הנתונים האישיים שיעובדו על ידי החברה מטעם הלקוח עשויים לכלול, למשל - נתונים אישיים של עובדי הלקוח ו/או לקוחות הקצה של הלקוח, כגון פרטי קשר וכדומה.
  • בחתימה על הסכם שירות עם החברה הלקוח מאשר כי, בשל אופי השירות, לחברה אין חובה ולא יכולת לאמת נתונים אישיים שהלקוח מעביר אליה לצורך עיבוד במסגרת השימוש בשירותיה.
  • הלקוח מצהיר כי הוא רשאי כדין להעביר את הנתונים האישיים לחברה על מנת שתעבד אותם עבורו בהתאם להסכם זה.
  • החברה מצהירה כי לא תשתמש בנתונים האישיים שהתקבלו מן הלקוח למטרה אחרת מלבד מתן השירות לו וכי אינה בעלת זכויות אחרות במידע זה - החברה מתחייבת שלא לגלות ולא למכור את המידע האישי האמור לצד שלישי כלשהו ללא הסכמת הלקוח מראש ובכתב.
  • החברה תעבד נתונים אישיים אך ורק בהתאם להסכם זה וע"פ הוראות מתועדות מהלקוח – בתנאי שיהיו סבירות מבחינה מסחרית ובהתאם להוראות כל דין רלבנטי להגנת המידע והסכם זה.
  •  יובהר, כי החברה אינה מחויבת בשום צורה או אופן לאמת אם הוראות שניתנו על ידי הלקוח תואמות את החוקים החלים, והלקוח מקבל עליו את מלוא האחריות על ציות להוראותיהם - עם זאת, במידה שהחברה תגלה שהוראת הלקוח אינה תואמת את דרישות החוק ביחס לפעולותיה, היא מתחיבת להודיע על כך ללקוח בכתב.
  • החברה והלקוח מסכימים, כי ינקטו באמצעי אבטחה טכניים וארגוניים מתאימים להגנה על המידע האישי שבתחום אחריותם על מנת להגן עליו מפני גישה או עיבוד שאינם מורשים או שאינם חוקיים, או מפני אובדן/הרס או נזק בשוגג. אמצעים אלה יהלמו את חומרת הסיכון וסבירות התממשותו כפי שנאמדים בפרקטיקה טובה ובהתאם להיקף ורגישות המידע, דרישות החוק,  הקשר ומטרת העיבוד, ויכללו, בין היתר:

         - בקרת הרשאות הגישה למערכות המאגרים המכילים נתונים אישיים.

         - אנונימיזציה והצפנה של נתונים פרטניים – כדי למנוע זיהוי או חשיפה של מידע רגיש אודות
            אנשים הכלולים במאגר.

         - הבטחת סודיות, שלמות, זמינות והמשכיות/שרידות מערכות ושירותי עיבוד ואחסון.

         - שחזור זמינות מערכות המידע והגישה לנתונים אישיים בטווח זמן רצוי/נאות במקרה של כשל פיזי/טכני.

         - מנגנון ארגוני מתמשך/תקופתי לביקורת והערכת יעילותם של האמצעים הטכניים והארגוניים.

  • מעל האמור, החברה והלקוח מסכימים, כי יעמדו בתקנת האיחוד האירופי בנושא הגנה על אנשים טבעיים (Natural Persons) בכל הנוגע לעיבוד ו/או לתנועתם של נתונים אישיים על תושבי האיחוד, נוסף על כל הוראות והנחיות הרשויות המקומיות להגנת המידע.

במידה והלקוח מוסר פרטים של אדם אחר בשמו או מטעמו - מחובתו ליידע את האחר מראש על מסירת הפרטים לחברה, ולקבל את הסכמתו לכך שהמידע אודותיו ישמר במאגריה בהתאם למדיניות פרטיות זו.

למען הסר ספק - החברה לא תסחר במידע של הלקוחות ולא תעבירו לצד שלישי ללא ידיעתם ואישורם מראש, ואיסופו מותנה בכך שישמש למטרות תפעוליות הנחוצות למתן שירות מיטבי.

 

העברת מידע לצד ג' בארץ/חו"ל

מידע המתקבל מלקוח עשוי להיות מועבר אל גורם שלישי, כאשר הדבר מותר מבחינה חוקית – חלק מהלקוחות בענן מהווים חשבון צד ג' שהחברה עשויה לקשר במידת הצורך ובאופן זמני אל ספק האירוח לעיבוד/אחסון שלה, וכן החברה עשויה לשתף מידע מצטבר על שימוש ולקוח עם ספק באופן מותמם (שלא ניתן באמצעותו באופן סביר לזהות את הלקוח).

יובהר כי החברה רשאית באופן חוקי לגלות מידע ו/או להעביר בדרך אחרת לכל רוכש, יורש או זוכה פוטנציאלי, במסגרת כל הצעה למיזוג, רכישה, מימון חוב, מכירת נכסים, או עסקה דומה. כמו כן, הדבר ניתן במקרה של חדלות פירעון, פשיטת רגל או כינוס בו מידע מועבר לרשויות מוסמכות ו/או צדדים שלישיים והלאה, במקרה שהמדובר באחד מהנכסים העסקיים.

בכפוף לחובה חוקית של גילוי מידע, אנו עשויים גם לשתף מידע בנוסף:

  • כדי לציית לכל דין/תקנה/הליך משפטי או בקשה רלבנטית של רשות מוסמכת.
  • כדי לאכוף את מדיניות הפרטיות ואת תנאי השירות שלנו -כולל חקירה של הפרה אפשרית – כדי לגלות, למנוע או לטפל בהונאה או תקלה בטכנולוגיה או באבטחה.
  • כדי להגן על זכויות/קניין/ביטחון של החברה ו/או הלקוח ו/או הציבור הרחב - כולל החלפת מידע עם ארגונים אחרים למניעת הפצה של Spam ותוכנות זדוניות.

 

אבטחת המידע

החברה מחויבת להגן על מידע של הלקוח/לקוח, ונוקטת לשם כך במגוון טכנולוגיות ואמצעי אבטחה שנועדו להגן על מערכותיה מפני גישה, שימוש או חשיפה בלתי מורשים – הללו נועדו לספק רמת אבטחה סבירה בהתאם לסיכון המוערך בעיבוד/אחסון המידע האישי שלך, אך יודגש, כי לא ניתן להבטיח באינטרנט רמת בטחון של 100%.

 

להלן האמצעים העיקריים שנוקטת החברה במערכותיה, לאבטחת המידע במאגריה:

  • סקר הסיכונים העיקריים של פגיעה בשלמות ובמהימנות המידע הנובעים ממבנה המערכות ואמצעי התקשורת (אחת לשנתיים) – כמו כן, עריכת מבדק חדירות/ביקורת תקופתית לווידוא קיומם ותקינותם של אמצעי האבטחה.
  • איומי הייחוס העיקריים בראיית החברה הם – גניבה/דלף מידע רגיש ו/או שיבוש זדוני/בשגגה של שלמות, תקינות ומהימנות הנתונים השמורים.
  • הפעלת אמצעים מתקדמים במערכות מאגריה, למניעת שיבוש נתונים או דלף מידע (בזדון או בשגגה) – לפחות מנגנון הצפנה מקובל בתקשורת הנתונים, FireWall ו-AntiVirus, בכל שכבה טכנולוגית מהותית (חומרה, תוכנה, הפעלה, רשת/תקשורת ואבטחה).
  • אכיפת הנחיות לעניין אופן ביצוע פעולות פיתוח במערכות ובמאגר ותיעודן - בכלל זה הגבלת הגישה של אנשי הפיתוח לנתוני אמת במאגר באופן מבוקר ולצרכי השירות או הלקוח, ושימוש במתודולוגיה לפיתוח מאובטח בהתאם לפרקטיקה הטובה בתחום.
  • הוראות למורשים לגישה למאגר ולמערכות לצורך הגנה על המידע – מדיניות סיסמאות, ניתוק לאחר פרק זמן ללא פעילות, הדרכה ראשונית/תקופתית, ניהול השימוש בהתקנים ניידים/ מרוחקים וכדומה.
  • גיבוי המערכות והנתונים (DATA והגדרות הפעלה/אבטחה), לרבות ביצוע מתועד של ניסוי ותרגול של שחזור, וקיום צוות ונוהל של Business Continuation Program/Disaster Recovery Program – החברה עומדת בפועל ביעד זמן של עד 24 שעות לאחזור מערכת ומאגר פעילים אצל הלקוח, למעט במקרים של פגיעת כוח עליון.
  • בקרה מתמדת על השימוש במאגר, לרבות תיעוד הגישה למערכות (Log), שאינו מאפשר ביטול או שינוי של הפעלתו ומתריע בפני מנהל האבטחה על ניסיון לכך - קיים נוהל בדיקה שגרתי של נתוני התיעוד במנגנון הבקרה הנשמרים 24 חודשים לפחות, לרבות עריכת דוח של הבעיות שהתגלו וצעדים שננקטו בעקבותיהן.
  • מעל האמור, לקוח יכול במידת הצורך להקשיח את הגישה למערכות המאגר - הגבלת הגישה מכתובות IP ספציפיות ברשת שלו, או ניתוק לאחר מספר ניסיונות כושלים שהוגדר.

אחסון ושמירת נתונים מן הלקוחות

יובהר בזאת כי הלקוח הוא בעל המאגר והמידע בו – עם זאת, החברה שומרת מידע אישי הנאסף מן הלקוח/לקוח כאשר קיים צורך עסקי לגיטימי ומתמשך לעשות זאת, למשל כדי לספק לו שירות מבוקש או לעמוד בדרישות חוק, מיסוי או חשבונאות החלים.

כאשר אין עוד צורך בשמירת המידע האישי כאמור החברה תאחסן אותו באופן מאובטח ומבודד מכך עיבוד נוסף עד למחיקה אפשרית, כמפורט:

  • בסיום העיבוד - יועבר תוכן המידע מן המאגר ללקוח בספריית קבצים בפורמט מקורי/ויזואלי שהופק, וכן בקובץ אקסל/נתונים מרכזי.
  • מיד עם העברת התוכן חזרה ללקוח - יימחקו מידית מאחסון החברה כל הקבצים הנלווים/הסרוקים לטפסים.
  • לאחר 3 חודשים נוספים - יימחקו גם קובצי הנתונים מאחסון החברה, להבטחת עמידת הלקוח והחברה כאחד בהוראות כל דין ובפרקטיקה הטובה של אבטחת המידע והגנת

 

זיהוי ואימות גישת המשתמש

לקוח רשום יכול לגשת למידע מסוים המשויך לחשבונו ע"י כניסה לשירותי החברה במערכת באמצעות שם משתמש וסיסמה (לא במנגנון 2 Factor Authentication) - כדי להגן על פרטיותו וביטחונו, אנו עשויים לנקוט בצעדים סבירים כדי לאמת את זהותו בטרם ישנה או יסיר נתונים בגדר המידע שלו.

מעל האמור, המידע שנמסר לחברה עשוי להישמר בארכיון או באחסון מעת לעת ע"פ תהליכי גיבוי המתנהלים במהלך העסקים הרגיל למטרות המשכיות עסקית והתאוששות מאסון – מובהר ומוסכם בזאת, כי היכולת לגשת אל המידע עשויה להיות מוגבלת באופן זמני מפאת תקלה טכנית במערכות החברה, ועשויה לעכב את יכולת החברה אף לעמוד בהתחייבות משפטית.

 

גיבויים

ספקי החברה מבצעים גיבוי נתונים מלא אחת לשבוע.

בנוסף, בשרת פיזי בהנהלת החברה מבוצע גיבוי יומי של כלל נתוני המערכות לקובץ, אשר מגובה בעצמו אחת לשבוע אל דיסק קשיח חיצוני אשר נשמר בכספת במיקום אחר - אחת לשבוע מבוצע בחברה תרגול של שיחזור הנתונים.

 

זכויות הגנת נתוני המידע בתקנה הכללית להגנת מידע של האיחוד האירופי (GDPR)

אם ברצון לקוח לצפות, לתקן, לעדכן או לבקש מחיקה של המידע האישי שלך – הוא זכאי לפנות לחברה בכל עת, באמצעות הדוא"ל: [email protected].

בנוסף, לקוח רשאי להתנגד לעיבוד המידע האישי שלו, לבקש מהחברה להגביל את עיבוד המידע האישי שלך, או לבקש ניוד של המידע האישי שלו – וניתן לממש זאת באמצעות משלוח דוא"ל אל: [email protected].

זכותו של הלקוח לבטל את הסכמתו לתקשורת שיווקית שהחברה שולחת אליו בכל עת, ויכול לממש זכות זו ע"י לחיצה על קישור "ביטול הרשמה"/"ביטול הסכמה" בגוף הודעות הדוא"ל השיווקיות שהוא מקבל, וכן באמצעות פניה לדוא"ל: [email protected].

באופן דומה, גם אם החברה אוספת ו/או מעבדת מידע אישי של לקוח בהסכמתו, הוא רשאי לחזור בו ממנה בכל עת – הדבר לא ישפיע על החוקיות של כל עיבוד שהחברה ביצעה לפני ביטול ההסכמה, וגם לא תשפיע על עיבוד מידע אישי שלו שבוצע בהסתמך על עילות עיבוד כדין שאינן הסכמה.

לקוח הסבור שנפגעו זכויותיו, זכאי להתלונן בפני רשות להגנת פרטיות בדבר איסוף המידע האישי שלו והשימוש שנעשה בו.

מידע נוסף ראה באתר הנציבות האירופית, בכתובת: https://ec.europa.eu/info/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules/eu-data-protection-rules_en.

 

העדפות פרטיות אישיות

לקוח יכול להשתמש בחלק מתכונות השירותים של החברה מבלי להירשם, ובכך להגביל את סוג המידע האישי שעשוי להיאסף אודותיו. 

לדפדפנים רבים יש אפשרות להשבית את ה-cookies – הדבר עלול למנוע קבלת cookies חדשים, או לאפשר שימוש סלקטיבי ב-cookies. יצוין, כי במידה שתבחר בכך יתכן שתכונות מסוימות וההתאמה האישית של שירותי החברה לא יפעלו עבור. כמו כן, הלקוח עשוי להמשיך לקבל חומר פרסומי אך הוא לא יהיה מותאם לצרכיו.

 

פרטיות ילדים

החברה אינה אוספת ביודעין מידע מילדים מתחת לגיל 13, אשר עליהם נאסר להשתמש בשירותיה.

אם נודע ללקוח כי ילד סיפק לחברה מידע אישי תוך הפרה של מדיניות פרטיות זו – עליו להתריע בדוא"ל לכתובת: [email protected].

 

העברות נתונים בינלאומיות

החברה היא עסק בינלאומי, ומידע אישי אשר מתקבל מהלקוח עשוי להיות מועבר למדינות אחרות, מלבד המקום בו נאסף במקור - יתכן כי במדינות אלה לא יחולו אותם חוקים להגנת נתונים כמו המדינה בה נמסרו בתחילה, אולם כאשר החברה תעביר מידע אישי של הלקוח למדינות אחרות היא מחויבת להגן עליו כמתואר במדיניות פרטיות זו.

 

העברת מידע בין האיחוד האירופי-ארה"ב ושוויץ-ארה"ב – תכנית מגן הפרטיות

עבור נתונים אישיים המתקבלים מן האיחוד האירופי ו/או שוויץ,  החברה אישרה את התאמתם במסגרת תכנית Privacy Shield - כפי שנקבעה ע"י משרד המסחר של ארה"ב ביחס לאיסוף, שימוש ושמירה של נתונים אישיים ממדינות אלה. למידע נוסף על הסמכת החברה רשימה מפורסמת, בכתובת: https://www.privacyshield.gov.

 

 

לכל שאלה, ניתן ליצור קשר, או בכתובת הדוא"ל: [email protected]

השאירו פרטים ונחזור אליכם בהקדם:

לאזור התוכן הראשי פרופיל חברה צרו קשר
פתיחת סרגל נגישות