חזרה לדף הבית

אבטחת מידע

המידע שלכם מוגן בסטנדרטים הגבוהים ביותר בתעשייה

הצפנה מקצה לקצה

כל הנתונים מוצפנים ב-AES-256 במנוחה ו-TLS 1.3 בתעבורה. אף אחד מלבדכם לא יכול לגשת למידע.

תשתית SOC 2 Type II

השרתים שלנו עומדים בתקני האבטחה המחמירים ביותר, עם ביקורות חיצוניות תקופתיות.

אימות רב-שלבי (MFA)

שכבת הגנה נוספת לחשבון שלכם עם אימות דו-שלבי באמצעות SMS, אפליקציה או מפתח פיזי.

ניטור 24/7

מערכות איתור חדירות פועלות סביב השעון, עם התראות בזמן אמת על כל פעילות חשודה.

בדיקות חדירה תקופתיות

צוותי אבטחה חיצוניים מבצעים בדיקות חדירה באופן קבוע כדי לזהות ולתקן חולשות.

בקרת גישה מבוססת תפקידים

הרשאות גישה מדויקות לכל חבר צוות, כך שכל אחד רואה רק את מה שהוא צריך.

1. המחויבות שלנו לאבטחה

ב-Clario, אבטחת המידע שלכם היא בראש סדר העדיפויות. אנו מבינים שאתם סומכים עלינו עם נתוני המכירות, הלקוחות והביצועים הרגישים ביותר שלכם. לכן, אנו משקיעים משאבים משמעותיים בבניית תשתית אבטחה ברמה הגבוהה ביותר.

מדיניות האבטחה שלנו מבוססת על עקרונות ה-Zero Trust — לא מניחים אמון בשום ישות, פנימית או חיצונית, ללא אימות מתמשך.

2. הצפנת נתונים

כל פיסת מידע בפלטפורמה מוגנת בהצפנה מתקדמת:

  • במנוחה (At-Rest): הצפנת AES-256 על כל הנתונים המאוחסנים, כולל גיבויים ולוגים
  • בתעבורה (In-Transit): פרוטוקול TLS 1.3 לכל התקשורת בין הדפדפן לשרתים שלנו
  • מפתחות: ניהול מפתחות הצפנה באמצעות AWS KMS עם רוטציה אוטומטית
  • בסיס נתונים: הצפנה ברמת שדה (Field-Level Encryption) עבור מידע רגיש במיוחד

3. תשתית ואחסון

הפלטפורמה מתארחת על תשתית ענן מובילה העומדת בתקני האבטחה המחמירים ביותר:

  • SOC 2 Type II: ביקורת אבטחה מקיפה המאמתת בקרות אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות
  • ISO 27001: תקן בינלאומי לניהול אבטחת מידע
  • גיבויים: גיבויים אוטומטיים מוצפנים כל 6 שעות, עם שמירה ב-3 אזורי זמינות נפרדים
  • התאוששות מאסון: תוכנית DR מלאה עם RTO של פחות מ-4 שעות ו-RPO של פחות מ-6 שעות
  • הפרדת סביבות: סביבות פיתוח, בדיקות וייצור מופרדות לחלוטין

4. בקרת גישה ואימות

אנו מיישמים מדיניות בקרת גישה מחמירה ברמת הפלטפורמה והארגון:

  • אימות רב-שלבי (MFA): נדרש לכל המשתמשים ולצוות הפיתוח והתפעול שלנו
  • SSO: תמיכה ב-Single Sign-On עם SAML 2.0 ו-OAuth 2.0 ללקוחות אנטרפרייז
  • RBAC: בקרת גישה מבוססת תפקידים — כל משתמש רואה רק את הנתונים הרלוונטיים לתפקידו
  • מדיניות סיסמאות: דרישות מורכבות, רוטציה תקופתית וזיהוי סיסמאות שדלפו
  • הרשאות מינימליות: עקרון Least Privilege — צוות Clario מקבל גישה מינימלית הנדרשת לביצוע תפקידם בלבד

5. ניטור וזיהוי איומים

מערכות הניטור שלנו פועלות 24/7 לזיהוי ותגובה לאיומים:

  • SIEM: מערכת ניהול אירועי אבטחה המנתחת לוגים בזמן אמת מכל רכיבי המערכת
  • IDS/IPS: מערכות איתור ומניעת חדירות ברמת הרשת והאפליקציה
  • התראות: התראות אוטומטיות לצוות האבטחה על פעילות חריגה, עם זמן תגובה ממוצע של פחות מ-15 דקות
  • לוגים: שמירת לוגי גישה ופעילות למשך 12 חודשים לצורכי ביקורת ותחקור
  • WAF: חומת אש ייעודית לאפליקציות ווב להגנה מפני התקפות OWASP Top 10

6. אבטחת אינטגרציות

כאשר אתם מחברים מערכות חיצוניות ל-Clario, אנו שומרים על רמת אבטחה גבוהה:

  • OAuth 2.0: חיבור מאובטח ללא שמירת סיסמאות — אנו משתמשים רק בטוקנים מוגבלי הרשאה
  • הרשאות מינימליות: אנו מבקשים רק את ההרשאות ההכרחיות לתפקוד האינטגרציה
  • הצפנת טוקנים: כל טוקני הגישה מוצפנים ומאוחסנים בכספת מאובטחת (Vault)
  • ביטול גישה: ניתן לנתק כל אינטגרציה בלחיצה אחת, עם מחיקת הטוקנים מיידית

7. אבטחת AI ונתונים

מודלי הבינה המלאכותית שלנו מתוכננים עם אבטחה כעקרון מרכזי:

  • הפרדת נתונים: נתוני כל לקוח מבודדים לחלוטין — אף מודל AI לא חולק נתונים בין לקוחות
  • אנונימיזציה: נתונים המשמשים לשיפור מודלים עוברים אנונימיזציה מלאה ואגרגציה
  • Opt-out: ניתן לבקש שהנתונים שלכם לא ישמשו לאימון מודלים כלל
  • שקיפות: אנו מפרסמים מידע על סוגי הנתונים שנאספים ואיך הם משמשים בתהליכי ה-AI

8. בדיקות חדירה ותוכנית באגים

אנו מבצעים בדיקות אבטחה באופן קבוע ומזמינים את קהילת האבטחה לסייע:

  • בדיקות חדירה: בדיקות חיצוניות מקיפות לפחות פעם ברבעון, על ידי חברות אבטחה מוכרות
  • סריקות אוטומטיות: סריקות פגיעויות יומיות על כל רכיבי המערכת
  • Code Review: כל שינוי בקוד עובר סקירת אבטחה לפני פריסה
  • Bug Bounty: תוכנית דיווח על חולשות אבטחה עם תגמול — פנו אלינו ל-security@clario.co.il

9. תגובה לאירועי אבטחה

יש לנו תוכנית תגובה מפורטת לאירועי אבטחה (Incident Response Plan):

  • זיהוי: מערכות אוטומטיות מזהות אירועים תוך דקות
  • הכלה: פרוטוקולים להכלת האירוע ומניעת התפשטות
  • תקשורת: הודעה ללקוחות המושפעים תוך 72 שעות, בהתאם לדרישות GDPR
  • תחקור: ניתוח שורש הבעיה ויישום לקחים למניעת הישנות
  • תרגולים: סימולציות אירועי אבטחה פעם בחצי שנה

10. עמידה ברגולציה

Clario עומדת בתקנים ורגולציות אבטחה ופרטיות מובילים:

  • GDPR: עמידה מלאה בתקנת הגנת המידע של האיחוד האירופי
  • חוק הגנת הפרטיות: עמידה בחוק הגנת הפרטיות הישראלי, התשמ"א-1981
  • CCPA: עמידה בדרישות חוק הפרטיות של קליפורניה
  • SOC 2 Type II: ביקורת שנתית על בקרות אבטחה ותפעול
  • ISO 27001: מערכת ניהול אבטחת מידע מוסמכת

11. אבטחה ברמת הלקוח

מומלצות הפעולות הבאות לחיזוק האבטחה בחשבונכם:

  • • הפעילו אימות רב-שלבי (MFA) לכל המשתמשים בצוות
  • • השתמשו בסיסמאות חזקות וייחודיות (לפחות 12 תווים עם אותיות, מספרים וסמלים)
  • • סקרו את הרשאות המשתמשים באופן קבוע והסירו גישה של עובדים שעזבו
  • • בדקו את לוג הפעילות של החשבון מעת לעת
  • • דווחו על כל פעילות חשודה מיידית לצוות התמיכה שלנו

12. יצירת קשר בנושאי אבטחה

לשאלות, דיווחים על חולשות אבטחה או בקשות מידע:

Clario — צוות אבטחה

דיווח על חולשות: security@clario.co.il

שאלות אבטחה כלליות: support@clario.co.il

קצין הגנת מידע: dpo@clario.co.il

לדיווחי אבטחה דחופים, אנא פנו ל-security@clario.co.il עם הנושא "URGENT". אנו מתחייבים לתגובה ראשונית תוך 24 שעות.