1. הגדרות והקשרים
- בעל מאגר (Controller): HighIntent — האחראית על מטרות ואמצעי עיבוד הנתונים
- מעבד נתונים (Processor): ספקי תשתית (Vercel, Neon, Resend) — מעבדים נתונים בשם HighIntent
- תת-מעבד (Sub-processor): כל גורם שמורשה לעבד נתונים בשם המעבד
- נושא המידע (Data Subject): הליד — אדם שמידעו מעובד
2. ספקי תשתית (Sub-processors)
| ספק | תפקיד | מיקום |
|---|
| Vercel Inc. | אחסון אפליקציה, CDN | ארה"ב (SOC 2 Type II) |
| Neon Technologies | מסד נתונים PostgreSQL | ארה"ב (SOC 2) |
| Resend Inc. | שליחת מיילים | ארה"ב |
| Google LLC | אימות OAuth (אופציונלי) | ארה"ב (ISO 27001) |
| Microsoft Corp. | אימות OAuth (אופציונלי) | ארה"ב (ISO 27001) |
3. חובות HighIntent כבעל מאגר
- לעבד נתונים רק למטרות מוגדרות ומוסכמות
- להבטיח שעיבוד הנתונים חוקי ומבוסס על בסיס חוקי תקף
- לאפשר לנושאי המידע לממש את זכויותיהם
- לדווח על פרצות אבטחה תוך 72 שעות לרשות המוסמכת
- לנהל רישום פעולות עיבוד (ROPA)
4. אמצעי אבטחה טכניים
הצפנה בתקשורתTLS 1.3
הצפנת סיסמאותbcrypt 12 rounds
Session managementJWT httpOnly cookies
בקרת גישהRBAC — 6 תפקידים
Audit trailכל פעולה מתועדת
Rate limitingIP-based, 5 ניסיונות
Security headersCSP, X-Frame-Options ועוד
אימות דו-שלבי2FA זמין
5. הסכמי עיבוד עם קונים
כל חברת ביטוח שרוכשת לידים דרך המערכת נדרשת לחתום על הסכם עיבוד נתונים נפרד המגדיר:
- מטרת השימוש בנתונים (הצעת מחיר לביטוח בלבד)
- איסור מכירה/העברה לגורמי צד שלישי
- חובת מחיקה בתום חלון ההחזרה
- דרישות אבטחה מינימליות
6. מדיניות תגובה לאירועי אבטחה
- גילוי: זיהוי וניתוח האירוע תוך שעה
- הכלה: בידוד מיידי של המערכת הנפגעת
- דיווח: הודעה לנושאי מידע ולרשות תוך 72 שעות
- שחזור: חזרה לפעילות תקינה ותיעוד לקחים
דיווח על אירוע: security@highintent.co.il