כל-קליט
אבטחה, פרטיות וספקי משנה
דף זה הוא טיוטה תפעולית לפני ייעוץ משפטי ולפני שיחות ארגוניות. אין כאן ייעוץ משפטי.
גישת אבטחה (MVP)
- הפרדה בין ארגונים (tenant) ברמת הנתונים והקבצים.
- סיסמאות מאוחסנות כגיבוב חד-כיווני (bcrypt), לא בטקסט גלוי.
- בסביבת ייצור: HTTPS, גיבויים למסד נתונים (PostgreSQL) ולאחסון מצורפים.
- יומן ביקורת (audit) לפעולות משתמשים רלוונטיות במוצר.
ספקי משנה (עיבוד נתונים) — רשימה ראשונית
הרשימה משתנה לפי הגדרות הארגון (למשל הפעלת עוזר AI). יש לעדכן לפני חתימה עם לקוח או יועץ.
| ספק | מטרה | הערות |
|---|---|---|
| ספק הענן / הוסטינג (למשל Render) | הרצת האפליקציה, PostgreSQL, אחסון קבצים | נקבע בפריסה — יש למלא שם בפועל |
| Stripe (אופציונלי) | תשלומים, מנויים, פורטל לקוח | רק אם הוגדרו מפתחות Stripe בסביבה |
| OpenAI (אופציונלי) | הטמעות ושאילתות עוזר AI | רק אם הוגדר OPENAI_API_KEY |
| Google (Gmail API) | קריאת תיבת דוא״ל (מצורפים בלבד) בחיבור OAuth | רק אם ארגון מחבר Gmail בהגדרות דוא״ל נכנס |
| Microsoft (Graph API) | קריאת תיבת Outlook / Microsoft 365 (מצורפים בלבד) בחיבור OAuth | רק אם ארגון מחבר Microsoft בהגדרות דוא״ל נכנס |
| ספק דוא״ל (אופציונלי) | קבלת מצורפים לכתובת ייעודית | לפי הגדרת inbound בארגון |
| Google Cloud (Pub/Sub) — עתידי | התראות דחיפה לשינויים ב-Gmail (חלופה לסנכרון מתוזמן) | לא מופעל בייצור נכון לעכשיו; ראו מסמך GMAIL-PUSH-PUBSUB בקוד |
| Meta (WhatsApp Business) — עתידי | איסוף מסמכים דרך WhatsApp (אם ייושם) | לא מיושם נכון לעכשיו; ראו מסמך WHATSAPP-INGEST בקוד |
הסכם עיבוד נתונים (DPA)
לפני הרחבה ארגונית או שיתוף נתונים רגישים מחוץ לצוות הקרוב, יש להשלים תבנית DPA עם ייעוץ משפטי ולהחליף כאן פרטי קשר:
privacy@your-company.example
החליפו בכתובת אמיתית לאחר החלטת המוצר והמשפטים.