אבטחת מידע

1. ארכיטקטורת אבטחה

המערכת בנויה כך שתספק שכבות הגנה מרובות:

• כל התקשורת מוצפנת בפרוטוקול HTTPS/TLS 1.2 ומעלה.
• סיסמאות נשמרות בצורה מוצפנת חד-כיוונית (Hashing) ולעולם אינן נחשפות לצוות אקובילד.
• אימות מבוסס Token (JWT) עם תפוגה ורענון.
• תמיכה בכניסה מאובטחת באמצעות ספקי זהות (OAuth) — בכפוף לזמינות.
• הפרדה לוגית של נתונים בין משתמשים באמצעות Row-Level Security במסד הנתונים.
• בקרת גישה מבוססת תפקידים (RBAC) להפרדת הרשאות אדמין/צוות/משתמש.

2. ספקי תשתית

אנו פועלים על תשתיות ענן מוכרות ומאובטחות (כגון Supabase, Cloudflare), בעלות הסמכות אבטחה בינלאומיות מקובלות (SOC 2, ISO 27001).

3. גיבויים ושחזור

מסד הנתונים מגובה אוטומטית באופן יומי. נהלי שחזור (Disaster Recovery) קיימים ונבדקים מעת לעת.

גיבויים נשמרים מוצפנים ולפרק זמן מוגבל בהתאם למדיניות הספק.

4. ניטור ולוגים

פעולות מערכת קריטיות (כניסה, שינויי הרשאות, גישת אדמין) מתועדות בלוג מבוקר. הלוגים נשמרים לתקופה מוגבלת ומשמשים לזיהוי אירועי אבטחה ולחקירה במקרה הצורך.

5. ניהול אירועי אבטחה

במקרה של חשד לאירוע אבטחה משמעותי שעלול להשפיע על נתוני משתמשים, אנו מתחייבים:

• להתחיל בחקירה תוך זמן קצר ככל הניתן.
• ליידע משתמשים שעלולים להיפגע באופן ישיר.
• לדווח לרשויות הרלוונטיות בהתאם לחוק.
• ליישם תיקונים ולתעד את ההליך.

6. אחריות המשתמש

גם מערכת מאובטחת מסתמכת על שיתוף פעולה של המשתמש. אנו ממליצים:

• להשתמש בסיסמה ייחודית, חזקה ומורכבת.
• להחליף את הסיסמה הזמנית הראשונית בהקדם.
• לא לשתף את פרטי החשבון עם אף אחד.
• להתנתק מהמערכת בסיום השימוש, במיוחד במחשבים משותפים.
• לדווח מיידית על כל פעילות חשודה בחשבון.

7. דיווח על פגיעויות (Responsible Disclosure)

אנו מעודדים חוקרי אבטחה ואנשי מקצוע לדווח על פגיעויות פוטנציאליות שגילו במערכת. דיווח אחראי יישלח לכתובת info@ecobuild.co.il עם פרטי הפגיעות, השלבים לשחזורה והשפעתה המשוערת.

אנו מתחייבים להגיב על דיווחים בזמן סביר, ולא לנקוט הליכים משפטיים נגד חוקרים הפועלים בתום לב ובהתאם לעקרונות גילוי אחראי.

8. שינויים במדיניות

אנו עשויים לעדכן את מדיניות האבטחה מעת לעת, בהתאם להתפתחויות טכנולוגיות ורגולטוריות. תאריך העדכון האחרון מצוין בראש המסמך.