חדש! הפקה מהירה של פוליסות הפניקס אינווסט, בלי בירוקרטיה, בלי מערכת טפסים

קבעו דמו
כניסת לקוחות
קבעו דמו

DPA

נספח פרטיות ואבטחת מידע זה ("הנספח") מהווה חלק בלתי נפרד מתנאי השימוש המהווים הסכם ההתקשרות (להלן "ההסכם") בין שורנס טכנולוגיות ג.מ בע"מ (Surense Technologies GM Ltd) ח.פ. 515963098 (להלן "החברה" או "נותן השירותים") למשתמש במערכת החברה (להלן "הלקוח") (כל אחד מהם, "צד" וביחד, "הצדדים").

1. הגדרות

1.1. "מידע" או "מידע אישי" פירושו נתון הנוגע לאדם מזוהה או אדם ניתן לזיהוי כהגדרתו בחוק הגנת הפרטיות.
1.2. "עיבוד" פירושו כל פעולה שמבוצעת על מידע אישי לרבות קבלתו, איסופו, אחסונו, העתקתו, עיון בו, גילויו, חשיפתו, העברתו, מסרתו או מתן גישה אליו, וכהגדרתו בחוקי הפרטיות.

1.3. "חוקי הפרטיות" יכללו את כל הוראות הדין העוסקות באיסוף, שימוש, העברה ושמירה של מידע אישי, לרבות, אך לא רק, חוק הגנת הפרטיות, תשמ"א-1981 ("חוק הגנת הפרטיות") על תיקוניו, התקנות שהותקנו מכוחו (לרבות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, וכן כל הנחיה, פרסום או דרישה של הרשות להגנת הפרטיות ("הרשות").

1.4. "השירותים" פירושם השירותים שניתנים ללקוח על ידי נותן השירותים בהתאם להסכם.

2. הצהרות והתחייבויות נותן השירותים

נותן השירותים מצהיר ומתחייב כלפי הלקוח כדלקמן:

2.1. כי יפעל במסגרת מתן השירותים ללקוח ועיבוד המידע אישי בהתאם להוראות המפורטות בנספח זה ובחוקי הפרטיות.

2.2. כי הוא יעבד את המידע האישי של הלקוח הכולל פרטים מזהים, פרטי קשר, תאריכי לידה, מצב משפחתי, כתובות מגורים, מידע על מוצרי ביטוח, מוצרי פנסיה, השקעות וכיו"ב, מידע פיננסי וכלכלי, תשואות מסלולי השקעה, וכל מידע אישי נוסף שהלקוח מזין על לקוחותיו לרבות מידע משפחתי, מידע רפואי ובריאותי וכיו"ב, , אך ורק למטרות מתן השירותים על פי ההסכם ולצורך ניהול לקוחותיו.

2.3. כי המידע האישי וכל הזכויות הקשורות אליו (לרבות זכויות הקניין הרוחני), הינם, ויישארו בכל עת, בבעלותו הבלעדית של הלקוח.

2.4. כי יישם אמצעי אבטחה סביבתיים, פיזיים ולוגיים מספקים ומתאימים בהתחשב בסוג המידע האישי של הלקוח ובמידת רגישותו, וזאת לשם מניעת חדירה או גישה בלתי מורשית למידע האישי של הלקוח. מבלי לגרוע מהאמור, נותן השירותים מתחייב ליישם את אמצעי האבטחה המפורטים בסעיף ‏8 להלן.

2.5. כי הגישה למידע האישי תוגבל לאנשים מורשים בלבד, אשר יש להם צורך בגישה למידע לצורך לביצוע השירותים, וכי יישם אמצעים פיזיים וטכנולוגיים שיבטיחו גישה למידע למשתמשים המורשים בלבד.

2.6. נותן השירותים ינקוט צעדים סבירים להבטחת אמינותם של האנשים שלהם תהיה גישה למידע האישי של הלקוח, ויוודא כי: הם מודעים לאופי הסודי של המידע; קיבלו הכשרה מתאימה בנוגע לאחריותם; מחויבים להתחייבויות לשמירה על סודיות; לא יעשו שימוש במידע אלא לצורך ביצוע השירותים; וכן יפעלו בהתאם לאמצעי האבטחה המפורטים בנספח זה.

3. אירוע אבטחת מידע

3.1. במקרה בו התרחש אירוע אבטחת מידע או חשד לאירוע כאמור הנוגע לשלמות המידע האישי, שימוש בלתי מורשה בו, או חריגה מהרשאות ("אירוע האבטחה"), נותן השירותים מתחייב: להודיע ללקוח על אודות אירוע האבטחה באופן מיידי; וכן לספק ללקוח את כל המידע הדרוש לו לשם עמידה בהתחייבויותיו על פי חוקי הפרטיות החלים, לרבות חובות דיווח לרשות.

עליך למסור פרטים נכונים, מדויקים ומלאים בלבד, ולעדכן את החברה בכתב או באמצעות המערכת על כל שינוי. במידה שתמסור מידע שגוי או מוטעה, החברה רשאית למנוע ממך את האפשרות להשתמש במערכת.
3.2. נותן השירותים יפעל בשיתוף פעולה סביר עם הלקוח במטרה להביא לכדי סיום את אירוע האבטחה ולהקטין את השפעותיו, וינקוט צעדים מתאימים וסבירים לטיפול באירוע בהתאם ליכולותיו ולמידת השליטה שלו במידע.

3.3. נותן השירותים יתעד במידת האפשר ובאופן סביר אירועי אבטחה המשפיעים על המידע האישי של הלקוח, לרבות פירוט ההשפעות והפעולות המתקנות שננקטו, ככל שניתן לאסוף מידע זה באופן מעשי.

3.4. ככל שקיימת חובה לדווח על אירוע האבטחה, אלא אם הלקוח הורה אחרת ואלא אם נדרש על פי דין, נותן השירותים לא יפרסם מידע על אודות האירוע בכל אמצעי שהוא ללא קבלת הסכמתו הכתובה מראש של הלקוח.

4. דיווח וביקורת

4.1. נותן השירותים מתחייב להודיע ללקוח באופן מיידי על כל בקשה, ביקורת או תלונה המתקבלת בקשר למידע האישי מרשות מוסמכת או מכל צד שלישי.

4.2. נותן השירותים יספק ללקוח, בכפוף לדרישה בכתב, דוח שנתי המפרט את עמידתו בחוקי הפרטיות החלים בכל הנוגע לביצוע השירותים והוראות נספח זה.

4.3. הלקוח רשאי, בתיאום מראש ובתדירות שלא תעלה על פעם אחת בשנה, לבצע על חשבונו ביקורת סבירה על נהלי אבטחת המידע של נותן השירותים, וזאת בכפוף להתחייבות לשמירה על סודיות ולמניעת פגיעה בפעילות העסקית של נותן השירותים.

5. זכויות נושאי המידע

5.1. נותן השירותים יודיע ללקוח באופן מידי על כל בקשה, ובכלל זה בקשה לעיון, תיקון או מחיקת מידע, אשר תתקבל אצל נותן השירותים מנושא מידע בקשר למידע האישי.

5.2. נותן השירותים ישתף פעולה עם הלקוח כנדרש לצורך עמידה בדרישות חוקי הפרטיות הנוגעים לבקשות נושאי המידע,

ובכלל זה: תוך ארבע-עשר (14) ימי עסקים, למסירת המידע המבוקש לצורך בחינת בקשת נושא המידע לרבות העתקי תלונות, בקשות או התקשרויות רלוונטיות, וכן מידע אישי של נושא המידע שבידי נותן השירותים; וכן למתן סיוע ללקוח לצורך עמידה בלוחות הזמנים הנדרשים בקשר עם בקשות נשואי מידע על פי חוקי הפרטיות.

6. מעבדי – משנה

6.1. נותן השירותים יהיה רשאי להעסיק קבלני משנה מטעמו, לרבות ספקי שירותי בינה מלאכותית (AI) ומודלים לשוניים (LLM), לצורך עיבוד המידע ומתן השירותים ובלבד שקבלני משנה מטעמו יהיו מחויבים בהתחייבויות מהותיות לאלו הקבועות בנספח זה.

6.2. מוסכם מראש כי מעבד משנה אפשר שיהיה ממוקם מחוץ לישראל, ובלבד שהמידע האישי יועבר למדינה באיחוד האירופי או למדינה אחרת שאושרה על ידי הנציבות האירופית כבעלת רמת הגנה נאותה, או למעבד משנה שהתחייב בכתב לעמוד בדרישות חוקי הפרטיות; וכן מעבד המשנה המאושר נוקט בצעדים מספקים להבטחת פרטיות נושאי המידע.

7. מחיקת מידע אישי

7.1. עם סיום השירותים ללקוח מתחייב נותן השירותים בכפוף לסעיף ‎‏7.2 להלן, למחוק כל עותק של המידע האישי של הלקוח שעובד על ידי נותן השירותים, לרבות עותקים ארכיוניים שנוצרו אוטומטית או לפעול כך לבקשת הלקוח תוך זמן סביר ממועד סיום התקשרות הצדדים, ו/או להעביר ללקוח עותק מלא של המידע האישי של הלקוח בפורמט מאובטח כפי שיוסכם ובהתאם לתנאי השימוש האמורים לעניין זה;

7.2. נותן השירותים רשאי לשמור מידע אישי של הלקוח ככל שנדרש על פי דין ורק במידה ולתקופה הנדרשות על פי דין, ובתנאי שהוראות נספח זה ימשיכו לחול ביחס למידע ונותן השירותים יבטיח את סודיות כל המידע האישי של הלקוח.

8. אמצעי אבטחה

נותן השירותים מתחייב לנקוט באמצעי האבטחה הבאים על מנת להגן על המידע האישי של הלקוח בעת מתן השירותים:

8.1. אבטחה פיזית וסביבתית

8.1.1. ינקוט באמצעים סבירים ומקובלים להבטחת הגנה ולמניעת גישה למערכות המידע שבהן מאוחסן המידע האישי, לרבות מניעת סיכונים סביבתיים ונזקים אפשריים.

8.1.2. ינקוט באמצעים סבירים ומקובלים להבטחת הגנה ולמניעת גישה למערכות המידע שבהן מאוחסן המידע האישי, לרבות מניעת סיכונים סביבתיים ונזקים אפשריים.

8.1.3 נותן השירותים מתחייב למקם את המערכות במקום מוגן שהגישה אליו מוגבלת אך ורק לעובדים בעלי הרשאה מתאימה.

8.1.4. מתחייב למנוע כל כניסת ספקים או לקוחות לאזורי השרתים

8.2. הרשאות גישה; אימות וזיהוי

8.2.1. ינהל תיעוד של כל הפעולות המבוצעות על ידי עובדיו, לרבות כניסות למאגרי המידע האישי, וכן שינויים, הוספות או מחיקות של מידע אישי, בציון זהות המבצע.

8.2.2 יקבע נהלים ברורים בנוגע לאופן מתן הרשאות גישה למאגרי המידע והטלת הגבלות על מורשי הגישה.

8.2.3. יוודא כי הגישה למידע האישי מוגבלת אך ורק לעובדים הזקוקים לה במסגרת תפקידם ולמטרות מתן השירותים. כמו כן, ינוהל רישום מעודכן של מורשי הגישה בהתאם לרמות ההרשאה שנקבעו.

8.2.4. יבטל באופן מיידי את הרשאות הגישה עבור כל אדם או גורם שאין לו עוד צורך בגישה למידע האישי, לרבות עובדים שסיימו את תפקידם או שינו אותו.

8.2.5. הגישה למערכות המכילות מידע אישי תותנה באימות רב-שלבי. האימות יכלול סיסמה ייחודית לכל משתמש, באורך של לפחות שמונה תווים, הכוללת אותיות, מספרים ותווים מיוחדים, שתוקפה לא יעלה על תשעים (90) ימים.

8.2.6. תחנות העבודה של נותן השירותים יוגנו באמצעות שומר מסך מאובטח בסיסמה, שיפעל לאחר לא יותר מחמש עשרה (15) דקות של חוסר פעילות.

8.2.7. המידע האישי של הלקוח לא יאוחסן על כוננים מקומיים של תחנות העבודה, אלא בספריות רשת ייעודיות ומוגנות.

8.2.8. ייושמו פתרונות Endpoint Security בשרתים ובתחנות העבודה של נותן השירותים.

8.2.9. תובטח הפרדה מוחלטת בין מערכות המידע והפעילויות המיועדות ללקוח לבין אלו המיועדות לשימוש פנימי של נותן השירותים. המידע האישי של הלקוח יישמר תוך הפרדה לוגית מלאה מכל מידע אחר שבחזקת נותן השירותים בגין לקוחות אחרים.

8.3. הצפנה

8.3.1. יבטיח כי העברת המידע האישי של הלקוח תתבצע בסביבה מאובטחת, תוך שימוש בטכנולוגיות הצפנה מקובלות בתעשייה ובכפוף לנהלים הנהוגים בתחום.

8.3.2. המידע האישי של הלקוח יופרד לוגית ויאוחסן במערכות מידע תוך שימוש בהצפנה העומדת בסטנדרטים המקובלים בתעשייה.

8.3.3. כל העברה של נתונים אל הלקוח וממנו תבוצע באופן מאובטח, תוך שימוש בערוצים מוצפנים, בהתאם לשיטות וסטנדרטים עדכניים בתעשייה ובמסגרות תשתיות מאובטחות.

8.4. גיבוי

8.4.1. גיבויים של המידע של הלקוח יישמרו כשהם מוצפנים באמצעות טכנולוגיות הצפנה מקובלות בתעשייה.

8.4.2. נותן השירותים מתחייב כי יוכל למחוק באופן בלתי הפיך את כל גיבויי המידע של הלקוח, כך שלא תתאפשר שחזורם.

8.5. מכשירים ניידים

8.1.5. נותן השירותים לא יחלץ מידע אישי מתוך מערכות נותן השירותים למדיה נשלפת, כוננים קשיחים או אמצעי גיבוי, אלא אם ניתן אישור מפורש ובכתב מהלקוח.

8.6. תיעוד ומעקב

8.6.1. יישם מנגנוני תיעוד גישה ("לוגים") ומסלול ביקורת לפעולות המתבצעות במערכותיו, באופן שיאפשר זיהוי חד-ערכי של המשתמש והפעולה שבוצעו.

8.6.2. יבטיח כי לוגים המשמשים את הלקוח יהיו זמינים וניתנים להעברה ללקוח לפי דרישתו, תוך שימוש באמצעים סבירים.

8.6.3. מערכות הניטור יכללו התראות אוטומטיות על פעולות חריגות או בלתי מורשות.

8.6.4. לפי דרישת הלקוח, יספק נותן השירותים עדכונים בזמן אמת על אירועים חריגים הקשורים למידע האישי או לשירות הניתן ללקוח, תוך מעקב מלא ורציף.

8.7 אבטחה

8.7.1. נותן השירותים יישם אמצעים לזיהוי, מניעה ותגובה לאיומי אבטחה ולכשלי מערכת, לרבות התקנת תוכנות אנטי-וירוס ושימוש בחומות אש (Firewalls).

8.7.2. נותן השירותים יבטיח כי כל נקודות הקצה, לרבות מחשבים שולחניים וניידים, יכללו תוכנות הגנה מעודכנות, לרבות מערכות אנטי-וירוס, אנטי-נוזקות ומערכות לזיהוי חדירות (IDS) כמו כן, יבוצע מעקב מתמיד ורישום פעילויות נקודות הקצה לצורך זיהוי וטיפול מהיר באיומים פוטנציאליים.

8.7.3. נותן השירותים יישם הפרדת רשת לאבטחת מידע אישי רגיש, באמצעות חומות אש, רשתות וירטואליות (VLANs) ורשימות בקרת גישה (ACLs) לצורך הגבלת גישה ולהפחתת הסיכון לחדירות בלתי מורשות.

8.7.4. מותקנים כלים למניעת אובדן נתונים (DLP) במטרה לעקוב ולבקר העברות מידע אישי רגיש ברשתות, בנקודות קצה ובמערכות אחסון בענן. יוגדרו נהלים למניעת דליפות נתונים ולוודא כי מידע אישי רגיש לא מועבר מחוץ למערכות נותן השירותים ללא אישור מפורש.

8.7.5. נותן השירותים יישם תצורה מאובטחת לכל המערכות והיישומים, לרבות הקשחת מערכות, ביטול שירותים שאינם נדרשים, יישום הגדרות אבטחה מתקדמות, ועמידה בסטנדרטים של בסיסי אבטחה מוסכמים, לצמצום שטח התקיפה ולשיפור ההגנה הכוללת.

8.8. עדכונים

8.8.1. נותן השירותים יבחן את מדיניות האבטחה ונהלי התפעול שלו בתדירות קבועה על מנת לוודא את עדכניותם ותיקונם במידת הצורך.

8.8.2. נותן השירותים יישם תהליך ניהול תיקונים אפקטיבי לצורך עדכון מערכות, יישומים והתקנים באופן סדיר, בהתאם לעדכוני ותיקוני האבטחה האחרונים. תהליך זה יכלול פריסת תיקונים אוטומטית וביצוע הערכות פגיעות תקופתיות, שמטרתן לזהות ולפתור בעיות אבטחה במהירות וביעילות.

8.8.3. למען הסר ספק, שימוש ברכיבים, ספריות, כלים, שירותי צד שלישי ותכונות נתמכות (כפי שיהיו זמינים מעת לעת במסגרת השירותים), לרבות רכיבי קוד פתוח, הינו כפוף להוראות סעיף 8.8.

9. שונות

9.1. על אף כל הוראה אחרת, אחריותו של נותן השירותים בגין כל נזק, הפסד או קנס הנובע מהפרת נספח זה תוגבל לסכום ששולם בפועל על ידי הלקוח לנותן השירותים בגין השירותים במהלך 12 החודשים שקדמו לאירוע. נותן השירותים לא יישא באחריות לנזקים עקיפים, תוצאתיים או אובדן רווחים.

9.2. נספח זה ייכנס לתוקפו במועד אישור תנאי השימוש ומדיניות הפרטיות ויוותר בתוקף עד סיום ההסכם.

9.3. נספח זה מהווה את ההסכם המלא בין הצדדים ביחס לנושאים המוסדרים בו, ומבטל כל הסכם, התחייבות, הבטחה או מצג שנעשו בעל פה או בכתב לפני אישורו על ידי הלקוח. החברה רשאית לתקן ולעדכן נספח זה בהתאם לכל הנדרש לפי כל דין והפסיקה.

9.4. הלקוח מצהיר ומאשר כי קרא בעיון את נספח זה, על כל סעיפיו, הבין את תוכנו ומשמעותו, וכי הם מאשר אותו מתוך הבנה מלאה והסכמה.