HIPAA, BAA, PHI, GDPR, SOC 2, ISO 27001, UPL, FERPA — כל מסגרת מוגדרת בעברית פשוטה לצד עמדת הציות של SLAtech לפי מסגרת. משלים את מצאי בקרות האבטחה ואת רשימת קבלני-המשנה.
חוזה הנדרש על-ידי HIPAA בין גוף מכוסה (בדרך-כלל ספק שירותי בריאות) לבין ספק שמעבד PHI מטעמו. ה-BAA מונה שימושים מותרים, בקרות אבטחה, SLA להתראת פריצה ודרישות זרימה כלפי קבלני-משנה. חתימה על BAA ללא בקרות תומכות היא הפרת ציות פדרלית.
SLAtech: SLAtech מחתימה BAA רק במסלול Enterprise שבו תשתית חד-דיירית מגובת-SLA יכולה לתמוך בדרישות הבקרה הבסיסיות. בקש דרך [email protected].
Children's Online Privacy Protection Act (ארה"ב, 1998). מגביל איסוף מידע אישי מילדים מתחת לגיל 13 ללא הסכמת הורית ניתנת-לאימות. חל על מפעילי אתרים או שירותים מקוונים המיועדים לילדים, או על אלה עם ידיעה ממשית של איסוף מילדים.
SLAtech: מוצרי SLAtech אינם מיועדים לילדים מתחת לגיל 13. לקוחות SLAtech Education המגישים קהלי בית-ספר יסודי חייבים להבטיח תהליכי הסכמה-הורית תואמי-COPPA במעלה הזרם של הצ'אטבוט — בדרך-כלל מטופלים על-ידי SIS הקיים של בית-הספר.
חוזה הנדרש על-ידי סעיף 28 של GDPR בין בקר נתונים למעבד נתונים. מציין את אופי ומטרת העיבוד, סוגי נתונים אישיים, משך, חובות מעבד (סודיות, אבטחה, קבלני-משנה, התראת פריצה, שיתוף-פעולה לביקורת) והחזרה / מחיקה של נתונים בסיום החוזה.
SLAtech: תבנית DPA זמינה בהרשמה. DPA מותאמים אישית נסחמים עבור מסלול Enterprise. ה-DPA הסטנדרטי מפנה ל-SCC 2021/914 להעברות ומונה את כל קבלני-המשנה הנוכחיים.
Family Educational Rights and Privacy Act (ארה"ב, 1974). מגביל חשיפת רשומות חינוך של תלמיד על-ידי מוסדות חינוך הממומנים פדרלית. חריג מפתח: "גורמי בית-ספר עם אינטרס חינוכי לגיטימי" — תחתיהן ספק צ'אטבוט יכול להיות מכוסה אם החוזה מייעד אותו כגורם בית-ספר.
SLAtech: חוזי SLAtech Education כוללים שפת ייעוד-גורם-בית-ספר FERPA היכן שרלוונטי. PII (שמות תלמידים, תעודות זהות, ציונים) מרודד בקליטה לפני קריאות LLM; תמלילים נרשמים רק עם מטא-נתונים מצטברים.
תקנה כללית להגנת נתונים (EU 2016/679). מסדירה עיבוד נתונים אישיים של תושבי EU ללא תלות במיקום הבקר או המעבד. סעיפים 6 (בסיס חוקי), 7 (הסכמה), 17 (זכות מחיקה), 28 (חובות מעבד) ו-32 (אבטחת עיבוד) הם הרלוונטיים ביותר לספקי צ'אטבוט.
SLAtech: תואם-GDPR כברירת-מחדל: תשתית מאוחסנת-EU (Azure West/North Europe), DPA מבוצע בהרשמה עבור Enterprise, פורטל DSR בפלטפורמת הניהול, רשימת קבלני-משנה ב-/he/sub-processors/, SCC 2021/914 להעברות מחוץ ל-EEA.
Health Insurance Portability and Accountability Act (ארה"ב, 1996). מסדיר טיפול במידע בריאותי מוגן (PHI) על-ידי גופים מכוסים והעמיתים העסקיים שלהם. דורש אמצעי הגנה ניהוליים, פיזיים וטכניים: בקרת גישה, יומני ביקורת, הצפנה במנוחה ובתעבורה, התראת פריצה תוך 60 ימים.
SLAtech: SLAtech Medical זכאי-BAA במסלול Enterprise עם אפשרות פריסה חד-דיירית. מסלולים רב-דיירייים (Starter/Pro) אינם מכוסים BAA — מתאימים לעומסי עבודה ללא-PHI כגון קליטת תורים לפני שנאסף הקשר קליני.
תקן בינלאומי למערכת ניהול אבטחת מידע (ISMS). נספח A מונה 93 בקרות בתחומים ארגוניים, אנושיים, פיזיים וטכנולוגיים. הסמכה כוללת ביקורת תיעוד Stage 1 + ביקורת בקרות Stage 2 + ביקורות מעקב שנתיות. לעיתים קרובות מצוות עם ISO 27017 (ספציפי לענן) ו-ISO 27018 (PII בענן).
SLAtech: הסמכת ISO 27001 מתוכננת לרבעון 4 2026. היקף ה-ISMS = תשתית ייצור + מערכות עיבוד נתוני-לקוח. הצהרת תחולה (SoA) זמינה לרוכשי Enterprise תחת NDA.
הוראת אבטחת רשת ומידע 2 (EU 2022/2555). מרחיבה חובות אבטחת-סייבר לסט רחב יותר של גופים "חיוניים" ו"חשובים" כולל תשתית דיגיטלית ושירותים מנוהלים. תאריך אחרון להעברה למדינות-חברות היה אוקטובר 2024; אכיפה מאיצה ב-2026.
SLAtech: SLAtech מסווגת כספק שירות מנוהל תחת NIS2 עבור מספר לקוחות Enterprise. SLA להתראת אירוע (תוך 24 שעות לאירועים משמעותיים) משתקף ב-MSA הסטנדרטי. תיעוד ניהול-סיכונים NIS2 זמין ללקוחות מיועדים-כגוף-חיוני.
Payment Card Industry Data Security Standard. חובה לכל ארגון המאחסן, מעבד או משדר נתוני בעל-כרטיס. PCI-DSS 4.0 (תחילה במרץ 2025) מציג גישה מותאמת לבקרות מפצות. SAQ-A חל על סוחרים שמפיצים מלא טיפול-כרטיס לספק שירות תואם-PCI.
SLAtech: SLAtech אינה מאחסנת, מעבדת או משדרת נתוני בעל-כרטיס — תשלומים מטופלים בלעדית על-ידי Paddle / RewirePay (ספקי שירות PCI-DSS Level 1). SAQ-A חל; SLAtech פועלת כסוחר, לא ככגוף PCI.
כל מידע בריאותי הניתן לזיהוי אישי המוחזק או המשודר על-ידי גוף מכוסה-HIPAA או עמית עסקי. כולל 18 מזהים ספציפיים — שם, כתובת, תאריך לידה, מספר תיק רפואי, מזהים ביומטריים, תצלומי פנים ועוד. רידוד PHI הוא דפוס ציות נפוץ לעומסי AI שחייבים לרוץ על תשתית רב-דיירית.
SLAtech: SLAtech Medical משלחת מרדד PHI בזמן-קליטה הממסך תעודות זהות, תבניות טלפון EU ומספרי תיק רפואי לפני כל קריאת LLM. המרדד רץ בתשתית EU; קבלני-משנה (OpenAI, Cohere) לעולם לא רואים PHI גולמי.
תבנית חוזה מאושרת-מראש שפורסמה על-ידי הנציבות האירופית להעברת נתונים אישיים מ-EEA למדינות שלישיות שאין להן החלטת התאמה. הגרסה הנוכחית היא 2021/914 (תחילה ביוני 2021), המחליפה את סעיפי 2010/87. פסק-דין Schrems II (CJEU C-311/18) דורש הערכות השפעת-העברה משלימות לצד SCCs.
SLAtech: כל העברת קבלן-משנה של SLAtech מחוץ ל-EEA (OpenAI ארה"ב, Cohere קנדה, Sentry ארה"ב) נשלטת על-ידי SCC 2021/914 עם הערכת השפעת-העברה זמינה לבקשה.
Service Organization Control 2 — מסגרת ביקורת של AICPA המעריכה את הבקרות של ארגון שירות מול חמישה קריטריונים של שירותי אמון: אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות. Type I = בקרות מתוכננות כראוי בנקודת זמן; Type II = בקרות פועלות אפקטיבית לאורך תקופה של 6-12 חודשים.
SLAtech: דו"ח Type I מתוכנן לרבעון 3 2026; Type II רבעון 2 2027. עד אז, הבקרות התפעוליות הרשומות ב-/he/security/ ניתנות לביקורת עצמאית לפי בקשה. לקוחות יכולים לבקש מיפוי Trust Service Criteria כתוצר ניתוח-פערים טרום-ביקורת.
הגבלה משפטית מקובלת ופומלית המגבילה את עיסוק בדין לעורכי-דין מוסמכים. הוגדרה בצרות משתנה לפי תחום שיפוט אבל בדרך-כלל כוללת מתן ייעוץ משפטי, ניסוח מסמכים משפטיים וייצוג צדדים בהליכים. צ'אטבוטים בתחום המשפט מתמודדים עם חשיפה חדה ל-UPL אם הם עונים על שאלות משפטיות מהותיות ללא בדיקת עורך-דין.
SLAtech: SLAtech Legal משלחת מנגנון UPL שמנתב כל שאלה משפטית מהותית ל-"עורך-דין יחזור אליך" במקום לתת לבוט לענות. הבוט מטפל בקליטה, שאלות הסמכה וקביעת פגישות — לעולם לא בעמדות משפטיות.
PHI בצורה אלקטרונית — מה ש-HIPAA Security Rule באמת מסדיר. ה-Security Rule מחייב אמצעי הגנה טכניים (בקרת גישה, בקרות ביקורת, בקרות שלמות, אבטחת שידור) ספציפית עבור ePHI. PHI על נייר נופל תחת ה-Privacy Rule בלבד.
SLAtech: כל נתוני הקשר-בריאות שמטופלים על-ידי SLAtech הם ePHI בהגדרה. AES-256-GCM במנוחה, TLS 1.2+ בתעבורה, יומן ביקורת של פעולות מנהל, בקרת גישה מבוססת-תפקיד — כל הבקרות הבסיסיות מיושמות.
DPA, BAA, מיפוי SoA, רשימת קבלני-משנה, הערכת השפעת-העברה SCC — הכל זמין לבקשה.