תשובות רכש אבטחה ממולאות-מראש

האם נתוני לקוח בשימוש לאימון מודלי AI?

לא. נתוני לקוח מודרים מצינור אימון המודל בחוזה ובבידוד טכני. הסכמי קבלני-משנה (OpenAI, Cohere) מודרים מפורשות נתוני לקוח מנתוני האימון שלהם.

← ראיה: /he/ethics/

אילו מנגנוני אימות נתמכים?

Hash סיסמת Argon2id עם מדיניות סיסמה לכל-משתמש. SAML SSO משלח במסלול Enterprise (Okta, OneLogin, Azure AD, Google Workspace). הקצאת SCIM במפת-דרכים רבעון 1 2027. 2FA / TOTP נתמכים על-פני כל המסלולים.

← ראיה: /he/security/

איפה מאוחסנים נתוני לקוח?

Microsoft Azure West Europe (ראשי) ו-North Europe (failover). EU-בלבד כברירת-מחדל; אין צורך במשא-ומתן בהרשמה. מסלול Enterprise מציע פריסה חד-דיירית הצמודה לאזור Azure נבחר.

← ראיה: /he/architecture/#deployment-topology

האם לקוחות יכולים לטמן שינויי קבלני-משנה?

לקוחות מקבלים הודעה של 30 ימים לפני הוספת קבלן-משנה חדש. לקוחות מסלול Enterprise יכולים לטמן קבלן-משנה (עם הגירה לנתיב לא-טמינה או יציאת חוזה). מסלולים רב-דיירייים (Starter / Pro / Scale): הודעה אך אין טמינה.

← ראיה: /he/sub-processors/

מהן יכולות גיבוי ו-DR?

גיבויי Azure SQL יומיים עם שמירה של 35 ימים. שחזור לנקודת-זמן בתוך 24 השעות האחרונות. צילום Qdrant ל-Azure Storage לילית. Failover רב-אזורי בתוך EU (West Europe ↔ North Europe). RTO 4 שעות, RPO שעה. ספר-הפעלה DR נבדק רבעונית עם כשל אזור מדומה.

← ראיה: /he/architecture/#disaster-recovery-posture

אילו מסגרות ציות SLAtech עומדת בהן?

תואמת-GDPR כברירת-מחדל. זכאית-BAA תחת HIPAA במסלול Enterprise (חד-דיירית). דו"ח SOC 2 Type I יעד רבעון 3 2026; Type II רבעון 2 2027. הסמכת ISO 27001 יעד רבעון 4 2026. PCI-DSS — SAQ-A חל (אין אחסון נתוני בעל-כרטיס).

← ראיה: /he/compliance/

איך נתוני-במנוחה מוצפנים?

AES-256-GCM במנוחה בכל שכבות האחסון (טבלאות SQL Server, אוספי Qdrant, אחסון Azure Blob מסמכים). מפתחות הצפנה מנוהלים על-ידי Azure Key Vault עם רוטציה שנתית + רוטציה בשינויי כוח-אדם.

← ראיה: /he/security/

איך נתוני-בתעבורה מוצפנים?

TLS 1.2+ נאכף בכל נקודת קצה; HSTS preload מוגדר. דירוג SSL Labs A+. תקשורת פנימית שירות-לשירות גם מוצפנת-TLS.

← ראיה: /he/security/

תאר בקרות גישה.

בקרת גישה מבוססת-תפקיד (RBAC) לכל-דייר. תבנית repository אוכפת מפתח-מחיצה ClientId בזמן-הידור דרך כלל מנתח-סטטי (SLATECH001). גישת נתונים בין-דיירית היא בלתי-אפשרות מבנית, לא בדיקת זמן-ריצה.

← ראיה: /he/architecture/#multi-tenant-data-isolation

איך כובדים GDPR סעיפים 15-22 (DSR)?

פורטל DSR בפלטפורמת האדמין. זכות גישה (סעיף 15) — ייצוא נתונים מלא ב-Markdown / JSON / PDF. זכות לתיקון (סעיף 16). זכות למחיקה (סעיף 17) — מחיקה לצמיתות בתוך 30 ימים. זכות לניידות (סעיף 20) — ייצוא בפורמט קריא-מכונה. זכות להתנגד (סעיף 21) — בקרות בחירה-לא לכל קטגוריית נתונים.

← ראיה: /he/compliance/

איך מטופלים נתונים אישיים רגישים?

SLAtech Medical ו-Legal משלחים מרדד בזמן-קליטה המסכין תעודות זהות ישראליות, תבניות טלפון EU, מספרי תיק רפואי וטוקנים דומים לפני כל קריאת LLM. המרדד רץ בתשתית EU; קבלני-משנה (OpenAI, Cohere) לעולם לא רואים PHI / PII גולמי.

← ראיה: /he/compliance/#phi-protected-health-information

מה מבוקר ונשמר?

כל פעולות האדמין (כניסה, שינוי תפקיד, ייצוא נתונים, שינוי תצורה) מתועדות-ביקורת עם חותמת-זמן, שחקן, פעולה, מטרה. יומנים נשמרים 13 חודשים. יומן ביקורת לכל-דייר ניתן לייצוא במסלול Enterprise.

← ראיה: /he/security/

אילו מסמכי חוזה זמינים?

DPA, BAA, רשימת קבלני-משנה, הערכת השפעת-העברה SCC 2021/914, מיפוי ניתוח-פערים SoA, שאלון ספק (מילוי-מראש). הכל זמין בבקשה ל[email protected]. MSA מסלול Enterprise מותאם.

← ראיה: /he/rfp-template/

תאר את תוכנית ניהול הפגיעויות.

עדכוני תלויות אוטומטיים של Dependabot בסניף ייצור. ניתוח סטטי של GitHub CodeQL בכל PR. בדיקת חדירה חיצונית שנתית (הבאה רבעון 4 2026). מדיניות גילוי פגיעויות מתואמת.

← ראיה: /he/security/

מה קורה לנתוני לקוח בסיום חוזה?

הודעה של 30 ימים לסיום לנוחות. בסיום, נתוני לקוח ניתנים לייצוא ל-90 ימים (תוכן ידע Markdown / JSON + היסטוריית שיחות JSONL). לאחר 90 ימים, כל נתוני הלקוח נמחקים לצמיתות מהייצור ומהגיבויים בתוך 35 ימים נוספים.

← ראיה: /he/rfp-template/

אילו קבלני-משנה מעבדים נתוני לקוח?

OpenAI (ארה"ב, הסקת LLM), Cohere (קנדה, re-ranking אופציונלי), Sentry (ארה"ב, שגיאות), Cloudflare (קצה גלובלי, WAF / CDN), SendGrid (ארה"ב, אימייל). כל ההעברות נשלטות על-ידי SCC 2021/914. רשימה מלאה נשמרת עדכנית תוך 14 ימים משינוי.

← ראיה: /he/sub-processors/

מהו נוהל התגובה לאירוע?

נוהל 6-שלבי: זיהוי (Sentry / סינתטי) → טריאז' (דף סטטוס בתוך 10 דק') → הקלה (יישום ספר-הפעלה) → רזולוציה → ניתוח לאחר-אירוע פומבי בתוך 5 ימי-עסקים → מעקב לקוח עם זיכוי שירות. SLA התראת לקוח של 24 שעות לאירועים משמעותיים (יישור NIS2).

← ראיה: /he/uptime/

האם תושבות נתונים יכולה להיות צמודה לאזור ספציפי?

מסלולים רב-דיירייים (Starter / Pro / Scale): EU-בלבד כברירת-מחדל; failover אוטומטי בתוך EU. מסלול Enterprise: הצמדה לאזור Azure ספציפי (West Europe או North Europe). אין יציאת נתונים מהאזור הנבחר ללא הסכמת לקוח מפורשת.

← ראיה: /he/architecture/