עמדת אבטחה
21 בקרות לפי תחום
מקור אמת יחיד לרכישות, משפט וצוותי infosec המעריכים את SLAtech. כל בקרה מסומנת מיושם, מסלול Enterprise, או יעד רבעון. דווח על פגיעויות ל-[email protected].
הגנת נתונים
4 בקרות
| בקרה | סטטוס |
|---|---|
| AES-256-GCM במנוחה, TLS 1.2+ בתחבורה | מיושם |
| בידוד לוגי רב-לקוחות על פני כל המאגרים (SQL + Qdrant + blob) | מיושם |
| עורך PHI/PII בכניסה (תחומי Med + Legal) | מיושם |
| אחסון EU בלבד (Microsoft Azure מערב/צפון אירופה) | מיושם |
זהות
4 בקרות
| בקרה | סטטוס |
|---|---|
| Hash סיסמת Argon2id, מדיניות סיסמה לכל-משתמש ניתנת להגדרה | מיושם |
| אינטגרציית SAML SSO | מסלול Enterprise |
| בקרת גישה מבוססת-תפקיד (RBAC) עם תפקידים לכל-משתמש | מיושם |
| יומן ביקורת של פעולות מנהל | מיושם |
ניהול פגיעות
3 בקרות
| בקרה | סטטוס |
|---|---|
| Dependabot — עדכוני תלות אוטומטיים | מיושם |
| GitHub CodeQL ניתוח סטטי על כל PR | מיושם |
| מבחן חדירה חיצוני (שנתי) | יעד Q4 2026 |
רשת
3 בקרות
| בקרה | סטטוס |
|---|---|
| TLS 1.2+ נאכף בכל נקודת קצה; HSTS preload | מיושם |
| Cloudflare WAF מול כל מארח | מיושם |
| הגבלת קצב API לכל-משתמש (60-6000 RPM לפי מסלול) | מיושם |
תאימות
4 בקרות
| בקרה | סטטוס |
|---|---|
| GDPR — פורטל DSR, DPA בבקשה, SCC 2021/914 | מיושם |
| HIPAA — פריסת דייר יחיד זכאית ל-BAA | מסלול Enterprise |
| דוח SOC 2 Type I | יעד Q3 2026 |
| אישור ISO 27001 | יעד Q4 2026 |
תפעול
3 בקרות
| בקרה | סטטוס |
|---|---|
| GitOps deploy pipeline (מבוקר דרך GitHub Actions) | מיושם |
| בדיקות עשן לפני-deploy + מערך QA לאחר-deploy | מיושם |
| גיבויי מסד נתונים (יומי, שמירה של 35 ימים) | מיושם |