Skip to main content
VBVyBeing
משפטי

מסגרת אבטחה

עודכן לאחרונה: 5 בדצמבר 2024

VyBeing Technologies Ltd. מחויבת להגן על האבטחה והשלמות של נתוני לקוחות. מסגרת אבטחה זו מתארת את הגישה המקיפה שלנו לאבטחת מידע.

1. תשתית אבטחה

תשתית ענן

  • אחסון: AWS ו-Google Cloud Platform עם הסמכות ISO 27001, SOC 2 Type II
  • הפצה גיאוגרפית: הפצה רב-אזורית לעיבוי
  • אבטחת רשת: בידוד VPC, חומות אש, הגנת DDoS
  • איזון עומסים: ניהול תעבורה מבוזר וכישלון חלקי

2. הצפנת נתונים

הצפנה במעבר

  • TLS 1.3 לכל העברת נתונים
  • Perfect Forward Secrecy (PFS)
  • חבילות צופן חזקות בלבד
  • HSTS (HTTP Strict Transport Security)

הצפנה במנוחה

  • הצפנת AES-256 לכל הנתונים המאוחסנים
  • גיבויי מסד נתונים מוצפנים
  • אחסון קבצים מוצפן
  • ניהול מפתחות מאובטח (AWS KMS, Google Cloud KMS)

3. בקרות גישה

אימות

  • אימות רב-גורמי (MFA) נדרש לכל החשבונות
  • אינטגרציית SSO (SAML, OAuth 2.0)
  • דרישות מורכבות סיסמה
  • פג תוקף סשן וניהול

הרשאה

  • בקרת גישה מבוססת תפקיד (RBAC)
  • עקרון ההרשאה המינימלית
  • סקירות גישה סדירות
  • אספקה/הסרת גישה אוטומטית

4. אבטחת אפליקציות

פיתוח מאובטח

  • מחזור חיים פיתוח ממוקד אבטחה
  • סקירות קוד ותכנות זוגי
  • ניתוח קוד סטטי ודינמי
  • סריקת פגיעות תלויות
  • הדרכת אבטחה סדירה למפתחים

בדיקות אבטחה

  • בדיקות אבטחה אוטומטיות בצינור CI/CD
  • בדיקות חדירה שנתיות על ידי צדדים שלישיים
  • הערכות פגיעות
  • תוכנית באג באונטי

5. ניטור וזיהוי

ניטור אבטחה 24/7

  • זיהוי איומים בזמן אמת
  • מערכות זיהוי חדירה (IDS)
  • מידע אבטחה וניהול אירועים (SIEM)
  • התראה ותגובה אוטומטיות

רישום ומסלולי ביקורת

  • רישום פעילות מקיף
  • יומני ביקורת בלתי ניתנים לשינוי
  • שמירת יומנים למשך שנה לפחות
  • ניתוח יומנים סדיר

6. תגובה לאירועים

תוכנית תגובה לאירועים

  • נהלי תגובה לאירועים מתועדים
  • צוות תגובה לאירועי אבטחה ייעודי
  • יכולת תגובה לאירועים 24/7
  • תרגילי תגובה לאירועים סדירים

תגובה להפרה

  • בידוד וחקירה מיידיים
  • הודעה לצדדים המושפעים תוך 72 שעות
  • תיאום עם רשות הגנת הפרטיות הישראלית
  • ניתוח פוסט-אירוע ותיקון

7. המשכיות עסקית

גיבוי ושחזור

  • גיבויים יומיים אוטומטיים
  • אחסון גיבוי מוצפן
  • שכפול גיבוי רב-אזורי
  • בדיקות שחזור סדירות
  • RPO (נקודת יעד שחזור): 24 שעות
  • RTO (זמן יעד שחזור): 4 שעות

שחזור אסון

  • תוכנית שחזור אסון מתועדת
  • יכולות כישלון חלקי
  • תרגילי שחזור אסון שנתיים
  • ביטוח המשכיות עסקית

8. ציות והסמכות

הסמכות נוכחיות

  • ISO 27001 (בתהליך)
  • SOC 2 Type II (מתוכנן ל-2025)
  • ציות GDPR
  • ציות לחוק הגנת הפרטיות הישראלי

ביקורות סדירות

  • ביקורות אבטחה שנתיות על ידי צדדים שלישיים
  • הערכות אבטחה פנימיות רבעוניות
  • ניטור ציות מתמשך

9. אבטחת ספקים

ניהול סיכוני צד שלישי

  • הערכות אבטחה לכל הספקים
  • דרישות אבטחה חוזיות
  • סקירות אבטחת ספקים סדירות
  • ניטור גישת ספקים

10. אבטחת עובדים

הדרכת אבטחה

  • הדרכת מודעות אבטחה חובה
  • עדכוני אבטחה רבעוניים
  • תרגילי סימולציה למתקפות פישינג
  • הדרכת אבטחה ספציפית לתפקיד

מדיניות עובדים

  • הסכמי סודיות
  • מדיניות שימוש מקובל
  • מדיניות שולחן עבודה נקי
  • הנחיות עבודה מרחוק מאובטחת

11. אבטחה פיזית

  • בקרות גישה מאובטחות למשרד
  • ניהול מבקרים
  • השמדה מאובטחת של מדיה פיזית
  • בקרות סביבתיות (הגנה מאש, שיטפונות)

12. קשר אבטחה

לדיווח על פגיעויות אבטחה או אירועים:

  • דואר אלקטרוני: [email protected]
  • זמן תגובה: תוך 24 שעות לבעיות קריטיות

שאלות לגבי מדיניות זו?

אם יש לך שאלות או חששות לגבי מדיניות זו, אנא צור קשר:

אימייל: [email protected]

כתובת: VyBeing Technologies Ltd., תל אביב, ישראל

VyBeing | Joyful Employee Experiences