משפטי
מדיניות פרטיות
Proc2Proof
עודכן לאחרונה 2026-05-06
1. מבוא
מדיניות פרטיות זו מתארת כיצד Proc2Proof ('השירות'), המופעלת על ידי Pelican-Tech Ltd. ('החברה', 'אנחנו'), מעבדת נתונים אישיים בקשר לאתר השיווק של Proc2Proof בכתובת proc2proof.com ולפלטפורמת Proc2Proof, לרבות מסלולי Free Scan, Pro, Business ו-Enterprise. הנוסח האנגלי של מדיניות זו הוא הנוסח המחייב. נוסח עברי זה ניתן לנוחות המשתמשים בלבד, ובמקרה של סתירה או אי-התאמה, הנוסח האנגלי יגבר.
מדיניות פרטיות זו נועדה להתייחס לדרישות פרטיות והגנת מידע החלות, לרבות תקנות ה-GDPR של האיחוד האירופי במידה שהן חלות, וכן הדין הישראלי בענייני פרטיות, לרבות חוק הגנת הפרטיות, התשמ"א-1981, כפי שתוקן מעת לעת, לרבות תיקון 13, ככל שחל.
ההפניה לחוקי פרטיות חלים כוללת חוקים אלה כפי שיתוקנו מעת לעת.
2. תחולה
מדיניות זו מכסה שני הקשרי עיבוד עיקריים:
- -אתר השיווק: נתונים שנאספים כשאתם גולשים ב-proc2proof.com, שולחים טפסים או מבקשים גישה ל-Proc2Proof
- -השירות: נתונים שמעובדים כשאתם משתמשים בפלטפורמת Proc2Proof, לרבות מסלולי Free Scan, Pro, Business ו-Enterprise
Free Scan הוא המסלול החינמי בתוך פלטפורמת Proc2Proof. הוא אינו מוצר או שירות נפרד.
3. תפקיד החברה
ביחס לאתר השיווק ולאינטראקציות pre-onboarding, כגון טפסי יצירת קשר ובקשות גישה לפלטפורמה, אנחנו פועלים כבעל השליטה (data controller) ביחס לנתוני מבקרים ו-leads שאנחנו אוספים.
ביחס לשירות, בכל המסלולים, אנחנו פועלים בעיקר כמעבד נתונים (data processor) בשם הלקוחות שלנו ('הלקוחות'); ארגון הלקוח הוא בעל השליטה ביחס לנתונים שהוא מעלה, מחבר או מנחה אותנו לעבד. אנחנו עשויים לפעול כבעל שליטה עצמאי ביחס לרשומות חשבון, אבטחה, חיוב, משפט, מניעת שימוש לרעה ותפעול נדרשות להפעלה ולהגנה על השירות.
4. נתונים שאנחנו מעבדים (אתר השיווק)
באתר השיווק ובאינטראקציות pre-onboarding:
- -מידע שאתם מוסרים בטפסים (כגון שם, כתובת אימייל, חברה, תפקיד, טלפון אם מסרתם, וכל תוכן חופשי שתכתבו)
- -לוגי גישה סטנדרטיים של ספקי הענן וה-edge שלנו (כגון כתובת IP, user agent, חותמות זמן וכתובות שהתבקשו), נשמרים לצורכי אבטחה, מניעת שימוש לרעה ותפעול
- -העדפת theme שנשמרת ב-local storage של הדפדפן שלכם
5. נתונים שאנחנו מעבדים (השירות)
האמור להלן חל באופן אחיד על כל מסלולי השירות, לרבות Free Scan, Pro, Business ו-Enterprise. בשירות, אנחנו מעבדים:
- -נתוני חשבון, tenant, משתמש, תפקיד, הרשאות, אימות, MFA והגדרות אבטחה, לרבות TOTP shared secrets בשימוש אפליקציות authenticator, דגלי תצורת MFA, recovery codes ב-hash ו-Microsoft Entra application client secrets המשמשים connectors שמוגדרים על ידי ה-tenant. סודות אלה מוצפנים במנוחה באמצעות AES-256-GCM. Proc2Proof אינה שומרת קודי אימות חד-פעמיים עצמם, session tokens פעילים של משתמשים, או access tokens / refresh tokens של Microsoft OAuth שניתנו על ידי משתמשים (user-delegated)
- -נהלים, מדיניויות, בקרות, packs, mappings, רשומות סיכון, cases, findings, הערות, קבצים מצורפים ודוחות שמסופקים על ידי הלקוח
- -נתוני תצורת connector, מטא-נתוני הרשאה, מזהי tenant ונתונים המוחזרים ממקורות נתונים שהלקוח מורשה לחבר
- -נתוני זהויות, קבוצות, מכשירים, authentication-method, תצורה, audit-log, productivity suite ונתונים תפעוליים אחרים שנאספים מ-connectors מורשים על ידי הלקוח
- -ראיות גולמיות, תוצאות בדיקות, מטא-נתוני סריקה, מטא-נתוני pack-run, findings, cases, ציונים, סטטוסים, integrity hashes, audit logs ותוצאות מצרפיות שנוצרים על ידי השירות
- -רשומות שימוש, אבחון, אבטחה, תפעול ותמיכה הנדרשות להפעלה, אבטחה, תיעוד ותמיכה בשירות
6. Connectors מורשים על ידי הלקוח
כאשר הלקוח מחבר Microsoft Entra ID או שירותי Microsoft אחרים, גישת Microsoft Graph שבה משתמשים ה-connectors של Proc2Proof היא לקריאה בלבד. Proc2Proof מבצע GET בלבד ואינו מבקש הרשאות Microsoft Graph ReadWrite או Write. Proc2Proof אינו יכול לשנות, להוסיף או למחוק objects בסביבת Microsoft Entra של הלקוח.
Proc2Proof אינו שומר access tokens או refresh tokens של Microsoft OAuth שניתנו על ידי משתמשים (user-delegated). הגישה ל-Microsoft Graph מתבצעת באמצעות access tokens זמניים שמתקבלים בעת הצורך ונזרקים לאחר השימוש.
8. מטרת העיבוד (אתר השיווק)
באתר השיווק:
- -הפעלת האתר
- -שמירה על אבטחה, אבחון תקלות טכניות, והבנת שימוש בסיסי באתר באמצעות לוגי אחסון ואבטחה סטנדרטיים, ללא cookies של פרסום, analytics או מעקב
- -אפשור בקשות גישה לפלטפורמת Proc2Proof
- -מענה לפניות בטופס יצירת קשר
9. מטרת העיבוד (השירות)
בשירות:
- -מתן והפעלת השירות בכל המסלולים
- -שמירה על אבטחה וניטור שימוש
- -שיפור פונקציונליות וביצועים
- -עמידה בחובות חוקיות
10. בסיסים חוקיים לעיבוד
במקומות שבהם חלים GDPR או משטרי פרטיות דומים, אנחנו מסתמכים על הבסיסים החוקיים הבאים לעיבוד נתונים אישיים:
- -הסכמה - לתהליכי הרשאה של Microsoft ושל connectors אחרים שבהם משתמש השירות, ולתכונות אופציונליות כגון עיבוד AI חיצוני, ככל שרלוונטי
- -ביצוע חוזה - לאספקת השירות, תכונות החשבון והתקשרויות עם ארגון הלקוח
- -אינטרסים לגיטימיים - להפעלה, אבטחה, ניטור ושיפור של אתר השיווק והשירות, ולמתן מענה לפניות, באיזון מול הזכויות והחירויות שלכם
- -חובה חוקית - לעמידה בחוקים, רגולציות ובקשות חוקיות מרשויות
- -ביחס לשירות, ארגון הלקוח הוא בעל השליטה (data controller) ואחראי לקביעת הבסיס החוקי לעיבוד נתונים אישיים שהוא מעלה או מנחה אותנו לעבד
11. מודלי פריסה ואחסון ראיות
השירות יכול להיות מסופק במספר תצורות פריסה:
- -Cloud control plane - מופעל על ידי החברה על Microsoft Azure, כרגע באזור West Europe
- -Customer-controlled Runner - זמין במסלולי Business ו-Enterprise, רץ בתשתית של הלקוח עצמו, כגון VPC של הלקוח או סביבה on-premise
- -סביבות ייעודיות או היברידיות - תצורות נוספות עשויות להיות מוסכמות עם לקוחות ספציפיים בהסכם בכתב
- -בפריסות SaaS של מסלולי Free Scan ו-Pro, ראיות גולמיות שנאספות מ-connectors מאוחסנות בתשתית המנוהלת על ידי Proc2Proof, מוצפנות במנוחה באמצעות AES-256-GCM ומבודדות per-tenant
- -בפריסות פרודקשן בניהול הלקוח באמצעות Customer-controlled Runner, ערכי ראיות גולמיים נשארים בסביבת הלקוח ומאוחסנים במסד הנתונים המקומי של ה-Runner, מוצפנים במנוחה. ה-control plane של Proc2Proof מקבל מטא-נתוני run, תוצאות מסכמות, verdicts, סטטוסים, ספירות ו-integrity hashes, אך אינו שומר ערכי ראיות גולמיים. Drill-down לראיות מתבצע באמצעות בקשות proxy חתומות חזרה אל ה-Customer-controlled Runner
12. עיבוד מבוסס AI
השירותים המרכזיים של Proc2Proof, לרבות procedure-execution checks, connectors, findings, cases, ניטור SLA, risk register, דוחות, audit logs והתראות, הם דטרמיניסטיים ואינם דורשים עיבוד LLM.
יכולות מבוססות AI, כגון חילוץ אוטומטי של שלבי נוהל, חילוץ תפקידים, chat/Q&A, AI Assist, agents, סיווג ראיות והצעות לתיקון, דורשות הסכמה מפורשת של הלקוח ברמת ה-tenant לעיבוד AI כאשר נעשה שימוש בספק AI חיצוני כגון Azure OpenAI.
ללא הסכמה כזו, היכולות מבוססות ה-AI מושבתות, אך השירות המרכזי נשאר זמין.
במסלולי Free Scan ו-Pro, יכולות מבוססות AI, ככל שהופעלו, משתמשות בספק AI חיצוני כגון Azure OpenAI.
עבור לקוחות Business ו-Enterprise המשתמשים ב-Customer-controlled Runner, ניתן להגדיר עיבוד AI שישתמש במודל שפותח ופרוס מקומית, כגון Ollama, כך שעיבוד ה-AI נשאר בתוך סביבת הלקוח. לקוחות אלה רשאים גם לבחור להפעיל Azure OpenAI כספק AI חיצוני.
Customer Data לא ישמש לאימון מודלים משותפים של צד שלישי ללא הסכמת הלקוח.
14. שמירת נתונים
תקופות שמירת נתונים עשויות להשתנות לפי מסלול, תצורת tenant, ארכיטקטורת פריסה והסכם לקוח חל.
במסלולים סטנדרטיים, שמירה אוטומטית מיושמת בדרך כלל כדלקמן:
- -Free Scan: 30 ימים
- -Pro: 12 חודשים
- -Business: 36 חודשים
- -Enterprise: כפי שיוסכם עם הלקוח, וניתנת להגדרה ברמת ה-tenant
- -השמירה האוטומטית חלה על audit logs, ראיות גולמיות, מטא-נתוני scan-run, findings קשורים ו-cases סגורים, בכפוף למסלול ולהגדרות ה-tenant החלים
- -Cases פתוחים ו-findings פתוחים עשויים להישמר עד לסגירתם כדי לשמר את שלמות תהליכי הציות. לאחר סגירתם, הם כפופים למדיניות השמירה החלה
- -רשומות שיווק, יצירת קשר ו-leads של בקשות גישה לפלטפורמה נשמרות עד 24 חודשים, אלא אם נדרשת תקופת שמירה ארוכה יותר לצורך ביסוס, מימוש או הגנה על תביעות משפטיות, עמידה בחובות חוקיות, יישוב מחלוקות, מניעת שימוש לרעה או שמירה על security audit records
- -לקוחות יכולים לבקש מחיקה מוקדמת, הארכת שמירה או התאמות שמירה אחרות באמצעות תמיכת Proc2Proof, בכפוף להסכם הלקוח החל ול-DPA
15. אבטחה
אנחנו מיישמים אמצעים טכניים וארגוניים סבירים להגנה על הנתונים, כולל הצפנה בתעבורה, הצפנה במנוחה ב-Cloud Control Plane, בקרות גישה מבוססות tenant, ו-Audit trail מבוסס שרשרת hash המאפשר זיהוי שינויים.
רשימת בקרות האבטחה המלאה מתועדת בכתובת /he/trust/. אחריות האבטחה עשויה להשתנות בהתאם למודל הפריסה, במיוחד כאשר נעשה שימוש ב-Customer-controlled Runner.
16. זכויות נושאי מידע
ככל שהדין החל מקנה לכם זכויות פרטיות, אתם רשאים לממש זכויות אלה ביחס לנתונים שאנחנו מחזיקים עליכם, לרבות (לפי העניין): זכות עיון בנתונים, בקשת תיקון, בקשת מחיקה, הגבלת עיבוד, התנגדות לעיבוד, ניידות נתונים, ביטול הסכמה והגשת תלונה לרשות פיקוח רלוונטית.
באתר השיווק, ניתן להפנות בקשות מימוש זכויות פרטיות בנוגע לנתוני מבקרים שאנחנו מחזיקים אליכם בכתובת [email protected].
בשירות, על המשתמשים לפנות לארגון שלהם (הלקוח), בעל השליטה בנתונים, בנוגע לבקשות מימוש זכויות פרטיות. אנחנו תומכים בלקוח במילוי בקשות אלה במקרים שבהם הדבר נדרש.
17. העברות בינלאומיות
ה-cloud control plane של Proc2Proof רץ כרגע באזור Microsoft Azure West Europe. ספקי משנה כגון Cloudflare עשויים להפעיל רשתות edge גלובליות, ומסירת אימייל מתבצעת על ידי ספק שתשתיתו עשויה להתפרס על מספר אזורים.
במקרים שבהם מועברים נתונים אישיים אל מחוץ ל-EEA, אנחנו מסתמכים על אמצעי הגנה מתאימים, כגון standard contractual clauses, בהתאם לחוק החל. אזורים נוספים ל-cloud control plane עשויים להיות מוצעים בעתיד; עד אז, בחירת אזור על ידי הלקוח אינה זמינה.
18. שינויים
אנחנו עשויים לעדכן מדיניות זו מעת לעת. תאריך 'עודכן לאחרונה' בראש העמוד משקף את הגרסה האחרונה.
19. יצירת קשר
לפניות בנושא פרטיות: [email protected].