Skip to content
proc2proof

משפטי

מדיניות פרטיות

Proc2Proof

עודכן לאחרונה 2026-05-06

1. מבוא

מדיניות פרטיות זו מתארת כיצד Proc2Proof ('השירות'), המופעלת על ידי Pelican-Tech Ltd. ('החברה', 'אנחנו'), מעבדת נתונים אישיים בקשר לאתר השיווק של Proc2Proof בכתובת proc2proof.com ולפלטפורמת Proc2Proof, לרבות מסלולי Free Scan, Pro, Business ו-Enterprise. הנוסח האנגלי של מדיניות זו הוא הנוסח המחייב. נוסח עברי זה ניתן לנוחות המשתמשים בלבד, ובמקרה של סתירה או אי-התאמה, הנוסח האנגלי יגבר.

מדיניות פרטיות זו נועדה להתייחס לדרישות פרטיות והגנת מידע החלות, לרבות תקנות ה-GDPR של האיחוד האירופי במידה שהן חלות, וכן הדין הישראלי בענייני פרטיות, לרבות חוק הגנת הפרטיות, התשמ"א-1981, כפי שתוקן מעת לעת, לרבות תיקון 13, ככל שחל.

ההפניה לחוקי פרטיות חלים כוללת חוקים אלה כפי שיתוקנו מעת לעת.

2. תחולה

מדיניות זו מכסה שני הקשרי עיבוד עיקריים:

  • -אתר השיווק: נתונים שנאספים כשאתם גולשים ב-proc2proof.com, שולחים טפסים או מבקשים גישה ל-Proc2Proof
  • -השירות: נתונים שמעובדים כשאתם משתמשים בפלטפורמת Proc2Proof, לרבות מסלולי Free Scan, Pro, Business ו-Enterprise

Free Scan הוא המסלול החינמי בתוך פלטפורמת Proc2Proof. הוא אינו מוצר או שירות נפרד.

3. תפקיד החברה

ביחס לאתר השיווק ולאינטראקציות pre-onboarding, כגון טפסי יצירת קשר ובקשות גישה לפלטפורמה, אנחנו פועלים כבעל השליטה (data controller) ביחס לנתוני מבקרים ו-leads שאנחנו אוספים.

ביחס לשירות, בכל המסלולים, אנחנו פועלים בעיקר כמעבד נתונים (data processor) בשם הלקוחות שלנו ('הלקוחות'); ארגון הלקוח הוא בעל השליטה ביחס לנתונים שהוא מעלה, מחבר או מנחה אותנו לעבד. אנחנו עשויים לפעול כבעל שליטה עצמאי ביחס לרשומות חשבון, אבטחה, חיוב, משפט, מניעת שימוש לרעה ותפעול נדרשות להפעלה ולהגנה על השירות.

4. נתונים שאנחנו מעבדים (אתר השיווק)

באתר השיווק ובאינטראקציות pre-onboarding:

  • -מידע שאתם מוסרים בטפסים (כגון שם, כתובת אימייל, חברה, תפקיד, טלפון אם מסרתם, וכל תוכן חופשי שתכתבו)
  • -לוגי גישה סטנדרטיים של ספקי הענן וה-edge שלנו (כגון כתובת IP, user agent, חותמות זמן וכתובות שהתבקשו), נשמרים לצורכי אבטחה, מניעת שימוש לרעה ותפעול
  • -העדפת theme שנשמרת ב-local storage של הדפדפן שלכם

5. נתונים שאנחנו מעבדים (השירות)

האמור להלן חל באופן אחיד על כל מסלולי השירות, לרבות Free Scan, Pro, Business ו-Enterprise. בשירות, אנחנו מעבדים:

  • -נתוני חשבון, tenant, משתמש, תפקיד, הרשאות, אימות, MFA והגדרות אבטחה, לרבות TOTP shared secrets בשימוש אפליקציות authenticator, דגלי תצורת MFA, recovery codes ב-hash ו-Microsoft Entra application client secrets המשמשים connectors שמוגדרים על ידי ה-tenant. סודות אלה מוצפנים במנוחה באמצעות AES-256-GCM. Proc2Proof אינה שומרת קודי אימות חד-פעמיים עצמם, session tokens פעילים של משתמשים, או access tokens / refresh tokens של Microsoft OAuth שניתנו על ידי משתמשים (user-delegated)
  • -נהלים, מדיניויות, בקרות, packs, mappings, רשומות סיכון, cases, findings, הערות, קבצים מצורפים ודוחות שמסופקים על ידי הלקוח
  • -נתוני תצורת connector, מטא-נתוני הרשאה, מזהי tenant ונתונים המוחזרים ממקורות נתונים שהלקוח מורשה לחבר
  • -נתוני זהויות, קבוצות, מכשירים, authentication-method, תצורה, audit-log, productivity suite ונתונים תפעוליים אחרים שנאספים מ-connectors מורשים על ידי הלקוח
  • -ראיות גולמיות, תוצאות בדיקות, מטא-נתוני סריקה, מטא-נתוני pack-run, findings, cases, ציונים, סטטוסים, integrity hashes, audit logs ותוצאות מצרפיות שנוצרים על ידי השירות
  • -רשומות שימוש, אבחון, אבטחה, תפעול ותמיכה הנדרשות להפעלה, אבטחה, תיעוד ותמיכה בשירות

6. Connectors מורשים על ידי הלקוח

כאשר הלקוח מחבר Microsoft Entra ID או שירותי Microsoft אחרים, גישת Microsoft Graph שבה משתמשים ה-connectors של Proc2Proof היא לקריאה בלבד. Proc2Proof מבצע GET בלבד ואינו מבקש הרשאות Microsoft Graph ReadWrite או Write. Proc2Proof אינו יכול לשנות, להוסיף או למחוק objects בסביבת Microsoft Entra של הלקוח.

Proc2Proof אינו שומר access tokens או refresh tokens של Microsoft OAuth שניתנו על ידי משתמשים (user-delegated). הגישה ל-Microsoft Graph מתבצעת באמצעות access tokens זמניים שמתקבלים בעת הצורך ונזרקים לאחר השימוש.

7. Cookies ו-local storage

אנחנו לא משתמשים ב-cookies של פרסום, analytics או מעקב.

אתר השיווק עשוי לשמור העדפת theme ב-localStorage. זהו אינו cookie והוא משמש רק כדי לזכור את בחירת המראה (כהה/בהיר) של ממשק המשתמש.

השירות משתמש רק ב-cookies של session חיוניים, כגון session cookie מאובטח עם httpOnly ו-SameSite=Strict, לאימות משתמשים והגנה על השירות.

אנחנו לא משתמשים ב-Google Analytics, Google Tag Manager, advertising pixels, behavioral tracking cookies או product analytics cookies.

8. מטרת העיבוד (אתר השיווק)

באתר השיווק:

  • -הפעלת האתר
  • -שמירה על אבטחה, אבחון תקלות טכניות, והבנת שימוש בסיסי באתר באמצעות לוגי אחסון ואבטחה סטנדרטיים, ללא cookies של פרסום, analytics או מעקב
  • -אפשור בקשות גישה לפלטפורמת Proc2Proof
  • -מענה לפניות בטופס יצירת קשר

9. מטרת העיבוד (השירות)

בשירות:

  • -מתן והפעלת השירות בכל המסלולים
  • -שמירה על אבטחה וניטור שימוש
  • -שיפור פונקציונליות וביצועים
  • -עמידה בחובות חוקיות

11. מודלי פריסה ואחסון ראיות

השירות יכול להיות מסופק במספר תצורות פריסה:

  • -Cloud control plane - מופעל על ידי החברה על Microsoft Azure, כרגע באזור West Europe
  • -Customer-controlled Runner - זמין במסלולי Business ו-Enterprise, רץ בתשתית של הלקוח עצמו, כגון VPC של הלקוח או סביבה on-premise
  • -סביבות ייעודיות או היברידיות - תצורות נוספות עשויות להיות מוסכמות עם לקוחות ספציפיים בהסכם בכתב
  • -בפריסות SaaS של מסלולי Free Scan ו-Pro, ראיות גולמיות שנאספות מ-connectors מאוחסנות בתשתית המנוהלת על ידי Proc2Proof, מוצפנות במנוחה באמצעות AES-256-GCM ומבודדות per-tenant
  • -בפריסות פרודקשן בניהול הלקוח באמצעות Customer-controlled Runner, ערכי ראיות גולמיים נשארים בסביבת הלקוח ומאוחסנים במסד הנתונים המקומי של ה-Runner, מוצפנים במנוחה. ה-control plane של Proc2Proof מקבל מטא-נתוני run, תוצאות מסכמות, verdicts, סטטוסים, ספירות ו-integrity hashes, אך אינו שומר ערכי ראיות גולמיים. Drill-down לראיות מתבצע באמצעות בקשות proxy חתומות חזרה אל ה-Customer-controlled Runner

12. עיבוד מבוסס AI

השירותים המרכזיים של Proc2Proof, לרבות procedure-execution checks, connectors, findings, cases, ניטור SLA, risk register, דוחות, audit logs והתראות, הם דטרמיניסטיים ואינם דורשים עיבוד LLM.

יכולות מבוססות AI, כגון חילוץ אוטומטי של שלבי נוהל, חילוץ תפקידים, chat/Q&A, AI Assist, agents, סיווג ראיות והצעות לתיקון, דורשות הסכמה מפורשת של הלקוח ברמת ה-tenant לעיבוד AI כאשר נעשה שימוש בספק AI חיצוני כגון Azure OpenAI.

ללא הסכמה כזו, היכולות מבוססות ה-AI מושבתות, אך השירות המרכזי נשאר זמין.

במסלולי Free Scan ו-Pro, יכולות מבוססות AI, ככל שהופעלו, משתמשות בספק AI חיצוני כגון Azure OpenAI.

עבור לקוחות Business ו-Enterprise המשתמשים ב-Customer-controlled Runner, ניתן להגדיר עיבוד AI שישתמש במודל שפותח ופרוס מקומית, כגון Ollama, כך שעיבוד ה-AI נשאר בתוך סביבת הלקוח. לקוחות אלה רשאים גם לבחור להפעיל Azure OpenAI כספק AI חיצוני.

Customer Data לא ישמש לאימון מודלים משותפים של צד שלישי ללא הסכמת הלקוח.

13. שיתוף נתונים וספקי משנה

אנחנו לא מוכרים נתונים אישיים.

ביחס לשירות, אנחנו משתמשים בקבוצה מצומצמת של ספקי משנה להפעלת השירות. שינויים מהותיים בספקי משנה נמסרים בהתאם להסכם הרלוונטי או ל-DPA. ספקי המשנה הנוכחיים של Proc2Proof הם:

  • -Microsoft Azure - אחסון, מסד נתונים מנוהל ותשתיות פלטפורמה, כיום ב-West Europe
  • -Cloudflare - proxy, CDN והגנת edge עבור אתר השיווק
  • -Resend - מסירת אימיילים טרנזקציוניים בפריסות SaaS ברירת מחדל
  • -Azure OpenAI - ספק LLM חיצוני, בשימוש רק כאשר ה-tenant אפשר עיבוד AI חיצוני
  • -Connectors שמוגדרים על ידי הלקוח (כגון Microsoft Graph / Microsoft 365), email relays בהפעלת הלקוח, ומודלים מקומיים (כגון Ollama) הפרוסים בתוך סביבת הלקוח אינם נמנים כספקי משנה של Proc2Proof, מאחר שהם נבחרים, מופעלים או נשלטים על ידי הלקוח
  • -אנחנו עשויים לשתף נתונים עם רשויות במקום שהחוק מחייב זאת

14. שמירת נתונים

תקופות שמירת נתונים עשויות להשתנות לפי מסלול, תצורת tenant, ארכיטקטורת פריסה והסכם לקוח חל.

במסלולים סטנדרטיים, שמירה אוטומטית מיושמת בדרך כלל כדלקמן:

  • -Free Scan: 30 ימים
  • -Pro: 12 חודשים
  • -Business: 36 חודשים
  • -Enterprise: כפי שיוסכם עם הלקוח, וניתנת להגדרה ברמת ה-tenant
  • -השמירה האוטומטית חלה על audit logs, ראיות גולמיות, מטא-נתוני scan-run, findings קשורים ו-cases סגורים, בכפוף למסלול ולהגדרות ה-tenant החלים
  • -Cases פתוחים ו-findings פתוחים עשויים להישמר עד לסגירתם כדי לשמר את שלמות תהליכי הציות. לאחר סגירתם, הם כפופים למדיניות השמירה החלה
  • -רשומות שיווק, יצירת קשר ו-leads של בקשות גישה לפלטפורמה נשמרות עד 24 חודשים, אלא אם נדרשת תקופת שמירה ארוכה יותר לצורך ביסוס, מימוש או הגנה על תביעות משפטיות, עמידה בחובות חוקיות, יישוב מחלוקות, מניעת שימוש לרעה או שמירה על security audit records
  • -לקוחות יכולים לבקש מחיקה מוקדמת, הארכת שמירה או התאמות שמירה אחרות באמצעות תמיכת Proc2Proof, בכפוף להסכם הלקוח החל ול-DPA

15. אבטחה

אנחנו מיישמים אמצעים טכניים וארגוניים סבירים להגנה על הנתונים, כולל הצפנה בתעבורה, הצפנה במנוחה ב-Cloud Control Plane, בקרות גישה מבוססות tenant, ו-Audit trail מבוסס שרשרת hash המאפשר זיהוי שינויים.

רשימת בקרות האבטחה המלאה מתועדת בכתובת /he/trust/. אחריות האבטחה עשויה להשתנות בהתאם למודל הפריסה, במיוחד כאשר נעשה שימוש ב-Customer-controlled Runner.

16. זכויות נושאי מידע

ככל שהדין החל מקנה לכם זכויות פרטיות, אתם רשאים לממש זכויות אלה ביחס לנתונים שאנחנו מחזיקים עליכם, לרבות (לפי העניין): זכות עיון בנתונים, בקשת תיקון, בקשת מחיקה, הגבלת עיבוד, התנגדות לעיבוד, ניידות נתונים, ביטול הסכמה והגשת תלונה לרשות פיקוח רלוונטית.

באתר השיווק, ניתן להפנות בקשות מימוש זכויות פרטיות בנוגע לנתוני מבקרים שאנחנו מחזיקים אליכם בכתובת [email protected].

בשירות, על המשתמשים לפנות לארגון שלהם (הלקוח), בעל השליטה בנתונים, בנוגע לבקשות מימוש זכויות פרטיות. אנחנו תומכים בלקוח במילוי בקשות אלה במקרים שבהם הדבר נדרש.

17. העברות בינלאומיות

ה-cloud control plane של Proc2Proof רץ כרגע באזור Microsoft Azure West Europe. ספקי משנה כגון Cloudflare עשויים להפעיל רשתות edge גלובליות, ומסירת אימייל מתבצעת על ידי ספק שתשתיתו עשויה להתפרס על מספר אזורים.

במקרים שבהם מועברים נתונים אישיים אל מחוץ ל-EEA, אנחנו מסתמכים על אמצעי הגנה מתאימים, כגון standard contractual clauses, בהתאם לחוק החל. אזורים נוספים ל-cloud control plane עשויים להיות מוצעים בעתיד; עד אז, בחירת אזור על ידי הלקוח אינה זמינה.

18. שינויים

אנחנו עשויים לעדכן מדיניות זו מעת לעת. תאריך 'עודכן לאחרונה' בראש העמוד משקף את הגרסה האחרונה.

19. יצירת קשר

לפניות בנושא פרטיות: [email protected].