Skip to content
proc2proof

אמון ואבטחה

אבטחה ושקיפות סביב הוכחת ביצוע נהלים.

ראיות ציות ואבטחה עשויות לכלול הקשר תפעולי רגיש. עמוד זה מסביר כיצד Proc2Proof מתייחסת לאחסון, הצפנה, בידוד tenants, ספקי משנה, ביצוע בדיקות באמצעות Runner, יומני ביקורת, עיבוד AI ותגובה לאירועים. במקומות שבהם בקרות עדיין מתגבשות כחלק משלב ה-Early Access, אנחנו מציינים זאת במפורש.

אחסון ומיקום נתונים

ה-Control Plane של Proc2Proof פועל על Microsoft Azure.

נתוני לקוחות מאוחסנים כיום באזור West Europe של Microsoft Azure. אזורים נוספים עשויים להיות מוצעים בעתיד.

Customer-controlled Runner

בפריסות פרודקשן בניהול הלקוח, ה-Customer-controlled Runner מותקן בסביבת הלקוח, כגון VPC של הלקוח או תשתית on-premise. ה-Runner זמין במסלולי Business ו-Enterprise.

ערכי ראיות גולמיים נשארים בסביבת הלקוח ומאוחסנים במסד הנתונים המקומי של ה-Runner, מוצפנים במנוחה. ה-Control Plane מקבל מטא-נתוני run, תוצאות מסכמות, verdicts, סטטוסים, ספירות ו-integrity hashes, אך אינו שומר ערכי ראיות גולמיים.

Drill-down לראיות מתבצע באמצעות בקשות proxy חתומות חזרה אל ה-Customer-controlled Runner.

בקרות אבטחה

הצפנה במנוחה

נתוני לקוחות שמאוחסנים ב-Control Plane מוצפנים במנוחה באמצעות יכולות ההצפנה המנוהלות של Azure. שדות רגישים נבחרים, לרבות MFA secrets, connector secrets, וערכי ראיות גולמיים המאוחסנים בפריסות SaaS, מוצפנים בנוסף בשכבת האפליקציה באמצעות AES-256-GCM.

הצפנה בתעבורה

כל נקודות הקצה הציבוריות מוגשות באמצעות HTTPS עם HSTS אכוף (max-age שנה, includeSubDomains, preload). ה-Cloudflare edge בפרודקשן אוכף TLS 1.3 כגרסה מינימלית.

בידוד tenants

בידוד tenants נאכף באמצעות בקרות גישה מבוססות tenant ובדיקת מזהה tenant בכל גבול API.

אימות זהות

משתמשים מבוססי סיסמה מתחברים באמצעות email + password עם MFA מבוסס TOTP. TOTP MFA זמין בכל המסלולים למשתמשי סיסמה ונדרש לפני השלמת ההתחברות הראשונה במלואה. OIDC SSO זמין במסלולי Business ו-Enterprise, עם תמיכה בספקי זהות Microsoft Entra ID, Okta, Google וכל issuer של OIDC תואם. משתמשי SSO עשויים להיות פטורים מ-TOTP של Proc2Proof משום ש-MFA נאכף על ידי ספק הזהות החיצוני. SAML 2.0 אינו ממומש כרגע.

Audit trail

גישת מנהלי tenant ל-audit log זמינה במסלולי Business ו-Enterprise. רשומות ה-audit מוגדרות ברמת tenant ומוגנות באמצעות שרשרת hash מסוג SHA-256 חסינת-שינוי עם sequence numbers עולים. אירועי audit כוללים אירועי אימות, שינויי הרשאות, התחזות (impersonation) על ידי platform-operator, מחיקות, אישורי exception, שינויי הסכמה ל-LLM ופעולות מנהליות נוספות. מנהלי tenant יכולים לייצא audit logs לפני purge מבוסס שמירה.

עיבוד AI

השירות המרכזי הוא דטרמיניסטי ואינו דורש עיבוד LLM. יכולות מבוססות AI כגון פירוק נהלים, חילוץ תפקידים, chat/Q&A, AI Assist, agent workflows, סיווג ראיות והצעות לתיקון הן אופציונליות ודורשות הסכמה ברמת ה-tenant כאשר נעשה שימוש בספק AI חיצוני.

tenants במסלולי Free Scan ו-Pro יכולים להשתמש ביכולות AI חיצוניות רק כאשר הופעלה הסכמה ברמת ה-tenant לעיבוד AI חיצוני. הספק החיצוני ב-SaaS הוא Azure OpenAI.

לקוחות Business ו-Enterprise המשתמשים ב-Customer-controlled Runner יכולים להגדיר עיבוד AI מקומי באמצעות Ollama, כך שעיבוד ה-AI נשאר בתוך סביבת הלקוח. לקוחות אלה רשאים גם לבחור להפעיל Azure OpenAI כספק AI חיצוני.

Customer Data לא ישמש לאימון מודלים משותפים של צד שלישי ללא הסכמת הלקוח.

ספקי משנה

שירותים שתומכים באתר או בשירות של Proc2Proof, ועשויים לעבד נתונים מטעמנו בהתאם להקשר. רשימת ספקי משנה עדכנית ניתנת ללקוחות תחת DPA. שינויים מהותיים בספקי משנה נמסרים בהתאם להסכם הרלוונטי. Connectors שמוגדרים על ידי הלקוח, email relays בהפעלת הלקוח, ומודלים מקומיים הפרוסים בתוך סביבת הלקוח אינם נמנים כספקי משנה של Proc2Proof, מאחר שהם נבחרים, מופעלים או נשלטים על ידי הלקוח.

שירותתפקידאזור / Scope
Microsoft Azureאחסון, מסד נתונים מנוהל ותשתיות פלטפורמהWest Europe
CloudflareProxy, CDN והגנת edge עבור אתר השיווקרשת edge גלובלית
Resendמסירת אימיילים טרנזקציוניים בפריסות SaaS ברירת מחדלמנוהל על ידי הספק
Azure OpenAIספק LLM חיצוני, בשימוש רק כאשר ה-tenant אפשר עיבוד AI חיצוניאזור Microsoft Azure שבו השירות פועל

סטטוס Frameworks

היכן עומדת פלטפורמת Proc2Proof עצמה.

Framework / תחוםסטטוסהערות
ISO 27001:2022מתוכנןהמימוש מותאם לבקרות ISO 27001:2022. הסמכה פורמלית מתוכננת לאחר שלב ה-design partners.
GDPRהתאמה פנימיתבקרות טכניות וארגוניות נמצאות בתהליך התאמה לדרישות GDPR.
תקנות פרטיות ישראליותהתאמה פנימיתבקרות טכניות וארגוניות נמצאות בתהליך התאמה לדרישות פרטיות החלות בישראל.

בדיקות אבטחה עצמאיות

בדיקות אבטחה פורמליות על ידי צד שלישי מתוכננות כחלק מתהליך הקשחת הפלטפורמה.

תגובה לאירועים

Proc2Proof מקיימת תהליך תגובה לאירועים מתועד, הכולל סיווג חומרה, הגדרת תפקידים ו-playbooks ייעודיים לתרחישים שונים.

אנחנו מודיעים ללקוחות מושפעים ללא דיחוי בלתי סביר לאחר שנודע לנו על אירוע אבטחה מאומת שמערב את הנתונים שלהם, בהתאם להסכם הרלוונטי, ל-DPA ולדרישות החוק.

איש קשר לאבטחה[email protected]