סקירת אבטחה

סקירת אבטחה תפעולית עבור לקוחות ומתעניינים ב-Everlage

1. מטרה

סקירת אבטחה זו מסכמת את גישת האבטחה הנוכחית של Everlage. זהו מסמך אמון אינפורמטיבי, ולא אחריות, הסמכה או תחליף לנספח אבטחה חתום או הסכם Enterprise.

2. תשתית

Everlage מתארחת ב-Amazon Web Services (AWS), כאשר התשתית הראשית מיועדת לפעול באזור תל אביב, ישראל. Everlage משתמשת ביכולות תשתית ענן לצורכי compute, storage, networking, monitoring וחוסן תפעולי.

3. הפרדת tenants

Everlage היא פלטפורמת SaaS מרובת tenants. סביבות לקוח מופרדות לוגית לפי tenant. כל לקוח מקבל סאב-דומיין כברירת מחדל ויכול לחבר דומיין מותאם. גישה לנתוני tenant נשלטת באמצעות אימות, תפקידים ולוגיקת אפליקציה בהיקף tenant.

4. בקרות גישה

Everlage תומכת בבקרות גישה של משתמשי צוות ועשויה להשתמש בהרשאות מבוססות תפקיד, אימות חשבון, מנגנוני OTP/SMS או דו-שלבי, ניהול session ולוגי ביקורת. לקוחות אחראים להקצות תפקידים מתאימים, להסיר משתמשי צוות לשעבר ולהגן על credentials ומכשירים.

5. הצפנה והגנת מידע

Everlage מתוכננת להשתמש בחיבורים מוצפנים בתעבורה עבור תעבורת web ו-API. גישה תפעולית רגישה מוגבלת לגורמים מורשים. עיבוד כרטיסי תשלום מתוכנן להתבצע דרך ספקי תשלום שנבחרו על ידי הלקוח, ולא באמצעות אחסון פרטי כרטיס מלאים ב-Everlage.

6. ניטור ותגובה לאירועים

Everlage מנטרת את פעילות השירות, התנהגות האפליקציה ואירועים רלוונטיים לאבטחה כדי לזהות שגיאות, שימוש לרעה או פעילות בלתי מורשית. אם Everlage נודע על אירוע אבטחה מאושר המשפיע על נתוני לקוח, היא תודיע ללקוחות המושפעים בהתאם לדין החל ולהתחייבויות חוזיות.

7. גיבויים והמשכיות

Everlage מתחזקת תהליכי גיבוי והמשכיות תפעוליים שנועדו להפחית סיכון לאובדן מידע ולתמוך בשחזור שירות. תקופות שמירת גיבוי, יעדי שחזור והתחייבויות המשכיות Enterprise עשויים להיות מוגדרים בתיעוד טכני נפרד או בהסכמי Enterprise.

8. אחריות לקוח

ללקוחות תפקיד חשוב באבטחה. על לקוחות להגן על חשבונות מנהל, להגדיר תפקידי צוות בזהירות, להשתמש בדומיינים ו-DNS מאובטחים, להימנע מאיסוף מידע רגיש שאינו נחוץ, להכשיר צוותי check-in, לאבטח מכשירי סריקה, לבדוק אינטגרציות ולדווח במהירות על חשד לגישה בלתי מורשית.

9. אבטחת תשלומים

תשלומי כרטיסים לאירועים מעובדים על ידי שערי סליקה או חשבונות merchant שנבחרו על ידי הלקוח. Everlage אינה פועלת כ-merchant of record ומתוכננת שלא לאחסן מספרי כרטיס מלאים או CVV. לקוחות אחראים לתאימות ספק התשלום ולניהול סיכוני תשלום.

10. דיווח חולשות

חששות אבטחה או חולשות חשודות יש לדווח אל Legal@everlage.com או Support@everlage.com. אנא כללו מספיק פרטים לשחזור הבעיה ואל תיגשו, תשנו או תחשפו מידע שאינו שייך לכם.

11. הסמכות

אלא אם פורסם במפורש או הוסכם בכתב, Everlage אינה טוענת להסמכת SOC 2, ISO 27001, PCI DSS, תאימות HIPAA, תאימות COPPA או הסמכה פורמלית אחרת. כל הסמכה עתידית תפורסם רק לאחר השלמתה.