טיוטא — מסמך זה הוא טיוטא בלבד ואינו מהווה ייעוץ משפטי. נדרשת סקירת עורך דין לפני פרסום.

מדיניות אבטחה וגילוי אחראי

עודכן לאחרונה: 17/03/2026 | English

1. מחויבותנו לאבטחה

כפלטפורמת שולחנות עבודה מרוחקים, אבטחה היא בליבת כל מה שאנו עושים. אנו מיישמים אמצעי אבטחה רב-שכבתיים להגנה על המידע שלך.

2. אמצעי אבטחה

הצפנה
  • TLS 1.2+ לכל התקשורת
  • HSTS (2 שנים) למניעת התקפות downgrade
  • הצפנת טוקנים בשכבת DPAPI (Windows Agent)
  • סיסמאות מוצפנות ב-bcrypt
אימות והרשאות
  • אימות דו-שלבי (TOTP) עם קודי שחזור
  • גישה מבוססת תפקידים (Admin, Customer, Technician, Support)
  • נעילת חשבון אוטומטית לאחר 5 ניסיונות כושלים (15 דקות)
  • JWT עם תוקף מוגבל (24 שעות)
  • Security stamp — מבטל sessions לאחר שינוי סיסמה
הגנת אפליקציה
  • Content Security Policy (CSP) עם nonce ייחודי לכל בקשה
  • Anti-forgery tokens לכל טפסים ובקשות AJAX
  • Rate limiting: כניסה (5/דקה), API (100/דקה), כללי (1000/דקה)
  • הגנת X-Frame-Options, X-Content-Type-Options, Referrer-Policy
  • סינון מידע רגיש מלוגים (סיסמאות, API keys, tokens)
תשתית
  • Docker containers עם משתמש non-root
  • הפרדת רשתות (monitoring ports מוגבלים ל-localhost)
  • גיבוי אוטומטי יומי (שמירת 7 ימים)
  • ניטור בריאות (Prometheus + Grafana + Alertmanager)
  • Fail-fast — המערכת לא מתאתחלת אם חסרים סודות קריטיים

3. דיווח על פגיעויות (Responsible Disclosure)

מצאת פגיעות? אנו מעריכים מאוד חוקרי אבטחה שמדווחים באחריות.
כיצד לדווח
  • שלח דוא"ל ל-security@levor.io
  • כלול תיאור מפורט של הפגיעות
  • כלול צעדי שחזור (PoC) אם אפשר
  • ציין את ההשפעה הפוטנציאלית
מה אנו מבקשים
  • תנו לנו זמן סביר (90 ימים) לתקן לפני פרסום פומבי
  • אל תנצלו את הפגיעות מעבר לנדרש להוכחה
  • אל תגשו לנתונים של משתמשים אחרים
  • אל תבצעו DoS או הרס נתונים
מה אנו מתחייבים
  • Safe Harbor: לא ננקוט פעולה משפטית נגד חוקרים שפועלים בתום לב
  • זמן תגובה: אישור קבלה תוך 48 שעות
  • עדכונים: סטטוס מעודכן כל 7 ימים עד לתיקון
  • קרדיט: נזכיר אותך (אם תרצה) ב-changelog לאחר התיקון

4. תגובה לאירועי אבטחה

בעת זיהוי אירוע אבטחה:

  1. זיהוי ובידוד — בידוד מיידי של המערכת הפגועה
  2. הערכה — קביעת היקף ההשפעה
  3. הודעה — הודעה למשתמשים מושפעים תוך 72 שעות
  4. תיקון — מיגור האיום ותיקון הפגיעות
  5. למידה — ניתוח שורשי (post-mortem) ושיפור

בעת אירוע אבטחה חמור, נפרסם הודעה בדף הסטטוס ונשלח דוא"ל לכל המשתמשים המושפעים.

5. תאימות

  • חוק הגנת הפרטיות, התשמ"א-1981 (ישראל)
  • GDPR — General Data Protection Regulation (למשתמשים מהאיחוד האירופי)
  • OWASP Top 10 — יישום הגנות מפני פגיעויות נפוצות

6. יצירת קשר

Levor Technologies Ltd.
דיווח על פגיעויות: security@levor.io
שאלות כלליות: legal@levor.io

חזרה לדף הבית
אתר זה משתמש בעוגיות לצורך תפעול תקין ושיפור חוויית המשתמש. למידע נוסף