אבטחה ופרטיות
איך אנחנו מגנים על המידע שלך.
אנחנו מבקשים ממך מסמכים רגישים — דרכון, ת.ז, כרטיסי טיסה, חתימה דיגיטלית. הנה בדיוק מה אנחנו עושים כדי שזה יהיה בטוח. בלי מילים מכובסות.
AES-256
הצפנה
TLS 1.3
תעבורה
RLS
בידוד שורות DB
חובת סודיות
כללי לשכת עו״ד
1
הצפנה — בכל שלב
- בתעבורה: כל בקשה (העלאה, צפיה, עדכון) מוצפנת ב-HTTPS עם TLS 1.3. שום מידע לא יוצא ב-clear text.
- במנוחה: Supabase Storage מצפינה אוטומטית כל קובץ ב-AES-256 לפני שמירה לדיסק. גם אם יש פריצה פיזית — הקבצים מוצפנים.
- במסד הנתונים: Postgres encryption at rest, כולל גיבויים אוטומטיים.
- מפתחות: המפתחות מנוהלים על-ידי Supabase ב-AWS KMS. לא אנחנו מחזיקים אותם.
2
בידוד נתונים — אתה רואה רק את שלך
Row Level Security (RLS): מנגנון של Postgres שמוודא ברמת השרת — לפני שאתה רואה שורה אחת — שאתה מורשה לראות אותה. גם אם יש בעיה בקוד שלנו, RLS חוסם.
- טבלת `claims`: RLS פעיל. כל משתמש רואה רק את התיקים שלו.
- טבלת `users`: RLS פעיל. אין דרך לקרוא משתמשים אחרים, גם דרך SQL injection.
- טבלת `documents`: RLS פעיל. המסמכים מסונכרנים עם הtags של ה-Storage bucket.
- bucket `claim-documents`: פרטי. רק admin client (server-side) יכול לכתוב. ללקוחות — signed URLs קצרי-תוקף.
היחיד שיכול לעקוף RLS הוא ה-service role key — שמאוחסן בvercel env, לא נחשף ללקוח, ומשמש רק לפעולות מנהליות (cron, פעולות אדמין של עו״ד).
3
מי רואה את המסמכים שלך
- עו״ד פרלי קסלר: כפופה לחובת הסודיות המקצועית לפי כללי לשכת עורכי הדין בישראל — חמורה יותר מחוק הפרטיות הרגיל. הפרה = הסרת רישיון.
- Anthropic Claude API: מנוע ה-OCR שמחלץ פרטי טיסה מכרטיס העלייה. לפי מדיניות ה-API של Anthropic, התוכן לא נשמר ולא משמש לאימון מודלים.
- Supabase: כספקית תשתית. עומדת ב-GDPR, יש DPA חתום. אין גישה לתוכן הקבצים — רק לאחסון.
- הצוות הטכני שלנו: רק במקרה של דיבוג שכרוך בקובץ ספציפי — ורק אחרי אישור הלקוח.
אנחנו לא משתמשים בקבצים שלך לכל מטרה אחרת. לא לפרסום, לא לאימון מודלים שלנו, לא להפצה. נקודה.
4
כמה זמן אנחנו שומרים
| סוג מידע | תקופת שמירה | הערה |
|---|---|---|
| כרטיס עלייה למטוס (סריקת OCR אנונימית) | 24 שעות | נמחק אוטומטית על-ידי cron אם לא הומר לתביעה |
| טיוטת תביעה שלא הושלמה | 30 ימים | נמחקת אוטומטית עם כל הקבצים הקשורים |
| תביעה פעילה (מסמכים) | כל תקופת הטיפול + 7 שנים | חובה לפי כללי לשכת עורכי הדין |
| תיק סגור (פיצוי שולם) | 7 שנים מסיום | חובת ניהול ספרים + ראיה לעמלה ששולמה |
| תיק שנדחה / נפסל | 5 שנים מסיום | תיעוד פעולות חוקיות |
| לוגים טכניים (IP, דפדפן) | 90 יום | אבטחה ותפעול בלבד. לא משמשים לזיהוי אישי |
5
גישת הצוות שלנו
עו״ד פרלי קסלר ניגשת לתיק שלך רק כשנדרש לטיפול בו. הצוות הטכני (אם בכלל קיים) ניגש רק במקרה של תקלה ספציפית, ועם תיעוד.
- הזדהות חזקה: כל גישה דרך Supabase Auth עם JWT מוצפן. ללא passwords שמורים בצורה ניתנת לפיענוח.
- Audit log: כל פעולה אדמינית (קריאה, עדכון, מחיקה של תיק) מתועדת ב-Supabase logs.
- מינוי מינימלי: Service role key לא נחשף ללקוח. רק לפעולות שרת מבוקרות.
6
עמידה ברגולציה
- חוק הגנת הפרטיות הישראלי (1981): האתר רשום כמאגר מידע, מקיים את כל הדרישות (זכות עיון, תיקון, מחיקה).
- GDPR: ככל שהאתר משרת אזרחי האיחוד האירופי, אנחנו עומדים בדרישות. ניתן לבקש Data Portability ב-JSON.
- כללי לשכת עורכי הדין: חובת סודיות מקצועית + מינוי ממונה על הגנת המידע (הוא עו״ד פרלי עצמה).
- Supabase compliance: SOC 2 Type II, GDPR-ready, EU data residency available.
במקרה של פרצת אבטחה המשפיעה על המידע שלך — נודיע לך תוך 72 שעות, כפי שמחייב החוק.
7
מה אנחנו מבקשים ממך
צד אחד של אבטחה הוא אצלנו. הצד השני — אצלך. הנה מה שכדאי לעשות:
- סיסמה / Magic Link: אנחנו לא משתמשים בסיסמאות בכלל — רק קישורי כניסה חד-פעמיים ב-Email. אל תשתף את הקישור עם אף אחד.
- דפדפן עדכני: אנחנו תומכים רק בגרסאות עדכניות (12 חודשים אחרונים) של Chrome, Safari, Firefox, Edge.
- WiFi ציבורי: אפשרי, כי הכל מוצפן ב-TLS. אבל מומלץ להעדיף רשת מאומתת.
- מסמכים שלך: אל תשלח לנו דרכון ב-WhatsApp / מייל לא מוצפן. השתמש רק בטופס ההעלאה שבאתר.
8
יצירת קשר על נושאי אבטחה
לדיווח על פגיעות, חשד לפריצה, או שאלה כללית על אבטחה:
אימייל אבטחה
keslerEderyLaw@gmail.com
ממונה על הגנת מידע
עו״ד פרלי קסלר · רישיון 87284
דיווח על פגיעות יקבל מענה תוך 72 שעות. תגובת התיקון בהתאם לחומרה.
עמוד זה מסביר את האמצעים הטכניים והמשפטיים שלנו. למסמך המלא והמחייב משפטית — מדיניות הפרטיות.
© 2026 פרלי קסלר-אדרעי · רישיון 87284