send2signsend2sign

הצהרת אבטחה

send2sign תוכננה מהיסוד עם אבטחה כעיקרון מרכזי (Security by Design). המסמכים שלך מוגנים בסטנדרטים הגבוהים ביותר — מרגע ההעלאה ועד למחיקה האוטומטית.

אמצעי אבטחה

הצפנת AES-256

כל מסמך מוצפן ברגע ההעלאה. ההצפנה חלה גם בזמן אחסון (at rest) וגם בזמן שידור (in transit) עם TLS 1.3. אף אחד, כולל צוות send2sign, אינו יכול לקרוא את תוכן המסמכים.

חותמת זמן TSA — RFC 3161

כל חתימה מקבלת חותמת זמן קריפטוגרפית מגוף חיצוני בלתי תלוי (FreeTSA). החותמת מהווה ראיה משפטית לזמן ולאותנטיות החתימה ואינה ניתנת לזיוף.

מחיקה אוטומטית ב-7 ימים

המסמך נמחק אוטומטית 7 ימים לאחר החתימה. לאחר המחיקה נשמרים רק hash קריפטוגרפי (SHA-256) וחותמת TSA — ללא תוכן, ללא קובץ, ללא מידע אישי. העסק יכול למחוק מיידית בכל עת.

AI לא קורא תוכן

מנוע ה-AI (Google Document AI) מזהה שדות חתימה לפי מבנה גיאומטרי בלבד — קווים, תיבות, מיקומים. אין חשיפה של תוכן, שמות, או מידע אישי. Google מחויבת ב-DPA (הסכם עיבוד נתונים) ואינה מתאמנת על הנתונים.

אחסון באיחוד האירופי בלבד

כל תשתיות Firebase (Firestore, Storage, Functions, Auth) ממוקמות ב-europe-west1 (בלגיה). אין העברת נתונים מחוץ לאיחוד האירופי. התשתית עומדת בדרישות GDPR ותיקון 13 לחוק הגנת הפרטיות הישראלי.

רישום גישות מלא

כל פתיחה, צפייה וחתימה נרשמות עם חותמת זמן, כתובת IP ו-User Agent. לוג הגישות זמין לעסק ולצוות send2sign לצרכי ביקורת ונשמר בהתאם למדיניות המחיקה.

גישה מבוססת Token חד-פעמי

הלקוח ניגש למסמך רק באמצעות קישור ייחודי (UUID v4) עם תפוגה של 72 שעות. לאחר חתימה הקישור ננעל. המסמך מוצג בדפדפן בלבד (PDF.js) ואינו ניתן להורדה.

הסכמה מפורשת לפני חתימה

הלקוח חייב לסמן תיבת הסכמה לפני כל חתימה, בהתאם לחוק חתימה אלקטרונית התשס"א-2001. ללא סימון — אי אפשר לחתום. ההסכמה נרשמת כחלק מהראיה המשפטית.

תשתיות טכנולוגיות

FrontendNext.js Static Export — Firebase Hosting
BackendFirebase Cloud Functions (Node.js) — Serverless
DatabaseGoogle Firestore — EU region
StorageFirebase Storage — AES-256, EU region
AuthFirebase Authentication — JWT, Multi-tenant
AIGoogle Document AI — מבנה בלבד, DPA
TSAFreeTSA — RFC 3161, חיצוני ובלתי תלוי
PaymentsCardcom — PCI DSS Level 1

ציות לתקנים וחוקים

  • חוק חתימה אלקטרונית, התשס"א-2001
  • תיקון 13 לחוק הגנת הפרטיות (2023)
  • תקנות שוויון זכויות לאנשים עם מוגבלות (נגישות), התשע"ג-2013
  • WCAG 2.1 AA — תקן נגישות בינלאומי
  • Google Cloud DPA — הסכם עיבוד נתונים
  • Firebase Security Rules — בידוד מלא בין עסקים
  • HTTPS/TLS 1.3 — הצפנה בכל תקשורת
  • RFC 3161 — חותמת זמן מאובטחת

דיווח על חולשת אבטחה

גילית חולשת אבטחה? אנחנו לוקחים את זה ברצינות. דווח לנו ונטפל בבעיה בהקדם. אנו מתחייבים להגיב תוך 72 שעות ולעדכן על התקדמות הטיפול.

dpo@triumtech.org

ממונה הגנת מידע (DPO) — Trium Technology 3c Ltd

עדכון אחרון: מרץ 2026

Trium Technology 3c Ltd — www.send2sign.org