אבטחת מידע

1) תחולה ומטרות

המסמך חל על כלל המערכות, השירותים, העובדים והספקים המעבדים מידע הקשור לפעילות Feet Fun באתר https://www.feetfun.co.il.
מטרות: שמירה על סודיות, שלמות וזמינות (CIA), מניעת דליפות, הגנה מפני הונאות ותמיכה בהמשכיות עסקית.
המסמך נבחן מחדש לפחות אחת לשנה או לאחר שינוי מהותי בארגון/טכנולוגיה/סיכון.

2) תפקידים ואחריות

ממונה הגנת פרטיות (DPO): רועי אדמוני • דוא״ל: [email protected] • טל׳: 054-7970011.
בעל תהליך אבטחת מידע: מנהל/ת הטכנולוגיות (CTO/מיקור חוץ) – אחראי/ת על יישום הבקרות בפועל.
בעלי מאגרי מידע: מנהל/ת פעילות מסחרית – אחראי/ת על חוקיות העיבוד ודיוק הנתונים.
כלל העובדים וקבלני משנה: מחויבים לשמירה על המדיניות, סודיות, והדרכות תקופתיות.

3) סיווג מידע

רמה	דוגמאות	כללים
ציבורי	תוכן שיווקי באתר, פוסטים, תמונות מוצר פומביות.	אין הגבלות מיוחדות; פרסום מאושר על ידי בעל התוכן.
פנימי	נהלים, דוחות ביצועים, תמחור לא פומבי.	שיתוף לפי צורך (Need‑to‑Know), אחסון בענן מאובטח, MFA.
אישי	שם, טלפון, כתובת משלוח, אימייל לקוחות.	הצפנה במעבר, גישה מוגבלת, מחיקה לפי מדיניות שמירה.
רגיש	פרטי תשלום (מעובדים אצל חברת סליקה), סיסמאות מגובות.	אין שמירת מספרי כרטיסים בשרתי Feet Fun; סיסמאות מגובות כ‑hash חזק ו‑salt.

4) בקרות גישה וזהות

אימות רב‑שלבי (MFA) לכל גישת ניהול למערכות ענן/אתר/ספקים.
עקרון Least Privilege ורולבייס (RBAC). סקירת הרשאות רבעונית.
ניהול סיסמאות חזקות, איסור שיתוף סיסמאות, שימוש במנהל סיסמאות מאובטח.
ביטול מיידי של חשבונות עובדים/ספקים עם סיום התקשרות. רוטציית מפתחות וסודות.

5) הצפנה וניהול מפתחות

הצפנת תעבורה TLS 1.2+ לכלל השירותים הציבוריים וה‑APIs.
הצפנת מידע רגיש במנוחה אצל ספקי הענן (AES‑256 או שקול, לפי שירות).
ניהול סודות במנהל סודות ייעודי; גישה לוגית מוגבלת ומבוקרת.

6) אבטחת תשתיות ורשת

הפרדת סביבות (Production/Stage/Dev), שימוש ב‑WAF ו‑CDN.
Rate Limiting, הגנות DDoS, הקשחה של שרתים ותצורות ברירת מחדל.
אבטחת נקודות קצה: אנטי‑מלוור, עדכוני מערכת, הצפנת דיסקים בניידים.

7) אבטחת יישומים ו‑SDLC

בדיקות קוד סטטיות (SAST) ותלויות (SCA) לפני הפצה; בדיקות דינמיות (DAST) תקופתיות.
מדיניות פיתוח מאובטח הכוללת הגנות OWASP Top 10.
הפרדת סודות/קונפיגורציה מקוד; חתימות/CI מאובטח ו‑review כפול לשינויים.

8) ספקים וצדדים שלישיים

בחירת ספקים לפי מבחן אבטחה ופרטיות; הסכמי עיבוד נתונים (DPA) והתחייבויות סודיות.
סליקה מתבצעת רק אצל ספק מאושר; אין אחסון מספרי כרטיסים בשרתי Feet Fun.
בקרה שנתית לספקים מהותיים וסקירת אירועי אבטחה שדווחו אצלם.

9) רישום אירועים וניטור

לוגים מרכזיים עם שמירת חתימות וזיהוי חריגות.
ניטור זמינות וביצועים, התראות על כשלי אימות, גישה חריגה או ניסיון הזרקה.
שמירת לוגים בהתאם לדין ולצורך חקירה (לרוב 90–365 ימים, בהתאם לסוג).

10) ניהול חולשות ועדכונים

סריקות חולשות חודשיות ומעקב CVEs קריטיים.
טלאי אבטחה קריטיים – טיפול מואץ; אחרים – בתוך חלון תחזוקה מוסכם.
תהליך Responsible Disclosure לקבלת דיווחי חוקרים ([email protected]).

11) גיבויים והתאוששות מאסון

גיבויי נתונים יומיים/שבועיים לפי קריטיות, בדיקות שחזור רבעוניות.
שכפול בין‑אזורי, שמירת גיבויים מופרדת גישה (air‑gapped לוגית).
RPO/RTO מוגדרים לשירותי ליבה (חנות, תשלומים, CRM).

12) ניהול אירועי אבטחה

תרשים כללי

זיהוי ודיווח → ניתוח וסיווג → הכלה → תיקון/שחזור → תחקור → דיווחים רגולטוריים/לקוחות לפי צורך.

זמני תגובה ייעודיים

קריטי: התחלה מיידית; גבוה: עד 4 שעות; בינוני: עד יום עסקים; נמוך: תוך 3 ימי עסקים.

תקשורת

נקודת קשר: רועי אדמוני – [email protected] / 054-7970011.
תיעוד מלא של האירוע, פעולות, ממצאים ושיעורי למידה.

13) פרטיות והקטנת נתונים

איסוף מינימלי להשגת מטרות העסק; איסור שימוש החורג מהמטרות המוצהרות ללא בסיס חוקי מתאים.
ברירת מחדל מגינה: הגדרות פרטיות מרביות, שקיפות וטפסי הסכמה ברורים.
קשר למסמך „מדיניות פרטיות“ באתר – ניהול זכויות נושאי המידע וכתובת מענה ייעודית.

14) שמירת מידע ומחיקה

לוחות שמירה לפי קטגוריות (הזמנות/חשבוניות – לפי דין; נתוני לוג – בהתאם לצורך חקירה).
מחיקה מאובטחת/אנונימיזציה כאשר אין עוד צורך עסקי/חוקי.

15) הדרכות ומודעות

הדרכת אבטחת מידע ופרטיות לעובדים חדשים; ריענון שנתי.
תרגילי פישינג תקופתיים ומדיניות שימוש הוגן בנכסי מידע.

16) אבטחה פיזית וניידות

גישה פיזית למחשבים ועמדות בהתאם להרשאות; מסכים נעולים בחוסר שימוש.
הצפנת כוננים במחשבים ניידים; איסור הורדת מידע אישי למכשירים פרטיים ללא הרשאה.

17) מדדים, ביקורות ושיפור מתמיד

KPI לדיווח: זמן תיקון חולשות קריטיות, שיעור אימות MFA, כשלי גיבוי, זמן תגובה לאירוע.
ביקורת פנימית שנתית על בקרות מפתח ותיקון פערים בתיעדוף סיכון.

18) ניהול שינויים

כל שינוי תצורה/קוד עובר Review, בדיקות והשקה בשלבים (staged rollout).
תיעוד שינויים במערכת ניהול תצורה (CM) ושחזור מהיר בהחזרה לאחור.

19) תאימות משפטית

עמידה בדיני פרטיות ישראליים רלוונטיים למסחר אלקטרוני ולתיקון 13.
תהליכי סליקה בהתאם לנוהלי הספק (PCI DSS – באמצעות ספק הסליקה; אין שמירת פרטי כרטיס אצלנו).
כיבוד זכויות נושאי מידע לפי מדיניות הפרטיות של האתר.

20) פרטי קשר

לשאלות בנושא אבטחת מידע או לדיווח על פגיעות: [email protected] • טל׳ 058-7563770.

אישור והפצה

המסמך אושר לתוקף ע״י הנהלת Feet Fun בתאריך 17.08.2025. עותק דיגיטלי זמין לכלל העובדים והספקים הרלוונטיים.