עיבוד מידע, אבטחה, פרטיות
נספח להסכם תנאי שירות
נספח/מסמך זה (להלן גם – "ההסכם"), מתחילתו ועד סופו, כולל פסקה זו, מהווה הסכם בינינו, חברת דרוביט רייד בע"מ, הבעלים של המותג "יופרס – uPress" (להלן גם – "החברה", "יופרס", "אנחנו", "אנו", "לנו"), לבינכם – הגורם שמבקש לרכוש את אחד השירותים המוצעים על ידינו באתר האינטרנט: upress.co.il (להלן בהתאמה גם – "אתם", "לכם", "הלקוח/ות" וכן-"אתר האינטרנט") או בדרך אחרת. מסמך זה הוא למעשה נספח להסכם תנאי השירות ומהווה חלק בלתי נפרד ממנו, ויש לקרוא את המסמכים יחדיו. הכותרות שבמסמך הינן לשם הנוחות בלבד.
עניינו של הסכם זה
הסכם זה, יחד עם מסמכים נוספים, מסדיר סוגיות שונות הנוגעת לאבטחה והגנת סייבר, עיבוד מידע, ופרטיות. הוא מגדיר ומסדיר סוגיות שונות הנוגעות לפעולות שאנו נעשה או שאנו רשאים לעשות בקשר עם מידע שלכם המצוי במערכותינו; הוא מגדיר ומסדיר את תחום האחריות שלנו מול תחום האחריות שלכם, לרבות את אמצעי ההגנה שבאחריותנו ליישם, אל מול אמצעי הגנה שבאחריותכם ליישם וכו'. היבטים נוספים הנוגעים לפרטיות ומידע מופיעים, לבד מהסכם תנאי השירות, במדיניות הפרטיות שבאתר האינטרנט ושמהווה אף היא חלק בלתי נפרד מהסכם תנאי השירות ומהסכם זה.
השירות הניתן על ידי יופרס וייעודו
יופרס מעניקה שירותי אחסון לאתרי אינטרנט ושירותים הנלווים לכך (להלן – השירות) לעסקים וארגונים שונים. לקוחות החברה מקבלים מאת יופרס תשתית לאחסון האתר וממשק ניהול ייחודי באמצעותו ניתן לנהל, בצורה יעילה ופשוטה יחסית, עניינים שונים ומגוונים הנוגעים לכך. השירות הינו גנרי בעיקרו, כלומר בהתאם למסלולים קבועים, ומיועד לאתרי תדמית ובלוגים (או לחלק התדמיתי של האתר) שבפלטפורמת WordPress. במסגרת השירות יופרס תעניק לכם תמיכה טכנית בעניינים הנוגעים לשירותים הניתנים.
שירותי יופרס אינם מתאימים לניהול ואחסון "מאגרי מידע" כמשמעות המונח בדין הישראלי, ובוודאי אינם מתאימים לאחסון מידע אישי בעל רגישות, דוגמת מידע רפואי, מידע פיננסי, עניינים הנוגעים לצנעת הפרט ועוד, ואף לא נועד לאחסון ושמירת מידע עסקי סודי. במידה, למשל, שמדובר באתר שמשמש גם כחנות מקוונת אין לבצע סליקה באתר (אלא באמצעות חברות סליקה העומדות בתקנים הרלבנטיים) ואין לנהל "מאגרי מידע", רשימות לקוחות ומידע אישי אודותיהם וכו' באתר. על הלקוח לוודא את התאמת האתר והמידע שבו לדברים אלו, בטרם מתקשר הוא עם יופרס, יחד עם יועציו המשפטיים והמקצועיים.
"עיבוד" ושימוש במידע על ידי יופרס
לשם מתן השירותים והתמיכה בלקוחותיה, שיפור השירותים, לרבות סיוע באיתור חולשות ותקלות, תבצע יופרס, באמצעות נציגיה הטכניים, פעולות שונות לגבי מידע שחלקים ממנו עשויים להיחשב כ"מידע אישי". פעולות אלו עשויות לכלול ביחס לאתרי האינטרנט ולתוכנם – איסוף, תיעוד, סריקה, ארגון, בנייה, אחסון, התאמה או שינוי, שחזור, שילוב, גיבוי, מחיקה, השמדה ועוד. פעולות אלו, יודגש, ייעשו לצורך ובהקשר למתן השירותים וסיוע בהגנה על האתרים, ולא למטרה אחרת. כאשר, למשל, מערכות החברה מבצעות סריקות אבטחה שונות, חלק גם ביחס לאתרי הלקוחות, תרות הסריקות אחר סוגים מסוימים של חולשות ופגיעויות באתר ורכיביו, ולא אחר חילוץ מידע אישי או אחר של הלקוח שאינו רלבנטי לאותה משימה. הפסקת השירות ומחיקת חומרי האתר תיעשה בהתאם לתנאי השימוש, מדיניות הפרטיות, ולהוראות הדין הישראלי.
סיכונים שונים בפניהם עומד אתר האינטרנט
אתרי האינטרנט חשופים לסיכוני סייבר רבים ומגוונים; מעצם טבעם ותכליתם "חשופים" האתרים לציבור הרחב ובתוך כך לכאלה שעלולים לבקש לממש פריצות, השחתות, ניצול וגניבת מידע, התחזות, ועוד. מתקפות המכוונת כנגד אתר האינטרנט עלולות להגיע בדרכים וערוצים שונים, חלקם נוגעים לשירותי האחסון ולמערכות שבשליטת ואחריות יופרס, וחלקם באמצעות ערוצים אחרים הנוגעים למשל לאתר האינטרנט עצמו על רכיביו ותוספיו השונים, האופן שבו הוא מנוהל ומתוחזק ורבדים מגוונים נוספים. אירוע סייבר עלול להביא לשיבוש והפסקת פעילות האתר, אובדן חומרים, פגיעה בהתנהלות העסק שקשור לאתר, פגיעות תדמיתיות, במקרים מסוימים אף עלול לשמש האתר כנתיב לשם פריצה למערכות אחרות, ועוד. יש לזכור שאף מערכת אינה חסינה מפני אירועי סייבר ותקלות, לרבות מערכות יופרס, ועל כן במסגרת ניהול הסיכונים שעל הלקוח לערוך, עליו לשקול דברים אלו, ולהיות מוכן אליהם, הן באמצעות הורדת גיבויים מלאים לחומריו ושמירתם בנפרד, מעת לעת, בין באמצעים נוספים.
אמצעי הגנה ואבטחה שיופרס מיישמת
לצורך ההגנה על מערכותיה וצמצום סיכונים שונים, מיישמת יופרס מדיניות הגנה הכוללת אמצעי אבטחה ברבדים שונים, שמירה על סטנדרטים הולמים לתחום עיסוקו של הארגון (= שירותי אחסון לאתרי תדמית ובלוגים), וטיפוח תרבות ארגונית המסייעת בצמצום סיכוני האבטחה והמוכנות למקרי קצה, בין היתר בהתאמה לעקרונות ISO 27001. יופרס עושה שימוש במגוון פיתוחים פנים ארגוניים בתחום ההגנה וההתאוששות, ובמגוון מוצרי אבטחה של חברות מוכרות. שכבות ההגנה על המערכות המרכזיות של הארגון כוללות מערכות, מנגנונים, תהליכים, שירותים ומוצרים מגוונים.
בין יתר אמצעי ההגנה ניתן למנות, בתמצית:
- אחסון מערכות מרכזיות במרכזי שרתים (דאטה סנטר) איכותיים.
- אמצעים ומערכות לסיוע בהגנה על מערכות החברה וצמצום מגוון של התקפות, חולשות ופרצות אבטחה.
- אמצעים ומערכות לסיוע בצמצום מתקפות DDos ברמות שונות.
- מנגנונים לסיוע בהגנה על מתקני קצה ומתקנים נוספים ממכשירים וחדירות זדוניות.
- מערכות WAF לחיזוק ההגנה על מערכות מרכזיות.
- מערכות Firewall לחיזוק ההגנות ברמת התקשורת.
- מערכות התרעה להגנה על ציודי תקשורת.
- מערכות שחזור וגיבוי לפרויקטים מרכזיים.
- מערכות שחזור וגיבוי לאתרי לקוחות.
- מנגנוני סריקת אבטחת רשתות.
- מערכות IP Reputation לסיוע בצמצום מתקפות על מערכות מרכזיות.
- תוכנות אנטי וירוס.
חשוב ליופרס להדגיש כי אין באמצעים שהיא מיישמת ובמאמציה כדי להפוך אותה לחסינה במפני מתקפות ותקלות. יופרס בולמת אין ספור ניסיונות תקיפה, אך אינה יכולה להתחייב למנוע כל ניסיון למתקפה על מערכותיה, אלא רק להשתדל ולעשות מאמצים ניכרים.
אמצעי הגנה ואבטחה שעל הלקוח ליישם ותחומי אחריותו
על הלקוח האחריות המלאה והבלעדית על האופן שבו נבנה ומנוהל אתר האינטרנט ומערכות הקשורות בו וכן להבטיח כי המידע המצוי בו מתאים לשירות הניתן, לדינים החלים עליו, וכי מוגן הוא באמצעי הגנה ראויים. ליופרס אין אחריות ושליטה על נושאים אלו.
אחריותו הבלעדית של הלקוח כוללת בין היתר עריכת בחינות מדוקדקות של האתרים שבחשבונו, על הרכיבים והתוספים השונים. על הלקוח לדאוג לסגירה כל חולשה שמתגלה, לעדכן את גרסאות הרכיבים והתוספים השונים, ליישם מדיניות ראויה של סיסמאות, שמירה על תחנות קצה, ושיתוף אחרים בצורה בטוחה ומוגבלת בדרכי הגישה לניהול האתר (לרבות כמובן שמירה קפדנית על פרטי הגישה לממשק הניהול של האתר שלו ביופרס). יופרס תנסה לסייע ללקוחות אף במשימות מסוימות הנוגעות לעניינים אלו למשל באמצעות התרעות, סריקות, ולעתים בטיפול בפגיעויות וחולשות מסוימות, אך מדובר בכלים חלקיים ומוגבלים שאינם מיועדים ואינם יכולים להחליף את הפעולות והאמצעים שעל הלקוח לנקוט. יופרס מעודדת את הלקוח לעשות שימוש במערכות הגנה ראויות (למשל: מערכת WAF ראויה), וככל שהלקוח יבקש לסיוע בנוגע לאינטגרציה בין מערכות הגנה בהן הוא מבקש לעשות שימוש, לבין תשתית האחסון, נציגי יופרס ינסו לסייע.
מודגש כי הלקוח אחראי באופן מלא ובלעדי למתקפות מניעת שירות המכוונות כנגד אתריו, והעלולות לשבש את פעילותו ופעילות התשתית. במקרים שכאלה, יהא על הלקוח לטפל באמצעים שונים לרבות שימוש בשירות הגנה חיצוני, העברה ושינוי הרשומות בדומיין (למשל באמצעות שירותים כמוהן נותנות חברות כמו קלאודפלייר), או בכל פיתרון טכנולוגי שידרש בהתאם למקרה, אפילו יביא הדבר לאי זמינות זמנית של האתר. ליופרס שמורה הזכות במקרה כזה להגביל את פעילות האתר עד כדי השבתה מוחלטת של שרת הלקוח.
בנוסף, מעת לעת נוהגת יופרס לערוך באמצעות מערכותיה סריקות שייעודן חיפוש חלק מהפגיעויות והחולשות שבאתרי הלקוחות. מצאה החברה ממצאים שכאלה, תישלח ללקוח הודעה עם רשימת הממצאים, והוא יתבקש לטפל בכך ללא דיחוי. בחלק מן המקרים תטפל יופרס בחלק מן הממצאים על מנת לצמצם סיכוניים מידיים. במקרים שונים עשויה יופרס להקשיח את האתר באמצעות בין היתר העברתו באופן מיידי למצב התגוננות מוגבר במסגרתו יוגבלו למשל גישות שונות לצמצום הסיכונים. דברים אלו עלולים לפגוע בפעילות האתר, אך ננקטים על ידי החברה על מנת לצמצם סיכונים מידיים. במקרים קיצונים, אף תשבית החברה את האתר באופן מיידי. מובן כי אין בסריקות שמבצעת החברה, ובטיפול שהיא עשויה לבצע בחלק מן הרכיבים, כדי להחליף את אמצעי האבטחה שעל הלקוח לנקוט, ואין בכך כדי להתיימר לכסות את כלל החולשות והפגיעויות, כפי שאין בהן כדי להוות חוות דעת בנוגע לרמת האבטחה של האתר. מדובר אך ורק בסיוע ללקוח ולאנשי האבטחה שלו, סיוע שאינו מתיימר ואינו מיועד להחליפם ואינו יכול לבוא במקום טיפול יסודי ומעמיק על ידי בעל האתר ואנשי המקצוע שלו.
משנה אחריות מוטלת על לקוח שבאמצעות החשבון שלו ביופרס נותן שירותים ללקוחות שלו ועליו להבטיח שלקוחותיו והאתרים שלהם מקפידים היטב על כל הנדרש משום שליופרס אין קשר חוזי איתם, ועל כן עליו להבטיח כי מקפידים הם על הנדרש כאמור.
על הלקוח לזכור כי תקנים שונים בהם עומדת יופרס, או תעמוד בעתיד, מתייחסים לתרבות הארגונית שלה. תקנים אלו כמובן אינם מתייחסים לתרבות הארגונית של העסק שלו, של האתרים שלו והמידע שיש בתוכם, האופן בו נבנו, והאופן שבו הם והעסק הנלווה להם מנוהל ומתוחזק.
חשיבות יצירת והורדת גיבויים בתדירות ראויה על ידי הלקוח
למניעת מצב שבו במקרה של מתקפת סייבר או תקלה, יאבד הלקוח חלילה את חומרי האתר, בנתה יופרס מערכת נגישה ונוחה המאפשרת ללקוח להוריד גיבויים של האתרים שלו. על הלקוח האחריות להקפיד לעשות כך בתדירות מתאימה. גיבויים אלו יאפשרו ללקוח גם אם במקרה של אסון ירצה להקים את האתר שלו במקום אחר. בהתקשרותו איתה מתחייב הלקוח להקפיד על דברים אלו משום במקרי קצה גם מערכות הגיבוי של יופרס עלולות להיפגע. צוות התמיכה הטכנית של יופרס יסייע אם הלקוח נתקל בבעיה כלשהי.
עדכונים ושינויים
אנו עשויים לעדכן הסכם זה מעת לעת, אך השינויים לא יחולו באופן באופן רטרואקטיבי. אם ידובר בשינויים מהותיים, נודיע לכם על כך באמצעות כתובת המייל שמופיעה בחשבונכם או באמצעות הודעה שתישלח אליכם באמצעות מערכת ההודעות שלנו וממשק הניהול. אם בחרתם להמשיך להשתמש בשירותים שלנו גם לאחר העדכון, הינכם מאשרים בכך את הסכמתכם לתיקונים ולא תהיה לכם כל זכות תביעה ו/או טענה בעניין זה כנגדנו.
שאלות והבהרות
ההתקשרות ביניכם – הלקוחות, לבינינו – יופרס, הינה לקבלת שירותים שבעיקרם גנריים, בהתאם למסלולים ומפרטים קבועים, באמצעות אתר האינטרנט שלנו. במידה שהינכם מבקשים לברר עניינים הנוגעים לשירות הניתן כאמור, הינכם מתבקשים לפנות אלינו טרם ההתקשרות וקבלת השירותים, למייל הבא: privacy@upress.co.il ואנו נעשה על מנת לענות כדי שהלקוח יוכל לקבל החלטה מושכלת וראויה. המנעו מלהתקשר איתנו אם אינכם משוכנעים שהשירות הולם את הצרכים והדרישות שלכם.