Security by Design

אבטחת מידע

ביתא בנויה מהיסוד עם גישת "Security by Design". כך אנחנו מגנים על המידע שלכם.

תשתית מאובטחת

השירות פועל על תשתית Google Cloud (GCP), המחזיקה באישורי ISO 27001 ו-SOC 2. כל התעבורה מוצפנת ב-TLS, ואין גישה ישירה לרשת פנימית מהאינטרנט.

הצפנה מקצה לקצה

נתונים בתעבורה מוצפנים ב-TLS 1.3. נתונים באחסון מוצפנים ב-AES-256. מפתחות הצפנה מנוהלים ב-Google Cloud KMS ומוחלפים אוטומטית.

גיבויים אוטומטיים

המערכת בנויה לגיבוי יומי אוטומטי על תשתית Google Cloud, עם שמירה של עד 30 יום. אנו מתכננים להרחיב לשחזור נקודתי (point-in-time) וגיבוי מרובה-אזורים ככל שהשירות גדל.

בקרת גישה קפדנית

מודל RBAC (Role-Based Access Control) לכל משתמש, עם אימות דו-שלבי (MFA) זמין לכל החשבונות. המערכת בנויה על עיקרון "המינימום ההכרחי" — כל בעל תפקיד ניגש רק למה שנדרש לו.

רישום וניטור

כל פעולה רגישה במערכת נרשמת ב-Audit Log. המערכת בנויה כך שנוכל לזהות דפוסי גישה חריגים ולקבל התראות בזמן אמת.

תגובה לאירועים

אנו מתכננים פרוטוקול מובנה לניהול אירועי אבטחה. במקרה של פרצה משמעותית, נודיע לכם ולרשויות הרלוונטיות בהתאם לדרישות ה-GDPR וחוק הגנת הפרטיות.

השרתים שלנו

ביתא פועלת על תשתית Google Cloud. GCP מחזיקה באישורי ISO 27001, SOC 2 Type II ו-PCI DSS, ועומדת בדרישות GDPR.

הארכיטקטורה מבוססת על Firestore (מסד נתונים בזמן אמת), Firebase Authentication, ו-Cloud Functions — כולם שירותי GCP המנוהלים בתצורת Serverless שמצמצמת משטח תקיפה.

מי יש לו גישה

רק גורמים בעלי הרשאה וצורך ספציפי ניגשים לנתוני לקוחות, וכל גישה כזו מבוקרת ומתועדת ב-Audit Log. איננו נכנסים למידע אישי של מתפללים ללא אישור מפורש לצורך תמיכה.

המערכת בנויה כך שגישות ניתנות לפי צורך בלבד ומתבטלות בסיום הצורך, כולל הרשאות IAM. אנו מתכננים להדק תהליכים אלה ולהוסיף שכבות בקרה נוספות ככל שהצוות והשירות גדלים.

מחקר חולשות

אנחנו מזמינים חוקרי אבטחה ומשתמשים אתיים לדווח על בעיות שמצאו, ומתחייבים לתגובה תוך 48 שעות לכל דיווח.

ספריות תלות נסרקות אוטומטית לחולשות ידועות (CVEs). אנו מתכננים לשלב בדיקות Penetration Testing ובדיקות SAST/DAST כחלק מתהליכי ה-CI/CD שלנו.

תאימות לדרישות הלכה ופרטיות

ביתא מנהלת מידע רגיש הקשור לקהילה יהודית — שמות נפטרים, תאריכי הנצחה, לוחות זיכרון ותרומות. אנו מייחסים חשיבות עליונה לכבוד המת ולפרטיות המשפחה.

הצגת שמות בלוח זיכרון ציבורי נעשית רק על בסיס נתונים שהוזנו על ידי הגבאי, שנטל על עצמו את אחריות ההסכמה. על בקשת משפחה, כל שם יוסר תוך 24 שעות.

מצאתם חולשה?

אנחנו מעריכים חוקרי אבטחה. דווחו לנו ונענה תוך 48 שעות.

דווח על חולשה
שאלות נפוצות

שאלות על אבטחה ופרטיות

המידע החשוב ביותר בקצרה. רוצים להתעמק? צרו איתנו קשר.

היכן הנתונים שלי מאוחסנים?
הנתונים מאוחסנים על תשתית Google Cloud. מידע אישי מוצפן באמצעות AES-256.
מי יש לו גישה למידע של בית הכנסת שלי?
רק משתמשים שאתם מאשרים. אנחנו עצמנו לא נכנסים למידע ללא אישור מפורש לצורך תמיכה.
מה קורה אם אני רוצה למחוק את הנתונים שלי?
אפשר לייצא הכל לאקסל בכל עת. מחיקה מלאה — תוך 30 יום מהבקשה, בהתאם ל-GDPR.
האם המערכת תואמת לתקנות הגנת הפרטיות בישראל?
כן. אנחנו עומדים בתקנות הגנת הפרטיות וב-GDPR. מסמך תאימות מלא — דרך מנהל ההצלחה שלכם.
האם יש אימות דו-שלבי (MFA)?
כן. MFA זמין לכל המשתמשים, מומלץ במיוחד לגבאים ולמנהלים.
האם יש לוג ביקורת לפעולות רגישות?
כן. כל פעולה מבוקרת (audit log) של גבאי / מנהל / רב נשמרת ל-12 חודשים לפחות.

שאלות נוספות על אבטחה?

נשמח לענות על כל שאלת אבטחה ולשתף מידע נוסף עם מנהלי מידע (CIO) בעמותות.