אבטחת מידע

מידע על טיפול נפשי הוא בין סוגי המידע הרגישים ביותר שאדם יכול להפקיד בידי אחר. אנחנו ניגשים אליו כך, ולא כאל מידע ארגוני רגיל. הגישה שלנו לאבטחה היא של דיסציפלינה — לא תכונה. הגנה אינה מאפיין שיווקי. היא תנאי סף לכך שמטפל יוכל לעבוד אצלנו, ועוד יותר מכך — לכך שמטופל יוכל לבטוח במטפל שלו שהוא משתמש בנו.

תשתית והצפנה

השירות פועל על תשתית Google Cloud, ברובו במרכזי נתונים באירופה, עם רכיבי תשתית נוספים בישראל. מרכזי הנתונים הללו עומדים בסטנדרטי האבטחה הפיזית והלוגית המחמירים בענן הציבורי, כולל הסמכות אבטחה בינלאומיות עצמאיות.

כל המידע מוצפן במנוחה במפתחות הצפנה ייעודיים בניהול קפדני, וכל תקשורת בין הדפדפן או האפליקציה לבין השרתים שלנו מוצפנת במעבר בפרוטוקולים מודרניים. גיבויים מוצפנים אף הם, ונשמרים באופן שמאפשר שחזור נקודתי בזמן.

הזדהות וגישה

כל מטפל ניגש למידע שלו בלבד — של מטופליו שלו. אין במערכת מבנה גישה שבו מטפל אחד יכול לראות מידע של מטפל אחר. ההפרדה נאכפת בכל שכבת שאילתה, לא רק בממשק.

ההזדהות לחשבון מבוססת על ספק זהויות תעשייתי, התומך באימות דו-שלבי (2FA) ובמנגנוני אבטחה נוספים שמטפלים יכולים להפעיל בחשבון שלהם. אנחנו ממליצים בחום על הפעלת אימות דו-שלבי לכל מי שמתעד פגישות במערכת.

גישה פנימית — עיקרון "המינימום ההכרחי"

הצוות שלנו קטן וממוקד. אנשי צוות ניגשים למידע ייצור רק כשנדרש לטיפול בתקלה, ובהיקף המינימלי הנדרש. גישות מתועדות, מפתחות וסודות מנוהלים במערכת מאובטחת ייעודית, ולא בקובצי קוד או הגדרות.

ניטור ותגובה

פעילות במערכת מתועדת באופן שמאפשר חקירה לאחור של אירועים — מי ניגש, למה, מתי. יש לנו נוהל תגובה לאירועי אבטחת מידע מסמך פנימי, שמגדיר תפקידים, חובות דיווח, וזמני תגובה. הנוהל מתואם עם דרישות הדיווח של רשות הגנת הפרטיות לפי תקנות אבטחת מידע, התשע"ז-2017 — כולל דיווח מיידי במקרה של אירוע אבטחה חמור.

ספקי משנה — שרשרת אמון

כדי לתפעל את השירות אנחנו נעזרים בספקים חיצוניים מובילים — לאחסון, לחישוב, למודלי בינה מלאכותית ולתמלול. כל ספק כזה כפוף להסכם עיבוד מידע (DPA) מחייב, שמטיל עליו סטנדרטים מקבילים לאלו של הדין הישראלי, ושאוסר עליו לעשות במידע שימוש עצמאי.

במיוחד: המידע שלכם אינו משמש לאימון מודלי בינה מלאכותית של אף ספק, אינו נמכר, ואינו מועבר לצדדים שלישיים מעבר לרשימה הפומבית של ספקי המשנה. הרשימה המלאה והעדכנית מופיעה במדיניות הפרטיות.

עמידה ברגולציה ופוסטורה משפטית

השירות מסווג אצלנו ברמת האבטחה הגבוהה לפי תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 — הסיווג המחמיר ביותר במדרג, המתאים לטיפול במידע רפואי ומידע בעל רגישות מיוחדת.

השירות פועל בהלימה לחוק הגנת הפרטיות לאחר תיקון 13 (שנכנס לתוקף ב-14 באוגוסט 2025), ובכלל זה מינוי ממונה הגנת פרטיות (DPO) כתובת מענה לפניות נושאי מידע, וערוץ מובנה לדיווח לרשות במידת הצורך.

מה אנחנו לא עושים במידע

• לא משתמשים בו כדי לאמן מודלים — שלנו, של ספקי המשנה שלנו, או של כל גורם אחר.
• לא מוכרים אותו, לא משכירים אותו, ולא מעבירים אותו לצדדים שלישיים מעבר לספקי המשנה הפומביים.
• לא משתמשים בתוכן קליני לצרכי שיווק או למחקר שאינו תפעולי לשירות עצמו.

בקרה עצמית ושיפור מתמיד

אנחנו מקיימים בחינה תקופתית של הבקרות שלנו, סוקרים את שרשרת ספקי המשנה אחת לשנה, ושומרים על תכנית מובנית לבדיקות חוסן ולמבדקי חדירה ככל שהשירות גדל. כל פער או אירוע מטופלים בלמידה מובנית — לא רק בתיקון נקודתי.

דיווח על פגיעות

אם גילית פגיעות אבטחה אפשרית, אנא דווח/י לנו בכתובת [email protected]. נאשר קבלה תוך 48 שעות ונחזור עם מענה ענייני. אנחנו מעריכים מאוד דיווחים אחראיים, ופועלים בהגינות מול חוקרי אבטחה שעוזרים לנו להתחזק.

---

מסמך זה הוא תיאור ברמה גבוהה של פוסטורת האבטחה שלנו. הפירוט המשפטי המלא — כולל זכויות נושאי מידע, רשימת ספקי משנה ומיקומי עיבוד — מופיע במדיניות הפרטיות. לשאלות פניה ישירה לממונה הגנת הפרטיות: [email protected].