מרכז האמון של Daloo AI
עדכון אחרון: יולי 2026
ב-Daloo AI אנו מטפלים במידע רגיש של ממוני פרטיות וארגונים — סקרי פערים, ראיונות ציות, מיפוי ספקים וליקויים. מרכז האמון מרכז במקום אחד את מה שאנו עושים כדי להגן על המידע הזה, את התחייבויות מעבדי המשנה שלנו, ואת המסמכים המשפטיים שמאחורי כל זה — כולל, בשקיפות, מה שעדיין לפנינו.
1. שמונה שכבות אבטחה
הפלטפורמה נבנתה עם אבטחת מידע בליבה. אלה בקרות האבטחה המיושמות בפלטפורמה, נכון למועד עדכון עמוד זה:
| # | בקרה | תקן / מנגנון | בפועל |
|---|---|---|---|
| 1 | הצפנה | AES-256 · TLS 1.3 | המידע מוצפן ב-AES-256 במנוחה וב-TLS 1.3 בתעבורה. |
| 2 | אימות רב-שלבי (MFA) | TOTP · Authenticator | סיסמה מוצפנת + קוד חד-פעמי מאפליקציית Authenticator. |
| 3 | הגנה מפני Brute Force | Rate Limiting · חסימת IP | לאחר מספר ניסיונות כושלים מאותה כתובת IP, הגישה נחסמת אוטומטית באופן זמני. |
| 4 | הגנת רשת | WAF · DDoS Always-On | חומת אש יישומית חוסמת תבניות התקפה (OWASP Top 10) + הגנת DDoS. |
| 5 | מניעת SQL Injection | Prepared Statements · Prisma ORM | כל שאילתה עוברת דרך שאילתות מפורמטות — שוללות הזרקת קוד. |
| 6 | הגנת דפדפן | CSP · HSTS · Nonce | מדיניות אבטחת תוכן עם nonce ייחודי, HSTS ו-X-Frame-Options. |
| 7 | Audit Log | IP · חותמת זמן · משתמש · פעולה | כל גישה ופעולה מתועדים — מסלול ביקורת לרגולציה. |
| 8 | בידוד בין לקוחות | Tenant Isolation · Row-Level Security | מיושמת הפרדה בין לקוחות, כך שכל לקוח ניגש לנתוניו שלו בלבד, לרבות בקרות ברמת מסד הנתונים. |
2. עיבוד בינה מלאכותית — נתוני לקוחות אינם משמשים לאימון מודלים, על פי התחייבות Anthropic
הפלטפורמה משתמשת ב-Anthropic PBC (ארה"ב) כספק ה-AI:
- ללא אימון מודלים. נתוני ה-API אינם משמשים לאימון מודלים של Anthropic — התחייבות חוזית המעוגנת בDPA של Anthropic.
- עיבוד לצורך הבקשה בלבד. על פי מדיניות Anthropic ל-API, התוכן מעובד לצורך הפקת התוצר בלבד. אנו פועלים להפעלה מלאה של מנגנון Zero Data Retention (ראו סעיף הבא).
- הצפנת תעבורה מקצה לקצה בכל העברה אל ספק ה-AI וממנו.
- Zero Data Retention (ZDR) — בתהליך. אנו פועלים להסדרת מנגנון אי-שמירת נתונים מול Anthropic; המנגנון טרם הופעל במלואו, ולא נציג אותו ככזה עד להשלמתו.
3. מיקום הנתונים
הפלטפורמה ומסד הנתונים של Daloo מתארחים באזור פרנקפורט (fra1) של האיחוד האירופי. העברת מידע בין ישראל לאיחוד האירופי נשענת על הכרת האיחוד האירופי במעמד ההלימה (Adequacy) של ישראל. עיבוד ה-AI מבוצע אצל Anthropic בארה"ב כמעבד משנה, בהתאם ל-DPA ולדרישות חוק הגנת הפרטיות (ראו סעיף 2 וסעיף 8.3 לתנאי השימוש). רשימת מעבדי המשנה מפורטת בסעיף 7.1 למדיניות הפרטיות.
4. הסמכות ותאימות — בכנות
אנו מאמינים בשקיפות גם לגבי מה שעדיין לפנינו. נכון להיום, Daloo AI אינה מחזיקה בהסמכת SOC 2 או ISO 27001, ולא נטען אחרת.
| מסגרת | סטטוס |
|---|---|
| תיקון 13 לחוק הגנת הפרטיות | הפלטפורמה תוכננה סביב דרישות תיקון 13; ה-DPA מול מעבדי המשנה מותאם לדרישותיו. |
| עקרונות GDPR | הבקרות בנויות בהתאם לעקרונות הגנת המידע המקובלים. |
| SOC 2 Type II | 🛠️ במפת הדרכים — טרם הוחל / טרם הוחזק. |
| ISO 27001 | 🛠️ במפת הדרכים — טרם הוחל / טרם הוחזק. |
5. דיווח על פגיעות אבטחה
מצאת חשש לחולשת אבטחה? פנו אלינו בכתובת Ido@daloo.ai. אנא כללו תיאור מפורט ושלבי שחזור, ואל תנצלו את החולשה מעבר לנדרש להוכחתה.