מבוא
נספח זה מהווה "הסכם מיקור חוץ" כמשמעותו בתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.
Nomos AI (להלן: "המפעילה" או "המעבד")
הלקוח (להלן: "הלקוח" או "בעל השליטה")
השימוש בשירותים מעיד על הסכמת הלקוח לתנאי נספח זה, ומהווה חלק בלתי נפרד מתנאי השימוש ("ההסכם") של Nomos AI.
1. מהות העיבוד
Nomos AI מספקת פלטפורמה טכנולוגית לעריכת מסמכים. במסגרת זו, המפעילה מעבדת מידע אך ורק למטרות הבאות:
- אספקת השירותים כפי שהוגדרו בהסכם השימוש.
- תמיכה טכנית, גיבוי, אבטחת מידע ושיפור השירות.
- ציות להוראות הדין.
2. התחייבויות המפעילה
המפעילה מתחייבת כי:
- ציות להוראות: המפעילה תעבד את המידע אך ורק בהתאם להנחיות הלקוח (כפי שמתבטאות בשימוש במערכת) והוראות הדין.
- סודיות: כל העובדים ונותני השירותים מטעם המפעילה בעלי גישה למידע חתומים על התחייבות לסודיות.
- אבטחת מידע: המפעילה נוקטת אמצעי אבטחה טכניים וארגוניים נאותים כמפורט בנספח ג'.
3. ספקים ומעבדי משנה
הלקוח מאשר למפעילה להשתמש בספקי צד ג' (כגון שירותי ענן, AI, ואחסון) לצורך אספקת השירות. רשימת המעבדים המאושרים מופיעה בנספח ב'.
המפעילה מתחייבת להתקשר רק עם ספקים המציעים סטנדרטים מקובלים של אבטחת מידע ולהודיע על כל שינוי מהותי ברשימה זו.
4. דיווח ופיקוח
- דיווח על אירוע אבטחה: במקרה של חשש לאירוע אבטחה הכולל פגיעה במידע אישי של הלקוח, המפעילה תודיע ללקוח ללא דיחוי בלתי סביר לאחר גילוי האירוע ואימותו.
- דיווח תקופתי: אחת לשנה, או לפי דרישה סבירה, המפעילה תספק ללקוח אישור על עמידתה בהוראות נספח זה.
- זכות פיקוח: ללקוח הזכות לפקח על אופן עיבוד המידע באמצעות בקשת דוחות אבטחה, אישורים רלוונטיים (כגון אישורי הסמכה של ספקי הענן) או שאלונים.
5. מחיקת מידע
עם סיום ההסכם, או לפי בקשת הלקוח, המפעילה תאפשר ללקוח לייצא את המידע שלו. לאחר תקופה של עד 30 יום מסיום ההתקשרות (או זמן סביר אחר הנדרש לגיבויים טכניים), המידע יימחק ממערכות המפעילה הפעילות, אלא אם קיים צורך חוקי לשמרו.
6. כללי
האחריות של המפעילה תחת נספח זה כפופה למגבלות האחריות (Limitation of Liability) המוגדרות בהסכם השימוש הראשי. בכל מקרה של סתירה בין נספח זה להסכם הראשי בנושאי פרטיות, נספח זה יגבר.
נספח א': פרטי העיבוד
| קטגוריה | תיאור |
|---|---|
| סוגי מידע | תכנים טקסטואליים שהמשתמש מעלה, פרטי קשר, לוגים טכניים. |
| נושאי מידע | משתמשי המערכת, לקוחות של הלקוח (אם המידע הוזן בתוכן המסמכים). |
| מטרת העיבוד | אספקת שירותי עריכה, ניסוח וניהול מסמכים. |
נספח ב': רשימת מעבדי משנה מאושרים
עדכון אחרון: 31 בדצמבר 2025
המפעילה משתפת מידע אישי אך ורק עם ספקי שירות מהימנים, אשר נבחרו בקפידה ועומדים בסטנדרטים מחמירים של אבטחת מידע ופרטיות.
| שם המעבד | מטרת השירות | מיקום | אמצעי הגנה |
|---|---|---|---|
| Amazon Web Services (AWS) | תשתית מחשוב, אחסון מסד נתונים, אחסון קבצים, רשת אספקת תוכן | ישראל (תל אביב) | ISO 27001, SOC 1/2/3, הצפנת AES-256 |
| Cloudflare, Inc. | אבטחת רשת (WAF), הגנת DDoS, CDN | גלובלי | ISO 27001, SOC 2, הצפנת TLS |
| Pinecone Systems, Inc. | בסיס נתונים וקטורי לאחזור מידע מבוסס AI | גלובלי | SOC 2 Type II, הצפנת מידע, RBAC |
| Google LLC | אנליטיקס, אימות זהות (Google Sign-In) | גלובלי | DPA, SCCs, ISO 27001 |
| ספקי מודלי שפה Google, OpenAI, Anthropic | עיבוד פרומפטים ויצירת תוכן באמצעות AI | גלובלי | Enterprise Agreements, SOC 2 / ISO 27001 |
| סאמיט (SUMIT) | עיבוד עסקאות וחיובים | ישראל | PCI-DSS Level 1 |
נספח ג': אמצעי אבטחה
| נושא | אמצעי יישום |
|---|---|
| הצפנה | הצפנת מידע במעבר (TLS) והצפנה במנוחה (Encryption at Rest). |
| בקרת גישה | ניהול הרשאות קפדני. גישה ניהולית באמצעות מפתחות SSH מוצפנים ו-2FA. |
| הגנה על רשת | שימוש בחומות אש אפליקטיביות (WAF) וניטור תעבורה. |
| גיבויים | גיבויים אוטומטיים יומיים ושמירתם למשך 30 יום לפחות. |
| ניהול עובדים | החתמת עובדים על סודיות ומתן גישה על בסיס "הצורך לדעת". |
| עדכוני תוכנה | עדכוני אבטחה שוטפים. אין שימוש במערכות שאינן נתמכות. |