כיצד Fortress מגנה על נתוני הלקוחות

[TBD: SOC 2 status — replace with one of: "Fortress מוסמכת SOC 2 Type II נכון ל-<תאריך>." | "Fortress נמצאת כעת בתהליך ביקורת ל-SOC 2 Type II, ביעד <רבעון שנה>." | "הסמכת SOC 2 מתוכננת במפת הדרכים שלנו ל-<רבעון שנה>; בינתיים אנו פועלים תפעולית לפי עקרונות הבקרה של SOC 2."]

[TBD: ISO 27001 status — replace with current state. If not yet pursued, say so plainly: "טרם נכנסנו לתהליך. אנו פועלים תפעולית לפי שיטות הבקרה של ISO/IEC 27001."]

כן. Fortress Cyber מעבדת נתוני לקוחות בהתאם לתקנת הגנת המידע הכללית של האיחוד האירופי (GDPR). אנו תומכים בבקשות גישה של נושאי מידע, בקשות מחיקה והודעה על אירועי דליפה בתוך מסגרות הזמן הנדרשות. נתוני לקוחות מהאיחוד האירופי מתארחים באזורי האיחוד האירופי כאשר מתבקש. צרו קשר עם security@fortresscyber.io לקבלת הסכם עיבוד הנתונים (DPA) העדכני.

מודול ה-GRC של Fortress ממפה בקרות לדרישות NIS2 ו-DORA, ומסייע ל-MSP הרלוונטיים להציג ראיות תאימות למבקרים. Fortress פועלת כמעבד (processor) על נתוני הלקוח ותומכת בתנאים החוזיים ש-NIS2 ו-DORA דורשים מספקי שירותי ICT קריטיים.

[TBD: data residency — replace with the actual Neon Postgres region(s) you use, e.g.: "נתוני הלקוחות מאוחסנים ב-Neon Postgres ב-<AWS US East / EU West>. מיקום אחסון באיחוד האירופי זמין לפי בקשה עבור לקוחות אירופיים."]

הנתונים מוצפנים במנוחה (at rest) על ידי Neon (AES-256) ובמעבר (in transit) באמצעות TLS 1.2+ בכל נקודות הקצה. הדומיין fortresscyber.io אוכף HTTPS באופן בלעדי ומוגן על ידי Cloudflare עם HSTS מופעל.

Fortress מסתמכת על הצדדים השלישיים הבאים להפעלת ה-Channel Enablement OS: Vercel (אירוח ה-frontend וה-API ה-serverless), Neon (מסד נתונים Postgres), Cloudflare (DNS, WAF, הגנת קצה), Mailtrap (דוא"ל טרנזקציוני), PostHog (אנליטיקת מוצר), Google (OAuth להתחברות לקוחות במקרים הרלוונטיים). רשימת מעבדי המשנה העדכנית זמינה לפי בקשה ב-security@fortresscyber.io; אנו מספקים הודעה מראש של 30 יום לפני הוספת מעבדי משנה חדשים שמעבדים נתוני לקוחות.

הגישה לנתוני הלקוחות מוגבלת לעובדי Fortress בעלי צורך תפעולי מתועד, מוענקת לפי עקרון ההרשאה המזערית (least privilege) ונבחנת מדי רבעון. כל גישה לסביבת הייצור מחייבת MFA, כל גישה נרשמת ביומן, ויומני הביקורת נשמרים למשך [TBD: retention period — typically 12 months]. אנו איננו מוכרים, משתפים או משתמשים בנתוני הלקוחות לכל מטרה אחרת מלבד אספקת שירות Fortress.

[TBD: SSO/MFA status — replace with what you actually support today, e.g.: "Fortress מחייבת MFA לכל חשבונות הניהול ותומכת ב-SAML SSO באמצעות <Okta / Azure AD / Google Workspace> בתוכניות Business ו-Enterprise."]

Fortress מנהלת תהליך מתועד לתגובה לאירועים (incident response). אירועי אבטחה מאומתים מזוהים באמצעות טלמטריה חוצת-דיירים (cross-tenant) של MerlinAI ומערך הניטור הפנימי שלנו. לקוחות מושפעים מקבלים הודעה בתוך [TBD: SLA — typically 24-72 hours] ממיון האירוע המאומת, בצירוף פרטים, צעדי הקלה (mitigation) ותיקון (remediation). דוחות לאחר אירוע משותפים עם הלקוחות המושפעים בתוך 14 יום.

שלחו דוא"ל ל-security@fortresscyber.io עם פרטים, שלבי שחזור והשפעה. אנו מאשרים קבלת דיווחים בתוך 2 ימי עסקים. חוקרים הפועלים בתום לב מוגנים מפני הליכים משפטיים תחת תנאי המקלט הבטוח (safe-harbor) שלנו. ראו /.well-known/security.txt לכתובת הקשר הקנונית ולכתובות מסמכי המדיניות.

[TBD: bug bounty — replace with current state, e.g.: "עדיין לא. אנו מקבלים דיווחי פגיעויות פרטיים באמצעות security@fortresscyber.io ומאשרים דיווחים מאושרים לפי בקשה." | "כן — ראו <bug bounty URL> להיקף ולמדרגות התגמול."]

[TBD: retention — replace with actuals, e.g.: "נתוני דייר פעיל נשמרים למשך כל תקופת ההתקשרות עם הלקוח. עם סיום ההתקשרות, הנתונים נמחקים בתוך 30 יום אלא אם חל עליהם עיכוב משפטי (legal hold). יומני ביקורת נשמרים למשך 12 חודשים. תצלומי גיבוי (snapshots) נשמרים למשך 35 יום."]

כן. ה-DPA הסטנדרטי שלנו זמין לפי בקשה ב-security@fortresscyber.io ונחתם טרם ההתקשרות עבור כל הלקוחות באיחוד האירופי וכל לקוח שמעבד נתונים של תושבי האיחוד האירופי דרך הפלטפורמה.