my.proposal חזרה לדף הבית

אבטחה ב-My Proposal

החוזים שלכם והנתונים של הלקוחות שלכם ראויים להגנות הכי חזקות שיש. הנה בדיוק איך אנחנו מגנים עליהם.

תשתית

מאוחסן על Supabase + Vercel

My Proposal רץ על Supabase (PostgreSQL עם Row-Level Security) המאוחסן על AWS, ועל רשת ה-Edge של Vercel לשכבת האפליקציה. שני הספקים שומרים על תעודות SOC 2 Type II ועוברים ביקורות אבטחה תקופתיות מצד שלישי. הנתונים מאוחסנים ב-US-East כברירת מחדל, אזור נתונים באירופה זמין בתוכנית Agency.

הצפנה

AES-256 במנוחה, TLS 1.2+ במעבר

כל הנתונים במנוחה, כולל תוכן הצעות, מדיה שהועלתה ומידע אישי, מוצפנים בעזרת AES-256 בניהול ספקי התשתית שלנו. כל הנתונים במעבר מוצפנים בעזרת TLS 1.2 או גבוה יותר. אנחנו אוכפים HTTPS על כל נקודות הקצה ודוחים חיבורי HTTP גלויים.

בקרת גישה

אבטחה ברמת השורה (RLS)

כל שאילתה למסד הנתונים מוגבלת למשתמש המאומת דרך מדיניות Row-Level Security של Supabase. זה אומר שזה נאכף ברמת מסד הנתונים, לא רק ברמת האפליקציה, כך שגם נתיב API שגוי לא יכול להחזיר נתונים של משתמש אחר. הצעות שסומנו כ-sent/viewed/signed ניתנות לקריאה לכל מי שיש לו את הקישור (לפי תכנון), טיוטות הצעות פרטיות לחלוטין.

אימות

סיסמאות מוצפנות עם bcrypt, OAuth 2.0 דרך Google

סיסמאות מוצפנות בעזרת bcrypt עם work factor של 12 לפני האחסון. אנחנו לעולם לא שומרים או רושמים סיסמאות בטקסט גלוי. אנחנו תומכים ב-Google OAuth 2.0 כאופציה להתחברות ללא סיסמה. אסימוני סשן נשמרים ב-JWTs קצרי טווח עם רוטציה אוטומטית.

תשלומים

עיבוד תשלומים בתאימות PCI

עיבוד התשלומים מטופל על ידי Green Invoice / Morning API. My Proposal לעולם לא מקבל, שומר או מעביר מספרי כרטיסים מלאים. אנחנו שומרים רק את מותג הכרטיס וארבע ספרות אחרונות לצורכי תצוגה. שליחת טופס התשלום הולכת ישירות למעבד התשלום.

חתימה אלקטרונית

חתימות מחייבות משפטית עם יומן ביקורת

חתימות שנאספות דרך My Proposal עומדות בחוק ESIGN של ארה״ב, UETA ותקנת eIDAS של האיחוד האירופי. כל הצעה חתומה כוללת יומן ביקורת חסין שינויים המכיל: שם החותם, אימייל החותם, כתובת IP, חותמת זמן (UTC) ו-hash של המסמך החתום.

העלאת קבצים

מדיה שהועלתה מבודדת לפי משתמש

תמונות וסרטונים שהועלו להצעות מאוחסנים ב-Supabase Storage בנתיב המוגבל למזהה של המשתמש המעלה ({userId}/...). מדיניות האחסון אוכפת שמשתמשים יכולים לשנות רק את הקבצים שלהם. הדלי קריא לציבור דרך URL עבור לקוחות שצופים בהצעות, וזה צפוי ולפי תכנון.

דיווח אחראי

אם גיליתם פרצת אבטחה ב-My Proposal, אנא דווחו עליה בצורה אחראית לפני חשיפה ציבורית. נאשר את הדיווח שלכם תוך 48 שעות ונשאף לפתור בעיות קריטיות תוך 7 ימים.

security@myproposal.app →