שקיפות מלאה באבטחת המידע, הפרטיות והציות הרגולטורי שלנו. מערכת בדרגת-ארגון המיועדת למשרדי עורכי דין וחברות מימוש זכויות רפואיות בישראל.
Mazor.AI תוכננה מהיסוד עם עקרונות Defense-in-Depth — שמונה שכבות הגנה שפועלות במקביל כדי להבטיח שהמידע הרגיש של לקוחותיכם מוגן בכל רגע נתון.
כל המידע מוצפן במנוחה ב-AES-256 ובמעבר ב-TLS 1.3. מפתחות רגישים מאוחסנים בנפרד ומסובבים תקופתית.
תמיכה מלאה ב-TOTP ו-SMS, אימות מכשיר בכניסה חדשה והיסטוריית כניסות מלאה לכל משתמש.
מעל 37 הרשאות פרטניות, 8 תפקידים מוגדרים מראש ו-3 רמות תיחום (אישי/צוות/ארגון) — שליטה מלאה על מי רואה מה.
כל סביבת עבודה מבודדת לחלוטין ברמת ה-DB באמצעות accountId מאומת, ללא אפשרות לדלוף בין לקוחות.
Content Security Policy מחמירה, הגנת CSRF עם השוואה בזמן קבוע (timing-safe) ו-SameSite cookies.
סניטיזציה של אופרטורי MongoDB ($gt, $ne, $regex), אימות סכמות וביטול רקורסיה עמוקה בקלט משתמש.
מגבלות חכמות לכל נתיב: 15 ניסיונות אימות ב-15 דק', הגנה מפני brute-force ו-DoS אפליקטיבי.
כל הודעת צ'אט מסוננת מתגי HTML, מוגבלת לאורך מרבי ונבדקת ברמת החיבור לפני הפצה.
אנו פועלים לפי הסטנדרטים המחמירים ביותר בתעשייה — בין אם אתם כפופים לרגולציה ישראלית, אירופית או אמריקאית, Mazor.AI תעמוד בדרישות שלכם.
תקן ניהול אבטחת מידע בינלאומי. מערך הבקרות שלנו מתיישר לדרישות התקן.
בתהליך הסמכהביקורת חיצונית עצמאית של בקרות אבטחה, זמינות, עיבוד ופרטיות על פני תקופת ביקורת ממושכת.
מתוכנן 2026עומדים במלוא חוק הגנת הפרטיות התשמ"א-1981 ותקנות אבטחת מידע התשע"ז-2017 (רמה בינונית).
תואמיםמוכנים לשרת לקוחות באיחוד האירופי — DPA, זכויות נושאי מידע, ופנקס פעולות עיבוד.
GDPR-readyבקרות טכניות, פיזיות ומנהליות התואמות לדרישות HIPAA לטיפול במידע בריאותי מוגן (PHI).
HIPAA-readyPen-tests חיצוניים על ידי חוקרי אבטחה מוסמכים, כולל OWASP Top 10 ובדיקות אפליקטיביות.
רבעונישרשרת ביקורת עמידה בפני שינוי (tamper-evident) שמאפשרת לכם לדעת בכל רגע מי עשה מה, מתי ומאיפה.
מדיניות ברורה ומחייבת לגבי מיקום הנתונים, תקופת השמירה, הגיבויים והזכות למחיקה.
מסדי הנתונים מתארחים באיחוד האירופי (אירלנד) ובישראל לפי בחירת הלקוח. ללא העברת נתונים מחוץ לשטחים אלו ללא אישור מפורש.
נתוני לקוחות נשמרים לכל אורך המנוי ועד 90 יום לאחר סיום השירות. יומני ביקורת נשמרים 7 שנים כנדרש בחוק.
Point-in-Time Recovery רציף, RPO < 5 דקות, RTO < שעה. סימולציות DR רבעוניות לוודא זמן התאוששות בפועל.
זכות הלקוח לבקש מחיקה מלאה של נתוניו במסגרת 30 יום. מחיקה קריפטוגרפית מלאה כולל גיבויים ורפליקות.
כל שירות חיצוני שאנו משתמשים בו, המטרה שלו ותפקידו במערכת. אנחנו לא מתחבאים מאחורי "ספקי צד ג'".
| שירות | ספק | שימוש | אזור |
|---|---|---|---|
| MongoDB Atlas | MongoDB Inc. | מסד נתונים ראשי — אחסון כל נתוני הלקוחות, המסמכים והתיקים | EU (Ireland) |
| Amazon SES | Amazon Web Services | שליחת מיילים טרנזקציוניים (איפוס סיסמה, התראות, שליחת מסמכים) | EU (Ireland) |
| Amazon SNS | Amazon Web Services | שליחת הודעות SMS (התראות ואימות) | EU (Ireland) |
| Tranzila | Tranzila Ltd. | סליקת כרטיסי אשראי (PCI-DSS Level 1) | ישראל |
| Google Gemini | Google LLC | מודלי AI לניתוח מסמכים רפואיים (ללא שמירת שאילתות) | Global |
| Render | Render Services Inc. | אחסון אפליקציה (Hosting, CDN, SSL) | EU / US |
יש לכם חשד לאירוע אבטחה? מצאתם פגיעות? דווחו לנו ונחזור אליכם במהירות.
פנו אלינו ישירות לצוות האבטחה בכתובת security@mazor.ai — הכתובת מנוטרת 24/7.
אישור קבלה תוך 24 שעות. עדכון חקירה תוך 72 שעות. הודעה רשמית ללקוחות מושפעים בהתאם לחוק.
צוות האבטחה שלנו זמין לענות על כל שאלה — מהסכמי DPA ועד שאלוני ספקים מפורטים.