הסכם עיבוד מידע (DPA) — LEVOR Remote Desktop

עדכון אחרון: מרץ 2026

            העיקר: הסכם זה מגדיר כיצד LEVOR מעבד מידע אישי מטעם לקוחותיה, בהתאם לחוק הגנת הפרטיות הישראלי (תשמ"א-1981), תקנות הגנת הפרטיות (אבטחת מידע) התשע"ז-2017, ותקנות ה-GDPR האירופי.
        

1. הגדרות

"בעל המידע" (Controller): הלקוח שרכש מנוי ל-LEVOR ומחליט על מטרות ואמצעי עיבוד המידע האישי.
"מעבד המידע" (Processor): LEVOR Technologies Ltd., המעבד מידע אישי מטעם בעל המידע.
"נושא המידע" (Data Subject): אדם שניתן לזהותו מתוך המידע האישי — משתמשים, עובדים, או צד שלישי שמכשירם מנוהל דרך השירות.
"מידע אישי": כל מידע הנוגע לאדם מזוהה או ניתן לזיהוי, כולל שם, דוא"ל, כתובת IP, מזהה מכשיר, ומטאדטה של חיבורים.
"עיבוד": כל פעולה המבוצעת במידע אישי, לרבות איסוף, שמירה, שימוש, העברה, ומחיקה.
"הפרת מידע" (Data Breach): אירוע אבטחה שגורם לגישה בלתי מורשית, אובדן, או שינוי של מידע אישי.

2. היקף העיבוד

א. סוגי מידע אישי שנאספים

פרטי חשבון: שם, דוא"ל, סיסמה מוצפנת (bcrypt)
מזהי מכשירים: PersistentAgentId, שם מחשב, מערכת הפעלה
מטאדטה של Sessions: זמנים, משך, גודל נתונים, סוג חיבור (P2P/Relay)
לוגי אבטחה: כניסות, שינויי הרשאות, אירועי אבטחה (50 סוגי audit events)
כתובות IP ומידע גיאוגרפי כללי

ב. מידע שאינו נגיש ל-LEVOR

בשל ההצפנה מקצה לקצה (E2E) באמצעות libsodium, המידע הבא מוצפן ואינו נגיש לשרתי LEVOR:

תוכן מסך שנצפה מרחוק
הקלדות ופקודות עכבר
קבצים שהועברו
תוכן לוח הגזירה
אודיו

ג. מטרות העיבוד

הפעלת שירות שליטה מרחוק וניהול מכשירים
אימות משתמשים וניהול הרשאות
חיוב ועיבוד תשלומים
אבטחת מידע, זיהוי חדירות, ומניעת הונאה
שיפור ביצועי השירות ואיתור תקלות

3. אמצעי אבטחה

LEVOR מיישם את אמצעי האבטחה הבאים בהתאם לתקנות אבטחת מידע:

א. הצפנה

הצפנה מקצה לקצה: XChaCha20-Poly1305 עם החלפת מפתחות X25519
הצפנה בתעבורה: TLS 1.2+ בכל התקשורת
סיסמאות מוצפנות: bcrypt עם salt ייחודי

ב. בקרת גישה

אימות JWT עם refresh tokens ואפשרות ל-2FA
מערכת הרשאות רב-שכבתית: DevicePermissionService, DeviceShare, AccessPolicy
5 רמות גישה: None, ViewOnly, Control, FullAccess, Owner
הרשאות ברמת ארגון עם 5 תפקידים: Viewer, Member, Manager, Admin, Owner

ג. תיעוד וביקורת

50 סוגי אירועי audit מתועדים
לוגי אבטחה נשמרים 90 יום
מעקב אחר כל שינוי הרשאות

ד. אבטחה פיזית ותשתית

שרתים מתארחים ב-Hetzner (גרמניה/פינלנד), תאימות ISO 27001
גיבויים יומיים מוצפנים
הגבלת קצב (Rate Limiting): 100 בקשות/דקה, 5 ניסיונות כניסה/דקה

4. תת-מעבדים (Sub-Processors)

LEVOR משתמש בתת-מעבדים הבאים, באישור בעל המידע:

ספק	מטרה	מיקום	מידע שמועבר
Hetzner Online GmbH	אירוח שרתים	גרמניה / פינלנד	כל המידע מוצפן בשרת
Stripe Inc.	עיבוד תשלומים	ארה"ב (Privacy Shield / SCCs)	דוא"ל, פרטי תשלום
ICount	חשבוניות	ישראל	שם, דוא"ל, סכומי תשלום

LEVOR תיידע את בעל המידע 30 יום מראש לפני הוספת תת-מעבד חדש. לבעל המידע זכות להתנגד.

5. זכויות נושאי מידע

LEVOR מסייע לבעל המידע למלא את חובותיו כלפי נושאי מידע, כולל:

זכות גישה: מתן עותק של המידע האישי תוך 30 יום מהבקשה
זכות תיקון: תיקון מידע לא מדויק או חלקי
זכות מחיקה: מחיקת מידע אישי ("הזכות להישכח") תוך 30 יום
זכות ניוד: ייצוא מידע בפורמט מובנה (JSON/CSV)
זכות התנגדות: הגבלת עיבוד מסוים של מידע

בקשות יש להפנות ל-privacy@levorapp.org. LEVOR תשיב תוך 72 שעות ותבצע תוך 30 יום.

6. הפרת מידע

במקרה של הפרת מידע, LEVOR מתחייב:

להודיע לבעל המידע תוך 72 שעות מרגע הגילוי
לספק מידע מפורט: סוג ההפרה, מספר נושאי המידע המושפעים, ההשלכות האפשריות, והפעולות שננקטו
לסייע לבעל המידע בדיווח לרשות הגנת הפרטיות ולנושאי מידע בהתאם לחוק
לתעד כל הפרה ואת הפעולות שננקטו לתיקון

7. מחיקה והשבת מידע

עם סיום ההסכם, LEVOR ימחק את כל המידע האישי תוך 30 יום, אלא אם קיימת דרישה חוקית לשמירתו
בעל המידע רשאי לבקש ייצוא של כל המידע לפני המחיקה
גיבויים יימחקו תוך 90 יום ממועד סיום ההסכם
LEVOR יספק אישור בכתב על השלמת המחיקה

8. ביקורות

בעל המידע רשאי, בהודעה מוקדמת של 30 יום:

לבקש דוח ביקורת אבטחה שנתי
לערוך ביקורת באמצעות גורם חיצוני מוסמך (על חשבון בעל המידע)
לבדוק את תאימות LEVOR להסכם זה

9. העברה בין-לאומית

מידע אישי עשוי להיות מועבר ומאוחסן מחוץ לישראל, בכפוף ל:

סעיפי חוזה סטנדרטיים (SCCs) של האיחוד האירופי
החלטות התאמה של רשות הגנת הפרטיות
שרתים בגרמניה/פינלנד (Hetzner) — תאימות GDPR מלאה

10. יצירת קשר

לשאלות בנוגע להסכם עיבוד מידע:

דוא"ל: dpo@levorapp.org

ראה גם: מדיניות פרטיות | מדיניות אבטחה