אבטחה

אבטחה מטופלת כניהול סיכונים מבני. אמצעי הגנה מידתיים לאופי הפלטפורמה.

ממשל

גרסה: 2.0
תאריך תוקף: 22 בפברואר 2026
נבדק לאחרונה: 22 בפברואר 2026
בדיקה הבאה: 22 בפברואר 2027
אחראי: Joel R. Klemmer

סעיף 1. היקף ועמדת פלטפורמה

זהו אתר סמכות מידעי. הוא לא מעבד תשלומים. הוא לא מאחסן חשבונות משתמשים. הוא לא שומר מסדי נתונים מתמשכים של משתמשים מעבר לצרכים תפעוליים מוגבלים. שטח הסיכון מוגבל במכוון בתכנון.

מחויבויות אבטחה חלות על אתר זה ועל תשתית האירוח שלו. אנחנו לא טוענים לאבטחת נתונים המעובדים במלואם על ידי שירותי צד שלישי מעבר לציפיות החוזיות שלנו. נתונים המועברים לשירותי צד שלישי כפופים לבקרות האבטחה העצמאיות שלהם.

סעיף 2. פיתוח ופריסה מאובטחים

שיקולי אבטחה משולבים בעיצוב הפיתוח, סקירת הקוד ותהליכי הפריסה.

כל השינויים עוברים דרך שליטה בגרסאות. אינטגרציה רציפה מחילה בדיקות פורמט, ביקורות תלויות, לינטינג ושערי אימות לפני בנייה.

במקום המתאים, סביבות ייצור ופיתוח מופרדות לוגית. הגישה למערכות פריסה מוגבלת באמצעות בקרות גישה מבוססות תפקיד בהתאמה לצרכי תפעול.

אירועים רלוונטיים לאבטחה עשויים להירשם ולהיבדק בהתאמה לדרישות התפעוליות.

סעיף 3. בקרות תשתית

סביבת אירוח

האתר מתארח על תשתית שמספקת סיום TLS ותעבורה מוצפנת. חוסן תשתית ונהלי גיבוי מנוהלים על ידי ספק האירוח.

אבטחת תעבורה

כל התעבורה מוצפנת באמצעות HTTPS. תוכן מעורב לא משמש. HSTS מופעל בייצור עם preload. סיום TLS מתרחש בקצה.

כותרות HTTP לאבטחה

האתר שולח כותרות אבטחה הכוללות Content Security Policy, X-Content-Type-Options nosniff, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin ו-Permissions-Policy המגביל מצלמה, מיקרופון, גיאולוקיישן ותכונות קשורות. הטמעת אובייקטים ומסגרות מבוטלת.

סעיף 4. בקרות אפליקציה

טיפול בקלט

קלט טופס יצירת קשר מאומת. נאספים רק נתונים נחוצים. הגבלת קצב נאכפת בהתאם לתצורת הפריסה.

ניהול תלויות

תלויות חבילות מנוהלות דרך מערכת התלויות של הפרויקט. אינטגרציה רציפה סורקת פגיעויות קריטיות. בעיות שאותרו מוערכות ומטופלות בהתאם לחומרה ולהתאמה.

שלמות תוכן

האתר סטטי בעיקרו. ביצוע דינמי מוגבל לפונקציונליות חיונית. מקורות סקריפט וסגנון מוגבלים דרך Content Security Policy.

סעיף 5. הגנת נתונים

איסוף הנתונים מינימלי. פניות יצירת קשר מעובדות רק לתקשורת. אין מכירה מחדש, אין פרופילינג, אין אחסון חשבון משתמש מתמשך.

למידע נוסף אודות פרקטיקות נתונים, ראו את דף הפרטיות.

סעיף 6. עוגיות וסשנים

אין שימוש בעוגיות מהשרת למעקב או אימות. כל עוגיה עתידית תעקוב אחר פרקטיקות תצורה מאובטחות כולל תכונות secure, sameSite ו-httpOnly במקום המתאים.

סעיף 7. ניהול פגיעויות

תלויות מנוטרות באמצעות כלי ניהול חבילות סטנדרטיים. עדכוני תשתית מנוהלים על ידי ספק האירוח.

אין ביכולתנו להבטיח כיסוי zero-day. בעיות אבטחה מוערכות ומטופלות כשאותרות.

במקרה של אירוע אבטחה הכולל נתונים אישיים תחת שליטתנו, נפעל בהתאמה לחובות החוקיות הרלוונטיות.

סעיף 8. גילוי אחראי

ניתן לדווח על חששות אבטחה דרך דף יצירת קשר. דוחות צריכים לכלול תיאור ברור של הבעיה, שלבי שחזור וה-URL או הרכיב המושפע.

אל תכללו קוד ניצול פעיל בדוח הראשוני.

אנו שואפים לאשר קבלת דוחות בתוך זמן סביר. אין הבטחת זמן תגובה.

סעיף 9. נמל מבטחים

לא נרדוף אחר חוק נגד חוקרים המדווחים על פגיעויות בתום לב, נשארים במסגרת המתוארת במדיניות זו, נמנעים מגישה או שינוי נתונים מעבר למה שנדרש להפגנת הבעיה ונמנעים מפגיעה בפרטיות או הפרעת שירות.

נמל מבטחים זה חל רק על פעילויות שבוצעו במסגרת המתוארת במדיניות זו ואינו מאשר פעולות המפרות את החוק החל או תנאי שירותי צד שלישי.

בדיקת denial of service, הנדסה חברתית של צוות או בדיקה של שירותי צד שלישי אינה מותרת.

סעיף 10. מגבלות

אף מערכת אינה חסינה מפני סיכון. דף אבטחה זה אינו מהווה אחריות או התחייבות חוזית לאבטחה.

הצהרות במסמך זה משקפות פרקטיקות נוכחיות ועשויות להשתנות ללא הודעה מוקדמת.

משתמשים אחראים לשמירה על פרקטיקות אבטחה סבירות במכשירים וברשתות שלהם.

סעיף 11. ממשל ובדיקה

עמדת האבטחה נבדקת מעת לעת. שינויים מהותיים יישתקפו בסעיף הממשל.

עודכן לאחרונה: 2026-02-22