מדיניות פרטיות — AmalotAI

עדכון אחרון: מאי 2026

1. כללי

מדיניות פרטיות זו מתארת כיצד AmalotAI בע"מ (להלן: "החברה", "אנחנו") אוספת, משתמשת ומגינה על המידע שלך בעת השימוש במערכת AmalotAI (להלן: "המערכת").

אנו מחויבים להגנה על פרטיותך ולעמידה בחוק הגנת הפרטיות, התשמ"א-1981 ותקנותיו, לרבות תיקון 13 שנכנס לתוקף ב-14 באוגוסט 2025, ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.

ממונה הגנת הפרטיות (DPO)

בהתאם לתיקון 13, מינינו ממונה הגנת פרטיות העומד בקשר ישיר עם הציבור וברשות להגנת הפרטיות:

  • שם: שי לוי
  • תפקיד: מייסד ו-CEO, AmalotAI בע"מ
  • דוא"ל: [email protected]

לכל פנייה בנושאי פרטיות, מימוש זכויות, אירוע אבטחת מידע, או דרישת מידע מהרשות להגנת הפרטיות.

2. מידע שאנו אוספים

אנו אוספים את סוגי המידע הבאים:

2.1 מידע על הסוכנות

  • שם הסוכנות ופרטי התקשרות
  • כתובת דוא"ל וסיסמה מוצפנת לצורך התחברות
  • לוגו הסוכנות (אם הועלה)

2.2 מידע עסקי

  • הסכמי עמלות עם חברות ביטוח
  • פרטי פוליסות ביטוח (מספר פוליסה, סוג מוצר, פרמיות, היקף נכסים)
  • נתוני עמלות ותשלומים
  • פרטי סוכנים (שם, תפקיד, היררכיה ארגונית)
  • הצעות ועסקאות ביטוח
  • יעדים עסקיים ומדדי ביצוע

2.3 מידע על לקוחות הסוכנות

  • שמות לקוחות
  • תעודות זהות (לצורך זיהוי פוליסות)
  • פרטי פוליסות הקשורות ללקוח

2.4 מידע טכני

  • כתובת IP, סוג דפדפן ומערכת הפעלה
  • זמני גישה ופעילות במערכת
  • עוגיות (cookies) לניהול סשן התחברות

3. כיצד אנו משתמשים במידע

  • חישוב עמלות ומעקב אחר תשלומים
  • התאמת דוחות עמלות מול חברות ביטוח
  • ניתוח ביצועים, יעדים ונתוני קיטום
  • הפקת דוחות רגולטוריים ועסקיים
  • שיפור המערכת ותיקון תקלות
  • תקשורת עם המשתמש (עדכונים, תמיכה)

4. שימוש בבינה מלאכותית (AI)

המערכת משתמשת בשירותי בינה מלאכותית חיצוניים לצורך חילוץ מידע ממסמכים (הסכמים, דוחות, הצעות), תמלול פגישות ייעוץ, וצ'אט יועץ עסקי. הספקים: Anthropic (Claude) ו-Groq (Whisper).

עקרונות הגנה על מידע בשימוש AI:

  • מסכת מידע מזהה (pseudonymization)— בערוצי הטקסט (תמלולי פגישות, צ'אט יועץ, קלט שיחה לחילוץ נתונים) המערכת מחליפה אוטומטית תעודות זהות, טלפונים, כתובות דוא"ל ומספרי חשבון בנק/IBAN באסימונים גנריים (למשל [ID_1]) לפני שליחה לספק. לאחר קבלת התשובה, האסימונים מוחזרים לערכים המקוריים אצלנו בלבד.
  • במסמכי PDF המועלים על ידי הסוכן (הצעות, הסכמים, נספחים) — המסמך נשלח לחילוץ כפי שהוא. ההעברה מתבצעת תחת הסכם עיבוד מידע (DPA) וסעיפים חוזיים סטנדרטיים (SCCs).
  • ספקי ה-AI אינם מאמנים את המודלים על נתוני לקוחות.
  • נתונים נשמרים אצל הספקים לתקופה קצרה (עד 30 יום) לצורכי איתור שימוש לרעה בלבד, ולאחר מכן נמחקים.
  • התקשורת עם שירות ה-AI מתבצעת באמצעות חיבור מוצפן (HTTPS/TLS 1.2+).

5. בידוד מידע (Multi-Tenant)

המערכת מיישמת ארכיטקטורת multi-tenant עם בידוד מלא ברמת השורה (row-level isolation).

  • כל סוכנות רואה אך ורק את המידע שלה.
  • מידע של סוכנות אחת אינו נגיש לסוכנות אחרת בשום אופן.
  • כל שאילתת מסד נתונים מסוננת אוטומטית לפי זהות הסוכנות המחוברת.

6. אחסון ואבטחת מידע

  • המידע מאוחסן בשרתים באירופה (גרמניה), בהתאם לתקנות הגנת מידע אירופאיות.
  • סיסמאות מאוחסנות בצורה מוצפנת (bcrypt) ואינן ניתנות לשחזור.
  • כל התקשורת מוצפנת באמצעות TLS 1.2 ומעלה.
  • גישה למסד הנתונים מוגבלת לשרתי האפליקציה בלבד.
  • גיבויים מוצפנים מבוצעים באופן שוטף.

7. שיתוף מידע ומעבדי משנה (Sub-Processors)

אנו לא מוכרים מידע אישי. אנו נעזרים בספקי שירות תשתית הפועלים כמעבדי משנה לפי תיקון 13 וה-GDPR (סעיף 28). כל אחד חתום איתנו על הסכם עיבוד מידע (DPA):

ספקתפקידמיקום
Supabaseמסד נתונים + אימות משתמשיםפרנקפורט, גרמניה (EU)
Hetznerשרתי אפליקציהפאלקנשטיין, גרמניה (EU)
CloudflareCDN, DNS, הגנה מ-DDoSגלובלי (תעבורה בלבד)
Cloudflare R2אחסון אובייקטים (PDF, אודיו)EU-West
Anthropicחילוץ AI ממסמכים, צ'אט יועץארה"ב (SCC + DPA)
Groqתמלול אודיו (Whisper)ארה"ב (SCC + DPA)

העברת מידע לארה"ב מתבצעת בהסתמך על סעיפים חוזיים סטנדרטיים (SCCs) מאושרים, כפי שמתיר תיקון 13 ותקנות הגנת הפרטיות (העברת מידע אל מאגרים שמחוץ לגבולות המדינה), התשס"א-2001. כל המידע המזהה (ת.ז., טלפון, דוא"ל, IBAN) עובר מסכה לפני שליחה לספקי AI בארה"ב.

רשימה זו עשויה להתעדכן. עדכון מהותי יפורסם 30 יום מראש בכתובת זו.

גילוי על פי חוק: נחשוף מידע אם נידרש על פי חוק, צו בית משפט או דרישת רשות מוסמכת.

8. שמירת מידע ומחיקה

  • המידע נשמר כל עוד המנוי פעיל.
  • עם ביטול המנוי, המידע נשמר למשך 90 יום נוספים לצורך ייצוא.
  • לאחר 90 יום מסיום ההתקשרות, כל המידע נמחק לצמיתות.
  • ניתן לבקש ייצוא מלא של המידע בכל עת בפורמט CSV/Excel.
  • ניתן לבקש מחיקת חשבון ומידע באמצעות פנייה ל[email protected].

9. זכויותיך

בהתאם לחוק הגנת הפרטיות, עומדות לך הזכויות הבאות:

  • זכות עיון: לעיין במידע המוחזק עליך במערכת.
  • זכות תיקון: לבקש תיקון מידע שגוי.
  • זכות מחיקה: לבקש מחיקת המידע שלך.
  • זכות ייצוא: לקבל את המידע שלך בפורמט קריא.
  • זכות התנגדות: להתנגד לעיבוד מידע לצרכים שאינם חיוניים לשירות.

לממוש זכויותיך, פנה אלינו בכתובת: [email protected]

10. עוגיות (Cookies)

המערכת משתמשת בעוגיות הכרחיות בלבד:

  • עוגיית סשן: לניהול ההתחברות. פגה בסגירת הדפדפן או לאחר 30 יום.
  • עוגיית אבטחה (CSRF): למניעת מתקפות Cross-Site Request Forgery.

אנו לא משתמשים בעוגיות מעקב, עוגיות פרסום או כלי ניתוח צד שלישי.

11. שינויים במדיניות

אנו רשאים לעדכן מדיניות זו מעת לעת. שינויים מהותיים יפורסמו באימייל ובמערכת לפחות 14 יום מראש. המשך השימוש לאחר השינוי מהווה הסכמה למדיניות המעודכנת.

12. אירוע אבטחת מידע (Data Breach)

במקרה של אירוע אבטחת מידע חמור, נדווח על כך לרשות להגנת הפרטיות באופן מיידי, ולמשתמשים המושפעים בהקדם האפשרי, בהתאם לחובת הדיווח לפי תיקון 13. לדיווח חשד לאירוע: [email protected] (ממונה הגנת הפרטיות).

13. יצירת קשר

לשאלות בנוגע למדיניות פרטיות זו או לממוש זכויותיך, ניתן לפנות אלינו:

ניתן גם להגיש תלונה לרשות להגנת הפרטיות בכתובת gov.il.

תנאי שימושאבטחת מידעמדיניות החזריםחזרה להתחברות
תנאי שימוש·פרטיות·נגישות