הסכם אבטחת מידע
הסכם אבטחת מידע זה נחתם בין בוס פתרונות תוכנה בע"מ (להלן: "החברה") לבין הלקוח . הסכם אבטחת מידע זה מצטרף לתנאים הכלליים.
הואיל והחברה תספק ללקוח תוכנה ושירות כהגדרתם בתנאים כלליים (להלן: "המערכת" ו – "ההסכם");
והואיל והלקוח מעוניין כי החברה תעניק לו את שירותיה בהתאם להוראות ההסכם;
והואיל ולחברה תהיה גישה למידע (כהגדרתו בהסכם אבטחת מידע זה) אשר יאוחסן במערכת;
והואיל וברצון הצדדים להסדיר את נושא אבטחת המידע בכל הקשור לקבלת גישה של החברה למידע;


לפיכך הוצהר, הוסכם והותנה בין הצדדים כדלקמן:

כללי

1. המבוא להסכם זה והנספחים לו מהווים חלק בלתי נפרד ממנו.

2. כותרות הסעיפים הינם לנוחיות בלבד ולא ישמשו לפרשנותו של הסכם זה.
הגדרות:
"חוקי הגנת הפרטיות"
חוק הגנת הפרטיות, התשמ"א-1981, התקנות שהותקנו ו/או שיותקנו מכוחו לרבות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, הנחיות הרשות להגנת הפרטיות כפי שיהיו בתוקף מעת לעת.
"מאגרי המידע"
מאגרי מידע בבעלות הלקוח.
"מידע"
"מידע" ו -"מידע רגיש" כהגדרת המונחים בחוק הגנת הפרטיות, התשמ"א-1981 אשר ייאסף במערכת.
"נושאי המידע"
אנשים שהמידע נאסף אודותיהם.


הצהרת והתחייבויות הלקוח
הלקוח מצהיר ומתחייב כלפי החברה כדלהלן:
3. כי אין כל מניעה להתקשרותו בהסכם אבטחת מידע זה ולמילוי התחייבויותיו על-פיו.

4. כי הוא עומד בהוראות כל דין לרבות חוקי הגנת הפרטיות, לרבות אך לא רק, בכל הקשור לרישום מאגרי מידע אצל רשם מאגרי המידע בהתאם לחוקי הגנת הפרטיות וכל דין.

5. כי הוא מצהיר ומתחייב כי הוא בעל מאגר המידע והוא הבעלים של המידע.

6. כי איסוף, שמירה, עיבוד והעברת המידע לידי החברה מתבצע וימשיך להתבצע בהתאם להוראות כל דין לרבות חוקי הגנת הפרטיות. מבלי לגרוע מכלליות האמור, הלקוח קיבל את כל האישורים הנדרשים ונתן את כל ההודעות הנדרשות לנושאי המידע לשם העברה, שמירה, אחסון ועיבוד המידע על ידי החברה.

7. כי יעשה שימוש במערכת בהתאם להוראות כל דין, לרבות חוקי הגנת הפרטיות.

8. כי הוא ביצע את כל הבדיקות הנדרשות טרם התקשרות בהסכם, ומצא שהוראות הסכם אבטחת מידע זה לרבות אמצעי אבטחת המידע המפורטים בנספח 1 להסכם אבטחת מידע זה, עומדים ומקיימים את הוראות הדין לרבות חוקי הגנת הפרטיות ומשקפים את הדרישות של הלקוח בכל הקשור לאבטחה והגנה של המידע.

9. כי ידוע לו שנכון למועד חתימת הסכם זה, המידע נשמר בישראל ומחוץ לישראל. הלקוח מצהיר ומאשר כי החברה תהא רשאית להעביר את המידע בהתאם לשיקול דעתה הבלעדי לאיחסון אצל צדדים שלישיים בישראל ומחוץ לישראל לרבות במדינות שרמת ההגנה שניתנת למידע שונה מרמת ההגנה שניתנת למידע בהתאם לחוקי הגנת הפרטיות.

10. כי הוא נותן הוראה מפורשת ובלתי חוזרת לחברה כי המערכת תתממשק למערכות נוספות כפי שאושר על ידי החברה מראש ובכתב ובהתאם לתנאים שייקבעו על ידי החברה, בין היתר, מערכות נוספות של ספקים של הלקוח, וכן תאפשר העברת מידע באופן חד כיווני או דו כיווני כפי שאושר על ידי החברה מראש ובהתאם לתנאים שנקבעו על ידי החברה לרבות אתרי מסחר אלקטרוני, אפליקציות ועוד. למען הסר ספק, הממשקים בין המערכת לבין הצדדים השלישיים כאמור הם באחריות מלאה ובלעדית של הלקוח. מבלי לגרוע מהוראות ההסכם, מובהר כי החברה לא תהא אחראית לכל נזק, מכל מין וסוג, בקשר עם ממשק בין המערכת לבין צדדים שלישיים, העברת מידע באופן חד כיווני או דו כיווני, שמירה, איחסון, הגנה על מידע ואבטחתו אצל צדדים שלישיים ועוד.

11. כי ידוע לו והוא מאשר לחברה להעביר את המידע אשר נשמר ומצוי במערכת לצדדים שלישיים אשר מעניקים לחברה שירותים בקשר עם המערכת, וכן בקשר עם השירותים שהחברה מעניקה ללקוח, וזאת בין היתר אך לא רק בקשר עם ביצוע חתכים, ניתוחים, עיבוד נתונים, משלוח מסרונים, דיוור וכיוב', והכל בהתאם לשיקול דעתה של החברה וכפי שישתנה מעת לעת.

התחייבויות החברה
החברה מצהירה ומתחייבת כלפי הלקוח כדלהלן:
12. כי תהא רשאית לבצע את כל הפעולות הנדרשות לרבות הפעולות המפורטות בנספח 1 להסכם אבטחת מידע זה לצורך מתן השירותים כמפורט בהסכם (להלן: "המטרה").

13. כי תפעל בהתאם לנהלי אבטחת המידע המפורטים בנספח 1 להסכם אבטחת מידע זה. החברה תהא רשאית לעדכן ולשנות את אמצעי אבטחת המידע המפורטים בנספח 1 כאמור במסירת הודעה ללקוח בכתב.

14. כי לא תאפשר לצד שלישי כלשהו לגשת למידע אלא לשם מימוש המטרה ובין היתר תהא רשאית להתקשר עם קבלני משנה, נותני שירותים ועוד והכל בקשר עם מימוש המטרה.

15. כי עובדי החברה, נותני שירותים וקבלני משנה אשר יקבלו גישה למידע יחתמו על התחייבות לשמירת סודיות.

16. כי תעניק גישה למידע לעובדים ולנותני שירותים אשר נדרשים לכך, לצורך ביצוע תפקידם (להלן ביחד: "העובדים המורשים") וכפי שישתנה מעת לעת על ידי החברה ובהתאם לשיקול דעתה הבלעדי. נכון למועד חתימת הסכם זה העובדים המורשים הם: שירות תמיכה טכנית, מטמיעים, פיתוח, שיווק והנהלה.

אירועי אבטחת מידע
17. החברה מתחייבת להודיע ללקוח במקרה של אירוע אבטחת מידע כהגדרתו בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 שכולל את המידע.

משך שמירת המידע
18. הלקוח רשאי לפנות לחברה בתוך 90 ימים ממועד סיום ההסכם ולקבל גישה למערכת, כדי להוציא מידע ונתונים של הלקוח אשר נשמרו ונאספו במערכת. לאחר תקופה של 90 ימים כאמור, החברה רשאית למחוק את המידע, על פי שיקול דעתה הבלעדי. על אף האמור לעיל, החברה תהא רשאית לשמור עותק של המידע לשם ניהול הליכים משפטיים, שמירה על אינטרסים של החברה ועמידה בהוראות הדין. למען הסר ספק, אין החברה מתחייבת לספק ללקוח גישה למידע ו/או לקיומו ואינה מחויבת להסכים לספק גישה אף אם המידע נמצא בידיה, וזאת לאחר תקופה של 90 יום כאמור.

איסוף מידע לא מזהה במערכת
19. החברה תהיה רשאית להטמיע במערכת טכנולוגיות שונות לאיסוף מידע לא מזהה אודות משתמשים במערכת לרבות אך לא רק cookies, פיקסלים, לוגים וטכנולוגיות נוספות כפי שישתנו מעת לעת ולאסוף באמצעותן מידע לא מזהה בקשר עם המערכת, השימוש בה והמשתמשים במערכת לרבות אך לא רק סוג דפדפן, כתובת IP, מקור שרת, תאריך ושעה של כל בקשת משתמש, דפוסי התנהגות של משתמשים, נתונים סטטיסטיים, מספרי משתמשים והיקפי שימוש ו/או מאפייניו של שימוש כאמור ועוד (להלן: "המידע הלא מזהה").

20. החברה תהיה הבעלים של המידע הלא מזהה והיא תהיה רשאית לעשות כל שימוש במידע הלא מזהה, לכל מטרה שהיא והכל בהתאם לשיקול דעתה הבלעדי.

21. מבלי לגרוע מהוראות ההסכם, הלקוח מתחייב למסור את ההודעות הנדרשות ולקבל את ההסכמות הנדרשות בקשר עם איסוף המידע הלא מזהה כאמור.

שונות
22. הסכם זה מהווה חלק בלתי נפרד מההסכם ויתר הוראות ההסכם יחולו על הסכם אבטחת מידע זה.

23. אחריות החברה לכל הפסד, נזק, עלות והוצאה מכל מין וסוג שיגרמו על ידי החברה וכל מי מטעמה ללקוח עקב פעילות החברה בניגוד להוראות הסכם זה, תוגבל לנזקים ישירים בלבד שיגרמו על ידי החברה. סך האחריות והחבות המצטברת של החברה וכל מי מטעמה תהא כפי שמפורט בתנאים הכלליים. מבלי לגרוע מהאמור לעיל, החברה לא תהא אחראית, לנזק עקיף, תוצאתי, מיוחד, עונשי לרבות אך לא רק אובדן הכנסה, רווח מנוע ועוד.

24. אלא אם נקבע אחרת בהסכם אבטחת מידע זה, כל שינוי, תיקון ותוספת להוראות הסכם אבטחת מידע זה, ייעשה בכתב ובחתימת הצדדים בלבד.


נספח 1


הפעולות שהחברה רשאית לבצע במידע:
איחסון;
גיבוי;
פילוח;
כל פעולת עיבוד נוספת בקשר עם מתן השירותים.

אמצעי אבטחת מידע:
סביבת אירוח נעולה
החברה עושה שימוש בשירותי אירוח לסביבת הייצור ע"י חברות צד שלישי. גישה למנגנוני היצור השונים נעשית בין היתר באמצעות שימוש במנגנוןtwo-factor authentication ע"י המנהלים / Administrators המורשים.

ניהול הרשאות
מערכת ניהול הרשאות מפקחת אחר גישה לשירותים המסופקים (לקוחות, מוצרים, מכירות ועוד). מערכת ההרשאות מאפשרת נתינה ושלילת הרשאות לעובדים ולקבוצות עובדים.

אבטחה ברמה עולמית
החברה עושה שימוש בפרוטוקול הצפנת מידע להעברת נתונים. המפתחות מאוחסנים בנפרד והגישה אליהם נגישה למנהלים בלבד.


סיסמאות חזקות ושמות משתמשים ייחודיים
הגישה למערכות החברה ע"י עובדיה נעשית ע"י שמות משתמשים ייחודיים המזוהים ע"י סיסמאות פרטיות השמורות במערכת. הסיסמאות באורך מינימאלי של שמונה תווים המכילות לפחות אות אחת גדולה ואחת קטנה באנגלית (upper case & lower case), סיפרה אחת וסימן אחד לפחות.

הגבלות IP
החברה עושה שימוש בהגבלת כתובות איי.פיי / IP Restrictions בחלק מן השירותים בהם מתאפשרת הגנה זו.

התאוששות מאסון והמשכיות עסקית
החברה רוכשת שירותי DR (data recovery) במטרה לאפשר המשכיות עסקית.

גיבויים ושחזורים
החברה עושה שימוש בשירותי גיבוי נוספים מלבד אלו המסופקים ע"י מערכת התאוששות מאסון / DR. המידע מגובה בתדירות יומית ולאורך מספר ימים.