דלג לתוכן הראשי
LLUMINATE
תעשיות11 דקות קריאה3 במרץ 2025

פרטיות ל-SaaS - מדריך לספקי תוכנה כשירות

מדריך מקיף לחברות SaaS על עמידה בדרישות פרטיות. הסכמי לקוחות, אבטחה, ותפקוד כ-Processor.

פרטיות ל-SaaS - מדריך מקיף

חברות SaaS מתמודדות עם אתגרים ייחודיים בפרטיות. מדריך זה מכסה את כל מה שצריך לדעת.

התפקיד המיוחד של SaaS

אתם לרוב Processor (מעבד):

  • הלקוח = Controller (בעל המאגר)
  • אתם = מעבדים בשבילו
  • אבל: יש לכם חובות עצמאיות!

לפעמים אתם גם Controller:

  • לגבי נתוני הלקוח עצמו (billing)
  • לגבי analytics על השימוש
  • לגבי שיווק

הסכמים נדרשים

1. תנאי שימוש (Terms of Service)

הסכם עם המשתמש/לקוח.

סעיפי פרטיות לכלול:

  • מה אתם אוספים
  • למה משתמשים
  • איפה מאוחסן
  • הפניה ל-Privacy Policy

2. מדיניות פרטיות (Privacy Policy)

צריך לכסות:

  • מידע שנאסף על משתמשי SaaS
  • לא את המידע של לקוחות הלקוח!

3. הסכם עיבוד מידע (DPA)

חובה לכל לקוח שמעלה מידע אישי.

סעיפים קריטיים:

  • אתם פועלים רק לפי הוראות הלקוח
  • אבטחה - פירוט האמצעים
  • תת-מעבדים - מי ואיפה
  • דיווח על אירועים
  • מחיקה בסיום

4. SLA (אם רלוונטי)

התחייבויות זמינות ושחזור.

שאלות שלקוחות ישאלו

1. "איפה המידע מאוחסן?" תשובה ברורה: מדינה, ספק ענן.

2. "מי יש לו גישה למידע שלנו?" רשימה: צוות תמיכה, DevOps, אף אחד אחר.

3. "יש לכם SOC 2?" הסמכות אבטחה הפכו לדרישה.

4. "מה קורה אם יש דליפה?" תהליך דיווח ברור.

5. "אתם עומדים ב-GDPR?" כן/לא - ולמה.

דרישות אבטחה ל-SaaS

מינימום:

  • [ ] הצפנה בהעברה (TLS 1.2+)
  • [ ] הצפנה במנוחה
  • [ ] MFA לגישת admin
  • [ ] לוגים
  • [ ] גיבויים

מומלץ:

  • [ ] SOC 2 Type II
  • [ ] Penetration testing שנתי
  • [ ] Bug bounty
  • [ ] הפרדת tenants

למידע רגיש:

  • [ ] הצפנה ברמת שדה
  • [ ] BYOK (Bring Your Own Key)
  • [ ] Audit trail מפורט

Multi-tenancy ופרטיות

אתגר: נתונים של לקוחות שונים באותה מערכת.

פתרונות:

  1. הפרדה לוגית - ID לכל tenant
  2. הפרדה פיזית - DB נפרד (יקר יותר)
  3. הצפנה per-tenant - מפתח לכל לקוח

חובה:

  • לקוח לא יכול לראות נתונים של אחר
  • Admin שלכם - גישה מבוקרת

תת-מעבדים (Sub-processors)

מי נחשב?

  • ספק ענן (AWS, GCP, Azure)
  • שירותי מייל (SendGrid)
  • אנליטיקס (Mixpanel)
  • תמיכה (Zendesk)

חובות:

  1. רשימה פומבית של תת-מעבדים
  2. הודעה על שינויים
  3. DPA עם כל תת-מעבד

תבנית רשימה: | ספק | שירות | מיקום | מטרה | |-----|-------|-------|------| | AWS | אחסון | אירלנד | Infrastructure | | SendGrid | מייל | USA | הודעות |

Data Residency

לקוחות דורשים יותר ויותר:

  • מידע ישאר באזור מסוים
  • לא יעבור לארה"ב
  • compliance מקומי

פתרונות:

  • Multi-region deployment
  • Data localization options
  • ברירת לקוח

מחיקת נתונים

בסיום חוזה:

  1. הודעה ללקוח
  2. תקופה להורדת נתונים (30 יום)
  3. מחיקה מלאה
  4. אישור מחיקה

מגיבויים:

  • לרוב בלתי אפשרי מיידית
  • retention policy של גיבויים
  • תיעוד

שאלון אבטחה (Security Questionnaire)

לקוחות גדולים ישלחו שאלון. היו מוכנים:

  • מדיניות אבטחה
  • הסמכות
  • תהליכי פיתוח
  • ניהול פגיעויות
  • תגובה לאירועים
  • גישת עובדים
  • הצפנה
  • גיבויים
  • DR

טיפ: הכינו תשובות סטנדרטיות מראש.

Trust Center

דף ייעודי עם:

  • מדיניות פרטיות
  • DPA להורדה
  • רשימת תת-מעבדים
  • הסמכות אבטחה
  • Status page
  • שאלות נפוצות

דוגמאות: notion.so/trust, slack.com/trust

סיכום

חברות SaaS צריכות להתייחס לפרטיות כחלק מהמוצר. לקוחות מצפים לזה, והחוק דורש.

צריכים עזרה בבניית תשתית פרטיות ל-SaaS? LLUMINATE מלווה חברות SaaS מ-seed ועד enterprise.

מאמרים קשורים

תעשיות

תיקון 13 לסטארטאפים - מה צריך לדעת

מדריך מיוחד לסטארטאפים על תיקון 13. איך לעמוד בדרישות בתקציב מוגבל ובלי לעצור את הצמיחה.

8 דקות קריאהתעשיות

DPO לחנויות אונליין - דרישות מיוחדות לאיקומרס בישראל

מדריך מיוחד לחנויות אונליין על דרישות הפרטיות. תשלומים, שיווק, cookies, ומידע לקוחות.

9 דקות קריאהתעשיות

תיקון 13 לקליניקות ונותני שירותי בריאות

מדריך מיוחד לקליניקות, מרפאות ונותני שירותי בריאות על תיקון 13 והטיפול במידע רפואי.

10 דקות קריאה

צריכים עזרה מקצועית?

צוות המומחים של LLUMINATE מספק ליווי מלא בהיערכות לתיקון 13, מינוי DPO, וכל היבטי הגנת הפרטיות.

שירותי DPOמחשבון עמידה
פורסם: 3 במרץ 2025מאת: LLUMINATE Privacy Experts
חזרה לכל המאמרים