מדיניות פרטיות

עדכון אחרון: 2026-06-09

1. מי אנחנו

Class-Action Auditor הוא שירות SaaS לסריקת אתרים וזיהוי חשיפה לתביעות ייצוגיות.

2. איזה מידע אנחנו אוספים

• פרטי משתמש: אימייל + סיסמה מוצפנת (bcrypt).
• פרטי סריקה: כתובות URL שאתה מבקש לסרוק, ראיות (screenshots, network logs).
• פרטי כניסה לאתרים שלך (בהסכמתך המפורשת בלבד): פרטי כניסה נאספים אך ורק אם תזין אותם ביוזמתך בטופס הסריקה, לצורך סריקת האזור המחובר של האתר שלך. הם מוצפנים ב-AES-256-GCM עם מפתח ייחודי לטננט שלך, משמשים רק לאותה סריקה, ואינם משמשים לכל מטרה אחרת. תוכל לבחור "credentials חד-פעמיים" כדי שלא יישמרו כלל.
• Cookies הכרחיים: session cookie (sid), csrf token, consent cookie. אנו לא משתמשים ב-cookies שיווקיים או צד שלישי.

3. למה אנחנו משתמשים בזה

• לבצע את הסריקות שביקשת ולהפיק דוחות.
• אבטחת חשבון (מניעת brute-force, audit log).
• חיוב (אם אתה בתוכנית בתשלום, ניתוני שימוש נשלחים ל-Stripe).

4. עם מי אנחנו חולקים מידע

אנחנו לא מוכרים מידע. שיתוף קורה רק עם:

• Stripe — לטיפול בתשלומים בלבד. מועבר ל-Stripe: כתובת האימייל שלך ופרטי החיוב שאתה מזין ישירות בטופס המאובטח של Stripe (PCI-DSS). איננו שומרים מספרי כרטיס אשראי, ולא מועברים ל-Stripe סיסמאות, פרטי כניסה לאתרים, או תוכן סריקות. ראו את מדיניות הפרטיות של Stripe.
• אם תגדיר webhook — נשלח אירועי סיום סריקה לכתובת שאתה תגדיר.

5. שמירה ומחיקה

נתוני סריקות נשמרים 90 ימים כברירת מחדל (ניתן לקנפג). תוכל בכל עת:

• לייצא את כל הנתונים שלך: GET /api/tenant/export
• למחוק את הטננט כולו: POST /api/tenant/erase עם {"confirm":"ERASE"}

6. הזכויות שלך לפי החוק הישראלי

לפי חוק הגנת הפרטיות, התשמ"א-1981 — יש לך זכות עיון במידע, תיקון מידע שגוי, ומחיקה.

7. אבטחה

• סיסמאות: bcrypt עם 10 rounds.
• פרטי כניסה לאתרים: AES-256-GCM עם מפתח לכל טננט (envelope encryption).
• תעבורה: HTTPS חובה ב-production.
• CSP מצומצם, helmet, rate limiting, CSRF tokens.

8. יצירת קשר

שאלות / בקשות מימוש זכויות: pivacy@your-domain.example

חזרה לראשי