דלג לתוכן הראשי
OptiPay

אבטחה ב-OptiPay

הגנה על המידע הפיננסי שלכם היא בראש סדר העדיפויות שלנו. אנו משתמשים בטכנולוגיות האבטחה המתקדמות ביותר כדי לשמור על הנתונים שלכם בטוחים.

הצפנה בתעבורה ובאחסון

כל הנתונים מוצפנים בתעבורה באמצעות TLS 1.3 ובמנוחה באמצעות AES-256. המפתחות מנוהלים באופן מאובטח ומתחלפים באופן תקופתי.

אימות דו-שלבי (2FA)

הגנה נוספת על החשבון שלכם באמצעות אימות דו-שלבי. תמיכה באפליקציות אימות ובהודעות SMS.

תשתית ענן מאובטחת

אנו מתארחים על תשתיות ענן מובילות שמוסמכות לתקנים בינלאומיים, כולל SOC 2 ו-ISO 27001 (התקנים שייכים לספקי התשתית — Supabase, Vercel — ולא ל-OptiPay ישירות).

ניטור ובקרה

מערכות ניטור 24/7 מזהות פעילות חשודה בזמן אמת. כל גישה למידע נרשמת ומבוקרת.

ביקורות ואימותי אבטחה

עברנו בהצלחה בדיקת אבטחה חיצונית CASA Tier 2, והאפליקציה מאומתת על ידי Google (אימות אפליקציית OAuth) ועל ידי Microsoft (מפרסם מאומת). בנוסף אנו מפעילים סריקות אבטחה אוטומטיות בצנרת ה-CI ומבצעים בקרות אבטחה תקופתיות.

גיבוי ושחזור

גיבויים אוטומטיים מוצפנים מתבצעים מדי יום. אנו שואפים לזמינות של 99.9% ומעלה; יעד RTO ≤ 2 שעות ויעד RPO ≤ 24 שעות.

עמידה בתקנים

עבר בדיקת אבטחה חיצונית CASA Tier 2
אפליקציה מאומתת על ידי Google (OAuth) ומפרסם מאומת על ידי Microsoft
GDPR - תקנת הגנת המידע הכללית של האיחוד האירופי
חוק הגנת הפרטיות הישראלי, התשמ"א-1981
תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017
PCI DSS - נתוני כרטיסי אשראי מעובדים ע"י Stripe תחת PCI DSS; אנו לא מאחסנים מספרי כרטיס

מעבדים משניים (Sub-processors)

הספקים הבאים מעבדים מידע אישי בשמנו. כל ספק מחויב בהסכם עיבוד נתונים (DPA) עם סעיפים חוזיים סטנדרטיים (SCCs) של האיחוד האירופי או בהתאם ל-Data Privacy Framework, בהתאם לאזור הפעילות. נודיע על כל שינוי לפחות 30 יום מראש דרך הדואר האלקטרוני שלכם או באנר בתוך האפליקציה.

ספק
שימוש
אזור
Supabase
מסד נתונים מנוהל (Postgres), אימות, אחסון קבצים
איחוד אירופי — eu-west-1 (אירלנד)
Vercel
אירוח אפליקציה ו-CDN גלובלי
פונקציות מוצמדות ל-fra1 (פרנקפורט); CDN בקצוות גלובליים
Stripe
חיוב מנויים והפקת חשבוניות
ארה"ב, עם שמירת נתונים באירופה ללקוחות אירופאים
Upstash
הגבלת קצב (rate limit) ומטמון (Redis)
רב-אזורי גלובלי
Sentry
ניטור שגיאות וביצועים
ארה"ב
Google
OAuth, שליחת דוא"ל טרנזקציוני (אימות חשבון, קישורי כניסה ואיפוס סיסמה) דרך Google Workspace SMTP, ו-Gmail API (הגישה ל-Gmail רק אם חיברתם את חשבון ה-Gmail שלכם)
ארה"ב — בהתאם ל-Google Limited Use
Hetzner
אירוח עצמי של אוטומציות n8n (OCR, אינטגרציות, WhatsApp)
גרמניה (פלקנשטיין / נירנברג)
PostHog
אנליטיקת מוצר (אופציונלי, בכפוף להסכמתכם דרך באנר העוגיות)
איחוד אירופי — אשכול eu
Meta (WhatsApp Cloud API)
אימות מספר טלפון ב-WhatsApp ושליחת/קבלת קבלות (רק אם חיברתם את ערוץ ה-WhatsApp)
איחוד אירופי (בהתאם למדיניות WhatsApp Business)

עודכן לאחרונה: 24.05.2026

מצאתם פגיעות אבטחה? דווחו לנו באחריות: security@optipay.co.il