שאלון אבטחה, ממולא מראש
תורגם לנוחותכם. הגרסה באנגלית היא הגרסה המחייבת מבחינה משפטית.
רוב סקירות הספקים שואלות את אותן שאלות. הנה הן, עם תשובות מראש על פני תחומי CAIQ-Lite וממופות לאזורי VSA-Core — בכנות: כן פירושו מופעל היום ומוצהר בעמוד אמון; חלקי נוקב בפער; מתוכנן יש לו תאריך ותו לא.
| תחום | שאלה | תשובה | פירוט |
|---|---|---|---|
| A&ACompliance | האם יש לכם הסמכות אבטחה בלתי תלויות (SOC 2, ISO 27001)? | מתוכנן | עד�יין לא — ואנחנו אומרים זאת בפשטות. SOC 2 Type I מתוכנן לרבעון השלישי של 2026 (איסוף הראיות דרך Vanta מתחיל בהשקה המסחרית), Type II כתשעה חודשים אחריו, ISO 27001 במקביל. עד אז, העמוד הזה ועמוד האבטחה מתארים את הבקרות שאנחנו באמת מפעילים. |
| AISApplication security | האם אבטחה מובנית באפליקציה ובמחזור החיים שלה? | כן | קלטים עוברים אימות סכמה בגבול, כל גישה לבסיס הנתונים מפורמטרת, כותרות אבטחה קפדניות ו-CSP בכל משטח, והתרעות תלות גבוהות או קריטיות מפילות את הבילד. |
| BCRResilience | האם תוכלו להתאושש מכשל תשתיתי? | חלקי | ארכיטקטורת serverless על שירותים מנוהלים מרובי אזורי זמינות, גיבויים מוצפנים עם שחזור לנקודת זמן ו-runbook כתוב להתאוששות מאסון; תוכנית המשכיות עסקית מתורגלת פורמלית עוד לפנינו. |
| CEKEncryption | האם נתוני לקוח מוצפנים בתעבורה ובמנוחה? | כן | מינימום TLS 1.3 בתעבורה עם HSTS; AES-256 במנוחה על כל מאגר עם רוטציית מפתחות מנוהלת; סודות חיים בשירות סודות מנוהל, לעולם לא בקוד. |
| DCSPhysical security | איפה רץ הפרודקשן, ומי שולט בגישה הפיזית? | כן | AWS eu-central-1 (פרנקפורט), בחשבון ייעודי ומבודד לחלוטין. האבטחה הפיזית יורשת ממרכזי הנתונים המבוקרים של AWS. |
| DSPData protection | איך נתוני לקוח מוגנים ונשמרים מחוץ לאימון מודלים? | כן | תעבורת ה‑API אל ספקי המודלים מוחרגת מהאימון לפי תנאי ה‑API של כל ספק, והסכמי אי‑שמירת נתונים עם Anthropic ו‑OpenAI נמצאים בהשלמה; אנו לעולם לא מאמנים על נתוני לקוחות; הטמעות האחזור נשארות באזור האיחוד האירופי; מוצע DPA עם סעיפים חוזיים סטנדרטיים (SCC) וטיפול בבקשות נושאי מידע (DSAR) מפורסם. |
| GRCSecurity policy | האם אתם מנהלים תוכנית ממשל אבטחה? | חלקי | מדיניות אבטחה מתוחזקת ככללי הנדסה נאכפים, מנוהלת בגרסאות עם הקוד ונסקרת בכל שינוי; מערכת ניהול אבטחת מידע מוסמכת (ISO 27001) נמצאת במפת הדרכים שפורסמה. |
| HRSPersonnel | האם קיימות בקרות אבטחת כוח אדם (סינון, קליטה, עזיבה)? | חלקי | Syncanix מופעלת היום על ידי המייסד: האדם היחיד עם גישת פרודקשן הוא המפעיל האחראי. מדיניות סינון וקליטה פורמלית תגיע עם הגיוסים הראשונים — והתשובה הזו תשתנה אז. |
| IAMAccess control | איך נשלטת הגישה למערכות ולנתונים? | כן | הרשאה מינימלית בכל מקום: זהות מגובת SSO עם טוקנים מאומתים בכל בקשה, מדיניות פר משאב כתובה במפורש, בלי מפתחות גישה ארוכי חיים, ושינויי תפקיד מבוקרים. |
| IPYPortability | האם לקוחות יכולים לייצא את הנתונים ולעזוב? | כן | קטלוג היכולות הוא ארטיפקט נייד, נתוני הלקוח ניתנים לייצוא, וביטול לעולם לא נועל נתונים. |
| IVSInfrastructure | איך מאובטחת תשתית הפרודקשן? | כן | הכול תשתית-כקוד עם דיפים נסקרים לפני כל פריסה, VPC מבודד, אפס משאבים משותפים עם מוצר אחר ומלאי מתויג במלואו. |
| LOGLogging & monitoring | האם מערכות מנוטרות והלוגים מוגנים? | כן | לוגים מובנים נושאים קורלציית דייר ובקשה בכל שורה, סודות ו-PII מוחרגים במדיניות השחרה, השמירה תחומה ואירועים רלוונטיים לביקורת מרימים התראות. |
| SEFIncident response | האם קיים תהליך תגובה לאירועים עם הודעה ללקוח? | כן | runbook מתועד לתגובה לאירועים; דיווחי חשיפה מאושרים תוך 24 שעות וממוינים תוך 72; פרצות מאומתות עם השפעת לקוח מדווחות תוך 24 שעות מהאימות. |
| STASupply chain | איך אתם מנהלים סיכון שרשרת אספקה? | כן | רשימת מעבדי המשנה ציבורית עם הודעה של 30 יום מראש, התרעות תלויות חוסמות את ה-CI, וכל ספרייה חדשה עוברת רשימת אימוץ מתועדת. |
| TVMVulnerability management | איך מאתרים ומתקנים חולשות? | חלקי | סריקת תלויות אוטומטית חוסמת כל בילד ותוכנית חשיפה ציבורית עם הגנת תום לב פעילה; בדיקת חדירה חיצונית מתוכננת לצד ה-SOC 2 — טרם הוזמנה אחת. |
| UEMEndpoint management | האם המכשירים שנוגעים בפרודקשן מנוהלים? | חלקי | גישת פרודקשן מוגבלת לזהויות מפעיל נקובות תחת בקרות הגישה שלמעלה; ניהול תחנות קצה פורמלי (MDM) יגיע עם הגיוסים הראשונים. |
צריכים את התשובות בגיליון שלכם (CAIQ מלא, VSA או הפורמט הפנימי שלכם)? שלחו אותו ונמלא: admin@syncanix.com.
נסקר לאחרונה: 2026-06-10. תשובות משתנות כשהבקרות משתנות — לעולם לא להפך.