מדיניות פרטיות

1.1 מדיניות פרטיות זו מפרטת כיצד חברת Nivision Data Ltd., ח.פ. 517203170 (להלן: "ניביזן" או "החברה") אוספת, מעבדת, שומרת ומגנה על מידע אישי ומידע עסקי במסגרת שירותי ניתוח השיחות שהיא מספקת (להלן: "השירות").

1.2 שימוש בשירות מהווה הסכמה למדיניות זו. מדיניות זו משלימה את תנאי השימוש ואת ההסכם המסחרי שנחתם בין הלקוח לחברה.

2.1 הלקוח (הארגון שרכש את השירות) הוא בעל השליטה במידע (Controller) ביחס לנתוני לקוחותיו, עובדיו ושיחותיו המועברים לניביזן.

2.2 ניביזן פועלת כמעבדת נתונים (Processor) בהתאם להנחיות הלקוח ולהוראות ההסכם.

2.3 ניביזן היא בעלת שליטה עצמאית ביחס למידע שהיא אוספת ישירות מהמשתמשים לצורך הפעלת חשבון, תמיכה וניהול קשרי לקוחות.

עיקרון החממה (Greenhouse Principle): ניביזן פועלת לפי עיקרון החממה: כל מידע שעשוי להוביל לזיהוי אדם פרטי, חברה, או לקוח מסוים של לקוחותינו, מוצפן ומוגן מצדנו באופן מלא. מידע אישי כגון שם פרטי, שם משפחה, מספר תעודת זהות, מספר כרטיס אשראי, מספר חשבון בנק, וכל פרט מזהה אחר, עובר הסתרה והצפנה אוטומטית בתהליכי העיבוד שלנו, כך שלא ניתן לזהות ממנו אדם ספציפי.

עיקרון השימוש הבלעדי לטובת הלקוח: כל המידע שנאסף ומעובד על-ידי ניביזן משמש אך ורק למטרה אחת: לספק ללקוח את השירות שרכש, לתת לו את המידע, התובנות, הדוחות והציונים שהוא צריך ורוצה. ניביזן אינה משתמשת בנתוני הלקוחות לאימון מודלי בינה מלאכותית, לשיפור המערכת באמצעות נתונים מזוהים, למסחר עם צדדים שלישיים, או לכל מטרה אחרת שאינה מתן השירות ישירות ללקוח.

איסור מוחלט על שימוש בנתוני לקוחות לאימון מודלים: ניביזן מתחייבת באופן מפורש: נתוני לקוח אינם משמשים, ולעולם לא ישמשו, לאימון מודלי AI כלליים. עיבוד הנתונים הוא סטטי - נתוני לקוח אחד אינם מעורבים או מושפעים מנתוני לקוח אחר. ספקי ה-AI צד שלישי שניביזן עובדת עמם (כגון OpenAI, Google Gemini ו-Anthropic/Claude) פועלים תחת הסכמים ארגוניים המחייבים אותם שלא לעשות שימוש בנתונים לאימון מודלים, אלא אם הלקוח אישר אחרת בכתב.

עקרונות אבטחה מרכזיים: אסטרטגיית האבטחה של ניביזן בנויה על חמישה עמודים: עיקרון ההרשאה המזערית (Least Privilege); בידוד לקוחות (Tenant Isolation); הגנה בשכבות (Defense in Depth); אבטחה מובנית בתכנון (Secure by Design); ברירת מחדל: דחייה (Fail Secure).

3.1 מידע שנמסר ישירות על-ידי הלקוח או המשתמש: פרטי יצירת קשר, פרטי חשבון, נתוני שיחות, הגדרות ותצורה.

3.2 מידע שנוצר באמצעות עיבוד אוטומטי: תמלולים, ניתוחי רגש ומעורבות, ציונים, זיהוי דוברים, דוחות מצטברים, מגמות, התראות, תובנות, פרופילי לקוחות AI וניתוח מתחרים.

3.3 מידע טכני שנאסף אוטומטית: כתובת IP, סוג דפדפן, מערכת הפעלה, מזהי התקן, נתוני שימוש, לוגים (נשמרים בצורה בלתי ניתנת לשינוי למשך שנתיים לפחות).

3.4 מידע מצדדים שלישיים: נתונים המתקבלים דרך אינטגרציות שהלקוח הגדיר.

4.1 מתן השירות ללקוח: תמלול, ניתוח, דירוג, הפקת דוחות ותובנות עסקיות בהתאם להגדרות הלקוח. זוהי המטרה היחידה לשמה מעובדים נתוני הלקוח.

4.2 תמיכה ושירות לקוחות: מענה לפניות, פתרון תקלות, ליווי טכני.

4.3 אבטחה ובקרה: מניעת גישה בלתי מורשית, ניטור חריגות, ניהול לוגים ותחקור אירועים. ניביזן מפעילה ניטור בריאות ואבטחה רציף באמצעות AWS CloudWatch עם התרעות אוטומטיות.

4.4 עמידה בדין: מילוי חובות חוקיות ורגולטוריות, שמירת נתונים לפי דרישות מגזריות.

4.5 תקשורת: שליחת עדכוני מערכת, הודעות תחזוקה, והצעות מסחריות (בכפוף להסכמת הלקוח היכן שנדרשת).

5.1 ביצוע חוזה: עיבוד הנדרש לאספקת השירות לפי ההסכם המסחרי.

5.2 אינטרס לגיטימי: אבטחת מידע, מניעת הונאות, ניטור ביצועים.

5.3 חובה חוקית: עמידה בדרישות חוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ובכל דין רלוונטי.

5.4 הסכמה: בנוגע לדיוור שיווקי או עיבוד שאינו חיוני לאספקת השירות.

6.1 ספקי תשתית ועיבוד: שירותי ענן Amazon Web Services (AWS), מנועי תמלול, מודלי בינה מלאכותית (OpenAI/Azure, Google Gemini, Anthropic/Claude). ספקים אלו פועלים כמעבדי-משנה בלבד, תחת הסכמי עיבוד נתונים מחייבים, ומחויבים לתקני GDPR ו-SOC 2 Type II.

6.2 גורמים משפטיים: כנדרש על-פי דין, צו בית משפט או דרישה מחייבת של רשות מוסמכת.

6.3 מיזוגים ורכישות: במקרה של שינוי שליטה, מיזוג או רכישה, מידע עשוי לעבור לגורם הרוכש, בכפוף להמשך שמירה על תנאי פרטיות זהים או מחמירים יותר.

6.4 ניביזן אינה מוכרת, משכירה או מעבירה מידע אישי לצדדים שלישיים לצרכים שיווקיים או מסחריים שלהם.

7.1 השירות מיושם תחת רמת אבטחה גבוהה כהגדרת תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. בקרות האבטחה של ניביזן מיושרות עם עקרונות ISO 27001, SOC 2, GDPR וחוק הגנת הפרטיות הישראלי.

7.2 אמצעי אבטחה מרכזיים: הצפנה בתנועה (TLS 1.2+); הצפנה במנוחה (AES-256); ניהול מפתחות (AWS KMS); בקרת גישה (RBAC, JWT, Multi-Tenancy); לוגים וביקורת (Audit Log בלתי ניתן לשינוי); הסתרת PII; תשתית (VPC פרטי, הפרדת סביבות); ניהול סודות (AWS Secrets Manager, SSM); עיקרון מזעור נתונים; Privacy by Design/Default.

7.3 למרות מאמצים אלו, אין שיטת אבטחה שמבטיחה חסינות מוחלטת. החברה פועלת בהתאם לסטנדרטים המקובלים בתעשייה.

8.1 נתונים עשויים להיות מאוחסנים בשרתי AWS הממוקמים מחוץ לישראל, בכפוף לדין החל ולהסדרי העברת מידע בין-לאומיים.

8.2 מדיניות שמירת נתונים ניתנת להגדרה לכל לקוח בנפרד: 30, 60, 90, 180 או 365 ימים. בתום תקופת השמירה, נתונים נמחקים אוטומטית, אלא אם צוין אחרת במפורש ובכתב בהסכם המסחרי.

8.3 נתונים שעובדו אצל ספקי AI צד שלישי נשמרים רק למשך הזמן הנדרש לעיבוד ולניטור תקלות, ולאחר מכן נמחקים אוטומטית.

8.4 לאחר סיום ההתקשרות, נתונים יישמרו 30 ימים נוספים ולאחר מכן יימחקו, אלא אם צוין אחרת במפורש ובכתב בהסכם המסחרי, או אלא אם נדרש אחרת על-פי דין.

8.5 גיבויים: גיבויים יומיים מוצפנים עם יכולת שחזור נקודתי. גרסאות קובץ נשמרות ב-S3.

9.1 בהתאם לחוק הגנת הפרטיות ולרגולציה החלה, נושאי מידע זכאים: לעיין במידע האישי שעליהם המוחזק על-ידי החברה; לבקש תיקון מידע שגוי, חסר או לא מעודכן; לבקש מחיקת מידע אישי, בכפוף לחובות חוקיות וחוזיות; להתנגד לקבלת דיוור שיווקי או למשוך הסכמה, בכל עת.

9.2 לביצוע כל בקשה כאמור ניתן לפנות לכתובת: [email protected].

9.3 מאחר שניביזן פועלת כמעבדת נתונים (Processor) ביחס לשיחות הלקוח, פניות של נושאי מידע שהם לקוחות-קצה של הלקוח, יועברו ללקוח לטיפול.

10.1 הלקוח הוא האחראי הבלעדי ליידע את לקוחותיו, עובדיו, ספקיו ונושאי המידע בדבר ההקלטה, מטרות העיבוד, משך השמירה וזכויותיהם לפי כל דין.

10.2 הלקוח אחראי לוודא שקיימות הסכמות מתאימות, מדיניות פרטיות גלויה, ורישום מאגר מידע ככל שנדרש.

10.3 ניביזן אינה אחראית לקיום חובות רגולטוריות אלו של הלקוח ולא תישא באחריות בשל אי-עמידה של הלקוח בדין.

11.1 במקרה של אירוע אבטחה מאומת המערב נתוני לקוח, החברה תעדכן את הלקוח ללא עיכוב מיותר, ולכל המאוחר בתוך 72 שעות מרגע שנודע לה על האירוע.

11.2 ההודעה תכלול את מהות האירוע, היקף ההשפעה, אמצעי הצמצום שננקטו, ושיתוף פעולה מלא בתחקור.

11.3 תהליך תגובה לאירועים: זיהוי, הכלה, חקירה, הודעה ללקוחות בהתאם ל-SLA ולדין.

12.1 השירות עשוי לעשות שימוש בקבצי Cookies ובטכנולוגיות דומות לצורך תפעול, אימות, מדידת ביצועים ושיפור חוויית השימוש.

12.2 ניתן לשנות את הגדרות הדפדפן כדי לחסום Cookies, אולם הדבר עלול לפגוע בפונקציונליות השירות.

13.1 החברה אינה משתמשת בנתוני לקוחות מזוהים לשיפור המערכת או לאימון מודלים. ככל שנעשה שימוש בנתונים סטטיסטיים לצורך ניטור איכות או תיקון תקלות, מדובר אך ורק בנתונים מגובבים ומנוטרלי-זיהוי אישי.

13.2 החברה לא תבצע, ולא תאפשר לבצע, ניסיונות זיהוי חוזר (Re-Identification) על נתונים שעובדו בצורתם האנונימית.

13.3 מידע מגובב לא ישמש למסחר צד שלישי.

14.1 החברה רשאית לעדכן מדיניות זו מעת לעת. גרסה מעודכנת תפורסם בשירות ותישא תאריך עדכון.

14.2 המשך שימוש בשירות לאחר הפרסום מהווה הסכמה למדיניות המעודכנת.

15.1 לכל שאלה, בקשה או דיווח בנוגע למדיניות פרטיות זו: דוא"ל כללי: [email protected]; אתר: nivision.ai; Nivision Data Ltd., ח.פ. 517203170.