1. מה זו רשימת תת-מעבדים
״תת-מעבד״ (Sub-processor) הוא ספק שירות חיצוני המעבד מידע אישי של משתמשי השירות בהוראת Jordigital, לצורך הפעלת השירות. חוק הגנת הפרטיות הישראלי ו-GDPR מחייבים אותנו להיות שקופים לגבי זהות הספקים, מיקומם ומטרת השימוש בהם.
רשימה זו מתעדכנת בזמן אמת עם שינויים במערכת. כל שימוש בספק חדש מחייב אותנו לעדכן את הרשימה, לבצע הערכת פרטיות, ולחתום על הסכם עיבוד נתונים (DPA) מחייב.
2. הרשימה המלאה
1. Supabase Inc.
אירלנד (eu-west-1) · AWS Frankfurt backup
מטרת העיבוד: אחסון מסד נתונים ראשי, ניהול משתמשים והזדהות (Auth), אחסון קבצים
בסיס משפטי להעברה: אזור עיבוד באירופה · SCC (Standard Contractual Clauses)
2. Vercel Inc.
ארה״ב (Global Edge Network)
מטרת העיבוד: אירוח אתר, שרת אפליקציה, CDN, Vercel Analytics
בסיס משפטי להעברה: SCC · DPA של Vercel
3. Anthropic PBC
ארה״ב
מטרת העיבוד: עיבוד שפה טבעית ליצירת טיוטות תוכן (Claude API)
בסיס משפטי להעברה: SCC · Anthropic Commercial Terms — ללא אימון מודלים על נתוני לקוח
4. Google LLC / Google Ireland Limited
אירלנד / ארה״ב
מטרת העיבוד: גישת OAuth ל-Google Search Console ול-Google Analytics 4 של הלקוח — בהרשאה מפורשת של הלקוח
בסיס משפטי להעברה: הרשאת OAuth של הלקוח · SCC
5. Cardcom Ltd. (קארדקום בע״מ)
ישראל
מטרת העיבוד: סליקת אשראי, הנפקת חשבוניות מס, ביצוע חיובים חוזרים (Recurring)
בסיס משפטי להעברה: התקשרות ישירה · PCI-DSS Level 1
6. Resend Inc.
ארה״ב
מטרת העיבוד: שליחת מיילים טרנזקציונליים (אישור הרשמה, תזכורות, חשבוניות)
בסיס משפטי להעברה: SCC · DPA של Resend
7. Replicate Inc.
ארה״ב
מטרת העיבוד: יצירת תמונות ללא שימוש מסחרי מוגבל, לליווי מאמרים (Flux Schnell)
בסיס משפטי להעברה: SCC · Replicate Terms
8. OpenAI, L.L.C.
ארה״ב
מטרת העיבוד: שירות גיבוי ליצירת תמונות (DALL-E 3) — מופעל רק במקרה שספק הראשי אינו זמין
בסיס משפטי להעברה: SCC · OpenAI API Data Processing Addendum — ללא אימון מודלים על נתוני לקוח
9. Exa Labs Inc.
ארה״ב
מטרת העיבוד: חיפוש ברשת לצורך מחקר נושאים ודירוגים
בסיס משפטי להעברה: SCC
10. DataForSEO s.r.o.
האיחוד האירופי
מטרת העיבוד: נתוני דירוגים במנועי חיפוש (Rank Tracking)
בסיס משפטי להעברה: עיבוד באיחוד האירופי
11. Google LLC — Analytics
אירלנד / ארה״ב
מטרת העיבוד: מדידת שימוש בדף הנחיתה (Google Analytics 4 / GA4)
בסיס משפטי להעברה: SCC · אנונימיזציה של IP
12. Meta Platforms Ireland Ltd.
אירלנד
מטרת העיבוד: מדידת המרות פרסומיות ורימרקטינג (Meta Pixel) — בדף הנחיתה בלבד
בסיס משפטי להעברה: SCC · התקשרות עם Meta Ireland
13. Microsoft Corporation — Clarity
ארה״ב
מטרת העיבוד: הקלטות מפגשים וניתוח חוויית משתמש (Microsoft Clarity) — בדף הנחיתה בלבד
בסיס משפטי להעברה: SCC · DPA של Microsoft
3. ההתחייבויות שלנו כלפיך
לכל תת-מעבד ברשימה זו, אנחנו מתחייבים:
- לחתום על הסכם עיבוד נתונים (DPA) מחייב שמגביל את השימוש במידע לצרכי השירות בלבד.
- לוודא שהספק עומד בתקני אבטחת מידע מקובלים (ISO 27001, SOC 2, או מקבילים).
- לבצע הערכת סיכונים טרם שיוך ספק חדש, עם דגש על מיקום העיבוד, מדיניות שמירה, ושקיפות.
- לא לשתף עם הספק יותר מידע מהנדרש לתפקודו (עקרון המזעור).
- להבטיח שלא יתבצע שימוש בנתוני לקוחותינו לצורך אימון מודלי בינה מלאכותית של אותו ספק.
- לפקח תקופתית על ביצועיו בהיבט של פרטיות ואבטחה.
4. שינויים ברשימה
בכל שינוי מהותי ברשימה — הוספת ספק חדש שעשוי להשפיע על המידע שלך, או החלפת ספק בקטגוריה רגישה — תישלח הודעה ללקוחותינו, לפחות 14 ימים לפני כניסת השינוי לתוקף. זוהי הזדמנות להעלות התנגדות או לבקש הבהרה בטרם השינוי נכנס לפועל.
כל שינוי יתועד בגרסה מעודכנת של עמוד זה, עם תאריך העדכון האחרון בראש המסמך.