AutoLog
חזרה לבלוג
מותג

אבטחה ופרטיות באוטולוג — איך אנחנו שומרים על המידע שלכם 2026

7 ביוני 20269 דקותמאת אוטולוג

לפני שאתם נרשמים לאוטולוג ומעלים לפלטפורמה פוליסת ביטוח, מספר רישוי, וחתימה של פוליסה — מגיע לכם לדעת בדיוק איך אוטולוג שומרת על המידע הזה. במאמר הזה נציג בצורה שקופה את כל אמצעי האבטחה והפרטיות שאוטולוג מיישמת — ללא חמקנות שיווקית.

למה אבטחת המידע באוטולוג חשובה?

כל פעם שאתם מוסיפים רכב לאוטולוג, מעלים מסמך, או מתעדים הוצאה — אתם משתפים מידע אישי רגיש: מספרי רישוי, חתימות, מספרי תעודות זהות (לפעמים), פרטי ביטוח, וכמובן את כל ההיסטוריה הפיננסית של הרכב.

אם אוטולוג לא הייתה מטפלת באבטחה ברצינות, המידע הזה היה יכול לדלוף, להיגנב, או להישלח לצדדים שלישיים שלא ביקשתם. באוטולוג, אבטחת המידע היא לא תוספת — היא חלק בלתי נפרד מהארכיטקטורה.

רמת ההצפנה באוטולוג

הצפנת מידע במנוחה (Encryption at Rest)

כל מידע אישי רגיש שאתם מאחסנים באוטולוג מוצפן בסטנדרט AES-256-GCM — אותו תקן שמשמש בנקים, סוכנויות ממשלתיות, וצבא ארה"ב.

איך זה עובד באוטולוג בפועל:

  • שדות רגישים כמו תעודת זהות, מספר פוליסה, ופרטי תקשורת — מוצפנים לפני שהם נכתבים למסד הנתונים.
  • מפתח ההצפנה נשמר נפרד מהמסד עצמו, במשתנה סביבה מאובטח (ENCRYPTION_KEY).
  • מי שירצה לקרוא את המידע — גם מי שיש לו גישה למסד הנתונים — יראה רק בייטים מוצפנים.

הצפנת תעבורה (Encryption in Transit)

כל תקשורת בין הדפדפן שלכם לבין אוטולוג מתבצעת ב-HTTPS עם TLS 1.3, בעזרת תעודת SSL מ-Let's Encrypt. זה אומר:

  • אף אחד באמצע (בעל ה-WiFi בבית הקפה, ספק האינטרנט, רשת ציבורית) לא יכול לראות מה אתם שולחים לאוטולוג.
  • אף אחד לא יכול לשנות את התקשורת בדרך (מתקפת man-in-the-middle).
  • הדפדפן שלכם מוודא שאתם באמת מדברים עם אוטולוג ולא עם זייפן.

ניהול גישה לחשבון באוטולוג

JWT עם רוטציית טוקנים

אוטולוג משתמשת במערכת אימות מבוססת JSON Web Tokens (JWT) עם רוטציה אוטומטית:

  • טוקן Access — תוקף של 15 דקות בלבד. אם טוקן נגנב — תוך רבע שעה הוא חסר משמעות.
  • טוקן Refresh — תוקף של 7 ימים. משמש לרענון אוטומטי של טוקן ה-Access.
  • רוטציה — בכל רענון, אוטולוג מוציאה טוקן Refresh חדש ומבטלת את הישן (מנגנון Token Rotation).
  • רשימה שחורה (Blacklist) — טוקנים שבוטלו נשמרים ברשימה שחורה למניעת שימוש חוזר.

נעילת חשבון אוטומטית

אוטולוג מגנה על החשבון שלכם מפני התקפות brute-force:

  • אחרי 5 ניסיונות כניסה כושלים, אוטולוג נועלת את החשבון אוטומטית ל-15 דקות.
  • אחרי 10 ניסיונות, נעילה ל-24 שעות + מייל התראה אליכם.
  • אחרי 20 ניסיונות, נעילה מלאה — צריך לפנות לתמיכה.

זיהוי דו-שלבי (MFA / TOTP)

אוטולוג תומכת בזיהוי דו-שלבי באמצעות אפליקציות TOTP (Google Authenticator, Authy, 1Password). זה אופציונלי, אבל מומלץ בחום:

  • מפעילים מההגדרות → "אבטחה" → "הפעלת MFA".
  • סורקים QR Code עם אפליקציית האימות.
  • מהרגע הזה, גם אם מישהו יודע את הסיסמה — הוא לא יוכל להיכנס בלי הטלפון שלכם.

הגנה מפני התקפות נפוצות

אוטולוג מיישמת שכבת pen-test-guard — מערכת לזיהוי תבניות התקפה. היא מזהה ומחסומת:

  • SQL Injection — ניסיונות להחדיר קוד SQL זדוני.
  • XSS (Cross-Site Scripting) — ניסיונות להחדיר JavaScript זדוני.
  • Path Traversal — ניסיונות לגשת לקבצים מחוץ למסלולים מותרים.
  • SSRF (Server-Side Request Forgery) — ניסיונות לגרום לאוטולוג לבצע בקשות זדוניות.
  • Command Injection — ניסיונות להריץ פקודות מערכת.
  • 18+ סורקי פגיעויות אוטומטיים — מזוהים וחסומים מיד.

בנוסף, אוטולוג מיישמת:

  • Rate Limiting ברמת Nginx — מוגבל ל-30 בקשות לדקה לכל API, 5 בקשות לדקה לבעיות התחברות.
  • CSRF Protection — בקשות לפעולות רגישות דורשות אסימון CSRF.
  • RBAC (Role-Based Access Control) — הרשאות גישה לפי תפקיד (משתמש, מנהל מוסך, אדמין).
  • Validation מלא עם Zod — כל קלט מהמשתמש נבדק לפני שהוא מתקבל.
  • Prisma ORM — פונה למסד הנתונים בשאילתות parameterized, ללא חשש מ-SQL injection.

כותרות אבטחה (Security Headers)

אוטולוג מגדירה את כל כותרות האבטחה המקובלות:

  • HSTS (Strict-Transport-Security) — מכריח את הדפדפן להשתמש ב-HTTPS תמיד.
  • CSP (Content Security Policy) — מגביל מאיפה אפשר לטעון משאבים, מונע XSS.
  • X-Frame-Options — מונע מאתרים אחרים להטמיע את אוטולוג ב-iframe (clickjacking).
  • X-Content-Type-Options — מונע MIME-type sniffing.
  • Referrer-Policy — שולט במידע שמשתף עם אתרים חיצוניים.
  • Permissions-Policy — מגביל גישה ל-API רגישים (מצלמה, מיקרופון, מיקום).

אימות העלאות קבצים

כשאתם מעלים מסמך לאוטולוג (פוליסה, אישור טסט, קבלה), אוטולוג בודקת:

  • Magic byte validation — לא רק שם הקובץ, אלא תכולת הקובץ הראשונה (התחלה ייחודית של כל סוג).
  • גודל מקסימלי — 10MB לקובץ.
  • סוגי קבצים מותרים — JPG, PNG, PDF בלבד.
  • סריקת תוכן — בדיקה שאין סקריפטים זדוניים מוטמעים.

רישום ביקורת (Audit Logging)

אוטולוג מתעדת כל פעולה רגישה ברישום ביקורת מאובטח:

  • מי התחבר ומתי
  • מי שינה מה
  • מאיפה (IP)
  • באיזה דפדפן

הלוגים נשמרים מוצפנים, ניתנים לצפייה רק לאדמינים, ומכוסים על ידי policy של GDPR.

פרטיות במידע שלכם — מה אוטולוג עושה ומה לא

מה אוטולוג עושה:

  • שומרת את המידע שאתם מספקים — רכב, מסמכים, הוצאות.
  • שולחת לכם תזכורות לפי הגדרות שלכם.
  • משתמשת ב-AI לסריקת מסמכים שלכם (בעיבוד מקומי או דרך OpenAI API עם מדיניות פרטיות מחמירה).
  • מציעה התאמה אישית של תוכן והמלצות.

מה אוטולוג לא עושה:

  • לא מוכרת את המידע שלכם לאף אחד.
  • לא משתפת את המידע עם חברות שיווק.
  • לא עושה שימוש בפרטים האישיים שלכם לפרסום ממוקד.
  • לא מציגה פרסומות מבוססות-מידע אישי.
  • לא מעבירה את המידע למעטפת חיצונית ללא הסכמתכם.

GDPR — זכויותיכם באוטולוג

אוטולוג עומדת בתקני GDPR (General Data Protection Regulation) — תקנת הפרטיות האירופית, שגם רלוונטית לחוק הגנת הפרטיות הישראלי החדש (2024). מה זה אומר עבורכם בפועל:

זכות הגישה

בכל רגע אתם יכולים להוריד את כל המידע שאוטולוג שמרה עליכם — בקובץ ZIP מובנה. אוטולוג מספקת את זה דרך: הגדרות → פרטיות → ייצוא נתונים אישיים (GDPR Export).

הקובץ כולל: פרטי משתמש, פרטי רכבים, היסטוריית הוצאות, מסמכים שהעלת, התראות, הגדרות, ולוגים שלך.

זכות התיקון

אתם יכולים לערוך כל מידע על עצמכם בכל רגע. אוטולוג לא מקבעת מידע — הכל ניתן לשינוי.

זכות המחיקה (Right to be Forgotten)

אם החלטתם להפסיק להשתמש באוטולוג — בלחיצה אחת אתם מוחקים את החשבון לחלוטין. כל המידע נמחק תוך 30 יום (כולל גיבויים).

זכות הניידות

אוטולוג מספקת את המידע שלכם בפורמט JSON סטנדרטי, שאפשר לייבא לפלטפורמות אחרות.

זכות ההסתייגות

אתם יכולים להסתייג מקבלת תזכורות, מקבלת המלצות מבוססות-AI, או משימוש בנתונים שלכם לכל מטרה.

ספקים חיצוניים שאוטולוג עובדת איתם

שקיפות חשובה. אוטולוג משתמשת בכלים הבאים, וכל אחד מהם מטופל בקפדנות:

  • PostgreSQL — מסד הנתונים של אוטולוג, רץ על שרת DigitalOcean באירופה (Frankfurt).
  • Redis — מטמון לטוקנים ולסשנים, אותו שרת.
  • OpenAI API — לעיבוד AI של מסמכים ועוזר אישי. הנתונים נשלחים בהצפנה, ולפי מדיניות OpenAI הם לא משמשים לאימון המודלים.
  • Twilio — לשליחת SMS (אופציונלי, רק למי שמפעיל).
  • Resend — לשליחת מיילים. הודעות בלבד, ללא שיתוף תוכן.
  • Sentry — לזיהוי שגיאות. שולח מטא-נתונים בלבד, לא מידע אישי.

ספקים אלה נמצאים במדינות עם תקנות פרטיות מחמירות (EU או ארה"ב), וכולם חתומים על Data Processing Agreement עם אוטולוג.

תשתית האחסון של אוטולוג

המידע שלכם באוטולוג נשמר על שרתים פיזיים בפרנקפורט, גרמניה — באזור שמכוסה ע"י GDPR. הספק: DigitalOcean (חברה אמריקאית, אבל השרת באירופה).

שכבות אבטחה פיזיות:

  • Firewall ברמת Cloud (UFW + DigitalOcean Firewall).
  • Fail2ban — חוסם אוטומטית IPs שמנסים brute-force.
  • גיבויים יומיים אוטומטיים, מוצפנים.
  • מערכת ניטור 24/7.

מה לעשות אם אתם חושדים שמשהו לא בסדר?

אם אתם חושדים שמישהו ניסה להיכנס לחשבון שלכם באוטולוג, או רואים פעילות חשודה:

  1. שנו את הסיסמה מיד — מההגדרות → אבטחה → שינוי סיסמה.
  2. התנתקו מכל המכשירים — מההגדרות → אבטחה → "נתק מכל המכשירים".
  3. הפעילו MFA — אם עוד לא הפעלתם.
  4. שלחו לנו מייל — security@autolog.click — ואנחנו נחקור.

שאלות נפוצות

ש: האם אוטולוג מקשיבה למיקרופון של הנייד? ת: לא. אוטולוג משתמשת במיקרופון רק כשאתם מפעילים את ההקלטה הקולית במפורש (לחיצה על כפתור). אחרי שסיימת — המיקרופון נסגר.

ש: האם אוטולוג מציגה פרסומות? ת: לא. אוטולוג חינמית למשתמשים פרטיים, אבל לא מציגה פרסומות. המודל העסקי שלנו מבוסס על שותפויות עם מוסכים.

ש: האם המידע שלי נשמר בישראל? ת: לא. השרתים של אוטולוג נמצאים בפרנקפורט, גרמניה — באיחוד האירופי, באזור עם תקנות פרטיות מחמירות (GDPR).

ש: האם אני יכול לבקש שלא תשמרו שום מידע על השימוש שלי? ת: כן. בהגדרות → פרטיות → "Opt-out מאנליטיקס".

ש: האם אוטולוג עוברת בדיקות אבטחה? ת: כן. ביצענו audit פנימי מקיף ב-2026, ואנחנו מתכננים penetration test חיצוני ב-Q3.

סיכום

אבטחה ופרטיות הם לא תוספת באוטולוג — הם החלק היסודי של איך אוטולוג בנויה. הצפנת AES-256, JWT עם רוטציה, MFA, GDPR compliance, ספקים בעלי תקני הגנת פרטיות חזקים — הכל מכוון לדבר אחד: שאתם תהיו בטוחים שהמידע שלכם בידיים טובות.

יש לכם שאלות נוספות על אבטחה באוטולוג? שלחו מייל ל-security@autolog.click ונענה תוך 24 שעות.

נרשמים לאוטולוג בחינם — בסטנדרטים גבוהים של אבטחה ופרטיות.

מתחילים עם אוטולוג עכשיו

אוטולוג מאחדת את כל הניהול של הרכב — תזכורות אוטומטיות, סריקת מסמכים עם AI, מעקב הוצאות, היסטוריית טיפולים ועוזר AI אישי. בעברית. בחינם. ללא הורדה.

הרשמה לאוטולוג חינם
כל המאמריםחזרה לעמוד הבית