מדיניות פרטיות

עודכן לאחרונה: מרץ 2026

1. כללי

מערכת בחינות התמחות (להלן: "המערכת") מופעלת עבור ההסתדרות הרפואית בישראל (להלן: "המפעיל") לצורך ניהול בחינות שלב ב׳ בהתמחויות השונות ברפואה בישראל. מדיניות פרטיות זו מפרטת כיצד אנו אוספים, משתמשים, מאחסנים ומגנים על המידע האישי שלך, בהתאם לחוק הגנת הפרטיות, התשמ"א-1981 ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017.

2. המידע שאנו אוספים

במסגרת השימוש במערכת, אנו אוספים את סוגי המידע הבאים:

  • פרטי זיהוי: שם מלא, תעודת זהות, כתובת דואר אלקטרוני
  • פרטי קשר: מספר טלפון (לצורך אימות דו-שלבי בלבד)
  • מידע מקצועי: שיוך לבית חולים, התמחות, תפקיד במערכת (בוחן/נבחן/מנהל)
  • נתוני בחינות: ציונים, תוצאות בחינה, שיבוץ לבחינות
  • נתוני אבטחה: סיסמה מוצפנת, נתוני אימות דו-שלבי, יומני כניסה
  • נתונים טכניים: כתובת IP, סוג דפדפן (לצורכי אבטחה בלבד)

3. מטרות השימוש במידע

המידע נאסף ומעובד למטרות הבאות בלבד:

  • ניהול בחינות שלב ב׳ בהתמחויות השונות ברפואה בישראל
  • חישוב ציונים ותוצאות בחינה
  • שיבוץ נבחנים ובוחנים לבחינות
  • אימות זהות ואבטחת גישה למערכת
  • שמירת יומני ביקורת (Audit Logs) בהתאם לדרישות תקן ISO 27001
  • שליחת הודעות מערכת (איפוס סיסמה, אימות דו-שלבי)
  • חישובים סטטיסטיים שונים להבטחת מהימנות ותוקף הבחינות

4. שיתוף מידע עם צדדים שלישיים

המערכת משתמשת בספקי שירות חיצוניים לצורך תפעולה. המידע מועבר אליהם אך ורק במידה הנדרשת לאספקת השירות:

  • Supabase (אירופה - פרנקפורט): אחסון מסד נתונים מאובטח
  • Twilio: שליחת קודי אימות SMS לאימות דו-שלבי
  • Brevo (לשעבר Sendinblue): שליחת דואר אלקטרוני (איפוס סיסמה)
  • Heroku: אירוח שרת האפליקציה
  • Vercel: אירוח ממשק המשתמש

כל ספקי השירות מחויבים לתנאי הגנת מידע. מסד הנתונים מאוחסן באיחוד האירופי (פרנקפורט, גרמניה).

5. אבטחת מידע

אנו נוקטים באמצעי אבטחה מתקדמים להגנה על המידע שלך:

  • הצפנת סיסמאות באמצעות Bcrypt
  • הצפנת נתוני אימות דו-שלבי (TOTP) במנוחה
  • תקשורת מוצפנת (HTTPS/TLS) בכל נקודות הקצה
  • אימות דו-שלבי (SMS או אפליקציית מאמת)
  • נעילת חשבון אוטומטית לאחר ניסיונות כניסה כושלים
  • כותרות אבטחה (HSTS, CSP, X-Frame-Options)
  • הגבלת קצב בקשות (Rate Limiting)
  • יומני ביקורת מלאים לכל פעולה רגישה
  • Row Level Security (RLS) במסד הנתונים

6. תקופות שמירת מידע

  • נתוני משתמש: כל עוד החשבון פעיל, ועד 3 שנים לאחר כיבוי החשבון
  • ציונים ותוצאות בחינה: נשמרים לצמיתות לצורך רגולציה רפואית
  • יומני ביקורת: 7 שנים בהתאם לדרישות ISO 27001
  • אסימוני התחברות: 7 ימים (נמחקים אוטומטית עם פקיעת תוקף)
  • קודי אימות דו-שלבי: 10 דקות (נמחקים אוטומטית)

7. זכויות נושא המידע

בהתאם לחוק הגנת הפרטיות, עומדות לך הזכויות הבאות:

  • זכות עיון: הזכות לקבל עותק של המידע האישי שלך המוחזק במערכת. ניתן לייצא את המידע דרך דף הפרופיל.
  • זכות תיקון: הזכות לבקש תיקון מידע שגוי או לא מעודכן דרך דף הפרופיל או פנייה למנהל המערכת.
  • זכות מחיקה: הזכות לבקש מחיקת החשבון שלך. במקרה שקיימים ציונים משויכים, המידע המזהה יוסתר (אנונימיזציה) תוך שמירה על שלמות נתוני הבחינה.
  • זכות התנגדות: הזכות להתנגד לעיבוד מידע שלך, בכפוף למגבלות חוקיות.

למימוש זכויותיך, ניתן לפנות דרך דף הפרופיל במערכת או ליצור קשר ישירות עם מנהל המערכת.

8. אחסון מקומי (Local Storage)

המערכת משתמשת באחסון מקומי בדפדפן (localStorage) לשמירת אסימון הזדהות (JWT) בלבד, לצורך שמירת מצב ההתחברות שלך. מידע זה נמחק בעת התנתקות מהמערכת. אין שימוש בעוגיות (Cookies) למעקב או פרסום.

9. יצירת קשר

לשאלות או בקשות בנוגע למדיניות פרטיות זו או לעיבוד המידע האישי שלך, ניתן לפנות אל:

אחראי הגנת הפרטיות

דותן בן יוסף

דוא"ל: dotan@dby-tech.co.il

10. שינויים במדיניות

אנו עשויים לעדכן מדיניות פרטיות זו מעת לעת. שינויים מהותיים יפורסמו במערכת. המשך השימוש במערכת לאחר פרסום השינויים מהווה הסכמה למדיניות המעודכנת.

חזרה לדף הכניסה