דלג לתוכן ראשי
Certyneo

אבטחה ותאימות

האמון הוא בלב Certyneo. עמוד זה מתאר במדויק מה קיים היום בתשתית וביישום שלנו.

עודכן ב .

אבטחת Certyneo — תשתית והצפנה

תואם eIDAS

החתימות הפשוטות (SES) והמתקדמות (AES עם OTP אימייל + SMS) שלנו עונות על דרישות תקנת eIDAS של האיחוד האירופי.

הצפנת TLS 1.3

כל התקשורת בין הלקוח לשרת מוגנת באמצעות TLS 1.3 דרך reverse proxy (אישורי Let's Encrypt מתחדשים אוטומטית).

אירוח בצרפת

היישום, בסיס הנתונים PostgreSQL ואחסון האובייקטים מאורחים בתשתית שלנו בצרפת (IONOS).

יומן ביקורת חתימות

כל פעולה (פתיחה, OTP, חתימה, סירוב, פקיעה) מתועדת עם חותמת זמן ונשמרת. כותרת ביקורת משולבת בתוך ה-PDF החתום.

אימות החותם

לרמה המתקדמת (AES): OTP כפול באימייל + SMS (OTP SMS). לחיבור השולח: אימייל + סיסמה, Google, Microsoft Entra.

GDPR

תאימות ל-GDPR (תקנת הגנת הנתונים הכללית של האיחוד האירופי): זכות גישה, תיקון ומחיקה, רישום פעולות עיבוד.

תאימות רגולטורית

Certyneo תואמת את התקנות האירופיות החלות על חתימה אלקטרונית והגנת נתונים.

eIDAS

חתימות SES ו-AES

חתימה אלקטרונית פשוטה (SES) כברירת מחדל. חתימה אלקטרונית מתקדמת (AES) עם OTP אימייל + SMS לערך הוכחתי מחוזק במובן תקנת (האיחוד האירופי) מס' 910/2014.

GDPR

הגנת נתונים

תאימות לתקנת (האיחוד האירופי) 2016/679. נתונים מאורחים באיחוד האירופי, משך שמירה מתועד, רישום פעולות עיבוד ו-DPA זמינים לבקשה.

נוהלי האבטחה שלנו

להלן הצעדים הקונקרטיים שנפרשו בייצור.

  • הצפנת TLS 1.3 לכל תקשורת HTTP (Caddy 2, Let's Encrypt)
  • Hashing scrypt (עם salt והשוואה timing-safe) לסיסמאות המשתמשים
  • אסימוני אימות אימייל ואיפוס סיסמה לשימוש חד-פעמי, פקיעה תוך שעה
  • OTP (OTP SMS) לחתימה מתקדמת, תוקף קצר, שימוש חד-פעמי
  • הגבלת קצב יישומית (Redis) לפי תוכנית על נקודות קצה רגישות
  • אחסון אובייקטים תואם S3 עם versioning פעיל על מסמכים
  • יומן ביקורת מתועד עם חותמת זמן לכל שלב במחזור החיים של מעטפה
  • רישום ביקורת שעתול של כל שלב במחזור החיים של מעטפה

מוכנים לחתום בביטחון?

5 עטיפות חינם בחודש, ללא כרטיס חיוב. תאימות eIDAS ו-GDPR כלולות.

התחילו בחינםבקשו הדגמה

Security roadmap

הצעדים הבאים שלנו לחיזוק הביטחון והעמידה בדרישות.

  • רבעון 4 2026

    ביקורת ISO 27001

    מתוכנן

    ביקורת הסמכה ISO 27001 מתוכננת עם גוף מוסמך.

  • 2027

    SOC 2 Type II

    מתוכנן

    דוח SOC 2 Type II המכסה ביטחון, זמינות וסודיות.

Responsible disclosure

גילית חולשה בתחום הביטחון? אנא צור איתנו קשר באופן אחראי לפני כל גילוי ציבורי. אנו נשלח אישור תוך 48 שעות עבודה.

security@certyneo.com

הסכם עיבוד נתונים

ה-DPA שלנו מפרט את חובות Certyneo כמעבד משנה לפי GDPR, כולל צעדים טכניים וארגוניים.

צפה ב-DPA

שאלות נפוצות אודות אבטחה ב-Certyneo

היכן מתארחים את הנתונים של Certyneo?
כל הנתונים מתארחים באופן בלעדי בגרמניה (IONOS SE, פרנקפורט), בתוך האיחוד האירופי. אין שכפול או העסקת קבלנים לשרתים מחוץ לאיחוד האירופי.
האם Certyneo כפוף לחוק Cloud Act האמריקני?
לא. Certyneo היא ישות צרפתית (SAS בדין צרפתי), אינה כפופה לטריטוריאליות חוצת-גבולות של חוק Cloud Act האמריקני. בניגוד ל-DocuSign, Adobe Sign או Dropbox Sign (חברות אמריקאיות), הרשויות האמריקאיות אינן יכולות לכפות על Certyneo לחשוף את הנתונים שלכם.
האם Certyneo תואם ל-GDPR?
כן. Certyneo תואם ל-GDPR: תארחון באיחוד האירופי, הצפנת TLS 1.3 בשידור ו-AES-256 במנוחה, DPA זמין (סעיף 28 של GDPR), תקופת שמירה מוגבלת ותועדה, זכות גישה והסרה מכובדות.
כיצד מוגנים המסמכים החתומים מפני זיוף?
כל מסמך חתום מוגן על ידי חותם קריפטוגרפי (hash SHA-256) רשום בשיא ביקורת בעל חותמת זמן. כל שינוי במסמך לאחר חתימה מבטל את החותם ומתגלה מייד. שיא הביקורת נשמר למשך 10 שנים.
האם ל-Certyneo יש DPA (הסכם עיבוד נתונים)?
כן. Certyneo מציע DPA תואם לסעיף 28 של GDPR, זמין וניתן לחתימה אלקטרונית משלוחת הבקרה שלכם או בבקשה. הוא מפרט את הקבלנים, הנעשים הטכניים וההשכלתיים (TOMs), וזכויות הנושאים.

כדי להעמיק

העמיקו את ההבנה שלכם ברגולציה וברמות החתימה.