מדיניות פרטיות

1. בקר המידע (Data Controller)

מדיניות פרטיות זו חלה על השירות YONDI ("השירות"), המופעל על ידי YONDI Group LLC, חברה רשומה בארצות הברית ("החברה", "אנחנו"). עד למינוי נציג רשמי באיחוד האירופי, ניתן לפנות אלינו בכל שאלה הקשורה לפרטיות דרך כתובת המייל המופיעה בסוף מסמך זה.

2. סוגי המידע שאנחנו אוספים

אנחנו אוספים את הקטגוריות הבאות של מידע: (א) פרטי חשבון של בעל החנות — כתובת מייל, שם, מספר טלפון, דומיין החנות ב-Shopify; (ב) נתוני הזמנה שמועברים אלינו דרך webhook של Shopify — שורות מוצרים, מחירים וכתובות משלוח של לקוחות הקצה של החנות שלך; (ג) פרטי גישה לספקים (AliExpress) המוצפנים AES-256-GCM ברמת השדה; (ד) נתוני שימוש טכניים — כתובת IP, סוג דפדפן, חותמות זמן של בקשות, לוגים של פעולות.

3. הבסיס החוקי לעיבוד (GDPR Art. 6)

אנחנו מעבדים את המידע על בסיס שני יסודות חוקיים: ביצוע חוזה — עיבוד פרטי החשבון, נתוני ההזמנות וגישת הספקים נדרש כדי לספק את השירות שעליו חתמת בעת ההרשמה; ואינטרס לגיטימי — לוגים, נתוני אנליטיקה מצרפיים ואבחון תקלות נדרשים לשם שמירה על תפקוד תקין ואבטחת השירות. כאשר נסתמך בעתיד על הסכמה (למשל לעדכוני שיווק), נבקש אותה במפורש ובנפרד.

4. מקבלי המידע וקבלני משנה

אנחנו משתפים מידע מינימלי ההכרחי עם קבלני המשנה הבאים, כל אחד תחת הסכם עיבוד נתונים (DPA):

• Stripe — עיבוד תשלומים וחיוב מנויים.
• Resend — שליחת מיילים תפעוליים (אישור הזמנה, עדכוני משלוח ללקוחות הקצה).
• Google Maps Platform — אימות כתובות משלוח של לקוחות הקצה לפני העברת הזמנה לספק.
• Groq — מודל שפה לצ׳אטבוט הציבורי באתר; לא מועברות תכתובות ממידע פנימי של חשבונות לקוחות.
• AliExpress (Alibaba Group) — מימוש ההזמנה בפועל; מידע מועבר ביוזמתך וכחלק מהשירות.
• Shopify — האינטגרציה שדרכה מתקבלים אירועי הזמנה ומידע מוצר.

5. תקופת שמירה

נתוני חשבון נשמרים כל עוד המנוי פעיל ובמשך 6 חודשים נוספים לאחר ביטול, לצרכי דרישות חיוב והתחשבנות. נתוני הזמנות נשמרים למשך 7 שנים בהתאם לדרישות החוק לרישומים מסחריים ומס. לוגים טכניים נשמרים עד 90 ימים.

6. העברות מחוץ לאיחוד האירופי

השירות מתארח בארצות הברית, ולכן מידע על אזרחי האיחוד האירופי מועבר אל מחוץ ל-EEA. ההעברה מתבצעת על בסיס Standard Contractual Clauses (SCCs) של הוועדה האירופית, ואמצעי אבטחה משלימים כוללים הצפנה בתעבורה (TLS 1.3) ובמנוחה (AES-256).

7. זכויות הנושא (GDPR Art. 15–22)

עומדות לך הזכויות הבאות: גישה למידע, תיקון, מחיקה ("הזכות להישכח"), הגבלת עיבוד, ניידות וזכות התנגדות. שתי זכויות מרכזיות זמינות ב-self-service דרך הדשבורד: ייצוא מלא של החשבון דרך הנקודה GET /api/account/export, ומחיקת חשבון דרך הנקודה DELETE /api/account. שתיהן נגישות מהעמוד /dashboard/billing. ניתן גם להגיש תלונה לרשות הפיקוח המקומית.

8. עוגיות (Cookies)

אנחנו משתמשים ב-session cookies בלבד, הנחוצות להפעלת ההתחברות. אין אצלנו third-party tracking פעיל כברירת מחדל; פיקסל Meta וקוד Google Analytics יופעלו רק אם משתני הסביבה META_PIXEL_ID או GA_MEASUREMENT_ID מוגדרים — מצב שאינו פעיל נכון לתאריך תוקף מסמך זה.

9. אבטחת מידע

סיסמאות מאוחסנות hash בלבד (Argon2). פרטי גישה לספקים מוצפנים ברמת השדה ב-AES-256-GCM. תעבורה מוצפנת TLS 1.3. ארכיטקטורת multi-tenant מבודדת מבטיחה שמידע חשבון אחד אינו נגיש מחשבון אחר.

10. יצירת קשר

שאלות, מימוש זכויות, או הודעות על אירועי פרטיות: orxyamin@gmail.com (DPO זמני עד למינוי קבוע) או founder@yondi.app.