מדיניות פרטיות

בתוקף מ-26 במאי 2026 · המסמך נוסח בעברית. במקרה של סתירה לתרגום עתידי — הנוסח העברי גובר.

1. הקדמה

מדיניות הפרטיות הזו (להלן: "המדיניות") מתארת את האופן שבו Nexterox בע״מ (בהקמה)(להלן: "החברה", "אנחנו") אוספת, משתמשת, מאחסנת ומגינה על מידע אישי של משתמשי הפלטפורמה נקסט בכתובת https://nexterox.com (להלן: "השירות").

המדיניות מתואמת עם חוק הגנת הפרטיות, התשמ"א-1981 (להלן: "חוק הגנת הפרטיות") ועם תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, וכן עם GDPR (לטובת משתמשים מאירופה).

2. איזה מידע אנחנו אוספים

2.1 מידע שאתה מספק ישירות

  • כתובת אימייל בעת ההרשמה.
  • שם מלא ושם עברי (אופציונלי).
  • מספר טלפון (אופציונלי, להתראות WhatsApp).
  • שם עסק / כתובת (אופציונלי, לחשבוניות).
  • תוכן שאתה יוצר באמצעות הפלטפורמה (פרומפטים, מוצרים, דפי מכירה).
  • תמונות וקבצים שאתה מעלה.

2.2 מידע שנאסף אוטומטית

  • כתובת IP וזיהוי מכשיר.
  • סוג דפדפן ומערכת הפעלה.
  • היסטוריית גלישה בתוך השירות.
  • שגיאות טכניות (דרך Sentry, ללא PII).
  • אנליטיקה מצרפת (דרך PostHog, EU region).

2.3 מידע שלא אוספים

  • פרטי כרטיס אשראי — אלה עוברים ישירות לשירות הסליקה (Cardcom). אנחנו לא רואים אותם ולא שומרים אותם בשום מצב.
  • תוכן רגיש — אנחנו ממליצים שלא להעלות לפלטפורמה מידע רפואי, דתי, פוליטי או ביומטרי. אם תעלה — אתה לוקח אחריות.

3. למה אנחנו משתמשים במידע

  • לספק את השירות (הפעלת המוצרים שלך, גישה לבונה AI, סליקה).
  • לשלוח לך תקשורת טרנזקציונית (אישור הרשמה, חיובים, התראות).
  • לשפר את השירות על-בסיס שימוש מצטבר (לא אישי).
  • לאבטח את המערכת מפני שימוש לרעה.
  • לעמוד בחובות חוקיות (חשבוניות, מס, רגולציה).

אנחנו לא מוכרים את המידע שלך לצדדים שלישיים. אנחנו לא משתמשים בו לפרסומות צד שלישי. אנחנו לא מאמנים מודלי AI על התוכן שלך (Anthropic ו-OpenAI חתומים מולנו על no-retention API).

4. עוגיות (Cookies)

אנחנו משתמשים בעוגיות הבאות:

  • חיוניות — סשן התחברות, העדפות שפה. לא דורש הסכמה.
  • אנליטיקה — PostHog (anonymized). דורש הסכמה לפי GDPR.
  • פרסום — Meta Pixel, TikTok Pixel (אופציונלי, רק לאחר הסכמה מפורשת).

אפשר לנהל העדפות עוגיות בכל עת באמצעות הבאנר שמופיע בכניסה הראשונה, או על-ידי ניקוי עוגיות בדפדפן.

5. שיתוף עם צדדים שלישיים

אנחנו משתמשים בספקי תשתית (Subprocessors) שמעבדים מידע בשמנו. רשימה מלאה מופיעה ב-דף DPA + Subprocessors.

בקצרה: הדאטה היושב באירופה (Supabase Frankfurt, Sentry EU, Resend EU, PostHog EU). שירותי AI (Anthropic) מקבלים תוכן בלבד דרך API ללא retention.

6. אחסון ואבטחה

  • נתוני משתמשים מאוחסנים ב-Supabase EU (פרנקפורט) עם RLS (Row Level Security).
  • גיבויים יומיים אוטומטיים.
  • תקשורת מוצפנת TLS 1.3 + ECH (Encrypted Client Hello).
  • HSTS למשך שנתיים על כל סאב-דומיין.
  • גישת אדמין דורשת אימות דו-שלבי (TOTP).
  • סודות סביבה מוצפנים ב-Vercel.

7. שמירת מידע

  • חשבון פעיל: כל עוד החשבון פעיל.
  • חשבון לא פעיל: 12 חודשים מהפעולה האחרונה, ואז מחיקה.
  • חשבון שנמחק לבקשתך: מחיקה תוך 30 ימים.
  • חשבוניות וחיובים: 7 שנים (חובה לפי דין).
  • לוגי אבטחה: שנה.

8. הזכויות שלך

בכל עת אתה רשאי:

  • לעיין במידע שאנחנו מחזיקים עליך.
  • לתקן מידע לא מדויק.
  • למחוק את החשבון והמידע (זכות להישכח).
  • לייצא את הנתונים שלך בפורמט JSON / CSV.
  • להגביל או להתנגד לעיבוד מסוים.
  • לבטל הסכמה לקבלת תקשורת שיווקית.
  • להתלונן בפני הרשות להגנת הפרטיות בישראל.

לבקשת זכויות נתונים: privacy@nexterox.com. נענה תוך 30 ימים.

9. העברת מידע לחו"ל

חלק מספקי השירות שלנו (Anthropic, Replicate, Vercel) פועלים בארה"ב. ההעברה מתבצעת לפי Standard Contractual Clauses (SCCs) של האיחוד האירופי, או תחת מנגנון Privacy Shield 2.0 / EU-US Data Privacy Framework. תוכל לקבל העתק של ה-SCCs לפי בקשה.

10. קטינים

השירות אינו מיועד לילדים מתחת לגיל 16. אנחנו לא אוספים ביודעין מידע מקטינים. אם נודע לנו שאספנו מידע מקטין — נמחק אותו מיידית.

11. שינויים במדיניות

שינויים מהותיים יישלחו במייל 30 ימים לפני כניסתם לתוקף. שינויים שאינם מהותיים יעודכנו בעמוד זה עם תאריך תוקף חדש.

12. יצירת קשר

ממונה הגנת המידע (DPO): privacy@nexterox.com
תמיכה כללית: support@nexterox.com
הרשות להגנת הפרטיות: www.gov.il/...