מדיניות פרטיות

עדכון אחרון: אפריל 2026

1. כללי

זירת האדריכלות ("האתר", "השירות", "אנחנו") מפעילה פלטפורמה למעצבי פנים ואדריכלים, בכתובת https://www.ziratadrichalut.co.il. מדיניות זו מפרטת אילו נתונים אנו אוספים, כיצד אנו משתמשים בהם, כיצד אנו מאחסנים ומגנים עליהם, עם מי אנו חולקים אותם וכיצד ניתן לבקש למחוק אותם. מדיניות זו חלה על כל המשתמשים באתר ובמיוחד על משתמשים שמחברים את חשבון Google שלהם לשירות.

2. מידע שאנו אוספים

  • פרטי חשבון: שם מלא, כתובת אימייל, מספר טלפון, סיסמה מוצפנת (bcrypt).
  • פרטים מקצועיים: תחום עיסוק, אזור פעילות, שם עסק, ניסיון, תמונת פרופיל.
  • תוכן משתמש: פרויקטים, לקוחות, חוזים, חתימות דיגיטליות, מסמכים שהעלת, קבצי PDF, תמונות עיצוב ותוכן משובץ אחר.
  • נתוני שימוש: כתובת IP, user-agent, לוגים של פעולות מרכזיות (התחברות, חתימה על חוזה).
  • מידע מ-Google (אופציונלי, רק בהסכמתך): ראה סעיף 4 להלן.

3. כיצד אנו משתמשים במידע

  • לספק ולתחזק את שירותי הפלטפורמה (ניהול פרויקטים, CRM, חוזים, יומן פגישות).
  • לאמת את זהותך בעת התחברות.
  • לשלוח הודעות תפעוליות (אישור חתימה על חוזה, תזכורות, חיבור חוזר).
  • לשפר את הפלטפורמה ולאבחן תקלות באמצעות לוגים טכניים.
  • לציית לדרישות חוק רלוונטיות.

אנחנו לא משתמשים בנתוני משתמש, ובפרט לא בנתוני Google, לצורכי אימון מודלים של בינה מלאכותית, פרסום, פרופיילינג שיווקי, או כל שימוש שאיננו מתן השירות שהמשתמש ביקש.

4. שימוש ב-Google API ונתוני משתמש של Google

השימוש שלנו במידע המתקבל מ-Google APIs כפוף ל-Google API Services User Data Policy, כולל דרישות Limited Use.

4.1 הנתונים שאנו ניגשים אליהם (Data Accessed)

  • Scope: openid email profile — משמש להתחברות ("Sign in with Google"). אנו מקבלים: מזהה Google ייחודי (sub), כתובת אימייל, שם מלא ותמונת פרופיל ציבורית.
  • Scope: https://www.googleapis.com/auth/calendar — משמש לסנכרון יומן, רק לאחר שהמשתמש לוחץ במפורש על "חבר את Google Calendar" בהגדרות ה-CRM. באמצעות scope זה אנו יכולים ליצור, לקרוא, לעדכן ולמחוק אירועים ביומן הראשי של המשתמש ב-Google Calendar.

4.2 כיצד אנו משתמשים בנתוני Google (Data Usage)

  • נתוני פרופיל (email/name/picture): יוצרים או מאתרים חשבון משתמש בפלטפורמה, ומציגים את שמך ותמונתך בממשק שלך בלבד.
  • Google Calendar: יוצרים ומעדכנים אירועי פגישות שהמעצב יצר בתוך ה-CRM של זירת האדריכלות, כך שיופיעו גם ב-Google Calendar האישי שלו. איננו קוראים אירועים שלא נוצרו על ידי השירות, ואיננו מנתחים את תוכן היומן מעבר לסנכרון האירועים שיצרת בפלטפורמה.
  • הגישה היא לצורך הפעולה שהמשתמש ביקש בלבד, ואיננה משמשת לפרסום, מכירה, או אימון מודלים של AI.

4.3 שיתוף נתוני Google עם צדדים שלישיים (Data Sharing)

איננו מוכרים, משכירים, או מעבירים נתוני Google של משתמשים לצדדים שלישיים. נתוני Google מועברים רק חזרה אל Google (לצורך יצירת אירוע ביומן המשתמש) ונשמרים אצל ספקי תשתית מוגדרים שאיתם יש לנו הסכמי עיבוד נתונים:

  • Vercel (אירוח ונקודות קצה סרברלס) — עיבוד בזמן הרצה.
  • ספק מסד נתונים (PostgreSQL מנוהל) — אחסון אסימוני גישה ורענון מוצפנים.
  • Cloudflare R2 — אחסון מסמכים וקבצי PDF שהמשתמש העלה; לא משמש לאחסון נתוני Google.
  • Resend — משמש לשליחת אימיילים תפעוליים; כתובת האימייל של המשתמש מועברת אליו רק לצורך שליחת ההודעה.

שימוש שלנו בנתוני Google מוגבל ל-Limited Use: איננו מעבירים נתונים אלה לצדדים שלישיים מלבד הנדרש למתן השירות שהמשתמש ביקש, לציות לחוק, או לצרכי אבטחה.

4.4 אחסון והגנה על נתונים (Data Storage & Protection)

  • אסימוני OAuth (access token + refresh token) נשמרים בעמודה ייעודית בבסיס הנתונים, עם הצפנה בתעבורה (TLS 1.2+) ובמנוחה (הצפנה ברמת הדיסק של ספק ה-PostgreSQL).
  • גישה לבסיס הנתונים מוגבלת למפתחת היחידה של האתר באמצעות אישורים ייחודיים.
  • אנו משתמשים ב-HTTPS בלבד, הצפנת סיסמאות עם bcrypt, וכותרות אבטחה (HSTS, X-Frame-Options, CSP-relevant).
  • פעולות רגישות (חתימה על חוזה, התחברות) נרשמות ביומן ביקורת עם חותמת זמן ו-IP.

4.5 שמירת מידע ומחיקה (Data Retention & Deletion)

  • חשבון פעיל: נתוני הפרופיל והתוכן שיצרת נשמרים כל עוד החשבון שלך פעיל.
  • Google Calendar tokens: נמחקים אוטומטית ברגע שתלחץ על "ניתוק" במסך הגדרות ה-CRM, או תבטל את הגישה ב-Google Account permissions.
  • בקשת מחיקה מלאה של החשבון: ניתן בכל עת דרך טופס מחיקת הנתונים הציבורי שלנו או על ידי שליחת אימייל ל-z.adrichalut@gmail.com עם הנושא "Delete my account". המחיקה תבוצע בתוך 30 יום ותכלול את כל נתוני הפרופיל, התוכן, הטוקנים של Google, והרשומות המשויכות. לוגים של אבטחה ישמרו לכל היותר 90 יום לצרכי אבטחה וציות.
  • Backups: עותקי גיבוי של בסיס הנתונים נשמרים עד 30 יום ולאחר מכן נמחקים לצמיתות.

לנוחותך: טופס ציבורי למחיקת נתונים זמין בכל עת ב- /data-deletion. אין צורך להיות מחובר/ת כדי להגיש בקשה.

5. עוגיות (Cookies)

האתר משתמש בעוגיות הכרחיות לתפקוד (session, CSRF). איננו משתמשים בעוגיות פרסום, בעוגיות צד שלישי לצורך פרופיילינג, או ב-trackers שיווקיים.

6. זכויות המשתמש

בכל עת באפשרותך לבקש: לעיין במידע שלנו עליך, לתקן מידע שגוי, לייצא את המידע, או למחוק את המידע באופן מלא. הפנייה בדוא"ל אל z.adrichalut@gmail.com. אם חיברת את חשבון Google שלך, באפשרותך בכל עת לבטל את הגישה של זירת האדריכלות דרך https://myaccount.google.com/permissions.

7. אבטחת מידע

אנו נוקטים אמצעי אבטחה מקובלים בתעשייה: הצפנה בתעבורה (TLS), הצפנה במנוחה ברמת ספק התשתית, הצפנת סיסמאות (bcrypt), בקרת גישה מבוססת-תפקיד, ותיעוד פעולות רגישות. במקרה של חשד לפריצה המשפיעה על נתוני משתמש, נודיע למשתמשים הרלוונטיים בהתאם לחוק.

8. קטינים

השירות מיועד למשתמשים מעל גיל 18. אנו לא אוספים ביודעין מידע מקטינים.

9. שינויים במדיניות

נעדכן מדיניות זו מעת לעת. תאריך העדכון האחרון מופיע בראש הדף. שינויים מהותיים ימסרו למשתמשים הרשומים באמצעות אימייל.

10. יצירת קשר

אחראית הגנת הפרטיות: תמר. לכל שאלה בנושא פרטיות, אבטחה או מחיקת מידע: z.adrichalut@gmail.com.

Privacy Policy (English Summary for Google Verification)

Zirat Architecture operates the platform at https://www.ziratadrichalut.co.il.

Data Accessed from Google: We request the OAuth scopes openid email profile for sign-in (Google account ID, email, name, profile picture) and https://www.googleapis.com/auth/calendar (only when the user explicitly connects Google Calendar in the CRM settings) to create and update calendar events on the user's primary calendar.

Data Usage: Profile data is used to create/identify the user's account and render their display name/avatar in the UI. Calendar access is used only to push meeting events that the designer created inside our CRM to their Google Calendar. We do not read, analyze, or repurpose the user's Google Calendar content.

Data Sharing: We do not sell, rent, or transfer Google user data to any third party. Data is only transmitted back to Google APIs as required to perform the user-requested action. Subprocessors (Vercel, PostgreSQL provider, Cloudflare R2, Resend) handle infrastructure only and do not receive Google user data beyond what is necessary for the service to function.

Data Storage & Protection: OAuth tokens are stored in our managed PostgreSQL database, encrypted in transit (TLS 1.2+) and at rest. Access is restricted to the site operator. We do not use Google user data for AI/ML model training, advertising, or marketing profiling.

Data Retention & Deletion: Users can disconnect Google Calendar at any time from the CRM settings (which deletes the stored tokens immediately) or from https://myaccount.google.com/permissions. Full account deletion can be requested via our public Data Deletion form or by emailing z.adrichalut@gmail.com with the subject "Delete my account"; deletion is completed within 30 days and includes all Google OAuth tokens, profile data, and user-generated content.

Limited Use: Our use of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements.