עדכון אחרון: מרץ 2026
אבטחת המידע שלך היא עדיפות עליונה עבורנו. אפליקציית "מנהל מילואים" מיישמת שכבות הגנה מרובות כדי להבטיח שנתוניך האישיים והפיננסיים מוגנים בכל עת.
סיסמאות משתמשים אינן נשמרות בטקסט גלוי. Supabase Auth מצפין סיסמאות באמצעות bcrypt עם salt ייחודי לכל משתמש — גם אנו לא יכולים לראות את סיסמתך.
כל כניסה לאפליקציה מצריכה: 1. סיסמה 2. קוד OTP חד-פעמי של 6 ספרות, שנשלח לאימייל קודי OTP: • נוצרים באמצעות מחולל מספרים קריפטוגרפי מאובטח • נשמרים מוצפנים (SHA-256) — לא בטקסט גלוי • בתוקף ל-5 דקות בלבד • נמחקים אוטומטית לאחר שימוש • מוגבלים ל-5 ניסיונות לפני נעילה
כל הטבלאות במסד הנתונים מוגנות ב-Row Level Security (RLS): • כל שאילתת מסד נתונים מאומתת מול זהות המשתמש המחובר • משתמש לא יכול, בשום אמצעי, לגשת לנתונים של משתמש אחר • אפילו שגיאה בקוד לא תחשוף נתוני אחרים
• session cookies מוגדרות כ-httpOnly — לא ניתן לגשת אליהן דרך JavaScript • כל הבקשות עוברות דרך HTTPS בלבד (TLS 1.3) • tokens מתחדשים אוטומטית ומוצפנים • התנתקות מנקה את ה-session לחלוטין
• Rate Limiting — מגבלת ניסיונות כניסה ושליחת OTP למניעת brute force • הגנה מפני SQL Injection דרך שאילתות parameterized של Supabase • CSRF protection מובנה ב-Next.js • headers אבטחה: Content-Security-Policy, X-Frame-Options, HSTS
• נתוני משתמשים אינם נמכרים, מועברים, או משותפים עם צדדים שלישיים • השירות היחיד שמקבל נתוני זיהוי הוא Gmail (SMTP) לשליחת מיילי אימות בלבד • לא קיים tracking, analytics, או פרסום
גילית פגיעות אבטחה? אנא דווח/י לנו באחריות (Responsible Disclosure): אימייל: hewmat61@gmail.com נושא: "Security Issue — מנהל מילואים" אנא כלול/י: • תיאור מפורט של הפגיעות • שלבים לשחזור • ההשפעה האפשרית נטפל בכל דיווח ברצינות ונשיב תוך 48 שעות. לא ננקוט פעולה משפטית נגד חוקרי אבטחה שדיווחו בתום לב.