אימות והרשאות
Authentication & Authorization — כיצד מוודאים שרק המורשים מגיעים לנתונים
אימות רב-שלבי (MFA)
אימות ראשוני: מייל וסיסמההסיסמאות מאוחסנות עם hashing באמצעות bcrypt — לא בטקסט גלוי בשום שלב.
גורם שני: SMS או Authenticator Appאימות דו-שלבי חובה לגישה רגישה — באמצעות קוד חד-פעמי (OTP) ב-SMS או אפליקציית authenticator.
מדיניות סיסמאות מחמירהמינימום 12 תווים, דרישות מורכבות (אותיות, מספרים, תווים מיוחדים).
נעילת חשבון אוטומטיתחסימה לאחר ניסיונות כניסה כושלים חוזרים — מניעת brute-force.
SSO עם Microsoft ו-Google IDPתמיכה מלאה ב-Single Sign-On דרך Microsoft Entra ו-Google Identity — ללא צורך בסיסמה נפרדת.
מסגרת בקרת גישה (RBAC)
Role-Based Access Control (RBAC)הרשאות מפורטות לפי תפקיד — כל משתמש רואה רק את מה שמותר לו, לפי תפקידו בארגון.
Row Level Security (RLS) DB Levelבקרת גישה ברמת שורה במסד הנתונים עצמו — לא רק ב-application layer.
JWT עם פקיעת תוקף מוגדרתAccess token בתוקף 15 דקות · Refresh token בתוקף 7 ימים — מגבילים את חלון החשיפה במקרה של דליפה.
ניהול סשן עם Timeout אוטומטיסשנים לא פעילים ננעלים אוטומטית — הגנה על תחנות עבודה משותפות.
הגנת מידע
Data Protection — הצפנה, בידוד ואבטחת מסדי נתונים
תקני הצפנה
נתונים במנוחה: AES-256 At Restכל הנתונים המאוחסנים מוצפנים בתקן AES-256 — התקן המשמש גם ממשלות וצבאות.
נתונים בתעבורה: TLS 1.3 In Transitכל התקשורת בין הדפדפן לשרתים מוצפנת ב-TLS 1.3 — הגרסה הבטוחה ביותר של הפרוטוקול.
חיבורי מסד נתונים: SSL/TLS בלבדאין חיבורים לא מוצפנים — כל query עובר דרך ערוץ מאובטח.
אחסון קבצים: הצפנה בצד השרתServer-side encryption עם מפתחות מנוהלי פלטפורמה — קבצים מוגנים גם ברמת תשתית האחסון.
אבטחת מסד נתונים
Row Level Security (RLS) אכיפה מלאהכל גישה לנתון מסוננת ברמת מסד הנתונים — אי אפשר לעקוף דרך שכבת האפליקציה.
עיקרון הרשאה מינימליתבידוד משתמשי DB — כל שירות מקבל רק את ההרשאות שהוא צריך בדיוק, לא יותר.
גיבויים מוצפנים · שמירה 30 יוםגיבויים אוטומטיים מוצפנים, עם שמירה של 30 יום ויכולת שחזור לכל נקודת זמן (Point-in-time recovery).
מניעת SQL Injection Prepared StatementsConnection pooling עם prepared statements — מונע לחלוטין הזרקת SQL זדונית.
אבטחת רשת ותשתית
Network & Infrastructure Security — WAF, DDoS ואבטחת ממשקי API
אבטחת תשתית
Web Application Firewall (WAF)סינון תעבורה זדונית, חסימת תבניות התקפה ידועות ו-OWASP Top 10 protection.
הגנת DDoS פעילה Always-Onמיטיגציה אוטומטית של מתקפות מניעת שירות — הפלטפורמה נשארת זמינה תחת עומס.
CDN עם Edge Security Headersאינטגרציית CDN עם edge caching ו-security headers — מפחית latency ומחזק הגנה.
אבטחת ממשקי API
Request Validation & Sanitizationכל בקשה נכנסת עוברת ולידציה וניקוי — מניעת XSS, injection ו-malformed input.
אכיפת מדיניות CORSCross-Origin Resource Sharing מוגבל לדומיינים מורשים בלבד — מניעת בקשות ממקורות לא מאושרים.
Audit Log לכל בקשת API Full Traceכל קריאת API מתועדת עם timestamp, משתמש, פעולה ותוצאה — מסלול ביקורת מלא.
הזרקת Security Headers אוטומטיתHSTS, CSP, X-Frame-Options ועוד — מוגדרים אוטומטית בכל תגובה.