תנאים כלליים WeSync

מבוא

ווידב טכנולוגיות בע"מ, ח.פ. 516023892 (להלן: "החברה") הינה הבעלים של תוכנת WeSync (להלן: "התוכנה" או "המוצר") המבצעת אינטגרציה (להלן: "השירות") בין פלטפורמת Shopify לבין מערכות צד שלישי (להלן: "מערכות היעד") המוגדרות על-ידך הלקוח.

השירות פועל במודל SaaS (Software as a Service), וכולל אינטגרציה, ניהול שרתים, ותחזוקה אל מול ממשקי ה-API של Shopify ושל מערכות היעד.

תנאים אלה (להלן: "התנאים" או "ההסכם") חלים על כל לקוח (להלן: "הלקוח") העושה שימוש בשירות. תנאים אלה הינם בהשלמה ו/או המצטבר לכל הזמנת שירות בין הלקוח לחברה, ככל שיש כזו, ומחייבים את הלקוח עם תחילת השימוש בשירות.

  1. הגדרות

במסמך זה, למונחים שלהלן תהיה המשמעות המופיעה לצידם, אלא אם הוגדר במפורש אחרת:

"השירות" - השירות המסופק ע"י תוכנת WeSync במודל SaaS, המבצע אינטגרציה בין פלטפורמת Shopify לבין מערכות יעד של הלקוח.

"מערכת יעד" - מערכת המידע של הלקוח, או של ספק חיצוני שהלקוח התקשר עמו, אליה מבוצעת האינטגרציה מ-Shopify באמצעות השירות (כגון מערכת ERP, מערכת ניהול מלאי, מערכת CRM וכד').

"מערכות צד שלישי" - כל מערכת, פלטפורמה, ממשק או שירות שאינם בשליטתה הישירה והבלעדית של החברה, מערכת היעד, ספקי תשתית ענן, ספקי תקשורת, מנפיקי תעודות אבטחה, ספקי שירותי אימות חיצוניים, ומערכות נוספות שהלקוח או צד שלישי מתחזקים.

"ממשק API" - ממשק בין מערכות תוכנה.

"כשל צד שלישי" - כל אירוע במערכת צד שלישי המשפיע על תפקוד השירות, לרבות: שינוי גרסה של API, ביטול ועדכון נקודות קצה, שינוי בסכמת נתונים, שינוי באמצעי אימות או בהיקף הסקופים, מגבלות קצב העברת נתונים, השבתות מתוכננות או בלתי מתוכננות, פריצות אבטחה, אובדן נתונים, שינויי תנאי שימוש, שינויי תמחור, השעיה או סגירת חשבון על-ידי בעל מערכת צד ג'.

"שירות הסנכרון" - ההפעלה השוטפת של ה-WeSync לסנכרון נתונים בין Shopify למערכת היעד, בתוך פרק זמן סביר, קרוב לזמן אמת ככל האפשר.

"מידע אישי" - כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981, ובתיקון 13 לחוק.

"דיני הגנת הפרטיות" - חוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ותיקון 13 לחוק, יחד עם כל דין נוסף החל על עיבוד מידע אישי.

  1. השירות 

    1. בכפוף לתשלום התמורה במלואה ובמועדה, החברה תעמיד ללקוח את השירות לאינטגרציה בין חשבון ה-Shopify של הלקוח לבין מערכות היעד של הלקוח כפי שיוגדרו בנפרד.

    2. השירות מהווה גשר תוכנתי בין שתי מערכות חיצוניות - Shopify ומערכת יעד, אחת או יותר, שאינן בשליטת החברה. תפקודו התקין של השירות תלוי באופן ישיר ובלתי-ניתן להפרדה בזמינות, בתקינות, בעקביות ובהתנהגות של מערכות צד ג' אלה.

    3. החברה אינה מתחייבת לסנכרון בזמן אמת מוחלט, אלא לסנכרון בתוך פרק זמן סביר, בכפוף לזמינותן ולתקינותן של מערכות צד ג'.

    4. השירות פועל במודל עיבוד אוטומטי וממוכן. התקשורת עם Shopify ועם מערכת היעד מתבצעת באמצעות חשבון שירות (service account) מובדל ומאובטח, ללא צורך בגישה אנושית שגרתית של עובדי החברה למידע. גישה אנושית של עובדי החברה למידע תיתכן אך ורק לצורך הטמעה ובמקרים של תמיכה בהתאם ל-SLA, על-ידי עובדים בעלי הכשרה מתאימה והחתומים כלפי החברה על הסכם סודיות החל גם כלפי לקוחות החברה.

    5. מעבר לתכולה המפורשת בתנאים אלה, השירות אינו כולל: (א) פיתוח של מערכת היעד או של חנות ה-Shopify של הלקוח; (ב) אחריות לנכונות ועדכניות הנתונים המקוריים בכל אחת מהמערכות; (ג) ייעוץ עסקי או טכני שאינו קשור ישירות להפעלת השירות; (ד) הגדרות, הרשאות או תצורות במערכות הלקוח שאינן בתחום מערכת WeSync.

  2. התמורה ותשלום

    1. התשלום בגין השירות יבוצע מדי חודש ב-1 לחודש עבור החודש השוטף, ויגבה ישירות מכרטיס האשראי המוזן במערכת החנות של הלקוח בפלטפורמת Shopify.

    2. איחור בתשלום העולה על 14 ימים יישא ריבית והפרשי הצמדה לפי חוק פסיקת ריבית והצמדה, התשכ"א-1961. בנוסף, החברה רשאית להשעות את השירות בהודעה מוקדמת של 7 ימי עסקים אם הפיגור עולה על 7 ימים, וזאת מבלי לגרוע מכל סעד אחר העומד לה לפי הסכם זה או הדין.

    3. החברה תנפיק חשבוניות מס כדין. החשבוניות יכללו את פירוט השירות, התקופה הרלוונטית, וכל חיוב חריגה ככל שקיים.

    4. השגת הלקוח על חיוב כלשהו תוגש בכתב לחברה בתוך 30 ימים ממועד הנפקת החשבונית. בהיעדר השגה בתוך מועד זה, יראו את הלקוח כמי שאישר את החיוב. הגשת השגה אינה דוחה את חובת התשלום במועדה ביחס לסכומים שאינם שנויים במחלוקת.

    5. מבלי לגרוע מהוראות הסכם זה, החברה רשאית להשעות את השירות, כולו או חלקו, גם בכל אחד מהמקרים הבאים: (א) שימוש בלתי מורשה או בלתי חוקי בשירות; (ב) חשד סביר לאיום על אבטחת המידע של החברה או של לקוחות אחרים; (ג) צו של רשות מוסמכת. הודעה על השעיה תימסר ללקוח, ככל שהדבר אפשרי, מראש או בסמוך לאחר ההשעיה.

  3. תקופת ההתקשרות

    1. הטמעת והפעלת השירות תחל כפי שיוסכם בין הצדדים בנפרד (להלן: "תאריך התחילה").

    2. ההסכם יעמוד בתוקפו לתקופה של 12 חודשים מתאריך התחילה (להלן: "התקופה הראשונית").

    3. בתום התקופה הראשונית, ההסכם יתחדש אוטומטית לתקופות חידוש בנות 12 חודשים כל אחת, אלא אם צד מסר לצד השני הודעה בכתב על אי-חידוש לפחות 60 ימים לפני תום התקופה הרלוונטית.

  4. רמת שירות ותמיכה (SLA)

    1. שירות ה-SLA חל כחובה אך ורק על כשלים שמקורם במערכת WeSync עצמה. כשלים שמקורם במערכות צד שלישי, לרבות Shopify ומערכות היעד, אינם נכללים ב-SLA.

    2. ביחס לכשלים שמקורם בצד שלישי כאמור, החברה תפעל במאמץ סביר לזהות את הכשל, ליידע את הלקוח, ולהמליץ על דרכי פעולה - מבלי שיהיו לכך מחויבויות זמן מוגדרות, ומבלי שהדבר ייחשב להפרה של ה-SLA.

    3. מבלי לגרוע מכלליות האמור לעיל, ה-SLA לא יחול ולא יחייב את החברה בכל אחד מהמקרים הבאים:

      1. כשלים ו/או עיכובים שמקורם במערכת צד ג' כלשהי, לרבות Shopify ומערכת היעד;

      2. שינוי חד-צדדי על-ידי מערכת צד ג' שמחייב התאמה של WeSync (לרבות שינויי API), במשך תקופת ההתאמה הסבירה;

      3. שימוש לרעה בשירות, חריגה מהיקף המוסכם, או הפעלת השירות בצורה הסותרת את המסמכים הטכניים;

      4. פעולה או מחדל של הלקוח, לרבות אי-מסירת מידע, אי-חידוש מפתחות, או הגדרות שגויות;

      5. תחזוקה מתוכננת או תחזוקת חירום;

      6. אירועי כוח עליון, כהגדרתם בהסכם זה;

      7. גישה לא מורשית למערכת הלקוח שאינה תוצאה של רשלנות החברה.

    4. התמיכה תינתן בימי עסקים, ימים א' עד ה', בין השעות 09:00 ל-19:00 לפי שעון ישראל, למעט ימי שבתון רשמיים בישראל ולמעט ערבי חג ויום העצמאות בהם השירות יסתיים בשעה 13:00 (להלן: "שעות הפעילות").

    5. מחוץ לשעות הפעילות, המערכת ממשיכה לפעול אוטומטית, אך לא תינתן תמיכה אנושית. כל פנייה שתתקבל מחוץ לשעות הפעילות תיחשב כאילו התקבלה בתחילת יום העסקים הבא, וזמני התגובה המפורטים להלן יחושבו ממועד זה.

    6. ניתן להזמין שעות תמיכה מורחבות בכפוף לתוספת תשלום, אשר תוסכם בכתב ותפורט בהסכם או בנספח שינויים.

    7. תקלות יסווגו לאחת משלוש רמות חומרה. הסיווג הראשוני ייקבע על-ידי החברה בהתאם להגדרות שלהלן, וניתן לשינוי בהסכמה הדדית עם הלקוח לאחר אבחון ראשוני:

      1. תקלה המונעת לחלוטין את פעילות הסנכרון של מערכת WeSync, כאשר מקור הכשל הוא בקוד WeSync. זמן תגובה ראשוני: עד שעתיים בתוך שעות הפעילות.

      2. פגיעה משמעותית בתפקוד המערכת - חלק מהפונקציות אינו פועל, אך השירות הכללי ממשיך לפעול במגבלות. זמן תגובה ראשוני: עד 4 שעות בתוך שעות הפעילות.

      3. כשלים מינוריים, בעיות אסתטיות, בקשות שיפור, או תקלה בעלת השפעה מוגבלת כגון לתכונה משנית שאינה פועלת. זמן תגובה ראשוני: עד 6 ימי עסקים.

    8. מועד תחילת ספירת זמן התגובה הוא המאוחר מבין: (א) מועד פתיחת קריאה בערוץ הדיווח המוגדר; (ב) מועד מסירת כל המידע הנדרש לחברה לצורך אבחון ראשוני; (ג) שעת תחילת יום העסקים הבא, אם הפנייה התקבלה מחוץ לשעות הפעילות.

    9. "תגובה ראשונית" משמעה אישור קבלת הקריאה והקצאת איש מקצוע. "פתרון" משמע סגירת התקלה או הצגת מעקף עובד. מובהר כי החברה אינה מתחייבת לספק פתרון בתוך זמן התגובה הראשוני.

    10. דיווח הלקוח על תקלה ייעשה באמצעות כתובת דוא"ל ייעודית וכן שיחת טלפון לאיש הקשר של החברה. דיווח בערוץ שאינו מאושר לא יחשב כפתיחת קריאה לעניין ה-SLA.

    11. דיווח תקלה יכלול, ככל הניתן: (א) תיאור התופעה; (ב) השעה והתאריך בהם התרחשה; (ג) צילומי מסך ולוגים רלוונטיים; (ד) זיהוי האובייקטים המעורבים (מספרי הזמנות, SKU וכו'); (ה) פרטי איש קשר טכני זמין.

    12. החברה רשאית לבצע תחזוקה מתוכננת של המערכת, בעדיפות מחוץ לשעות הפעילות. החברה תיידע את הלקוח לפחות 48 שעות מראש על תחזוקה מתוכננת. תחזוקת חירום (לרבות תיקוני אבטחה דחופים) עשויה להתבצע מיידית ללא הודעה מוקדמת.

  5. הגבלת אחריות 

    1. הצדדים מצהירים ומסכימים כי השירות מהווה גשר טכנולוגי המחבר בין מערכות חיצוניות שאינן בשליטת החברה. תפקוד תקין של השירות תלוי באופן ישיר בזמינותן, בתקינותן ובהתנהגותן של מערכות צד ג', ובכלל זה - אך לא רק - Shopify ומערכות היעד של הלקוח.

    2. מבלי לגרוע מכלליות האמור לעיל, החברה לא תהיה אחראית, בשום מקרה ובאף עילה (חוזית, נזיקית, תרופתית או אחרת), לכל נזק, ישיר או עקיף, הנובע ממערכות צד ג' או הקשור אליהן, לרבות בגין אלו מהאירועים שלהלן:

      1. שינוי גרסה של API ב-Shopify או במערכת יעד, לרבות התיישנות או העדר תוקף של נקודות קצה, שינוי או עדכון מבנה נתונים, שינוי בפורמט נתונים, או בלוגיקת ה-API;

      2. שינויים במנגנוני האימות של מערכת צד ג', במנגנוני אבטחה בפרוטוקול כלשהו, רוטציית מפתחות, חידוש או ביטול אישורים, או החלפה במנגנון אימות חלופי;

      3. הגבלה או ויסות של בקשות ו/או מעבר נתונים ו/או פניות מצד מערכת צד ג';

      4. השבתות מתוכננות, השבתות חירום או הפסקות שירות של מערכת צד ג', תחזוקת מערכות, מתוכננות או לא מתוכננות;

      5. כשלי Webhooks, לרבות אובדן הודעות, עיכובים, כפל הודעות או הזמנה לא תקינה (ordering);

      6. שינויי תמחור, שינוי בתנאי שימוש, או שינוי במודל הגישה של מערכת צד ג';

      7. השעיה, חסימה או סגירת חשבון של הלקוח על-ידי מערכת צד ג', בין אם בעקבות הפרה מצד הלקוח ובין אם מסיבה אחרת;

      8. אירועי אבטחה, פריצות, אובדן נתונים, או הפרת פרטיות שמקורם במערכות צד ג';

      9. שינויי רגולציה, צווים שיפוטיים או הוראות של רשויות, החלים על מערכת צד ג' או על הלקוח;

      10. פקיעת מפתחות גישה, API keys או access tokens שלא חודשו בזמן, וכן כל תקלה הנובעת מהגדרת הרשאות לקויה במערכות הלקוח;

      11. כשלי תקשורת ברשת האינטרנט הכללית, כשלי DNS, כשלי CDN, או כשלים של ספקי תשתית שאינם של החברה;

      12. שגיאות, חוסר עקביות או נתונים פגומים שמקורם במערכת המקור (Shopify או מערכת היעד), אשר משוקפים בסנכרון.

הרשימה אינה ממצה. מנייתם של המקרים לעיל אינה גורעת מכלליות סעיף זה והיא אך לדוגמה. כל מקרה אחר שמקורו במערכת צד ג', בין אם דומה למפורט לעיל ובין אם לאו, חוסה תחת היעדר האחריות הקבוע בסעיף זה.

  1. הלקוח מצהיר ומאשר כי ידוע לו ש-(א) השירות תלוי באופן מלא ובלעדי ביכולתן של מערכות צד ג' לקבל ולשדר נתונים באופן תקין; (ב) כל כשל באחת ממערכות צד ג' משפיע באופן ישיר ומיידי על יכולת הסנכרון של WeSync; (ג) החברה אינה בעלת השפעה על מערכות צד ג' או על תזמון השינויים בהן; (ד) הלקוח לקח על עצמו את הסיכון העסקי הכרוך בתלות במערכות צד ג'.

  2. האחריות המקצועית של החברה כלפי הלקוח הינה לנזקים ישירים שייגרמו ללקוח ממעשה ו/או מחדל רשלני הנובע בלעדית מכשל במערכת WeSync, וחבותה המצטברת של החברה כלפי הלקוח, ביחס לכלל העילות הנובעות מההסכם או הקשורות אליו, לא תעלה על סך כל דמי המנוי החודשיים ששולמו בפועל על-ידי הלקוח לחברה בששת החודשים שקדמו לאירוע שיצר את העילה. לחברה לא תהיה כל אחריות לנזקים עקיפים, תוצאתיים, מיוחדים, עונשיים או אגביים, לרבות אובדן רווחים, אובדן הזדמנות עסקית, אובדן נתונים, פגיעה במוניטין או אובדן לקוחות, גם אם הוזהרה מראש בדבר אפשרות התרחשותם.

  3. מגבלות האחריות שבסעיף זה לא יחולו ביחס לנזקים שמקורם ב: (א) זדון או רשלנות חמורה מוכחת של החברה; (ב) הפרת חובת סודיות; (ג) הפרת זכויות קניין רוחני של הלקוח על-ידי החברה.

  4. על אף האמור, החברה תפעל במאמץ סביר להתאים את השירות לשינויים מהותיים במערכות צד ג' (לרבות שינויי גרסה של API), לאחר שאלה פורסמו ובכפוף לזמינות סבירה של משאבי פיתוח, בהתאם ל-SLA. החברה תיידע את הלקוח בנוגע לשינויים מהותיים הידועים לה והעלולים להשפיע על השירות.

  1. חובות הלקוח

    1. הלקוח אחראי לשמור על תקפותם של פרטי הגישה, ההרשאות, המפתחות והאישורים הנדרשים לפעולת השירות הן בצד Shopify והן בצד מערכת היעד, ולחדש אותם בזמן.

    2. הלקוח ידווח לחברה ללא דיחוי על כל שינוי במערכת היעד, ברישיון השימוש שלו ב-Shopify, או בהיקף ההרשאות, אשר עשוי להשפיע על תפקוד השירות.

    3. הלקוח ישתף פעולה עם החברה בהליכי שחזור, אבחון ופתרון תקלות, לרבות במתן גישה לנתונים, הצגת לוגים, ובדיקה משותפת של תרחישים. עיכוב בלתי-סביר מצד הלקוח עשוי להאריך את משך הטיפול ולפטור את החברה מעמידה ב-SLA לעניין התקלה הספציפית.

    4. הלקוח אחראי באופן בלעדי לתקינותה, לאבטחתה, לגיבוייה ולעדכניותה של מערכת היעד. החברה אינה אחראית לאובדן נתונים במערכת היעד, ולא תידרש לשחזרם.

    5. הלקוח יעשה שימוש בשירות אך ורק למטרות לגיטימיות, בהתאם להסכם זה ולדין. הלקוח לא יבצע, ולא יאפשר לאחר לבצע, הנדסה לאחור, פירוק, ניסיון לזיהוי קוד מקור, או שימוש לרעה בממשקי השירות.

    6. ככל שהחברה הודיעה ללקוח על שינוי במערכת צד ג' המחייב פעולה מצד הלקוח (למשל, חידוש הרשאה, הגדרת אישור חדש, אישור scope מורחב) - הלקוח יבצע את הפעולה הנדרשת בתוך הזמן שצוין. עיכוב מצדו לא יזכה אותו בתביעה כלשהי בגין שיבוש השירות הנובע מכך.

  2. קניין רוחני ורישיון שימוש

    1. כל זכויות הקניין הרוחני בשירות, לרבות במוצר WeSync, בקוד המקור, בארכיטקטורה, בלוגיקת האינטגרציה, בתיעוד, ובכל פיתוח, שיפור, גרסה או שינוי שלהם - שייכות באופן בלעדי לחברה. אין באמור בהסכם זה כדי להעביר ללקוח כל זכות בעלות בקניין הרוחני.

    2. בכפוף לתשלום מלא ובמועד של דמי השירות ולקיום יתר הוראות ההסכם, החברה מעניקה ללקוח רישיון בלתי-בלעדי, בלתי-עביר ובלתי-ניתן להעברת רישיון משנה, להשתמש בשירות לצרכיו העסקיים הפנימיים בלבד, במשך תקופת ההתקשרות עפ"י ההסכם.

    3. הלקוח לא יבצע ולא יאפשר לאחר לבצע: (א) הנדסה לאחור, פירוק או ניסיון לחשוף את קוד המקור; (ב) שכפול, העתקה או יצירת יצירות נגזרות; (ג) השכרה, החכרה, הענקת רישיון משנה או שיתוף הגישה לשירות עם צד שלישי; (ד) שימוש בשירות לטובת צד שלישי או להפעלת שירות מתחרה.

    4. כל משוב, הצעה לשיפור, יישום, שיפור, פיתוח או רעיון שיועברו על-ידי הלקוח לחברה או להפך ביחס לשירות באמצעות מוצר WeSync יהיו רכושה הבלעדי של החברה, וניתן יהיה להשתמש בהם ללא תמלוגים, ללא הגבלת זמן ובכל אופן שייראה לחברה - בכפוף לכך שלא תהיה בכך זיהוי או חשיפת מידע סודי של הלקוח.

  3. סודיות

    1. "מידע סודי" - כל מידע שיועבר בין הצדדים בקשר להסכם זה, אשר מטבעו או נסיבות גילויו אדם סביר היה מבין כי הוא סודי, לרבות מידע טכני, עסקי, פיננסי, פרטי לקוחות, ארכיטקטורה, מתודולוגיות וקוד מקור.

    2. כל צד יקפיד על סודיות המידע הסודי של הצד השני, יעשה בו שימוש אך ורק לצורך קיום הסכם זה, ולא יחשפו לצדדים שלישיים, למעט: (א) ליועצים ועובדים על בסיס הצורך לדעת ובכפוף להתחייבויות סודיות לפחות באותה רמה; (ב) ככל שנדרש לפי דין או צו של רשות מוסמכת - ובמקרה כזה, יודיע הצד הנדרש לחשוף לצד השני מוקדם ככל שניתן.

    3. חובת הסודיות לא תחול על מידע אשר: (א) היה ידוע לצד המקבל לפני הגילוי, ללא הפרת חובת סודיות; (ב) הפך לנחלת הכלל שלא בעקבות הפרת הסכם זה; (ג) הגיע לצד המקבל מצד שלישי ללא הפרת חובת סודיות; (ד) פותח באופן עצמאי על-ידי הצד המקבל ללא שימוש במידע הסודי.

    4. התחייבויות הסודיות יחולו במהלך תקופת ההסכם וללא הגבלת זמן לאחר סיומו.

  4. תקופה וסיום

    1. הסכם זה יסתיים בתום תקופת ההתקשרות (לרבות תקופות חידוש), כקבוע בסעיף 4 לעיל.

    2. צד רשאי לסיים את ההסכם לאלתר, בהודעה בכתב, אם הצד השני הפר הפרה יסודית של ההסכם ולא תיקן את ההפרה בתוך 14 ימים מקבלת הודעה בכתב המפרטת את ההפרה (ככל שניתנת לתיקון). הפרת חובת תשלום העולה על 60 ימים תיחשב להפרה יסודית.

    3. צד רשאי לסיים את ההסכם לאלתר, ללא תקופת ריפוי, באחד מהמקרים הבאים: (א) מינוי כונס נכסים, פירוק, הקפאת הליכים, או חדלות פירעון של הצד השני; (ב) הפרה מהותית של חובות סודיות או קניין רוחני; (ג) שימוש בלתי-חוקי בשירות.

    4. עם סיום ההסכם: (א) הגישה של הלקוח לשירות תופסק בתוך 14 ימים; (ב) כל סכום שנותר חייב יהפוך לפירעון מיידי; (ג) כל צד יחזיר או ימחק את המידע הסודי של הצד השני, בכפוף להוראות הצד השני; (ד) הוראות הסעיפים אשר מטבען חלות גם לאחר סיום - לרבות סודיות, קניין רוחני, הגבלת אחריות, שיפוי ודין ושיפוט - ימשיכו לחול גם לאחר הסיום.

  5. כוח עליון

    1. שום צד לא ישא באחריות לאי-קיום או לעיכוב בקיום התחייבויותיו לפי הסכם זה, ככל שאלה נובעים מאירועים שמעבר לשליטתו הסבירה, לרבות אך לא רק: מלחמה, פעולות איבה, טרור, התקוממות אזרחית, חירום ביטחוני (לרבות גיוס מילואים נרחב), פעולת ממשלה או רשות, אסון טבע, מגיפה, השבתה כללית, הפסקת חשמל ארצית או כשל מתמשך ברשתות תקשורת בקנה מידה משמעותי (כל אחד מאלה, "אירוע כוח עליון").

    2. צד שנפגע מאירוע כוח עליון יודיע על כך לצד השני בהקדם האפשרי, וינקוט בצעדים סבירים למזעור ההשפעה. ככל שאירוע הכוח העליון נמשך מעל 90 ימים רצופים, כל צד יהיה רשאי לסיים את ההסכם בהודעה בכתב.

    3. מבלי לגרוע מכלליות האמור, כשל מהותי במערכת צד ג' ייחשב לאירוע מחוץ לשליטת החברה לעניין סעיף זה. כוח עליון לא יפטור מהתחייבויות לעניין דיווח על אירועי אבטחה לפי סעיף 12 להלן.

  6. הגנת פרטיות והגנת מידע

פרק זה מסדיר את היחסים בין הצדדים לעניין עיבוד מידע אישי במסגרת השירות, בהתאם לדיני הגנת הפרטיות.

  1. בפרק זה יחולו ההגדרות להלן. מונחים שלא הוגדרו במפורש יישאו את המשמעות שניתנה להם בחוק ובתקנות אבטחת המידע. בנוסף, יחולו ההגדרות הבאות:

    1. "בעל השליטה במאגר" - הלקוח. הוא בעל השליטה בכל מאגר מידע רלוונטי להסכם ובאחריותו להגדיר את אמצעי האבטחה, ההרשאות, תנאי הגישה אליו, ויתר העניינים הנובעים לגביהם מדיני הגנת הפרטיות.

    2. "מעבד המידע" - ווידב טכנולוגיות בע"מ, כמי שמעבדת את המידע האישי מטעם בעל השליטה במאגר במסגרת מתן השירות.

    3. "עיבוד" - כהגדרתו בחוק, לרבות שמירה, איסוף, גילוי, עיון, השמדה והעברה.

    4. "אירוע אבטחה" - אירוע המעלה חשש לפגיעה בשלמות המידע, לשימוש בו ללא הרשאה, או לחריגה מהרשאה.

    5. "מעבד-משנה" - כל צד שלישי שמעבד המידע מעסיק לצורך מתן השירות והעוסק מטעמו בעיבוד מידע אישי.

  2. השירות פועל ביחס למאגר המידע הבא של הלקוח לפי הפרטים להלן:

    1. שם המאגר: מאגר Shopify של הלקוח.

    2. מטרות המאגר: כמפורט במדיניות הפרטיות של חנות הלקוח.

    3. היקף נושאי המידע: מעל 100,000 נושאי מידע, הכוללים מידע אישי בעל רגישות מיוחדת כהגדרתה בתיקון 13 לחוק הגנת הפרטיות.

    4. רמת האבטחה של המאגר: גבוהה, בהתאם לתקנות 2-3 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. רמה זו נקבעה לאור מספר נושאי המידע ורגישות המידע.

  3. הלקוח מתחייב לעדכן את החברה ללא דיחוי ובכתב על כל שינוי בנתונים שצוינו לעיל, ובפרט שינוי שעלול להשפיע על רמת האבטחה של המאגר, על היקף נושאי המידע, או על קטגוריות המידע המעובד.

  4. קטגוריות נושאי המידע הינם המבקרים באתר נשוא השירות. קטגוריות המידע כוללות: שם, כתובת אימייל, כתובת משלוח, מספר טלפון, היסטוריית הזמנות, אמצעי תשלום, והרגלי קנייה באתר.

  5. אנשי הקשר לעניין הגנת הפרטיות מצד הצדדים הינם ה-CISO וה-DPO של כל צד.

  6. הלקוח מאשר מראש את שימוש החברה במעבדי-משנה מטעמה שלהלן או חליפיהם לצורך מתן השירות. על שינוי או הוספה תעדכן החברה את מדיניות הפרטיות ותעדכן את הלקוח:

    1. Shopify Inc. - פלטפורמת חנות אינטרנטית. החברה מספקת את שירותי התוכנה לרבות באמצעות התממשקות עם Shopify. מבלי לגרוע מן האמור הלקוח רכש את שירותי Shopify באופן עצמאי, ותנאי האחסון מוסדרים בהסכם הלקוח עם Shopify.

    2. SAP - ספק מערכת ERP.

    3. Priority Software Ltd. - ספק מערכת Priority.

    4. קומאקס מערכות מידע בע"מ (Comax) - ספק מערכת ניהול עסקית.

    5. אוטק פתרונות תוכנה לעסק (Otech) - ספק מערכות קופות ממוחשבות.

  7. הצדדים מצהירים כי המידע האישי אינו מאוחסן בשרתי WeSync לטווח קבוע, אלא עובר דרכם באופן זמני לצורך הסנכרון בלבד, ונשמר בלעדית בתשתיות של בעל השליטה במאגר (Shopify ומערכת היעד).

  8. בעל השליטה במאגר אישר באופן עצמאי את אחסון המידע ב-Shopify ובמערכת היעד, במסגרת ההסכמים הנפרדים שלו עם ספקים אלה, ובכך נטל על עצמו אחריות לעניין תקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), התשס"א-2001 - ככל שהן חלות על אחסון זה.

  9. המעבר הזמני של המידע דרך שרתי WeSync (transit) אינו מהווה אחסון לעניין התקנות, אולם הצדדים מאשרים כי מיקום שרתי WeSync ידוע ומקובל על בעל השליטה במאגר.

  10. ככל שהחברה תבקש להעביר את שרתי WeSync למיקום גיאוגרפי חדש - תודיע על כך לבעל השליטה במאגר 30 ימים מראש, ותאפשר לו להתנגד מטעמי ציות. בהיעדר התנגדות סבירה בכתב בתוך 14 ימים מההודעה, ייחשב הדבר כהסכמה.

  11. גישה מרחוק של עובדי החברה ממדינה אחרת מזו שבה ממוקמים שרתי WeSync לצורך תפעול, אבחון או תמיכה - תיחשב לפעולה שגרתית של החברה ולא להעברת מידע נוספת, ובלבד שתיעשה דרך הערוצים המאובטחים.

  12. מעבד המידע יעבד מידע אישי אך ורק למטרת מתן השירות ולמטרות המפורטות בהסכם, ולא למטרה אחרת - אלא בהסכמה מראש ובכתב של בעל השליטה במאגר או כפי שמחויב לפי דין.

  13. הצדדים מצהירים ומאשרים כי השירות פועל במודל עיבוד אוטומטי וממוכן, וכי עיבוד המידע האישי נעשה באמצעות חשבון שירות (service account) מובדל ומאובטח. עובדי מעבד המידע אינם ניגשים למידע אישי במהלך עיבוד שגרתי.

  14. גישה אנושית של עובדי מעבד המידע למידע אישי תיתכן רק לצרכי תמיכה, ניפוי באגים, אבחון תקלות או תחזוקה, ותתבצע אך ורק על-ידי עובדים של מעבד המידע אשר:

    1. עברו הכשרה בהגנת הפרטיות ובאבטחת מידע מטעם מעבד המידע;

    2. חתומים על הסכם העסקה הכולל סעיף שמירת סודיות;

    3. פועלים על בסיס עקרון הצורך לדעת וההרשאה המינימלית הנדרשת לביצוע המשימה.

  15. מעבד המידע לא יאחסן, יעתיק או ישמור מידע אישי באופן קבוע מחוץ לתשתיות הסנכרון של השירות, לרבות על מכשירים מקומיים של עובדים, חשבונות דוא"ל אישיים, או שירותי ענן שלא אושרו כמעבדי-המשנה.

  16. מעבד המידע ישתף פעולה עם בעל השליטה במאגר בכל הנדרש לצורך מילוי חובותיו של האחרון לפי דיני הגנת הפרטיות.

  17. מבלי לגרוע מהוראות כל דין, יודגש כי בעל השליטה במאגר הוא זה שישא באחריות בלעדית לאבטחת התשתית המאחסנת את המידע האישי (חשבון Shopify, מערכות היעד), לרבות תצורות רשת, בקרות גישה, הצפנה וגיבויים, בהתאם לרמת האבטחה הקבועה לעיל.

  18. בעל השליטה במאגר יהיה אחראי על הגדרת ההרשאות, רמות הגישה ואמצעי האימות הניתנים למעבד המידע.

  19. בעל השליטה במאגר יקבע ויעדכן לפי צורך את רמת האבטחה של המאגר ויעדכן את מעבד המידע מיידית על כל שינוי כאמור. ככל שמעבד המידע יזהה שהגדרת בעל השליטה במאגר אינה מספקת ביחס לסוג המידע העובר בו, יודיע על כך בכתב.

  20. בעל השליטה במאגר אחראי על שמירת וניהול יומן פעילות הגישה של מעבד המידע למערכות, למשך תקופה של לא פחות מ-24 חודשים, בהתאם לתקנות אבטחת המידע.

  21. בעל השליטה במאגר אחראי על ביצוע, ככל שניתן, של הסוואה, אנונימיות או טוקניזציה של מידע אישי בתוך קבצי הלוג, על מנת לצמצם את חשיפת מעבד המידע למידע מזהה.

  22. בעל השליטה במאגר ימסור למעבד המידע את כל ההוראות, ההיתרים ומסמכי האבטחה החלים על השירות, ויעדכן אותם בהתאם לצורך.

  23. בעל השליטה במאגר יבצע סקרי סיכונים תקופתיים של המאגר בהתאם לתקנה 5(ג) לתקנות אבטחת המידע, אחת ל-18 חודשים או פחות.

  24. ככל שבעל השליטה במאגר הינו עצמו ספק שירותים לצד שלישי (להלן: "הלקוח של הלקוח") שעה שהוא בעל שליטה במאגר - בעל השליטה במאגר אחראי על הסדרת היחסים עם אותו צד שלישי, לרבות הגדרת רמת האבטחה ותנאי הגישה. מעבד המידע אינו צד ליחסים אלה ואינו אחראי להגדרותיו של אותו צד שלישי.

  25. כל צד יעמוד בהוראות תקנות אבטחת המידע ויישם אמצעי אבטחה טכניים וארגוניים מתאימים להגנה על המידע האישי, בהתאם לרמת האבטחה של המאגר ולתפקידו שלו ביחס למידע.

  26. הצדדים יעבירו זה לזה, על-פי בקשה סבירה, ראיות ליישום אמצעי האבטחה הנדרשים. החלפת מידע זה תיעשה תוך שמירה על חובת הסודיות ההדדית.

  27. בעל השליטה במאגר אחראי באופן בלעדי על טיפול בבקשות זכויות של נושאי מידע, לרבות זכויות העיון, התיקון, ההתנגדות לדיוור ישיר וההסרה ממאגר שירותי דיוור ישיר, לפי סעיפים 13-17 לחוק.

  28. ככל שמעבד המידע יקבל פנייה ישירה מנושא מידע הקשורה לבעל השליטה במאגר, יעביר את הפנייה לבעל השליטה במאגר בתוך 5 ימי עסקים, ולא ישיב לנושא המידע במישרין.

  29. מעבד המידע יעניק לבעל השליטה במאגר סיוע סביר בטיפול בבקשות נושאי מידע, לרבות מתן מידע הנדרש לצורך מתן מענה בתוך תקופת 30 הימים הסטטוטורית לפי החוק.

  30. מעבד המידע יודיע לבעל השליטה במאגר על כל אירוע אבטחה שהגיע לידיעתו בקשר למידע האישי, ללא דיחוי בלתי-מוצדק ובכל מקרה לא יאוחר מ-24 שעות ממועד היוודעו.

ההודעה תכלול, ככל הידוע: (א) תיאור האירוע ואופיו; (ב) סוגי המידע שנפגעו; (ג) המספר המוערך של נושאי מידע שעלולים להיפגע; (ד) צעדים שננקטו או שמוצע לנקוט למזעור האירוע; (ה) איש קשר ייעודי למידע נוסף.

  1. בעל השליטה במאגר יישא בכל האחריות הקשורה לדיווח לרשות להגנת הפרטיות ולנושאי המידע שעלולים להיפגע, כנדרש לפי הדין. מעבד המידע יעניק סיוע סביר בדיווח זה.

  2. הצדדים יתעדו אירועי אבטחה כנדרש, יישמרו את התיעוד למשך התקופה הקבועה בדין, וישתפו פעולה בחקירת האירוע ובמניעת הישנותו.

  3. הצדדים מצהירים כי המידע האישי אינו מאוחסן בתשתית מעבד המידע באופן קבוע, אלא עובר דרכו באופן זמני במסגרת פעולת הסנכרון. בהתאם, סעיפי המחיקה וההחזרה נסבים בעיקר על הפסקת הגישה ועל מחיקת מידע שיורי (למשל ב-cache או בלוגים), ולא על מאגר מאוחסן.

  4. עם סיום ההתקשרות, מעבד המידע יוודא כי כל גישת עובדיו וחשבון השירות (service account) של WeSync למערכות בעל השליטה במאגר תבוטל בתוך 5 ימי עסקים.

  5. לא יאוחר מ-30 ימים ממועד סיום ההתקשרות, מעבד המידע ימסור לבעל השליטה במאגר אישור בכתב כי לא נותר מידע אישי בתשתיתו (לרבות במסדי נתונים זמניים, cache, לוגים, ועותקי גיבוי תפעוליים), למעט מידע אישי שיש להחזיק לפי הדין החל.

  6. סעיפי הסודיות ואבטחת המידע של פרק זה ימשיכו לחול גם לאחר סיום ההתקשרות, ללא הגבלת זמן ביחס לסודיות, ובהתאם לדין ביחס לאבטחת מידע.

  7. בעל השליטה במאגר זכאי, בהודעה מוקדמת של 30 ימי עסקים לפחות, לבצע ביקורת על עמידת מעבד המידע בפרק זה, לא יותר מאחת בשנה קלנדרית, למעט במקרה של אירוע אבטחה או כנדרש מפורשות לפי כל דין.

  8. הביקורת תתבצע בשעות הפעילות, באופן שלא יפריע במידה בלתי-סבירה לפעילות מעבד המידע, ותהיה כפופה להתחייבות הביקור או נציגו להוראות סודיות לפחות באותה רמה כקבועה בהסכם זה.

  9. מעבד המידע יספק לבעל השליטה במאגר או לנציג מטעמו גישה למסמכים, רישומים ועובדים הנדרשים באופן סביר לביצוע הביקורת, בכפוף להגנה על מידע סודי של לקוחות אחרים של מעבד המידע.

  10. ממצאי הביקורת יועברו למעבד המידע, אשר יפעל לטפל בליקויים בתוך פרק זמן סביר. עלויות הביקורת יחולו על בעל השליטה במאגר, אלא אם הביקורת חשפה הפרה מהותית של פרק זה - במקרה כזה, יחולו על מעבד המידע.

  11. ככל שלמעבד המידע דו"ח ביקורת של חברה בלתי תלויה ובעלת ניסיון ביישום חוק הגנת הפרטיות, עדכני ל-18 החודשים שלפני בקשת הביקורת - ייתר דו"ח זה ביקורת כאמור.

  12. מעבד המידע יחזיק, לאורך כל תקופת ההסכם ולתקופה של 24 חודשים לאחריה, ביטוח אחריות סייבר וביטוח אחריות מקצועית בגבולות אחריות סבירים, בהתחשב באופי וההיקף של השירות. על-פי בקשה סבירה, מעבד המידע ימסור לבעל השליטה במאגר אישור ביטוח המעיד על כיסוי זה.

  13. כל צד ישא באחריות לנזקים הנובעים מהפרת התחייבויותיו לפי פרק זה ולפי דיני הפרטיות החלים.

  14. בעל השליטה במאגר ישפה את מעבד המידע בגין תביעות של נושאי מידע הנובעות מ-(א) קונפיגורציה שגויה של מערכותיו; (ב) הוראות שגויות שמסר; (ג) חריגה מהיתר השימוש שניתן למעבד המידע; (ד) אבטחה לקויה של תשתיותיו או של מערכת היעד; (ה) כל נושא אחר שאינו באחריות מעבד המידע.

  15. מעבד המידע ישפה את בעל השליטה במאגר בגין נזקים הנובעים מהפרת התחייבויותיו לפי פרק זה.

  16. האחריות המצטברת של מעבד המידע לפי פרק זה כפופה לתקרת האחריות הקבועה בסעיף 6 לעיל.

  17. אין באמור בסעיף זה כדי להגביל אחריות בגין: (א) הפרת חובת סודיות; (ב) זדון או רשלנות חמורה מוכחת; (ג) הפרות של דיני הגנת הפרטיות שאחריות בגינן אינה ניתנת להגבלה לפי דין; (ד) חובות שיפוי מפורשות לפי פרק זה.

  18. צד הסבור כי הצד האחר הפר את פרק זה ימסור לו הודעה בכתב על ההפרה, בה יפרט את מהותה. הצד המפר יהיה זכאי לתקופת ריפוי של 30 ימים מיום מסירת ההודעה לתיקון ההפרה, ככל שניתנת לתיקון, זולת אם ההפרה אינה ניתנת לתיקון או שמדובר בעניין דחוף הדורש סעד מיידי.

  19. הוראות סעיף 11 לעיל לעניין כוח עליון יחולו גם על פרק זה, אולם כוח עליון לא יפטור מהתחייבויות הקשורות לאבטחת מידע, סודיות, ולחובת הודעה על אירוע אבטחה.

  1. הוראות כלליות

    1. על ההסכם יחולו דיני מדינת ישראל, וסמכות השיפוט הבלעדית בכל עניין הנובע מהסכם זה או הקשור אליו נתונה לבתי המשפט המוסמכים בעיר תל אביב-יפו.

    2. כל הודעה לפי הסכם זה תימסר באחת מהדרכים שלהלן: (א) דוא"ל - תיחשב כנמסרת ביום העסקים העוקב לשליחתה, בכפוף לאישור קבלתה מהצד השני טלפונית או באימייל חוזר; (ב) דואר רשום עם אישור מסירה - תיחשב כנמסרת ביום המסירה; (ג) מסירה ביד - כנגד אישור חתום, ביום המסירה.

    3. זכויות וחובות לפי הסכם זה לא יומחו ללא הסכמה מראש ובכתב של הצד השני, אשר לא תשלל באופן בלתי סביר. על אף האמור, החברה רשאית להמחות את ההסכם, כולו או חלקו, לחברה קשורה או במסגרת מיזוג, רכישה או מכירת עיקר נכסיה.

    4. ויתור על הפרה לא יהווה ויתור על הפרה אחרת או עתידית. כל ויתור חייב להיעשות בכתב ולהיחתם על-ידי הצד המוותר.

    5. אם הוראה כלשהי בהסכם זה תיקבע כבטלה או בלתי-ניתנת לאכיפה, יתר הוראות ההסכם יישארו בתוקפן המלא, וההוראה הבטלה תיחשב כמתוקנת במידה המינימלית הנדרשת על מנת להפכה לתקפה ולאכיפה.

    6. הצדדים הם קבלנים עצמאיים. אין באמור בהסכם זה כדי ליצור יחסי עובד-מעביד, שותפות, סוכנות, נציגות או מיזם משותף בין הצדדים.

    7. הסכם זה מהווה את ההסכם השלם בין הצדדים, וגובר על כל מצג, התחייבות או הבנה קודמים. כל שינוי יהיה בכתב וייחתם על-ידי שני הצדדים.

אנשי קשר:

ciso: מזי דואק
Mazid@cyberteam360.com
0583679962

 dpo: עו"ד ברק אלימלך
barake@cyberteam360.com
0543134232