מבוא

אמנת רמת שירות זו (להלן: "האמנה" או "SLA") נכרתת בין חברת לנסלוט  טכנולוגיות בע"מ, חברה הפועלת כדין על פי הדין החל, שכתובתה המרכזית נגישה בכתובת www.לנסלוט .com (להלן: "הספק", "לנסלוט " או "החברה"), לבין הצד המזוהה כמשתמש רשום, מנוי, לקוח או גורם מתקשר המשתמש בשירותי הספק (להלן: "הלקוח" או "המשתמש הקצה").

בהינתן שהספק מפעיל פלטפורמת טכנולוגיה ותיק שירותים הכולל פתרונות תוכנה כשירות (SaaS), ניהול מערכות מידע ושירותי אבטחת סייבר, הן לארגוני עסקים והן לאנשים פרטיים;

בהינתן שהלקוח מעוניין לרכוש ולהשתמש בשירותים אלו בכפוף לתנאים ולתקנים המפורטים להלן;

בהינתן ששני הצדדים מאשרים כי אמנה זו תהווה מסמך מחייב מבחינה משפטית, ניתן לאכיפה על פי הדין הלאומי והבינלאומי החל, לרבות אמנות, תקנות והנחיות הנוגעות לשירותים מסחריים, הגנת נתונים ואבטחת סייבר;

לפיכך, בשים לב לאמור לעיל ולמחויבויות ההדדיות המפורטות להלן, הצדדים מסכימים כדלקמן:

סעיף 1 — הגדרות ופרשנות

1.1 הגדרות

לצורך אמנה זו, למונחים הבאים תהיה המשמעות המיוחסת להם להלן, אלא אם הקשר הדברים מחייב אחרת:

1.2 כללי פרשנות

•        הפניות למילים "לרבות" או "כולל" ייקראו כ"לרבות, ללא הגבלה" ולא יוגבלו על ידי המילים שקדמו להן.

•        כותרות ונושאים הינם לנוחות בלבד ואינם משפיעים על פרשנות האמנה.

•        הפניות לחוקים ותקנות יכללו כל תיקון, חקיקה מחודשת או חוק יורש.

•        אלא אם הקשר הדברים מחייב אחרת, לשון יחיד כוללת לשון רבים ולהיפך.

•        כל התחייבות לאי-עשיית דבר כוללת התחייבות לא להרשות לאחרים לעשות אותו דבר.

סעיף 2 — היקף השירותים

2.1 תיק השירותים

הספק מתחייב לספק ללקוח את קטגוריות השירותים הבאות, בכפוף לתנאים ולהגבלות של אמנה זו וכל טופס הזמנה רלוונטי:

2.1.1 שירותי תוכנה כשירות (SaaS)

•        אספקת יישומי תוכנה מבוססי ענן הנגישים דרך הפלטפורמה;

•        ניהול חשבונות משתמש, בקרת גישה וניהול סביבה רב-דיירים;

•        עדכוני תוכנה שוטפים, תיקוני אבטחה ומהדורות תכונות ללא תשלום נוסף;

•        גישה ל-API ויכולות אינטגרציה כמתועד בתיעוד הטכני של הספק;

•        גישה לאפליקציות מובייל, ככל שמסופקות ומפורטות בטופס ההזמנה הרלוונטי.

2.1.2 שירותי מערכות מידע

•        ייעוץ לתכנון מערכות, ארכיטקטורה ותמיכה בהטמעה;

•        ניהול ואופטימיזציה של תשתיות;

•        ניהול מסדי נתונים, גיבוי ושחזור;

•        ייעוץ בממשל IT וארכיטקטורת ארגון;

•        אסטרטגיה וביצוע טרנספורמציה דיגיטאלית;

•        תכנון המשכיות עסקית ועיצוב פתרונות התאוששות מאסון.

2.1.3 שירותי אבטחת סייבר

•        הערכת פגיעויות ובדיקות חדירה (VAPT);

•        ניטור מרכז פעולות אבטחה (SOC) וזיהוי ותגובה מנוהלים (MDR);

•        שירותי מודיעין איומים והערכת סיכונים;

•        ייעוץ לעמידה בדרישות ציות (ISO 27001, NIST CSF, SOC 2, PCI-DSS ומסגרות לאומיות);

•        תגובה לאירועים וזיהוי פורנזי דיגיטאלי;

•        הדרכות מודעות אבטחה ומבצעי פישינג מדומים;

•        הטמעה וניהול מניעת אובדן מידע (DLP);

•        ייעוץ והטמעה של ניהול זהויות וגישה (IAM);

•        עיצוב והטמעה של ארכיטקטורת אפס-אמון (Zero-Trust).

2.2 רמות שירות

הספק מציע את רמות השירות הבאות, שמפרטיהן מפורטים בנספח א' (מפרטי רמות שירות):

סעיף 3 — זמינות שירות ותקני ביצוע

3.1 התחייבות זמינות ומדידה

הספק מתחייב לשמור על זמינות שירות בהתאם לרמת השירות החלה כמפורט בסעיף 2.2. אחוז הזמינות יחושב על בסיס חודש קלנדרי לפי הנוסחה הבאה:

מדידות הזמינות יבוצעו על ידי מערכות הניטור הפנימיות של הספק, בתוספת כלי ניטור עצמאיים של צדדים שלישיים לפי הצורך. נתוני המדידה יועמדו לרשות הלקוח לפי בקשה בכתב.

3.2 תחזוקה מתוכננת

הספק שומר לעצמו את הזכות לבצע חלונות תחזוקה מתוכננים שבמהלכם השירותים עשויים להיות זמינים באופן חלקי בלבד. התנאים הבאים חלים על תחזוקה מתוכננת:

•        הספק יספק הודעה מוקדמת בכתב של לפחות שבעים ושתיים (72) שעות לתחזוקה שוטפת מתוכננת;

•        לתחזוקת חירום הנדרשת לטיפול בפגיעויות אבטחה קריטיות, הספק יספק הודעה מוקדמת סבירה וישאף למזער את ההפרעה;

•        תחזוקה מתוכננת תבוצע, ככל האפשר, בשעות תנועה נמוכה (בדרך כלל בין 02:00 ל-06:00 שעון מקומי של אזור השירות הראשי);

•        לקוחות ברמה ריבונית/ממשלתית יקבלו הודעה מוקדמת של לפחות חמישה (5) ימי עסקים לתחזוקה שאינה חירום;

•        השבתה הנובעת מחלונות תחזוקה מתוכננים כדין לא תיחשב לצורך חישוב זמינות השירות.

3.3 תקני ביצוע

בנוסף להתחייבויות הזמינות, הספק מתחייב לשמור על תקני הביצוע הבאים:

סעיף 4 — ניהול אירועים ותמיכה

4.1 סיווג אירועים

כל אירועי השירות יסווגו לפי מסגרת החומרה הבאה, אשר מנחה את זמני התגובה, נהלי ההסלמה ועדיפויות הטיפול:

4.2 דיווח אירועים ותקשורת

לקוחות ידווחו על אירועי שירות דרך הערוצים הרשמיים הבאים. חותמת הזמן של הדיווח הראשון שהתקבל בערוץ רשמי תהווה 'זמן תחילת האירוע' לצורך מדידת SLA:

•        ערוץ ראשי: פורטל התמיכה של הספק בכתובת support.לנסלוט .com;

•        חירום (P1/P2): קו חירום טלפוני ייעודי כפי שנמסר ללקוח עם תחילת המנוי;

•        משני: דוא"ל לכתובת support@לנסלוט .com (לאירועי P3/P4 בלבד);

•        ללקוחות ברמה ריבונית/ממשלתית: איש קשר ייעודי לניהול חשבון כמפורט בטופס ההזמנה.

הספק ינהל תקשורת שקופה לאורך מחזור חיי האירוע, לרבות:

•        אישור קבלה בתוך מסגרת הזמן הקבועה לתגובה;

•        עדכוני סטטוס לא פחות מאחת לשעתיים (2) לאירועי P1;

•        דוח ניתוח שורש (RCA) בתוך חמישה (5) ימי עסקים מסיום אירוע P1/P2;

•        שמירה על דף סטטוס נגיש לציבור המשקף את מצב השירות בזמן אמת.

4.3 נהלי הסלמה

במקרה שהלקוח קובע כי אירוע אינו מטופל בדחיפות הנאותה, הלקוח רשאי להפעיל את נוהל ההסלמה:

1.        רמה 1 — ראש צוות תמיכה: הסלמה לראש צוות התמיכה הממונה של הספק.

2.        רמה 2 — מנהל אספקת שירות: הסלמה אם האירוע נותר בלתי פתור לאחר 150% מיעד הפתרון.

3.        רמה 3 — הנהלה בכירה: הסלמה לדרג ההנהלה הבכיר לאירועי P1 שלא נפתרו תוך ארבע (4) שעות.

4.        רמה 4 — סכסוך פורמלי: הפעלת נוהל יישוב הסכסוכים הפורמלי כמפורט בסעיף 14 לאמנה זו.

סעיף 5 — זיכויי שירות וסעדים

5.1 לוח זיכויי שירות

במקרה שהספק לא עמד בהתחייבויות הזמינות המוגדרות באמנה זו במהלך חודש קלנדרי כלשהו, הלקוח יהיה זכאי לזיכויי שירות בהתאם ללוח הבא:

5.2 נוהל תביעת זיכוי

לצורך קבלת זיכויי שירות, על הלקוח להגיש תביעת זיכוי תקפה בכתב תוך שלושים (30) ימים קלנדריים מסיום חודש הלוח שבו אירעה הפרת ה-SLA. התביעה תכלול מספרי קריאות אירוע, חותמות זמן ותיאור ההשפעה. אי-הגשה במסגרת זמן זו תהווה ויתור על הזכות לזיכויים.

5.3 מגבלות ואי-הכללות

זיכויי שירות לא יחולו, והספק לא יהיה בהפרת התחייבויות הזמינות, במקרים הבאים:

•        השבתה הנגרמת על ידי אירועי כוח עליון כהגדרתם לעיל;

•        השבתה הנגרמת על ידי פעולות, הגדרות תצורה או כשלים של הלקוח עצמו;

•        השבתה בחלונות תחזוקה מתוכננים כדין;

•        השבתה המיוחסת לשירותים, ספקים או תשתיות של צדדים שלישיים מחוץ לשליטת הספק הישירה;

•        השעיית שירותים בשל הפרת חובות תשלום או הפרת הוראות שימוש מותר;

•        תכונות בטא או תצוגה מקדימה המסומנות ככאלה ואינן מכוסות ב-SLA לסביבת ייצור.

5.4 זיכויי שירות כסעד בלעדי

למעט כאשר הדבר אסור על פי הדין החל, זיכויי השירות יהוו את הסעד הבלעדי והמלא של הלקוח, ואת מלוא חבות הספק, בגין כל כשל בעמידה בהתחייבויות הזמינות או הביצוע הקבועות באמנה זו. זיכויי שירות לא יגבילו את זכויות הלקוח בנוגע להפרות הגנת נתונים, הונאה או רשלנות חמורה, אשר יוסדרו לפי סעיף 12 לאמנה זו.

סעיף 6 — הגנת נתונים ופרטיות

6.1 מסגרת רגולטורית חלה

הספק והלקוח מאשרים כי עיבוד המידע האישי במסגרת אמנה זו כפוף לחוקי הגנת הנתונים החלים, לרבות:

•        תקנת הגנת הנתונים הכללית האירופית (GDPR) — Regulation (EU) 2016/679 וכל חוק יישום שלה;

•        חוק הגנת הפרטיות תשמ"א-1981 ותיקון מספר 13 שלו;

•        תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017;

•        הנחיית ה-NIS2 האירופית (EU) 2022/2555 ככל שחלה;

•        כל חוק אחר הנוגע להגנת נתונים, פרטיות ואבטחת סייבר לאומי או בינלאומי.

6.2 תפקידים ואחריות בעיבוד נתונים

ביחס לנתוני לקוח המכילים מידע אישי, הספק ישמש כמעבד נתונים והלקוח ישמש כבעל נתונים, אלא אם הוסכם אחרת בהסכם עיבוד נתונים (DPA) נפרד. הספק מתחייב:

•        לעבד מידע אישי אך ורק על פי הוראות מתועדות מהלקוח ולא לכל מטרה אחרת;

•        להבטיח שכל הצוות המוסמך לעיבוד מידע אישי כפוף לחובות סודיות מתאימות;

•        ליישם ולתחזק אמצעי אבטחה טכניים וארגוניים מתאימים בהתאם לסעיף 6.3;

•        שלא לתת לתת-מעבדים גישה ללא אישור מוקדם בכתב מהלקוח, ולהטיל עליהם חובות הגנת נתונים מקבילות;

•        לסייע ללקוח במילוי חובותיו להגיב לבקשות זכויות נושאי מידע בפרקי הזמן הנדרשים חוקית;

•        למחוק או להחזיר את כל המידע האישי עם סיום האמנה, לפי הוראות הלקוח;

•        לספק את כל המידע הנדרש לסבירות להוכחת ציות ולשתף פעולה עם ביקורות.

6.3 אמצעי אבטחה טכניים וארגוניים

הספק ינהל מערכת ניהול אבטחת מידע מקיפה ויישם את האמצעים הבאים לפחות:

6.3.1 הגנת נתונים במנוחה ובמעבר

•        הצפנת AES-256 לכל נתוני הלקוח המאוחסנים בתשתיות הספק;

•        TLS 1.2 לפחות לכל הנתונים המועברים בין מערכות הלקוח לפלטפורמה;

•        הצפנה מקצה לקצה לתקשורת רגישה הכוללת נתונים מסווגים.

6.3.2 בקרות גישה

•        אימות רב-גורמי (MFA) מחייב לכל גישה ניהולית ומיוחסת;

•        בקרת גישה מבוססת תפקידים (RBAC) על פי עקרון ההרשאה המינימלית;

•        סקירות גישה תקופתיות וביטול גישה מיידי בעת שינויי כוח אדם;

•        ניהול גישה מיוחסת (PAM) לכל גישה לתשתיות קריטיות.

6.3.3 ניטור אבטחה וזיהוי איומים

•        ניטור מרכז פעולות אבטחה (SOC) 24 שעות ביממה, 7 ימים בשבוע;

•        מערכת SIEM עם התראות אוטומטיות;

•        מערכות זיהוי ומניעת חדירות (IDS/IPS);

•        סריקת ניהול פגיעויות רציפה.

6.4 הודעה על פרצת מידע אישי

במקרה של אירוע אבטחה הכולל מידע אישי, הספק ינקוט את הפעולות הבאות:

•        יודיע ללקוח ללא עיכוב בלתי סביר, ולא יאוחר משבעים ושתיים (72) שעות מרגע שנודע לו על הפרצה, ככל שניתן;

•        יספק ללקוח מידע מספיק לאפשר לו למלא את חובות ההודעה שלו לרשויות הפיקוח ולנושאי המידע;

•        ישתף פעולה עם הלקוח ועם הרשויות הרלוונטיות בחקירת הפרצה ותיקונה;

•        ינקוט אמצעי בלימה מיידיים ויתעד את כל הפעולות שננקטו בדוח אירוע פורמלי.

6.5 מיקום נתונים וריבונות

הספק ישמור על נתוני הלקוח באזורים הגיאוגרפיים המצוינים בטופס ההזמנה החל. ללקוחות ברמה ריבונית/ממשלתית, הספק יספק אישור כתוב לעמידה בדרישות מיקום הנתונים לפי בקשה. העברות נתונים חוצות-גבולות יבוצעו אך ורק בציות למנגנוני העברה חוקיים חלים.

סעיף 7 — חובות אבטחת סייבר

7.1 חובות אבטחת הספק

הספק ינהל ויפעיל את שירותיו בהתאם לסטנדרטים בינלאומיים מוכרים לאבטחת סייבר ובכל עת:

•        יחזיק ויתחזק הסמכה לפי ISO/IEC 27001 (ניהול אבטחת מידע) או יפגין עמדת אבטחה שוות ערך;

•        יבצע בדיקות חדירה שנתיות עצמאיות בסביבת הייצור שלו על ידי אנשי מקצוע בתחום האבטחה;

•        ינהל תוכנית מתועדת ובדוקה לגילוי פגיעויות וניהול תיקונים;

•        יפיץ תיקוני אבטחה קריטיים תוך עשרים וארבע (24) שעות ותיקוני חומרה גבוהה תוך שבעים ושתיים (72) שעות מהפרסום הרשמי;

•        יספק הדרכות מודעות אבטחה שנתיות לכל הצוות בעל גישה לנתוני לקוח;

•        ינהל מדיניות ונהלי אבטחת מידע כתובים, שייסקרו מדי שנה;

•        ינהל כיסוי ביטוח סייבר הולם ויספק עדות לכך לפי בקשה.

7.2 חובות אבטחת הלקוח

הלקוח מאשר את האחריות המשותפת לתוצאות האבטחה ומתחייב:

•        לשמור על סודיות כל פרטי הגישה ולהודיע מיד לספק על כל גישה בלתי מורשית חשודה;

•        להבטיח שכל המשתמשים המורשים ינקטו בפרקטיקות אימות חזקות, לרבות MFA היכן שנתמך;

•        לשמור את מערכותיו, נקודות הקצה והרשתות שלו במצב מאובטח ומעודכן;

•        שלא לבצע בדיקות אבטחה, סריקה או בדיקה לא מורשות של תשתיות הספק;

•        לציית למדיניות השימוש המותר של הספק כמפורט בנספח ב';

•        לדווח מיד על כל פעילות חשודה או אירוע אבטחה פוטנציאלי שנצפה בקשר לשירותים.

7.3 תגובה לאירועי אבטחת סייבר

במקרה של אירוע אבטחה המשפיע על השירותים, הצדדים מסכימים לשתף פעולה לפי המסגרת הבאה:

5.        זיהוי: כל צד המזהה אירוע אבטחה יודיע לצד האחר בפרקי הזמן המפורטים בסעיף 4.2.

6.        בלימה: הספק ינקוט אמצעי בלימה מיידיים ויספק הערכת השפעה ראשונית תוך ארבע (4) שעות לאירועי P1.

7.        מיגור ושחזור: הספק יתעד ויבצע תוכנית תיקון בשיתוף הלקוח לפי הצורך.

8.        סקירה לאחר אירוע: דוח ניתוח שורש פורמלי יוגש תוך חמישה (5) ימי עסקים, כולל המלצות למניעת הישנות.

9.        שימור ראיות: שני הצדדים ישמרו את כל היומנים, הרשומות והראיות הרלוונטיות בהתאם לדרישות החוק.

סעיף 8 — מנוי, עמלות ותשלום

8.1 תנאי מנוי

הגישה לשירותים ושימוש בהם כפופים לתשלום עמלות מנוי כמפורט בטופס ההזמנה של הלקוח או כפורסם באתר הספק. תנאי המנוי יכולים להיות חודשיים או שנתיים ויתחדשו אוטומטית אלא אם כן אחד הצדדים מסר הודעה בכתב על אי-חידוש לפחות שלושים (30) ימים לפני סוף תקופת המנוי.

8.2 מבנה עמלות ותיקונים

הספק שומר לעצמו את הזכות לשנות את עמלות המנוי עם הודעה מוקדמת בכתב של לא פחות משישים (60) ימים ללקוח. שינויי עמלות ייכנסו לתוקף בתחילת תקופת החידוש הבאה. המשך השימוש של הלקוח בשירותים לאחר מועד כניסת השינוי לתוקף ייחשב כהסכמה לשינוי. אם הלקוח אינו מקבל שינוי, הוא רשאי לסיים את המנוי בהתאם לסעיף 9.

8.3 תנאי תשלום

•        כל העמלות מגיעות לתשלום עם תחילת תקופת המנוי החלה או חידושה, אלא אם נאמר אחרת בטופס ההזמנה;

•        ניתן לשלם באמצעות כרטיס אשראי, העברה בנקאית או אמצעים אחרים שיסומן על ידי הספק;

•        תשלומים שהתעכבו יצברו ריבית בשיעור של 1.5% לחודש, או השיעור המקסימלי המותר על פי הדין החל;

•        הספק שומר לעצמו את הזכות להשעות שירותים עם הודעה מוקדמת של שלושים (30) ימים בכתב כאשר עמלות נותרות בפיגור;

•        כל העמלות אינן כוללות מסים, מכסים וחיובים חלים, אשר ייושאו על ידי הלקוח.

8.4 מדיניות החזרים

עמלות המנוי אינן ניתנות להחזר בדרך כלל, למעט במקרים הבאים:

•        הלקוח מממש זכות ביטול סטטוטורית במסגרת תקופת צינון כלשהי הנדרשת על פי חוק הגנת הצרכן החל;

•        הספק כשל באופן מהותי באספקת השירותים החוזיים ולא תיקן כשל זה בתוך פרק זמן סביר לריפוי;

•        האמנה הסתיימה על ידי הלקוח מסיבות מוצדקות בהתאם לסעיף 9.3;

•        מנוי שנתי שנשלמה מראש הסתיים על ידי הספק ללא סיבה לפני תום תקופת המנוי, ובמקרה זה יינתן החזר יחסי עבור החלק שלא נוצל.

סעיף 9 — תקופה, סיום והשעיה

9.1 תקופה

אמנה זו תיכנס לתוקף במועד תחילת התוקף ותישאר בתוקף מלא לאורך תקופת המנוי הפעיל, ותמשיך לתקופות חידוש עוקבות אלא אם תסתיים בהתאם לסעיף זה.

9.2 סיום על פי שיקול דעת

כל צד רשאי לסיים את האמנה לפי שיקול דעתו עם מסירת הודעה מוקדמת בכתב של לא פחות משלושים (30) ימים קלנדריים לצד האחר. סיום כזה ייכנס לתוקף בסוף מחזור החיוב השוטף. מנויים שנתיים המסיימים לפי שיקול דעת לא יהיו זכאים להחזר עמלות ששולמו מראש למעט כמפורט בסעיף 8.4.

9.3 סיום בשל עילה

כל צד רשאי לסיים את האמנה לאלתר עם הודעה בכתב אם הצד האחר:

•        הפר באופן מהותי כל הוראה באמנה זו ולא תיקן את ההפרה בתוך שלושים (30) ימים מהודעה בכתב;

•        נקלע לחדלות פירעון, ביצע הסדר עם נושים, או כפוף להליכי פשיטת רגל או פירוק;

•        ביצע הונאה, מצג שווא או התנהלות מכוונת בקשר לשירותים;

•        במקרה של הלקוח: השתמש בשירותים תוך הפרת הדין החל או באופן המהווה איום ישיר על תשתיות הספק.

9.4 השלכות סיום

עם סיום האמנה מכל סיבה:

•        כל הרישיונות והזכויות שניתנו ללקוח יפקעו לאלתר;

•        הספק יספק ללקוח חלון ייצוא נתונים של שלושים (30) ימים שבמהלכו הלקוח רשאי לאחזר את כל נתוני הלקוח בפורמט קריא-מכונה סטנדרטי;

•        לאחר חלון ייצוא הנתונים, הספק ימחק בצורה מאובטחת את כל נתוני הלקוח, אלא אם שמירה נדרשת על פי חוק;

•        כל עמלות שנצברו ולא שולמו יישארו מגיעות לתשלום;

•        הוראות האמנה שמטבען שורדות סיום יישארו בתוקף מלא.

9.5 השעיה

הספק רשאי להשעות גישה לשירותים לאלתר וללא הודעה מוקדמת במקרים הבאים:

•        כאשר השימוש של הלקוח בשירותים מהווה איום מיידי על אבטחת, שלמות או זמינות מערכות הספק;

•        כאשר הדבר נדרש על פי חוק על ידי רשות ממשלתית או שיפוטית מוסמכת;

•        כאשר הלקוח הפר באופן מהותי את מדיניות השימוש המותר.

בכל מקרים אחרים של השעיה (לרבות אי-תשלום), הספק יספק הודעה מוקדמת בכתב של לפחות ארבעים ושמונה (48) שעות.

סעיף 10 — זכויות קניין רוחני

10.1 קניין רוחני של הספק

הלקוח מאשר כי הספק שומר לעצמו את כל הזכות, הבעלות והאינטרסים בפלטפורמה, בשירותים, בתוכנה, בתיעוד, בשיטות, בידע מקצועי ובכל זכויות הקניין הרוחני הקשורות (להלן: "קניין הספק"). שום דבר באמנה זו לא ייחשב כהעברת כל קניין של הספק ללקוח. הלקוח מקבל רישיון מוגבל, לא-בלעדי, בלתי-עביר וניתן לביטול לגשת ולהשתמש בשירותים לצרכי עסקיו הפנימיים בלבד.

10.2 בעלות על נתוני לקוח

הלקוח שומר לעצמו את כל הזכות, הבעלות והאינטרסים בנתוני הלקוח. הלקוח מעניק לספק רישיון מוגבל ולא-בלעדי לגשת, לעבד, לאחסן ולהשתמש בנתוני הלקוח במידה הנדרשת לאספקת השירותים בלבד. הספק לא ישתמש בנתוני הלקוח לכל מטרה אחרת.

10.3 פעילויות אסורות

הלקוח לא יעשה, ולא יאפשר לצד שלישי לעשות, את הפעולות הבאות:

•        הנדסה לאחור, פירוק, ניתוח או ניסיון לגלות את קוד המקור של כל רכיב תוכנה בשירותים;

•        העתקה, שינוי, הפצה, מכירה או מכירה חוזרת של השירותים או חלק מהם ללא הסכמת הספק;

•        הסרה או הסתרה של כל הודעות קניין, תוויות או סימנים בשירותים;

•        שימוש בסימני המסחר, הלוגואים או המיתוג של הספק ללא אישור מוקדם בכתב;

•        יצירת יצירות נגזרות המבוססות על השירותים.

סעיף 11 — סודיות

11.1 מידע סודי

כל צד (כ"הגורם המגלה") עשוי לחשוף לצד האחר (כ"הגורם המקבל") מידע בעל אופי סודי. "מידע סודי" פירושו כל מידע לא-ציבורי שנחשף על ידי כל צד בקשר לאמנה זו, לרבות מידע טכני, תוכניות עסקיות, תמחור, נתוני לקוחות, ארכיטקטורות אבטחה ומתודולוגיות קנייניות.

11.2 חובות סודיות

כל גורם מקבל מתחייב:

•        לשמור על כל המידע הסודי בסודיות קפדנית באמצעות לא פחות מאותה רמת זהירות שהוא נוקט להגנה על מידעו הסודי שלו;

•        להשתמש במידע הסודי אך ורק לצורך מילוי התחייבויותיו או מימוש זכויותיו לפי אמנה זו;

•        שלא לחשוף מידע סודי לכל צד שלישי ללא הסכמה מוקדמת בכתב של הגורם המגלה;

•        להגביל גישה למידע הסודי לאותם אנשי צוות ותת-מעבדים בעלי צורך ממשי-לדעת המחויבים לחובות סודיות מקבילות.

11.3 חריגים

חובות הסודיות לא יחולו על מידע: (א) שהפך לנחלת הכלל שלא באשמת הגורם המקבל; (ב) שהיה ידוע לגורם המקבל לגיטימית לפני הגילוי; (ג) שהתקבל מצד שלישי ללא הגבלה; או (ד) שפותח באופן עצמאי על ידי הגורם המקבל ללא שימוש במידע הסודי.

11.4 גילוי כפוי

כאשר גורם מקבל נדרש לחשוף מידע סודי מכוח הדין החל, צו בית משפט או רשות ממשלתית, הגורם המקבל: (א) יספק הודעה מוקדמת בכתב לגורם המגלה במידת האפשר; (ב) ישתף פעולה עם הגורם המגלה בהשגת צו מגן; ו-(ג) יגלה אך ורק את המינימום הנדרש.

11.5 הישרדות

חובות הסודיות הקבועות בסעיף זה ישרדו את סיום האמנה למשך חמש (5) שנים, למעט ביחס לסודות מסחריים, שלגביהם חובות אלו ישרדו ללא הגבלת זמן.

סעיף 12 — אחריות, מצגים וכתבי ויתור

12.1 אחריות הספק

הספק מצהיר ומתחייב כי:

•        יש לו הסמכות המלאה להתקשר באמנה זו ולמלא את התחייבויותיו;

•        השירותים יסופקו במיומנות ובקפידה סבירות, בצורה מקצועית ועל פי סטנדרטים מקובלים בתעשייה;

•        השירותים יפעלו בהתאם מהותי לתיעוד ולמפרטים החלים;

•        הוא קיבל ויתחזק את כל הרישיונות, האישורים וההרשאות הנדרשים לאספקת השירותים;

•        הפלטפורמה אינה, למיטב ידיעתו, מפרה זכויות קניין רוחני של צד שלישי;

•        הוא ייציית לכל הדינים והתקנות החלים באספקת השירותים.

12.2 מצגי הלקוח

הלקוח מצהיר ומתחייב כי:

•        יש לו הסמכות המשפטית המלאה להתקשר באמנה זו ולהגיש נתוני לקוח לשירותים;

•        נתוני הלקוח ושימוש הלקוח בשירותים אינם מפרים כל חוק, תקנה או זכויות של צדדים שלישיים;

•        כל המידע שנמסר לספק בתהליך הרישום והמנוי הוא מדויק, שלם ועדכני;

•        הוא ישתמש בשירותים אך ורק בהתאם לאמנה זו ולדין החל.

12.3 כתבי ויתור

למעט כמפורש בסעיף 12.1, השירותים מסופקים "כפי שהם" ו"כפי שזמינים". במידה המרבית המותרת על פי הדין החל, הספק מתנשל באופן מפורש מכל אחריות משתמעת, לרבות אחריות משתמעת לסחירות, להתאמה למטרה מסוימת ולאי-הפרה. הספק אינו ערב לכך שהשירותים יהיו נקיים לחלוטין מטעויות, אך מתחייב לטפל בתקלות בהתאם לנהלי ניהול האירועים המפורטים.

סעיף 13 — הגבלת אחריות ושיפוי

13.1 הגבלת אחריות

במידה המרבית המותרת על פי הדין החל, בשום מקרה לא יהיה אחד הצדדים אחראי כלפי הצד האחר לכל נזק עקיף, מקרי, מיוחד, לדוגמה, תוצאתי או עונשי (לרבות אובדן רווחים, הכנסות, הזדמנות עסקית, או נתונים) הנובע מאמנה זו או מהשימוש בשירותים, אפילו אם הוזהר מפני אפשרות נזקים כאלה.

האחריות הכוללת המצטברת של הספק ללקוח בגין כל התביעות הנובעות מאמנה זו, בין אם בחוזה, בעוולה (לרבות רשלנות) או אחרת, לא תעלה על סך העמלות הכולל ששילם הלקוח לספק בשנת העשרים ואחת (12) החודשים שקדמו מיד לאירוע שהוליד את התביעה.

13.2 חריגים מהגבלה

הגבלות האחריות המפורטות בסעיף 13.1 לא יחולו על:

•        חבות בגין מוות או נזק גופני הנגרמים מרשלנות של כל צד;

•        חבות בגין הונאה או התנהלות מכוונת;

•        חובות השיפוי של הספק לפי סעיף 13.4;

•        הפרות של חובות הסודיות לפי סעיף 11;

•        חבות בגין הפרות הגנת נתונים הנובעות מאי-ציות הספק לדין החל.

13.3 שיפוי הלקוח

הלקוח ישפה, יגן ויפטור את הספק ואת נושאי המשרה, הדירקטורים, העובדים, הסוכנים והקבלנים שלו מפני כל תביעות, חבויות, נזקים, הפסדים, עלויות והוצאות (לרבות שכר טרחת עורך דין סביר) הנובעים מ: (א) הפרת הלקוח את האמנה; (ב) שימוש הלקוח בשירותים תוך הפרת הדין החל; (ג) נתוני לקוח המפרים זכויות צד שלישי; או (ד) רשלנות חמורה או התנהלות מכוונת של הלקוח.

13.4 שיפוי הספק

הספק ישפה, יגן ויפטור את הלקוח מפני כל תביעות לפיהן השירותים, כפי שסופקו על ידי הספק ונוצלו על ידי הלקוח בהתאם לאמנה זו, מפרים זכויות קניין רוחני של צד שלישי, ובלבד שהלקוח: (א) מודיע לספק על כל תביעה כזו בהקדם; (ב) מעניק לספק שליטה בלעדית על ההגנה; ו-(ג) משתף פעולה עם הספק.

סעיף 14 — יישוב סכסוכים

14.1 יישוב בלתי-פורמלי

הצדדים ינסו בתום לב ליישב כל סכסוך, מחלוקת או תביעה הנובעים מאמנה זו ("סכסוך") באמצעות משא ומתן בלתי פורמלי. כל צד רשאי לפתוח במשא ומתן כזה עם הודעה בכתב המפרטת את טבע הסכסוך. הצדדים ישאפו ליישב את הסכסוך בתוך שלושים (30) ימים קלנדריים.

14.2 גישור

אם לא הושג יישוב סכסוך באמצעות משא ומתן בלתי פורמלי בתוך שלושים (30) ימים, כל צד רשאי להפנות את העניין לגישור בלתי מחייב בפני מגשר שסוכם הדדית. עלויות הגישור יתחלקו שווה בשווה בין הצדדים.

14.3 בוררות

אם לא הושג יישוב לאחר גישור, או אם אחד הצדדים דחה את הגישור, הסכסוך ייפתר סופית על ידי בוררות מחייבת בהתאם לכללי מוסד בוררות בינלאומי מוסכם הדדית (לרבות, ללא הגבלה, כללי לשכת המסחר הבינלאומית ICC או כללי הבוררות של אונסיטרל UNCITRAL). פסק הבוררות יהיה סופי ומחייב וניתן לאכיפה בכל בית משפט בעל סמכות שיפוט.

14.4 הדין החל וסמכות שיפוט

אמנה זו תפורש ותוסדר בהתאם לדין החל המצוין בטופס ההזמנה של הלקוח או, בהיעדר ציון כזה, בהתאם לדין מדינת ישראל. ללקוחות הדומיסיליים באיחוד האירופי, עניינים הנוגעים לציות GDPR יהיו כפופים לדין של המדינה החברה הרלוונטית. הצדדים מסכימים לסמכות השיפוט הבלעדית של בתי המשפט המפורטים בטופס ההזמנה הרלוונטי לכל עניין שאינו כפוף לבוררות.

14.5 סעד חירום

על אף האמור לעיל, כל צד רשאי לבקש סעד זמני דחוף או סעד צודק אחר מבית משפט בעל סמכות שיפוט היכן שנדרש למניעת נזק בלתי-הפיך, לרבות במקרים של פרצת נתונים מתקרבת, הפרת קניין רוחני, או הפרת חובות סודיות.

סעיף 15 — המשכיות עסקית והתאוששות מאסון

15.1 תכנון המשכיות עסקית

הספק ינהל ויבדוק באופן קבוע תוכנית המשכיות עסקית (BCP) מקיפה המבטיחה את המשך אספקת השירותים הקריטיים במקרה של שיבוש מרכזי. תוכנית ה-BCP תיסקר ותעודכן לפחות אחת לשנה ובעקבות כל אירוע משמעותי.

15.2 יעדי שחזור

הספק מתחייב ליעדי השחזור הבאים לשירותי ייצור, בכפוף לשינויים ספציפיים לפי רמה כמפורט בנספח א':

סעיף 16 — ציות וזכויות ביקורת

16.1 ציות רגולטורי

הספק ינהל בכל עת את שירותיו בציות לחוקים, תקנות וסטנדרטים בינלאומיים מוכרים, לרבות ISO/IEC 27001, ISO/IEC 22301, SOC 2 Type II, GDPR וחוקי הגנת הפרטיות ואבטחת הסייבר הישראליים החלים. הספק ינהל ראיות תיעודיות לציות כאמור ויעמידן לרשות הלקוח או מבקריו בבקשה סבירה.

16.2 זכויות ביקורת של הלקוח

לקוחות ברמה ארגונית וריבונית/ממשלתית יהיו זכאים לבצע, או להסמיך צד שלישי עצמאי לבצע, ביקורת של עמדת האבטחה והציות של הספק לא יותר מפעם אחת בשנה קלנדרית, עם הודעה מוקדמת בכתב של שלושים (30) ימים. הביקורות תבוצענה בשעות עסקים רגילות ולא תפריענה באופן בלתי סביר לפעילות הספק.

16.3 אישורים ודוחות

הספק יספק לפי בקשה:

•        עותקי תעודות ISO 27001 עדכניות או שוות ערך;

•        דוחות ביקורת SOC 2 Type II (בכפוף להסכם סודיות מתאים);

•        דוחות סיכום בדיקות חדירה (בהסרת פרטים רגישים לפי הצורך);

•        הערכות השפעה לפרטיות (DPIA) היכן שרלוונטי;

•        תוצאות בדיקות המשכיות עסקית והתאוששות מאסון.

סעיף 17 — מדיניות שימוש מותר

17.1 שימוש מותר

השירותים מסופקים לשימוש עסקי ואישי חוקי בהתאם לאמנה זו ולדין החל. לקוחות ומשתמשים מורשים רשאים להשתמש בשירותים לגישה לתכונות ולפונקציונליות המתוארות בתיעוד הספק למטרות תפעוליות לגיטימיות.

17.2 שימוש אסור

הפעילויות הבאות אסורות בהחלט בקשר לשירותים:

•        העברה, אחסון, או עיבוד של תוכן בלתי חוקי, מזיק, מאיים, פוגעני, משמיץ, מגונה או בלתי רצוי אחרת;

•        עיסוק בכל פעילות המפרה חוקי בקרת ייצוא, סנקציות או מגבלות אמברגו חלים;

•        ניסיון לגשת ללא הרשאה לנתוני לקוחות אחרים או לחלקים מוגבלים בתשתיות הספק;

•        ביצוע או הסתייעות בכל סוג של מתקפת מניעת שירות (DDoS), הפצת תוכנות זדוניות, פישינג, או כל פעילות סייבר זדונית אחרת;

•        כריית מטבעות קריפטוגרפיים או ביצוע חישובים בעצימות בלתי מורשית על תשתיות הספק;

•        עקיפת או ניסיון לעקוף בקרות אבטחה, הגבלות גישה, או מנגנוני אכיפת רישיון;

•        שימוש בשירותים לפיתוח או בדיקת יכולות סייבר התקפיות ללא אישור מפורש בכתב מהספק;

•        הפרת כל חוק פרטיות חל או עיבוד מידע אישי שלא בהתאם לאמנה זו.

17.3 אכיפה

הספק שומר לעצמו את הזכות לחקור כל חשד להפרה של מדיניות זו ולנקוט בפעולות מתאימות, לרבות השעיה או סיום שירותים, דיווח לרשויות אכיפת חוק ונקיטת הליכים משפטיים.

סעיף 18 — תיקונים, עדכונים והודעות

18.1 תיקונים לאמנה

הספק שומר לעצמו את הזכות לתקן את האמנה מעת לעת. תיקונים יובאו לידיעת הלקוח בדוא"ל לכתובת החשבון הרשומה ו/או בהודעה באתר הספק לפחות שלושים (30) ימים קלנדריים לפני מועד כניסת התיקון לתוקף. המשך שימוש הלקוח בשירותים לאחר מועד כניסת התיקון לתוקף יהווה קבלת התנאים המתוקנים.

18.2 שיטות מסירת הודעות

הודעות רשמיות לפי אמנה זו תימסרנה בכתב באמצעות:

•        דוא"ל לכתובת החשבון הרשומה (להודעות תפעוליות, דוחות SLA ותקשורת אירועים);

•        דואר רשום או שליח לכתובת העסקית הרשומה (להודעות משפטיות פורמליות, לרבות סיום);

•        הודעות בתוך-הפלטפורמה (לעדכונים קלים, לוחות תחזוקה והכרזות תכונות).

הודעות ייחשבו כנמסרות: עם אישור מסירת דוא"ל, או, בהיעדר אישור כזה, עשרים וארבע (24) שעות לאחר שליחה; או עם מסירה בפועל בדבר שנשלח בדואר.

סעיף 19 — שירותי צדדים שלישיים ותת-מעבדים

19.1 אינטגרציות של צדדים שלישיים

השירותים עשויים להשתלב עם תוכנות, ממשקי API ושירותים של צדדים שלישיים. שירותי צדדים שלישיים כאמור כפופים לתנאים ולהגבלות שלהם, והספק אינו נוטל אחריות על זמינות, דיוק, אבטחה או פונקציונליות שלהם.

19.2 תת-מעבדים

הספק עשוי להשתמש בתת-מעבדים לסיוע באספקת השירותים. הספק ינהל ויעמיד לרשות הלקוח רשימה עדכנית של תת-מעבדים לפי בקשה. הספק יבטיח כי כל תת-מעבדים מחויבים לחובות הגנת נתונים שוות ערך לאלו המפורטות באמנה זו. הספק יישאר אחראי ללקוח בגין מעשי ומחדלי תת-המעבדים שלו כאילו היו מעשיו ומחדליו שלו.

סעיף 20 — הוראות כלליות

20.1 הסכם שלם

אמנה זו, יחד עם כל הנספחים, טפסי ההזמנה וכל הסכם עיבוד נתונים שנחתם בין הצדדים, מהווה את ההסכם המלא והשלם בין הצדדים ביחס לנושא ההסכם ומחליפה את כל ההסכמות, ההבנות, המשא ומתן והמצגים הקודמים, בין אם בכתב ובין אם בעל פה, הנוגעים לאותו נושא.

20.2 הפרדת סעיפים

אם ייקבע כי הוראה כלשהי באמנה זו אינה תקפה, בלתי חוקית או בלתי ניתנת לאכיפה על ידי בית משפט או טריבונל בוררות בעל סמכות שיפוט, הוראה כאמור תתוקן במידה המינימלית הנדרשת להפיכתה לתקפה וניתנת לאכיפה, וההוראות הנותרות ימשיכו בתוקף מלא.

20.3 ויתור

שום כישלון או עיכוב של כל צד במימוש זכות או תרופה כלשהי לפי אמנה זו לא ייחשב כוויתור על אותה זכות או תרופה. שום ויתור לא יהיה בתוקף אלא אם נעשה בכתב ונחתם על ידי נציג מורשה של הצד המוותר.

20.4 העברת זכויות

הלקוח אינו רשאי להסב או להעביר זכויותיו או התחייבויותיו לפי אמנה זו ללא הסכמה מוקדמת בכתב של הספק, שלא תימנע ללא סיבה סבירה. הספק רשאי להסב את האמנה בקשר עם מיזוג, רכישה, ארגון מחדש תאגידי, או מכירת מרבית נכסיו, ובלבד שהנמחה מקבל על עצמו את כל ההתחייבויות.

20.5 כוח עליון

אחד הצדדים לא יהיה בהפרת האמנה ולא יהיה אחראי לכל עיכוב בביצוע, או כישלון בביצוע, של התחייבויותיו לפי אמנה זו אם עיכוב או כישלון כזה נובע מאירועי כוח עליון. הצד המושפע יודיע בהקדם לצד האחר בכתב על אירוע הכוח העליון ואורכו המשוער. אם אירוע כוח עליון נמשך יותר משישים (60) ימים, כל צד רשאי לסיים את האמנה עם הודעה בכתב ללא חבות, פרט לעמלות בגין שירותים שכבר נוצלו.

20.6 קבלנים עצמאיים

הצדדים הינם קבלנים עצמאיים ואמנה זו אינה יוצרת כל שותפות, מיזם משותף, יחסי עובד-מעסיק, שליחות או זיכיון בין הצדדים. אחד הצדדים אינו מוסמך לחייב את הצד האחר או לקחת על עצמו כל התחייבות בשמו.

20.7 שפה

אמנה זו מנוסחת בשפה העברית. בכל מקרה של סתירה בין הגרסה העברית לבין גרסה בשפה אחרת, הגרסה העברית תגבר. עם זאת, גרסת האמנה המקורית שנוסחה באנגלית מצורפת כנספח ד' ושותפה ולא נגרע מכל זכות הנובעת ממנה. ללקוחות ריבוניים/ממשלתיים בתחומי שיפוט הדורשים שפה ספציפית, תצורף תרגום מאושר כנספח.

20.8 עותקים וחתימה אלקטרונית

ניתן לחתום על האמנה בעותקים אחדים, שכל אחד מהם ייחשב כמקור וכולם יחד יהוו מסמך אחד. חתימות אלקטרוניות יחשבו שוות ערך לחתימות מקוריות לכל מטרה שבאמנה זו, בהתאם לחוק החתימה האלקטרונית החל.

ביצוע וחתימות

על ידי גישה לשירותים, קבלת אמנה זו אלקטרונית, או חתימה על טופס הזמנה המפנה ל-SLA זה, הצדדים מאשרים כי קראו, הבינו ומסכימים להיות מחויבים בכל התנאים וההגבלות המפורטים. אמנה זו תהפוך למחייבת מבחינה משפטית עם קבלת הלקוח או עם תחילת השירותים, המוקדם מבין השניים.

נספח א' — מפרטי רמות שירות

נספח זה מהווה חלק בלתי-נפרד מאמנת רמת השירות ומפרט את המפרטים עבור כל רמת שירות. המפרטים כפופים לסקירה ועדכון שנתיים, עם הודעה מוקדמת בכתב של שלושים (30) ימים ללקוחות.

נספח ב' — מדיניות שימוש מותר (סיכום)

נספח זה מסכם את חובות השימוש המותר. על הלקוחות להבטיח שכל המשתמשים המורשים מיודעים על דרישות אלו ועומדים בהן. מדיניות השימוש המותר המלאה מפורסמת בכתובת www.לנסלוט .com/acceptable-use ומשולבת כאן באמצעות הפניה.

•        ניתן להשתמש בשירותים למטרות חוקיות בלבד ובציות לחקיקה הרלוונטית.

•        אסורים העברה, אחסון של קוד זדוני, ניצולים, או תוכן המאפשר פעילות בלתי חוקית.

•        ניסיונות גישה בלתי מורשית, בדיקות אבטחה, או ניצול פגיעויות — אסורים.

•        הלקוחות נושאים באחריות מלאה למעשי המשתמשים המורשים שלהם.

•        השימוש במשאבים חייב להישאר בגבולות החוזיים; שימוש חריג העשוי לפגוע בלקוחות אחרים עשוי לגרום לצמצום מהירות או השעיה.

•        ערוצי התמיכה של הספק לא יישמשו לשימוש לרעה או בחוסר תום לב.

נספח ג' — ספריית אנשי קשר ומטריצת הסלמה

פרטי הקשר לצרכים תפעוליים מנוהלים בפורטל החשבון המאובטח של הלקוח. להודעות משפטיות ורשמיות, תחול הכתובת הבאה: